Onderzoek wijst op gebreken in verschillende mobiele pinapparaten

Onderzoekers van beveiligingsbedrijf Positive Technologies hebben in Las Vegas hun bevindingen gepresenteerd over mobiele pinapparaten. Die zouden vatbaar zijn voor uiteenlopende aanvallen, die inmiddels echter voor een groot deel zijn gepatcht.

miura De twee onderzoekers, Leigh-Anne Galloway en Tim Yunusov, richtten zich op zeven apparaten van vier verschillende bedrijven in de VS en Europa. Het gaat om de M010 van Miura, die door bijvoorbeeld PayPal en Square in de VS wordt gebruikt, naast apparaten van iZettle en SumUp die veel in Nederland worden gebruikt. Deze zijn niet allemaal door dezelfde kwetsbaarheden getroffen, maar de onderzoekers presenteerden verschillende aanvallen per apparaat. Het gaat om pinautomaten die via bluetooth te verbinden zijn met een mobiel apparaat dat op zijn beurt weer aan het internet hangt. De kleine automaatjes zijn op veel plekken te vinden, bijvoorbeeld in taxi's, op marktkramen en in winkels.

Hoewel de fysieke veiligheid van de apparaten doorgaans in orde was, bijvoorbeeld door maatregelen die verhinderen dat ze uit elkaar kunnen worden gehaald, was het bij de Miura-, iZettle- en SumUp-apparaten mogelijk om zelfgekozen commando's naar de apparaten te sturen. Zo zou een kwaadwillende verkoper bijvoorbeeld een mededeling in het scherm kunnen tonen dat een betaling is mislukt, terwijl deze in werkelijkheid is doorgevoerd. Daardoor zou een koper dubbel kunnen betalen. Een andere mogelijkheid was het aanpassen van het bedrag dat in het scherm wordt getoond. Zo kan op de achtergrond een veel groter bedrag worden afgeschreven, aldus de onderzoekers.

Dit is echter niet in alle gevallen mogelijk, zo werkt deze aanval het beste als een betaling via de magneetstrip wordt uitgevoerd. Bij een contactloze betaling wordt de aanval al moeilijker en bij gebruik van een pincode is deze niet meer mogelijk. De onderzoekers raden verkopers en kopers dan ook aan helemaal geen betalingen via de magneetstrip meer uit te voeren. In dat kader wijzen ze erop dat het gebruik van emv in Europa veel groter is dan in de VS.

In het geval van de Miura wisten de onderzoekers ook een manier te vinden om op afstand code uit te voeren op het apparaat door de firmware te analyseren. Die hadden ze verkregen via een https-mitm. Om deze aanval uit te voeren, moet de aanvaller, bijvoorbeeld een klant, wel fysieke toegang hebben tot het apparaat om het in de pairingmodus te zetten. Ook zou er een oudere firmwareversie aanwezig moeten zijn. SumUp en iZettle hebben inmiddels tegenover Forbes gereageerd op de bevindingen en zeggen dat ze maatregelen hebben genomen. Hetzelfde geldt voor de andere getroffen bedrijven.

Reacties (74)

Luinwethion 10 augustus 2018 08:35

En wat over de combinatie chip zonder pin? Ik weet dat in Europa magnetische strip aan het afsterven is, terwijl het in de VS nog de standaard is. Maar in Duitsland ben ik tegen een leuke variant tegen gekomen, dat is chip met handtekening, en bij een automaat zonder printer of een automaat zonder verkopen is dat chip zonder niks.

Anyways, deels van die risico's kun je ook verminderen als je bank push berichten heeft ingebouwd in de bank app, zie je gelijk als een transactie goedgekeurd is en hoeveel is er afgeschreven.

Heb nog paar maanden geleden bij de Bijenkorf in Den Haag gelijk gebruik van kunnen maken, kassa liep vast, en de pin automaat ook, maar ik had al de notificatie ontvangen dat betaling gelukt was, als de kassa dat geregistreerd heeft of niet, is dan ook niet meer mijn verantwoordelijkheid.

celshof @Luinwethion • 10 augustus 2018 09:01

Chip zonder PIN is best veilig normaal gezien. Dat komt omdat het bedrag onderdeel is van een berekend cryptogram (ARQC) dat door je bank gevalideerd moet worden en op de terugweg is er met dat cryptogram en de response een nieuw cryptogram gemaakt (ARPC) dat door de chip wordt gevalideerd. Die tweede controle ontbreekt bij contactloos.
Chip met handtekening heeft dan weer te maken met de regels van Maestro/VPAY in het betreffende land. Als ze dat daar normaal vinden, dan moet je dat dus doen als je zo'n soort pas aanbiedt

PPie @celshof • 10 augustus 2018 09:45

Die tweede controle ontbreekt bij contactloos.

