Hoe makkelijk is je nieuwe NFC-bankpas te kraken?

Een paar weken geleden in de kroeg hoefde ik mijn bankpas niet meer in het automaat te doen en zelfs mijn pincode niet meer in te typen bij het afrekenen van een paar biertjes. Bankpasjes worden tegenwoordig met RfID-technologie en NFC-chips uitgerust om contactloos af te kunnen rekenen.

ING en ABN Amro hadden in 2012 al besloten dat ze dit systeem zouden gaan invoeren, maar het was tot voor kort nog niet in de praktijk gebracht. Tot €25,- kan je (als je bankpas daarmee is uitgerust) afrekenen (als het betaalautomaat ook deze techniek aan kan), zonder dat je daarbij je pincode hoeft in te voeren. Dit systeem werkt – zeker tegen sluitingstijd – best makkelijk, maar werkt het niet te makkelijk?

Het systeem gebruikt NFC (Near Field Communication) door middel van RFID-chips. RFID (Radio-frequency Identification) is een elektromagnetisch veld dat door een chip gemaakt kan worden. Komt er een ontvanger in de buurt (meestal maar een paar centimeter) dan kan de ontvanger contact maken met de chip.

Een betaalautomaat kan op die manier contact maken met de RFID-chip in je bankpas als je je pasje er vlak naast houdt en op deze manier afrekenen. Dit systeem wordt bijvoorbeeld ook gebruikt in de OV-chipkaart. Sommige telefoons zijn ook uitgerust met NFC-technologie, dus technisch gezien zou je met je telefoon ook contact kunnen maken met een bankpas.

Gelijk kwamen er met dit systeem al berichten dat het naast superhandig, ook supermakkelijk te skimmen zou zijn. Nu vroegen wij ons af hoe makkelijk je zo’n RFID-bankpas kan kraken en er geld van kan stelen. Is het praktisch mogelijk om naast iemand in de tram te staan en geld af te schrijven? We spraken een ICT masterstudent (die anoniem wilde blijven) die ons gerust probeerde te stellen.

Waarom doen banken dit nu?

ICT-masterstudent: NFC is een bewezen methode om contactloos gegevens over te dragen. Het zit ook in telefoons, dus waarschijnlijk zal men over een aantal jaar met telefoons gaan betalen in plaats van een bankpas. Het is een stuk sneller omdat je geen pincode meer hoeft in te voeren. Daarom willen banken het hebben.

Telefoons zijn dus ook uitgerust met NFC-technologie, is dat een probleem?

Het is een voordeel, maar tegelijk ook een nadeel. Wat je zou kunnen doen is dat je een telefoon laat communiceren met een bankpas, die gegevens doorgeven aan een andere telefoon, die op zijn beurt de bankpas imiteert bij de betaalautomaat. Voor de bankpas lijkt het dat hij tegen de betaalautomaat praat, maar eigenlijk gebeurt dat via de telefoons die met elkaar praten over het internet. Dus dan hoeft de kaart niet bij de betaalautomaat te zijn. Om je daar tegen te verdedigen als bank kan je er bijvoorbeeld voor zorgen dat de timing bijzonder strak moet zijn, 1 milliseconde bijvoorbeeld. Hoewel 4G snel genoeg is om zelfs dat te overbruggen. Daaraan wil ik wel toevoegen dat dit nog niet goed onderzocht is.

Is het zo makkelijk om mij te beroven?

Ja en nee. Het grootste probleem voor skimmers is dat die betaalautomaten op naam staan. Je kan daar in Nederland niet zomaar anoniem aankomen, al het geld gaat dan ook naar dezelfde rekening. De bank kijkt van wie die rekening is en dan halen ze het geld er gewoon weer vanaf. Maar aan de andere kant zullen er ook niet zo snel achter komen, want je hebt niet snel door dat iemand €25,- van je afschrijft. En betreft het een betaalautomaat uit het buitenland, dan wordt het iets anders.

