Weder vraag....

Hoe weet je dat de EVM chip gekloond is en niet de magneetstrip?
Hoe weet je dat je bankpas niet "tijdelijk" geleend is/was?
Hoe weet je dat je EVM chip gebruikt is/was en niet de magneetstrip?

graag je reactie.

https://www.bankrate.com/credit-cards/advice/chip-cards-skimming-shimming/

Ik weet alleen dat de bank zegt dat de originele bankpas is gebruikt en dat de bank beweert dat er geen sprake is van skimming, Meer informatie heb ik niet. Ik vraag me af hoe de bank dat kan aantonen. Ik begrijp dat de magneetstrip in Europa niet meer gebruikt wordt.

Ik weet zeker dat ik de bankpas altijd bij me heb gehad. Op het moment van de geldopname was ik elders mét de bankpas. Een half uur minuten na de betreffende geldopname heb ik de pas zelf gebruikt.

Voordat we dit kapot gaan analyseren met onnodige veel hypotheses...

Was de magneetstrip gebruikt? ja/nee/misschien
Was de EVM chip gebruikt? ja/nee/misschien
Was de NFC chip gebruikt? ja/nee/misschien

Daarom heb ik nog steeds een bankpas waar bij alle transacties een pincode vereist is. Was wel een heel gedoe om dat voor mekaar te krijgen bij mijn bank...

Ik denk dat de bank niet kan zien of het een gekloonde pas is.

uit
https://wise.com/gb/blog/atms-in-the-uk


Waarschijnlijk is het niet uit te sluiten dat (slechts) de magneetstrip klonen nog werkt.

En mogelijk heb je als buitenlander extra pech - ook de UK is al decennia bezig met "chip and pin" , and dan kunnen UK banken natuurlijk voor hun eigen klanten wel configureren dat de magneetstrip niet meer gebruikt wordt omdat ze 'weten' dat de iedere klant een pas met chip heeft , maar waarschijnlijk valt zo'n machine voor 'buitenlandse kaart' terug op "whatever werkt" , dus als een gekloonde kaart geen chip heeft vrees ik dat de magneetstrip gebruikt wordt.

Let op - speculatief. Maar het lijkt me plausibel dat ATMs nog steeds een magneetstrip accepteren van kaarten waarvan hetzij 'bekend' is dat die geen chip hebben, hetzij "weet niet" .
Als je daar nog bent zou je dat kunnen testen door iets van plakbank over de chipcontacten te doen, en te kijken of/bij welke ATMs je nog steeds geld kunt opnemen.
Met name natuurlijk de ATM waar de gestolen opname gedaan is.

Lastig natuurlijk als je die pas hebt laten blokkeren . Heb je een tweede pas, of een reisgenoot die ook een NL pas heeft zou die kunnen testen.

Of je zelf kunt zien welke pas-herkenning (magneet, chip, contactloos) gebruikt is betwijfel ik. Ik heb het in NL op afschriften nooit herleidbaar gezien .
De (UK) payment processor zal het zeer waarschijnlijk wel zien . Of de bank het intern kan zien weet ik niet. Misschien zelfs dat die dat moeten navragen of nazoeken bij de payment processor.

Doe in elk geval aangifte van diefstal. Zonder dat heb je denk ik geen kans op coulance of verzekeringsuitkering.

Wedervraag : hoe kun je dat zien als gebruiker ?

En waarom denk je dat 'contactloos' hier het probleem was ?

Je denk dat een installatie die is opgezet om de pas te kopieren niet ook een pincode mee kopieert ?

Briljant trouwens om jezelf te verplichten overal je pincode te laten zien .
Fijn voor de zakenroller dat ie zoveel kansen krijgt om mee te kijken als je pin staat in te typen.

Magneetstrip: misschien bij de geldopname? kan ik dit bij de bank opvragen?
EVM chip: ja, bij betalingen bij betaalautomaten.
NFC chip: nee.

Lijkt me voldoende om toch i.i.g. enorme twijfels te veroorzaken... tenzij de bank een manier weet om in een half uur van London naar de plaats te komen waar jij die pas gebruikt hebt.

Zie ook mijn reactie 13:51 .
Ik betwijfel of de eerstelijns mensen bij de bank dat exact weten - laat staan voor "buitenland" .

