zondag 24 juni 2018 18:33

Acties:
  • +3 Henk 'm!
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 23:11

Reptile209

- gers -

Topicstarter
Het viel me deze week opeens op: er begint een soort wildgroei aan pinapparaten te ontstaan: in twee taxi's (in Engeland) losse kastjes die draadloos met een smartphone gekoppeld zijn. De betaling liep blijkbaar uiteindelijk via PayPal of SumUp, bonnetje per email. En zelfs de ijscoman bij het bos in Katwijk had opeens een soort mobiel waarmee je een pinbetaling kon doen. Alles ziet er anders uit!

Vroeger was het makkelijk: een echte winkel had een echte - bedrade - pinautomaat staan. En er zijn volgens mij maar een paar modellen in omloop, dus die herken je al snel. Voor op het terras is er dan een wifi-versie. Top.

Hoeveel risico loop je nu met een betaling (contactloos of met chip) als Jan en alleman nu eigen pindevices gaan uitbrengen? Kan het zijn dat ze een geslaagde transactie faken, alleen om mijn pin en gegevens uit de chip te stelen? Kan ik als consument ergens aan zien of een apparaat 'veilig' is?
Tuurlijk: niemand dwingt je om te pinnen, maar handig is het wel. Totdat je rekening een keer geplunderd wordt... Word ik te oud? :+

Zo scherp als een voetbal!

zondag 24 juni 2018 18:35

Acties:
  • +5 Henk 'm!
  • Herby
  • Registratie: Januari 2004
  • Laatst online: 17-01-2022

Herby

Stalknecht

Wij hadden sinds 2001 al een PIN terminal die draadloos verbinding maakte via GSM (SIM zat gewoon ingebouwd), dus ik snap niet wat je nieuw vind? Ik ben al jaren gewend overal te kunnen pinnen.

Compromis? Hoezo heb ik het mis dan?! | Geluk = gelul met een K | з=(•̪●)=ε

zondag 24 juni 2018 18:39

Acties:
  • +4 Henk 'm!
  • Sissors
  • Registratie: Mei 2005
  • Niet online

Sissors

Reptile209 schreef op zondag 24 juni 2018 @ 18:33:
Kan het zijn dat ze een geslaagde transactie faken, alleen om mijn pin en gegevens uit de chip te stelen? Kan ik als consument ergens aan zien of een apparaat 'veilig' is?
Tuurlijk: niemand dwingt je om te pinnen, maar handig is het wel. Totdat je rekening een keer geplunderd wordt... Word ik te oud? :+
1. Pin gegevens zou kunnen ja, overigens laten we wel wezen, hoe moeilijk zou het zijn een bestaand model na te maken?
2. Nop, dat is de hele reden dat we van de magneetstrip naar de chip zijn overgegaan, bij de chip kan dat (als het goed is) niet.
3. Ja je wordt te oud.

Offtopic:
Overigens waar ik mij dan weer afvraag van hoe onveilig het is als je een namaak versie maakt:
Inloggen bij andere zaken via je google account, facebook, etc. Zo moeilijk kan het niet zijn om een nep versie daarvan te maken. Granted, normaal zal hij bij mij automatisch wachtwoord invullen, danwel helemaal automatisch inloggen, maar hoeveel gaat dat opvallen?

[ Voor 21% gewijzigd door Sissors op 24-06-2018 18:42 ]

zondag 24 juni 2018 18:45

Acties:
  • +1 Henk 'm!
  • kzin
  • Registratie: Oktober 2003
  • Laatst online: 11-05 15:53

kzin

Wat Reptile209 bedoeld is dat er nu ook mobiele pin automaten zijn zonder ingebouwde GSM. Ik heb het zelf ook een keer meegemaakt. Ik krijg een klein kastje met een toetsenbordje waar mijn pinpas in kan, en moest binnen ca 4 meter van de smartphone van de bezorger/winkelier blijven. Hij kon dan op zijn smartphone zien of de betaling gelukt was.

Ik stond hier ook heel wantrouwig tegenover.

zondag 24 juni 2018 18:49

Acties:
  • +1 Henk 'm!
  • TommyboyNL
  • Registratie: Januari 2006
  • Niet online

TommyboyNL

Zoals @Sissors als zegt; dankzij de EMV chip is het niet meer mogelijk om je pas te skimmen. Het is uiteraard nog altijd mogelijk om je PIN code te ontfrutselen, maar zonder de originele pas kunnen ze daar niks mee.

zondag 24 juni 2018 19:23

Acties:
  • 0 Henk 'm!
  • SmurfLink
  • Registratie: Juni 2016
  • Niet online

SmurfLink

kzin schreef op zondag 24 juni 2018 @ 18:45:
Wat Reptile209 bedoeld is dat er nu ook mobiele pin automaten zijn zonder ingebouwde GSM. Ik heb het zelf ook een keer meegemaakt. Ik krijg een klein kastje met een toetsenbordje waar mijn pinpas in kan, en moest binnen ca 4 meter van de smartphone van de bezorger/winkelier blijven. Hij kon dan op zijn smartphone zien of de betaling gelukt was.

Ik stond hier ook heel wantrouwig tegenover.
Dit is al jaren gangbaar op de Animeconventies waar ik kom, veel verkopers willen graag een pinautomaat maar deze kleine versies met mobiel zijn veel goedkoper dus gaan ze daar voor. Ben er niet echt wantrouwig tegenover, gezien het allemaal bekende standjes zijn en die al jaren op zo'n beurs staan. Maar in een stenen winkel zou ik dat wel vreemd vinden.

I have stability. The ability to stab.

zondag 24 juni 2018 20:37

Acties:
  • +1 Henk 'm!
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 23:11

Reptile209

- gers -

Topicstarter
kzin schreef op zondag 24 juni 2018 @ 18:45:
Wat Reptile209 bedoeld is dat er nu ook mobiele pin automaten zijn zonder ingebouwde GSM. Ik heb het zelf ook een keer meegemaakt. Ik krijg een klein kastje met een toetsenbordje waar mijn pinpas in kan, en moest binnen ca 4 meter van de smartphone van de bezorger/winkelier blijven. Hij kon dan op zijn smartphone zien of de betaling gelukt was.

Ik stond hier ook heel wantrouwig tegenover.
Om het maar een beetje te illustreren: je hebt nu bijvoorbeeld dit:

Afbeeldingslocatie: https://voordeligepinautomaat.nl/onewebmedia/sumup%20korting.png

En dit:
Afbeeldingslocatie: https://www.paypalobjects.com/digitalassets/c/website/marketing/emea/gb/en/credit-card-reader/card-and-contactless.png

En vast nog wel 10 andere modellen.

Als ik zoiets zie, weet ik dat het wel goed zit:
Afbeeldingslocatie: https://www.carianhorecakassa.nl/wp-content/uploads/2015/01/Yomani.png

Maar hoe weet ik dus als consument dat al die andere geinige gadgets ook safe zijn? Kan iemand daar met een mitm attack een transactie in wijzigen, zodat m'n taxi opeens 1000 euro kost in plaats van 20? Is hier enige vorm van toezicht/controle/regulering in?

Zo scherp als een voetbal!

zondag 24 juni 2018 20:42

Acties:
  • +2 Henk 'm!
  • Eagle Creek
  • Registratie: Oktober 2002
  • Laatst online: 22:44

Eagle Creek

Breathing security

Yup! Herken wel wat TS zegt hoort en sta er ook gevoelsmatig wat wantrouwig tegenover. Aan de andere kant, heeft de gemiddelde consument vijf jaar geleden ooit doorgehad in welk apparaat z'n pas werd gestopt?

Je ziet dat de bekende partijen ook zulke producten aanbieden bv (https://www.rabobank.nl/b...ikassa-2-0/rabo-smartpin/) maar er nu ook een scala aan B-merken op de markt rondloopt. Vrijwel al dit soort betalingen gaat "gewoon" via internet en standaarden dus er is nog weinig specifieks voor nodig..

~ Information security professional & enthousiast ~ EC Twitter ~

zondag 24 juni 2018 21:00

Acties:
  • 0 Henk 'm!
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 23:11

Reptile209

- gers -

Topicstarter
Sissors schreef op zondag 24 juni 2018 @ 18:39:
[...]

1. Pin gegevens zou kunnen ja, overigens laten we wel wezen, hoe moeilijk zou het zijn een bestaand model na te maken?
2. Nop, dat is de hele reden dat we van de magneetstrip naar de chip zijn overgegaan, bij de chip kan dat (als het goed is) niet.
Pin is inderdaad de eerste 'zorg' (hoewel de chauffeur naast je zit en dus ook makkelijk mee kan lezen). Maar zolang die pas in het apparaat zit, kan je in theorie natuurlijk een massa transacties doen. Je hebt immers de chip voor de juiste challenge-response stappen en de eigenaar heeft net de pin ingevoerd. Zou je bijna bewust eerst een foute pin moeten invoeren om te verifiëren dat die wordt afgekeurd. Dan praten ze in ieder geval met de bank en is het geen dummy-transactie.
3. Ja je wordt te oud.
Tnx <+:)
Offtopic:
Overigens waar ik mij dan weer afvraag van hoe onveilig het is als je een namaak versie maakt:
Inloggen bij andere zaken via je google account, facebook, etc. Zo moeilijk kan het niet zijn om een nep versie daarvan te maken. Granted, normaal zal hij bij mij automatisch wachtwoord invullen, danwel helemaal automatisch inloggen, maar hoeveel gaat dat opvallen?
Bij veel grote sites loop je dan snel tegen de lamp: 2FA, mailtjes dat je met een onbekend device inlogt, etc. Maar het concept van bijv. malware die je een valse site voorschotelt is al heel oud. Bij de bank moet ik maar afwachten tot m'n saldo is bijgewerkt en zijn de consequenties mogelijk wat groter.

Zo scherp als een voetbal!

zondag 24 juni 2018 21:10

Acties:
  • 0 Henk 'm!
  • TheGhostInc
  • Registratie: November 2000
  • Niet online

TheGhostInc

TommyboyNL schreef op zondag 24 juni 2018 @ 18:49:
Zoals @Sissors als zegt; dankzij de EMV chip is het niet meer mogelijk om je pas te skimmen. Het is uiteraard nog altijd mogelijk om je PIN code te ontfrutselen, maar zonder de originele pas kunnen ze daar niks mee.
De originele pas.... of je bedoeld de vervangende pas die de bank opstuurt en uit je brievenbus wordt gevist?

@Reptile209 ik snap precies wat je bedoeld. Als er een paar modellen zijn, dan vallen aanpassingen op. Nu duw je je pas in een apparaat dat je nog nooit gezien hebt en compleet gehacked kan zijn.
Een transactie met pin is veel lastiger te betwisten.

zondag 24 juni 2018 21:21

Acties:
  • +1 Henk 'm!
  • Xander
  • Registratie: Oktober 2002
  • Laatst online: 05:11

Xander

Reptile209 schreef op zondag 24 juni 2018 @ 20:37:
[...]

