Vinden we dit gek na de andere nfc-gebaseerde debacles waar keer op keer de beveiliging te wensen over liet?

Sterker nog, het risico op ongemerkte onderschepping van de transactiedata is alleen maar groter...
situatieschets:
Iemand heeft een compact apparaat gemaakt dat de rfid-signalen van het betaalverkeer capturet. Doordat het betaalverkeer met behulp van NFC gaat kan dit ongemerkt gebeuren en zelfs met een verbluffend laag energieverbruik. à la, met een enkele transactie is dan de kous niet af, maar stel je voor dat dit gebeurt bij een kleine dorpssuper, waar de gemiddelde inwoner 2 a 3 maal per week die betaalterminal gebruikt, heb je binnen no-time genoeg 'samples'...
Je kan dus een vrij compact apparaat (in principe) onder de terminal plakken en dan is het voldoende binnen bereik...
eens in de zoveel tijd de zaak even binnen gaan, en dan uitlezen met behulp van NFC, evt tussentijds af en toe de capture-module weer verwijderen om te voorkomen dat het opgemerkt wordt...

Het beveiliginsprobleem is zodoende mijner insziens alleen maar groter geworden, in plaats van een terminal te moeten vervangen voor je de pas mogelijk kon uitlezen hoeft nu een apparaat enkel dicht genoeg bij de transactie zelve geplaatst te worden... waarbij het engste is dat de capture-device enorm compact zal kunnen zijn... en dus des te makkelijker geplaatst/verstopt.

Ik zie het voordeel niet van contactloos betalen. Die paar seconden winst valt te verwaarlozen. Een oplossing voor een probleem dat helemaal niet bestaat.
Je zou haast zeggen dat ze het door je strot duwen om contant geld overbodig te maken.

"En de betaalautomaat staat altijd ergens geregistreerd. Dat maakt het minder aantrekkelijk voor criminelen. Mocht de betaalpas na verlies of diefstal gebruikt zijn voor contactloze betalingen, dan vergoedt ING aan de klant het bedrag dat is afgeboekt."

Een 'dief' maakt een compacte betaalautomaat waarvan het uitleesdeel in de hand past. Deze automaat is gekoppeld aan een bankrekening van een 'lege' BV. Deze dief loopt vervolgens een dag door Amsterdam en gaat met de ontvanger langsbroekzakken en tassen en 'pint' op die manier iedere keer € 25,-. De slachtoffers merken iets, en komen er pas een paar dagen later wanneer blijkt dat er een rare afschrijving is geweest. Tegen die tijd is de bankrening gekoppeld aan de betaalautmaat leeggehaald en de dief verdwenen. En de klant? Die is zijn geld kwijt. De pas is immers niet kwijtgraakt of gestolen en de klant moet maar bewijzen wat er gebeurd is.

Daarom weiger ik een NFC betaalpas van mijn bank.

En dan te bedenken dat een deel van de contactloos betalen acties de mensen door de strot zijn geduwd. Zoals bjiv. in kantines waar de chipknip vervangen is door contactloos betalen. En de tijdwinst is toch 0 of zelfs negatief. Voor mij geen contactloos betalen

Contactloos betalen is dom en gevaarlijk zonder dat het toegevoegde waarde heeft. Logisch gebruiken niet veel mensen het. D'r is zelfs een hele topic over hoe je de functie onklaar kan maken: https://www.security.nl/posting/420099/Contactloze+bankpas+downgraden+naar+normale

Let op mij woorden .... dit wordt net zo'n flop als die chipknip !!!!!!

Doet mij denken aan de fabrikant die dacht dat iedereen binnen ons bedrijf ging betalen met de chipknip (+ oplader)
Het ding werd na enige tijd, ongebruikt, weer verwijderd. De meeste mensen laten zich niet zomaar iets door het keelgat drukken.

De RIFD chip op mijn kaart staat in elk geval uitgeschakeld, dat dan weer wel.

misschien is het handiger om dieper in de materie te duiken voordat je dit soort statements maakt. Samples halen heeft helemaal geen zin. Bovenop de iso 14443 laag voor communicatie wordt er gebruik gemaakt van EMV technologie. Hierbij wordt er door zowel de POS als de kaart een random challenge gestuurd. Daarbij verstuurd de kaart ook nog een sequence number. Als er ook maar iets niet klopt in deze transactie dan wordt de transactie door de issuer host gedeclined. De POS devices in Nederland zijn goed genoeg getest op randomization van de challenge. Dit is in het verleden nog wel anders geweest. Een replay attack wordt hierdoor zo goed als onmogelijk.

