image

ABN-Amro klanten geskimd in bankfiliaal

maandag 18 oktober 2010, 10:02 door Redactie, 12 reacties

Criminelen hebben de kaartlezer van de ABN Amro gekraakt en gebruikt voor het skimmen van klanten die in filialen gingen internetbankieren, zo liet het Financieel Dagblad dit weekend weten. Eind 2008 werd de fraude voor het eerste ontdekt, alleen was het voor politie toen nog onduidelijk hoe de gegevens gestolen waren. In maart vorig jaar werden twee Roemeense criminelen opgepakt, die ook deze nagemaakte passen bij zich hadden. Wederom bleef de leverancier van de kaarten onbekend. Die werd per stom toeval in Groot-Brittannië ontdekt. Het gaat om ene Clive M.

Rechercheurs ontdekken bij hem een verzameling losse kaartlezers om te kunnen internetbankieren bij ABN Amro, Rabobank en Fortis. Verder onderzoek wijst uit dat M. de apparaatjes in kleine skimmachines heeft omgetoverd. "Hij is erin geslaagd de zogeheten e.dentifier van ABN Amro te kraken", aldus het FD. Zijn Roemeense handlangers kregen vervolgens opdracht om de gemanipuleerde kaartlezers in de bankfilialen te vervangen. "De banken zijn geïnfiltreerd met kleine groene Trojaanse paarden."

Schade
Maandenlang worden de gegevens gekopieerd van klanten die hun kaart in de apparaatjes bij de bank steken om te internetbankieren. De gekraakte kaartlezer onthoudt de ingetoetste pincode en alle gegevens van de chip op de betaalpas. Na verloop van de tijd komen de criminelen langs in de betreffende filialen om de verzamelde gegevens te 'downloaden'. Hiervoor gebruiken ze een speciale code op de kaartlezer, die vervolgens alle gegevens op een speciaal gemaakte pas kopieert. Die pas wordt naar M. gestuurd, die er vervolgens valse betaalpassen van maakt en onder Roemeense criminelen verspreidt.

Eenmaal gealarmeerd vervangt de ABM Amro alle e.dentifiers door nieuwe exemplaren .De schade bedraagt volgens de bank 'slechts' 1,5 miljoen euro in vier maanden. Allemaal omdat de werkplaats van M. bij toeval werd ontdekt. Het meesterbrein achter de skimoperatie is inmiddels aan Nederland uitgeleverd.

Reacties (12)
18-10-2010, 10:51 door Anoniem
"klanten die hun kaart in de apparaatjes bij de bank steken om te internetbankieren"
Lekker slim
18-10-2010, 11:33 door Anoniem
ja hoe wil je anders dat ze kunnen internetbankieren? je hebt dat apparaatje altijd nodig
18-10-2010, 11:38 door Bitwiper
Vanzelfsprekend zal ABN Amro op dergelijke terminals "een recent antivirusprogramma en een fatsoenlijke firewall" hebben geinstalleerd en "passende maatregelen hebben getroffen om zijn computer af te sluiten voor misbruik van buitenaf", zodat "maatschappelijk vereiste zorgvuldigheid" niet in zeer grote mate wordt veronachtzaamd en men acht slaat op wat duidelijk zou moeten zijn voor iedereen. Zeg maar: niet blunderen. (*)

Hoe is het dan in vredesnaam mogelijk dat deze terminals door kleine groene Trojaanse paarden zijn geinfiltreerd? Waarom hoeven banken zich niet aan regels te houden die ze wel aan hun klanten voorschrijven? Afgelopen week nog werd bekend dat een Duitse man van 16 jaar in de websites van 17 Duitse banken lekken had gevonden (zie http://www.heise.de/security/meldung/16-jaehriger-demonstriert-Sicherheitsluecken-bei-17-Banken-1104841.html). Zou het met de Nederlandse bank-websites veel beter gesteld zijn?

(*) zie https://secure.security.nl/artikel/34746/1/Juridische_vraag%3A_mag_bank_virusscanner_verplichten%3F.html N.B., mijn commentaar heeft niet als doel Arnoud te bekritiseren.
18-10-2010, 12:22 door Anoniem
Door Bitwiper: Vanzelfsprekend zal ABN Amro op dergelijke terminals "een recent antivirusprogramma en een fatsoenlijke firewall" hebben geinstalleerd en "passende maatregelen hebben getroffen om zijn computer af te sluiten voor misbruik van buitenaf", zodat "maatschappelijk vereiste zorgvuldigheid" niet in zeer grote mate wordt veronachtzaamd en men acht slaat op wat duidelijk zou moeten zijn voor iedereen. Zeg maar: niet blunderen.
De kaartlezers zijn vervangen door aangepaste exemplaren, het trojaanse paard is een fysiek dingetje, geen software die op de terminal draait. Het is kennelijk gewoon zo'n calculatortje dat je thuis ook gebruikt. Daar helpt een virusscanner of firewall niet tegen. De fysieke beveiliging had dan ook beter moeten zijn, het is niet in orde dat die dingen vervangen kunnen worden zonder dat dat opvalt. Dat de gegevens op die passen zo makkelijk te kopiëren zijn deugt ook niet, als het niet meer dan vrij uitleesbare gegevensopslag is dan is het niet veiliger dan een magneetstrip.
18-10-2010, 12:30 door Anoniem
@ Bitwiper,

Het gaat om de zogeheten e.dentifier, die plastic rekenmachientjes.
18-10-2010, 12:53 door Anoniem
@bitwiper: de computer is niet geinfecteerd, maar de e-dentifier. Het apparaatje waar je je pinpas in steekt. Oftewel in een zeer kleine ruimte is er electronice toegevoegd of hij heeft code in de microprocessor gestopt. Soort van jailbreak van een token. Wist je dat de token middels schakelaars is 'beveiligd' tegen openmaken. Zodra je hem openmaakt, werkt alleen de bootloader nog maar. Als je eenmaalde bootloader hebt, kan je makkelijk je tijd nemen de code te achterhalen, die niet gewist wordt, maar alleen niet meer gecalled wordt. Ik denk dat hij het zo heeft gedaan, zelf ben ik met de oude random reader aan de gang gegaan, dat werkte dus zo. Maar ja, met banken is het zo dat je kan schreeuwen wat je wilt, maar het draait om risico en geld. Dat is de bottom line.
18-10-2010, 14:11 door Bitwiper
Dank voor alle reacties!

Ik begrijp dat je niet letterlijk "virusscanners" en/of "firewalls" zoals te koop voor o.a. Wintel PC's op kaartlezers kunt installeren. Dat neemt niet weg dat vergelijkbare technologie (HIPS/HIDS) denkbaar is voor dat soort devices. Je zou bijv. een chip kunnen plaatsen die het uitgewisselde verkeer met de kaart op anomalies scant (grote hoeveelheden data zouden dan voor een alarm kunnen zorgen). Die chip kan vanaf een bewakingssysteem worden gemonitord. Valt de verbinding weg of is er een probleem met de integriteit van die chip, onderzoek de boel dan.

Tenzij de security mensen van ABN Amro geen kranten (of dit soort websites) lezen hadden ze kunnen weten dat skimmers voortdurend op zoek zijn naar manieren om bankklanten geld af te troggelen. Klinkt mij in de oren als "dat zal ons in onze eigen filialen toch zeker niet overkomen" en/of "hier gaan we geen extra geld aan uitgeven". In elk geval was wat ik noemde, "passende maatregelen hebben getroffen om zijn computer af te sluiten voor misbruik van buitenaf", hier duidelijk niet van toepassing.

N.B. waar het mij om gaat is dat banken hun klanten een oor aan kunnen naaien als ze beroofd zijn en niet kunnen aantonen dat ze over de allerlaatste beveiligingssoftware beschikten (denk eens aan oudere mensen). E.e.a. tewijl die klanten gedwongen worden te internetbankieren op een besturingssysteem dat daar inherent ongeschikt voor is. In dat licht vind ik het helemaal een schandaal als vervolgens blijkt dat diezelfde banken geen knip voor de neus waard zijn als het gaat om het beveiligen van hun eigen producten.
18-10-2010, 14:55 door Anoniem
Maak je toch niet druk de bank (kuch) vergoed alle schade.

Ze vergeten er altijd bij te vermelden dat dat van ons eigen geld gebeurd maar alla.
18-10-2010, 15:13 door johanw
Dus daarom hebben ze die readers in de filialen vastgeplakt aan de tafels waar ook de computers staan. Ik dacht dat dat was tegen mensen die die readers meenamen en vond het nogal overdreven omdat die readers toch gratis zijn.
18-10-2010, 17:54 door SirDice
Door Bitwiper: Ik begrijp dat je niet letterlijk "virusscanners" en/of "firewalls" zoals te koop voor o.a. Wintel PC's op kaartlezers kunt installeren. Dat neemt niet weg dat vergelijkbare technologie (HIPS/HIDS) denkbaar is voor dat soort devices. Je zou bijv. een chip kunnen plaatsen die het uitgewisselde verkeer met de kaart op anomalies scant (grote hoeveelheden data zouden dan voor een alarm kunnen zorgen). Die chip kan vanaf een bewakingssysteem worden gemonitord. Valt de verbinding weg of is er een probleem met de integriteit van die chip, onderzoek de boel dan.

En wat weerhoudt een slimmerik om de echte chip uit te schakelen en die integriteitscheck te vervalsen?
18-10-2010, 23:28 door Anoniem
Wat hij heeft gedaan is:

De e-dentifier BUITEN abnamro filiaal aangepast en chipreader ingebracht, een extra processortje erin gestopt en een opslagdiootje die de gegevens en ingevoerde pin onthoudt.

Vervolgens zijn ze erin geslaagd om de e-dentifier van abnamro BINNEN de filaal te switchen met de aangepaste :)

Zoveel methoden om dit te voorkomen.. maar ja
24-02-2011, 20:14 door Anoniem
Maar wat kunnen banken hier nog verder aan doen?

Ze kunnen inderdaad kijken of hun tokens proef zijn om te jailbreaken... en de tokens vastplakken aan de tafels...
volgens mij zijn er verder geen mogelijkheden om dit soort fraude te stoppen of zie ik dat verkeerd?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.