De criminaliteit gericht op pin-automaten neemt een enorme vlucht, stellen onderzoekers en beveiligingsexperts in een rapport (pdf) van de European Network and Information Security Agency (ENISA), een Europese ict-waakhond die de interne markt in de gaten moet houden. In 2008 stegen de aanvallen op pin-automaten alleen al met 150 procent in vergelijking met het jaar ervoor.

Uit het rapport blijkt dat het grootste deel toe te schrijven is aan skimming. In totaal zorgden meer dan 10.000 skimgevallen voor bijna het hele verlies van 485 miljoen euro in Europa. De huidige beveiligingssystemen volstaan niet. De cirminelen glippen aan alle kanten door de mazen van het net.

Magneetstrip moet in de ban

Probleem blijft de mogelijkheid om een bankkaart te skimmen. De dief zorgt ervoor dat de magneetstrip gekopieerd wordt en dat hij de pincode van de eigenaar van de pas achterhaalt. Dit gebeurt vaak met een camera en een fysieke aanpassing van de pin-automaat door bijvoorbeeld een valse pasinvoer te installeren. In Europese landen wordt geprobeerd dit tegen te gaan door het gebruik van de zogenaamde EMV-chip.

EMV is een nieuwe internationale standaard voor betalingen en geldopnames met creditcards en bankpassen die uiteindelijk de magneetstrip moet vervangen. De authenticatie gaat via de chip en niet via de magneetstrip. In Nederland zijn passen en geldautomaten aangepast voor de chip, die in principe nog niet te skimmen is. Dat maakt echter niet uit zo lang er nog een magneetstrip op de kaarten zit die makkelijk geskimd kan worden. "Andere landen hebben gewoon nog het ouderwetse systeem van magneetkaarten", zegt beveiligingsexpert Arjen de Landgraaf. Hij werkte mee aan het rapport en leidt het Nieuw Zeelandse bedrijf Co-Logic Security.

Criminelen pinnen in het buitenland

Geskimde Nederlandse kaarten worden daardoor niet in Nederland misbruikt. De criminelen sturen de gegevens door naar het buitenland waar de pinautomaten niet beveiligd zijn met EMV-technologie. "Het is nog lang niet veilig genoeg. Als jouw kaart gepikt wordt en dat magnetische gedeelte wordt gekopieerd kan jij nog steeds een kaart maken die je in Frankrijk of Spanje gewoon in de geldautomaat kan stoppen", legt De Landgraaf uit. "Dus die EMV is leuk, maar er is alleen lokaal bescherming." En die is zinloos als de standaard niet wereldwijd gebruikt wordt.

Als oplossing voor het probleem suggereert hij bijvoorbeeld een sms-authenticatiesysteem in te voeren bij pin-automaten. Dit gebeurt in Nederland bijvoorbeeld bij het goedkeuren van betalingen via internetbankieren van de ING Bank. Gebruikers moeten bij het overschrijven van een bedrag zich identificeren met een via sms verstuurde zes cijferige code. De Landgraaf stelt zich voor dat hiermee het skimmen tegen gegaan kan worden. Het gebruik van een calculator zou ook een hoop problemen oplossen. ook dan wordt er iedere keer een bijna niet te achterhalen, unieke code gebruikt.

'Twee jaar achterstand op criminelen'

Maar ook dat brengt de mogelijkheid tot frauderen niet terug. "We lopen twee jaar achter op de boeven", zegt de beveiligingsexpert. "Een van de problemen is dat we denken dat er een nieuw programma is dat de machines geïnfiltreerd heeft. Het Russische programma Bergamot." Daar moet wel nog het harde bewijs van geleverd worden. "Wat we denken met Bergamot is dat toch iemand via de bank of via de fabrikant in staat is geweest om software te laden." Vorig jaar doken ook al rapporten op die constateerden dat pinautomaten al in de fabriek werden gemanipuleerd.

Banken ontkennen echter dat de veelal op oude versies van Windows draaiende geldautomaten softwarematig zijn aan te vallen. De Nederlandse Vereniging van Banken benadrukte in april dat PIN-systemen in Nederland niet kwetsbaar zijn voor encryptiekrakers. "Dat zeggen alle banken. Natuurlijk zeggen ze dat", verbaast De Landgraaf zich niet. Hij haalt een Engels voorbeeld aan waar banken hetzelfde zeiden maar waar 'een paar maanden later het probleem gigantisch was'. Of dit ook in Nederland gaat gebeuren durft hij niet te voorspellen.

Noodklok

Volgens De Landgraaf berekenen de criminelen wat acceptabele verliezen zijn voor banken. Zo zouden bepaalde criminele groepen twee tot drie miljoen per jaar weghalen bij een bank, maar dat wel bij tientallen banken doen. Die bedragen zijn te klein om er serieus achteraan te zitten, zegt De Landgraaf.

In een poging de problemen in te dammen op skimgebied luidt ENISA de noodklok over de problematiek. De beste oplossing is het probleem bekend maken bij een breder publiek en erop wijzen wat er ter preventie van skimming en andere fraude gedaan kan worden. Daarom publiceert de waakhond een kaart met een lijst adviezen waar gebruikers van geldautomaten op moeten letten. Zo adviseert ENISA bijvoorbeeld de pincode met de hand af te schermen, ook moet er gelet worden op mogelijke aanpassingen van de automaten. Daarnaast adviseert de organisatie geen automaten te gebruiken met overdreven veel waarschuwingsmateriaal, omdat dit nep kan zijn om juist skimapparatuur te verhullen.