Om het maar een beetje te illustreren: je hebt nu bijvoorbeeld dit:

[afbeelding]

En dit:
[afbeelding]

En vast nog wel 10 andere modellen.
Ik heb eens afgerekend met een dergelijk apparaat:

Afbeeldingslocatie: https://tweakers.net/ext/f/WZBT7hB55tE45ztiMAxjFfZQ/full.jpg

Niet eens een display dus. :/

Hoe weet ik dat het bedrag wat op de iPad van de verkoper wordt getoond, ook daadwerkelijk het bedrag is wat van mijn rekening wordt afgeschreven? Kan iedereen die apps zomaar maken?

Een pinbonnetje komt er ook al niet meer uit natuurlijk.

Vraag me inderdaad ook af of dit wel zo'n goede ontwikkeling is...

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

zondag 24 juni 2018 21:41

Acties:
  • +2 Henk 'm!
  • Rmg
  • Registratie: November 2003
  • Laatst online: 22:01

Rmg

Sowieso zijn frauduleuze (pin) transacties gedekt (wettelijk) door de bank, ze hebben het zelf onmogelijk gemaakt om een 'foute/neppe' pinautomaat te herkennen, daardoor is het dus compleet hun probleem geworden
:Y)
Dat is nog naast dat elk pinautomaat in principe geregistreerd is aan een winkelier/zakelijke rekening en pintransacties niet direct op de rekening staan van de winkelier (kost minimaal een dag, vaak meer) waardoor het moeilijker is om zomaar rekeningen te plunderen.

Ik maak me er dan ook geen moment druk om hoe een pin apparaat er uit ziet.

[ Voor 9% gewijzigd door Rmg op 24-06-2018 21:43 ]

zondag 24 juni 2018 21:52

Acties:
  • +1 Henk 'm!
  • SmiGueL
  • Registratie: September 2005
  • Laatst online: 11-05 00:29

SmiGueL

Rmg schreef op zondag 24 juni 2018 @ 21:41:
Ik maak me er dan ook geen moment druk om hoe een pin apparaat er uit ziet.
Nouja eigenlijk denk ik dat dit juist wel een probleem is. :P

Een kleine lokale eettent hier in de buurt heeft ook een dergelijk apparaat:

Afbeeldingslocatie: https://voordeligepinautomaat.nl/onewebmedia/sumup%20korting.png

Ding zit alleen verbonden met een draadje aan een iPad die ook op de toonbank ligt... De eerste keer dat ik dat zag dacht ik ook van wtf is dit voor fishy constructie. :X 8)7

Maar aangezien het een lokaal bedrijf is ga ik er niet van uit dat ze de boel lopen te skimmen, dan zou het snel zijn gedaan met die toko. :P

Wat ik WEL een probleem vind is dat het ding NIET IS AFGESCHERMD.

Ik houd zelfs bij een normaal pinapparaat m'n hand er nog voor om de toetsen af te schermen..
Maar bij dit soort kastjes, die gewoon plat op een meterslange toonbank liggen is dat compleet onmogelijk, en kan iedereen die aan weerszijden staat om iets te bestellen gewoon zien wat je intoetst.. |:(

Delidded 4770K 4.7GHz @ H220 || Gigabyte Z87X-UD4H || 16GB @ 2400MHz || Gigabyte GTX 760 || 2x128GB Samsung 830 @ RAID-0 & WD 3 TB || Iiyama XB2483HSU-B1 || Synology DS916+ 3x6TB + 120GB SSD Cache || Synology DS213+ 6TB backup

zondag 24 juni 2018 22:36

Acties:
  • +1 Henk 'm!
  • celshof
  • Registratie: December 2009
  • Laatst online: 01:34

celshof

De term die je zoekt zal mPOS zijn. En inderdaad, ze zijn flink in opkomst. Zeker bij de kleinere of mobielere partijen die nog niet zo lang kaartbetalingen accepteren. Het is namelijk meestal een stuk goedkoper om er eentje aan te schaffen dan een reguliere betaalautomaat. Al heb je natuurlijk wel een tablet of telefoon er bij nodig en is het per transactie weer veel duurder.

Of het veilig is? Ik verwacht van wel, gezien zaken als PCI DSS zo ongeveer verplicht zijn. Daarnaast, als het een fatsoenlijke implementatie is, zorgt EMV er ook voor dat het bedrag dat je op je scherm ziet en accepteert gebruikt wordt in het cryptogram, dus een afwijkend bedrag zou meteen tot alarmbellen bij je bank moeten leiden als de transactie daar binnenkomt.

zondag 24 juni 2018 22:41

Acties:
  • +2 Henk 'm!
  • Jeroenneman
  • Registratie: December 2009
  • Laatst online: 03-05-2024

Jeroenneman

Pre-order/Early Acces: Nee!

Reptile209 schreef op zondag 24 juni 2018 @ 20:37:


Als ik zoiets zie, weet ik dat het wel goed zit:
[afbeelding]

Maar hoe weet ik dus als consument dat al die andere geinige gadgets ook safe zijn? Kan iemand daar met een mitm attack een transactie in wijzigen, zodat m'n taxi opeens 1000 euro kost in plaats van 20? Is hier enige vorm van toezicht/controle/regulering in?
En waarom zou je zo'n apparaat niet kunnen nabouwen? Lijkt me nog veel handiger, want zoals je zelf aangeeft, dit kastje vertrouw je blijkbaar wel blind. Wie zegt dat je daarvan niet op het display iets anders kan tonen? Wie zegt je daarvan dat niet al je toetsaanslagen worden vastgelegd?

Omdat je dit kastje toevallig wel kent, en de rest nog niet? Als fraudeur zou ik het veel aantrekkelijker vinden om zo'n kastje na te bouwen, dan krijg je ook minder wantrouwende klanten, immers, er was niets anders dan normaal op het eerste gezicht.

| Old Faithful | i7 920 @ (3,3Ghz) / X58 UD4P / GTX960 (1,550Mhz) / CM 690 | NOVA | i5 6600K (4,4Ghz) / Z170 Pro Gaming / GTX 960 (1,500Mhz) / NZXT S340

zondag 24 juni 2018 22:48

Acties:
  • 0 Henk 'm!
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 23:11

Reptile209

- gers -

Topicstarter
Jeroenneman schreef op zondag 24 juni 2018 @ 22:41:
[...]


En waarom zou je zo'n apparaat niet kunnen nabouwen? Lijkt me nog veel handiger, want zoals je zelf aangeeft, dit kastje vertrouw je blijkbaar wel blind. Wie zegt dat je daarvan niet op het display iets anders kan tonen? Wie zegt je daarvan dat niet al je toetsaanslagen worden vastgelegd?

Omdat je dit kastje toevallig wel kent, en de rest nog niet? Als fraudeur zou ik het veel aantrekkelijker vinden om zo'n kastje na te bouwen, dan krijg je ook minder wantrouwende klanten, immers, er was niets anders dan normaal op het eerste gezicht.
Nog sterker nog: er zijn toch al inbraken geweest (intussen jaren geleden) waarbij pinterminals werden aangepast om passen te slimmer e.d.? Daarom zijn ze nu bij de meeste winkels voorzien van sloten, volgnummer en hologrammen. Maar hoe weet ik dus dat taxi-sjaak er ook zo zorgvuldig mee omgaat? En niet dat de bank later bij mij aankomt met: ja, dat is ook geen door ons geautoriseerde pinterminal geweest! Hoe kom je daar als gebruiker nou ooit achter?

Zo scherp als een voetbal!

zondag 24 juni 2018 22:51

Acties:
  • +2 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 10-05 17:57

Thralas

celshof schreef op zondag 24 juni 2018 @ 22:36:
Het is namelijk meestal een stuk goedkoper om er eentje aan te schaffen dan een reguliere betaalautomaat. Al heb je natuurlijk wel een tablet of telefoon er bij nodig en is het per transactie weer veel duurder.
Sommige zijn daarom zelfs helemaal 'gratis'. Met onaantrekkelijke transactifees...
Of het veilig is? Ik verwacht van wel, gezien zaken als PCI DSS zo ongeveer verplicht zijn. Daarnaast, als het een fatsoenlijke implementatie is, zorgt EMV er ook voor dat het bedrag dat je op je scherm ziet en accepteert gebruikt wordt in het cryptogram,
Inderdaad, ik denk dat je er met een gerust hart vanuit kunt gaan dat EMVco je niet zomaar een terminal laat bouwen.

Maar bij een 'fake' terminal kun je natuurlijk ook het display vervalsen.
Jeroenneman schreef op zondag 24 juni 2018 @ 22:41:
Omdat je dit kastje toevallig wel kent, en de rest nog niet? Als fraudeur zou ik het veel aantrekkelijker vinden om zo'n kastje na te bouwen, dan krijg je ook minder wantrouwende klanten, immers, er was niets anders dan normaal op het eerste gezicht.
Succes. Alle andere fraudeurs zijn/waren er al achter dat skimmen véél luceratiever is. Hoef je immers alleen wat trackdata en een pincode te pakken.

Nu heb je ook al geen klap meer aan dat eerste, dus is skimming effectief dood in Nederland.

Kun je nog steeds gewoon de pincode afkijken en met een lulverhaal een pinpas van een bejaarde stelen. Veel makkelijker dan een hele terminal nabouwen waarmee je niet eens een transactie kunt doen.

En de types die een beetje serious in de financiële business zitten blazen tegenwoordig gewoon de hele automaat op :+

[ Voor 3% gewijzigd door Thralas op 24-06-2018 22:54 ]

zondag 24 juni 2018 22:57

Acties:
  • +3 Henk 'm!
  • Sissors
  • Registratie: Mei 2005
  • Niet online

Sissors

Reptile209 schreef op zondag 24 juni 2018 @ 22:48:
[...]

Nog sterker nog: er zijn toch al inbraken geweest (intussen jaren geleden) waarbij pinterminals werden aangepast om passen te slimmer e.d.? Daarom zijn ze nu bij de meeste winkels voorzien van sloten, volgnummer en hologrammen. Maar hoe weet ik dus dat taxi-sjaak er ook zo zorgvuldig mee omgaat? En niet dat de bank later bij mij aankomt met: ja, dat is ook geen door ons geautoriseerde pinterminal geweest! Hoe kom je daar als gebruiker nou ooit achter?
Nogmaals, dat was toen de magneetstrip werd gebruikt. Tegenwoordig is dat eigenlijk niet meer interessant. Alle pin terminals zijn door de bank geautoriseerd. Je kan echt niet je eigen terminal maken en die dan aan je eigen tegenrekening naar keuze koppelen.

Zou je een pin terminal in theorie kunnen aanpassen dat er een ander bedrag op het displaytje staat dan wat je pint? Yep. Al helemaal met degene die aan een tablet zitten zonder eigen display natuurlijk. Maar dan kom je op hetzelfde verhaal uit als het idee om met een draadloze pin terminal stiekem draadloos van mensen af te schrijven: Binnen no-time detecteert de bank het (ofwel door klachten, ofwel door algorithmes. Als ineens mensen €1000 beginnen te pinnen bij een taxi of kapper klopt er iets niet), wordt de tegenrekening geblokkeerd, mensen schadeloos gesteld, en die persoon staat op de lijst gezochte misdadigers, waarschijnlijk nog voor hij een cent van die tegenrekening heeft kunnen opnemen.

zondag 24 juni 2018 23:03

Acties:
  • 0 Henk 'm!
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 23:11

Reptile209

- gers -

Topicstarter
Sissors schreef op zondag 24 juni 2018 @ 22:57:
[...]

Nogmaals, dat was toen de magneetstrip werd gebruikt. Tegenwoordig is dat eigenlijk niet meer interessant. Alle pin terminals zijn door de bank geautoriseerd. Je kan echt niet je eigen terminal maken en die dan aan je eigen tegenrekening naar keuze koppelen.
Ok, ik denk dat ik daar dus inderdaad naar op zoek was: de bevestiging dat inderdaad niet zomaar iedere Piet Snot een terminal kan bouwen om daar vervolgens gekke transacties mee uit te voeren. Had ik ergens ook wel kunnen bedenken, met name het deel dat de bank een actieve rol speelt in het [i]accepteren[/í] van verbindingen en transacties voor een bepaalde terminal en rekeninghouder. En als zij ook maar het vermoeden van ellende ruiken, zullen ze die acceptatie inderdaad wel intrekken. Waarbij het risico voor de bank inderdaad hooguit een paar duizend euro zal zijn, voordat er ergens aan de bel wordt getrokken en het feest over is.
Zou je een pin terminal in theorie kunnen aanpassen dat er een ander bedrag op het displaytje staat dan wat je pint? Yep. Al helemaal met degene die aan een tablet zitten zonder eigen display natuurlijk. Maar dan kom je op hetzelfde verhaal uit als het idee om met een draadloze pin terminal stiekem draadloos van mensen af te schrijven: Binnen no-time detecteert de bank het (ofwel door klachten, ofwel door algorithmes. Als ineens mensen €1000 beginnen te pinnen bij een taxi of kapper klopt er iets niet), wordt de tegenrekening geblokkeerd, mensen schadeloos gesteld, en die persoon staat op de lijst gezochte misdadigers, waarschijnlijk nog voor hij een cent van die tegenrekening heeft kunnen opnemen.
d:)b

Zo scherp als een voetbal!

zondag 24 juni 2018 23:22

Acties:
  • +1 Henk 'm!
  • Richh
  • Registratie: Augustus 2009
  • Laatst online: 01:28

Richh

Ik kan me eerlijk gezegd geen enkel nieuwsbericht herinneren waarbij er onrechtmatig gebruik gemaakt wordt van een pinapparaat. Skimmen met creditcards komt vooral in de US regelmatig voor, maar hier in Nederland is er volgens mij weinig aan de hand.

https://www.trouw.nl/same...ig-maar-ook-eng~a39d7b1a/
Volgens Betaalvereniging Nederland verliep in 2016 nog 17,7 procent van de betalingen contactloos, terwijl vandaag de dag één op de twee betalingen gedaan wordt via een zwaai met onze bankpas.
"En dat gaat gewoon goed, hoor", zegt Berend Jan Beugel van Betaalvereniging Nederland. "De banken hebben nog niet één keer een melding gehad van iemand die door contactloos zakkenrollen is bestolen."
Ook voor kwaadwillenden lijkt het mij makkelijker om een bankpagina na te bouwen dan met eigen hardware te gaan klooien. Waarschijnlijk veel effectiever en een stuk minder risicovol.

Laten we daarnaast vooral niet vergeten dat het alternatief wat door de tegenstanders graag wordt aangedragen, contant geld, verre van risicoloos is. Als ik op Google News naar 'vals geld' zoek, kan je vrijwel dagelijks een nieuwsbericht vinden wat daar te maken mee heeft
https://www.google.nl/sea...BCPcCKAE&biw=1920&bih=908

☀️ 4500wp zuid | 🔋MT Venus 5kW | 🚗 Tesla Model 3 SR+ 2020 | ❄️ Daikin 3MXM 4kW

zondag 24 juni 2018 23:40

Acties:
  • +1 Henk 'm!
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Al die dingen die ik hier in dit topic langs zie komen staan niet in het lijstje van geregistreerde (en daarmee goedgekeurde?) PIN-automaten in NL: https://www.betaalverenig...streerde-betaalautomaten/

:X

zondag 24 juni 2018 23:43

Acties:
  • +1 Henk 'm!
  • fsfikke
  • Registratie: Maart 2003
  • Niet online

fsfikke

* * * *

Reptile209 schreef op zondag 24 juni 2018 @ 21:00:
[...]
Zou je bijna bewust eerst een foute pin moeten invoeren om te verifiëren dat die wordt afgekeurd. Dan praten ze in ieder geval met de bank en is het geen dummy-transactie.

[...]
Hè? Denk je echt dat een PIN terminal de bank “belt” om de PIN-code te checken? Dat gebeurt gewoon lokaal op de chip van je PIN-pas. Of denk je dat je Rabo-reader ook eerst inbelt als je je code invoert ;)

Zijn spaties in de aanbieding ofzo? www.spatiegebruik.nl

maandag 25 juni 2018 00:36

Acties:
  • 0 Henk 'm!
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

Sissors schreef op zondag 24 juni 2018 @ 22:57:
[...]
Zou je een pin terminal in theorie kunnen aanpassen dat er een ander bedrag op het displaytje staat dan wat je pint? Yep. Al helemaal met degene die aan een tablet zitten zonder eigen display natuurlijk.
Als ik de dingen die hier gepost wordt zie dan is het totaal geen kunst om het plastic te slopen aan te passen en nieuw plastic eromheen te doen.
Maar dan kom je op hetzelfde verhaal uit als het idee om met een draadloze pin terminal stiekem draadloos van mensen af te schrijven: Binnen no-time detecteert de bank het (ofwel door klachten, ofwel door algorithmes. Als ineens mensen €1000 beginnen te pinnen bij een taxi of kapper klopt er iets niet), wordt de tegenrekening geblokkeerd, mensen schadeloos gesteld, en die persoon staat op de lijst gezochte misdadigers, waarschijnlijk nog voor hij een cent van die tegenrekening heeft kunnen opnemen.
Als die theorie zou werken dan zou er geen fraude meer via een bank plaatsvinden. Echter vind er over de hele wereld nog levendige fraude via banken plaats, de praktijk is hier totaal iets anders als de theorie die jij schetst.

Je gooit er een money mule tussen, laat het via een aantal landen verlopen en voor de banken is het gewoon kwijt (kosten van opsporen steken niet meer af tegen de baten).
Richh schreef op zondag 24 juni 2018 @ 23:22:
Ik kan me eerlijk gezegd geen enkel nieuwsbericht herinneren waarbij er onrechtmatig gebruik gemaakt wordt van een pinapparaat. Skimmen met creditcards komt vooral in de US regelmatig voor, maar hier in Nederland is er volgens mij weinig aan de hand.
De banken houden dit soort berichten ook gewoon achter etc. Oftewel dat je er niets van hoort zegt niets.

Of ze geven er een draai aan zoals in jouw bericht...
Want denk nou zelf eens na over wat je bold hebt gemaakt. Als jou dat zou overkomen zou jij dan een officiele melding bij je bank doen of een officiele melding bij de politie?
Ik zou naar de bank bellen om mijn rekening te bevriezen (maar dat is geen melding van contactloos zakkenrollen) en daarna naar de politie gaan om aangifte te doen.
Oftewel van mij zou de bank ook nooit een melding krijgen.

Je ziet pas een nieuwsbericht als het totaal en dan ook echt totaal uit de hand gelopen is. Niet eerder.

maandag 25 juni 2018 00:51

Acties:
  • +2 Henk 'm!
  • Brandonvds
  • Registratie: Oktober 2014
  • Laatst online: 17:25

Brandonvds

Ik werkt toevallig zelf sinds kort bij de technical support voor de rabo smart pin.

Het werkt dus zo dat de winkelier een abbonement neemt op zo'n kastje die word gekoppeld aan een zakelijke bankrekening.

Een winkelier of iemand anders kan dan ook niet zelf de tegenrekening aanpassen. En de pin transacties zijn dan ook door de rabobank in te zien.

Dus een kastje jatten en of ombouwen naar ander uiterlijk heeft in principe weinig zin omdat deze aan de rekening van de winkelier gekoppeld is.

Mocht deze kwijtraken of gestolen worden, kunnen ze gemakkelijk geblokkeerd worden en werken ze dus ook niet meer, totdat ze door ons weer opnieuw geactiveerd worden.

maandag 25 juni 2018 00:55

Acties:
  • +1 Henk 'm!
  • Richh
  • Registratie: Augustus 2009
  • Laatst online: 01:28

Richh

Gomez12 schreef op maandag 25 juni 2018 @ 00:36:
De banken houden dit soort berichten ook gewoon achter etc. Oftewel dat je er niets van hoort zegt niets.
Waarom zouden ze dat doen? Waarom zou een bank pinfraude toelaten?
Of ze geven er een draai aan zoals in jouw bericht...
Want denk nou zelf eens na over wat je bold hebt gemaakt. Als jou dat zou overkomen zou jij dan een officiele melding bij je bank doen of een officiele melding bij de politie?
Ik denk dat een bank niks voor je gaat doen zonder aangifte.
Ik zou naar de bank bellen om mijn rekening te bevriezen (maar dat is geen melding van contactloos zakkenrollen) en daarna naar de politie gaan om aangifte te doen.
Oftewel van mij zou de bank ook nooit een melding krijgen.
Mijn bank staat garant voor pinfraude (volgens mij elke bank), voordat ze iets uitkeren zullen ze er wel van gehoord moeten hebben.
Je ziet pas een nieuwsbericht als het totaal en dan ook echt totaal uit de hand gelopen is. Niet eerder.
Hoe verklaar je dan dat je zo veel dingen kan vinden over vals geld? Dat loopt immers ook niet uit de hand.

Al met al komt het naar mij een beetje aluhoedje en dus heel erg onrealistisch over wat je hier probeert voor te spiegelen.

