donderdag 22 mei 2008

Per pin getild door een fantoom

Marieke Rijsbergen stond het avondeten te koken toen ze een half jaar geleden werd gebeld door de ABN Amro met de boodschap dat ze het slachtoffer was van skimming, of pinpasfraude. De betaalautomaat van de Xenos in Utrecht, waar ze een paar dagen eerder had gewinkeld, was gesaboteerd. In Duitsland en Italië hadden de dieven 1500 euro van haar rekening gepind.

Skimming is een groeiend probleem. Maar de precieze omvang van de schade houden de banken geheim. In een strafzaak tegen vier Roemeense skimmers onthulde justitie vorige maand dat de schade in Nederland vorig jaar 15 miljoen was. In het eerste kwartaal van dit jaar was de schade al 4 miljoen. Toch is dat op het totale aantal transacties peanuts: nog geen tiende procent, schat Frank Engelsman van Ultrascan, een bureau dat onderzoek doet naar o.a. pinpasfraude.

Spieken
Hoe werkt skimming? Criminelen plaatsen op de pasgleuf van de pinautomaat een voorzetmond die de magneetstrip, waar de pasgegevens op staan, uitleest. Met een cameraatje spieken ze de pincode. Vervolgens wordt de voorzetmond weer verwijderd, uitgelezen en namaakpasjes gemaakt. Tenslotte gaan de boeven in het buitenland proletarisch pinnen.

Sinds vorig jaar steekt een andere variant de kop op. Criminelen breken in bij winkels en brengen op de betaalautomaten een apparaatje aan dat de magneetstripgegevens en de pincode onderschept. Later wordt het apparaatje opgehaald of op afstand uitgelezen en slaan de dieven toe.

Nepkoeriers
Een nieuwe techniek is de handmachine. Nepkoeriers komen aan de deur met een mobiel pinapparaat. Engelsman voorziet dat de handmachine deze zomer op de stranden gaat opduiken. ‘Ik verwacht dat bendes horecapersoneel gaan werven. Dat gebeurt al in het buitenland.’

Een andere nieuwe truc is de sniffer. Betaalautomaten in winkels zijn vaak aangesloten op een centrale computer waarlangs het pinverkeer loopt. De sniffer is spyware in de computer die alle betaalgegevens onderschept en doorstuurt aan criminelen.

Om skimming te voorkomen, tonen displays op de pinautomaten een afbeelding van de pasgleuf. Wijkt de invoermond af van het plaatje, dan is er mogelijk met de automaat gesjoemeld. ABN Amro heeft zijn invoermonden voorzien van een hologram die de echtheid te garandeert. Banken roepen klanten op om hun pincode af te schermen bij het intikken een kredietlimiet van 500 euro in te stellen. Wat betreft de betaalautomaten moeten fraudegevoelige modellen als de HFT201 eind juni uit de winkels verdwenen zijn. De banken vergoeden aan hun klanten de schade van de pinpasfraude.

EMV-chip
De pinpas zou beter beveiligd kunnen worden met een EMV-chip. Die is moeilijker te kraken dan de magneetstrip. In andere Europese landen zijn de passen al voorzien van de EMV-chip, in Nederland pas in 2010. Bob Goulooze van Currence, de organisatie die het betalingsverkeer regelt, geeft toe dat Nederland daardoor aantrekkelijker is voor pinpasfraudeurs.

Het is een ingecalculeerd risico, legt Gijs Boudewijn van de Nederlandse Vereniging van Banken (NVB) uit. ‘Zo’n 10 jaar geleden is door Europay, Mastercard en Visa (EMV) besloten om wereldwijd over te stappen op chipbeveiliging. Toen begon een ingewikkeld traject waarin onderzocht werd wat voor chip dat moest worden, en dan moesten alle automaten en pasjes aangepast worden. Dat is nogal wat. Wij hebben bewust de ontwikkeling afgewacht, omdat er in Nederland bijna geen fraude was en is. Je maakt dan een afweging van hoeveel fraude kost en hoeveel extra beveiliging. Die financiële prikkel was er in Nederland veel minder.’

Een andere vertragende factor is een afspraak die Currence rond de invoering van de euro heeft gemaakt met het Platform Detailhandel. De automaten waren toen net allemaal aangepast aan de euro, en dan zouden ze weer vervangen moeten worden voor de chip. De Detailhandel eiste een gegarandeerde levensduur van betaalautomaten, om niet steeds aanpassingen te moeten doen. De laatste oude automaten moeten in 2013 verdwenen zijn.

Ver weg
Dat is nog ver weg, geeft Goulooze toe. ‘Als de fraude te veel wordt moeten er uiteraard snellere stappen genomen worden.’

Overigens is de EMV-chip ook niet waterdicht. Onderzoekers van de Cambridge University wisten de chip in 2006 al te kraken. ‘Honderd procent veiligheid bestaat niet’, stelt Boudewijn. ‘Je wilt ook een chip die bruikbaar is en voor de klant niet te duur. Maar als je zo’n chip in de markt zet, moet je al bezig zijn met de opvolger.’

Terug naar Marieke. De banken vergoeden de schade, dus ze had haar geld snel terug. Maar ze hield er wel een ‘naar gevoel’ aan over.

Dit artikel verscheen eerder in Dagblad De Pers.

Geen opmerkingen:

Een reactie posten