image

Apparaatje laat criminelen contactloze bankpassen klonen

dinsdag 14 juni 2016, 11:31 door Redactie, 56 reacties

Op internet en Londense zwarte markten worden apparaatjes aangeboden waarmee criminelen tot 15 contactloze betaalpassen in een seconde kunnen klonen, zo melden de Daily Mail en Daily Star. Het apparaatje, de Contactless Infusion X5, kost 500 pond, inclusief software en lege passen.

Het laat criminelen kaartnummer, naam kaarthouder en adresgegevens van 8 centimeter afstand opvangen. Vervolgens kunnen de gestolen gegevens op een lege pas worden geplaatst, waarmee criminelen kunnen betalen. De Daily Mail stelt dat het apparaatje waarschijnlijk specifiek is ontwikkeld om de steeds populair wordende contactloze bankpas aan te vallen. Volgens de aanbieders van de Contactless Infusion X5 is het het eerste skimmingapparaat voor contactloze bankpassen.

Reacties (56)
14-06-2016, 11:37 door Anoniem
Gewoon ja passen in een metalen huls bewaren....
Er zitten in zoveel passen contactloze chips, dat je gek bent als je dat anno 2016 nog niet doet!
14-06-2016, 11:45 door johanw
Dat had iedereen al voorspeld, maar de banken wilden natuurlijk weer niet luisteren.
14-06-2016, 11:49 door Anoniem
Zie hier waarom alle poorten default dicht moeten.

Groet,
Port Zero
14-06-2016, 12:03 door ph-cofi
Jamaar, met kaartnummer, naam en adres ben je er toch niet als skimmer? Ze zullen pincode en nog wat identifiers moeten meekopieren om de kloon compleet te maken, lijkt me. Als de in het artikel gestelde velden genoeg zijn, is er dan sprake van een systeem met te slechte beveiligingsmogelijkheden?

Persoonlijk houd ik een verlopen ov-chipkaart naast de bankpas, als alternatief voor een aluminium laagje.
14-06-2016, 12:05 door Anoniem
Door johanw: Dat had iedereen al voorspeld, maar de banken wilden natuurlijk weer niet luisteren.

Welkom in de 'iedereen doet alles fout - en ik kan daar lekker over zeuren' cultuur. Het contactloze betalen is een verrijking van het betalingsverkeer. Fraude hoort bij elke vorm van betalen. Ook pinpassen zonder contactloos werden gekopieerd. De huidige chip zal uiteindelijk ook eens gekraakt worden en daarna weer gekopieerd.

De banken hebben dit risico wel degelijk onderkend en dit meegenomen in hun afwegingen. Klantvriendelijkheid won.
14-06-2016, 12:06 door Anoniem
8 centimeter afstand ,dat is wel heel erg dichtbij. mijn passen bewaar ik altijd in een aluminium hoes, bij het pinnen let ik altijd op dat men gepaste afstand bewaard, vooralsnog ben ik niet onder de indruk van dit artikel.
14-06-2016, 12:10 door Anoniem
Aluminiumfolie werkt, het is goedkoop en je kan er ook de binnenkant van je hoofddeksel voor de zekerheid mee voeren.
14-06-2016, 12:18 door Anoniem
Door ph-cofi: Jamaar, met kaartnummer, naam en adres ben je er toch niet als skimmer? Ze zullen pincode en nog wat identifiers moeten meekopieren om de kloon compleet te maken, lijkt me.
Je voert geen pincode in bij contactloss betalen, dus die is niet nodig. De kloon kan gewoon dezelfde gegevens sturen als het oorspronkelijk kreeg van je bankpas.


Als de in het artikel gestelde velden genoeg zijn, is er dan sprake van een systeem met te slechte beveiligingsmogelijkheden?
Daar lijkt het wel op.

Persoonlijk houd ik een verlopen ov-chipkaart naast de bankpas, als alternatief voor een aluminium laagje.
Werkt niet. Ik had twee ov-kaarten in zo'n mapje voor pasje - en het is voorgekomen dat ik de gewenste kaart direct voor de kaartlezer hield terwijl het systeem de in een 90 graden geplaatste kaart gebruikte. Het spiegel-pasje van het Kruidvat mocht ook niet baten, direct achter de OV kaart geplaatst duurde het weliswaar langer om in te checken, maar uiteindelijk werd de kaart toch gelezen.
14-06-2016, 12:26 door Anoniem
Door Anoniem:
Door ph-cofi: Jamaar, met kaartnummer, naam en adres ben je er toch niet als skimmer? Ze zullen pincode en nog wat identifiers moeten meekopieren om de kloon compleet te maken, lijkt me.
Je voert geen pincode in bij contactloss betalen, dus die is niet nodig. De kloon kan gewoon dezelfde gegevens sturen als het oorspronkelijk kreeg van je bankpas.

