Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 95 reacties, 42.735 views •

Onderzoekers hebben de nieuwe creditcard-chip met verbeterde beveiliging gekraakt. Ze kunnen de pincode van een creditcard achterhalen en een dump van de magneetstrip maken, zo toonden de onderzoekers op Hack in the Box.

Hoewel het skimmen van creditcard-chips niet nieuw is, zijn chips met de authenticatiemethode dda dat wel. Dynamic data authentication is volgens de creditcardbedrijven een nieuwe, veiligere methode om creditcards en -betalingen te authenticeren. Beveiligingsonderzoekers Daniele Bianco en Adam Laurie lieten op de Hack in the Box-beveiligingsconferentie in Amsterdam echter zien dat de chip helemaal niet zo veilig is.

Het team van de twee onderzoekers ontwikkelde in twee weken tijd een methode om creditcards met dda-beveiliging te skimmen. "Onze methode werkt met betaalterminals, zoals in winkels. Hij is niet geschikt voor betaalautomaten van banken", zegt Bianco. In de betaalterminals wordt een kleine printplaat gestoken, die in feite een man in the middle-attack uitvoert. De skimmer manipuleert de manier waarop de terminal de creditcard authenticeert: er wordt gekozen voor een manier waarbij de creditcard lokaal wordt gevalideerd en de pincode in plain-text van de creditcard naar de terminal wordt verzonden. Als een klant een betaling wil verrichten en zijn pincode intoetst, wordt deze onderschept en opgeslagen.

Op een groot aantal kaarten is bovendien ook de volledige waarde van de magneetstrip op de chip opgeslagen. Deze wordt van de kaart gekopieerd, waardoor een kwaadwillende genoeg middelen heeft om de kaart na te maken en er betalingen mee te verrichten. Overigens is de pincode daarvoor niet eens vereist: op veel locaties is het mogelijk om creditcardbetalingen te verrichten zonder een pincode in te hoeven voeren.

Bij een deel van de kaarten, vooral recentere, is niet de gehele waarde van de magneetstrip opgeslagen. Een driecijferige tekenreeks, de iccv-code, ontbreekt. Deze moet worden gegokt. Een oplossing waarbij voor elke creditcards een groot aantal iccv-codes wordt geprobeerd, kan echter niet worden uitgevoerd: er kunnen maximaal drie iccv-codes per transactie worden getest, daarna wordt de kaart geblokkeerd. "Je hebt dan een groot aantal kaarten nodig, dat je probeert te matchen met één iccv-code", aldus Laurie.

De totale grootte van de waarde van de magneetstrip en de pincode is negen bytes. Op de skimmer die de twee onderzoekers hebben ontwikkeld, passen circa 1,9 miljoen dumps. In de praktijk zou een skimmer de kaart ongemerkt in de betaalterminal van een supermarkt kunnen steken, waarna hij ééns per week een speciaal geprepareerde kaart ter grootte van een creditcard in de terminal steekt om de verzamelde pincodes op te slaan.

Adam Laurie denkt dat criminelen de methode ook kunnen gebruiken: "Als ik een crimineel was, zou ik het doen", zegt hij, "dus ik denk dat de methode al wordt toegepast." Volgens Laurie zouden creditcard-transacties eigenlijk van begin tot eind versleuteld moeten zijn. "Maar dat zal nog niet gebeuren: daarvoor zouden alle creditcards moeten worden vervangen en alle terminals een firmware-upgrade moeten krijgen", stelt hij. "En dat kost geld." Bedrijven als VISA en MasterCard zouden de schade door fraude op de koop toe nemen, omdat ze die toch op hun klanten verhalen.

Het nadeel van de methode van Laurie en Bianco is dat er na het authenticeren van de creditcard en het onderscheppen van de pincode alsnog verbinding wordt gemaakt met de desbetreffende bank, om de transactie uit te voeren. De bank zou kunnen merken dat de manier waarop de authenticatie is uitgevoerd, niet klopt: deze zou immers online moeten plaatsvinden. Dit zou kunnen worden voorkomen door een slachtoffer twee keer om een pincode te vragen, waarbij de tweede keer een correcte authenticatie wordt uitgevoerd. De eerste keer wordt dan de pincode onderschept. Het twee keer moeten invoeren van een pincode zou echter weer tot achterdocht bij slachtoffers kunnen leiden, denken de onderzoekers.

