ING-klant kan contactloos betalen uitschakelen
De ING en ABN AMRO kondigden deze week een nieuwe betaalpas aan waarmee consumenten contactloos kunnen betalen, de optie is echter ook uit te schakelen. Dat zegt ING-woordvoerder Daan Heijbroek tegenover Security.nl. Via de contactloze betaalpas is het straks mogelijk om op afstand af te rekenen. Net als bij reguliere pinbetalingen worden betaalgegevens bij contactloze betalingen beveiligd uitgewisseld met de betaalautomaat.
De bestaande betaalpassen van de ING- en ABN AMRO-klanten worden vanaf medio 2013 gefaseerd vervangen door de nieuwe betaalpas. Klanten die niet contactloos willen betalen en deze optie voor hun betaalpas willen uitschakelen krijgen hiertoe de mogelijkheid. Hoe dit precies in z'n werk zal gaan is nog niet duidelijk. "We zijn momenteel bezig met de uitwerking van dit systeem. Het is te vroeg om daar iets over te zeggen", aldus Heijbroek.
Vertrouwen
Sommige consumenten hebben weinig vertrouwen in het nieuwe systeem dat nog moet komen. Volgens de woordvoerder is er geen reden tot zorgen. "Contactloos betalen maakt gebruik van de chiptechnologie op de pas en is daarmee zeer veilig. Met de betaalpas kan op de gebruikelijke manier betaald worden door de pas in de betaalautomaat te steken."
Bij contactloos betalen wordt via dezelfde chip betaald en via de antenne de betaalgegevens uitgewisseld met de betaalautomaat die daarvoor geschikt is. Daarnaast zouden er ook consumenten zijn die niet kunnen wachten op de nieuwe betaalmethode. "De meest gestelde vraag over contactloos betalen is wanneer zij de pas krijgen."
Reacties (23)
02-11-2012, 14:09 door
User2048
Volgens mij is de mogelijkheid van een replay attack met dit soort passen jaren geleden al bewezen.
Contactloos betalen maakt gebruik van de chiptechnologie op de pas en is daarmee zeer veilig.
De OV-chipkaart maakt ook gebruik van chiptechnologie op de pas. Q.E.D.Keuze heb ik dan net zoveel als nu: Zonder bank ben ik nergens. Wat op zich al best een aanslag is op mijn privacy.
En keer op keer laten de banken collectief in kleurrijk detail zien wat ze toch van hun klanten vinden.
En keer op keer laten de banken collectief in kleurrijk detail zien wat ze toch van hun klanten vinden.
Door User2048: Volgens mij is de mogelijkheid van een replay attack met dit soort passen jaren geleden al bewezen.
Het eerste woordje "de" in je quote maakt een wereld van verschil ;)Contactloos betalen maakt gebruik van de chiptechnologie op de pas en is daarmee zeer veilig.
De OV-chipkaart maakt ook gebruik van chiptechnologie op de pas. Q.E.D.Er wordt nergens geclaimd dat chiptechnologie veiligheid biedt, er wordt enkel geclaimd dat contactloos betalen dezelfde chip gebruikt als 'normaal' betalen en daarmee zeer veilig is.
Je vergelijking met de OV-Chipkaart slaat dus helemaal nergens op.
De veiligheid van EMV chips in twijfel trekken is natuurlijk prima, maar kan je dat niet doen met fatsoenlijke bronnen in plaats van "volgens mij... jaren geleden..." en kromme vergelijkingen met een totaal andere, zwaar inferieure chiptechnologie?
Zou op zich wel een mooie ontwikkeling zijn als de ING zou invoeren dat de klant voorkeuren kan instellen.
Helaas biedt de ING dat tot nu toe totaal niet.
Ik hoop dat meneer Heijbroek dat ook weet, en het roer bij ING flink om zal gooien.
Ik zou als ING klant bijvoorbeeld het volgende willen kunnen instellen:
- mijn kredietlimiet op de betaalrekening wil ik op 0 kunnen zetten (die is nu default 250 en kun je alleen verhogen)
- de limieten voor pinbetalingen en geldopnames instellen ipv de standaard door ING bepaalde limieten gebruiken
- de mogelijkheid om een nieuw telebankieren password per SMS op te sturen uitschakelen
Ik heb hier bij de klantenservice naar geinformeerd maar het is allemaal niet mogelijk en de enige mogelijkheid
die ze bieden als ze weer eens iets doms verzinnen (zoals dat wachtwoord per SMS) is je rekening opzeggen.
