Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 208 reacties
Submitter: wica

Volgens beveiligingsonderzoeker Brian Krebs waarschuwt pinautomatenfabrikant NCR dat criminelen gebruikmaken van externe apparaten om betalingsverkeer bij geldautomaten te onderscheppen. Deze apparaten zouden tussen de netwerkkabels geplaatst worden.

skimTraditioneel maken criminelen vaak gebruik van externe apparaten die kaartgegevens skimmen bij de kaartgleuf van een geldautomaat, aldus Krebs. De nieuwe manier werkt echter anders, doordat de netwerkkabel van de geldautomaat direct wordt afgetapt.

Deze methode zou toegepast worden in combinatie met een camera of een apparaat dat toetsaanslagen kan afvangen. Zo kunnen criminelen de pincode aflezen, die volgens pinautomatenfabrikant NCR vervolgens draadloos naar het interceptie-apparaat op de kabel wordt gestuurd.

Krebs waarschuwt dan ook voor losstaande geldautomaten, die kwetsbaar zijn voor dit soort technieken. Het artikel gaat niet in op de vraag hoe de criminelen de gegevens precies onderscheppen en of deze versleuteld zijn. Ook de precieze werking van de op de foto's getoonde apparaten is onbekend.

NCR is naar eigen zeggen 's werelds grootste leverancier van pinautomaten. Wereldwijd zijn er 810.000 automaten van het merk in bedrijf.

skim2

Close-up van de apparaten in de eerste foto

Moderatie-faq Wijzig weergave

Reacties (208)

Het is goed om te beseffen wat voor data er nou precies verstuurd wordt over het netwerk. In Nederland is dat:
1. PAN (bankrekeningnummer)
2. Lokaal gegenereerd uniek cryptogram (door middel van symmetrische cryptografie als functie van o.a. het transactienummer, de sleutel staat beveiligd opgeslagen op de pas zelf)
3. Het transactienummer (zodat de bank kan verifiëren of het gegenereerde cryptogram geldig is)

Bij elke transactie zal het cryptogram dus anders zijn. Bij een eventuele aanval zal de bank herkennen dat het cryptogram al een keer gebruikt is en de transactie weigeren. Met andere woorden: in Nederland is dit vrij nutteloos.

In andere landen waar gebruikt wordt gemaakt van de magneetstrip (en er dus geen data versleuteld kan worden omdat er geen encryptiemodule in de betaalpas zit ingebouwd) zou dit potentieel wel gevaar kunnen opleveren.
Laatst weigerde mijn pas in de winkel, de chip was vies.
Zegt het apparaat 'probeer magneetstrip', (ja lekker veilig dan).
Die magneetstrip deed het vervolgens ook niet, dus moest ik contant gaan betalen.
Betekent dit dat de magneetstrip überhaupt niet meer werkt in Nederland?
de magneetstrip werkt natuurlijk WEL in Nederland. ZIe bv een tankstation. Heel veel tankpassen van oliemaatschappijen werken niet op de chip (sterker nog die hebben helemaal geen chip) maar alleen MET magneetstrip. ALLE leasemaatschappij-passen ook. Evenals cadeaupassen met voorgeprogrammeerd tegoed. Dat apparaat zegt magneetstrip, omdat je chip onleesbaar was, en denkt dat het een kaart zonder chip is. Maar de magneetstrip op een kaart MET chip zal niet gaan werken als een manier om te gaan betalen, dat weigert zo'n terminal. Dus ja, het is nog veilig. Een kaart MET chip dan ;)
De lezer werkt uiteraard nog, maar je bankpas magneetstrip niet meer. Het was niet vrijblijvend om over te stappen op het "nieuwe pinnen", zins 1 januari 2013 kan je niet meer met de magneetstrip betalen(in de hele EU dacht ik?), ze hebben het nog tijdje actief gehouden ter overbrugging, maar lees nu toch overal dat het uitgeschakeld is, alleen buiten de EU werkt het nog in sommige landen, maar buiten de EU pinnen is tegenwoordig standaard uitgeschakeld bij de meeste banken als het goed is. In België zijn de magneetstrippen al voor 2013 gedeactiveerd.

Dat andere pasjes nog werken betekend niet dat de bankpasjes ook nog werken. Hoe werkt zo een tankpasje? Word de rekening niet eerst naar de tankpas maatschappij gestuurd en dat het achteraf word verrekend?
Is het wel mogelijk om met een Amerikaanse pin pas (waar ze alleen een magneetstrip hebben) in Nederland te betalen?
Ja, dat werkt gewoon. Internationale klanten betalen bij mij op werk regelmatig met creditcards door de magneetstrip te scannen. Zij moeten vervolgens ook tekenen voor de betaling.
De handtekening is trouwens echt de meest gedateerde vorm van betalingsverificatie die er is. Het verbaast me dat dát nog als rechtsgeldig wordt gezien.
En dan liepen ze vroeger vaak weg met je creditcard. In frankrijk in restaurants vaak zat gehad, moest je rennen om te kijkeb wat ze ermee gingen doen.

Tegenwoordig moet ik pincode invoeren met cc betalingen. Gelukkig maar.
En dan liepen ze vroeger vaak weg met je creditcard. In frankrijk in restaurants vaak zat gehad, moest je rennen om te kijkeb wat ze ermee gingen doen.

Tegenwoordig moet ik pincode invoeren met cc betalingen. Gelukkig maar.
Bij de Franse tolwegen "hoefde" ik helemaal geen pincode in te toetsen bij mijn standaard ING-pas.

Dat helpt natuurlijk weinig als ING je op het hart drukt dat je PINcode strikt geheim houdt.
Een (gestolen of gevonden) pas zonder dat je de PINcode hebt is daar dus gewoon bruikbaar.
Toen ik daar achter kwam deed ING alsof hun neus bloedde.

In Frankrijk gelden kennelijk andere (nationale) regels voor Nederlandse bankpassen. Raar maar waar dat ING dat overrulen van de PINcodebeveiliging toestaat, cq niet tegen gaat. Ze waarschuwen er ook niet voor.

[Reactie gewijzigd door Bruin Poeper op 11 februari 2016 10:31]

Ik Zweden kon ik in 2008 ook betalen met mijn Nederlandse PIN pas, zonder PIN code, maar dan moest ik dus tekenen inderdaad.
In Vlissingen kan men bij de parkeermeter betalen met een pinpas zonder de pincode te hoeven intypen. Erg fijn, vooral in Middelburg (5km verderop) is dat wel nodig, op een ongelofelijk klein toetsenbordje en ditto schermpje (kleiner dan de standaard pinautomaten).
Dat betekent dus dat het zonder PIN kán. Dus de PIN wordt in NL vereist door het apparaat. Dus een apparaat waaraan geknoeid is...
Ja, maar niet altijd. Sommige apparaten vereisen een chip en weigeren te werken zonder.
Een Amerikaanse pin pas bestaat niet.
Het zijn credit of debit cards van visa, mastercard, american express of wat dan ook die gewoon op het zelfde manier werken als credit en debit cards hier in Nederland en hebben tegenwoordig ook gewoon een chip erop en een pincode.

Enig echte verschil is dat niet elke bedrijf in de VS een apparaat heeft dat chip accepteert dus beide methodes zijn voorlopig nog aanwezig. Ze zijn gewoon een stuk langzamer met het uitfaseren van de magneet strip.
Dat magneetstrip lezer zal het altijd blijven doen;). Dat is een fail save voor het betalingsverkeer.

Probeer maar is het volgende: steek je pas 3 keer(met chip) in de pin module. Vervolgens zal hij zeggen dat je de magneet strip moet gebruiken omdat dit nog steeds een valide manier is om te betalen.

