Juridische vraag: is contactloos zakkenrollen wel aan te merken als diefstal?
woensdag 19 december 2018, 14:05 door Arnoud Engelfriet, 22 reacties
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Ik las hier dat recent mensen waren aangehouden op verdenking van contactloos zakkenrollen. Er was kennelijk te weinig bewijs, dus ze zijn weer vrijgelaten. Maar stel dat ze wél pinterminals in de zakken hadden gevonden en bewijs van een afschrijving bij een argeloze derde. Was dat dan strafbaar geweest? Je pakt immers niets uit de broekzak en doet ‘gewoon’ een betalingsverzoek waar men zo dom is om zonder pincode op in te gaan.
Antwoord: Ja, ik zie dit technisch werken. Maar je krijgt die apparatuur – en vooral de uitgekeerde bedragen – als je geregistreerd bent als bedrijf. Opsporing en vervolging zou daarmee redelijk triviaal moeten zijn. Natuurlijk, je kunt een café opzetten, mobiele pinterminals aanvragen, een dagje op een festival rondlopen en overal 25 euro pinnen, dat opnemen en snel naar Bulgarije reizen, maar is dat niet een béétje veel moeite voor een dag lang 25 euro per persoon scoren?
Bij De Stentor meer informatie, van Berend Jan Beugel van Betaalvereniging Nederland. Die legt uit: Je hebt namelijk een gecertificeerde aangesloten pinautomaat nodig die alleen wordt uitgegeven door onder toezicht staande bedrijven. Vervolgens moet de eigenaar van een automaat een zakelijke rekening hebben en wordt de betaling verwerkt door erkende bedrijven. Hoewel het technisch mogelijk is om iemand geld afhandig te maken met zo’n apparaat, herleid dit direct naar de dader. Daarom begint niemand eraan.
Diefstal ligt juridisch gezien toch behoorlijk voor de hand. Sinds de Runescape- en SMS-arresten lijkt me duidelijk zat dat een geldtegoed vatbaar is voor diefstal, ook als je daarbij geen fysieke goederen wegneemt. Dat geld ben je kwijt na deze actie, en daar is geen grondslag voor.
In het verleden werd ook wel geschermd met poging tot vervalsing van betaalkaarten, wanneer het gaat om skimapparatuur die op pinautomaten geplaatst werd. Ik denk dat nu ook dergelijke situaties als poging tot diefstal aangemerkt kunnen worden.
Voor consumenten is deze vorm van diefstal overigens gedekt in de bankvoorwaarden: wie zo geld kwijtraakt, hoort dit zonder enige discussie terug te krijgen van de bank. Bij contactloos betalen zonder pincode kan immers moeilijk sprake zijn van grove nalatigheid. Maar gedoe blijft het.
Blijft de vraag: hoe dacht men hiermee weg te komen?
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (22)
Als ik zie hoe makkelijk louche bedrijven en nabouwers van sites het voor elkaar krijgen om een Ideal account te krijgen en dus via Ideal betaald kunnen worden (en dan geen goederen leveren en met de noorderzon vertrekken) dan zou het me helemaal niets verbazen als dezelfde misdadigers het voor elkaar gaan krijgen om op een of andere manier zo'n machtiging te krijgen op naam van een (tijdelijk opgericht) bedrijf. Of op naam van een echt bestaand bedrijf. Die een tijd te gebruiken, geld innen, wegwezen en onder een andere naam weer even vrolijk beginnen met een andere bankrekening (van een geldezel) en een andere machtiging.
Want de meeste slachtoffers zullen pas véél later op hun rekening zien dat ze bestolen zijn. Kan zomaar een maand tussen zitten. Vaak zullen ze het niet eens in de gaten hebben, want tussen de vele contactloze betalingen valt het niet eens op, een extra betaling van 25 Euro (een handige jongen doet geen 25 Euro, maar bijv. 24,78 dat valt niet op). Het verbaast me wel eens hoe weinig mensen aan de kassa ja zeggen als er gevraagd wordt of ze de kassabon willen hebben. Geen kassabon - geen echte controle mogelijk als je steeds maar met pin of contactloos betaalt.
Juist daarom denk ik dat, als de criminelen eenmaal de juiste route weten te vinden, dit een zeer succesvolle diefstalmethode zou kunnen worden.
En natuurlijk is dit diefstal.
Want de meeste slachtoffers zullen pas véél later op hun rekening zien dat ze bestolen zijn. Kan zomaar een maand tussen zitten. Vaak zullen ze het niet eens in de gaten hebben, want tussen de vele contactloze betalingen valt het niet eens op, een extra betaling van 25 Euro (een handige jongen doet geen 25 Euro, maar bijv. 24,78 dat valt niet op). Het verbaast me wel eens hoe weinig mensen aan de kassa ja zeggen als er gevraagd wordt of ze de kassabon willen hebben. Geen kassabon - geen echte controle mogelijk als je steeds maar met pin of contactloos betaalt.
Juist daarom denk ik dat, als de criminelen eenmaal de juiste route weten te vinden, dit een zeer succesvolle diefstalmethode zou kunnen worden.
En natuurlijk is dit diefstal.
Stigmatiseren van Bulgaren door klakkeloos sensatieberichtgeving te herhalen (stentor en ad) gaat gewoon door.
De nationaliteit van deze onschuldige mensen doet er niet toe!
Maar de toon blijft gezet worden.
De stille negatieve ondertoon is natuurlijk die van illegalen en zigeuners uit Bulgarije ('die 'we' hier niet willen want crimineel', ??).
De nationaliteit van deze mensen doet er niet toe!
Waar ben je nou jurist voor, om suggestieve (politieke) berichtgeving na te echo-en?
De nationaliteit van deze onschuldige mensen doet er niet toe!
Maar de toon blijft gezet worden.
De stille negatieve ondertoon is natuurlijk die van illegalen en zigeuners uit Bulgarije ('die 'we' hier niet willen want crimineel', ??).
De nationaliteit van deze mensen doet er niet toe!
Waar ben je nou jurist voor, om suggestieve (politieke) berichtgeving na te echo-en?
