SlideShare ist ein Scribd-Unternehmen logo

Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht

Infosecurity2010
Infosecurity2010

Kaartfraude - Een ratrace tussen skimmers en beveiligingsmaatregelen.

TechnologieBusinessWirtschaft & Finanzen
1 von 27
Downloaden Sie, um offline zu lesen
Een  rat-­‐race  tussen  skimmers  en  beveiligingsmaatregelen   Jeroen  de  Boer   4  November  2010  
Agenda     Kerckhoffs’  principe     Techniek  achter  kaartbetaling     Ratrace  tussen  skimmers  en  beveiligers     En  nu?  
Kerckhoffs’  principe     Auguste  Kerckhoffs  in  1883:  een  cryptosysteem  moet   veilig  zijn  zelfs  als  alles  over  dit  systeem  publiek   bekend  is,  behalve  de  sleutel     Claude  Shannon:  “The  enemy  knows  the  system”     Dus  niet:  Security  through  obscurity     Toepasbaar  op  de  veiligheid  van  kaartbetalingen?     Openbaarheid  van  maatregelen    (het  “systeem”)  en   manieren  van  fraude  kan  sterk  bijdragen  aan  de   veiligheid  
Kaartbetaling     Sinds  ca.  1920  gebaseerd  op  handtekening  op  een  afdruk   van  een  metalen  ponskaart     Sinds  ca.  1985  ook  elektronisch     Wereldwijde  standaards  voor  magneetstrip,  PIN  en  chip   kaarten     Betaling  met  PIN  is  soort  van  two-­‐factor  authenticatie     PIN:     Bewijs  van  akkoord  van  de  klant     Beveiliging  tegen  misbruik  van  verloren  kaarten     “Absolute”  geheimhouding  vereist  
End-­‐to-­‐end  proces   Card   terminal   Point  of   sale   Head  office   Acquiring   bank   Issuing   bank   Kaart   PIN  
Complicerende  factoren     Meerdere  acceptatie  kanalen     Verschillende  veiligheidsniveaus     Verschillende  autorisatie  methoden     Veel  betrokken  partijen     Onwetende  klanten     Het  systeem  moet  wel  bruikbaar  en  betaalbaar  blijven  
Omvang  en  impact  fraude     Nederland,  PIN  passen:     2007:  €15  miljoen     2009:  €36  miljoen     2010:  €11  miljoen     UK,  credit  +  debit  cards:     2008:  GBP  610  miljoen     2009:  GBP  440  miljoen     Georganiseerde  misdaad     Financiering  van  drugs,  oorlogen  &  terrorisme   Bron:  www.cardwatch.org.uk  
Fraude  lifecycle   Zwakke  plek   Skimming   Productie   valse  kaarten   Misbruik/ fraude   Beveiliging   De  waarde  van  de   data  is  een   belangrijke  zwakke   plek  
Kaartproduc@e  
Echt  of  vals?  
De  regels  buigen  –  “@nfoil  hats”  
Inbraak  &  installa@e  
Inbraak  &  installa@e    
Meer  geweld  
Meer  technologie  
Preven@e     Standaarden  zijn  effectief  tegen  het  voorgaande…     De  omgeving  niet.     Nog  strengere  eisen     PCI  PTS     Authenticiteit  vaststellen     Stickers     Weegschaal     Röntgen  