Het standaard antwoord - voor Nederland - wel dat de magneetstrip niet meer gebruikt wordt of 'uit' staat.
Maar wat 'fallback' gedrag is van ATMs in een buitenland met een niet-nationale bankpas is heel wat subtieler.

Er zal vast wel ergens in je bank iemand zijn die dat echt precies weet - maar of en hoe je vraag bij die persoon terecht komt is vers twee.

En nagaan wat de ATM gebruikte als pas-authenticatie bij de bewuste opname is misschien ook lastig te zien , zelfs voor de bank.
(ik weet dat pas-gestolen-helpdesk van een NL grootbank het verschil tussen betaald met pin of contactloos betaald niet kon zien).
Of het zit in een dieper systeem dat de helpdesk standaard niet ziet, of ze moeten echt een ticket maken bij de payment processor om dat detail uitgezocht te krijgen.

Indien mogelijk zou ik echt gaan testen (chipcontacten afplakken) bij ATMs van diverse operators of het 'toch werkt' ,want dat moet dan de magneetstrip zijn.

Ik denk dat de bank niet kan zien of het een gekloonde pas is.

uit
https://wise.com/gb/blog/atms-in-the-uk


Waarschijnlijk is het niet uit te sluiten dat (slechts) de magneetstrip klonen nog werkt.

En mogelijk heb je als buitenlander extra pech - ook de UK is al decennia bezig met "chip and pin" , and dan kunnen UK banken natuurlijk voor hun eigen klanten wel configureren dat de magneetstrip niet meer gebruikt wordt omdat ze 'weten' dat de iedere klant een pas met chip heeft , maar waarschijnlijk valt zo'n machine voor 'buitenlandse kaart' terug op "whatever werkt" , dus als een gekloonde kaart geen chip heeft vrees ik dat de magneetstrip gebruikt wordt.

Let op - speculatief. Maar het lijkt me plausibel dat ATMs nog steeds een magneetstrip accepteren van kaarten waarvan hetzij 'bekend' is dat die geen chip hebben, hetzij "weet niet" .
Als je daar nog bent zou je dat kunnen testen door iets van plakbank over de chipcontacten te doen, en te kijken of/bij welke ATMs je nog steeds geld kunt opnemen.
Met name natuurlijk de ATM waar de gestolen opname gedaan is.

Lastig natuurlijk als je die pas hebt laten blokkeren . Heb je een tweede pas, of een reisgenoot die ook een NL pas heeft zou die kunnen testen.

Of je zelf kunt zien welke pas-herkenning (magneet, chip, contactloos) gebruikt is betwijfel ik. Ik heb het in NL op afschriften nooit herleidbaar gezien .
De (UK) payment processor zal het zeer waarschijnlijk wel zien . Of de bank het intern kan zien weet ik niet. Misschien zelfs dat die dat moeten navragen of nazoeken bij de payment processor.

Doe in elk geval aangifte van diefstal. Zonder dat heb je denk ik geen kans op coulance of verzekeringsuitkering.[/quote]

Bedankt voor je uitgebreide reactie. Ik ga proberen te achterhalen of bij de geldopname de magneetstrip of de chip gebruikt is. Ik kan het niet meer testen helaas. Ik lees op internet over "EVM bypass-cloning", waarbij de gegevens van de EVM-chip op een gekloonde kaart met magneetstrip worden gezet (en vervolgens gebruikt bij een ATM). Ik ga in ieder geval bij de bank vragen hoe ze kunnen beweren dat ze met 100% zekerheid weten dat het de originele pas is geweest.
Ik heb trouwens aangifte gedaan, maar de bank is onverbiddelijk en weigert te vergoeden.

Als je vraag is ter voorbereiding van verdere klacht melding en afwikkeling kan je nu beter stoppen met vragen hier stellen. Schakel in dat geval een juridisch adviseur in met kennis in het specifieke domein. Dat is het enige advies dat ik je kan geven naast aangifte die je altijd moet doen en ook in buitenland als je daar al op de hoogte ervan was dat is. Niet om dat ze er iets mee doen maar om als er enige vorm van claims en verzekeringen in spel komen dit een eis is.

Informatie van willekeurige online personen zonder verificatie van de genoemde informatie door middel van onafhankelijke toetsbare bronnen hebben geen enkel nut in een klacht, claim en zorgen er enkel voor dat er meer munitie is om het af te wijzen.

