Gepubliceerd: Zaterdag 18 oktober 2008
Sluwe skimmers hebben een nieuwe troef: ze manipuleren betaalautomaten reeds in de fabriek. Experts in de VS en Europa slaan steeds luider alarm. Vijf vragen over skimming.
Toon volledig artikel
Volgens mij klopt het niet dat de skimmers mee moeten kijken met camera of in persoon om achter de pincode te komen. Dat is oude informatie. Toen mijn pas vorig jaar geblokkeerd werd omdat hij mogelijk geskimd was, vertelde een medewerker van de bank mij dat de criminelen de pincode van de gekopieerde magneetstrip konden lezen.
criminelen de pincode van de gekopieerde magneetstrip konden lezen.
Dat is naar mijn mening onjuist. Je werkelijke pincode staat nergens geregistreerd.
Het zou ook niet logisch om de pincode in de pas op te slaan.
De pincode die wordt ingevoerd wordt m.b.v. een ingewikkeld en geheim algoritme gecheckt met gegevens die op de centrale computer staan, en daar zit zeer zeker geen pincode bij.
Of er nou wel een pincode op de pas staat of niet weet ik niet. De check gebeurt echter niet met gegevens op een centrale computer. Veel mensen hebben een betaalcalculator en die controleert de pincode. Een algortime zal gebruikt worden, maar ik heb nooit begrepen dat je dan kunt beweren dat de pincode dus niet op de kaart staat. Ben niet zo technisch, maar "verborgen"/"samen te stellen" in/met een algoritme of met encryptie of wat dan ook betekent m.i. nog steeds dat die op de kaart staat, alleen niet in die 4 cijfers die jij kent.
Ook met oude apparaatjes kun je ongelimiteerd de pincode uitproberen. Handmatig ben je wel ff zoet, maar kan me zo voorstellen dat het kraken er van of een toepassing die het automatiseert niet zo moeilijk is voor iemand met kennis.
Echter ik heb er de ballen verstand van (weet eigenlijk geeneens wat een algoritme is in detail), maar wat mij betreft is die bewering van banken dus een broodje aap en een poging tot security through obscurity (laat me nou maar lullen :-)
Pin passen hebben inderdaad niet de pincode rechtstreeks op de kaart staan. Niet op de magneetstrip en ook niet op de chip.
Veel pinpassen die worden gebruikt voor telebankieren hebben wel een hash (een afgeleide dus) van jouw pincode op de chip staan. Het is meestal niet meer mogelijk om die hash rechtstreeks uit te lezen en veel chips hebben ook brute-force preventie in de chip zelf zitten. Echter, met voldoende middelen is het vast mogelijk om de hash uit te lezen op de chip zelf. Het aantal combinaties voor de gemiddelde pin van 4 cijfers is nogal beperkt: 9999, dus het brute-forcen van die hash (als je het algoritme kent) is niet erg moeilijk.
Echter is dat allemaal veel te veel werk voor de gemiddelde skimmer, het vergaren van de pincode via een omweg is vele malen eenvoudiger en de pinpas zelf is er niet voor nodig.
Voor het controleren van de PIN heb je een key nodig en die zit niet in de kaartlezer, maar in chip op de kaart zelf. Die chip vernietigt zichzelf bij de derde foute PIN. Bruteforcen met alleen het pasje is uitgesloten. Zelfs het uit de pas slopen van de chip en 'm openetsen in een laboratorium gaat vaker fout dan goed. De chip zit vol met beveiligingen die dat soort fysieke aanvallen proberen te voorkomen.
Klopt. Als een pinapparaat "goed" geskimd wordt, worden zowel de informatie op de magneetstrip, als de door het slachtoffer ingetoetste pincode opgeslagen. De skim-bende haalt dan vervolgens het pinapparaat geregeld leeg, of in geavanceerder gevallen pusht het pinapparaat de info regelmatig naar het internet.
Je kan je wel laten insluiten, maar dan moet je ook het alarm zien uit te schakelen wat dan af gaat.
Je kan je wel laten insluiten, maar dan moet je ook het alarm zien uit te schakelen wat dan af gaat.
Ze laten zich niet alleen insluiten, ze komen ook vermomd als serviceorganisatie om zogenaamd een pin-apparaat onder het servicekontrakt om te wisselen. Weet zo'n wicht van 17 jaar bij de kassa veel waar het over gaat. Ze halen vooraf een truukje uit waardoor het betreffende pin-apparaat het idd niet meer doet, dus het lijkt dan helemaal logisch dat er een servicekarretje voor komt rijden.