Ik werk zelf ook met dit soort betaalautomaten die je bij de jumbo ziet (VX820) / OPP C-60 inclusief contactloos. Dat ze de magneetstrip afplakken mag "niet" omdat dit zoals eerder gezegd een manier is om te betalen als het betalen met de chip mislukt.
wel een STUK duidelijker ZO.
briljant dat de kassiere af en toe dan de magneetstrip over haar mouw veegt als de chip het niet doet.
Ik vraag me trouwens af welke 'trukjes' nu echt werken.
Het valt mij sowieso op dat mijn pas het altijd opeens wel doet als de caissière het voor me doet, hoe ze het ook doet. Mijn theorie is dat caissières een magische aanraking hebben.
Meestal doet de cassiere het pasje vervolgens ook in t apparaat en laat daar nu net het belangrijkste punt zijn. Als je het pasje te hard of te zacht in t apparaat doet dan werkt het niet. Ala je hem te ver doorduwt niet, etc. Dus je moet met beleid bewust tot de klik (soort van) duwen en dan doet ie t vaak wel :)
Meestal buigen deze dames de pas vaak zo hard dat ik bang ben dat die breekt.
Als je hem buigt maakt de chip meer sluiting met het lees gedeelte (inwendig)
Denk dat de pas even verkeerd om er in doen en dan weer goed ook wel eens kan werken. Dan maak je ook het lees gedeelte "schoon" als het ware.
Is met de oude mediaboxxen ook zo met de smartcard.
Hmm ja, ik vermoedde al zoiets.
Deze werken demagnetizerend
En als je het zelf die extra keer had geprobeerd?
Ik heb wel eens gehad dat ik het een paar keer tevergeefs probeerde (vooral met mijn ABN-pas van twee passen geleden, die heel kut was), en dat hij het dan wel deed als de caissier(e) het deed.
Ik vraag me trouwens af welke 'trukjes' nu echt werken.
De chip vochtig maken - in mijn tijd bij een winkelketen was dat de oplossing als de chip weigerde.
Af en toe goed schoonmaken met een wattenstaafje met alcohol werkt ook goed, de contacten zijn dan weer mooi schoon.
De kaartlezers moeten ook af en toe schoon gemaakt worden.
Ja, dat is al een hele tijd. Is toen een hele campagne over geweest dat je overal alleen nog maar de chip kunt gebruiken.
Ja, die magneetstrip werkt sinds medio 2012 (zo uit mijn hoofd) in Nederland niet meer. Echter moeten veel automaten nog steeds vervangen worden waardoor de melding nog wel kan verschijnen. Het vervangen van automaten zit nu wel in een stroomversnelling doordat contactloos betalen massaal uitgerold wordt. Je betaalpas heeft nog wel een magneetstrip zodat deze buiten Europa nog wel gebruikt kan worden.
Zegt het apparaat 'probeer magneetstrip', (ja lekker veilig dan).
Dat zit in de firmware ingebakken. Ik had 't vroeger nog leuker, in de tijd dat de magneetstrip nog wel werkte maar feitelijk al was vervangen door de chip: m'n chip was stuk, dus dan kon ik beginnen met de strip ('gebruik chip'), daarna de chip, die stuk was dus niet werkte (gebruik magneetstrip) en daarna pas kon ik iets doen. Oh en geldautomaten weigerden dus compleet.
Die magneetstrip deed het vervolgens ook niet, dus moest ik contant gaan betalen.
Betekent dit dat de magneetstrip überhaupt niet meer werkt in Nederland?
Correct. De magneetstrip op je gewone bankpas werkt in Nederland (en volgens mij EU) helemaal niet meer. Hij werkt nog wel in automaten in andere landen waar ze nog niet zo ver zijn met de chip, zoals de VS. Als je daar een automaat hebt zonder chiplezer dan kun je nog je magneetstrip gebruiken.

Ik geloof wel dat er inmiddels banken zijn die kaarten zonder strip uitgeven, maar ik heb ze zelf nog niet gezien.
Als je de melding krijgt dat deze niet goed te lezen is dan buig ik de pas altijd een beetje krom(lees: druk met de vinger aan de bovenkant van de pas van je af zodat de chip binnenin naar je toe wordt geduwd en dus contact maakt met de lezer) als die in de automaat zit zodat de chip beter contact maakt. Deze melding gebeurd zo vaak maar vele doen deze tip dan niet).
Ik had dat ook met mijn tankpas, toen deed die man van de shell een plakbandje mooi en strak over de gehele magneetstrip (stukje overloop aan de achterkant voor bevestiging) en sindsdien werkt hij weer feilloos!
Dubbele reactie, token error ;-)

[Reactie gewijzigd door Tig3r op 11 februari 2016 11:49]

De pincode wordt dus niet over WAN verstuurd maar staat op de pas? Dan staat deze er unencrypted op. Dit kun je gewoon testen, door bepaalde verkeerde pincodes in te toetsen die wel worden geaccepteerd.
De pincode staat er versleuteld op. Als je een pincode invoert wordt deze gehasht en de hash wordt vergeleken met de hash van de pincode.

Hoe het exact werkt vertelt hieronder waarschijnlijk iemand, maar dat is de basis ervan. De hash kun je niet herleiden tot de orginele pincode, tenzij je een rainbow tabel hebt (en veel tijd).
Nope de pincode bevind zich niet op de pas, maar bij je bank. Pincode wordt waarschijnlijk gehashed dmv de gegevens op de chip en naar de bank gestuurd, en die zegt vervolgens ja of nee tegen de transactie. Bij bijvoorbeeld bunq kun je nl. op ieder moment je pincode wijzigen
Je hebt offline en online pin validatie. De pas kan offline een pincode controleren en houdt bij hoe vaak je dat doet (max 3 keer fout). Online validatie gaat via de bank, dan wordt er inderdaad een handtekening die door de pas is gegenereerd, icm de pin, gevalideerd door de bank. Online wordt vaak gebruikt door ATMs. Offline wordt bijvoorbeeld gebruikt als kassaterminals tijdelijk geen verbinding met de bank kunnen maken.
Heb je wat meer info over dat offline, want ik heb al twee keer meegemaakt dat ik moest wachten tot zo een "veld" pin apparaat eerst verbinding moest maken.

Hoe voorkom je dan dat er meerdere apparaat worden ingezet of gemanipuleerd apparaat dat zijn id kan veranderen en je brute force kan toepassen op 4 cijferige code die je dus met normale computer snel kan kraken? En dan met de achterhaalde pincode naar pinautomaat loopt? De pinautomaat kan dan nooit weten dat er mee geknoeid is.

Magneetstrip word immers niet gebruikt om data in op te slaan dus kan er ook niks uitgewisseld worden.
Het gebruiken van een gemanipuleerd apparaat om de PIN te achterhalen werkt altijd; de toetsaanslagen kunnen dan rechtstreeks worden geregistreerd.

Voor een niet gemanipuleerd apparaat geldt dat het bruteforcen van een PIN niet mogelijk is; de chip op de pas registreert het aantal keer dat de PIN wordt geprobeerd, en na drie pogingen blokkeert de kaart zichzelf.
Ik heb ooit een literatuuronderzoekje gedaan naar EMV: https://www.dropbox.com/s/6j80ynxkwea14v5/EMV.pdf

Misschien dat de references interessant zijn voor jou...
De pincode bevind zich wel degelijk op de chip, als jij je pincode wijzigt en je steekt je pas in een terminal dan zal de code op je chip worden bijgewerkt. Al zal dat wel een hash oid zijn dat weet ik niet precies.

Kijk maar naar de Random Reader bijvoorbeeld, daar moet je ook je pincode ingeven die door de chip op de pas wordt gecontroleerd. Of als je betaalt in het vliegtuig.

[Reactie gewijzigd door Pajaras op 10 februari 2016 20:10]

Nee die word op de server bijgewerkt.

Regel, sla nooit iets belangrijks op waar hackers fysiek makkelijk bij kunnen! Zou heel stom zijn, zou je zelfs met fysieke aanval de chip kunnen ontleden en de data eruit halen, er is geen beveiliging tegen een fysieke chip aanval.

Met voldoende chips en pogingen krijgen ze elke data uit een chip!
ja maar na zo'n fysieke aanval is de chip stuk dus kunnen ze er niks meer mee.
Als ik mijn pincode verkeerd op de random reader zou intypen zegt hij heel hard "fout, nog twee pogingen" en mijn chip raakt geblokkeerd als ik het drie keer fout doe. Dus hij staat op de chip.
De pincode zélf staat niet op de chip zover ik weet, maar wel iets waarmee de chip kan verifiëren of de pincode die je intoetst, de juiste is. Dat doet die chip dus ook zelf, dat is niet de random reader die dat doet.
De chip doet dat zelf idd. Het grappige is dat je met de eDentifier2 van de ABN op de Rabobank kan inloggen en andersom. Of in ieder geval, kon, voordat de Rabo met die scanner kwam. Signen lukte dan weer niet met het apparaat van de andere bank.
Volgens mij heb je geen gelijk. Een andere pincode aan de hand van bepaalde regels zou een andere hash moeten genereren, maar dat gebeurt niet. De enige conclusie kan dus zijn dat de pincode er onversleuteld op staat.
Rare aanname en een rare conclusie.
Nee, raar ontwerp van de pin code.
Als je volgens een bepaald algoritme een andere pincode intoetst dan je eigen pincode, dan wordt die gewoon geaccepteerd. De enige mogelijke conclusie die daaruit volgt is dat er helemaal geen hashing plaats vindt en dat het ontwerp van de pin pas dus onveilig is.