Als dit enkel voor personal curiousity is qua hoe de betalingsystemen werken dan kun je bovenstaande negeren.

Geen activatie van je NFC chip in de mobiel telefoon ?
Zijn er camerabeelden ? Veel ATM's zijn voorzien van een camera. Ik zou in ieder geval aangifte doen.

Bedankt allemaal voor de reacties. Ik weet voor nu voldoende.

Als het goed is, dan staan pasnummer en tijdstip wel op het afschrift. In combinatie met de minimale reistijd zou dat een prima bewijs moeten opleveren, tenzij een van beide gebruikte terminals mobiel blijkt te zijn. Gebruik van de pas via een computer is geen waterdicht bewijs.

Ik meen uit het hele verhaal op te maken dat TS inderdaad in London was.

Ook in London kun je in een half uur best een eind komen (scooter/e-bike, als er geen plausibele metro of auto route is) , je moet dan wel een bijzondere samenloop hebben van locatie van diefstal-opname en locatie van 'eigen' gebruik om echt "onmogelijk te bereizen in een half uur" te kunnen stellen.

Als het 'eigen' gebruik inderdaad op 'onmogelijke' afstand van het diefstal-gebruik plaatsvond is de claim inderdaad een stuk simpeler.

De bank kan toch kijken wie die opname heeft gedaan? Er zijn altijd camerabeelden van de persoon die bij een ATM geld opneemt.

"De bank" kan dat niet , en al helemaal niet bij een buitenlandse ATM.

De beheerder van de betreffende ATMs kan dat, en dat vaak een andere partij dan "de bank" . (In Nederland nu op heel veel plaatsen 'geldmaat') .

Verder - het is een indicatie maar natuurlijk totaal geen bewijs of een vrijbrief op gratis geld.

Het zou al te makkelijk zijn om je pas en pincode aan een vriendjet(of voorbijganger, of katvanger) te geven, roepen "kijk maar dat ben ik niet, vergoed mijn schade maar" terwijl je het geld (minus betaling aan het hulpje) in je zak steekt.

De hoofdregel in de contracten van je bank is "jouw pas en jouw pincode - jouw schade" .

Uiteindelijk is de werkelijke diefstal door andere personen gepleegd - de pas-kopieerders en de geldophaler , en zou daar de schade verhaald moeten worden .
De mate waarin de bank echt 'mede aansprakelijk' zou zijn wegens onvoldoende veiligheidsmaatregelen (of onvoldoende duidelijke voorlichting) is erg vaag . Eventueel valt een 'niet erg verwijtbaar' probleem onder een coulance regeling, maar dat is dat - coulance, geen recht.

Het formele pad is : aangifte van diefstal, opsporing (inderdaad mede op basis van camera beelden van de ATM) door politie, vervolging door justitie, en (na veroordeling) schadevergoeding door de dader(s) , los van de strafrechtelijke straf voor het plegen van het misdrijf.
De bank heeft een nogal secundaire rol (gegevens aanleveren die door justitie gevorderd worden inzake de opsporing), en eventueel zelf ook aangifte doen.
De mate waarin de schade van een klant door de bank vergoed _moet_ worden hangt af hoe verwijtbaar het onstaan van die schade is aan de bank , mede geregeld door het contract dat je hebt met de bank;
Uiteindelijk net als iedere civiele zaak waarin iemand een ander schade heeft toegebracht.

Geen idee.
Wellicht een trace vragen, zoals bij SEPA's kan.
Kun je beter aan je bank vragen dan aan mij.

Kijk uit dat het geen oplichter is die contact met u opnam als "bank"...
Ga even na of er inderdaad geld is opgenomen en neem zelf handmatig contact op met de echte bank door het telefoonnummer op te zoeken op de site van de bank.

Dit begint na 2 of 3 keer ook wel op te vallen natuurlijk (dat het steeds dezelfde persoon overkomt) de bank is ook niet gek. Bovendien strafbaar en op te lossen met behulp van de camerabeelden.

Conclusie: geld uit de muur trekken en gewoon cash betalen.
Daarmee wordt de kans op skimming, in welke vorm dan ook, al een stuk kleiner.

Maar ja, met plastic betalen is zo makkelijk hè?