Huidige  problemen     Skimming  apparatuur  en  camera’s       Zeer  verkleind     Professioneel  gebouwd     Moeilijk  te  onderscheiden  van  echte  kaartlezers     Bevestigd  met  dubbelzijdig  plakband     Data  real-­‐time  verzonden  via  blue-­‐tooth,  GSM  of  Wifi       Snel  geplaatst,  snel  verwijderd     Moeilijker  te  achterhalen  
Beveiligingsdomeinen   Card   terminal   Point  of   sale   Head  office   Acquiring   bank   Issuing   bank   Kaart   PIN   Omgeving   Dataopslag  en   -­‐transport   PIN  en  terminal  
Effec@viteit  huidige  standaarden     Standaarden  werken  goed,  binnen  hun  domein     Geen  integrale  standaard     Geen  bekendheid  van  nieuwe  dreigingen     Standaarden  reageren  laat  op  nieuwe  dreigingen   Risico   Standaard   Effectiviteit   PIN  compromise   PCI  PTS  (PED),  Currence  (NL),  etc.   ++   Data  compromise   PCI  DSS   +   Omgeving     (skimming,  schouder-­‐ surfen)   Privacy  schild   Piano  mondje   Noppen  mondje   “NS”  beugel   Skimmer-­‐detector   -­‐   o   o   +   +  
Migra@e  van  fraude     Grote  successen     Daling  van  €36mln  in  2009  naar  ruim  €11,8mln  in  2010     Steeds  nieuwe  maatregelen  om  verder  te  verminderen     EMV/Het  Nieuwe  Pinnen     Voorlopig  gaat  fraude  nog  niet  weg     Vooral  migratie  naar  andere  zwakke  schakels     Criminelen  moeten  ook  aan  hun  jaarcijfers  denken  
Waarde  van  de  data     Magneetstrip  data  is  waardevol     Eenvoudig  te  kopiëren     Via  andere  kanalen  te  misbruiken     Chipkaart  data  is  al  minder  waardevol     Maar…  meeste  chip  kaarten  hebben  ook  magneetstrip     Creditcard  via  Internet  misschien  geen  goed  idee?       Maakt  magneetstrip  data  waardevol.     Bijvoorbeeld  PayPal  of    IDEAL  zijn  een  beter  idee     Of  MasterCard  3D-­‐Secure  of  Verified  by  Visa,  e.d.  
Risico  gedreven  aanpak     Meer  bekendheid  over  fraude  en  over  maatregelen   helpt  om  risico  beter  in  te  schatten     Beter  inschatten  risico  helpt  om  de  business  case  rond   te  maken     Openheid  over  nieuwe  risico’s  maakt  het  mogelijk  om   via  kleine  veranderingen  “bij  te  blijven”  in  de   wapenwedloop  
Openheid  en  coördina@e     Analoog  aan  Kerckhoffs’  principe:     Ook  als  alle  details  van  het  systeem  bekend  zijn  aan  de   aanvaller,  zou  het  nog  veilig  moeten  zijn     Meer  openheid  over  fraude  helpt  om  bedrijven  de  juiste   beslissing  te  laten  nemen  en  fraude  terug  te  dringen     Nationaal  Coördinator  Skimmingbestrijding?     Bekendheid  over  de  dreiging  van  skimming     Bekendheid  over  effectieve  maatregelen     Alerts  wanneer  nodig     CardWatch  in  de  UK,  Currence  in  NL  
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht

Empfohlen

BrandAsset Valuator 2013: de top 100 sterkste merken van Nederland
BrandAsset Valuator 2013: de top 100 sterkste merken van NederlandBrandAsset Valuator 2013: de top 100 sterkste merken van Nederland
BrandAsset Valuator 2013: de top 100 sterkste merken van Nederlandbasvelthuis
 
School bulletin board
School bulletin boardSchool bulletin board
School bulletin boardmgodwin
 
Auke Huistra, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Auke Huistra, Infosecurity.nl, 3 november, Jaarbeurs UtrechtAuke Huistra, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Auke Huistra, Infosecurity.nl, 3 november, Jaarbeurs UtrechtInfosecurity2010
 
Salvation Army Canada Multi-channel
Salvation Army Canada Multi-channelSalvation Army Canada Multi-channel
Salvation Army Canada Multi-channelstacyguidice
 
Jupiler Tauro
Jupiler TauroJupiler Tauro
Jupiler Tauromachteldhuylebroeck
 
Ado dot net complete meterial (1)
Ado dot net complete meterial (1)Ado dot net complete meterial (1)
Ado dot net complete meterial (1)Mubarak Hussain
 
Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtRuud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtInfosecurity2010
 
All New trafficLIVE Brochure
All New trafficLIVE BrochureAll New trafficLIVE Brochure
All New trafficLIVE Brochurecwitton
 

Empfohlen

BrandAsset Valuator 2013: de top 100 sterkste merken van Nederland
BrandAsset Valuator 2013: de top 100 sterkste merken van NederlandBrandAsset Valuator 2013: de top 100 sterkste merken van Nederland
BrandAsset Valuator 2013: de top 100 sterkste merken van Nederlandbasvelthuis
 
School bulletin board
School bulletin boardSchool bulletin board
School bulletin boardmgodwin
 
Auke Huistra, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Auke Huistra, Infosecurity.nl, 3 november, Jaarbeurs UtrechtAuke Huistra, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Auke Huistra, Infosecurity.nl, 3 november, Jaarbeurs UtrechtInfosecurity2010
 
Salvation Army Canada Multi-channel
Salvation Army Canada Multi-channelSalvation Army Canada Multi-channel
Salvation Army Canada Multi-channelstacyguidice
 
Jupiler Tauro
Jupiler TauroJupiler Tauro
Jupiler Tauromachteldhuylebroeck
 
Ado dot net complete meterial (1)
Ado dot net complete meterial (1)Ado dot net complete meterial (1)
Ado dot net complete meterial (1)Mubarak Hussain
 
Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtRuud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtInfosecurity2010
 
All New trafficLIVE Brochure
All New trafficLIVE BrochureAll New trafficLIVE Brochure
All New trafficLIVE Brochurecwitton
 
Naccdo integrated fundraising cooperative grizzard samples
Naccdo integrated fundraising cooperative grizzard samples Naccdo integrated fundraising cooperative grizzard samples
Naccdo integrated fundraising cooperative grizzard samples stacyguidice
 
Social media academy de juridische aspecten van social commerce 20140220
Social media academy de juridische aspecten van social commerce 20140220Social media academy de juridische aspecten van social commerce 20140220
Social media academy de juridische aspecten van social commerce 20140220Bart Van Den Brande
 
Workshop schrijven voor het beeldscherm vso 14 juni 2012
Workshop schrijven voor het beeldscherm vso 14 juni 2012Workshop schrijven voor het beeldscherm vso 14 juni 2012
Workshop schrijven voor het beeldscherm vso 14 juni 2012Anja Gruteke
 
Woonaccessoires: Wat willen klanten, waar liggen kansen | INretail
Woonaccessoires: Wat willen klanten, waar liggen kansen | INretailWoonaccessoires: Wat willen klanten, waar liggen kansen | INretail
Woonaccessoires: Wat willen klanten, waar liggen kansen | INretailINretail
 
Doelgroeponderzoek
DoelgroeponderzoekDoelgroeponderzoek
Doelgroeponderzoekrubyvdbrink
 
Global Alliance for Clean Cookstoves
Global Alliance for Clean CookstovesGlobal Alliance for Clean Cookstoves
Global Alliance for Clean CookstovesDaniel Laender
 
Boston trip, august 2010
Boston trip, august 2010Boston trip, august 2010
Boston trip, august 2010SAnsbach
 
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs UtrechtPeter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs UtrechtInfosecurity2010
 
BrandAsset Valuator 2014 - De sterkste merken van Nederland
BrandAsset Valuator 2014 - De sterkste merken van NederlandBrandAsset Valuator 2014 - De sterkste merken van Nederland
BrandAsset Valuator 2014 - De sterkste merken van NederlandSjors Kremers
 
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud -
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud - Stephan Hendriks Eric IJpelaar - Identity access management in the cloud -
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud - Infosecurity2010
 
Seo advice
Seo adviceSeo advice
Seo advicecarldavies1234
 
Authenticatie
AuthenticatieAuthenticatie
AuthenticatieRichard Claassens CIPPE
 
Fraude & veiligheid seminar ogone
Fraude & veiligheid seminar ogoneFraude & veiligheid seminar ogone
Fraude & veiligheid seminar ogoneWebservices.nl
 