Het argument van die "betaalvereniging" is "je moet je aan allerlei regeltjes houden om mee te doen en dan weten we je precies te vinden", terwijl er genoeg meesters in het vinden van mazen in de wet zijn die de praktijk naar hun hand weten te zetten. Carrousselfraude waar allerlei wegwerp-BVtjes worden ingezet bestaat ook nog steeds, bijvoorbeeld. Wat me daarbij opvalt is dat de BTW zo is opgezet dat die er welhaast om vraagt om fraude mee te plegen. PGBs en dergelijke regelingen net zo: Een hoop papierwerk om op te zetten, dus specialistenwerk ("zorgbureautjes"), maar als het eenmaal loopt, is het dan ook weer zo ingewikkeld (en is er te weinig capabele mankracht) dat controleren nauwlijks te doen is en de fraude dus loont. Geen wonder dat er regelmatig rotte appels tussen die zorgbureautjes opduiken. Of de Bulgarenfraude: Ook dat doen de individuen niet zelf, maar ze worden ingezet door wat handige knutselaars die het hele traject uitgevolgeld en kant-en-klaar opgezet hebben. Hele dorpen in busjes, hierheen, hele papierwerk in een dag, terug in het busje, en incasseren maar.
Ik denk dat als er wat handige jongens de apparatuur klaar weten te zetten en die op de zwarte markt te koop aanbieden dat dit dan vrij vlot een hoge vlucht kan gaan nemen. Technisch stelt de beveiliging niets voor, je hebt hooguit een onopvallende proxy-lezer nodig die zo'n "gecertificeerd" apparaat de gevonden passen voert. Het niet gepakt worden is dan nog wat administratief handen- en voetenwerk, maar uiteindelijk ook wel te doen. En de "betaalvereniging" heeft er belang bij dat het niet bekend wordt dat er inderdaad mee gefraudeerd kan worden, dus die zal z'n best doen het stil te houden. Natuurlijk wil ze niet dat er gefraudeerd wordt dus zegt ze inderdaad dat het helemaal niet kan. Maarja, dat soort verzekeringen hebben we ook wel eerder gehoord.
Ik denk dat als er wat handige jongens de apparatuur klaar weten te zetten en die op de zwarte markt te koop aanbieden dat dit dan vrij vlot een hoge vlucht kan gaan nemen. Technisch stelt de beveiliging niets voor, je hebt hooguit een onopvallende proxy-lezer nodig die zo'n "gecertificeerd" apparaat de gevonden passen voert. Het niet gepakt worden is dan nog wat administratief handen- en voetenwerk, maar uiteindelijk ook wel te doen. En de "betaalvereniging" heeft er belang bij dat het niet bekend wordt dat er inderdaad mee gefraudeerd kan worden, dus die zal z'n best doen het stil te houden. Natuurlijk wil ze niet dat er gefraudeerd wordt dus zegt ze inderdaad dat het helemaal niet kan. Maarja, dat soort verzekeringen hebben we ook wel eerder gehoord.
Er wordt nu nog gezegd dat het pasje op 5 centimeter van het kastje moet zijn. Het zal niet lang duren tot, met versterking of repeaters die afstand vergroot kan worden. Daar moet een of andere wet van ohm op van toepassing zijn of zo. Draadloos is draadloos.
Juridisch ligt het natuurlijk weer anders. Jatten is het, maar is het strafbaar jatten. Een interssante vraag. Want als ik ergens achteloos mjn portemonnee laat liggen, en iemand neemt die mee (zonder naar de politie te brengen) dan blijft het jatten. Maar toch anders jatten dan dat iemand me ervoor meteen baksteen moest slaan.
Maatschappelijk is zo een vraag ook relevant omdat ambtenaren tegenwoordig hun eigen wetten maken. Zo verschijnt 75% van de IND niet meer bij de rechtbank. En worden 16 jarige schoolmeisjes al doodgeschoten voordat men zin heeft een ernstige stalking te onderzoeken. Als je contactloze kaart wijd openstaat, kun je je afvragen of er nog wel iemand van het gezag er uberhaupt zin in heeft om naar te kijken. Ongeacht of het nu juridisch strafbaar pikken was of niet. De kans is groot dat het door de vingers wordt gezien als Europa dat doet met de staatsbegroting van Italië.
Als iemand slim genoeg is om elke dag van 1 persoon 50 euro af te pakken, dn is dat wel 1500 in de maand. Je hebt er maar een paar nodig zo en je kunt gratis in een geleaste Porsche Cayenne rijden. Op kosten van de verzekering van de bank.
Vind ik allemaal prima zolang ik zelf geen klant van die bank ben. Want het moet ergens vandaan komen natuurlijk. Al zekerniet als ze een soort van pincodeloterij beginnen. Want dat kan alleen Gaston. Daar hebben banken dat talent niet voor. (Geloof me, want ik ken Gaston!)
Juridisch ligt het natuurlijk weer anders. Jatten is het, maar is het strafbaar jatten. Een interssante vraag. Want als ik ergens achteloos mjn portemonnee laat liggen, en iemand neemt die mee (zonder naar de politie te brengen) dan blijft het jatten. Maar toch anders jatten dan dat iemand me ervoor meteen baksteen moest slaan.
Maatschappelijk is zo een vraag ook relevant omdat ambtenaren tegenwoordig hun eigen wetten maken. Zo verschijnt 75% van de IND niet meer bij de rechtbank. En worden 16 jarige schoolmeisjes al doodgeschoten voordat men zin heeft een ernstige stalking te onderzoeken. Als je contactloze kaart wijd openstaat, kun je je afvragen of er nog wel iemand van het gezag er uberhaupt zin in heeft om naar te kijken. Ongeacht of het nu juridisch strafbaar pikken was of niet. De kans is groot dat het door de vingers wordt gezien als Europa dat doet met de staatsbegroting van Italië.
Als iemand slim genoeg is om elke dag van 1 persoon 50 euro af te pakken, dn is dat wel 1500 in de maand. Je hebt er maar een paar nodig zo en je kunt gratis in een geleaste Porsche Cayenne rijden. Op kosten van de verzekering van de bank.
Vind ik allemaal prima zolang ik zelf geen klant van die bank ben. Want het moet ergens vandaan komen natuurlijk. Al zekerniet als ze een soort van pincodeloterij beginnen. Want dat kan alleen Gaston. Daar hebben banken dat talent niet voor. (Geloof me, want ik ken Gaston!)
Door Anoniem: Stigmatiseren van Bulgaren door klakkeloos sensatieberichtgeving te herhalen (stentor en ad) gaat gewoon door.
De nationaliteit van deze onschuldige mensen doet er niet toe!
