Skimmen is de daad waarbij men andermans PIN-gegevens kopieert en misbruikt.
In een andere betekenis die evenwel niet in deze bijdrage wordt behandeld, betekent skimmen een vorm van diagonaal snellezen. Meer info hierover via deze link.
Skimmen (ook: skimming) is het op onrechtmatige wijze bemachtigen en kopiëren van betaalkaart-gegevens. Het is een vorm van betaalpasfraude, waarbij criminelen de magneetstrip van een pas kopiëren en de pincode bemachtigen op het moment dat er een betaaltransactie wordt verricht. Vervolgens maken de fraudeurs een kopie van de pas, samen met de pincode kunnen ze geld opnemen en betalen in binnen- en buitenland.
Wat is skimming?
Meestal wordt voor skimming een betaalautomaat in een onbewaakt ogenblik 'bewerkt', zodat een klant die een transactie verricht niet merkt dat zijn gegevens gekopieerd worden. Bij skimming wordt gebruikgemaakt van een apparaat dat de magnetische strip op de pas kan lezen en kopiëren. Dit apparaat wordt vóór de sleuf van de betaalautomaat geplaatst en ziet er uit als het echte voorzetmondje. Met trucs, zoals een erbij geïnstalleerde minicamera of 'over de schouder meekijken', wordt vervolgens de pincode afgekeken. Later kan dan de pas nagemaakt worden en wordt geld van de betreffende rekening opgenomen. Een andere variant is het kopiëren van gegevens van betaalkaarten in restaurants en winkels waar de klant de pas uit handen moet geven alvorens te kunnen betalen. De pas wordt door een medewerker door een apparaat gehaald dat de gegevens kopieert. Op één of andere wijze achterhaalt de fraudeur ook de PIN.
Klanten worden al geruime tijd door de banken gewaarschuwd. Als er verdachte of vreemde dingen gebeuren tijdens handelingen aan de betaalautomaat, moeten zij dit altijd direct aan de bank melden. Onder verdachte of vreemde dingen verstaat de bank bijvoorbeeld: het invoermondje ziet er anders uit dan normaal of de pas komt een paar keer terug voordat de automaat de pas 'pakt'. Zo nodig kan de bank direct maatregelen nemen door de betaalautomaat te sluiten en de pas te blokkeren. Intussen is, om het plaatsen van een voorzetmondje dat de magnetische strip kan lezen te bemoeilijken, een zogenaamd piano-device bij de meeste automaten geïnstalleerd. Een klant ziet dan op het beginscherm, voor een handeling, hoe de betaalautomaat er uit hóórt te zien. Ziet de invoermond er anders uit dan op het scherm, dan moet de klant geen gebruikmaken van de automaat. Bij moderne automaten gaat de betaalautomaat buiten gebruik als de beveiligde pasinvoer van de automaat gesloopt wordt.
In een aantal landen zijn betaalkaarten inmiddels uitgerust met een 'smart chip' die niet gekopieerd kan worden. In Nederland en België wordt die chip sinds 2005 geleidelijk geïntroduceerd. Zie hiervoor het onderwerp EMV. Ook deze chip voorkomt niet alle fraude, want het kaartnummer en de verloopdatum kunnen wel gelezen worden. Samen met de Card Verification Code (CVC) zijn die gegevens vaak al voldoende voor transacties bijvoorbeeld bij telefonische- of internetaankopen. De aansprakelijkheid bij eventuele fraude ligt dan overigens geheel bij de acceptant, omdat de pas aan de EMV standaard voldoet (de uitgever heeft dus al het mogelijke gedaan), maar de acceptant maakt daar geen gebruik van.
Hoe werkt het
Skimmen gebeurt op verschillende manieren, waarbij telkens geldt dat de techniek achter het skimmen complex is, maar de uitvoering eenvoudig. Er zijn op dit moment (2009) vier manieren bekend waarop skimming wordt uitgevoerd.
Camera of meekijken
De betaalautomaat wordt voorzien van extra software in het apparaat zelf, daarvoor moet de skimmer de betaalautomaat openschroeven. De software maakt een kopie van de magnetische strip van de betaalkaart en een kleine camera neemt het intoetsen van de pincode op. Het tijdstip van de transactie wordt ook geregistreerd. Doordat de tijd wordt opgenomen weten de skimmers welke pincode bij welke kopie hoort. Soms wordt geen camera geïnstalleerd, in dat geval proberen de skimmers over de schouder van de cliënt mee te kijken wat de pincode is - ook dan wordt het tijdstip genoteerd.
Keypad
Ook nu wordt de betaalautomaat voorzien van extra software, daarvoor moet de skimmer de betaalautomaat openschroeven. De software maakt een kopie van de magnetische strip van de betaalkaart én er wordt een keypad op of onder de gewone toetsen van de betaalautomaat aangebracht. Als iemand de cijfers van zijn pincode intoetst, dan wordt de cijfercombinatie geregistreerd.
Opzetfront
De skimmers plaatsen een vals frontje (voorzetmond) op de betaalautomaat, in dit frontje bevindt zich een lezer die de gegevens van de magnetische strip op de betaalkaart kan lezen. Deze gegevens worden veelal draadloos doorgegeven aan de fraudeur. Om de pincode te stelen, wordt meestal gebruikgemaakt van een minicamera, maar ook het 'over de schouder kijken' en de keypad worden gebruikt.
