jeroen de boer, infosecurity.nl, 3 november, jaarbeurs utrecht
DESCRIPTION
Kaartfraude - Een ratrace tussen skimmers en beveiligingsmaatregelen.TRANSCRIPT
![Page 1: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/1.jpg)
Een rat-‐race tussen skimmers en beveiligingsmaatregelen
Jeroen de Boer 4 November 2010
![Page 2: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/2.jpg)
Agenda Kerckhoffs’ principe Techniek achter kaartbetaling Ratrace tussen skimmers en beveiligers En nu?
![Page 3: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/3.jpg)
Kerckhoffs’ principe Auguste Kerckhoffs in 1883: een cryptosysteem moet veilig zijn zelfs als alles over dit systeem publiek bekend is, behalve de sleutel
Claude Shannon: “The enemy knows the system” Dus niet: Security through obscurity
Toepasbaar op de veiligheid van kaartbetalingen? Openbaarheid van maatregelen (het “systeem”) en manieren van fraude kan sterk bijdragen aan de veiligheid
![Page 4: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/4.jpg)
![Page 5: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/5.jpg)
Kaartbetaling Sinds ca. 1920 gebaseerd op handtekening op een afdruk van een metalen ponskaart
Sinds ca. 1985 ook elektronisch Wereldwijde standaards voor magneetstrip, PIN en chip kaarten
Betaling met PIN is soort van two-‐factor authenticatie PIN:
Bewijs van akkoord van de klant Beveiliging tegen misbruik van verloren kaarten “Absolute” geheimhouding vereist
![Page 6: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/6.jpg)
End-‐to-‐end proces
Card terminal
Point of sale
Head office Acquiring bank
Issuing bank
Kaart
PIN
![Page 7: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/7.jpg)
Complicerende factoren Meerdere acceptatie kanalen
Verschillende veiligheidsniveaus Verschillende autorisatie methoden
Veel betrokken partijen Onwetende klanten Het systeem moet wel bruikbaar en betaalbaar blijven
![Page 8: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/8.jpg)
![Page 9: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/9.jpg)
Omvang en impact fraude Nederland, PIN passen:
2007: €15 miljoen 2009: €36 miljoen 2010: €11 miljoen
UK, credit + debit cards: 2008: GBP 610 miljoen 2009: GBP 440 miljoen
Georganiseerde misdaad Financiering van drugs, oorlogen & terrorisme
Bron: www.cardwatch.org.uk
![Page 10: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/10.jpg)
Fraude lifecycle Zwakke plek
Skimming
Productie valse kaarten
Misbruik/fraude
Beveiliging
De waarde van de data is een
belangrijke zwakke plek
![Page 11: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/11.jpg)
Kaartproduc@e
![Page 12: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/12.jpg)
Echt of vals?
![Page 13: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/13.jpg)
De regels buigen – “@nfoil hats”
![Page 14: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/14.jpg)
Inbraak & installa@e
![Page 15: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/15.jpg)
Inbraak & installa@e
![Page 16: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/16.jpg)
Meer geweld
![Page 17: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/17.jpg)
Meer technologie
![Page 18: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/18.jpg)
Preven@e Standaarden zijn effectief tegen het voorgaande… De omgeving niet.
Nog strengere eisen PCI PTS
Authenticiteit vaststellen Stickers Weegschaal Röntgen
![Page 19: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/19.jpg)
Huidige problemen Skimming apparatuur en camera’s
Zeer verkleind Professioneel gebouwd Moeilijk te onderscheiden van echte kaartlezers Bevestigd met dubbelzijdig plakband
Data real-‐time verzonden via blue-‐tooth, GSM of Wifi Snel geplaatst, snel verwijderd
Moeilijker te achterhalen
![Page 20: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/20.jpg)
![Page 21: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/21.jpg)
Beveiligingsdomeinen
Card terminal
Point of sale
Head office Acquiring bank
Issuing bank
Kaart
PIN
Omgeving Dataopslag en -‐transport
PIN en terminal
![Page 22: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/22.jpg)
Effec@viteit huidige standaarden
Standaarden werken goed, binnen hun domein Geen integrale standaard Geen bekendheid van nieuwe dreigingen Standaarden reageren laat op nieuwe dreigingen
Risico Standaard Effectiviteit
PIN compromise PCI PTS (PED), Currence (NL), etc. ++
Data compromise PCI DSS +
Omgeving (skimming, schouder-‐surfen)
Privacy schild Piano mondje Noppen mondje “NS” beugel Skimmer-‐detector
-‐ o o + +
![Page 23: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/23.jpg)
Migra@e van fraude Grote successen
Daling van €36mln in 2009 naar ruim €11,8mln in 2010 Steeds nieuwe maatregelen om verder te verminderen EMV/Het Nieuwe Pinnen
Voorlopig gaat fraude nog niet weg Vooral migratie naar andere zwakke schakels Criminelen moeten ook aan hun jaarcijfers denken
![Page 24: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/24.jpg)
Waarde van de data Magneetstrip data is waardevol
Eenvoudig te kopiëren Via andere kanalen te misbruiken
Chipkaart data is al minder waardevol Maar… meeste chip kaarten hebben ook magneetstrip
Creditcard via Internet misschien geen goed idee? Maakt magneetstrip data waardevol. Bijvoorbeeld PayPal of IDEAL zijn een beter idee Of MasterCard 3D-‐Secure of Verified by Visa, e.d.
![Page 25: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/25.jpg)
Risico gedreven aanpak Meer bekendheid over fraude en over maatregelen helpt om risico beter in te schatten
Beter inschatten risico helpt om de business case rond te maken
Openheid over nieuwe risico’s maakt het mogelijk om via kleine veranderingen “bij te blijven” in de wapenwedloop
![Page 26: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/26.jpg)
Openheid en coördina@e Analoog aan Kerckhoffs’ principe:
Ook als alle details van het systeem bekend zijn aan de aanvaller, zou het nog veilig moeten zijn
Meer openheid over fraude helpt om bedrijven de juiste beslissing te laten nemen en fraude terug te dringen
Nationaal Coördinator Skimmingbestrijding? Bekendheid over de dreiging van skimming Bekendheid over effectieve maatregelen Alerts wanneer nodig
CardWatch in de UK, Currence in NL
![Page 27: Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558eb7f11a28ab573c8b4758/html5/thumbnails/27.jpg)