Val er dan ook niet over. Het is een voorbeeld.De nationaliteit van deze onschuldige mensen doet er niet toe!
Maar de toon blijft gezet worden.
De stille negatieve ondertoon is natuurlijk die van illegalen en zigeuners uit Bulgarije ('die 'we' hier niet willen want crimineel', ??).
Dat verzin je er allemaal zelf bij. Feit is dat Oost-Europa vol zit met landen waar veel mensen weinig verdienen, en die mensen mogen onderhand vrijelijk door heel Europa reizen inclusief de rijke landen waar veel te halen is. Dan is het dus niet raar dat er nogal wat mensen graag hun geluk beproeven daar waar dat hopelijk makkelijker te vinden is, legaal of illegaal.De stille negatieve ondertoon is natuurlijk die van illegalen en zigeuners uit Bulgarije ('die 'we' hier niet willen want crimineel', ??).
De nationaliteit van deze mensen doet er niet toe!
Waar ben je nou jurist voor, om suggestieve (politieke) berichtgeving na te echo-en?
Ga jij even gauw ergens anders passief-aggressief dramdeugen. De omvolkskrant heeft vast nog wel een plaatsje vrij in hun brievenrubriek.Waar ben je nou jurist voor, om suggestieve (politieke) berichtgeving na te echo-en?
"Berend Jan Beugel van Betaalvereniging Nederland. Die legt uit: Je hebt namelijk een gecertificeerde aangesloten pinautomaat nodig die alleen wordt uitgegeven door onder toezicht staande bedrijven. Vervolgens moet de eigenaar van een automaat een zakelijke rekening hebben en wordt de betaling verwerkt door erkende bedrijven. Hoewel het technisch mogelijk is om iemand geld afhandig te maken met zo’n apparaat, herleid dit direct naar de dader. Daarom begint niemand eraan."
Nou die meneer Beugel die staat kennelijk nogal ver van de maatschappelijke realiteit af...
Prima dat hij zo denkt maar het lijkt me niet verstandig dat hij het woord voert voor een dergelijke vereniging.
Volgens mij zijn de banken zelf er allang van doordrongen dat allerlei cerificaties, registraties en traceringen niets maar dan
ook helemaal niets waard zijn in de wereld van de criminelen. Nou meneer Beugel nog.
Nou die meneer Beugel die staat kennelijk nogal ver van de maatschappelijke realiteit af...
Prima dat hij zo denkt maar het lijkt me niet verstandig dat hij het woord voert voor een dergelijke vereniging.
Volgens mij zijn de banken zelf er allang van doordrongen dat allerlei cerificaties, registraties en traceringen niets maar dan
ook helemaal niets waard zijn in de wereld van de criminelen. Nou meneer Beugel nog.
Ik maak me hier totaal geen zorgen over. Banken gaan dit gewoon compenseren. Zij willen dat we contactloos betalen gebruiken en als er misbruik gemaakt wordt lossen ze dat op (zover mogelijk) of compenseren ze het.
Niemand zegt dat dit 100% veilig gaat zijn, hoogstens dat de klant er niet benadeeld door wordt.
Niemand zegt dat dit 100% veilig gaat zijn, hoogstens dat de klant er niet benadeeld door wordt.
Er wordt hier uitgegaan van iemand die zelf een betaalterminal heeft. Dat is niet nodig, je kan met een team werken: A heeft een telefoon met skimsoftware, B gaat iets ergens betalen met replay software.
A zoekt een slachtoffer, en houdt z'n telefoon bij de portemonnee van het slachtoffer, terwijl B ergens met z'n telefoon betaalt. Wat er ondertussen gebeurt is dat de response van de kaart van het slachtoffer wordt opgepikt door de telefoon van A, doorgestuurd naar de telefoon van B, en die "replayed" het naar de betaalterminal.
Als het slachtoffer dan gaat klagen zal de winkelier (te goeder trouw) alleen maar kunnen laten zien dat er een betaling is geweest.
Fictie? Nee hoor, zie deze presentatie op defcon, kijk naar slide 16 https://download.ernw-insight.de/troopers/tr18/slides/TR18_AR_NFC-Payments-The-Art-of-Relay-&-Replay-Attacks.pdf
Q
A zoekt een slachtoffer, en houdt z'n telefoon bij de portemonnee van het slachtoffer, terwijl B ergens met z'n telefoon betaalt. Wat er ondertussen gebeurt is dat de response van de kaart van het slachtoffer wordt opgepikt door de telefoon van A, doorgestuurd naar de telefoon van B, en die "replayed" het naar de betaalterminal.
Als het slachtoffer dan gaat klagen zal de winkelier (te goeder trouw) alleen maar kunnen laten zien dat er een betaling is geweest.
Fictie? Nee hoor, zie deze presentatie op defcon, kijk naar slide 16 https://download.ernw-insight.de/troopers/tr18/slides/TR18_AR_NFC-Payments-The-Art-of-Relay-&-Replay-Attacks.pdf
Q
Natuurlijk, je kunt een café opzetten, mobiele pinterminals aanvragen, een dagje op een festival rondlopen en overal 25 euro pinnen, dat opnemen en snel naar Bulgarije reizen, maar is dat niet een béétje veel moeite voor een dag lang 25 euro per persoon scoren?
Er is een gezegde: Security mensen denken in termen hoe het systeem omver is te werpen (wat niet gezegd is dat ze het ook doen, in de meeste gevallen is de vervolgstap hoe dat te voorkomen).
Het verdienmodel hier is gebaseerd op opschalen naar veel successen in korte tijd met weinig per stuk. Bijvoorbeeld Lowlands had dit jaar 70000 bezoekers. Als je daar de helft van op deze manier kan zakkenrollen, praten we over een verdienmodel van €875000,-, toch bijna een miljoen. En na de aanloopkosten van het opzetten van een fictief bedrijf is de moeite betrekkelijk klein, je hoeft alleen maar rond te lopen en het apparaat volautomatisch het werk te laten doen. Klassiek zakkenrollen is veel lastiger op te schalen en riskanter wegens fysiek contact.
Door Anoniem: Het verbaast me wel eens hoe weinig mensen aan de kassa ja zeggen als er gevraagd wordt of ze de kassabon willen hebben. Geen kassabon - geen echte controle mogelijk als je steeds maar met pin of contactloos betaalt.
Hoe moet dit werken als bewijs dan?
