Nieuwe creditcard-beveiliging is te omzeilen

Onderzoekers hebben de nieuwe creditcard-chip met verbeterde beveiliging gekraakt. Ze kunnen de pincode van een creditcard achterhalen en een dump van de magneetstrip maken, zo toonden de onderzoekers op Hack in the Box.

Hoewel het skimmen van creditcard-chips niet nieuw is, zijn chips met de authenticatiemethode dda dat wel. Dynamic data authentication is volgens de creditcardbedrijven een nieuwe, veiligere methode om creditcards en -betalingen te authenticeren. Beveiligingsonderzoekers Daniele Bianco en Adam Laurie lieten op de Hack in the Box-beveiligingsconferentie in Amsterdam echter zien dat de chip helemaal niet zo veilig is.

Het team van de twee onderzoekers ontwikkelde in twee weken tijd een methode om creditcards met dda-beveiliging te skimmen. "Onze methode werkt met betaalterminals, zoals in winkels. Hij is niet geschikt voor betaalautomaten van banken", zegt Bianco. In de betaalterminals wordt een kleine printplaat gestoken, die in feite een man in the middle-attack uitvoert. De skimmer manipuleert de manier waarop de terminal de creditcard authenticeert: er wordt gekozen voor een manier waarbij de creditcard lokaal wordt gevalideerd en de pincode in plain-text van de creditcard naar de terminal wordt verzonden. Als een klant een betaling wil verrichten en zijn pincode intoetst, wordt deze onderschept en opgeslagen.

Op een groot aantal kaarten is bovendien ook de volledige waarde van de magneetstrip op de chip opgeslagen. Deze wordt van de kaart gekopieerd, waardoor een kwaadwillende genoeg middelen heeft om de kaart na te maken en er betalingen mee te verrichten. Overigens is de pincode daarvoor niet eens vereist: op veel locaties is het mogelijk om creditcardbetalingen te verrichten zonder een pincode in te hoeven voeren.

Bij een deel van de kaarten, vooral recentere, is niet de gehele waarde van de magneetstrip opgeslagen. Een driecijferige tekenreeks, de iccv-code, ontbreekt. Deze moet worden gegokt. Een oplossing waarbij voor elke creditcards een groot aantal iccv-codes wordt geprobeerd, kan echter niet worden uitgevoerd: er kunnen maximaal drie iccv-codes per transactie worden getest, daarna wordt de kaart geblokkeerd. "Je hebt dan een groot aantal kaarten nodig, dat je probeert te matchen met één iccv-code", aldus Laurie.

De totale grootte van de waarde van de magneetstrip en de pincode is negen bytes. Op de skimmer die de twee onderzoekers hebben ontwikkeld, passen circa 1,9 miljoen dumps. In de praktijk zou een skimmer de kaart ongemerkt in de betaalterminal van een supermarkt kunnen steken, waarna hij ééns per week een speciaal geprepareerde kaart ter grootte van een creditcard in de terminal steekt om de verzamelde pincodes op te slaan.

Adam Laurie denkt dat criminelen de methode ook kunnen gebruiken: "Als ik een crimineel was, zou ik het doen", zegt hij, "dus ik denk dat de methode al wordt toegepast." Volgens Laurie zouden creditcard-transacties eigenlijk van begin tot eind versleuteld moeten zijn. "Maar dat zal nog niet gebeuren: daarvoor zouden alle creditcards moeten worden vervangen en alle terminals een firmware-upgrade moeten krijgen", stelt hij. "En dat kost geld." Bedrijven als VISA en MasterCard zouden de schade door fraude op de koop toe nemen, omdat ze die toch op hun klanten verhalen.

Het nadeel van de methode van Laurie en Bianco is dat er na het authenticeren van de creditcard en het onderscheppen van de pincode alsnog verbinding wordt gemaakt met de desbetreffende bank, om de transactie uit te voeren. De bank zou kunnen merken dat de manier waarop de authenticatie is uitgevoerd, niet klopt: deze zou immers online moeten plaatsvinden. Dit zou kunnen worden voorkomen door een slachtoffer twee keer om een pincode te vragen, waarbij de tweede keer een correcte authenticatie wordt uitgevoerd. De eerste keer wordt dan de pincode onderschept. Het twee keer moeten invoeren van een pincode zou echter weer tot achterdocht bij slachtoffers kunnen leiden, denken de onderzoekers.

De methode van Laurie en Bianco werkt ook met de oudere beveiligingsmethode voor creditcards, static data authentication. In het geval van sda-kaarten kunnen de onderzoekers deze omtoveren in een 'yes-card', waarbij elke mogelijke pincode wordt geaccepteerd. Dat werkt echter alleen bij terminals die offline-betalingen accepteren, bijvoorbeeld in vliegtuigen. Nederlandse betaalpassen zijn niet vatbaar voor de skimmethode. Deze maken gebruik van het Maestro-betalingssysteem, dat geen ondersteuning voor offline-authenticatie heeft: bij elke authenticatiepoging wordt verbinding gemaakt met de bank. Een poging om een ING-bankpas te skimmen, wierp dan ook geen vruchten af: de pas kon weliswaar worden gekopieerd, maar de kopie van de pas werd niet door de betaalterminal geaccepteerd en pincodes werden niet weergegeven.

Door Joost Schellevis

Redacteur

Feedback • 20-05-2011 18:2595

20-05-2011 • 18:25

95 Linkedin

Lees meer

Onderzoeker: beveiliging pinpassen moet op de schop Nieuws van 28 december 2014
Mastercard voorziet creditcard van keyboard en display Nieuws van 8 november 2012
Onderzoeker hackt en ontregelt telefooncentrale via dtmf Nieuws van 19 september 2012
Rabobank: landenblokkade doet skim-schade met 85 procent dalen Nieuws van 20 juli 2012
Hackers kraken in Duitsland en België gebruikte pin-modules Nieuws van 15 juli 2012
MasterCard breidt PayPass uit met online- en portefeuillefunctie Nieuws van 8 mei 2012
Banken: internetfraude betalingsverkeer in 2011 verdrievoudigd Nieuws van 26 maart 2012
Dynamic toont creditcards met display Nieuws van 13 januari 2012
00:32
Dynamic Creditcard Video van 12 januari 2012
Digitale bankrovers verduisterden 45 miljoen bij Nederlandse banken Nieuws van 24 mei 2011
Phishing-site aangetroffen op Sony-server Nieuws van 20 mei 2011
PayPal begint nog dit jaar met nfc-betalingsdienst Nieuws van 20 mei 2011
PSN-hackers lijken buitgemaakte creditcards nog niet te misbruiken Nieuws van 30 april 2011
'Hackers PSN maakten gegevens 2,2 miljoen creditcards buit' Nieuws van 29 april 2011
Hackers krijgen root-toegang tot WordPress-servers - update Nieuws van 14 april 2011
Pincode emv-chip blijkt vatbaar voor skimmen - update Nieuws van 18 maart 2011
Meer producten en artikelen
Privacy Betalingsverkeer Beveiliging

Reacties (95)

-Moderatie-faq
95
92
67
3
0
3
Wijzig sortering
WhiteDog
20 mei 2011 19:58
Als ik het zo lees is het gewoon een storm in een glas water:
- een printplaat in een betaalterminal inbouwen, valt echt niet op?
- wekelijks komen uitlezen.
- cvc code gokken.

Denk dat je verder komt met een camera ergens om de code te lezen en een klassieke magneetstrip-skimmer. Met wat geluk is de cvc code zelfs nog leesbaar op je video.

Waar wil je die gekopieerde kaarten overigens al gebruiken?
- als consument krijg ik mijn geld toch terug.
- de handelaar is de dupe. Zijn probleem dat hij onvelige transacties aanvaardt (genoeg webwinkels in België die enkel credit card betalingen aanvaarden met 3D Secure, zie Ogone)..
johncheese002
@WhiteDog20 mei 2011 20:31
Nou, bij je eerste punt kan ik wel een kanttekening plaatsen; mobiel automaten op campings, in hotels, in restaurants, hoeveel mensen geven ook niet hun kaart mee, met de rekening, om vervolgens het mapje+rekening+kaart weer terug te krijgen?

Ik denk dat je fraude hier niet zozeer moet zoeken in de pinautomaat op straat o.i.d. maar meer op plaatsen, waar je hoofd er niet naar staat om over dit soort dingen te denken ;)
Als je met je knappe wederhelft ergens gaat snavelen in een chique tent en na het (enerlaatste) desert kras je beiden op, dan is het niet echt een 'go' om heel tech-savvy te gaan piepen tegen de ober over fraude met je CC (kun je het allerlaatste toetje echt vergeten denk ik...)

De menselijke factor+de techflaw is hier toch weer de gouden combinatie, als jij als end-user het social-hack gedeelte normaal in de gaten houdt, wordt de kans erg klein, dat je iets vervelends overkomt lijkt mij (al moet je het niet uitsluiten, maar dan zijn er vast meer slachtoffers, dus sta je ook niet alleen.)
Ik vind het wel dondersgoed dat hier onderzoek naar wordt gedaan, impliciet betaald dit zichzelf terug aan de samenleving, wanneer er ooit een discussie ontstaat over de beveiliging van een dergelijk kaart, bij een grootschalige fraudezaak bijv.
Dan weet je weer waarom er een deel van je belastingcenten naar dit soort onderzoek gaat. :Y)
Dreamvoid
@johncheese00221 mei 2011 02:15
Je kan alles cash betalen. Maar ja, dan loop je dat mooie restaurant uit en een straat verder word je beroofd.
cire
20 mei 2011 21:05
De echte veiligheid van 'het nieuwe pinnen' en ook de creditcard met EMV chip zit in de digitale handtekening die door de chip wordt gemaakt. Die is hiermee nog steeds niet gekraakt.
Anoniem: 386034
@cire20 mei 2011 21:27
Klopt. Ik vind het een wat warrig verhaal ook.

Er wordt verteld over een chip en een magneet strip. Maar de beveilging van het nieuwe pinnen zit juist in het niet kunnen kopieeren van de chip zoals dat bij de magneetstrip wel zeer eenvoudig is.

De pin code kan van het toetsenbord afgelezen worden, door een voorzet printplaatje. Nou nou big deal. Je kunt ook kleine balletjes klei op de toetsen plakken, dan weet je ook de cijfers die ingedrukt zijn. Je kunt ook een cameraatje plaatsen dan weet je ook de cijfers die ingedrukt zijn. Je kunt ook over de schouder meekijken dan weet je de cijfers ook.

Dat een magneetstrip te skimmen is is ook niets nieuws.

De grap van de chipkaarten is juist dat de chip niet te kopieeren is zoals dat wel eenvoudig met de magneetstrips mogelijk is. Maar de chips gaan de magneetstrips vervangen dus dat probleem is binnenkort de wereld uit.

Ik vind het hele verhaal een storm in een glas water. Had beter van tweakers verwacht dan zon verhaal met de titel "Nieuwe creditcard-beveiliging is te omzeilen". Er is helemaal niets van waar. Bagger.
arthur-m
@Anoniem: 38603420 mei 2011 23:35
Ik snap er nog steeds geen jota van. Al in de eerste zin worden de woorden magneetstrip en chip door elkaar heen gebruikt. Voor mij is echt totaal niet duidelijk hoe en wat precies nou niet goed is. is nou de pincode op de chip uit te lezen door de authenticatie methode te veranderen, en daarna te gebruiken met een dump van de magneetstrip?
Ik vind het een warrig verhaal
Jij zegt nu hier dat de chip niet te kraken is. Wat klopt er nou?
Iemand die in begrijpelijke taal het bericht kan duiden?
Buggle
@arthur-m20 mei 2011 23:44
Het gaat om de chip die de magneetstrip uitleest en daar vervolgens allemaal spannende dingen mee doet. Die is te manipuleren.
Dit probleem speelt eigenlijk vooral in het buitenland - zoals aangegeven in het nieuwsbericht gebruiken wij hier geen magneetstrip meer op steeds meer plaatsen, en met name de nieuwere passen ben je gewoon veilig. In het buitenland is het dus echter oppassen.
lasharor
20 mei 2011 18:34
Kan dat dan ook onopgemerkt gebeuren?

Het is toch maar een sleuf waar je die kaart doorheen haalt, hoe gaat daar nou een printplaat inpassen?
Anoniem: 296748
@lasharor20 mei 2011 18:53
printplaten zijn lang niet altijd die platen die je in je pc vind hoor. Je kan ook gewoon hele kleine chips maken -_-
Nog nooit van scimmen gehoord?

De "film de code en jat de pas"-methode vind ik wel wat makkelijker klinken dat dit gedoe. Als ik het goed begrijp moet je zo ongeveer een winkel opzetten om genoeg pasjes voorbij te zien komen.
lasharor
@Anoniem: 29674820 mei 2011 19:22
Ik ben niet dom, het gaat hier echter om het uitlezen van chip, imo, het moet dus "iets" zijn wat tussen de leeskop van de automaat en jou kaartje past. Daarnaast moet dit ook nog onopvallend in die sleuf passen. Je moet ook denken aan zaken als een batterij, en als dit niet kan bijv. een micro sd kaart.

Kan me gewoon niet voorstellen dat zoiets, zonder dat het wordt opgemerkt in zo'n lezer past.
awulms
@lasharor20 mei 2011 20:51
het gaat hier echter om het uitlezen van chip, imo, het moet dus "iets" zijn wat tussen de leeskop van de automaat en jou kaartje pas
Er wordt niks tussen de kaart en de chip-lezer geplaatst. Dat past inderdaad niet. Het hele betaalterminal kastje wordt opengeschroeft, dan wordt er een printplaatje met wat extra electronica ingemonteerd en dan worden dan de draadjes die van de chip-lees-eenheid afkomen op dat printplaatje met die electronica aangesloten.

Het kastje wordt dus van binnen omgebouwd.

De aanname is dus dat een crimineel deze ombouw operatie ongemerkt kan uitvoeren in de winkel.
paneidos
@awulms21 mei 2011 16:01
Uhm, nee.

Ik was bij hun talk en ze schuiven het hele skimgeval met een speciaal gevormde kaart in de sleuf, halen die kaart eruit en het ding is geplaatst.
Daarna is het een kwestie van eens in de zoveel tijd alle data 'ophalen'.

Overigens gaven de heren nog een tip voor als je per se met je magneetstrip wil betalen bij automaten die per se die chip willen gebruiken:
steek je pas met de chip aan de verkeerde kant erin en de automaat zal vragen om de magneetstrip.

Presentatie: http://www.scribd.com/doc/51016475/emv-2011 (zie slides 11 en 12 voor het apparaat, slide 17 voor de magneetstrip kopie)
supersnathan94
@lasharor20 mei 2011 19:46
heel moeilijk is het niet hoor. is een tijd geleden ooit eens op tv geweest. gewoon een mobiele pin automaat neerzetten, met een laptop en een vooraf geprogrammeerde diashow met als laatste bericht dat de automaat buiten gebruik is et violá. Die gasten (oplichters ontmaskerd dacht ik) hadden binnen een uur een stuk of 20 pincodes en gekopieerde passen.
Eomer
@supersnathan9421 mei 2011 12:08
In 'The Real Hustle' (UK) seizoen 4, aflevering 5 doen ze dit :)
Anoniem: 296652
@Anoniem: 29674820 mei 2011 23:49
Nee hoor, een winkel opzetten is niet nodig....


Een ondernemer wordt bestolen van zijn machine (draad doorknippen en apparaat in de zak, is recent gebeurt in mijn woonplaats) terwijl hij/zij wordt afgeleid door een collega-crimineel.
Nu heb je een perfect werkend pin-apparaat, deze pas je op je gemak aan en sluit deze (volgens bovenstaande methode) aan in een andere winkel (met blanco gegevens).

De winkelier zal zijn pinapparaat dood verklaren waarna een monteur van de firma (van het pin-apparaat) nieuwe firmware komt plaatsen of instellingen herstellen zoals ip-adressen/telefoonnrs etc.

En dan begint het verzamelen, het enige wat nu nog kan gebeuren is dat een concurrerend crimineel team je pin-apparaat jat voor eigen gebruik.

Oh ja, niet vergeten... de ondernemer die de bewuste dag zijn apparaat is kwijtgeraakt heeft die dag behoorlijk wat cash-geld in de kassa. Team1 kan ook terugkomen tegen sluitingstijd om dit ook nog op te halen......

En de criminelen die gepakt worden? Foei! 1/2 jaar voorwaardelijk
Dexs
@Anoniem: 29665221 mei 2011 12:06
Ja aan deze methode zat ik ook te denken in 1e instantie, echter is er 1 probleem.

Toen ik nog in de winkel werkte moesten we een pinautomaat met S/N: XXX aansluiten op terminal 1 en een andere pin met S/N: YYY op terminal 2, als je ze omdraaide werkte het niet meer. Toen een van onze apparaten sneuvelde moest ook eerst de terminal omgezet worden naar een ander S/N anders werkte de pinautomaat niet.

Een oplossing zou zijn om te doen alsof je de monteur bent en het oude apparaat(aangepaste) terug plaatsen maar dan zal de echte monteur toch redelijk verrast zijn als hij langs komt met een nieuw apparaat.
Little Penguin
@lasharor20 mei 2011 18:44
De nieuwe kaarten hebben en chip en geen magneetstrip, van doorhalen is dus geen sprake meer. Verder is het openmaken van een betaalautomaat nu niet direct een lastig klusje - je zult wat ervaring moeten opbouwen en daarna kun je dat doen zonder dat dit zichtbaar is.

Als de boel eenmaal open is kun je de print mooi op de juiste positie aanbrengen en daarna gaan tappen...

Blijft natuurlijk de vraag waarom de PIN-code onversleuteld tussen de diverse componenten verstuurd wordt, het maken van een hash op basis van de PIN-code en rekeningnummers e.d. mag toch ook niet zo heel erg lastig zijn. Zolang je nog maar kunt authenticeren of men de juiste PIN-code intoetst...

edit:
Ik zie ineens dat het om de kaarten met magneetstrip gaat, maar dan gaat het verhaal voor wat betreft openmaken nog wel op.

Hoe zit het eigenlijk me de beveiliging van de nieuwe generatie waar er met een chip gewerkt wordt?

[Reactie gewijzigd door Little Penguin op 20 mei 2011 18:46]

depeje
@Little Penguin20 mei 2011 22:27
Als de code intern versleuteld wordt verzonden kan je je printje nog gewoon rechtstreeks op de toesten van het apparaat aansluiten en zelf de code afluisteren. Het nut van interne encryptie zie ik dan ook niet direct.
Anoniem: 277035
@lasharor20 mei 2011 18:46
Enige dat je nodig hebt is scanner, SoC en een flashkaartje... en een batterijtje uiteraard... Of aansluiten op de stroomvoorziening van het apparaat.

[Reactie gewijzigd door Anoniem: 277035 op 20 mei 2011 18:47]

Frogmen
20 mei 2011 20:09
Wat een beetje jammer is van al deze onderzoekers dat ze eigenlijk gewoon een hobby hebben en continu de andere partij aan het challengen zijn wie is het slimst. Alleen jammer dat deze slimmerikken niet nadenken over de gevolgen van hun slimheid. Want tuurlijk kan je de boel kraken maar een kaart die niet te kraken is is erg duur en dat moeten we zelf betalen. Men vergeet dat we het hier wel hebben over een wereldwijd geaccepteerde kaart.
Als ze nou eens hun kennis niet delen zou een hoop onrust en ellende schelen. We worden toch ook niet blij als het lockpickers gilde een howto publiceert, onder het motto moet je maar een beter slot kopen, ook al kost die een paar honderd euro.
SuperDre
@Frogmen20 mei 2011 20:56
Maar zij doen het openlijk, terwijl criminelen dit liever zo lang mogelijk geheim willen houden... En een kaart die niet te kraken is bestaat niet en zal ook nooit bestaan...
007Nightfire
@Frogmen20 mei 2011 21:33
Ben ik dan zo nieuwsgierig of ben ik niet de enige die hier wel eens een pick lock video'tje heeft bekeken, puur uit interesse natuurlijk?
Daarnaast, dit onderzoek is nou niet echt een howto ...

"Het team van de twee onderzoekers ontwikkelde in twee weken tijd een methode om creditcards met dda-beveiliging te skimmen."
Een team van 2 knappe koppen doet het in twee weken tijd. Dus het zou ook niet heel lang meer duren (/half jaar?) voordat een grotere (criminele) organisatie het voor elkaar zou krijgen.
Hiub
@Frogmen21 mei 2011 10:33
Het alternatief is dat goedwillenden niks publiceren waarna er een behoorlijke kans is dat kwaadwillenden alsnog uitvogelen hoe het moet. Het verschil is dat men er dan pas achter komt als er al veel meer schade is geleden en er dan pas aan een veiliger systeem gewerkt kan worden, ipv de keuze hebben om preventief al met veiliger systeem te komen en criminelen een stapje voor zijn.
frickY
20 mei 2011 18:48
Hoe komt het toch dat dergelijke nieuwe chips nooit door die onderzoekers worden ontwikkeld, maar altijd door een groep die er, blijkbaar, minder verstand van heeft.
High-Voltage2
@frickY20 mei 2011 19:37
Als je kijkt naar het niveau van de studenten dan weet je toch genoeg... Plus bij zulke grootschalige dingen is er meer mee gemoeid dan enkel maar het functionele. Er zijn zoveel belangenpartners die tevreden gesteld moeten worden.
cire
@High-Voltage221 mei 2011 11:24
Inderdaad. Beveiliging is niet het enigste. Er is ook nog zoiets als gebruikersgemak en kosten van extra beveiliging.

Afgezien daarvan, de EMV chip technologie bestaat ieg al 15 jaar. Al die tijd hebben onderzoekers tijd gehad om er nog eens rustig naar te kijken...
humbug
@frickY21 mei 2011 07:25
Het is een stuk makkelijker zwakheden aan te tonen dan om een oplossing te verzinnen.

Neem dit geval.
1. Een gebruiker moet zijn pincode intikken. Dit intikken kun je altijd zien. Hetzij met een camera, hetzij door de signalen van het toetsenbord af te luisteren. Dit is gewoon niet op te lossen.
2. De credit card heeft een chip. De data van die chip moet naar een server gestuurd worden. De terminal moet dus die data uitlezen en doorsturen. Het is dus altijd mogelijk om de gegevens van een credit card uit te lezen.

Uiteindelijk kan iedereen met een kennis dus altijd een kaart namaken en de pincode achterhalen. Dit probleem is gewoon niet op te lossen.

We praten hier over criminelen die een lezer compleet verbouwen. Wat wil je daar tegen doen?
HoppyF
20 mei 2011 22:50
Er zou ook nog een autorisatie verzoek via een SMS gestuurd kunnen worden.
Zoiets van "U wilt 50 euro betalen bij bedrijf X, is dat akkoord?"
Vooral bij grotere transacties zou dit niet verkeerd zijn, kost je hooguit een SMS-je.
Rockvee2
@HoppyF21 mei 2011 00:25
Niet iedereen heeft een mobiele telefoon.Hoe moet dit dan volgens jou gebeuren?
born4trance
@Rockvee221 mei 2011 00:34
Niet iedereen heeft een mobiele telefoon.Hoe moet dit dan volgens jou gebeuren?
Buiten het feit dat ik denk dat er meer mobiele telefoon- dan creditcard-bezitters zijn lijkt het me dat je in dat geval gewoon een (goedkoop) mobieltje aanschaft (better safe than sorry)
Rockvee2
@born4trance21 mei 2011 11:02
En als je niet een mobiele telefoon wilt aanschaffen zoals ik ? Je kan mensen niet verplichten een mobiel aan te schaffen :)
varkenspester
@Rockvee221 mei 2011 13:26
als dat de veiligheid bevorderd, waarom niet? een creditcard is geen primaire behoefte. als kredietmaatschappij kan je het hebben van een gsm best als voorwaarde stellen.
iceheart
@varkenspester22 mei 2011 02:46
...en toen was je accu een keer op, ofzo.

het kan allemaal hyperveilig, dat is het probleem niet. het probleem ontstaat daar waar men het gebruiksgemak op een aanvaardbaar niveau wil houden. dat smsje is zinnig bij internetbankieren. bij CC gebruik? nah, echt niet!
HoppyF
@Rockvee221 mei 2011 16:41
Wie niet dan?
Weet je wel hoeveel mobiele telefoon er alleen in Nederland al, verkocht zijn?
Voor een beetje extra veiligheid zou het gebruik van een SMS autorisatie niet verkeerd zijn. Misschien moet (of kan) je het niet verplicht stellen maar dan is het risico voor de gebruiker en niet voor de CC maatschappij.
Abeltje130
20 mei 2011 18:30
En dan maken ze nog reclame voor 'de veiligste manier om online te betalen'
Gelukkig ben ik niet eens in het bezit van een creditcard.
Rockvee2
@Abeltje13020 mei 2011 18:53
Denk je dat het inloggen met https veilig is ? Ze laten jou denken dat het veilig is maar het is niet veilig. Net zoals als je gaat pinnen in de winkel, elk pin-apparaat kan geskimd zijn zonder dat je het ziet . Daarom betaal ik altijd met contant geld in de winkel . :)
geekeep
@Rockvee220 mei 2011 18:56
En dat contant geld waar je mee betaalt in de winkel pin je bij de pinautomaat die desondanks toch geskimd is? :+
seapip
@geekeep20 mei 2011 19:18
misschien werkt hij zwart en krijgt hij dus zijn geld contant in het hadje :+
Zapato
@seapip20 mei 2011 19:34
kan vals zijn
hoebert
@geekeep20 mei 2011 19:41
Je kan je met te paspoort toch nog geld bij een loket halen? Wel veel werk maar helemaal veilig. Behalve als je daarna op staat beroofd wordt natuurlijk.
Rockvee2
@geekeep20 mei 2011 23:53
Ik pin bij de bank binnen in het bankgebouw :)
Xubby
@geekeep20 mei 2011 19:21
Als je pint bij de bank, pin trek je de flappen op zijn veiligst. als ik het goed begrijp.
MeltedForest
@Rockvee220 mei 2011 19:27
Lol je betaalt alleen contant? Bangmakerij much. In het ergste geval wordt je ergens geskimmed en krijg je je geld weer terug van de bank. Het enige vervelende is dat je een tijdje zonder pas zit en daarna een nieuwe pincode moet onthouden.
Rockvee2
@MeltedForest21 mei 2011 00:24
Ik heb een bankpas en betaal alleen bij betrouwbare webshops zoals bol.com via Ideal.Niet in de winkels. Thuis weet ik in ieder geval dat met mijn apparatuur niet geskimd word
MeNot2
@MeltedForest21 mei 2011 09:13
In de dromen van sommige mensen ja. Aan jou is de taak om te bewijzen dat je geskimt bent. Daar willen banken nog eens heel moeilijk over doen.
Xubby
@MeltedForest20 mei 2011 19:39
En hoe lang is er hoeveel geld van het saldo af, ergo, sta je rood?
supersnathan94
@Xubby20 mei 2011 19:43
nou niet. dat soor dingen snap ik nooit. geld wat je niet hebt kan je ook niet uitgeven. lenen kost geld. als je anders echt geen eten kan kopen is het natuurlijk een ander verhaal, maar rood staan is voor de rest volstrekt overbodig. iig wel op en "spaar" rekening. een gewone lopende rekening met een pas die je alleen gebruikt voor maandelijks terugkomende uitgaven. voor normaal betalingsverkeer moet je altijd een andere rekening gebruiken waar niet teveel geld op staat. zelfs ik weet dat.
findftp
@supersnathan9420 mei 2011 22:49
Ach ja, nog een rekening erbij a 5 euro per kwartaal. Tja, zo kom je ook van je geld af.
azerty
@findftp21 mei 2011 19:47
Gratis rekening? In België genoeg banken die dat aanbieden, moet dan in Nederland ook wel ergens te vinden zijn?

OT: tja, alles zal altijd wel op een of andere manier te kraken/te omzeilen zijn...
Finraziel
@Rockvee220 mei 2011 19:50
Leven is niet veilig, hou je daar ook mee op?
Limaad
@Abeltje13020 mei 2011 18:38
'de veiligste manier om online te betalen'
Moet je nagaan hoe onveilig andere methoden zijn om online te betalen.

Ze kunnen m.i. gewoon zeggen dat zij de veiligsten zijn hoor.
Woet
@Limaad21 mei 2011 08:54
Ik vind iDeal toch echt een stuk veiliger om online te betalen, hoewel creditcard + 3DS Secure aardig in de buurt komt.
Niemand_Anders
@Woet21 mei 2011 12:42
3DS secure heeft ook wel een nadeel. Zo kan DirectNic mijn domeinen niet meer automatisch verlengen. Ik moet nu elk jaar handmatig de domeinen betalen. Hetzelfde geld voor mijn UseNet provider. Het is erg jammer dat je niet kunt aangeven welke bedrijven wel automatisch mogen innen van je creditcard.

Maar ik hoef nog lang niet op alle websites waar ik met mijn creditcard betaal ook mijn secure code in te voeren. Bij veel betalingen is creditcardnummer, verval datum en de CCV code voldoende.

Ik moet wel zeggen dat ik blij ben dat ik geen websites meer tegenkom waar niet om de CCV code wordt gevraagd..
maartena
@Woet22 mei 2011 09:30
Alleen heb je buiten de landsgrenzen van Nederland echt zo verrekte weinig aan iDeal.... ;)
Anoniem: 63672
@Abeltje13020 mei 2011 18:38
first post Abeltje?

Heeft u het artikel wel gelezen?

Het gaat dit keer niet om online betalingen maar om skim-praktijken in winkels (exclusief pin-automaten)
Roeligan
@Abeltje13020 mei 2011 21:26
Ehhhhh... dan hebben ze toch gelijk, online kun je immers niet geskimmed worden :+
SuperDre
@Abeltje13020 mei 2011 20:53
Je bent toch wel in het bezit van een pinpas neem ik aan? nou die is dus nog minder veilig.....
tim427
@Abeltje13020 mei 2011 18:33
Het idee achter veiliger met een CrediCard, zit hem meer in de "garanties" die je krijgt.

Zo kun je online een aankoop doen en van je CC-maatschappij het geld terug krijgen als je in conflict komt met de verkopende-partij.
bogy
@tim42720 mei 2011 19:38
??? het gaat hier over MET DE KAART betalen IN EEN WINKEL met een BETAALAUTOMAAT ...

PINnen dus zoals jullie in nederland zeggen...

wat dat te maken heeft met de first en second post begrijp ik niet goed; want die twee dingen staan totaal los van elkaar ...

je kan namelijk géén kaart kopieren via het internet door op een site wat nummertjes in te geven....

misschien eerst het artikel lezen voordat je snel snel iets typt omdat de titel iets zegt over creditcards ...
svenk91
@bogy20 mei 2011 21:13
Maar als die geskimmed is kan je wel online transacties uitvoeren, vooral buiten nederland is zelden de pincode nodig maar volstaat het pas nummer, datum en de cvv code.
Ramoncito
@svenk9121 mei 2011 13:08
Neen, dan heb je het artikel niet goed gelezen want er staat duidelijk in dat die gegevens (CVC ofwel Card Validation Code) niet op de chip staan. Deze gegevens staan alléén achter op de kaart op de handtekeningstrip (ik heb voor Mastercard en Visa gewerkt).

Bovendien heb je tegenwoordig voor online betalingen ook nog Mastercard Secure Code (je eigen wachtwoord voor online betalingen) en Verified By Visa.
witchdoc
@tim42720 mei 2011 18:44
Jij krijgt je centen terug.. maar de handelaar wie ook net in't zak is gezet niet hoor :)
't Kost de creditcard maatschappij dus niet maar de detailhandel wel.
BeosBeing
@witchdoc26 mei 2011 07:26
Die garanties worden vooral betaalt uit de toeslag die de maatschappijen rekenen en die veel handelaren doorrekenen aan hun afnemer.
Jij krijgt je centen terug.. maar de handelaar wie ook net in't zak is gezet niet hoor :)
't Kost de creditcard maatschappij dus niet maar de detailhandel wel.
Als de verkopende partij malafide blijkt te zijn, is dat niet meer dan terecht.
Als de verkopende partij te goeder trouw is, dan zal de maatschappij daar echt wel een oplossing voor hebben. Ook daarvoor is de toeslag bestemd. In sommige gevallen zal de koper zijn geld terug krijgen zonder dat dit bij de verkoper teruggevorderd wordt.Over hoe vaak dat gebeurt kan ik niets zeggen, echter de maatschappij is geen charitatieve instelling en ook geen rechter.

Als de koper malafide is, dan zou de verkoper niet de dupe mogen zijn, al ligt de zaak dan lastiger, vooral als het diensten zijn. (zoals Woet aangeeft, al moet ik me eens verdiepen in wat 3DS secure inhoud) Uiteindelijk is het het geld van de koper waar de creditcard-maatschappij de betaling mee uitvoert, dus in geval van twijfel zal men die kant kiezen.

