Ik herinner me nog goed het moment dat ik me realiseerde hoe slecht credit- en debitcards beveiligd zijn. Ik zag hoe iemand een kant-en-klare USB-lezer voor magneetkaarten in een computer stopte, die hem vervolgens als toetsenbord herkende. Ze openden een tekstverwerker en haalden de kaart eruit. Een reeks getallen verscheen plichtsgetrouw in het tekstbestand. Dat was het: De informatie van de kaart was gestolen.
Diezelfde technologie is volwassener geworden en geminiaturiseerd. Piepkleine “skimmers” kunnen aan geldautomaten en betaalterminals worden bevestigd om de gegevens van de magneetstrip van de kaart (de “magstripe”) af te romen. Nog kleinere “shimmers” worden in kaartlezers ingebouwd om de chips op nieuwere kaarten aan te vallen. Nu is er ook een digitale versie, e-skimming genaamd, waarbij gegevens van betaalwebsites worden gestolen. Gelukkig zijn er veel manieren om u tegen deze aanvallen te beschermen.
Wat zijn skimmers?
Skimmers zijn piepkleine, kwaadaardige kaartlezers die in legitieme kaartlezers zijn verstopt en die gegevens verzamelen van iedere persoon die zijn kaart doorsteekt. Na de hardware enige tijd gegevens te hebben laten opnemen, gaat een dief bij de gecompromitteerde machine langs om het bestand met alle gestolen gegevens op te halen. Met die informatie kan hij gekloonde kaarten maken of gewoon fraude plegen. Het engste is misschien nog wel dat skimmers vaak niet verhinderen dat de geldautomaat of creditcardlezer naar behoren werkt, waardoor ze moeilijker te detecteren zijn.
Het is moeilijk om in geldautomaten binnen te dringen, dus passen skimmers soms over bestaande kaartlezers heen. Meestal plaatsen de aanvallers ook een verborgen camera ergens in de buurt om persoonlijke identificatienummers, of PIN-codes, op te nemen die worden gebruikt om toegang te krijgen tot rekeningen. De camera kan zich in de kaartlezer bevinden, boven op de geldautomaat zijn gemonteerd of zelfs in het plafond zitten. Sommige criminelen gaan zelfs zo ver dat ze valse PIN-pads over de toetsenborden heen installeren om de PIN direct vast te leggen en zo de camera te omzeilen.
Deze foto is een levensechte skimmer die op een geldautomaat wordt gebruikt. Zie je dat rare, lompe gele ding? Dat is de skimmer. Deze is gemakkelijk te herkennen omdat hij een andere kleur en materiaal heeft dan de rest van de machine, maar er zijn nog andere tekenen die u kunnen herkennen. Onder de gleuf waar u uw kaart insteekt, staan verhoogde pijlen op de plastic behuizing van de machine. U kunt zien hoe de grijze pijlen zeer dicht bij de gele lezerbehuizing staan, bijna overlappend. Dat is een teken dat een skimmer over de bestaande lezer is geïnstalleerd, omdat de echte kaartlezer enige ruimte tussen de kaartsleuf en de pijlen zou hebben.
De fabrikanten van geldautomaten hebben dit soort fraude niet zomaar laten gebeuren. Nieuwere pinautomaten hebben een robuuste beveiliging tegen sabotage, soms inclusief radarsystemen om voorwerpen te detecteren die in de automaat worden gestoken of eraan worden bevestigd. Een onderzoeker op de Black Hat-beveiligingsconferentie was echter in staat om de ingebouwde radar van een geldautomaat te gebruiken om pincodes vast te leggen als onderdeel van een uitgebreide zwendel.
Zijn skimmers nog steeds een bedreiging?
Tijdens het onderzoek naar een update van dit artikel, namen we contact op met Kaspersky Labs, en vertegenwoordigers van het bedrijf vertelden ons iets verrassends: skimmingaanvallen nemen af. “Skimming was en is nog steeds een zeldzaam iets,” zei de woordvoerder van Kaspersky.
