Volledig onzichtbare apparaten, geïnstalleerd in betaalterminals of geldautomaten, stellen criminelen in staat om in real-time uw bankgegevens te stelen.
U stopt bij een tankstation om te tanken. Alles lijkt normaal: u betaalt, vult uw tank… en heeft er geen idee van dat op dat moment uw bankrekening misschien wordt geplunderd. Dit overkwam onlangs verschillende mensen in Nederland, waar dergelijke gevallen jaarlijks voorkomen bij zowel tankstations als geldautomaten.
Wat is skimming (en shimming)?
Skimming (afgeleid van het Engelse ’to skim’, ‘afschuimen’) is een methode van creditcardfraude waarbij criminelen ongemerkt de gegevens van een bankpas kopiëren tijdens een betalingstransactie of geldopname. Meestal gebruiken ze hiervoor een skimmer: een fysiek apparaat dat onopvallend op een geldautomaat of betaalterminal wordt geplaatst. Dit apparaat leest de gegevens van de magneetstrip van de pas. Vaak wordt er ook een minuscule camera geïnstalleerd om de pincode te registreren.
Een meer geavanceerde vorm is ‘shimming’, waarbij een flinterdun apparaatje ín de kaartsleuf van de automaat wordt geschoven, direct bij de chip. Zo kan het gegevens tussen de pas en automaat onderscheppen, zonder zichtbaar te zijn. Criminelen kunnen deze data naar handlangers in het buitenland doorsturen, bijvoorbeeld naar Spanje of Oost-Europa, waar ze replica’s van Nederlandse passen maken en geld opnemen bij buitenlandse automaten.
Toeristen, maar ook gewone Nederlanders, zijn vaak een geliefd doelwit voor skimmers, omdat ze soms gehaast of onoplettend zijn bij onbekende betaalpunten. Daarom is waakzaamheid altijd geboden.
Hoe werkt zo’n skimmingbende?
In een recent geval in Nederland werd een shimmer aangetroffen bij een groot tankstation op de randweg rond Amsterdam. De bancaire gegevens werden in real-time doorgestuurd naar medeplichtigen in het buitenland. Binnen enkele minuten na een tankbeurt konden er in Spanje of Roemenië al opnames met een nagemaakte pas gedaan worden.
Jaarlijks krijgt de Nederlandse Vereniging van Banken meldingen van duizenden gevallen van skimming. Hoewel de schade door strengere controles en betere techniek afneemt, lopen schadebedragen nog steeds in de miljoenen euro’s per jaar.
Vooral onbewaakte geldautomaten bij kleine filialen of op afgelegen tankstations zijn kwetsbaar. In het verleden zijn er in Nederland, net als elders in Europa, groepen opgerold die honderden skimapparaten verspreid door het land plaatsten en vele duizenden passen kopieerden.
Waarom blijft dit zo moeilijk te bestrijden?
Het grootste probleem is de onzichtbaarheid van de skimmer of shimmer: het apparaat is vaak zo ingenieus weggewerkt dat zelfs personeel het niet ziet, tenzij de automaat wordt geopend of grondig onderzocht.
Bovendien opereren de daders vaak internationaal; de gegevens worden bijvoorbeeld in Nederland verzameld, maar gebruikt in Spanje of Polen. Dit bemoeilijkt het politieonderzoek. Nederlandse opsporingsdiensten werken daarom nauw samen met banken en de Europese politieorganisaties.
Soms zijn betaalautomaten op tankstations en parkeerplaatsen kwetsbaar omdat ze oud zijn en weinig beveiligingsupdates krijgen. Hoewel moderne chipkaarten en contactloos betalen veel veiliger zijn dan vroegere magneetstriptechnologie, zijn niet alle betaalautomaten even goed beschermd.
Hoe kun je je beschermen tegen skimming?
Hoewel skimming moeilijk te detecteren is, kun je het risico beperken met enkele eenvoudige voorzorgsmaatregelen:
- Bekijk altijd goed of een geldautomaat of betaalterminal er normaal uitziet. Voelt het apparaat los aan, zit er een extra opzetstuk op de pasinvoer of ziet de toetsenbordbeschermer er onnatuurlijk uit? Gebruik dan liever een andere automaat of meld het bij het personeel.
- Betaal waar mogelijk contactloos of met een mobiele wallet (Apple Pay, Google Pay, etc.). Hierbij worden je kaartgegevens versleuteld en is het risico op kopiëren vrijwel nihil.
- Vermijd het opnemen van geld bij afgelegen, slecht verlichte of oude geldautomaten, vooral buiten kantooruren.
- Controleer regelmatig je bankafschriften. De meeste banken bieden direct meldingen na elke transactie. Bij verdachte activiteiten kun je direct je pas blokkeren via de bank-app of telefonisch bij je bank.
- Meld fraude altijd bij je bank en bij de politie. In Nederland kan dat ook via het Landelijk Meldpunt Internetoplichting of de Fraudehelpdesk.
Tussen banken en criminelen is een continue strijd gaande: dankzij de introductie van steeds veiligere betalingsmethoden (contactloos, tweefactorauthenticatie via app of sms, enz.) daalt het aantal gevallen van skimming langzaam. Maar criminelen innoveren mee: tegenwoordig zien we ook aanvallen met malware en geavanceerde phishing op webwinkels. Blijf daarom altijd alert, zowel online als bij fysieke betaalpunten.
