Het hele verhaal

CardShield is een betaalbare en meest eenvoudige manier om jezelf te beschermen tegen inbreuk op de contactloze kaarten.

In Nederland krijgen steeds meer contactloze pasjes, zoals betaalpassen, creditkaarten en de OV-chipkaart, maar ook je rijbewijs, je ID-kaart en ook vaak toegangscontrole- systemen. Deze kaarten zijn uitgerust met een NFC chip. Daarmee betalen we snel en makkelijk contactloos aan de kassa, maar ook steeds meer parkeerautomaten en dergelijke maken gebruik van deze techniek. Over enige tijd kunnen we ook in het openbaar vervoer een betaalpas reizen.

Schakel je contactloos uit betekent dat je ook niet mee kunt doen met deze nieuwe mogelijkheden. In specifieke omstandigheden kun je ook al betalen met je telefoon , maar tot nu toe betreft dit alleen debetkaarten (de bankpas) van bepaalde banken en dan nog alleen als je telefoon daar geschikt voor is. Heb je meerdere kaarten, dan heb je voorlopig nog een probleem, want voorlopig kan de telefoon er maar één aan.

NFC staat voor Near Field Communication en is een methode om contactloos informatie over te dragen.

Een stukje geschiedenis

Eind jaren 80 van de vorige eeuw kwamen in Nederland de eerste betaalpassen met een magneetstrip. Ook toen werd er gewaarschuwd voor fraude, maar na enige tijd vonden we het toch wel makkelijk.

De magneetstrip is alleen een informatiedrager. Dat wil zeggen dat er eenmalig informatie op wordt gezet en deze in principe niet meer gewijzigd wordt (de RABO-bank deed dit overigens wel, als je bij een RABO-bank geld uit de muur haalde, werd een kleine wijziging aangebracht). Kaarten konden eenvoudig gekopieerd worden, maar waren beveiligd met een PIN-code.

In 2002-2003 kwamen de eerste kaarten met een chip, maar het duurde nog een lange tijd voordat we in Nederland van Strip naar Chip gingen. Vanaf 2005 zou in heel Europa de chip ingevoerd moeten zijn, maar Nederland kreeg uitstel. Dat hebben we geweten ook. De chip was veel veiliger, waardoor alle skimmers vanaf 2005 zich richten op Nederland, want daar werd de magneetstrip nog gebruikt. Na enige jaren met veel skim-activiteiten was in 2009 de chip ook in heel Nederland verplicht.

Vanaf 2013 zijn de banken begonnen met het invoeren van de contactloze NFC-betaalkaarten, maar we kenden natuurlijk de OV-chipkaart al die op dezelfde manier werkt. Met deze nieuwe betaalpassen kunnen kleine bedragen zonder PIN-code betaald worden. Deze methode is nog veiliger dan betalen met een chip, maar er kleven ook risico’s aan (zie bij ‘Gevaren’). Daarnaast is de betaalpas in de telefoon in opkomst, daarmee kunnen we dit ‘lek’ weer dichten, maar de telefoon moet er wel geschikt voor zijn. Het zal dus nog even duren voordat iedereen over deze mogelijkheid beschikt. Tot die tijd loopt iedereen met een contactloze kaart een potentieel gevaar.

Daarnaast is er nog een ander probleem. Bij de komst van de chip werd ons beloofd dat we verschillende kaarten in slechts een chip konden integreren. Dus, weg met al die verschillende kaarten, we gaan naar één kaart. Mooi niet dus. Technisch is het niet zo’n probleem, maar iedere leverancier wil zijn eigen logo erop (en erin). Dat zal met de telefoon niet anders gaan. Heb je een bankkaart én een creditkaart, dan kan dat (straks) alleen in een telefoon als ze van dezelfde bank zijn; op dit moment kun je alleen nog maar één bankkaart of één creditkaart in je telefoon doen. En dan hebben we het alleen nog maar over betalen; nog niet eens over je OV-chip, je rijbewijs of de toegangscontrole.

