Politie waarschuwt voor nieuwe skimmethode *Update 2*
De politie waarschuwt voor een nieuwe manier van skimmen waarbij criminelen betaalautomaten die in winkels en bedrijven worden gebruikt aanpassen. De nieuwe werkwijze is de laatste twee weken op verschillende plaatsen in Nederland voorgekomen. In twee gevallen waren bedrijven in de regio Noord-Holland Noord het slachtoffer. In een van deze gevallen kon een verdachte worden aangehouden.
Tot dusverre maakten criminelen meestal gebruik van betaalautomaten, zoals de HFT201, waar een opzetstuk op bevestigd werd. Hiermee konden gegevens van bankpassen worden gekopieerd. Voor winkels werd een betaalautomaat ontwikkeld waarmee deze manier van skimmen onmogelijk was. Inmiddels is gebleken dat criminelen ook hiervoor een methode voor hebben ontwikkeld om klantgegevens te ‘stelen’, waarna de rekeningen van slachtoffer leeggeroofd kunnen worden.
Insluiten
Om de apparaten aan te passen verstoppen de criminelen zich in de winkel. Zodra het personeel weg is, wordt er een gat in het plastic van de betaalautomaat gemaakt. Hierin installeert de skimmer apparatuur die de gegevens van de bankpas opslaat en via een camera meteen meekijkt naar de pincode die wordt ingetoetst. Soms wordt de camera ingebouwd in de betaalautomaat, maar soms wordt deze ergens anders, bijvoorbeeld in het plafond, gemonteerd. Na het inbouwen wordt een nieuwe plastic plaat over het gat geplakt en worden de randjes netjes bijgewerkt. Na zijn ‘werkzaamheden’ verstopt de crimineel zich weer tot de winkel open gaat. Een aantal dagen later komt de dief weer terug om ’s nachts zijn apparatuur op te halen.
Herkenning
Winkeliers kunnen zien dat er met de betaalautomaten is geknoeid. De opgeplakte plastic plaat laat altijd naden achter, terwijl het plastic anders glad is en vlakken in elkaar overlopen. En mocht de camera ingebouwd zijn, dan zit er een klein gaatje (soms maar van een millimeter) op een plaats waar geen gaatje thuis hoort.
Update zaterdag 18 juli 11:20
De politie heeft het oorspronkelijke bericht van de website gehaald, hoewel die nog wel in de cache van Google is te vinden. Tevens ontving Security.nl een e-mail van Atos Origin, leverancier van de Xenta betaalautomaten. Volgens het bedrijf werd er inbreuk gemaakt op het merkenrecht én de goede naam en faam van de Banksys familie van betaalautomaten en dan met name de Xenta. Atos Origin verzocht Security.nl vervolgens "dringend" om alle verwijzingen naar het merk Xenta voor elf uur vanochtend te verwijderen.
Na contact met de politie Noord-Holland Noord te hebben opgenomen wordt de onvrede bij Atos duidelijk. Volgens politiewoordvoerder Menno Hartenberg is de aanval namelijk niet afhankelijk van het soort betaalautomaat. Bij één van de aanvallen ging het om een Xenta, maar ook andere automaten zijn op deze manier gemanipuleerd. De politie wilde met het bericht alleen de werkwijze van de skimmers belichten. Dat de naam van de betaalautomaat toch in het persbericht terecht is gekomen betreurt het. Daarom heeft het een tweede bericht verstuurd waarin de situatie wordt verduidelijkt. In het oorspronkelijke artikel is de passage dat het alleen om Xenta automaten gaat dan ook verwijderd.
Update maandag 20 juli 13:45
Volgens Atos Origin constateert het al enige tijd 'skimming' aanvallen. "Op de Nederlandse markt onderscheiden we twee methoden van aanvallen: de 'eenvoudige' methode waarbij een op- of voorzetstuk wordt gebruikt en een meer 'complexe' methode. De complexere methode kan alleen worden uitgevoerd als enkele uren (onbewaakt) toegang tot de terminal wordt verschaft. Deze laatste methode heeft een bijzonder lage kans van slagen en kan met enige alertheid vroegtijdig worden onderschept", aldus een woordvoerder.
Inmiddels heeft Atos een 'skimming' controlemiddel ontwikkeld die winkels gratis kunnen aanvragen. Daarnaast worden alle automaten van een "herkenbare veiligheidssticker" voorzien. De woordvoerder benadrukt het probleem dat de magneetstrip de zwakke plek van de betaalkaart is. "Dit betaalschema wordt in Nederland nog altijd gebruikt. Daarom hebben de banken in overleg met de bankbedrijven besloten dat ook in Nederland versneld wordt overgegaan op de veiligere chipkaart."
En bestrijden gebeurt pas na herkennen en erkennen, dus al zeker 9 maanden tot een jaar is deze manier in gebruik. Hoezo dan nu pas een nieuwsbericht (plus een "ALARM!" melding op het forum van een gebruiker (wat waarschijnlijk de aanleiding voor deze post is))?
Onder het toetsenbordje was een gevoelige touchplaat die de pincode registreerde en wegschreef. De insluiper hoeft alleen maar zijn gadget verstopt in de gemanipuleerde betaalautomaat op te halen waar zowel mag-stripe gegevens als pincode staan weg geschreven.
En als de banken al een oplossing willen, dan wil de handel dat niet: die zijn weer kapitalen kwijt aan het vervangen/ombouwen van apparatuur en licenties.
Ik zie dit de komende jaren niet opgelost worden. Totdat de handel zelf aansprakelijk wordt gesteld voor de schade die de klanten lopen als ze in de betreffende winkel geskimmed zijn.
Dan ben je van al het gedonder af.
En het magneetstrip systeem is hopeloos en slecht. Ga eens wat doen met een chip. En nog een opmerking over het plaatje wat erbij zat, je ziet toch meteen dat er mee geknoeid is.....
Helemaal mee eens! Hoewel ook een chip ongetwijfeld zijn zwakheden heeft, is een magneetstrip wel heel erg eenvoudig te kopieren. Inmiddels zitten op alle normale bankpassen een chip (natuurlijk moet de Postbank weer moeilijk doen), waarmee PIN-transacties kunnen worden uitgevoerd (denk maar aan het opladen van de ChipKnip).
Schaf af die magneetstrip, en snel!!
DiBy
door het promoten/verplicht stellen van pinnen in plaats van contant betalen.
IK zou zeggen, betaal contant, dat is al 500 jaar goed gegaan.
en de rest van de jaren ook.
Die bestaat niet meer en alle blauwe passen zijn vervangen door oranje met chip.
(die het waarschijnlijk in het buitenland niet doet.)
Lekker he?
Helemaal mee eens! Hoewel ook een chip ongetwijfeld zijn zwakheden heeft, is een magneetstrip wel heel erg eenvoudig te kopieren. Inmiddels zitten op alle normale bankpassen een chip (natuurlijk moet de Postbank weer moeilijk doen), waarmee PIN-transacties kunnen worden uitgevoerd (denk maar aan het opladen van de ChipKnip).
Schaf af die magneetstrip, en snel!!
DiBy
Nee ik vrees dat de massale invoering van een chip eerder tot gevolg zal hebben dat banken de schuld niet meer op zich nemen en de klant dus de dupe is. Net zo lang tot dat het weer dusdanig grootschalig gaat dat ze er niet onderuit kunnen.
Vergeet niet dat dergelijke chips per definitie met een tekort aan rekenkracht zitten en dat je onmogelijk in 1x alle chips/passen van een bepaalde reeks kunt vervangen, dus er zal altijd een overlap zijn waarin er massaal misbruik gemaakt zal worden.
De beste beveiliging is nog altijd door heel veel systemen te maken (uiteraard wel compatible), zodat de groep met zwakheden minimaal is en de impact per skim-actie dus minimaal is.
Maar goed, zolang beveiliging wel een prijskaartje heeft en uitstellen van beveiliging niet te berekenen is, ziet men dat laatste als 0 euro en dus goedkoper en blijven we dus met dit soort ongein zitten, wegens de goedkoopste oplossingen.
Banken snappen gewoonweg niet wat hun product is, dat is namelijk vertrouwen en toevallig komt daar geld bij kijken... en niet andersom.
En dat is nu echt het probleem. Zolang ueberhaupt iemand nog de magnetische stripe gebruikt, blijft skimming mogelijk.
Maar uiteindelijk is het echte probleem, dat de schade van het skimming nog niet hoog genoeg is. Zodra de schade / het verlies voor een bepaalde partij (bijv. de banken) hoog genoeg is, zorgen economische motieven wel voor de oplossing. Probleem voor ons is om te voorspellen wanneer dat het geval zal zijn.
Helemaal mee eens! Hoewel ook een chip ongetwijfeld zijn zwakheden heeft, is een magneetstrip wel heel erg eenvoudig te kopieren. Inmiddels zitten op alle normale bankpassen een chip (natuurlijk moet de Postbank weer moeilijk doen), waarmee PIN-transacties kunnen worden uitgevoerd (denk maar aan het opladen van de ChipKnip).
Schaf af die magneetstrip, en snel!!
DiBy
Nee ik vrees dat de massale invoering van een chip eerder tot gevolg zal hebben dat banken de schuld niet meer op zich nemen en de klant dus de dupe is. Net zo lang tot dat het weer dusdanig grootschalig gaat dat ze er niet onderuit kunnen.
Vergeet niet dat dergelijke chips per definitie met een tekort aan rekenkracht zitten en dat je onmogelijk in 1x alle chips/passen van een bepaalde reeks kunt vervangen, dus er zal altijd een overlap zijn waarin er massaal misbruik gemaakt zal worden.
De beste beveiliging is nog altijd door heel veel systemen te maken (uiteraard wel compatible), zodat de groep met zwakheden minimaal is en de impact per skim-actie dus minimaal is.
Maar goed, zolang beveiliging wel een prijskaartje heeft en uitstellen van beveiliging niet te berekenen is, ziet men dat laatste als 0 euro en dus goedkoper en blijven we dus met dit soort ongein zitten, wegens de goedkoopste oplossingen.
Banken snappen gewoonweg niet wat hun product is, dat is namelijk vertrouwen en toevallig komt daar geld bij kijken... en niet andersom.
Voor allen die het nog niet begrepen hebben; de elektronische weg van het betalingsverkeer is een doodlopende weg. De problemen zijn domweg niet op te lossen. Terugdraaien kunnen we het niet meer dus moeten we alle elektronische betalingen die niet strikt noodzakelijk zijn vermijden. Betalingen van bedragen onder de honderd Euro hoeven natuurlijk helemaal niet met "plastic geld" te worden betaald, al doen banken ons anders geloven. Maar wat we van de (elektronische) betrouwbaarheid van banken moeten geloven, weet inmiddels iedereen.
De vraag is dus: heb je liever een cleane, geweldloze beroving via manipulatie van het pin-systeem, of prefereer je een mes op je keel?
De politie? Die kan hoogstens zorgen dat het niet al te zeer uit de hand loopt. Meer politie? Weet wat je vraagt: hoe meer politie, hoe groter de kans dat het daar ook gaat rotten.
Voor allen die het nog niet begrepen hebben; de elektronische weg van het betalingsverkeer is een doodlopende weg. De problemen zijn domweg niet op te lossen. Terugdraaien kunnen we het niet meer dus moeten we alle elektronische betalingen die niet strikt noodzakelijk zijn vermijden. Betalingen van bedragen onder de honderd Euro hoeven natuurlijk helemaal niet met "plastic geld" te worden betaald, al doen banken ons anders geloven. Maar wat we van de (elektronische) betrouwbaarheid van banken moeten geloven, weet inmiddels iedereen.
Niet alleen banken, winkels schaffen geld ook maar al te graag af, voor het gemak en veiligheid van de winkel natuurlijk.
Vroeger werd je geld gerold, nu met al die nieuwe systemen ben je gelijk veel meer kwijt,... ideaal hoor.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.