Ik ga naar de bank en leg uit dat er een transactie is gebeurd waar ik geen bonnetje van heb, en dan toon ik mijn lege handen als bewijs? Geen bon dus het moet wel een illegale transactie zijn?
En moet ik dan thuis dagelijks met mijn stapel bonnetjes gaan zitten vergelijken met wat er op mijn rekening gebeurd is? Want als ik dat pas maandelijks doe is het ook al weer erg laat. Maar als ik dat elke dag doe, heb ik die bonnetjes niet nodig want dan weet ik zo ook nog wel wat ik die dag gekocht heb, en waar.
Van mij mag je bonnetjes vragen zo veel je wilt, maar ik zie de toegevoegde waarde in de strijd tegen illegale transacties niet zo.
Door Anoniem: Er wordt hier uitgegaan van iemand die zelf een betaalterminal heeft. Dat is niet nodig, je kan met een team werken: A heeft een telefoon met skimsoftware, B gaat iets ergens betalen met replay software.
A zoekt een slachtoffer, en houdt z'n telefoon bij de portemonnee van het slachtoffer, terwijl B ergens met z'n telefoon betaalt. Wat er ondertussen gebeurt is dat de response van de kaart van het slachtoffer wordt opgepikt door de telefoon van A, doorgestuurd naar de telefoon van B, en die "replayed" het naar de betaalterminal.
Als het slachtoffer dan gaat klagen zal de winkelier (te goeder trouw) alleen maar kunnen laten zien dat er een betaling is geweest.
Fictie? Nee hoor, zie deze presentatie op defcon, kijk naar slide 16 https://download.ernw-insight.de/troopers/tr18/slides/TR18_AR_NFC-Payments-The-Art-of-Relay-&-Replay-Attacks.pdf
Q
A zoekt een slachtoffer, en houdt z'n telefoon bij de portemonnee van het slachtoffer, terwijl B ergens met z'n telefoon betaalt. Wat er ondertussen gebeurt is dat de response van de kaart van het slachtoffer wordt opgepikt door de telefoon van A, doorgestuurd naar de telefoon van B, en die "replayed" het naar de betaalterminal.
Als het slachtoffer dan gaat klagen zal de winkelier (te goeder trouw) alleen maar kunnen laten zien dat er een betaling is geweest.
Fictie? Nee hoor, zie deze presentatie op defcon, kijk naar slide 16 https://download.ernw-insight.de/troopers/tr18/slides/TR18_AR_NFC-Payments-The-Art-of-Relay-&-Replay-Attacks.pdf
Q
Replayen van EMV transacties is onmogelijk. De terminal geeft immers een random challenge die door de applicatie op de EMV chip gebruikt wordt om een response te genereren. Op basis van deze response kan de terminal terugrekenen of deze is gegenereerd met de private keys die zijn ingeladen op de applicatie in de EMV chip.
Het voorbeeld dat jij geeft maakt gebruik van contactless magstripe. Dat wordt in europa niet gebruikt omdat wij al lang over zijn op EMV. Je kunt dit vergelijken met het verschil tussen de magneetstrip en de chip op je pas.
Een Relay attack is inderdaad mogelijk maar dat is vrij lastig uit te voeren omdat je op precies hetzelfde moment op twee plaatsen moet zijn. Daarnaast hebben terminals een timeout waardoor een transactie mogelijk wordt afgekeurd omdat het te lang duurt. Dit is meer een theoretische aanval. Daarnaast zijn MasterCard en Visa al lange tijd bezig met het invoeren van nieuwe chip standaarden waardoor het onmogelijk wordt om relay attacks uit te voeren.
Waar overigens ook niemand hier rekening mee houdt is het feit dat er maximaal 50 euro cumulatief kan worden gepint. Dat houdt in dat als jij 20 euro contactloos pint, dan nogmaals 20 euro (40 euro samen) en daarna nogmaals 20 euro (60 euro) dat hij bij de derde keer om een pincode vraagt. Dit zorgt voor een extra stok achter de deur.
Als laatst is het zo dat mensen meerdere passen in hun portemonnee hebben. Hierdoor is het moeilijk om een connectie met de juiste pas vast te houden. Zeker als passen van hetzelfde type ISO 14443 zijn (type a of type b).
Er is door de betaalvereniging en banken bewust een afweging gemaakt bij het invoeren van contactloos betalen. Dit zijn altijd afwegingen tussen convenience en security. Naar mijn mening is die goed gemaakt hierin. Daarnaast is contactloos betalen natuurlijk een tussenstap richting mobiel contactloos betalen waarbij je de user authentication door middel van een pincode of fingerprint uitvoert.
Het voorbeeld was een replay, ik heb gesproken met iemand die een relay-attack (met een two-way verbinding) gerealiseerd had (dus challenge heen sturen, en response terug). Hij was verbaasd over hoe lang de time-out stond (wisselde kennelijk per bank) waardoor dit mogelijk was.
En ja, ben het met je eens: op dit moment is de balans tussen convenience en security goed. Ik noemde bovenstaand voorbeeld meer vanuit bewustwording: let op, het kan! Niet vanuit het idee dat dit nu een supergrote dreiging is, zo iets van "het is toch vreselijk hoe slecht banken de zaken beveiligen"
Q
En ja, ben het met je eens: op dit moment is de balans tussen convenience en security goed. Ik noemde bovenstaand voorbeeld meer vanuit bewustwording: let op, het kan! Niet vanuit het idee dat dit nu een supergrote dreiging is, zo iets van "het is toch vreselijk hoe slecht banken de zaken beveiligen"
Q
Door Anoniem:
Replayen van EMV transacties is onmogelijk. De terminal geeft immers een random challenge die door de applicatie op de EMV chip gebruikt wordt om een response te genereren. Op basis van deze response kan de terminal terugrekenen of deze is gegenereerd met de private keys die zijn ingeladen op de applicatie in de EMV chip.
Het voorbeeld dat jij geeft maakt gebruik van contactless magstripe. Dat wordt in europa niet gebruikt omdat wij al lang over zijn op EMV. Je kunt dit vergelijken met het verschil tussen de magneetstrip en de chip op je pas.
Een Relay attack is inderdaad mogelijk maar dat is vrij lastig uit te voeren omdat je op precies hetzelfde moment op twee plaatsen moet zijn. Daarnaast hebben terminals een timeout waardoor een transactie mogelijk wordt afgekeurd omdat het te lang duurt. Dit is meer een theoretische aanval. Daarnaast zijn MasterCard en Visa al lange tijd bezig met het invoeren van nieuwe chip standaarden waardoor het onmogelijk wordt om relay attacks uit te voeren.
