Criminelen konden via Mastercard geld van tweakers stelen door kwetsbaarheid

De recente ongeautoriseerde afschrijvingen van rekeningen van bunq-klanten waren volgens de bank mogelijk door een kwetsbaarheid bij Mastercard. De betalingsverwerker geeft zelf geen details over de cyberaanval, maar erkent dat dit een 'bekende tactiek' van fraudeurs is.

Het probleem van ongeautoriseerde afschrijvingen werd volgens bunq veroorzaakt door een kwetsbaarheid in het tokenizationsysteem van Mastercard. Dit systeem moet ervoor zorgen dat creditkaartnummers bij onlinetransacties worden vervangen door een code als 'token' voor de specifieke transactie.

Door middel van een bruteforceaanval op dit systeem voerden criminelen grote hoeveelheden willekeurige creditkaartgegevens in, ofwel combinaties van creditkaartnummers en verloopdata. De kwetsbaarheid maakte het volgens bunq voor de criminelen mogelijk om de juiste combinaties van creditkaartnummers en verloopdata te verifiëren. Dat gebeurde via een 'wereldwijd actief online retailplatform'.

De criminelen zouden vervolgens geprobeerd hebben om via een zakelijk account voor PayPal aankopen met een 'lage waarde' te doen, zodat er geen kaartverificatiecode nodig was. De bank meldt dat dit gebeurde vanuit regio's waar het 3DS-protocol niet verplicht is. Dit is een extra beveiligingsprotocol voor creditcards waarmee bijvoorbeeld de eigenaar van een creditkaart nogmaals geverifieerd kan worden door middel van een eenmalige verificatiecode.

Mastercard bunqReactie Mastercard

Volgens een woordvoerder van bunq is de technische informatie over de cyberaanval in samenspraak met Mastercard geformuleerd. Tweakers heeft het statement ook aan Mastercard voorgelegd en heeft daar geen inhoudelijke reactie op gekregen. Het bedrijf heeft ook geen verbeteringen gesuggereerd. Wel heeft de betalingsverwerker een eigen statement gestuurd. In een reactie schrijft het bedrijf dat 'cardtestingaanvallen of BIN-aanvallen bekende tactieken van fraudeurs zijn'.

Mastercard claimt dat er meerdere beveiligingslagen zijn om ongebruikelijke activiteit op te merken. "Fraudeurs passen de methoden echter constant aan", aldus het bedrijf. Gedupeerden zijn verzekerd tegen financiële schade, maar Mastercard laat in het midden of er daadwerkelijk fraude heeft plaatsgevonden.

Zorgen van tweakers

Tweakers schreef gisteren over de meldingen van verschillende tweakers, die op het forum zeiden slachtoffer te zijn van financiële fraude. Een bunq-woordvoerder liet toen al doorschemeren dat het niet om een datalek bij de Nederlandse bank ging, maar om een probleem bij een externe betalingsverwerker. Vanwege het responsible disclosure-principe konden er toen nog geen aanvullende details gedeeld worden. Intussen is Mastercard volgens bunq op de hoogte van de kwetsbaarheid en wordt er aan een oplossing gewerkt.

Het is echter nog steeds niet duidelijk waarom er alleen ongeautoriseerde afschrijvingen bij bunq-klanten lijken te hebben plaatsgevonden. Volgens een woordvoerder gebeurde het ook bij andere banken, wat op basis van een kwetsbaarheid bij Mastercard logisch zou zijn. Tot dusver heeft Tweakers echter geen indicatie dat dit ook daadwerkelijk bij andere banken heeft plaatsgevonden. Mastercard reageerde niet op vragen over de mogelijke wereldwijde aard van het probleem en of ook klanten van andere banken getroffen waren.

Door Yannick Spinner

Redacteur

20-08-2025 • 17:15

61

Reacties (61)

Sorteer op:

Weergave:

Hopelijk komen ze een keer met een optie om bij iedere afschrijving verificatie via de app te verplichten.
Dat bestaat al. Dat is het 3DS protocol uit het artikel. Als ik online iets koop met mijn kredietkaart of bankkaart moet ik dat bevestigen via de app, en dan heb ik de keuze tussen bevestigen met itsme (een overheidsplatform), mijn bank app, of een fysieke kaartlezer.


het probleem is echter dat dit te omzeilen valt in sommige gevallen. Bijvoorbeeld: als je een abonnement afsluit bij een dienst wordt de 3DS procedure uitgevoerd bij het afsluiten van het abonnement, niet bij elke betaling. Sommige winkels maken daar handig gebruik van om betalingen buiten dat abonnement om te registreren als waren ze van het abonnement.

En zoals ze in het artikel gezegd hebben: 3DS is nog niet overal verplicht, en criminelen kunnen dankzij internetverkoop makkelijk eender waar aankopen.
Als ik online iets koop met mijn kredietkaart of bankkaart moet ik dat bevestigen via de app
Dat klopt toch niet helemaal. Bij verschillende transacties gebeurt het (ongevraagd) dat ik niet hoef te bevestigen met de app van Mastercard.

Wanneer ik bijv. iets verstuur via Post.nl wordt het verschuldigde bedrag van mijn creditcard afgeschreven zonder dat ik toestemming moet bevestigen via de app.
3DS is niet alleen die extra authenticatiefactor. 3DS is een volledig risk assessment algoritme waarmee handelaars kunnen inschatten of een betaling een abnormaal risico op fraude heeft. Ze kunnen zelf bepalen wanneer een transactie abnormaal is, bijvoorbeeld op basis van de frequentie, het bedrag, de locatie, de datum, de munteenheid enzovoort. Als de handelaar inschat dat de transactie een laag risico van fraude inhoudt, mogen ze die accepteren zonder dat de klant de betaling moet bevestigen.
Ik zie niet hoe het volledig is als het zo zwak is dat het voor heel veel frauduleuze transacties het geen enkele verificatie bij de eigenaar van de rekening doet. Het lijkt zelfs bij veel afwijkende activiteiten geen controle te doen en transacties gemakshalve maar door te laten gaan. Je hebt als gebruiker niets aan een dienstverlening die er zou zijn om je rekening veilig te houden en ondertussen gemaakt lijkt te zijn om slechts selectief bij een eigenaar te controlen of die wel een transactie wil doen. Dat is nmm schijnveiligheid. En aangezien ze ook op geen enkele manier openlijk toegeven dat het niet de bedoeling is om alle frauduleuze transacties te controleren is dit als een bank waar de bediening opzettelijk weg kijkt als een crimineel geld probeert te stelen.
Ik krijg de laatste tijd vaker 2 pogingen op de creditcard, de eerste is dan niet geautoriseerd, dan doen ze nogmaals een poging die zonder mijn tussenkomst wordt geaccepteerd. Bij een shop waar ik vaker koop. Als ik mijn betaalopties uit mijn profiel haal en opnieuw invoer, moet ik wel bevestigen in de app.
Ja. Dat werkt echt fantastisch zoals we hier kunnen zien.

Nee doe mij dan maar gewoon altijd 2FA.
De handelaar die het risico inschat? Dus de handelaar schat in dat het risico op fraude (waarbij hij zijn geld niet krijgt) klein is, en vraagt geen extra verificatie.

Maar een malafide handelaar zal dit risico ook als laag inschatten, want de opgelichte gebruikers die hun geld niet terugvragen via de omslachtige procedure bij Mastercard zijn nog steeds gratis inkomsten voor hem.

Topsysteem :+
Mastercard stelt verschillende vormen van extra beveiliging aan te bieden. Zo hebben ze een "SecureCode™, of een Identity Check™. Alleen zijn ze heel onduidelijk of dat standard actief is. En ook is onduidelijk wanneer dit wel en geen bescherming geeft.

Zoals ik hun beweringen lees verkoopt Mastercard vooral een hoop beveiligingmarketing die alleen bedoeld is om de mooie kant te tonen. Maar ondertussen verzwijgen ze opzettelijke gebreken zoals bewust niet afdwingen van deze beveiliging. Met gepeperde rekeningen en verloren tijd om het recht te zetten tot gevolg. Wat ze kennelijk ook niet verder willen compenseren dan de schade op papier. Het lijkt me niet dat dit is hoe een financiële instelling een licentie mag hebben.
Nou dat helpt ook niet altijd. Ik heb meegemaakt dat ik een hotelkamer geboekt had bij een site die onder de prijs van booking.com zat. Pas bij het bevestigen in de app zag je ineens een vele hogere prijs. Niet bevestigd dus, maar desondanks werd het bedrag gewoon op mijn CC afgeschreven. Zo raar dat dat kan, wat heeft die verificatie dan nog voor zin?

(Gelukkig na 6 dagen eindeloos mailen met de site en het hotel wel kunnen cancellen en een refund gekregen, dus niet eens bij Mastercard een dispute aan hoeven maken, maar toch…)
Daarom schreef ik ook `bij iedere afschrijving`, juist om dit soort gezeik te voorkomen. En als ze het alsnog afschrijven als je het canceled lijkt mij dat een beveiliging bug in de app van de bank.

[Reactie gewijzigd door Kriekel op 21 augustus 2025 10:02]

Ja precies. Maar het lijkt erop dat er nu dus eigenlijk niets met die verificatie in de app van de bank gebeurd. Of in ieder geval in dit specifieke geval niet. Ik snap niet zo goed dat dat kan.
"Gedupeerden zijn verzekerd tegen financiële schade, maar Mastercard laat in het midden of er daadwerkelijk fraude heeft plaatsgevonden."

Maar valt cyberaanvallen op verzekering neer? In het grote plaatje voor bedrijven kunnen ze boetes en noem maar op neerleggen bij de hackers/fraudeurs. Maar klanten die hier daadwerkelijk wat gevoeld van hebben krijgen intussen niks.
Als ik het goed heb werkt 'verzekeren' op zo'n manier, dat als jij kunt aantonen dat jij die betaling niet hebt gedaan dat ze dan de kosten vergoeden. Beetje zoals dat ook gaat als je kaart gescammed zou worden, wat eigenlijk ook het geval is.
Ik ben wel benieuwd hoe je aan moet tonen dat je een betaling niet hebt gedaan.
Als jij in NL zit en er een aankoop is gedaan in Mexico in een fysieke winkel. Tuurlijk kun je dat allemaal faken, etc. Maar goed, als jij die aankoop echt niet hebt gedaan dan zijn er vast wel manieren om dat aan te tonen. Neem aan dat aan de andere kant de CC maatschappij ook met overtuigende info zou moeten komen om aan te tonen dat jij die aankoop wel hebt gedaan, als jij die betaling dus betwist.
Tijdje terug nog een aankoop gedaan bij Dockers in België. Kreeg na betaling van de bestelling geen ordernummer en geen email bevestiging. Alsof ik niets besteld had. Heb dus ook niets ontvangen maar had dus wel betaald met mijn Mastercard.

Via de helpdesk van Dockers kwam ik niet ver, die konden niet uitvinden wat er misgegaan was en op een gegeven moment wilde ze afschriften van mij hebben.

Heb toen ICS ingeschakeld, die gaven mij groot gelijk om geen afschriften te delen. Binnen twee weken had ik mijn geld terug.

Het is inderdaad de andere kant die met bewijs moet komen. Jij als klant hoeft niets aan te tonen, Mastercard kan zelf wel zien dat je betaald hebt.
Via de helpdesk van Dockers kwam ik niet ver, die konden niet uitvinden wat er misgegaan was en op een gegeven moment wilde ze afschriften van mij hebben.

Heb toen ICS ingeschakeld, die gaven mij groot gelijk om geen afschriften te delen.
Nou. Ik vind een afschrift delen helemaal niet zo gek. Dat is het enige waar het bedrijf eventuele kenmerken uit kan halen waarmee het kan gaan kijken wat er is gebeurd en of de betaling ook is binnengekomen. Hoe moet het anders in haar systemen gaan uitvinden welke betaling het is geweest en aan welke bestelling dat gekoppeld zou moeten zijn?

De enige manier is met een betaalkenmerk en de enige plek waar die te vinden is, is in het afschrift.

die vind ik op zich nog niet zo raar. Jij beweert een bestelling gedaan te hebben, maar wat moet je als bedrijf dan als jij geen bevestiging hebt van het systeem? Dan is de enige manier om met het betaalkenmerk te gaan kijken of je een transactie kunt vinden en zo ja om die te koppelen met de bestelling (die mogelijk op een verkeerd e-mailadres staat) of om een refund te doen.
yes, als het een legitieme aankoop door jouw is wel betaalspecificatie delen met verkoper, zo heb ik uiteindelijk een order van audio-technica dit jaar alsnog zonder morren uitgeleverd gekregen omdat er na het doen van de mastercard betaling op hun site ergens een storing in het proces optrad bij mijn kant of hun kant idk, waardoor iig de voltooide betaling niet verder gekoppeld was in hun order systeem noch aan mijn account. het delen van die transactie pdf die de rabo app kan genereren per transactie was voor hun voldoende om de inmiddels al enige dagen reeds voltooide betaling en order aan mijn account te koppelen en minder dan 48u later had ik alsnog mijn nieuwe platenspeler binnen.
Precies. Ik vind het een beetje een overtrokken reactie van ICS om dat gelijk af te raden. Het ius namelijk de enige manier voor een winkelier die wel goede bedoelingen heeft en je gewoon wil helpen om je ook daadwerkelijk te helpen.

Ik krijg overigens zoveel scams op naam van ICS op mijn mail dat ik nooit en te nimmer een kaart daar meer ga afnemen. Nu weet ik namelijk direct dat die e-mails de prullenbak in kunnen (en dus ook zo ingesteld met rules).
Natuurlijk is dat niet de manier, het is precies andersom. De winkelier heeft een betaling ontvangen via zijn betaalsysteem maar geen order geleverd. Beide staan gewoon in de administratie van de winkelier.

Waarom zou ik als klant moeten aantonen dat ik echt betaald hebt terwijl de betaling gewoon bestaat en dus zeer eenvoudig door ICS teruggedraaid kan worden? Want dat is precies wat er gebeurt, de winkelier kan niet aantonen dat er een order geleverd is, dus wordt de betaling teruggedraaid.

Scam krijg je op naam van alle banken. Inclusief al die banken en creditcard bedrijven waar je geen rekening hebt. En de belasting dienst, CJIB. Gisteren nog een SMS van 'Odido' gehad, nu betalen of ik wordt afgesloten. Notabene op mijn telefoonnummer van een ander telecom bedrijf.
De winkelier heeft een betaling ontvangen via zijn betaalsysteem maar geen order geleverd. Beide staan gewoon in de administratie van de winkelier
Natuurlijk is dat niet de manier, het is precies andersom.
Het gaat hier helemaal niet om “bewijs” dat jij betaald hebt, het gaat om, wag heb je dan betaald. Als jij gewoon het betaalkenmerk in de omschrijving kunt geven (wat het makkelijkste gaat als je gewoon een transactieafschrift deelt) dan kan de winkelier het direct opzoeken. Niet ieder betaalsysteem laat je zoeken op naam en zeker als je een paar duizend transacties per dag verwerkt is ook een tijd nogal nietszeggend.
Waarom zou ik als klant moeten aantonen dat ik echt betaald hebt terwijl de betaling gewoon bestaat
Dat is niet het punt van het delen van het afschrift. Het afschrift heeft alle metadata waar eventueel op gefilterd kan worden.

Maar goed maakt niet uit. Je hebt de betaling toch al teruggedraaid.
Een afschrift staan zaken op als begin saldo, eindsaldo en betalingen aan derden. Die ga ik niet delen met een bedrijf.

Is overigens ook nergens voor nodig, ICS geeft je ook een betaal kenmerk, een nummer waarmee men de betaling op kan zoeken.

Maar ik had de betaal datum/tijdstip en naam op de creditcard al gedeeld met de helpdesk van Dockers. Dat is meer dan genoeg om te zien dat ik betaald heb. Ze hebben zelf ook hun afschriften. Daar sta ik gewoon op, met mijn naam en datum/tijd van betalen.

En nee, ik snap dat je graag de winkel wilt verdedigen maar een verkeerd email adres zou nimmer de levering mogen stoppen. Of ga je nu uit van een verkeerd email adres en een verkeerd fysiek afleveradres? Je maakt er wat leuks van.
Een afschrift staan zaken op als begin saldo, eindsaldo en betalingen aan derden. Die ga ik niet delen met een bedrijf.
Welnee, het gaat gewoon om het afschrift van de transactie, niet je maandoverzicht.
Is overigens ook nergens voor nodig, ICS geeft je ook een betaal kenmerk, een nummer waarmee men de betaling op kan zoeken.

Maar ik had de betaal datum/tijdstip en naam op de creditcard al gedeeld met de helpdesk van Dockers.
Er is een grote kans dat de helpdesk dat helemaal niet eens kan zien, dat ligt er aan hoe het bedrijf hun betalingensysteem heeft ingericht, dockers is een groot bedrijf dus ik ga ervan uit dat ze dat goed hebben gedaan, maar niet iedereen kan alle informatie zien, zelfs niet naamgegevens, betalingskenmerken vaak wel.
maar een verkeerd email adres zou nimmer de levering mogen stoppen.
Een verkeerd e-mailadres wat niet bestaat kan in het ordersysteem gewoon een foutsituatie opleveren waardoor het hele proces gewoon niet verder gaat. Ja dan is er jiet goed getest, maar aan de andere kant, wie voert er tegenwoordig nog met de hand een e-mailadres in?
Je kwam met het idee van een foutief email adres, ik niet. Ik heb gewoon alle gegevens correct ingevuld en daarna via hun betaalpagina betaald.

Het is heel eenvoudig, een bedrijf accepteert een order, het gehele bestel proces wordt doorlopen en eindigt met een betaling. De betaling wordt correct uitgevoerd en vervolgens levert het bedrijf niet.

Waarom zou ik dan als consument door allerlei hoepeltjes moeten springen om mijn geld terug te krijgen?

Het probleem is aangemeld bij hun helpdesk en als die er niet uitkomen, dan ben ik heel blij dat ik met Mastercard betaald hebt en niet via iDeal. Want bij Mastercard krijg je gewoon zonder problemen je geld terug. Zij vragen de verkopende partij om bewijs van levering aan te leveren en niet de consument.
Waarom zou ik dan als consument door allerlei hoepeltjes moeten springen om mijn geld terug te krijgen?
Allerlei hoepeltjes? Het is gewoon wat gegevens aanleveren zodat zij je betaling en bestelling kunnen vinden. Dat is toch niet allerlei hoepeltjes? Zij willen gewoon leveren uiteindelijk. Dat jij er allerlei "hoepeltjes" bij bedenkt dat is aan jou.
Want bij Mastercard krijg je gewoon zonder problemen je geld terug. Zij vragen de verkopende partij om bewijs van levering aan te leveren
Heb je ze de kans gegeven om de fout überhaupt recht te zetten, want van wat ik hier nou hoor lijkt dat er niet op.
Wow, wat een sterk staaltje 'victim blaming'. Zo zie je ze niet vaak meer.

Ik plaats een order voor een broek bij Dockers. Vul alle gegevens keurig in, doorloop alle bestel stappen en betaal mijn bestelling per creditcard. In de app zie ik dat de betaling gereserveerd is en een aantal dagen later definitief afgeschreven is.

Maar een week later heb ik nog niks ontvangen, ik neem contact op met de Dockers helpdesk. Ik geef ze mijn NAWL, de gegevens (naam, maatvoering, kleur) van de broek die ik heb bestelt en het betaalde bedrag per creditcard inclusief mijn exacte naam op de creditcard plus de datum en het tijdstip van de betaling.

Meer heeft Dockers niet nodig om of mij alsnog de broek te leveren of de betaling terug te draaien. Maar in plaats daarvan vragen ze om een 'bank statement'. Dat is het punt dat ik afgehaakt ben en dus bij Mastercard (ICS) mijn geld teruggevraagd heb en binnen twee weken daadwerkelijk ontvangen hebt.

En dat is dus de kracht van Mastercard(ICS), daarom kan je ze als consument vertrouwen, ze halen je geld terug als er niet geleverd wordt.
Wow, wat een sterk staaltje 'victim blaming'. Zo zie je ze niet vaak meer.
Dat is geen vicitim blaming. hoe kom je daar nou weer bij?
Meer heeft Dockers niet nodig
Vind jij.

Je hebt ze tot op heden alles gegeven behalve een betalingskenmerk. Iets wat jouw transactie daadwerkelijk kan koppelen aan een order. Dat zij daar om vragen (omdat het simpelweg waarschijnlijk gewoon 10 keer eenvoudiger is) is toch helemaal niet gek? Dat jij ze vervolgens allerlei info hebt aangeleverd die voor hun juist helemaal niet relevant is (zoals de gegevens van de broek) en ze mogelijk de helft niet eens van kunnen zien is dan toch niet relevant?

Dat jij uiteindelijk denkt ja nee lama zitten, moet je zelf weten, maar het is echt niet raar dat een winkel vraagt om een afschrift van de betaling zodat ze de kenmerken gewoon overzichtelijk hebben en je verder kunnen helpen. Heeft niks met "bewijs" of "controle" te maken, maar dat een betalingskenmerk gewoon veel handiger is om in systemen te gaan zoeken.
ze halen je geld terug als er niet geleverd wordt.
Ja daar betaal je ook gewoon voor. Dat zit bij iedere CC in. Niet eens specifiek Mastercard, Visa hetzelfde, Amex ook.
Het is een creditcard betaling, die heeft een datum/tijd, omschrijving, valuta, land en creditcard nummer.

Precies wat ik al aangeleverd had. En nee, ze vroegen niet om een betalingskenmerk want die heb je helemaal niet in het overzicht van je creditcard. U verzint die ter plekke om Dockers vrij te pleiten en naar mij als consument te kunnen wijzen. Dat is wat we 'victim blaiming' noemen.

Ze vroegen daarna expliciet om een 'bank statement'. Dat is bij een creditcard de PDF met het maand overzicht waar al je betalingen van die maand plus je begin en eind saldo op staan. Ook daar staan geen betaalkenmerken op.

U blijft het proberen op te nemen voor de verkoper maar helaas, Dockers zat fout. Niet leveren, wel de betaling incasseren en daarna niet de boel netjes regelen terwijl ze alle gegevens al hadden om het netjes op te lossen.

Maar gelukkig had ik dus betaald per creditcard, en die regelen het gewoon dus wel.
Het is een creditcard betaling, die heeft een datum/tijd, omschrijving, valuta, land en creditcard nummer.
En nee, ze vroegen niet om een betalingskenmerk want die heb je helemaal niet in het overzicht van je creditcard. U verzint die ter plekke om Dockers vrij te pleiten
Mijn creditcards hebben dat allemaal wel gewoon hoor. Dat is dan een beperking van ICS zelf. Het is gebruikelijk om wel gewoon per transactie een overzicht te kunnen hebben. Daarvoor kun je ISO 8583 private fields van Visa/Mastercard gebruiken maar ook andere PSP referenties. Dat ICS ervoor kiest om die actief te negeren is dan jammer, maar dat verklaart dan wel je reactie.
Ze vroegen daarna expliciet om een 'bank statement'. Dat is bij een creditcard de PDF met het maand overzicht waar al je betalingen van die maand plus je begin en eind saldo op staan. Ook daar staan geen betaalkenmerken op.
Dat is bij een creditcard ICS
Ik kan met mijn creditcards gewoon een losse PDF genereren per transactie met daarop alleen de details van die transactie. Dat is dan ook gewoon een 'bank statement' zoals dat normaliter gebruikelijk is. Ik heb meerdere kaarten bij verschillende banken en allemaal kunnen ze per transactie een overzichtje maken. Alleen bij Openbank staat er gewoon heel weinig informatie op, maar ook daar staat er wel gewoon een omschrijving op als dat is meegegeven vanuit de betaalprovider.

Ik zit hier even naar een refund te kijken op mijn Revolut kaart en daar staat gewoon de referentie van buckaroo in.

Niemand behalve je hypotheekverstrekker, gaat om een historische uitdraai vragen van de afgelopen maand, dat zou inderdaad heel raar zijn.

Dan is er denk ik gewoon een miscommunicatie tussen wat Dockers verwacht van een "bank statement" (dat is namelijk niet het maand overzicht) en wat ICS dus aan informatie negeert. Ik was in de veronderstelling dat ICS wel een fatsoenlijk hoeveelheid data aan zou leveren zodat je ook kunt bepalen of een transactie valide is, maar als zij dus verder geen PSP data gebruiken wordt dat ook wel lastig.

Het is normaliter wel gebruikelijk om de "transaction descriptor" uit te lezen (betaalreferentie zoals je die ook met een overboeking in zou vullen). als ICS dat niet doet zijn ze wat mij betreft ook niet zo slim bezig.

Maar goed. Het is dus een verschil in wat jouw provider aan jouw toont in de app en wat men verwacht vanuit de winkel, dat is jammer dan ja.
Een 'bank statement' noemen we in het Nederlands een rekening overzicht. Die kreeg je vroeger maandelijks met de post thuisgestuurd. Tegenwoordig krijg je ze als PDF in de app. ICS levert dus elke maand een rekening overzicht aan als PDF.

Doet er verder niets aan af dat Dockers gewoon genoeg informatie had om mijn betaling in hun systemen terug te vinden. Net zoals ze ook konden zien dat er niets naar mij verzonden was.

Overigens kiest de verkoper wat er in de omschrijving komt te staan. In het geval van Dockers zetten ze er 'Men's and Boy's Clothing in'.
Een 'bank statement' noemen we in het Nederlands een rekening overzicht. Die kreeg je vroeger maandelijks met de post thuisgestuurd. Tegenwoordig krijg je ze als PDF in de app. ICS levert dus elke maand een rekening overzicht aan als PDF.
En de wereld van Fintech is ondertussen al weer verder. Een bank statement wat gevraagd wordt zal nooit terugslaan op een maand overzicht. Dat is echt raar om te vragen natuurlijk. Maar ff serieus, een PDF statement per maand? Welk jaar is het?
Overigens kiest de verkoper wat er in de omschrijving komt te staan. In het geval van Dockers zetten ze er 'Men's and Boy's Clothing in'.
Nee. Dat is niet de omschrijving maar de begunstigde. Echt waar ICS laat al je informatie die Dockers zou willen zien weg van jouw "statement" en toont je dat gewoonweg niet. Je kunt het via de klantenservice kennelijk wel vragen want ze hebben het wel (en bewaren het ook gewoon).

Ik heb even onderzocht, maar dockers gebruikt shopify met het stripe betaalmiddel. In dat geval is er bij de betaling het volgende het geval:

Shopify levert altijd een aantal identifiers mee,
  1. Shopify Order Number: bv. #1234 of DCK-12345 (format verschilt per shopinstelling).
  2. Shopify Order ID (intern): numeriek/guid-achtig, niet publiek, maar in het merchantsysteem aanwezig.
  3. Checkout/Cart token (Shopify intern): technisch, soms in logs.
Dan heb je Stripe als PSP die de volgende zaken levert:
  1. Stripe Payment Intent ID: pi_XXXXXXXX
  2. Stripe Charge ID: ch_XXXXXXXX (feitelijke “debitering” op de kaart)
  3. Stripe Balance Transaction ID: txn_XXXXXXXX (administratieve mutatie)
  4. (optioneel) metadata: vaak order_id, shopify_order_number, etc. (merchant ziet dit in Stripe)
en dan heb je op acquirer kant
  1. Autorisatiecode (6-cijferig/alfa-num): uitgegeven bij de authorisatie.
  2. ARN (Acquirer Reference Number): settlement-referentie waarmee de issuer/acquirer een transactie uniek kan vinden.
  3. RRN/Network Transaction ID (scheme-specifiek): minder vaak aan de kaarthouder getoond, wel bij PSP/banken bekend.
In de praktijk kan Dockers je betaling op drie manieren terugvinden: Shopify ordernummer, Stripe (pi_/ch_), of via ARN.

Gaan we dan even kijken wat ICS jou niet laat zien, maar wat zij wel aangeleverd krijgen:
  1. ARN (Acquirer Reference Number)
  2. Autorisatiecode
  3. Stripe IDs: pi_…, ch_…, txn_…
  4. Merchant interne order-ID (Shopify Order ID, niet het publieksnummer) ❌
  5. Terminal/MID/TID, entry mode, 3-D Secure details (ECI/CAVV), scheme reference ID
  6. Volledige wisselkoersberekening per regel (soms alleen totaalresultaat) ❌
Tsja dan snap ik wel dat jij verwart raakt over de vraag van Dockers. Als ICS je al deze data niet laat zien, hoe kun je daar dan wat mee?

Als jij alleen 'Men's and Boy's Clothing' ziet dan gebruikt ICS ook nog eens niet de statement descriptor. de enige reden om dat te doen is om jou minder informatie te geven. Normaliter staat namelijk de verwerkende partij (in die geval STRIPE) namelijk in de descriptor. Dit is een conventie in het visa/mastercard netwerk wat jij zo geweldig vind, maar ICS haalt dat dus actief weg.

Ik zou op mijn afschrift in ieder geval dan zien 'SHOP PAY * Dockers' of misschien 'SHOP PAY '* Levi Strauss' als naam van de begunstigde. Dit is expliciet gedaan voor fraudepreventie.

Wat jij nu ziet op je statement is waarschijnlijk de merchant category code (code 5611) .
Overigens kiest de verkoper wat er in de omschrijving komt te staan.
Dat is deels correct, want daar zijn gewoon formats over afgesproken in de keten, maar wat ik wel weet na aanleiding van deze informatie is dat ICS je die informatie helemaal niet laat zien.

Dus dan snap ik ook waarom jouw "bank statement" zoveel verschilt van die van mij en waarom je dus de transactie hebt moeten betwisten. Normaliter levert Dockers namelijk gewoon een ordernummer (Shopify order ID)

Je ziet niet eens de merchant naam. Handig dan zo'n PDF..... not.

Geen merchant namen, geen PSP IDs, geen ARNs, geen orderreferenties.
Hoe moet je daar nou kaas van maken dan?
Sowieso geldt natuurlijk ook dat als er een order nummer beschikbaar zou zijn, er ook een order aangemaakt zou moeten zijn. Die order kan je natuurlijk ook gewoon op naam van de besteller terug vinden.

Het is en blijft raar dat Dockers wel tot de betaalpagina komt en een betaling accepteert terwijl de order mysterieus in hun systeem verdwenen is.

Dus nee, ik zoek de schuld niet bij ICS maar bij Dockers.
Het gaat ook niet om schuld, Maar ik vind het wel raar wat ICS doet. Zo’n PDF kun je dan helemaal niks mee, want anders dan een tijd en en een bedrag is er niet. Bestel je iets bij de heren afdeling van de hema of Zalando lounge op diezelfde dag, krijg je dezelfde omschrijving te zien. Want zelfde merchant code. Heb je dus helemaal niks aan zo.

Vandaar dat ik het raar vond dat je over een maand overzicht begon. Normale creditcard leveranciers geven je veel meer details over de betaling, zoals een order nummer wat dan gewoon in het shopify backend terug te vinden is.
Die order kan je natuurlijk ook gewoon op naam van de besteller terug vinden.
Dat is niet helemaal waar meer tegenwoordig. Ik gebruik vrijwel nooit mijn officiële naam meer met bestellingen. Dus die wijkt af van naam op de CC.

maar vooral raar dat ICS je dus al die gegevens niet geeft. Hoe moet je dan kunnen zien of je een transactie wel hebt gedaan als je niet eens de winkelnaam te zien krijgt?
Ik heb het over de NAWL gegevens die je invult om bestelling te laten bezorgen. Ook die gegevens had ik direct al geleverd aan de helpdesk van Dockers. Dus niet alleen de exacte CC naam.

De winkel naam krijg je wel te zien uiteraard. In dit geval was dat Dockers Online Shop Diegem BEL
Ik denk dat ik weet waar de miscommunicatie vandaan komt en waarom ze mogelijk wel degelijk vroegen om een bankafschrift cq bewijs van betaling.

Ik heb vandaag bij een familielid kunnen bevestigen dat ICS gewoon alle nuttige details weglaat van het overzicht en ook de individuele transacties niet echt nuttige info hebben. Zoals je zij, je hebt een PDF met het maandoverzicht, ook op de site heb je niet veel meer dan dat. Zo te zien heb je "shop naam", bedrag, en datum, verder niks, klopt dat?

Aangezien shopify en stripe altijd allerlei IDs meeleveren is het raar dat jij verder geen ordernummer hebt, ook al is die order mogelijk wel of niet doorgevoerd in het systeem, bij de betaling is het nummer al aangemaakt.

Dan vind ik het niet heel gek dat een klantenservice medewerker nog om extra verificatie vraagt NAW gegevens kun je overal vandaan hebben gehaald, maar een ordernummer kun je alleen hebben als je echt toegang hebt tot de betaling. als jij dan zegt, maar ik heb die niet. Dan is dat wel een enorme red flag, want je hoort hem wel te hebben (want bij andere creditcard providers kun je hem wel gewoon zien). Het feit dat ICS die data wel opvraagbaar heeft bij de klantenservice vind ik zelf echt bizar. Dan moet je dus iemand gaan zitten bellen die door jou betalingen gaat zitten wroeten om alsnog die data uit te lezen (die ze je ook gewoon in de app hadden kunnen tonen) die jij anders moet hebben.

Ik snap de verwarring van beide kanten. Dit is niet hoe het hoort. Excuses als het vervelend overkwam, maar ICS' manier van transacties tonen aan de klant is echt ondermaats. Hoe kun je met zo weinig gegevens nou zien of iets frauduleus is of niet? Ik kan niet eens een ordernummer terughalen.
Ik weet niet bij welke bank en of je dan het goede afschrift hebt. Maar bij ABN hebben ze echt alleen de data van de betaling die je selecteert niks meer niks minder. Anders zou je altijd natuurlijk alleen de nodige zaken kunnen overhandigen.
yes! precies wat ik al aangaf over de rabobank. je kan gewoon naar een individuele betaling gaan in je bankieren app en daar een export, kwitantie, overzicht etc van genereren met alle relevante details van alleen die betaling en verder niks meer erbij. dus geen saldo info of overige privé details. enkel wat relevant is voor de webshop/verkopende partij.
ICS doet dat niet. Vandaag ook met familie geverifieerd die daar zit. ICS laat alle nuttige data weg en je krijgt alleen een maandoverzicht. Echt kansloos als je het mij vraagt want ook de PSP naam en andere details worden gewoon weggelaten. Je kunt ze wel opvragen via de klantenservice. Anno 2025 echt absurd als je het mij vraagt.

Wij moesten even uitzoeken, wie in het gezin er een app had gekocht via de appstore, want er was voor 14 euro iets afgerekend. Het enige wat je ziet is 'APPLE.COM/BILL CORK IE' en het bedrag. Geen referenties niks, niet eens een tijd. Succes dan maar.

Dan snap ik wel dat @wiseger ook verder niks aan kan leveren.

Ik snap dan ook dat een winkel dan raar opkijkt als je zegt ook geen ordernummer te hebben. De winkel heeft dit namelijk wel gewoon in de betaling metadata zitten. ICS laat het je alleen niet zien.
wat betreft apple kun je echt niet ICS de schuld geven, Apple doet dit op deze manier wereldwijd bij iedereen die met kaart betaald ongeacht pas, bank of netwerk. Dat ze alleen 'apple.com/bill' bij iedere transactie doen. ik heb daar al eens over geklaagd bij apple, maar die klachten vallen altijd op dovemansoren...
Apple stuurt mij gewoon de rekening op normaliter dus dat is verder geen enkel probleem (en staat in centrale plek, maar ik kan daar niet bij want geen gezinshoofd).

Zelfs al hadden ze het wel gedaan, dan nog laat ICS het dus niet zien. Want die velden worden gewoon niet overgenomen.

Ik zou het dus niet weten bij Apple, want alleen ervaring met ICS daarbij, maar met Stripe en Shopify, die leveren die data gewoon aan. ICS heeft die data ook gewoon.
Je hoeft niets aan te tonen. Je hoeft de betaling alleen maar te betwisten. Gaat het om een niet geleverde bestelling, dan moet je ook je communicatie met je klacht naar de leverancier te overleggen.
Klopt. De partij waarvoor het geld is moet aantonen dat jij iets besteld / gekocht hebt.

Ik had keer spookafschtijving van computerwinkel in Australië. Betwist, nooit meer wat over gehoord.
In mijn persoonlijke ervaring is dat erg makkelijk. Ik kom wel eens in de US en heb al 2x gehad dat mijn cc gegevens zijn gejat daar. Ik hoefde alleen officieel te verklaren dat ik de uitgaven niet heb geautoriseerd en toen kreeg ik alles terug binnen een dag of wat.

[Reactie gewijzigd door Ircghost op 21 augustus 2025 07:58]

Ik heb wel eens hele andere ervaringen gehad met een autoverhuurmaatschappij in griekenland. Vandaar mijn vraag.
Het is eigenlijk niet normaal dat Mastercard zomaar kan beslissen om die zaak geheim te houden. Men geeft weliswaar een vergoeding gelijk met het verlies, maar er is meer schade dan dat veroorzaakt. Het vertrouwen van de klant is weg en men maakt het door deze houding alleen maar erger.

Zelf heb ik omdat het een bedrijf is uit de VS, gewoon mijn paypal-account dicht gedaan (ik boycot hen dus voor het herverkiezen van de oranje geschifte).

En ergens ben ik blij dat het ook beveiligingsverbeterend blijkt te zijn. Maar dat volstaat niet, dat maakt het artikel ook duidelijk.

Zoals de situatie nu bestaat met het bankieren, is mijn bankrekening veel te veel blootgesteld aan toegangen. Ik wil dat meer zelf in eigen hand nemen. Men duwt ons naar itsme in België (Belfius) - maar ik blijf werken met de kaartlezer en ik zou daar graag een MFA-token van mijzelf (op basis van FIDO2) aan toevoegen (geen token, geen verrichtingen). Onlangs zijn er nog een paar honderd gedupeerden geweest van fraude via Itsme. Dan pas zal ik bankieren via de smartphone. Niet eerder. En zeker niet via itsme alleen - dat is NIET voldoende beveiligd. QR-codes zijn nog enger/erger, daar zit NIKS van beveiliging onder. Dat is absoluut ongewenst in een betalingsketting.

Als we een analyse maken van de tools die de bank gebruikt om te bankieren via het internet (dan heb ik het niet over de Smartphone/tablet/ring...) - dan ga je ook verschieten. Het is ongelooflijk hoe negligent men is, en hoeveel data er gedeeld wordt. Niet alleen met Google maar vb. ook met adobe. Jawel. En de bank WEIGERT uit te leggen waarom!

Biometrie is geloven in de electronische geilige heest - iets dat zichtbaar of waarneembaar is, is geen betrouwbare beveiligingstool. Dat zou bij wet verboden moeten zijn dat aan te wenden ter beveiliging.

Waarom laten banken ons niet gradueel onze rekeningen beveiigen. Door vb. gebruik van Apple pay, google pay, paypal e.v.a. brokers gewoon uit te schakelen. Geen verrichtingen via die toch wel dure betaalopties (u betaalt dat indirect altijd mee)!
Het gaat hier over interbancaire diensten. Niet over een consumenten dienst.

Ik begrijp uw nieuwsgierigheid maar het gaat u verder niets aan. Het is een zaak tussen Mastercard en Bunq en die regelen het onderling.

De klant verliest zijn vertrouwen niet, omdat de schade volledig vergoed wordt door Mastercard aan Bunq. Die op haar beurt hun klant schadeloos stelt. Zij accepteren de volledige verantwoordelijkheid indien criminelen ergens weer een slimmigheidje vinden.
Zou dit dan ook gewoon bij alle andere banken kunnen of is er toch iets specifiek bij Bunq aan de hand?
Bunq is verschillende keren in het nieuws geweest voor een tekort aan controle van fraudeleuze afschrijvingen en schijnbaar gebeurt het grootste deel van de helpdesk fraude via bunq bank. Ziet ernaar uit dat deze aanvallers bunq hebben gekozen, omdat die minder snel een betaling als verdacht kenmerkt
Ik weet niet of dit alleen mastercard is, maar ik heb al vaker gehad dat er een ander bedrag van mijn rekening ging dan wat op de website (check-out) stond. Laatst iets gekocht voor 119 dollar en 300 dollar van mijn account (was ook een mastercard). Dat moet toch niet kunnen?

Wat ook vervelend is. Ik heb een ICS creditcard en die kan je in het weekend in de avond niet ‘opladen’. Dus zie je goedkope tickets om 22.00 in het weekend en ze zijn hoger dan je limiet? Dan kan je geld storten, maar je kan het niet gebruiken.

Ik wil niet al te veel zeuren op de payment providers, want zeker digitaal en online betalen levert mij heel veel gemak op. Maar de veiligheid en anonimiteit is echt wel een ding.
Goh, komt dat ff mooi uit van bunq, dit soort brute forcing gebeurt regelmatig, wat opvallend is is dat andere banken hier geen last van hebben.

Je zou bijna denken dat ze van bunq een lijstje hebben gehad om de brute force in een dictionary attack te kunnen veranderen.

En ja dat is een stevig statement, maar aan de andere kant zijn er op tal van andere manieren fraude gepleegd bij bunq die hier volledig los van staan en was de reactie van bunq nogal twijfelachtig toen dit aan het licht werd gebracht.

Uiteraard is iedereen vrij om een bank te kiezen maar ik raad mijn bekenden bunq al een tijdje af, ergens klopt er daar iets niet en dit is hier ook weer een voorbeeld van.

Als dit daadwerkelijk op grote schaal zou gebeuren hadden er immers veel meer mensen last van gehad als alleen bunq klanten. Het feit dat Mastercard ook niet reageert doet vermoeden dat er hier toch echt iets anders speelt.
Niet om het een of ander:
Rabobank:
- https://opgelicht.avrotros.nl/alerts/artikel/rabobank-klanten-opgelet-voor-deze-frauduleuze-mail-over-betaalpas-vervangen/
ABN Amro:
- https://opgelicht.avrotros.nl/alerts/artikel/pas-op-voor-deze-sms-namens-abn-amro-je-hebt-zojuist-geprobeerd-een-bedrag-van-eur89999-over-te-maken/
ING:
- https://opgelicht.avrotros.nl/alerts/artikel/de-ing-app-is-vernieuwd-volgens-deze-nep-sms-dien-jij-ook-je-bankpas-te-vernieuwen/

Allemaal recent, allemaal gericht op een kwetsbaarheid binnen de beveiliging van de bank.

Bij Bunq:
Gezichtscan en 6 cijferige code = inloggen

Bij ING, ABN, RABO:
Bankpas (of voorheen TAN codes) en pincode, of "tegelijktijdig inloggen" en acties laten ondertekenen.

Bij alle banken zeggen je geld te moeten stallen, dus vrijwillig overmaken. Zo is er altijd wel iets te social engineren om te zorgen dat ze bij je rekening kunnen.

Het is niet bij 1 bank, alleen was men blijkbaar meer gebrand op het niet geven van pin en bankpas, dan bij Bunq en (zover ik zag op consumentenprogramma's) je code en gezichtsscan, waardoor hier tijdelijk grip op kwam.

Ja ik gebruik Bunq, en ja ben tevreden met juist alle dingen die ze doen (SEPA moet ik accepteren en wordt niet zomaar afgeschreven, en normaal met creditcard overal 3DS, en anders wordt het gelijk geblokkeerd). Blijkbaar had PayPal hier een uitzondering op... Ik voel me net zo veilig of onveilig als bij elke andere bank.
Ok, dus je vergelijkt hier standaard phishing met compleet andere issues. Geeft niet, als jij blij bent bij bunq moet je er lekker blijven zitten. Maar die ene keer dat ik een nep tikkie sms kreeg was de ontvanger dan weer toevallig iemand bij bunq 🤣.

Ik blijf het wantrouwen en zal mijn geld nooit bij die cowboys stallen.
Een grootschalige aanval op deze manier met willekeurige nummers klinkt me logisch. Bij mijn bank werd ook een pas geblokkeerd nadat er een verkeerde cvc was geprobeerd. Die pas is maar op één plek in gebruik, en daar was het al erg onwaarschijnlijk dat het daar uitgelekt was.
Willekeurige nummers die allemaal bij Bunq voorkomen. Net zo verdacht als dat de fishing mails die ik regelmatig namens Bunq kreeg spontaan zijn gestopt toen ik mijn rekening had opgezegd. Ze zouden bij Bunq eens moeten zoeken naar een gegevenslek in plaats van de fout elders neer te legggen.
Volgens een woordvoerder gebeurde het ook bij andere banken.

Dat kan ik dus bevestigen. Ligt dus aan de betalingsverwerker waar bunq ook mee werkt, dat die toevallig in NL veel bunq klanten treft, kan bunq weinig aan doen.

Mijn (mastercard) pas nooit ergens gebruikt, behalve één zeer betrouwbare partij. Gewoon goeie kans dat die via zelfde betalingsverwerker gaat.
Misschien is het probleem dat er bij Bunq véél meet creditcardnummers actief zijn?> Ze lijken er nogal mee te strooien.

En wellicht dat andere banken de transacties sneller terugdraaien bij het opmerken van de fraude. Nog voordat de klanten het gezien hebben.
Misschien zijn het nummers in een bepaalde range die Bunq in gebruik heeft en schuiven de criminelen volgende week op naar een range van een bank in Oostenrijk of Argentinië.
Geen ervaring met zowel Bunq als Mastercard maar hoe veilig zijn hun in vergelijking met bijv. de Rabobank en ouderwets betalen met pin en pas ? ik hoor wel vaker dat creditcards een risico zijn maar dat kan ook met internet bankieren vooral als je werkt met automatische inloggen en betalen op afstand en ik doe daar niet aan mee maar gewoon ouderwets een pincode en de pas en thuis de Rabobank scanner erbij dan is er een 3 stap systeem voordat iemand bij mijn centen kan komen en ja onze info blijft ook onze eigen verantwoordelijkheid.
Als Mastercard vind dat fraudeurs dit vaker doen, waarom laten ze dan betalingen zonder 3DS-protocol toe en waarom doet Mastercard dan niet de nodige aanpassingen om de credit card nummers langer te maken om brute force te bemoeilijken
Dit topic klinkt als eenzelfde euvel met Mastercard maar niet Bunq gerelateerd:

Tickets "gekocht" viagogo

Op dit item kan niet meer gereageerd worden.