Wat veel onveiliger is, is iDeal, zelfs als beide partijen te goeder trouw zijn kan dat fout gaan, bv door een communicatiefout ergens in de keten, en het kan dus in principe zo zijn dat het geld zomaar verdwenen is. Het bedrijf achter iDeal wijst alle aansprakelijkheid af en verwijst de klant naar de verkoper en de verkoper naar de klant en als dan blijkt dat de betaling wel is afgeschreven maar niet is bijgeschreven dan mag je bij twee banken gaan informeren hoe het zit.

iDeal is vooral veilig voor de bank zelf en een heel klein beetje voor de verkoper (website krijgt pas OK als betaling 100% gelukt is en die is ook niet meer terug te boeken door de koper).

Paypal is niet voor niets zo populair, ook al heeft ook dat zijn haken en ogen.

[Reactie gewijzigd door BeosBeing op 26 mei 2011 07:28]

Woet
@tinzarian21 mei 2011 08:53
Zijn genoeg mensen die een online aanschaf doen (hosting pakket, domein naam, dedicated server, etc.) en dan na een paar weken hun creditcard transactie terugdraaien.

Hun hebben dan plezier gehad van hun dienst, ze hebben er niks voor hoeven te betalen en de online verkoper kan er niks aan doen omdat visa/mastercard alleen shipping labels van UPS/DHL/Fedex accepteren als bewijs.

Gelukkig is dit met 3DS secure omgedraaid.
Kalief
20 mei 2011 19:36
Bedrijven als VISA en MasterCard zouden de schade door fraude op de koop toe nemen, omdat ze die toch op hun klanten verhalen.

Uiteindelijk zit daar het probleem. Criminaliteit als factor in de inflatie.
007Nightfire
@Kalief20 mei 2011 21:22
Dit begrijp ik niet, wat heeft inflatie ermee te maken?

Ik denk dat ik het met je eens ben, als je bedoelt dat het probleem is dat ze liever de schade op de koop toe nemen, dan dat ze de boel vervangen en veilig maken.
Die apparaten moeten toch elke 5 jaar vervangen worden (nieuw systeem?)? Dan is het toch niet zo'n grote moeite om een nieuwe serie er tussen te drukken?
Kun je daarna de pasjes wel weer vervangen. (ik zal wel te makkelijk denken...)
Buggle
@007Nightfire20 mei 2011 23:40
"Klanten" zijn in dit geval de winkels, zij betalen een bedrag per transactie aan mastercard of visa, en skimmen verhalen zij vervolgens op de winkelier - al was het maar omdat hij/zij degene is die het skimmen mogelijk heeft gemaakt.
Meer uitgaven voor de winkelier = hogere prijzen. Het is niet zo dat het geld dat de skimmers verdienen zomaar ergens verschijnt, dat moet ergens vandaar komen. En uiteindelijk is dat dus wél jouw portemonnaie.
Dreamvoid
@Buggle21 mei 2011 02:14
Een betere (en dus duurdere) beveiliging wordt ook in de prijs meegenomen, en het alternatief (winkelier heeft meer cash geld in kas -> berovingen, stelen door personeel) wordt ook in de prijzen meegenomen. Niks is gratis.
Trommelrem
20 mei 2011 19:25
Daarom heb ik altijd 0000 als pincode. Net als [Enter] in Windows is 0000 de veiligste pincode voor smartcards. Degene die de smartcard dan "skimt" ziet dan een leeg veld staan en denkt dan dat hij het verkeerde adres uitleest.
humbug
@Trommelrem21 mei 2011 07:28
Tuurlijk. Want jou kaart is de enige kaart die hij skimt en elk lees veld retouneert hex waarden 30,30,30,30. ;)
churchill9
@Trommelrem20 mei 2011 21:09
en als je je pas verliest ben ik de eerste die jou pincode raad.

als ik ergens 4 cijfers moet proberen begin ik altijd bij 0000
WicKeD.El.GuPPo
21 mei 2011 14:46
"Op een groot aantal kaarten is bovendien ook de volledige waarde van de magneetstrip op de chip opgeslagen. "

Ik leidt hieruit af dat de informatie op de magneetstrip op een groot aantal kaarten, niet strikt noodzakelijk is (omdat bij niet alle kaarten informatie zo is opgeslagen)?

Zou simpelweg een keer een sterke magneet over de magneetstrip halen dit zwakke punt oplossen?
SkyStreaker
@WicKeD.El.GuPPo21 mei 2011 17:48
Gebruik dan maar een goede degausser of een grote strontium magneet, want die strip kan nog best wat hebben.
Anoniem: 391502
@WicKeD.El.GuPPo23 mei 2011 00:29
Het gaat hier over de (goudkleurige) chip, niet over de magneetstrip. Oftewel: wat op de magneetstrip staat, staat vaak ook op de chip.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee