Twee verdachten aangehouden voor contactloos zakkenrollen op festival

Twee personen zijn zaterdag aangehouden op verdenking van contactloos zakkenrollen op een festival in Deventer, las ik bij Nu.nl. De politie van de stad had dat eerder op Facebook gemeld. Deze vorm van diefstal houdt in dat je met speciale apparatuur rondloopt en die tegen broekzakken van anderen houdt om zo kleine bedragen af te schrijven. Een aangepaste contactloze pinterminal zou al genoeg moeten zijn, volgens mij. Een aantal lezers vroeg zich af, is dat nu werkelijk strafbaar? Je pakt immers niets uit de broekzak en doet ‘gewoon’ een betalingsverzoek waar men zo dom is om zonder pincode op in te gaan.

Bij De Stentor meer informatie, van Berend Jan Beugel van Betaalvereniging Nederland. Die vindt het nogal opmerkelijk en vraagt zich af wat er werkelijk speelt:

Je hebt namelijk een gecertificeerde aangesloten pinautomaat nodig die alleen wordt uitgegeven door onder toezicht staande bedrijven. Vervolgens moet de eigenaar van een automaat een zakelijke rekening hebben en wordt de betaling verwerkt door erkende bedrijven. Hoewel het technisch mogelijk is om iemand geld afhandig te maken met zo’n apparaat, herleid dit direct naar de dader. Daarom begint niemand eraan.

Dit is ook wat mij het meest verbaasde. Ja, ik zie dit technisch werken. Maar je krijgt die apparatuur – en vooral de uitgekeerde bedragen – als je geregistreerd bent als bedrijf. Opsporing en vervolging zou daarmee redelijk triviaal moeten zijn. Natuurlijk, je kunt een café opzetten, mobiele pinterminals aanvragen, een dagje op een festival rondlopen en overal 25 euro pinnen, dat opnemen en snel naar Bulgarije reizen, maar is dat niet een béétje veel moeite voor een dag lang 25 euro per persoon scoren?

Maar goed, even afgezien daarvan, wat voor strafbaar feit wordt hier begaan?

Diefstal ligt juridisch gezien toch behoorlijk voor de hand. Sinds de Runescape- en SMS-arresten lijkt me duidelijk zat dat een geldtegoed vatbaar is voor diefstal, ook als je daarbij geen fysieke goederen wegneemt. Dat geld ben je kwijt na deze actie, en daar is geen grondslag voor.

In het verleden werd ook wel geschermd met poging tot vervalsing van betaalkaarten, wanneer het gaat om skimapparatuur die op pinautomaten geplaatst werd. Ik denk dat nu ook dergelijke situaties als poging tot diefstal aangemerkt kunnen worden.

Voor consumenten is deze vorm van diefstal overigens gedekt in de bankvoorwaarden: wie zo geld kwijtraakt, hoort dit zonder enige discussie terug te krijgen van de bank. Bij contactloos betalen zonder pincode kan immers moeilijk sprake zijn van grove nalatigheid. Maar gedoe blijft het.

Blijft de vraag: hoe dacht men hiermee weg te komen?

Arnoud

24 reacties

  1. Los van het feit dat pintransacties makkelijk herleidbaar zijn voor opsporingsinstanties, is het natuurlijk wel beangstigend dat het dus zo gemakkelijk is om NFC chips uit te lezen die je op je persoon hebt.

    De chips in de OV Chipkaarten en je identiteitskaart werken op hetzelfde principe, en van de Mifare chip is al jaren bekend dat deze relatief makkelijk te kraken is. Dit maakt het erg gevoelig voor identiteitsfraude.

    Ik bewaar sinds een paar al mijn NFC pasjes in een pashouder met RFID/NFC bescherming. Misschien ben ik wel een beetje paranoïde, maar je weet maar nooit…

    1. De oude OV Chipkaart maakte gebruik van MiFare Classic, waarvan inderdaad gesteld mag worden dat deze ‘zo lek als een mandje’ is. Ze hebben daar een verbetering op gemaakt die bekend staat als de MiFare Classic EV-1, maar ook deze is gewoon niet veilig meer. De MiFare DESFire (en DESFire EV-1) is echter geen kwetsbaarheid voor gevonden die de kaart lek maakt. We moeten dus even voorkomen dat we alle MiFare chips op dezelfde hoop gooien.

      Misschien iets te technisch, maar om ervoor te zorgen dat niet elke lezer gelijk gek wordt en pasjes begint te verbranden. 🙂 Er zijn overigens ook leuke apps op je telefoon (waaronder die van NXP zelf, die MiFare chips bakt) om met de NFC reader in je telefoon een pas te lezen. Probeer het eens uit op wat random passen die je hebt. Altijd interessant.

