magazine voor computer techniek - F&L Publications
magazine voor computer techniek - F&L Publications
magazine voor computer techniek - F&L Publications
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>magazine</strong> <strong>voor</strong><br />
<strong>computer</strong><br />
<strong>techniek</strong><br />
FeiteN<br />
Waarom c’t<br />
• Het dat zich inhoudelijk bezighoudt<br />
met de nieuwste technologische<br />
ontwikkelingen op <strong>computer</strong>gebied<br />
• artikelen worden geschreven op een<br />
toon die webdesigners aanspreekt en<br />
<strong>voor</strong> hen begrijpelijk is<br />
• diepgaande achtergrondartikelen en<br />
showcases waar designers hun eigen<br />
werk kunnen laten zien<br />
• gemaakt door een ervaren en<br />
enthousiast team dat weet waar ze het<br />
over heeft<br />
home<br />
• Hippe gadgets en lifestyle-artikelen, het<br />
leven moet tenslotte ook leuk zijn<br />
• Bereidheid om te luisteren naar de<br />
ideeën, behoeftes en wensen van het<br />
lezerspubliek<br />
• Het enige high-end<br />
<strong>computer</strong><strong>magazine</strong> in Nederland<br />
www.ct.nl<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
veral waar je een pinpas gebruikt, is<br />
het tegenwoordig uitkijken geblazen.<br />
Voor je het weet, heeft iemand de ge-<br />
gevens van je pinpas buitgemaakt en valt het<br />
geld op je bankrekening ten prooi aan dieven.<br />
De laatste maanden stonden de kranten vol<br />
van gevallen van ‘skimming’, zoals deze vorm<br />
van pinpasfraude heet. In Nederland sloegen<br />
skimmers dit jaar een keer of tien toe, schat<br />
Currence grofweg bij monde van woordvoerder<br />
Bob Goulooze. Currence heeft geen recentere<br />
officiële cijfers dan 2005, toen er volgens<br />
hen <strong>voor</strong> 3,7 miljoen euro met pinpassen werd<br />
gefraudeerd (tegen 4,9 en 5,5 miljoen de jaren<br />
daar<strong>voor</strong> [1]), maar onze suggestie dat het<br />
verschijnsel sindsdien weer vaker <strong>voor</strong>komt<br />
noemt hij “niet geheel onterecht”. Op een<br />
totaal van 1,5 miljard transacties lijkt het niets,<br />
maar Recherchebureau Ultrascan noemt<br />
extreme bedragen: in een artikel van de krant<br />
De Morgen beraamt het de jaarlijkse schade<br />
door skimming op zo’n 600 miljoen euro.<br />
Als klant merk je niet dat je geskimd bent.<br />
Je denkt dat je ‘gewoon’ ergens betaald hebt<br />
of geld opgenomen hebt en je hebt je pinpas<br />
nog. De misdaad komt pas weken later<br />
aan het licht, als blijkt dat criminelen in Parijs<br />
je rekening hebben leeggehaald met een<br />
kopie van je pinpas. De banken onderkennen<br />
het probleem en vergoedden tot nu toe<br />
de schade van alle slachtoffers, maar er is tot<br />
nu toe nog geen oplossing.<br />
<br />
De daders, die opvallend vaak uit Roemenië<br />
en Bulgarije komen, opereren in bendes en<br />
zijn in zowel Nederland als Duitsland actief.<br />
Bij bankautomaten werkt de truc als volgt: op<br />
een onbewaakt ogenblik monteert een handige<br />
jongen een extra mini-EC-kaartlezer op<br />
de geldautomaat. Deze leest informatie van<br />
de magneetstrip op je bankpas. Bij geldautomaten<br />
wordt die mini-lezer gewoon met dub-<br />
belzijdig plakband van buitenaf bevestigd op<br />
de invoersleuf van de geldautomaten (zie de<br />
foto’s). Voor een ongeoefend oog is het ding<br />
nauwelijks te herkennen, omdat zowel de<br />
