Skimmen

Skimmen is een vorm van betaalfraude waarbij criminelen de gegevens van je betaalkaart onrechtmatig kopieren en je pincode achterhalen. De term komt van het Engelse "to skim" (afromen) en verwijst naar het ongemerkt afvangen van kaartgegevens bij een betaaltransactie. Hoewel de nadruk in cybersecurity vaak ligt op digitale aanvallen, blijft skimmen een hardnekkig probleem op het snijvlak van fysieke en digitale criminaliteit. De politie classificeert skimmen als een vorm van fraude met betaalkaartgegevens die jaarlijks miljoenen euro's aan schade veroorzaakt.

Bij traditioneel skimmen plaatst een crimineel een onopvallend apparaatje, een skimmer, op of in een geldautomaat of betaalterminal. Dit apparaatje leest de magneetstrip van de betaalkaart uit wanneer je betaalt of geld opneemt. Tegelijkertijd wordt de pincode onderschept via een valse toetsenbordbedekking of een kleine camera gericht op het toetsenbord. Met de gekopieerde kaartgegevens en pincode maakt de crimineel een kloon van de kaart waarmee hij betalingen en opnames kan doen, vaak in het buitenland waar de beveiliging minder streng is.

Hoe werkt skimmen?

Skimmen kent verschillende varianten die steeds geavanceerder worden. Bij de klassieke methode wordt een dunne lezer over de kaartsleuf van een geldautomaat geplaatst. Wanneer je je kaart insteekt, leest het apparaatje de gegevens van de magneetstrip terwijl de automaat ook normaal functioneert. Je merkt dus niets van de fraude op het moment zelf. De gegevens worden draadloos via Bluetooth of GSM verzonden naar de crimineel die in de buurt wacht, of opgeslagen in het apparaatje om later op te halen.

Een tweede methode is shoulder surfing in combinatie met een skimapparaat. Hierbij kijkt een mededader over je schouder mee terwijl je je pincode invoert, of gebruikt een smartphone-camera om de code vast te leggen. Modernere criminelen plaatsen een overlay op het toetsenbord dat de toetsaanslagen registreert, of installeren een onopvallende camera boven het scherm die zo klein is dat hij met het blote oog nauwelijks zichtbaar is.

Een nieuwere variant is digitaal skimmen, ook wel e-skimming of Magecart-aanvallen genoemd. Hierbij injecteren aanvallers kwaadaardige JavaScript-code in de betaalpagina's van webwinkels. Wanneer klanten hun creditcardgegevens invoeren, worden deze ongemerkt gekopieerd naar een server van de aanvaller. Deze vorm van skimmen treft niet alleen de klant maar ook de webwinkel, die aansprakelijk kan zijn voor de schade. In 2024 werden wereldwijd duizenden webwinkels getroffen door e-skimming aanvallen, waaronder ook Nederlandse webshops.

RFID-skimming is een variant waarbij contactloze betaalkaarten op afstand worden uitgelezen met een RFID-lezer. De crimineel hoeft hierbij niet eens fysiek contact te maken met de kaart en kan in drukke omgevingen zoals het openbaar vervoer of winkelcentra ongemerkt kaartgegevens onderscheppen. Hoewel de meeste moderne kaarten beveiligingsmaatregelen hebben tegen deze aanval, waaronder dynamische verificatiecodes, blijft het een risico bij oudere kaarten of kaarten zonder adequate bescherming.

Hoe herken je skimmen?

Let bij geldautomaten en betaalterminals op loszitten de onderdelen, ongebruikelijke uitstekende randen rond de kaartsleuf of het toetsenbord, en kleine gaatjes boven het scherm waar een camera achter zou kunnen zitten. Vergelijk de automaat met andere automaten in dezelfde reeks. Als een onderdeel anders lijkt, is dat reden voor argwaan. Moderne geldautomaten hebben vaak een groen lampje bij de kaartsleuf; een ontbrekend of anders gekleurd lampje kan duiden op manipulatie. Trek voorzichtig aan de kaartsleuf: een echt onderdeel zit stevig vast, een skimmer laat vaak los.

Bij online skimmen zijn de signalen subtieler. Let op onverwachte wijzigingen in het betaalproces, zoals extra velden die eerder niet gevraagd werden, of een betaalpagina die er iets anders uitziet dan gewoonlijk. Controleer of de URL in de adresbalk overeenkomt met de verwachte domeinnaam van de webwinkel. Onverklaarbare transacties op je bankafschrift zijn vaak het eerste teken dat je slachtoffer bent geworden van skimming. Stel daarom altijd transactie-notificaties in bij je bank zodat je direct gealarmeerd wordt bij ongebruikelijke activiteiten.