Ik vraag mij nog steeds een aantal zaken af:
tegenwoordig pinnen de meeste mensen bijna iedere dag wel 1 keer of vaker.
Er is dus een bepaald patroon te zien. Politie en dergelijke instanties kunnen zelfs deze info gebruiken om te zien waar (de gebruiker) van een pinpas is geweest (denk aan alibi's en zo). Als je dus een patroon hebt van verscheidene dagen (of zelf weken) dat je in een straal van zeg 100-150km al je uitgaven doet, hoe kan het dan dat die skimmers of handlangers, ineens in het buitenland meerdere keren geld kunnen opnemen? Het systeem zou toch op een of andere manier moeten kunnen constateren dat een pas (die met iemand meereist) een bepaalde maximale snelheid niet kan overschrijden. Als ik naar Madrid vlieg en daar dan geld pin kan ik niet een uur later weer in de supermarkt in Almere mijn boodschappen ook betalen. Nu is het natuurlijk wel zo, dat in het buitenland je meerdere keren per dag geld kunt opnemen, terwijl je hier in Nederland maar 1 keer per dag bij een andere dan je huisbank geld kunt opnemen. Misschien dat er daarom naar het buitenland wordt uitgeweken?
Wat ik mij ook afvraag is: van wie wordt er geld afgeschreven? Niet iedereen heeft 1000den euro's op zijn betaalrekening staan. De meeste mensen hebben daar minder dan hun (netto) maandsalaris op staan, toch? Is daar een patroon in te zien? Hebben de skimmers soms ook inzage in saldo's van rekeningen, anders dan het kunnen opvragen van je saldo bij en betaalautomaat. (werkt dat ook in het buitenland?).
Volgens mij is het dan ook best mogelijk om jezelf tegen deze praktijken te beschermen door een extra rekening. Tegenwoordig met online banking, kun je makkelijk bijvoorbeeld iedere week geld overmaken naar je rekening met pinpas, zodat er nooit meer dan het (week) saldo kan worden gestolen. Zorg er dan ook voor, dat je niet rood kunt staan op de rekening met de pinpas.
Overigens, als blijkt dat je het slachtoffer bent geworden van skimming, krijg je, uiteindelijk, wel je geld vergoed, omdat de banken niet in staat zijn gebleken netjes op jouw centjes te passen als een goed huisvader, zal ik maar zeggen.
Politie en dergelijke instanties kunnen zelfs deze info gebruiken om te zien waar (de gebruiker) van een pinpas is geweest (denk aan alibi's en zo)
Dat wordt, vooral bij de kredietkaart firma's, al jaren gedaan. Maar gezien de miljoenen transacties op een dag, heb je een computer nodig om zoiets te vinden. Elke "verdachte" transactie die de centrale computers opmerken, moeten wel steeds door mensen goed gecontroleerd moeten worden, waardoor men vaak te laat is. En de crimineel weet dit principe ook. En men gaat natuurlijk niet onmiddelijk vers gejatte pin info gebruiken - dat valt super goed op. Het zou me niet eens verbazen als de skimmers hun data nalopen of bepaalde passen meerdere keren voorkomen om te achterhalen op welke tijden de individuele pas gebruikt wordt.
Maar wie stelt de consument schadeloos?
De banken gaan toch nu ons niet wijs maken we onze geld niet terug krijgen? hun horen namelijk een 100% veilig systeem te hebben.
Eeuwig gezeik .... tjonge tjonge ...
Dit is toch een forum voor discussies en geen kinderachtig zielig gedrag vertoon?
Welke sukkel gaat nou doel gericht minnen?
Omdat iemand een Apple gebruikt zeker en XP een verrot OS vind .... lekker onvolwassen gedrag hier dan
Wie zegt dat jij gemint wordt vanwege andere meningen welke niet in verband staan met dit topic? Dat is een aanname van jouw kant.
Het is nou eenmaal inherent aan het moderatie systeem dat men anoniem anderen kan +en en -en. Je moet er niet teveel waarde aan hechten.
Ook heeft Tom Sanders onderzoek gedaan om te kijken of sommigen bepaalde anderen structureel minnen geven. Dat was niet het geval. Hij kondigde ook aan dit onderzoek steeksproefgewijs te herhalen.
Ik had je geen min gegeven. Pas toen je over moderatie begon te zeiken. Want dat gezeik is nutteloos.
Dat is overduidelijk want men mint hier zonder inhoud te lezen.