De Kaspersky-vertegenwoordiger citeerde EU-statistieken van de European Association for Secure Transactions (EAST) als indicatie van een grotere trend. De EAST meldde een recordlaagte in skimmeraanvallen, dalend van 1.496 incidenten in april 2020 tot 321 incidenten in oktober van datzelfde jaar. De effecten van COVID-19 kunnen iets te maken hebben met die daling, maar het is niettemin dramatisch.
Dat betekent niet dat skimming is verdwenen, natuurlijk. Nog in januari 2021 werd in New Jersey een grote skimming-zwendel ontdekt. Het ging om aanvallen op meer dan 1.000 bankklanten, waarbij criminelen probeerden er met meer dan 1,5 miljoen dollar vandoor te gaan.
Van skimmers naar shimmers
Toen de Amerikaanse banken eindelijk de rest van de wereld inhaalden en chipkaarten begonnen uit te geven, was dat een grote zegen voor de veiligheid van consumenten. Deze chipkaarten, of EMV-kaarten, bieden een betere beveiliging dan de pijnlijk eenvoudige magneetstrips van oudere betaalkaarten. Maar dieven leren snel, en ze hebben in Europa en Canada jaren de tijd gehad om aanvallen op chipkaarten te perfectioneren.
In plaats van skimmers, die bovenop de magneetstrip-lezers zitten, zitten er nu shimmers in de kaartlezers. Dit zijn zeer dunne apparaatjes die van buitenaf niet te zien zijn. Wanneer u uw kaart erin schuift, leest de shimmer de gegevens van de chip op uw kaart, op dezelfde manier als een skimmer de gegevens op de magstripe van uw kaart leest.
Er zijn echter een paar belangrijke verschillen. Ten eerste betekent de geïntegreerde beveiliging van EMV dat aanvallers alleen dezelfde informatie kunnen krijgen als bij een skimmer. Op zijn blog legt beveiligingsonderzoeker Brian Krebs uit dat “Hoewel de gegevens die normaal op de magneetstrip van een kaart worden opgeslagen, worden gerepliceerd in de chip op chip-enabled kaarten, bevat de chip extra beveiligingscomponenten die niet te vinden zijn op een magneetstrip.” Dit betekent dat dieven de EMV-chip niet zouden kunnen dupliceren, maar ze zouden gegevens van de chip kunnen gebruiken om de magneetstrip te klonen of de informatie ervan voor een andere fraude te gebruiken.
De Kaspersky-vertegenwoordiger die we spraken, was ondubbelzinnig in zijn vertrouwen voor chipkaarten. “EMV is nog steeds niet kapot,” vertelde Kaspersky aan PCMag. “De enige succesvolle EMV-hacks zijn in labomstandigheden.”
Het echte probleem is dat shimmers verborgen zitten in machines van slachtoffers. De hieronder afgebeelde shimmer werd gevonden in Canada en gemeld bij de RCMP (Internet Archive link). Het is niet veel meer dan een geïntegreerde schakeling die op een dunne plastic plaat is gedrukt.
Image credit: Coquitlam RCMP
Controle op manipulatie
Het controleren op manipulatie bij een betaalautomaat kan moeilijk zijn. De meesten van ons staan niet lang genoeg in de rij bij de kruidenier om de lezer eens goed na te kijken. Het is voor dieven ook moeilijker om deze machines aan te vallen, omdat ze niet onbeheerd worden achtergelaten. Geldautomaten daarentegen worden vaak onbewaakt achtergelaten in vestibules of zelfs buiten, waardoor ze een gemakkelijker doelwit vormen.
Hoewel het grootste deel van dit artikel over geldautomaten gaat, mag u niet vergeten dat benzinestations, betaalstations voor het openbaar vervoer en andere onbemande automaten ook vatbaar zijn voor aanvallen. Ons advies geldt ook in deze omstandigheden.
Wanneer u een geldautomaat nadert, controleer dan op een aantal duidelijke tekenen van sabotage aan de bovenkant van de automaat, in de buurt van de luidsprekers, de zijkant van het scherm, de kaartlezer zelf en het toetsenbord. Als iets er anders uitziet, zoals een andere kleur of materiaal, afbeeldingen die niet correct zijn uitgelijnd, of iets anders dat er niet goed uitziet, gebruik die geldautomaat dan niet.