Het risico is 25 euro zonder pincode, echter gaat de transactie (in NL) altijd online, waardoor de issuer host ALTIJD deze verificatie doet. Het enige risico waar contactloos en mobiel betalen op dit moment mee te maken hebben zijn relay attacks waarbij je ook nog met timinig issues te maken hebt. Het heeft dus alleen zin als je binnen 10 cm van je target af bent en iemand anders in een winkel op dat moment staat te betalen. Mocht er tijdens de transactie een soft reset gebeuren (bijvoorbeeld de kaart verdwijnt uit het veld) tijdens de verschillende APDUs die worden verstuurd dan mislukt de transactie. Daarnaast sta je in 99% van de tijd altijd met je snuffer op een camera van een winkel. De inschatting van banken om daar 25 euro voor te vergoeden is daardoor een logische keuze.

Buiten het feit dat het criminelen in de kaart speelt voor bedragen tot 25 euro heeft het boven 25 euro geen enkele toegevoegde waarde omdat alsnog de pincode in de lezer moet worden ingevoerd.

Het heeft sterker nog alleen maar nadelen: jouw pas is aan jou als natuurlijk persoon gekoppeld en kan overal waar hij gaat gevolgd worden. Veel betrouwbaarder als een gsm ( die je ook op elk moment tijdelijk uit kan zetten ).

Het enige voordeel is voor de bedrijven die jouw locatiegegevens en koopgedrag kunnen doorverkopen.

Wordt daarom gewoon door de strot geduwd, net als bv die Rabo scanner, welke ook een ernstig beveiligingsrisico en meerdere privacy problemen introduceert.

Staat die chip uitgeschakeld of staat die gewoon aan en heb je op de website van de klant 'contactloos betalen' uitgezet?

In dat laatste geval ga ik er van uit dat het RFID deel van je pas gewoon aan staat en enkel de backend van de bank een vlaggetje heeft staan om betalingen te weigeren of the negeren.

Wanneer je (voor kleine betalingen) geen pincode meer hoeft in te toetsen, wordt de kans dat deze pincode wordt afgekeken, ook kleiner. En daarmee wordt de diefstal van pinpassen minder interessant, wat weer minder schade oplevert voor de banken. Dus die 25 euro die je kan verliezen op een gestolen pas, kon wel eens heel goed uitpakken voor zowel de klant als de bank.

Wanneer je voor iedere flutbetaling weer opnieuw je pincode moet intoetsen, loop je ook iedere keer weer de kans dat iemand meekijkt en vervolgens je pinpas steelt. Dat vervolgens jouw complete bankrekenig wordt leeggeroofd, dat heeft nogal wat impact, ook wanneer je na een week (of weet ik veel hoeveel dagen) al dit geld van de bank weer terug krijgt.

Zelfs al zou contactloos betalen niet sneller zijn, dan nog zie ik voordelen.

De banken hadden de consument wel eens kunnen vragen of zij op contactloos betalen zat te wachten.

Het antwoord is duidelijk nee.

Zo lekker negatief weer iedereen, heerlijk bij de ah to go (in mijn eigen bedrijfspand) even snel een lunch of drankje scoren.
Aangezien het max bedrag 25 euro is en het mij tijd scheelt vind ik het een uitkomst.
Kleine kans, lage impact => laag risico en veel besparing van tijd en irritatie.

Dat vind ik een zeer slecht voorbeeld; het stelen van een pas en het afkijken van een pincode die je met je beurs afschermt zal veel meer opvallen dan iemand die in een rij voor een kassa simpelweg kort op iemand staat.

En je rekening leegroven kun je simpelweg voorkomen met een dagelijks opnamelimiet.

Het is dus een oplossing voor een probleem wat niet bestaat.

Haha, een probleem dat niet bestaat.... duizenden mensen zijn al slachtoffer geworden van deze vorm van criminaliteit (pincode afkijken en vervolgens pas stelen).

Contactloos betalen bij kleine bedragen is helemaal zo gek niet. Je pincode kan inderdaad niet meer afgekeken worden en alle risico's die hier worden geschetst met betrekking tot de beveiliging zijn vooralsnog allemaal lucht.

Dat mag je een slecht voorbeeld vinden, toch is het er eentje uit de dagelijkse praktijk.

Je weet ook hoe eenvoudig het is om deze aan te passen? En je weet ook dat je met de pas en pincode in je bezig, bij o.a. ABN en Rabo kunt inloggen op Internetbankieren en iDeal-betalingen kunt doen? Hoe denk je dat te gaan beschermen?