Tot 25 euro, en maximaal 2 keer binnen een bepaalde tijd. De 3e keer, of boven de 25 euro moet je gewoon je pin invoeren.
Dus het risico is 50 euro ;)
14-06-2016, 12:34 door Anoniem
In Nederland kan je per dag tweemaal EUR 25,00 contactloos betalen zonder pincode. Banken vergoeden misbruik. Wil je als dader geld kunnen cashen dan zal je een betaalautomaat moeten aanschaffen, je moeten inschrijven bij de KvK en een zakelijke rekening openen bij een bank waarop je de gelden laat storten. Ik zie het verdienmodel niet....
14-06-2016, 12:35 door Anoniem
Als skimmers de skimmer in de buurt van de betaalautomaat plaatsen is iedereen die afrekent de Sjaak!
14-06-2016, 12:56 door Anoniem
De banken wilden dat wij contactloos gingen betalen. We hebben, als consument, nooit vooraf een keuze gehad. Als het misgaat, dan mag de bank opdraaien voor het geleden verlies.

Op het moment dat ik voor het eerst hoorde over contactloos betalen riep ik al: "Oh, dan kun je erop wachten totdat er apparaatjes zijn die de chip van de bankpas kunnen klonen. En ja hoor, ik heb gelijk gekregen. Net als meerdere voorspellingen op tech-gebied.

Misschien moet ik mezelf maar aanbieden als adviseur. Het wordt (voor mij althans) allemaal wel érg voorspelbaar.... :-)
14-06-2016, 13:16 door Anoniem
Door Anoniem: In Nederland kan je per dag tweemaal EUR 25,00 contactloos betalen zonder pincode. Banken vergoeden misbruik. Wil je als dader geld kunnen cashen dan zal je een betaalautomaat moeten aanschaffen, je moeten inschrijven bij de KvK en een zakelijke rekening openen bij een bank waarop je de gelden laat storten. Ik zie het verdienmodel niet....

25 euro per gekloonde pas!

met 15 'blanco' passen ter beschikking en voor 5 min 'werk' (keertje door het station lopen) 375 euro 'inkopen' doen. dat komt overeen met een netto uurloon van 4.5k euro / h voor een 'investering' van 500 euro. hoe je het ook ziet; je boodschappen doe je in ieder geval gratisch elke dag!
14-06-2016, 13:17 door Anoniem
Door Anoniem: De banken wilden dat wij contactloos gingen betalen. We hebben, als consument, nooit vooraf een keuze gehad. Als het misgaat, dan mag de bank opdraaien voor het geleden verlies.

Op het moment dat ik voor het eerst hoorde over contactloos betalen riep ik al: "Oh, dan kun je erop wachten totdat er apparaatjes zijn die de chip van de bankpas kunnen klonen. En ja hoor, ik heb gelijk gekregen. Net als meerdere voorspellingen op tech-gebied.

Misschien moet ik mezelf maar aanbieden als adviseur. Het wordt (voor mij althans) allemaal wel érg voorspelbaar.... :-)

En dan blijft technologie stil staan met jou als adviseur, het risico is 50 euro en het risico voor een skimmer is enorm groot.
Als je even draait en je raakt die persoon of je word gezien dan ben je de sjaak en kan je de bak in,
Daarnaast wordt je als particulier verzekert tegen dit soort knullige fraude.
Trouwens, je kan nog steeds met contat/pin overal betalen, het is geen must en veel zaken accepteren ook nog cash hoewel de meeste het laten ivm overvallen/risico.
14-06-2016, 13:34 door Anoniem
Door Anoniem: Tot 25 euro, en maximaal 2 keer binnen een bepaalde tijd. De 3e keer, of boven de 25 euro moet je gewoon je pin invoeren.
Dus het risico is 50 euro ;)
50 Euro gewoon weg, elke dag, vind ik best wel te veel.
14-06-2016, 13:36 door Anoniem
Door Anoniem: In Nederland kan je per dag tweemaal EUR 25,00 contactloos betalen zonder pincode. Banken vergoeden misbruik. Wil je als dader geld kunnen cashen dan zal je een betaalautomaat moeten aanschaffen, je moeten inschrijven bij de KvK en een zakelijke rekening openen bij een bank waarop je de gelden laat storten. Ik zie het verdienmodel niet....

