Een  rat-­‐race  tussen  skimmers  en  beveiligingsmaatregelen  

Jeroen  de  Boer  4  November  2010  

Agenda   Kerckhoffs’  principe   Techniek  achter  kaartbetaling   Ratrace  tussen  skimmers  en  beveiligers   En  nu?  

Kerckhoffs’  principe   Auguste  Kerckhoffs  in  1883:  een  cryptosysteem  moet  veilig  zijn  zelfs  als  alles  over  dit  systeem  publiek  bekend  is,  behalve  de  sleutel  

 Claude  Shannon:  “The  enemy  knows  the  system”   Dus  niet:  Security  through  obscurity  

 Toepasbaar  op  de  veiligheid  van  kaartbetalingen?   Openbaarheid  van  maatregelen    (het  “systeem”)  en  manieren  van  fraude  kan  sterk  bijdragen  aan  de  veiligheid  

Kaartbetaling    Sinds  ca.  1920  gebaseerd  op  handtekening  op  een  afdruk  van  een  metalen  ponskaart  

  Sinds  ca.  1985  ook  elektronisch   Wereldwijde  standaards  voor  magneetstrip,  PIN  en  chip  kaarten  

  Betaling  met  PIN  is  soort  van  two-­‐factor  authenticatie    PIN:  

  Bewijs  van  akkoord  van  de  klant    Beveiliging  tegen  misbruik  van  verloren  kaarten    “Absolute”  geheimhouding  vereist  

End-­‐to-­‐end  proces  

Card  terminal  

Point  of  sale  

Head  office   Acquiring  bank  

Issuing  bank  

Kaart  

PIN  

Complicerende  factoren   Meerdere  acceptatie  kanalen  

  Verschillende  veiligheidsniveaus    Verschillende  autorisatie  methoden  

 Veel  betrokken  partijen   Onwetende  klanten   Het  systeem  moet  wel  bruikbaar  en  betaalbaar  blijven  

Omvang  en  impact  fraude   Nederland,  PIN  passen:  

  2007:  €15  miljoen    2009:  €36  miljoen    2010:  €11  miljoen  

 UK,  credit  +  debit  cards:    2008:  GBP  610  miljoen    2009:  GBP  440  miljoen  

 Georganiseerde  misdaad    Financiering  van  drugs,  oorlogen  &  terrorisme  

Bron:  www.cardwatch.org.uk  

Fraude  lifecycle  Zwakke  plek  

Skimming  

Productie  valse  kaarten  

Misbruik/fraude  

Beveiliging  

De  waarde  van  de  data  is  een  

belangrijke  zwakke  plek  

Kaartproduc@e  

Echt  of  vals?  

De  regels  buigen  –  “@nfoil  hats”  

Inbraak  &  installa@e  

Inbraak  &  installa@e    

Meer  geweld  

Meer  technologie  

Preven@e    Standaarden  zijn  effectief  tegen  het  voorgaande…   De  omgeving  niet.  

 Nog  strengere  eisen    PCI  PTS  

 Authenticiteit  vaststellen    Stickers   Weegschaal    Röntgen  

Huidige  problemen    Skimming  apparatuur  en  camera’s    

  Zeer  verkleind    Professioneel  gebouwd   Moeilijk  te  onderscheiden  van  echte  kaartlezers    Bevestigd  met  dubbelzijdig  plakband  

 Data  real-­‐time  verzonden  via  blue-­‐tooth,  GSM  of  Wifi      Snel  geplaatst,  snel  verwijderd  

 Moeilijker  te  achterhalen  

Beveiligingsdomeinen  

Card  terminal  

Point  of  sale  

Head  office   Acquiring  bank  

Issuing  bank  

Kaart  

PIN  

Omgeving   Dataopslag  en  -­‐transport  

PIN  en  terminal  

Effec@viteit  huidige  standaarden  

  Standaarden  werken  goed,  binnen  hun  domein   Geen  integrale  standaard   Geen  bekendheid  van  nieuwe  dreigingen    Standaarden  reageren  laat  op  nieuwe  dreigingen  

Risico   Standaard   Effectiviteit  

PIN  compromise   PCI  PTS  (PED),  Currence  (NL),  etc.   ++  

Data  compromise   PCI  DSS   +  

Omgeving    (skimming,  schouder-­‐surfen)  

Privacy  schild  Piano  mondje  Noppen  mondje  “NS”  beugel  Skimmer-­‐detector  

-­‐  o  o  +  +  

Migra@e  van  fraude   Grote  successen  

 Daling  van  €36mln  in  2009  naar  ruim  €11,8mln  in  2010    Steeds  nieuwe  maatregelen  om  verder  te  verminderen    EMV/Het  Nieuwe  Pinnen  

 Voorlopig  gaat  fraude  nog  niet  weg    Vooral  migratie  naar  andere  zwakke  schakels    Criminelen  moeten  ook  aan  hun  jaarcijfers  denken  

Waarde  van  de  data   Magneetstrip  data  is  waardevol  

  Eenvoudig  te  kopiëren    Via  andere  kanalen  te  misbruiken  

 Chipkaart  data  is  al  minder  waardevol   Maar…  meeste  chip  kaarten  hebben  ook  magneetstrip  

 Creditcard  via  Internet  misschien  geen  goed  idee?     Maakt  magneetstrip  data  waardevol.    Bijvoorbeeld  PayPal  of    IDEAL  zijn  een  beter  idee   Of  MasterCard  3D-­‐Secure  of  Verified  by  Visa,  e.d.  

Risico  gedreven  aanpak   Meer  bekendheid  over  fraude  en  over  maatregelen  helpt  om  risico  beter  in  te  schatten  

 Beter  inschatten  risico  helpt  om  de  business  case  rond  te  maken  

 Openheid  over  nieuwe  risico’s  maakt  het  mogelijk  om  via  kleine  veranderingen  “bij  te  blijven”  in  de  wapenwedloop  

Openheid  en  coördina@e   Analoog  aan  Kerckhoffs’  principe:  

 Ook  als  alle  details  van  het  systeem  bekend  zijn  aan  de  aanvaller,  zou  het  nog  veilig  moeten  zijn  

 Meer  openheid  over  fraude  helpt  om  bedrijven  de  juiste  beslissing  te  laten  nemen  en  fraude  terug  te  dringen  

 Nationaal  Coördinator  Skimmingbestrijding?    Bekendheid  over  de  dreiging  van  skimming    Bekendheid  over  effectieve  maatregelen    Alerts  wanneer  nodig  

 CardWatch  in  de  UK,  Currence  in  NL