Wellicht moeten we overstappen van pin op het debitcard systeem, die wel door deze test komt.
De enige conclusie is juist dat er WEL hashing plaats vindt, maar dat deze geen unieke hashes produceert. Als het onversleuteld was kon er natuurlijk nooit een andere code geaccepteerd worden dan de echte...
Bij een hash zou er misschien twee of drie andere codes mogelijk zijn die ook geaccepteerd worden, maar niet meer dan dat. Helaas is het aanzienlijk meer dan dat. Geen hash dus.
De pincode staat er versleuteld op. Als je een pincode invoert wordt deze gehasht en de hash wordt vergeleken met de hash van de pincode.

Hoe het exact werkt vertelt hieronder waarschijnlijk iemand, maar dat is de basis ervan. De hash kun je niet herleiden tot de orginele pincode, tenzij je een rainbow tabel hebt (en veel tijd).
Je hoeft alleen alle mogelijke hashes uit te rekenen en dat is zo gebeurd voor 4 cijfers. Dan maak je de vergelijking en weet je wat de pin is.
Een hash op de pin is dus geen goede beveiliging.

Ik denk eerder dat je de pin (of hash, wat je wilt) niet kan uitlezen, maar dat je chip je een ja/nee antwoord geeft bij het invoeren van de pin.
Wil je hem uitlezen dan zal je de chip open moeten maken en gaan graven.
Persie84 heeft niet het exacte algoritme vertelt, ik weet deze ook niet exact, maar wel dat het niet alleen de PIN bevat, maar ook het PAN, transactienummer en een willekeurig gegenereerd nummer. Op deze manier is het dus een stuk veiliger.
Er staat geen pincode op je pas
Een offline-reader (zoals die van de Rabobank) kan controleren of de ingetoetste code juist is, en dat is bankpas-onafhankelijk (je kunt dezelfde reader gebruiken voor verschillende passen / pincodes). Dat kan dus alleen als die reader op de één of andere manier offline kan controleren of de pin die je intoetst bij die pas hoort - en dat kan alleen als ofwel de reader zelf over de juiste pincode beschikt (maar dat lijkt onwaarschijnlijk, want 1 reader werkt met verschillende passen / pincodes, dus hoe kan die reader dan over die verschillende codes beschikken? Ik denk niet dat elke reader een database heeft van alle passen met bijbehorden pincode) of hem vergelijkt met iets dat op de pas staat.
Als je hem uitleest krijg je de publieke gegevens te zien. De pincode word verwerkt door een app die de codes genereert die naar de bank gestuurd worden, of op een random reader-achig apparaat getoond worden.
Pincode staat wel versleuteld op de chip (gelukkig maar anders zou je met een gestolen bankpas en cardreader al raak hebben), en hij moet er inderdaad op staan want anders werken apparaten als de Random Reader van Rabobank bijvoorbeeld niet. Ik kan helaas niet snel vinden wat voor encryptie er precies wordt gebruikt maar SHA-1 van begin jaren 90 is al vrij veilig bijvoorbeeld en niet de moeite waard om proberen te kraken.

Ik vond trouwens wel dit artikel (uit 2009 alweer), gaat over een lek in hardware security modules. Wel interessant, dit gaat dus over fouten in het protocol voor magneetstrips. De chips nu gebruiken een vorm van challenge response authenticatie die hier niet vatbaar voor is, ik denk SCRAM maar dat kan ik nergens vinden. Zie ook deze (hele korte) white paper van Maestro zelf; klik.

[Reactie gewijzigd door Maks op 10 februari 2016 19:19]

Ik kan helaas niet snel vinden wat voor encryptie er precies wordt gebruikt maar SHA-1 van begin jaren 90 is al vrij veilig bijvoorbeeld en niet de moeite waard om proberen te kraken.
SHA-1 is geen encryptie maar een hashing algorithme. En je hoeft natuurlijk niet SHA-1 te kraken, er zijn maar 10.000 mogelijke PIN codes dus als er inderdaad alleen een hash op staat van de pincode is het even 10k mogelijkheden proberen en je hebt 'm.
Check, alleen wordt dit door de beveiligingsmodule op de chip tegen gegaan. Volgens mij kan je geen brute force uitvoeren omdat de chip zelf moet bevestigen dat de code juist is (en dat kan je maar 3 keer proberen).
Als je de hash via dit systeem nu kan achterhalen kan je het vaker dan 3 maal proberen.
Dat kan niet. Er is geen manier om die informatie uit de chip te halen. (Iig niet zonder 'm fysiek te slopen en heel erg moeilijk te doen.)

De pinverificatie gebeurt door de chip zelf, niet door de reader waar de kaart ingestopt wordt. Zo wordt ook die '3x proberen en dan blokkeren'-beveiliging uitgevoerd.
Tenzij de chip een methode heeft dat deze blokkeert na 3x proberen...
Vergeet ook niet dat een pincode maar een beperkte mate van beveiliging biedt. Er zijn vier cijfers dus max 10^4=10.000 mogelijkheden. Dat is in theorie want in de praktijk vallen er veel pincodes af zoals pincodes met alle cijfers gelijk (0000), opeenvolgende nummers (1234) en ga maar door. De bank weet dit overigens ook hoor maar die heeft een kosten / baten of risico analyse gemaakt en accepteert het risico.
Maar was het niet dat de code ook enigszins aan je pasnummer/kaart gekoppeld is. Zo kun je je pincode veranderen naar iets wat je zelf wilt. Dan kun je prima 2 kaarten hebben met dezelfde pincode. Dat zullen ze dan hebben als ze er een kopie van maken.

Je hebt wel gelijk dat de pincode maar een 'klein' bescherm middel is in het grotere geheel.
Jouw hacktool zal mijn pincode dan niet vinden denk ik ;-)
Ik heb er een met vier 1tjes. Het zit em alleen in de volgorde. Dus die ga ik lekker niet vertellen.
Klopt wat je schrijft, alleen is de kaart/chip ongeldig na 3 maal een foute code. Ik geef toe dat de kans groter is dat je die code juist intikt dan winnen met de lotto, maar toch,dat is maar een héél kleine kans. Het is dus niet zo dat je 9.000 x kan proberen.
Bij elke transactie zal het cryptogram dus anders zijn.
Daarmee bescherm je je wellicht tegen replay aanvallen waarbij eerder "opgenomen" transacties opnieuw worden afgespeelt. Maar is het idee niet meer dat men een man in the middle wil uitvoeren door in de datastroom te gaan zitten?

Het nadeel aan symetrische encryptie is dat de sleutel altijd hetzelfde is en je op alternatieve aflevermethodes moet terugvallen om de sleutel uit te wisselen.

Dat gezegd te hebben zijn er simpelere methodes om geld afhandig te maken, bijvoorbeeld bij mobiele contactloze betalingen. Het voordeel aan een skim is juist weer dat je vaak lange tijd onopgemerkt je gang kunt gaan. Zeker nu men in de datastroom gaat zitten ipv de paslezers tracht te compromitteren. Mensen zijn inmiddels gewend om te kijken naar een anti skim sticker of andere oplossing maar niemand kijkt naar de aansluitingen van het apparaat.

Jammer dat men niet dieper ingaat op de aanval zelf die men gebruikt. Het is absoluut interessant om meer te weten hierover.
Die mobiele pinautomaten worden regelmatig voorzien van nieuw geld. Zorg dat de mensen die ze vullen de kennis hebben wat er WEL en NIET aangesloten mag zitten aan zo`n apparaat. En bij elke vulling automatisch controleren of er vreemde kastjes aangesloten zitten.