Of je gebruikt de geskimde pas om een prepaid credit card (3V of iets dergelijks) en boekt dat tegoed via een of andere 3e wereldbank uiteindelijk terug naar jezelf...
14-06-2016, 13:39 door Anoniem
Door Anoniem: Zie hier waarom alle poorten default dicht moeten.

Groet,
Port Zero

Er zitten geen (netwerk)poorten op een pinpas...
14-06-2016, 13:39 door Anoniem
Door johanw: Dat had iedereen al voorspeld, maar de banken wilden natuurlijk weer niet luisteren.
omdat de klant opdraait voor het misbruik wellicht?
14-06-2016, 13:40 door Anoniem
Door Anoniem:
Door johanw: Dat had iedereen al voorspeld, maar de banken wilden natuurlijk weer niet luisteren.

Welkom in de 'iedereen doet alles fout - en ik kan daar lekker over zeuren' cultuur. Het contactloze betalen is een verrijking van het betalingsverkeer. Fraude hoort bij elke vorm van betalen. Ook pinpassen zonder contactloos werden gekopieerd. De huidige chip zal uiteindelijk ook eens gekraakt worden en daarna weer gekopieerd.

De banken hebben dit risico wel degelijk onderkend en dit meegenomen in hun afwegingen. Klantvriendelijkheid won.

Ja het is een verrijking, maar kan me het 'gezeur' ook wel goed voorstellen. Heb eind vorig jaar ook een pas ontvangen van de ABN Amro, toen waren de misbruik mogelijkheden ook al bekend. Waarom geeft de bank niet met elke nieuwe bankpas zo'n hoesje mee waarmee dit soort misbruik voorkomen kan worden? Waarom niet dat ene stukje extra service om een hoop problemen te voorkomen. Meegenomen in hun afweging en de klantvriendelijkheid won?
14-06-2016, 13:45 door Anoniem
En dan blijft technologie stil staan met jou als adviseur, het risico is 50 euro en het risico voor een skimmer is enorm groot.
Als je even draait en je raakt die persoon of je word gezien dan ben je de sjaak en kan je de bak in,
Daarnaast wordt je als particulier verzekert tegen dit soort knullige fraude.
Trouwens, je kan nog steeds met contat/pin overal betalen, het is geen must en veel zaken accepteren ook nog cash hoewel de meeste het laten ivm overvallen/risico.

1. Bij haltes van OV en in het OV sta je vaak tegen elkaar aan.
2. Bij aanraken is nog niet bewezen en je zit niet zomaar in de bak.
3. Het is inderdaad geen must maar het is wel een OPT-OUT.
Dus als je contactloos betalen niet bewust uit zet staat het aan.
Wie zetten het uit: degene die de gevaren ervan inzien en zij die dit soort sites bezoeken.
Wie dus niet: de onwetenden. Die zijn ook onwetend in de praktijk en weten niet waarvoor en wanneer ze moeten oppassen.

Aan de ene kant werken banken eraan om bij credit-cards het misbruik tegen te gaan door pin-codes in te voeren (in het buitenland) en dan introduceren ze nu contactloos (en pinloos) betalen en leggen sluw de risico's bij de rekeninghouder.
14-06-2016, 14:03 door Anoniem
Door Anoniem:
Door johanw: Dat had iedereen al voorspeld, maar de banken wilden natuurlijk weer niet luisteren.

Welkom in de 'iedereen doet alles fout - en ik kan daar lekker over zeuren' cultuur. Het contactloze betalen is een verrijking van het betalingsverkeer. Fraude hoort bij elke vorm van betalen. Ook pinpassen zonder contactloos werden gekopieerd. De huidige chip zal uiteindelijk ook eens gekraakt worden en daarna weer gekopieerd.

De banken hebben dit risico wel degelijk onderkend en dit meegenomen in hun afwegingen. Klantvriendelijkheid won.

