'Aanvallers kraakten kassa's Amerikaanse winkelketen'

Een grote Amerikaanse keten zou het doelwit zijn van een aanval waarbij creditcardgegevens van klanten zijn gestolen. Daarbij is mogelijk gebruikgemaakt van malware op de point of sale-systemen van de winkelketen.

De hack bij de grote winkelketen Target werd als eerste gemeld door beveiligingsjournalist Brian Krebs en is bevestigd door een bron van The New York Times. Die krant weet bovendien te melden dat het zou gaan om een hack waarbij de point of sale-systemen, in het Nederlands simpelweg kassa's, zijn gebruikt om de creditcarddata buit te maken. Daarbij is mogelijk gebruikgemaakt van malware. Momenteel doen zowel Target, de grote creditcardbedrijven als de Amerikaanse geheime dienst onderzoek naar het lek.

Volgens journalist Krebs werd bij de aanval een dump van de data op de magneetstrip van de kaart buitgemaakt, die daarna op neppassen zou kunnen worden gezet. In tegenstelling tot in Nederland wordt in de Verenigde Staten nog veelvuldig gebruikgemaakt van magneetstrips op creditcards, in plaats van chips op de kaarten. Kopers bij online-winkels van Target zouden niet zijn getroffen.

Hoe lang de hack duurde is niet bekend. De hack zou op of rond Black Friday hebben plaatsgevonden; op die dag doen veel Amerikanen hun kerstinkopen. Aanvankelijk werd gedacht dat de point of sale-systemen tot 6 december geïnfecteerd waren, maar misschien was dat zelfs afgelopen zondag. Mogelijk zijn een miljoen creditcards buitgemaakt, maar het precieze cijfer is nog niet bekend.

Winkel Target

IT-banen

Reacties (74)

Rigs 19 december 2013 07:55

happy newyear alvast indien dit je overkomt als klant, wie gaat hier voor betalen ? target ? de bank ? niemand ?

edit:
deze hack zou de naam Dexter krijgen, en het zit wel leuk uitgedacht in elkaar.
Kortom: ook kassa’s hebben beveiliging nodig

Dexter werd eind vorig jaar voor het eerst ontdekt. Veel winkels, hotels en restaurants met 'Point of Sale' (PoS)-systemen gebruiken een Windowscomputer waarop een kaartlezer is aangesloten. Dexter kan de kaartgegevens die via de kaartlezer worden uitgelezen onderscheppen en naar de criminelen achter de malware doorsturen. Het gaat dan om gegevens als verloopdatum van de kaart, naam van de rekeninghouder en het rekeningnummer.

A little over 50 percent of the infected systems run Windows XP, 17 percent run Windows Home Server, 9 percent run Windows Server 2003 and 7 percent run Windows 7.

Daarnaast kan het voorkomen dat deze systemen, gezien de kritieke toepassingen die erop draaien, trager worden gepatcht dan normale consumentencomputers. De onderzoekers adviseren dan ook om deze PoS-systemen goed te beveiligen en van extra beveiligingsmaatregelen te voorzien, zoals Microsofts Enhanced Mitigation Experience Toolkit

http://www.microsoft.com/...oad/details.aspx?id=41138
https://www.security.nl/posting/371770/

admin paneel voor dexter:
http://cdn.arstechnica.ne...ploads/2012/12/dexter.png

[Reactie gewijzigd door Rigs op 25 juli 2024 19:08]

Verwijderd @Rigs • 19 december 2013 14:14

Target heeft een press release eruit gegooid dat het om 40 miljoen kaarten gaat in de periode 27 november - 15 december.

http://pressroom.target.c...t-card-data-in-u-s-stores

Quacka @Rigs • 19 december 2013 08:05

In dit geval zijn het creditcards, niet zo'n probleem, deze zijn verzekerd.

Maar in het geval van pinpasfraude zeg ik maar:
Contant betalen, helemaal zo gek nog niet!

Als je al wilt pinnen, zou je eigenlijk een aparte betaalrekening moeten afsluiten, bij een andere bank. Hier zet je dan wat geld op, en hiermee kan je je verliezen beperken. Immers kan alleen dit geld gejat worden. Lastig is alleen dat je niet spontaan grote aankopen kunt doen. Voor je eigen portemonnee misschien ook wel verstandig.

Edit: niet dat ik bovenstaande doe... maar eigenlijk zou het wel verstandig zijn...

