Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 110 reacties

Volgens geruchten kampt Apple Pay met fraude doordat criminelen gebruik maken van gestolen creditcards. Banken zouden daardoor om extra verificatie vragen bij gebruikers die willen betalen via Apple Pay. Met de beveiliging van Apples betalingssysteem is echter niets mis.

Dat meldt het doorgaans goed geïnformeerde The Wall Street Journal. Volgens de zakenkrant nemen Amerikaanse banken, die betalingen via Apple Pay verwerken, extra stappen om gekoppelde creditcards te verifiëren. Wie een creditcard wil koppelen aan Apple Pay moet bijvoorbeeld veiligheidsvragen beantwoorden of eenmalig contact opnemen met de klantenservice van de bank. In sommige gevallen zouden klanten juist eerst in moeten loggen op de online bankomgeving voor een creditcard met Apple Pay gebruikt mag worden. Zo willen de instellingen voorkomen dat er fraude wordt gepleegd met creditcards.

De stappen, die niet zijn bevestigd door banken, zouden zijn genomen nadat er eerder zou zijn gebleken dat er fraude wordt gepleegd via Apple Pay. Zo is het bijvoorbeeld mogelijk om een gestolen creditcard te koppelen aan Apples betalingssysteem en zo producten af te rekenen. Dat er fraude wordt gepleegd via Apple Pay lijkt niet te maken hebben met de beveiliging van Apple zelf. De encryptie die het bedrijf heeft ingebouwd is namelijk niet gekraakt.

Apple Pay is nog niet beschikbaar in Europa, maar moet dat op termijn wel worden. Volgens ceo Tim Cook komt het betalingssysteem nog dit jaar naar Europese landen, maar het is nog onduidelijk of Nederland en België bij de eerste landen zitten die worden ondersteund.

Keynote: Apple Pay

Moderatie-faq Wijzig weergave

Reacties (110)

Volgens bronnen van the WallStreet journal, zijn 6% van de betalingen met Apple pay frauduleus.
Normaal geldt dat voor 0.1% van de creditcard transacties in winkels.
Het verschil is een factor 60, gigantisch.

Apple ontkent bovenstaande problemen trouwns:
An Apple spokeswoman declined to comment on the fraud rates, but said Apple Pay is “designed to be extremely secure and protect a user’s personal information.” She added that “banks are always reviewing and improving their approval process, which varies by bank.”
Probleem was dat de bank het koppelen van een gestolen CC aan Apple Pay goedkeurde. Hierdoor kon je betalen met een CC die niet van jou is.

Apple Pay is dus niks mis mee, wel met het controle systeem van de bank die het gebruik van de CC toestaat. Dat is nu dus aangepast, probleem opgelost lijkt me.

Koppelen van je CC is eenmalige handeling dus een extra check heb je maar weinig last van.
In mijn optiek, licht de schuld van de fraude niet alleen bij de verificatie van de banken.
Maar het zťťr laagdrempelige systeem dat Apple heeft voor het registreren of koppelen van de creditcard:
Add the card that you already use for your iTunes Store account
1.On iPhone, if you don't have any cards or passes, tap Set Up Apple Pay. If you do have cards or passes, pull down your pass stack and tap in the upper right corner. On iPad, tap Add Credit or Debit Card.
2.Select Use Card on File with iTunes.
3.Enter the security code for the credit or debit card you’re already using with iTunes.
4.Tap Next. Your bank will verify your information and decide if you can add your card to Apple Pay. If they need more information, you'll get instructions on how to provide additional verification. You can verify your card anytime after you've added it to Passbook. Just return to Passbook and follow the instructions.
5.After your card is verified, tap Next. Your card is ready for Apple Pay.
Voor het registreren van de Apple Pay heb je dus alleen maar de creditcard-gegevens, en niet fysiek bezit van de creditcard zelf nodig. Die creditcard gegevens, worden op veel grotere schaal dan gestolen fysieke creditcards verhandeld op internet. En als je lokale creditcard gegevens koopt, lijkt mij het ook moeilijk voor de creditcardbedrijven om te controleren of een gebruiker zelf, of een ander de creditcard registreerd voor Apple Pay.

Goed dat de banken hier wat aan gaan doen, en slecht van de banken en Apple dat ze in beginsel voor registratie van de pas voor Apple Pay geen fysiek bezit van de pas als voorwaarde gesteld hebben. Een simpele NFC verificatie van 'bezit' van de pas (dan moet je cc wel nfc hebben) had veel fraude voorkomen.

Dat het misgaat met Apple Pay is een designfout, komt doordat men gekozen heeft voor 1-factor (kennis), in plaats van 2 factor (kennis+bezit).
Wel grappig dat iedereen destijds zo overtuigt was van Apple Pay, het kon onmogelijk gehackt worden en was 100% veilig. Nu zijn we een paar maanden verder en er wordt al misbruik van gemaakt.
Sommige banken laten blijkbaar (zonder 100% verificatie) cc toevoegen aan een Apple pay account zonder deze te comtroleren.

De fout ligt toch echt bij de bank: de uitgever van de cc.

De bank geeft accoord voor het toevoegen van een valse/onjuiste creditcard.

Hoe kan Apple dat voorkomen als de bank de kaart goedkeurt???
Apple heeft de mogelijkheid om verified bij Visa in te bouwen, dat zij ervoor kiezen om het alleen af te doen met card nummer en security code is Apple wel degelijk aan te rekenen.
De creditcard maatschappij bied beide opties aan, Apple zou dan voor de veiligste moeten gaan en niet de meest makkelijke.
Daar is de app niet in voorzien, en bovendien is d card bij normaal toevoegen aan Apple pay al verified by VISA.

Het gaat hier om een van de 100 banken die zijn zaken niet op orde heeft, de grote partijen hebben alles sluitend in Apple pay.

De fraude is dan ook hiet gedaan met VISA of master cards maar met kaarten van een kleinere bank.

Denk je nou echt dat een grote partij als VISA mee zou doen als dit boven water zou komen? Dacht het niet....

[Reactie gewijzigd door Isheara op 9 maart 2015 17:59]

Apple kan toch ook een verificatieproces inbouwen. Paypal doet dat ook als je een credit card koppelt, die halen er een cent af en geven een code mee op je ccard afschrift, pas na invoer daarvan kun je koppelen zo simpel is het en zo doen de meeste bedrijven het.

Dit is gewoon erg laks en slordig van Apple en legt een bom onder heel Apple Pay. Zo zie je wat er gebeurt als een hardwarefabrikant voor bank gaat spelen.
Waarom moet Apple dat doen? Ze bieden zelf niks anders aan dan een NFC-translatie voor EMV... Verder is het niet anders dan een willekeurige online betaling met als verschil dat je bij Apple Pay je vingerafdruk en je telefoon fysiek moet bezitten. Verder is Apple al erg lang officieel een bank, ze hebben niet voor niets een bank licentie in de meeste landen.

Je wil volgens mij gewoon heel graag lekker flamen en komt met nul steekhoudende argumenten.
'Waarom moet Apple dat doen"?

Omdat het Apple Pay heet. En niet 'Android Pay' of iets dergelijks.

Heel de wereld is er al wel achter dat two-factor authentication belangrijk is. We hebben het nota bene zelfs voor email. Apple heeft andere prioriteiten: gebruikersgemak voorop. Two-factor auth met een 1-cent betaling had dit probleem bijna volledig kunnen voorkomen.

Dat de oplossing niet bij de banken ligt maar bij Apple lijkt me duidelijk. Maar Apple Pay is minder succesvol VOOR APPLE wanneer er een extra stap in het proces wordt gebouwd. Dan is het verschil met andere bestaande services namelijk al weer een stuk kleiner.

Kortom de consument en de rest van de partijen in dit proces hebben hier last van, Apple niet, terwijl Apple de partij is die hier winst uit haalt. Krom? Dat een consument het 'steeds gemakkelijker wil' betekent niet dat het ook allemaal maar moet kunnen. Banken ťn service providers hebben hierin een gidsfunctie, zij moeten de grenzen aangeven, en Apple heeft dat nagelaten en de banken hierin ook door het toe te staan / half te controleren.

Veiligheid werkt alleen als we er op dezelfde manier mee omgaan. De consument wil wel meer dingen die hij/zij niet kan krijgen, gek genoeg als er een winstoogmerk aan zit moet het opeens allemaal maar kunnen 'want de consument wil het'. Daarmee vervaagt de grens tussen wat slim beveiligen is en ordinaire winstmaximalisatie.

[Reactie gewijzigd door Vayra op 8 maart 2015 11:19]

Samsung Pay heeft in principe exact hetzelfde probleem. Dit is namelijk een fout in het CC systeem. Sure een creditcard heeft een two factor authentication systeem met een CC nummer en een verificatie code, maar dat werkt natuurlijk niet als beide (!!) op hetzelfde pasje staan.
Dat de oplossing niet bij de banken ligt maar bij Apple lijkt me duidelijk.
Wauw dat slaat dus echt helemaal nergens op. Met exact dezelfde gegevens kan ik ook online een transactie doen zonder dat iemand dit doorheeft. overigens kan dit ook op dezelfde manier met Samsung pay, alleen is het betalen dan een stukje moeilijker.
"Sure een creditcard heeft een two factor authentication systeem met een CC nummer en een verificatie code, maar dat werkt natuurlijk niet als beide (!!) op hetzelfde pasje staan."

Bij credit card betaling die iets hoger zijn moet je ook een postcode (staat niet op de kaart) of wachtwoord invoeren. Er zit dus wel degelijk een ander verificatie mechanisme achter.
Ja ok, maar een postcode is vaak wel te achterhalen met de naam die op het pasje staat.

Dan nog is het nou niet echt bepaald een uniform veilig systeem. Nederland heeft het met de Pinpas toch echt beter op orde daar iedereen exact dezelfde beveiligingsmaatregel heeft die vrij lastig te kraken is.
Volgens mij heb je niet echt gelezen wat er staat...

Apple kan dit niet doen om meerdere redenen:

- Apple kan niet bij de data om dit te doen
- Apple kan niet op het transactie netwerk om dit te doen
- Apple kan niet bij de kaart om dit te doen
- Op het moment is het wettelijk niet mogelijk om daar wat aan te veranderen

Dus je kan wel zo leuk naar Apple wijzen, maar de realiteit is dat het gewoon niet kan. Net als dat het bij Google Wallet dus ook niet kan.
"Waarom moet Apple dat doen?"

Omdat Apple ertussen gaat zitten.

De winkel kan niets controleren. Ze zien de kaart niet. Er is geen pin code.

Het gaat dus niet om online betalingen (waar je een aflever adres moet invullen) maar om betalen in winkels. Vandaar dat het populair is bij fraudeurs.

[Reactie gewijzigd door Jaco69 op 7 maart 2015 17:51]

De winkel ziet nu ook niks, dat is het hele punt met EMV...
Verder gaat Apple er helemaal niet tussen zitten, het is niks anders dan een transport. Er is geen verwerking of iets anders magisch.

Verder kan de winkel sowieso niks controleren om dat ze geen pin code hebben om te verifiŽren, en om dat ze Amerika waar Apple Pay nu gebruikt wordt voornamelijk nog met handtekeningen een transactie gedaan wordt en niet met chip+pin. Je laat je kaart zien of je haalt hem door een magneetstrip lezer, en daarna zet je op een klein wacom tabletje je handtekening met een pen. In sommige 'hippe' winkels kan je dan wel met je chip en PIN betalen, maar dat is meer de uitzondering dan de norm.

Daarnaast gaat het er bij Apple Pay juist om dat Apple niks met je betaalgegevens te doen hebt. Alles gaat dus transparant naar de creditcard maatschappij die de controle en authenticatie doet. Dat is altijd zo geweest, en zal ook zo blijven tot dat er een wet doorheen komt die de betaalnetwerken verplicht open stellen (wat nu niet zo is, Apple kan er dus niet bij ook al zouden ze het willen).

Verder is internet juist populair bij fraudeurs om dat je er een stuk minder makkelijk mee gepakt kan worden. Je bent niet fysiek op een locatie en kan dus ook niet fysiek tegengehouden worden.

Volgens mij denk jij nu dat Apple voor bank wil spelen, maar dat is juist wat ze vooral niet proberen te doen (ook al hebben ze daar wel een banklicentie voor). Het heeft ook totaal geen vergelijkbare functie als PayPal.

De bank ziet een credit card transactie. Beter nog, de creditcard maatschappij ziet het. In het hele systeem in Amerika hebben banken er vrij weinig mee te maken. Daarnaast bestaan er geen echte 'Apple Pay transacties', het zijn credit card transacties of debit card transacties. Dat je je kaartgegevens op een plastic pasje hebt of op een smartphone verandert daar niks aan.

Ik krijg een beetje het idee dat je eigenlijk helemaal niet weet wat Apple Pay is of hoe het werkt... 8)7
Ik weet ook niks van Apple pay (is dat raar?). Dacht wel dat het systeem ongeveer is zoals je schetst.

Wist eigenlijk niet dat met een CC weer een handtekening gevraagd werd in een winkel. Dacht kaart laten zien en klaar.
Maar nu is er dus geen fysieke kaart nodig in een winkel.

Krijgt de winkel nog wel een alert als de kaart gestolen is of fraude vermoed wordt? Dat zal wel helpen tegen de populariteit bij fraudeurs.

[Reactie gewijzigd door Jaco69 op 7 maart 2015 18:12]

De winkel staat eigenlijk buiten het hele betaal proces. Dat is net als in Nederland met PIN met debit cards (bankpassen voor betaalrekeningen).

Alles wat de winkel met het proces te maken heeft is:

- Bedrag specificeren dat betaald moet worden
- Wachten tot de provider de betaling goedkeurt

De transactie heeft dus als enige eigenschap dat het bedrag door de winkel aangegeven wordt, en dat het dan ook wel. Alles wordt verder door de payment provider gedaan. Incl. de apparatuur, verificatie, protocollen enz.

[Reactie gewijzigd door johnkeates op 7 maart 2015 19:45]

In het hele systeem in Amerika hebben banken er vrij weinig mee te maken.
Je zegt zelf dat Apple Pay ook met Debit Cards werkt. Tel daar de lijst van organisaties die de dienst beschikbaar stellen waarvan de teller nu op 100 staat (banken en kredietmaatschappijen) bij op en het belang en aandeel van banken lijkt een stuk aanzienlijker dan "vrij weinig".
Volgens mij snap je niet waar het hier over gaat. Het is geen geval van banken, rekeningen en rekeninghouders bij payment providers, het gaat over netwerken en transactie-managers. Denk aan Swift, maar ook aan Currence en Equens. Apple doet niet echt wat met de banken, maar wat met de Swifts en Currences van deze wereld.

De technologie is dan ook niet voor een bank, maar voor betaalmethodes, daar zit het grote verschil, en ook de reden waarom het met alles wat al NFC is gaat werken.
Volgens mij snap je niet waar het hier over gaat.
Voorbarig, maargoed waar gaat het dan over? Want jij refereert naar netwerken en payment providers maar noch in het artikel noch in mijn eerste comment is daar iets over gezegd.

Ik snap niet hoe ik niet weet waar het over gaat terwijl ik slechts stel dat jouw statement:
In het hele systeem in Amerika hebben banken er vrij weinig mee te maken.
simpelweg onjuist is.

De banken zijn essentieel voor Apple Pay in die zin dat je bank/creditmaatschappij jouw kaart bij wijze van spreke ''digitaliseert" of "digitaal erkend".

Waarna betalingen/transacties kunnen worden gedaan precies zoals met je nfc bankpas.

Zonder banken geen Apple Pay. Zo simpel is het.

Tot nu toe heb je twee keer gesteld dat banken niet echt van belang zijn voor dit proces. Dat is simpelweg onwaar. Bizar want waar is dan die lijst met 100 banken voor nodig.

Ik weet niet wat je bedoelt wanneer je spreekt over "de technologie" heb je het dan over NFC? Tokenization?

Zelfs daar zit je fout. Apple wordt geen token provider of transactieprovider en gaat dus niet concurreren met de Equens en Currences van de wereld. Apple gaat niet opeens de transacties regelen in plaats van Equens, wat jij lijkt te denken.

Ik raad je aan om te lezen hoe Apple Pay werkt. Zie dit artikel.

http://bankinnovation.net...ple-pay-will-really-work/

Ik herhaal nog eens. Je statement dat banken er "niet echt" iets mee te maken hebben is lariekoek. Ze zijn het begin van het proces en een onmisbare schakel voor Apple Pay.
Anderen bouwen toch ook een verificatieprocess in, zoals paypal, die heeft ook een banklicentie.

Waarom Apple het moet doen, omdat ze willen optreden als tussenpersoon en die tussenpersoon moet controleren of de gebruikte gegevens rechtmatig verkregen zijn. De winkel kan het niet controleren, de bank alleen maar achteraf als de transactie gedaan is, het product weg en de eigenaar van de credit card de rekening krijgt.

Ik denk dat Apple hier wel degelijk ietst te verwijten valt, het had op zijn minst beter gedaan kunnen worden.

Het kunnen koppelen van alle cc's die je hebt (of waarvan je de gegevens hebt) zonder controle is vreemd en vraagt om fraude en de tussenpersoon (in dit geval apple, maar kan ook paypal of een ander zijn) moet dat voorkomen.
Laks? Slordig? Nee, een bewuste keuze en een goede.

Apple wil het zo gemakkelijk mogelijk maken. Gemak en veiligheid bijten nou eenmaal.
Dat laat Apple toe, niet de banken. Als de ingevoerde gegevens niet juist gevalideerd worden, kunnen de banken geen 100% check doen. Pas later, als de virtuele cc gebruikt wordt wordt duidelijk dat het een gestolen kaartgegevens betreft (dus niet altijd een fysiek gestolen kaart). Oftewel, Apple moet een mechanisme toevoegen waarbij feitelijk bezit ook gecheckt wordt bij opgave of een extra element (tier) zoals het wachtwoord bij VISA.
Je snapt blijkbaar niet hoe de werking is van het toevoegen van een kaart aan Apple pay.

Ik zou zeggen, lees dat eerst eens door of wacht totdat het beschikbaar is in Nederland.

Wie denk je dat de ingevoerde gegevens valideert? Apple? Of de bank?

[Reactie gewijzigd door Isheara op 8 maart 2015 01:29]

ja exact precies hetzelfde aangezien dit een fout is in het cc systeem, niet in Apple Pay. Dit is puur banktechnisch een stomme fout.


Two factor authentication is goed, alleen werkt het niet als beide sleutels op exact dezelfde pas staan. Overigens is de validatie van een CC kaart ook een wassen neus daar dit gewoon een algoritmische check is of het nummer klopt. De verificatie code wordt daarnaast gecontroleerd om te kijken of het Łberhaupt een geldige creditcard is. Er wordt nergens gecontroleerd of die kaart wel degelijk van desbetreffende persoon kan zijn.
Je bewering dat "Apple Pay is gehackt" is volkomen onjuist, dat is ook niet iets dat je uit dit artikel kunt opmaken. Overigens is Apple Pay niet een dienst die online is gehost, dus hacken is niet de juiste woordkeuze.
Hier sla je toch serieus de bal mis. Het heeft niks te zien met Apple Pay zelf, maar met het verificatiepatroon van de banken met creditcards.
Apple Pay is ook veilig, of het onmogelijk gehackt kan worden moet de tijd leren. Maar als de aanmelding van de kaart beter verloopt, wordt frauderen een stuk lastiger zoniet onmogelijk.
Deze lijst laat duidelijk zien dat het dus fout gaat bij Stap 4. Blijkbaar hebben banken CreditCards goedgekeurd die niet goedgekeurd hoorden te worden. Als er twijfel is zou er meer gegevens worden gevraagd, is blijkbaar ook niet gebeurd. Dit is een punt die de banken zichzelf mogen aanrekenen, niet Apple zelf.
Je vergeet even dat het niet noodzakelijk hoeft te zijn dat een CC gestolen is.

Er zijn meerdere manieren dat dieven aan de CC gegevens kan komen. ( b.v bij het betalen in een restaurant en het afgeven van de CC aan de kelner e.d).

Dus met de kaart hoeft niks aan de hand te zijn en nog steeds in het bezit van de eigenaar alleen de gegevens niet.

Daarom zijn CC zo tricky...
Ik zeg ook nergens dat een kaart gestolen was. Maar blijkbaar zijn er een zooi kaarten goedgekeurd zonder medeweten van de eigenaar en dat is iets wat de banken zich zeer zeker wel mogen aanrekenen. Een beetje bank had de klant gebeld of een brief gestuurd om contact op te nemen. Pas daarna keur je de aanvraag voor ApplePay goed en is het al een heel stuk verder dicht getimmerd. Laksheid bij de bank is geen verantwoordelijkheid van Apple.

Ik heb al jaren een Creditcard en tot op heden nog geen enkele fraudeboeking tegen gekomen. Bank heeft mij 2x gecontacteerd voor een tweetal boekingen die wel klopten, maar waarvan ik snapte dat die ineens vreemd leken. Zo hoort het ook en met deze manier van samenwerking kan een Creditcard best wel handig en veilig zijn.
Ja maar dat willen we allemaal. We vinden het teveel gedonder, het moet gemakkelijker. Zie de ontwikkeling in nederland met mobiel betalen. Ik maak er zelf ook graag gebruik van maar als ik straks geld verlies doordat het te gemakkelijk is geworden (en iemand daar misbruik van maakt) verwacht ik wel gecompenseerd te worden door de bank. Banken snappen dat en doen dat dus moeten ze blijven balanceren tussen gebruikersgemak en veiligheid. Meeste creditcards dekken overigens heel veel fraude verlies dus er zal tussen de banken en creditcardmaatschappijen ook wel discussie zijn wie uiteindelijk voor de kosten opdraait.
Het probleem betreft trouwens niet alleen gestolen CC's. Mijn creditcard is niet gestolen maar ik zag wel ineens een transactie in de US met de Apple Store voorbij komen. Terwijl ik niets van Apple in huis heb. Kreeg direct een nieuwe creditcard van de bank en vorige is geblokkeerd.
Dan is misschien je creditcard fysiek niet gestolen, maar de creditcard gegevens zelf wel.
En dat is nu net het probleem met Apple Pay, want je hebt alleen een paar van die gegevens nodig, en je kan in de winkel betalen. Normaal gesproken had je dan een fysieke pas nodig.
Hoezo, mensen die kaartgegevens kopen op internet kopen toch ook geen kaarten? Die kopen gewoon het cc-nummer, CVC code en vervaldatum. Met die gegevens kun je op heel veel plekken online gewoon bestellingen doen ("Card Not Present"), daar heb je de fysieke kaart niet voor nodig.

Edit: niet goed begrepen. Je bedoelt in een fysieke winkel betalen. Daar heb je helemaal gelijk in. Ik weet overigens niet of criminelen graag in fysieke winkels kopen met gestolen gegevens. Te riskant, voor je het weet heeft de politie niet je IP adres (of dat van een proxy) maar videobeelden...

[Reactie gewijzigd door Maurits van Baerle op 7 maart 2015 11:00]

Het is niet moeilijk om cc informatie in een magneetstrip te printen. De reden dat er maar weinig fysieke cc theft is, komt doordat criminelen ook liever lui dan moe zijn.
Klopt. Echter is het nu voor intanties wel veel makkelijker om deze gegevens van desbetreffende fraudeur op te vragen daar er meerder bedrijven zijn die nu beschikken over allerlei verschillende informatie. De Winkelier beschikt over camera beelden, Apple over transactie gegevens en alle gegevens die bij het AppleID horen en de bank over de frauduleuze CC gegevens.
En dat is nu net het probleem met Apple Pay
Nee, dat is het probleem met credit cards zelf. Apple Pay heeft geen mechanisme waarmee dit mogelijk is. Het zwakke punt zit 'm in de credit card en het toevoegen eraan aan je telefoon.
Je bedoelt het waarschijnlijk juist, maar je formuleert het mis. Dat is het probleem met de verificatie van de banken bij het toevoegen van een creditkaart, niet het probleem met Apple Pay. Het gehele systeem zit er voor helemaal niks tussen.
Je kan al jaren betalen met alleen gegevens van je creditcard. 8)7 Daar heb je geen pas voor nodig.
Kan wel zijn dat je CC gegevens gestolen zijn geweest bij een dienst waarvoor je ze ooit gebruikt hebt.
Klopt, de banken waren zo eager om met hun cc klanten op de iPhone Apple Pay te komen dat ze gehaast aanmeldings procedures hebben ingevoerd. Slordig van de banken en niet goed voor het imago van Apple Pay.

Misschien had Apple dit stuk bij 3rd parties ook moeten opnemen in hun security concept voor Apple Pay: Hoe richt je een goede cc kaart aanmeldingsprocedure in? Maar dan ben je in feite bezig met business consultancy in de finance sector. En de banken stellen er ook niet prijs op als men zich te bemoeierig opstelt. Maar Apple is een control freak dus dit had er eigenlijk wel bijgemoeten imho. Nu krijg je toch een beetje FUD rond Apple Pay hierdoor.
Voor vele diensten is het voldoende als je de kaart zelf in handen hebt om te betalen. Het lijkt me dus niet dat ze hier snel snel iets hebben willen doen zonder over veiligheid na te denken. Ik vermoed dat de bijkomende anonimiteit die dit systeem bied gewoon meer fraudeurs heeft aangetrokken die het systeem wensten uit te proberen waardoor het cijfer in deze begin periode een stuk hoger ligt dan bij gewone cc transacties.
Die 6% is een slag in de lucht. Als je kaart gestolen is en je weet het zelf niet (???), anders kan je die gelijk blokkeren. De dief moet dan ook nog de laatste 4 cijfers van je social security nummer weten.

In hetzelfde artikel:
Abraham is an adviser to SimplyTapp, which provides the host-card-emulation technology used to allow contactless payments on devices using Google’s Android operating system.
Hmmm. Niet helemaal onafhankelijk dus.

[Reactie gewijzigd door sun0000 op 7 maart 2015 09:03]

Scherp opgemerkt, het is dat je het zegt anders had ik niet gezien dat de schrijver zelf niet geheel onafhankelijk in de markt zit..
Als je kaart gestolen is en je weet het zelf niet (???)
Dat is toch niet zo raar? Het gaat hier niet om de echte kaart uit je portemonnee maar alleen om de informatie op de kaart en/of de kloon. Een SSN verandert nooit en die informatie is al sinds jaar en dag op internet te koop. En zo weet jij dus niet dat jouw "kaart" is gestolen.
Je spreekt nu over de 4 laatste cijfers van het SSN, maar ik kan mij voorstellen dat de aanmeldprocedure kan verschillen per bank/uitgever van de credit card. Bijkomend, als je er in slaagt van bijvoorbeeld een portefeuille te stelen is de kans al groter dat je daar ook het SSN in terug vind.
Als je kaart gestolen is en je weet het zelf niet (???),
Wat wil je hiermee zeggen?
Ik durf te stellen dat 99% van de fraude met credit cards gebeurt met kaarten dien nog fysiek in het bezit zijn van de eigenaar.
Apple ontkent bovenstaande problemen trouwns:
Tuurlijk ontkent Appel het. :P Pas over een paar maanden komen ze met een patch om een 'klein probleempje' op te lossen.

Maar even optopic. Appel pay zelf is waarschijnlijk wel goed beveiligd, dit gaat meer over het feit dat banken en online betaal systemen goede regels moeten hebben voor bevestigingen and communicaties.
http://blog.trustev.com/nope-theres-no-apple-pay-fraud
What has happened is that Apple Pay itself is basically fraud-proof, so fraudsters have turned their attention to the next weakest link: credit cards before they're added to an Apple Pay wallet.

This is classic fraud via social engineering. Criminals use stolen credit card details (which can easily and cheaply be bought for on sites like Rescator.cm) and then trick banks into allowing them to be loaded onto an iPhone. Once loaded onto a phone, they can make purchases until the card is canceled.
Hoezo zou Apple met een patch moeten komen?
Er is niets gekraakt, alleen de manier van handelen van de banken zelf is fout.
Daar kan Apple niets aan doen.
De patch opmerking was een steek naar Apple en hoe ze met lekken en virussen omgaan. Daarom zei ik in de volgende alinea ook 'Ontopic'. Maar voor de rest van je opmerking:

Je hebt duidelijk geen idee hoe zo'n systeem werkt kennelijk...

Apple pay is geen bank of iets dergelijks, het is gewoon een bedrijf die een dienst aanbied waar je je credit card aan kan linken.

Gebruiker -> Betaald online -> Apple Pay geeft het geld aan de winkel -> Apple pay vraagt betaling aan de bank doormiddel van de gegevens die je hebt ingevult.

De fout ligt bij beide kanten. Banken zouden meer authenticatie moeten vragen vooral met online transacties en Apple zou eerst een bevestiging van de bank moeten vragen wanneer een CC wordt gelinkt aan een account.

Want fraudeurs werken heel makkelijk. Ze zetten een internet bedrijf op die dingen verkoopt voor hoge prijzen (Denk aan grote TVs etc) en ze maken een dummy account met een gestolen Credit Card. Vervolgens koopt de account een hele hoop bij het internet bedrijf, die haalt een hoop geld binnen. Vervolgens verwijderen ze de account en het bedrijf terwijl het geld even de banken van de wereld omgaat en schoon terug komt.

[Reactie gewijzigd door EXos op 7 maart 2015 10:53]

Apple kan zelf geen CC aanvragen goedkeuren.
Als jij jou cc wil koppelen aan Apple pay stuurt apple een aantal gegeven van jou door naar de betreffende bank en deze moet de aanvraag goedkeuren voor een kaart kan worden toegevoegd.
Je hebt een 'green path' en een 'yellow path'. Apple stuurt de gegevens van de kaart, de naam van het toestel, huidige locatie van het toestel en de aankoop geschiedenis van iTunes mee naar de bank.
Bij de bank wordt dan bepaald welk 'path' gevolgd moet worden. Het probleem zit in het 'yellow path', wanneer er dus twijfel bestaat over de aanvraag. Een bank kan dan een extra maatregel treffen. Echter is het zo dat sommige banken je vragen hun te bellen en de laatste 4 cijfers van je 'SSN'(BSN) door te geven. Wanneer je bijv je portemonnee kwijt bent is ook meteen bekend want je BSN is. "Though meant to be secret, SSNs are commonly stolen in identity theft"

De 6% is daarbij ook maar een gok.
Er zijn ook banken waar nagenoeg geen fraude bekend is, deze hebben ook een andere methode voor de additionele beveiliging, Wells Fargo.

http://www.theguardian.co...e-payment-system-scammers

http://www.theverge.com/2...y-credit-card-fraud-banks

Edit: info toegevoegd

[Reactie gewijzigd door Gijsjes op 7 maart 2015 11:49]

Wanneer je portomonee gestolen wordt weet nog helemaal niemand je SSN. In tegenstelling tot je Nederlandse BSN staat je SSN nergens op geschreven behalve je Social Security Card. En op die Social Security Card staat met vetgedrukte letters: "DO NOT CARRY THIS CARD WITH YOU".

Ik moest overigens bellen met mijn bank (Bank of America) voordat ik mijn kaart aan Apple Pay mocht koppelen. Ik vond dat een beetje een hassle, maar nu ik dit lees ben ik er wel blij mee. De bank stelde een paar vragen (SSN, adres, etc) en toen kon ik mijn kaart pas koppellen. Sommige banken hadden dus hun beveiliging vanaf dag 1 prima op orde.
Maar een Nederlands BSN nummer staat gegarandeerd ergens in je portemonnee. Iedereen is hier namelijk verplicht om een identiteitsbewijs bij te hebben en dus moet je altijd een rijbewijs/ID bewijs bij je hebben.
Yup, je bsn staat op de pas van je zorgverzekeraar, je rijbewijs en je id-kaart/paspoort. Grote kans dat je een van de drie bij je hebt.

Toch.....?
Wist dat niet van de SSC.
Het artikel vermeld dat er jaarlijks 11.5 miljoen Amerikanen slachtoffer zijn van identiteitsfraude en daarbij dus ook het SSN bekend wordt.

Dat is ook wat het artikel vermeld, echter is het zo dat er ook banken waren /zijn die dus alleen de laatste 4 cijfers vroegen. Er zijn dus nog extra maatregelen nodig.
Is het niet zo dat chip en pin later dit jaar nog naar USA komt?

Kan me voorstellen dat de banken in het begin wat 'laks' waren zodat iedereen direct aangemeld kon worden. Nu de grootste stroom mensen is geweest ze er veel beter na kijken.
Wel eens geprobeerd een zakelijke bankrekening te openen? Kvk nummer id etc etc
Hier in nederland ja. Maar we hebben het hier over internet transacties dus kies een domein.

Plus je kan het naar een Paypal account sturen en vandaar weer verder etc etc etc.
met paypal verlies je je digitale kruimelspoor toch niet? Via de digitale manier zal het toch ergens op een bankrekening moeten komen te staan en dus te traceren moeten zijn.
Als je alleen Paypal gebruikt ja tuurlijk. Maar waarschijnlijk worden ze meer verstuurd via bitcoins door verschillende adressen die daarna worden verwijdert. Het is dan gewoon teveel werk om alles af te gaan als je al toegang kan krijgen tot die servers die overal op de wereld staan.

Wat een script in een seconde kan doen kost de politie weken om toegang tot te krijgen.
Leg eens uit hoe Apple dit zou moeten patchen.

De banken accepteren een gestolen creditcard op een iPhone, Apple kan deze validatie namelijk niet doen. Het proces om een card te koppelen aan een device is zo lek als een mandje, iedere card wordt door de bank geaccepteerd.

Wanneer het protocol zo veilig is als Apple beweert en de banken het koppelen veiliger krijgen, kan het fraude percentage wel eens drastisch afnemen.
Normaal keurt Apple ook een hele keten goed. Weet nog goed dat in het begin de ene provider zaken wel mocht voeren en de ander niet.
Apple had in dit geval een veel veiligere procedure kunnen afdwingen bij de CC maatschappijen om te zorgen dat de hele keten veilig is.
Volgens mij ligt dat Apple Pay bewust anders, vanwege allerlei regels over financiŽle instellingen. Ik meende ergens gelezen te hebben dat Apple dit bewust niet doet omdat het dan aan allerlei regels/auditing vanuit de financiŽle wereld moet voldoen.... dacht ik :-)
Jij geeft aan ontkent en dan citeer je: "declined to comment"
Ergens geen antwoord opgeven en iets ontkennen zijn 2 totaal verschillende feiten.

Als er was gezegd:"An Apple spokeswoman said that the mentioned numbers on CC fraud rates are false and there are no reported cases known to this date".....of zoiets in ieder geval :)
edit:
dubbel

[Reactie gewijzigd door MrBreaker op 7 maart 2015 14:26]

Een gestolen creditcard koppelen aan (je eigen) Apple pay account lijkt me toch juist gemakkelijker worden om de fraudeur te ontmaskeren?
Nou, ik denk dat je dan juist de techniek de schuld kan geven, plus je hoeft je niet te identificeren zoals in de meeste gevallen bij creditcard steekproeven gevraagd wordt in de VS. Ik ben namelijk afgelopen jaar zowel bij een tankstation als starbucks gevraagd om legitimatie.

Dus wanneer de winkelier melding krijgt van een gestolen of geblokkeerde CC, kun je ongetwijfeld gemakkelijk een ander Apple Pay profiel kiezen met een creditcard die wel werkt, en zeggen dat je het nog een keer wilt proberen omdat waarschijnlijk de nieuwe techniek even faalt.

[Reactie gewijzigd door ouweklimgeit op 7 maart 2015 09:55]

Een tweede (nep) account is zo gemaakt.
Of dacht je dat de CC dief het op zijn eigen account deed met zijn naam en adres?
Waarom niet simpelweg al een controle op achternaam tussen cc en apple account maakt het een stuk moeilijker zeker als je vervolgens ook nog tijd inbouwd voordat je over mag schrijven naar een ander account. Of denk ik nu te simpel? Het is behoorlijk tijdrovend om voor iedere cc een nieuw apple id aan te maken zeker als die weer aan 1 device wordt gekoppeld. En het device wat veel van eigenaar wisselt valt op en kan je traceren.
Volgens mij niet je ook bvb je ouders hun CC kunnen gebruiken, of die van je vriend of vriendin.
Wat als je een bedrijfs pas hebt?

En waarom zou het tijdrovend zijn om een account aan te maken voor een CC?
Als ik 2500 of meer krijg elke keer dat ik een account aan maak neem ik de tijd wel.
( ga uit van 2500 als limit op je CC)
Ouders is af te vangen door te koppelen met een family account en een bedrijfspas aan een prive telefoon voor betalen is per definitie al fraude. Door de koppeling lastiger te maken is er ook al meer bekend over jouw als eigenaar van het device welke ook traceerbaar is dus het risico van ontmaskering neemt recht evenredig toe. De pakkans zal enorm toenemen met een simpele verificatie.
Overigens is er ook nog een moment dat je moet zeggen dit zijn de voorwaarden en anders niet. De kosten van de uitzondering wegen anders niet op tegen de baten. Het limiet zal trouwens ook een stuk lager zijn zelfde als in nederland al het contact loos betalen met je pas.

[Reactie gewijzigd door Frogmen op 7 maart 2015 10:39]

Jij gaat ervan uit dat de ouders een Apple account hebben.
Ook wil Apple denk ik zo min mogelijk opstakels vormen anders gebruiken mensen wel gewoon hun CC, dus je limiet zal niet werken want Apple wil het juist in hun winkel gebruiken waar de prijzen makkelijk oplopen tot 2500.
Iedere creditcard is persoonsgebonden. Dus ook een bedrijfskaart. Die staat op naam van de medewerker maar hangt onder een bedrijf.

Daarnaast is het strikt genomen niet toegestaan je creditcard uit te lenen. Dus daar hoeft men dan ook geen rekening mee te houden.
Waarom is Apple pay eigenlijk nodig (en soort gelijke ontwikkelingen)

Ik heb liever een system dat de banken zelf maken, zodat zij zelf verantwoordelijkheid dragen en je als klant straks niet van het kastje naar de muur gestuurd kan worden als er iets mis gaat.

De bank weet toch al wat ik koop (online/pin) dus dat soort informatie en veranwoordelijkheid bij mijn Nederlandse bank, onderworpen aan Internationale, Europese en belangrijk voor mij: Nederlandse wetgeving voelt veiliger.

Ik snap best dat bij het invoeren dit soort oplossingen ook aan de Europese/Nederlandse/Internationale wetgeving moet voldoen, maar het gaat mij erom wat er gebeurd als het fout gaat en je slachtoffer wordt.

De laatste jaren zie ik dat bedrijven niet hun verantwoordelijkheid nemen en pas na rechtzaken "toegeven" en dat maakt het voor mij als individu alleen maar moeilijker dit soort bedrijven mijn betalingen te laten doen.


ps.

Ik zou dit ook nooit aan Microsoft of Google toe vertrouwen...mij om het even ;)

[Reactie gewijzigd door SB[NL] op 7 maart 2015 12:15]

Ik heb liever een system dat de banken zelf maken, zodat zij zelf verantwoordelijkheid dragen en je als klant straks niet van het kastje naar de muur gestuurd kan worden als er iets mis gaat.
De concurrentie van banken onderling maakt het heel moeilijk om snel tot iets nieuws te komen. Apple springt in dat gat en de anderen moeten volgen.

Overigens gaat de introductie van Apple Pay in de US zeer snel. In New York zag ik vrienden die altijd Androids hadden en nu iPhones. Bij navraag was Apple Pay de belangrijkste reden. Ik denk dat Apple hier een gouden eieren leggende kip heeft.
Pinnen, Creditcards, Ideal werkt prima toch? (Moeten ze ook voor samenwerken)

Tot voor kort kon je ook prima chippen.

Nu zijn ze met NFC via je pinpas bezig en ik dacht dat ING ook bezig was of zelfs al mogelijk is via NFC van je Smartphone.
Ik denk dat het gat groter voorgesteld wordt dan het daadwerkelijk is.

Dat het even tijd nodig heeft voordat het in zijn geheel omarmt is, zoals met de oudere opties heb ik alle begrip voor. Heb hier nl totaal geen haast mee, omdat het "oudere" ook prima werkt en al jaren gewerkt heeft.

Maar nogmaals het gaat om "tussenpersonen/derden" (zoals Apple in dit geval) en de verantwoordelijkheid nemen als het fout gaat, of te wel hoeveel vertrouwen ik heb in die derde partijen en dat is Nihil.

Dat een ander wel vertrouwen kan hebben snap ik uiteraard.;)

Dat mensen overstappen naar Apple vanwege Apple pay in de VS lijkt mij nogal sterk.
Ik zie juist dan mijn VS vrienden het liefst pronken met het kleurtje van hun Creditcard. Dat is een echt status symbol. Een iPhone kan iedereen kopen :D
Je moet toch gewoon je pincode invoeren met cc, moet ik toch al ruim een jaar bij ics. Laatst de trein in zweden kaartje gekocht met cc en ja hoor pincode.

Zelfs online wordt om deze pincode gevraagd.


Vroeger was je cc nr al voldoende.

[Reactie gewijzigd door meneerda op 7 maart 2015 10:03]

Ik mag toch hopen dat je nooit je pin online opgeeft. als je dat wel doet wordt het tijd ics te bellen en je card te blokkeren voor het te laat is :)
Is nieuw verificatie systeem
Dat is niet je pincode maar een eenmalige code via de ics app ipv van een wachtwoord bij een 3d secure transactie. Heel wat anders.

Graag die termen niet door elkaar heen halen, ook niet voor jezelf. Voor je het weet ben jij of een ander anders phising slachtoffer :)
Apple maakt het fraudeurs ook wel heel makkelijk, een foto maken van een credit card is volgens https://www.apple.com/apple-pay/ voldoende om er mee te kunnen betalen.

To add a card on iPhone 6, iPad Air 2, or iPad mini 3, go into Settings, open Passbook & Apple Pay, and select “Add Credit or Debit Card.” On iPhone, you can also just open Passbook, then swipe down and tap the plus sign. From there, use your iSight camera to enter the card information or type it in manually. This card will be your default payment card, but you can go to Passbook anytime to pay with a different card or select a new default in Settings.
Dat klopt niet, een foto is voldoende om een credit card te laten toevoegen aan je passbook.

Dan kun je er nog niet mee betalen, daarvoor moet hij eerst worden goedgekeurd door de kaartverstrekker (Apple kan dat goedkeuren niet doen). Juist die controle door de kaartverstrekker blijken ze niet allemaal even zorgvuldig te doen.
Strikt genomen kampem de banken met fraude en niet apple pay.

Niet heel snugger om daar geen goede procedure voor bedacht te hebben. deze fraude is toch het eerste waar je aan denkt als risk afdeling. Aan de andere kant als je als bank nog steeds niet over bent op emv dan snap ik het wel weer. Murica.... :(

Edit: typo

[Reactie gewijzigd door ElConejito op 7 maart 2015 11:03]

Daar is toch geen verschil met een gestolen cc en daarmee afrekenen?
Indien bij betaling je cc niet geverifieerd wordt of het gestolen is (ongeacht vingerafdrukscanner)
is dat toch raar.
>>>>>
De stappen, die niet zijn bevestigd door banken, zouden zijn genomen nadat er eerder zou zijn gebleken dat er fraude wordt gepleegd via Apple Pay. Zo is het bijvoorbeeld mogelijk om een gestolen creditcard te koppelen aan Apples betalingssysteem en zo producten af te rekenen.
<<<<<

De fraude kan gepleegd worden omdat de banken hun rol niet pakken in de beveiliging bij registratie. Dat gaan ze nu als reactie dus wel doen. Kudo's aan Apple dat ze zo'n goed betaalsysteem in de markt gezet hebben, 'bad apple' aan de banken die de registratie van te koppelen kaarten niet serieus namen. De zwakste schakel in een sterk geauthenticeerd systeem is de koppeling van het authenticatiemechanisme (iTunes gebruiker met Apple Pay) aan de identiteit (creditkaart). Apple heeft deze stap bewust bij de banken gelegd.

En natuurlijk gaat Apple achter de schermen met de banken praten. Het goede imago van Apple Pay moet ook bewaakt worden...

En een 'gerucht' is het niet. Het begon allemaal met een artikel in de Guardian, een paar dagen geleden.
Het is alleen geen fraude met Apple Pay, maar met de goedkeuringsprocedure voor nieuw toe te voege kaarten aandeel kant van de banken. Dat zij toestemming verlenen om een kaart te gebruiken in Apple Pay en als valide te beschouwen terwijl de kaart niet door de rechtmatige eigenaar wordt gebruikt staat los van Apple Pay.

De titel van dit artikel vind ik dan ook waardeloos.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True