Bij de aanleg leg de winkeleigenaar + eventueel wat personeelsleden uit wat WEL en NIET hoort.
Geef foto`s met documentatie af. Laten winkels dagelijks het apparaat controleren. Bij onderhoud van de apparaten altijd verifiëren met het hoofdkantoor of dit ingepland is en de naam van de monteur checken.

Zo moeilijk zou het toch niet moeten zijn om skimmen op deze wijze te voorkomen.
Je wordt er toch moe van op hoeveel manieren men probeert je hard verdiende centen af te nemen. Kunnen ze niet een keer een fool proof pinautomaat maken?
Dat zou leuk zijn, maar helaas zijn mensen erg inventief als het aankomt op geld verkrijgen door anderen te duperen.

Helaas is het voor beveiligers vrijwel niet te doen om alles voor te zijn.
Kom op, in dit soort gevallen moet je altijd naar zwakke plekken kijken die je niet in de hand hebt. Communicatie via externe bekabeling is er duidelijk één van, als je dit niet goed dichttimmert in een dergelijke setting is dit geen onmacht, maar onkunde. Dit deel had gewoon niet op deze manier te kraken mogen zijn (en daar zijn gewoon bestaande oplossingen voor te gebruiken).
maarja, dat suggereert dus ook wel dat de data niet (of niet goed) encrypted over die kabels gaan, anders zou het weinig zin hebben om er apparatuur tussen te zetten..
En dat is een fors probleem dat ook elders op kan duiken.
Misschien zijn de data ook wel goed geëncrypteerd en hebben de criminelen die bovenstaande opstelling maakten dat ook ondervonden. Er staat namelijk nergens dat er op deze manier geld kon worden buit gemaakt.
Veelal worden losstaande pinautomaten via gprs verbonden. Als dit niet (goed) werkt valt men vaak terug op een bekabelde verbinding. Dat dit niet altijd optimaal aangesloten wordt zegt niets over het ontwerp van het apparaat. Daarnaast draagt de uitbater van het apparaat verantwoordelijkheid voor het veilige gebruik ervan. Men dient te controleren of er niet met het apparaat geknoeid is.

En laten weten eerlijk zijn, tot vandaag had geen van ons van dit probleem gehoord. Dat een jaren geleden ontworpen apparaat dit kan gebeuren lijkt me dan ook niet heel vreemd.
Elke mogelijk gebruikte optie die dergelijke risico's blootlegt moet gewoon goed beveiligd zijn. Dit is een losstaand apparaat, hier kun je niet dezelfde (in)bouw eisen stellen als een ATM in de muur van een bank. De kast kan je (met sloten en sensoren) als veilige omgeving beschouwen, alles wat hier buiten komt heeft een hoger risicofactor. Eenvoudigste en goedkoopste oplossing hiervoor is encryptie, dan maakt het transportmiddel niet uit. Als NCR of Currence (of andere transactieverwerkers) dit niet goed geregeld hebben vanaf dag 1 is op zijn minst laakbaar. Want uiteindelijk draaien wij allemaal voor de kosten van misbruik op, niet de banken.

[Reactie gewijzigd door friend op 10 februari 2016 19:03]

Losstaande automaten via GPRS? Nee, dat gebeurt echt niet, of hooguit bij een tijdelijke automaat op een festivalterrein iod. Normaal hebben ze allemaal een VLAN, vast bekabeld, en waar idd de bekabeling niet vrij toegankelijk is zoals hier wel. In Nederland hoeven we hier niet zo bang voor te zijn, hoewel ik idd ook in NL wel eens een automaat heb gezien met en losse utp aansluiting in de muur erachter. Dat was er een van yourcash, een club die deze dingen ook exploiteert, los van een bepaalde bank.
ik denk dat TrekVogel doelt op het gebruik van mobiele pin apparaten, die maken vrijwel allemaal verbinding via GPRS (met alle ellende vandien bij een slecht signaal)
Helemaal mee eens. Dit is echt niet te geloven, data uit de netwerkkabel aftappen, en er dan nog wat mee kunnen ook. Het zou gelijk allemaal zwaar ge-encrypt moeten worden, de codering zou in het keypad ingebouwd moeten zitten. En zodra het de automaat verlaat een gecodeerde verbinding over een VPN of zo.
Jawel, is prima te doen. In Nederland vallen amper meer slachtoffers meer door skimmen, met name omdat we van de magneetstrip afgestapt zijn.
En zolang de banken hun pin automaten nog op OS2 (of andere verouderde operating systemen) draaien zal het voor hackers niet moeilijk zijn om jouw gegevens te achterhalen.

En echt, ik heb het ongeluk laatst gehad om mijn pinpas kwijt te raken, omdat zo'n machine crashte en vervolgens een cold boot deed waarbij het liet zien, dat het met OS2 Warp opstartte... Een besturingssysteem uit 1996. Dus al 20 (ja, TWINTIG) jaar oud!

Edit: link toegevoegd

[Reactie gewijzigd door Rinaldootje op 10 februari 2016 20:28]

Irish bank in Dublin...
En hoeveel hackers weten nog iets van OS2 dan?
Hoef je iets van OS2 te weten, als er een sterk verouderd protocol gebruikt wordt om je data van A naar B te transporteren? Het gaat hier niet om OS2 op zich, maar om een sterk verouderd OS, met dito protocollen die allang gekraakt zijn. Elk script kiddie kan dat uitlezen.
Eentje. Die heeft vervolgens 2 miljard buitgemaakt.

Dat is niet waar natuurlijk, maar één iemand is wel genoeg.
Je wordt er toch moe van op hoeveel manieren men probeert je hard verdiende centen af te nemen. Kunnen ze niet een keer een fool proof pinautomaat maken?
Heb jij zin om voor elke transactie in de winkel op een hardware token de ID van begunstigde, het bedrag en jouw unieke toegangscode in te vullen om zo elke keer eenmalig te gebruiken signeercodes te genereren?

Dat is praktisch de meest veilige pinautomaat mogelijk.

Het is net even gebruiksvriendelijker om gewoon één keer in de week langs de bank te gaan en daar inpanding een paar honderd euro uit de flappentap te trekken en vervolgens gewoon overal cash te betalen.

Dikke pech voor de winkeliers die graag minder contant hebben.
Veel winkeliers hebben ook gewoon liever contant. Is goedkoper.
Dat is helemaal niet waar, behalve als je e.e.a. zwart wilt afromen. De meerderheid kan niet anders dan het geld direct weer naar de bank te brengen. Ook weer verhoogd risico op overvallen en zwaardere fysieke beveiligingen nodig. Vooral muntgeld is heel duur om te verwerken en toegenomen administratie. De inkoop kunnen de meeste ook niet contant afrekenen. De banken doen er alles aan om contant verkeer zoveel mogelijk te ontmoedigen (hoge kosten, extra tijd tussen storting en dat het op de rekening staat). Alleen een minderheid die ook contant kan inkopen of als je een hele lage omzet hebt zal er misschien voordeliger mee wegkomen. Virtueel/digitaal geld zou hier wel mee kunnen concurreren.

Zie: http://www.detailhandel.n...oor%20groei%20pinnen.html

[Reactie gewijzigd door friend op 10 februari 2016 23:38]

En daar is hij weer, de suggestie die de banken ooit de wereld in hebben geholpen: Contant geld = Zwart geld. Natuurlijk klopt dat niet, contant geld kan net zo goed wit zijn.

Feitelijk gaat het bij "kosten van het betalingsverkeer" behalve om een klein overvalrisico helemaal niet om onvermijdelijke "kosten", maar om "verdiensten van de banken".

Muntgeld is opzichzelf helemaal niet duur om te verwerken, zolang je niet zo dom bent om het op de bank te storten. Muntgeld gebruik je als wisselgeld of wissel je met een andere winkelier of horeca-ondernemer.

[Reactie gewijzigd door mae-t.net op 11 februari 2016 23:49]

En ja hoor, weer eentje waarbij lezen en denken blijkbaar niet z'n sterkste kant is. Eventjes wisselen bij de buren, alsof tijd geen geld kost. En de betalingen aan je leveranciers ook maar contant afrekenen, wat ook geen reële optie is. Uit de link blijkt dat de kosten gemiddeld 19 cent zijn voor PIN afhandeling (en minder voor contactloos betalen) en 25 cent voor contante transacties.
Dus is contant o.a. alleen maar goedkoper in de door mij eerder genoemde situaties. Dat heeft niets met jouw contant = zwart suggestie te maken, dat is een betekenis jij er zelf aan hangt.
Wat mij betreft mag Bitcoin ook, dat heeft intrinsiek nog lagere kosten. En ook hier weer verhalen over zwart geld? Dat staat los van deze discussie.

[Reactie gewijzigd door friend op 12 februari 2016 01:08]

Kunnen ze niet een keer een fool proof pinautomaat maken?
They keep making better fools...
Hoe groot is het gevaar? Feiten en cijfers a.u.b.
Doodstraf op alle mogelijke vergrijpen zetten, hoe klein ook, en het is zo afgelopen.

Hm... crap. Dat is al een keer geprobeerd.

Maar ja, je hebt wel gelijk. Ik vraag me af hoe het komt dat er zoveel van dit soort mensen zijn, die linksom of rechtsom aan geld proberen te komen, behalve op een fatsoenlijke manier. De manier om geld te verdienen is als je ergens waarde aan toevoegt: door te werken, door een product te maken en te verkopen, een dienst te verlenen, door producten te importeren en verkopen die normaal niet beschikbaar zijn, etcetera.

Het komt bij mij niet eens op om te stelen, dingen te molesteren, of mensen op te lichten. Hoe zat dat ook alweer? "Wat gij niet wilt dat u geschiedt, doet dat ook de ander niet." Dat heb ik nog van mijn oma geleerd... misschien is dat wel ouderwets ofzo.
Er zijn ook genoeg onfatsoenlijke manieren om geld te verdienen aan toegevoegde waarde. Niet helemaal toevallig zijn het juist ook banken die zich daarmee bezig houden.

Overigens zijn er naast principiele redenen ook zat practische redenen om geen doodstraf te willen, zoals dwalingen.
Niemand pakt het geld van je af, hier staan de banken garant voor.

Je kan je beter afvragen of we wel geschikt zijn als mensheid om op deze manier te leven en met geld te kunnen omgaan, zeker als het ook nog eens virtueel geld is. Hierdoor is het dader / slachtoffer beginsel sterk verwaterd.

Geld is oorspronkelijk een ruilmiddel, maar nu verdienen vele mensen geld met geld, of te wel met het oorspronkelijke ruilmiddel. Daar is het niet voor bedoeld...
Kunnen ze niet een keer een fool proof pinautomaat maken?
Jawel, maar dat gaat ten koste van het gemak / de bruikbaarheid. Maar volgens mij vinden veel mensen dat het vooral makkelijk moet - en dan kun je niet allerlei ingewikkelde beveiligingen implementeren. En dan moet je natuurlijk niet raar staan te kijken wanneer daar misbruik van wordt gemaakt.
maar is dat verkeer niet gewoon encrypted?....
Blijkbaar in ieder geval niet end-to-end.
Het is toch best wel amateuristisch geregeld zo, je zou toch verwachten dat er niks te beginnen is met de data die de kast in en uit gaat. Ziet er uit als een simpel gl.inet routertje, hup openwrt erop, bridgen die interfaces en sniffen maar.....maar dan nog zou dat niks bruikbaars mogen opleveren.
In Nederland is het voor zover ik weet verplicht om het end-to-end (van PIN-terminal tot APSP, het verkeer daarachter zal sowieso aan strenge eisen moeten voldoen) geencrypt te laten lopen, ik heb zelf in elk geval geen andere implementaties gezien. Maar misschien dat deze machines anders werken dan de gewone PIN-terminal in een willekeurige winkel?

[Reactie gewijzigd door Mmore op 10 februari 2016 18:35]

Sowieso heb ik het idee dat het beveiligingsniveau en regelgeving daaromtrent hoger ligt in NL dan in de VS (waar Krebs woont, dus ik neem aan dat het daar gebeurt). Two-factor authenticatie voor internetbankieren is daar een uitzondering, terwijl het bij ons geloof ik verplicht is. Net als dat een handtekening zetten ipv pincode nog veel gebruikelijker is.

[Reactie gewijzigd door Rafe op 10 februari 2016 18:48]

Je hebt gelijk, al is een handtekening vs PIN-code niet echt een kwestie van veiligheid, maar meer van wetgeving en historie.

In Nederland is het per wet op basis van EU richtlijnen verboden om bij pas-fraude de klant 100% schadeloos te stellen. In de VS is het juist per wet verplicht de klant maximaal $50 dollar te laten betalen. In de praktijk zijn de meeste kaarten daar dus 100% gedekt.

Dat is relevant, want de meest gebruikte fraude is skimmen en online fraude. Skimmen wordt al volledig voorkomen door een goede chip implementatie. De PIN is overbodig. En bij online fraude is de PIN niet in gebruik.

Blijft over de fraude dekking. Als er geen PIN-code gevraagd wordt, kan de bank niet aantonen dat de klant 'onzorgvuldig' was. In de VS maakt dat niet uit, want ook met PIN-code is de bank aansprakelijk en niet de klant indien de klant het tijdig meldt. Kwestie van sterkere consumentenbescherming daar dan hier.

Tenslotte historie. NLse pasjes zijn doorgaans 'debit' en in de USA is dat maar ruweg de helft. De rest is de befaamde charge- en creditcards. Deze hebben van oudsher handtekening. En je gaat gewoonten van gebruikers niet veranderen als er geen noodzaak voor is.
"In Nederland is het per wet op basis van EU richtlijnen verboden om bij pas-fraude de klant 100% schadeloos te stellen."

Referentie? Ik zeg bullshit.
Dat jij iets raar vindt, wil nog niet zeggen dat het onwaar is :)

Er zijn veel rare dingen afgesproken in het kader van EU harmonisatie. Maar dit staat gewoon in de Payment Service Directive.

Maar we hebben geluk, want de nieuwe Europese bankrichtlijn "Payment Service Directive 2" maakt het mogelijk deze te verlagen. Nederland gaat daar ook aan voldoen en het zal dus terzijnertijd tot 50 euro verlaagd worden.

Was eergisteren nog in het nieuws. ) Onze minister wil echter niet nog lager, want dat zou de burger minder voorzichtig maken.

Jazeker, de burger moet je opvoeden als betuttelde overheid, en niks burger en banken onderling laten regelen. :(
Waar staat dit in de Nederlandse wet dan?
"Artikel 529 1. In afwijking van artikel 528 draagt de betaler tot een bedrag van ten hoogste ¤ 150 het verlies met betrekking tot niet-toegestane betalingstransacties dat voortvloeit uit het gebruik van een verloren of gestolen betaalinstrument of, indien de betaler heeft nagelaten de veiligheid van de gepersonaliseerde veiligheidskenmerken ervan te waarborgen, uit onrechtmatig gebruik van een betaalinstrument."

Ik zeg succes bank, toon maar aan dat ik mijn gepersonaliseerde veiligheidskenmerken niet heb gewaarborgd. Je moet je pas natuurlijk niet kwijtraken, maar dan nog. Bovendien staat hier dat er MAX ¤150 eigen risico geldt, dat kan ook 0 zijn. Daarmee blijft jouw uitspraak onwaar.

[Reactie gewijzigd door S0epkip op 11 februari 2016 09:10]

Bovendien staat hier dat er MAX ¤150 eigen risico geldt, dat kan ook 0 zijn. Daarmee blijft jouw uitspraak onwaar.

Helaas, dit gaat gelukkig omlaag naar 50, maar mag niet nul. Eergisteren nog verklaard door de minister.
Waar haal je vandaan dat nul niet mag?
Even Googlen, en je vind het. Kom op zeg, beetje zelfredzaamheid op het internet anno 2016 mag toch wel :)

Was eergisteren nog op het nieuws, inclusief grote sites als de Telegraaf 8)7
Google is geen Nederlandse wet. Telegraaf al helemaaaaal niet. Zelfs een uitspraak van een minister niet.

In de wet staat: De bank mag de klant een eigen risico geven van ¤150.

Niet moet minimaal 150 zijn.

Eigen risico
De klant heeft echter wel een eigen risico van maximaal 150 euro, zo staat in datzelfde artikel.De bank mag de klant een lager eigen risico geven..

http://www.iusmentis.com/...rakelijk-fraude-betaling/


Eens?