Individueel dingen instelbaar zijn zou revolutionair zijn bij ING.
Ik ben sceptisch.
Helaas biedt de ING dat tot nu toe totaal niet.
Ik hoop dat meneer Heijbroek dat ook weet, en het roer bij ING flink om zal gooien.
Ik zou als ING klant bijvoorbeeld het volgende willen kunnen instellen:
- mijn kredietlimiet op de betaalrekening wil ik op 0 kunnen zetten (die is nu default 250 en kun je alleen verhogen)
- de limieten voor pinbetalingen en geldopnames instellen ipv de standaard door ING bepaalde limieten gebruiken
- de mogelijkheid om een nieuw telebankieren password per SMS op te sturen uitschakelen
Ik heb hier bij de klantenservice naar geinformeerd maar het is allemaal niet mogelijk en de enige mogelijkheid
die ze bieden als ze weer eens iets doms verzinnen (zoals dat wachtwoord per SMS) is je rekening opzeggen.
Individueel dingen instelbaar zijn zou revolutionair zijn bij ING.
Ik ben sceptisch.
02-11-2012, 15:36 door
[Account Verwijderd]
[Verwijderd]
Misschien eerst eens proberen om 1 maand zonder storingen internetbankieren te laten werken?
Dat is waarschijnlijk teveel gevraagd.
Dat is waarschijnlijk teveel gevraagd.
Joehoe, banken... Ik *wil* helemaal niet met plastic betalen. Het gaat de verkoper niet aan wie ik ben en het gaat U niet aan wanneer ik waar was en evt. wat ik daar gekocht heb. Doe maar gewoon cash... Werkt ook draad & contactloos.
02-11-2012, 17:28 door
Mozes.Kriebel
Transacties zonder PIN-authenticatie? Dacht het niet.
Door Mozes.Kriebel: Transacties zonder PIN-authenticatie? Dacht het niet.
Er komen limieten aan de transacties. De pinloze transacties zit een maximum van iets van 25 EUR aan. Contactloos met pin wordt hoger dan 25 maar lager dan 200 ofzo.
Door User2048L Volgens mij is de mogelijkheid van een replay attack met dit soort passen jaren geleden al bewezen.
Nee, de EMV chips hebben geen mogelijkheid tot replay. Ook niet jaren terug. Relay attacks zijn wel mogelijk, evenals sommige wat lastiger uit te buiten mogelijkheden zoals authentication downgrade (in de UK). Ross Anderson heeft hier veel research naar gedaan. Ook Adam Laurie heeft wat praktische implementaties gemaakt, maar die waren niet contactless, maar met contact.
02-11-2012, 20:32 door
Morbius
De ING en ABN AMRO kondigden deze week een nieuwe betaalpas aan waarmee consumenten contactloos kunnen betalen, de optie is echter ook uit te schakelen
Ik had liever gezien dat klanten die de nieuwe technologie wel willen, deze aan kunnen zetten.
Door Hugo:
Contactloos betalen maakt gebruik van de chiptechnologie op de pas en is daarmee zeer veilig.
Klanten die niet contactloos willen betalen en deze optie voor hun betaalpas willen uitschakelen krijgen hiertoe de mogelijkheid.
Waarom gaat dit niet echt samen? Als de ING vindt dat het zo veilig is, waarom bieden ze dan de mogelijkheid om het uit te schakelen? Blijkbaar weten ze zelf ook dat het niet helemaal klopt.Dat laatste is een non-sequitur.
Als mensen iets niet _willen_, dan ben je als leverancier goed bezig door ze mogelijkheid te geven om het niet gedwongen te moeten afnemen.
Ook als het misschien wel perfect veilig is.
Vanuit de bank gezien zal het uitzetten een redelijk goedkope feature zijn (stukje extra proces, klein beetje code, en wellicht is het een optie die toch al technisch nodig was om verloren/ingetrokken passen te kunnen blokkeren) om een heleboel rumoer, bezwaren en deels vertrekkende klanten te ondervangen.
(als ik je redenering omdraai, dan vind je blijkbaar dat als een nieuwe feature "veilig" is, die dan persé ook bij onwillende klanten opgedrongen moet worden ? )
Ze adverteren dit soort grapjes ook standaard verkeerd. Er had gewoon moeten staan dat de functie er voor 50 cent per maand bij gekocht kan worden. Klaar, iedereen wil het ;)
Banken doen er steeds meer aan om alles zo elektronisch mogelijk te laten verlopen terwijl ze steeds meer verantwoordelijkheid voor veiligheid bij de klanten leggen. Ze dringen onveiligheid op op je eigen kosten. Het draadloos betalen is helemaal niet populair of gewild, behalve bij de marketingafdeling en de winstmakers. Het is een honderdenmiljoenen kostende nieuw betalingssysteem waar de klant kosten en moeite voor moet insteken om er geen last van te hebben en om op te draaien voor de fouten en beveiligingsproblemen. Het is nogal triest dat twee staatsbanken zo omgaan met het grootste deel van de miljoenen bankierende burgers en ondernemers in Nederland. Ze hebben nog steeds niets geleerd van alle blunders en foute keuzes de afgelopen tientallen jaren aan automatisering in het bankwezen. Het enige wat voor ING en ABN AMRO belangrijk is is dat ze weer een nieuwe melkkoe heben om op kosten van de gebruikers nog meer winst te maken met zo min mogelijk risico voor de bank. Ze moeten zich diep diep schamen voor dit gedrag!
03-11-2012, 12:34 door
spatieman
de S3 heeft een optie, die kan OV kaarten, en bank pas kaarten uitlezen, nu is het alleen nog wachten op een ap die dus ook de boel kan manipuleren.
Door Mozes.Kriebel: Transacties zonder PIN-authenticatie? Dacht het niet.
Net zoals de chipknip/chipper, waarom niet ?
Jammer dat die bezig zijn uit te sterven .
Met een beperkt saldo is het verlies risico te overzien. Het werkt sneller, en bovendien ben je niet gedwongen om je pin 'overal en nergens' voor flut transacties in te voeren. Daarmee beperk je het aantal momenten en locaties waar je pin afgekeken kan worden.
pin-loos en contact-loos toegang tot je volledige saldo puur op basis van het bezit van een pas (of telefoon app met magisch credential) is natuurlijk wel erg fout.
03-11-2012, 16:35 door
Army
Door spatieman: de S3 heeft een optie, die kan OV kaarten, en bank pas kaarten uitlezen, nu is het alleen nog wachten op een ap die dus ook de boel kan manipuleren.
Helaas is al bewezen (tijdens Blackhat 2012 dacht ik) dat dit met sommige OV-kaartjes kan vanwege een foutieve implementatie.Waarschijnlijk wordt het net als bij de proef bij Rabobank een maximaal bedrag per dag/week en ja die chip kun je ook uitlezen, maar het enige wat je ziet is dat het protected content is. Je hebt dus echt de sleutel van de automaat nodig om je ID te voorschijn te toveren. Het saldo zit niet in de kaart. Uitlezen lukt alleen op zeer korte afstand en voor de mensen die dagelijks die limiet kwijt zijn aan criminelen is er ook gewoon aluminiumfolie dat je om de plastic kaarthouder kunt plakken (of zo'n metalen visite kaartjeshouder oid).
Kortom: de kans dat je gewoon een vals tientje als wisselgeld krijgt is waarschijnlijk groter.
Kortom: de kans dat je gewoon een vals tientje als wisselgeld krijgt is waarschijnlijk groter.
Ik laat contactloos betalen direkt uitschakelen, maar wil daar wel een geldige (papieren) bevestiging van. Niet de situatie dat de ING zonder mijn medeweten ineens de papieren afschriften stopt, waarop ik dan weer allerlei handelingen moet verrichten om dat ongedaan te maken en de papieren afschriften te behouden. m.a.w. de ING verandert mijn instellingen zonder mijn instemming en zonder mijn medeweten, met als gevolg dat ik nu regelmatig moet checken of de papieren afschriften nog wel aangevinkt staan. Leuk als ze zo gaan rommelen met de contactloze betaalchip!
03-11-2012, 19:09 door
SPlid
Ik vind het jammer dat enerzijds de banken de risico's van de voor hun veel goedkopere elektronische betalingsmiddelen steeds meer bij de consument willen neerleggen. (Eerst "bewijzen"dat je goed gepatched bent voordat we enige reclamaties accepteren. in plaats van : u kunt alleen gebruik maken van internet bankieren als u goed gepatched bent en de juiste virus scanner draait, anders kunt u geen internetbankieren genbruiken )
Ik zou sterk willen en adviseren om eerst de huidige methoden fool/idiot proof te maken, voordat er weer iets anders in de markt wordt gezet. Ik ken mensen die inmiddels zo paranoia zijn dat ze bij internet bankieren diverse devices gebruiken om hun transacties er door heen te "lozen" , je zou je toch veilig moeten voelen als je online betaald of een pin transactie doet .
