De pinpas is hopeloos verouderd /2 reacties

De pinpas is hopeloos verouderd

Als de Wet van de Remmende Voorsprong ergens opgeld doet, dan is dat in het Nederlands betalingsverkeer: toen in de rest van Europa mensen bij de kassa nog aan het hannesen waren met cheques kon hier al soepel en snel elektronisch betaald worden met de pinpas. Later kregen we zelfs de Chipper en Chipknip om ook kleine bedragen elektronisch en zonder pinnen te voldoen.

De pinpas is een groot succes. Het is in Nederland het meest gebruikte betaalproduct en wordt gebruikt voor 35 procent van het totale aantal niet-chartale betalingen door Nederlandse rekeninghouders. De Chipknip heeft met 4 procent een aanzienlijk kleiner gebruiksaandeel maar is in Nederland nog altijd belangrijker dan de credit card die slechts 2 procent gebruiksaandeel heeft.

Inmiddels zitten er op credit cards en buitenlandse pinpassen ook een chip. Maar dat is een EMV chip. Niet een aparte elektronische portemonnee maar een vervanging van de magneetstrip.

De magneetstrip is een goedkope manier van informatie opslaan en is makkelijk uit te lezen. Maar het is een passief iets. De informatie op de magneetstrip verandert in het leven van een pinpas niet. Het makkelijk kunnen uitlezen is ook een probleem, de strip kan ook worden gelezen door mensen met kwade bedoelingen. En de apparatuur om pinpassen te kopiëren is gewoon op internet te bestellen.

Skimming

Bij Skimming wordt een pinautomaat of een betaalterminal in de winkel door criminelen aangepast. Deze breken in of laten zich insluiten in de winkel om de terminals te kunnen aanpassen. Door deze aanpassing geeft het apparaat de informatie van de magneetstrip en de ingevoerde pincode door aan de criminelen. Met deze informatie kunnen nep-pinpassen worden gemaakt waarmee via een pinautomaat de rekening van het nietsvermoedende slachtoffer kan worden geplunderd.

De Hypercom 201 pinterminal

In Amerika zijn criminelen nog verder gegaan. Daar hebben ze een complete fake pinautomaat neergezet. Van buiten leek deze echt. Van binnen zat alleen maar een laptop waar de gegevens werden opgeslagen. Klanten die probeerden te pinnen konden hun kaart en pincode invoeren, maar kregen in plaats van geld een mededeling dat zich een fout had voorgedaan. Ondertussen werden alle gegevens wel opgeslagen om later te misbruiken.

In Nederland is de schade in principe voor de banken. Maar het spreekt voor zich dat de overlast voor de slachtoffers groot kan zijn. Ze zitten ineens zonder geld en zullen moeten aantonen slachtoffer van pinpas fraude te zijn geweest. De omvang van de fraude lijkt niet heel groot. De laatste cijfers zijn uit 2005 toen volgens de Nederlandse Bank 3,7 miljoen euro is buitgemaakt. Maar de laatste weken is de fraude weer volop in het nieuws, onder meer omdat de pinterminals in de Praxis vestiging in Nieuwegein gecompromitteerd bleken.

In die gevallen zijn ook winkeliers het slachtoffer. Bendes hebben ongemerkt hun pinterminals omgebouwd om zo passen te kunnen skimmen. Dat helpt het imago van die winkels natuurlijk niet. Inmiddels hebben winkeliers via het Platform Detailhandel minister van justitie Hirsch Ballin opgeroepen harder op te treden tegen skimming.

De korte termijn oplossing voor deze fraude is voorzetstukje op pinautomaten en nieuwe terminals in winkels die minder makkelijk aan te passen zijn. Maar dit zijn duidelijk tijdelijke oplossingen. De toekomst is er ééntje zonder magneetstrip. Currence, de organisatie die de pinbetalingen uitvoert, oefent ook druk uit op winkeliers om oude pinterminals te vervangen door nieuwe minder fraude gevoelige apparaten. De meeste fraude vindt plaats met de Hypercom HFT 201. Het door Currence afgegeven veiligheidscertificaat van dit apparaat is geldig tot 30 juni 2008 maar eerdere vervanging wordt aangeraden.

De echte oplossing tegen skimming is het stoppen met het gebruik van de magneetstrip.