Hoe gebeurt het

Fraude met betaalautomaten kan op vele manieren gebeuren. In de eerste plaats door geknoei van bankemployé's.

In Hastings stal een bankbediende geld van de rekening van een huisvrouw door zichzelf een clandestiene extra pas te verstrekken. Het computersysteem stelde hem daartoe in staat. De in totaal 43 opnames van 200 pond werden niet op de rekeningafschriften vermeld. Toen de huisvrouw een klacht indiende, werd ze niet geloofd. De diefstal kwam pas aan het licht toen de employé zich, geplaagd door gewetensnood, aangaf.

Een onderhoudstechnicus in Schotland sloot een draagbare pc aan op een betaalautomaat, waarmee hij pincodes en rekeningnummers registreerde. Hij maakte namaakpasjes en plunderde daarna de rekeningen. Gedupeerde klanten kregen bij de bank geen gehoor.

Een bank verstrekte zijn loketbedienden pasjes waarmee ze bij de automaat van hun filiaal geld konden opnemen van willekeurige rekeningen.

De meeste bancaire computerbeveiligingssystemen gaan uit van het principe van dubbele contrôle: om aan codeersleuteuls en blanco pasjes en pincodes te komen, is altijd de gecombineerde kennis van twee mensen vereist. Bij een bank verordonneerde een protegé van de onderdirecteur ineens zonder overleg om dit systeem op te heffen. Het gevolg: de verliezen door diefstal vertienvoudigden.

Vaak blijkt de hard- of de software van de betaalautomaat door ontwerp- of installeerfouten kwetsbaar voor criminelen van buitenaf.

In New York printten betaalautomaten begin jaren tachtig na opnames het volledige rekeningnummer uit op het ontvangststrookje. Datzelfde nummer stond bovendien niet-versleuteld op de magnetische strip in het pasje. Een geldautomaat-technicus noteerde de nummers van weggegooide strookjes, zette deze op blanco pasjes en kon zo 80.000 dollar opnemen. Hij werd na intensief posten op heterdaad betrapt. Hoewel de truc de nodige publiciteit kreeg, bleek hij in Engeland nog in 1992 te worden toegepast. De bank stopte pas met het printen van rekeningnummers nadat Anderson op de tv had voorgedaan hoe de truc werkte.

Wanneer de centrale bankcomputer een pincode heeft gecheckt, komt er een autorisatiesignaal terug voor uitbetaling. Vaak is dat signaal niet cryptografisch versleuteld, zodat het kan worden afgetapt en steeds opnieuw worden "afgespeeld'. De automaat betaalt uit als een jackpot, net zo lang totdat hij leeg is.

Een systeem was door een programmeerfout zo afgesteld dat dieven door het insteken van een willekeurige telefoonkaart geld konden opnemen. De automaat "dacht' dan dat de vorige kaart opnieuw werd gebruikt.

Veel nieuwe bankpasjes kunnen door dieven gemakkelijk worden onderschept omdat ze nog steeds per gewone post worden verstuurd.

Eén automaat betaalde steeds tien bankbiljetten uit wanneer een bepaalde testreeks van 14 cijfers werd ingetikt. Een bank drukte deze testroutine per ongeluk af in zijn filiaalhandboeken, wat drie jaar resulteerde in een reeks diefstallen.

Door nep-betaalautomaten te installeren, kunnen criminelen simpel nummers en pincodes van rekeninghouders kopiëren. Rekeninghouders worden door de bank niet tegen dit risico gewaarschuwd.

Criminelen kunnen met gestolen pasjes drie keer een pincode van vier cijfers uitproberen. Ze hebben dus een kans van 1 op de 3333 om op goed geluk de goede code te vinden. Maar vaak is die kans veel groter.

Sommige banken laten betaalautomaten die off-line staan toch uitbetalen met een zogeheten "stand-in pin-arrangement': het apparaat betaalt dan bijvoorbeeld al als de som van het eerste en laatste cijfer gelijk is die van de twee middelste. Het aantal mogelijke combinaties is dan drastisch minder.

Veel banken moedigen hun klanten aan om hun code te versleutelen in een vierletterwoord, verstopt in een veld van 4 bij 10 willekeurige letters. Uit een gegeven grid kunnen echter meestal maar enkele tientallen vierletterwoorden worden gemaakt, wat de kans terugbrengt van 1 op 3333 tot ongeveer 1 op 10.

Soms wordt door een programmeerfout eenzelfde pincode verstrekt aan een zeer grote fractie van de klanten.

Dit zijn slechts enkele voorbeelden van eenvoudige blunders waardoor in het recente verleden met betaalautomaten kon worden gefraudeerd. De mogelijkheden voor ingewikkelder vormen van oplichting zijn ook legio, dankzij het feit dat in veel banken de computerbeveiliging onvolledig is gemplementeerd. Veel systemen hangen op hardware veiligheidsmodules, maar uit een enquète onder verkopers bleek dat van de 1000 bankfilialen in de VS die voor VISA en Mastercard zelfstandig pincodes checkten, er in 1990 maar 300 zo'n module bezaten.

De pinsleutels worden dan softwarematig bewaard, waardoor ze gemakkelijk door systeemprogrammeurs zijn te achterhalen. Bij één bank verzuimde men bovendien meestersleutels te maken voor de codeersoftware, met als gevolg dat de banktechnici via simpele testprocedures de pincodes van klanten konden achterhalen. Tegen betaling berekenden deze voor de plaatselijke onderwereld de PINs van gestolen pasjes.

Uit: Ross Anderson (1993), "Why cryptosystems fail', paper aangeboden voor de Proceedings van de ACM Conference on Computer and Communication Security in de VS in november.