☀️ 4500wp zuid | 🔋MT Venus 5kW | 🚗 Tesla Model 3 SR+ 2020 | ❄️ Daikin 3MXM 4kW

maandag 25 juni 2018 00:56

Acties:
  • 0 Henk 'm!
  • Wannial
  • Registratie: November 2007
  • Laatst online: 10-05 13:31

Wannial

Elke taxi chauffeur hier in Dublin heeft zo'n sum up kastje wat je hier een stukje boven voorbij ziet komen. Goedkoop ja, makkelijk soms. Duurt meestal een minuut voordat ze hun kastjes gekoppeld hebben en je eindelijk kan pinnen.

maandag 25 juni 2018 01:33

Acties:
  • 0 Henk 'm!
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

Richh schreef op maandag 25 juni 2018 @ 00:55:
[...]
Waarom zouden ze dat doen? Waarom zou een bank pinfraude toelaten?
Kosten-baten analyse. Zolang een bank er meer mee verdient dan er gefraudeerd wordt is het nog steeds winst. Als er nieuws naar buiten komt dan heeft dat een kans de geloofwaardigheid van het product aan te tasten en dan verdampt je winst.
[...]
Mijn bank staat garant voor pinfraude (volgens mij elke bank), voordat ze iets uitkeren zullen ze er wel van gehoord moeten hebben.
Dat is exact wat ik bedoel. De bank moet er wel van gehoord hebben en aangezien de bank weinig private onderzoeksmiddelen (en mogelijkheden) heeft gebeurt dat in de vorm van een aangifte bij de politie zodat die ook gelijk het onderzoek doet etc.

En de bank hoort er dus wel van, maar krijgt geen enkele concrete melding binnen (want die krijgt de politie, al zou je een officiele melding proberen te maken bij je bank alsnog zullen ze je doorverwijzen naar de politie)
[...]
Hoe verklaar je dan dat je zo veel dingen kan vinden over vals geld? Dat loopt immers ook niet uit de hand.
Omdat er op echt geld zoveel verplichtingen etc etc etc zitten dat daar tegenwoordig geen winst meer op te halen is.

Heel simpel gezegd levert elke pin-transactie vs cash-transactie voor de bankwereld (dus jouw bank, equens, swift etc) grofweg 5 cent op. En dat is nog buiten apparatuur-kosten en abbonnementen etc. etc. etc.
Denk eens na over hoeveel pin-transacties er op jaarbasis zijn en je komt op een mooi getal uit.

En naast iets heel simpels als de transactiekosten zitten er aan pinnen praktisch gezien geen extra kosten (de digitale achtergrond moet er toch al zijn heden ten dage) terwijl cash-geld allerlei extra verplichtingen met zich meebrengt in de vorm van betalen voor fysieke muntjes en biljetjes aan de Europese bank etc.

Daarnaast weet ik niet hoe oud jij bent, maar ik ben opgegroeid met dat ik regelmatig (zeg 1x per week) naar de bank ging om geld te halen bij een balie met een medewerker erachter, enig idee hoeveel personeelskosten dit banken scheelt?

En dan zit je je nog af te vragen waarom de bank negatief nieuws over pinnen wil onderdrukken en negatief nieuws over cash-geld bijna promoot?
Al met al komt het naar mij een beetje aluhoedje en dus heel erg onrealistisch over wat je hier probeert voor te spiegelen.
Een algemene discussie over cash vs pinnen gaat al snel richting aluhoedje, omdat dan opeens de meeste partijen voordelen en nadelen hebben en het maar net de vraag is hoe je die neerlegt en hoe je de gevolgen ervan uitlegt (voor menig ondernemer scheelt het bijv gewoon tijd qua geld-tellen en risico qua overvallen etc).

Alleen puur vanuit de banken gezien is het een heel super simpel verhaal, het is een gigantische cash-cow met voor hun alleen maar voordelen en geen nadelen zolang de bevolking er maar in blijft geloven.

maandag 25 juni 2018 02:25

Acties:
  • +1 Henk 'm!
  • Richh
  • Registratie: Augustus 2009
  • Laatst online: 01:28

Richh

Gomez12 schreef op maandag 25 juni 2018 @ 01:33:
[...]

Kosten-baten analyse. Zolang een bank er meer mee verdient dan er gefraudeerd wordt is het nog steeds winst. Als er nieuws naar buiten komt dan heeft dat een kans de geloofwaardigheid van het product aan te tasten en dan verdampt je winst.


[...]

Dat is exact wat ik bedoel. De bank moet er wel van gehoord hebben en aangezien de bank weinig private onderzoeksmiddelen (en mogelijkheden) heeft gebeurt dat in de vorm van een aangifte bij de politie zodat die ook gelijk het onderzoek doet etc.

En de bank hoort er dus wel van, maar krijgt geen enkele concrete melding binnen (want die krijgt de politie, al zou je een officiele melding proberen te maken bij je bank alsnog zullen ze je doorverwijzen naar de politie)


[...]

Omdat er op echt geld zoveel verplichtingen etc etc etc zitten dat daar tegenwoordig geen winst meer op te halen is.

Heel simpel gezegd levert elke pin-transactie vs cash-transactie voor de bankwereld (dus jouw bank, equens, swift etc) grofweg 5 cent op. En dat is nog buiten apparatuur-kosten en abbonnementen etc. etc. etc.
Denk eens na over hoeveel pin-transacties er op jaarbasis zijn en je komt op een mooi getal uit.

En naast iets heel simpels als de transactiekosten zitten er aan pinnen praktisch gezien geen extra kosten (de digitale achtergrond moet er toch al zijn heden ten dage) terwijl cash-geld allerlei extra verplichtingen met zich meebrengt in de vorm van betalen voor fysieke muntjes en biljetjes aan de Europese bank etc.

Daarnaast weet ik niet hoe oud jij bent, maar ik ben opgegroeid met dat ik regelmatig (zeg 1x per week) naar de bank ging om geld te halen bij een balie met een medewerker erachter, enig idee hoeveel personeelskosten dit banken scheelt?

En dan zit je je nog af te vragen waarom de bank negatief nieuws over pinnen wil onderdrukken en negatief nieuws over cash-geld bijna promoot?


[...]

Een algemene discussie over cash vs pinnen gaat al snel richting aluhoedje, omdat dan opeens de meeste partijen voordelen en nadelen hebben en het maar net de vraag is hoe je die neerlegt en hoe je de gevolgen ervan uitlegt (voor menig ondernemer scheelt het bijv gewoon tijd qua geld-tellen en risico qua overvallen etc).

Alleen puur vanuit de banken gezien is het een heel super simpel verhaal, het is een gigantische cash-cow met voor hun alleen maar voordelen en geen nadelen zolang de bevolking er maar in blijft geloven.
toon volledige bericht
Ik vind het een hele leuke denkwijze, maar ik geloof er simpelweg helemaal niks van dat banken 'al die pinfraudes' onder het tapijt kunnen schuiven omdat ze zoveel geld aan het pinnen verdienen.

Anno 2018 is het met social media nogal lastig om dit soort dingen verborgen te houden. Ik ken niemand die de dupe is geworden van pinfraude. Als dat serieus een ding was, dan had ik dat wel op een verjaardagsfeestje gehoord ofzoiets. Verhalen over vals geld ken ik wel. Ook hier op Tweakers zijn er genoeg verhalen over.
Hier op Tweakers is er geen bank die dingen verborgen weet te houden, toch lees je hier niks over geskimde Tweakers. Of... zit Tweakers ook in het complot? :+

Ik snap heus wel dat de bank voordelen kent aan het pinnen. Ja, het is goedkoper om 0,001% pinfraude te vergoeden, dan om duizenden werknemers in dienst te houden. Ja, natuurlijk is het voor banken een simpel verhaal zolang de consument (en de ondernemer) het ook wil.
Maar dat is geen enkele reden om aan te tonen dat het pinnen daadwerkelijk niet deugt. Het gaat me veel te ver om daaruit gelijk te concluderen dat er wel fraude móét zijn (wie, wat, waar, wanneer dan?) en dat banken dit als een soort samenzwering bewust proberen te verbergen.

Je hebt geen enkel argument genoemd waaruit blijkt waarom die banken niet gewoon de waarheid spreken, en dat er daadwerkelijk amper tot geen pinfraude is. Ook in deze reactie niet. Vandaar dat ik over aluhoedjes begon.
En dan zit je je nog af te vragen waarom de bank negatief nieuws over pinnen wil onderdrukken en negatief nieuws over cash-geld bijna promoot?
Ik ben dan ook gigantisch benieuwd hoe je dit soort stellingen kan onderbouwen. Welk nieuwsbericht hebben banken onlangs onderdrukt? En welk negatieve nieuws over cash hebben ze onlangs gepromoot?

☀️ 4500wp zuid | 🔋MT Venus 5kW | 🚗 Tesla Model 3 SR+ 2020 | ❄️ Daikin 3MXM 4kW

maandag 25 juni 2018 06:30

Acties:
  • 0 Henk 'm!
  • T_E_O
  • Registratie: Oktober 1999
  • Laatst online: 10-05 23:04

T_E_O

fsfikke schreef op zondag 24 juni 2018 @ 23:43:
[...]

Hè? Denk je echt dat een PIN terminal de bank “belt” om de PIN-code te checken? Dat gebeurt gewoon lokaal op de chip van je PIN-pas. Of denk je dat je Rabo-reader ook eerst inbelt als je je code invoert ;)
Dat ligt nét iets gecompliceerder; ik kan van m'n bunq-pinpas namelijk de PIN in de app wijzigen, dus dan zal de PIN terminal toch online moeten zijn.

maandag 25 juni 2018 07:46

Acties:
  • +1 Henk 'm!
  • Sissors
  • Registratie: Mei 2005
  • Niet online

Sissors

Normaal wordt het lokaal gechecked, zo kan je rabo kastje ook gewoon je pincode checken zonder te bellen (of nou ja, je pinpas checkt die dus zelf), maar als je meer dan €50 draadloos pint, dan geef je ook nadat je je pasje ervoor hebt gehouden je pincode in, dus dat zal gehashed worden en verstuurd worden naar de bank gok ik.
Gomez12 schreef op maandag 25 juni 2018 @ 00:36:
[...]

Als ik de dingen die hier gepost wordt zie dan is het totaal geen kunst om het plastic te slopen aan te passen en nieuw plastic eromheen te doen.
Dat schrijf ik toch ook? Ja je kan in principe een ander display ervoor doen. Overigens weet ik niet hoe makkelijk het is te slopen, goede kans dat er wel detectie op zit tegen inbraak.
[...]

Als die theorie zou werken dan zou er geen fraude meer via een bank plaatsvinden. Echter vind er over de hele wereld nog levendige fraude via banken plaats, de praktijk is hier totaal iets anders als de theorie die jij schetst.

Je gooit er een money mule tussen, laat het via een aantal landen verlopen en voor de banken is het gewoon kwijt (kosten van opsporen steken niet meer af tegen de baten).
Heel veel fraude wordt ook gedetecteerd op tijd, en daardoor de transactie bevroren. Hoeveelheid geld die verdwijnt door fraude valt reuze mee in Nederland (laten we ons op Nederland richten hier). Het wordt vast allemaal in de doofpot gestopt door een complot van de banken, maar tot ik daar bewijs voor zie, ga ik op hun getallen af: https://www.nvb.nl/thema-s/veiligheid-fraude/586/fraude.html. Dat zijn hoeveelheden die totaal in het niet vallen tov hoeveel geld er in ons betalingsverkeer om gaat.