Hoe ga jij dat dan oplossen met behulp van de camerabeelden?
Er wordt geld van jouw rekening gepind door iemand anders, die geen bordje met zijn naam op zijn voorhoofd heeft.
Hoe weten ze dan aan de hand van camerabeelden wie dat is?
Dacht je dat "Opsporing Verzocht" na een tijdje nog zin heeft om steeds maar die filmpjes van bepaalde types voor
geldautomaten te laten zien met de vraag "kent u deze man"???

Als die geldautomaten nog een magneetstrip accepteren kan daar ook skimming plaatsvinden. Ik herinner me nog dat het beeldscherm van geldautomaten een afbeelding bevatte van de gleuf waar je je pas in moest steken met de waarschuwing dat niet te doen als het er niet hetzelfde uitzag. Die waarschuwing gaven ze niet voor niets.

Die uitstulpingen die voor de gleuf geplakt zaten door criminelen hebben ervoor gezorgd dat ik nog steeds - moet je nagaan hoelang dat geleden is - een flinke tik geef op het verlichte deel waar je de bankpas insteekt. Ik heb dat nooit meer afgeleerd terwijl skimming voor zover ik weet op die manier niet meer gebeurd.

Dat gebeurt dus niet. Als er iemand achter me staat geef ik hem (of haar) echt geen kans om mijn pincode af te kijken! En stel, dat een zakkenroller mijn pasjes in handen krijgt (nogmaals, die kans is, naar boven afgerond, NUL) of dat ik in een onbewaakt ogenblik mijn pasjes ergens laat liggen (gaat ook niet gebeuren) of mijn broekzak scheurt uit en mijn pasjes liggen op straat, noem maar op, iedereen die mijn pasjes in handen krijgt zou dan (kortstondig) geld op kunnen nemen of overmaken of whatever. No way José, er zit een pincode op al mijn pasjes dus NIEMAND kan geld opnemen behalve IK. En na 3x een foute pincode is/zijn mijn pasje(s) geblokkeerd.

Daarom zijn die automaten ook zo vaak buiten gebruik.

Vorig weekend ing bankpas gevonden voor de deur op straat, 's avonds, dus maar het alarmnummer van de ing gebeld, want via de website of mijn app krijg je van niemand antwoord.

Na opgeven naam en pasnummer merkte de medewerker op: "Da's toevallig?!.", en hij blokkeerde de pas en mocht ik de chip doorknippen.
Nee, hoefde het niet in te leveren bij de politie of de primera...

Met alleen een pinpas kun je geen geld _opnemen_ of overmaken. Daarvoor is altijd de pincode nodig.
Je kunt wel tot de limiet van 50 (of 100?) euro aan totale transacties contactloos betalen als dat aanstaat .

Het is , naar boven afgerond, NUL keren dat ik achter een pin-typer sta die werkelijk op de omgeving let, een zichtlijn blokkeert, en de type-hand afschermt.

Ik vraag me dan af hoeveel van die pinners zichzelf ook security bewust vinden en denken 'contactloos' zo extra onveilig is.

Natuurlijk zal voor het merendeel gelden dat ze gewoon niet nadenken over pin/geen pin veiligheid.
Wat dat betreft is het voor de grootste groep mensen gewoon een bewezen ONveiligheid, om die hun geheime credential zo vaak mogelijk te laten intypen.

Het stelen van de pas is/was bij velen vrij makkelijk - de 'tientjestruuk' was berucht . Dief staat achter pin-betaler , en op moment dat de pas weer vrijkomt wijst die behulpzaam op een tientje dat bij de voeten van de pinner ligt ('is dat van u' ?) .
Pinner bukt, kijkt - en ondertussen wisselt de dief de pas van slachtoffer uit voor andere pas (vorig slachtoffer).
slachtoffer stopt de pas gedachtenloos weg, en ondertussen gaat de dief razendsnel cashen met de pas + afgekeken pincode van slachtoffer.

En het maximale verlies bij een verloren pas+pincode is ontzettend veel hoger (daglimiet 1500 ?) - of zelfs extreem veel hoger bij de banken die pas+pincode als internet-bankier authenticatie gebruiken.
Als het slachtoffer een tijd lang niet merkt dat ie z'n eigen pas niet meer heeft kan het verlies nog verder oplopen.