Nu moeten alle klanten van een bank deze fraude mee vergoeden, ik vind dat slimme mensen zoals
Jij het maar zelf moeten vergoeden, Hoe dom kun je zijn en wat je schrijft "fraude hoort bij elke vorm van betalen."
Is gewoon onzin.
14-06-2016, 14:03 door Anoniem
Zal nog wel eens als reden worden aangevoerd om uiteindelijk "de chip" in de mens te gaan aanbrengen, maar in zo'n geval moet ie wel beter beveiligd zijn tegen skimmers (maar die zijn dan ook weer van een chip voorzien of een geblokkeerde als ze pech hebben). "Goedkopere" technologie wordt net zo lang gebruikt tot het weer eens goed mis gaat en dan pas begint iedereen te "mauwen". Zo is het altijd geweest en zal het altijd wel blijven. Het blijft mensenwerk en er blijven nu eenmaal ook steeds slechte mensen, die hier al hun superieure talent aan blijven verspillen.
14-06-2016, 14:22 door Anoniem
Door Anoniem:
Door Anoniem: Tot 25 euro, en maximaal 2 keer binnen een bepaalde tijd. De 3e keer, of boven de 25 euro moet je gewoon je pin invoeren.
Dus het risico is 50 euro ;)
50 Euro gewoon weg, elke dag, vind ik best wel te veel.

Het risico is voor de bank, niet voor jou... wordt gewoon vergoed.
14-06-2016, 14:41 door Anoniem
Door Anoniem: De banken wilden dat wij contactloos gingen betalen. We hebben, als consument, nooit vooraf een keuze gehad. Als het misgaat, dan mag de bank opdraaien voor het geleden verlies.

Alles waar "de bank voor opdraait" daar draaien wij als klant voor op. Immers alle klanten samen moeten alle geld
bij elkaar brengen waar de klanten waarbij gefraudeerd wordt van gecompenseerd worden.

Ik denk zelfs dat hoewel ik heb aangegeven dat ik niet contactloos wil betalen, ik toch meebetaal aan de risico's die
andere klanten hiermee lopen.
14-06-2016, 14:45 door Anoniem
Door Anoniem:
Door johanw: Dat had iedereen al voorspeld, maar de banken wilden natuurlijk weer niet luisteren.

Welkom in de 'iedereen doet alles fout - en ik kan daar lekker over zeuren' cultuur. Het contactloze betalen is een verrijking van het betalingsverkeer. Fraude hoort bij elke vorm van betalen. Ook pinpassen zonder contactloos werden gekopieerd. De huidige chip zal uiteindelijk ook eens gekraakt worden en daarna weer gekopieerd.

De banken hebben dit risico wel degelijk onderkend en dit meegenomen in hun afwegingen. Klantvriendelijkheid won.

Goede Reactie!
En vergeet niet het aantal keren dat je NIET je pincode hoeft in te typen en dat iemand dus ook NIET je pincode kan afkijken (shouldersurfing). Waarschijnlijk compenseert dat in mogelijke schade al voldoende om deze vorm van betalen in te voeren. Dan hebben we het nog niet over emotionele schade van zakkenrollers en overvallers.
Lees eens de uitleg bij de ABN AMRO (contactloos betalen), helder omschreven en een bewuste keuze. Geen interesse dan krijg je bij ABN AMRO gratis een bankpas aangeboden zonder NFC chip. Bij de Rabobank en ING bank kun je zelf de betaalmethode aan- of uitzetten.
14-06-2016, 14:46 door Anoniem
Door Anoniem:
Door ph-cofi: Jamaar, met kaartnummer, naam en adres ben je er toch niet als skimmer? Ze zullen pincode en nog wat identifiers moeten meekopieren om de kloon compleet te maken, lijkt me.
Je voert geen pincode in bij contactloss betalen, dus die is niet nodig. De kloon kan gewoon dezelfde gegevens sturen als het oorspronkelijk kreeg van je bankpas.

Het is wel een beetje raar dat een contactloos betalen actie kennelijk alleen bestaat uit het uitlezen van een vaste
set gegevens en niet uit een cryptografische challenge/response actie zoals bijvoorbeeld bij de OV Chipkaart het
geval is. Dan zou er data gelezen kunnen worden uit een beveiligde geheugenpagina (zonder deze te retourneren)
zodat het copieren van kaarten lang zo simpel niet is.

Bij gebruik van de juiste kaarten is dat aardig veilig. Nadeeltje is natuurlijk dat het dan alleen werkt met door de bank
geprepareerde en uitgeven kaarten en niet met de achterkant van een smartphone die de bank nooit gezien heeft.

