Geldmaat introduceert contactloos geld opnemen via NFC
Vanaf vandaag zal het bij steeds meer geldautomaten van Geldmaat mogelijk zijn om contactloos geld op te nemen via NFC. Het is daardoor niet meer nodig om de bankpas in de automaat te steken. Ook kan er geld worden opgenomen door de smartphone bij de NFC-lezer van de geldautomaat te houden, vergelijkbaar met het contactloos betalen bij een kassa. Het contactloos opnemen zou voor snellere transacties en minder storingen moeten zorgen.
De reader op de automaat leest via een chip in telefoon of pas de gegevens die nodig zijn om een transactie te starten. Via een logo voor contactloos betalen op de automaat en op het startscherm is de NFC-reader te herkennen. Gebruikt een klant een contactloze pas, dan start het scherm van de automaat op. Gebruikt een klant een mobiele telefoon of bijvoorbeeld een smartwatch, dan start de transactie via de telefoon en verloopt daarna via het scherm. Bij alle transacties is het noodzakelijk een pincode in te voeren, ongeacht de hoogte van het op te nemen bedrag.
De NFC-reader wordt gefaseerd ingevoerd. Vanaf vandaag zijn de automaten in Geldmaatwinkels geschikt voor contactloos opnemen van biljetten. Kort daarna volgen de automaten bij retailers, zoals boekhandels en gemakswinkels. De negenhonderd automaten bij AH-supermarkten worden in de loop van 2024 vervangen en zijn daarna ook geschikt voor contactloos opnemen. Eind volgend jaar zal naar verwachting 85 procent van alle opname-automaten geschikt zijn voor contactloos gebruik via de reader.
Ik sta in de rij. Kan niet wachten. MAar zal wel moeten.
Nu kan die automaat meer dan 1 klant per 2 minuten?
Of -laat mij raden- nu gaat het ineens zogenaamd "sneller en makkelijker" ...?
Verplicht een traceerbare device nodig hebben, om gewoon over (jouw) contant geld te kunnen beschikken. Yay.
De belofte bij introductie van de pinpas was toch groter dan dat.
of een extra lezer erop te maken (weet niet wat de NFC range wordt?)
klinkt als een nog even over nadenken zou ik zeggen
En dit lek zat er dus al een tijd in, omdat de firmware niet remote kan worden geupdate in de meeste gevallen....
Als dat in alle gevallen op de automaat is, zullen de criminelen ook een onopvallende (mini) camera met zicht op het toetsenbord moeten ophangen.
Effectief is er maar sprake van één factor als alle benodigde informatie doorgestuurd kan worden. Bij een bankpas zal een dief deze fysiek in handen moeten hebben (er vanuit gaande dat een voorzetstuk, waar een bankpas in past, te veel opvalt), náást dat de dief de pincode moet kennen. Dat zijn twee (verschillende) factoren waardoor aanvallen meestal lastiger uit te voeren zijn.
Het "voordeel" van NFC-lezers op flappentappen zou kunnen zijn dat van minder ouderen de pinpas (sinds de ingebouwde chip is deze extreem lastig te kopiëren) en pincode (een geheim dat je weet) wordt afgetroggeld - doordat wellicht de criminaliteit zich verplaatst naar flappentappende NFC-gebruikers.
1) Je hebt niets aan een voorzetstuk om je NFC af te luisteren en door te sturen. De informatie en het 'transport' op je NFC naar de betaalterminal zijn zwaar versleuteld, dus de crimineel heeft er niets aan.
2) Ten tweede zou dat betekenen dat er jarenlang om de haverklap in de winkels ook dit soort "NFC-voorzetstukken" waren verschenen op de betaalautomaten, wat gewooweg niet waar is. Die zijn namelijk nog nooit opgedoken.
3) Ten derde voer je geen pincode in, maar via mijn eigen bankapp voer je biometrie in, waardoor pincodes bij de betaalterminal niet zijn af te kijken. Diefstal van je smartphone heeft dus geen enkele zin voor de crimineel.
Dus de kans dat criminelen ons massaal komen zakkenrollen, kun je naar het rijk der fabelen verwijzen.
Mocht blijken dat de NFC geld tappen kwetsbaarder maakt dan zou ik het een morele verplichting van banken vinden om iedereen weer de mogelijkheid te bieden om NFC op je bankpas uit te zetten.
Deze nieuwste toepassing wordt gerealiseerd om telefoonbezitters te plezieren (in de trend om steeds meer persoonsgebonden data in smartphone's te krijgen).
Ik realiseer me ondertussen wel dat het slagen van zo'n aanval erg afhangt van de user interface. Als de pinner eerst op de geldmaat aan moet geven welk geldbedrag (en evt. soort biljetten) zij of hij wenst, en daarna diens smartdevice bij de NFC-sensor moet houden, is wellicht niet tevens een voorzetscherm nodig.
"Dankzij" 3D-printers en het goedkoper worden van computeronderdelen (zoals touch screens) wordt het steeds goedkopen en eenvoudiger om allerlei "fysieke aanvallen" uit te voeren op geldautomaten.
Zie bijv. https://nos.nl/artikel/2491609-zeker-10-geldautomaten-in-den-haag-bewerkt-door-criminelen-pinners-krijgen-geen-geld of (uit 2010) https://krebsonsecurity.com/2010/05/fun-with-atm-skimmers-part-iii/ (Brian Krebs heeft hier veel meer artikelen over).
Mocht blijken dat de NFC geld tappen kwetsbaarder maakt dan zou ik het een morele verplichting van banken vinden om iedereen weer de mogelijkheid te bieden om NFC op je bankpas uit te zetten.
Deze nieuwste toepassing wordt gerealiseerd om telefoonbezitters te plezieren (in de trend om steeds meer persoonsgebonden data in smartphone's te krijgen).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