Is dit altijd? Of alleen onder een bepaald bedrag? Ik moest afgelopen weken in mijn vakantie in Oostenrijk regelmatig de pas opnieuw voor de lezer houden (dit stond dan op het schermpje van de automaat, het was niet dat de pas niet contactloos gelezen kon worden).

YoghurtO_o @PPie • 10 augustus 2018 13:14

Je moet bij contactloos alleen je pin ingeven bij bedragen hoger dan €25.

PPie @YoghurtO_o • 10 augustus 2018 14:45

Je moet bij contactloos alleen je pin ingeven bij bedragen hoger dan €25.

Dat weet ik, maar het waren (dacht ik) bedragen lager dan 25 euro, maar ik moest wel het pasje nogmaals draadloos scannen. Dat verbaasde me... Of is het dubbel scannen + pincode bij hoger dan 25 euro? Hmmm.

gjmi @PPie • 10 augustus 2018 15:14

Als het totaal draadloos gepinde bedrag boven een bepaald maximum komt (ik dacht €50), moet je ook weer je pincode invoeren. Anders kan, bijvoorbeeld, een gestolen pas honderden keren gebruikt worden om €25 te pinnen zonder code.

celshof @PPie • 10 augustus 2018 15:57

In Nederland hoeft dat niet, maar kennelijk willen ze in Oostenrijk wel dat de pas nog controleert of de goedkeuring wel van de bank zelf komt of dat het uberhaupt een goedkeuring is (want dat is in feite waarom je de ARPC controleert).

jwvdst @PPie • 10 augustus 2018 18:29

als je steeds alleen maar kleine bedragen (onder de 25 euro) contactloos betaald en nooit je pin gebruikt dan moet je zo na zoveel keer contactloos betalen of als het totaal bedrag van de betalingen die je contactloos gedaan hebt je pinpas in de chiplezer doen en je pincode invoeren

[Reactie gewijzigd door jwvdst op 25 juli 2024 15:50]

PPie @jwvdst • 10 augustus 2018 22:45

Zoals ik al schreef, was het niet dat ik de pas in de lezer moest steken, maar deze nogmaals draadloos moest aanbieden.
En ik had dit meerdere malen. Ik weet alleen niet meer of het bedrag onder of boven de 25 euro was...

jwvdst @PPie • 11 augustus 2018 09:32

onder de 25 euro is normaal gesproken contactloos zonder pin daarboven is het altijd met pin. in eens in de zoveel tijd moest ik em in de chiplezer doen en mn pincode invoeren

Luinwethion @celshof • 10 augustus 2018 09:44

Aha interessant.

Maar ik blijf graag nog steeds een pin gebruiken, ook voor NFC betalingen. (Dan is het mijn vingerafdruk via de telefoon, maar nog steeds beter dan niks).

computerjunky @celshof • 10 augustus 2018 14:21

Hoe is betalen zonder pin veilig?
Als je je pas verliest kan er al betaald worden. Dat is per definitie NIET veilig...]Als ik nu mijn nog oude pas verliest of hij word gejat heeft iemand anders er werkelijk HELEMAAL NIETS aan omdat je nog altijd mijn pin nodig heb. Veilig dus.
Ik zal NOOIT een betaal zonder pin systeem willen gebruiken het is gewoon niet veilig en diefstal van de pas word weer ouderwets populair omdat e gewoon mee betaald kan worden.
Als deze bagger de standaard word of niet uitgezet kan worden en de bank niet 100% garant staat ga ik gewoon weer ouderwets op cash leven.
Veel veiliger ondanks dat er vals geld in omloop kan zijn.

gjmi @computerjunky • 10 augustus 2018 15:10

Je haalt twee dingen door elkaar:

De betaling zelf is veilig. Iemand anders kan niet via het pinapparaat oid misbruik maken. Dus zolang niemand anders je pas heeft is het veilig.

Omdat iemand anders je pinpas zou kunnen gebruiken in geval van diefstal of verlies, is het gebruik van een pinpas in landen waar dit nog kan, niet veilig. De betaling, echter, die een ander met jou pas doet is wel veilig.

computerjunky @gjmi • 10 augustus 2018 20:44

de betaling zelf is helemaal niet war het over gaat... het gaat erom daty er betaald kan worden zonder je pin en dat is niet veilig. dat betaling zelf veilig is is niet relevant als je kan betalen zoner beveiliging.

Step5 @computerjunky • 10 augustus 2018 21:58

Het gaat in het artikel juist wel om de betaling zelf en de manipulatie daarvan, niet of je pas gestolen en misbruikt wordt

Atomsk @computerjunky • 11 augustus 2018 00:29

Bij een NFC pas kun je instellen of je zonder pincode wil kunnen betalen (tot €25), of altijd met pin. Geen reden om dus zo dramatisch te doen. Cash geld is ook niet veilig wanneer het gestolen wordt.

Trommelrem @Atomsk • 11 augustus 2018 13:30

Boven de 25 euro kun je default zonder pin betalen door een design flaw in het contactloos betalen systeem. Met name de Yomani's hebben hier last van. Er wordt wel om een pin gevraagd, maar je kunt random cijfers intoetsen, mits je maar 5 of 6 cijfers gebruikt. De design flaw is dat de pinpas de authenticatie niet doet, maar de betaalterminal zelf. Daar kan een boef sneller een tamper op doorvoeren dan op je pinpas.

computerjunky @Atomsk • 11 augustus 2018 05:35

Ja net als dat je in kon stellen dat je noet rood wil staan. En tot mijn verbazing kon dat jaren later ineens wel weer.
Leuk zon setting maar niet erg definitief als de bank zelf die instelling lijkt te wijzigen.
En maar leuk de kosten bij ons neerleggen als het fout gaat.
En dan heb je nog de parkeerdiensten die bij sommige banken gewoon niet uit te schakelen zijn en een hoger limiet van 100 euro per dag hebben.

mannte

@computerjunky • 11 augustus 2018 19:34

Meeste banken staan gewoon garant als er met je pas draadloos word betaald als die gestolen is. Enige voorwaarde is dat je de diefstal op tijd moet doorgeven.

computerjunky @mannte • 11 augustus 2018 23:08

Tja ik kijk alleen echt niet dagelijks of zelfs maar wekelijks op mn rekening. Dat doe ik relaxed 4x per jaar en dan ga ik alles na en maak ik een kwartaal balans op.
Ik vind het gewoon gek dat banken ieta onveiligs op de markt zetten en verwachten dat wij het monitoren.

hoeksmarp @computerjunky • 10 augustus 2018 16:18

Als deze bagger de standaard word of niet uitgezet kan worden en de bank niet 100% garant staat ga ik gewoon weer ouderwets op cash leven.

Het is misschien niet standaard, maar als je aan de oostkant van Nederland de grens oversteekt kom je het genoeg tegen. Ik denk dus dat je beter je pinpas kunt doorknippen.

108rogar @computerjunky • 11 augustus 2018 02:24

Als je je pas verliest kan er al betaald worden. Dat is per definitie NIET veilig...
[...]
Als deze bagger de standaard word of niet uitgezet kan worden en de bank niet 100% garant staat ga ik gewoon weer ouderwets op cash leven.

Als je je cash verliest kan er ook mee betaald worden, dus niet veilig volgens jouw definitie.

Hmmbob @Luinwethion • 10 augustus 2018 08:55

In de VS is tegenwoordig chip-zonder-pin de standaard, de magneetstrip is de uitzondering aan het worden. Deze transitie is een jaar of 2 geleden ingezet door alle grote banken en kaartaanbieders - deels ingegeven door de steeds hoger wordende bedragen rondom (magneetstrip)fraude.

Duitsland loopt gewoon mega achter met zijn betaalsysteem: op veel plekken kun je alleen met (Duits specifieke) EC-Karte betalen en worden internationaal gangbare kaarten (Maestro, Mastercard, Visa) niet geaccepteerd. Op de een of andere manier lijken Duitsers trouwens ook nog steeds verliefd op cash.

kozue @Hmmbob • 10 augustus 2018 13:47

Op de een of andere manier lijken Duitsers trouwens ook nog steeds verliefd op cash.

En wat is er dan mis met cash? Het voorkomt een hoop van die digitale problemen. Cash wordt niet geskimmed, ik heb nog nooit dubbel betaald met cash, en cash werkt ook als de stroom of het internet uit valt. Behalve dat is pinnen een manier om zowel de bank als de winkel jou te laten profilen (geen bonuskaart meer nodig, ze koppelen gewoon je betaalhistorie). Hoeveel ze ook verbeteren aan digitale transacties, er zal nooit een betrouwbaardere betaalmethode komen dan cash.

Sorcerer8472 @kozue • 10 augustus 2018 16:24

Niet eens:
- onhandig (telkens pinnen, telkens kleingeld, muntjes, gescheurde biljetten)
- te weinig geld terugkrijgen
- vals geld terugkrijgen
- net te weinig geld bij hebben
- geen wisselgeld om terug te geven
- winkels moeten de hele tijd stortingen doen cq wisselgeldrolletjes inkopen
- als de stroom uitvalt werkt voorraadbeheer ook niet meer... in de AH kun je dan ook niet meer terecht ook al kun je cash betalen

Ik zie niet zo veel voordelen dus. Grootste voordeel is zwart geld voor zowel winkels als klanten...

kozue @Sorcerer8472 • 10 augustus 2018 17:14

Non-argumenten...
- Je kunt ook teveel geld terug krijgen

- Creditcards worden gekopieerd door valse automaten. Wanneer jouw kaart gekopieerd wordt en gebruikt voor transacties raak je ook geld kwijt. En tussen nu en enkele jaren zul je ook berichten gaan zien over mensen die geld kwijtraken via dat "handige" contactloos (hersenloos?) betalen zonder pincode. Dat kan nu al, maar criminelen hebben wat tijd nodig om op de nieuwe techniek in te spelen.
- Als je te weinig cash bij je hebt, kun je altijd nog pinnen. Het een sluit het ander niet uit.
- Wat winkels met hun geld doen is hun zorg. Ze moeten ook abonnement betalen voor die pinkastjes en transactiekosten per betaling, dus iedere kant heeft z'n nadelen voor een winkel.
- Supergeautomatiseerde winkels als de AH zul je wellicht niks meer kunnen kopen als de stroom wegvalt, maar zo werkt niet iedere winkel. Een hoop winkels (eigenlijk de leukere) hebben geen voorraadbeheer en verkopen gewoon wat er in de winkel ligt. Sterker nog, er zijn genoeg plaatsen waar je iets kunt kopen waar nauwelijks of geen stroom is, zoals de markt.

En zwart geld is natuurlijk sowieso al een goede reden om cash te blijven gebruiken: het bestaan van zwart geld is alleen mogelijk als het niet gevolgd kan worden, en alles wat digitaal is, is te volgen. Oftewel digitale transacties zijn gelijk aan datamining. En wie wil er nou vrijwillig gevolgd worden? Ik betaal nog steeds zoveel mogelijk contant, niet omdat ik zwart betaal, maar omdat ik geen zin heb in al die profiling en tracking van tegenwoordig. Voor mij zitten er nauwelijks voordelen aan pinnen, dus waarom zou ik?

Trommelrem @kozue • 11 augustus 2018 13:33

De imprinter (de klak klak) was wat mij betreft de beste manier om gemakkelijk te betalen, omdat er vertraging zit in de data die gemined wordt. Tegenwoordig is een offline betaling ook elektronisch mogelijk tot 24 uur vertraging, behalve in Nederland.

Powermage @kozue • 12 augustus 2018 09:09

Het is een beetje laten reactie, maar wilde nog even op deze reageren.

" (geen bonuskaart meer nodig, ze koppelen gewoon je betaalhistorie)"

Die reden gaat niet op, een pin automaat geeft namelijk niet je volledige rekening nummer terug, alleen de laatste paar karakters, dit is bewust gedaan om praktijken als mensen koppelen dmv hun betaalrekening te voorkomen.

kozue @Powermage • 12 augustus 2018 12:26

Onzin. Waar ik werk krijgen we bij online betalingen gewoon het volledig IBAN nummer terug van onze payment provider (Ingenico).

Powermage @kozue • 13 augustus 2018 07:50

Ik zeg letterlijk "Pin automaat" wat heeft dat met online betalingen te maken??

kozue @Powermage • 13 augustus 2018 08:07

Dat je een algemene aanname maakt die nergens op gebaseerd is. De bank geeft gewoon je complete nummer door, anders had je de nummers via Ingenico ook niet gekregen. Dat jij toevallig een apparaat hebt gezien die ze afschermt zegt niet dat ze dat allemaal doen of dat dat de algemene regel is.

Met creditcards lijkt het wel algemeen gebruik om alleen de laatste 4 cijfers door te krijgen, maar dat komt wellicht omdat je historisch gezien met alleen een creditcardnummer en een onveilige 3-letterige code betalingen kon doen. Misschien haal je die door elkaar?

Powermage @kozue • 13 augustus 2018 22:07

Kerel, Ik doe geen aanname, jij haalt dingen door elkaar en begrijpt het schijnbaar niet.
Ik reageer op jou stelling dat je liever met cash betaald ipv pin, ik quote even het stukje uit je eigen bericht.

Behalve dat is pinnen een manier om zowel de bank als de winkel jou te laten profilen (geen bonuskaart meer nodig, ze koppelen gewoon je betaalhistorie).

Dit is gewoonweg incorrect, een pinautomaat in een fysieke winkel (ik heb het niet over online betalingen) geeft GEEN volledig rekening nummer terug aan de kassa.
De winkelier krijgt een verzamelpost overgemaakt van een periode (meestal gewoon de voorgaande dag)

Vervolgens begin jij dat je bij Online betalingen en dat jij van ingenico alles krijgt wat er totaal niet toedoet, dus niets aannames, meer begrijpend lezen aan jou kant was mis gaat

Luinwethion @Hmmbob • 10 augustus 2018 09:31

Zou dat per regio verschillen? Misschien omdat de VS zo veel kleinere regionale banken heeft en dat die banken nog niet overgestapt zijn?