Wellicht zou het toch wel mogelijk geweest zijn dat mogelijk te maken en het toch beter te beveiligen.
14-06-2016, 15:00 door Anoniem
50 euro per dag is nog maar de vraag, die waarde wordt weer op 0 gezet zodra jij zelf een keer je pincode intoetst, dus dat kan best meer worden
14-06-2016, 15:02 door Happy Linux User
Eigenlijk zouden de banken er standaard een Anti-skim omhulsel bij moeten leveren.
Dit bespaard ze ook heel veel geld. Als het fout gaat, dan zijn er weer veel mensen die het goed proberen te draaien.
Passen blokkeren etc..... Geld bedrag vergoeden.
De kosten lopen best wel op als het fout gaat. Misschien een tipje van mijn kant.

De ING had ook iets kunnen verzinnen met de spaaractie die ze altijd hebben rond het storten van het vakantiegeld.
14-06-2016, 15:33 door User2048 - Bijgewerkt: 14-06-2016, 15:35
Volgens mij klopt er geen hout van dit artikel. Waarom zou een bankpas het adres van de eigenaar naar de terminal sturen? En hoe komen de aanvallers achter de unieke encryptiesleutel van de pas? Via een "chosen plaintext attack"?
14-06-2016, 16:04 door Anoniem
Het bedrag niet 25 euro. maar kunnen er andere (o.a. hogere) bedragen gelden, zoals bv bij een tolweg of parkeren.

Banken betalen het terug tenzij er sprake is van grove nalatigheid. Wanneer is daar sprake van? Reken er maar op dat dat steeds meer jouw verantwoordelijkheid wordt

Vroeger dacht ik dat een papieren overschrijving alleen geldig was als mijn handtekening er op stond, echter er is een vergelijkbare zaak door de rechter is geoordeeld als iemand je overschrijvingsformulier steelt en je handtekening namaakt, dat de bank niet aansprakelijk is en je naar je geld kan fluiten.

Nee banken zijn een meester in de aansprakelijk bij jou de klant neer te leggen voor hun onveilige systemen
14-06-2016, 16:07 door Anoniem
Door User2048: Volgens mij klopt er geen hout van dit artikel. Waarom zou een bankpas het adres van de eigenaar naar de terminal sturen? En hoe komen de aanvallers achter de unieke encryptiesleutel van de pas? Via een "chosen plaintext attack"?

idd, eerst zien en dan geloven
14-06-2016, 16:13 door [Account Verwijderd]
Als je het kastje wil kopen dan kan dat hier, bij de CC buddies.

https://nkna77c37nculpeh.onion.to/

Ik ben benieuwd naar de afloop van dit verhaal, alleen maar een verhaal waarschijnlijk.
14-06-2016, 16:40 door Anoniem
Mensen, wat 'n paniek zonder eens kritisch te kijken naar het bericht. Er zal vast in London een apparaatje circuleren waarmee je op afstand informatie via NFC (oftwel RFID) op kunt halen van pasjes, paspoorten of iets dergelijks. Goeie marketing als ze het voor 500 euro verkocht krijgen want het spul zelf kost niet meer dan enkele euro's, ff solderen en RaspPi eraan koppelen en klaar.
Echter, met deze gegevens (als dat al de gegevens zijn die je er vanaf kunt halen) kun je nog geen betaling doen. Om een betaling te doen wordt er namelijk gebruik gemaakt van cryptografie. Asymmetrische cryptografie om precies te zijn. De EMV chip krijgt van de betaal automaat een sleutel (samen met het bedrag en andere relevante gegevens) adhv de sleutel berekent de EMV een hash waarde deze wordt teruggegeven en gevalideerd. Na positieve validatie zal er pas een geldige betaling plaatsvinden.

Ik heb dus mijn bedenkingen bij dit artikel.
14-06-2016, 17:42 door Anoniem
Door Anoniem:

Tot 25 euro, en maximaal 2 keer binnen een bepaalde tijd. De 3e keer, of boven de 25 euro moet je gewoon je pin invoeren.
Dus het risico is 50 euro ;)

Echter in het verleden waren er meerdere malen "fouten" dat je bijv. op een engelse pas, maar een klein pond bedrag kon "pinnen" zonder pin, maar een gigantisch euro bedrag zonder enige check van de pin. zover ik weet hebben ook andere banken/passen met andere munten dezelfde fout gehad.
Dus kon (en ik vermoed kun) je veel meer van een gekloonde pas afhalen in specifieke gevallen/bugs/features
14-06-2016, 18:08 door skynet-84
Dus skimmers kunnen nu de hele pas kopiëren zonder de pingleuf te hoeven vervangen.
Skimmers hebben nu alleen nog een camaratje/oplettend oog voor de pin nodig en het ouderwetse skimmen bij de pinautomaat is nu kinderspel.

Probleem is dat de nodige data nu te makkelijk verkrijgbaar is. er is geen direct contact meer nodig. langslopen is voldoende.

Vergeet niet dat de pas gewoon blijft uitzenden van de data 1:1. En pas bij contactloosbetalen controleert of dit is toegestaan door de gebruiker.
maar met pincode is deze controle er dus niet.

Beste is de pinpas strategisch te doorboren om het circuit te onderbreken.
En wat mij betreft moeten de banken de schema's van de circuits beschikbaar maken.
14-06-2016, 19:09 door Skizmo
Door Anoniem: Gewoon ja passen in een metalen huls bewaren....
Er zitten in zoveel passen contactloze chips, dat je gek bent als je dat anno 2016 nog niet doet!

PURE FUCKING ONZIN ! Je bent een randdebiel als je dit contactloze gezeik activeert. Is het nou zo moeilijk om je pas door een cardreader heen te halen ? Ben je nou zo'n ongelofelijke lamzak dat je dat niet eens kunt ? Is dit het gedrag waar we in 2016 op zitten te wachten ?
14-06-2016, 20:13 door [Account Verwijderd] - Bijgewerkt: 14-06-2016, 20:14
Door Skizmo: ? Is dit het gedrag waar we in 2016 op zitten te wachten ?

Potten en ketels. Houd het een beetje netjes hier. Wij zitten niet te wachten op Reddit achtige posts, hoepel op man.
14-06-2016, 20:13 door [Account Verwijderd]
[Verwijderd]
14-06-2016, 20:51 door Anoniem
Door Skizmo:
Door Anoniem: Gewoon ja passen in een metalen huls bewaren....
Er zitten in zoveel passen contactloze chips, dat je gek bent als je dat anno 2016 nog niet doet!

PURE FUCKING ONZIN ! Je bent een randdebiel als je dit contactloze gezeik activeert. Is het nou zo moeilijk om je pas door een cardreader heen te halen ? Ben je nou zo'n ongelofelijke lamzak dat je dat niet eens kunt ? Is dit het gedrag waar we in 2016 op zitten te wachten ?

Rustig rustig, dat jij nog in een grot wil wonen om 1 met de natuur te zijn is jouw keuze.
Net of ik van die paar keer 25 wakker zal liggen, de bank doet niet moeilijk en vergoed gewoon.

Ben te lui om mn pin in te voeren inmiddels , tis zelfs irritant geworden. Kan het limiet naar 500 euro voor mij ?
Win win.
14-06-2016, 22:20 door [Account Verwijderd]
[Verwijderd]
14-06-2016, 23:45 door johanw
Door Anoniem: In Nederland kan je per dag tweemaal EUR 25,00 contactloos betalen zonder pincode. Banken vergoeden misbruik. Wil je als dader geld kunnen cashen dan zal je een betaalautomaat moeten aanschaffen, je moeten inschrijven bij de KvK en een zakelijke rekening openen bij een bank waarop je de gelden laat storten. Ik zie het verdienmodel niet....
50 euro per persoon maal aantal personen in een drukke supermarkt / station / ... is heel veel euro's. Genoeg om een vals paspoort te kopen en daarmee een KvK inschrijving te doen en een bankrekening af te sluiten bij een internet bank die alleen een copie paspoort over de post wil hebben.
15-06-2016, 06:54 door Anoniem
Door Skizmo:
Door Anoniem: Gewoon ja passen in een metalen huls bewaren....
Er zitten in zoveel passen contactloze chips, dat je gek bent als je dat anno 2016 nog niet doet!

PURE FUCKING ONZIN ! Je bent een randdebiel als je dit contactloze gezeik activeert. Is het nou zo moeilijk om je pas door een cardreader heen te halen ? Ben je nou zo'n ongelofelijke lamzak dat je dat niet eens kunt ? Is dit het gedrag waar we in 2016 op zitten te wachten ?

Wat ben jij vriendelijk zeg.
Maar goed, deze randdebiel zal het je uitleggen, zo aardig ben ik dan ook wel weer voor Skizmo.
Want activeren????
Goed, de pinpas en creditcard, daar kun je het laten deactiveren, default staat het aan.
Maar je OV-chip of ID-kaart... Of de toegangspas van het bedrijf....

Dus geloof deze randdebiel, koop een goede portemonee en let voortaan op je taalgebruik.
Als je dan ook nog even ntp aanslingert, dan heten we je een warm welkom in 2016!
Is een hoop veranderd hoor, sinds je met je overschrijving bij de bank binnen liep om je wehkamp order te betalen..... ;)
15-06-2016, 09:37 door Anoniem
Bij ABN geven ze een net tekstje over het risico van contactloos betalen ("de kans is klein, maar... "), en als je het wilt dan kan je gratis een hoesje krijgen.
15-06-2016, 09:50 door Anoniem
Misschien kan het alleen in die gevallen waar alleen een zogenaamde pure "swipe" transactie wordt gecontroleerd en geen CVV waarde. De kaart en de bank hebben een geheime code, die de kaart nooit dient te verlaten, Daarop moet de transactie tevens gecontroleerd moet worden toch, die werd ingesteld bij het aanmaken van de pas. Dus komen er alleen nog bepaalde transacties in aanmerking voor dit soort fraude. Pasjes opbergen in een afgeschermd hoesje, die je gratis op kunt halen bij je bankkantoor i.p.v. die reclame balpen, lijkt mij niet zo'n slecht idee. Veiligheid voor alles!
15-06-2016, 11:30 door Anoniem
Net of ik van die paar keer 25 wakker zal liggen
Zal ik je mijn rekeningnummer geven, kun je er een paar keer per maand geld opstorten, voor jou geen enkel probleem.
15-06-2016, 11:50 door Anoniem
Door Anoniem:
Door Anoniem: Tot 25 euro, en maximaal 2 keer binnen een bepaalde tijd. De 3e keer, of boven de 25 euro moet je gewoon je pin invoeren.
Dus het risico is 50 euro ;)
50 Euro gewoon weg, elke dag, vind ik best wel te veel.

Het is niet 50 euro per dag maar 50 euro totaal waarna een pin wordt gevraagd dus vandaag 2 x 20 euro en morgen 11 euro krijg je vraag voor pincode

ik heb zelf gelukkig nog een oude pas zonder draadloos pin mogelijkheid zoveel moeite om hem in een pin apparaat te steken is het ook weer niet.
15-06-2016, 13:57 door Anoniem
Hoe werkt de chip in een bankpas eigenlijk? Zit er gewoon een code in die door iedereen uitgelezen kan worden?

Ik dacht dat het werkte met een private/public key principe, maar heb me er nooit in verdiept. Als in de chip eenmalig een private key geschreven kan worden, die vervolgens nooit of te nimmer uitgelezen kan worden (behalve intern door de chip). Dan zou het toch veilig moeten zijn?

De betaalterminal stuurt dan een challenge naar de NFC chip die vervolgens met de private key een antwoord genereert door middel van hashing. Bijvoorbeeld SHA2?
Het antwoord wordt door de terminal dan gecontroleerd aan de hand van de public key.

Dan zou een pas toch nooit gekopieerd kunnen worden? Tenzij het hashing algoritme niet meer veilig is natuurlijk.

Of zeg ik nu iets heel geks?
15-06-2016, 15:00 door Anoniem
> Hoe werkt de chip in een bankpas eigenlijk? Zit er gewoon een code in die door iedereen uitgelezen kan worden?

