Schuren jullie het pasnummer op je Rabobank pinpas eraf?

Ik vind dit wel heel logisch eigenlijk. Nooit bij stilgestaan zelf, maar vind het wel een goed punt. Als je nummer uit je hoofd kent, mooi weghalen. Kan dit toch niet vraag je gewoon een nieuwe pas aan.

Zoek eerst maar eens uit of je überhaupt wel zelf wijzigingen op de pas maken, vooraleer je allerhande fratsen gaat uithalen op de pas.

Pasnummer staat ook gewoon op een transactiebon als je pint... dat is zo te achterhalen dus.

Deze vulnerability is de reden dat ik bij rabobank weg ben gegaan.

Henk007 schreef op dinsdag 4 februari 2020 @ 21:09:
Deze vulnerability is de reden dat ik bij rabobank weg ben gegaan.

Inderdaad. Om deze reden houd ik en mijn vrouw geen grote bedragen spaargeld aan bij de Rabobank.

Rukapul schreef op dinsdag 4 februari 2020 @ 21:11:
[...]

Inderdaad. Om deze reden houd ik en mijn vrouw geen grote bedragen spaargeld aan bij de Rabobank.

Dat gaat mij ook goed af .

Rukapul schreef op dinsdag 4 februari 2020 @ 21:11:
[...]

Inderdaad. Om deze reden houd ik en mijn vrouw geen grote bedragen spaargeld aan bij de Rabobank.

Bij KNAB, Bunq, ING en ABN is het niet veel beter volgens mij? Ik zie ook niet in waarom dit een vulnerability is? Pas en pincode zijn al compromised, meer heb je elders überhaupt al niet nodig toch?

@BCC Ik heb de app bij ABN niet nodig als ik pas, pin en reader heb toch?

[ Voor 27% gewijzigd door FirePuma142 op 04-02-2020 21:18 ]

ABN Niet, die heeft een aparte pincode voor je app en en random reader.

BCC schreef op dinsdag 4 februari 2020 @ 21:16:
ABN Niet, die heeft een aparte pincode voor je app en en random reader.

ABN random reader heeft dezelfde pin als je gebruikt om geld te pinnen. Android applicatie heeft inderdaad wel een aparte code.

Denk dat dit een misverstand is, je pasnummer is geen onderdeel van je authenticatie maar dient alleen maar om onderscheid te maken tussen meerdere passen voor dezelfde rekening. Authenticeren doe je met iets wat je weet (je pincode) en iets wat je hebt (je pasje). Zonder pincode krijg je geen toegang tot de rekening en ook niet als je niet het pasje hebt. Het pasnummer speelt hier totaal geen rol in.

FirePuma142 schreef op dinsdag 4 februari 2020 @ 21:14:
[...]


Bij KNAB, Bunq, ING en ABN is het niet veel beter volgens mij?

Ik heb ook een ING rekening en dat is compleet anders: voor inloggen op internetbankieren heb je een los wachtwoord, een gepersonaliseerd token, en een aparte pincode nodig.

Kortom, niets gelijk aan wat je gebruikt bij betalen: pas met bijbehorende pincode.

[ Voor 14% gewijzigd door Rukapul op 04-02-2020 21:21 ]

Rukapul schreef op dinsdag 4 februari 2020 @ 21:18:
[...]

Ik heb ook een ING rekening en dat is compleet anders: voor inloggen op internetbankieren heb je een los wachtwoord, een gepersonaliseerd token, en een losse pincode (niet per se gelijk aan de pincode die je in combinatie met de pas gebruikt) nodig.

True, ik heb het wellicht niet goed verwoord: als je login compromised is ben je bij ING en de rest net zo hard de Sjaak als bij de Rabobank. Dat wil zeggen, bij de ING moet ik goedkeuren in de app, dat hoef ik elders niet. Hoewel ik KNAB en Bunq al een tijd niet actief in gebruik heb dus wellicht is daar e.a. veranderd.



@Rukapul Ik zie je edit, ik snap ‘m. Had hem zo nog niet bekeken

[ Voor 15% gewijzigd door FirePuma142 op 04-02-2020 21:25 ]

Jazzy schreef op dinsdag 4 februari 2020 @ 21:18:
Denk dat dit een misverstand is, je pasnummer is geen onderdeel van je authenticatie maar dient alleen maar om onderscheid te maken tussen meerdere passen voor dezelfde rekening. Authenticeren doe je met iets wat je weet (je pincode) en iets wat je hebt (je pasje). Zonder pincode krijg je geen toegang tot de rekening en ook niet als je niet het pasje hebt. Het pasnummer speelt hier totaal geen rol in.

Dit, zonder Pin kun je niet bij de rekening én niets overschrijven. Zonder pincode krijg je namelijk geen signeercode.

Jazzy schreef op dinsdag 4 februari 2020 @ 21:18:
Denk dat dit een misverstand is, je pasnummer is geen onderdeel van je authenticatie maar dient alleen maar om onderscheid te maken tussen meerdere passen voor dezelfde rekening. Authenticeren doe je met iets wat je weet (je pincode) en iets wat je hebt (je pasje). Zonder pincode krijg je geen toegang tot de rekening en ook niet als je niet het pasje hebt. Het pasnummer speelt hier totaal geen rol in.

Bij de Rabobank moet je een rekeningnummer en pasnummer opgeven om in te loggen of een betaling te verifiëren. Een pasnummer speelt dus wel een rol in het toegang verkrijgen.

Het lijkt mij dat iemand met mijn pincode en mijn rabopas, maar waarvan het pasnummer is weg geschuurd, minder kan dan normaalgesproken.

[ Voor 9% gewijzigd door g0tanks op 04-02-2020 21:25 ]

FirePuma142 schreef op dinsdag 4 februari 2020 @ 21:21:
[...]


True, ik heb het wellicht niet goed verwoord: als je login compromised is ben je bij ING en de rest net zo hard de Sjaak als bij de Rabobank. Dat wil zeggen, bij de ING moet ik goedkeuren in de app, dat hoef ik elders niet.

Hoe zie je die compromise voor je?

De kans dat een pas met pincode ontfutseld worden ergens in het openbaar is wezenlijk groter dan dat de 3 credentials voor internetbankieren door een derde bemachtigd worden.

Edit: blijkbaar is de reactie al aangepast

[ Voor 4% gewijzigd door Rukapul op 04-02-2020 21:26 ]

Rukapul schreef op dinsdag 4 februari 2020 @ 21:25:
[...]

Hoe zie je die compromise voor je?

De kans dat een pas met pincode ontfutseld worden ergens in het openbaar is wezenlijk groter dan dat de 3 credentials voor internetbankieren door een derde bemachtigd worden.

Zie edit

sapphire schreef op dinsdag 4 februari 2020 @ 21:22:
[...]

Dit, zonder Pin kun je niet bij de rekening én niets overschrijven. Zonder pincode krijg je namelijk geen signeercode.

Als ze de pas kunnen kopieren kunnen ze ook de pincode achterhalen.

Maar van hoe lang geleden is dit verhaal? De magneetstrip wordt toch niet meer gebruikt en de chip is (nog) niet te kopieren. Je kan de pas wel kopieren en op zoek gaan naar een oudere automaat die de magneetstrip nog gebruikt, maar de reader voor internetbankieren gebruikt die niet lijkt mij?

Marzman schreef op dinsdag 4 februari 2020 @ 21:26:
[...]

Als ze de pas kunnen kopieren kunnen ze ook de pincode achterhalen.

Maar van hoe lang geleden is dit verhaal? De magneetstrip wordt toch niet meer gebruikt en de chip is (nog) niet te kopieren. Je kan de pas wel kopieren en op zoek gaan naar een oudere automaat die de magneetstrip nog gebruikt, maar de reader voor internetbankieren gebruikt die niet lijkt mij?

In deze scenarios wordt de pas gewoon gestolen en de pin afgekeken of overgenomen omdat het is opgeschreven.

Een lege betaalrekening is dan leergeld, maar van je hele vermogen beroofd kunnen worden is gewoon een slecht beveiligingssysteem.

Overigens ken ik iemand (minder valide) die hier slachtoffer van is geworden bij de Rabobank. Is uiteindelijk alleen opgelost onder 'coulance' in verband met private banking klant

[ Voor 21% gewijzigd door Rukapul op 04-02-2020 21:31 ]

Marzman schreef op dinsdag 4 februari 2020 @ 21:26:
[...]

Als ze de pas kunnen kopieren kunnen ze ook de pincode achterhalen.

Maar van hoe lang geleden is dit verhaal? De magneetstrip wordt toch niet meer gebruikt en de chip is (nog) niet te kopieren. Je kan de pas wel kopieren en op zoek gaan naar een oudere automaat die de magneetstrip nog gebruikt, maar de reader voor internetbankieren gebruikt die niet lijkt mij?

Als ze de pas hebben, en dus het pasnr., dan hoeven ze hem toch niet te kopiëren Als ze op afstand zouden kunnen kopieren dan hebbenz e eht pasnr. weer niet.

Maar de TS zijn vader was gerold dus hebben ze zijn pas gewoon maar hoe komen ze dan aan de code ? Wellicht dat in andere landen de pincode niet nodig is (Europa want wereld dekking staat uit tenzij je dit expliciet aanzet).

Rukapul schreef op dinsdag 4 februari 2020 @ 21:28:
[...]

In deze scenarios wordt de pas gewoon gestolen en de pin afgekeken of overgenomen omdat het is opgeschreven.

En aanvullend: ik denk dat TS de mist ingaat met de aanname dat fysiek een pas stelen opgevolgd door internetbankierenfraude een groot genoeg risico is om je er zorgen over te maken.

Ze pinnen 'm gewoon zsm. leeg, that's it. Internetbankieren is véél complexer in alle opzichten en levert in veel gevallen niets extra op.

En tot je bejaard bent is de kans dat je pas icm. pincode wordt buitgemaakt ook vrijwel nihil, ten nadele van de ouderen.

[ Voor 10% gewijzigd door Thralas op 04-02-2020 21:34 ]

Jazzy schreef op dinsdag 4 februari 2020 @ 21:18:
Authenticeren doe je met iets wat je weet (je pincode) en iets wat je hebt (je pasje). Zonder pincode krijg je geen toegang tot de rekening en ook niet als je niet het pasje hebt.