De methode van Laurie en Bianco werkt ook met de oudere beveiligingsmethode voor creditcards, static data authentication. In het geval van sda-kaarten kunnen de onderzoekers deze omtoveren in een 'yes-card', waarbij elke mogelijke pincode wordt geaccepteerd. Dat werkt echter alleen bij terminals die offline-betalingen accepteren, bijvoorbeeld in vliegtuigen. Nederlandse betaalpassen zijn niet vatbaar voor de skimmethode. Deze maken gebruik van het Maestro-betalingssysteem, dat geen ondersteuning voor offline-authenticatie heeft: bij elke authenticatiepoging wordt verbinding gemaakt met de bank. Een poging om een ING-bankpas te skimmen, wierp dan ook geen vruchten af: de pas kon weliswaar worden gekopieerd, maar de kopie van de pas werd niet door de betaalterminal geaccepteerd en pincodes werden niet weergegeven.

Reacties (95)

Reactiefilter:-195092+167+23+30
Moderatie-faq Wijzig weergave
Als ik het zo lees is het gewoon een storm in een glas water:
- een printplaat in een betaalterminal inbouwen, valt echt niet op?
- wekelijks komen uitlezen.
- cvc code gokken.

Denk dat je verder komt met een camera ergens om de code te lezen en een klassieke magneetstrip-skimmer. Met wat geluk is de cvc code zelfs nog leesbaar op je video.

Waar wil je die gekopieerde kaarten overigens al gebruiken?
- als consument krijg ik mijn geld toch terug.
- de handelaar is de dupe. Zijn probleem dat hij onvelige transacties aanvaardt (genoeg webwinkels in België die enkel credit card betalingen aanvaarden met 3D Secure, zie Ogone)..
Nou, bij je eerste punt kan ik wel een kanttekening plaatsen; mobiel automaten op campings, in hotels, in restaurants, hoeveel mensen geven ook niet hun kaart mee, met de rekening, om vervolgens het mapje+rekening+kaart weer terug te krijgen?

Ik denk dat je fraude hier niet zozeer moet zoeken in de pinautomaat op straat o.i.d. maar meer op plaatsen, waar je hoofd er niet naar staat om over dit soort dingen te denken ;)
Als je met je knappe wederhelft ergens gaat snavelen in een chique tent en na het (enerlaatste) desert kras je beiden op, dan is het niet echt een 'go' om heel tech-savvy te gaan piepen tegen de ober over fraude met je CC (kun je het allerlaatste toetje echt vergeten denk ik...)

De menselijke factor+de techflaw is hier toch weer de gouden combinatie, als jij als end-user het social-hack gedeelte normaal in de gaten houdt, wordt de kans erg klein, dat je iets vervelends overkomt lijkt mij (al moet je het niet uitsluiten, maar dan zijn er vast meer slachtoffers, dus sta je ook niet alleen.)
Ik vind het wel dondersgoed dat hier onderzoek naar wordt gedaan, impliciet betaald dit zichzelf terug aan de samenleving, wanneer er ooit een discussie ontstaat over de beveiliging van een dergelijk kaart, bij een grootschalige fraudezaak bijv.
Dan weet je weer waarom er een deel van je belastingcenten naar dit soort onderzoek gaat. :Y)
Je kan alles cash betalen. Maar ja, dan loop je dat mooie restaurant uit en een straat verder word je beroofd.
De echte veiligheid van 'het nieuwe pinnen' en ook de creditcard met EMV chip zit in de digitale handtekening die door de chip wordt gemaakt. Die is hiermee nog steeds niet gekraakt.
Klopt. Ik vind het een wat warrig verhaal ook.

Er wordt verteld over een chip en een magneet strip. Maar de beveilging van het nieuwe pinnen zit juist in het niet kunnen kopieeren van de chip zoals dat bij de magneetstrip wel zeer eenvoudig is.

De pin code kan van het toetsenbord afgelezen worden, door een voorzet printplaatje. Nou nou big deal. Je kunt ook kleine balletjes klei op de toetsen plakken, dan weet je ook de cijfers die ingedrukt zijn. Je kunt ook een cameraatje plaatsen dan weet je ook de cijfers die ingedrukt zijn. Je kunt ook over de schouder meekijken dan weet je de cijfers ook.

Dat een magneetstrip te skimmen is is ook niets nieuws.

De grap van de chipkaarten is juist dat de chip niet te kopieeren is zoals dat wel eenvoudig met de magneetstrips mogelijk is. Maar de chips gaan de magneetstrips vervangen dus dat probleem is binnenkort de wereld uit.

Ik vind het hele verhaal een storm in een glas water. Had beter van tweakers verwacht dan zon verhaal met de titel "Nieuwe creditcard-beveiliging is te omzeilen". Er is helemaal niets van waar. Bagger.
Ik snap er nog steeds geen jota van. Al in de eerste zin worden de woorden magneetstrip en chip door elkaar heen gebruikt. Voor mij is echt totaal niet duidelijk hoe en wat precies nou niet goed is. is nou de pincode op de chip uit te lezen door de authenticatie methode te veranderen, en daarna te gebruiken met een dump van de magneetstrip?
Ik vind het een warrig verhaal
Jij zegt nu hier dat de chip niet te kraken is. Wat klopt er nou?
Iemand die in begrijpelijke taal het bericht kan duiden?
Het gaat om de chip die de magneetstrip uitleest en daar vervolgens allemaal spannende dingen mee doet. Die is te manipuleren.
Dit probleem speelt eigenlijk vooral in het buitenland - zoals aangegeven in het nieuwsbericht gebruiken wij hier geen magneetstrip meer op steeds meer plaatsen, en met name de nieuwere passen ben je gewoon veilig. In het buitenland is het dus echter oppassen.
Kan dat dan ook onopgemerkt gebeuren?

Het is toch maar een sleuf waar je die kaart doorheen haalt, hoe gaat daar nou een printplaat inpassen?
printplaten zijn lang niet altijd die platen die je in je pc vind hoor. Je kan ook gewoon hele kleine chips maken -_-
Nog nooit van scimmen gehoord?

De "film de code en jat de pas"-methode vind ik wel wat makkelijker klinken dat dit gedoe. Als ik het goed begrijp moet je zo ongeveer een winkel opzetten om genoeg pasjes voorbij te zien komen.
Ik ben niet dom, het gaat hier echter om het uitlezen van chip, imo, het moet dus "iets" zijn wat tussen de leeskop van de automaat en jou kaartje past. Daarnaast moet dit ook nog onopvallend in die sleuf passen. Je moet ook denken aan zaken als een batterij, en als dit niet kan bijv. een micro sd kaart.

Kan me gewoon niet voorstellen dat zoiets, zonder dat het wordt opgemerkt in zo'n lezer past.
het gaat hier echter om het uitlezen van chip, imo, het moet dus "iets" zijn wat tussen de leeskop van de automaat en jou kaartje pas
Er wordt niks tussen de kaart en de chip-lezer geplaatst. Dat past inderdaad niet. Het hele betaalterminal kastje wordt opengeschroeft, dan wordt er een printplaatje met wat extra electronica ingemonteerd en dan worden dan de draadjes die van de chip-lees-eenheid afkomen op dat printplaatje met die electronica aangesloten.

Het kastje wordt dus van binnen omgebouwd.

De aanname is dus dat een crimineel deze ombouw operatie ongemerkt kan uitvoeren in de winkel.
Uhm, nee.

Ik was bij hun talk en ze schuiven het hele skimgeval met een speciaal gevormde kaart in de sleuf, halen die kaart eruit en het ding is geplaatst.
Daarna is het een kwestie van eens in de zoveel tijd alle data 'ophalen'.

Overigens gaven de heren nog een tip voor als je per se met je magneetstrip wil betalen bij automaten die per se die chip willen gebruiken:
steek je pas met de chip aan de verkeerde kant erin en de automaat zal vragen om de magneetstrip.

Presentatie: http://www.scribd.com/doc/51016475/emv-2011 (zie slides 11 en 12 voor het apparaat, slide 17 voor de magneetstrip kopie)
heel moeilijk is het niet hoor. is een tijd geleden ooit eens op tv geweest. gewoon een mobiele pin automaat neerzetten, met een laptop en een vooraf geprogrammeerde diashow met als laatste bericht dat de automaat buiten gebruik is et violá. Die gasten (oplichters ontmaskerd dacht ik) hadden binnen een uur een stuk of 20 pincodes en gekopieerde passen.
In 'The Real Hustle' (UK) seizoen 4, aflevering 5 doen ze dit :)
Nee hoor, een winkel opzetten is niet nodig....


Een ondernemer wordt bestolen van zijn machine (draad doorknippen en apparaat in de zak, is recent gebeurt in mijn woonplaats) terwijl hij/zij wordt afgeleid door een collega-crimineel.
Nu heb je een perfect werkend pin-apparaat, deze pas je op je gemak aan en sluit deze (volgens bovenstaande methode) aan in een andere winkel (met blanco gegevens).

De winkelier zal zijn pinapparaat dood verklaren waarna een monteur van de firma (van het pin-apparaat) nieuwe firmware komt plaatsen of instellingen herstellen zoals ip-adressen/telefoonnrs etc.

En dan begint het verzamelen, het enige wat nu nog kan gebeuren is dat een concurrerend crimineel team je pin-apparaat jat voor eigen gebruik.

Oh ja, niet vergeten... de ondernemer die de bewuste dag zijn apparaat is kwijtgeraakt heeft die dag behoorlijk wat cash-geld in de kassa. Team1 kan ook terugkomen tegen sluitingstijd om dit ook nog op te halen......

En de criminelen die gepakt worden? Foei! 1/2 jaar voorwaardelijk
Ja aan deze methode zat ik ook te denken in 1e instantie, echter is er 1 probleem.

Toen ik nog in de winkel werkte moesten we een pinautomaat met S/N: XXX aansluiten op terminal 1 en een andere pin met S/N: YYY op terminal 2, als je ze omdraaide werkte het niet meer. Toen een van onze apparaten sneuvelde moest ook eerst de terminal omgezet worden naar een ander S/N anders werkte de pinautomaat niet.

Een oplossing zou zijn om te doen alsof je de monteur bent en het oude apparaat(aangepaste) terug plaatsen maar dan zal de echte monteur toch redelijk verrast zijn als hij langs komt met een nieuw apparaat.
De nieuwe kaarten hebben en chip en geen magneetstrip, van doorhalen is dus geen sprake meer. Verder is het openmaken van een betaalautomaat nu niet direct een lastig klusje - je zult wat ervaring moeten opbouwen en daarna kun je dat doen zonder dat dit zichtbaar is.

Als de boel eenmaal open is kun je de print mooi op de juiste positie aanbrengen en daarna gaan tappen...

Blijft natuurlijk de vraag waarom de PIN-code onversleuteld tussen de diverse componenten verstuurd wordt, het maken van een hash op basis van de PIN-code en rekeningnummers e.d. mag toch ook niet zo heel erg lastig zijn. Zolang je nog maar kunt authenticeren of men de juiste PIN-code intoetst...

edit:
Ik zie ineens dat het om de kaarten met magneetstrip gaat, maar dan gaat het verhaal voor wat betreft openmaken nog wel op.

Hoe zit het eigenlijk me de beveiliging van de nieuwe generatie waar er met een chip gewerkt wordt?

[Reactie gewijzigd door Little Penguin op 20 mei 2011 18:46]

Als de code intern versleuteld wordt verzonden kan je je printje nog gewoon rechtstreeks op de toesten van het apparaat aansluiten en zelf de code afluisteren. Het nut van interne encryptie zie ik dan ook niet direct.
Enige dat je nodig hebt is scanner, SoC en een flashkaartje... en een batterijtje uiteraard... Of aansluiten op de stroomvoorziening van het apparaat.

[Reactie gewijzigd door lynnyx2 op 20 mei 2011 18:47]

Wat een beetje jammer is van al deze onderzoekers dat ze eigenlijk gewoon een hobby hebben en continu de andere partij aan het challengen zijn wie is het slimst. Alleen jammer dat deze slimmerikken niet nadenken over de gevolgen van hun slimheid. Want tuurlijk kan je de boel kraken maar een kaart die niet te kraken is is erg duur en dat moeten we zelf betalen. Men vergeet dat we het hier wel hebben over een wereldwijd geaccepteerde kaart.
Als ze nou eens hun kennis niet delen zou een hoop onrust en ellende schelen. We worden toch ook niet blij als het lockpickers gilde een howto publiceert, onder het motto moet je maar een beter slot kopen, ook al kost die een paar honderd euro.
Maar zij doen het openlijk, terwijl criminelen dit liever zo lang mogelijk geheim willen houden... En een kaart die niet te kraken is bestaat niet en zal ook nooit bestaan...
Ben ik dan zo nieuwsgierig of ben ik niet de enige die hier wel eens een pick lock video'tje heeft bekeken, puur uit interesse natuurlijk?
Daarnaast, dit onderzoek is nou niet echt een howto ...

"Het team van de twee onderzoekers ontwikkelde in twee weken tijd een methode om creditcards met dda-beveiliging te skimmen."
Een team van 2 knappe koppen doet het in twee weken tijd. Dus het zou ook niet heel lang meer duren (/half jaar?) voordat een grotere (criminele) organisatie het voor elkaar zou krijgen.
Het alternatief is dat goedwillenden niks publiceren waarna er een behoorlijke kans is dat kwaadwillenden alsnog uitvogelen hoe het moet. Het verschil is dat men er dan pas achter komt als er al veel meer schade is geleden en er dan pas aan een veiliger systeem gewerkt kan worden, ipv de keuze hebben om preventief al met veiliger systeem te komen en criminelen een stapje voor zijn.
Hoe komt het toch dat dergelijke nieuwe chips nooit door die onderzoekers worden ontwikkeld, maar altijd door een groep die er, blijkbaar, minder verstand van heeft.
Als je kijkt naar het niveau van de studenten dan weet je toch genoeg... Plus bij zulke grootschalige dingen is er meer mee gemoeid dan enkel maar het functionele. Er zijn zoveel belangenpartners die tevreden gesteld moeten worden.
Inderdaad. Beveiliging is niet het enigste. Er is ook nog zoiets als gebruikersgemak en kosten van extra beveiliging.

Afgezien daarvan, de EMV chip technologie bestaat ieg al 15 jaar. Al die tijd hebben onderzoekers tijd gehad om er nog eens rustig naar te kijken...
Het is een stuk makkelijker zwakheden aan te tonen dan om een oplossing te verzinnen.

Neem dit geval.
1. Een gebruiker moet zijn pincode intikken. Dit intikken kun je altijd zien. Hetzij met een camera, hetzij door de signalen van het toetsenbord af te luisteren. Dit is gewoon niet op te lossen.
2. De credit card heeft een chip. De data van die chip moet naar een server gestuurd worden. De terminal moet dus die data uitlezen en doorsturen. Het is dus altijd mogelijk om de gegevens van een credit card uit te lezen.

Uiteindelijk kan iedereen met een kennis dus altijd een kaart namaken en de pincode achterhalen. Dit probleem is gewoon niet op te lossen.

We praten hier over criminelen die een lezer compleet verbouwen. Wat wil je daar tegen doen?
Er zou ook nog een autorisatie verzoek via een SMS gestuurd kunnen worden.
Zoiets van "U wilt 50 euro betalen bij bedrijf X, is dat akkoord?"
Vooral bij grotere transacties zou dit niet verkeerd zijn, kost je hooguit een SMS-je.
Niet iedereen heeft een mobiele telefoon.Hoe moet dit dan volgens jou gebeuren?
Niet iedereen heeft een mobiele telefoon.Hoe moet dit dan volgens jou gebeuren?
Buiten het feit dat ik denk dat er meer mobiele telefoon- dan creditcard-bezitters zijn lijkt het me dat je in dat geval gewoon een (goedkoop) mobieltje aanschaft (better safe than sorry)
En als je niet een mobiele telefoon wilt aanschaffen zoals ik ? Je kan mensen niet verplichten een mobiel aan te schaffen :)
als dat de veiligheid bevorderd, waarom niet? een creditcard is geen primaire behoefte. als kredietmaatschappij kan je het hebben van een gsm best als voorwaarde stellen.
...en toen was je accu een keer op, ofzo.

het kan allemaal hyperveilig, dat is het probleem niet. het probleem ontstaat daar waar men het gebruiksgemak op een aanvaardbaar niveau wil houden. dat smsje is zinnig bij internetbankieren. bij CC gebruik? nah, echt niet!
Wie niet dan?
Weet je wel hoeveel mobiele telefoon er alleen in Nederland al, verkocht zijn?
Voor een beetje extra veiligheid zou het gebruik van een SMS autorisatie niet verkeerd zijn. Misschien moet (of kan) je het niet verplicht stellen maar dan is het risico voor de gebruiker en niet voor de CC maatschappij.
En dan maken ze nog reclame voor 'de veiligste manier om online te betalen'
Gelukkig ben ik niet eens in het bezit van een creditcard.
Denk je dat het inloggen met https veilig is ? Ze laten jou denken dat het veilig is maar het is niet veilig. Net zoals als je gaat pinnen in de winkel, elk pin-apparaat kan geskimd zijn zonder dat je het ziet . Daarom betaal ik altijd met contant geld in de winkel . :)
En dat contant geld waar je mee betaalt in de winkel pin je bij de pinautomaat die desondanks toch geskimd is? :+
misschien werkt hij zwart en krijgt hij dus zijn geld contant in het hadje :+
kan vals zijn
Je kan je met te paspoort toch nog geld bij een loket halen? Wel veel werk maar helemaal veilig. Behalve als je daarna op staat beroofd wordt natuurlijk.
Ik pin bij de bank binnen in het bankgebouw :)
Als je pint bij de bank, pin trek je de flappen op zijn veiligst. als ik het goed begrijp.
Lol je betaalt alleen contant? Bangmakerij much. In het ergste geval wordt je ergens geskimmed en krijg je je geld weer terug van de bank. Het enige vervelende is dat je een tijdje zonder pas zit en daarna een nieuwe pincode moet onthouden.
Ik heb een bankpas en betaal alleen bij betrouwbare webshops zoals bol.com via Ideal.Niet in de winkels. Thuis weet ik in ieder geval dat met mijn apparatuur niet geskimd word
In de dromen van sommige mensen ja. Aan jou is de taak om te bewijzen dat je geskimt bent. Daar willen banken nog eens heel moeilijk over doen.
En hoe lang is er hoeveel geld van het saldo af, ergo, sta je rood?
nou niet. dat soor dingen snap ik nooit. geld wat je niet hebt kan je ook niet uitgeven. lenen kost geld. als je anders echt geen eten kan kopen is het natuurlijk een ander verhaal, maar rood staan is voor de rest volstrekt overbodig. iig wel op en "spaar" rekening. een gewone lopende rekening met een pas die je alleen gebruikt voor maandelijks terugkomende uitgaven. voor normaal betalingsverkeer moet je altijd een andere rekening gebruiken waar niet teveel geld op staat. zelfs ik weet dat.
Ach ja, nog een rekening erbij a 5 euro per kwartaal. Tja, zo kom je ook van je geld af.
Gratis rekening? In België genoeg banken die dat aanbieden, moet dan in Nederland ook wel ergens te vinden zijn?

OT: tja, alles zal altijd wel op een of andere manier te kraken/te omzeilen zijn...
Leven is niet veilig, hou je daar ook mee op?
'de veiligste manier om online te betalen'
Moet je nagaan hoe onveilig andere methoden zijn om online te betalen.

Ze kunnen m.i. gewoon zeggen dat zij de veiligsten zijn hoor.
Ik vind iDeal toch echt een stuk veiliger om online te betalen, hoewel creditcard + 3DS Secure aardig in de buurt komt.
3DS secure heeft ook wel een nadeel. Zo kan DirectNic mijn domeinen niet meer automatisch verlengen. Ik moet nu elk jaar handmatig de domeinen betalen. Hetzelfde geld voor mijn UseNet provider. Het is erg jammer dat je niet kunt aangeven welke bedrijven wel automatisch mogen innen van je creditcard.

Maar ik hoef nog lang niet op alle websites waar ik met mijn creditcard betaal ook mijn secure code in te voeren. Bij veel betalingen is creditcardnummer, verval datum en de CCV code voldoende.

Ik moet wel zeggen dat ik blij ben dat ik geen websites meer tegenkom waar niet om de CCV code wordt gevraagd..
Alleen heb je buiten de landsgrenzen van Nederland echt zo verrekte weinig aan iDeal.... ;)
first post Abeltje?

Heeft u het artikel wel gelezen?

Het gaat dit keer niet om online betalingen maar om skim-praktijken in winkels (exclusief pin-automaten)
Ehhhhh... dan hebben ze toch gelijk, online kun je immers niet geskimmed worden :+
Je bent toch wel in het bezit van een pinpas neem ik aan? nou die is dus nog minder veilig.....
Het idee achter veiliger met een CrediCard, zit hem meer in de "garanties" die je krijgt.

Zo kun je online een aankoop doen en van je CC-maatschappij het geld terug krijgen als je in conflict komt met de verkopende-partij.
??? het gaat hier over MET DE KAART betalen IN EEN WINKEL met een BETAALAUTOMAAT ...

PINnen dus zoals jullie in nederland zeggen...

wat dat te maken heeft met de first en second post begrijp ik niet goed; want die twee dingen staan totaal los van elkaar ...

je kan namelijk géén kaart kopieren via het internet door op een site wat nummertjes in te geven....

misschien eerst het artikel lezen voordat je snel snel iets typt omdat de titel iets zegt over creditcards ...
Maar als die geskimmed is kan je wel online transacties uitvoeren, vooral buiten nederland is zelden de pincode nodig maar volstaat het pas nummer, datum en de cvv code.
Neen, dan heb je het artikel niet goed gelezen want er staat duidelijk in dat die gegevens (CVC ofwel Card Validation Code) niet op de chip staan. Deze gegevens staan alléén achter op de kaart op de handtekeningstrip (ik heb voor Mastercard en Visa gewerkt).

Bovendien heb je tegenwoordig voor online betalingen ook nog Mastercard Secure Code (je eigen wachtwoord voor online betalingen) en Verified By Visa.
Jij krijgt je centen terug.. maar de handelaar wie ook net in't zak is gezet niet hoor :)
't Kost de creditcard maatschappij dus niet maar de detailhandel wel.
Die garanties worden vooral betaalt uit de toeslag die de maatschappijen rekenen en die veel handelaren doorrekenen aan hun afnemer.
Jij krijgt je centen terug.. maar de handelaar wie ook net in't zak is gezet niet hoor :)
't Kost de creditcard maatschappij dus niet maar de detailhandel wel.
Als de verkopende partij malafide blijkt te zijn, is dat niet meer dan terecht.
Als de verkopende partij te goeder trouw is, dan zal de maatschappij daar echt wel een oplossing voor hebben. Ook daarvoor is de toeslag bestemd. In sommige gevallen zal de koper zijn geld terug krijgen zonder dat dit bij de verkoper teruggevorderd wordt.Over hoe vaak dat gebeurt kan ik niets zeggen, echter de maatschappij is geen charitatieve instelling en ook geen rechter.

Als de koper malafide is, dan zou de verkoper niet de dupe mogen zijn, al ligt de zaak dan lastiger, vooral als het diensten zijn. (zoals Woet aangeeft, al moet ik me eens verdiepen in wat 3DS secure inhoud) Uiteindelijk is het het geld van de koper waar de creditcard-maatschappij de betaling mee uitvoert, dus in geval van twijfel zal men die kant kiezen.

Wat veel onveiliger is, is iDeal, zelfs als beide partijen te goeder trouw zijn kan dat fout gaan, bv door een communicatiefout ergens in de keten, en het kan dus in principe zo zijn dat het geld zomaar verdwenen is. Het bedrijf achter iDeal wijst alle aansprakelijkheid af en verwijst de klant naar de verkoper en de verkoper naar de klant en als dan blijkt dat de betaling wel is afgeschreven maar niet is bijgeschreven dan mag je bij twee banken gaan informeren hoe het zit.

iDeal is vooral veilig voor de bank zelf en een heel klein beetje voor de verkoper (website krijgt pas OK als betaling 100% gelukt is en die is ook niet meer terug te boeken door de koper).

Paypal is niet voor niets zo populair, ook al heeft ook dat zijn haken en ogen.

[Reactie gewijzigd door BeosBeing op 26 mei 2011 07:28]

Zijn genoeg mensen die een online aanschaf doen (hosting pakket, domein naam, dedicated server, etc.) en dan na een paar weken hun creditcard transactie terugdraaien.

Hun hebben dan plezier gehad van hun dienst, ze hebben er niks voor hoeven te betalen en de online verkoper kan er niks aan doen omdat visa/mastercard alleen shipping labels van UPS/DHL/Fedex accepteren als bewijs.

Gelukkig is dit met 3DS secure omgedraaid.
Bedrijven als VISA en MasterCard zouden de schade door fraude op de koop toe nemen, omdat ze die toch op hun klanten verhalen.

Uiteindelijk zit daar het probleem. Criminaliteit als factor in de inflatie.
Dit begrijp ik niet, wat heeft inflatie ermee te maken?

Ik denk dat ik het met je eens ben, als je bedoelt dat het probleem is dat ze liever de schade op de koop toe nemen, dan dat ze de boel vervangen en veilig maken.
Die apparaten moeten toch elke 5 jaar vervangen worden (nieuw systeem?)? Dan is het toch niet zo'n grote moeite om een nieuwe serie er tussen te drukken?
Kun je daarna de pasjes wel weer vervangen. (ik zal wel te makkelijk denken...)
"Klanten" zijn in dit geval de winkels, zij betalen een bedrag per transactie aan mastercard of visa, en skimmen verhalen zij vervolgens op de winkelier - al was het maar omdat hij/zij degene is die het skimmen mogelijk heeft gemaakt.
Meer uitgaven voor de winkelier = hogere prijzen. Het is niet zo dat het geld dat de skimmers verdienen zomaar ergens verschijnt, dat moet ergens vandaar komen. En uiteindelijk is dat dus wél jouw portemonnaie.
Een betere (en dus duurdere) beveiliging wordt ook in de prijs meegenomen, en het alternatief (winkelier heeft meer cash geld in kas -> berovingen, stelen door personeel) wordt ook in de prijzen meegenomen. Niks is gratis.
Daarom heb ik altijd 0000 als pincode. Net als [Enter] in Windows is 0000 de veiligste pincode voor smartcards. Degene die de smartcard dan "skimt" ziet dan een leeg veld staan en denkt dan dat hij het verkeerde adres uitleest.
Tuurlijk. Want jou kaart is de enige kaart die hij skimt en elk lees veld retouneert hex waarden 30,30,30,30. ;)
en als je je pas verliest ben ik de eerste die jou pincode raad.

als ik ergens 4 cijfers moet proberen begin ik altijd bij 0000
"Op een groot aantal kaarten is bovendien ook de volledige waarde van de magneetstrip op de chip opgeslagen. "

Ik leidt hieruit af dat de informatie op de magneetstrip op een groot aantal kaarten, niet strikt noodzakelijk is (omdat bij niet alle kaarten informatie zo is opgeslagen)?

Zou simpelweg een keer een sterke magneet over de magneetstrip halen dit zwakke punt oplossen?
Gebruik dan maar een goede degausser of een grote strontium magneet, want die strip kan nog best wat hebben.
Het gaat hier over de (goudkleurige) chip, niet over de magneetstrip. Oftewel: wat op de magneetstrip staat, staat vaak ook op de chip.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True