[Reactie gewijzigd door S0epkip op 11 februari 2016 18:02]

My thoughts exactly. Wel heel erg slecht als het zó makkelijk is.
Dan kan je ook gewoon op een ander knooppunt onderweg tappen.
Vaak kijken ze daar niet zo naar om. Pak een losse ATM (die losse Amerikaanse pin automaten), die krijg je nog niet eens open met een moker.
Jawel, dus je hebt niets aan de informatie (in Nederland in ieder geval).
Zeer zwak.
[Het] EMV [protocol], beter bekend als het 'nieuwe pinnen', kent geen end-to-end authenticatie van transacties tussen pin- of betaalautomaat en verwerker, zoals bank. Dit maakt het mogelijk dat cybercriminelen een man-in-the-middle aanval uitvoeren ergens in het netwerk, zoals een switch, en ongemerkt en ontraceerbaar pintransacties kunnen manipuleren.
http://sec.cs.ucl.ac.uk/u.../oakland14chipandskim.pdf
maar is dat verkeer niet gewoon encrypted?....
De communicatie is versleuteld middels 3DES
https://en.wikipedia.org/wiki/Triple_DES
Zo zie je maar weer, blind vertrouwen op bedrijven die hier zogenaamd verstand van hebben is dus niet al te slim... Je zou zeggen dat de beveiliging van dit soort dingen een top prio moet zijn maar blijkbaar wordt er meer aandacht besteed aan de gemiddelde wordpress site.
Zo zie je maar weer, blind vertrouwen op bedrijven die hier zogenaamd verstand van hebben is dus niet al te slim... Je zou zeggen dat de beveiliging van dit soort dingen een top prio moet zijn maar blijkbaar wordt er meer aandacht besteed aan de gemiddelde wordpress site.
Jack Barnaby op Defqon
https://www.youtube.com/watch?v=I40aOdJ2VkE
Ik denk eerder dat men de private keys / certificaten heeft bemachtigd op één apparaat en dat vervolgens blijkt dat deze wordt gedeeld met alle externe pin automaten.
Bankieren zonder ssl kan niet maar pinnen gaat clear text???
Waar staat dat het 'PLAIN'-text gaat?
Anders zou het geen probleem zijn dat er iemand een man-in-the-middle aanval probeert te doen. Waarschijnlijker is dat een deel in plain text gaat en een deel ge-encrypt, want anders zouden ze geen camera's hoeven te gebruiken om de pincode af te lezen. Zal vast historisch prima te verklaren zijn, maar totaal onbegrijpelijk dat dat vandaag de dag nog steeds niet gefixed is... totdat je bedenkt dat ze in de VS nog steeds swipe-and-sign gebruiken :+ .
De VS is sinds oktober 2015 ook over op chip (muv tankstations die pas in 2017 over gaan). Echter het is toegestaan om swipe te gebriken, maar dan is de winkelier zelf verantwoordelijk voor fraude.

Maar je hebt verder wel gelijkd at een deel in plain-text gaat. De PIN-code is versleuteld met 3DES, vandaar de noodzaak tot de camera. De rest is plain-text, daar deze verbindingen niet over het internet gaan, maar gesloten systemen zijn. Of beter gezegd, horen te zijn.

Immers je kunt nooit alles beveiligen. Er zijn ook tal van insider jobs waar men in de ATM ingebroken heeft en kabels en apparatuur geplaatst. Of simpelweg het plastci aan de vorozijde open gebroken, en er een mooie nieuwe nep plaat voor gezet heeft zodat de inbraak verborgen is. Er is immers altijd een deel van de transactie die plain-text is, dus als je diep genoeg toegang hebt, kun je er altijd bij.

De fout hier is dat deze kabels die doorgaans tot het interne ATM netwerk behoren, extern liggen. Zonder fysiek de ATM open te breken, zou men niet bij deze kabels mogen komen.

Maar ja, je ziet dat vaak bij dit soort ATM's die vaak geplaatst worden bij een winkel. De uitbater van de ATM en de winkelier zijn beide niet de bank, en hebben maar beperkt belang bij veiligheid. In nederland zijn dit soort ATM's erg zeldzaam, maar in andere landen zoals de VS juist heel gangbaar.
In nederland zijn dit soort ATM's erg zeldzaam
In de twee hier dichtstbijzijnde supermarkten staan ze toch wel (en dat terwijl één van die twee supermarkten ook binnen een in de muur ingebouwde automaat heeft).
Doch deze zijn vrijwel altijd van de/een bank zelf.
We weten niet wat de resultaten zijn. Misschien was dit slechts een poging tot met nieuwe hardware..
Nee, skimmers doen moeite om iets te pakken te krijgen waar ze niets aan hebben, en bedrijven waarschuwen als er niets aan de hand zou zijn.

Het staat er niet, maar tussen de regels door lees je het toch.
Tussen de regels lees ik net zo goed dat ze een gekraakte sleutel of encryptiemethode gebruiken.
We weten niet wat de resultaten zijn. Misschien was dit slechts een poging tot met nieuwe hardware.
Nergens, maar je gaat geen hardware aanbrengen in netwerk infra van zo'n pin machine als je niets doet met die data lijkt me?

Het enige alternatief dat ik me zou kunnen bedenken is dat ze hopen mee te liften op de internet verbinding van zo'n pinautomaat. Maar dan zou ik het raar vinden dat zo'n pinautomaat gewoon aan het internet hangt.
Als je mij zou vragen om zo'n pinautomaten netwerk te in te regelen zou ik dat doen door een dichtgehamerde (V)LAN met hele strikte regels over wat waar overheen mag en onder welke voorwaarden. Dus niet gewoon een DHCP die standaard een ip met gateway uitdeeld met standaard routes naar buiten toe aan elk apparaat dat er om vraagt.

En als ik een crimineel was zou ik daar gewoon UMTS voor gebruiken, dan hang je niet aan bankhardware en ben je dus niet vindbaar door een wakkere sysadmin en hoeft dat ding ook niet in de directe omgeving van zo'n pinautomaat te hangen.

[Reactie gewijzigd door Alpha Bootis op 10 februari 2016 18:48]

Gewoon aan het internet? Eerder een dichtgespijkerde VPN tunnel of iets dergelijks...
Dat zou ook de router verklaren, proberen om in het banken netwerk te komen en niet zozeer skimmen..

[Reactie gewijzigd door BAS80 op 10 februari 2016 20:14]

We weten niet wat de resultaten zijn. Misschien was dit slechts een poging tot met nieuwe hardware...
Bij Pin-automaten bij de Retail zijn er eigenlijk 2 mogelijkheden.
een Directe, Losse Vlan vanaf de Betaalautomaat, via de provider ( via VPN & VLAN) naar een speciaal 'Pin' netwerk.
Maar dit is zeker niet noodzakelijk.

de andere mogelijk is gewoon direct op het 'normale' internet
Ook bij ons in de Horeca, en in verschillende winkels waar van ik weet hangen deze gewoon 'simpel' aan het interne netwerk, via DHCP ingesteld, door het normale routertje heen het wijde web op.
Dat hoeft natuurlijk niet te zeggen dat de pinautomaat zelf geen VPN verbinding opzet.
Dit zelfde gebeurd geloof ik ook met alle 'mobiele' pinautomaten.
Misschien is het voordeel van een Dedicated lijn is dat er minder / andere verificatie nodig is, waardoor het pinnen in de Supermarkt ( met dedicated lijnen ) nog ff sneller dan op een automaat die normaal aan het internet hangt.

Daartegenin zijn de automaten zelf die bij de winkelier ontzettend goed beveiligd, een mobiele pinautomaat, net iets de hard laten vallen gaan ze in 'brick mode' omdat hij denkt dat hij open is geweest, en dan is de automaat eigenlijk 'afgeschreven' en kan geloof ik alleen na controle door de fabrikant te herstellen
Dat zou het erg lastig maken, omdat er belachelijk veel schakelingen zijn tussen een pinbetaling en je eigen bank.