Digitaal rechercheren versus_identiteitsfraude
Digitaal rechercheren versus_identiteitsfraudeDigitaal rechercheren versus_identiteitsfraude
Digitaal rechercheren versus_identiteitsfraudePaul Mulder
 
2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile SecurityJaap van Ekris
 
From Blockchain to reality 2018-11-20
From Blockchain to reality 2018-11-20 From Blockchain to reality 2018-11-20
From Blockchain to reality 2018-11-20 Smals
 
Zo Magazine.PDF
Zo Magazine.PDFZo Magazine.PDF
Zo Magazine.PDFChristophe P
 
Presentatie Rio Opc 24 November 2008 2.0
Presentatie Rio Opc 24 November 2008 2.0Presentatie Rio Opc 24 November 2008 2.0
Presentatie Rio Opc 24 November 2008 2.0Huub Stiekema Bsc, CISM,CITRM
 
10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteitRoger Losekoot RADI®
 
20130227 neos rotselaar dreigingen cyberspace publiek
20130227 neos rotselaar dreigingen cyberspace publiek20130227 neos rotselaar dreigingen cyberspace publiek
20130227 neos rotselaar dreigingen cyberspace publiekgeertvincent
 
Factsheet social engineering
Factsheet social engineeringFactsheet social engineering
Factsheet social engineeringRob van Hees
 
Bitcoin, blockchain, distributed ledger, 10 februari 2016
Bitcoin, blockchain, distributed ledger, 10 februari 2016Bitcoin, blockchain, distributed ledger, 10 februari 2016
Bitcoin, blockchain, distributed ledger, 10 februari 2016Alphons Ranner
 

Weitere ähnliche Inhalte

Andere mochten auch

Naccdo integrated fundraising cooperative grizzard samples
Naccdo integrated fundraising cooperative grizzard samples Naccdo integrated fundraising cooperative grizzard samples
Naccdo integrated fundraising cooperative grizzard samples stacyguidice
 
Social media academy de juridische aspecten van social commerce 20140220
Social media academy de juridische aspecten van social commerce 20140220Social media academy de juridische aspecten van social commerce 20140220
Social media academy de juridische aspecten van social commerce 20140220Bart Van Den Brande
 
Workshop schrijven voor het beeldscherm vso 14 juni 2012
Workshop schrijven voor het beeldscherm vso 14 juni 2012Workshop schrijven voor het beeldscherm vso 14 juni 2012
Workshop schrijven voor het beeldscherm vso 14 juni 2012Anja Gruteke
 
Woonaccessoires: Wat willen klanten, waar liggen kansen | INretail
Woonaccessoires: Wat willen klanten, waar liggen kansen | INretailWoonaccessoires: Wat willen klanten, waar liggen kansen | INretail
Woonaccessoires: Wat willen klanten, waar liggen kansen | INretailINretail
 
Doelgroeponderzoek
DoelgroeponderzoekDoelgroeponderzoek
Doelgroeponderzoekrubyvdbrink
 
Global Alliance for Clean Cookstoves
Global Alliance for Clean CookstovesGlobal Alliance for Clean Cookstoves
Global Alliance for Clean CookstovesDaniel Laender
 
Boston trip, august 2010
Boston trip, august 2010Boston trip, august 2010
Boston trip, august 2010SAnsbach
 
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs UtrechtPeter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs UtrechtInfosecurity2010
 
BrandAsset Valuator 2014 - De sterkste merken van Nederland
BrandAsset Valuator 2014 - De sterkste merken van NederlandBrandAsset Valuator 2014 - De sterkste merken van Nederland
BrandAsset Valuator 2014 - De sterkste merken van NederlandSjors Kremers
 
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud -
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud - Stephan Hendriks Eric IJpelaar - Identity access management in the cloud -
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud - Infosecurity2010
 

Andere mochten auch (11)

Naccdo integrated fundraising cooperative grizzard samples
Naccdo integrated fundraising cooperative grizzard samples Naccdo integrated fundraising cooperative grizzard samples
Naccdo integrated fundraising cooperative grizzard samples
 
Social media academy de juridische aspecten van social commerce 20140220
Social media academy de juridische aspecten van social commerce 20140220Social media academy de juridische aspecten van social commerce 20140220
Social media academy de juridische aspecten van social commerce 20140220
 
Workshop schrijven voor het beeldscherm vso 14 juni 2012
Workshop schrijven voor het beeldscherm vso 14 juni 2012Workshop schrijven voor het beeldscherm vso 14 juni 2012
Workshop schrijven voor het beeldscherm vso 14 juni 2012
 
Woonaccessoires: Wat willen klanten, waar liggen kansen | INretail
Woonaccessoires: Wat willen klanten, waar liggen kansen | INretailWoonaccessoires: Wat willen klanten, waar liggen kansen | INretail
Woonaccessoires: Wat willen klanten, waar liggen kansen | INretail
 
Doelgroeponderzoek
DoelgroeponderzoekDoelgroeponderzoek
Doelgroeponderzoek
 
Global Alliance for Clean Cookstoves
Global Alliance for Clean CookstovesGlobal Alliance for Clean Cookstoves
Global Alliance for Clean Cookstoves
 
Boston trip, august 2010
Boston trip, august 2010Boston trip, august 2010
Boston trip, august 2010
 
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs UtrechtPeter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
 
BrandAsset Valuator 2014 - De sterkste merken van Nederland
BrandAsset Valuator 2014 - De sterkste merken van NederlandBrandAsset Valuator 2014 - De sterkste merken van Nederland
BrandAsset Valuator 2014 - De sterkste merken van Nederland
 
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud -
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud - Stephan Hendriks Eric IJpelaar - Identity access management in the cloud -
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud -
 
Seo advice
Seo adviceSeo advice
Seo advice
 

Ähnlich wie Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht

Fraude & veiligheid seminar ogone
Fraude & veiligheid seminar ogoneFraude & veiligheid seminar ogone
Fraude & veiligheid seminar ogoneWebservices.nl
 
Digitaal rechercheren versus_identiteitsfraude
Digitaal rechercheren versus_identiteitsfraudeDigitaal rechercheren versus_identiteitsfraude
Digitaal rechercheren versus_identiteitsfraudePaul Mulder
 
2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile SecurityJaap van Ekris
 
From Blockchain to reality 2018-11-20
From Blockchain to reality 2018-11-20 From Blockchain to reality 2018-11-20
From Blockchain to reality 2018-11-20 Smals
 
10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteitRoger Losekoot RADI®
 
20130227 neos rotselaar dreigingen cyberspace publiek
20130227 neos rotselaar dreigingen cyberspace publiek20130227 neos rotselaar dreigingen cyberspace publiek
20130227 neos rotselaar dreigingen cyberspace publiekgeertvincent
 
Factsheet social engineering
Factsheet social engineeringFactsheet social engineering
Factsheet social engineeringRob van Hees
 
Bitcoin, blockchain, distributed ledger, 10 februari 2016
Bitcoin, blockchain, distributed ledger, 10 februari 2016Bitcoin, blockchain, distributed ledger, 10 februari 2016
Bitcoin, blockchain, distributed ledger, 10 februari 2016Alphons Ranner
 
Bitcoin, blockchain, distributed ledger, 10 februari 2016
Bitcoin, blockchain, distributed ledger, 10 februari 2016Bitcoin, blockchain, distributed ledger, 10 februari 2016
Bitcoin, blockchain, distributed ledger, 10 februari 2016Alphons Ranner
 
Blockchain brainstorm 2040. Artikel uit de nieuwe Glossy
Blockchain brainstorm 2040. Artikel uit de nieuwe GlossyBlockchain brainstorm 2040. Artikel uit de nieuwe Glossy
Blockchain brainstorm 2040. Artikel uit de nieuwe GlossyJan Ruijgrok
 
3. blockchain cryptoplatform voor een frictieloze economie d2 d - design-to...
3. blockchain cryptoplatform voor een frictieloze economie d2 d - design-to...3. blockchain cryptoplatform voor een frictieloze economie d2 d - design-to...
3. blockchain cryptoplatform voor een frictieloze economie d2 d - design-to...Rick Bouter
 
Presentation fifi5
Presentation fifi5Presentation fifi5
Presentation fifi5Paul Jansen
 

Ähnlich wie Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht (17)

Authenticatie
AuthenticatieAuthenticatie
Authenticatie
 
Fraude & veiligheid seminar ogone
Fraude & veiligheid seminar ogoneFraude & veiligheid seminar ogone
Fraude & veiligheid seminar ogone
 
Digitaal rechercheren versus_identiteitsfraude
Digitaal rechercheren versus_identiteitsfraudeDigitaal rechercheren versus_identiteitsfraude
Digitaal rechercheren versus_identiteitsfraude
 
2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security
 
From Blockchain to reality 2018-11-20
From Blockchain to reality 2018-11-20 From Blockchain to reality 2018-11-20
From Blockchain to reality 2018-11-20
 
Zo Magazine.PDF
Zo Magazine.PDFZo Magazine.PDF
Zo Magazine.PDF
 
Presentatie Rio Opc 24 November 2008 2.0
Presentatie Rio Opc 24 November 2008 2.0Presentatie Rio Opc 24 November 2008 2.0
Presentatie Rio Opc 24 November 2008 2.0
 
10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit
 
20130227 neos rotselaar dreigingen cyberspace publiek
20130227 neos rotselaar dreigingen cyberspace publiek20130227 neos rotselaar dreigingen cyberspace publiek
20130227 neos rotselaar dreigingen cyberspace publiek
 
Factsheet social engineering
Factsheet social engineeringFactsheet social engineering
Factsheet social engineering
 
Bitcoin, blockchain, distributed ledger, 10 februari 2016
Bitcoin, blockchain, distributed ledger, 10 februari 2016Bitcoin, blockchain, distributed ledger, 10 februari 2016
Bitcoin, blockchain, distributed ledger, 10 februari 2016
 
Bitcoin, blockchain, distributed ledger, 10 februari 2016
Bitcoin, blockchain, distributed ledger, 10 februari 2016Bitcoin, blockchain, distributed ledger, 10 februari 2016
Bitcoin, blockchain, distributed ledger, 10 februari 2016
 
Blockchain brainstorm 2040. Artikel uit de nieuwe Glossy
Blockchain brainstorm 2040. Artikel uit de nieuwe GlossyBlockchain brainstorm 2040. Artikel uit de nieuwe Glossy
Blockchain brainstorm 2040. Artikel uit de nieuwe Glossy
 
3. blockchain cryptoplatform voor een frictieloze economie d2 d - design-to...
3. blockchain cryptoplatform voor een frictieloze economie d2 d - design-to...3. blockchain cryptoplatform voor een frictieloze economie d2 d - design-to...
3. blockchain cryptoplatform voor een frictieloze economie d2 d - design-to...
 
Digitale veiligheid
Digitale veiligheidDigitale veiligheid
Digitale veiligheid
 
Presentatie Nik Dag 2009
Presentatie Nik Dag 2009Presentatie Nik Dag 2009
Presentatie Nik Dag 2009
 
Presentation fifi5
Presentation fifi5Presentation fifi5
Presentation fifi5
 

Mehr von Infosecurity2010

Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...
Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...
Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...Infosecurity2010
 
Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...
Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...
Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...Infosecurity2010
 
Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...
Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...
Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...Infosecurity2010
 
Stefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrecht
Stefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrechtStefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrecht
Stefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrechtInfosecurity2010
 