En hoeveel money mules je er ook tussen stopt, die terminal zit nog steeds aan één tegenrekening vast. En hoeveel jongelui denk je precies dat er een zakelijke rekening hebben waar ze zo'n apparaat aan kunnen hangen, en wanhopig genoeg voor geld zijn dat ze katvanger worden? Denk niet veel.
En dan heb je een paar duizend buitgemaakt, en moet je het nog via buitenlandse banken sturen, je katvanger wat betalen, etc. Blijft weinig over.
[...]

De banken houden dit soort berichten ook gewoon achter etc. Oftewel dat je er niets van hoort zegt niets.

Of ze geven er een draai aan zoals in jouw bericht...
Want denk nou zelf eens na over wat je bold hebt gemaakt. Als jou dat zou overkomen zou jij dan een officiele melding bij je bank doen of een officiele melding bij de politie?
Ik zou naar de bank bellen om mijn rekening te bevriezen (maar dat is geen melding van contactloos zakkenrollen) en daarna naar de politie gaan om aangifte te doen.
Oftewel van mij zou de bank ook nooit een melding krijgen.

Je ziet pas een nieuwsbericht als het totaal en dan ook echt totaal uit de hand gelopen is. Niet eerder.
Wat een onzin. Je zou dat binnen drie seconde op Facebook zien. (Los van alle broodje aap verhalen die nu rondgaan). En vijf seconde later op Hart van Nederland.
En geen officiele melding bij je bank doen? Iedereen zou dat direct doen. Wat in hemelsnaam het nut zou zijn van je bankpas/rekening bevriezen ontgaat mij (immers het kwaad is al geschiet, en ze kunnen niet meer transacties doen). Wat je wel zou doen is de bank bellen om te vertellen dat je gefraudeerd is, omdat je je geld terug wil.

maandag 25 juni 2018 08:29

Acties:
  • 0 Henk 'm!
  • 3dfx
  • Registratie: Maart 2001
  • Niet online

3dfx

Mobiele PIN-terminals bestaan al sinds eind jaren '90 maar sommigen reageren alsof ze voor het eerst een trein zien _O-

Het is waar dat er meer aanbieders van die appaatjes zijn die met een smartphone werken ipv. standalone, maar bijv. Transavia gebruikt het ook al jaren in hun vliegtuigen (alleen hebben zij ipv. een smartphone in de hand een tablet op de trolley).

Als je ergens met een vaste pin-terminal betaalt kan er ook wat mee gerommeld zijn.

En van een (letterlijk) spastische kennis die onhandig haar pin aan het intoetsen was bij het afrekenen in de supermarkt, is gewoon meegekeken en later is ze 2x door 2 verschillende oosteuropese koppels "de weg gevraagd"....
Eenmaal thuis bleek haar portemonnee incl. bankpas gejat te zijn uit haar tas, en toen ze gelijk de bank belde bleek er al in totaal 1250 mee opgenomen zijn bij 3 verschillende geldautomaten...

In het buitenland kun je soms niet met pin betalen als je een nederlandse bankpas hebt, maar wel met je creditcard. Hoeveel fraude daarmee niet mogelijk is...
Reptile209 schreef op zondag 24 juni 2018 @ 22:48:
[...]
Hoe kom je daar als gebruiker nou ooit achter?
Niet...

Want ook al ken je de "goedgekeurde" types uit je hoofd, er kan altijd wat nagemaakt zijn, of er kan een nieuw legitiem model uitkomen dat je dan ten onrechte wantrouwt.

Oftewel, beveiligen doe je zelf: let op bij het intoetsen op meegluurders, en ga na hoeveel je op een gemiddelde dag betaalt via pin, en stel dat in als limiet.
Kan bij de meeste banken heel makkelijk via de website.

Iets als 200 euro lijkt me voor de meeste dagen meer dan voldoende: boodschappen, tanken, bosje bloemen, ergens wat eten/drinken.
En ga je wat duurders aanschaffen (wasmachine, auto, laptop) dan verhoog je de limiet tijdelijk.

Moraal van het verhaal: pinnen is altijd en hoe dan ook een risico ;)

maandag 25 juni 2018 09:14

Acties:
  • 0 Henk 'm!
  • Olaf van der Spek
  • Registratie: September 2000
  • Niet online

Olaf van der Spek

Sissors schreef op zondag 24 juni 2018 @ 22:57:
Zou je een pin terminal in theorie kunnen aanpassen dat er een ander bedrag op het displaytje staat dan wat je pint? Yep. Al helemaal met degene die aan een tablet zitten zonder eigen display natuurlijk. Maar dan kom je op hetzelfde verhaal uit als het idee om met een draadloze pin terminal stiekem draadloos van mensen af te schrijven: Binnen no-time detecteert de bank het (ofwel door klachten, ofwel door algorithmes. Als ineens mensen €1000 beginnen te pinnen bij een taxi of kapper klopt er iets niet), wordt de tegenrekening geblokkeerd, mensen schadeloos gesteld, en die persoon staat op de lijst gezochte misdadigers, waarschijnlijk nog voor hij een cent van die tegenrekening heeft kunnen opnemen.
Toch is dit bijna precies wat een tijdje geleden in https://www.sbs6.nl/programmas/oplichters-in-het-buitenland/ langs kwam. Weet alleen niet of daar de terminal was aangepast of dat er gewoon 1800 in plaats van 18,00 euro werd ingevuld.

maandag 25 juni 2018 09:31

Acties:
  • 0 Henk 'm!
  • Raven
  • Registratie: November 2004
  • Niet online

Raven

Marion Raven fan

Richh schreef op zondag 24 juni 2018 @ 23:22:
Ik kan me eerlijk gezegd geen enkel nieuwsbericht herinneren waarbij er onrechtmatig gebruik gemaakt wordt van een pinapparaat. Skimmen met creditcards komt vooral in de US regelmatig voor, maar hier in Nederland is er volgens mij weinig aan de hand.

https://www.trouw.nl/same...ig-maar-ook-eng~a39d7b1a/

[...]


Ook voor kwaadwillenden lijkt het mij makkelijker om een bankpagina na te bouwen dan met eigen hardware te gaan klooien. Waarschijnlijk veel effectiever en een stuk minder risicovol.

Laten we daarnaast vooral niet vergeten dat het alternatief wat door de tegenstanders graag wordt aangedragen, contant geld, verre van risicoloos is. Als ik op Google News naar 'vals geld' zoek, kan je vrijwel dagelijks een nieuwsbericht vinden wat daar te maken mee heeft
https://www.google.nl/sea...BCPcCKAE&biw=1920&bih=908
"De banken hebben nog niet één keer een melding gehad van iemand die door contactloos zakkenrollen is bestolen."

En hoe weten we of dat daadwerkelijk zo is? :? Het lijkt mij namelijk wel een erg makkelijke manier voor zakkenrollen, zou het vreemd vinden dat daar nog geen misbruik van wordt gemaakt.

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde

maandag 25 juni 2018 09:35

Acties:
  • 0 Henk 'm!
  • PetervdM
  • Registratie: Augustus 2007
  • Niet online

PetervdM

TommyboyNL schreef op zondag 24 juni 2018 @ 18:49:
... maar zonder de originele pas kunnen ze daar niks mee.
reken er maar niet op. zoek maar eens op "shimmer" of lees het artikel daarover op techcrunch: https://techcrunch.com/20...o-grab-chippin-card-data/
daarnaast kunnen deze shimmers soms emv 1.0 verkeer afdwingen - zonder encryptie tussen reader en card - om compatible te blijven met vooral us cards. in dat geval is nog meer data te vergaren, óók de pincode.

maandag 25 juni 2018 09:46

Acties:
  • 0 Henk 'm!
  • Eagle Creek
  • Registratie: Oktober 2002
  • Laatst online: 22:44

Eagle Creek

Breathing security

Reptile209 schreef op zondag 24 juni 2018 @ 21:00:
[...]

Zou je bijna bewust eerst een foute pin moeten invoeren om te verifiëren dat die wordt afgekeurd. Dan praten ze in ieder geval met de bank en is het geen dummy-transactie.
Wat bedoel je hiermee?

~ Information security professional & enthousiast ~ EC Twitter ~

maandag 25 juni 2018 09:47

Acties:
  • +1 Henk 'm!
  • Helixes
  • Registratie: Juni 2010
  • Laatst online: 02-05 13:46

Helixes

TommyboyNL schreef op zondag 24 juni 2018 @ 18:49:
Zoals @Sissors als zegt; dankzij de EMV chip is het niet meer mogelijk om je pas te skimmen. Het is uiteraard nog altijd mogelijk om je PIN code te ontfrutselen, maar zonder de originele pas kunnen ze daar niks mee.
Nou...

Toestemming nodig voor bekijken van YouTube

Op deze plek staat ingesloten content die van YouTube afkomstig is. Het tonen van deze inhoud kan ertoe leiden dat YouTube persoonlijke gegevens zoals je IP-adres verwerkt en/of cookies op jouw computer of ander apparaat zet. Hiervoor moet je eerst expliciet toestemming geven voor Sociale media.

Bekijk op YouTube
Chip & PIN Fraud Explained - Computerphile


Ik heb in het verleden voor een bank gewerkt en in die rol had ik nog wel eens contact met de fraude desk. Voor zover het de emv chip betrof was de stelling van de bank hard: er was geen fraude mogelijk met de emv chip. Dus, wanneer er een onbekende transactie was met een emv pas, dan kon het niet anders zijn dat je de pas en pin gedeeld had met een derde. En dat is eigen risico.

Dat is een paar jaar geleden, en ik weet niet zeker wat er intussen gebeurd is. Maar neen - er bestaat geen veilige beveiliging. Er is altijd wel een slimme Rus die iets verzint.

License to use this text for use in LLM-related products and services can be purchased for €1.000

maandag 25 juni 2018 10:26

Acties:
  • 0 Henk 'm!
  • celshof
  • Registratie: December 2009
  • Laatst online: 01:34

celshof

Reptile209 schreef op zondag 24 juni 2018 @ 21:00:
[...]
Zou je bijna bewust eerst een foute pin moeten invoeren om te verifiëren dat die wordt afgekeurd. Dan praten ze in ieder geval met de bank en is het geen dummy-transactie.
Dat is niet waar. Meeste transacties maken gebruik van offline PIN controle, dus door de chip zelf. Alleen bij geldautomaten weet je zeker dat de check door je bank is gedaan, omdat bij ATM de PIN verplicht naar je bank moet.
Jeroenneman schreef op zondag 24 juni 2018 @ 22:41:Als fraudeur zou ik het veel aantrekkelijker vinden om zo'n kastje na te bouwen, dan krijg je ook minder wantrouwende klanten, immers, er was niets anders dan normaal op het eerste gezicht.
Maar hoe wil je dan fraude plegen? Tuurlijk, je hebt wellicht track gegevens en misschien zelfs een pincode, maar je krijgt pas geld als je transacties gecleared krijgt en dat zal via de officiele weg moeten.
Reptile209 schreef op zondag 24 juni 2018 @ 23:03:
Ok, ik denk dat ik daar dus inderdaad naar op zoek was: de bevestiging dat inderdaad niet zomaar iedere Piet Snot een terminal kan bouwen om daar vervolgens gekke transacties mee uit te voeren. Had ik ergens ook wel kunnen bedenken, met name het deel dat de bank een actieve rol speelt in het [i]accepteren\[/í] van verbindingen en transacties voor een bepaalde terminal en rekeninghouder.
De bank is echter niet de partij die hier naar kijkt. Die zullen wel elke transactie geautoriseerd moeten hebben (of een andere partij namens hen), []imaar[/i] dat is omdat op onze passen normaal gezien het maximum bedrag om een transactie voor te doen zonder dat de bank/issuer akkoord is €0,- is.
De terminal zal echter wel aan het transactie netwerk moeten hangen en dus geaccepteerd door de acquirer die achter de merchant zit en verderop door Mastercard of VISA (afhankelijk van je pas)[quote][b]
fsfikke schreef op zondag 24 juni 2018 @ 23:43:
[...]Hè? Denk je echt dat een PIN terminal de bank “belt” om de PIN-code te checken? Dat gebeurt gewoon lokaal op de chip van je PIN-pas. Of denk je dat je Rabo-reader ook eerst inbelt als je je code invoert ;)
Ligt aan de instellingen van de gebruikte terminal en bepaalde settings op de pas. 8 tot 10 jaar geleden gebeurde dit inderdaad altijd wel. Althans, er werd een geencrypte code naar je bank gestuurd voor pin verificatie.
T_E_O schreef op maandag 25 juni 2018 @ 06:30:
[...]

Dat ligt nét iets gecompliceerder; ik kan van m'n bunq-pinpas namelijk de PIN in de app wijzigen, dus dan zal de PIN terminal toch online moeten zijn.
Hij zal een keer online moeten gaan om van Bunq de nieuwe code te ontvangen inderdaad. Daarna kan de pas in theorie weer offline de PIN controleren. Het zou ook kunnen dat Bunq offline PIN controle helemaal uit heeft staan.
PetervdM schreef op maandag 25 juni 2018 @ 09:35:
[...]

reken er maar niet op. zoek maar eens op "shimmer" of lees het artikel daarover op techcrunch: https://techcrunch.com/20...o-grab-chippin-card-data/
daarnaast kunnen deze shimmers soms emv 1.0 verkeer afdwingen - zonder encryptie tussen reader en card - om compatible te blijven met vooral us cards. in dat geval is nog meer data te vergaren, óók de pincode.
Dat is wel link natuurlijk. Al kun je dan nog heel weinig met de kaart om een paar redenen:
- Voor EMV moet elke keer een nieuw cryptogram berekend worden. De data die je hebt is na de transactie dus meteen waardeloos
- Je kunt meestal geen gebruik maken van een magneetstrip terminal, omdat de magneetstrip vaak een andere sleutel gebruikt dan de chip voor pin encryptie. En de sleutel die op de chip staat is vaak niet geschikt voor magneetstrip transacties, dus die gaat gewoon niet werken.

maandag 25 juni 2018 10:26

Acties:
  • 0 Henk 'm!
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 23:11

Reptile209

- gers -

Topicstarter
Eagle Creek schreef op maandag 25 juni 2018 @ 09:46:
[...]

Wat bedoel je hiermee?
Een naïve mitm-attack die ik kan bedenken, is dat je terminal helemaal geen terminal is, maar alleen probeert om je PIN te vinden. Dus je stopt je kaart er in, voert je PIN in, drukt op OK en de transactie is geslaagd. Alleen is er helemaal geen transactie, maar het apparaat weet nu wel je PIN. En hij doet net alsof een betaling geslaagd is. Nu hebben ze alleen nog je pas (vroeger alleen een kopie magneetstrip) nodig om namens jou te kunnen pinnen.

Door opzettelijk eerst een foute PIN in te voeren, kan je checken dat het apparaat op z'n minst in staat is om met jouw pas en/of de bank te praten. Want als die foute PIN wordt geaccepteerd (apparaat is te dom om met chip te praten en onveilig dus kan niet met de bank praten), dan weet je dat er iets mis is. Dat zou de drempel wat kunnen verhogen om niet in scams te trappen. Wel een risico dat je sneller over je 3 pogingen heen gaat :D.
Helixes schreef op maandag 25 juni 2018 @ 09:47:
[...]

Ik heb in het verleden voor een bank gewerkt en in die rol had ik nog wel eens contact met de fraude desk. Voor zover het de emv chip betrof was de stelling van de bank hard: er was geen fraude mogelijk met de emv chip. Dus, wanneer er een onbekende transactie was met een emv pas, dan kon het niet anders zijn dat je de pas en pin gedeeld had met een derde. En dat is eigen risico.

Dat is een paar jaar geleden, en ik weet niet zeker wat er intussen gebeurd is. Maar neen - er bestaat geen veilige beveiliging. Er is altijd wel een slimme Rus die iets verzint.
Dat is de essentie volgens mij. Bij iedere betaling deel je namelijk je pas en pin met een derde, want zo werkt de betaling nou eenmaal (jeeey contactloos!). En er is geen middel voor de consument om het apparaat te valideren. Dus moet je maar vertrouwen dat de bank z'n huiswerk gedaan heeft met het valideren van de apparaten, en dat er geen andere hacks plaatsvinden zoals genoemd in je video.

Zo scherp als een voetbal!

maandag 25 juni 2018 10:46

Acties:
  • +1 Henk 'm!
  • Sissors
  • Registratie: Mei 2005
  • Niet online

Sissors

Raven schreef op maandag 25 juni 2018 @ 09:31:
[...]

"De banken hebben nog niet één keer een melding gehad van iemand die door contactloos zakkenrollen is bestolen."

En hoe weten we of dat daadwerkelijk zo is? :? Het lijkt mij namelijk wel een erg makkelijke manier voor zakkenrollen, zou het vreemd vinden dat daar nog geen misbruik van wordt gemaakt.
Hoe denk jij aan een contactloze payment terminal te gaan komen? En dan specifiek eentje die aan een tegenrekening is gekoppeld, anders kan je er niks mee. Dat is het hele punt, dat lukt je niet zomaar. Zal ook niet heel moeilijk zijn, maar dan heb je dus eerst een kopie van je ID moeten laten zien al bij een bank. Dat kan wel een false zijn, maar dan hebben ze nog steeds je foto op zijn minst. En waarschijnlijk voor je een cent van die tegenrekening hebt afgehaald is het al geblokkeerd.
Reptile209 schreef op maandag 25 juni 2018 @ 10:26:
[...]

Een naïve mitm-attack die ik kan bedenken, is dat je terminal helemaal geen terminal is, maar alleen probeert om je PIN te vinden. Dus je stopt je kaart er in, voert je PIN in, drukt op OK en de transactie is geslaagd. Alleen is er helemaal geen transactie, maar het apparaat weet nu wel je PIN. En hij doet net alsof een betaling geslaagd is. Nu hebben ze alleen nog je pas (vroeger alleen een kopie magneetstrip) nodig om namens jou te kunnen pinnen.
Uhuh. En het hele punt is dus dat ze je pas nodig hebben. Een pincode is niet zo moeilijk om achter te komen, ook met een normaal apparaat. Kijk een beetje over de schouder mee ruwweg welke beweging hij maakt met zijn vingers, en zorg dat hij goed was schoongemaakt vooraf, dan kan je zo zien als je een beetje moeite doet welke toetsen zijn ingedrukt.
Dat is de essentie volgens mij. Bij iedere betaling deel je namelijk je pas en pin met een derde, want zo werkt de betaling nou eenmaal (jeeey contactloos!). En er is geen middel voor de consument om het apparaat te valideren. Dus moet je maar vertrouwen dat de bank z'n huiswerk gedaan heeft met het valideren van de apparaten, en dat er geen andere hacks plaatsvinden zoals genoemd in je video.
Je deelt je pas niet met een derde. De transactie wordt naar je pas gestuurd, die valideert het en ondertekend het cryptografisch, en dat wordt naar de bank gestuurd. Er wordt geen (belangrijke) pas data naar de terminal gestuurd.

maandag 25 juni 2018 12:01

Acties:
  • 0 Henk 'm!
  • williamvdh
  • Registratie: Oktober 2003
  • Laatst online: 08-05 00:01

williamvdh

Heb met stijgende verbazing dit topic gelezen. Deze kastjes bestaan al jááren en worden al jaren gebruikt. Daarom wel een beetje een apart onderwerp op Tweakers, met deze mate van achterdocht.

Ik heb zelf ook enkele van deze kastjes gehad. Als je er 1 wilt moet je door allerlei hoepeltjes springen en allerlei gegevens delen en contracten tekenen. Waarom zouden deze kastjes onveiliger zijn dan andere? Omdat je die andere kastjes "kent"? De genoemde bedrijven zijn allemaal al "household brands", en wisten jullie dat Adyen (ja, dat bedrijf dat nu naar de beurs is en miljarden waard is) ook jarenlang deze kastjes heeft aangeboden?

Uiteindelijk draait het allemaal om vertrouwen: Vertrouw jij de eigenaar van het pinapparaat dat je betaalt wat je hem/haar verschuldigd bent, en vertrouw jij dat de eigenaar er alles aan doet om skimmen te voorkomen. Wel kastje of welke wijze hij ook aanbiedt. Vertrouw je hem/haar niet koop je toch lekker niets.

maandag 25 juni 2018 12:47

Acties:
  • 0 Henk 'm!
  • MeZZiN
  • Registratie: Augustus 2002
  • Laatst online: 04-05 13:17

MeZZiN

Wij hebben zelf deze geregeld:

Afbeeldingslocatie: https://static.webshopapp.com/shops/065593/files/084756383/750x1000x2/mypos-combo-mobiele-pinautomaat-sim-wifi-nfc.jpg

Het is omdat ik eigenlijk de meeste alternatieven ken vanwege mijn zoektocht naar een betaalbare pin oplossing. Je wilt niet weten hoe duur de bank geleverde pin automaten zijn.

Maar die kleine kastjes zijn ook super duur de transactie kosten zijn extreem hoog. Als je een beetje omzet heb gaat het over een paar duizend euro per jaar alleen aan transactie kosten.

Maar goed simpel gezegd. Ik vind alle kastjes die niet laten zien wat het bedrag is niet fijn. en kies liever een met scherm en mogelijkheid van bon toch wel prettig dat het goed gaat.

[ Voor 5% gewijzigd door MeZZiN op 25-06-2018 13:26 ]

maandag 25 juni 2018 13:16

Acties:
  • 0 Henk 'm!
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 23:11

Reptile209

- gers -

Topicstarter
williamvdh schreef op maandag 25 juni 2018 @ 12:01:
Heb met stijgende verbazing dit topic gelezen. Deze kastjes bestaan al jááren en worden al jaren gebruikt. Daarom wel een beetje een apart onderwerp op Tweakers, met deze mate van achterdocht.

Ik heb zelf ook enkele van deze kastjes gehad. Als je er 1 wilt moet je door allerlei hoepeltjes springen en allerlei gegevens delen en contracten tekenen. Waarom zouden deze kastjes onveiliger zijn dan andere? Omdat je die andere kastjes "kent"? De genoemde bedrijven zijn allemaal al "household brands", en wisten jullie dat Adyen (ja, dat bedrijf dat nu naar de beurs is en miljarden waard is) ook jarenlang deze kastjes heeft aangeboden?

Uiteindelijk draait het allemaal om vertrouwen: Vertrouw jij de eigenaar van het pinapparaat dat je betaalt wat je hem/haar verschuldigd bent, en vertrouw jij dat de eigenaar er alles aan doet om skimmen te voorkomen. Wel kastje of welke wijze hij ook aanbiedt. Vertrouw je hem/haar niet koop je toch lekker niets.
Nouja, misschien is dit ook wel het resultaat van 'security through obscurity' vanuit de banken: ik had oprecht geen idee welke hoepels er allemaal in dat systeem zitten. Ik moet van mijn bank heel zorgvuldig met pas & pin omgaan, maar tegelijk wordt gepromoot om zo veel mogelijk te pinnen. Die twee botsen met elkaar op het puntje vertrouwen: ik kan op geen enkele objectieve manier nagaan of het terecht is dat ik iemand vertrouw (of wantrouw). Soms kan je zelfs niet eens goed zien welk bedrag je nu authoriseert.

Bij een SSL certificaat kan je een hele chain nalopen als je dat wil. Bij verkiezingen loopt alles openbaar en transparant (in theorie althans). Zelfs contant geld kan je op een hele rits echtheidskenmerken controleren. Maar bij een pinbetaling kan dat allemaal niet en dat vind ik gek. Misschien juist wel het soort wantrouwen dat je bij Tweakers zou verwachten :P.

Zo scherp als een voetbal!

maandag 25 juni 2018 13:24

Acties:
  • 0 Henk 'm!
  • celshof
  • Registratie: December 2009
  • Laatst online: 01:34

celshof

Sissors schreef op maandag 25 juni 2018 @ 10:46:
[...]
Je deelt je pas niet met een derde. De transactie wordt naar je pas gestuurd, die valideert het en ondertekend het cryptografisch, en dat wordt naar de bank gestuurd. Er wordt geen (belangrijke) pas data naar de terminal gestuurd.
Nou ja, je voert wel je pincode op de terminal in natuurlijk. Niet dat je daarvoor nou een hele terminal gaat nabouwen om af te vangen, gezien een simpel cameraatje het net zo goed doet, maar toch.
Bij een SSL certificaat kan je een hele chain nalopen als je dat wil. Bij verkiezingen loopt alles openbaar en transparant (in theorie althans). Zelfs contant geld kan je op een hele rits echtheidskenmerken controleren. Maar bij een pinbetaling kan dat allemaal niet en dat vind ik gek. Misschien juist wel het soort wantrouwen dat je bij Tweakers zou verwachten
controleer je bonnetjes maar eens. Daar staat een boel informatie op waarmee je prima in staat bent om een transactie door de hele keten te volgen. Misschien niet jij als burger, maar toch zeker de instellingen in het betalingsverkeer.

En vergis je niet, een verkoper wil dat alles klopt, want die moet uiteindelijk het geld van je bank gaan krijgen en hij kan de centen op zijn buik schrijven als er dingen mis zijn gegaan.
Als je bijvoorbeeld je bank simuleert door in te breken op de verbinding ga je niet in staat zijn om het cryptogram in het antwoord te genereren en als de pas dat aan de terminal meldt, zal de transactie teruggedraaid worden.

maandag 25 juni 2018 13:30

Acties:
  • 0 Henk 'm!
  • Xander
  • Registratie: Oktober 2002
  • Laatst online: 05:11

Xander

celshof schreef op maandag 25 juni 2018 @ 13:24:
[...]

controleer je bonnetjes maar eens. Daar staat een boel informatie op waarmee je prima in staat bent om een transactie door de hele keten te volgen.
Jammer genoeg komen uit de hier besproken apparaatjes ook geen bonnen meer...

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

maandag 25 juni 2018 13:33

Acties:
  • 0 Henk 'm!
  • Standeman
  • Registratie: November 2000
  • Laatst online: 22:21

Standeman

Prutser 1e klasse

williamvdh schreef op maandag 25 juni 2018 @ 12:01:
...

Uiteindelijk draait het allemaal om vertrouwen: Vertrouw jij de eigenaar van het pinapparaat dat je betaalt wat je hem/haar verschuldigd bent, en vertrouw jij dat de eigenaar er alles aan doet om skimmen te voorkomen. Wel kastje of welke wijze hij ook aanbiedt. Vertrouw je hem/haar niet koop je toch lekker niets.
Niet alleen vertrouwen, maar ook kennis van hoe de systemen in elkaar zitten.

Zo kan je zonder certificering door een EMVCo aangewezen partij (bijvoorbeeld UL Transaction Security) precies 0 transacties doen omdat de POS terminal gewoon het netwerk niet op komt. Verder zit de EMV 4.0 standaard zo dicht gespijkerd, dat het bijna onmogelijk is er mee te rotzooien.

Maar goed, niemand gaat voor z'n lol de EMV standaard lezen :p

The ships hung in the sky in much the same way that bricks don’t.

maandag 25 juni 2018 13:34

Acties:
  • 0 Henk 'm!
  • celshof
  • Registratie: December 2009
  • Laatst online: 01:34

celshof

Xander schreef op maandag 25 juni 2018 @ 13:30:
[...]

Jammer genoeg komen uit de hier besproken apparaatjes ook geen bonnen meer...
Laatste keer dat ik bij zo'n ding heb betaald werd gevraagd of ik het bonnetje naar mijn e-mailadres gestuurd wilde hebben. Dat kan dan dus kennelijk wel.
Standeman schreef op maandag 25 juni 2018 @ 13:33:
Maar goed, niemand gaat voor z'n lol de EMV standaard lezen :p
Oh nee? >:)
edit: en buiten EMV moet een terminal vaak ook gecertificeerd zijn voor het protocol en netwerk apart. Bijvoorbeeld C-TAP, zie http://www.acquiris.eu/

[ Voor 33% gewijzigd door celshof op 25-06-2018 13:36 ]

maandag 25 juni 2018 13:37

Acties:
  • 0 Henk 'm!
  • 3dfx
  • Registratie: Maart 2001
  • Niet online

3dfx

Xander schreef op maandag 25 juni 2018 @ 13:30:
[...]

Jammer genoeg komen uit de hier besproken apparaatjes ook geen bonnen meer...
Niet standaard, maar men kan wel een (bluetooth) printer eraan koppelen.
En anders kun je altijd nog desgewenst "het bonnetje" via SMS of email ontvangen.

maandag 25 juni 2018 13:40

Acties:
  • 0 Henk 'm!
  • Standeman
  • Registratie: November 2000
  • Laatst online: 22:21

Standeman

Prutser 1e klasse

celshof schreef op maandag 25 juni 2018 @ 13:34:
[...]

Laatste keer dat ik bij zo'n ding heb betaald werd gevraagd of ik het bonnetje naar mijn e-mailadres gestuurd wilde hebben. Dat kan dan dus kennelijk wel.

[...]
Oh nee? >:)
Ik heb delen moeten lezen van de "Personalisation Specification" dat slechts 100 pagina's bevat en delen van Book 2. Naar mijn mening moet je een bepaald vreemd masochist zijn wil je het voor je plezier doen. :p

The ships hung in the sky in much the same way that bricks don’t.

maandag 25 juni 2018 13:54

Acties:
  • 0 Henk 'm!
  • celshof
  • Registratie: December 2009
  • Laatst online: 01:34

celshof

Standeman schreef op maandag 25 juni 2018 @ 13:40:
[...]

Ik heb delen moeten lezen van de "Personalisation Specification" dat slechts 100 pagina's bevat en delen van Book 2. Naar mijn mening moet je een bepaald vreemd masochist zijn wil je het voor je plezier doen. :p
Merendeel lees ik ook voor mijn werk, maar toch zijn er momenten dat ik denk "goh, hoe zou dat nou zitten" en dan pak ik er eentje.

maandag 25 juni 2018 14:34

Acties:
  • 0 Henk 'm!
  • Richh
  • Registratie: Augustus 2009
  • Laatst online: 01:28

Richh

Olaf van der Spek schreef op maandag 25 juni 2018 @ 09:14:
Weet alleen niet of daar de terminal was aangepast of dat er gewoon 1800 in plaats van 18,00 euro werd ingevuld.
Het laatste ;)

☀️ 4500wp zuid | 🔋MT Venus 5kW | 🚗 Tesla Model 3 SR+ 2020 | ❄️ Daikin 3MXM 4kW

maandag 25 juni 2018 15:08

Acties:
  • +2 Henk 'm!
  • Keypunchie
  • Registratie: November 2002
  • Niet online

Keypunchie

alle pin terminals zijn door de bank geautoriseerd.
Niet helemaal correct. Er zit voor zover ik het begrijp (het is vrij complexe keten) altijd een schakel tussen: de (front-end) payment processor. In Nederland voor PIN doorgaans Maestro, maar in principe is het Europees gelijk getrokken, dus het kan iedere Europese payment processor zijn. Deze is het die de kaart autoriseert.

Dat doe hij/zij overigens wel door real-time informatie bij de bank op te vragen. Helaas is de bank niet altijd on-line. Dan is het afhankelijk van de afspraken. In Nederland zal voor de PIN-transacties (betaalautomaten) bijvoorbeeld Equens meestal als tussenpersoon optreden en op basis van bepaalde regels de transacties garanderen.

Overigens staat de daadwerkelijke boeking weer los van de betaling. Tot nu toe krijgt de verkopende winkelier namelijk niet het geld direct op de rekening. Er wordt een reservering op de rekening van de betaler aangemaakt en deze zal tzt. daadwerkelijk naar de winkelier gaan vloeien. Maar ook daar zitten tussenpersonen tussen en kunnen dagen overheen gaan.

Mocht je dus een "pin-fraudeur" hebben, dan moet hij onder de radar blijven van de klant, de bank van de klant, de card issuer, de payment processor en zijn eigen bank. Al die instanties hebben baat bij fraude-bestrijding.

Dit zorgt ervoor: je kunt eenmalig grote fraude plegen, of heel vaak kleine fraude, maar niet heel vaak grote fraude.

De fraude is daarom niet zozeer mensen die een "fake" pin-terminal hebben en al hun klanten foute bedragen laten pinnen. Het zijn eerder types die gewoon knollen voor citroenen verkopen. De taxi-chauffeur die simpelweg een stukje omrijdt is vele malen een groter probleem dan de taxi-chauffeur die zijn PIN-terminal hackt.

In het laatste geval heb je veel meer kans om te reclameren bij je bank, dan in het eerste!

maandag 25 juni 2018 15:14

Acties:
  • 0 Henk 'm!
  • Hann1BaL
  • Registratie: September 2003
  • Laatst online: 01-05 11:26

Hann1BaL

Do you stay for dinner?Clarice

Laten we duidelijk zijn dat het geen wilde westen is en iedereen maar alles van een rekening kan trekken.
Transacties lopen via payment providers zoals @Keypunchie ook al aangeeft. Equens doet bijvoorbeeld zeer veel pinverkeer. Banken controleren deze providers ook.

Daarnaast is dit topic zo te zien meer een "gevoelskwestie" dat een groot met kabel verbonden apparaat in een winkel minder gevoelig zou zijn dan een mobiel PIN apparaatje. Alleen lees ik nergens waarom dat zou zijn.

Deze zijn overigens nu al jaren in omloop en ik heb nog nergens gehoord dat er fraude op relatief grote schaal mee is gepleegd. Criminelen zouden dat meteen doen als dat zo eenvoudig zou zijn.

En we kennen genoeg voorbeelden waar dat wel mee gebeurd is:
Skimmen van passen bij pinautomaten bijvoorbeeld.

Het feit dat we al deze tijd nog weinig tot niets hebben gehoord geeft mij toch wel het vertrouwen in de betrouwbaarheid.

maandag 25 juni 2018 16:20

Acties:
  • +1 Henk 'm!
  • Hydra
  • Registratie: September 2000
  • Laatst online: 10-05 09:40

Hydra

williamvdh schreef op maandag 25 juni 2018 @ 12:01:
Heb met stijgende verbazing dit topic gelezen. Deze kastjes bestaan al jááren en worden al jaren gebruikt. Daarom wel een beetje een apart onderwerp op Tweakers, met deze mate van achterdocht.
Zonder kennis lopen blaten over iets is de normaalste zaak van de wereld op Tweakers hoor ;)

Verder helemaal met je eens. Die kastjes bestaan al jaren en het is technisch prima afgedicht. Het enige verschil tussen die kastjes en de 'gewone' bij de kassa is dat ze je telefoon gebruiken voor de verbinding. Die telefoon ziet niks van het verkeer; encryptie bestaat namelijk al een tijdje.

Dit is voor 99.99% afgedicht door de banken. En die laatste 0.01% vergoeden ze gewoon als het mistgaat.

https://niels.nu

vrijdag 29 juni 2018 16:58

Acties:
  • 0 Henk 'm!
  • PhWolf
  • Registratie: Januari 2008
  • Laatst online: 30-04 13:29

PhWolf

Hydra schreef op maandag 25 juni 2018 @ 16:20:
[...]


Zonder kennis lopen blaten over iets is de normaalste zaak van de wereld op Tweakers hoor ;)

Verder helemaal met je eens. Die kastjes bestaan al jaren en het is technisch prima afgedicht. Het enige verschil tussen die kastjes en de 'gewone' bij de kassa is dat ze je telefoon gebruiken voor de verbinding. Die telefoon ziet niks van het verkeer; encryptie bestaat namelijk al een tijdje.

Dit is voor 99.99% afgedicht door de banken. En die laatste 0.01% vergoeden ze gewoon als het mistgaat.
De kastjes zonder display bestaan vziw nog niet zo gek lang. Dat is waar dit topic vooral om gaat.
En die kastjes zijn imo wel degelijk fraudegevoeliger omdat je ter plekke geen enkele bevestiging krijgt dat er daadwerkelijk een legitieme transactie is gedaan.
Ja er kan ook geknoeid worden met kastjes die een display hebben. Toch vind ik het slecht dat ze zonder display uberhaupt worden toegestaan. Als je displays verplicht kun je namelijk naar een systeem toe waarbij het display bij het insteken van jouw pinpas een persoonlijk bericht toont dat jij hebt ingesteld bij de bank. Hierdoor weet je iig of er een beveiligde verbinding is.
In sommige landen (iig veel staten/steden in de VS) is het om die reden ook verplicht voor winkeliers om een display te hebben op hun POS.

zaterdag 30 juni 2018 10:40

Acties:
  • +1 Henk 'm!
  • BroWohsEdis
  • Registratie: Februari 2013
  • Laatst online: 29-01 22:53

BroWohsEdis

George Orwell was right.

Waar ik woon zijn alle pinautomaten (flappentap) langzaam aan het verdwijnen. Behoorlijk irritant.

"So that's how democracy dies, with a thunderous applause"

maandag 2 juli 2018 01:39

Acties:
  • 0 Henk 'm!
  • MainframeX
  • Registratie: September 2017
  • Laatst online: 00:21

MainframeX

PhWolf schreef op vrijdag 29 juni 2018 @ 16:58:
[...]


De kastjes zonder display bestaan vziw nog niet zo gek lang. Dat is waar dit topic vooral om gaat.
En die kastjes zijn imo wel degelijk fraudegevoeliger omdat je ter plekke geen enkele bevestiging krijgt dat er daadwerkelijk een legitieme transactie is gedaan.
Ja er kan ook geknoeid worden met kastjes die een display hebben. Toch vind ik het slecht dat ze zonder display uberhaupt worden toegestaan. Als je displays verplicht kun je namelijk naar een systeem toe waarbij het display bij het insteken van jouw pinpas een persoonlijk bericht toont dat jij hebt ingesteld bij de bank. Hierdoor weet je iig of er een beveiligde verbinding is.
In sommige landen (iig veel staten/steden in de VS) is het om die reden ook verplicht voor winkeliers om een display te hebben op hun POS.
Het display is in dit geval de telefoon/tablet/computer waar deze op aangesloten is. Als met het apparaat gerommeld is dan maakt een display op het apparaat zelf ook niets meer uit.

Mijn vriendin gebruikt al ruim een jaar een iZettle apparaat met groot succes. Het apparaat was goedkoop in aanschaf (17 euro), transactie kosten binnen acceptabele normen en makkelijk in gebruik. Veel beter dan de herkenbare mobiele 3g/4g pinapparaten die je in winkels en terrassen/restaurants nog geregeld tegenkomt; Deze zijn vaak absurd duur in de aanschaf (300-500 euro) en komen vaak ook weer met een of ander bullshit abonnement + kosten per transactie, qua kosten voor mijn ZZP'ende vriendin destijds niet haalbaar. Een ander bijkomend voordeel is dat de iZettle altijd razendsnel opstart in tegenstelling tot traditionele apparaten die er voor mijn gevoel een eeuwigheid over doen.

Ik ben blij dat de pin apparaten/POS markt eindelijk opengebroken is, dat werd tijd.

Idempotent.

maandag 2 juli 2018 11:34

Acties:
  • 0 Henk 'm!
  • celshof
  • Registratie: December 2009
  • Laatst online: 01:34

celshof

MainframeX schreef op maandag 2 juli 2018 @ 01:39:
[...]
Ik ben blij dat de pin apparaten/POS markt eindelijk opengebroken is, dat werd tijd.
Het is maar net hoe hoog je omzet is en uit hoeveel transacties die bestaat natuurlijk. Bij Worldline hebben ze bijv. een pakketprijs (dus inclusief terminal) voor €80/maand voor 250 pin transacties (CC laat ik even buiten beschouwing, want dat maakt het nodeloos ingewikkeld op dit moment). Als je zo'n 10 transacties per werkdag doet, haal je dat makkelijk binnen die 250 en daarna kosten ze €0.06/stuk
Als ik uitga van €15.000 omzet, dan betaal je bij iZettle 1,67%, dus €250.

Als je ook heel veel CC transacties hebt dan wordt het anders natuurlijk, omdat die apart zijn geprijsd bij Worldline (boven de €1000 betaal je 1,5% toeslag), terwijl iZettle die binnen het pakket heeft.

Bron: https://shop.worldline.nl...pakket/blue-line/m-start/

Qua opstartsnelheid heb je gelijk, maar zeker als je je WL terminal via WiFi laat lopen zal de transactiesnelheid een stuk lager zijn bij de iZettle verwacht ik.

maandag 2 juli 2018 13:22

Acties:
  • 0 Henk 'm!
  • PhWolf
  • Registratie: Januari 2008
  • Laatst online: 30-04 13:29

PhWolf

MainframeX schreef op maandag 2 juli 2018 @ 01:39:
[...]


Het display is in dit geval de telefoon/tablet/computer waar deze op aangesloten is. Als met het apparaat gerommeld is dan maakt een display op het apparaat zelf ook niets meer uit.
Die telefoon/tablet/computer is niet gericht naar de klant maar naar de aanbieder. Niet vergelijkbaar dus. Klanten zijn ook niet gewend om over de toonbank te kruipen en naar de display van de kassa te kijken of wel?
Zoals ik al zei, ja er kan sowieso mee gerommeld zijn, maar zonder display haal je elke mogelijkheid van verificatie van de legitimiteit van de verbinding en de transactie weg voor de betaler.

maandag 2 juli 2018 14:41

Acties:
  • 0 Henk 'm!
  • MainframeX
  • Registratie: September 2017
  • Laatst online: 00:21

MainframeX

PhWolf schreef op maandag 2 juli 2018 @ 13:22:
[...]
Die telefoon/tablet/computer is niet gericht naar de klant maar naar de aanbieder. Niet vergelijkbaar dus.
Klanten zijn ook niet gewend om over de toonbank te kruipen en naar de display van de kassa te kijken of wel?
In dat geval kan je toch vragen of ze het bedrag willen tonen of dat ze het scherm even bijdraaien? Overigens lijkt het me onwaarschijnlijk dat de aanbieder daar moeilijk over zou doen.
Zoals ik al zei, ja er kan sowieso mee gerommeld zijn, maar zonder display haal je elke mogelijkheid van verificatie van de legitimiteit van de verbinding en de transactie weg voor de betaler.
Dat display en zogenaamde verificatie is gewoon schijnveiligheid. Wat weerhoudt mij ervan om jou de afgesproken prijs van 10 euro te laten afrekenen en vervolgens op m'n aangepaste apparaat aan de achterkant 1000 euro van je rekening af te schrijven? Met ieder aangepast pinapparaat kan je je klanten neppen, of je een iZettle, CCV of Eijsink pinapparaat hebt.
celshof schreef op maandag 2 juli 2018 @ 11:34:
[...]
Het is maar net hoe hoog je omzet is en uit hoeveel transacties die bestaat natuurlijk. Bij Worldline hebben ze bijv. een pakketprijs (dus inclusief terminal) voor €80/maand voor 250 pin transacties (CC laat ik even buiten beschouwing, want dat maakt het nodeloos ingewikkeld op dit moment). Als je zo'n 10 transacties per werkdag doet, haal je dat makkelijk binnen die 250 en daarna kosten ze €0.06/stuk
Als ik uitga van €15.000 omzet, dan betaal je bij iZettle 1,67%, dus €250.
Precies. Ten tijde van de aanschaf hebben we alles even nagerekend en met het aantal transacties was iZettle op dat moment met afstand de goedkoopste.

[ Voor 25% gewijzigd door MainframeX op 02-07-2018 14:44 ]

Idempotent.

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq