Nieuwe pinnen nog stiekemer te skimmen

Pinnen met chip in plaats van magneetstrip is ook te skimmen, zonder dat het is te zien aan het apparaat.

Barsten in de beveiliging van de emv-chip op de nieuwe bankpassen waren er al langer. Maar een nieuw onderzoek toont aan dat skimmen van de nieuwe emv-passen nog makkelijker is dan zou moeten. Vier security-onderzoekers hebben op een Canadese conferentie laten zien dat het te doen is door een klein printplaatje in de sleuf van de betaalautomaat te plaatsen. Daarmee weten ze de pincode te skimmen.

De aanval werkt doordat de printplaat ervoor zorgt dat de automaat overgaat in de offline-modus, waarbij de server van de bank de pincode niet checkt. Ook slaat hij de communicatie onversleuteld op, zodat ook de pincode is te zien. Het hele onderzoek is als PDF-document te downloaden.

Criminelen kunnen als ze eenmaal de pincode hebben een pas namaken. De Nederlandse bankpassen hebben ook nog allemaal magneetstrips, die in andere landen werken om te pinnen. In sommige landen zelfs nog steeds zonder pincode. Volgens de onderzoekers is de technische specificatie van EMV het grote probleem dat de skimmethode mogelijk maakt. Maar de standaard zal voorlopg niet snel worden aangepast.

De emv-chip vervangt de komende jaren in veel landen de totaal onveilige magneetstrip op pinpassen. Het betekent dat je de pas niet langer moet doorhalen maar in het apparaat moet steken. Reden voor de invoering is dat de emv-chip veiliger zou zijn. Maar dat is dus al niet meer het geval. Bovendien zijn geskimde emv-apparaten nog minder makkelijk te herkennen doordat het printplaatje in de pasgleuf zit en dat is een stuk minder zichtbaar dan de voorzetstukken die de skimmers nu gebruiken.

Laat nu net deze weken het tv-spotje van de overheidscampagne over 'het nieuwe pinnen' regelmatig op tv voorbijkomen. Zie ook onze uitlegparty over Het Nieuwe Pinnen.