Magneetstrip op Nederlandse pinpas uit de tijd
De schade door frauduleuze incasso's is vele malen groter dan skimmingfraude, toch blijft ook dit een probleem, zo is te lezen in het jaarverslag van Currence, eigenaar van betaalproducten. De organisatie blijkt de kwetsbare HFT 201 betaalautomaat, regelmatig slachtoffer van pinpasfraude, met vervroegd pensioen te sturen. Niet alleen werden er vorig jaar 30.000 vervangen, het veiligheidscertificaat dat nog twee jaar geldig zou zijn, wordt per ingang van 1 juli ingetrokken. Dat betekent dat winkeliers nog een goede maand hebben om 35.000 betaalautomaten te vervangen.
De grote boosdoener blijft echter de magneetstrip. "Door het langere gebruik van de magneetstrip in Nederland, vergeleken met het buitenland, ontstaat het risico op een kwetsbare situatie. Currence blijft dan ook zeer alert op nieuwe potentiële fraudegevallen en zal hiertegen direct zoveel mogelijk maatregelen nemen. In dit kader zal Currence in 2008 ondermeer het vigerende beleid rond de geldigheidstermijnen van veiligheidscerti?caten herbezien. Uiteindelijk kan fraude alleen effectief worden tegengegaan als bij het PINnen aan de toonbank de magneetstrip wordt vervangen door de (EMV)chiptechnologie."
Toch is het niet alleen skimming waar bedrijven en consumenten zich zorgen over moeten maken. Een anoniem lezer stuurde ons de volgende bijdrage:
"In het jaarverslag van Currence geeft men aan dat het geplande Europese incasso-systeem, wat banken vanaf 2009 willen toepassen, nog steeds rekeningen kwetsbaar maakt om geplunderd te worden. Het Nederlandse systeem komt er niet beter vanaf. Banken doen hun best om hun klanten alert te maken voor skimmingfraude, maar ondertussen staat de achterdeur van de rekening zonder beveiliging open voor 'incasso beroving'. Dit blijkt uit de eerste cijfers die Currence over deze vorm van misbruik in kaart heeft gebracht. Het aantal rekeninghouders slachtoffer van incasso beroving blijkt jaarlijks vele duizenden malen groter dan skimmingfraude en met het Europese systeem is de kans op beroving nog vele malen groter aan het worden.
Het Nederlandse incasso-systeem prijzen de banken al jaren aan als goede en populaire betaalmiddelen, maar ondanks dat het al tientallen jaren bestaat is er in 2007 pas voor het eerst door de banken bekeken hoe (on)veilig het voor klanten is. Het blijkt dat ieder kwartaal ruim 6000 rekeninghouders geroofd geld laten terugvorderen omdat er geen machtiging is gegeven of omdat het weggenomen geld niet in overeenstemming is met een machtiging. Vaak is men bijvoorbeeld geen klant bij het bedrijf dat de incasso heeft gedaan of is er veel te veel geld van de rekening onttrokken.
Currence laat in het midden dat deze cijfers zijn gebaseerd op een systeem dat de klant het misbruik zelf moet ontdekken (banken controleren niet tenzij een klant piept), gedupeerden misbruik tijdig moeten aangeven, banken klanten het advies geven het geld zelf terug te halen bij het bedrijf omdat de procedure vaak weken kan duren (officieel 3 weken) en dat nog steeds veel banken hun gedupeerde klanten niet juist informeren over hoe ze het geroofde geld terug kunnen krijgen.
De 6000 slachtoffers per kwartaal zijn daardoor zeer waarschijnlijk slechts een topje van de ijsberg. Al valt het volgens Currence wel mee gezien het aantal incasso opdrachten dat wel goed lijkt te verlopen. Currence geeft niet aan of het iedere maand 6000 nieuwe slachtoffers zijn, maar dat is zeer realistisch. Tot op heden is nog geen bank bekend die een bedrijf de bevoegdheid tot incasseren ontnomen heeft wegens beroving.
Na een beroving zijn klanten na een geldig verzoek tot storneren maximaal 13 werkdagen hun geld kwijt. Tot eind 2007 waren daar ook rekeninghouders tussen die niet rood konden staan maar waarbij dat toch kon gebeuren door misbruik/fouten van de dienst garantie incasso door onderwijsinstituten. Bij deze vorm van incasso kon zelfs de bank het geld niet zelf storneren maar was men afhankelijk van de wil en snelheid van een onderwijsinstituut.
Over het Europese systeem merkt Currence terecht op dat dit in het huidige voorstel wat bewijslast beter in elkaar kan zitten dan het huidige Nederlandse systeem. Nu hoeft een bedrijf dat incasseert geen bewijs van geldig incasso te leveren voordat een opdracht wordt uitgevoerd. Nederlandse banken controleren alleen achteraf als een gedupeerde zich op tijd meld. De zorg voor veiligheid ligt bij de bedrijven die mogen incasseren, zelfregulering door potentiële rovers. In het Europese voorstel moeten bedrijven een digitaal machtigingsbewijs meezenden met de opdracht. Tot op heden is er in de voorstellen echter geen verplichting naar banken opgenomen dat ze het bewijs vooraf controleren op geldigheid. Erger, de digitale gegevens zijn niet compleet genoeg om te kunnen controleren omdat bedragen niet vermeld worden. In feite komt dat er op neer dat rekeninghouders vanaf 2009 niet alleen door Nederlandse bedrijven beroofd kunnen worden door misbruik van incasso, maar door vele miljoenen bedrijven uit geheel Europa. Tot op heden zijn er, net als in het huidige systeem, geen banken bekend die hun klanten beschermen door roof via incasso standaard onmogelijk te maken via een whitelist. Sommige banken in Nederland passen wel blacklisting toe, maar dan alleen waarbij een specifieke tegenrekening geblokkeerd kan worden om nog langer misbruik te maken."
me daar nog iets van herinneren
alle twee kan geleest/gekraakt worden..
is. het is tot nu toe nog nooit gekraakt. het is wel mogenlijk, maar niet rendabel
voor criminelen.
Het chipknip systeem had bij invoeren gelijk als zowel online(pin) en offline
(chipknip) systeem moeten worden gebruikt. Dit is niet gebeurt doordat er
geen bij invoering nog geen standaard was (chipknip en chipper).
Het bestaande magneetstrip systeem vervangen kost te veel geld nu, daarom
wachten ze liever op de EMV standaard.
de bank toestemming geeft dat bv. bedrijf x zoiets bij jou mag..
In feite komt dat er op neer dat rekeninghouders vanaf 2009 niet alleen door
Nederlandse bedrijven beroofd kunnen worden door misbruik van incasso,
maar door vele miljoenen bedrijven uit geheel Europa.
Dat ze maar heel snel een Whitelist (of iets dergelijks) toe gaan voegen
aan je bankrekening(en). Nu tegenwoordig toch vrijwel iedereen internet hier
heeft, lijkt me dat een stuk makkelijker te realiseren.
zoals de president van europa.
aan je bankrekening(en). Nu tegenwoordig toch vrijwel iedereen internet
hier heeft, lijkt me dat een stuk makkelijker te realiseren."
Dan moet je wel zorgen dat de whitelist niet via internet kan worden
aangepast, anders helpt het niets tegen misbruik via internetbankieren. Bij
telefonisch bankieren gebruikt men (iig bij de Rabobank) wel een whitelist.
personen die het is overkomen dat geld van hun rekening was
gehaald. Vrienden, collega's, familie.
Mijn bank was bereid mee te werken, toen ik eenmaal flinke
druk uitoefende. Of ik het eerst niet even zelf wilde
proberen het te regelen want het zou anders wel eens lang
kunnen gaan duren. Ja, dag. Mijn geld beheren noemen ze dat.
En daar moet ik nog voor betalen ook terwijl ze er miljarden
aan verdienen. Anderen hebben dat dus wel gedaan. Of hebben
het via een normale stornering geregeld zodat het niet
officieel bekend is dat er geen machtiging gebruikt was.
Niemand wist dat het mogelijk was om geld van de rekening te
halen zonder dat je een machtiging hebt gegeven. Geloofden
het eerst ook niet. De bank is toch veilig, die bewaakt toch
voor je geld? Niet dus.
strip of chip
alle twee kan geleest/gekraakt worden..
Natuurlijk...met alles is dat.. maar moeilijker. Vergeet niet dat de Chip in het
chipapparaat plaatst integenstelling de strip moet schuiven langs de lezer en
dit is juist onbetrouwbaar ivm skimming.
Magneet strip is WAARDENLOOS.. heb al 4 pasjes in een jaar versleten
doordat de magneetstrip onleesbaar was geworden. En het heeft ook een
groot oppervlak nodig voor beperkte data die weer makkelijk beschadigd kan
worden. Een chip is daarentegen veel robuster en compacter.
Nu nog even indien er gechipped wordt de chipcode als authenticatie
opvragen en klaar is kees..
De Muis
"Dat ze maar heel snel een Whitelist (of iets dergelijks) toe gaan voegen
aan je bankrekening(en). Nu tegenwoordig toch vrijwel iedereen internet
hier heeft, lijkt me dat een stuk makkelijker te realiseren."
Dan moet je wel zorgen dat de whitelist niet via internet kan worden
aangepast, anders helpt het niets tegen misbruik via internetbankieren. Bij
telefonisch bankieren gebruikt men (iig bij de Rabobank) wel een whitelist.
Internetbankieren staat los van incasso. Ik zie de directe link dan ook niet. Nu
kan iedereen een incasso uitvoeren, maar
niet iedereen kan zo bij jouw internetbankieren... wel een belangrijk verschil!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.