Als u bij de bank bent, is het een goed idee om snel even naar de geldautomaat naast die van u te kijken en ze te vergelijken. Als er duidelijke verschillen zijn, gebruik ze dan niet, maar meld het verdachte geknoei aan uw bank. Als de ene geldautomaat bijvoorbeeld een knipperende kaartingang heeft om aan te geven waar u de kaart moet insteken en de andere geldautomaat een gewone gleuf heeft, weet u dat er iets mis is. De meeste skimmers worden bovenop de bestaande lezer geplakt en zullen de knipperende indicator verbergen.
Als het toetsenbord niet goed aanvoelt – te dik of niet in het midden, misschien – dan kan er een overlay voor het stelen van PIN-codes zijn. Gebruik het niet. Kijk uit naar andere tekenen van sabotage, zoals gaten die een camera kunnen verbergen, of lijmbubbels van een haastige machine-operatie.
Zelfs als u geen visuele verschillen kunt zien, kijk dan overal goed naar. Geldautomaten zijn solide gebouwd en hebben over het algemeen geen losse onderdelen. Creditcardlezers hebben meer variatie, maar toch: trek aan uitstekende delen zoals de kaartlezer. Kijk of het toetsenbord stevig vastzit en uit één stuk bestaat. Als er iets beweegt wanneer u erop drukt, moet u zich zorgen maken.
Denk na over uw transactie
Wanneer u de pincode van een bankpas invoert, ga er dan van uit dat er iemand meekijkt. Misschien over uw schouder of door een verborgen camera. Zelfs als de geldautomaat of betaalautomaat verder in orde lijkt, bedek uw hand als u uw pincode invoert. Het verkrijgen van de PIN-code is essentieel. Zonder pincode kunnen criminelen weinig met gestolen gegevens doen.
Criminelen installeren vaak skimmers bij geldautomaten die niet op drukbezochte locaties staan, omdat ze niet willen worden geobserveerd bij het installeren van kwaadaardige hardware of het verzamelen van de geoogste gegevens (hoewel er altijd uitzonderingen zijn). Geldautomaten binnen zijn over het algemeen veiliger om te gebruiken dan die buiten, aangezien aanvallers ongezien toegang kunnen krijgen tot automaten buiten. Stop en denk na over de veiligheid van de geldautomaat voordat u deze gebruikt.
Wanneer mogelijk, gebruik dan niet de magstripe van uw kaart om de transactie uit te voeren. De meeste betaalterminals gebruiken nu magstripe als noodoplossing en zullen u vragen om uw chip in te voeren in plaats van uw kaart te swipen. Als de creditcardterminal NFC-transacties accepteert, overweeg dan Apple Pay, Samsung Pay of Android Pay te gebruiken.
Deze contactloze betaaldiensten tokeniseren uw creditcardgegevens, zodat uw echte gegevens nooit worden blootgesteld. Als een crimineel op een of andere manier de transactie onderschept, krijgt hij alleen een nutteloos virtueel creditcardnummer. Sommige Samsung-apparaten kunnen een magstripe-transactie via de telefoon emuleren. Deze technologie wordt MST genoemd, maar is inmiddels niet meer in gebruik.
Een scenario waarbij je vaak je magstripe moet gebruiken, is het betalen van brandstof bij een benzinepomp. Deze zijn zeer geschikt voor aanvallen, omdat velen nog geen EMV- of NFC-transacties ondersteunen, en omdat aanvallers zich ongemerkt toegang tot de pompen kunnen verschaffen. Het is veel veiliger om naar binnen te gaan en bij de kassier te betalen. Als er geen kassier van dienst is, gebruik dan dezelfde tips voor het gebruik van geldautomaten en onderzoek de kaartlezer voordat u deze gebruikt.
Aanbevolen door onze redacteuren
Van Skimmers naar Shimmers naar E-Skimmers
Het is geen verrassing dat er een digitaal equivalent is dat e-skimming wordt genoemd. De hack van British Airways in 2018 leunde blijkbaar zwaar op dergelijke tactieken.