Want ik kan je nu al zeggen of ik positief of negatief over Vista ben ik word er op gemind.
Dat heb ik al zovaak gezien hier.
hun horen namelijk een 100% veilig systeem te hebben.
Volgens mij krijg je minnetjes wegens je kromme taalgebruik. Waar heb je nederlands geleerd?
Ga je daar over zeuren?
We kunnen ook andere kennis en bekwaamheden erbij gaan betrekken ... dat misschien de een beter in taal is geen reden om te minnen.
Trouwens ga ik hier niet zielig zitten miereneuken op taalfouten het staat er vol van zelfs in de artikelen.
Ik hou me daar wel mee bezig op mijn werk.
Misschien omdat je zegt dat banken een 100% veilig systeem moeten hebben. Dat is een utopie. Dus wordt je gemind denk ik. Hoe je dan vervolgens op Apple en MS terecht komt is mij een raadsel maar wel ongeloofelijk overbodig.
Banken stellen slachtoffers doorgaands 100% schadeloos, daartoe zullen ze wettelijk ook verplicht zijn.
Zie ook: http://www.haarlemsdagblad.nl/nieuws/regionaal/haarlemeo/article3934361.ece/Skimmers_slaan_grote_slag_in_NS
Ja maar geen inhoudelijk argumenten kan je geven die betrekking tot ICT heeft en het onderwerp.
Ben je nou echt 48? of ga je persoonlijk worden omdat je zelf er geen kennis van hebt?
1. Wat is skimming precies?
De benaming wordt gebruikt voor fraude met pinpas- en geldautomaten.
Vervolgens:
Bij skimming wordt gebruik gemaakt van een apparaat dat de magnetische strip op de pas kan lezen en kopiëren.
Fout; dat is een vorm van skimming. Een populaire vorm. Dat blijkt ook uit de rest van het artikel waar andere voorbeelden ter sprake komen.
maar de bedragen die ermee zijn gemoeid vallen mee als je het afzet tegen het totale bedrag aan pinpastransacties
Dat zegt meer over het blikveld van justitie dan over de werkelijke schade. Justitie maakt zich blijkbaar vooral bezorgd over de schade voor de banken, misschien terecht omdat die de geskimde bedragen vergoeden.
Maar als je de geskimde bedragen afzet tegen de gemiddeld gepinde bedragen van de consumenten krijg je een ander verhaal. Een consument kan ernstig in de problemen komen door de gestolen bedragen, moet veel moeite doen om de bedragen terug te krijgen en krijgt gemaakte kosten niet terug.
Wellicht een wat late reactie. Maar ik heb volgende info en eigen bevindingen verzameld:
http://www.veiligbankieren.nl/index.php?p=16696#PINcode_op_magneetstrip
Vraag : Staat mijn PINcode op de magneetstrip van mijn PINpas?
Antwoord: Nee, uw PINpas is voorzien van een magneetstrip, maar daarop staat geen PINcode.
Een magneetstrip kan worden gekopieerd, maar daarmee kan uw PINcode niet worden achterhaald.
Zonder de PINcode kan niemand gebruik maken van toepassingen waarbij de PINcode nodig is, zoals bijvoorbeeld geld- en betaalautomaten.
http://www.veiligbankieren.nl/index.php?p=17160#Wat_de_banken_doen
Stelling: PINcodes worden ook niet opgeslagen in een database bij de bank. Uw PINcode is dus bij niemand anders dan uzelf bekend.
Deze twee zaken zijn strijdig met elkaar. Als mijn pincode niet op mijn pasje staat en ook niet in een database bij de bank, hoe kan dan mijn pincode worden gecontroleerd door een automaat?
Ik zelf denk (wet het bijna zeker) dat de pincode WEL op de pinpas staat. Neem namelijk volgende situatie:
De Rabobank heeft de zgn RandomReader. Dit is een (NIET persoon/rekening gebonden) rekenmachine die toegang codes genereerd voor Rabo internet bankieren.
Om deze rekenmachine te activeren is de bankpas nodig en de pincode die bij die betreffende pas hoort.
Echter... deze rekenmachine heeft op geen enkele wijze contact met de centrale systemen van de rabo. Ook niet via internet oid.
Toch moet er gebruik worden gemaakt van de pincode die bij de pas hoort. Dat kan dus alleen wanneer de pincode op de pinpas zelf aanwezig is.
Ok.. de pincode zal versleuteld op de kaart staan, maar staat dus wel degelijk op de kaart zelf!
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