Misschien ben jij dat speciale geval wiens publieke opsec wel perfect is, die niet in volle kroegen komt en liever wegloopt dan de pin op een zichtbare manier in te moeten tikken.
Voor praktisch ieder ander is een wat groter risico op een klein verlies (max contactloos) ruilen voor een hoger risico op groot verlies (daglimiet geldopname) een goede keuze.

https://www.maxmeldpunt.nl/veiligheid/wat-moet-u-doen-als-u-een-betaalpas-vindt/

https://www.abnamro.nl/nl/prive/betalen/betaalpas/gevonden.html
https://www.ing.nl/particulier/betalen/passen/verlies-of-diefstal (idem : doorknippen weggooien)

Waarom de primera ?

Inderdaad, melden (dan blokkeert de bank 'm) en daarna is het ding waardeloos.
De eigenaar krijgt (koopt) een nieuwe voor ca 5 euro .

Het 'das toevallig' was misschien omdat daarvoor de eigenaar 'm als verloren gemeld had.

Heb je de nieuwe lichting vrijstaande geldmaten (in winkels) al gezien? Toetsenbord veel slechter afgeschermd dan bij de oude! Waardeloos !
(andere anoniem dan waarop je reageert)

De primera bij mij heeft ook een ing kantoor.
Bij ah worden gevonden bankpassen die na 3 dagen of weken automatisch bij de politie ingeleverd.

De medewerker heeft de pas tijdens het telefoongesprek geblokkeerd, wat er toevallig was had ik moeten vragen.

Ah, thx.
Had ik niet aan gedacht dat er vaak een ing servicepunt in een primera zit, dacht alleen aan 'tpg pakketpunt' en dat leek me onnodig omdat je 'm in een brievenbus kunt gooien.

Zeg maar: toetsenbord is helemaal niet afgeschermd want dat is het.

Geldmaat is weer zo'n mesjogge voorbeeld van een commercieel bedrijf met alleen $-tekens voor ogen: In dit geval een weinig doordacht geval in gebruik nemen om de winstmarge zo hoog mogelijk te houden.

Gisteren hoorde ik van een medewerker bij AH bij mij in de buurt waar ook een seniorenwooncentrum is, dat bewoners die vaak met een rollator komen en sinds dat nieuwe prutsontwerp Geldmaat in gebruik is, schrik hebben om geld op te nemen.
Reden?
Intoetsen van hun PIN-code is niet meer afgeschermd door de automaat. Zij staan met de rollator voor de automaat en hebben hun andere hand nodig om op de rollator te steunen dus die andere hand kunnen zij niet gebruiken om het toetsenbord af te schermen.
Het toetsenbord is bovendien behoorlijk groot dus een geoefende crimineel kan goed zien welke nummers je intoetst. Daarna een kwestie van de met rollator lopende senior aanvallen et voilà: alweer een crimineel feit voor de misdaadcijfer statistieken, mede 'met dank' aan Geldmaat.

Hier heb ik nog nooit van gehoord. Zijn er ooit mensen geweest die dit ook is overkomen? Misschien dat die dan antwoorden hebben. Lijkt mij heel sterk dat dit nooit eerder gebeurd is.

Alhier alleen al genoeg over te vinden;

https://www.security.nl/search?keywords=klonen&c%5B%5D=1&c%5B%5D=3&c%5B%5D=4

Overal kan je afgeschermde pas portemonnees kopen. Er zijn zelfs door bendes complete voorzetwanden voor pinautomaten geplaatst. Etc., etc...

Sommige generaals bereiden zich op een nieuwe oorlog voor, door de vorige oorlog te analyseren. Sommige security experts hebben die neiging ook. Van de 97 meldingen die je aangeeft, zijn er 93 ouder dan 8 jaar .....

Houdt NFC in de gaten. Momenteel is het mogelijk om een NFC relay te doen over het internet. https://www.youtube.com/watch?v=q69--5rdlmI&pp=ygUJTkdBVEUgbmZj

Hoe hebben ze het latency probleem opgelost ? Impliceert dit dat men aan de POS terminal kant niet compliant is ?
Relay was altijd al mogelijk, maar het uitvoeren van een transactie was niet mogelijk over grote afstanden i.v.m latency.
Wat is er veranderd ?

Juist.