Zover ik weet is de info die met NFC uitgelezen wordt, dezelfde info die op de pas gedrukt staat (naam, rek. nummer, pas nummer, verval datum). Doordat je geen pincode hoeft in te voeren wordt, kan de chip niet aangesproken worden, die bij een normale transactie de berekeningen uitvoert.
15-06-2016, 19:48 door Anoniem
Welkom in de 'iedereen doet alles fout - en ik kan daar lekker over zeuren' cultuur. Het contactloze betalen is een verrijking van het betalingsverkeer. Fraude hoort bij elke vorm van betalen. Ook pinpassen zonder contactloos werden gekopieerd. De huidige chip zal uiteindelijk ook eens gekraakt worden en daarna weer gekopieerd.
Perverse redenering
15-06-2016, 21:50 door karma4 - Bijgewerkt: 15-06-2016, 21:54
http://www.media-nxt.nl/media/nfc/ een willekeurige chip werkt niet op elk afleesapparaat. Gevolgtrekking: de meeste slimheid moet in dat afleesapparaat zitten met een directe verbinding naar je bank.
De hele identificatie en autenticatie vind tussen pos en bank
plaats niet tussen je bankkaart en pos.
Met een pin heb je wel iets tussen pos en je kaart.
Het is de enige mogelijkheid voor de beschreven functionaliteit.
https://en.m.wikipedia.org/wiki/EMV#Application_selection
16-06-2016, 09:39 door Anoniem
Door Anoniem: Zover ik weet is de info die met NFC uitgelezen wordt, dezelfde info die op de pas gedrukt staat (naam, rek. nummer, pas nummer, verval datum). Doordat je geen pincode hoeft in te voeren wordt, kan de chip niet aangesproken worden, die bij een normale transactie de berekeningen uitvoert.
Werkelijk? Bizar vind ik dat. Het is heel goed mogelijk om een systeem te maken dat via een niet uit te lezen sleutel iets kan ondertekenen zonder dat daar een pincode bij opgegeven moet worden. En als bij normaal gebruik de pincode op de een of andere manier verwerkt is in de sleutel en niet alleen het gebruik autoriseert kan je voor contactloos betalen een tweede sleutel of sleutelpaar op de kaart zetten. Als na alle ellende met skimmen van magneetstrips inderdaad gekozen is om als het ware opnieuw een magneetstrip op de kaart te zetten omdat dat zo "handig" is vraag ik me ernstig af wat voor warhoofden hierover de besluitvorming hebben gedaan.
16-06-2016, 10:11 door Anoniem
Door Anoniem: De banken hebben dit risico wel degelijk onderkend en dit meegenomen in hun afwegingen. Klantvriendelijkheid won.
Ik heb een keer van nabij mogen meemaken hoe klantvriendelijk ING is op het moment dat iets hun geld kan gaan kosten. Niet. Echt, totaal niet. Ik betwijfel of klantvriendelijkheid het juiste woord is voor wat er hier gewonnen heeft. Ik vermoed dat het wel eens meer om een schijn van klantvriendelijkheid kan gaan die goed verkoopt dan om werkelijke klantvriendelijkheid als het erop aankomt.
16-06-2016, 19:53 door Anoniem
Door Anoniem:
Door johanw: Dat had iedereen al voorspeld, maar de banken wilden natuurlijk weer niet luisteren.

Welkom in de 'iedereen doet alles fout - en ik kan daar lekker over zeuren' cultuur. Het contactloze betalen is een verrijking van het betalingsverkeer. Fraude hoort bij elke vorm van betalen. Ook pinpassen zonder contactloos werden gekopieerd. De huidige chip zal uiteindelijk ook eens gekraakt worden en daarna weer gekopieerd.

De banken hebben dit risico wel degelijk onderkend en dit meegenomen in hun afwegingen. Klantvriendelijkheid won.

Verrijking hoe? Het is niet veel sneller dan chippen (dat gelukkig dood is). Klantvriendelijk zie ik ook niet....jouw probleem als het weg is (met cash moeten ze tenminste nog skillful rollen wil ik het niet merken).

Als een autofabrikant autos zou leveren zonder slot op de deur en een startonderbreker omdat dat gedoe met sleutels en fobs maar lastig is als je in je korte broek zonder zakken naar het strand wilt vond iedereen het ook gek.

Zinloos doelredeneren.
20-06-2016, 10:56 door Anoniem
Ik gebruik al een paar jaar een handig hoesje genaamd "SECRID"
20-06-2016, 14:57 door Anoniem
Door Anoniem:
De banken hebben dit risico wel degelijk onderkend en dit meegenomen in hun afwegingen. Klantvriendelijkheid won.

De klant draait hoe dan ook toch op voor alle kosten dus het zal de banken een worst wezen.
26-06-2016, 15:08 door Anoniem
Wat een toeval, het apparaatje staat ook hier: http://www.cardomatic.de/ACR120U-ACR1281U-C8-Contactless-Reader/en

Een grote scam en ophef over niets dus.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.