Maar als je een Yomani betaalterminal gebruikt dan kun je onder bepaalde omstandigheden iedere willekeurige pincode intoetsen. Daarmee heb je nog geen toegang tot alle rekeningen, maar wel tot de hoofdrekening die bij de pas hoort. Een boef hoeft in dat geval niet de pincode te weten, maar hoeft alleen de pas te hebben, ongeacht van welke bank de pas is.

Probleem bij de Yomani betaalterminals is namelijk dat bij contactloos betalen de authenticatie in de betaalterminal plaatsvindt. Als je met chip betaalt vindt de authenticatie plaats op de pas (door de chip). Als pashouder kun je niet weten of er een tamper is op de betaalterminal, maar kun je wel enigszins weten of er een tamper is op je pas omdat je die in principe altijd in je bezit hebt.

Als een boef dus met een Yomani op zak gaat lopen en tegen mensen aan gaat botsen op het station of bij een festival, dan kan iedere bots 500-5000 winst zijn voor de boef.

Thralas schreef op dinsdag 4 februari 2020 @ 21:32:
[...]


En aanvullend: ik denk dat TS de mist ingaat met de aanname dat fysiek een pas stelen opgevolgd door internetbankierenfraude een groot genoeg risico is om je er zorgen over te maken.

Ze pinnen 'm gewoon zsm. leeg, that's it. Internetbankieren is véél complexer in alle opzichten en levert in veel gevallen niets extra op.

Dit is niet correct. Hier zijn genoeg gevallen van gedocumenteerd. Varianten zijn het doorboeken van de spaarrekening via betaalrekening naar katvangers danwel overboeken naar de betaalrekening en maximaal opnemen tot het ontdekt wordt.

En tot je bejaard bent is de kans dat je pas icm. pincode wordt buitgemaakt ook vrijwel nihil, ten nadele van de ouderen.

Ik denk dat je jezelf en anderen overschat. Situaties genoeg waar een ervaren boef het kan lukken om mee te kijken.

En zelfs als de kans klein is, is het staartrisico groot als het om je hele vermogen gaat.

[ Voor 20% gewijzigd door Rukapul op 04-02-2020 21:42 ]

Je kan bij de Rabobank de rechten van je pas toe laten wijzen...

1 pas voor pinbetalingen

Een andere voor overschrijvingen van je spaarrekening. Laat ze maar beide pincodes zien te bemachtigen. Ze stonden raar te kijken bij de Rabobank maar hebben het wel zo uitgevoerd.

Extra kosten vind ik verwaarloosbaar voor de extra veiligheid.

[ Voor 10% gewijzigd door Delakhan op 04-02-2020 21:45 ]

Rukapul schreef op dinsdag 4 februari 2020 @ 21:35:
Dit is niet correct. Hier zijn genoeg gevallen van gedocumenteerd.

Voorzichtig: ik zeg niet dat het niet kán, ik stel enkel dat risco niet groot genoeg is.

Geld uit een automaat trekken kan iedereen met een capuchon.

Om een rekening digitaal te plunderen heb je katvangers nodig en een 'veilige' internetverbinding: veel geregel en digitale kennis nodig.

Als je dat wèl hebt is er een business die nog véél beter schaalt: phishen en pasjes op laten sturen. Of extra internetbankiertokens laten koppelen (Tikkie-fraude). Dat gebeurt inderdaad genoeg.

Kruisbestuiving tussen fysieke en digitale diefstal lijkt me marginaal.

Jullie maken me toch wel wat bang. Misschien wel goed idee om spaar geld door te sluizen.

Waarom zou iemand die je pas en code weet te bemachtigen gaan telebankieren? Die rent naar de dichtstbijzijnde geldautomaat(en) en trekt je rekening leeg en gooit de pas weg.
Wat ik nooit snap met dit soort berichten? waarom hebben mensen de cash-opname limiet zo hoog staan? Hier was er verleden week ook zo'n tranentrekkend verhaal over totaal €5000 wat uit diverse automaten getrokken was.?????? er is geen bank die dat standaard zo ingesteld heeft.

Ik heb wat bonnetjes uit mijn portefeuille gegrist en ik zie niet mijn bekende pasnummer erop staan. Wel wat andere nummers die bij de transactie of intern bij mijn rekening horen.

Mensen met extreme paranoia (over het leegtrekken van rekeningen);

Zet je spaargeld bij MoneYou. Zit geen pasje bij en overboekingen kunnen alleen naar de tegenrekening.

Het pasnummer staat niet op de bon, soms wel het volgnummer, maar deze staat weer niet op de pas.
Internetbankieren kan je zelf niet instellen bij de Rabo. Het is of aan of uit en moet door de bank gedaan worden.
Je zou ook het rekeningnummer (gedeeltelijk) weg kunnen halen, als je vader deze uit zijn hoofd weet.

Jimster schreef op donderdag 6 februari 2020 @ 04:43:
Het pasnummer staat niet op de bon, soms wel het volgnummer, maar deze staat weer niet op de pas.
Internetbankieren kan je zelf niet instellen bij de Rabo. Het is of aan of uit en moet door de bank gedaan worden.
Je zou ook het rekeningnummer (gedeeltelijk) weg kunnen halen, als je vader deze uit zijn hoofd weet.

Staat het rekeningnummer niet ook op een kassabon? Zo niet ga ik dit doen. At jij voorstelde. Aangezien dat al jaren hetzelfde is, is dat makkelijker te onthouden dan een pasnummer dat regelmatig wijzigt (aangezien die bankpassen nooit langer dan een jaar meegaan).

AW_Bos schreef op woensdag 5 februari 2020 @ 23:58:
Ik heb wat bonnetjes uit mijn portefeuille gegrist en ik zie niet mijn bekende pasnummer erop staan. Wel wat andere nummers die bij de transactie of intern bij mijn rekening horen.

Dit, ik ben net wakker, en heb ook geen bonnetje voor m'n neus nu, maar ik weet dat het volg van je pasje op de bon staat, maar kan me niet heugen dat het 4 cijferige pas nr op de bon staat. Weg vijlen heeft dus wel nut.

Waar veel mensen mank op gaan (vind ik) is dat veel personen hier extreem reageren, voor de een is een dief dom, en bij een volgende reactie een uiterst geraffineerde dief.

Wat zou ik doen: pasnummer weg krassen, zodat de dief niet online kan inloggen, hij weet je pas nr niet. Ja pinnen uit de muur kan wel, maar alleen van de betaalrekening.

Op de meeste bonnetjes die ik heb staat wel degelijk een deel van het kaartnummer, meestal de laatste 4 of 6 cijfers met daarvoor *****. Dit wordt gedaan zodat jij thuis, wanneer je je huishoud boekhouding invult, kunt zien welke kaart je gebruikt hebt. Was vroeger meer nodig dan vandaag daar je het vandaag bijna onmiddelijk in je bank app kunt zien.

En wat ik mij nu ook af vraag is: kennen jullie in NL geen bankautomaten waarmee je meer kunt dan alleen maar geld van de rekening halen? Als ik in België mijn bankkaart in de automaat van mijn eigen bank steek, dan kan ik al mijn rekeningen zien en manipuleren. Ik kan het geld overschrijven naar andere rekening zonder probleem. Moet je natuurlijk wel de mogelijkheid hebben om ergens een anonieme rekening op te zetten, want de max. bedragen om geld af te halen kan je niet verhogen via de automaat.

Blokker_1999 schreef op donderdag 6 februari 2020 @ 06:42:
Op de meeste bonnetjes die ik heb staat wel degelijk een deel van het kaartnummer, meestal de laatste 4 of 6 cijfers met daarvoor *****. Dit wordt gedaan zodat jij thuis, wanneer je je huishoud boekhouding invult, kunt zien welke kaart je gebruikt hebt. Was vroeger meer nodig dan vandaag daar je het vandaag bijna onmiddelijk in je bank app kunt zien.

En wat ik mij nu ook af vraag is: kennen jullie in NL geen bankautomaten waarmee je meer kunt dan alleen maar geld van de rekening halen? Als ik in België mijn bankkaart in de automaat van mijn eigen bank steek, dan kan ik al mijn rekeningen zien en manipuleren. Ik kan het geld overschrijven naar andere rekening zonder probleem. Moet je natuurlijk wel de mogelijkheid hebben om ergens een anonieme rekening op te zetten, want de max. bedragen om geld af te halen kan je niet verhogen via de automaat.

In bankfilialen kan je naast geld opnemen, ook geld storten, maar meer eigenlijk ook niet. Daar hebben ze aparte computers voor in de filiaal.
Buiten de filialen kan je alleen maar geld opnemen.

Trommelrem schreef op dinsdag 4 februari 2020 @ 21:35:
[...]

Als een boef dus met een Yomani op zak gaat lopen en tegen mensen aan gaat botsen op het station of bij een festival, dan kan iedere bots 500-5000 winst zijn voor de boef.

Buiten dat ik heel benieuwd ben naar je bron, hoe ga jij aan een anonieme Yomani komen? Of een ondernemer die als katvanger wil dienen?
De hoeveelheid gegevens die je moet overleggen en afspraken die je moet maken, met zowel de temrinalleverancier als een bank/acquirer om een werkende terminal te krijgen zijn best flink.

FreakNL schreef op donderdag 6 februari 2020 @ 01:07:
Mensen met extreme paranoia (over het leegtrekken van rekeningen);

Zet je spaargeld bij MoneYou. Zit geen pasje bij en overboekingen kunnen alleen naar de tegenrekening.

Zo werken de meeste (online) spaarrekeningen volgens mij, NIBC in ieder geval ook.
Rabo heeft sowieso met die reader de plank misgeslagen wat mij betreft, heeft ze volgens mij een bak geld gekost, is niet echt top met de UX en ook niet veiliger dan alternatief via app. Het is dat het wisselen van bankrekening volgens mij best wat voeten in de aarde heeft, maar ik zou niet inzien waarom je de rabo zou kiezen als bank als ik een nieuwe had moeten kiezen.

