Ik krijg vaak de vraag hoe groot de kans is dat er een skimmingapparaat wordt geïnstalleerd of dat er met een betaalapparaat wordt geknoeid om de kaartgegevens van klanten te compromitteren.
Vanuit het handboek van de Qualified Security Assessor (QSA) is mijn eerste reactie altijd: “Dat is afhankelijk van de situatie.”
Contactloos betalen wordt steeds gebruikelijker, en door het gebruik van mobiele betaalportals hebben mensen vaak geen fysieke betaalkaarten meer bij zich. Volgens Mastercard wordt meer dan twee derde van de wereldwijde kaartbetalingen in winkels nu contactloos uitgevoerd.
Aangezien contactloze betalingen werken via near field communications (NFC's), is er geen fysiek interactievereiste met de betaalkaart. Met name bij mobiele betaalportals worden de kaartgegevens getokeniseerd en niet daadwerkelijk gedeeld tijdens de transactie. Wanneer de fysieke kaart wordt gepresenteerd tijdens een contactloze transactie, versleutelt de ingebouwde EMV-chip de kaartgegevens en genereert een unieke code voor de transactie, zonder de kaartgegevens te delen.
Wanneer aanvallers zich richten op betaalapparatuur
Tijdens een recente opdracht van een klant werd ik op de hoogte gebracht van een reeks incidenten op meerdere locaties, waarbij aanvallers opzettelijk probeerden te voorkomen dat de klant contactloos kon betalen.
Door opzettelijk de contactloze lezers van de zelfbediening ticket vending machines (TVM's) te beschadigen, werd de klant gedwongen om zijn kaart fysiek in te voeren en zijn pincode in te voeren. Naar verluidt werd bij één van de incidenten een skimmingapparaat aangetroffen in de kaartsleuf van de TVM.
Een beschadigde contactloze kaartlezer.
Manipulatie detecteren en hierop reageren
Zelfservice betaalapparaten zoals TVM's zijn doorgaans onbemand en vertrouwen op een combinatie van gelaagde beveiligingsmaatregelen (administratief, fysiek en technisch) om te bepalen of er pogingen tot manipulatie en/of vervanging zijn ondernomen door een aanvaller.
Indicatoren van compromittering kunnen zijn dat klanten melden dat ze problemen ondervinden bij het invoeren van hun betaalkaart in het apparaat, of dat het aantal mislukte transacties hoger is dan normaal. Beide situaties kunnen worden veroorzaakt door de aanwezigheid van een skimmingapparaat in de kaartsleuf zelf.
Daarnaast dient de controle niet uitsluitend gericht te zijn op de kaartsleuf en de contactloze lezer, maar dient er ook te worden gecontroleerd op tekenen van manipulatie van de pincode-toetsen van het apparaat en/of op de aanwezigheid van pinhole-camera's.
Waarom routinecontroles nog steeds van belang zijn
In het geval van de recente bevinding van onze klant werd dit incident ontdekt dankzij de routinematige controles en waarborgen tegen manipulatie. De daaropvolgende rapportage over de incidentrespons leidde tot kennisuitwisseling met andere organisaties.
Gezien de huidige focus op de verspreiding van aanvallen op e-commercebetalingskanalen binnen de PCI-gemeenschap, is het belangrijk om te beseffen dat aanvallers zich nog steeds kunnen richten op betalingskanalen waarbij de kaarthouder aanwezig is.
Eén van de grootste uitdagingen voor de meeste organisaties is om het personeel dat direct betrokken is bij de bedrijfsvoering te overtuigen van het belang van controles ter voorkoming van manipulatie, op basis van het vereiste. Informatie wordt niet op grote schaal gedeeld wanneer er aanvallen plaatsvinden en er bestaat vaak angst voor reputatieschade aan de organisatie als details openbaar worden gemaakt, en uiteindelijk voor de gevolgen van het incident voor de aandelenkoersen.
Hoe vaak moeten apparaten worden gecontroleerd?
Controles van fraudebestendige apparaten zijn een verplichte vereiste in handleidingen voor point-to-point-encryptie (P2PE), waarin termen als ‘periodiek’ worden gebruikt voor de frequentie waarmee apparaatcontroles moeten worden uitgevoerd. In eerste instantie zou deze terminologie kunnen worden geïnterpreteerd als vrij vaag, en enigszins als het openen van de doos van Pandora. Het is echter aan de organisatie zelf om te bepalen wat ‘redelijk en evenredig’ is voor die controlefrequentie, op basis van hun eigen interpretatie van potentiële risico's.
Belangrijke overwegingen bij het vaststellen van controlefrequenties
Bij het vaststellen van controlefrequenties binnen een risicobeoordeling dient men rekening te houden met bestaande beveiligingsmaatregelen en hoe deze elkaar kunnen aanvullen (bijvoorbeeld gelaagde beveiligingsmaatregelen), zoals sloten, alarmen, verlichting, cameratoezicht en bewakers. Zodra de controlefrequenties zijn vastgesteld, is het van cruciaal belang om flexibel en pragmatisch te zijn bij het doorvoeren van wijzigingen in reactie op dreigingswaarschuwingen en vermoedelijke of bevestigde incidenten.
Bijvoorbeeld, na een vermoedelijk incident van manipulatie van één of meer betaalapparaten, kunnen apparaatcontroles tijdelijk worden opgevoerd van wekelijks naar dagelijks, of van dagelijks naar één keer per dienst. De frequentie van de controles kan weer worden teruggebracht naar de vorige intervallen zodra de organisatie ervan overtuigd is dat de potentiële dreiging is afgenomen.
LRQA QSA's constateren regelmatig dat organisaties die anti-manipulatiecontroles in overeenstemming brengen met hun normale bedrijfsprocessen, effectiever en consistenter voldoen aan PCI DSS-vereiste 9.5 dan organisaties die afzonderlijke controles uitvoeren.
Laatste overwegingen
Samenvattend kunnen we stellen dat fraudebestrijdingsmaatregelen nog steeds relevant zijn voor alle organisaties die betalingen met betaalkaarten accepteren waarbij de kaarthouder aanwezig is. Aanvallers passen hun tactieken, technieken en procedures voortdurend aan. Daarom moeten wij als PCI-gemeenschap even flexibel en dynamisch reageren op nieuwe bedreigingen en de zich ontwikkelende capaciteiten van onze tegenstanders. Wat vandaag effectief is, is niet per definitie ook morgen nog effectief.
Meer informatie over ons aanbod van PCI DSS-services