Geld opnemen
Met de gegevens van de magnetische strip wordt de betaalkaart nagemaakt. Vervolgens wordt met de gestolen pincode de rekening geplunderd. Vaak wordt geld in een ander land opgenomen omdat men daar niet precies weet hoe een Nederlandse pas er uit ziet.
Skimming in België
Een honderdtal bezoekers die op 28 maart 2009 geld tapten uit een bankautomaat aan de Grote Markt in Hasselt, zijn het slachtoffer geworden van een skimming-bende.
Van een twintigtal slachtoffers werd de bankrekening in 2011 vanuit de Amerikaanse stad Atlanta geplunderd. Het is het grootste bekende geval van skimming tot nog toe in Limburg.
Skimming in Nederland
In Nederland werd in 2007 voor 15 miljoen euro schade geleden door skimming. In 2008 steeg het aantal gevallen van betaalkaartfraude fors. In 2009 was de schade van skimming 36 miljoen. Skimmers hadden het in 2008 vooral op kaartjesautomaten op NS-stations voorzien.
Maar ook bij gewone betaalautomaten vond skimming plaats. Sinds 2007 weten de oplichters ook betaalautomaten van winkels te bewerken, restaurants, benzinestations, bioscopen en grotere winkels (o.a. bouw- en tuincentra) werden hier al het slachtoffer van. Omdat er enige tijd nodig is om een automaat te bewerken wordt bij winkels vermoed dat de dieven zich in laten sluiten om de automaten te prepareren. Bij buitenautomaten hebben de skimmers op rustige tijden sowieso tijd om de automaat te bewerken.
In 2008 kwamen alleen al bij de Spoorwegpolitie tot november 2008 500 meldingen van skimming bij kaartautomaten van de NS binnen. De meeste daders bleken uit Roemenië te komen en kwamen vaak speciaal voor het skimmen naar Nederland. In de landen rond Nederland zijn passen vaak al voorzien van een 'slimme chip', vandaar dat skimmers uitwijken naar Nederland waar de passen nog voorzien zijn van een magneetstrip die makkelijker te kopiëren is. Begin december ontdekte NS-reiziger Paul Wiegmans een skimapparaat op het station te Alkmaar, aan deze vondst werd op de televisie aandacht besteed o.a. in het programma Netwerk. Sindsdien weet het publiek beter waar het op moet letten, in januari 2009 werd een bende skimmers in Den Haag aangehouden omdat mensen voorzetfrontjes ontdekten op betaalautomaten. De daders bleken afkomstig uit Oost-Europa. Medio 2008 werd geschat dat er tussen de 9000 en 11 000 Oost-Europese criminelen actief waren in Nederland, deze criminelen houden zich o.a. bezig met skimmen.
Voorkomen van skimming
- Vrijwel alle betaalautomaten zijn tegenwoordig voorzien van een 'invoermondje'. Dit mondje ziet de klant op het scherm voordat hij begint te werken met de betaalautomaat. De klant moet er op letten dat de invoermond er exact zo uitziet als op het scherm. Elke andere invoermond kan een lezer bevatten die de magnetische strip op de pas leest. Omdat criminelen ook in staat zijn gebleken de echte invoermondjes na te maken, was er extra beveiliging nodig. Bij moderne varianten blokkeert de betaalautomaat zodra iemand probeert de echte invoermond te verwijderen.
- Het is altijd veiliger om een automaat binnen een bank of winkel te gebruiken dan een buitenautomaat. Fraudeurs hebben enige tijd nodig om een lezer aan te brengen. Dat is buiten makkelijker dan binnen. Het is echter voorgekomen dat fraudeurs in een winkel met de betaalautomaat knoeiden terwijl een groot pak op de lopende pand tussen caissière en klant stond, zodat de caissière niets merkte of dat fraudeurs zich lieten insluiten of inbraken om 's nachts de betaalautomaat te bewerken.
- Als er voldoende afstand gehouden wordt kunnen anderen de ingevoerde pincode niet aflezen.
- Als een pincode wordt ingegeven, moet de klant altijd de invoer met zijn hand afschermen. De invoer kan dan niet afgelezen worden met een camera.
- Door het banksaldo zeer regelmatig te controleren vallen transacties die onbekend zijn sneller op, de bankpas kan dan direct geblokkeerd worden.
- Valse frontjes lopen vaak minder soepel dan de echte. Als een pas een paar keer terug lijkt te komen, kan het om een vals frontje gaan. Breek de transactie af en neem contact op met de bank.
- Bij het instellen van een opnamelimiet kan dan niet meer dan een bepaald bedrag per dag afgehaald worden. De klant moet in dit geval wel zijn rekening regelmatig controleren, anders kan het gestolen bedrag toch flink oplopen.
- Er kan een tweede rekening geopend worden als huishoudrekening. Als deze rekening gebruikt wordt om geld af te halen en de limiet op deze rekening is laag, dan blijft eventueel misbruik beperkt.
- Als 'smart chips' beschikbaar komen kan de oude pas ingewisseld worden voor een 'slimme pas' (smart chip). Het zal niet alle fraude voorkomen, maar wel veel.
Zie ook