Contactloos betalen UITzetten bankpas

alwaysleft schreef op zondag 13 augustus 2017 @ 11:17:
[...]

En dat gaat moeilijk zijn want er hangen bij pinautomaat camera's op

En de pinautomaat weet wie daadwerkelijk bij een pas hoort? Het is dus pas te zien ná de aangifte.
Acties waarbij je jezelf moet identificeren doe je trouwens ook niet bij een pinautomaat.
Het voorbeeld van geld opnemen kan nog altijd op 2 manieren. Bij de pinautomaat en bij de medewerkers, waar je je eerst identificeren moet als je grote bedragen wil/moet opnemen.

[ Voor 38% gewijzigd door CH4OS op 13-08-2017 11:25 ]

alwaysleft schreef op zondag 13 augustus 2017 @ 11:17:
[...]

En dat gaat moeilijk zijn want er hangen bij pinautomaat camera's op

Camera's kunnen tegenwoordig al door capuchons heen kijken?

Gabriel_Knight schreef op zondag 13 augustus 2017 @ 10:28:
Sneller is het dus zeker niet.

Ga eens kijken bij de gemiddelde bedrijfskantine, dan zal je zien hoe veel sneller contactloos betalen is. Dat zijn ook de mensen die er handig in zijn en het dagelijks doen.

absrnd schreef op zondag 13 augustus 2017 @ 09:50:
Ik maakte me ook wel een beetje zorgen, als snel na de introductie van passen kwam deze foto tevoorschijn.

[afbeelding]

Ik weet ook dat er al snel na de introductie een soortgelijk foto verscheen, waar al snel bekend werd dat het skim-apparaatje in werkelijkheid totaal wat anders was

Dus er zit ook bangmakerij in het spel. Hoewel ik sterke vermoedens heb dat skimmen op deze manier in Nederland niet echt veel gaat gebeuren, omdat dat apparaatje vrij duur is en niet zomaar te verkrijgen... wat ik dus al zelf eerder in dit topic genoemd heb.

assje schreef op zaterdag 12 augustus 2017 @ 23:58:
[...]


Dit dus. Al die blokkerende portemonnees is volgens mij gewoon marketing.

Enige mogelijkheid voor misbruik die ik zie is bij dronken mensen in de kroeg. Die zullen de volgende dag denken "het zal wel".

Drie maanden geleden ben ik mijn portemonnee kwijtgeraakt. Nu doe ik al die tijd zonder pinpas. Bijna overal kan ik contactloos betalen met mijn mobiel, ik vind het fantastisch.

Ik heb zelf zo'n alu ding van Ebay geplukt en gezien de eletromagnetische regels wat niet meer, het werkt gewoon omdat je veld verstoord wordt. Naast mijn bank pas heb ik ook al mijn andere NFC passen hier in zitten (RBW, werkpas etc.). Die doen het allemaal echt niet als ik ze in dat ding heb zitten. Op diverse lezers getest. Onze follow me printen, toegangs beveiliging, telefoon etc.

Alu dinkie erom en klaar. Voordeel van zo'n alu dinkie is ook nog eens dat je passen netjes blijven

Hahn schreef op zondag 13 augustus 2017 @ 11:20:
Camera's kunnen tegenwoordig al door capuchons heen kijken?

Als jij door de capuchon heen het scherm kunt zien kan de camera in dat scherm door de capuchon heen je gezicht zien....

Het contactloos betalen vind ik echt super fijn. De bedrijfskantine, een boodschap bij de winkel, bij de snackbar, pizzeria, etc. Ik denk dat 90% van mijn uitgaven die ik pin < € 25 zijn waardoor ik veel minder kans heb dat mijn pincode wordt afgekeken in een moment van onachtzaamheid (ik heb kleine kinderen, zo'n moment heb je dan snel ;-) ).

Sindsdien heb ik ook veel minder contant geld bij de hand. Ik gebruik het overigens wel icm een Secrid pashouder. Al met al voor mij méér gemak en minder risico. Ik heb het ook met de mobiele telefoon gebruikt maar daar werkte het te vaak niet.

Croga schreef op zondag 13 augustus 2017 @ 11:30:
[...]

Als jij door de capuchon heen het scherm kunt zien kan de camera in dat scherm door de capuchon heen je gezicht zien....

Het enige wat je onbedekt hoeft te laten om te kunnen zien zijn je ogen, en door een zonnebril kan je van buitenaf niet zo snel heen kijken

Arjan90 schreef op zondag 13 augustus 2017 @ 11:30:
Het contactloos betalen vind ik echt super fijn. De bedrijfskantine, een boodschap bij de winkel, bij de snackbar, pizzeria, etc. Ik denk dat 90% van mijn uitgaven die ik pin < € 25 zijn waardoor ik veel minder kans heb dat mijn pincode wordt afgekeken in een moment van onachtzaamheid (ik heb kleine kinderen, zo'n moment heb je dan snel ;-) ).

Sindsdien heb ik ook veel minder contant geld bij de hand. Ik gebruik het overigens wel icm een Secrid pashouder. Al met al voor mij méér gemak en minder risico. Ik heb het ook met de mobiele telefoon gebruikt maar daar werkte het te vaak niet.

The same, zou niet meer zonder contactloos pinnen kunnen

Dat hele contactloos betalen is op zoveel manieren te misbruiken.
Het is een kwestie van tijd voordat de criminelen zich er op storten.

Een methode bv.:
https://terezapultarova.w...nnas-shortcomings-of-nfc/

Gaatjes boren dan (antenne uitschakelen..;))

Hahn schreef op zaterdag 12 augustus 2017 @ 22:24:
Kan je mij uitleggen wat voor risico je ziet in hoe het nu bij jouw bankpasje werkt? Want ik kan het niet echt bedenken.

Dit.

[ Voor 3% gewijzigd door Trommelrem op 13-08-2017 11:44 ]

Trommelrem schreef op zondag 13 augustus 2017 @ 11:40:
[...]

Dit.

Bizar Maar dan nog, je bent er tegen verzekerd. Behalve als je Knab hebt als bank

Trommelrem schreef op zondag 13 augustus 2017 @ 11:40:
[...]

Dit.

Is het bedrag ook daadwerkelijk afgeschreven, of zegt het apparaatje zomaar gewoon OK?

AW_Bos schreef op zondag 13 augustus 2017 @ 11:45:
[...]

Is het bedrag ook daadwerkelijk afgeschreven, of zegt het apparaatje zomaar gewoon OK?

Wordt gewoon afgeschreven. Is een bug in de firmware van dit specifieke type pin automaat. Ik weet niet om welke firmwareversie het gaat (geen idee hoe dat op te vragen).

alwaysleft schreef op zondag 13 augustus 2017 @ 11:44:
[...]

Bizar Maar dan nog, je bent er tegen verzekerd. Behalve als je Knab hebt als bank

Wel vervelend als je bijstandsmoeder bent en het overkomt je op de 25e van de maand. Dan heb je het geld niet op tijd terug om de huur te betalen. Voorkomen lijkt mij beter dan achteraf fixen.

[ Voor 46% gewijzigd door Trommelrem op 13-08-2017 11:48 ]

Trommelrem schreef op zondag 13 augustus 2017 @ 11:46:
[...]
Wordt gewoon afgeschreven. Is een bug in de firmware van dit specifieke type pin automaat.

Je zou toch denken dat er authenticatie met de bank moet plaatsvinden die goedkeur geeft?
En ik mag hopen dat dit inmiddels al gefixt is?

Het zal mij niks verbazen dat alleen monteurs de versie kunnen opvragen.

[ Voor 9% gewijzigd door AW_Bos op 13-08-2017 11:48 ]

AW_Bos schreef op zondag 13 augustus 2017 @ 11:47:
[...]

Je zou toch denken dat er authenticatie met de bank moet plaatsvinden die goedkeur geeft?
En ik mag hopen dat dit inmiddels al gefixt is?

Het zal mij niks verbazen dat alleen monteurs de versie kunnen opvragen.

Nee. Zo werkt het niet. Het probleem met de magneetstrip destijds was dat de automaat de authenticatie doen. De automaat heb je echter niet in eigen beheer, dus je kunt niet weten of de automaat een tamper heeft.

Met de introductie van de chip werd de authenticatie naar de pas verplaatst. Als je je pas goed bij je houdt, dan kun je daarmee dus voorkomen dat iemand hem tampert. Een tamper in de automaat heeft dan minder invloed op de beveiliging. Echter omdat met NFC de authenticatie terug is gegaan naar de automaat, is er voor de gebruiker dus geen enkele manier om te controleren of er een tamper is en zul je maar moeten geloven dat er geen Bulgaren bezig zijn geweest.

Een simpele firmware upgrade gaat dit specieke probleem wel verhelpen, maar niet het feit dat de authenticatie gevoelig is voor tampers. De enige oplossing is om NFC compleet opnieuw te ontwerpen waarbij authenticatie opnieuw door de pas plaats vindt.

[ Voor 3% gewijzigd door Trommelrem op 13-08-2017 11:51 ]

Heb je een uitgebreidere bron dan alleen een video?

Nee. Ik heb het gewoon per toeval ontdekt. Als je wilt kan ik er nog wel tientallen video's van maken
Ik vind het overigens wel lekker makkelijk boodschappen doen. Maar sinds ik dit weet staat er nooit meer geld op mijn betaalrekening maar maak ik vooraf gewoon wat geld over. Wat er dan overblijft, stort ik weer terug.

[ Voor 51% gewijzigd door Trommelrem op 13-08-2017 11:58 ]

Dan ga ik dit maar eens proberen. Ik heb mn nfc uitstaan en ga kijken of dit werkt. Mag hopen dat het namelijk al lang is gefixt.

En wat als de bug gefixxed is, en ik de stappen in de video uitvoer?
Toch geen blokkade of strike op mijn pas ofzo?

En is dit ook niet iets wat banken zullen detecteren en bij misbruik ervan de NFC voor je pas uitschakelen/pas blokkeren? Als er een cruciale fout in zit, dan mag ik hopen dat de bank ook alert zal zijn.

[ Voor 46% gewijzigd door AW_Bos op 13-08-2017 12:03 ]

AW_Bos schreef op zondag 13 augustus 2017 @ 12:02:
En wat als de bug gefixxed is, en ik de stappen in de video uitvoer?
Toch geen blokkade of strike op mijn pas ofzo?

Gewoon een melding ongeldige pin code

Je hebt drie pogingen tot de pas blokkeerd. Doe je bij de tweede keer juiste pincode, is er geen blokkade en kun je bij een volgende betaling weer 3x proberen.

AW_Bos schreef op zondag 13 augustus 2017 @ 12:02:

En is dit ook niet iets wat banken zullen detecteren en bij misbruik ervan de NFC voor je pas uitschakelen/pas blokkeren? Als er een cruciale fout in zit, dan mag ik hopen dat de bank ook alert zal zijn.

De bank weet allang van dit probleem, maar het is gewoon niet op te lossen. Lossen ze dit specifieke probleem op, dan blijft alsnog het probleem dat de automaat de authenticatie uitvoert. Dat probleem is alleen op te lossen door het systeem vanaf scratch opnieuw te ontwerpen. Het zou mij niet verbazen als er inmiddels al malafide mensen op NS treinstations rondlopen met aangepaste NFC pin automaten en gewoon bij iedere bump 500 euro overmaken. Criminelen zijn doorgaans beter op de hoogte dan de slachtoffers. Bij misbruik zullen ze gewoon je geld terugstorten.

[ Voor 11% gewijzigd door Trommelrem op 13-08-2017 12:11 ]

Johann Briffa admits that he and his team don’t know the answer yet, but are determined to find out.

“What we saw was an example of the eavesdropped signal. What this signal contains would depend on the actual transaction taking place and that’s something we are analysing right now,” he says.

Even at this stage, he believes, there are lessons to be learned from the study that might be of interest to companies developing NFC applications and devices.

“I think the most important message that can be taken from our study is that it is important for designers who use this technology to take into account privacy issues, to take into account security issues,” he says.

Behalve iemand die een terminal fysiek of al dan niet via een relay (pas > telefoon -> telefoon -> terminal) bij je pas kan houden maakt kan op een snelle cashout. Alle andere zaken zijn nog in het stadium van lab of alleen het meeluisteren met het signaal. Er is nog geen voordeel waarbij de transactie on the fly is aangepast of bewerkt oid. Tav van relay zijn er ook al extra maatregelen in de maak. Dat was tot nu toe in een lab bewezen en er wordt gewerkt aan een aanpassing om dit ook moeilijker te maken.

Daarnaast zijn banken gebaad bij een veilig en betrouwbaar eco-systeem. Natuurlijk zullen er altijd mensen zijn de misbruik willen maken van de techniek en mogelijkheden, maar dat was ook in de tijd van cheques met handtekeningen, en de postkoets. Wat dit nu ineens veel onveiliger maakt weer ik ook niet.... Daarnaast denk ik dat de kans dat je door een zakkenroller n Amsterdam of Barcelona van je telefoon, tas en pinpas wordt beroofd nog vele malen groter is.

Als laatste, er zullen altijd mensen zijn die dit niet willen, maar de significante meerderheid van klanten wil dit en daarom zal het aangeboden worden. Ik voorzie zelfs op de langere termijn dat aparte passen oid niet meer zullen worden aangeboden. Zowel omdat de vraag afneemt en het aantal plekken waar je alleen nog maar contactloos kan betalen zal toenemen. En helaas betekent dat je je dan zal moeten schikken in deze situatie of dat je er zelf voor kiest om bij een andere bank te gaan. Het s een vrije wereld en je staat daarmee vrij om voor een andere bank te kiezen.

Trommelrem schreef op zondag 13 augustus 2017 @ 11:46:
[...]
Wordt gewoon afgeschreven. Is een bug in de firmware van dit specifieke type pin automaat. Ik weet niet om welke firmwareversie het gaat (geen idee hoe dat op te vragen).
[...]

Wel vervelend als je bijstandsmoeder bent en het overkomt je op de 25e van de maand. Dan heb je het geld niet op tijd terug om de huur te betalen. Voorkomen lijkt mij beter dan achteraf fixen.

Deze casus is bekend en betreft een fout in de terminal versie. In het normale verkeer wordt ook je PIN aan de bank kant gecontroleerd. D'r zijn ook voorbeelden waarbij tbv skimming complete terminals zijn verwisseld bij kassa's zonder dan de eigenaar het wist. Allemaal excessen in een omgeving waar we het alleen al in NL over enkele miljarden aan transacties hebben.

[ Voor 15% gewijzigd door ripexx op 13-08-2017 12:22 ]

Juup schreef op zondag 13 augustus 2017 @ 11:35:
Dat hele contactloos betalen is op zoveel manieren te misbruiken.
Het is een kwestie van tijd voordat de criminelen zich er op storten.

Een methode bv.:
https://terezapultarova.w...nnas-shortcomings-of-nfc/

Zoals ook eerder geschreven hier, het is algemeen bekend dat dit mogelijk is. Ipv de 60cm van hun kan je ook nog wel verder komen. Maar de reden dat dit (als het goed is) weinig uitmaakt, is hetzelfde als waarom skimmers zich altijd richtte op de magneet strips: Die is onbeveiligd, de NFC communicatie is versleuteld. Beperkte range van NFC is natuurlijk een pré, maar het zou te idioot voor woorden zijn als er draadloos onversleutelde gegevens voor een transactie werden rondgestuurd.

Oftewel: No shit dat het is af te luisteren. Maar de vraag is meer wat je ermee kan.

Ch4oZZzz schreef op zaterdag 12 augustus 2017 @ 22:37:
Ieder zijn ding. Als je er blij mee bent ok. Bij mij valt het in de categorie van de chipknip. Een toevoeging die ik niet wens te gebruiken. Helaas is het in tegenstelling tot de chipknip niet zo dat je hier apart geld op moet zetten. Anders had ik er nog wel mee kunnen leven. Gewoon geen geld erop is dan voor mij een soort van 'uit'.

Dus geen geld ergens op, wat neerkomt op een limiet van 0, is anders dan een limiet van 0?

Ok. Blijkbaar snap ik het niet.

Ik heb ook eens een casus voorbij zien komen in een video waarbij globaal (weet niet meer precies zeker hoe het zat) het volgende gebeurde:

- Slachtoffer betaald in winkel, mét pincode (want > 25 euro, of gewoon omdat 'ie dit wilt) maar heeft een pas waarbij draadloos betalen mogelijk is.
- Een crimineel kijkt mee en ziet de pincode.
- Buiten wordt met een draadloos pinautomaat een betalingsverzoek op gang gebracht door de crimineel
- De crimineel loopt vervolgens dicht genoeg langs het slachtoffer om de pinpas in koppeling te brengen met automaat
- Crimineel toetst de eerder afgekeken pincode in en geld is binnen. Slachtoffer heeft niets door en hoeft zelf niets in te toetsen of te bevestigen.

Weet iemand of die 'truuk' nog steeds kan, én hoe dichtbij je bij iemand moet komen?

EDIT: Dit dus: http://www.telegraaf.nl/d...t_duizenden_euro_s__.html

[ Voor 7% gewijzigd door Valorian op 13-08-2017 12:34 ]

Valorian schreef op zondag 13 augustus 2017 @ 12:31:
Ik heb ook eens een casus voorbij zien komen in een video waarbij globaal (weet niet meer precies zeker hoe het zat) het volgende gebeurde:

- Slachtoffer betaald in winkel, mét pincode (want > 25 euro, of gewoon omdat 'ie dit wilt) maar heeft een pas waarbij draadloos betalen mogelijk is.
- Een crimineel kijkt mee en ziet de pincode.
- Buiten wordt met een draadloos pinautomaat een betalingsverzoek op gang gebracht door de crimineel
- De crimineel loopt vervolgens dicht genoeg langs het slachtoffer om de pinpas in koppeling te brengen met automaat
- Crimineel toetst de eerder afgekeken pincode in en geld is binnen. Slachtoffer heeft niets door en hoeft zelf niets in te toetsen of te bevestigen.

Weet iemand of die 'truuk' nog steeds kan, én hoe dichtbij je bij iemand moet komen?

Dit kan nog steeds, want dit is geen 'truuk', maar hoe contactloos betalen nou eenmaal in z'n werk gaat.

Maar zoals iemand al een paar keer eerder aangegeven heeft in dit topic: zo'n terminal is niet cheap en krijg je niet zomaar. Dus het is niet alsof iedere huis-, tuin- en keukendief dit in z'n arsenaal heeft zitten.

Hoe dicht je erop moet zitten weet ik niet precies, maar mijn ervaring met m'n eigen pas is dat het maximaal enkele centimeters moet zijn.

Valorian schreef op zondag 13 augustus 2017 @ 12:31:
Ik heb ook eens een casus voorbij zien komen in een video waarbij globaal (weet niet meer precies zeker hoe het zat) het volgende gebeurde:

- Slachtoffer betaald in winkel, mét pincode (want > 25 euro, of gewoon omdat 'ie dit wilt) maar heeft een pas waarbij draadloos betalen mogelijk is.
- Een crimineel kijkt mee en ziet de pincode.
- Buiten wordt met een draadloos pinautomaat een betalingsverzoek op gang gebracht door de crimineel
- De crimineel loopt vervolgens dicht genoeg langs het slachtoffer om de pinpas in koppeling te brengen met automaat
- Crimineel toetst de eerder afgekeken pincode in en geld is binnen. Slachtoffer heeft niets door en hoeft zelf niets in te toetsen of te bevestigen.

Weet iemand of die 'truuk' nog steeds kan, én hoe dichtbij je bij iemand moet komen?

EDIT: Dit dus: http://www.telegraaf.nl/d...t_duizenden_euro_s__.html

Natuurlijk is dat nog steeds mogelijk, dat is working as intended. En hoe dichtbij? In theorie is het tot 6m gelukt een NFC verbinding op te zetten, maar 1 meter is realistischer, als je juiste kennis hebt. Met gewoon zo'n terminal is het meer paar centimeter.

Het hele punt is dat je niet zomaar zo'n terminal krijgt, en dat die vast zit aan één specifieke tegenrekening. En als het je gebeurd vergoeden de banken de schade.

Natuurlijk heb je liever dat het niet gebeurd en het bijbehorende gedoe, de vraag is meer of het het waard is je druk te maken over zulke theoretische scenarios die in de praktijk eigenlijk niet gebeuren (dit itt het ouderwetse skimmen, wat wel gewoon regelmatig gebeurde).

Gabriel_Knight schreef op zondag 13 augustus 2017 @ 10:28:
1. Incheck ellende OV-chipkaart.
Ik houd mijn portemonnee tegen het kastje van de bus om in te checken.
Dit gaf in het begin erg veel problemen, doordat mijn ID-kaart ook een NFC, en interfereerde met die ov-chipkaart. Kwam regelmatig de melding op het scherm "bied 1 OV-chipkaart aan". Om dit probleem op te lossen heb ik mijn ID-kaart in zilverfolie gewikkeld en in mijn portemonnee gedaan, en nu werkt het wel. Echter om mijn bankpas in zilverfolie te winkelen, omdat ik anders lastig kan inchecken, vond ik geen goed idee.
Vreemd genoeg interfereert de bankpas niet met mijn ov-chipkaart en mijn ID-kaart dus nog steeds wel (als ik geen zilverfolie gebruik).

Bekend probleem, alleen heb/had ik dat niet overal. Toen Connexxion hier nog reed was er niks aan de hand, sinds Syntus hier rijdt krijg ik eerst een incheck OK melding en nog geen halve seconde later een incheck-foutmelding. Is het dan goed gegaan of niet? Ik heb alleen nooit uitgezocht welke pas hier nou voor verantwoordelijk is, zou inderdaad de ID-kaart kunnen zijn.

Gabriel_Knight schreef op zondag 13 augustus 2017 @ 10:28:

Wat ik wel irritant vind, is dat het op steeds meer plaatsen door je strot word gedouwd.
Daar kan je dan alleen contactloos betalen, en op geen enkele andere manier.

Jup, daar heb ik nog niet zo lang geleden over geklaagd bij de NS. Ik heb op een aantal niet bepaald koele momenten op stations gestaan waarbij op dat moment de Kiosk (nog) niet open was of net dicht was, dus ik dacht, op zoek naar de frisdrank/snoep-automaten om wat drinken te halen.

Guess what, alléén contactloos betalen wordt geaccepteerd Dat is sinds een paar maanden geloof ik.

---

Ik zit bij de ABN en daar hebben ze contactloze passen, maar je betaald wel dubbel omdat je eerst standaard een bankpas met contactloos betalen krijgt. Wil je een zonder, betaal je nogmaals voor een nieuwe pas.

[ Voor 5% gewijzigd door Raven op 13-08-2017 12:40 ]

-

[ Voor 101% gewijzigd door Verwijderd op 19-10-2019 15:36 . Reden: Leeg ivm privacy ]

Van de andere kant - de banken hielden lang vol dat skimmen echt heus geen risico was - totdat het best behoorlijk veel misbruikt werd.

Zelf zou ik dus denken dat het goed is om wel kritisch te zijn op mogelijke risico's, en NFC ondermijnt in zekere zin het 2FA-systeem van een betaalpas, omdat je het pasje zelf niet meer hoeft te hebben maar er alleen maar in de buurt hoeft te zijn.

@Raven: Ja, ook al tegenaan gelopen. Gelukkig was er iemand zo vriendelijk om het voor me te betalen tegen een muntje van mij maar ik vind het echt niet nodig om dat zo te limiteren.

Boudewijn schreef op zaterdag 12 augustus 2017 @ 22:39:
[...]

Nou ja op die manier kun je mensen identificeren tijdens meerdere bezoeken/volgacties. Lijkt mij allemaal bijzonder ver gezocht.

Heb ik eigenlijk een prototype van gezien…

Het lijkt mij voor winkels niet aantrekkelijk om dit te doen (t.o.v. bonuskaart, bluetooth of mac adressen) maar je geeft strict gezien meer weg dan bij een normale pintransactie.

-

[ Voor 99% gewijzigd door Verwijderd op 19-10-2019 15:36 . Reden: Leeg ivm privacy ]

Sissors schreef op zondag 13 augustus 2017 @ 12:39:
[...]

Natuurlijk is dat nog steeds mogelijk, dat is working as intended. En hoe dichtbij? In theorie is het tot 6m gelukt een NFC verbinding op te zetten, maar 1 meter is realistischer, als je juiste kennis hebt. Met gewoon zo'n terminal is het meer paar centimeter.

Het hele punt is dat je niet zomaar zo'n terminal krijgt, en dat die vast zit aan één specifieke tegenrekening. En als het je gebeurd vergoeden de banken de schade.

Natuurlijk heb je liever dat het niet gebeurd en het bijbehorende gedoe, de vraag is meer of het het waard is je druk te maken over zulke theoretische scenarios die in de praktijk eigenlijk niet gebeuren (dit itt het ouderwetse skimmen, wat wel gewoon regelmatig gebeurde).

Ah, helder. Ik maak me overigens niet druk hoor, heb niet eens de moeite genomen om mijn pas in een metalen hoesje te doen

Verwijderd schreef op zondag 13 augustus 2017 @ 12:45:
[...]

ALS zoiets zou werken. ALS het mogelijk is om contactloos geld te stelen. ALS de betaling door het systeem heen komt.

Als als als als. Ik wacht wel even tot de eerste skimmer de NOS haalt, ja? Tot die tijd, laat je alu-hoedje maar thuis ajb.

Over mogelijke risico's nadenken kan geen kwaad. Jij vindt dat blijkbaar onzin, wat prima is, maar voel je vrij om dit topic dan links te laten liggen

-

[ Voor 101% gewijzigd door Verwijderd op 19-10-2019 15:37 . Reden: Leeg ivm privacy ]

Verwijderd schreef op zondag 13 augustus 2017 @ 12:48:
[...]

Jullie zitten elkaar bang te maken en elkaar pertinente leugens te vertellen. Dan is een tegengeluid wel fijn. Andere users vinden dat gelukkig ook.

Als je je tegengeluid nou ook nog eens goed zou onderbouwen, in plaats van te beginnen over aluhoedjes, dan had je daadwerkelijk wat toegevoegd

Welke pertinente leugens zie je zoal en wat bewijst dat dat leugens zijn?

[ Voor 8% gewijzigd door Hahn op 13-08-2017 12:52 ]

Verwijderd schreef op zondag 13 augustus 2017 @ 12:45:
ALS zoiets zou werken. ALS het mogelijk is om contactloos geld te stelen. ALS de betaling door het systeem heen komt.

Zoals gezegd is het betalen op afstand 'working as intended', dus ja, dat werkt. Dat zijn alvast twee alsen.

De enige vraag is eigenlijk:
- is de detectie van de banken goed genoeg dat onrechtmatige betalingen snel genoeg gedetecteerd en geblokkeerd worden, zodat het niets / niet genoeg oplevert.

Een extra probleem is dat we hier als klanten nauwelijks zicht op hebben - we weten niet hoeveel fraude er is, en of de banken daar goed mee omgaan, want dat is over het algemeen niet openbaar. En als ik de algehele omgang met fraude / misleiding bekijk, dan vind ik daar toch wel een vrij structurele tendens van onderschatting in* (en dan denk ik aan skimming, malware, phishing, ov-chipkaart die gehackt is, telefonische betaaldienstfraude, DigiD en toeslagenfraude... de algehele tendens is toch wel vaak 'dat zal wel meevallen' bij de verantwoordelijke diensten, terwijl de georganiseerde misdaad en kruimelcriminelen daar toch iets anders over denken.)

Beetje voorzichtigheid mag best.

* Edit: dit gaat dus niet alleen om banken maar allerlei diensten waarbij digitale veiligheid en betalingsverkeer een rol spelen.

[ Voor 5% gewijzigd door incaz op 13-08-2017 12:54 ]

incaz schreef op zondag 13 augustus 2017 @ 12:42:
@Raven: Ja, ook al tegenaan gelopen. Gelukkig was er iemand zo vriendelijk om het voor me te betalen tegen een muntje van mij maar ik vind het echt niet nodig om dat zo te limiteren.

Ik ben echter niet zo iemand die een compleet vreemde vraagt om dat te doen

Maar nu zit ik mij iets af te vragen, kun je niet (met oog op veiligheid) bepaalde verkooppunten whitelisten zodat alléén daar contactloos betalen mogelijk is en het op alle andere plekken geweigerd wordt? Of is dat te ingewikkeld voor banken om te implementeren

Ch4oZZzz schreef op zaterdag 12 augustus 2017 @ 22:22:
Zelf zit ik totaal niet te wachten op het hele contactloos betalen. Nu had ik van mijn bank (Rabobank) een nieuwe bankpas gehad waar het standaard aan staat. Dus direct uit laten zetten. Voor de grap eens bij een snack/fris automaat waar je contactloos moet betalen geprobeerd wat die dan nu met de pas doet. Blijkt dat er dan direct om de pincode wordt gevraagd.
Ik had verwacht dat als ik contactloos betalen UIT zou (laten) zetten. Ik helemaal geen gebruik meer kan maken van contactloos betalen.
De term contactloos betalen Aan-/Uitzetten wordt dus misleidend gebruikt. Want het enige wat er mee wordt gedaan is dat de limiet waarbij om een pincode wordt gevraagd wordt verlaagd van 25 euro naar 0 (nul) euro.
Een bankpas zonder NFC hebben ze niet meer bij de Rabobank.

Zijn er banken die nog passen zonder NFC leveren? Of waar 'uit' ook echt UIT is? Of moet ik het zoeken in een tweaker oplossing en de pas zo aanpassen dat ik een gat maak in de NFC chip?

Bij je bank aangeven dat je hier niet om hebt gevraagd en dat je een pas wil zonder contactloos betalen, Ik zit bij de ABN en mij hebben ze de juiste opgestuurd.

Raven schreef op zondag 13 augustus 2017 @ 12:54:
[...]

Ik ben echter niet zo iemand die een compleet vreemde vraagt om dat te doen

Maar nu zit ik mij iets af te vragen, kun je niet (met oog op veiligheid) bepaalde verkooppunten whitelisten zodat alléén daar contactloos betalen mogelijk is en het op alle andere plekken geweigerd wordt? Of is dat te ingewikkeld voor banken om te implementeren

Alles kan, maar dat klinkt als een hel om te ontwikkelen, bij te houden en begrijpbaar te maken. Plus dat ik denk dat echt maar een minimale hoeveelheid mensen daar gebruik van zou maken. Ergo: hoogstwaarschijnlijk niet de moeite waard.

Valorian schreef op zondag 13 augustus 2017 @ 12:31:
Ik heb ook eens een casus voorbij zien komen in een video waarbij globaal (weet niet meer precies zeker hoe het zat) het volgende gebeurde:

- Slachtoffer betaald in winkel, mét pincode (want > 25 euro, of gewoon omdat 'ie dit wilt) maar heeft een pas waarbij draadloos betalen mogelijk is.
- Een crimineel kijkt mee en ziet de pincode.
- Buiten wordt met een draadloos pinautomaat een betalingsverzoek op gang gebracht door de crimineel
- De crimineel loopt vervolgens dicht genoeg langs het slachtoffer om de pinpas in koppeling te brengen met automaat
- Crimineel toetst de eerder afgekeken pincode in en geld is binnen. Slachtoffer heeft niets door en hoeft zelf niets in te toetsen of te bevestigen.

Weet iemand of die 'truuk' nog steeds kan, én hoe dichtbij je bij iemand moet komen?

EDIT: Dit dus: http://www.telegraaf.nl/d...t_duizenden_euro_s__.html

Dat artikel is inmiddels achterhaald. Als je een bepaald type pin automaat weet te bemachtigen heb je dus helemaal geen pin code meer nodig: Je kunt voor iedere transactie boven de 25 euro een random pincode gebruiken, mits je maar 5 of 6 cijfers gebruikt.

Sissors schreef op zondag 13 augustus 2017 @ 12:26:
Zoals ook eerder geschreven hier, het is algemeen bekend dat dit mogelijk is. Ipv de 60cm van hun kan je ook nog wel verder komen. Maar de reden dat dit (als het goed is) weinig uitmaakt, is hetzelfde als waarom skimmers zich altijd richtte op de magneet strips: Die is onbeveiligd, de NFC communicatie is versleuteld. Beperkte range van NFC is natuurlijk een pré, maar het zou te idioot voor woorden zijn als er draadloos onversleutelde gegevens voor een transactie werden rondgestuurd.

Oftewel: No shit dat het is af te luisteren. Maar de vraag is meer wat je ermee kan.

Je kunt ermee betalen met de NFC pas van iemand anders.
Je zet 1 transceiver op een plek waar veel publiek komt en de andere houd je in de buurt van een betaalterminal.
Dit werkt alleen als er geen pincode opgegeven hoeft te worden.

Ik kan me eigenlijk maar één attack-vector indenken:

1. (buitenlandse) bende criminelen richt bv'tje op, op naam van katvanger
2. bv vraagt - legaal - pin apparaat met internetverbinding aan op een legale tegenrekening
3. bende gaat an-masse 25 euro beuren op a'dam centraal voor één dag via VPN naar thuisland
4. bende zuigt rekening van katvanger leeg op dezelfde dag en doet de katvanger iets aan waardoor die nooit meer een link met de bende kan geven

Het zwakke punt zit 'm in de terminals. Als de uitgifte van die dingen goed gecontroleerd word dan is bovenstaande volgensmij het enige dat je zou kunnen doen. En dat moeten de banken dan gewoon verzekeren.

Maar, dat gezegd hebbende: ik heb liever de kans dat ze een keertje 25 euro draadloos pinnen (wat ik dan weer terug kan krijgen), dan dat ik met een honkbalknuppel in m'n hoofd in de sloot lig zonder geld omdat ze m'n pincode hebben afgekeken.

Verder: ik zou graag technische details weten. Eg, hoe werkt het nu eigenlijk. Dus, protocollen etc. Zou heel verhelderend kunnen zijn en daar hoeft geen aluhoedsje bij komen kijken.

Trommelrem schreef op zondag 13 augustus 2017 @ 12:57:
[...]

Dat artikel is inmiddels achterhaald. Als je een bepaald type pin automaat weet te bemachtigen heb je dus helemaal geen pin code meer nodig: Je kunt voor iedere transactie boven de 25 euro een random pincode gebruiken, mits je maar 5 of 6 cijfers gebruikt.

Het was ooit mogelijk (Schneier on Security/Cambridge paper) om bij PIN+CHIP "lokaal" te authenticeren, terwijl je aan de bank doorgaf dat cardholder validation ("handtekening") gebruikt was.

Als het goed is hebben banken hun EMV controles ondertussen zo geconfigureerd dat alleen online validatie mogelijk is voor betalingen > EUR 25. Daarbij moet de bank een bericht direct vanaf de chip krijgen én moet er de gekozen authenticatiemethode gebruikt worden.

Als de state of the art veranderd is: Graag een link

Ik zou eerder bang zijn voor de "shopshifting" achtige aanvallen.

GemengdeDrop schreef op zondag 13 augustus 2017 @ 13:09:
(...)

• bende zuigt rekening van katvanger leeg op dezelfde dag en doet de katvanger iets aan waardoor die nooit meer een link met de bende kan geven

(...)

Wordt het geld wel dezelfde dag al op die rekening overgeboekt? Als daar een vertraging in zit dan zou dat ook nog kunnen schelen in misbruik. Dan kan de boeking wellicht nog teruggedraaid worden.

Ch4oZZzz schreef op zaterdag 12 augustus 2017 @ 23:02:
Maar punt blijft staan. Waarom is de optie UIT bij de bank ook niet echt gewoon uit. En zijn er banken waar uit wel echt uit is?

Om echt antwoord te geven op je punt: om NFC echt uit te schakelen moet de bank je pasje fysiek in handen hebben. Zoals je hebt kunnen zien in dit topic zit er een antenne in je pasje. Om die antenne uit te schakelen zal de pas aangepast moeten worden of zul je een pas moeten aanvragen waar in z'n geheel geen NFC in zit. Ook hierop heb je antwoord gehad, een pas zonder NFC kun je bij je bank aanvragen.

Het uitschakelen betalen wat je nu hebt gedaan is alleen maar ee softwarematige instelling die bij je bank bekend is. Zodra je je pas aanbied wordt meteen pincode gevraagd, je kunt dus niet tot €25 betalen zonder pincode. Deze manier van uitschakelen zal bij alle banken het zelfde zijn omdat ook zij je pas niet fysiek onder handen hebben genomen.

Om een lang verhaal kort te maken (een iPad tikt nou eenmaal niet zo fijn): vraag een pas aan bij je bank zonder NFC. Softwarematig uitschakelen kan er niet voor zorgen dat de antenne niet meer werkt.

Van een Credit Card kan ik iig pincode wijzigen in een automaat van mijn eigen bank. In theorie kunnen ze dan ook de optie geven NFC uit te schakelen.

Zoals gezegd: NFC uitschakelen is een fysieke handeling, door de antenne te onderbreken. Dit betekent dat je graag wilt dat er een perforator in een pinautomaat komt?

sypie schreef op zondag 13 augustus 2017 @ 13:50:
Zoals gezegd: NFC uitschakelen is een fysieke handeling, door de antenne te onderbreken. Dit betekent dat je graag wilt dat er een perforator in een pinautomaat komt?

Nee, dat in de chip het bitje 'EnableNFC' op 0 wordt gezet. Er zit gewoon een beveiligde controller in een pinpas, die kan instellingen ontvangen (gezien ik dus mijn pincode iig bij de CC kan wijzigen), dus in principe kunnen ze het ook maken dat je NFC uit kan schakelen in de chip. Wel goede kans dat je nieuwe passen ervoor nodig hebt, en de vraag is waarom je het zou willen.

GemengdeDrop schreef op zondag 13 augustus 2017 @ 13:09:
Het zwakke punt zit 'm in de terminals. Als de uitgifte van die dingen goed gecontroleerd word dan is bovenstaande volgensmij het enige dat je zou kunnen doen. En dat moeten de banken dan gewoon verzekeren.

Het punt is natuurlijk dat wij die verzekering net zo goed betalen, betaalrekeningen kosten geld, spaarrekeningen hebben weinig rente - minstens een deel ervan (maar de omvang is niet bekend vziw) is natuurlijk omdat er gecompenseerd moet worden voor fraude en misbruik. Daarmee spreiden we de lasten en dat is goed - maar het betekent niet per se dat de veiligheid op zich voldoende gegarandeerd wordt.

Maar, dat gezegd hebbende: ik heb liever de kans dat ze een keertje 25 euro draadloos pinnen (wat ik dan weer terug kan krijgen), dan dat ik met een honkbalknuppel in m'n hoofd in de sloot lig zonder geld omdat ze m'n pincode hebben afgekeken.

Dat noemt men ook wel een 'vals dilemma' Uiteindelijk is dat namelijk niet de keuze. Het is niet dat omdat er criminelen zijn die via draadloos betalen geld incasseren, de kans kleiner is dat andere criminelen jou met geweld beroven.

incaz schreef op zondag 13 augustus 2017 @ 14:04:
maar het betekent niet per se dat de veiligheid op zich voldoende gegarandeerd wordt.

true

Dat noemt men ook wel een 'vals dilemma'

Als die spreekwoordelijke honkbalknuppel opeens niet meer spreekwoordelijk blijkt te zijn valt dat opeens reuze mee

Het is niet dat omdat er criminelen zijn die via draadloos betalen geld incasseren, de kans kleiner is dat andere criminelen jou met geweld beroven.

Nou, wacht even, het maakt *mijn* attack-surface voor een dergelijke aanval wel kleiner als ik NFC gebruik ipv pin intoetsen. Nou is pin-pas beroving zowieso vrij gewelddadig, maar een crimineel moet je toch eerst de code ontfutselen. Als die de code al heeft is het veel uitnodigender om jou als individu als slachtoffer er tussenuit te pikken.
Bedenk dit: kleine transacties doe je er veel van én ze vinden plaats onder slecht gecontroleerde omstandigheden (markt/krappe winkel) zonder goede video bewaking waar het makkelijk is voor criminelen om de pin af te kijken. Ik weet inderdaad niet wat er gebeurt zodra iedereen NFC gebruikt - misschien verschuift de criminaliteit dan wel weer richting ouderwets huizen overhoop halen/mes-op-keel. Maar voorlopig heb ik nog niet van een geslaagde NFC actie gehoord. Daarnaast: je mag het en vals dilemma noemen, maar als jij op het station je rammelbakje parkeert zonder een vracht-ketting in drievoud dan moet je ook niet verbaasd staan dat daarna alleen nog je voorband in het rek staat

thof schreef op zondag 13 augustus 2017 @ 13:35:
[...]
Wordt het geld wel dezelfde dag al op die rekening overgeboekt? Als daar een vertraging in zit dan zou dat ook nog kunnen schelen in misbruik. Dan kan de boeking wellicht nog teruggedraaid worden.

Nouja, ik weet het dus gewoon niet. Ik kan de vermeende (on)veiligheid gewoon niet goed inschatten omdat ik verder geen idee heb hoe het achter de schermen werkt. Wel denk ik dat het spul nu lang genoeg op de markt is om het argument op te kunnen hangen dat als het vrij simpel was geweest, dat het dan al lang massaal geflikt was - al moet je wel ontzettend oppassen ivm met exploits/backdoors.

Ik had wel dit en dit gevonden, waar ik dan weer minder blij van word. Secure-by-design is iets anders als secure-by-implementation, maar ik vermoed dat de banken met zo verschrikkelijk veel legacy zooi moeten dealen dat het gewoon altijd wel ergens gaat breken.

Eens met @GemengdeDrop! Je pincode intoetsen is vele malen gevaarlijker: dat is de toegangssleutel tot meer geld. Hoe meer je die code intoetst, hoe meer de kans is dat iemand hem heeft gezien. Als je al vele kleinere betalingen kan doen zonder die code is dat veel veiliger. De tot Max 50 euro te verkrijgen poen zonder code is daartegen verzekerd. En daarbij, als je inmiddels al een euro of 35 heb betaald zonder code blijft er nog 15 euro over. Dat resterende bedrag is nergens te lezen en je staat me toch een partij voor joker als dat ding zegt 'pin vereist' en je hebt die niet.

Daarbij: voor klanten van bijvoorbeeld een Rabobank is het helemaal gevaarlijk je pincode ergens in te toetsen. Daarmee geef je gelijk de sleutel weg tot je internet bankieren. Hoeven ze alleen nog je pasje te jatten en ze kunnen aan de haal met je centen. Zo'n scanner krijg je zo in handen.

Mijn tip: aan laten staan en gebruiken. Vele malen veiliger en de risico's voor misbruik liggen bij de bank.

xFeverr schreef op zondag 13 augustus 2017 @ 17:30:
En daarbij, als je inmiddels al een euro of 35 heb betaald zonder code blijft er nog 15 euro over. Dat resterende bedrag is nergens te lezen en je staat me toch een partij voor joker als dat ding zegt 'pin vereist' en je hebt die niet.

Echt geen enkel probleem in de praktijk. Je kan zonder problemen een andere pas gebruiken op dat moment. Ik doe dat zelf regelmatig want ik vind dat makkelijker dan pin intypen…

xFeverr schreef op zondag 13 augustus 2017 @ 17:30:
Eens met @GemengdeDrop! Je pincode intoetsen is vele malen gevaarlijker: dat is de toegangssleutel tot meer geld.

Dat is niet zomaar waar natuurlijk: de pincode is een deel van het 2FA-systeem waar je ook je pas voor nodig hebt (of in het verleden, een kloon van de magneetstrip.)

Hoe meer je die code intoetst, hoe meer de kans is dat iemand hem heeft gezien.

Ja, maar dat is nog niet genoeg, want je moet ook toegang hebben tot de pas / chip / magneetstrip (die overigens op dit moment in veel gevallen niet meer werkt zonder activatie.) Dus je vergelijking gaat niet zonder meer op.

Als je al vele kleinere betalingen kan doen zonder die code is dat veel veiliger. De tot Max 50 euro te verkrijgen poen zonder code is daartegen verzekerd.

Ja, door andere gebruikers van de bank. Dat betalen we uiteindelijk toch nog steeds samen.

En daarbij, als je inmiddels al een euro of 35 heb betaald zonder code blijft er nog 15 euro over. Dat resterende bedrag is nergens te lezen en je staat me toch een partij voor joker als dat ding zegt 'pin vereist' en je hebt die niet.

Daarmee schets je wel een wat misleidend beeld van het mogelijke misbruik dat ermee zou kunnen optreden: als dit een vorm van gerichte criminaliteit zou worden, dan wordt dit niet gebruikt om bij de kiosk een broodje af te rekenen, maar om via een betaalterminal en een katvangersrekening snel veel geld te skimmen op locaties waar het druk is. Elke transactie die om bevestiging vraagt om een pincode breek je dan gewoon af.

Daarbij: voor klanten van bijvoorbeeld een Rabobank is het helemaal gevaarlijk je pincode ergens in te toetsen. Daarmee geef je gelijk de sleutel weg tot je internet bankieren. Hoeven ze alleen nog je pasje te jatten en ze kunnen aan de haal met je centen. Zo'n scanner krijg je zo in handen.

Daar ben ik het mee eens, en dat heeft me inderdaad een niet helemaal veilig gevoel gegeven. Ergens bevalt de aparte identifier van de ASN/SNS me wel.

Mijn tip: aan laten staan en gebruiken. Vele malen veiliger en de risico's voor misbruik liggen bij de bank.

Ik vind gewoon contant geld nog veiliger voor kleine bedragen (scheelt namelijk ook in privacy-risico's.) Het raakt helaas alleen een beetje uit de mode.

RagingPenguin schreef op zondag 13 augustus 2017 @ 09:07:
NFC lezers werken alleen als ze maar 1 chip zien. Al zit je bankpas in je portomonee met je ID en OVchipkaart kan niemand hem lezen.

Niet iedereen heeft z'n ID en/of OV-chipkaart altijd bij zich (hooguit een rijbewijs). Ik kan me ook vaag herinneren dat er een keer een artikel over dat contactloos betalen was, ik kan alleen niet meer vinden waar... maar zelfs als een groot deel wél meerdere kaarten bij elkaar heeft in zijn/haar tas, dan blijft er nog een substantieel deel over die gescamd kan worden. En valt er door handige hackers niet iets te verzinnen dat men die NFC-lezers wél kan inlezen?

incaz schreef op zondag 13 augustus 2017 @ 18:00:
Dat is niet zomaar waar natuurlijk: de pincode is een deel van het 2FA-systeem waar je ook je pas voor nodig hebt (of in het verleden, een kloon van de magneetstrip.)
[...]
Ja, maar dat is nog niet genoeg, want je moet ook toegang hebben tot de pas / chip / magneetstrip (die overigens op dit moment in veel gevallen niet meer werkt zonder activatie.) Dus je vergelijking gaat niet zonder meer op.

Dat is dus wat ik in mijn verhaal vertel: de pincode heb je al, nu alleen nog de pas en het is kassa.

Daarmee schets je wel een wat misleidend beeld van het mogelijke misbruik dat ermee zou kunnen optreden: als dit een vorm van gerichte criminaliteit zou worden, dan wordt dit niet gebruikt om bij de kiosk een broodje af te rekenen, maar om via een betaalterminal en een katvangersrekening snel veel geld te skimmen op locaties waar het druk is. Elke transactie die om bevestiging vraagt om een pincode breek je dan gewoon af.

Dan moet je wel al een hoop pasjes hebben wil je wat geld verdienen. En je hebt een gecertificeerde terminal nodig. En je hebt inderdaad de katvangersrekening nodig waar die terminal het geld naar toe stuurt. En je zit nog met de vertraging van overboeken. Nouuu... Tegen die tijd loop je al tegen de lamp als meerdere pasjes geblokkeerd zullen zijn en er meerdere klachten komen van gebruik met die terminal.

Daar ben ik het mee eens, en dat heeft me inderdaad een niet helemaal veilig gevoel gegeven. Ergens bevalt de aparte identifier van de ASN/SNS me wel.

Of de ING methode natuurlijk, waarbij geen enkel gegeven wordt gebruikt wat vermeld staat op de bankpas. Geen rekeningnummers, niks...

Ik vind gewoon contant geld nog veiliger voor kleine bedragen (scheelt namelijk ook in privacy-risico's.) Het raakt helaas alleen een beetje uit de mode.

Contant geld is juist het ergste. Ze trekken het zo je zak uit als je even niet oplet. En dat kunnen ze echt snel hoor, vergis je daar niet in. Bovendien zie je wat er gebeurt met contant geld: plofkraken, overvallen, vandalisme... Bij NS zit er ook geen geld meer in de vendingmachines, wat mij betreft een goede zaak.

xFeverr schreef op zondag 13 augustus 2017 @ 18:50:
[...]


Dat is dus wat ik in mijn verhaal vertel: de pincode heb je al, nu alleen nog de pas en het is kassa.

Maar da's dus best nog wel een voorwaarde, en het schaalt heel slecht. Het is uiteindelijk vooral een handeling van 1 pas per keer waarbij je iemand fysiek wat moet ontnemen.

Dan moet je wel al een hoop pasjes hebben wil je wat geld verdienen.

Ja, maar het punt is dus dat het veel makkelijker is om in de buurt te komen van veel passen dan om ze ook daadwerkelijk te stelen. Bij beursen, concerten, in druk ov (allemaal situaties die ook zakkenrollers aantrekken) kom je ook makkelijk in de buurt van veel passen om een NFC-betaling te initieren.
De veiligheid hangt dan dus geheel af van in hoeverre de banken hun terminals en de betalingen weten te controleren, want de fysieke barriere tot passen / geld is nog lager dan bij zakkenrollen.

En ook al hebben we wel vertrouwen in de Nederlandse banken - weten we zeker dat de communicatie tussen banken net zo snel en oplettend is? Hoe makkelijk gaat het worden om via een ander land een terminal te verkrijgen, het geld te incasseren en al weg te zijn voor de diverse banken hebben gecommuniceerd dat de transacties verdacht zijn?

Ik denk daarnaast dat het, zeker bij kleinere bedragen, door veel mensen niet zomaar opgemerkt zal worden en zeker niet meteen. Lang niet iedereen loopt voortdurend alle afboekingen na, (en als dat wel verwacht zou worden, dan haalt dat het gemak en de tijdswinst ook weer onderuit eigenlijk.)

Dus ik denk dat de praktijk moet uitwijzen wat wel of niet werkt en of de detectie actief genoeg is, maar dat het echt voorbarig is dat het niet of nauwelijks misbruikt kan worden.

Lijkt me dat bij een terminal van een ander land alarmbellen nog veel sneller af gaan. Als er ineens heel aantal NFC betalingen worden verricht via een Poolse terminal bij mensen die net nog bij de snackbar in Groningen een patatje hebben gekocht.

@Sissors Wie zou dat moeten zien dan? Hoe detecteer je dat?
De Poolse bank ziet de snackbar in Groningen niet, maar ziet slechts een lijst van betalingen op die terminal. Wel ziet de Poolse bank dat die betalingen komen van Nederlandse pashouders... maar tegelijkertijd: dat kan net zo goed legitiem gebruik zijn. Als een bedrijf bv veel op beurzen staat met een standje met verkoopwaar, dan is het helemaal niet gek.

De aanname dat die mensen net een betaling hebben gedaan met NFC hoeft bovendien niet op te gaan: juist als je zo skimmen op drukke plekken zoals het OV op bepaalde tijden / trajecten, dan betalen mensen niet precies op dat moment. Voor de Nederlandse banken is dat patroon volgens mij niet automatisch te herkennen. (Meerdere transacties op 1 pas nog wel, maar niet het skimmen van meerdere passen. Dat is ruis die wegvalt in het normale verkeer en gewoon niet te herkennen is.)

De veiligheid hangt hier volledig af van de betrouwbaarheid van de Poolse bank die de terminal uitgeeft - en die bank is vervolgens weer afhankelijk van onder andere verdachtmeldingen van Nederlandse banken.

(Wat me brengt bij een ander mogelijk scenario, iets wat bij internetverkoop regelmatig gezien wordt: verkopers die in eerste instantie betrouwbaar zijn, in de loop van hun bestaan in de problemen komen, en dan een laatste run doen. Bij terminals rust de bescherming daartegen voor het grootste gedeelte op de leesafstand van de terminal: hoe gemakkelijker het is om in de buurt te komen van passen zonder dat de paseigenaar dat wil, hoe groter de potentie voor misbruik. Dat is een vrij specifiek scenario, maar ik denk dat het wel een paar keer gezien gaat worden. Of het bijvoorbeeld ook zin zou hebben om specifiek je betrouwbaarheid op te bouwen zodat je die laatste run kunt doen lijkt me onwaarschijnlijker - maar ook dat soort dingen zijn voorgekomen.)

Wat een onzin discussie. Ik heb alleen nog maar onzin argumenten gehoord. Waarom zou je het uit willen zetten? Je hoeft het niet te gebruiken.

Als die verdomde chip bij jouw altijd kapot gaat dan ligt dat aan jouw en niet aan de chip. Er bestaat niets op deze wereld wat niet slijt. Bij mij is de chip nog nooit kapot gegaan, maar misschien ben ik wat zuiniger op mijn spullen.

3x3 schreef op zaterdag 12 augustus 2017 @ 22:29:
Zeker als je geld op je bankrekening hebt staan is contactloos betalen zonder het gebruik van je pincode voor kleine bedragen risico vermijdend. Je hebt minder (of geen) kans dat op drukke plekken waar je een kleine betaling doet, je pincode wordt meegekeken.

Daarnaast gaat bij mij altijd die verdomde chip van mijn bankpas stuk, dus is het fijn dat je met contactloos betalen een manier van betalen hebt die veilig is maar ook niet slijt.


ABN AMRO heeft de keuze voor een bankpas die fysiek en functioneel géén NFC mogelijkheid heeft.
[afbeelding]

Maar zoals gezegd, de techniek kent op dit moment echt significant veel minder kans op fraude dan ouderwets pinnen met de chip van de pas, en is helemaal veilig in vergelijking met de goede oude magneetstrip, want die was heel skimmingsgevoelig.

[b]xFeverr schreef op zondag 13 augustus 2017 @ 17:30:
Daarbij: voor klanten van bijvoorbeeld een Rabobank is het helemaal gevaarlijk je pincode ergens in te toetsen. Daarmee geef je gelijk de sleutel weg tot je internet bankieren. Hoeven ze alleen nog je pasje te jatten en ze kunnen aan de haal met je centen. Zo'n scanner krijg je zo in handen.

Eigenlijk heb ik helemaal niets met betalen met een pasje, laat staan kontaktloos.
Echter dit is wel het argument om het kontaktloos betalen weer aan te zetten weer aan te zetten.

incaz schreef op zondag 13 augustus 2017 @ 20:23:
@Sissors Wie zou dat moeten zien dan? Hoe detecteer je dat?
De Poolse bank ziet de snackbar in Groningen niet, maar ziet slechts een lijst van betalingen op die terminal. Wel ziet de Poolse bank dat die betalingen komen van Nederlandse pashouders... maar tegelijkertijd: dat kan net zo goed legitiem gebruik zijn. Als een bedrijf bv veel op beurzen staat met een standje met verkoopwaar, dan is het helemaal niet gek.

Dat zie de Rabobank, op het moment dat de Warschau Bank ze een verzoekje stuurt om geld te overhandigen omdat er een hoop mensen hebben gepind op hun terminal. Ervan uitgaande dus dat de Warschau Bank het zelf al niet geblokkeerd heeft.

(Wat me brengt bij een ander mogelijk scenario, iets wat bij internetverkoop regelmatig gezien wordt: verkopers die in eerste instantie betrouwbaar zijn, in de loop van hun bestaan in de problemen komen, en dan een laatste run doen. Bij terminals rust de bescherming daartegen voor het grootste gedeelte op de leesafstand van de terminal: hoe gemakkelijker het is om in de buurt te komen van passen zonder dat de paseigenaar dat wil, hoe groter de potentie voor misbruik. Dat is een vrij specifiek scenario, maar ik denk dat het wel een paar keer gezien gaat worden. Of het bijvoorbeeld ook zin zou hebben om specifiek je betrouwbaarheid op te bouwen zodat je die laatste run kunt doen lijkt me onwaarschijnlijker - maar ook dat soort dingen zijn voorgekomen.)

Oh dat denk ik ook. Dat idee heb ik heir ook al eerder geopperd. Er kan wel misbruik van worden gemaakt, als je een legitieme terminal hebt en toegang hebt tot de tegenrekening. En de ervaring hebt hoe je met een betaal terminal door een stad kan lopen zonder dat het mensen gaat opvallen.

Dat lukt je één keer, je haalt wat inkomsten op, mensen bellen hun bank, bank stort alles terug, diegene is nu een gezochte crimineel.

Maak je je erg druk over dat scenario, ja dan kan je je ertegen wapenen met een pasjes houder van aluminium bijvoorbeeld. Ik maak me niet heel erg druk over zulk soort scenarios.
Fraude gaat voorkomen, daar kan geen twijfel over bestaan! Maar hoe groot is de kans?

Ik heb nog een ander idee om fraude (diefstal) te plegen. Snackbar loopt slecht, dus ik ga wat klussen. Even een LCD schermpje over het standaard schermpje van de betaal terminal doen. Die gewoon alles netjes hetzelfde laat zien, inclusief dat je €7.50 voor je maaltijd moet betalen. Enkel op de echte terminal ben je €750 aan het betalen. Dan ben je ook opgelicht, en ook over dat scenario maak ik me niet heel veel zorgen.

Zolang de banken zich daar maar wel zorgen over maken, want eh... het is niet goed als er zomaar 750 euro wordt afgeschreven als je een patatje koopt. De veiligheid en betrouwbaarheid van ons geldsysteem is belangrijk - en een beetje bewustheid van de gevaren die er kunnen spelen lijkt me essentieel. Soms denken we wel erg gemakzuchtig dat het allemaal wel mee zal vallen, dat dat magischerwijs wel zal worden opgepikt - en ondertussen betalen we als maatschappij toch de rekening voor een aantal risicovolle systemen.

Dat is niet iets wat alleen maar bij een paar veiligheidstechnici bij de banken moet liggen. (De details wel, maar het in het algemeen nadenken over dergelijke zaken niet.)

ripexx schreef op zondag 13 augustus 2017 @ 12:15:
[...]
Deze casus is bekend en betreft een fout in de terminal versie. In het normale verkeer wordt ook je PIN aan de bank kant gecontroleerd. D'r zijn ook voorbeelden waarbij tbv skimming complete terminals zijn verwisseld bij kassa's zonder dan de eigenaar het wist. Allemaal excessen in een omgeving waar we het alleen al in NL over enkele miljarden aan transacties hebben.

En nog lang niet zijn alle terminals voorzien van nieuwere firmware. Het werkt gewoon nog: Zodra je meer dan 4 cijfers intypt, dan wordt iedere pin code geaccepteerd.

En ook al wordt deze fout gerepareerd, betekent het dan niet dat het systeem vanaf begin af aan al verkeerd is ontworpen, omdat de automaat simpelweg te veel rechten heeft?

incaz schreef op zondag 13 augustus 2017 @ 20:23:
@Sissors Wie zou dat moeten zien dan? Hoe detecteer je dat?
De Poolse bank ziet de snackbar in Groningen niet, maar ziet slechts een lijst van betalingen op die terminal. Wel ziet de Poolse bank dat die betalingen komen van Nederlandse pashouders... maar tegelijkertijd: dat kan net zo goed legitiem gebruik zijn. Als een bedrijf bv veel op beurzen staat met een standje met verkoopwaar, dan is het helemaal niet gek.

Wat een complete onzin. Er gaan weldegelijk alarmbellen als je binnen een uur een betaling heb gedaan in Nederland en een plek waar je onmogelijk binnen een uur kan zijn... Dit soort controles zitten gewoon in het betaalverkeer en de centrale bank houd dat in de gaten.

xFeverr schreef op zondag 13 augustus 2017 @ 21:02:
[...]


Wat een complete onzin. Er gaan weldegelijk alarmbellen als je binnen een uur een betaling heb gedaan in Nederland en een plek waar je onmogelijk binnen een uur kan zijn... Dit soort controles zitten gewoon in het betaalverkeer en de centrale bank houd dat in de gaten.

Precies. Ben eens geskimd, werd binnen half uur gebeld door mijn bank.

Met verbazing heb ik gekeken hoe de TS benaderd wordt over iets dat hij niet wilt.... compleet uitgehoord wordt over welke risico's hij wel niet ziet. Hij wilt weten hoe uit écht uit is. Is het zo moeilijk om te respecteren dat er mensen zijn die niét de voordelen ervan in ziet en het gewoon uit wilt hebben?

xFeverr schreef op zondag 13 augustus 2017 @ 21:02:
Wat een complete onzin. Er gaan weldegelijk alarmbellen als je binnen een uur een betaling heb gedaan in Nederland en een plek waar je onmogelijk binnen een uur kan zijn...

Alleen was dat het scenario niet. De Poolse terminal kan zich best legitiem in Nederland bevinden, zoals bij verkopers op beurzen.

Plus dat het helemaal niet gezegd is dat mensen ook een betaling doen: als je op drukke punten scamt is de kans groot genoeg dat mensen helemaal geen betalingen aan het doen zijn op dat moment, en dat de meeste mensen dus gewoon een onopvallende enkele transactie hebben, geen twee.

(Overigens, goed dat banken alert zijn op skimming! Dan nog is voorzichtigheid geboden. De bewustheid voor skimmen had ook even tijd nodig.)

xFeverr schreef op zondag 13 augustus 2017 @ 21:02:
[...]


Wat een complete onzin. Er gaan weldegelijk alarmbellen als je binnen een uur een betaling heb gedaan in Nederland en een plek waar je onmogelijk binnen een uur kan zijn... Dit soort controles zitten gewoon in het betaalverkeer en de centrale bank houd dat in de gaten.

Sorry maar dit is echt onzin, de centrale bank (DNB? ECB?) doen niets in het cards gebeuren. Fraude detectie wordt bij diverse partijen gedaan, van card schemes, tot banken en processors. Welke controller er allemaal zijn, zullen nooit bekend worden gemaakt. Binnen een bank heeft maar een hele kleine groep inzicht in de daadwerkelijke rules.

Trommelrem schreef op zondag 13 augustus 2017 @ 21:00:
[...]
En nog lang niet zijn alle terminals voorzien van nieuwere firmware. Het werkt gewoon nog: Zodra je meer dan 4 cijfers intypt, dan wordt iedere pin code geaccepteerd.

En ook al wordt deze fout gerepareerd, betekent het dan niet dat het systeem vanaf begin af aan al verkeerd is ontworpen, omdat de automaat simpelweg te veel rechten heeft?

Nee het systeem is niet verkeerd ontworpen, er ziet gewoon een optie in de cards schemes die card holder verifcation aanbieden, dan kan je zonder PIN code verificatie een betaling doen. Zo zijn er meer van dt soort specifieke toepassingen, denk aan bijvoorbeeld TOL poorten. Daarom worden terminals ook gecertificeerd.

[ Voor 34% gewijzigd door ripexx op 13-08-2017 22:41 ]

Ch4oZZzz schreef op zaterdag 12 augustus 2017 @ 23:02:
Risico's?: Er is geen fysiek contact nodig om de pas uit te lezen. Welke gegevens kunnen er worden uitgelezen. Wat kan je allemaal met die gegevens. Misschien is het nu nog geen probleem, maar OV chipkaart was in begin ook niet te hacken. Techniek staat niet stil.
Natuurlijk kun je pas wel in zo'n beschermend hoesje doen.
Maar punt blijft staan. Waarom is de optie UIT bij de bank ook niet echt gewoon uit. En zijn er banken waar uit wel echt uit is?

Ik was gister mijn ING pas thuis kwijt, maar wist vrij zeker waar hij was (op kantoor). Toch maar even voor de zekerheid in the ING portal Contactloos betalen uit gezet. Vandaag inderdaad mijn ING pas op kantoor gevonden. Ik wou nog even mijn werkgevers pas opwaarderen met geld wat wij nodig hebben in de kantine, dus ik dacht pin even contactloos. Werd dus mooi geweigerd. Ik kon niet contactloos betalen met mijn pas. Er werd mij ook niet gevraagd voor een PIN code, ook niet voor het kleine bedrag wat ik wou.

Dus het lijkt erop dat bij de ING pas 'UIT' ook echt 'UIT' is.

Xeodopel schreef op dinsdag 15 augustus 2017 @ 15:09:
[...]

Dus het lijkt erop dat bij de ING pas 'UIT' ook echt 'UIT' is.

Dat klopt, bij de ING is UIT echt UIT. Aangezien de ING het risico bij mij neerlegt in geval van misbruik heb ik dit direct uitgezet. Zit niet te wachten op deze extra functionaliteit. Ik pin wel gewoon met pincode.

Ch4oZZzz schreef op zaterdag 12 augustus 2017 @ 22:22:
Zijn er banken die nog passen zonder NFC leveren? Of waar 'uit' ook echt UIT is?

Vergeet niet dat er ook geen NFC logo op moet staan, anders krijg je in sommige landen boze gezichten. In Spanje bijvoorbeeld is het normaal dat de ander jouw pas voor jou in de terminal doet. Men ziet een logo en probeert het pasje er tegenaan te houden. Ik zeg "Nope, doesn't work", maar het is dan al te laat en de betaling wordt dan afgebroken. De betaling moet dan opnieuw gedaan ingevoerd worden.

Ik heb een Rabobank pas en NFC uit staan, maar voor zover ik weet is dat in mijn geval ook echt uit. Ik heb namelijk nooit een terminal naar mij toe geschoven gekregen om de pincode in te toetsen, maar elke keer werd de betaling geannuleerd en opnieuw gedaan met de pas erin.

Speedmaster schreef op dinsdag 15 augustus 2017 @ 15:20:
[...]


Dat klopt, bij de ING is UIT echt UIT. Aangezien de ING het risico bij mij neerlegt in geval van misbruik heb ik dit direct uitgezet. Zit niet te wachten op deze extra functionaliteit. Ik pin wel gewoon met pincode.

De ING legt het risico niet bij je, bij misbruik. Hoe kom je daarbij?

Deathchant schreef op zondag 13 augustus 2017 @ 21:28:
Met verbazing heb ik gekeken hoe de TS benaderd wordt over iets dat hij niet wilt.... compleet uitgehoord wordt over welke risico's hij wel niet ziet. Hij wilt weten hoe uit écht uit is. Is het zo moeilijk om te respecteren dat er mensen zijn die niét de voordelen ervan in ziet en het gewoon uit wilt hebben?

Wat heeft dat met respecteren te maken?
Moeten we allemaal hetzelfde denken?
Als hij kritische vragen krijgt en hij heeft daar een antwoord op dan is het toch een prima discussie. Zo niet, dan kan het ook een prima discussie zijn, maar wellicht bevalt het TS of gelijkgezinden dan wat minder.

Ik verbaas me vooral erover dat iemand zich hier druk over maakt, dat heeft toch niets met respect te maken?

Je hele dagelijkse leven maak je (on)bewust risicoafwegingen. Vooral onbewust. Kun je ook heel slecht van slapen als je daar gevoelig voor bent.

Gelukkig zijn er blijkbaar genoeg banken waarbij uit ook echt uit is. Dan heb je meteen een prima alternatief als het je zo hoog zit.

Ik heb speciaal mijn verloren wachtwoord opnieuw aangevraagd om mijn ervaringen hier even aan toe te voegen.
Zonder in details te treden het volgende:
- Er wordt inderdaad gebruik gemaakt van tracking vanuit de NFC chip. Near field is niet altijd near field.
Dit wordt daarentegen ook gedaan met Bluetooth, WiFi scanning, NFC in je mobiel en cellular contact.
- Er wordt inderdaad erg makkelijk misbruik van gemaakt, van dichtbij, zoals een gevonden pinpas misbruiken,
of op andere manieren. (je hebt geen idee hoe makkelijk het is om een 40 euro pinapparaat te vinden en
te koppelen aan een buitenlandse rekening die, ja nog steeds, niet te traceren hoeven te zijn)

Wat ik mij voor kan stellen is:
- Ik heb echt geen behoefte aan een sleeve voor mijn pinpas,
- Het voelt simpelweg veiliger om altijd een kleine beveiliging te hebben,
- De helft van de 'geskimde' mensen ziet het en boekt het terug, de andere helft niet. Makkelijk verdienen.
- Ik beslis zelf wel wat ik wel of niet wil,
- Ik hou van kaas.

Bij de ABN kon ik een andere pas zonder NFC aanvragen toen ik zomaar een nieuwe kreeg.
De Rabobank kan dat inderdaad niet.

Topic gelezen en toch ook maar even mijn bijdrage..

Je mag er vanuit gaan dat het met de huidige stand van de techniek voor een slimmerik mogelijk is om op een redelijke afstand van 1 a 2 meter een NFC pas uit te lezen.

Vervolgens kan diezelfde slimmerik die code in zijn telefoon met een app emuleren en vrolijk bij een aantal winkels voor minder dan 25 euro gaan shoppen... per dag in 4 winkels is al 100 euro.

Ik kijk meestal eenmaal per week even op mijn rekening of er vreemde dingen gebeurt zijn en de "schade" zou in mijn geval dus zomaar 700 euro kunnen zijn.

Daarom wil ik het ook uit zetten en de ING doet dit ook braaf. Kreeg laatst een nieuwe creditcard en jawel met NFC logo... Netjes gevraagd of ICSCards dit svp willen uitzetten maar kreeg het antwoord dat dit technisch niet kan...

Dat is natuurlijk je reinste onzin want als je die antenne van je kaart haalt is het uit... Hoezo niet willen.

Ik stof mijn Dremel maar weer eens af en zoek een sterke lamp op.

Interessante stof tot nadenken over profiling:https://www.bol.com/nl/f/...italism/9200000049285848/

en de tegenlicht uitzending daarover: https://www.npostart.nl/v.../27-10-2019/VPWON_1295417

[ Voor 3% gewijzigd door Kewl_one op 10-11-2019 18:05 . Reden: Foute link ]

Kewl_one schreef op zondag 10 november 2019 @ 17:59:
Topic gelezen en toch ook maar even mijn bijdrage..

Je mag er vanuit gaan dat het met de huidige stand van de techniek voor een slimmerik mogelijk is om op een redelijke afstand van 1 a 2 meter een NFC pas uit te lezen.

Vervolgens kan diezelfde slimmerik die code in zijn telefoon met een app emuleren en vrolijk bij een aantal winkels voor minder dan 25 euro gaan shoppen... per dag in 4 winkels is al 100 euro.

Ik kijk meestal eenmaal per week even op mijn rekening of er vreemde dingen gebeurt zijn en de "schade" zou in mijn geval dus zomaar 700 euro kunnen zijn.

Daarom wil ik het ook uit zetten en de ING doet dit ook braaf. Kreeg laatst een nieuwe creditcard en jawel met NFC logo... Netjes gevraagd of ICSCards dit svp willen uitzetten maar kreeg het antwoord dat dit technisch niet kan...

Dat is natuurlijk je reinste onzin want als je die antenne van je kaart haalt is het uit... Hoezo niet willen.

Ik stof mijn Dremel maar weer eens af en zoek een sterke lamp op.

Interessante stof tot nadenken over profiling:https://www.bol.com/nl/f/...italism/9200000049285848/

en de tegenlicht uitzending daarover: https://www.npostart.nl/v.../27-10-2019/VPWON_1295417

Dus je scenario is dat iemand je stiekem een week lang volgt en elke dag 4 keer een NFC betaling weet los te peuteren, dat jij dit niet merkt ondanks dat diegene constant achter je aan loopt en na een week wanneer je er wel achter komt en de bank vertelt wat er is gebeurt jij je geld terug krijgt, die grapjas die je volgde direct gevonden wordt aangezien het pinapparaat en zijn rekening geregistreerd moet staan om te kunnen werken en vervolgens is er geen schade...
Het idee dat hij je NFC chip kopieert werkt niet zo, dat is juist het hele principe ervan, anders kunnen we inderdaad terug naar de magneetstrip tijd...
Wel zo handig enigzins te begrijpen wat iets is voordat je op basis van alleen maar aannames een conclusie vormt dat het gevaarlijk is

Kewl_one schreef op zondag 10 november 2019 @ 17:59:
Topic gelezen en toch ook maar even mijn bijdrage..

Je mag er vanuit gaan dat het met de huidige stand van de techniek voor een slimmerik mogelijk is om op een redelijke afstand van 1 a 2 meter een NFC pas uit te lezen.
(...)

Heb je daar een bron voor? Ik ben benieuwd hoe zoiets eruit zou zien, hoeveel vermogen je moet uitzenden om zo'n pas te laten werken op meer dan een paar cm.

Dat is overigens letterlijk het enige wat niet onzin is in zijn post. Het is mogelijk op grotere afstand een NFC verbinding op te zetten, vaak worden daar dan hele grotere antennes voor gebruikt, want je moet een behoorlijk veld opwekken zodat het pasje uberhaupt werkt. Meteen nadeel: je hebt dan al snel tientallen pasjes in de omgeving die allemaal door elkaar praten, en een richtantenne werkt voor geen meter met de afstanden en frequenties waar het hier over gaat.

Een pas uitlezen/kopieren om op een app te emuleren is onzin en onmogelijk. Je pasje heeft een €50 limiet voor NFC betalingen, dus de dader moet elke keer weer wachten tot jij een normale pin transactie hebt gedaan voor hij weer maximaal €50 zou kunnen stelen van je. En als hij dat bij een eigen pinautomaat doet aan naar zijn eigen tegenrekening is hij direct gepakt zo ongeveer. Dus om €700 per week van jou te stelen moet jij minstens 2x per dag een pintransactie doen, dan moet hij daar met een enorme antenne staan om het signaal van een pinautomaat naar jouw pasje die een paar meter verderop is te versterken, zonder dat hij het signaal naar nog 20 pasjes versterkt. En dan zou hij per keer dat jij pint twee keer €25 van je kunnen stelen.

Dit is een puur theoretisch iets. Lukt het in een lab om op die manier op grotere afstand een NFC transactie op te zetten? Vast wel. Is dit een realistisch probleem? Nee echt niet. En nogmaals voor de duidelijkheid: Het is onmogelijk dat hij jouw pasje uitleest en op een 'app' kopieert.

Edit: En misschien kom ik nu 'agressief' over, maar ik irriteer me gewoon aan mensen die door gebrek aan kennis onwaarheden gaan verkondigen.

[ Voor 4% gewijzigd door Sissors op 10-11-2019 19:38 ]

RGAT schreef op zondag 10 november 2019 @ 18:14:
[...]


Dus je scenario is dat iemand je stiekem een week lang volgt en elke dag 4 keer een NFC betaling weet los te peuteren, dat jij dit niet merkt ondanks dat diegene constant achter je aan loopt en na een week wanneer je er wel achter komt en de bank vertelt wat er is gebeurt jij je geld terug krijgt, die grapjas die je volgde direct gevonden wordt aangezien het pinapparaat en zijn rekening geregistreerd moet staan om te kunnen werken en vervolgens is er geen schade...
Het idee dat hij je NFC chip kopieert werkt niet zo, dat is juist het hele principe ervan, anders kunnen we inderdaad terug naar de magneetstrip tijd...
Wel zo handig enigzins te begrijpen wat iets is voordat je op basis van alleen maar aannames een conclusie vormt dat het gevaarlijk is

Begrijpend lezen is een vak... Nee hij hoeft maar een keer te lezen en gaat dan met een zelfgemaakte app..... die NFC chip emuleren... En toevallig kan dat wel dus hij loopt niet achter mij aan... en schrijft NIETS naar zijn rekening over hij betaald gewoon met mijn NFC gegevens...

Zoek maar eens op google play naar een cardlezer app en kijk wat er op je eigen card staat... En ja dat is echt wel te emuleren...

Heb de nodige ervaring met toepassingen voor skiliften.... chip komt uit dezelfde fabriek...

Kewl_one schreef op zondag 10 november 2019 @ 20:02:
[...]


Begrijpend lezen is een vak... Nee hij hoeft maar een keer te lezen en gaat dan met een zelfgemaakte app..... die NFC chip emuleren... En toevallig kan dat wel dus hij loopt niet achter mij aan... en schrijft NIETS naar zijn rekening over hij betaald gewoon met mijn NFC gegevens...

Zoek maar eens op google play naar een cardlezer app en kijk wat er op je eigen card staat... En ja dat is echt wel te emuleren...

Heb de nodige ervaring met toepassingen voor skiliften.... chip komt uit dezelfde fabriek...

Ah ja want skilift chips zijn hetzelfde als die op de bankpassen, goed om te weten
Kom maar eens met 1 bron/onderbouwing anders dan 'jawel hoor' dat dit mogelijk is en een onderbouwing hoe dit ooit praktisch zou zijn...
Misschien iets voor Tom Cruise in de nieuwe Mission Impossible: Ethan Hunt moet Kewl_one's NFC chip kopieren om onderweg naar huis voor 25 euro aan boodschappen te betalen'

Wild Chocolate schreef op zondag 10 november 2019 @ 18:37:
[...]


Heb je daar een bron voor? Ik ben benieuwd hoe zoiets eruit zou zien, hoeveel vermogen je moet uitzenden om zo'n pas te laten werken op meer dan een paar cm.

Wij wikkelden zelf een spoeltje van 100 windingen om de ski chips te testen...dat was op 30 cm...

Een standaard lezer heeft nog geen 10 watt zendvermogen, vandaar dat er 4 of 5 lussen nodig zijn om de kaart op 10 cm te laten werken... Vermogen neemt kwadratisch toe met afstand dus ja je hebt een flinke accu nodig in een backpack en en grote spoel, in de orde van een demagnetizeer spoel zoals ze vroeger voor kleuren beeldbuizen gebruikten... Verdiep je in de veldtheorie en doe de math... Meer windingen is minder power.... en grotere range....

Kewl_one schreef op zondag 10 november 2019 @ 20:02:
Begrijpend lezen is een vak... Nee hij hoeft maar een keer te lezen en gaat dan met een zelfgemaakte app..... die NFC chip emuleren... En toevallig kan dat wel dus hij loopt niet achter mij aan... en schrijft NIETS naar zijn rekening over hij betaald gewoon met mijn NFC gegevens...

EMV is niet domweg een token waarmee je kunt betalen, het maakt gebruik van challenge-response.

hcQd schreef op zondag 10 november 2019 @ 20:09:
[...]

EMV is niet domweg een token waarmee je kunt betalen, het maakt gebruik van challenge-response.

Denk je dat er een Xeon processor in die NFC chip zit?... eenvoudig algoritme...en als je de chip goed uitleest heb je alles... wat je nodig hebt om ook dat te doen...

Kewl_one schreef op zondag 10 november 2019 @ 20:11:
[...]


Denk je dat er een Xeon processor in die NFC chip zit?... eenvoudig algoritme...en als je de chip goed uitleest heb je alles... wat je nodig hebt om ook dat te doen...

Ehm, nee. Duizend keer nee. Ik denk dat je je moet verdiepen in asymmetrische cryptografie en de toepassing daarvan in contactloos betalen voordat je jezelf onsterfelijk belachelijk maakt.

FirePuma142 schreef op zondag 10 november 2019 @ 20:23:
[...]
Ehm, nee. Duizend keer nee. Ik denk dat je je moet verdiepen in asymmetrische cryptografie en de toepassing daarvan in contactloos betalen voordat je jezelf onsterfelijk belachelijk maakt.

Inderdaad, jammer dat er iedere keer zo'n onzin verkocht wordt. Het hele idee van NFC is juist dat je hem niet zomaar kunt kopiëren. Willen ze dus meerdere keren iets afschrijven zullen ze meerdere keren direct contact met de originele kaart moeten hebben.

Kewl_one schreef op zondag 10 november 2019 @ 20:02:
[...]


Begrijpend lezen is een vak... Nee hij hoeft maar een keer te lezen en gaat dan met een zelfgemaakte app..... die NFC chip emuleren... En toevallig kan dat wel dus hij loopt niet achter mij aan... en schrijft NIETS naar zijn rekening over hij betaald gewoon met mijn NFC gegevens...

Zoek maar eens op google play naar een cardlezer app en kijk wat er op je eigen card staat... En ja dat is echt wel te emuleren...

Heb de nodige ervaring met toepassingen voor skiliften.... chip komt uit dezelfde fabriek...

Ik heb geen ervaring met passen voor skiliften, maar voor heel veel simpele toepassingen wordt (/werd vroeger) gewoon de unieke ID van een chip gebruikt en die wordt in een database gegooid met IDs die toegang hebben. Nu kunnen veruit de meeste chips geen ander uniek ID krijgen, en volgens mij kunnen telefoons dat ook niet zomaar. Maar los daarvan is het met een Arduino kinderspel om zelf iets te maken met een ander uniek ID,dus onder de streep levert dat weinig veiligheid. Tegelijk vaak wel genoeg voor de toepassing waar het over gaat (eg, hoeveel gaan er nu echt skipassen kopieren).

Maar uiteraard werken NFC betalingen zo niet, die werkt zoals mijn voorgangers al zeiden met asymmetrische encryptie. En daarvoor heb je geen Xeon processor nodig, er zit gewoon een stukje hardware acceleratie in die dat doet. Als iemand die encryptie heeft gekraakt dan is die zeker weten rijk genoeg om niet jouw geld te hoeven te stelen.

Dit is overigens vergelijkbaar met wanneer je de fysieke verbinding van je pinpas gebruikt. Dat is ook de reden dat traditioneel skimmen onmogelijk is met de chip. De magneetstrip is gewoon een stukje dom geheugen, dus dat kan je wel skimmen.

[ Voor 7% gewijzigd door Sissors op 10-11-2019 20:59 ]

Ik heb mijn bijdrage aan dit topic geleverd, en hoef niet van skimmen te leven...
.
Hoeveel rom/ram zou er op zo een chip zitten denk je... en ja er zit idd een asic in maar lang niet zo complex als je zou hopen... ruimte is gewoon te beperkt...

Ik ben het met TS eens dat zoiets opt-in moet zijn en geen verplichting. Er wordt al genoeg voor ons bepaald.

Alles wat draadloos is is inherent onveilig en wat er met de "bijvangst" aan info gebeurt kan je in de tegenlicht Docu zien... Dat soort info houdt ook de kosten voor dit soort betalingen laag...

Terug naar de sok onder het bed (rente krijg je toch niet) en lekker alles cash betalen!

Op een USIM, wat nog kleiner is, draait een volledige Java-omgeving.

Kewl_one schreef op zondag 10 november 2019 @ 21:18:
Ik heb mijn bijdrage aan dit topic geleverd, en hoef niet van skimmen te leven...
.
Hoeveel rom/ram zou er op zo een chip zitten denk je... en ja er zit idd een asic in maar lang niet zo complex als je zou hopen... ruimte is gewoon te beperkt...

Ik ben het met TS eens dat zoiets opt-in moet zijn en geen verplichting. Er wordt al genoeg voor ons bepaald.

Alles wat draadloos is is inherent onveilig en wat er met de "bijvangst" aan info gebeurt kan je in de tegenlicht Docu zien... Dat soort info houdt ook de kosten voor dit soort betalingen laag...

Terug naar de sok onder het bed (rente krijg je toch niet) en lekker alles cash betalen!

Volg de raad in je signature op, want je hebt echt geen flauw benul waar je het over hebt.

Kewl_one schreef op zondag 10 november 2019 @ 21:18:
Hoeveel rom/ram zou er op zo een chip zitten denk je... en ja er zit idd een asic in maar lang niet zo complex als je zou hopen... ruimte is gewoon te beperkt...

De huidige stand van techniek is een stukje verder dan je doet voorkomen.
Dedicated hardware hoeft hoef niet zwaar te zijn voor zoiets. De enige reden dat die "xeon" zo zwaar zou moeten zijn (als je de dedicated hardware blokken niet gebruikt) is omdat een normale cpu er hopeloos inefficiënt in is.

Er is niet zoiets als een "pinpas uitlezen", je krijgt zijn geheugen namelijk niet te zien.
Het is niet als een simpel rfid pasje met een blokje geheugen.

Je kan het een en ander aan data naar de pas toe sturen (zoals de pincode), die wordt intern verwerkt. De (encrypted) response gaat naar de bank. Klopt het, dan krijgt de pinautomaat een "domme" ok terug.

Dit lijkt mij beter voor PFSL of BV i.p.v. AZ. Gezien de originele TS, een tikje naar PFSL.

[ Voor 38% gewijzigd door Señor Sjon op 11-11-2019 10:02 ]

Ik vind het vrij bijzonder om nu nog, terwijl contactloos betalen nu echt wel heeft laten zien dat er geen enkel probleem mee is, te gaan beweren dat het allemaal onveilig is.

Hydra schreef op maandag 11 november 2019 @ 12:44:
Ik vind het vrij bijzonder om nu nog, terwijl contactloos betalen nu echt wel heeft laten zien dat er geen enkel probleem mee is, te gaan beweren dat het allemaal onveilig is.

Dit is een klassieke fout in de security wereld: risico en schade bepalen op theoretische kans i.p.v. praktische kans.

Theoretisch gezien kun je een contactloze bankkaart skimmen en er €24 afschrijven per keer tot de pincode nodig is. En een pincode is 1 op 9999 dus redelijk veilig.

Maar in de praktijk is de kans dat je pincode wordt afgekeken veel groter dan de kans dat iemand met zo een apparaat langs loopt. En hoe vaker je je pincode in gaat vullen hoe groter die kans wordt!

Dit was hetzelfde verhaal bij vingerafdruk op de telefoons, toen vertelden allemaal Tweakers dat je een vingerafdruk 'makkelijk' kan kopiëren van alles wat je aanraakt en dus minder veilig is dan een pincode of swipe code op je telefoon.

Wéér de klassieke fout van theoretische veiligheid (kans van 1 op 9999 pincode raden) ten opzichte van de theoretische kans dat iemand met plakband enzo je vingerafdruk jat.

Kewl_one schreef op zondag 10 november 2019 @ 20:09:
[...]


Wij wikkelden zelf een spoeltje van 100 windingen om de ski chips te testen...dat was op 30 cm...

Een standaard lezer heeft nog geen 10 watt zendvermogen, vandaar dat er 4 of 5 lussen nodig zijn om de kaart op 10 cm te laten werken... Vermogen neemt kwadratisch toe met afstand dus ja je hebt een flinke accu nodig in een backpack en en grote spoel, in de orde van een demagnetizeer spoel zoals ze vroeger voor kleuren beeldbuizen gebruikten... Verdiep je in de veldtheorie en doe de math... Meer windingen is minder power.... en grotere range....

De RFID van een skipas is een compleet andere implementatie dan pinpas-NFC. We hebben het hier over near field, waarbij de energie overdracht tussen spoelen gebeurd door middel van close-coupling. Niet zozeer een radio-golf die je maar gewoon kan versterken en opschalen met wat meer vermogen.

Als je graag de wiskunde wil weten die achter de berekeningen van lezen over afstand zit, op deze frequentie, dan heb ik nog wel wat leesvoer voor je.

Daarnaast kan ik op een logische analoge schakeling van 1/100000 keer de complexiteit van een degelijke microchip een encryptie bouwen die je met een 6core in nog geen 1000 jaar kan kraken. Zoals menigeen al heeft gezegd, lees je eens in in asymmetrische cryptografie.