Hoe NFC werkt

Als we het over NFC (Near Field Communication) hebben, hebben we het in eerste instantie over de manier waarop informatie wordt uitgewisseld. De chip zelf is te vergelijken met een kleine computertje met geheugen en Apps, maar zonder toetsenbordje en zonder scherm.

Een kaart met NFC heeft twee extra functies ten opzichte van de bankkaart met een chip:
1. Voeding
2. Communicatie

Voeding

In de bankpas zit geen batterij. Een elektro-magnetisch veld, van het apparaat dat wil communiceren (de betaalautomaat), levert de voeding. We kennen al telefoons die op deze manier contactloos worden geladen en ook bij de elektrische tandenborstel passen dit principe toe. Op het moment dat een kaart in zo’n veld gehouden wordt (maximaal 10cm), start de interne computer.

Betaal je contactloos via je telefoon, dan wordt de eigen batterij van de telefoon gebruikt. Sterker nog, de telefoon (en de betaalautomaat) kan ook zelf zo’n veld genereren, waardoor ook de telefoon met een NFC-kaart kan ’praten’.

Voor wat wij tot nu toe hebben gezien, is dat de voeding van een betaalautomaat wordt geknepen (bewust verkleind), waardoor een betaalkaart binnen de maximale afstand van 10cm van de automaat gehouden moet worden.

Communicatie

De communicatie met de buitenwereld gebeurt via een vooraf afgesproken golflengte. Vergelijk het maar met een radio zender en een radio ontvanger. Omdat we de golflengte hebben afgesproken, hoeven we ook niet een zender te zoeken. NFC valt binnen de specificaties van RFID (Radio Frequency Identification). Bij de meeste RFID-chips kan de chip alleen maar zenden. De contactloze autosleutels zijn een voorbeeld van RFID-toepassingen, maar het wordt ook veel gebruikt bij labels in kleding bijvoorbeeld. Bij NFC kan de chip ook berichten ontvangen. Via zijn computertje worden berichten ook versleuteld, waardoor een veilige communicatie tot stand gebracht wordt.

In principe kan de communicatie een afstand van zo’n 25cm overbruggen, echter in een laboratorium opstelling heeft men iets meer dan 90cm gehaald.

Beveiliging

In de betaalindustrie hebben we afspraken gemaakt over de beveiliging van een kaart en over de beveiliging in de communicatie. Uiteraard hebben we hier ook afspraken gemaakt over het veilig invoeren van een PIN-code.

Hiervoor is een wereldwijde standaard voor; deze heet PCI. PCI wordt voornamelijk in het westen gebruikt, in China hebben ze hun eigen norm (PBOC) welke veel overeenkomsten met PCI vertoont. Ook in Europa hebben we onze eigen standaard (EPC), dit is een standaard die door SEPA is ontwikkeld en extra’s op de PCI-standaard bevat.
En dat is ook wel nodig. In de VS en Canada kun je nauwelijks veilig online betalen. Met de gegevens die je met een smartphone uit een creditcard haalt, kun je in de VS gewoon dingen bestellen. Wat dat betreft lopen ze in de VS behoorlijk achter op Europa (o, en vergeet niet dat wij in Europa weer behoorlijk voorop lopen).
Maar goed, met de gegevens die je uit een Europese bankkaart (een debet kaart) kunt lezen, kun je geen betaling doen.

Gevaren

Al met al is het systeem best wel veilig.