    2. Dit valt wel mee. De meeste apparatuur trekt het echt niet als er meer dan 1 NFC pas in de buurt is, en de meeste mensen zullen inmiddels meer dan 1 pas in hun broekzak hebben. Er is apparatuur die daar wel mee kan omgaan, maar die is heel moeilijk te vinden, en zeker niet “draagbaar” voor dit doeleinde.

      Trouwens, de OV chipkaarten gebruiken tegenwoordig niet meer Mifare Classic (zoals eerst), maar Mifare DESFire. Die laatste is wel degelijk veilig(er), en niet makkelijk te kraken. Alleen de OV chipkaarten van de eerste paar jaar hadden dat probleem.

    3. Helemaal niet paranoïde, dit soort berichten tonen aan dat dergelijke contactloze kaarten daadwerkelijk aangevallen worden. Overigens is de mifare chip het makkelijkst te kraken als het je lukt om een transactie af te luisteren. Dus op het moment dat je hem uit de bescherming haalt…

  2. (Hey! Het gaat over “mijn” stad!)

    Wat mij altijd zo verbaast, is dat er mensen zijn die vinden dat, als er iets digitaals gebeurt, dat het allemaal maar zou moeten mogen, het liefst met een claim van “eigen schuld” erbij. Diefstal is toch gewoon diefstal? Of je nu zo dom bent om je portemonnee uit je tas te hebben hangen, of “zo dom” bent om contactloos betalen te hebben. En hoe dom is contactloos betalen nu eigenlijk? Het lijkt vrij normaal te zijn om het te hebben, gezien veel winkels pinautomaten hebben die dat kunnen, en volgens mij is het een opt-out systeem. Als je kaart verloopt, stuk is of kwijtraakt en je krijgt een nieuwe, zit het er normaal gesproken automatisch en geactiveerd op, geloof ik.

    Of trekt het internet anarchisten aan die geloven in het recht van de (digitaal) sterkste?

    1. Ik denk dat de discussie ook wel even mag gaan over het feit dat er twee mensen zijn aangehouden zonder dat er een strafbaar feit is gepleegd. Het vermeende strafbare feit schijnt zelfs louter een -kennlijk nogal onwaarschijnlijke- theoretische mogelijkheid te zijn.

      Misschien gaat het hier eigenlijk om het zoeken naar een rechtvaardiging achteraf van een onterechte aanhouding.

      1. De politie kampt met problemen zoals racial profiling, wat hier ook best een rol kan hebben gespeeld (“Oh, een stel Oost-Europeanen die vlak tegen anderen staan, dat móét iets crimineels zijn”).

        Tegelijkertijd moeten we ons ook realiseren dat je als onschuldige gearresteerd kan worden, lopende een onderzoek. Er moet natuurlijk een redelijke verdenking zijn, maar dan moet het kunnen dat je onderzocht en aangehouden wordt. Dat is erg vervelend als onschuldige, maar het wordt wel erg problematisch om zaken op te lossen, gezien het principe van onschuld tot het tegendeel bewezen is, als je alleen schuldige mensen mag onderzoeken.

        Een onterechte aanhouding kan volgens mij wel, als er geen gegronde reden tot verdenking is, en dat zou hier best kunnen spelen. Ik vond de site echter wat onbetrouwbaar ogen, dus eerlijk gezegd weet ik niet hoe het zit.

    2. Als je er over nadenkt is het ook wel apart: je moet in de praktijk sowieso al je pasje uit je portemonnee halen voor ‘contactloos’ pinnen, omdat iedereen meerdere van die dingen heeft en de terminal daarvan in de war raakt. En dan mislukt het betalen om de een of andere reden vaak nog heel vaak (statische elektriciteit of zo?) en moet je alsnog gewoon pinnen, hoewel dat een beetje van de locatie lijkt af te hangen; de Dirk van den Broek bij mij in de buurt heeft er enorm last van, AH veel minder, maar het komt daar ook voor.

      1. Het zou kunnen dat een terminal graag wil weten dat hij de goede heeft, en daarom expres in de war raakt van meerdere signalen, terwijl toestellen gebruikt om te zakkenrollen gewoon geld willen, maakt niet uit van wie.

  3. Het meest waarschijnlijke scenario voor contactloos zakkenrollen is niet gebruik maken van een betaalterminal maar een relay-aanval. Daarbij koppel je een zender/ontvanger aan een tweede zender ontvanger op afstand. Met de ene ga je naast de kaarthouder staan, met de andere bij de betaalterminal van een winkel oid. Je geeft dan het radiosignaal door en laat de transactie /live/ op afstand plaatsvinden. Ik kan hem nu even niet zo snel terugvinden maar er is al een een proof of concept gepubliceerd waarbij ze met een kaart in de metro van Tokyo op zo een manier een betaling deden in New York. Daarbij heb je dus geen terminal en contract nodig en ben je niet makkelijk op te sporen. Autodieven gebruiken een vergelijkbare techniek om een ‘keyless entry’ systeem te openen met een sleutel die achter de voordeur ligt.

    1. Dus B2 moet naar een winkel, iets vinden van de onder de 25 euro, dit gaan afrekenen, daar een “apparaat” (kan dit ook met een smartphone?) bij het pinapparaat houden, terwijl Vlugge Japie op dat moment net iemand moet vinden op bv een festivalterrein waarbij hij een contactloze pas kan uitlezen die nog niet over het pincode limiet heen zit.

      1. Dat is zo’n beetje mijn scenario… Je moet een spoeltje bij het pinapparaat houden (daarvoor kun je de antenne van een draadloze pinpas gebruiken, dat valt niet op als je die in de pas laat zitten.) Op het festivalterrein een grote antenne gebruiken waar je een man of twintig mee vangt (dertig, veertig pasjes; werkt er vast wel een van.)

  4. Ik ben het met Berend Jan Beugel en Jaron Viëtor eens dat het met de standaardapparatuur niet makkelijk is om weg te komen met contactloze zakkenrollerij op grote schaal . Het is in het RFID protocol mogelijk om individuele kaarten aan te spreken als er meer kaarten aan een lezer aangeboden worden; als de software in de skimmer daarop aangepast is kan de zakkenroller in een enkele beweging van alle RFID kaarten in de portemonnee skimmen.

    Ook kan het bereik van een lezer aangepast worden door met grotere antennes te werken; met antennes op het formaat van de controlepoortjes die je in veel winkels ziet is het makkelijk om alle RFID’s van een bezoeker aan te spreken. Ik zie de twee problemen die ik hier noem vooral als privacyprobleem omdat je aan de hand van de nummers van de kaarten die iemand bij zich heeft een persoon kunt volgen.

    Ik zie een manier om uitgaven van de rekening van iemand af te laten schrijven door de transactie te proxyen naar een RFID kaart een aantal straten verderop; op het ogenblik zie ik niet hoe je daarmee verder komt dan gratis boodschappen en gratis bier in de kroeg.

  5. Misschien nog eens voor alle duidelijkheid. Niemand heeft digitaal zakken gerold. Niemand is hier “mee weggekomen”. De twee aangehouden personen zijn door de politie ten onrechte aangehouden en zijn weer op vrije voeten. En ze hebben hun excuses aangeboden.

    Theoretisch zou contactloos zakkenrollen kunnen, maar in de praktijk komt het, om goede redenen, niet voor. Tijdens het festival in Deventer is van niemand op deze wijze geld gestolen. Sterker nog, de politie heeft gemeld dat deze vorm van diefstal in Nederland nog nooit is voorgekomen. Lees het juiste relaas hier: https://www.hoaxmelding.nl/hoax/dieven-slaan-contactloos-toe-bij-festijn-in-deventer-hoax/

  6. De enigste manier die ik kan bedenken om er mee weg te komen is met een bedrijf op naam van een katvanger en goede apparatuur om snel van veel pasjes de limiet te bereiken en dan het geld te pinnen en te vertrekken. Lijkt me een dure en tijdrovende werkwijze voor een relatief lage opbrengst.

  7. Ze komen hier mee weg door het via katvangers te doen. Naieve mensen genoeg in de wereld die reageren op van die spammails over snel geld verdienen: “Je hoeft alleen maar even een nieuwe rekening te openen en je ons een tweede pinpas uit te lenen. Wij storten geld, halen een deel eraf en wat overblijft is voor jou.” Vaak storten ze ook nog wel de registratiekosten voor de KVK. Lijkt alsof je geen enkel risico loopt, en financieel betreft klopt dat ook wel ^_^. Die katvangers doen al het werk, behalve het rollen zelf. Elke bank heeft tegenwoordig wel van die pinkastjes voor ondernemers, die je aan je mobiel koppelt. En elke dodo kan zich bij de KVK inschrijven, een zakelijke rekening openen en zo’n kastje aanvragen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.