Is het een idee om dit eens allemaal te bespreken met de Rabobank zelf? Welke deuren opent het volgens hun bij het hebben van het pasnummer bovenop alleen de pas en de pincode?

FreakNL schreef op donderdag 6 februari 2020 @ 01:07:
Mensen met extreme paranoia (over het leegtrekken van rekeningen);

Zet je spaargeld bij MoneYou. Zit geen pasje bij en overboekingen kunnen alleen naar de tegenrekening.

Dus dat witte pasje die ik heb met de tekst moneyou erop bestaat niet?
Okay, geintje, pinpas is inderdaad optioneel.

Nu kan je daar wel verschillende "spaarpotjes" aanmaken, en je pinpas koppelen aan zo een potje.
Die beschrijving klinkt, niet getest overigens, dat als dat spaarpotje leeg is, je niet meer kan pinnen. Ondanks dat je andere spaarpot wel genoeg geld heeft.

Tip: activeer Apple Pay en laat je pinpas thuis - mits je een iPhone of Apple Watch hebt. Apple Pay in combinatie met Face ID of Touch ID is beduidend veiliger dan een pinpas.

Rukapul schreef op dinsdag 4 februari 2020 @ 21:28:


Overigens ken ik iemand (minder valide) die hier slachtoffer van is geworden bij de Rabobank. Is uiteindelijk alleen opgelost onder 'coulance' in verband met private banking klant

Al een poosje geleden dan denk ik? Want de Rabobank vergoedt in principe alles bij diefstal of phising. Ze zijn verplicht een veilig systeem aan te bieden. Als iemand jouw rekening leegrooft is het systeem blijkbaar niet veilig is hun redenering. Er zijn vast uitzonderingen op te bedenken, maar zo was het wel tot 2 jaar geleden toen mijn vrouw bij de Rabobank werkte.

kamerplant schreef op donderdag 6 februari 2020 @ 10:47:
Tip: activeer Apple Pay en laat je pinpas thuis - mits je een iPhone of Apple Watch hebt. Apple Pay in combinatie met Face ID of Touch ID is beduidend veiliger dan een pinpas.

Behalve als ze je vastbinden en je telefoon voor je gezicht houden om zo via een pin terminal een betaling te accorderen!

kamerplant schreef op donderdag 6 februari 2020 @ 10:47:
Tip: activeer Apple Pay en laat je pinpas thuis - mits je een iPhone of Apple Watch hebt. Apple Pay in combinatie met Face ID of Touch ID is beduidend veiliger dan een pinpas.

Ik schat de kans dat de toegangs code van de telefoon afgekeken wordt ook als aanzienlijk. Echter zal het ontbreken van de fysieke telefoon eerder opgemerkt worden.

MicroVAX3400 schreef op donderdag 6 februari 2020 @ 11:05:
[...]


Ik schat de kans dat de toegangs code van de telefoon afgekeken wordt ook als aanzienlijk. Echter zal het ontbreken van de fysieke telefoon eerder opgemerkt worden.

Je bent ook wel echt een flapdrop als je een toegangscode gebruikt als je Face ID hebt Je kunt geen toegangscode afkijken als je hem niet gebruikt.

Geerrrt schreef op donderdag 6 februari 2020 @ 11:02:
[...]


Behalve als ze je vastbinden en je telefoon voor je gezicht houden om zo via een pin terminal een betaling te accorderen!

Dat kan met een PIN pas ook. Gebeurd gelukkig niet zo vaak.

[ Voor 47% gewijzigd door kamerplant op 06-02-2020 11:22 ]

kamerplant schreef op donderdag 6 februari 2020 @ 11:21:
[...]
Je bent ook wel echt een flapdrop als je een toegangscode gebruikt als je Face ID hebt Je kunt geen toegangscode afkijken als je hem niet gebruikt

Ik heb TouchID op mijn telefoon, en toch moet ik weleens de toegangscode intypen. Ik type mijn telefoon schermlock code vaker in dan mijn betaalpas pincode sinds de invoering van contactdoos betalen.

Dit is één van de redenen waarom ik blij ben met ING. Daar kan je niets van een spaarrekening plunderen zonder de vijf-cijferige code, die je normaliter alleen intoetst in een vertrouwde omgeving zonder pottenkijkers. (in tegenstelling tot pinnen in drukke winkels). De andere reden is dat je geen aparte reader of kastje meer nodig hebt, ongeacht wat je wilt overmaken, hoe groot het bedrag is etc. Ik lag mij elke keer kapot om de knulligheid van grote spelers als ABN als er weer collega's aan het leuren zijn "wie heeft er een random reader voor xxx bij de hand" , terwijl alles bij ING via één app gaat en je geen enkel kastje meer nodig hebt. En als dat dan toch nog gehackt zou worden ben je gewoon verzekerd / krijg je je geld terug, zolang je die vijf-cijferige code maar niet hebt laten lekken

HuggyB schreef op dinsdag 4 februari 2020 @ 20:43:
Ik dacht daarom, misschien kan ik die dan beter wegknippen of vijlen. Als ik dan bestolen word en ze hebben onverhoopt mijn pincode, dan kunnen ze bij mijn betaalrekening via de automaat, maar niet bij mijn spaarrekening via internetbankieren. Zo blijft de schade beperkt.

Om geld over te maken tussen je Rabo rekeningen is er geen rabo reader nodig. Dit wordt gewoon instant gedaan.

De beste oplossing is om betaalrekening en spaarrekening onder te brengen bij verschillende banken. Er kan dan niet zomaar geld geschoven en opgenomen worden. De betaalrekening moet je op een acceptabel niveau houden, genoeg om nooit in betaal problemen te komen en te weinig om echt grote bedragen te verliezen.

---

Valorian schreef op donderdag 6 februari 2020 @ 11:33:
De andere reden is dat je geen aparte reader of kastje meer nodig hebt, ongeacht wat je wilt overmaken, hoe groot het bedrag is etc. Ik lag mij elke keer kapot om de knulligheid van grote spelers als ABN als er weer collega's aan het leuren zijn "wie heeft er een random reader voor xxx bij de hand" , terwijl alles bij ING via één app gaat en je geen enkel kastje meer nodig hebt.

Handig, hoeven ze slechts je telefoon te stelen en code af te kijken.
Conclusie: of ze nu je telefoon of je pas jatten met code, het is even veilig of onveilig.

En als dat dan toch nog gehackt zou worden ben je gewoon verzekerd / krijg je je geld terug, zolang je die vijf-cijferige code maar niet hebt laten lekken

Zie het maar te bewijzen....

[ Voor 35% gewijzigd door Drardollan op 06-02-2020 11:45 ]

Drardollan schreef op donderdag 6 februari 2020 @ 11:41:
[...]

Om geld over te maken tussen je Rabo rekeningen is er geen rabo reader nodig. Dit wordt gewoon instant gedaan.

De beste oplossing is om betaalrekening en spaarrekening onder te brengen bij verschillende banken. Er kan dan niet zomaar geld geschoven en opgenomen worden. De betaalrekening moet je op een acceptabel niveau houden, genoeg om nooit in betaal problemen te komen en te weinig om echt grote bedragen te verliezen.

---

[...]

Handig, hoeven ze slechts je telefoon te stelen en code af te kijken.
Conclusie: of ze nu je telefoon of je pas jatten met code, het is even veilig of onveilig.


[...]

Zie het maar te bewijzen....

toon volledige bericht

Lees je mijn post wel? Iemand moet dan:

- Vijf-cijferige code afkijken die je alleen intoetst bij overmaken van geld naar derden, iets wat ik zelf niet midden in een winkel doe met mensen die over mijn schouder kunnen meekijken. Die code gaat dus niet afgekeken worden.
- En telefoon stelen
- En vinger afsnijden om telefoon uberhaupt te unlocken

En wat betreft bewijzen: nee dat hoeft niet, ING moet bewijzen dat pincode (bij misbruik pinnen met pas) of inlogcode (bij misbruik internetbankieren/app) is gebruikt, zo niet dan krijg je bij misbruik voordeel twijfel ivm geen reputatieschade , angst , etc willen

Valorian schreef op donderdag 6 februari 2020 @ 11:52:
[...]


Lees je mijn post wel? Iemand moet dan:

- Vijf-cijferige code afkijken die je alleen intoetst bij overmaken van geld naar derden, iets wat ik zelf niet midden in een winkel doe met mensen die over mijn schouder kunnen meekijken. Die code gaat dus niet afgekeken worden.
- En telefoon stelen
- En vinger afsnijden om telefoon uberhaupt te unlocken

En wat betreft bewijzen: nee dat hoeft niet, ING moet bewijzen dat pincode (bij misbruik pinnen met pas) of inlogcode (bij misbruik internetbankieren/app) is gebruikt, zo niet dan krijg je bij misbruik voordeel twijfel ivm geen reputatieschade , angst , etc willen

Enige nadeel is dat je onder dwang op straat deze code wel afgeeft. Als je een persoonlijke reader heb is dit niet mogelijk, dan zullen ze eerst met jou naar je huis moeten.

Valorian schreef op donderdag 6 februari 2020 @ 11:52:
[...]


Lees je mijn post wel? Iemand moet dan:

- Vijf-cijferige code afkijken die je alleen intoetst bij overmaken van geld naar derden, iets wat ik zelf niet midden in een winkel doe met mensen die over mijn schouder kunnen meekijken. Die code gaat dus niet afgekeken worden.
- En telefoon stelen
- En vinger afsnijden om telefoon uberhaupt te unlocken

En wat betreft bewijzen: nee dat hoeft niet, ING moet bewijzen dat pincode (bij misbruik pinnen met pas) of inlogcode (bij misbruik internetbankieren/app) is gebruikt, zo niet dan krijg je bij misbruik voordeel twijfel ivm geen reputatieschade , angst , etc willen

Die vijfcijferige code moet je afkijken, net als een viercijferige code. Maar nog steeds is hij af te kijken.
Je vinger afsnijden is niet nodig, misschien heb je die code wel ingetypt.