vorm als de kleur doorgaans keurig passen bij<br />
de geldautomaat. Soms plaatsen bendes zelfs<br />
een compleet nieuwe staalplaat op een pinautomaat,<br />
met daarachter een eigen elektrische<br />
schakeling met een microcontroller. De gelezen<br />
pasgegevens worden opgeslagen en na<br />
het ontmantelen van de hele installatie, doorgaans<br />
slechts enkele uren later, gekopieerd<br />
naar een pc. Soms wordt de informatie zelfs<br />
draadloos naar de criminelen gestreamd, die<br />
relaxed met een kopje koffie in een dichtbij<br />
geparkeerde auto zitten te wachten.<br />
Omdat er onder andere in Rome nog pinautomaten<br />
in gebruik zijn waarbij geen pincode<br />
nodig is om geld op te nemen, is het skimmen<br />
(Engels <strong>voor</strong> ‘afschuimen’) van de magneetstrip<br />
op de pinpas in principe voldoende om<br />
iemands bankrekening leeg te kunnen roven.<br />
Maar minder reislustige skimmers hebben<br />
geen enkel probleem met ingrijpendere tegenmaatregelen.<br />
Bulgaarse skimmers gebrui-<br />
ken een goed verborgen camera die door een<br />
gaatje op het toetsenbord loert. De opnames<br />
worden op een flash-chip bewaard. Meestal<br />
zit deze camera bovenin de automaat, tussen<br />
wat stickers die de aandacht moeten afleiden,<br />
of onderin een ogenschijnlijk onbeduidend<br />
bakje folders. Roemeense skimmers bevestigen<br />
een dun namaaktoetsenbord bovenop<br />
het bestaande. Daarmee worden alle toetsaanslagen<br />
gelogd en doorgestuurd.<br />
Om er<strong>voor</strong> te zorgen dat de skimmingmodules<br />
niet opvallen, worden ze op maat<br />
gemaakt <strong>voor</strong> bepaalde bankautomaten,<br />
zoals de Wincor-Nixdorf ProCash 2050 en<br />
enkele apparaten van NCR. Sinds 2005 hebben<br />
de Nederlandse banken op veel pinautomaten<br />
<strong>voor</strong>zetmondjes geplaatst, zodat<br />
het beduidend moeilijker is <strong>voor</strong> skimmers<br />
om daar weer een onopvallende eigen lezer<br />
op te monteren. In dat jaar daalde de hoeveelheid<br />
fraude dan ook flink. Volgens de<br />
Nederlandse Vereniging van Banken [2] is het<br />
aantal gevallen van skimming op bankautomaten<br />
sinds het derde kwartaal van 2007<br />
zelfs “vrijwel nihil, mede door het opvoeren<br />
44 c’t 2008, Nr. 0102<br />
van de beveiliging”. In Duitsland (waar de<br />
foto’s bij dit artikel gemaakt zijn) en België zijn<br />
die <strong>voor</strong>zetmondjes nog geen gemeengoed.<br />
<br />
Het skimmen van pinpassen gebeurt al sinds<br />
circa 2002, maar in Nederland is het de afgelopen<br />
twee jaar naar een geraffineerd niveau<br />
geëvolueerd. De criminelen richten zich niet<br />
meer op geldautomaten, maar op de betaalautomaten<br />
in doodnormale winkels. Het<br />
komt <strong>voor</strong> dat een medewerker je om je pas<br />
vraagt en deze vervolgens door twee kaartlezers<br />
haalt, een normale en een tweede die<br />
de gegevens bewaart om een kopie te kunnen<br />
maken. Het kan nog brutaler: soms wordt<br />
klanten gevraagd om zelf hun PIN twee keer<br />
in te toetsen, de tweede keer echter op het<br />
skimming-apparaat. Niet veel mensen zullen<br />
dat weigeren.<br />
Meestal hebben de consument en de verkoper<br />
niet in de gaten dat er geknoeid is met<br />
een bestaande PIN-betaalterminal (algemener<br />
heet deze ook wel point-of-sale-terminal<br />
of POS-terminal). De afgelopen maanden<br />
