Wereldwijde bankpasfraude via PIN

11 maart 2006

Citibank maakte afgelopen woensdag bekend dat het een blokkade had geplaatst op transacties via een ongespecificeerd aantal bankpassen na frauduleuze transacties met contante opnames in Canada, Rusland en Groot-Brittanni te hebben geconstateerd. In een korte verklaring gaf Citibank aan dat de fraude het gevolg was van een ‘third-party business information breach’, dat afgelopen jaar al heeft plaatsgevonden. Om haar klanten te beschermen zei het bedrijf dat het ‘blocked PIN-based transactions in those locations for the customers affected by the breach’. Een woordvoerder weigerde echter de partij te noemen waar de hack plaatsgevonden heeft. Citibank is de laatste in een rij van banken die de afgelopen weken duizenden bankkaarten hebben ingetrokken of die de toegang geblokkeerd hebben voor specifieke transacties in landen waar bankpassen frauduleus gebruikt zijn om contant geld op te nemen of aankopen te doen via Amerikaanse rekeningen via PIN. Onder de banken zijn de Bank of America, Washington Mutual Bank, Wells Fargo Bank en talloze kredietmaatschappijen verspreid over de gehele Verenigde Staten. De North Carolina State Employees Credit Union in Raleigh, North Carolina, heeft de afgelopen twee weken meer dan 27.500 bankpassen teruggehaald, na door Visa Card USA op de hoogte gesteld te zijn van de fraude. Volgens Leigh Brady van de Union, zijn veel van de gecompromitteerde passen gebruikt in Roemeni, Rusland, Spanje en Groot-Brittanni. ‘This is the largest [card reissue] we’ve had one in quite a while’, zo stelde Brady.



Gartner stelde dat de acties van de banken ‘reflect the largest PIN theft to date and point to a new wave of ‘PIN block’ card fraud’. Avivah Litan, auteur van het Gartner-rapport over deze zaak stelt dat ‘PIN-based fraud schemes involve hackers somehow gaining access to the encrypted PIN data that is sent along with card numbers to processors that execute PIN debit transactions. The thieves also steal terminal keys used to encrypt PINs, which are typically stored on a retailer’s terminal controllers. The encrypted PIN information, together with the key for decrypting it and the card numbers, allow criminals to make counterfeit cards, that enable them to withdraw cash at ATM machines’. De zaak heeft al voor heel wat opschudding gezorgd. In februari riep Barney Frank, de leidende Democratische afgevaardigde in de Financile commissie van het Huis van Afgevaardigden, Mastercard en Visa op om de bron of bronnen van de hack te noemen of anders er zelf de verantwoordelijkheid voor te nemen. Visa stelde dat ‘it understood the need for quickly giving financial institutions the information needed to protect themselves and cardholders from losses in the event of a security breach, however accusing a single source of the compromise before the investigation is complete could be inaccurate and unfair’. De woordvoerder van het bedrijf vervolgt: ‘Similarly, disclosing the name of the compromised entity would become a powerful disincentive for the compromised entity to share time-sensitive information with Visa’. Het meeste bewijs suggereert dat betaalautomaten bij een Californische vestiging van OfficeMax betrokken zijn bij de fraude. Maar het is nog steeds niet duidelijk hoe de bankpas- en PIN-informatie was verworven en het is waarschijnlijk dat meer dan 200.000 passen gecompromitteert zijn. Sinds vorig jaar bij CardSystems Solutions, een kleine financile dienstverlener, de persoonlijke rekeninginformatie van meer dan 40 miljoen credit card-houders werd gestolen, hebben credit card bedrijven hun beveiligingsmaatregelen dermate hoog opgevoerd, dat criminelen zich op PIN-transacties van bankpassen zijn gaan richten. Deze blijken meer op te leveren en zijn ook veel slechter beveiligd. ‘Up until the last eight months, we had not even heard of a case’, zo zei Bryan Sartin, van Cybertrust in Herndon, Virginia. ‘Recently we have been called in to conduct more than half a dozen big investigations. While banks offer consumers the same zero-liability protection for debit cards as they do for credit cards, federal rules are somewhat weaker. Most debit transactions, which require cardholders to enter an identification number at a cash machine or in a shop, travel over a different type of processing network – one controlled either by the customer’s bank or by a payment association like Visa or MasterCard. Operations and security are often run by the consumer divisions of the big banks, not the credit card units’. Analisten gaan er vanuit dat deze fraude de baken er toe kan brengen om het verzet tegen chipkaarten op te geven en af te zien van de veel onveiligere magneetstrippen op de passen, net zoals bijvoorbeeld in Nederland al het geval is. Martin McMillan, CEO van Level Four, een bedrijf dat software maakt voor betaalautomaten stelde: ‘If you were to have a chip-only card, skimming would disappear. As long as you have a magnetic strip on the back of the card it will be susceptible to skimming‘.

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.