Bankkaart

Met een betaalautomaat in de buurt van je debetkaart (zoals de betaalpas officieel heet), kan maximaal 25 euro worden overgeschreven, legaal of illegaal. Die 25 euro noemen we de onder-limiet. Dit kan hij maximaal 3 keer achter elkaar doen, tot een maximum van 60-75 euro (let wel, 3x in 15 seconden kan ook). Al de bedragen en aantallen zijn instellingen op jouw kaart, maar tot op heden stelt jouw bank deze in. Bij een aantal banken kun je dit op 0 zetten (uitschakelen). Mensen denken dan dat contactloos pinnen uit staat; dat is niet zo, de computer in de chip wordt gewoon gestart als de kaart in het elektro-magnetisch veld wordt geplaatst. Je kunt alleen niet meer contactloos betalen zonder een PIN-code in te geven.

Buitenlandse valuta

Je kunt je contactloze bankkaart ook in Engeland gebruiken (of Zweden, Noorwegen of Zwitserland). De onder-limiet op onze kaart uitgedrukt in Euro’s. Maar wat als de kaart gebruikt wordt met een automaat in Engeland? Daar hebben ze een onder-limiet in Ponden. In Engeland hanteren ze nog PCI (met wat eigen extra’s). Dit probleem is nog niet opgelost. De laatst bekende gegevens zijn dat in landen waar de Euro niet het geldige betaalmiddel is, er ook geen limiet bestaat.

Creditkaart

Heb je ook een contactloze creditkaart, dan wordt het gevaar aanzienlijk groter. Hiervoor gelden ook onder-limieten (een bedrag waar je geen PIN-code hoeft in te geven), maar ze kunnen ook de gegevens van je kaart stelen en die gebruiken om in bijvoorbeeld online in de VS spullen te bestellen; in principe kan dit ongelimiteerd (zolang het krediet-limiet niet is bereikt).

Smartphone

Een smartphone kan ook als betaalpas of creditkaart fungeren. Afhankelijk van de App die je gebruikt, hoef je een bedrag dat kleiner is dan de onder-limiet dan alleen te accorderen. Wij hebben niet onderzocht wat de risico’s zijn als je deze accordering niet hebt.

In principe kun je met de ene smartphone ook de andere lezen. Ook dit hebben wij niet onderzocht, maar, mocht iemand dit gaan onderzoeken, dan zal hij/zij er rekening mee moeten houden dat zowel de Apps, alsook de diverse types telefoon onderzocht moeten worden.

OV-chip en overige

In ons onderzoeken hebben wij ons beperkt tot onze specialismen; betalingen met bank- en creditkaarten. Wij hebben dus geen onderzoek gedaan naar de mogelijkheden van een OV-chip (met name de OV-chip met abonnement is uiteraard interessant). Ook het paspoort, ID-kaart en rijbewijs hebben wij niet onderzocht.

Deze documenten zijn wel het onderzoeken waard, daar hier de mogelijkheid van identiteitsfraude ontstaat. Echter, NFC beperkt zich niet alleen tot deze kaarten. In het bedrijfsleven wordt ook steeds vaker NFC toegepast (zoals toegangscontrole bij sportwedstrijden en festivals en bij betaalsystemen in de bedrijfskantine). Wat er in deze gevallen zichtbaar is voor de ‘buitenwereld’ is nauwelijks in te schatten. Er zijn geen richtlijnen en onze ervaring is dat veel ontwikkelaars weinig weten van dreigingen en daardoor vaak onveilige systemen maken.

Bagatelliseren

Wellicht is dit vooralsnog het grootste gevaar. Kijk maar eens bij de reacties op contactloos zakkenrollen, veel mensen reageren door te zeggen dat de hier genoemde gevaren bangmakerij is. Het argument is dan ‘Het is in Nederland nog nooit voorgekomen’. En dan hebben we nog de uitspraken dat de banken skimmen vergoeden en dat een crimineel ingeschreven moet zijn bij de KvK om een betaalautomaat aan te schaffen.

We leven in een vrij land. Als je er zo over wil denken, prima. Maar wij willen je toch graag wat overwegingen mee geven.