Organisaties die betaalterminals beheren, moeten regelmatig fysieke inspecties uitvoeren op hun apparatuur. Het Rijksoverheid adviseert om alert te zijn op afwijkingen en verdachte situaties direct te melden bij de politie en de betaalverwerker.

Hoe bescherm je je tegen skimmen?

Als consument bescherm je jezelf door altijd het toetsenbord af te schermen met je hand wanneer je je pincode invoert, ook als er niemand in de buurt lijkt te staan. Gebruik bij voorkeur geldautomaten in bankfilialen, die beter beveiligd en vaker geinspecteerd worden dan vrijstaande automaten op openbare locaties. Bewaar je betaalkaart in een RFID-beschermend hoesje om contactloos uitlezen te voorkomen. Controleer regelmatig je bankafschriften en stel transactie-notificaties in zodat je direct op de hoogte bent van ongebruikelijke activiteiten. Vertrouw op contactloos betalen waar mogelijk, omdat dit veiliger is dan de magneetstrip.

Voor organisaties die betaalterminals beheren, is naleving van PCI-DSS essentieel. Deze standaard schrijft fysieke beveiligingsmaatregelen voor betaalterminals voor, waaronder regelmatige inspecties, verzegeling en het bijhouden van een inventarislijst van alle betaalapparatuur. Implementeer daarnaast end-to-end encryptie op je betaalterminals zodat kaartgegevens versleuteld worden op het moment dat ze worden ingelezen. Point-to-point encryption (P2PE) is de standaard hiervoor en maakt onderschepte gegevens onbruikbaar voor criminelen.

Webwinkels beschermen hun klanten tegen e-skimming door Content Security Policy (CSP) headers te implementeren die ongeautoriseerde scripts blokkeren, regelmatig hun website te scannen op ongeautoriseerde code-wijzigingen, Subresource Integrity (SRI) te gebruiken voor externe scripts en hun betaalverwerking te laten afhandelen door een gecertificeerde payment service provider. Regelmatige penetratietesten helpen kwetsbaarheden te identificeren voordat aanvallers ze kunnen benutten. Het monitoren van file integrity zorgt ervoor dat ongeautoriseerde wijzigingen in betaalpagina's direct worden gedetecteerd.

Veelgestelde vragen over skimmen

Krijg ik mijn geld terug als ik geskimd ben?

In de meeste gevallen vergoedt je bank de schade als je kunt aantonen dat je niet nalatig bent geweest. Doe altijd aangifte bij de politie en meld het direct bij je bank. Bewaar bewijs van ongeautoriseerde transacties. De bank onderzoekt het incident en vergoedt doorgaans binnen enkele weken.

Kan een chip-kaart geskimd worden?

De chip zelf is zeer moeilijk te kopieren dankzij cryptografische beveiliging. Skimmen richt zich daarom op de magneetstrip, die op veel kaarten nog aanwezig is voor compatibiliteit. Criminelen gebruiken gekopieerde magneetstripgegevens in landen waar chip-verificatie niet standaard is.

Wat is het verschil tussen skimmen en phishing?

Skimmen vereist fysieke manipulatie van betaalapparatuur of het injecteren van code in betaalpagina's om kaartgegevens af te vangen. Phishing gebruikt misleidende berichten om je te verleiden zelf je gegevens in te voeren op een nepwebsite. Beide hebben diefstal van financiele gegevens als doel.

Hoe veilig is contactloos betalen?

Contactloos betalen is relatief veilig. Elke transactie gebruikt een unieke code waardoor onderschepte gegevens niet herbruikbaar zijn. Het transactielimiet beperkt de schade. RFID-skimming kan weliswaar kaartgegevens uitlezen, maar zonder de dynamische verificatiecode is misbruik beperkt.

Moet ik als webwinkeleigenaar me zorgen maken over e-skimming?

Absoluut. E-skimming treft jaarlijks duizenden webwinkels. Je bent als webwinkeleigenaar verantwoordelijk voor de beveiliging van klantgegevens. Implementeer CSP-headers, scan regelmatig op ongeautoriseerde scripts en werk je CMS en plugins bij. Bij een e-skimming incident ben je verplicht dit te melden bij de Autoriteit Persoonsgegevens.

Bescherm je organisatie tegen betaalfraude. Vind de juiste aanbieder via Data Security op IBgidsNL.