Nou, het is volgens de NVB een probleem van een paar miljoen euro per jaar. En dat sluit wel aan bij de cijfers die ik ken.

Door contactloos betalen mogelijk te maken, wordt de kans op afkijken aanzienlijk verkleind en diefstal minder aantrekkelijk gemaakt. En mocht de pas toch worden gestolen zonder pincode, dan is de impact van diefstal voor zowel klant als bank veel kleiner.

(Ps. werkzaam bij een bank, misschien niet objectief, maar wel bekend met de praktijk van diefstal en fraude)

Ik heb ook zo een betaalpas met NFC mogelijkheid. Ik vind het prima werken en nog lekker snel ook. Ter bescherming tegen het ongewenst uitlezen heb ik wel een hele mooie nieuwe portemonee aangeschaft, dat had ik jaren eerder moeten doen. Deze Secrid (https://www.secrid.com/) is ideaal klein, kan 11 pasjes hebben met wat briefgeld en past toch stukken beter in mijn broekzak dan mijn vorige portemonee. Plus je kunt 7 van de 11 pasjes beschermen tegen ongeautoriseerd uitlezen.

Disclaimer: ik heb geen enkele band met Secrid behalve dat ik een tevreden gebruiker ben.

Daar komt ook nog eens bij dat het, als de banken het hadden gewild, natuurlijk ook mogelijk was geweest om de manier van het afhandelen van pintransacties te veranderen en mensen op die manier zonder pincode maar met chip (de fysieke manier dus) te laten betalen als het bedrag kleiner is dan 25 euro. Om hier nu apart een NFC kaart voor te nemen lijkt mij inderdaad een oplossing voor een niet bestaand probleem.


Dit is allemaal leuk en aardig (en verstandig om te doen natuurlijk) maar je bent dan al iets van 50 euro kwijt omdat je een pas hebt gekregen waar je niet om hebt gevraagd.

Goede ontwikkeling! Vooral bij kleine betalingen in een drukke omgeving (voetbalstadion?) kan de pincode niet meer worden afgekeken. Bij diefstal van de pinpas is de maximale buit minder dan 50 euro, voor veel kwaadwillenden te weinig om het risico te nemen dat de diefstal (poging) wordt ontdekt.

Hoeveel anders is contactloos betalen in dit opzicht van chip of magstripe volgens jou?Een hoop niet relevante zaken...

Maar dat bestaat al hoor, bij parkeerautomaten in Amsterdam (daar ken ik het van) hoef je ook geen pincode op te geven voor kleine bedragen maar alleen je pas in de automaat te steken. Het kan dus wel gewoon zonder NFC.

Beide aannames die je doet, zijn onjuist ;)

- ik heb actief mijn bank benaderd om een pas met NFC te ontvangen
- die portemonee had ik sowieso gekocht, met of zonder NFC pas omdat het een superfijn en compact ding is

Allereerst; misschien moet men bij banken eens stoppen met mensen als debielen te behandelen omdat ze zich dan ook zo gaan gedragen. Als klanten hun pincode af laten kijken is dat hun eigen verantwoordelijkheid. Lijkt me onmogelijk de code af te kijken als een klant het zicht op het toetsenbord blokkeert met een hand of beurs, ook bij een geldautomaat (hier kan immers skim apparatuur gemonteerd zijn). Mocht dat dan toch nog gebeuren is de schade op de dief te verhalen met behulp van ontelbare camerasystemen in winkels en publieke ruimten (deze zijn daar immers voor bedoeld, voor de veiligheid van het publiek).

Ten tweede internet bankieren heeft er weinig mee te maken, dat doe je immers niet als je bij de kassa staat en gaat betalen maar thuis als je geld overmaakt, waar je aan nfc niets hebt.

Ten derde je limiet kun je eenmalig thuis op een redelijk bedrag instellen waar je niet verwacht overheen te gaan in een dag. Zo blijft de schade beperkt; ik ga er vanuit dat als je pas gestolen is, je hem niet pas 3 weken later laat blokkeren. En ow ja heel erg simpel, maak het mogelijk dat je nieuwe opnamelimiet pas na 24 of 48 uur actief wordt, dan kun je het nooit aanpassen voordat de pas geblokkeerd is. Kleine moeite lijkt me, iets dat veel banken standaard al doen. Die van jou dus blijkbaar niet; iets wat je als verbeterpunt zou kunnen aandragen.