[Reactie gewijzigd door Quacka op 25 juli 2024 19:08]

cyberstalker @Quacka • 19 december 2013 09:22

Ik doe iets vergelijkbaars: ik zet (bijna) al mijn geld op een spaarrekening. Als ik iets wil kopen maak ik het snel over (voa smartphone) en kan ik meteen pinnen. Als ik mijn pas en pincode verlies kan ik dus nooit meer kwijt zijn dan dat op mijn lopende rekening staat.

Hades.NL @cyberstalker • 19 december 2013 09:51

Helaas kunnen criminelen met je pas, pincode en randomreader (of ander bank specifiek apparaat) gewoon inloggen op je internetbankieren en al je geld van je spaarrekening naar je betaalrekening overmaken. Vanaf daar kan het dan weer worden weggesluisd.
Dus alleen als je spaarrekening bij een andere bank staat ben je echt 'veilig'.

cyberstalker @Hades.NL • 19 december 2013 09:53

Niet als je pinpas niet gebruikt wordt om in te loggen op je internetbankieren, zoals bij Triodos Bank (waar ik klant ben). Volgens mij gaat dit voor de ING ook op.

PepijnK @Hades.NL • 19 december 2013 18:23

Helaas kunnen criminelen met je pas, pincode en randomreader (of ander bank specifiek apparaat) gewoon inloggen op je internetbankieren en al je geld van je spaarrekening naar je betaalrekening overmaken. Vanaf daar kan het dan weer worden weggesluisd.
Dus alleen als je spaarrekening bij een andere bank staat ben je echt 'veilig'.

Voor internetbankieren bij de SNS heb je helemaal geen pinpas of pincode nodig. Je moet de challenge-response key hebben, die een code heeft met meer cijfers dan een pincode. Dat hele verhaal is van elkaar gescheiden.
Dat er banken zijn die een randomreader algemeen maken en het laten afhangen van de pinpas met de normale pincode, wil nog niet zeggen dat alle banken op die manier werken.

lutser @Hades.NL • 19 december 2013 13:37

Precies, daarom heb ik het grootste gedeelte van mijn spaargeld bij de rabobank weggehaald. Levert ook nog meer rente op.

mashell @cyberstalker • 19 december 2013 10:15

Voor de rente hoef je dat niet meer te doen

Doordat die smartphones bankier apps vaak zonder randomreader werken betracht ik die onveilig. Ook acht ik de kans groter de smartphone te verliezen dan mijn bankpas en dat iemand de pincode uit mij weet te persen. Dus daarom juist geen bankier applicatie op mijn smartphone.

Obelink @Rigs • 19 december 2013 08:12

Er is zelfs een speciale versie van in ieder geval Windows XP en 7 voor: Windows Embedded POSReady

fre0n @Obelink • 19 december 2013 08:50

er zijn hier in de buurt een paar winkels die de kassa's op w95 (!) hebben draaien. Vrij zeker geen POS versie

vanaalten @fre0n • 19 december 2013 08:54

Niks mis mee, lijkt mij, indien niet op internet aangesloten.

Tweekzor @vanaalten • 19 december 2013 09:34

Werkt een dergelijk betaalsysteem zonder internet?

Verwijderd @Tweekzor • 19 december 2013 09:40

ja hoor, het gaat immers alleen om de bankverbinding met je pinautomaat; de meeste bedrijven loggen bij opengaan in op de pin die een verbinding houdt tot de bank tot sluit en wat langzamere bellen op bij iedere transactie (ook gevoeliger bij regionale pinstoringen)... je POS op het internet (of liever intranet) aansluiten is eerder om filialen met elkaar en je hoofdkantoor te verbinden.

Powermage @Verwijderd • 19 december 2013 10:44

Pin aan en afmelden is alweer uit de tijd, pin automaten over ethernet zijn eigenlijk gewoon online-on-demand

Verwijderd @Powermage • 19 december 2013 23:56

yep maar is het niet juist de bedoeling dat je het melden gebruikt om een dedicated lijn te krijgen met je bank ipv een ethernetverbinding? (is alweer 2jaar geleden dat ik voor het laatst met een pinautomaat inlogde ;p ). Ik kon me nog herinneren dat er een pinstoring in de aanliggende wijken was en onze winkel de enige was die nog kon pinnen tijdens de storing.