Waar overigens ook niemand hier rekening mee houdt is het feit dat er maximaal 50 euro cumulatief kan worden gepint. Dat houdt in dat als jij 20 euro contactloos pint, dan nogmaals 20 euro (40 euro samen) en daarna nogmaals 20 euro (60 euro) dat hij bij de derde keer om een pincode vraagt. Dit zorgt voor een extra stok achter de deur.
Als laatst is het zo dat mensen meerdere passen in hun portemonnee hebben. Hierdoor is het moeilijk om een connectie met de juiste pas vast te houden. Zeker als passen van hetzelfde type ISO 14443 zijn (type a of type b).
Er is door de betaalvereniging en banken bewust een afweging gemaakt bij het invoeren van contactloos betalen. Dit zijn altijd afwegingen tussen convenience en security. Naar mijn mening is die goed gemaakt hierin. Daarnaast is contactloos betalen natuurlijk een tussenstap richting mobiel contactloos betalen waarbij je de user authentication door middel van een pincode of fingerprint uitvoert.
Door Anoniem: Er wordt hier uitgegaan van iemand die zelf een betaalterminal heeft. Dat is niet nodig, je kan met een team werken: A heeft een telefoon met skimsoftware, B gaat iets ergens betalen met replay software.
A zoekt een slachtoffer, en houdt z'n telefoon bij de portemonnee van het slachtoffer, terwijl B ergens met z'n telefoon betaalt. Wat er ondertussen gebeurt is dat de response van de kaart van het slachtoffer wordt opgepikt door de telefoon van A, doorgestuurd naar de telefoon van B, en die "replayed" het naar de betaalterminal.
Als het slachtoffer dan gaat klagen zal de winkelier (te goeder trouw) alleen maar kunnen laten zien dat er een betaling is geweest.
Fictie? Nee hoor, zie deze presentatie op defcon, kijk naar slide 16 https://download.ernw-insight.de/troopers/tr18/slides/TR18_AR_NFC-Payments-The-Art-of-Relay-&-Replay-Attacks.pdf
Q
A zoekt een slachtoffer, en houdt z'n telefoon bij de portemonnee van het slachtoffer, terwijl B ergens met z'n telefoon betaalt. Wat er ondertussen gebeurt is dat de response van de kaart van het slachtoffer wordt opgepikt door de telefoon van A, doorgestuurd naar de telefoon van B, en die "replayed" het naar de betaalterminal.
Als het slachtoffer dan gaat klagen zal de winkelier (te goeder trouw) alleen maar kunnen laten zien dat er een betaling is geweest.
Fictie? Nee hoor, zie deze presentatie op defcon, kijk naar slide 16 https://download.ernw-insight.de/troopers/tr18/slides/TR18_AR_NFC-Payments-The-Art-of-Relay-&-Replay-Attacks.pdf
Q
Replayen van EMV transacties is onmogelijk. De terminal geeft immers een random challenge die door de applicatie op de EMV chip gebruikt wordt om een response te genereren. Op basis van deze response kan de terminal terugrekenen of deze is gegenereerd met de private keys die zijn ingeladen op de applicatie in de EMV chip.
Het voorbeeld dat jij geeft maakt gebruik van contactless magstripe. Dat wordt in europa niet gebruikt omdat wij al lang over zijn op EMV. Je kunt dit vergelijken met het verschil tussen de magneetstrip en de chip op je pas.
Een Relay attack is inderdaad mogelijk maar dat is vrij lastig uit te voeren omdat je op precies hetzelfde moment op twee plaatsen moet zijn. Daarnaast hebben terminals een timeout waardoor een transactie mogelijk wordt afgekeurd omdat het te lang duurt. Dit is meer een theoretische aanval. Daarnaast zijn MasterCard en Visa al lange tijd bezig met het invoeren van nieuwe chip standaarden waardoor het onmogelijk wordt om relay attacks uit te voeren.
Waar overigens ook niemand hier rekening mee houdt is het feit dat er maximaal 50 euro cumulatief kan worden gepint. Dat houdt in dat als jij 20 euro contactloos pint, dan nogmaals 20 euro (40 euro samen) en daarna nogmaals 20 euro (60 euro) dat hij bij de derde keer om een pincode vraagt. Dit zorgt voor een extra stok achter de deur.
Als laatst is het zo dat mensen meerdere passen in hun portemonnee hebben. Hierdoor is het moeilijk om een connectie met de juiste pas vast te houden. Zeker als passen van hetzelfde type ISO 14443 zijn (type a of type b).
Er is door de betaalvereniging en banken bewust een afweging gemaakt bij het invoeren van contactloos betalen. Dit zijn altijd afwegingen tussen convenience en security. Naar mijn mening is die goed gemaakt hierin. Daarnaast is contactloos betalen natuurlijk een tussenstap richting mobiel contactloos betalen waarbij je de user authentication door middel van een pincode of fingerprint uitvoert.
Okee, ik ga nu niet zeggen welke wegen ik in het verhaal al ontdekt heb om toch binnen te komen, want anders kunnen de bad guys hier toch mee aan de slag en geld jatten, terwijl iedereen dacht "veilig" te zitten (responsible disclosure)
Het zelfde probleem gold tot voor kort ook voor tweefactor authenticatie. Men waande zich veilig, totdat een of andere slimmerik een weg vond om deze 2F af te vangen en in te loggen bij de gedupeerde gebruiker.
Dus laten we oppassen en niet blind te staren op deze security-maatregel.
Ondergang dreigt daar waar men zich veilig waant, zo luidt een buitenlands spreekwoord.
Het zelfde probleem gold tot voor kort ook voor tweefactor authenticatie. Men waande zich veilig, totdat een of andere slimmerik een weg vond om deze 2F af te vangen en in te loggen bij de gedupeerde gebruiker.
Dus laten we oppassen en niet blind te staren op deze security-maatregel.
Ondergang dreigt daar waar men zich veilig waant, zo luidt een buitenlands spreekwoord.
Uhm. Het stukje boven omhelst een juridische vraag. De technische perikelen zijn interessant natuurlijk. Maar het zijn de wetten die daar dan weer een beetje orde in trachten te scheppen.
