Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht

972 views
895 views

Published on

Kaartfraude - Een ratrace tussen skimmers en beveiligingsmaatregelen.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
972
On SlideShare
0
From Embeds
0
Number of Embeds
41
Actions
Shares
0
Downloads
17
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht

  1. 1. Een  rat-­‐race  tussen  skimmers  en  beveiligingsmaatregelen   Jeroen  de  Boer   4  November  2010  
  2. 2. Agenda     Kerckhoffs’  principe     Techniek  achter  kaartbetaling     Ratrace  tussen  skimmers  en  beveiligers     En  nu?  
  3. 3. Kerckhoffs’  principe     Auguste  Kerckhoffs  in  1883:  een  cryptosysteem  moet   veilig  zijn  zelfs  als  alles  over  dit  systeem  publiek   bekend  is,  behalve  de  sleutel     Claude  Shannon:  “The  enemy  knows  the  system”     Dus  niet:  Security  through  obscurity     Toepasbaar  op  de  veiligheid  van  kaartbetalingen?     Openbaarheid  van  maatregelen    (het  “systeem”)  en   manieren  van  fraude  kan  sterk  bijdragen  aan  de   veiligheid  
  4. 4. Kaartbetaling     Sinds  ca.  1920  gebaseerd  op  handtekening  op  een  afdruk   van  een  metalen  ponskaart     Sinds  ca.  1985  ook  elektronisch     Wereldwijde  standaards  voor  magneetstrip,  PIN  en  chip   kaarten     Betaling  met  PIN  is  soort  van  two-­‐factor  authenticatie     PIN:     Bewijs  van  akkoord  van  de  klant     Beveiliging  tegen  misbruik  van  verloren  kaarten     “Absolute”  geheimhouding  vereist  
  5. 5. End-­‐to-­‐end  proces   Card   terminal   Point  of   sale   Head  office   Acquiring   bank   Issuing   bank   Kaart   PIN  
  6. 6. Complicerende  factoren     Meerdere  acceptatie  kanalen     Verschillende  veiligheidsniveaus     Verschillende  autorisatie  methoden     Veel  betrokken  partijen     Onwetende  klanten     Het  systeem  moet  wel  bruikbaar  en  betaalbaar  blijven  
  7. 7. Omvang  en  impact  fraude     Nederland,  PIN  passen:     2007:  €15  miljoen     2009:  €36  miljoen     2010:  €11  miljoen     UK,  credit  +  debit  cards:     2008:  GBP  610  miljoen     2009:  GBP  440  miljoen     Georganiseerde  misdaad     Financiering  van  drugs,  oorlogen  &  terrorisme   Bron:  www.cardwatch.org.uk  
  8. 8. Fraude  lifecycle   Zwakke  plek   Skimming   Productie   valse  kaarten   Misbruik/ fraude   Beveiliging   De  waarde  van  de   data  is  een   belangrijke  zwakke   plek  
  9. 9. Kaartproduc@e  
  10. 10. Echt  of  vals?  
  11. 11. De  regels  buigen  –  “@nfoil  hats”  
  12. 12. Inbraak  &  installa@e  
  13. 13. Inbraak  &  installa@e    
  14. 14. Meer  geweld  
  15. 15. Meer  technologie  
  16. 16. Preven@e     Standaarden  zijn  effectief  tegen  het  voorgaande…     De  omgeving  niet.     Nog  strengere  eisen     PCI  PTS     Authenticiteit  vaststellen     Stickers     Weegschaal     Röntgen  
  17. 17. Huidige  problemen     Skimming  apparatuur  en  camera’s       Zeer  verkleind     Professioneel  gebouwd     Moeilijk  te  onderscheiden  van  echte  kaartlezers     Bevestigd  met  dubbelzijdig  plakband     Data  real-­‐time  verzonden  via  blue-­‐tooth,  GSM  of  Wifi       Snel  geplaatst,  snel  verwijderd     Moeilijker  te  achterhalen  
  18. 18. Beveiligingsdomeinen   Card   terminal   Point  of   sale   Head  office   Acquiring   bank   Issuing   bank   Kaart   PIN   Omgeving   Dataopslag  en   -­‐transport   PIN  en  terminal  
  19. 19. Effec@viteit  huidige  standaarden     Standaarden  werken  goed,  binnen  hun  domein     Geen  integrale  standaard     Geen  bekendheid  van  nieuwe  dreigingen     Standaarden  reageren  laat  op  nieuwe  dreigingen   Risico   Standaard   Effectiviteit   PIN  compromise   PCI  PTS  (PED),  Currence  (NL),  etc.   ++   Data  compromise   PCI  DSS   +   Omgeving     (skimming,  schouder-­‐ surfen)   Privacy  schild   Piano  mondje   Noppen  mondje   “NS”  beugel   Skimmer-­‐detector   -­‐   o   o   +   +  
  20. 20. Migra@e  van  fraude     Grote  successen     Daling  van  €36mln  in  2009  naar  ruim  €11,8mln  in  2010     Steeds  nieuwe  maatregelen  om  verder  te  verminderen     EMV/Het  Nieuwe  Pinnen     Voorlopig  gaat  fraude  nog  niet  weg     Vooral  migratie  naar  andere  zwakke  schakels     Criminelen  moeten  ook  aan  hun  jaarcijfers  denken  
  21. 21. Waarde  van  de  data     Magneetstrip  data  is  waardevol     Eenvoudig  te  kopiëren     Via  andere  kanalen  te  misbruiken     Chipkaart  data  is  al  minder  waardevol     Maar…  meeste  chip  kaarten  hebben  ook  magneetstrip     Creditcard  via  Internet  misschien  geen  goed  idee?       Maakt  magneetstrip  data  waardevol.     Bijvoorbeeld  PayPal  of    IDEAL  zijn  een  beter  idee     Of  MasterCard  3D-­‐Secure  of  Verified  by  Visa,  e.d.  
  22. 22. Risico  gedreven  aanpak     Meer  bekendheid  over  fraude  en  over  maatregelen   helpt  om  risico  beter  in  te  schatten     Beter  inschatten  risico  helpt  om  de  business  case  rond   te  maken     Openheid  over  nieuwe  risico’s  maakt  het  mogelijk  om   via  kleine  veranderingen  “bij  te  blijven”  in  de   wapenwedloop  
  23. 23. Openheid  en  coördina@e     Analoog  aan  Kerckhoffs’  principe:     Ook  als  alle  details  van  het  systeem  bekend  zijn  aan  de   aanvaller,  zou  het  nog  veilig  moeten  zijn     Meer  openheid  over  fraude  helpt  om  bedrijven  de  juiste   beslissing  te  laten  nemen  en  fraude  terug  te  dringen     Nationaal  Coördinator  Skimmingbestrijding?     Bekendheid  over  de  dreiging  van  skimming     Bekendheid  over  effectieve  maatregelen     Alerts  wanneer  nodig     CardWatch  in  de  UK,  Currence  in  NL  

×