Hoewel er achter alle pintransacties wel een algoritme zit. Stel je pint elke dag in Amsterdam en je pinpas wordt ineens in China gebruikt, dan zal de bank dat niet toestaan en moet je wel een pincode gebruiken. Sommige banken hebben daar algoritmes achter zitten die je gedrag analyseren, dus als je ’s ochtends in Den Haag pint en een half uur later in Groningen, snapt het systeem van: dat kan niet, je kan niet in een half uur van Den Haag naar Groningen reizen. Het systeem reageert er dan ook meteen op. Door het gedrag van mensen te analyseren, kunnen ze een gok maken of het echt is of niet. Bij de bar waar ik vaak kom hoef ik nooit me pincode in te voeren, daar weten ze het, maar als ik opeens in Groningen grote bedragen ga pinnen, dan kan het systeem gaan nadenken over ‘is dit wel echt?” Ze zullen dan waarschijnlijk ook om een pincode vragen. Maar met de huidige mobiele betaalautomaten wordt ook dit steeds moeilijker.

Vraagt het systeem altijd om een pincode bij een niet-gebruikelijke transactie?

Nou nee, want ik heb nog nooit een pincode hoeven invoeren bij de bar. Ook niet de eerst keer dat ik er kwam. Het leent zich heel erg voor onderzoek. Er is een hele goede kans dat het systeem simpelweg niet goed is en dat er trucjes uit te halen zijn, maar je moet wel toegang hebben tot apparatuur en dat is redelijk lastig.

Verstoren andere NFC-pasjes het signaal niet?

Niet per se, kijk maar als je incheckt bij NS, dat gaat meestal ook goed als je portemonnee op de scanner legt. Soms lukt dat natuurlijk niet, maar dat ligt er maar net aan welke andere NFC pasjes bij je hebt.

Hoe makkelijk of moeilijk is het dus om iemand geld afhandig te maken?

Vrij lastig, je moet in principe aan drie basisvoorwaarden voldoen:

  1. Toegang tot de juiste apparatuur, zoals een betaalautomaat.
  2. Dicht genoeg bij iemands pasje in de buurt komen om deze uit te lezen.
  3. Geluk hebben dat het systeem niet om een pincode vraagt.

Punt één is sowieso een lastige voor skimmers. Je kan jezelf ook vrij makkelijk tegen punt twee verdedigen met een speciale portemonnee met zilverfolie. Door deze portemonnees kan geen elektromagnetische straling, dus is er niet met je pasje te communiceren.

Het kan goed zijn dat het systeem de eerste keer om een pincode vraagt. Maar ja, dan loop je door en ga je naar de volgende. Het is nog niet onderzocht maar waarschijnlijk is het best te doen. Mocht je toch aan alle drie de basisvoorwaarden voldoen, dan kan je nog steeds maar maximaal €25,- bij iemand afschrijven.

Het lijkt dus voor skimmers niet echt lonend om zoveel moeite te doen, terwijl het weinig oplevert en je vrij makkelijk te traceren bent door de politie. Is er dan echt geen fatsoenlijke manier om makkelijk geld van mensen te jatten, zonder dat ze dat doorhebben?

Ja, het lijkt erop, maar vergis je niet in de criminele bendes. Zij hebben een groot budget voor nieuwe ontwikkelingen. Een uurtje skimmen op de juiste plaats, levert al gauw 15 tot 20 slachtoffers op. Anders dan bij zakkenrollers, kunnen deze skimmers solitair werken. Gaan we ervan uit dat een groepje van drie zakkenrollers per dag zo’n 500-600 euro bij elkaar moeten krijgen, dan mag het duidelijk zijn dat ook hier de ATV zal toeslaan. De Arbieds Tijd Verkorting betekent hier in feite dat de pakkans kleiner wordt.

Terug naar de bar waar ik het al eerder over had. Het grootste probleem is om aan een geregistreerd pinautomaat te komen. Maar als eigenaar heb je die waarschijnlijk al. Nu kan je met mobiele apparatuur mensen geld afhandig maken. Bovendien kan hij lokaal van zijn eigen WiFi netwerk gebruik maken. Het lijken legitieme transacties en omdat mensen gedronken hebben zullen ze het niet zo snel doorhebben. Mocht je alsnog beschuldigd worden, dan is het als gedupeerde heel moeilijk te bewijzen dat je niet gepind zou hebben.