Dit werkt alleen op een smartphone met een Android OS, indien is geïnfecteerd met de NGate malware EN de pincode al is ontvreemd via social engineering. En voor dat laatste moet er nogal wat gebeuren.

Daarna moet ook de ATM geldopnames via NFC toestaan, en is (bijv bij de Rabobank) de dagelijkse limiet 150 euro bij contactloze opname.

Het is an sich natuurlijk niet verkeerd om van ervaring (eigen en andermans) te leren, en dingen die niet werkten anders te doen.
Op dezelfde manier als vorige keer verliezen zou pas echt dom zijn.

Daarnaast moet je je qua voorbereiding natuurlijk afvragen of de omstandigheden nog wel hetzelfde zijn en of je voorbereiding op basis van 'de vorige keer' nog relevant is.
Een waterlinie tegen infanterie is helemaal prima. Maar na de introductie van luchtmacht en parachutisten niet meer zo prima.

Natuurlijk - omdat klonen in de tijd van de magneetstrip speelde.

(oa) ik speculeer dat het bij de TS ook (nog) zo werkte , wanneer een ATM bij een 'buitenlandse' pas (NL pas in VK) bereid is terug te vallen op magneetstrip omdat de ATM van zo'n pas niet 'weet' dat alleen de chip gebruikt mag worden.

Of de TS is op een nacht dronken uit de kroeg gestapt, heeft ergens 100 euro gepind en is dat straal vergeten.
Daar kwam hij pas weer achter toen hij thuis zijn rekening controleerde.

Soms is zoiets de verklaring.

Hier :
TS had al een (eigen) herkende pin transactie binnen 30 minuten van de diefstal-transactie .
En heeft aangifte gedaan .

Dat gaat niet erg samen met 'zo kneiter zat dat ik niet meer weet wat ik deed ; maar ondanks dat ik gigalam was op dat moment weet ik echt op zeker dat die ene pin opname toch niet van mij kan zijn en die andere herinner ik me wel' .

Kortom - ik vind 'm geloofwaardig.

Nu camerabeelden zou nu wel goed kunnen gebruikt worden.
Dus als je beelden kan bemachtigen dat je in nederland bent op dat tijdstip of met een verschil van 30min .
je kan nooit op twee plaatsen zijn in theorie en in praktijk dus

en gaat het over een bedrag dat de moeite waard is ?

Uit het verhaal blijkt dat de TS in Londen was op het moment van de vreemde transactie én nog steeds in Londen was 30 minuten na deze vreemde transactie.

Bovendien, het verrekenen van een pin transactie kost winkeliers geld per transactie. Veel winkeliers versturen hun omzet dan ook in bulk achteraf. Als de transactie dus geen ATM opname betreft maar een pin-transactie is het mogelijk dat er meer tijd tussen heeft gezeten dan de genoemde 30 minuten.

En in 30 minuten kom je al ver in Londen. Dus ik vind het nog steeds een raar verhaal waar wat mij betreft nog veel feiten van ontbreken.

Dat is inderdaad te lezen.


Kijk je zelf weleens op je afschriften ?

Als ik dat doe , dan zie ik dat in de omschrijving van de betaling het werkelijke tijdstip van de pin transactie staat, ongeacht het moment waarop de verrekening/afboeking gedaan wordt.


Dat punt is ook al gemaakt (oa door mij) , dat de 'is onmogelijk vanwege afstand' stelling waarschijnlijk niet van toepassing is.

Het blijft speculeren hoe klonen (nog) kan werken - ik denk 'magneetstrip + niet-lokale bankpas' .

En dat is precies de cruciale informatie die weggelaten is uit het verhaal van de TS. Dit is iets wat je niet weet maar wel allesbepalend is.

Maar als jij zonder deze cruciale informatie een gebruikersfout wil uitsluiten is dat natuurlijk prima.

Ik ben gewoon wat beter in interpretatie , lezen en speculatie dan jij.

Maar prima hoor, je mag best vasthouden aan een erg onwaarschijnlijke theorie , als je het geheel wat slechter leest of gewoon omdat je graag contrair denkt.

Het gaat hier niet om speculatie.

Jij geeft al aan dat jij elders was dan GB je kan nooit in een half uurtje ergens anders zijn dan Europa of eigen land.
Ga met je bank in contact en vergelijk de transactie data's dan moet jullie eruit komen.