Is contactloos pikken nog wel pikken. Dat was de vraag. Ik denk van wel. Maar de pashouder loopt wel rond met een pak-het-er-maar-vanaf kaartje. Dat is toch een beetje je fiets niet op slot zetten voor de koffieshop en al helemaal niet als je weet dat ze het allemaal gezien hebben. In hoeverre mag je dan nog verwachten dat het recht je beschermt. Zeker als je erbij roept dat je fiets toch verzekerd is en je altijd toch weer een nieuwe krijgt. Uit de premie van alle andere fietsers.
Ik wil geen contactloos pasje. Maar ook geen niet-contactloos pasje van dezelde bank die ze wel uitgeeft en de schade uit algemene middelen dekt. Want dan blijft ik gewoon meebetalen aan zulke spielerei. Het moet toch ergens vandaan komen.
Wat mij betreft mag een contactloze pas juridisch gewoon als uitlokking tot beroving worden gezien. Het blijft stelen. Maar je vraagt er zelf om.
Is contactloos pikken nog wel pikken. Dat was de vraag. Ik denk van wel. Maar de pashouder loopt wel rond met een pak-het-er-maar-vanaf kaartje. Dat is toch een beetje je fiets niet op slot zetten voor de koffieshop en al helemaal niet als je weet dat ze het allemaal gezien hebben. In hoeverre mag je dan nog verwachten dat het recht je beschermt. Zeker als je erbij roept dat je fiets toch verzekerd is en je altijd toch weer een nieuwe krijgt. Uit de premie van alle andere fietsers.
Ik wil geen contactloos pasje. Maar ook geen niet-contactloos pasje van dezelde bank die ze wel uitgeeft en de schade uit algemene middelen dekt. Want dan blijft ik gewoon meebetalen aan zulke spielerei. Het moet toch ergens vandaan komen.
Wat mij betreft mag een contactloze pas juridisch gewoon als uitlokking tot beroving worden gezien. Het blijft stelen. Maar je vraagt er zelf om.
Door Anoniem:Is contactloos pikken nog wel pikken. Dat was de vraag. Ik denk van wel. Maar de pashouder loopt wel rond met een pak-het-er-maar-vanaf kaartje. Dat is toch een beetje je fiets niet op slot zetten voor de koffieshop en al helemaal niet als je weet dat ze het allemaal gezien hebben. In hoeverre mag je dan nog verwachten dat het recht je beschermt. Zeker als je erbij roept dat je fiets toch verzekerd is en je altijd toch weer een nieuwe krijgt. Uit de premie van alle andere fietsers.
Dus een fiets stelen is geen diefstal als hij niet op slot staat? Dat je je fiets niet goed beveiligt, wil niet zeggen dat het opeens geen diefstal meer is. Als ik mijn deur open laat staan en iemand steelt mijn TV, dan is dat nog steeds stelen. En letterlijk wie roept dat?
Door Anoniem:
Dus een fiets stelen is geen diefstal als hij niet op slot staat? Dat je je fiets niet goed beveiligt, wil niet zeggen dat het opeens geen diefstal meer is. Als ik mijn deur open laat staan en iemand steelt mijn TV, dan is dat nog steeds stelen. En letterlijk wie roept dat?
Door Anoniem:Is contactloos pikken nog wel pikken. Dat was de vraag. Ik denk van wel. Maar de pashouder loopt wel rond met een pak-het-er-maar-vanaf kaartje. Dat is toch een beetje je fiets niet op slot zetten voor de koffieshop en al helemaal niet als je weet dat ze het allemaal gezien hebben. In hoeverre mag je dan nog verwachten dat het recht je beschermt. Zeker als je erbij roept dat je fiets toch verzekerd is en je altijd toch weer een nieuwe krijgt. Uit de premie van alle andere fietsers.
Dus een fiets stelen is geen diefstal als hij niet op slot staat? Dat je je fiets niet goed beveiligt, wil niet zeggen dat het opeens geen diefstal meer is. Als ik mijn deur open laat staan en iemand steelt mijn TV, dan is dat nog steeds stelen. En letterlijk wie roept dat?
Je raakt dan de glijdende schaal waar je op komt als politie en bedrijven zelf grenzen gaan stellen.
Bijvoorbeeld een verzekeraar die wel uitkeert bij inbraak maar niet bij insluiping, en die dan jouw inbraak als insluiping gaat kwalificeren om niet te hoeven uitkeren. Laatst hoorde ik ook over een geval waar mensen wel verzekerd waren tegen waterschade maar de verzekeraar niet wilde vergoeden als die waterschade het gevolg was van vandalisme door een niet-geidentificeerde insluiper. Dan kreeg je ook die "dan moet je je deur maar niet open laten staan, want dan kan men binnenlopen en de kraan openzetten" discussie.
De politie heeft ook die neiging. "Op slot buit eruit" bordjes die aangeven dat men niet (schadebeperkend!) de deur van de auto open mag laten en dat als er iets van waarde in de auto ligt men toch echt zelf fout zit en niet de dief die het eruit pakt.
Maar dat verandert natuurlijk niks aan de definitie van diefstal. Net zoals het gewoon diefstal van geld is, ook al verplaatst er zich geen fysiek geld.
Maar daar zul je hier niet veel medestanders in vinden, hier geeft de meerderheid de voorkeur aan anarchistische standpunten op dat gebied ("alleen een tellertje veranderd -> geen diefstal", net als "copietje gemaakt van een beschermd werk -> geen diefstal")
Door Anoniem:...
Ik wil geen contactloos pasje. Maar ook geen niet-contactloos pasje van dezelde bank die ze wel uitgeeft en de schade uit algemene middelen dekt. Want dan blijft ik gewoon meebetalen aan zulke spielerei. Het moet toch ergens vandaan komen.
Ik wil geen contactloos pasje. Maar ook geen niet-contactloos pasje van dezelde bank die ze wel uitgeeft en de schade uit algemene middelen dekt. Want dan blijft ik gewoon meebetalen aan zulke spielerei. Het moet toch ergens vandaan komen.
Hmm, interessant: je hebt liever een bank die vele malen meer kosten maakt aan beveiliging, en waar je dus nog meer geld kwijt bent...
Want al die extra beveiliging kost natuurlijk ook geld wat door de klanten betaalt wordt
Door Anoniem:...
Wat mij betreft mag een contactloze pas juridisch gewoon als uitlokking tot beroving worden gezien. Het blijft stelen. Maar je vraagt er zelf om.
Wat mij betreft mag een contactloze pas juridisch gewoon als uitlokking tot beroving worden gezien. Het blijft stelen. Maar je vraagt er zelf om.
Ahh, dus als iemand z'n beveiliging niet optimaal heeft, mag je van hem stelen? Bijzondere levensinstelling heb je. Heb je veel vrienden?
Door Anoniem: Maar de pashouder loopt wel rond met een pak-het-er-maar-vanaf kaartje. Dat is toch een beetje je fiets niet op slot zetten voor de koffieshop en al helemaal niet als je weet dat ze het allemaal gezien hebben. In hoeverre mag je dan nog verwachten dat het recht je beschermt.
Het is nog steeds diefstal. Waar de bescherming door politie en justitie (niet de wet maar de handhavers ervan) tegenvalt ligt dat aan capaciteitsgebrek en niet aan de vraag of het wel of niet mag. Zeker als je erbij roept dat je fiets toch verzekerd is en je altijd toch weer een nieuwe krijgt. Uit de premie van alle andere fietsers.
Verzekeraars zijn geen wetshandhavers en wetshandhavers geen verzekeraars. Polisvoorwaarden zijn geen wetten en wetten geen polisvoorwaarden. Verwar dat niet met elkaar.In die polisvoorwaarden wordt trouwens wel degelijk geëist dat je je fiets goed op slot zet. Als je daarover liegt pleeg je valsheid in geschrifte en dat is weer strafbaar.
Ik wil geen contactloos pasje. Maar ook geen niet-contactloos pasje van dezelde bank die ze wel uitgeeft en de schade uit algemene middelen dekt. Want dan blijft ik gewoon meebetalen aan zulke spielerei. Het moet toch ergens vandaan komen.
Besef je dat contactloos betalen ook een risicoverlagend effect heeft? Door je pincode minder op openbare plaatsen te gebruiken wordt het risico dat die word gezien door een omstander die vervolgens je pas rolt verlaagd. Het zou qua risico en schade wel eens veel beter in balans kunnen zijn dan jij aanneemt. Wat mij betreft mag een contactloze pas juridisch gewoon als uitlokking tot beroving worden gezien. Het blijft stelen. Maar je vraagt er zelf om.
Nee, je vraagt pas om beroofd te worden als je iemand vraagt of die je wil beroven.
23-12-2018, 10:55 door
Briolet
Door Anoniem: …een handige jongen doet geen 25 Euro, maar bijv. 24,78 dat valt niet op…
Of nog veel minder. Er zit een probleem in de manier van afschrijven voor de aanvaller.
Diegene die wil afboeken, kan niet zien hoeveel er nog afgeboekt kan worden. Als hij 25 Euro afboekt en de eigenaar heeft al een betaling van 2,50 Euro gedaan, dan kan de aanvaller niet de resterende 23,50 afboeken. Als het saldo niet toereikend is, dan wordt de gehele betaling geannuleerd.
Om nu een lager bedrag af te schrijven, moet er eerst weer contact gemaakt worden met het bankpasje. En dat contact maken is lastig door de noodzakelijke nabijheid.
Het enige waar de aanvallers op kunnen hopen is dat de eigenaar nog geen contactloze betaling gedaan heeft en ze een bedrag van 25 Euro, of inderdaad er direct onder, kunnen afboeken.
Als ik zie hoe makkelijk louche bedrijven en nabouwers van sites het voor elkaar krijgen om een Ideal account te krijgen en dus via Ideal betaald kunnen worden …
Dat dacht ik ook. Op die manier moet er wel iets mogelijk zijn. Echter, bij een webwinkel duurt het al gauw weken voordat ze tegen de lamp lopen. Ook bij een bonafide bedrijf kan het dagen duren voordat goederen geleverd worden.Bij contactloos beroven kunnen mensen diezelfde dag nog zien dat er iets niet klopt. Er hoeft maar 1 persoon bij zijn bank te klagen en ze vliegen tegen de lamp. Bij deze kleine bedragen kan het zijn dat ze de kosten van het oprichten/kopen van een nepbedrijf niet kunnen terugverdienen.
Verder meende ik gelezen te hebben dat het ook 1 a 2 dagen duurt voordat het bedrag echt bij de eigenaar op de rekening komt. Dat is weer extra tijd om bij misbruik in te grijpen.
Technische vraag:
Als ik nou 5 kaarten in mijn portemonnee heb zitten. En iemand komt met een kastje dicht genoeg in de buurt. Kan ik dan in één keer voor 125 euro gepakt worden, of werkt het hele verhaal dan niet omdat het niet met 5 pasjes tegelijk kan?
Voor mij normaal om 5 pasjes te hebben. Van drie verschillende zaken en twee prive. Het zijn er wel eens meer geweest ook. Enkel dan al zelf doorhebben dat er rare afschrijvingen zijn, zeker als het transacties van niet precies 25 Euro zijn, betekent elke dag toch wel twee keer op al die rekeningen inloggen. Daar heb ik geen trek in, en om iemand ervoor in te huren die dat alle dagen voor me doet kan me zomaar het zelfde of veel meer kosten als de schade van het stelen. Het zou dus best wel eens kunnen dat ik er een maand later zelf pas achter kom. Of nog langer. Zeker als je 14 uur per dag met verdienen bezig bent en er op vertrouwt dat je geld op de bank veilig staat.
(Dat dat laaste niet meer waar is weet ik al jaren, dus het gaat er doorgaans gelijk af. Je krijgt er toch geen rente meer op. Blind vertrouwen is voor sommige van mijn betere klanten. Maar voor banken al lang niet meer.)
Als ik nou 5 kaarten in mijn portemonnee heb zitten. En iemand komt met een kastje dicht genoeg in de buurt. Kan ik dan in één keer voor 125 euro gepakt worden, of werkt het hele verhaal dan niet omdat het niet met 5 pasjes tegelijk kan?
Voor mij normaal om 5 pasjes te hebben. Van drie verschillende zaken en twee prive. Het zijn er wel eens meer geweest ook. Enkel dan al zelf doorhebben dat er rare afschrijvingen zijn, zeker als het transacties van niet precies 25 Euro zijn, betekent elke dag toch wel twee keer op al die rekeningen inloggen. Daar heb ik geen trek in, en om iemand ervoor in te huren die dat alle dagen voor me doet kan me zomaar het zelfde of veel meer kosten als de schade van het stelen. Het zou dus best wel eens kunnen dat ik er een maand later zelf pas achter kom. Of nog langer. Zeker als je 14 uur per dag met verdienen bezig bent en er op vertrouwt dat je geld op de bank veilig staat.
(Dat dat laaste niet meer waar is weet ik al jaren, dus het gaat er doorgaans gelijk af. Je krijgt er toch geen rente meer op. Blind vertrouwen is voor sommige van mijn betere klanten. Maar voor banken al lang niet meer.)
Door Anoniem: Technische vraag:
Als ik nou 5 kaarten in mijn portemonnee heb zitten. En iemand komt met een kastje dicht genoeg in de buurt. Kan ik dan in één keer voor 125 euro gepakt worden, of werkt het hele verhaal dan niet omdat het niet met 5 pasjes tegelijk kan?
Voor mij normaal om 5 pasjes te hebben. Van drie verschillende zaken en twee prive. Het zijn er wel eens meer geweest ook. Enkel dan al zelf doorhebben dat er rare afschrijvingen zijn, zeker als het transacties van niet precies 25 Euro zijn, betekent elke dag toch wel twee keer op al die rekeningen inloggen. Daar heb ik geen trek in, en om iemand ervoor in te huren die dat alle dagen voor me doet kan me zomaar het zelfde of veel meer kosten als de schade van het stelen. Het zou dus best wel eens kunnen dat ik er een maand later zelf pas achter kom. Of nog langer. Zeker als je 14 uur per dag met verdienen bezig bent en er op vertrouwt dat je geld op de bank veilig staat.
(Dat dat laaste niet meer waar is weet ik al jaren, dus het gaat er doorgaans gelijk af. Je krijgt er toch geen rente meer op. Blind vertrouwen is voor sommige van mijn betere klanten. Maar voor banken al lang niet meer.)
meerdere pasjes maakt het juist moeilijker om verbinding met de juiste pas te houden om geld af te schrijvenAls ik nou 5 kaarten in mijn portemonnee heb zitten. En iemand komt met een kastje dicht genoeg in de buurt. Kan ik dan in één keer voor 125 euro gepakt worden, of werkt het hele verhaal dan niet omdat het niet met 5 pasjes tegelijk kan?
Voor mij normaal om 5 pasjes te hebben. Van drie verschillende zaken en twee prive. Het zijn er wel eens meer geweest ook. Enkel dan al zelf doorhebben dat er rare afschrijvingen zijn, zeker als het transacties van niet precies 25 Euro zijn, betekent elke dag toch wel twee keer op al die rekeningen inloggen. Daar heb ik geen trek in, en om iemand ervoor in te huren die dat alle dagen voor me doet kan me zomaar het zelfde of veel meer kosten als de schade van het stelen. Het zou dus best wel eens kunnen dat ik er een maand later zelf pas achter kom. Of nog langer. Zeker als je 14 uur per dag met verdienen bezig bent en er op vertrouwt dat je geld op de bank veilig staat.
(Dat dat laaste niet meer waar is weet ik al jaren, dus het gaat er doorgaans gelijk af. Je krijgt er toch geen rente meer op. Blind vertrouwen is voor sommige van mijn betere klanten. Maar voor banken al lang niet meer.)
Door Anoniem:
Een lezer zoals de betaalvereniging die graag ziet, merkt dan dat er meer kaarten binnen detectiebereik zijn en dan zegt de firmware "één tegelijk alstublieft!" Een custom lezer vertel je gewoon om ze allemaal een-voor-een af te lopen, en dat doet'ie dan. En welke would-be digitale zakkenroller heeft er nou respect voor de regeltjes van de betaalvereniging? Nou?Door Anoniem: Technische vraag:
Als ik nou 5 kaarten in mijn portemonnee heb zitten. En iemand komt met een kastje dicht genoeg in de buurt. Kan ik dan in één keer voor 125 euro gepakt worden, of werkt het hele verhaal dan niet omdat het niet met 5 pasjes tegelijk kan?
Voor mij normaal om 5 pasjes te hebben. Van drie verschillende zaken en twee prive. Het zijn er wel eens meer geweest ook. Enkel dan al zelf doorhebben dat er rare afschrijvingen zijn, zeker als het transacties van niet precies 25 Euro zijn, betekent elke dag toch wel twee keer op al die rekeningen inloggen. Daar heb ik geen trek in, en om iemand ervoor in te huren die dat alle dagen voor me doet kan me zomaar het zelfde of veel meer kosten als de schade van het stelen. Het zou dus best wel eens kunnen dat ik er een maand later zelf pas achter kom. Of nog langer. Zeker als je 14 uur per dag met verdienen bezig bent en er op vertrouwt dat je geld op de bank veilig staat.
(Dat dat laaste niet meer waar is weet ik al jaren, dus het gaat er doorgaans gelijk af. Je krijgt er toch geen rente meer op. Blind vertrouwen is voor sommige van mijn betere klanten. Maar voor banken al lang niet meer.)
meerdere pasjes maakt het juist moeilijker om verbinding met de juiste pas te houden om geld af te schrijvenAls ik nou 5 kaarten in mijn portemonnee heb zitten. En iemand komt met een kastje dicht genoeg in de buurt. Kan ik dan in één keer voor 125 euro gepakt worden, of werkt het hele verhaal dan niet omdat het niet met 5 pasjes tegelijk kan?
Voor mij normaal om 5 pasjes te hebben. Van drie verschillende zaken en twee prive. Het zijn er wel eens meer geweest ook. Enkel dan al zelf doorhebben dat er rare afschrijvingen zijn, zeker als het transacties van niet precies 25 Euro zijn, betekent elke dag toch wel twee keer op al die rekeningen inloggen. Daar heb ik geen trek in, en om iemand ervoor in te huren die dat alle dagen voor me doet kan me zomaar het zelfde of veel meer kosten als de schade van het stelen. Het zou dus best wel eens kunnen dat ik er een maand later zelf pas achter kom. Of nog langer. Zeker als je 14 uur per dag met verdienen bezig bent en er op vertrouwt dat je geld op de bank veilig staat.
(Dat dat laaste niet meer waar is weet ik al jaren, dus het gaat er doorgaans gelijk af. Je krijgt er toch geen rente meer op. Blind vertrouwen is voor sommige van mijn betere klanten. Maar voor banken al lang niet meer.)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.