Een paar weken geleden in de kroeg hoefde ik mijn bankpas niet meer in het automaat te doen en zelfs mijn pincode niet meer in te typen bij het afrekenen van een paar biertjes. Bankpasjes worden tegenwoordig met RfID-technologie en NFC-chips uitgerust om contactloos af te kunnen rekenen.ING en ABN Amro hadden in 2012 al besloten dat ze dit systeem zouden gaan invoeren, maar het was tot voor kort nog niet in de praktijk gebracht. Tot €25,- kan je (als je bankpas daarmee is uitgerust) afrekenen (als het betaalautomaat ook deze techniek aan kan), zonder dat je daarbij je pincode hoeft in te voeren. Dit systeem werkt – zeker tegen sluitingstijd – best makkelijk, maar werkt het niet te makkelijk?Het systeem gebruikt NFC (Near Field Communication) door middel van RFID-chips. RFID (Radio-frequency Identification) is een elektromagnetisch veld dat door een chip gemaakt kan worden. Komt er een ontvanger in de buurt (meestal maar een paar centimeter) dan kan de ontvanger contact maken met de chip.Een betaalautomaat kan op die manier contact maken met de RFID-chip in je bankpas als je je pasje er vlak naast houdt en op deze manier afrekenen. Dit systeem wordt bijvoorbeeld ook gebruikt in de OV-chipkaart. Sommige telefoons zijn ook uitgerust met NFC-technologie, dus technisch gezien zou je met je telefoon ook contact kunnen maken met een bankpas.Gelijk kwamen er met dit systeem al berichten dat het naast superhandig, ook supermakkelijk te skimmen zou zijn. Nu vroegen wij ons af hoe makkelijk je zo'n RFID-bankpas kan kraken en er geld van kan stelen. Is het praktisch mogelijk om naast iemand in de tram te staan en geld af te schrijven? We spraken een ICT masterstudent (die anoniem wilde blijven) die ons gerust probeerde te stellen.MOTHERBOARD: Waarom doen banken dit nu?ICT-masterstudent: NFC is een bewezen methode om contactloos gegevens over te dragen. Het zit ook in telefoons, dus waarschijnlijk zal men over een aantal jaar met telefoons gaan betalen in plaats van een bankpas. Het is een stuk sneller omdat je geen pincode meer hoeft in te voeren. Daarom willen banken het hebben.Telefoons zijn dus ook uitgerust met NFC-technologie, is dat een probleem?Het is een voordeel, maar tegelijk ook een nadeel. Wat je zou kunnen doen is dat je een telefoon laat communiceren met een bankpas, die gegevens doorgeven aan een andere telefoon, die op zijn beurt de bankpas imiteert bij de betaalautomaat. Voor de bankpas lijkt het dat hij tegen de betaalautomaat praat, maar eigenlijk gebeurt dat via de telefoons die met elkaar praten over het internet. Dus dan hoeft de kaart niet bij de betaalautomaat te zijn. Om je daar tegen te verdedigen als bank kan je er bijvoorbeeld voor zorgen dat de timing bijzonder strak moet zijn, 1 milliseconde bijvoorbeeld. Hoewel 4G snel genoeg is om zelfs dat te overbruggen. Daaraan wil ik wel toevoegen dat dit nog niet goed onderzocht is.Is het zo makkelijk om mij te beroven?Ja en nee. Het grootste probleem voor skimmers is dat die betaalautomaten op naam staan. Je kan daar niet zomaar anoniem aankomen, al het geld gaat dan ook naar dezelfde rekening. De bank kijkt van wie is die rekening en dan halen ze het geld er gewoon weer vanaf. Maar aan de andere kant zullen er ook niet zo snel achter komen, want je hebt niet snel door dat iemand €25,- van je afschrijft.Hoewel er achter alle pintransacties wel een algoritme zit. Stel je pint elke dag in Amsterdam en je pinpas wordt ineens in China gebruikt, dan zal de bank dat niet toestaan en moet je wel een pincode gebruiken. Ze hebben daar algoritmes achter zitten die je gedrag analyseren, dus als je 's ochtends in Den Haag pint en een half uur later in Groningen, snapt het systeem van: dat kan niet, je kan niet in een half uur van Den Haag naar Groningen reizen. Het systeem reageert er dan ook meteen op. Door het gedrag van mensen te analyseren, kunnen ze een gok maken of het echt is of niet. Bij de bar waar ik vaak kom hoef ik nooit me pincode in te voeren, daar weten ze het, maar als ik opeens in Groningen grote bedragen ga pinnen, dan kan het systeem gaan nadenken over 'is dit wel echt?" Ze zullen dan waarschijnlijk ook om een pincode vragen.Vraagt het systeem altijd om een pincode bij een niet-gebruikelijke transactie?Nou nee, want ik heb nog nooit een pincode hoeven invoeren bij de bar. Ook niet de eerst keer dat ik er kwam. Het leent zich heel erg voor onderzoek. Er is een hele goede kans dat het systeem simpelweg niet goed is en dat er trucjes uit te halen zijn, maar je moet wel toegang hebben tot apparatuur en dat is redelijk lastig en duur.Verstoren andere NFC-pasjes het signaal niet?Niet per se, kijk maar als je incheckt bij NS, dat gaat meestal ook goed als je portemonnee op de scanner legt. Soms lukt dat natuurlijk niet, maar dat ligt er maar net aan of je andere NFC pasjes bij je hebt.Hoe makkelijk of moeilijk is het dus om iemand geld afhandig te maken?Vrij lastig, je moet in principe aan vier basisvoorwaarden voldoen:
Advertentie
Advertentie
Advertentie
- Toegang tot de juiste apparatuur, zoals een betaalautomaat.
- Dicht genoeg bij iemands pasje in de buurt komen om deze uit te lezen.
- Geluk hebben dat het signaal niet door andere pasjes wordt verstoord.
- Geluk hebben dat het systeem niet om een pincode vraagt.