Skimmen op NS stations?!

Uit cijfers van de spoorwegpolitie, blijkt dat vorig jaar 750 skimincidenten plaatsvonden op een totaal van 1100 kaartjesautomaten. Hierbij werden geregeld honderden pinpassen gekopieerd en misbruikt. Vooral treinstations in Amsterdam waren doelwit van skimmers. Daar sloegen de criminelen 68 keer toe.

Reizigersorganisatie Rover is geschrokken van de enorme stijging van het pinpasmisbruik. ,,De huidige maatregelen werken blijkbaar niet genoeg,'' zegt woordvoerder Aldo Markus.

De spoorwegpolitie noemt het skimprobleem moeilijk te bestrijden. ,,Het is heel lastig. Je kunt niet de hele dag iemand bij een automaat laten staan.'' Gedupeerde klanten worden door de bank schadeloos gesteld. De Nederlandse Vereniging van Banken zegt dat zij niet hoeven te vrezen dat ze in de toekomst zelf opdraaien voor de schade.

Tips om skimmen bankpas te voorkomen

Tips van Carol Rock van de Nederlandse Vereniging van Banken. ,,Wat je het beste kunt doen? Kijk eerst naar de geldautomaat zelf, de meeste geldautomaten in Nederland zijn voorzien van een voorzetstuk.

Op het scherm lees je dan ook dat de betreffende automaat is voorzien van een beveiligde pasinvoer. Deze extra beveiliging is er om te voorkomen dat criminelen een kaartlezer kunnen plaatsen die pasgegevens kopieert.''

Sowieso is tijdens het pinnen alertheid geboden, zegt Rock. ,,Houd voor de zekerheid je hand boven het toetsenbord wanneer je je pincode intoetst, zodat niemand mee kan kijken. Let ook altijd op dat niemand over je schouder meekijkt. Er worden ook allerlei manieren bedacht om mensen tijdens het pinnen af te leiden.

Een bekende truc is de 'tientjestruc'. Zodra je je pincode hebt ingetoetst vertelt iemand in de rij dat er geld achter je op de grond ligt. Terwijl je je dan omdraait om dat geld op te rapen, verwisselt een handlanger (die heeft meegekeken tijdens het pinnen) jouw pasje met een identiek pasje. Let er daarom ook op dat je de geldautomaat verlaat met je eigen pasje. Laat je sowieso nooit afleiden tijdens geld opnemen. Geld dat op de grond ligt, kun je altijd na het pinnen (dus wanneer je je eigen pinpas weer in je handen hebt) nog oprapen.

Ook behulpzame mensen bij de geldautomaat, hoef je niet in vertrouwen te nemen, zorg in elk geval dat niemand anders je pincode kan zien.

Zelfs als een persoon zich voordoet als bankmedewerker, nooit je pincode geven.''

Schade banken door skimming

De schade die banken lijden door pinpasfraude is vorig jaar fors toegenomen. Er is volgens de Nederlandse Vereniging van Banken (NvB) voor 31 miljoen euro gefraudeerd door het skimmen van betaalpassen.

Dat is 0,2 procent van het totale bedrag dat werd gepind.

Hoewel er geen exacte cijfers zijn over vorige jaren, neemt de NvB aan dat er sprake is van een verdubbeling van het schadebedrag. Volgens ramingen is er in 2007 voor zo'n vijftien miljoen euro gefraudeerd.

Treinstations
Skimmen is het illegaal kopiëren van de magneetstrip van betaalpassen. Dat gebeurt onder meer in ticketautomaten op treinstations. Meestal plaatsen de gelddieven een extra front op de automaten, die de magneetstrip kan lezen.

De skimmers maken een nieuwe betaalpas met de verkregen kaartgegevens. Daarna wordt de rekening van de pinner geplunderd.

Schouder
De pincode wordt bemachtigd doordat de skimmer over de schouder van de pinner meekijkt of door middel van een kleine camera. Soms wordt de cijfercombinatie achterhaald met behulp van software die in de automaat is aangebracht.

Skimmers bedenken steeds nieuwe methoden om de gegevens van bankpassen te stelen. In de toekomst wordt dat waarschijnlijk moeilijker door de komst van een nieuw Europees betalingssysteem. De pinpas met de magneetstrip wordt dan vervangen door een pas met een chip. Die is minder fraudegevoelig.

Hoe werkt het?

Skimmen gebeurt op verschillende manieren, waarbij telkens geldt dat de techniek achter het skimmen complex is, maar de uitvoering eenvoudig. Er zijn op dit moment (2009) vier manieren bekend waarop skimming wordt uitgevoerd:

Camera of meekijken
De pinautomaat wordt voorzien van extra software in het apparaat zelf, daarvoor moet de skimmer de pinautomaat openschroeven. De software maakt een kopie van de magnetische strip van de pinpas en een kleine camera neemt het intoetsen van de pincode op. Het tijdstip van de transactie wordt ook geregistreerd. Doordat de tijd wordt opgenomen weten de skimmers welke pincode bij welke paskopie hoort. Soms wordt geen camera geïnstalleerd, in dat geval proberen de skimmers over de schouder van de pinner mee te kijken wat de pincode is - ook dan wordt het tijdstip genoteerd.

Keypad
Ook nu wordt de pinautomaat voorzien van extra software, daarvoor moet de skimmer de pinautomaat openschroeven. De software maakt een kopie van de magnetische strip van de pinpas én er wordt een keypad op of onder de gewone toetsen van de pinautomaat aangebracht. Als iemand de cijfers van zijn pincode intoetst, dan wordt de cijfercombinatie geregistreerd.

Opzetfront
De skimmers plaatsen een vals frontje (voorzetmond) op de pinautomaat, in dit frontje bevindt zich een lezer die de gegevens van de magnetische strip op de pinpas kan lezen. Deze gegevens worden veelal draadloos doorgegeven aan de fraudeur. Om de pincode te stelen, wordt meestal gebruik gemaakt van een minicamera, maar ook het 'over de schouder kijken' en de keypad worden gebruikt.

Geld opnemen
Met de gegevens van de magnetische strip wordt de pinpas wordt nagemaakt vervolgens wordt met de gestolen pincode de rekening geplunderd. Vaak wordt geld in een ander land opgenomen omdat men daar niet precies weet hoe een Nederlandse pas er uit ziet.

Wat is skimmen?

Meestal wordt voor skimming een pinautomaat in een onbewaakt ogenblik 'bewerkt', zodat een klant die een transactie verricht niet merkt dat zijn gegevens gekopieerd worden. Bij skimming wordt gebruik gemaakt van een apparaat dat de magnetische strip op de pas kan lezen en kopiëren. Dit apparaat wordt vóór de sleuf van de pinautomaat geplaatst en ziet er uit als het echte voorzetmondje. Met trucs, zoals een erbij geïnstalleerde minicamera of 'over de schouder meekijken', wordt vervolgens de pincode afgekeken. Later kan dan de pas nagemaakt worden en wordt geld van de betreffende rekening opgenomen. Een andere variant is het kopiëren van gegevens van pinpassen of creditcards in restaurants en winkels waar de klant de pas uit handen moet geven alvorens te kunnen betalen. De pas wordt door een medewerker door een apparaat gehaald dat de gegevens kopieert. Alleen nu wordt de pincode ook meegekopieerd. Bij sommige banken wordt de pincode namelijk door de klant zelf ingegeven op het moment dat de klant zijn bankpas moet activeren bij de bank. Doordat de pincode zelf wordt ingegeven door de klant, wordt deze opgeslagen op de magneetstrip van de pas en/of creditcard en in een 'database' op een centrale locatie.
Klanten worden al geruime tijd door de banken gewaarschuwd. Als er verdachte of vreemde dingen gebeuren tijdens het pinnen, moeten zij dit altijd direct aan de bank melden. Onder verdachte of vreemde dingen verstaat de bank bijvoorbeeld: het invoermondje ziet er anders uit dan normaal of de pas komt een paar keer terug voordat de automaat de pas 'pakt'. Zo nodig kan de bank direct maatregelen nemen door de pinautomaat te sluiten en de pas te blokkeren. Intussen is, om het plaatsen van een voorzetmondje dat de magnetische strip kan lezen te bemoeilijken, een zogenaamd piano-device bij de meeste automaten geïnstalleerd. Een klant ziet dan op het beginscherm, voor het pinnen, hoe de pinautomaat er uit hóórt te zien. Ziet de invoermond er anders uit dan op het scherm, dan moet de klant geen gebruik maken van de automaat. Bij moderne automaten gaat de pinautomaat buiten gebruik als de beveiligde pasinvoer van de automaat gesloopt wordt.
In een aantal landen zijn pinpassen inmiddels uitgerust met een 'smart chip' die niet gekopieerd kan worden. In Nederland en België is die 'smart chip' nog niet geïntroduceerd. Ook deze smart chip voorkomt niet alle fraude, want het kaartnummer en de verloopdatum kunnen wel gelezen worden. Samen met de pincode zijn die gegevens vaak al voldoende voor transacties bijvoorbeeld bij telefonische- of internetaankopen.