Maar ik denk dat ik prima lees, jij beweert onzin dat 1 apparaat veiliger zou zijn dan 2. Het is allemaal even veilig of onveilig, zolang je de juiste codes maar weet. En of die 4 of 5 cijferig is, dat doet er niet toe.

Trommelrem schreef op dinsdag 4 februari 2020 @ 21:35:
[...]

Maar als je een Yomani betaalterminal gebruikt dan kun je onder bepaalde omstandigheden iedere willekeurige pincode intoetsen. Daarmee heb je nog geen toegang tot alle rekeningen, maar wel tot de hoofdrekening die bij de pas hoort. Een boef hoeft in dat geval niet de pincode te weten, maar hoeft alleen de pas te hebben, ongeacht van welke bank de pas is.

Probleem bij de Yomani betaalterminals is namelijk dat bij contactloos betalen de authenticatie in de betaalterminal plaatsvindt. Als je met chip betaalt vindt de authenticatie plaats op de pas (door de chip). Als pashouder kun je niet weten of er een tamper is op de betaalterminal, maar kun je wel enigszins weten of er een tamper is op je pas omdat je die in principe altijd in je bezit hebt.

Als een boef dus met een Yomani op zak gaat lopen en tegen mensen aan gaat botsen op het station of bij een festival, dan kan iedere bots 500-5000 winst zijn voor de boef.

Heb je hier een bron voor? Lijkt mij namelijk nogal ongeloofwaardig dat je zomaar zulke bedragen kunt pinnen met een random code.

mark-k schreef op donderdag 6 februari 2020 @ 12:36:
[...]


Heb je hier een bron voor? Lijkt mij namelijk nogal ongeloofwaardig dat je zomaar zulke bedragen kunt pinnen met een random code.

Nog los van het feit dat je dan op de juiste plek, lang genoeg moet botsen. Veel portemonnees hebben sowieso een RFID blokkade tegenwoordig. En al naar gelang je instellingen is er maar 25 euro contactloos zonder pin te betalen.

Wat mij betreft een leuk sprookje voor op kringverjaardagen.

Drardollan schreef op donderdag 6 februari 2020 @ 12:35:
Die vijfcijferige code moet je afkijken, net als een viercijferige code. Maar nog steeds is hij af te kijken.
Je vinger afsnijden is niet nodig, misschien heb je die code wel ingetypt.

Maar ik denk dat ik prima lees, jij beweert onzin dat 1 apparaat veiliger zou zijn dan 2. Het is allemaal even veilig of onveilig, zolang je de juiste codes maar weet. En of die 4 of 5 cijferig is, dat doet er niet toe.

Dat laatste kan ik natuurlijk niet ontkennen. Maar laten we even uitgaan van een gemiddeld persoon wat zich redelijk bewust is van de risico's rond betalen, afkijkende mensen, etc. Dan is er het volgende scenario:

Je gaat pinnen in een supermarkt, en ondanks dat je weet dat een code privé is heb je net een keer niet door dat iemand toch schuin achter je meespiekt en je code heeft. Vervolgens rolt 'ie je portomonnaie met pinpas, en via de truuk zoals in TS zijn post wordt weergegeven haalt 'ie je bankrekening leeg + spaarrekening leeg. Dat laatste kan NIET bij ING en dus WEL bij Rabobank. Dat maakt ING op dit punt veiliger.

Ja, als een overvaller verder gaat en jou op straat niet alleen rolt van portomonnaie maar ook nog een mes op je keel zet en je code 'afdwingt' dan kan 'ie ook bij ING deze truuk uithalen. Klopt. Maar dat is wel iets wat heel veel minder vaak voor zal komen. Bovendien kan je dan meteen de pas laten blokkeren, want je bent je bewust van de misdaad. Iets wat bij rollen portomonnaie misschien pas een uur later zo is. Of kom je dan met het argument dat iemand jou ook kan ombrengen op straat ? .. Ook moet iemand dan al weten dat je bij ING zit (dat zou 'ie gezien kunnen hebben bij pinnen, maar met foto-op-pas tegenwoordig is dat wel lastiger).

Tot slot had die vijf-cijferige code afgekeken kunnen worden, maar NIET in de winkel, want daar gebruik je die code niet, daar gebruik je je normale 4-cijferige-pincode (of draadloos). Die inlog-van-ING-code gebruik je alleen als je je overmakingen doet, je financien bijwerkt, etc. en dat doe je thuis, op je werk, etc. maar niet in een volle winkel of middel op straat. Tenminste, ik niet

[ Voor 4% gewijzigd door Valorian op 06-02-2020 12:48 ]

Sharky schreef op donderdag 6 februari 2020 @ 11:02:
[...]


Al een poosje geleden dan denk ik? Want de Rabobank vergoedt in principe alles bij diefstal of phising. Ze zijn verplicht een veilig systeem aan te bieden. Als iemand jouw rekening leegrooft is het systeem blijkbaar niet veilig is hun redenering. Er zijn vast uitzonderingen op te bedenken, maar zo was het wel tot 2 jaar geleden toen mijn vrouw bij de Rabobank werkte.

Dit beleid wijzigt continu. Het algemene patroon is echter dat bij opkomst van een nieuwe methode banken in beginsel afwijzen, bij volume (en media aandacht) overschakelen op 'coulance', en pas na lang dit formaliseren in uitvoering en voorwaarden (in minimale conditionele vorm).

Het is makkelijk afwijzen op grond van 'intypen pincode niet goed afgeschermd', 'pincode staat _ergens_ opgeschreven', etc.

Valorian schreef op donderdag 6 februari 2020 @ 12:46:
[...]


Dat laatste kan ik natuurlijk niet ontkennen. Maar laten we even uitgaan van een gemiddeld persoon wat zich redelijk bewust is van de risico's rond betalen, afkijkende mensen, etc. Dan is er het volgende scenario:

-knip-

Tot slot had die vijf-cijferige code afgekeken kunnen worden, maar NIET in de winkel, want daar gebruik je die code niet, daar gebruik je je normale 4-cijferige-pincode (of draadloos). Die inlog-van-ING-code gebruik je alleen als je je overmakingen doet, je financien bijwerkt, etc. en dat doe je thuis, op je werk, etc. maar niet in een volle winkel of middel op straat. Tenminste, ik niet

Mocht het nog niet opgevallen zijn, de meeste mensen die op deze manier geld kwijt raken zijn niet zo bezig met wat jij en mij bezighoudt. Veelal ouderen of minder begaafde mensen. Die typen absoluut wel de code in, wat jij en ik niet zouden doen.

Maar dat maakt niet uit, mijn reactie is gebaseerd op dat jij zegt dat ING veel veiliger zou zijn dan ABN of Rabo omdat daar een Raboreader gebruikt wordt. Dat is onwaar. Het is allemaal net zo veilig, het risico is in beide gevallen de gebruiker.

Voor jouw informatie, tot voor kort stuurde ING TAN codes via SMS. Als er iets onveilig is......

Drardollan schreef op donderdag 6 februari 2020 @ 12:51:

Voor jouw informatie, tot voor kort stuurde ING TAN codes via SMS. Als er iets onveilig is......

heb ik nog steeds met ING. Ik kreeg wel een bericht dat ze zouden stoppen, maar het werkt nog prima

mrc4nl schreef op donderdag 6 februari 2020 @ 12:57:
[...]

heb ik nog steeds met ING. Ik kreeg wel een bericht dat ze zouden stoppen, maar het werkt nog prima

Bizar.

Ik heb zowel Rabo als ABN en zie geen verschil in inloggen bij internetbankieren. De pas, een reader en de pincode zijn voldoende.
Heb je bij ING dan een andere inlogcode voor internetbankieren? Kan je dan geld overboeken zonder bankpas? Dat lijkt me ook weer niet veilig.

BounceMeister schreef op donderdag 6 februari 2020 @ 13:05:
Ik heb zowel Rabo als ABN en zie geen verschil in inloggen bij internetbankieren. De pas, een reader en de pincode zijn voldoende.
Heb je bij ING dan een andere inlogcode voor internetbankieren? Kan je dan geld overboeken zonder bankpas? Dat lijkt me ook weer niet veilig.

Bij ing heb ik om in te loggen:
een vaste code als loginnaam (bestaande uit letters en cijfers)
een zelf gekozen wachtwoord (die uiteraard na verloop van tijd vervangen moet worden)

als die twee goed zijn, krijg ik per sms een 6 cijferige code die ik ook moet intypen. en dan pas ben ik ingelogd.

mrc4nl schreef op donderdag 6 februari 2020 @ 13:07:
[...]

Bij ing heb ik om in te loggen:
een vaste code als loginnaam (bestaande uit letters en cijfers)
een zelf gekozen wachtwoord (die uiteraard na verloop van tijd vervangen moet worden)

als die twee goed zijn, krijg ik per sms een 6 cijferige code die ik ook moet intypen. en dan pas ben ik ingelogd.

Dat is de methode-zonder-app.

Als je de app hebt van ING dan heb je nodig voor overboekingen:

- eenmalig: app installeren op telefoon, na installeren eenmalige verificatie cereist (gebruikersnaam/wachtwoord en sms code geloof ik).

- per overboeking: vingerafdruk of vijf-cijferige code voor inloggen in app, dan nog een keer vijfcijferige code voor goedkeuren transactie. Code is anders dan je normale pincode.

MicroVAX3400 schreef op donderdag 6 februari 2020 @ 13:32:


Als het pasnummer fysiek onleesbaar gemaakt is, staat het pasnummer dan nog leesbaar op de magneetstrip?

Wikipedia: Magnetic stripe card

Discretionary data — may include Pin Verification Key Indicator (PVKI, 1 character), PIN Verification Value (PVV, 4 characters), Card Verification Value or Card Verification Code (CVV or CVC, 3 characters)

Mogelijk dus nog wel, zie die laatste, uitgaande dat wij dezelfde ISO gebruiken.

SinergyX schreef op donderdag 6 februari 2020 @ 13:53:
[...]

Wikipedia: Magnetic stripe card

Discretionary data — may include Pin Verification Key Indicator (PVKI, 1 character), PIN Verification Value (PVV, 4 characters), Card Verification Value or Card Verification Code (CVV or CVC, 3 characters)

Mogelijk dus nog wel, zie die laatste, uitgaande dat wij dezelfde ISO gebruiken.

Sinds 2012 gebruiken de meeste Nederlands banken maestro kaarten, wat effectief een "debit only mastercard" is; ING en De Volksbank (SNS, ASN, ...) gebruiken V Pay, wat exact dezelfde dienst is maar dan van VISA.
Mastercard zet op alle kaarten dezelfde data, de transacties voor hun debit kaarten (dus ook maestro) worden op dezelfde manier verwerkt als transacties voor credit kaarten. Voor VISA geldt (vermoed ik) hetzelfde.

Dat gezegd hebbende: de CVV/CVC is niet het kaartnummer, maar de "geheime" (voor zover iets wat ook gewoon op de kaart gedrukt is geheim te noemen is) code die je bijvoorbeeld bij online creditcard betalingen moet invullen.

Het "primary account number" ("creditcard nummer") staat wel op de magneetstrip. Onze maestro kaarten hebben deze ook een, dit is het nummer dat gebruikt wordt om de kaart (en daarmee dus de rekening) te identificeren. Voor zover ik weet is het kaartnummer zoals dat op onze maestro kaarten staat (dus het nummer dat TS weg wil schuren) niet af te leid uit het primary account number, maar dat weet ik niet zeker (en ik zit niet heel diep in deze materie, dus voor hetzelfde geld is het een simpele checksum of zo).

nachtnet schreef op dinsdag 4 februari 2020 @ 21:06:
Pasnummer staat ook gewoon op een transactiebon als je pint... dat is zo te achterhalen dus.

Zou slecht zijn, dat horen alleen de laatste 4 cijfers te zijn!

nachtnet schreef op dinsdag 4 februari 2020 @ 21:06:
Pasnummer staat ook gewoon op een transactiebon als je pint... dat is zo te achterhalen dus.

zowel het pasnummer als het rekeningnummer staan nooit volledig op de transactiebon bij de winkel.

@SniperGuy Je bedoelt dat alleen de laatste 4 cijfers van het rekening nummer op de bon staan.

Ik ging er overigens vanuit dat het pas(volgnummer) bedoelt werd.



op de nieuwere pas staat idd een los (random) pasnummer.


Op de bon staat gewoon het pasvolgnummer:

[ Voor 11% gewijzigd door nachtnet op 06-02-2020 15:57 ]

mark-k schreef op donderdag 6 februari 2020 @ 12:36:
[...]


Heb je hier een bron voor? Lijkt mij namelijk nogal ongeloofwaardig dat je zomaar zulke bedragen kunt pinnen met een random code.

Youtube. Op het moment dat je 6 cijfers gebruikt werkt iedere random code en voert de Yomani geen authenticatie uit. Bij chipbetalingen werkt dit niet, omdat de chip de authenticatie uitvoert, wat veel veiliger is voor de eindgebruiker. Maar bij NFC betalingen is het dus niet de pas maar de Yomani die de authenticatie uitvoert, dus een slimme hacker zou ook de Yomani kunnen aanpassen met malafide firmware en gewoon op een station of bij een festival tegen mensen aan botsen. In dit geval is het gewoon een bug in deze firmwareversie.

Overigens heb ik dit al een aantal keer aan mijn bank gemeld, maar die kunnen er niets mee. Die zijn hierin geen partij (omdat er ook geen authenticatie naar de bank plaatsvindt?).

[ Voor 47% gewijzigd door Trommelrem op 06-02-2020 19:19 ]

Trommelrem schreef op donderdag 6 februari 2020 @ 19:09:
[...]

Youtube. Op het moment dat je 6 cijfers gebruikt werkt iedere random code en voert de Yomani geen authenticatie uit. Bij chipbetalingen werkt dit niet, omdat de chip de authenticatie uitvoert, wat veel veiliger is voor de eindgebruiker. Maar bij NFC betalingen is het dus niet de pas maar de Yomani die de authenticatie uitvoert, dus een slimme hacker zou ook de Yomani kunnen aanpassen met malafide firmware en gewoon op een station of bij een festival tegen mensen aan botsen. In dit geval is het gewoon een bug in deze firmwareversie.

Overigens heb ik dit al een aantal keer aan mijn bank gemeld, maar die kunnen er niets mee. Die zijn hierin geen partij (omdat er ook geen authenticatie naar de bank plaatsvindt?).

Alleen bedrijven kunnen een pin contract aanvragen bij een payment provider aangezien je een kvk uitreksel moet overleggen. Daarnaast zal de yomani altijd gekoppeld zijn aan één bedrijf. Dus de kans dat een malafide bedrijf hiermee gaat meewerken is klein aangezien het altijd herleidbaar is welke bedrijf zijn yomani ter beschikking heeft gesteld. Pakkans is dermate groot.

Daarnaast is zo'n yomani best een groot apparaat en is het niet echt gemaakt om mobiel mee te nemen in tegen stelling tot de yoximo. Je moet dan voor nfc binnen 2 cm van dat pasje komen. Ookal ben je als persoon 5 cm af van de slachtoffer, dan zal je dat niet lukken met een yoximo dat 17 bij 10 bij 10 cm is en dat op heup hoogte moet zijn of je moet de pin terminal zodanig openen dat de nfc lezer niet meer vast zit aan het apparaat. Kans is groter dat mensen jou gaan aanklagen voor aanranding... Zeker als je dat bij meer dan 5 mensen probeert te doen.

Jory schreef op donderdag 6 februari 2020 @ 15:17:
[...]
Sinds 2012 gebruiken de meeste Nederlands banken maestro kaarten, wat effectief een "debit only mastercard" is; ING en De Volksbank (SNS, ASN, ...) gebruiken V Pay, wat exact dezelfde dienst is maar dan van VISA.

Dat is niet helemaal waar. Er bestaan ook Mastercard debit cards (die je bijvoorbeeld krijgt bij N26 en consorten) en die zijn niet hetzelfde als Maestro-passen. Debit cards kun je op precies dezelfde manier gebruiken als een credit card: ze hebben een nummer en een CVC, en je kunt er dus betalingen mee doen op internet e.d., het enige verschil is dat het niet op krediet gaat maar het bedrag direct van de rekening afgeschreven wordt.

Maestro is een losstaand product van Mastercard dat verschilt in het opzicht dat transacties uitsluitend online (authenticated) gedaan kunnen worden, via wat wij in Nederland "pinnen" noemen dus.

[ Voor 7% gewijzigd door Compizfox op 06-02-2020 22:54 ]

Trommelrem schreef op donderdag 6 februari 2020 @ 19:09:
Youtube. Op het moment dat je 6 cijfers gebruikt werkt iedere random code en voert de Yomani geen authenticatie uit.

Hoe heb je dat ontdekt? Wáárom zou je 6 getallen invullen?

Maar bij NFC betalingen is het dus niet de pas maar de Yomani die de authenticatie uitvoert

Contactloze betalingen met PIN worden sowieso online geverifiëerd, dat wil zeggen: door de bank. Volgens mij is dat in een Nederlandse winkel in principe altijd zo, gezien de heisa omtrent pinnen als KPN er weer eens goed uitligt.

dus een slimme hacker zou ook de Yomani kunnen aanpassen met malafide firmware en gewoon op

Die firmware is natuurlijk gesigned en de terminal voorzien van antitampermaatregelen.

Overigens heb ik dit al een aantal keer aan mijn bank gemeld, maar die kunnen er niets mee.

Wat zegt Atos (fabrikant van de terminal, meen ik)?

Die zijn hierin geen partij (omdat er ook geen authenticatie naar de bank plaatsvindt?).

Deze snap ik niet, maar brengt me wel tot het volgende: ben je nagegaan of het bedrag wel wordt afgeschreven?

Cardholder verification is een enorm complexe set aan regels (kijk maar eens wat er op je eigen pas staat) en eindigt volgens mij vaak zelfs met 'No CVM required'.

Het is een feit dat de terminal de PIN niet zelf kan controleren, en het lijkt me uitgesloten dat de bank '000000' accepteert.

Is er hier niet iets anders aan de hand, namelijk dat de terminal offline is (de akkoord lijkt gevoelsmatig wel erg snel) en onjuist geconfigureerd waardoor hij de betaling (ten onrechte) offline accepteert?

Maar: zelfs al zou dit mogelijk zijn, dan nog is fraude hiermee niet waarschijnlijk vanwege de redenen die hierboven keurig staan uitgelegd. Een payment terminal vereist een enorme paper/legal trail, wat iedereen die dit als kwetsbaarheid presenteert lijkt te vergeten (en de banken uiteraard hebben meegewogen in de keuze om betalingen zonder PIN te accepteren)..

[ Voor 9% gewijzigd door Thralas op 06-02-2020 21:28 ]

Trommelrem schreef op donderdag 6 februari 2020 @ 19:09:
[...]
Youtube. Op het moment dat je 6 cijfers gebruikt werkt iedere random code en voert de Yomani geen authenticatie uit. Bij chipbetalingen werkt dit niet, omdat de chip de authenticatie uitvoert, wat veel veiliger is voor de eindgebruiker. Maar bij NFC betalingen is het dus niet de pas maar de Yomani die de authenticatie uitvoert, dus een slimme hacker zou ook de Yomani kunnen aanpassen met malafide firmware en gewoon op een station of bij een festival tegen mensen aan botsen. In dit geval is het gewoon een bug in deze firmwareversie.

Overigens heb ik dit al een aantal keer aan mijn bank gemeld, maar die kunnen er niets mee. Die zijn hierin geen partij (omdat er ook geen authenticatie naar de bank plaatsvindt?).

Bij NFC zou het je bank zijn die de authenticatie uitvoert bij als je een pincode moet invoeren. De terminal kan dit niet en zal dit ook niet doen. Zomaar offline transacties gaan uitvoeren kan in Nederland ook niet. Worldline biedt wel een offline/backup modus aan, maar die moet actief aangezet worden en werkt alleen met dippen+pincode.
Daarnaast lijkt dit op de AH en daar is de spaardozenactie al jaren geleden afgelopen. En ik zie volgens mij een ABN AMRO pas, waar het mee mogelijk is je eigen pincode te kiezen en vroeger zaten daar geen eisen aan, dus dan is 0000 prima mogelijk.

Het filmpje is vandaag geupload en op Google kan ik niets vinden op "Yomani firmware bug". Sounds fishy!

Thralas schreef op donderdag 6 februari 2020 @ 21:24:Contactloze betalingen met PIN worden sowieso online geverifiëerd, dat wil zeggen: door de bank. Volgens mij is dat in een Nederlandse winkel in principe altijd zo, gezien de heisa omtrent pinnen als KPN er weer eens goed uitligt.

Correct. Contactloos met een Maestro pas betekent per definitie dat deze online geverifieerd zal zijn.

Wat zegt Atos (fabrikant van de terminal, meen ik)?

Is Worldline tegenwoordig.

Is er hier niet iets anders aan de hand, namelijk dat de terminal offline is (de akkoord lijkt gevoelsmatig wel erg snel) en onjuist geconfigureerd waardoor hij de betaling (ten onrechte) offline accepteert?

Zo te zien bij de AH. Die hebben een prima netwerk en dan gaat het echt zo snel.

Rukapul schreef op dinsdag 4 februari 2020 @ 21:18:
[...]

Ik heb ook een ING rekening en dat is compleet anders: voor inloggen op internetbankieren heb je een los wachtwoord, een gepersonaliseerd token, en een aparte pincode nodig.

Kortom, niets gelijk aan wat je gebruikt bij betalen: pas met bijbehorende pincode.

Ik zit o.a. bij de ING en de rabobank maar kan toch niet zeggen dat ik me bij de ING veiliger vind dan de rabobank. Cruciaal verschil is dat je vanuit de ING app letterlijk alles kan doen zo lang je die 5 cijferige pincode maar weet. Zelfs bij internetbankieren op de desktop kun je met de app authoriseren (tegenwoordig moeten) en een extra telefoon machtigen gaat ook gewoon vanuit de app zelf via een QR code. Een gestolen telefoon dan wel toegang tot je telefoon is bij ING dus levensgevaarlijk.

Bij de rabobank heb je bij grotere bedragen dan wel vreemde rekeningnummers óók nog de random reader nodig. Ook voor het toevoegen van extra toestellen heb je die reader nodig. Dat maakt het leegtrekken van spaartegoeden toch net iets lastiger.

Maar goed dat is even een andere insteek dan gestolen pinpas+code.

.

[ Voor 137% gewijzigd door Brazos op 25-11-2021 20:35 ]

Eens met @Brazos , je moet dan om meer te kunnen leeghalen dan alleen betaalrekening bij ING namelijk:
- telefoon ontfutselen
- inlogcode telefoon ontfutselen (of vinger afsnijden)
- vijf-cijferige code app ontfutselen, een code die je normaal niet gebruikt in publieke ruimtes als winkels (itt tot pincode)
- er iets mee doen voor iemand de kans heeft de boel te blokkeren.

Die combi kan volgens mij zelfs bij oude niet oplettende mensen alleen icm behoorlijk zware criminaliteit, namelijk icm roof + bedreiging ter plekke. Terwijl de “code afkijken bij pinnen + pas jatten” iets is wat ook daadwerkelijk veel voorkomt én wat kan gebeuren zonder dat iemand het doorheeft (waardoor dief de tijd heeft om alles leeg te trekken). Het is voor mij onbegrijpelijk dat een dief dan met die combi pas+code ook de spaarrekeningen kan plunderen.

[ Voor 11% gewijzigd door Valorian op 06-02-2020 22:56 ]

Brazos schreef op donderdag 6 februari 2020 @ 22:21:
[...]


Met een pas en pincode kun je, in ieder geval bij de ING, niet internetbankieren. Daarvoor heb je nog een gebruikersnaam, wachtwoord, je telefoon, en een (aparte) pincode nodig.

Klopt, ik dacht dat met vulnerability het gebruik van het pasnummer werd bedoeld, niet het delen van de credentials tussen pin en internetbankieren.

Gestolen telefoon of toegang tot telefoon is niet gevaarlijk, er zit nog altijd een pincode op. Een random reader voegt verder hélémaal niets toe. Iedereen kan zo'n random reader bemachtigen.

Iemand zijn telefoon ontfutselen is een veel grotere uitdaging, laat staan zijn pincode voor de app.

True, daar worden malafide linkjes en phishingaanvallen voor gebruikt, telefoons worden gejat voor de wederverkoop en de onderdelen. Niet voor de toegang tot online bankieren apps. Je komt er namelijk niet in zonder biometrie en/of een code.

Brazos schreef op donderdag 6 februari 2020 @ 22:21:
[...]


Met een pas en pincode kun je, in ieder geval bij de ING, niet internetbankieren. Daarvoor heb je nog een gebruikersnaam, wachtwoord, je telefoon, en een (aparte) pincode nodig.

Via de app kun je alles doen. Dus de telefoon + 5 cijferige code volstaat.

Pinnen kan bij alle banken zodra je de pas en pincode hebt, maar daar ging het hier volgens mij niet om. Sowieso is pinnen gelimiteerd (max zoveel per dag, alleen binnen Europa) daarbij kun je alleen geld van de lopende rekening halen, en niet van je spaarrekening(en).


[...]


Gestolen telefoon of toegang tot telefoon is niet gevaarlijk, er zit nog altijd een pincode op. Een random reader voegt verder hélémaal niets toe. Iedereen kan zo'n random reader bemachtigen.

Iemand zijn telefoon ontfutselen is een veel grotere uitdaging, laat staan zijn pincode voor de app.

Ik zie eerlijk gezegd geen onderscheid in moeilijkheid tussen het bemachtigen van een pinpas+ pincode en een telefoon met unlock. Of eigenlijk is de kans dat je mijn pinpas te pakken krijgt veel kleiner want die zit 99% van de tijd in mijn portemonnee. Mijn telefoon heb ik regelmatig in mijn hand en die trek je er dus zo uit. De technieken om iemand zn pincode te observeren werken ook voor unlock patronen en pincodes. De ing betaalapp vraagt in de supermarkt ook regelmatig om mijn 5 cijferige code. Vermoedelijk net zo vaak als de fysieke rabopas.

Stel ik sta in de AH en jij jat mijn pinpas mét code. Dan kun je in mijn geval bij de rabobank iets van 500 euro pinnen bij de dichtstbijzijnde automaat en dan houd het op. Daarna moet je zo'n random reader bemachtigen en al zit je als dief zelf bij de Rabobank, dan nog moet je naar huis om hem fysiek op te halen. Hetgeen mij tijd geeft om de pas te blokkeren. Bovendien sta je tijdens pinnen op de foto.

Omgekeerd als je mijn telefoon te pakken krijgt icm met ING app dan kun je binnen een paar minuten een hele grote berg geld wegsluizen. Des te meer omdat ING is standaard graag zowel privé als zakelijk binnen dezelfde app met dezelfde code combineert (is wel omheen te werken gelukkig) en die code dus regelmatig in het publiek wordt gevraagd. Laatste keer dat ik checkte heeft mijn telefoon geen opstaande privacy randjes maar een OLED scherm met mega brede kijkhoek. Cruciale verschil met de rabobank app is weer opnieuw de random reader. Tenzij je als boef van alle banken al die readers meeneemt gaat dit toch een tijdswinst opleveren.

[ Voor 7% gewijzigd door sdk1985 op 07-02-2020 00:24 ]

Pin 1x week bij de bank binnen en mijn pas komt het huis verder nooit uit.
*btw mijn pasnummer staat op het bonnetje dan.

*edit: Die ik nooit laat uitprinten uiteraard.

[ Voor 41% gewijzigd door Anoniem: 197141 op 07-02-2020 00:12 ]

Ernemmer schreef op donderdag 6 februari 2020 @ 11:59:
[...]


Enige nadeel is dat je onder dwang op straat deze code wel afgeeft. Als je een persoonlijke reader heb is dit niet mogelijk, dan zullen ze eerst met jou naar je huis moeten.

Bij de ING kun je ook het maximale overschrijf bedrag dat je via de app kan overmaken instellen. Om dit aan te passen moet je inloggen op de MijnING.

Voorbeeld, wanneer iemand mijn pas en telefoon heeft, dan moet hij deze dus eerst unlocken. Daarna moet deze persoon de ING app in. In de app is deze gebonden aan een aantal limieten welke niet via de telefoon aangepast kunnen worden. Dus is maximale schade 2 x € 500,00, mijn maximale geldopname bedrag en maximaal over te schrijven bedrag, waarbij ook weer een unieke pin nodig is. Om de limieten aan te passen moet er dus op MijnING aangemeld worden, met een id en een password en wordt er ook weer sms authentcatie gebruikt. Ik heb de login code weer staan in een Keepass database welke versleuteld is en waarvoor ook weer een password, certificaat nodig zijn.

Voor mijn ouders hebben we het helemaal anders, die hebben niet eens toegang meer tot MijnING (in overleg en notarieel vastgelegd) en wanneer ze bestedingsruimte nodig hebben (dus even meer kunnen pinnen) dan regel ik of mijn zus dat, en grote bedragen maken wij over, kleine bedragen kan mams via IPad.

Wim-Bart schreef op vrijdag 7 februari 2020 @ 03:01:
[...]

Bij de ING kun je ook het maximale overschrijf bedrag dat je via de app kan overmaken instellen. Om dit aan te passen moet je inloggen op de MijnING.

Weet je dit zeker? Ik kan gewoon in de app de limiet verhogen. Een kwartiertje wachten en het is actief.

Rukapul schreef op dinsdag 4 februari 2020 @ 21:18:
[...]

Ik heb ook een ING rekening en dat is compleet anders: voor inloggen op internetbankieren heb je een los wachtwoord, een gepersonaliseerd token, en een aparte pincode nodig.

Kortom, niets gelijk aan wat je gebruikt bij betalen: pas met bijbehorende pincode.

Dat is vreemd .. een token ? ik heb al heel lang, sinds het opheffen v.d. Postgiro, een ING rekening. Bij inloggen via de PC gebruikte je eerst een username/password, en sinds en poosje is daar een extra identificatie via de app, dus je telefoon, bijgekomen. Een token kan ik me niet herinneren.
Maar mogelik ben ik naif, maar ik kan me dus bij ING in elk geval niet voorstellen dat ze met alleen een gestolen pas kunnen inloggen.

Jimster schreef op vrijdag 7 februari 2020 @ 03:25:
[...]

Weet je dit zeker? Ik kan gewoon in de app de limiet verhogen. Een kwartiertje wachten en het is actief.

Daar kwam ik ook achter en toen heb ik de app er weer af gegooid.

Oke lang verhaal kort zoals ik denk dat het zit

Op je rabo pasje staat het 4 cijferige pas nummer. Dit heb je nodig als je wil internet bankieren op de pc.
Als je betaald in de winkel staat het pas opvolg nummer op de bon, dit is dus niet het 4 cijferige pas nummer!

Heeft het zin om het pas nummer van de pas te krassen? Jazeker, want met pas+pin zonder de 4 cijferige pas nummer kan je op de pc niet inloggen.


Dan heb je nog de Rabo app met vingerafdruk/app code, maar dat is weer een ander verhaal.

sdk1985 schreef op vrijdag 7 februari 2020 @ 00:04:
[...]

Via de app kun je alles doen. Dus de telefoon + 5 cijferige code volstaat.

Dat wordt ook niet beweerd. Er staat dat je met de pas en pincode niet kunt internetbankieren. En dat klopt. Ik heb of m'n telefoon of m'n gebruikersnaam/wachtwoord nodig.

Ik zie eerlijk gezegd geen onderscheid in moeilijkheid tussen het bemachtigen van een pinpas+ pincode en een telefoon met unlock. Of eigenlijk is de kans dat je mijn pinpas te pakken krijgt veel kleiner want die zit 99% van de tijd in mijn portemonnee. Mijn telefoon heb ik regelmatig in mijn hand en die trek je er dus zo uit. De technieken om iemand zn pincode te observeren werken ook voor unlock patronen en pincodes. De ing betaalapp vraagt in de supermarkt ook regelmatig om mijn 5 cijferige code. Vermoedelijk net zo vaak als de fysieke rabopas.

Stel ik sta in de AH en jij jat mijn pinpas mét code. Dan kun je in mijn geval bij de rabobank iets van 500 euro pinnen bij de dichtstbijzijnde automaat en dan houd het op. Daarna moet je zo'n random reader bemachtigen en al zit je als dief zelf bij de Rabobank, dan nog moet je naar huis om hem fysiek op te halen. Hetgeen mij tijd geeft om de pas te blokkeren. Bovendien sta je tijdens pinnen op de foto.

Omgekeerd als je mijn telefoon te pakken krijgt icm met ING app dan kun je binnen een paar minuten een hele grote berg geld wegsluizen. Des te meer omdat ING is standaard graag zowel privé als zakelijk binnen dezelfde app met dezelfde code combineert (is wel omheen te werken gelukkig) en die code dus regelmatig in het publiek wordt gevraagd. Laatste keer dat ik checkte heeft mijn telefoon geen opstaande privacy randjes maar een OLED scherm met mega brede kijkhoek. Cruciale verschil met de rabobank app is weer opnieuw de random reader. Tenzij je als boef van alle banken al die readers meeneemt gaat dit toch een tijdswinst opleveren.

In mijn geval is het dus precies andersom. M'n telefoon heb ik eigenlijk nooit bij me in de winkel, m'n pas juist wel. Daarbij, als je m'n telefoon zou jatten, moet je hem eerst unlocken (ik gebruik vingerafdruk unlock, dus de kans dat je me mijn code ziet invoeren is zeer klein). Daarna moet je de ING app starten, ook weer met vinerafdruk (dus weer een zeer kleine kans dat je me de code ziet invoeren). Nu heb ik nog nooit betaald met m'n telefoon, dus ik heb geen idee hoe dat werkt...

Persoonlijk vind ik de app van de ING veel prettiger dan die van de Rabobank. Als ik ergens anders dan thuis ben, kan ik niets online kopen als ik met m'n Rabobank rekening wil betalen. Met de ING heb ik dat probleem eigenlijk nooit (of ik moet m'n telefoon niet bij me hebben, en hoewel ik hem eigenlijk nooit in m'n handen heb, heb ik hem meestal wel bij me, ergens).

Ernemmer schreef op vrijdag 7 februari 2020 @ 08:32:
[...]


Daar kwam ik ook achter en toen heb ik de app er weer af gegooid.

Omdat? Applimiet aanpassen gaat via de app. Je pinlimiet en ING-limiet zijn andere limieten die niet via de app instelbaar zijn.

Voor zover ik weet (en ik heb bij best wat banken in Europa gewerkt met de focus op betalingsverkeer) is misbruik van dedicated bankapps extreem minimaal in vergelijking met andere vormen van oplichting.

[ Voor 24% gewijzigd door FirePuma142 op 07-02-2020 08:59 ]

FirePuma142 schreef op vrijdag 7 februari 2020 @ 08:54:
[...]


Omdat? Applimiet aanpassen gaat via de app. Je pinlimiet en ING-limiet zijn andere limieten die niet via de app instelbaar zijn.

Het gaf mij de indruk dat ze eventueel gewoon je complete spaarrekening over kunnen schrijven vanuit de app.

FirePuma142 schreef op vrijdag 7 februari 2020 @ 08:54:
[...]


Omdat? Applimiet aanpassen gaat via de app. Je pinlimiet en ING-limiet zijn andere limieten die niet via de app instelbaar zijn.

Ja, in tegenstelling tot de rabobank, waar ik de pinlimiet kan instellen via de app (hoewel ook hier de max waarden lager zijn dan dat je via Mijn ING kunt instellen) maar niet de app limiet...

Ernemmer schreef op vrijdag 7 februari 2020 @ 08:57:
[...]


Het gaf mij de indruk dat ze eventueel gewoon je complete spaarrekening over kunnen schrijven vanuit de app.

Nee, alleen tot het max wat je ingesteld hebt (app limiet). Heeft niets met de pin limiet te maken.

[ Voor 27% gewijzigd door Wailing_Banshee op 07-02-2020 08:59 ]

Ernemmer schreef op vrijdag 7 februari 2020 @ 08:57:
[...]


Het gaf mij de indruk dat ze eventueel gewoon je complete spaarrekening over kunnen schrijven vanuit de app.

Ze? Iemand die zich toegang weet te verschaffen tot je telefoon en vervolgens tot je bank-app. Ja. Dat kan. Ik ken geen methodes waarbij dat kan zonder gebruik van biometrie en/of codes. Dus ik begrijp de weerstand niet helemaal?

FirePuma142 schreef op vrijdag 7 februari 2020 @ 09:06:
[...]


Ze? Iemand die zich toegang weet te verschaffen tot je telefoon en vervolgens tot je bank-app. Ja. Dat kan. Ik ken geen methodes waarbij dat kan zonder gebruik van biometrie en/of codes. Dus ik begrijp de weerstand niet helemaal?

Het voelt voor mij een beetje alsof je met al je geld over straat loopt de hele dag. Ik heb dan liever nog de fysieke barrière van de voordeur er tussen zitten.

Anoniem: 93050 schreef op vrijdag 7 februari 2020 @ 06:36:
[...]

Dat is vreemd .. een token ? ik heb al heel lang, sinds het opheffen v.d. Postgiro, een ING rekening. Bij inloggen via de PC gebruikte je eerst een username/password, en sinds en poosje is daar een extra identificatie via de app, dus je telefoon, bijgekomen. Een token kan ik me niet herinneren.
Maar mogelik ben ik naif, maar ik kan me dus bij ING in elk geval niet voorstellen dat ze met alleen een gestolen pas kunnen inloggen.

Als je geen mobiele bank apps gebruikt zoals ik dan heeft de ING daar de "ING Scanner" voor:
https://www.ing.nl/partic...kieren/scanner/index.html

Dacuuu schreef op vrijdag 7 februari 2020 @ 08:39:
Oke lang verhaal kort zoals ik denk dat het zit

Op je rabo pasje staat het 4 cijferige pas nummer. Dit heb je nodig als je wil internet bankieren op de pc.
Als je betaald in de winkel staat het pas opvolg nummer op de bon, dit is dus niet het 4 cijferige pas nummer!

Heeft het zin om het pas nummer van de pas te krassen? Jazeker, want met pas+pin zonder de 4 cijferige pas nummer kan je op de pc niet inloggen.


Dan heb je nog de Rabo app met vingerafdruk/app code, maar dat is weer een ander verhaal.

Om even hierop in te haken (en deze draad in het algemeen): ik heb ook de Rabobank en het grootste deel van ons spaargeld staat daar. Vind verder de bankomgeving en random reader prettig werken, maar nooit echt stil gestaan bij het feit dat als de pas gekopieerd/gestolen wordt en ze hebben de pincode kunnen afkijken dat ze dan in principe overal bij kunnen.

Na het lezen van deze draad ben ik het met bovenstaande toch wel eens: waarom niet je pasnummer er voorzichtig afhalen (vijlen?)?

Wellicht toch de Rabobank hierover eens contacten. Liefst zou ik nog een 2FA via de app bijv erbij krijgen als optie en dat je die zelf aan kunt zetten op je eigen rekeningen.

Jimster schreef op vrijdag 7 februari 2020 @ 03:25:
[...]

Weet je dit zeker? Ik kan gewoon in de app de limiet verhogen. Een kwartiertje wachten en het is actief.

Ja ik zie dat de limiet van overschrijven in de App zelf aangepast kan worden. Pin limiet echter niet.

Het systeem wat o.a. de Rabobank gebruikt kan beter. Zeker voor ouderen of mensen die wat minder ''oplettend'' zijn. Na diefstal pinpas+pincode met een willekeurige random reader inloggen kan tegenwoordig gewoon op de smartphone. Limiet verhogen tot 10k voor betaalautomaten en 5k voor geldautomaat. Dit zijn bedragen per week en de week loopt van woensdag tot woensdag. Helemaal leuk wordt het als er een katvanger is en je alle spaar en/of beleggingstegoeden overboekt.

ING heeft het beter geregeld en gebruikt de ING Scanner voor internetbankieren, die geef je een zelf verzonnen pincode en laat je thuis in de kast liggen wat een veel betere beveiliging geeft.

[ Voor 45% gewijzigd door Anoniem: 612265 op 08-02-2020 03:21 ]

Thralas schreef op donderdag 6 februari 2020 @ 21:24:
[...]


Hoe heb je dat ontdekt? Wáárom zou je 6 getallen invullen?

We zitten hier op een Tweakers forum. Een groot deel van de Tweakers zou hetzelfde hebben geprobeerd. Gewoon om te kijken wat er gebeurt.

Contactloze betalingen met PIN worden sowieso online geverifiëerd, dat wil zeggen: door de bank. Volgens mij is dat in een Nederlandse winkel in principe altijd zo, gezien de heisa omtrent pinnen als KPN er weer eens goed uitligt.

Waarom slaagt deze betaling dan? De pincode die ik intoets is echt een compleet andere pincode.

Die firmware is natuurlijk gesigned en de terminal voorzien van antitampermaatregelen.

Toch geldt nog steeds: Zodra in handen, dan security weg. Daar kan geen TPM tegenop.

Wat zegt Atos (fabrikant van de terminal, meen ik)?

Geen contact mee gehad

Deze snap ik niet, maar brengt me wel tot het volgende: ben je nagegaan of het bedrag wel wordt afgeschreven?

Ja. Bedrag wordt altijd afgeschreven. Ik pin altijd met de verkeerde code omdat dat zo lekker snel typt.

Cardholder verification is een enorm complexe set aan regels (kijk maar eens wat er op je eigen pas staat) en eindigt volgens mij vaak zelfs met 'No CVM required'.

Het is een feit dat de terminal de PIN niet zelf kan controleren, en het lijkt me uitgesloten dat de bank '000000' accepteert.

Is er hier niet iets anders aan de hand, namelijk dat de terminal offline is (de akkoord lijkt gevoelsmatig wel erg snel) en onjuist geconfigureerd waardoor hij de betaling (ten onrechte) offline accepteert?

Dit is al jarenlang zo. Deze AH heeft ook een keer een internetstoring gehad waardoor de betaalterminals niet konden worden gebruikt. Sowieso kan een offline betaling toch alleen met een imprinter worden gedaan? Onze PIN passen zijn niet geschikt voor een imprinter, een normale gestandaardiseerde debitcard wel: Antiek spul. Het lijkt mij uitgesloten dat de bank 000000 zou accepteren, maar het zou zo maar kunnen.

Maar: zelfs al zou dit mogelijk zijn, dan nog is fraude hiermee niet waarschijnlijk vanwege de redenen die hierboven keurig staan uitgelegd. Een payment terminal vereist een enorme paper/legal trail, wat iedereen die dit als kwetsbaarheid presenteert lijkt te vergeten (en de banken uiteraard hebben meegewogen in de keuze om betalingen zonder PIN te accepteren)..

Ik begrijp dat het legal gedeelte rekening houdt met dit soort firmware bugs. Ik begrijp ook dat je gewoon wordt vergoed als iemand met een malafide pincode geld opneemt van je rekening, omdat deze bug waarschijnlijk gewoon ergens is beschreven in de documentatie, maar dit is naar het publiek toe wel erg vreemd.

Pfoe.

Voor internetbankieren (ABN) heb je inderdaad alleen een unieke pas en pincode nodig.
Alles wat je dus bij het pinnen in de supermarkt ook nodig hebt. En dan kun je meteen bij je spaarrekening!

Rekeningnummer en pasnummer staan op het kaartje zelf.
De 'randomreader'

Ik heb natuurlijk 'weinig' geld op m'n betaalrekening (of moet net loon binnen hebben), maar m'n spaarrekening ben ik aan het groeien voor het kopen van een huis, dit kan dus relatief makkelijk in een keer weg zijn?

De bank gaat je ook echt niet helpen met zo'n bedragen, het is dan: "Ja, normaal is het veilig. En je moet op tijd je pas blokkeren en nooit je pincode laten zien."

Daar komt bij dat in veel supermarkten een spiegel aan het dak hangt bij de kassa, zodat de cassiere kan zien of je niet nog iets in het wagentje hebt. Via die spiegel kan de persoon achter je vaak prima je pincode lezen, terwijl het lijkt alsof hij naar het dak staart (of juist doet alsof ie bewust wegkijkt).

Als je niets spaart, valt het risico wellicht mee. Ik denk echter dat een zakkenroller echt wel het risico zou nemen om via een andere rekening, jou geld door te sluizen als je 10k of meer op je spaarrekening hebt staan.

Het gaat er ook niet om hoe groot de kans is, het effect voor een spaarder (lege betaal én spaarrekening) is dramatisch.
En als je ziet hoe vaak passen gerold worden inclusief pincode, zie ik niet hoe waarom de dief de moeite zou nemen om naar 10 verschillende automaten te rijden om enkel de lopende rekening te plunderen.

Accretion schreef op zaterdag 8 februari 2020 @ 11:03:
Pfoe.

Voor internetbankieren (ABN) heb je inderdaad alleen een unieke pas en pincode nodig.
Alles wat je dus bij het pinnen in de supermarkt ook nodig hebt. En dan kun je meteen bij je spaarrekening!

Rekeningnummer en pasnummer staan op het kaartje zelf.
De 'randomreader'

Ik heb natuurlijk 'weinig' geld op m'n betaalrekening (of moet net loon binnen hebben), maar m'n spaarrekening ben ik aan het groeien voor het kopen van een huis, dit kan dus relatief makkelijk in een keer weg zijn?

De bank gaat je ook echt niet helpen met zo'n bedragen, het is dan: "Ja, normaal is het veilig. En je moet op tijd je pas blokkeren en nooit je pincode laten zien."

Daar komt bij dat in veel supermarkten een spiegel aan het dak hangt bij de kassa, zodat de cassiere kan zien of je niet nog iets in het wagentje hebt. Via die spiegel kan de persoon achter je vaak prima je pincode lezen, terwijl het lijkt alsof hij naar het dak staart (of juist doet alsof ie bewust wegkijkt).

Als je niets spaart, valt het risico wellicht mee. Ik denk echter dat een zakkenroller echt wel het risico zou nemen om via een andere rekening, jou geld door te sluizen als je 10k of meer op je spaarrekening hebt staan.

Het gaat er ook niet om hoe groot de kans is, het effect voor een spaarder (lege betaal én spaarrekening) is dramatisch.
En als je ziet hoe vaak passen gerold worden inclusief pincode, zie ik niet hoe waarom de dief de moeite zou nemen om naar 10 verschillende automaten te rijden om enkel de lopende rekening te plunderen.

toon volledige bericht

Zoals ik al eerder aangaf, je moet zorgen dat je spaargeld elders staat. Het is bijzonder onverstandig om zoveel geld bij 1 bank te hebben staan. Al is het wel makkelijk dat je spaargeld direct beschikbaar is, als je bijvoorbeeld je spaargeld bij MoneYou zet dan heb je te maken met een dag wachttijd voor je je geld hebt.

Als die wachttijd een probleem is zou je bijvoorbeeld een rekening kunnen openen bij de ASN en die betaalrekening niet gebruiken en de pas lekker thuis laten liggen. ASN heeft instant payment dus je spaargeld kan in een paar seconden naar je ABN overgeboekt worden.

Trommelrem schreef op zaterdag 8 februari 2020 @ 09:37:
[...]
Waarom slaagt deze betaling dan? De pincode die ik intoets is echt een compleet andere pincode.
[...]
Ja. Bedrag wordt altijd afgeschreven. Ik pin altijd met de verkeerde code omdat dat zo lekker snel typt.

En ook meteen zichtbaar op je internetbankieren?

Dit is al jarenlang zo. Deze AH heeft ook een keer een internetstoring gehad waardoor de betaalterminals niet konden worden gebruikt. Sowieso kan een offline betaling toch alleen met een imprinter worden gedaan?

Nee. Offline kan ook met een betaalkaart. Alleen staat het maximum op de Maestropassen op €0,-.

Heb je dit filmpje eergisteren ook gemaakt? Ik heb het namelijk net geprobeerd met mijn Triodos kaart, maar die werkt niet mee (pin fout)

Drardollan schreef op zaterdag 8 februari 2020 @ 11:12:
[...]
Zoals ik al eerder aangaf, je moet zorgen dat je spaargeld elders staat.

Ja.

Ik ga in ieder geval bij de bank vragen wat de opties zijn.
Als er geen opties zijn, ben ik geneigd te een andere bank te nemen.

Dat ze ook geen Android contactloos betalen meer ondersteunen, neem ik ze namelijk ook nog kwalijk.

Lekker dom als ze pin+pas en ebankieren niet zouden kunnen scheiden, dan ga ik namelijk ook zeker geen hypotheek met ze aan. Het klinkt alsof ze het allemaal niet zo nauw nemen en het risico bij de klant leggen.

Eerlijk is eerlijk, zelf heb je ook een verantwoordelijkheid, maar aan deze, wat vergezochte, maar zeker realistische situatie had ik nog niet gedacht.

Ik was aan het zoeken op de Rabobank site voor een mailadres om dit soort onderwerpen aan te adresseren, maar ik kan überhaupt geen mailadres vinden. Ik kan ze bellen, dan krijg je gewoon de receptie van de lokale Rabobank aan de lijn, ze hebben twitter, dat gebruik ik zelf niet en vind ik voor een dergelijke vraag persoonlijk ook niet zo handig, en je kunt een chat starten, dan krijg je gewoon een helpdesk medewerker.

Jammer, want ik had ze graag een mail gestuurd met dit verhaal en om hun reactie willen vragen. En wat ik zat te denken: waarom geen 2FA aanbieden die je zelf kunt activeren als je dat wilt in je online omgeving (of app) en dan kunnen ze desnoods gewoon Google 2FA implementeren, die wordt op vele sites gebruikt en kan ik dan makkelijk aan mijn Authy account toevoegen. Dat zou een enorme verbetering zijn voor de veiligheid.