Paar kennissen die hier op vakantie waren konden zich niet aan de chip ding wennen.

Wat Duitsland betreft, ja, het is inderdaad erg, budget supermarkt zoals Penny accepteren alleen EC, je moet uitkijken waar je (als Duits met een Duitse rekening) pinnt want dat kan je geld kosten... Hoogste punt was dat bij H&M de medewerker vroeg mijn ID te zien omdat mijn pin pas geen handtekening had. Ik vind ook totaal irritant dat ik mijn pas aan de medewerker moet geven.

[Reactie gewijzigd door Luinwethion op 25 juli 2024 15:50]

Heidistein @Luinwethion • 10 augustus 2018 10:49

pik pas?

Ik sta in Duitsland wel eens met plaatsvervangende schaamte in de winkel als je aankomt met je pinpas. Dan word er uit een bonte verzameling logge grote apparaten een machine gepakt, waar dan de medewerker je pas in roust, voorleest wat er op het scherm staat. Eigenlijk alle acties, behalve de pincode, voor me doet.

Andersom, de Duitsers op bezoek bij mij keken hun ogen uit toen ik mijn pinpas op het apparaat in de supermarkt flatste, en zonder code betaald had. Toen wilde ze zelf hun vla (ja, echt) afrekenen en snapten niet hoe het moest

Luinwethion @Heidistein • 10 augustus 2018 11:04

pik pas?

Oh wow Gboard is at it today.

Eigenlijk alle acties, behalve de pincode, voor me doet.

Nou in de UAE kwam ik een keer tegen dat een meneer bij een Salt food trailer stond, meer was iets minder lang dan normaal, dus gaf die zijn kaart aan de medewerkster en riep hij zijn pin code gewoon.

Daar gebeurt ook dat ze voor jou contactloos afrekenen, ze pakken je pas gewoon kijken als ze de NFC logo zien en lezen ze de kaart zelf bij de machine.

[Reactie gewijzigd door Luinwethion op 25 juli 2024 15:50]

Johandmc @Luinwethion • 10 augustus 2018 11:15

Dit probeerde ze met mijn bankpas in Spanje (Lanzerote) denk ik ook. Oh handig dat logo. Laten we dat eerst proberen dat is sneller. Alleen dan werkte het niet en moest ik alsnog op de gebruikelijke PIN-manier betalen. Maar goed ik ben allang blij dat bij de meeste Europese landen al kan. En hoorde inderdaad dat Duitsland achter liep wat me wel verbaasde.

Luinwethion @Johandmc • 10 augustus 2018 13:11

Misschien dat in Duitsland door de hoeveelheid banken en verschillende netwerken en betalingssystemen dat ze nog alles moeten uitzoeken.

Hier in NL zou ik graag de volgende stap zien, en dat is een soort alipay (die Bunq al heeft bijvoorbeeld) waar je een QR code scant en dan betaalt.

Die standalone mobile pin automaten hebben een grote handicap, dat is de GPRS netwerk waar ze verbonden zijn, heb soms, vooral in het buitengebied, dat transactie wel lang duurt.

Die wat modernere automaten vraagt dan om de app te openen, dan wordt alles via BT gedaan... Ook niet super snel.

Als je met een QR code werkt, vraag je in een bar de rekening, die komt met een QR code, kun je betalen, krijgen ze binnen het signaal dat betaald is en mag je van door.

celshof @Johandmc • 10 augustus 2018 15:59

2 jaar geleden heb ik ook contactloos betaald. De kassiere was al aan haar zin begonnen om mij te vertellen wat ik allemaal fout deed, maar werd onderbroken door het "goedgekeurd" piepje.

Bench @Heidistein • 10 augustus 2018 18:45

Was dat een oud dorpje dan of iets.. Want op mijn terug weg vanuit het buitenland reed ik door Duitsland en ik heb mijn artikelen contactloos kunnen betalen

Sorcerer8472 @Hmmbob • 10 augustus 2018 09:45

Op veel plekken in Berlijn kun je niet eens met een kaart betalen (welke kaart dan ook), dus altijd maar flink wat cash meenemen.

Hmmbob @Sorcerer8472 • 10 augustus 2018 10:08

Helemaal aan de andere kant van het spectrum: in Tsjechië en Polen kon ik deze vakantie werkelijkwaar overal contactloos met de Mastercard betalen, hoe klein het bedrag of de winkel ook....

wiert.tweakers @Hmmbob • 10 augustus 2018 09:45

#neuland niet beperkt tot Duitsland en niet beperkt tot IT (scheiding van auto's / fietsers / voetgangers).

gjmi @Hmmbob • 10 augustus 2018 15:17

In Duitsland pin ik gewoon met mijn pinpas, nergens problemen, 15 jaar geleden voor het laatst een probleem geweest in mijn geval.

gjmi @Luinwethion • 10 augustus 2018 15:22

Push bericht? Binnen Nederland ok. (Ook al heeft niet iedereen een smartphone en niet iedereen met een smartphone heeft een bank-app in gebruik)

Maar zodra je de grens over gaat, werkt dit niet meer.

Krulliebol @gjmi • 10 augustus 2018 16:36

Leg eens uit? Omdat transacties in het buitenland niet realtime doorgevoerd worden?

gjmi @Krulliebol • 10 augustus 2018 17:01

Daar doel ik op, inderdaad

jvdmeer @gjmi • 10 augustus 2018 17:23

Tijdens de laatste Carbagerun (juli 2018) regelmatig gepind (in Polen,Tsjechië, Hongarije, Croatië en Slovenië) met een N26-pas (gratis Duitse bank). En elke keer verscheen binnen seconden een bericht op de mobiele telefoon met het gepinde bedrag in euro's (ook als het land werkte met een andere muntsoort). Dus de transacties werden weldegelijke direct verwerkt

gjmi @jvdmeer • 10 augustus 2018 18:55

Ok, mooi. Maar dan is dat nog niet zo lang het geval. Of het ligt aan het land. Ik had nog afboekingen toen ik al lang terug was van vakantie.

GijsTerBeek @gjmi • 10 augustus 2018 20:54

Je hoeft niet eens het buitenland te bezoeken. Als de verkoper bij de ene bank zit en jij bij de andere, gaat er al een paar uur overheen voordat de hele transactie is verwerkt. Het bedrag wordt wel direct 'gereserveerd' van jouw bankrekening. Je kan het dus niet nog een keer uitgeven. Maar de verkoper ziet het soms pas uren later op zijn rekening terug.

Aurora @aadje93 • 10 augustus 2018 09:21

Na hoeveel jaar blijf je binnen de 60-plussers categorie een minderheid te beschouwen omtrent smartphone gebruik?

Heb je wel de cijfers gezien van de afgelopen jaren?

[Reactie gewijzigd door Aurora op 25 juli 2024 15:50]

Luinwethion @aadje93 • 10 augustus 2018 09:24

of als je geen smartphone hebt zoals een groot deel van de 60 plussers?

Langzaam draait dat zich om en 60+ gebruiken steeds meer een smartphone en leren de basics ook nog wel, tenminste in mij omgeving.

LWat maakt zo'n pushbericht voor een verschil tegenover iemand die een week later (of 2 weken later) z'n afschrift krijgt? Het geld is dan toch al afgeschreven

In mijn voorbeeld bij de Bijenkorf, om snel duidelijk te hebben dat het wel betaal is, kwam geen bevestiging van de kassa of pin automaat. Ook zonder push berichten had je natuurlijk je bank app kunnen openen, maar stel je voor dat je vertrouwd dat het niet gelukt is en ga je niet checken.

In het geval van opzettelijk misleiding, gelijk 112 bellen? Want ik zou dat dit fraude / (bijna) diefstal is.

aadje93 @Luinwethion • 10 augustus 2018 09:33

en als je 112 belt, wat gaan die er aan veranderen? Die verwijzen je wederom door naar je bank waar die 1 minuut of 2 weken ook geen verschil meer maakt.

Luinwethion @aadje93 • 10 augustus 2018 09:41

en als je 112 belt, wat gaan die er aan veranderen? Die verwijzen je wederom door naar je bank waar die 1 minuut of 2 weken ook geen verschil meer maakt.

Maakt dat zeker niet uit?

Als ik bij een snackbar voor 10€ pint en wordt 100€ afgeschreven, kom ik weken later bij de bank, wat dan? Zegt de eigenaar dat ik aan het lullen ben en dat ik voor 100€ aan spullen gekocht heb... Dat wordt dan een zeer lange proces, want de PIN betalingen niet verzekerd zijn. Bel je gelijk heb je nog een kans dat het voor jou mee valt en dat je geld snel terug heb.

Banken adviseren steeds om vaker afschriften te bekijken en onterechte transacties zo snel mogelijk te melden, sneller dan in bijna real-time met een push bericht kan niet

Sorcerer8472 @Luinwethion • 10 augustus 2018 16:25

112 niet bellen voor civielrechtelijke zaken!