[Reactie gewijzigd door BJ_Berg op 10 februari 2016 18:26]

Ik zie niet in hoe lastig te maken heeft met het aantal schakelingen, de communicatie dient gewoon vanuit het apparaat al fatsoenlijk encrypted te zijn voordat het het netwerk op gaat tot en met tenminste een payment provider (zoals Currence)?!
Ja maar ze moeten het zo universeel mogelijk houden, en er zijn nog steeds zoveel bedrijven die op 5+ jaar oude pinautomaten draaien.
10+ jaar lijkt me sterk aangezien de magneetstrip allang niet meer ondersteund wordt. Verder zijn encryptietechnieken ook al 10+ jaar oud, ik vraag me vooral af of er geen "slechte" encryptie gebruikt wordt die inmiddels gekraakt is of dat er sleutels bemachtigd zijn waarmee e.e.a. te decoderen is. Even alle pinapparaten van nieuwe certificaten/keys voorzien en de oude certificaten revoken is niet snel opgelost.
De verbindingen van de ATM zijn vaak intranet of point-to-point inbel. In feite heb je dan geen encryptie nodig. Uiteraard zijn bepaalde elementen wél versleuteld zoals de PIN-code, maar niet alles. En daar zit de zwakheid.

Men heeft dan nog steeds een camera nodig voor de PIN-code, maar leest de andere gegevens van de kabel. Het punt is dat deze kabels niet extern horen te liggen, maar intern in de kast.

Het is dus vooral een faal van de uitbater en leveranciern van die kast. Het moet of intern, of via additionele fysieke afscherming beschermd.
De verbindingen van de ATM zijn vaak intranet of point-to-point inbel. In feite heb je dan geen encryptie nodig.
Dat is natuurlijk onzin. Ook bij een intranet of point-to-point verbinding dien je gevoelige informatie te versleutelen. Niet in het laatste geval omdat de meeste aanvallen van "binnenuit" worden uitgevoerd.Vertrouwen op een intranet als in "daar kan toch niemand bij" is niet genoeg.
Het probleem is dat als je diep genoeg gaat het altijd te kraken is. Op een gegeven moment is de data altijd onversleuteld. Je kunt echter niet elke stap en data transfer versleutelen. Dan zou elk draadje versleuteld moeten zijn, en dan nog is het onversleuteld in het geheugen.

Dus zo gek is het niet om aan te nemen dat intern je minder security hoeft. Hoeveel minder is natuurlijk de vraag, maar als deze kabels gewoon netjes aan de binnenkant van deze doorgaans goed beveiligde kasten zitten, is er niet zo'n probleem.

Je hebt overigens wel gelijk dat erop vertrouwen dat intranet veilig is nogal naief is (al doet KPN dat nog steeds met email :) ). Maar een deel van de data was dan ook encrypted.
Het probleem is dat als je diep genoeg gaat het altijd te kraken is. Op een gegeven moment is de data altijd onversleuteld.
Dat is nogal een dooddoener. Natuurlijk moet de data op een gegeven moment ontsleuteld worden maar een intranet of een point to point verbinding is daar niet de juiste plaats voor. Dan heb je verre van end-to-end encryptie.
Je hebt gelijk, maar dat is moderne logica, en amper 5 jaar geleden niet de standaard. En daar zit hem dan ook het probleem. De security techniek en eisen gaan sneller dan de levensduur van de apparatuur.

De PIN-automaat bij het tankstation, ging tot niet zolang geleden ook vaak via een onversleutelde inbelverbinding naar buiten.

Dat is een beetje het probleem hier. Oude techniek ivm flinter dunne marges in deze sector. Klant wil niet graag betalen voor pinnen, en dus zal men enkel minimaal implementeren wat de wettelijke standaard eisen.
Lastig maken? Volgens mij is dat hier niet van belang, dit is een pinautomaat. Die horen veilig te zijn, hoe lastig het ook is. Ik ga ook geen website bouwen en wachtwoorden niet hashen en salten omdat het "lastig" is.

[Reactie gewijzigd door s1h4d0w op 10 februari 2016 18:30]

Dat wordt dus extra opletten geblazen bij externe apparaten bij onder andere de Hema. Wij pinnen daar altijd van de SNS. En of het personeel daar nou altijd zo goed op let is me een vraag. In meerdere stappen zou je daar best stiekem iets tussen kunnen plaatsen.
Wordt niet opletten geblazen, replay attacks zijn niet mogelijk in NL. Dus je hebt niets aan de onderschepte data.
Volgens mij weten wij daar op dit moment niets van af, aldus het artikel. Ze hangen het apparaat er vast niet tussen voor de views en/of media aandacht. Maar als je erop wilt pinnen ga gerust je gang natuurlijk.

[Reactie gewijzigd door Rabbitto op 10 februari 2016 18:32]

Daar weet ik toevallig wel wat vanaf. In Nederland pinnen we volgens het emv-protocol. Dat houdt in dat er alleen een uniek cryptogram over de lijn verstuurd wordt die maar één keer geldig is.

Er wordt geen gevoelige informatie verstuurd.

[Reactie gewijzigd door MarcoC op 10 februari 2016 18:37]

En toch zal er iets bruikbaars tussen zitten anders werd het niet gedaan. Ervan uitgaande natuurlijk dat dit niet een eerste experiment is van de skimmers om te kijken of er überhaupt wat data te halen valt. Of ze gebruiken het op een andere manier en onderscheppen ze niet zozeer data maar sturen ze iets aan.
Als er nog gepind wordt met de magneetstrip dan kan er bruikbare data tussenzitten ja. In Nederland is dat niet zo.

Ondertussen is het emv-protocol wat dit soort onderscheppingen nutteloos maakt ook alweer 20 jaar oud, dus iedereen die nog met een magneetstrip betaalt is heel erg ouderwets bezig.

[Reactie gewijzigd door MarcoC op 10 februari 2016 18:52]

Als je geld uit de 'muur' haalt gaat dat vaak nog met de magneet strip..

Ik kreeg laatst nog bij mijn relatief nieuwe bankpas bij meerdere bank automaten (ABN en ING) de melding dat mijn magneetstrip onleesbaar is en ik daarom geen geld kon opnemen. "Handig, kunnen ze me daar in ieder geval niet meer skimmen" dacht ik nog.

Maar je gebruikt dus nog wel degelijk je magneetstrip.. Ondanks dat je pas een chip heeft en zelfs nfc ondersteund.
Het enige dat je dan kunt concluderen is dat er een kans is dat het EMV-protocol gekraakt is. Je kunt uit de gegeven informatie onmogelijk concluderen dat het vast wel veilig is omdat dat kastje er voor de grap tussenhangt.
Dat is omgekeerde bewijslast. Je redenatie klopt niet.
Ik probeer juist jouw conclusie uit het ongerijmde duidelijk te maken, maar ik had het inderdaad beter kunnen formuleren.

Jouw redenatie komt neer op: "Goh er zit een kastje tussen. Dat is vast voor de sier want ik denk dat het wel veilig is omdat die ene specifieke aanvalsvector die ik ken, waarschijnlijk niet kan werken op basis van wat ik van het systeem weet". Daarbij zie je dus straal over het hoofd dat je daarmee totaal niet uitsluit dat het systeem toch op 1337 andere manieren gekraakt kan zijn.

Mijn redenatie komt neer op: "Dat kastje zit er vast niet voor de sier. Er is een kans dat het systeem niet of nog niet gecompromitteerd is, maar zonder kastje is de kans dat het veilig is wel veel groter. Laat ik deze dus maar even overslaan".

[Reactie gewijzigd door mae-t.net op 11 februari 2016 23:55]

Alsnog blijft mijn antwoord hetzelfde. Alle informatie die uit de pinpas komt is in Nederland maar 1x geldig. Dus de onderschepte data is per definitie waardeloos.

Het systeem kan inderdaad op 1337 andere manieren gehackt zijn. Alles kan gehackt zijn. Nogal een rare stelling.

Deze methode kan voor magneetstripbetalingen trouwens wel van toepassing zijn.

[Reactie gewijzigd door MarcoC op 12 februari 2016 07:39]

Wacht even. Even terug op die media aandacht. Waar denk je dat een hoax weg komt, puur geilen op media aandacht. Dit zou bijvoorbeeld net zo goed een hoax kunnen zijn. Puur om die reden. Je 'geintje' die vitaal gaat.
Daar heb je een punt, mits dus blijkt dat het geen criminele bedoeling is. Dat zal blijken na onderzoek of het kastje werkelijk iets doet.
Klopt, vroeger waren er al dingen die enkel op filmpjes konden wat echt leek, maar bleek later een hoax te zijn.
Je mag toch aannemen dat dit afgeschermd is en dat er terplekke regelmatig zo niet dagelijks controle is daar waar die losstaande geld automaten staan, of verwacht ik teveel.
Het is niet echt realistisch om te verwachten dar er op regelmatrige basis (en al helemaal niet dagelijks) vele duizenden apparaten gecontroleerd worden. Dan zou je een leger aan personeel nodig hebben elke dag om dat te doen wat de kosten weer opdrijft.
Nee, zo'n ding wordt dagelijks gevuld en geleegd. Er is dus 2x per dag iemand bij. Diegene dient ook te zorgen dat dit soort zaken bemerkt worden.
Onzin. Zo'n ding word als t goed is alleen gevuld als ie (bijna) leeg is, wat weer centraal wordt bijgehouden, van wie is het geld wat er in zit? Niet van de retailer, maar van de bank of waardehandler, hoewel er mogelijk locaties zijn waar de retailer ook de eigenaar van de automaat is, maar ik ken ze niet... Dagelijks legen gebeurt niet of nauwelijks, de retailer kan niet eens in de automaat, laat staan in de kluis, die verhuren enkel de m2 aan de bank of uitbater van het apparaat en moeten zorgen voor de 230v, dat is hier de common practice volgens mij.

[Reactie gewijzigd door denonman1 op 10 februari 2016 22:13]

Dat geld kan je halen bij oa Brinks ... niet voor niks ook overvallen een tijdje terug want er liggen miljoenen blijkbaar.

succes met invallen maar dat zal niet makkelijk zijn ;)
Nee, zo'n ding wordt dagelijks gevuld en geleegd. Er is dus 2x per dag iemand bij. Diegene dient ook te zorgen dat dit soort zaken bemerkt worden.
Maar dat zal op zijn best een zeer oppervlakkige controle zijn, want die bijvuller heeft geen tijd om het hele apparaat van voor naar achter door te lichten op potentiele skimming-methodes, waar er tientallen van zijn.

Als hij dat zou doen zou hij net één of twee automaten per dag kunnen doen.

En in de tussentijd (tussen het 1e en het 2e bezoek) kan hij alsnog voorzien worden van skim-apparatuur. Daar ga je dan, met je controle...
Uiteraard zijn er altijd mogelijkheden.

Waar je aan voorbij gaat is dat de meeste van deze apparaten niet door banken oid gevuld worden, maar gewoon door het bedrijf waar dat ding staat. Bijvoorbeeld je lokale supermarkt. Mensen die dat doen zien het apparaat dus vrijwel dagelijks en dit zou dus op moeten vallen. Ik spreek uit ervaring.
Deze controle kan toch simpel plaats vinden door de dagelijks aanwezige betreffende winkel manager, daar waar de Automaat staat al dan niet na enige training, ik zie dat probleem niet.
Die automaten zijn over het algemeen geen eigendom van de winkelier, en dus ook niet hun verantwoordelijkheid. Daarnaast is een winkelmanager geen techneut die de hele automaat kan (of mag, want geen eigendom) onderzoeken

Dit is immers maar één methode van skimmen, er zijn er tientallen.
Vreemd dat dit verkeer niet geencrypt word. Zo moeilijk lijkt me dat niet, end to end encryptie? op het pinautomaat geencrypt, en bij de bank weern gedecrypt.
We weten niet zeker dat het verkeer unencrypted is toch?
Als het wel geencrypt blijkt te zijn is het nog vreemder, want dan is het schijnbaar niet voldoende geencrypt.
Nouja ik denk niet dat zo'n klein apparaatje een standaard encryptie kan decrypted in een "reasonable amount of time"
Dat hoeft ook niet, je kunt het ook pas later decrypten, zodra de skimmer de gegevens op zijn eigen PC heeft staan. Dat hoeft natuurlijk niet ter plekke.

[Reactie gewijzigd door Johan9711 op 10 februari 2016 20:42]

Ja dat is waar. Big data ftw :p
Nouja als er encryptie op de data staat dan is dat blijkbaar te omzeilen, anders zouden ze dit niet doen.

Blijkbaar heeft een pincode een betere encryptie, aangezien ze die nog steeds met een camera moeten aflezen...
De pincode verlaat het apparaat waarschijnlijk niet eens, immers kan de chip op een bankpas zelf de validatie ervan al doen en een autorisatie genereren, eigenlijk hetzelfde proces als op zo'n offline Digipass voor het internetbankieren.
Maar waarom kijken ze dan nog naar je pin? De pas blijft niet zitten bij dit soort skim.
Die witte is in elk geval een Raspberry Pi 2 (of B+) met Cyntech case.. Daarmee zal het wel redelijk makkelijk zijn om te achterhalen wat hij doet omdat je de SD kaart er gewoon uit kan halen.

Echt bizar dat het niet encrypted is! Dan had dit inderdaad absoluut niks uitgehaald. Ik denk dat het daarom ook alleen op NCR apparaten werkt, misschien checken die het SSL/TLS certificaat niet ofzo.

[Reactie gewijzigd door GekkePrutser op 10 februari 2016 18:31]

Ik heb even gekeken en kan het niet reproduceren met de grijze en zwarte kabel, een van die twee kabels zou in de ethernet poort zitten, maar die andere kabel zit dan niet recht evenredig zoals op de foto. Het doosje lijkt er wel op, kortom de kabels zitten op de verkeerde plek als het een raspberry pi2 zou zijn. Wellicht een andere vorm van raspberry of iemand een anders een idee wat dit kan zijn?
Goed punt!

Ik dacht eerst dat die witte rechthoekige uitstulping aan de rechterkant een officieel zij-cover van die case was, Cyntech verkoopt namelijk ook covers die je er op kan klikken aan de zijkant: link.

Het is volgens mij of zo'n cover, of ze hebben er een witte USB-ethernet interface op geplakt ofzo. Of ze hebben er inderdaad een ander bordje in gemod, dat zou ook heel goed kunnen.

Volgens mij is het wel zo'n Cyntech kastje in elk geval, want langs de linksbovenkant zie je de gleuf zitten die er inderdaad op zit om een flatcable doorheen te halen (voor toegang tot de GPIO pinnen van de pi). Op deze foto zie je die beter. Maar het zou inderdaad ook wel eens een ander bordje kunnen zijn. Want als hij met de gleuf naar boven zit, dan zit linksboven inderdaad geen ethernet poort (en verder ook helemaal geen poort)

[Reactie gewijzigd door GekkePrutser op 10 februari 2016 19:40]

Bij de titel dacht ik aan "unshielded twisted pair" kabels, waar gegevens onderschept konden worden omdat die kabels geen afscherming hebben. De oplossing zou dan het gebruik van S(S)TP kabels zijn. Maar ja, als je de netwerkdoos open en bloot hebt gemonteerd vraag je om problemen. Een simpele oplossing zou zijn dat de software van de betaalautomaat blokkeert zodra de stroom of het netwerksignaal onderbroken wordt. De netwerkkabel moet tenslotte los om het onderscheppingskastje er tussen te plaatsen. Na de blokkering zou een bankmedewerker de betaalautomaat moeten deblokkeren nadat deze de bekabeling had gecontroleerd. En natuurlijk een goede versleuteling van de gegevens.

[Reactie gewijzigd door Titan_Fox op 10 februari 2016 18:30]

Ik ben het met je eens, dat de netwerkaansluiting niet achter slot en grendel zit is merkwaardig te noemen.
Dan moet er bij elke netwerkdip en stroomuitval een medewerker naar die automaten kijken.
Dat lijkt me niet bijzonder realistisch. Of zag je dat anders voor je?
Als je op een plek woont waar dagelijks stroomuitval plaats vindt, zijn skimmers waarschijnlijk niet je grootste probleem :Y)

Daarbij is een netwerk-dip toch heel wat anders als een fysieke scheiding van ethernetkabel en NIC. Zo'n beetje ieder gangbaar OS ziet verschil tussen deze zaken.

[Reactie gewijzigd door Titan_Fox op 10 februari 2016 21:36]

Op dit item kan niet meer gereageerd worden.



Samsung Galaxy S7 edge Athom Homey Apple iPhone SE Raspberry Pi 3 Apple iPad Pro Wi-Fi (2016) HTC 10 Hitman (2016) LG G5

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True