Zoals Bogdan Botezatu, directeur van Threat Research and Reporting bij Bitdefender, uitlegt, is er sprake van e-skimming wanneer een aanvaller kwaadaardige code in een betaalwebsite invoegt die je kaartgegevens wegkaapt.
“Deze e-skimmers worden toegevoegd door ofwel de accountgegevens van de beheerder van de online winkel te compromitteren, of de webhostingserver van de winkel, of door direct inbreuk te maken op de zodat ze besmette kopieën van hun software verspreiden,” legde Botezatu uit. Dit is vergelijkbaar met een phishing-pagina, behalve dat de pagina authentiek is – er is alleen met de code op de pagina geknoeid.
“e-skimming aanvallen worden steeds bedrevener in het omzeilen van detectie,” zegt Botezatu. “Hoe langer een aanvaller dit volhoudt, hoe meer creditcards hij kan innen.”
De bestrijding van dit soort aanvallen is uiteindelijk een taak van de bedrijven die deze winkels exploiteren. Er zijn echter wel een paar dingen die consumenten kunnen doen om zichzelf te beschermen. Botezatu stelde voor dat consumenten beveiligingssoftware op hun computers gebruiken, die volgens hem kwaadaardige code kan detecteren en kan voorkomen dat je je informatie invoert.
Aternatief kun je voorkomen dat je je creditcardgegevens invoert met virtuele creditcards. Dit zijn dummy credit card nummers die zijn gekoppeld aan uw echte credit card account. Als een van deze nummers wordt gekraakt, hoeft u geen nieuwe creditcard aan te schaffen, maar alleen een nieuw virtueel nummer te genereren. Sommige banken, zoals Citi, bieden dit als een functie aan, dus vraag uw bank of het beschikbaar is. Als je geen virtuele kaart van een bank kunt krijgen, biedt Abine Blur abonnees gemaskeerde creditcards aan, die op een vergelijkbare manier werken. Apple Pay en Google Pay worden ook geaccepteerd op sommige websites.
Een andere optie is om je in te schrijven voor kaartwaarschuwingen. Sommige banken sturen een push alert naar je telefoon elke keer dat je pinpas wordt gebruikt. Dat is handig, want dan weet u meteen of het om een nepaankoop gaat. Als uw bank een soortgelijke optie biedt, probeer die dan in te schakelen. Persoonlijke financiële apps zoals Mint.com kunnen helpen bij het sorteren van al uw transacties.
Blijf op de hoogte
Zelfs als u alles goed doet en elke betaalautomaat die u tegenkomt tot op de centimeter nauwkeurig controleert (tot groot verdriet van de mensen achter u in de rij), kunt u het doelwit van fraude zijn. Maar wees gerust: Zolang u de diefstal zo snel mogelijk meldt bij uw kaartuitgever (voor creditcards) of bank (waar u een rekening heeft), wordt u niet aansprakelijk gesteld. Uw geld zal worden teruggegeven. Zakelijke klanten daarentegen hebben niet dezelfde wettelijke bescherming en kunnen het moeilijker hebben om hun geld terug te krijgen.
Ook moet u proberen een creditcard te gebruiken als dat voor u zinvol is. Een debet transactie is een onmiddellijke contante overmaking en kan soms tijdrovender zijn om te corrigeren. Creditcardtransacties kunnen op elk moment worden stopgezet en teruggedraaid. Dit zet handelaars onder druk om hun geldautomaten en betaalterminals beter te beveiligen. Overmatig gebruik van krediet heeft echter zijn eigen valkuilen, dus wees voorzichtig.
Ten slotte, let op je telefoon. Banken en creditcardmaatschappijen hebben over het algemeen een zeer actief fraude-opsporingsbeleid en zullen onmiddellijk contact met u opnemen, meestal via telefoon of sms, als ze iets verdachts opmerken. Snel reageren kan betekenen dat aanvallen worden gestopt voordat ze u kunnen treffen, dus houd uw telefoon bij de hand.
Denk eraan: als er iets niet goed voelt aan een geldautomaat of een creditcardlezer, gebruik deze dan niet. Gebruik waar mogelijk de chip in plaats van de strip op uw kaart. Uw bankrekening zal u dankbaar zijn.
Fahmida Y. Rashid droeg bij aan dit verhaal