Ze komen dus alleen als je zegt dat je de winkelier over 5 minuten in elkaar gaat timmeren. En dan komen ze om jou mee te nemen

Anoniem: 1107805 23 augustus 2018 17:55

Ok, een beetje late reactie.
Inderdaad lopen ze in de VS mijlen ver achter op de beveiligingen in het betaalverkeer. Op eBay kun je nog steeds online betalen met de creditcard gegevens die met een 'gewone' telefoon-APP te lezen zijn (smartphone met NFC).
In Nederland lopen we redelijk voorop qua beveiliging, terwijl in duitsland nog veel de magneetstrip wordt gebruikt. Ik kan me voorstellen dat veel mensen daar nog raar kijken als je een contactloze betaling doet.
Een PIN-code onder de 20 of 25 euro is bij contactloos niet nodig, tenzij je over de limiet van x 'transacties-zonder-PIN' gaat (x kan per bank verschillen); dan is een PIN weer wel verplicht.
Dat het te betalen bedrag beveiligd wordt meegestuurd naar de bank, is juist. Maar er is niet altijd een controle of dit bedrag ook hetzelfde is als het bedrag wat je bevestigd hebt tijdens de transactie.
Als je het te betalen bedrag ziet tijdens het ingeven van de PIN-code, dan is dit wel gegarandeerd, maar bij een contactloze betaling zonder PIN niet. En juist hier zat een probleem bij een van de testen; je betaalt dan een ander bedrag dan wat je op de display ziet.
Sterker nog, het hoeft helemaal niet zo te zijn dat je een bedrag ziet en om het nog bonter te maken, het hoeft helemaal niet zo te zijn dat je weet dat er een betaling wordt gedaan. Hou zo'n mPOS (zoals die kleine automaatjes heten) bij je portemonnee en de kans is groot dat je betaalt.
Maar goed, in de Euro zone is het electronisch betalen aardig goed beveiligd en zou het manipuleren van het bedrag niet mogelijk moeten zijn. Buiten de Eurozone ligt dit anders.

Tja, en tankpassen ... Dat lijken wel amerikaanse ondernemingen; die lopen inderdaad ook nog ver achter.

Conclusie: Dus als je wil frauderen met electronisch betalen: America First

[Reactie gewijzigd door Anoniem: 1107805 op 25 juli 2024 15:50]

MenN 10 augustus 2018 10:41

Ik erger me er aan dat er tegenwoordig zo'n wildgroei aan pin apparaten zijn. Het lijkt er bijna op dat elke winkel zijn eigen apparaat maakt. Dat werkt niet echt mee om dit process veilig te houden. Ik kan zo niet zien of:
- Er met het apparaat gesjoemeld is
- Of het uberhaupt een goed pin apparaat is en kan ik dit vertrouwen.
- Mijn pas hiermee overweg kan?

Het was een stuk duidelijker toen er maar een heel klein aantal modellen in omloop waren.

lucatoni @MenN • 10 augustus 2018 11:07

Vraagje, hoeveel fraude is er de afgelopen jaren in Nederland geweest met dit soort kastjes? En wanneer dit het geval is, is de klant dan de dupe, of compenseert de bank dan gestolen bedragen?

Wat ik hiermee wil aangeven is dat de vragen die je stelt niet echt van belang zijn voor de klant, maar eerder voor de banken zelf. Daarnaast dat fraude volgens mij amper plaatsvind en we het meer over een theoretisch risico hebben dan een reeel risico.

Alleen je laatste vraag is een goede, ik heb echter vrij weinig apparaten in NL gezien die geen Maestro kaarten aan kan.

carpcatcher @MenN • 10 augustus 2018 12:23

vooral of mijn bankpas hiermee overweg kan idd.
in Duitsland al diverse keren problemen gehad dat ik niet kon betalen omdat mijn ABN pinpas / creditcard en KNAB bedrijfspass niet door de automaat geaccepteerd werden. Daar sta je dan in Duitsland bij het restaurant of hotel.
Restaurant waren we gelukkig met meerdere mensen en was het bedrag vrij laag, maar het hotel 320 had ik niet cash bij me, na contact met booking.com was het allemaal akkoord en vertrouwde ze op me creditcard en zou booking.com het in orde maken. +/- 12 uur later kreeg ik idd de melding dat er geld was afgeschreven.

Ook een keer bij afhaal pizzeria, die bleef stug volhouden dat het aan mijn pas lag, hij stond toch vreemd te kijken toen ik met cash terug kwam van het tankstation waar het wel lukte.

computerjunky @MenN • 10 augustus 2018 14:22

tha dat is de hebberigheid van banken en bedrijven. ze vragen allemaal een payment fee en willen allemaal een graantje meepakken over de rug van derden in dit geval vaak de consument.
Al vind ik een prive apparaat wel een handig idee zodat anderen makkelijk bij mij kunnen pinnen.]Tot voorkort waren deze apparaten alleen met dure contracten voor bedrijven te verkrijgen.

iAR @MenN • 10 augustus 2018 15:08

Niet alleen dat, je hebt ook nog van die irritante apparaten die de hele (!) transactie opnieuw moeten doen als weer eens (soms ook willekeurig) de contactloze transactie niet werkt.
En laatst stond ik ergens met mijn vpay pas: ja, die werkt hier niet.

Ik begrijp niet waarom betaalsystemen niet uniform werken. Zeker Duitsland maakt er een potje van.

MenN @iAR • 10 augustus 2018 16:01

In duitsland heb ik vaker gezien dat zelf met dezelfde kaart het bij winkels verschillend werkt. Dan wel een handtekening zetten dan niet. Zelfs gezien dat een pincode niet gevraagd werd, alleen de handtekening.

Tis echt een ouderwets allegaartje daar in het oosten.

Bench @MenN • 10 augustus 2018 18:49

Komt omdat bedrijven een eigen keuzen hebben in wat voor pinautomaat Ze willen (en dat zijn er nogal wat) en waar ze hem aanschaffen of huren.
Ik blijf liever bij de bank omdat die bij problemen aan de deur komen om het te verhelpen zo snel mogelijk.
Heb ook een izettle (met sim en WiFi) maar als daar iets mis mee is.. En dat is werkelijk heel vaak.. Dan moet je hem opsturen en zit je dagenlang zonder.

My-life 10 augustus 2018 08:28

Kunnen providers afdwingen dat oude firmware niet meer gebruikt kan worden? Als deze apparaten handmatig moeten worden update kun je als klant niet weten of er veilige firmware op geïnstalleerd staat.

sapphire @My-life • 10 augustus 2018 08:54

Ik mag hopen dat klanten hier wel bericht over krijgen?

Op werk gebruiken wij een iZettle, ideaal trouwens zoiets, maar ga even bellen met de vraag of we al bericht hebben gehad ( account staat op naam van de financiële afdeling).

My-life @sapphire • 10 augustus 2018 10:44

Met klanten bedoel ik hier degene die per PIN betaald.
Oude firmware zou onbruikbaar gemaakt moeten worden.

celshof @My-life • 10 augustus 2018 09:04

Dat zou wel moeten. Als het gaat om C-TAP hosts en terminals, dan kunnen die dat zeker weten afdwingen. Echter, zelfs als je het kan afdwingen, moet de organisatie het wel doen en er kunnen politieke of financiele redenen zijn om toch nog even niets te doen (net zoals in elke andere tak dus)

jongetje

10 augustus 2018 08:30

Met mijn Nederlandse pinpas en creditcard kan ik al niet meer met de magneetstrip betalen. Ik zie op de pinterminals de winkels al minder msgnrrtstrip lexrrs zitten. De enige plek waar ik met de magneetstrip betaal is met mijn tankpas bij de pomp. Op die pas zit geen chip.

bytemaster460 @jongetje • 10 augustus 2018 09:17

Zover ik weet is die magneetstrip in Nederland al zeker vijf jaar niet meer in gebruik. Vanaf een bepaalde datum hebben winkeliers de magneetstriplezer op hun apparaat onbruikbaar gemaakt.

https://www.dven.nl/dven/...hip-vervangt-magneetstrip

[Reactie gewijzigd door bytemaster460 op 25 juli 2024 15:50]

scsirob @bytemaster460 • 10 augustus 2018 15:49

Mijn tankpas (waar toch telkens betalingen van pak-em-beet €100 mee gedaan worden) die heeft alleen een magneetstrip.

guysp @jongetje • 10 augustus 2018 10:18

Yup, zelfde hier. Gek dat een tankpas ook nog niet op de chip over is.

Binnetie 10 augustus 2018 14:45

Ik had vorige week ook nog bij een mobiele pinbetaling dat ik 2x kreeg 'mislukt' toen ik een andere pas wilde pakken zag ik op mijn telefoon dat ze wel beide keren waren afgeschreven. Ik kreeg toen het geld contant mee van die keer dat ik teveel betaalde.

's Avonds zag ik eens dat er ook een betaling was teruggestort van hun. Dus gratis drankjes en lunch gehad. De volgende dag gebeld, voor hun was het een administratieve rompslomp dus ik mocht het lekker laten zitten

Op dit item kan niet meer gereageerd worden.

Onderzoek wijst op gebreken in verschillende mobiele pinapparaten

Lees meer

Reacties (74)

Sorteer op:

Weergave: