Unieke foto's van skimapparaat op NS-stations
Deze week werd bekend dat het aantal gevallen van pinpasfraude op NS-stations explosief is gestegen, maar hoe gaan de skimmers nu precies te werk en hoe ziet de apparatuur eruit die ze gebruiken? Dankzij een oplettende reiziger beschikken we nu over gedetailleerde foto's. Paul Wiegmans ontdekte op net NS-stations te Alkmaar dat het zilverkleurige deel van de paslezer iets anders van structuur was en zag in de gleuf ook een stukje van een leeskop die te prominent aanwezig was. Uiteindelijk wist hij het apparaat los te maken en waarschuwde zowel de NS als politie, waar hij het apparaat naar toe bracht. Eerst maakte hij de nodige foto's.
Het apparaat was voorzien van een USB-filmcamera, die via een NiMH-accu uit een Nokia mobiele telefoon gevoed werd. De camera bevat 2 GB opslagruimte en maakt filmpjes in 3GPP formaat met een dusdanige lage resolutie dat er 1 MB / minuut video wordt opgeslagen. In totaal kunnen de pinpasfraudeurs 32 uur video opnemen. Voor het kopiëren van de magneetstrip gebruikt men een magnetische leeskop.
Eenvoudig doelwit
Volgens Wiegmans doet de NS te weinig tegen het skimmen. "De maatregelen die de NS claimt te hebben genomen zijn niet zichtbaar. Dit geeft mij als frequent treinreiziger weinig vertrouwen. De kaartjesautomaten van de NS zijn een makkelijk doelwit omdat het zo makkelijk is voor skimmers en criminelen om hier pinpassen en pincodes buit te maken."
Viltstift
Wiegmans adviseert reizigers om hun pincode af te schermen, maar geeft toe dat dit in het geval van een geïnstalleerde keylogger geen zin heeft. Wat wel helpt is om een merkteken aan te brengen op elke automaat waar je komt. Door een eigen teken met viltstift op de machine te zetten, kan je zien als de automaat is gemanipuleerd. Meer foto's zijn op deze pagina te bekijken.
nu de bende nog betrappen..
Bekladden? Vandalisme? En hoe zou dat moeten beschermen dan?
En wat doe je bij een nieuwe automaat, wie zet het eerste merkteken dan?
Wat mij verder opvalt in de hele discussie is dat mijn idee om geldautomaten vooraf te autoriseren (waardoor skimming zinloos wordt) nog geen response van de banken heeft opgeleverd.
Volgens mijn idee is elke geldautomaat afgesloten, totdat iemand via een beveiligde internetverbinding met zijn bankgegevens (PIN-code e.d.), de automaat autoriseert voor een geldopname. Inloggen doe je via je bank-site. Vooraf autoriseren doe je dan door de specifieke geldautomaat, datum en tijd aan te geven waarop je het geld wilt opnemen. Aangezien skimmers met geskimde passen niet vooraf weten welke automaten dit zijn, is het leegplunderen zinloos geworden. Na afloop van de transactie wordt de geldautomaat weer op slot gedaan. Via het internationaal netwerk van geldautomaten is het dan niet meer mogelijk om met geskimde passen geld van de rekening van een slachtoffer af te halen. De automaat moet immers vooraf geautoriseerd worden.
(...)
[/quote]Als men al niet de zin/moeite wil nemen een dergelijk apparaat te herkennen, hoe wil je dan in hemelsnaam al deze luitjes deze handeling uit laten voeren. Alsof je van te voren weet waar je bent of waar je naartoe wilt en dus in de gelegenheid bent je automaatje op tijd te autoriseren. Niet iedereen heeft een even strakke agenda.
Neemt niet weg dat je idee er tenminste eentje is en misschien wel uitvoerbaar in de toekomst. Maar toch....
Nu wil ik spontaan van A'dam Centraal naar de Bijlmer. En wil echt niet eerst moeten internetten via het zo vertrouwbare internet om deze 'juiste' automaat te autoriseren. Daarbij komt welke van de tig automaten op Centraal? En dat duurt lang en is lastig etc. Daarbij moet ik dus voortaan opzoek naar internet terwijl ik net uit de kroeg kom en het station om de hoek is (en bovenal er echt niet toe in staat ben om de juiste automaat te autoriseren).
Ja, bijna iedereen heeft internet op zijn mobiel maar lang (nog) niet iedereen.(daarom de toekomst muziek)
Toch?
TOCH?!
volgende keer niet verwijderen, maar gaan posten bij het bewuste automaat? 32 uur maximaal, en weer zo'n figuur van de straat af, als je er maar genoeg oppakt pak je ook wel vanzelf 1 die meer weet...
maar dit soort praktijken zal mogelijk blijven zolang het mogelijk blijft om in bepaalde landen zonder pincode een pinpas te kunnen gebruiken voor de kleine bedragen, let bijvoorbeeld maar eens op, de mensen die de pineut zijn en geld afgeschreven word, in hoeveel gevallen dat geld in frankrijk afgeschreven is, er is een reden waarom men dit zo graag in frankrijk wil doen, slechte controle? andere manier van indentificatie? er is een reden waarom ze zo graag naar frankrijk gaan voor deze praktijken...
het idee van de pinpas is in principe niet eens zo slecht, maar ik zie het een beetje hetzelfde als met de ov-chipkaart, er is geen belangstelling om het nog beter te maken, en voornamelijk om de reden dat ze dat veel geld gaat kosten, alles aangepast moet worden enz word er dus doorgegaan met een systeem wat al flink achterhaalt is.
het feit dat het dus doodsimpel is om zo'n kaart te kopieren zonder dat de automaat dit ziet (zga elke cdspeler kan toch ook het verschil tussen geperst en gebrand zien, of R en RW) is al bedenkelijk, als andere landen het dan ook nog mogelijk maken zonder pincode geld op te nemen dan zou je bijna kunnen zeggen dat de beveiliging dus niks beter is dan bv die ov-chipkaart, al moet je er net even wat meer moeite voor doen door de grens even over te gaan...
Ze gebruiken namelijk een IR-lichtbron om de film-opnamen mogelijk te maken.
Een camera in een GSM kan ook gewoon IR licht zien.
Richt dus je GSM op het apparaat en je ziet heel mooi een blauw/paarsig licht waar dat niet hoort en waar je het met het blote oog niet ziet.
Test het simpelweg door met je GSM-camera eens te kijken naar het lampje van je afstandsbediening en druk op wat knoppen, dan weet je hoe het eruit ziet en of je camera geschikt is om IR mee op te nemen. De meeste camera's hebben een IR-filter ervoor zitten, maar IR-LED's vallen vrijwel allemaal wel op.
@"Gisteren,13:49 door Anoniem": dat is onwaarschijnlijk. Natuurlijk zal niet de criminele baas zelf langs komen, maar zelfs iemand met een laag IQ kan weten dat het niet in de haak is, dat moet een medeplichtige zijn.
Wat interessant is hier, is het gebruik van onderdelen die mogelijk serienummers bevatten. Daarmee kan worden achterhaald waar en mogelijk ook wie de apparatuur gekocht heeft.
Volgens mijn idee wordt elke geldautomaat afgesloten (afgesloten tenzij), totdat iemand via een beveiligde internetverbinding met zijn bankgegevens (PIN-code e.d.), de automaat autoriseert voor een geldopname. Inloggen doe je via je bank-site. Vooraf autoriseren doe je dan door de specifieke geldautomaat, datum en tijd aan te geven waarop je het geld wilt opnemen. Aangezien skimmers met geskimde passen niet vooraf weten welke automaten dit zijn, is het leegplunderen zinloos geworden. Na afloop van de transactie wordt de geldautomaat weer op slot gedaan. Via het internationaal netwerk van geldautomaten is het dan niet meer mogelijk om met geskimde passen geld van de rekening van een slachtoffer af te halen. De automaat moet immers vooraf geautoriseerd worden.
Ik vraag mij zo langzamerhand af waarom de Banken die ik heb aangeschreven nog steeds niet op mijn plan hebben gereageerd.
Leuk plan, maar denk niet dat het werkt. Als ik jou verhaal goed begrijp moet je dan elke keer als je wil pinnen eerst aangeven via internet waar je wil gaan pinnen en dan die pinautomaat autoriseren. Dit wil zeggen dat ik nooit, even snel, kan pinnen... wat ik toch het meeste doe.. Denk dat het in de praktijk niet echt haalbaar is.... Ook denk ik dat je er nog steeds rekening mee moet houden dat sommige mensen niet eens over internet beschikken, bijvoorbeeld mijn oma, en die wil ook graag pinnen :-)
Leuk plan, maar denk niet dat het werkt. Als ik jou verhaal goed begrijp moet je dan elke keer als je wil pinnen eerst aangeven via internet waar je wil gaan pinnen en dan die pinautomaat autoriseren. Dit wil zeggen dat ik nooit, even snel, kan pinnen... wat ik toch het meeste doe.. Denk dat het in de praktijk niet echt haalbaar is.... Ook denk ik dat je er nog steeds rekening mee moet houden dat sommige mensen niet eens over internet beschikken, bijvoorbeeld mijn oma, en die wil ook graag pinnen :-)
Heeft je oma dan geen iPhone?
Lekker 15 minuten moeten zoeken voordat je weet waar je ergens een kaartje voor cash geld of creditkaart kan kopen. (was in een winkeltje waar ze snoep verkopen - nergens aangeven dat je daar kaartjes kan kopen, zelfs niet in het Nederlands).
Laten ze eens een behoorlijke machine neerzetten die naast een pin-pas ook gewoon credit cards accepteerd (net als ieder zichzelf respecterende parkeerautomaat) en eventueel betalen per GSM zodat er de nodige keuze is.
Daarnaast ook even nadenken hoe je zoiets een beetje skim-bestendig maakt is wel zo lekker.
Of dit nu perse via lichtsensoren moet weet ik niet.. maar het biedt wel een vorm van beveiliging.
Alhoewel de allerbeste beveiliging is natuurlijk JE HAND AFSCHERMEN..
Gewoon met de portemonnee de hand afschermen...
Dit werkt in ieder geval tegen skimming met een camera..
Aro
Ik zie niet in wat dat gaat helpen.
Zo denk ik er ook over. Het was misschien ook slim geweest om het skimapparaat over te dragen aan de Politie. Nu heeft hij zelf bijdehand lopen doen en zijn er heel veel sporen verloren gegaan. Trouwens hij beschikt nu over de pincodes en pasgegevens van klanten. Hoezo, klagen over de NS?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.