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs UtrechtEric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs UtrechtInfosecurity2010
 
Koen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Koen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs UtrechtKoen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Koen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs UtrechtInfosecurity2010
 
David Burg, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
David Burg, Infosecurity.nl, 3 november, Jaarbeurs UtrechtDavid Burg, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
David Burg, Infosecurity.nl, 3 november, Jaarbeurs UtrechtInfosecurity2010
 
Helmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Helmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtHelmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Helmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtInfosecurity2010
 
Paul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs Utrecht
Paul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs UtrechtPaul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs Utrecht
Paul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs UtrechtInfosecurity2010
 
Andrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Andrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtAndrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Andrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtInfosecurity2010
 

Mehr von Infosecurity2010 (10)

Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...
Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...
Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...
 
Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...
Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...
Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...
 
Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...
Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...
Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...
 
Stefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrecht
Stefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrechtStefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrecht
Stefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrecht
 
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs UtrechtEric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
 
Koen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Koen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs UtrechtKoen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Koen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
 
David Burg, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
David Burg, Infosecurity.nl, 3 november, Jaarbeurs UtrechtDavid Burg, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
David Burg, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
 
Helmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Helmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtHelmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Helmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
 
Paul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs Utrecht
Paul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs UtrechtPaul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs Utrecht
Paul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs Utrecht
 
Andrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Andrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtAndrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Andrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
 

Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht

  • 1. Een  rat-­‐race  tussen  skimmers  en  beveiligingsmaatregelen   Jeroen  de  Boer   4  November  2010  
  • 2. Agenda     Kerckhoffs’  principe     Techniek  achter  kaartbetaling     Ratrace  tussen  skimmers  en  beveiligers     En  nu?  
  • 3. Kerckhoffs’  principe     Auguste  Kerckhoffs  in  1883:  een  cryptosysteem  moet   veilig  zijn  zelfs  als  alles  over  dit  systeem  publiek   bekend  is,  behalve  de  sleutel     Claude  Shannon:  “The  enemy  knows  the  system”     Dus  niet:  Security  through  obscurity     Toepasbaar  op  de  veiligheid  van  kaartbetalingen?     Openbaarheid  van  maatregelen    (het  “systeem”)  en   manieren  van  fraude  kan  sterk  bijdragen  aan  de   veiligheid  
  • 4.
  • 5. Kaartbetaling     Sinds  ca.  1920  gebaseerd  op  handtekening  op  een  afdruk   van  een  metalen  ponskaart     Sinds  ca.  1985  ook  elektronisch     Wereldwijde  standaards  voor  magneetstrip,  PIN  en  chip   kaarten     Betaling  met  PIN  is  soort  van  two-­‐factor  authenticatie     PIN:     Bewijs  van  akkoord  van  de  klant     Beveiliging  tegen  misbruik  van  verloren  kaarten     “Absolute”  geheimhouding  vereist  
  • 6. End-­‐to-­‐end  proces   Card   terminal   Point  of   sale   Head  office   Acquiring   bank   Issuing   bank   Kaart   PIN  
  • 7. Complicerende  factoren     Meerdere  acceptatie  kanalen     Verschillende  veiligheidsniveaus     Verschillende  autorisatie  methoden     Veel  betrokken  partijen     Onwetende  klanten     Het  systeem  moet  wel  bruikbaar  en  betaalbaar  blijven  
  • 8.
  • 9. Omvang  en  impact  fraude     Nederland,  PIN  passen:     2007:  €15  miljoen     2009:  €36  miljoen     2010:  €11  miljoen     UK,  credit  +  debit  cards:     2008:  GBP  610  miljoen     2009:  GBP  440  miljoen     Georganiseerde  misdaad     Financiering  van  drugs,  oorlogen  &  terrorisme   Bron:  www.cardwatch.org.uk  
  • 10. Fraude  lifecycle   Zwakke  plek   Skimming   Productie   valse  kaarten   Misbruik/ fraude   Beveiliging   De  waarde  van  de   data  is  een   belangrijke  zwakke   plek  
  • 13. De  regels  buigen  –  “@nfoil  hats”  
  • 18. Preven@e     Standaarden  zijn  effectief  tegen  het  voorgaande…     De  omgeving  niet.     Nog  strengere  eisen     PCI  PTS     Authenticiteit  vaststellen     Stickers     Weegschaal     Röntgen  
  • 19. Huidige  problemen     Skimming  apparatuur  en  camera’s       Zeer  verkleind     Professioneel  gebouwd     Moeilijk  te  onderscheiden  van  echte  kaartlezers     Bevestigd  met  dubbelzijdig  plakband     Data  real-­‐time  verzonden  via  blue-­‐tooth,  GSM  of  Wifi       Snel  geplaatst,  snel  verwijderd     Moeilijker  te  achterhalen  
  • 20.
  • 21. Beveiligingsdomeinen   Card   terminal   Point  of   sale   Head  office   Acquiring   bank   Issuing   bank   Kaart   PIN   Omgeving   Dataopslag  en   -­‐transport   PIN  en  terminal  
  • 22. Effec@viteit  huidige  standaarden     Standaarden  werken  goed,  binnen  hun  domein     Geen  integrale  standaard     Geen  bekendheid  van  nieuwe  dreigingen     Standaarden  reageren  laat  op  nieuwe  dreigingen   Risico   Standaard   Effectiviteit   PIN  compromise   PCI  PTS  (PED),  Currence  (NL),  etc.   ++   Data  compromise   PCI  DSS   +   Omgeving     (skimming,  schouder-­‐ surfen)   Privacy  schild   Piano  mondje   Noppen  mondje   “NS”  beugel   Skimmer-­‐detector   -­‐   o   o   +   +  
  • 23. Migra@e  van  fraude     Grote  successen     Daling  van  €36mln  in  2009  naar  ruim  €11,8mln  in  2010     Steeds  nieuwe  maatregelen  om  verder  te  verminderen     EMV/Het  Nieuwe  Pinnen     Voorlopig  gaat  fraude  nog  niet  weg     Vooral  migratie  naar  andere  zwakke  schakels     Criminelen  moeten  ook  aan  hun  jaarcijfers  denken  
  • 24. Waarde  van  de  data     Magneetstrip  data  is  waardevol     Eenvoudig  te  kopiëren     Via  andere  kanalen  te  misbruiken     Chipkaart  data  is  al  minder  waardevol     Maar…  meeste  chip  kaarten  hebben  ook  magneetstrip     Creditcard  via  Internet  misschien  geen  goed  idee?       Maakt  magneetstrip  data  waardevol.     Bijvoorbeeld  PayPal  of    IDEAL  zijn  een  beter  idee     Of  MasterCard  3D-­‐Secure  of  Verified  by  Visa,  e.d.  
  • 25. Risico  gedreven  aanpak     Meer  bekendheid  over  fraude  en  over  maatregelen   helpt  om  risico  beter  in  te  schatten     Beter  inschatten  risico  helpt  om  de  business  case  rond   te  maken     Openheid  over  nieuwe  risico’s  maakt  het  mogelijk  om   via  kleine  veranderingen  “bij  te  blijven”  in  de   wapenwedloop  
  • 26. Openheid  en  coördina@e     Analoog  aan  Kerckhoffs’  principe:     Ook  als  alle  details  van  het  systeem  bekend  zijn  aan  de   aanvaller,  zou  het  nog  veilig  moeten  zijn     Meer  openheid  over  fraude  helpt  om  bedrijven  de  juiste   beslissing  te  laten  nemen  en  fraude  terug  te  dringen     Nationaal  Coördinator  Skimmingbestrijding?     Bekendheid  over  de  dreiging  van  skimming     Bekendheid  over  effectieve  maatregelen     Alerts  wanneer  nodig     CardWatch  in  de  UK,  Currence  in  NL