Heb je er bij stil gestaan dat winkels hun beveiligingspoortjes kunnen aanpassen en zo passen kunnen gaan volgen, gekoppeld aan een enkele pin betaling weten ze altijd waar en wanneer een natuurlijk persoon is. Dat is gelijk het antwoord op anoniem 22:09 25-09. En o ja, als criminelen dit op den duur kunnen hebben ze een perfect middel om te controleren of een pashouder niet thuis is en er ingebroken kan worden. Het is naïef om te denken dat dit niet mogelijk zal zijn en arrogant om klanten aan een nieuwe, onbeheersbare risico's bloot te stellen om je zo voor beheersbare risico's in te dekken.

Daar moet men echt eens mee stoppen; de oplossing is altijd heel simpel als mensen zelf nadenken en maatregelen nemen. Daar moet met eens de scope leggen ipv bakken met geld uitgeven aan falende technieken. Dat geld, die servicekosten, die moeten mensen die WEL opletten ook betalen, en dat is onterecht!

Nog een voorbeeld, mensen die wel opletten worden gestraft als ze bijvoorbeeld een OS gebruiken waar geen virusscanner voor bestaat. Dat is een van de internetbankier regels, terwijl bij het gebruik van dit OS bv kennis van software ver boven gemiddeld is. Beetje scheef niet? De bedoelling is goed, maar de praktijk is minder. Hoesjes uitgeven voor deze passen om vervolgens telkens je pas er uit te moeten peuteren, nee dat is handig hoor... Dan moet je maar die lelijke pasjesbeurs van € 50,- kopen....? Komop zeg...!

Daarom nogmaals. De beste oplossing is vaak de meest eenvoudige. Zolang mensen niet blijven opletten en denken dat ze zelf geen verantwoording hebben over hun eigen geld, zullen criminelen er altijd in slagen manieren te vinden om ze geld afhandig te maken.

De kop en conclusies in het artikel verbazen me.

In absolute aantallen, ja: 10 miljoen van de 263 millioen betalingen is niet veel.

Het is wel een stijging van 2000 % ten opzichte van een jaar eerder. De kop had dus ook kunnen zijn: contactdoos betalen zit in de lift.

Als ik verder kijk naar de cijfers komt de vraag op: hoeveel van de betalingen die is gedaan vond plaats op een locatie waar contactdoos betalen mogelijk is én betreft betalingen van onder de 25 euro (gecorrigeerd naar eerdere betalingen die dag van dezelfde persoon).

Ik vermoed zomaar dat het % contactloze betalingen dan een stuk hoger wordt, en gegeven de groei van 2000% lijkt het dus op een succes.

Voor iedereen die er geen gebruik van wilt maken, dan doe je dat niet. Een klein scheurtje in je pas en klaar.

[edit: typos]

Niet iedereen is hetzelfde, ik betaal (bij bepaalde omstandigheden) juist graag contactloos (en zonder pincode) en ben toch niet debiel.

Over de rest van je reactie, de betaalpas is voor zover ik begrijp niet te volgen met aangepaste betaalpoortjes en je favoriete besturingssysteem heeft hier ook niets mee te maken...

Als jij prettig vindt en dat risico wil lopen is dat helemaal aan jou, maar dan is het wel eerlijk dat anderen niet ook gedwongen worden en moeten meebetalen voor iets dat jij wel leuk of handig vindt en voor hen alleen maar een extra risico is. Zou je het ook eerlijk vinden als de premie voor iemand die elke week een aanrijding veroorzaakt even hoog is als iemand die 40 jaar schadevrij rijdt? Of dat iedereen een alcoholslot moet aanschaffen omdat er enkele onder ons zijn die wel met drank op achter het stuur kruipen? Dacht ik al; jij wil ook niet betalen voor het gestunt van anderen? En heeft je OS hier niets mee te maken...? Denk dan eens na over de premie van autoverzekeringen en vergelijk het met een Windows gebruiker die wel antivirus heeft draaien maar ook alles aanklikt wat hij tegenkomt, moeten mensen die wel uitkijken hier ook aan meebetalen, terwijl ze zelf geen recht hebben op enige vergoeding? Dit heeft alles ermee te maken; banken rollen deze (voor velen ongewenste of onzinnige) technieken altijd voor iedereen uit en laten dus iedereen opdraaien voor de kosten en gevaren.

Als je de aanname doet dat nfc waterdicht is dan zou ik me maar eens in de techniek gaan verdiepen en anders een aantal jaren wachten, dan komt het leed vanzelf bovendrijven.