Inschrijven bij de KvK

Als de crimineel gebruik wil maken van een in Nederland goedgekeurde betaalautomaat en het geld op zijn Nederlandse bankrekening wil laten storten, ja, dan moet hij hier een betaalautomaat aanschaffen (of huren) en moet hij ingeschreven staan bij de KvK.

Wauw

En wat te denken van de crimineel uit Griekenland of Hongarije? Als je met vakantie naar Italië gaat, kan je daar toch ook gewoon contactloos betalen? Of hebben wij hier een speciale wet die zegt dat criminelen die in Nederland willen crimineren, verplicht zijn om hier een betaalautomaat aan te schaffen? En heren/dames criminelen, denk eraan, als je dit niet doet, kun je een boete krijgen die kan oplopen tot €50 :)

De banken vergoeden het skimmen

Het klopt, toen er op grote schaal geskimd werd, werd dat door de banken vergoed, maar niet in alle gevallen. In 2014 stelde de geschillencommissie de bank in het gelijk omdat de rekeninghouder niet goed op de online bankafschriften had gelet, waardoor de rekeningenhouder zelf opdraaide voor een schade van meer dan €4000.

Bovendien is hier geen sprake van skimmen. Skimmen of skimming betekent dat uw betaalgegevens worden gekopieerd zonder dat u dat weet. Waar we het hier over hebben is ordinaire diefstal; zakkenrollen en wel contactloos zakkenrollen. Bij het kopiëren van de creditkaartgegevens (zie hierboven) spreken we wel van skimmen, maar bij deze betalingen (van 3x kleine bedragen) geldt: je bent er zelf bij. Sterker nog, ook een legale standhouder kan op deze manier fraude plegen met jouw betaalkaart. En toon dan maar eens aan dat je niet 3 koffie met gebak had besteld of dat je geen shawl hebt gekocht op de braderie.

En dan moet je het ook nog ontdekken op je bankafschrift binnen de door de geschillencommissie gestelde termijn.

Het is in Nederland nog nooit voorgekomen

Nee, natuurlijk zeggen de banken dat het nog nooit is voorgekomen,. Bij het skimmen was het makkelijk aan te tonen dat je gewoon in Nederland was op het moment dat er in Italië €1000 van je rekening werd gehaald. Hier ligt het toch even anders, sterker, soms hebben mensen het niet eens door dat er € 19,95 van hun rekening is afgeschreven. Dus, zolang niet iemand heeft bewezen dat er een ongewenste contactloze betaling heeft plaatsgevonden, is het niet gebeurd volgens de officiële instanties, maar hoeveel mensen naar de bank of naar de politie zijn gestapt omdat ze op deze manier geskimd bestolen of geskimd zijn hoor je niet, omdat ze het niet kunnen aantonen.

Wij zijn ervan overtuigd dat er al heel wat gevallen hebben plaatsgevonden en wij zijn er vrij zeker van dat er ook al heel wat mensen zijn die dit gemeld hebben, maar bij wie dit nog steeds niet gehonoreerd is bij de banken. Sterker nog, wij denken dat, als je het de bank erg moeilijk maakt (dus je hebt de bank vrijwel overtuigd), dat ze een schikkingsvoorstel doen. Want door een incident te schikken, betekent dit niet dat ze toegeven, waardoor ze vol kunnen houden dat het nog nooit is voorgekomen.

Bangmakerij

Dit is natuurlijk iets wat je voor jezelf moet uitmaken. Wij weten wat de gevaren zijn en wij hebben voor onszelf een afweging gemaakt. Ook veel zakelijke kenissenhebben een Cardshield gekocht en voor een groot deel dit zijn ook de mensen uit de wereld van het elektronisch betalen.

Voor ons was de druppel het moment dat wij ons realiseerden dat iemand met een betaalautomaat uit Engeland op deze manier €500 kon stelen.

Hoe groot de kans is dat je slachtoffer wordt van het al dan niet bewust doen van een ongewenste contactloze betaling weet ik niet. Het gaat normaal om maximaal zo’n €75 in het geval van een debetkaart (pinpas). Dit kan ook onbewust gebeuren, bijvoorbeeld in de supermarkt, waar je per ongeluk ook voor iemand anders betaald.

Maar er is wel degelijk veel bangmakerij. We hebben videootjes gezien waarbij mensen rustig op een terrasje van de koffie zitten te genieten, terwijl en een crimineel met ‘wat apparatuur in z’n tas’ voorbij loopt en je bankrekening plundert. Klopt, dit is bangmakerij en is niet mogelijk.
Maar op een station op een drukke roltrap, of loopt er iemand in een drukke winkelstraat tegen de stroom in, zijn er legio mogelijkheden.

Ongewenste betalingen

Er zijn 3 categorieën waarbij fraude met contactloze kaarten plaats kan vinden.

  1. Skimmen
  2. Ongewenste betaling ter goeder trouw
  3. Criminele ongewenste betaling

Skimmen

Bij het skimmen denken we aan het kopiëren van de gegevens van een kaart. Dit kan identiteitsfraude tot gevolg hebben, maar wij beperken ons tot de creditkaart. Deze kaartgegevens zullen vervolgens gebruikt worden om op buitenlandse websites spullen aan te schaffen. Meestal zal dit gebeuren via tussenpersonen die ter goeder trouw handelen (via social media wordt iemand gevraagd of zij iets voor jou door kunnen sturen, zodat zij de BTW uit kunnen sparen, als je meewerkt, krijg je daar 25 dollar voor). Dat dit kan komt doordat op veel plaatsen alleen de naam en het kaartnummer nodig zijn.

Dit is dus echt skimmen of skimming en zal mogelijk door de bank worden vergoed, maar ik heb hier geen jurisprudentie over gevonden. Tot nu toe is door de banken alleen die skimming vergoed waarbij de gegevens (inclusief de PIN-code) werden gekopieerd door een door de banken goedgekeurde betaalautomaat welke in een later stadium gemanipuleerd is.

Ongewenste betaling ter goeder trouw

In dit geval betaal je ongemerkt voor iemand anders. We gaan er even vanuit dat die ander dit niet bewust laat gebeuren en dat het een en ander min of meer op toeval berust.

Na het betalen sta je in de supermarkt je boodschappen in je karretje te laden. De klant na jou heeft maar een paar boodschappen en net op het moment dat jij je tas weghaalt, moet die andere betalen. Doordat jij je tas te dicht langs de automaat haalt, betaal jij per ongeluk voor de persoon achter jou.

Maar het kan ook anders, je moet op een terras betalen en de ober komt met een mobiele automaat. Je had net gezien dat de vrouw naast je haar portemonnee in de tas had gedaan en deze, goed dicht, om haar schouder, schuin achter haar hangt. Jij neemt de automaat van de ober in ontvangst, buigt naar jouw tas, maar je haalt quasi onbewust de automaat langs de tas van je buurvrouw. Zij heeft betaald. Jij hoeft alleen je portemonnee maar even dicht bij de automaat te houden en iedereen denkt dat jij betaald hebt.

Criminele ongewenste betaling

Een crimineel zal proberen om op de roltrap als laatste op te stappen en als eerste boven te zijn. Op die manier loopt hij ongemerkt erg dicht langs heel veel mensen.
Hij maakt gebruik van een of meer contactloze betaalautomaten in zijn kleding. Hij kan deze via een App en Bluetooth aansturen. Als iemand heeft betaald, start hij razendsnel de volgende betaling . Makkelijker is het om het met z’n tweeën te doen, waarbij de ene langs de mensen loopt en de andere steeds via de App betalingen start.