Powermage @Verwijderd • 20 december 2013 08:51

sinds het nieuwe pin protocol wat al een tijdje actief is zie je dat alles over IP communiceert, of de automaat echt via een analoge lijn inbelt (traag en bij veel transacties duur) of dat dit gewoon via Ethernet gaat (al dan niet via een speciale pin verbinding of over het publieke internet) een dedicated lijn is t al lang niet meer.

Jeroen V @Tweekzor • 19 december 2013 14:54

Ja dat kan prima werken; de communicatie tussen de pin terminal en de kassa kan serieel waarbij de PIN terminal een eigen data verbinding met de betaalprovider heeft.

Powermage @Jeroen V • 20 december 2013 08:52

In Nederland is dat eigenlijk de standaard, echter kan die pin terminal over t normale internet als via een speciale verbinding communiceren met de transactieverwerker (Equens of CCV)

Noeandee @Rigs • 19 december 2013 10:32

Wat ik dan weer niet snap bij Target, is dat ze schijnbaar malware in staat stellen om gegevens uit te wisselen richting WAN. Deze POS systemen zouden in principe alleen data mogen uitwisselen van en naar een centraal POS management systeem. Eventueel (weet niet wat er voor toepassingen nog verder draaien op de Target POS systemen) verbinding naar een intranet website voor ophalen van klantgegevens, punten en interne informatie etc. Maar meer ook niet. Uiteraard via een SSL of point to point VPN, dus deze POS systemen zijn uitstekend te beveiligen lijkt me. Sterker nog.. deze systemen moeten je absolute aandacht hebben in beveiliging, aangezien ze kwetsbaar en bedrijf kritisch zijn.

Powermage @Noeandee • 19 december 2013 10:45

Welcome to the real world... op papier zitten die altijd in een beveiligd MPLS of VPN, in de praktijk kunnen ze vaak op internet via onbeveiligde routes.

M.l. @Rigs • 19 december 2013 08:01

De klanten, Target of een verzekering. Heel misschien de criminelen.
Gelukkig werken we hier al een tijdje met de chip.

fre0n @M.l. • 19 december 2013 08:49

waar gelukkig nog geen skim apparatuur voor bestaat.... toch?

het mooie van de chip is dat ze meteen de pincodes kunnen uitlezen.

Powermage @fre0n • 19 december 2013 10:43

Echter in de USA is het gebruikelijk dat de hele software afhandeling van de pin transactie in de kassa verloopt waar in Nederland de meeste automaten alles in de automaat zelf afhandelen en de kassa eigenlijk alleen een bedrag en wat stuurinformatie naar de pin stuurt en deze vervolgens een bevestiging en wat randinfo terug stuurt, dus alle communicatie die je wil hebben vind plaats tussen de pin en de transactie verwerker.

fre0n @Powermage • 20 december 2013 11:12

Je loopt wel risico als je een pasje in een randomreader stopt, bijvoorbeeld eentje die in de bank ligt. Daar kan skimapparatuur in zitten, waarmee ze alle informatie incl pincode gewoon uitlezen en opslaan

MrR0b3rt @fre0n • 19 december 2013 13:23

Ik heb me er nog niet in verdiept, maar ik mag toch hopen dat de pincode niet op de pas weggeschreven staat maar dat deze in een versleutelde vorm in de database van de bank staat?

M.l. @MrR0b3rt • 19 december 2013 14:16

Volgens mij is je pincode helemaal nergens opgeslagen, alleen jij weet het en het kan geverifieerd worden op je chip. Er zijn manieren om je chip af te luisteren in een pinapparaat zodat je de pincode kan achterhalen. Je hebt er alleen niets aan zonder de pas zelf, de chip is tot nu toe nog niet gekopieerd en de magneetstrip werkt over het algemeen niet meer.

tampoera123456 @M.l. • 19 december 2013 16:52

Toch raar, als ik een nieuw pasje krijg, heeft het dezelfde pincode. Dat is best knap geraden dan.

M.l. @tampoera123456 • 19 december 2013 18:38

Ze hebben info om een nieuwe pas te maken die met een bepaalde code werkt, wat die code is waten ze waarschijnlijk niet. Of misschien wel, maar ik denk dat een bank echt niets aan je pincode heeft; dat moeten ze beschermen (want het maakt het natuurlijk aantrekkelijker voor hackers om aan te vallen) en ze hebben het waarschijnlijk niet nodig.

fre0n @MrR0b3rt • 20 december 2013 11:13

Daar schrok ik dus ook behoorlijk van, ze doen het voorkomen als een veiliger methode dan de magneetstrip, maar slaan intussen wel de pin op

TWeaKLeGeND @MrR0b3rt • 19 december 2013 13:28

Jouw bank werkt met smsjes?