werden op allerlei plaatsen gehackte POSterminals<br />
aangetroffen; bij winkelketens<br />
zoals de Praxis, de Xenos en de Intratuin,<br />
bij wegrestaurants en bioscopen. In al deze<br />
gevallen was er in de filialen ingebroken en<br />
hadden de inbrekers de originele EC-kaartlezers<br />
bij de kassa’s <strong>voor</strong>zien van extra modu-<br />
les die alle ingetoetste gegevens bewaarden.<br />
Zelfs kaartjesautomaten van de Nederlandse<br />
Spoorwegen werden <strong>voor</strong> dit doel gemanipuleerd.<br />
Om een indruk te geven: in een<br />
geval was zo’n POS-terminal vier weken in<br />
gebruik, werden er gegevens van 560 kaarten<br />
op bewaard en bedroeg de totale schade<br />
850.000 euro.<br />
ctNL080102_044046_skim_ok.indd 44 03-12-2007 14:26:52 ctNL080102_044046_skim_ok.indd 45 03-12-2007 14:27:02<br />
c’t lezerSpubliek<br />
• Mannen en vrouwen tussen de 18 en 35 jaar met een<br />
interesse in ontwerpen<br />
• Professionals of geavanceerde hobbyisten/studenten<br />
• Continu op het web, eigen breedbandverbinding<br />
• Bekend met HTML, Flash, Photoshop, CSS etc.<br />
• Ervaren <strong>computer</strong>gebruikers met een eigen Mac of pc<br />
• Behalve <strong>computer</strong>s ook geïnteresseerd in andere vormen<br />
van <strong>techniek</strong><br />
• Zijn bereid om hun kennis uit te breiden naar alle aspecten<br />
van web en nieuwe media<br />
Bron: LKA Niedersachsen<br />
c’t 2008, Nr. 0102<br />
De klanten ontdekten weken later spookopnames<br />
op hun rekeningoverzicht en namen<br />
contact op met hun banken. Die vroegen<br />
vervolgens verdere informatie aan bij Equens,<br />
dat een groot deel van het Nederlandse betalingsverkeer<br />
bewaakt met een zogenaamde<br />
‘neurale <strong>computer</strong>’. Equens kan nuttige informatie<br />
afleiden uit het tijdsbestek waarin<br />
en de locatie waar geldopnames hebben<br />
plaatsgevonden. In enkele gevallen kan zelfs<br />
besloten worden om passen preventief te<br />
blokkeren en soms gaat Equens in samenwerking<br />
met Justitie of het Openbaar Ministerie<br />
tot een onderzoek over. Nadat het <strong>voor</strong> de<br />
banken duidelijk was dat het fraude betrof,<br />
kregen de gedupeerde klanten hun gestolen<br />
geld vergoed. Ze kregen een nieuwe pas en<br />
de banken draaiden <strong>voor</strong> de schade op.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Tot nu toe pakken banken skimming aan met<br />
ad-hocmaatregelen, zoals <strong>voor</strong>zetmondjes en<br />
camerabewaking bij automaten. In augustus<br />
besloot PIN-autoriteit Currence dat een veelgebruikte<br />
fraudegevoelige betaal terminal, de<br />
Hypercom HFT 201 (PS201), vanaf juli 2008<br />
niet meer mag worden gebruikt. Woordvoerder<br />
Goulooze noemt de PS201, die al begin<br />
jaren ‘90 is ontwikkeld, “de Windows 95 onder<br />
de POS-terminals”. Het is de taak van Currence<br />
om dit soort terminals te certificeren en de<br />
certificaten <strong>voor</strong>taan nog maar vijf keer jaarlijks<br />
te verlengen. Het certificaat van de PS201<br />
is op deze manier dus <strong>voor</strong>tijdig niet verlengd.<br />
Goulooze noemt deze noodmaatregel<br />
“afdoende” en hij roept ondernemers op het<br />
apparaat zo snel mogelijk te vervangen. “Ze<br />
riskeren enorme imagoschade, dat hebben<br />
<br />
<br />
<br />
<br />
c’t Brains ‘n Bytes<br />
45<br />
Bron: LKA Bayern