Maar het kan ook de ober zijn die met een automaat zijn eigen klanten besteelt. Iemand met een terras in de stad zal dit niet zo vlug doen, maar bij een evenement ligt dat anders. Hij kan gewoon bij de KvK ingeschreven zijn en een Nederlandse betaalautomaat gebruiken. Een rondje tafeltjes schoonmaken kan dan al gauw een paar honderd euro extra opleveren.
En dan, je komt thuis, en je merkt dat er een keer €18 (voor de gebruikte consumpties) en daarna nog een keer €22 is afgeschreven voor iets dat je niet besteld hebt. Wat ga je doen? Aangifte bij de politie of bij de bank? Je zat toch op dat terras? En je hebt daar toch wat gedronken? Het enige wat je kunt doen is proberen meer mensen te vinden die dit hadden, maar dat wordt een hele klus. En dan mag je nog blij zijn dat je het op je afschrift ziet en al helemaal als je het binnen een week ziet.

Wellicht loopt er een nep-ober rond; maakt netjes de tafeltjes schoon, maar hij heeft wel een automaat uit de UK en haalt zo een paar honderd pond per keer van je rekening. Hier weer dezelfde vraag: wat nu?

Sophisticated

Maar het kan nog gekker. Wij hebben gezien wat de criminele skimmers ervoor over hebben om in echt ingenieuze ontwikkelingen te investeren. Voor het skimmen van de magneetstrip (met PIN-code) werden ‘skim-sets’ in productie gemaakt en werden er technici opgeleid om deze te plaatsen.

Wij hebben voor onszelf wat scenario’s uitgewerkt en getest. Wellicht hebben wij iets meer verstand van elektronisch betalen dan de gemiddelde crimineel, maar via het internet konden wij wat extra apparatuur aanschaffen en met wat uitgekiende software kunnen wij dan op grotere schaal betalingen uitvoeren zonder dat we een betaalautomaat bij ons hebben.
Voor de geïnteresseerden, we gaan het niet uitleggen; we willen niemand op een ideeën brengen, maar tzt zullen ze zelf ook wel op dergelijke ideeën komen.
Bangmakerij? Ik denk het niet. Als we zien hoeveel budget criminele organisaties hebben, dan valt dit ruim binnen hun financiële mogelijkheden.

Oplossingen

Ik wilde in eerste instantie een oplossing voor mijzelf. Ik wist van te voren dat er op het internet veel onzin wordt verteld en dat er veel stemmingmakerij is, dus ik moest zorgvuldig het koren van het kaf scheiden.

Ik had maar twee eisen voor de oplossing die ik wilde hebben. Het moet goed functioneren en het moet makkelijk zijn in het gebruikt. En uiteraard moet de prijs ook een beetje reëel zijn. Nu zijn er heel veel producten en videootjes te vinden en de een beloofd nog meer dan de ander.
Mijn doelstelling was: het juiste product vinden en mijn kennissen attenderen op de plaats waar ze dit konden bestellen.

Onderzoek

Al eerder heb ik uitgelegd hoe NFC werkt en welke twee ingrediënten nodig zijn om met een betaalkaart te communiceren. Dit zijn Voeding en Communicatie.

Op het moment dat je een van deze beide kunt uitschakelen (of inschakelen kunt voorkomen), voorkom je dat je draadloos kunt betalen. Tijdens mijn zoektocht ben ik ook verschillende producten tegengekomen die één van beide functionaliteiten beïnvloedde. Voor het beoordelen van de resultaten, moet je rekening houden met het feit dat de voeding gebaseerd is op elektro-magnetisme en wellicht moet je ook nog eens nalezen wat de Kooi van Faraday ook al weer precies inhoud. Leuk om te weten is bijvoorbeeld dat aluminium magnetisme niet tegenhoudt. Ook leuk om te weten is dat een auto een Kooi van Faraday is, maar dat dit niet mensen ervan weerhoud om in de auto te bellen; ook zonder carkit.

Afijn, hieronder de oplossingen die ik heb gevonden en het resultaat van mijn bevindingen.

Beschermschermhoesje

Deze beschermhoesjes zijn via veel websites te koop, maar bij de bank of de ANWB krijg je ze ook voor niets. Het beschermhoesje zorgt ervoor dat de kaart niet kan communiceren; het radiosignaal kan niet door het hoesje heen. Een hoesje beschermt alle kaarten die zich in het hoesje bevinden.

Het beschermschermhoesje wordt in verschillende vormen aangeboden.

  1. Single-card. Dit is het beschermhoesje van de bank of het hoesje van Chipsafe. Chipsafe heeft ook een beschermhoesje waar twee kaarten in kunnen. Interessant vond ik het beschermhoesje voor het paspoort.
    Afgezien van het beschermhoesje voor het paspoort voldoet dit product niet aan mijn voorwaarde ‘handig’. Ik gebruik mijn kaarten regelmatig en, afgezien van de vraag of de kaart-in-hoesje nog in mijn portemonnee past, is het voor mij teveel werk om de kaart te pakken.
  2. Multi-card case. Dit is meestal een aluminium bescherm doosje of creditcardhouder. In deze creditcard houder kunnen normaal 4-12 kaarten in. De Cardprotector van Secrid heeft plaats voor 4-6 kaarten, de Ogon Card Case heeft ruimte voor 7-10 kaarten. Persoonlijk lijkt mij de Ogon Card Case handiger dan de Secrid Cardprotector, maar beiden voldoen niet aan mijn definitie van handig. Ik heb al een portemonnee en ik wil eigenlijk niet nog een apart doosje met de mogelijkheid het ergens te vergeten (bij mij meestal thuis).
  3. Secure Wallet. De Secure Wallet is in principe ook een beschermhoesje, maar dan in de vorm van een portemonnee. Dit is wel de soort oplossing waar ik naar zocht, maar dan moet je wel net een model vinden dat je aanstaat en wat in jouw prijsklasse past. Er zijn wel redelijk wat modellen te koop. Ook hier weer veel modellen van Secrid of van Cardprotector. Een prima oplossing voor als je jouw geschikte model kunt vinden.

Alle bij mij bekende beschermhoesjes functioneren prima. De single beschermhoesjes kun je gratis krijgen, of duur kopen (€5,50 pers stuk!) via het internet.

Een bijzondere vorm van het beschermhoesje zijn de afschermplaatjes. Dit zijn twee aluminium kaarten die het radiosignaal blokkeren. In feite werkt het hetzelfde als het hoesje, alleen stop je nu een kaart voor en een kaart achter je betaalkaart. In principe moet je dit doen voor iedere NFC-kaart in je portemonnee. Er zijn bijvoorbeeld setjes die je bij SkimProtect en bij Card Secure kunt kopen. Een slimme oplossing voor als je kaarten netjes op een stapeltje hebt zitten. Gebruik je al zo’n doosje zoals hierboven, maar dan zonder bescherming, dan kan dit een oplossing zijn. De kaarten in mijn portemonnee zitten niet op een stapeltje, dus zou ik een heleboel van deze setjes moeten aanschaffen. Maar voor mijn doelstelling is Skimprotect geen oplossing.

Voedingsdeskundige

Er is een kaart met een bijzondere oplossing en die de voeding beïnvloed. Dit is de VB RFID Cardshield, in Nederland verkrijgbaar bij Beschermjepas.nl. Deze kaart absorbeert als het ware het elektro-magnetisch veld. Je kunt dit het best vergelijken met Anti-geluid. Of beter uitgelegd: ze weerkaatsen het veld met een vertraging door het door verschillende lagen te laten gaan. Hierdoor ontstaat in feite een anti-veld. Bij het vertragen kun je je een prisma voorstellen, waarbij je wit licht splitst in een regenboog. Het anti-veld is een magnetisch veld dat in tegenfase is van wordt aangeboden.

Een erg leuk principe, alleen, zoals ze zelf zeggen, het absorbeert voldoende voor twee, hooguit drie kaarten en ze garanderen er slechts één. Daardoor is deze kaart voor ons ook afgevallen.

Stoorzender

Een voor de hand liggende oplossing is de stoorzender. Helaas was deze nog niet te koop in Nederland, maar ik vond wel een leverancier. De stoorzender is gebaseerd op een vertrouwde methode om radiosignalen te verstoren; dat deden ze in de Tweede Wereldoorlog al, maar uiteraard toen nog niet voor NFC.

De kaart met stoorzender genereert simpelweg ruis op het communicatie signaal van NFC. Hierdoor gaat de NFC-kaart wel zijn signaal uitzenden, maar de ontvanger (de betaalautomaat) hoort alleen ruis. Ook als de ontvanger opdrachten verzendt, dan zal de kaart rubbish ontvangen. Kaart en betaalautomaat kunnen dus niet communiceren. Er is dus maar één kaart nodig om alle communicatie plat te leggen.

Er zijn, voor zover ik heb gevonden, drie leveranciers in Nederland die een kaart leveren met een stoorzender. Dat is mijn eigen kaart, de Cardshield. Dan hebben we de Skimmingblocker, zij hebben ook de weg gevonden naar onze leverancier. De Skimming blocker is precies dezelfde kaart als de Cardshield, alleen met een andere opdruk (en een andere prijs). Als derde leverancier vond ik de Armourcard. Deze laatste is een actieve kaart, met een batterij. Daar waar de Cardshield en de Skimmingblokker gebruik maken van eenzelfde, zij het iets gevoeligere, voeding als de betaalpas, gebruikt de Armourcard een batterijtje dat twee jaar mee gaat. Het leuke van de Armourcard is dat deze ook ledjes heeft waaraan je kunt zien of de kaart in een elektro-magnetisch-veld aanwezig is. Erg handig als je een doorzichtige portemonnee hebt. Ga vooral even kijken op de site van de Armourcard en vergeet niet naar de prijs te kijken – dan zie ik je zo wel terug op deze site; ik wacht wel even.

Het is dat de mensen achter Skimming blocker een gunstiger contract hebben afgesloten, waardoor ik alleen mijn bestaande voorraad Cardshield’s kan verkopen, maar, op het moment dat ik door mijn voorraad heen ben, verwijs ik je graag door naar Skimming blocker; in mijn optiek is de Cardshield en de Skimmingblocker toch de beste oplossing vanwege het feit dat je met slechts 1 kaart je hele portemonnee kunt beveiligen. Het past in iedere portemonnee, de prijs is goed en de kaart is erg eenvoudig te gebruiken.

Oplichters

Natuurlijk, die zijn er ook. Ik betwijfel of de leveranciers hiervan op de hoogte zijn. Volkswagen sjoemelde ook met software, maar dat maakt nog niet dat de Volkswagen dealer ook een sjoemelaar is. Van de meeste leveranciers die ik heb gesproken weten de meesten nauwelijks wat ze verkopen. De SignalVault, AntiSkimming card en de ChipBlocker zijn oplossingen die niet helemaal veilig zijn. Kijk je op de site van ChipBlocker; daar hebben ze een pagina ‘hoe werkt het’. Leuk om te lezen, maar hoe het werkt weet je na het lezen nog steeds niet en ik vraag me af of hij het zelf weet. Maar goed, zij bedoelen het wel goed. De distribiteur van de SignalVault-kaart weet waarschijnlijk niet dat de kaart die zij verkopen gewoon een ‘lege’-NFC-kaart is met een Myfair chip erin (anders had hij deze wel goedkoper ingekocht). Dit werkt in sommige gevallen en dit werkt zeker met de RABO-pas die ChipBlocker op hun site toont: deze RABO-pas heeft namelijk nog net geen NFC technologie.