MrR0b3rt @TWeaKLeGeND • 19 december 2013 13:55

Nee, uiteraard niet. Maar een pin automaat heeft een verbinding met de bank, dus lijkt het mij veiliger om de ingevoerde pin uit te wisselen met de bank (via een secure verbinding?) en hem daar te laten matchen ipv in het kastje waar mijn pas in zit. Bovendien scheidt je op die manier de 'sleutel' van het 'slot'.

Nogmaals, ik heb me er nooit in verdiept dus misschien is dit niet het geval en misschien is het toch te onderscheppen en wordt het daarom lokaal geregeld. I am just being curious

ComBax @MrR0b3rt • 19 december 2013 16:46

De PIN wordt echt niet bij de bank opgeslagen, die staat gehashed op je pas (MD5/SHA...). Je geeft je code in die vervolgens ook gehashed wordt en deze strings worden vergeleken.
Verbinding met de bank is pas achteraf, om te checken of er genoeg geld op je rekening staat en, als dat het geval is, het bedrag naar de winkelier over te maken.

tampoera123456 @ComBax • 19 december 2013 16:50

Toch raar, als ik een nieuw pasje krijg, heeft het dezelfde pincode. Rara pindakaas.

vinx77 @tampoera123456 • 19 december 2013 17:38

Die wordt gehashed op de kaart geschreven, zoals ComBax uitlegt. Wordt de bank digitaal beroofd, dan hebben ze je pincode dus niet.

Veel mogelijke aanvallen door gehackte betaalapparaten worden vermeden doordat de pin-controle (gedeeltelijk) op de chip te doen.

Amerika loopt qua betaalmethodes enorm achter op Nederland/Europa - wij hebben iDeal en chips, zij nog steeds dezelfde systemen uit de vorige eeuw. De nieuwe kredietkaarten hebben dan wel een chip, maar die werken alleen in de EU.

Verwijderd @MrR0b3rt • 20 december 2013 02:54

Nee dat klopt niet. De pincode is bekend in je pas. Als je in een random reader van de rabobank 3 keer een foute pincode invoert dan blokkeert hij je pas. De random reader heeft geen connectie met de systemen van de bank.
Hij zal echter wel gehashed zijn op de pas zodat hij niet uitleesbaar is maar alleen door een door de gebruiker ingevulde pincode opnieuw te hashen het resultaat te kunnen vergelijken.

MrR0b3rt @Verwijderd • 20 december 2013 07:53

Oke, dat klinkt inderdaad logisch. Maar dat is nog steeds apart imo, want dan is de hash toch te extracten en kun je proberen de hash te reproduceren.

Gezien er maar 10.000 unieke cijfer-codes zijn is het niet heel moeilijk om die hash te kraken. Tenzij het met een niet-standaard algoritme is gehashed, maar dan zou elke bank flink moeten hebben geinvesteerd om een eigen algoritme te ontwikkelen?

Sikkek @MrR0b3rt • 20 december 2013 09:36

De hash staat in een stuk geheugen van de kaart dat je niet kunt uitlezen. Alleen de processor op de chip kan bij dit geheugen... Je code verificatie moet dus via de chip, en na 3 foute pogingen: game over.

fre0n @Sikkek • 20 december 2013 11:14

via geskimde randomreaders wordt de pin gewoon uitgelezen en op de opslag van de skimmer gezet. gebruik dus nooit readers die zomaar ergens liggen.

Sikkek @fre0n • 22 december 2013 13:55

Ja, dan slaan ze de pin op die je in typt. Ze lezen hem niet van de pas, want lukt niet.

Verwijderd @Rigs • 19 december 2013 10:54

Ik heb geen cc. Ik lach me weer eens kapot. Technologie in mijn leven ´downsizen´ levert steeds meer voordelen op.

Maar wie betaald de schade? Wij allemaal. De banken en verzekeringsmijen berekenen dit gewoon door.

tes_shavon @Verwijderd • 19 december 2013 16:11

juist in dit geval kun je beter een cc hebben. Die zijn namelijk verzekerd. Het jaarlijkse bedrag dat je voor je cc betaalt is overigens bijna gelijk aan je bijdrage voor je betaalpas. Je hebt ook cc's waar je geld op kunt zetten zodat je niet de standaardfout begaat om achteraf geconfronteerd te worden met hoge rekeningen die je eigenlijk niet kon betalen.

maar goed... je hebt gelukkig in Nederland de keuze...

PepijnK @tes_shavon • 19 december 2013 18:32

juist in dit geval kun je beter een cc hebben. Die zijn namelijk verzekerd. Het jaarlijkse bedrag dat je voor je cc betaalt is overigens bijna gelijk aan je bijdrage voor je betaalpas. Je hebt ook cc's waar je geld op kunt zetten zodat je niet de standaardfout begaat om achteraf geconfronteerd te worden met hoge rekeningen die je eigenlijk niet kon betalen.

maar goed... je hebt gelukkig in Nederland de keuze...

Dat zal je in de VS nog wel eens vies tegen kunnen vallen. Genoeg aanbieders daar hebben een voorwaarde dat als zij openbaar maken dat er mogelijk gegevens gestolen zijn, dan ben jij verantwoordelijk voor het laten vervangen van je kaart als je denkt dat jouw gegevens bij de gestolen gegevens horen.

Bedenk je wel dat we het hier hebben over een land waar tot een paar jaar terug zorgverzekeraars mensen mochten weigeren op grond van een 'pre-existing condition'.
Dus als je jaren hebt lopen aanmodderen met een chronische ziekte en je vond eindelijk een baan waarbij je ziekenfonds kreeg, dat dat ziekenfonds dan niets hoefde te betalen voor jouw chronische ziekte, omdat je die al had voor je bij hen verzekerd was. Ook complicaties die dan ontstaan na het niet-behandelen van zo'n ziekte waren uitgesloten, omdat ook die voortkomen uit de chronische ziekte die je al had voor je verzekerd was.

Als de CC maatschappijen bekend hebben gemaakt in de VS dat er gegevens gejat zijn, zijn er slechts 2 dingen die je kan en moet doen.
1- blokkeer je CC en vraag een nieuwe aan, die is dan wel gedekt tegen fraude, in tegenstelling tot je oude kaart.
2- neem contact op met een advocaat om uit te laten zoeken of jij geraakt bent door de fraude en zo ja, klaag dan onmiddelijk de CC maatschappij of in dit geval Target aan. Hoe eerder je de aanklacht indient bij de kantonrechter, hoe groter de kans dat je je geld terug krijgt.

robvanwijk

Netwerk en systeembeheer
Privacy

@Rigs • 19 december 2013 15:51

Daarnaast kan het voorkomen dat deze systemen, gezien de kritieke toepassingen die erop draaien, trager worden gepatcht dan normale consumentencomputers.

Het is niet dat je ongelijk hebt... maar denk er eens goed over na, hier staat in feite: "omdat deze systemen sneller gepatched zouden moeten worden, worden ze juist trager gepatched"...

Dr.Root 19 december 2013 08:03

Ik rijdt altijd langs een fabrieksterrein waar de Gemeente hier s'avonds ''Parkeer automaten'' neerzet die defect zijn en voor reparatie daar buiten staan. Open en bloot je moet even over een hekje heenspringen en je kunt aan de gang.

Waarom vertel ik dit? Bij deze apparaten kun je pinnen, laad de software in op deze automaat en je kunt dus betaalgegevens jatten en weet ik veel wat nog meer..

Ik ben recentelijk namelijk een video tegengekomen over hoe DEFCON (Converentie voor hackers / techgeeks etc..etc..) een ATM machine laat jackpotten.

Check dit: Jackpotting ATM Redux Barnaby Jack DEFCON 18:
http://youtu.be/pAOW05UX8fw

Ik hoop dat de gedupeerden hun geld natuurlijk terug krijgen, helemaal met de feestdagen in het verschiet!!

(edit ivm rare ochtend brein opstart probleem zinnen

)

[Reactie gewijzigd door Dr.Root op 25 juli 2024 19:08]

Dr.Root @AceAceAce • 19 december 2013 10:56

Grappig dat jij stelt dat Defcon presentaties toelaat die Hoaxe's / show bevatten.

Dat het een beetje show achtig is gebracht, waarheid. Of het een HOAX is? Daar wil ik meer onderbouwing voor zien. Deze man laat zien wat er kan gebeuren als je WEL kunt penetreren tot het moederbord, wat heeft hij gedaan? een ATM machine gekocht bij een leverancier, het is gewoon om aan te tonen hoe kwetsbaar deze apparaten zijn. Zo heeft men toch ook ooit software geschreven om krachtcentrales de soep in te laten lopen? ''Stuxnet'' dat is dan toch ook maar ''simpele'' software die via usb of wat dan ook wordt geupload en devastreuse gevolgen kan hebben..

Heb toch een vermoeden dat powercentrales beter beveiligd zijn dan ATM machines. Het blijft altijd mensen werk en mensen maken fouten. Daar speel je als hacker op in.

Stel voor: Hij werkt bij de fabriek en plant deze malware op het moederbord (aangezien de kast daar open en bloot staat)

En als je bedoelt dat DEFCON in het algemeen een grote show/hoax show is, dan vindt ik het vreemd dat er na tal van presentaties van zogenaamde ''black hat'' hackers, veel arrestaties worden verricht.

Of ik moet in fabeltjes geloven, ik volg DEFCON nu ongeveer 15 jaar, dingen die zij daar als proof of concept hebben getoond werken. Zelfs op de dag van vandaag nog.

[Reactie gewijzigd door Dr.Root op 25 juli 2024 19:08]

AceAceAce @Dr.Root • 19 december 2013 11:38

Ik heb een hoge pet op van DEFCON, alleen die specifieke presentatie werd gebracht alsof het super baanbrekend of moeilijk was. Ik vond het te makkelijk en niet van het niveau van DEFCON.

arjankoole @AceAceAce • 19 december 2013 11:49

Het gaat niet om hoe makkelijk of niet (hoewel dat altijd leuk is), het gaat vooral om het potentieele gevaar voor de samenleving als geheel. En kwetsbare ATM's zijn een gigantisch groot probleem op dat vlak.

Dr.Root @AceAceAce • 19 december 2013 12:02

-Een presentatie is zeer persoonsgebonden, hoe komt het over etc.. etc..
-Dat iemand zijn idee als baanbrekend presenteert, logisch.

Baanbrekend was, dat het juist kinderspel IS om dit te doen! Hij heeft in geen enkel opzicht laten doorfilteren dat het extreem moeilijk is.

De ontwerper van het systeem (ATM systeem) vertelde ook dat het goed beschermd moest zijn maar ze hebben nooit nagedacht over ''Beveiliging'' alleen tegen val/stoot/water schade etc etc.. dus aan de buitenkant ja.

De presentatie werd in mijn optiek, totaal niet als baanbrekend of super moeilijk gebracht. Het werd juist gehyped door alle andere media, die niks met TECH te maken hebben! Mensen die weinig tot geen verstand van dit soort materie hebben, krijgen bijna een hartaanval als zij dit zouden horen. (hij kon pacemakers hacken

)

Maargoed

meningen verschillen, helaas onderbouwen mensen hun meningen niet vaak genoeg.

[Reactie gewijzigd door Dr.Root op 25 juli 2024 19:08]

Verwijderd @Dr.Root • 19 december 2013 13:27

Dat snap ik niet, wou je zeggen dat black hat hackers die daar een presentatie geven daarvoor gearresteerd kunnen worden?

Dr.Root @Verwijderd • 19 december 2013 13:38

bepaalde zaken die zij presenteren zijn uiteraard, strafbaar.

Zie even 2 snelle voorbeelden:
http://news.cnet.com/2100-1001-270082.html

http://ngablog.com/2010/0...ife-my-weekend-at-defcon/

[Reactie gewijzigd door Dr.Root op 25 juli 2024 19:08]

Eewokney 19 december 2013 08:14

Waarom hoef je eigenlijk geen pincode in te voeren als je met creditcard betaald ?
Heb om die reden altijd zo een onveilig gevoel gehad bij die dingen.

Verwijderd @Eewokney • 19 december 2013 08:24

Omdat je met je handtekening goedkeuring geeft voor de betaling.
Overigens is het zo dat je bij een Creditcard standaard met iemand anders z'n geld betaalt (de bank) dus in het geval van dit soort zaken draait de bank hier voor op. De bank zal wel een claim in dienen bij Target. Als consument is betalen met de CC een van de meest beschermde manieren van betalen, ondanks dat de beveiliging waardeloos is.
edit: in de vs is het pinpad vaak " on-screen" daarom wordt daar betalen met pin juist als onveilig beschouwd, iedereen kan meekijken.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 19:08]

drdelta @Verwijderd • 19 december 2013 10:35

Omdat je met je handtekening goedkeuring geeft voor de betaling.

Nope. Je kunt met een Creditcard betalen met alleen de naam van de houder en het creditcard nummer, bij een betaling met een CC is geen handtekening en ook geen security code nodig. Zo doet dat Amazon dat online trouwens ook.

frankwopereis @Eewokney • 19 december 2013 08:35

Een creditcard kan ook met pincode zijn. Echter hoef/kan je deze pincode niet altijd gebruiken dus dan is hij nog zonder pincode bruikbaar.

Verwijderd @Eewokney • 19 december 2013 09:14

In Zuid Africa moet ik het altijd dubbel doen. "Pinnen" bij de kassa en alsnog het bonnetje tekenen. Ze snappen niet dat je dat electronisch al gedaan hebt, maar het is maar een kleine moeite dus ik berust er in.

Neo_TGP 19 december 2013 07:58

point of sale-systemen, in het Nederlands simpelweg pinautomaten

Een Point of Sale systeem is een kassa.. En niet zo zeer een pinautomaat..

S0epkip @Neo_TGP • 19 december 2013 08:02

Ja, betaalautomaat is misschien een beter woord.

Was dit dan bij alle Targets zo, of enkele filialen? Wel een flinke job in ieder geval, hopelijk worden de fraudelente betalingen eruit gefilterd!

Edit: of zoals hieronder, touchscreen met magneetstriplezer, kan ook

[Reactie gewijzigd door S0epkip op 25 juli 2024 19:08]

Prulleman @S0epkip • 19 december 2013 08:07

Nee computer gestuurd kassa systeem is een beter "woord"

Prulleman @Neo_TGP • 19 december 2013 08:01

Inderdaad, POS is geen pinautomaat, en pos kan wel eenvoudig een pin betaal unit aansturen, omdat het meestal gewoon een volwaardig computersysteem is. Daarom is het ook gelijk een relatief makkelijk doel

/edit, artikel is inmiddels aangepast naar

point of sale-systemen, in het Nederlands simpelweg kassa's

[Reactie gewijzigd door Prulleman op 25 juli 2024 19:08]

Ntr- 19 december 2013 08:33

Dit is niet de eerste keer dat er een PoS gehacked wordt. Ik snap niet dat ze betere maatregelen nemen. Wat eerder bij subway was gebeurd hadden hackers toegang via Remote Access en konden software op installeren. Bij Barnes & Noble waren de terminals gehacked. @Eewokney Bij B&N hadden ze ook de PIN codes buit gemaakt dus zoveel nut heeft het niet gehad.

soepkip 19 december 2013 14:25

Ja, het is met wat meer show gebracht, maar vergeet niet.

Er hoeft maar 1 medewerker van het bedrijf die de pinautomaten vult corrupt te zijn (of ertoe afgeperst worden) om die machines te infecteren.

het is daarna bijna niet meer te achterhalen wie dit is geweest. Laat deze exploit eerst een half jaar slapen, en activeer het en je kunt redelijk zorgeloos cashen

Schnupperpuppe 19 december 2013 15:22

Nou ja, in NL heeft een kassa i.i.g. geen toegang tot bank-, pas- of PIN-gegevens.
De PIN-automaat is een apparaat dat de POS-verbinding scheidt van de bank-verbinding.

Verwijderd 19 december 2013 16:08

Mits een beetje netwerk monitoring kan je uitzonderlijk uitgaand (en binnenkomend) verkeer toch detecteren? Als er plots gecommuniceerd wordt met IP's die gebruikt worden op andere continenten, dan kan je er toch vanop aan dat er iets fout loopt?
Zelfs al is je installateur corrupt of wat dan ook, ik neem aan dat een beetje competent systeembeheerder toch iptraf en netstat logs bijhoudt?

xONet 19 december 2013 08:59

Fascinerend, dit. Maareh... 'neppe' ?? Neppassen misschien?

Verwijderd 19 december 2013 11:45

Moet je je winkel maar geen "target" noemen

.

-1'tjes toegestaan

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (74)

Sorteer op:

Weergave: