Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

OnePlus: creditcardgegevens 40.000 klanten zijn gestolen via betaalpagina

OnePlus heeft bekendgemaakt dat er creditcardgegevens van circa 40.000 klanten zijn gestolen via een kwaadaardig script op zijn betaalpagina. Dat blijkt uit een onderzoek dat de Chinese fabrikant uitvoerde na berichten van klanten over frauduleuze betalingen met hun kaarten.

OnePlus zegt tegen Tweakers dat een van zijn servers is aangevallen en er een script op zijn betaalpagina draaide dat gegevens onderschepte die gebruikers op de site invulden. Dat script is inmiddels verwijderd en het bedrijf zegt contact te hebben opgenomen met mogelijk getroffen klanten. Daarnaast zou het samenwerken met lokale opsporingsdiensten. OnePlus zegt dat ongeveer 40.000 personen zijn getroffen. Hoeveel mensen uit de Benelux daaronder vallen, kan het bedrijf niet zeggen. Het gaat om personen die hun betaalgegevens op de OnePlus-site invulden tussen halverwege november 2017 en 11 januari 2018. Het bedrijf heeft ook een blogpost gepubliceerd.

Daarin meldt het bedrijf dat mensen die via een opgeslagen creditcard, via PayPal of met 'creditcard via PayPal' hebben betaald niet zijn getroffen. In een mail aan getroffen gebruikers, die vrijdag is verstuurd, schrijft OnePlus dat het bij de gestolen gegevens gaat om het kaartnummer, de verloopdatum en de beveiligingscode van de gebruikte creditcard. Het bedrijf biedt getroffen klanten een jaar gratis credit monitoring aan, wat voor gebruikers in de Benelux weinig toegevoegde waarde lijkt te hebben. Het bedrijf raadt klanten aan om contact op te nemen met hun bank en hun creditcardbetalingen in de gaten te houden.

De ontdekking van OnePlus komt voort uit een onderzoek dat de Chinese fabrikant deze week startte, nadat klanten frauduleuze betalingen opmerkten met hun creditcards. Deze volgden opvallend vaak op een bestelling via de OnePlus-site. Uit een enquête van een getroffen klant blijkt inmiddels dat ongeveer driehonderd mensen zeggen dat ze te maken hebben gekregen met frauduleuze betalingen binnen twee maanden na een aankoop op de OnePlus-site. In veel gevallen kwamen ze erachter na een waarschuwing van hun bank.

Door Sander van Voorst

Nieuwsredacteur

19-01-2018 • 16:36

203 Linkedin Google+

Reacties (203)

Wijzig sortering
Vanmiddag ontving ik bericht van OnePlus dat mijn creditcard gegevens onderschept kunnen zijn. Dat vormde de aanleiding om transacties te checken via de app. Edit: Las net via AnonymousWP dat OnePlus een update heeft geplaatst op hun forum https://forums.oneplus.ne...dit-card-security.752415/.

Update: Thank you for your comments, we're reading each and every one and we appreciate your feedback. We do want to clarify, only potentially affected users will receive the email.

De ING reageert snel en heeft mijn creditcard al geblokkeerd. Dit bericht kreeg ik via de ING app.

Quote
U heeft bij ons een creditcard met nummer xxxx xxxx xxxx xxxx. Ter voorkoming van misbruik van creditcards voeren wij continu controles uit. Op basis hiervan vermoeden wij dat iemand anders uw creditcardgegevens heeft. Daarom is uit voorzorg uw creditcard geblokkeerd. Wij beseffen dat dit vervelend voor u is.

Blokkade opheffen of een nieuwe creditcard
Graag nemen wij samen met u uw afschrijvingen door. Dan bepalen we wat u het beste kunt doen. U kunt uw huidige creditcard laten deblokkeren of een nieuwe creditcard aanvragen. Als u ons al gesproken heeft over deze blokkade, dan hoeft u niets te doen.

Unquote.

Blij met deze actie, geeft vertrouwen in de actiebereidheid en mogelijk heeft 1+ geïnformeerd.

Update: Ben inderdaad de Sjaak. Bedragen afgeschreven van mijn cc. Naast bedragen tussen 250 en 350 ook (bijna) nul euro bedragen.
Namen van begunstigden zijn:
Freelancer.com WII CH
Urology Division App La salle Minus
Lulus Chico Caus


Check s.v.p. voor jezelf.

[Reactie gewijzigd door Jobeye op 19 januari 2018 20:22]

Ik kreeg ook bericht van de ABN, vroeg me al af waar het vandaan kwam maar dit verklaard een hoop.
Ik las het van de week al op de community app. Gek dat het nu pas nieuws is. Zit nu toch te denken overal mijn cc gegevens te wissen.
Ik gebruik nooit mijn credit card direct. Paypal of ik ga naar een andere verkoper en anders maar geen aankoop.
OnePlus zal inderdaad een lijst van alle mogelijk getroffen kaarten hebben doorgespeeld aan de overkoepelende organisaties. Daarnaast doen banken zelf ook controles. Als jij ineens bij vreemde, schimmige bedrijven in China geld begint uit te geven tesamen met tientallen anderen dan valt dat op en gaan er ook alarmbelletjes rinkelen.

Het feit dat de bank het je zelf al gemeld heeft, heeft als groot voordeel dat er ook geen probleem zal zijn om de bedragen terug te vorderen.
Net de klantenservice gesproken, cc definitief geblokkeerd. Deze medewerker had nog niet gehoord van de "steal" bij 1+ maar het systeem had zelf de verdachte transacties al gesignaleerd. Dat is bij mij al voor de 2e keer dat ze dit goed oppikken. Hij vertelde dat er vandaag nog meer verdachte transacties geboekt zijn, maar dat die dus al onderschept zijn. Nieuwe cc en geld komt weer terug. :)
Ja, dat zegt inderdaad iets over mijn gebruik. Wel op een andere manier dan je misschien denkt. Het vormt namelijk een referentiekader en dat is input voor een (vermoed ik) algoritme om afwijkende uitgaven of locaties op te pikken door de cyber security afdeling van mijn bank.
Het verschil tussen mijn gebruikspatroon en het actuele patroon is dan de trigger om de cc tijdelijk te blokkeren.

In een ander deel van mijn carrière reisde ik heel veel internationaal, dat veranderde naar een tijdje alleen Europees, als daarna ineens weer transacties op andere continenten plaatsvinden dan wordt je verzocht contact op te nemen.
Ik heb heel vaak gehad dat m'n kaart is geblokkeerd (misschien wel 10x). Het is door de jaren wel minder geworden gelukkig. Was overigens ook geen enkele keer terecht, maar beter een keer blokkeren te veel dan te weinig. :)
Het is meer dat de beveiliging van Credit Cards enorm te wensen overlaat. Alles wat je nodig hebt voor online betalingen staat er op geschreven. :X Dat kan echt niet meer.

Nou zijn er wel dingetjes bij geknutseld zoals 3D Secure voor two factor authenticatie, maar als die niet overal vereist worden heeft het totaal geen zin. Want de criminelen bestellen gewoon bij de winkels die het niet gebruiken.

Net zoals de magneetstrip er nog op zit omdat sommige winkeliers in het buitenland geen zin hebben een chip apparaat te kopen. Daarom is skimmen nog steeds een ding.

Ik vind het raar dat juist banken hier zo laks mee zijn.

Ik reis veel dus ik kan niet zonder Credit Card maar ik word wel een beetje ziek van die laksheid.

[Reactie gewijzigd door GekkePrutser op 22 januari 2018 10:17]

Dit is nummer 2, hier kan ie niks aan doen, dus wat is je punt? Er zijn regelmatig hacks bij bedrijven waar je het niet verwacht, zelfs 3 keer zou niet uitzonderlijk zijn.
Mijn punt is: Ik heb t zelf namelijk nog nooit meegemaakt. Terwijl ik al minimaal 25 jaar een creditcard heb, en 'm ook heb gebruikt in andere werelddelen en zo. Daarom keek ik er van op (i7x: wel 10x zegt ie??). Maar goed, misschien zegt dit inderdaad meer iets over mijn bank dan over jullie creditcard-gebruik :)
Ook al kan dit met bijna elke betaalvorm gebeuren, blij dat ik me niet laat overtuigen van de voordelen van een creditcard. En ik heb geen OnePlus gekocht, maar toch bestel ik regelmatig online wat ik lokaal niet kan kopen en zelfs in China gaat dat met iDeal en Paypal tot nu toe altijd goed.
Je bedoelt dat je blij bent dat je een kaart gebruikt waarbij dit soort misbruik niet verzekerd is? Een kredietkaart heeft voor mij namelijk 2 enorm grote voordelen: ze worden bijna universeel aanvaard en misbruik is verzekerd. Het grote nadeel aan zo een kaart is de kost die eraan verbonden is.
2 enorm grote voordelen: ze worden bijna universeel aanvaard en misbruik is verzekerd.
En moderne, betere systemen hebben het voordeel dat ze niet zo achterlijk makkelijk te misbruiken zijn als debiele creditcards, waar simpelweg de cijfers op de kaart, iets EENDER WIE die bij je in de buurt staat in de winkel kan afkijken, genoeg zijn om de betaalmethode ongelimiteerd te gebruiken.

Ik vind het gedoe "ja maar creditcards zijn awesome want je bent verzekerd tegen diefstal" zo een achterlijk kromme redenering: de hele reden dat creditcards dit soort verzekering hebben is omdat ze walgelijk onveilig zijn.

Eis beter, fuck creditcards.
Duidelijk dat je nog nooit een creditcard hebt gebruikt want enkel de cijfers aan de voorkant is onvoldoende.
Om een transactie (bij bedrijven die niet vragen om een code) te kunnen voldoen met een creditcard moet je hebben:
Creditcard nummer
Verloop datum
De naam (exact zoals die op de kaart staat)
En de cvc (die staat op de achterkant van de pas en is kleiner dan de cijfers aan de voorkant).

Ik vind het zeer knap als je een 16-cijferig nummer+naam+datum+cvc code kunt afkijken bij me in zo’n korte tijd en dat ook nog eens onthouden.

Daarnaast vragen de meeste webshops gewoon om die tweede authenticatie (dus random reader, tancode of iets dergelijk).

Ik vind het eerder achterlijk dat je zegt dat het achterlijke kaarten zijn, aangezien ik met de cc WEL mijn geld terugkrijg bij fraude. Bij Ideal kun je er naar fluiten als die ene webshop beslist jouw niets te zenden.
De naam op de kaart is niet een van de gebruikte beveiligingselementen, daarom word daar ook bij een betaling niet om gevraagd. In een winkel (restaurant) hoeft de gebruikte kaart ook niet bij de betaler te passen. Je kan de kaart van je vrouw gebruiken.

Verloopdatum is natuurlijk verloopmaand, maar dat ik mierenneuken, Omdat je het allemaal zo precies opschreef wellicht toch van belang.

[Reactie gewijzigd door falconhunter op 20 januari 2018 08:49]

Naam wordt wel degelijk gevraagd hoor... het veld "naam kaarthouder" het is mij dus al duidelijk dat je geen credit card gebruikt, 99% van de tijd wordt dat gevraagd, er zit de uitblinker tussen die dat niet doet.

[Reactie gewijzigd door Dennisjehz op 20 januari 2018 09:40]

Nou heel veilig allemaal die gegevens die nota bene allemaal op je credit card staan geschreven. Een foototje maken en klaar. Hoef je alleen nog de ccv te achterhalen. Oh wacht.. die staat ook op de kaart.. veilig he?
Dit kan je toch niet goed praten? Die komt pas van kracht als het al te laat is. Voorkomen is beter dan genezen.
Heb je natuurlijk gelijk ik, je komt een heel eind wanneer je met je credit card omgaat als met je pinpas, zorgvuldig.

Gaat het mis is er altijd de garantie dat je je geld terug krijgt, is bij een pinpas niet het geval want er zit geen enkel verzekering of garantie dat je het terugkrijgt over de pas.
Ja daarom ook zo grappig dat er idioten zijn die een foto van hun CC op Twitter plaatsen 8)7
Ik bestel heel vaak iets online met mijn credit card maar ik heb nooit een Tan code of iets anders moeten invoeren.
Tan code ben ik zelf niet zo bekend mee, maar ik moet zelf toch regelmatig mijn random reader erbij pakken als ik met mijn credit card iets bestel op het internet. Ik denk dat het per bank/website verschillend is al durf ik dat niet met zekerheid te zeggen.
Daar sta je dan samen met al die zuinige Hollanders tevergeefs met je pinpasje te zwaaien als je ergens op vakantie bent. Of bij het tolpoortje. Of je ogenschijnlijk veilige iDeal-betaalscherm op eigen risico online betalen. Nee doe mij dan maar een creditcard waarbij ik van alle gemakken en verzekering voorzien ben. En met alleen een creditcardnummer ga je het niet redden. En wat betreft de transactiekosten? Sorry maar service richting je klanten kost nu eenmaal geld. Of maak jij nooit gebruik van garantie als een product defect gaat binnen de garantieperiode? Dat heet ondernemersrisico. ;)

[Reactie gewijzigd door Steven.w op 19 januari 2018 20:00]

Zo'n verzekering is wel handig hoor... veel succes met een niet meewerkende winkel om je 100 euro terug te krijgen wat je besteld had als je met iDEAL betaald hebt...

Veel te laag om er een rechtzaak ooit van te maken dus dat zal er niet komen, je bent dus aan je lot overgelaten van de goodwill van de winkel.
Nee, een waarbij het veel lastiger is om te misbruiken, omdat het interactie met de gebruiker vereist online. Ik moet namelijk voor ik met iDeal kan betalen met mijn internetbankierendingetje aan de slag, of op mijn mobiel een qr scannen en akkoord geven. Paypal zou makkelijker kunnen, maar die heeft dus wel aankoopbescherming.
Als ik kan betaal ik met mijn CreditCard. Ja, het is vervelend als je een keer slachtoffer wordt van fraude. Dit is mij tot nu toe één keer overkomen. Hoe vaak ik echter al wel niet gebruik heb gemaakt van de garantie die mijn CC verstrekker aanbiedt!

Pas nog, een koptelefoon besteld bij een Belgische webshop. Levering bleef uit, contact opnemen was niet mogelijk want ze waren aan het verhuizen, mailtjes werden genegeerd. Tot op heden staat er nog steeds in behandeling. Met iDeal had ik er naar kunnen fluiten en was het een pijnlijk contact traject geweest waarbij ik nu gewoon bij ING een formulier heb ingevuld en mijn geld terug heb gekregen.

Ook een keer meegemaakt dat het artikel beschadigd geleverd werdt en dat de webshop mij schuldig bevond. De doos was flink ingedeukt. Met iDeal had ik kunnen fluiten naar mijn centen / het product. Formuliertje bij de ING ingevuld en binnen 3 dagen kreeg ik het gehele bedrag vergoed, artikel mocht ik houden. (Uiteraard aangeboden om het product terug te sturen maar dan moest ik zelf even de verzendkosten terug betalen, nou, nee dus)

Nee, voor mij geen iDeal meer als ik met CC kan betalen. Vele male makkelijker en "veiliger".
Mooi. Ik zet wel even een iDeal pagina op. Levering kun je vergeten. Bedank voor het geld.

Misbruik is van vele kanten mogelijk ;)
Hier is dus die gebruikersactie voor. Hij moet zelf iets "bestellen" bij jou.
Als iemand toegang krijgt tot de database van jouw favoriete webshop kan hij gerust dingen gaan bestellen op jouw naam, zonder enige actie van jouw kant.
Uiteraard alleen als de gegevens in de database voldoende zijn.
Da was mn punt niet ;)

ik bedoel ermee, betalen via iDeal geeft je ook geen zekerheid. Een cc is verzekerd.
Ik begrijp je punt heel goed. Ik probeer alleen duidelijk te maken dat iDeal zekerheid geeft dat je maar 1 keer een betaling kan doen.Of dat een legitieme bestelling is of niet. De gegevens zijn daarna niet meer te gebruiken. Iets wat met creditcards wel het geval is.

En ja de creditcards zijn verzekerd maar dat geld moet uiteraard ergens vandaan komen.
Nee hoor je kunt helemaal niet twee maal een bestelling doen met dezelfde kaart tenzij je expliciet je cvc code wilt opslaan op de betreffende site (iets wat bijna nergens kan gelukkig) zonder cvc code kun je niks (en op 90% vd websites is dat niet eens genoeg en is een tweede authenticatie vereist).

Vroeger was het inderdaad makkelijk om cc fraude te plegen omdat die tweede authenticatie niet verplicht was en omdat cc’s geen pincode hadden. Iets wat er nu allemaal wel is.

Tuurlijk zal het altijd mogelijk zijn om gegevens te onderscheppen, maar consumenten zijn er ook voor een deel zelf bij, je kunt namelijk ook automatische machtigingen uitvoeren via ideal, en dan heb je toch hetzelfde effect als wat je zojuist benoemt?
Verschil is alleen dat je bij ideal dus niks terugkrijgt (of je moet het hard kunnen maken met concrete bewijzen, wat vaak lastig is met internetfraude) en dat is geen ideal situation :).
De CVV code mag inderdaad niet opgeslagen worden. Dit gebeurt overigens erg vaak.
Paar maanden geleden:
Augustus 2017

October 2017 Pizza hut die ook CVV's opslaat

2016-2017 Gamestop die ook de CVV opslaat.

September 2016

Ook al is het niet legaal.... het wordt heel vaak gedaan. Ook wordt er niet hard opgetreden door Visa etc.
Aangezien je geen idee welke websites hun zaken wel op orde hebben is het daarom tricky.

Overigens is de cvc code optioneel. De keuze is aan de website om dit te implementeren of niet. Zie:

September 2017 Amazon order zonder CVC

Lijstje van websites waar de code optioneel is

[Reactie gewijzigd door Loggedinasroot op 20 januari 2018 23:18]

En precies die CVC code is dus juist wèl gelekt hier in het bewuste artikel. En dan kan je in principe overal los op internet totdat het gedetecteerd wordt.
En krijg je gewoon je geld terug 100%, die andere betaalmiddelen niet.
Euhmm ....

nieuws: Fraudehelpdesk laat phishingsite voor Tikkie-betaaldienst offline halen

Alles waar waarde in omgaat, zal interesse in zijn om dat zo 'goedkoop' mogelijk af te pakken.
Als ik nooit op die neppe Tikkie link klik kan mij niks gebeuren? Ik(de gebruiker) moet zelf actie gaan ondernemen.

Bij een creditcard is dat niet het geval.
Lees je het artikel wel? Mensen betaalden op de echte pagina en hun gegevens werden onderschept, dit kan net zo goed gebeuren met een onderschepping van de website zijn iDEAL pagina hoor...

Uiteindelijk is het gebruikersinteractie geweest
Dit is mij ooit overkomen na een cc-betaling bij -het gerenommeerde- Amazon. Mede dankzij de gebruikersinteractie mislukten overigens de drie pogingen die men deed tot het doen van een betaling. Daarmee had de cc-maatschappij ook voldoende redenen om de kaart veiligheidshalve te blokkeren.

Alleen hierom gebruik ik liever een creditcard dan iDEAL voor m'n online transacties. Of het daaraan gekoppelde PayPal account.

[Reactie gewijzigd door RRRobert op 19 januari 2018 18:55]

De nepwebsite maakte onder meer gebruik van de enigszins afwijkende url tlkkie.nl.

?
Gaat erom dat het uiteindelijk mogelijk is met wat voor betaalmiddel dan ook als je niet goed op let, tevens hoe je ook opgelicht bent, krijg je via iDEAL het geld niet terug van je bank.

Anders dan hadden mensen die via marktplaats opgelicht worden hun geld wel terug... oplichters gebruiken ook gewoon de echte tikkie.

Enigste wat tikkie doet is aangifte doen, en je krijgt vrijwel 99% kans je geld niet terug van de bank, of je moet een medewerker treffen die een goede dag heeft en uit coulance het doet.

[Reactie gewijzigd door Dennisjehz op 19 januari 2018 18:29]

Natuurlijk kan je met elke betaalmethode worden opgelicht.
Het probleem is dat je bijvoorbeeld bij de h&m betaald met je creditcard, wat geen probleem is en de bestelling is ook in orde.
Helaas wordt h&m 6 maanden later gehacked en kunnen mensen met jouw creditcard betalingen gaan doen.

Met ideal is dit niet mogelijk dat ik weet.

Het probleem ligt hem natuurlijk in het feit hoe het bedrijf met jouw gegevens omgaat. Iets waar je heeel weinig vanaf weet.
Klopt dat dit een stukje vertrouwen vereist waar je er mee betaald maar uiteindelijk krijg je alles terug en sta je schadeloos.... en dat is nu de kracht van een credit card.

Je pinpas kan ook gejat worden in een winkelstraat na ze je pincode bij een automaat stiekem hebben meegekeken, eventueel geld gestolen via het nfc maar daar zie je 0 van terug.

Er wordt in Nederland nog steeds meer gestolen via neppe iDEAL of bank pagina's dan credit cards.

[Reactie gewijzigd door Dennisjehz op 19 januari 2018 18:33]

Omdat er veel meer mensen een bankpas/ideal hebben dan een creditcard.

Bij de Rabobank krijg je in ieder geval gewoon je geld terug bij ongewenst contactloos betalen.
https://www.rabobank.nl/b...dpas/contactloos-betalen/

Ja iemand kan inderdaad meekijken en vervolgens je pinpas stelen. Maar iemand kan ook je creditcard stelen zonder je pin af te kijken.
Het probleem is dat dit zelfs online kan. Een normale bankpas kan je maar 1 keer stelen, want er is er maar 1 van. Een creditcard kan online 1000x keer gestolen worden. Zowel door een webshop die door meerdere personen wordt gehackt. Tot aan een legio webshops waar jij hebt betaald met je creditcard.

Dus of ze stelen iets uit je jas/tas. Of ze stelen een database(waar jij 1.5 jaar later een email van krijgt van joh we zijn gehacked maar hadden het niet door) van 1 van de 20 webshops waar jij met je creditcard hebt afgerekend.
Mijn punt snap je dan alsnog steeds niet, bij de creditcard krijg je ten alle tijden je geld terug, bij de normale kaart zoals je aangaf... alleen contactloos
Nou lijkt het alsof je cvc code ook opgeslagen is bij de h&m wat 99% van de keren niet het geval is. Daarnaast zullen die mensen in een naastgelegen land of in Nederland die transactie moeten doen. Stel je cc wordt gestolen (of je nummers op je kaart) en ze gaan nu ineens vanuit de VS bestellingen doen, dan lukt ze dit hooguit 1x (als het al lukt) want je wordt meteen geblokkeerd. Dit al meermaals meegemaakt tijdens het gebruik van een VPN. De transactie wordt dan geweigerd en je mag je bank gaan bellen om de boel te laten unblocken.

Met getallen zonder cvc code op je creditcard kun je helemaal niks. En op 90% vd sites wordt voortaan gewoon net als met een debitcard gewoon om een verificatie gevraagd (random reader bij de rabo). Restaurants en hotels accepteren al jaren geen creditcard meer zonder persoonlijke authenticatie (waar ze vroeger gewoon de kaart aan je meegaven voor de rekening, zullen ze het nu zelf moeten doen).

Ik heb al tig jaren een creditcard en mijn creditcard vind ik veel veiliger dan die debitcard.
Nee hoor dat betrof een namaak tikkie, waarin mensen hun gegevens invulden.
Namaak of echt, ziet nooit je geld terug mocht je het overmaken naar een oplichter 8)7

[Reactie gewijzigd door Dennisjehz op 20 januari 2018 09:35]

Maar daar heeft de originele betaalmethode die wordt nagebootst niks mee te maken natuurlijk, en zo wordt hier dat wèl vergeleken.
Nou bij ideal betalingen krijg ik dus niks terug als iemand besluit niet te leveren. Bij paypal en credit card mag ik wel terugvorderen (althans dit is tot nu toe altijd het geval geweest).

Nu kan ik je vertellen dat een creditcard niet onveiliger is dan een debitcard, sterker nog, mijn creditcard wordt veel sneller geblokkeerd bij vreemde transacties dan mijn debit card (waar de debit card 9/10 keer helemaal niet geblokkeerd wordt)
Dit komt omdat het erg moeilijk is om een valse debitcard transactie te plegen.
Het is precies even moeilijk als met een credit card hoor. Werkt identiek, alleen de bescherming en manier van afschrijven is anders, maar da's voor de dief niet relevant.
Hoe kom je daar bij?

Als iemand stiekem mee keek toen je betaalde bij een winkel zijn pin automaat en dan even je pinpas jat is je rekening leeg tot het limiet dat mogelijk is, vrijwel zeker geen blokkade zal gebeuren, dit heb ik meerdere mensen zien overkomen

Ook allemaal hun centen nooit terug gezien, want ja... geen verzekering maar ook geen coulance vanuit de bank (zijn het ook niet wettelijk verplicht)

[Reactie gewijzigd door Dennisjehz op 19 januari 2018 18:35]

Ja kijk hoe lastig dat al is.
Je moet en de fysieke bankpas hebben plus de code afkijken.
@Loggedinasroot

Momenteel is het iets lastiger door de chipbeveiliging, echter in een niet zo recent verleden waren bij onze lokale Albert Heijn de pinbetaalautomaten aangepast door een criminele bende. Een maand lang heeft de bende alle passen inclusief ingevoerde pin code gekopieerd, van alle klanten die bij die AH betaalde. Toen de bende vanuit het buitenland begon om de rekeningen te plunderen, zijn op een gegeven moment alle passendie bijde desbetreffende AH betaald hadden, preventief door de banken geblokkeerd. Ik had geen schade, alleen een geblokeerde ING pas en een geblokkeerde ABNAMRO pas, maar een kennis van me was 1500 euro kwijt. En hij kreeg niet alles terug, er ging een eigen risico vanaf.

Skimmen was destijds een zodaning groot probleem, dat banken op een gegeven moment standaard je passen blokkeren voor het buitenland. Vandaar je ze tegenwoordig voor je vakantie voor het buitenland moet activeren.

Op dit moment is, voor zover bekend, de chip op je bankpas nog niet gekraakt , maar zodra het zover is, zal het skimmen weer op grote schaal gaan gebeuren. Dus reken je maar niet rijk, zodra je te maken krijgt met een aangepaste betaalautomaat is jouw pas inclusief je pin code echt zo gekopieerd. Dat is totaal niet lastig voor gespecialiseerde bendes, het enige obstakel is momenteel je chip die erop zit.
"dit heb ik meerdere mensen zien overkomen"

Ik snap wat je bedoelt, maar dit deed mijn wenkbrauwen fronsen. Misschien die mensen even waarschuwen een volgende keer? ;)

Maar serieus: ook in dit geval ben je er helemaal zelf bij. Ik heb nog nooit een pinactie gedaan, waarbij ik niet zorg dat anderen niet mee kunnen kijken en dat is eigenlijk bij de meeste pinautomaten ook heel makkelijk. Mensen moeten wel verdomd dichtbij staan.

[Reactie gewijzigd door UltimusXI op 19 januari 2018 19:23]

Gaat er uiteindelijk om de talloze andere mogelijkheden waarbij mensen opgelicht worden en nooit hun geld zullen terug zien, ik die met credit card betaal wel ten allen tijden.
Daar betaal je dan ook voor. Je kunt ook voor alles een verzekering afsluiten of je kunt het risico inschatten en denken: ik heb dat niet nodig en bijv. denken: op lange termijn zijn die (verzekerings)kosten hoger dan wat ik er ooit voor terug krijg. Ieder moet kiezen waar die zich goed bij voelt. Iedereen happy.

Jammer dat het überhaupt nodig is allemaal uiteraard.

[Reactie gewijzigd door UltimusXI op 19 januari 2018 21:23]

Zal jij toch eens raar opkijken joh... als de bank nee zegt tegen je wanneer je opgelicht bent middels door iemand die je een iDEAL betaal verzoek gestuurd heeft of een winkel die je oplicht middels legitiem iDEAL pagina.
Dit is mij overkomen, had een videokaart overgenomen, maar uiteraard nooit ontvangen. De persoon in kwestie had zelfs het telefoonnummer gespoofd waardoor het leek alsof iemand anders belde en nog mooier na de transactie heeft hij alle accounts die aan hem linkte gesloten.

Ideal terugvorderen is nagenoeg onmogelijk, omdat ideal een betaling is die je moet goedkeuren. Een creditcard transactie ook uiteraard, maar daar heb ik bij louche mensen altijd mijn geld teruggekregen (creditcard loopt zelfs via dezelfde bank).

Mijn advies is eigenlijk dat wanneer je iets besteld op het internet dat je dat juist met een credit card doet en niet met ideal. Of paypal, want paypal geeft ook geld terug wanneer de verkoper niet reageert op het dispuut (wat geen enkele oplichter zal doen).
Verzinnen? Wat jij wilt... kom eens met een goed argument anders dan dat iemand wat "verzonnen" heeft onderbouw dan ook waarom je dit denkt,

zorgt niet voor een gezond volwassen gesprek wat je aan het doen bent

Als je mijn eerdere reacties leest dan lees je dat ik en de mensen waarop ik reageer het inderdaad meerdere keren over iDEAL hebben, als je het hele gesprek leest

Tevens snap je er blijkbaar helemaal niks van, reageer dan ook niet, nooit gezegd dat elk voorbeeld een persoonlijke ervaring is... dat maak jij ervan.

Ter duidelijkheid speciaal voor jou nog een keer dan

Voorbeeld 1: er zou iemand mee kunnen kijken wanneer je aan het pinnen bent en eventueel je rekening leeghalen nadat je pinpas gestolen wordt door de zelfde persoon die net meegekeken had.

Voorbeeld 2: een oplichter licht je op via marktplaats en gebruikt de echte tikkie, de organisatie maar ook je bank zal je niks teruggeven in dit geval.

Voorbeeld 3: een pagina kan een script hebben door hackers waardoor je in plaats van de iDEAL pagina van de webwinkel krijgt die van hun krijgt en fijn geld naar hun aan het overboeken bent..


Duidelijk zo nu voor je dan?

[Reactie gewijzigd door Dennisjehz op 19 januari 2018 20:42]

Dan zit de fraude erin dat je het product niet levert, niet in de betaalwijze.
En dan komt de politie je van je bed lichten.
Bij creditcardfraude niet dan? Doet de politie daar niks mee?
Tuurlijk wel... je aangifte doorgeven aan de fraude afdeling van je bank die het vervolgens weer doorstuurt naar het CC bedrijf.
Nee, dat valt juridisch niet onder fraude. Ja, vind ik ook raar. Maar mn punt moge duidelijk zijn, ook met ideal ben je niet verzekerd.
Inderdaad, juridisch is dat een wanprestatie.

PayPal werkt voor mij best goed, naar mijn idee beter beveiligd dan creditkaart en qua gebruiksgemak net zo goed.

Het enige probleem is als je met PayPal iets koopt en de andere partij z'n geld direct van het account afhaalt.
Echter worden deze accounts door PayPal geblokkeerd (maar kunnen ze je dan niets teruggeven).
Kunnen ze wel! Het account van de gebruiker komt dan namelijk had bedrag wat jij krijgt negatief te staan.
Als het kan bestel ik altijd met credit card via PayPal, dan ben je dubbel beschermd. :) Als PayPal niet wordt ondersteund kun je altijd nog alleen je kaart gebruiken.
Het valt pas onder fraude als aangetoond is dat er willens en wetens nooit de intentie tot levering is geweest. Zoiets kan je natuurlijk nooit vooraf zonder veroordeling uitspreken, immers onschuldig tot de schuld is bewezen en niet andersom. Daarom is het tot die tijd gewoon een tekortkoming in de nakoming (wanprestatie heet het al 20 jaar niet meer)
Onschuldig tot tegendeel bewezen is. Ergens ook wel logisch ja.
Als je bank SecuryCode gewoon invoert, dan is die vereiste interactie er ook voor credit cards. Dit ligt dus aan je bank, niet aan de credit card.
Niet zozeer de bank, maar de webshop/betaalplatform. Als die daar niet specifiek om vraagt, zal je bank daarin weinig gaan helpen.
De keuze wordt inderdaad aan de webshop gelaten, omdat die het risico draagt. Bij een eventuele chargeback van de klant betaald is de webshop het geld kwijt (vaak plus een extra boete.)
Bijna geen enkele web shop werkt daarmee. Gelukkig maar ook, want het is nogal een irritant systeem.
Men wilde de aansprakelijkheid bij gebruik van die code ook bij de klant leggen. Dat was helemaal treurig, want dat extra wachtwoord op een meestal vaag domein was zo veilig niet.
Ik heb ook gezien dat het wel gebruikt wordt maar alleen een redirect geeft naar de bank, die dan automatisch bevestigt. Misschien een IP-adres/browser check of zo. Maar ik heb dat al een hele tijd niet meer gezien (gebruik tegenwoordig meestal ideal met QR-code).
Mooi, dat moet ik dus ook met mijn creditcard. Ofwel bevestigen in de app, of met de random reader. De kaart is ook gekoppeld met Paypal en ook daar is 2FA actief. Misbruik is dus reeds zeer moeilijk zolang de kaarten maar de juiste beveiliging ondersteunen en gelukkig doen de meeste kaarten van hier dat. Feit blijft dat als men er met jouw iDeal in zou slagen om jouw een frauduleuze betaling te laten uitvoeren jij je geld niet kan gaan terugeisen. In geval van een kredietkaart klop je aan bij de kaartuitgever en na onderzoek zullen zij je vergoeden.
Ook bij kredietkaarten wordt zo’n “internetbankierendingetje” soms gebruikt. Kredietkaarten zijn behoorlijk veilig (ook omwille van de verzekering) als je ze verstandig gebruikt en eigenlijk ook niet echt duur (deze die ik gebruik alvast toch niet).

[Reactie gewijzigd door quantumleapje op 19 januari 2018 17:28]

Paypal zou makkelijker kunnen, maar die heeft dus wel aankoopbescherming.
De "aankoopbescherming" van Paypal is maar heel beperkt en dekt maar een klein deel van de aankopen die via Paypal gedaan kunnen worden.
Nee, een waarbij het veel lastiger is om te misbruiken, omdat het interactie met de gebruiker vereist online. Ik moet namelijk voor ik met iDeal kan betalen met mijn internetbankierendingetje aan de slag, of op mijn mobiel een qr scannen en akkoord geven.
Zowel VISA als Mastercard hebben ondertussen de mogelijkheid om online verificatie toe te passen en in te stellen dat dit afgedwongen wordt. Als je een creditcard via je bank hebt regel je dat vaak zelfs gewoon via het normale betaalsysteem van je bank, waar ook iDeal binnen loopt.

Bij de Rabocard - de Mastercard variant van de Rabobank - werkt deze verificatie bijv. ook gewoon via de Random Reader/Scanner; en vereist deze dat je fysiek de creditcard bezit en de PIN-code kent.

[Reactie gewijzigd door R4gnax op 21 januari 2018 20:57]

Dat is ook maar specifiek Nederland ;) In Ierland bijvoorbeeld is er geen verschil tussen kredietkaart en debietkaart voor verzekering (en debietkaarten zijn hier Mastercard Debit of Visa Debit dus wordt ook nog eens overal aanvaardt).
Dat is precies het idee: je geeft de koper een paar voordelen die eigenlijk een sigaar uit eigen doos zijn en je pakt van de verkoper een dikke provisie.
Debitcards zoals we dat gewend zijn in Nederland zijn zo veel eerlijker en veiliger voor zowel de koper als de verkoper.
Universeel? Ik heb vaak genoeg klanten voor me gehad in de supermarkt die afwisselend verbaast danwel kwaad waren dat creditcards niet geaccepteerd werden.
Dat is typisch Hollandse zuinigheid dat je inderdaad in een supermarkt niet met je creditcard kunt betalen. Een van de weinige landen ook trouwens.
Doet de supermarkt. Anders kun je gratis boodschappen doen bij cc is het stukken handiger om iets terug te boeken.
Dat is niet het probleem (claimen dat je boodschappen niet/niet goed zijn geleverd is ook nog een uitdaging trouwens), het probleem is dat het voor de winkelier erg duur is, 3% ofzo uit m'n hoofd, al verschilt dat per kaartaanbieder natuurlijk.
Dat klopt niet meer. De tariefstructuur varieert per industrie, betaalfrequentie en transactie grootte. De luchtvaartindustrie betaalt meer dan de supermarkt. En de supermarkt met een hoog volume betaald per transactie minder dan een kledingzaak, etc.
Gelukkig kan het wel bij de jumbo, en maak daar graag gebruik van, want Apple Pay vereist creditcard betalingen in Nederland :P.

De mac en de jumbo accepteren dit en zouden meer bedrijven moeten doen. Hoe vaak dat een fransman hier naar Nederland komt en gewoon niet kan betalen (want cc is daar de norm).

Dat het duurder is voor de winkelier klopt, maar ja is dat dan niet de schuld van de banken/kredietverstrekkers? Lijkt me namelijk van wel.

Maarre debitcards zijn enkel veiliger voor de verkoper en niet voor de koper. De verkoper weet namelijk zeker dat het terugboeken van het betaalde bedrag nagenoeg onmogelijk is, de koper daarintegen heeft geen zekerheid dat zijn/haar product ook geleverd gaat worden en als dat niet gebeurt is ie zijn/haar geld kwijt. Lekker eerlijk dus!

Het is echt niet zo dat je zomaar geld terug kunt boeken op je cc, de verkoper krijgt namelijk altijd de kans om het dispuut te “appealen”. Een oplichter zal dit alleen niet doen, en is dit dus veiliger voor iedereen (een oplichter zal ook niet snel paypal transacties accepteren en eerder kiezen voor skrill of iets dergelijks).
Bij een supermarkt weet de koper zeker dat het product geleverd wordt, hij heeft het namelijk al in z'n handen. En als je naar het buitenland gaat zorg je dat je je informeert wat daar de norm is qua betalen anders krijg je dit soort issues. Anders ga je maar eerst geld pinnen met je credit card. En wiens schuld het is dat het zo duur is is niet het probleem van de winkelier. Zeker niet als creditcard maatschappijen bij acceptatie verbieden om creditcard gebruikers die kosten door te berekenen. Dan moeten ze niet raar opkijken als ze soms geweigerd worden.
Ik geef de winkeliers ook nergens de schuld he, ik geef juist de banken/kredietverstrekkers de schuld van de hoge cc kosten.

Maar laten we wel wezen, dat debit card gedoe is echt iets Nederlands/Vlaams en kom je al in Frankrijk, Spanje, Italie etc etc etc dan is een cc betaling gewoon de norm. Sterker nog toen ik in Frankrijk woonde had de helft nog nooit een debitcard gezien laat staan van gehoord hebben.
Precies. Mensen die ageren tegen de creditcard beseffen niet dat de slechte acceptatie in Nederland niet de norm is maar een uitzondering in vergelijking met de rest van de wereld.
De ene keer dat ik in Italie was was cash de norm.
Tja, da's de enige manier om van al dat zwart geld af te komen.
Ik geef de winkeliers hier weldegelijk de schuld van. Dit is typisch de zuinige Hollandse gedachte: als het maar zo goedkoop mogelijk is. Er bestaat echter ook nog zoiets als service. En ja, service voor je klanten kost geld. Een creditcard-betaling accepteren in je winkel is service. En zeker bij grote ketens als Albert Heijn zijn de kosten van creditcardtransacties prima op te vangen. Of dacht je dat betalen met contant geld de winkelier geen geld kost? Moeten we daar dan ook maar mee stoppen? Want ja, pinnen is goedkoper!
"Wat sukkels"...? Hou het wel even volwassen he, een gezond argument hou je zo niet.

Tevens zijn het de bedrijven achter de kaart die de tarieven doen, niet de gebruiker, geef die dan ook niet de schuld.
Toch niet bij elke Jumbo dan. Woensdag nog geprobeerd pas geweigerd!
Nee klopt, op de website van de Jumbo kun je zien welke het accepteren en welke niet, maar de lijst is best lang en er komen er steeds meer bij.

https://www.jumbo.com/content/creditcard

[Reactie gewijzigd door jimzz op 20 januari 2018 10:50]

Doet de supermarkt. Anders kun je gratis boodschappen doen bij cc is het stukken handiger om iets terug te boeken.
Nee. Albert Heijn zal dan aangifte doen en je kaart is binnen een paar dagen geblokkeerd. Als je een bedrag terug laat boeken zal de verkoper altijd de mogelijkheid krijgen verweer te plegen. En vaak met succes. Ongeveer een kwart van de terugboekingen krijgen we alsnog betaald.

Gratis boodschappen doen met een CC is dus niet zo makkelijk als je denkt. Dat is ook wel logisch want in vrijwel de hele wereld kan je gewoon met je CC boodschappen doen.
De kosten zitten hem niet alleen in de kaart zelf, veel webshops vragen een behoorlijke toeslag voor creditcard betalingen.

[Reactie gewijzigd door Soldaatje op 19 januari 2018 17:47]

Bij mijn bank is een Mastercard gratis :D
Niet altijd. Ligt eraan welk pakket je bij de bank hebt. Bij de Rabo heb ik hem 'gratis' in mijn pakket.
Zo moet men wel toegeven dat op deze wijze misbruik maken voor iDeal vrijwel onmogelijk is vergeleken met een credit card, waar de webshop alle nodige informatie krijgt om meer afschriften te maken in tegenstelling tot iDeal.
Credit cards zijn wat dat betreft gewoon zeer onveilig en de verzekering is maar net de redding, maar het komt ook met een hoop ellende (checken van je afschriften na elke betaling, een repeal aanvragen als je iets raars ziet, je moet het saldo boven nul houden etc.).
Ik vind de verzekering los staan en kan zo zeggen: een credit card heeft een onveilig ontwerp. Er moet iets van een wachtwoord of gegenereerde code komen zodat die gegevens nooit bij de winkel komen.
Alle frauduleuze afschrijvingen worden waarschijnlijk gewoon vergoed. Bovendien is de aankoop van je OnePlus ook nog eens verzekerd. Mocht je een baksteen opgestuurd krijgen betaal je dus gewoon niks. Dus door welke voordelen laat jij je precies niet overtuigen? Ik denk dat als je betaling van iDeal gehijacked wordt je een veel groter probleem hebt. Er is geen bank die dat vergoed.
Als je betalingen van ideal kan hijacken zal je ook een behoorlijk veel hoger skill niveau nodig hebben. ideal verifieerd direct met je eigen bank, en banken hebben hun dingen wat dat betreft erg goed op orde want ze hebben allemaal tweetrapsverificatie op zn minst, iets wat creditcard niet heeft. er is een reden dat creditcard fraude veelvoorkomend is en idealfraude niet. Ideal is zo veilig als de inlogmethode van je bank.
Ben je mis in helaas....

Ik link je daarom ook dit artikel.

nieuws: Fraudehelpdesk laat phishingsite voor Tikkie-betaaldienst offline halen

Systemen van credit cards zijn veilig, deze worden ook door de bank gedaan, helaas is dit bijna het zelfde als phishing en dat kan bij iDEAL net zo als ze je een iDEAL pagina van hun tonen in plaats van one plus, ze hacken dan niks betreft je bank of iDEAL zelf ... ze serveren je gewoon een iDEAL pagina van hun..

Let wel op je krijgt je geld dan niet terug... wettelijk hoeft de bank dit niet, iDEAL zit geen verzekering op, al doen ze dit soms wel uit coulance, maar is zeker niet de norm.

[Reactie gewijzigd door Dennisjehz op 19 januari 2018 17:53]

Dit is geen hijacking maar phishing. het punt is dat phishing identiek is aan niet phishing bij credit card omdat je het gewoon op de webshop zelf invult, ik kan een niet-phishing site maken waardoor ik je credit card gegevens in handen krijg en je normaal betalen kan zoals op elke legitieme webshop en je daadwerkelijk een echt product koopt en dat echt ontvangt, dat kan niet bij ideal. bij ideal moet de pagina er altijd hetzelfde uitzien wat veel user error voorkomt en ook voorkomt dat veel verschillende instanties die gegevens ergens hebben. bij ideal hoef je alleen je bank die gegevens te verschaffen, er komt geen derde tussen.

EDIT: geupdate met duidelijkere structuur.

[Reactie gewijzigd door t link op 19 januari 2018 20:31]

Maar bij de ene kan je fluiten naar je centen en bij de ander niet, dat is wat ik je al de hele tijd probeer duidelijk te maken.
Waarschijnlijk was je verzekering niet zo hard nodig als die kaarten gewoon beter beveiligd waren.
Een verzekering is top, maar dat is nog geen excuus voor de geringe beveiliging van de kaarten vergeleken met iDeal.
Men KAN diens geld terug vragen bij CC, maar als je die niet regelmatig checkt of denkt dat het in orde is omdat je niet meer precies weet wat je gekocht hebt, kunnen dieven handenvol geld stelen.
Er is een reden dat criminelen nog steeds CC fraude plegen: het werkt!
Dan sluit je gewoon een verzekering af, daar heb je geen credit card voor nodig.
Is er een verzekering dan die je kunt nemen tegen online fraude of transacties die oplichting zijn of niet meewerkende winkels?

Die dus niet meer dan 2.70 kost per maand wat me bankrekening kost waar de kaart bij zit gratis
Dat zit meestal gewoon in je inboedelverzekering. je specifieke polisvoorwaarden moet je zelf maar uitzoeken.
Wist niet dat in een inboedelverzekering spullen verzekerd zijn die niet ontvangen, of geld dat gestolen van je wordt middels oplichting via internet.

Verwacht tevens dat in elk geval de eigen risico hoger zal zijn als mijn kaart die geen eigen risico heeft ongeacht de claim of aantal, dus weet niet hoe kostbesparend het zou zijn.

[Reactie gewijzigd door Dennisjehz op 23 januari 2018 00:49]

Als creditcard houder ben je hier tegen verzekerd, en heb je je geld maximaal in 24 uur terug meestal zelfs sneller.

Bij een iDEAL transactie ben je niet verzekerd mocht het mis gaan, mensen krijgen vaak hun geld wel terug maar dat is uit coulance van de bank, dit hoeft echter niet wettelijk gezien, zelfs als je in een phising site getrapt bent.

Nu we het toch over phising hebben, daar kun je net zo makkelijk als iDEAL gebruiker intrappen helaas... welke beveiliging je ook hebt.
Voor die verzekering wordt dan ook grof betaalt. Niet voor niets proberen allerlei elektronica verkopers je meteen een extra verzekerig aan te smeren, daar wordt het echte geld mee verdiend.
Verzekeringen krijg ik niet van de verkopers, die krijg ik automatisch op alles wat ik koop met de creditcard, die me 0,0 kost.
Je bent in NL zeer goed verzekerd met je CC, heb ik mij laten vertellen dat PayPal toch niet zo goede service hebben als ze adverteren.

Je bent (met ICS) 6 a 12 maanden verzekerd voor je aankopen, ook tegen schade en diefstal.
Ik heb op paypal mijn credit card gekoppeld, dus betalen met paypal = betalen met credit card. Volgens mij is dat juist best veilig, op die manier.

Dat er kosten aan zijn verbonden, ok... dat is misschien een (klein) nadeel maar voordelen zijn wel dat je er wat gemoedsrust voor terugkrijgt.
Zo ben ik blijkbaar een keer op een of andere manier tóch ge-compromised met mijn credit card, wat ik zelf niet eens door had... dag later hing de bank aan de lijn om mijn afschrift door te nemen. In eerste instantie ik zoiets van "uh wat is dit nu weer", maar toen ze vroegen "Heb je gisteren $1,nogwat overgemaakt naar *insert bad juju*?" en ik met nee antwoordde gaven ze aan dat er misbruik was gemaakt. Kaart werd afgesloten, bedrag werd terug gestort en binnen een paar dagen had ik een fonkelnieuwe credit card in huis.

Dat voordeel weegt flink op tegen het nadeel vind ik! :)
iDeal ist niet veilig het is een tussensysteem wat voor jou als klant het makkelijk maakt om betalingen te doen meer niet. Als jij via iDeal gescimt Bent moet je alsnog naar de bank gaan om jou verhaal daar uit te leggen. Dit is niks anders dan CC. :X |:( |:(
Weet iemand wat de bron van dit script was? Stond deze op hun eigen servers?
Als ik deze text lees dan lijkt dat er wel op:

"OnePlus zegt tegen Tweakers dat een van zijn servers is aangevallen en er een script op zijn betaalpagina draaide dat gegevens onderschepte die gebruikers op de site invulden."
Wat ik mij afvraag wat stelt dat https dan voor? Dan zijn de gegevens als nog niet veilig.
Hoewel HTTPS hier niets tegen kan doen verwacht ik dat Content Security Policy dit wel had kunnen voorkomen (mits het geïnjecteerd in de pagina zat en niet in het server sided gedeelte). Hiermee kun je precies instellen met wat en met welke domeinen er gecommuniceerd mag worden. CSP heeft zelfs een klik functie waarbij je als beheerder direct een bericht krijgt mocht er iets op je site proberen te communiceren met iets wat jij niet expliciet hebt toegestaan.

Zelfs Tweakers maakt hier gebruik van. Dat zo veel pagina's met nog veel gevoeligere informatie dit niet doen verbijsterd mij nog steeds.

Ook al heb je een huis tuin en keuken website moet je nog steeds CSP toepassen. Mocht de bezoeker zijn PC een virus bevatten die bijvoorbeeld advertenties injecteert in de pagina of statistieken bijhoud of afluistert wat je invult dan kan de externe bron niet aangesproken worden omdat CSP dit zal blokkeren. Hiermee bescherm je de gebruiker maar ook je eigen reputatie omdat de bezoeker geen vervelende advertenties ervaart op jouw website.

https://content-security-policy.com

[Reactie gewijzigd door Tim.k op 19 januari 2018 17:28]

Ik vermoed dat het script via een of andere third party analytics of marketing tool z'n weg op de pagina heeft gemaakt.

Ik kan uit ervaring vertellen hoe dat bij de meeste bedrijven gaat:
Iemand van het technische team stelt het voor om zo'n content policy in te stellen. Er wordt tijdens een meeting/planning geen grote meerwaarde aan gehecht, want 'onze producten zijn gewoon veilig, toch?' en 'dat scenario komt toch niet voor'. Daarnaast vereist het aanpassingen op de productieserver, en dat is altijd een grote drempel. Marketing wil allerlei analytics tools op de website kunnen plaatsen. Als deze via een whitelist één voor één toegevoegd moeten worden, is dat extra werk voor het technische team, want marketing snapt niet hoe dit moet. Daarnaast weten we nu nog niet welke tools er volgende maand weer opduiken die we ook op de website willen draaien. Dus, zo stelt de product owner voor, zetten we dit in de backlog met lage prioriteit (= komt nooit meer bovendrijven).

Er zijn maar weinig bedrijven die de pros van een veilig product ontwikkelen en de cons van third-party javascript scripts draaien, goed in de gaten hebben. Dus het verbaasd me niets dat zelfs een bedrijf als OnePlus z'n zaakjes niet op orde heeft.
Zelfs via een andere partij zou CSP dit afvangen maar dat terzijde ben ik het maar deels met je eens.

De mindset is inderdaad extra werk, het is veilig genoeg. Maar erg moeilijk om het bij te houden is het niet. Marketing kan echt niet een nieuwe tool zomaar op de website zetten. Hier komen nog altijd developers aan te pas die heel simpel ook een URL of 2 in de lijst erbij kunnen zetten. Dat is nog minder moeite dan de tool zelf op de website zetten.
Als de code die de creditcardgegevens onderschepte ook via SSL werd ingeladen werkte het gewoon zoals het hoort. Chrome en Firefox blokkeren het als je op een HTTPS website HTTP scripts probeert in te laden.
Dat zou alleen bevestigen dat de malware code via veilige kanalen bij jou is aangekomen. Nee, je moet afdwingen dat alleen assets vanaf jouw domein mogen worden geladen, en dan deze hosting volledig immutable maken.
Als een website dat zelf zou kunnen instellen is dat OK, maar dat zou een browser niet moeten forceren. Dan zouden scripts van derden zoals libraries, Google Analytics, ads en dergelijke allemaal geblokkeerd worden.
Als een website dat zelf zou kunnen instellen is dat OK, maar dat zou een browser niet moeten forceren.
En precies daarom hebben ze Content Security Policy uitgevonden.
Naar mijn kennis is dit toch waar Content-Policy Headers voor ontwerpen zijn?
Maar dan heb je nog steeds aspect van de hosting zelf, gedateerd script, verkeerd upload formulier, inlog-gegevens op straat etc, het zal wel iets moeilijker zijn maar verre van onmogelijk.
En hoe zie jij het voor je om dat af te dwingen? Op wat voor manier zou je dit kunnen forceren? Jij doelt waarschijnlijk op HSTS maar die is puur voor het afdwingen van SSL op *.domein.nl. Volgens mij bestaat wat jij wilt niet en maakt je website ook wel erg lastig om te beheren. Je kan geen externe bronnen meer gebruiken (Google Analytics, GTM, Hotjar, Adsense, DFP, etc.) Bovendien heeft de hacker waarschijnlijk toegang tot je broncode en kan daarom elke willekeurige code aanpassen/toevoegen.
(Google Analytics, GTM, Hotjar, Adsense, DFP, etc.)
zodra de ePrivacy verordening er door is mag je die binnen de EU toch niet meer draaien zonder expliciete toestemming van je gebruikers, De-facto mag je die dus niet meer draaien, want geen hond gaat daar toestemming voor geven.

(Nee; het mag niet opt-out zijn. En nee; je mag het ook niet zoals een cookie-muur als voorwaarde stellen voor toegang tot je site.)
Als het script vanaf de server draaide heeft https niet veel meerwaarde. Die versleutelt alleen het verkeer tussen jou en de server.
Om gegevens tijdens transport te beschermen, net zoals je een envelop om een brief doet. Op de eindbestemming gaat die envelop er weer af.
Https staat er volgens mij buiten: Https zorgt voor een veilige uitwisseling van gegevens tussen de client en de server (je pc/ tablet etc) en de servers van Oneplus. Het script heeft op de servers gedraaid en zal dus daar de gevenens gevonden hebben en hebben gestolen.

Kan mij voorstellen dat de creditcard gegevens tijdelijk ergens opgeslagen worden om vervolgens verwerkt te worden.

[Reactie gewijzigd door HKLM_ op 19 januari 2018 16:49]

Lees deze blogpost eens: https://hackernoon.com/im...e-here-s-how-9a8cb347c5b5

Bottom-line: Eigenlijk is het tegenwoordig erg eenvoudig om dit soort gegevens vrij eenvoudig te achterhalen, en je hebt er niet eens toegang tot de betreffende server voor nodig.
Dat heb ik gevraagd, maar kreeg geen antwoord.
Toch een nette en snelle reactie.

Ik snap nooit waarom zo'n creditcard zo makkelijk te misbruiken is. Waarom geen 2FA zoals met onze debet kaarten?
Gemak dient de mens, beetje de basis van een creditcard.

Andersom, webshops kunnen gewoon SecureCode toevoegen aan CC betalingen, dan moet je ook gewoon 'iDeal style' authenticatie doen.
Bij ING wordt de SecureCode pagina automatisch geredirect, zonder enige input, terug naar de verwerker. Uitzonderingen zijn hierop als je IP buitenlands is of niet van een ISP zoals Ziggo of KPN.

Dit zal vast niet overal zo zijn maar bij ING is dit in ieder geval een schijn beveiliging.
Dat de pagina jou meteen doorstuurt hoeft niet te betekenen dat het een schijnbeveiliging is. Op de achtergrond kunnen de risicofactoren van de transactie afgewogen worden, en als daar uit komt dat de transactie waarschijnlijk legitiem is wordt je direct doorgestuurd. Mocht ING bedenken dat er toch iets niet in de haak is, kan er alsnog gevraagd worden om in te loggen. Je moet vooral bedenken dat ING de transactie verzekert, en het hun dus geld kost als ze ten onrechte een verkeerde transactie doorlaten!
Correct. Dit is echter niet het idee achter SecureCode van Mastercard. Volgens Mastercard hoort de SecureCode een 2FA te zijn. Zo implementeert ING het echter niet dus is het bij ING een schijnbeveiliging.

Uiteraard voert ING wel degelijk controles uit op de SecureCode pagina zoals de checks die ik noemde en vast een hoop meer.

Als je in het buitenland zit en met ING CC wil betalen moet je op de SecureCode pagina inloggen met je ING account en vervolgens een TAN code invullen. Als je in Nederland zit wordt dit in zijn totaliteit overgeslagen en is de SecureCode zonder enige input van de gebruiker goedgekeurd voor de verwerker.
Als volgens MasterCard SecureCode verplicht een 2FA moet zijn, dan moet ING zich daar ook aan houden. Blijkbaar is het dus niet dusdanig verplicht dat ING er van af mag wijken. Interessant genoeg let ik hier echter nooit op wanneer ik mijn creditcard gebruik (wat overigens niet zo vaak is), maar dat zal ik naar aanleiding hiervan toch wel gaan doen.

Dat je de pagina overigens soms wel ziet is overigens in tegenspraak met het een schijnbeveiliging noemen.
Vandaar ook het opdringen van de NFC betalingen tot 25 euro zonder pincode. :(
Dat vind ik trouwens echt fantastisch, moest laatst eens ergens nog ouderwets pinnen en dat was zelfs ineens vreemd, toen bedacht ik mij pas hoe fijn het is geworden.

Het risico van eenmalig ¤25,- kwijtraken na een pinpas diefstal is mij dat dubbel en dwars waard :)
Je hebt toch ook geen PIN code op cash geld?
Maar cash geld kan niet uit mijn zak verdwijnen als ik in de buurt van een nfc terminal loop.
Die is er wel met vele europese kaarten. Voor zowat alle transacties online moet ik de transactie via 2FA bevestigen. Iets wat gelukkig ook steeds eenvoudiger kan.
Nu ben ik helaas de ongelukkige die in deze periode inderdaad mijn creditcard daar heeft gebruikt.. Ik heb hem per direct geblokkeerd en een nieuwe aangevraagd :)
Controleer je afschriften, iets vreemds? Melden bij uitgever, je krijgt 100% alles vergoed!
Hier ook direct geblokkeerd.. Nog geen rare afschrijvingen gelukkig.
Creditkaarten zijn toch niet meer van deze tijd. :)
Wat is dan wel van deze tijd? Ik heb gelukkig PayPal gebruikt om m'n OnePlus 5T te betalen, maar daar is uiteindelijk ook m'n creditkaart aan gekoppeld...
Je had hem kunnen koppelen aan je bank. Veel veiliger. Helemaal als je tweetrapsauthenticatie inschakelt bij PayPal.

Trouwens, het maakt niet uit. PayPal via credit card is niet getroffen.

[Reactie gewijzigd door AnonymousWP op 19 januari 2018 17:05]

Ik gebruik ook liever PayPal ipv creditcard voor al mijn "Chinese" aankopen. Bij mij gaat het echter nooit om grote bedragen.

Ik gebruik mijn creditcard verder weinig en heb hem niet gekoppeld aan mijn PayPal account. Mijn bankrekening is ook niet gekoppeld. Ik maak enkel geld over via ideal naar mijn PayPal en gebruik dat saldo dan voor alle banggood en ebay aankopen.

Uiteindelijk is de hele PayPal beveiliging alleen maar een email adres en een wachtwoordje. Ik vertrouw daar mijn bankrekening niet aan toe!
De aankoopbescherming van een creditcard is anders in veel gevallen beter dan die van Paypal, om over Ideal maar helemaal te zwijgen.. dat biedt 0 koperbescherming. Vooral bij buitenlandse aankopen vind ik een creditcard erg handig.
Aankoop bescherming is leuk in een land als de USA waar consumengtenrechten vrijwel non existent zijn vergeleken met hier.
Er is een verschil tussen rechten hebben en rechten krijgen.... een niet meewerkende webwinkel gaat uiteindelijk nog steeds vrijuit .... je gaat echt niet een rechtzaak beginnen om circa 200 euro...
Nee, dan ga je die winkel neersabelen met negatieve reviews.
En al die moeite hoeft niet, kan ook 1 telefoontje naar je credit card maatschappij en het is geregeld.

Met die reviews krijg je als ze echt zuur zijn je geld alsnog niet terug... kan ook tegen je werken helaas.

En dit is precies dus waarom een creditcard handig is... zie als dit niet gebeurde en winkels gewoon leveren en de diensten doen waar voor betaald is dan was het allemaal niet nodig... het komt eigenlijk van twee kanten.

Dat winkels alsnog soms zo handelen zorgt er niet voor dat credit cards minder nodig zijn, begrijp me niet verkeerd het liefst had ik dat het niet nodig was.

[Reactie gewijzigd door Dennisjehz op 20 januari 2018 13:38]

Je bedoelt: in Nederland zijn ze niet van deze tijd, in vrijwel de rest vd wereld wel.
En was het maar gemeengoed hier want dan hadden we én een betere verzekering tegen al die fraudehonden op marktplaats (en trust me dat zijn er veeel). En dan hadden we eindelijk Apple Pay gehad.

Als je ziet hoe veel mensen opgelicht worden via marktplaats dan zijn de getallen echt niet mis hoor, en dat voor zo’n klein landje die de betalingen “op orde” zou hebben :P.

[Reactie gewijzigd door jimzz op 19 januari 2018 23:05]

Klopt maar ik heb de kaart nodig als ik een auto wil huren.
Ondere andere Stern, Europcar en een aantal lokale verhuurders kun je zonder cc terecht.
Ja als je in een Up! In Frankrijk wilt zitten. Ga je de oceaan over of huur je wat leukers heb je er nog steeds een nodig.

En terecht ook, geeft de verhuurmaatschappij een veel veiligere borg en ik hoef niets voor te schieten.
Hoezo veiliger? Als ik de borg pin hebben ze het geld toch al in handen?
Maar als je honderden auto’s hebt per locatie (vliegvelden enz) moet je dus ook al dat cash ergens kwijt.

Geen cash maar creditcard reserveringen zijn dan veel veiliger, zowel voor de huurder als de verhuurder.
Voor een middenklasse is een creditcard een vereiste.
Onbegrijpelijk dat een megaconcern als Oppo dit niet beter voor elkaar heeft.
Dat vind ik altijd zo'n makkelijke reactie....Wie weet hoeveel pogingen tot diefstal ze al hebben kunnen voorkomen?
Neemt niet weg dat het rot is en er snel op geacteerd moet worden, maar dat er 1x iets gebeurt betekent niet dat de hele security lek is.
Random cvc. Dat is het antwoord om dat soort problemen te voorkomen.

Dit en/of 3D secure of een andere form van 2fa verplichten.

Sommige webwinkels zoals Amazon hebben daar geen zin in, waardoor je door kan blijven kopen zodra je CC gegevens opgeslagen heb.
Maar ook daar zeg je het goed, zodra je je gegevens opslaat. Veel bedrijven geven je de keuze of je ook het cvc nummer wilt opslaan, nooit doen natuurlijk. Maar nu komt het mooie, met ideal zijn toekomstige betalingen (ook wel machtigingen) ook mogelijk. Als je bij Microsoft Office 365 afsluit dan maak je ook eerst 0,01¤ over naar Microsoft met de toestemming dat MS het in het vervolg automatisch van je rekening mag halen. Dit is niets anders dan je creditcard machtigen.
Ja maar dat zijn SEPA incasso's, veel makkelijker om terug te boeken dan een creditcard transactie.
1 belletje naar je maatschappij en het geld is ook terug, even makkelijk.
Ik weet niet of het hierdoor komt, maar kreeg zeer recentelijk een mail van ICS dat ze mij een nieuwe creditcard op zouden sturen, omdat ze het idee hadden dat de gegevens in verkeerde handen waren gevallen.
Was dat een email waarin je op een link moest klikken en vervolgens je kaartnummer, vervaldatum en securitycode moest invoeren? :P
Neen, gewoon een FYI email. Ik ben niet achterlijk he :P
Dit is dus de reden dat ik altijd via Paypal betaal. Ik vertrouw niet dat 100'den websites waar ik eens iets bestel mijn kredietkaartgegevens moeten verwerken.

Ik heb overigens in augustus 2017 iets bij Oneplus besteld... via Paypal. Ik zou dus veilig moeten zitten.

Daarnaast geeft Paypal ook extra bescherming in geval er iets mis zou lopen met het product. En ze betalen tot 12 maal per jaar je verzendkosten terug als je iets wil terugsturen en dat moet van de verkoper op eigen kosten. Top!

(neen, ik heb geen aandelen van Paypal, ben gewoon erg tevreden van hun service)

[Reactie gewijzigd door lazershark op 19 januari 2018 18:09]

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True