Banken dichten skimgat in het nieuwe pinnen

Vlak na 'het nieuwe pinnen' kwam 'het nieuwe skimmen' omdat er een gat zit in het EMV-systeem. De Nederlandse banken hebben dat nu gedicht, maar nog niet alle betaalautomaten zijn veilig.

Dat stelt Currence, de organisatie die in Nederland namens de banken het elektronische betalingsverkeer regelt. "De banken hebben de problemen onderkend en er zijn maatregelen genomen", aldus een woordvoerster tegen Webwereld. "Het is in Nederland niet meer mogelijk."
Het nieuwe skimmen

Ze verwijst daarmee naar een recent onderzoek waaruit bleek dat het ook vrij eenvoudig was om het nieuwe pinnen te skimmen. Door een printplaatje in de gleuf van de betaalautomaat te laten zakken was het mogelijk om pincodes op te vangen. Die werden namelijk onversleuteld door de EMV-chip afgegeven aan het apparaat.

Kwaadwillenden hadden de mogelijkheid om zo lange tijd onopgemerkt de pincodes van nietsvermoedende betalers op te slaan. Anders dan bij het skimmen via een magneetstrip kon de pincode niet direct misbruikt worden door de datadieven, om succesvol te zijn moest ook de pas zelf worden bemachtigd.
Pincode

Het gat is vorige week dinsdag gedicht. "De betaalautomaat krijgt geen clear text pincode meer", legt de woordvoerster uit. Wel kan het nog zijn dat bepaalde terminals nog niet helemaal veilig zijn. Het gaat dan om weinig gebruikte betaalautomaten. "Zoals bijvoorbeeld van een ijsboer die hem alleen in de zomer gebruikt." Volgens Currence zijn de banken direct na het bekend worden van de onderzoeksresultaten aan de slag gegaan om het gat te dichten.

De Radboud Universiteit Nijmegen werkte vorige week op verzoek van actualiteitenrubriek EenVandaag al aan een proefopstelling om met de in het onderzoek genoemde skimmethode aan de slag te gaan. Volgens promovendus digitale security Gerhard de Koning Gans die aan de proefopstelling werkte was het gat in het nieuwe pinnen woensdag voor 80 tot 90 procent gedicht. Daarna is de proefopstelling niet meer gebruikt. "Dat hoorden we van de banken en daar ga je dan op af."

Dit tot tevredenheid van Currence die net gestart is met een grote campagne om het nieuwe pinnen te promoten. "Dan zit je natuurlijk niet te wachten op televisiebeelden waarop te zien is dat het systeem onveilig is."
Storingen

In de uitzending van afgelopen vrijdag koppelde EenVandaag op gezag van VU professor Chris Verhoef de twee pinstoringen bij betaalautomaten van vorige week aan het repareren van het EMV-systeem. Volgens Currence en digitale betalingsverwerker Equens staan die zaken helemaal los van elkaar. Van gehaast repareren zou dan ook geen sprake zijn.

Ook De Koning Gans acht een verband tussen het dichten van het gat en de storingen onwaarschijnlijk aangezien de gaten volgens de banken al waren gedicht waren voordat de storingen zich voordeden. De Radboud Universiteit beraadt zich op meerdere proeven om de beveiliging van de EMV-chips te testen.