Ik zou sterk willen en adviseren om eerst de huidige methoden fool/idiot proof te maken, voordat er weer iets anders in de markt wordt gezet. Ik ken mensen die inmiddels zo paranoia zijn dat ze bij internet bankieren diverse devices gebruiken om hun transacties er door heen te "lozen" , je zou je toch veilig moeten voelen als je online betaald of een pin transactie doet .
04-11-2012, 18:21 door
AdVratPatat
Door Anoniem: Waarschijnlijk wordt het net als bij de proef bij Rabobank een maximaal bedrag per dag/week en ja die chip kun je ook uitlezen, maar het enige wat je ziet is dat het protected content is. Je hebt dus echt de sleutel van de automaat nodig om je ID te voorschijn te toveren. Het saldo zit niet in de kaart. Uitlezen lukt alleen op zeer korte afstand en voor de mensen die dagelijks die limiet kwijt zijn aan criminelen is er ook gewoon aluminiumfolie dat je om de plastic kaarthouder kunt plakken (of zo'n metalen visite kaartjeshouder oid).
Kortom: de kans dat je gewoon een vals tientje als wisselgeld krijgt is waarschijnlijk groter.
Vals geld begint pas bij briefjes van €20,- dus dat lijkt me stug :pKortom: de kans dat je gewoon een vals tientje als wisselgeld krijgt is waarschijnlijk groter.
Maar dat het alleen gaat om het contactloos uitlezen van kaart-data had wat duidelijker vermeld mogen worden als ik bovenstaande reacties zo lees. De PIN code moet dus gewoon met je vingertjes in worden getikt.
Desalniettemin maakt dit het skimmers wel makkelijker om kaart-gegevens te bemachtigen waardoor ze theoretisch alleen nog je PIN code hoeven af te kijken...
Lijkt me zeer verstandig om het uit te schakelen.
Straks loop je ergens op een festival, markt, iets anders 'druks' en dan loopt daar e.o.a. handige hacker met een mobiel pinapparaat bij zich en laat iedereen ff contactloos maximaal 25 euro betalen. Ze hoeven zelfs je pincode niet meer eerst te 'skimmen' of af te kijken.
De banken betalen foute afschrijvingen toch terug dan, dus die gasten kunnen tegen die tijd op die mannier tonnen aan geld 'verzamelen'.
Goed systeem, haha, alles is volgens mij op termijn gevoelig voor e.o.a. slimme gast om er misbruik van te maken.
Nu alleen nog maar ff wachten op de eerste mega-fraude hiermee.
Straks loop je ergens op een festival, markt, iets anders 'druks' en dan loopt daar e.o.a. handige hacker met een mobiel pinapparaat bij zich en laat iedereen ff contactloos maximaal 25 euro betalen. Ze hoeven zelfs je pincode niet meer eerst te 'skimmen' of af te kijken.
De banken betalen foute afschrijvingen toch terug dan, dus die gasten kunnen tegen die tijd op die mannier tonnen aan geld 'verzamelen'.
Goed systeem, haha, alles is volgens mij op termijn gevoelig voor e.o.a. slimme gast om er misbruik van te maken.
Nu alleen nog maar ff wachten op de eerste mega-fraude hiermee.
Het grootste nadeel:
als je je pas kwijtraakt kan elke vinder je rekening plunderen tot deze tot en met je krediet leeg is.
Het bedrag wordt ook niet meer vergoed door de bank. maw je bankpas wordt een zeer gewild item voor 'verzamelaars'
als je je pas kwijtraakt kan elke vinder je rekening plunderen tot deze tot en met je krediet leeg is.
Het bedrag wordt ook niet meer vergoed door de bank. maw je bankpas wordt een zeer gewild item voor 'verzamelaars'
Een nieuwe betaalmethode die meer gemak biedt. De veiligheid wordt betwijfeld. Om het huidige nivo van veiligheid te houden moet je opnieuw zelf stappen ondernemen. Ben ik gek, of is het moderne elektronische betalen helemaal niet makkelijker of veiliger dan die goeie oude contanten?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
