image

ABN Amro lanceert Pinloze betaalpas

vrijdag 11 juni 2010, 10:01 door Redactie, 41 reacties

De ABN Amro heeft een nieuwe betaalpas die geen pincode meer vereist bij het afrekenen. "Betalen gaat niet via een magneetstrip of chipknip, maar je hoeft de pas alleen vlak bij de pinautomaat te houden", zegt directeur betalingsverkeer Gijs Schreuder tegenover de Telegraaf. Een pincode is daarmee verleden tijd. "Het is vergelijkbaar met de ov-chipkaart", aldus de ABN-Amro topman.

Die noemt het nieuwe betaalmiddel "tap & go". Om te betalen moet de eigenaar de pas tot 1 centimeter van de betaalautomaat houden. De betaalpas, die volgens de bank een alternatief voor de chipknip kan worden, accepteert betalingen tot 25 euro. Verder zou de pas volgens Schreuder 'heel zwaar' beveiligd zijn. "Het aantal transacties wordt bijgehouden. Ook moet je af en toe verbinding maken met de bank."

Reacties (41)
11-06-2010, 10:09 door johanw
Lijkt me reteonveilig. Kun je ook opt-outen in dat systeem? Chipknip is makkelijk te opt-outen door er niks op te zetten maar dit lijkt direct van je rekening af te gaan.
11-06-2010, 10:14 door Skizmo
Ik dacht dat ze van het hele chipknip idee af willen ? 'Klein bedrag, pinnen mag' is toch goed genoeg ?
11-06-2010, 10:15 door Anoniem
ov-chipkaart 2.0. Overigens is dit systeem samen met de ov-chipkaart al jaren in Hong Kong. Ik vind het maar niets..
11-06-2010, 10:42 door D3NN13L
En dan nu de woordvoerder van de ABN (van de Volkskrant website):

[bullshite]: "Over de veiligheid is ook nagedacht. ‘Je staat met de pas rechtstreeks in contact met je bankrekening. Skimmen is niet mogelijk omdat de betalingen niet via de magneetstrip lopen’, aldus de woordvoerster. " [/bullshite]

Heeft iemand anders ook het gevoel dat als dit de officiële uitlatingen van ABN zijn, het systeem wel kut MOET zijn? Wie weet er leuke aanvallen? Roept u maar . . .
11-06-2010, 10:43 door Anoniem
Welk probleem wordt hiermee opgelost? Het lijkt mij bijzonder onwenselijk om niet expliciet en ondubbelzinnig toestemming te kunnen geven voor een betaling.
11-06-2010, 10:54 door Anoniem
Zijn ze nou helemaal gek geworden? De OV-Chipkaart heeft al aangetoont dat contactloze transacties zonder PIN totaal onveilig zijn. Ook van contactloze credit cards is dit al aangetoont (http://www.youtube.com/watch?v=vmajlKJlT3U). Skimmen is niet nodig, omdat de kaart zonder fysieke toegang op afstand kan worden gekloond. De back-end systemen die de transacties moeten controleren zullen de kosten alleen maar hoger maken. Bij de OV-Chipkaart worden gekloonde kaarten geblokkeerd zodra het back-end constateerd dat de kaart vrijwel gelijktijdig op 2 verschillende locaties wordt gebruikt. De rechtmatige gebruiker van de kaart zal dan zijn pas niet meer kunnen gebruiken.

''Winkeliers en consumenten hebben behoefte aan betaalproducten die gemak, efficiëntie en veiligheid bevorderen'' (http://www.nu.nl/economie/2267403/contactloos-betalen-met-bankpas.html)
Dat betwijfel ik. Als je al niet met een Chipknip of PIN-pas om kan gaan, verdien je contactloos betalen niet.
11-06-2010, 10:54 door Anoniem
Hahaha... het maakt geen contact dus het is niet te kopieeren..

ABN-Amro Directeur betalingsverkeer Gijs Schreuder gebruikt zeker ook een draadloos netwerk, want dat kan je niet aftappen... En een mobiele telefoon, want die kan je niet afluisteren..

Alsof het medium van belang is.. het gaat om de beveiliging van het medium.. Niet het medium zelf..

Ik neem aan dat deze man zijn bonus, alleen al om deze uiting, niet krijgt.
11-06-2010, 10:55 door Anoniem
Is dit een grap? Serieus, dit gaan ze toch niet menen hé :D
Ik blij dat ik niet bij die bank, zit wat een idioten!! :|
11-06-2010, 11:07 door Anoniem
"De pas moet ongeveer 1 centimeter van het apparaat worden gehouden om te betalen."

Indien de ontvanger in het apparaat voorzien wordt van een sterkere antenne om de ontvangst te verbeteren, kan je dat bereik dan ook groter maken ? En kan je met een apparaat in je tas in de metro geld afschrijven van passen van andere reizigers indien zij dicht genoeg bij staan ?

Overigens zie ik hoe dan ook niet in welk voordeel deze nieuwe pas heeft voor de klanten, maar misschien dat anderen hier wel nut zien in deze nieuwe betaalmethode en hier wat meer over kunnen vertellen ?

"Een pincode is daarmee verleden tijd."

Klinkklare onzin. Tenzij je met je pas in de toekomst geen betalingen boven de 25 euro meer mag verrichten. De pincode is net zo min verleden tijd als bij de chipknip. Het is een extra betaalmethode naast de betaling met pincode.

"De pas is volgens Schreuder 'heel zwaar' beveiligd .Het aantal transacties wordt bijgehouden. Ook moet je af en toe verbinding maken met de bank."

Wat heeft het feit dat het aantal transacties wordt bijgehouden en het feit dat er verbinding gemaakt wordt met de bank in hemelsnaam van doen met 'zware beveiliging' ? Immers wordt bij (succesvolle) frauduleuze afboekingen ook contact gezocht met de bank, en het bijhouden van het aantal transacties voorkomt ook niet direkt fraude.
11-06-2010, 11:10 door Anoniem
Om te betalen moet de eigenaar de pas tot 1 centimeter van de betaalautomaat houden.

Dus om 25 euro te "lenen"hoef je alleen maar met een leesapparaat op korte afstand langs iemand te gaan, zodat de pas reageert. Handig, doe een pak aan van een beveiliger, zet een poortje neer dat altijd piept en ga met een handscanner langs iemand zijn kleren. Mits goed opgezet heb je een leuk uurloon....
11-06-2010, 11:11 door Anoniem
@D3NN13L

"Wie weet er leuke aanvallen? Roept u maar . . ."

Vriend, je zit hier niet op geenstijl he, niet zo kinderachtig aub en maak gewoon je punt of opmerking, als je mensen wilt mobiliseren of wat dan ook prima, maar ga niet afglijden op security.nl met dit soort teksten, kom met een goed plan of voorstel.
11-06-2010, 11:17 door Anoniem
Er staat niet dat je niet op OK hoeft te drukken, alleen dat je geen pincode nodig hebt. Ik neem aan dat het idee is dat je echt de kaart nodig hebt en dat je de informatie die er op zit niet kan kopieren.

Het probleem is echt dat dit alleen in nederland gaat werken en dat de rest van de wereld nog steeds magneetstripppen gebruikt, dus zal je pas toch nog een strip hebben die geskimt kan worden.
11-06-2010, 11:28 door Speedy
Hoezo primeur???

Dit bestaat al heel lang bij Barclay's in het Verenigd Koninkrijk en in Maleisie met een betere naam Touch en Go.
Of moeten we het Jat en Go noemen.
11-06-2010, 11:42 door Preddie
Inhoudelijk weet ik net als veel andere nog niks over de techniek maar dit klinkt zorgelijk in de oren, vooral als je dit leest:

"Het is vergelijkbaar met de ov-chipkaart"

en je weet hoe het nu met de ov-chipkaart gesteld is......
11-06-2010, 11:43 door Anoniem
"Skimmen is niet mogelijk omdat de betalingen niet via de magneetstrip lopen"

Vraag me af welke RFID kaarten zie hiervoor gaan gebruiken, zou toch mooi zijn als het weer myfare is :') De magneestrip kan je niet uitlezen, maar je kan hem wel kopieren vanaf 3 meter afstand, handig.
11-06-2010, 12:21 door D3NN13L
Door Anoniem: @D3NN13L

Vriend, je zit hier niet op geenstijl he, niet zo kinderachtig aub en maak gewoon je punt of opmerking, als je mensen wilt mobiliseren of wat dan ook prima, maar ga niet afglijden op security.nl met dit soort teksten, kom met een goed plan of voorstel.

Mijn excuses als ik vanochtend in mijn haast u tegen het zere been heb geschopt meneer anoniem. Ik kan zo al een paar mogelijke aanvallen bedenken, maar ben niet bekend met de details van het systeem of de gebruikte beveiliging. Aangezien er ook lezers zijn die dat ongetwijfeld al wel weten heb ik er geen betoog van gemaakt. Mijn eerste vectoren zouden zijn: idd het sniffen van de communicatie, het klonen van de kaart, een mitm aanval? en natuurlijk kijken of een lezer zo te manipuleren is dat de prijzen automatisch hoger worden doorgegeven dan op de kassa staat.

Misschien dat u onder een account moet bashen, dat verlicht het geenstijl gevoel. Mijn punt was: als de officiele communicatie al drogredenen bevat, voordat het systeem überhaupt gebruikt wordt (door het publiek) het wat mij betreft valt onder "wij weten heus wel wat we doen, gaat u maar rustig slapen". Tot u dienst.
11-06-2010, 12:24 door Anoniem
"Er staat niet dat je niet op OK hoeft te drukken, alleen dat je geen pincode nodig hebt. Ik neem aan dat het idee is dat je echt de kaart nodig hebt en dat je de informatie die er op zit niet kan kopieren."

Sinds wanneer is op OK drukken een vorm van beveiliging ? Verder zegt helemaal niemand dat je de kaart niet nodig hebt, echter kan je wel (zeker met een gemodificeerd apparaat met groter bereik) van de passen van derden geld afschrijven.
11-06-2010, 12:36 door Anoniem
Leuk! Hoef je als zakkenroller alleen nog maar tegen een tas aan te vallen.. Al dat gedoe met mensen afleiden en voorzichtig betasten is gelukkig niet meer nodig. Kassa!
11-06-2010, 12:39 door Anoniem
Wat nou als je de kaart verliest/gestolen?
Dan heb je geen pin meer nodig om iets van de bakn af te halen ?
11-06-2010, 13:23 door Anoniem
Toevallig ben ik zelf actief bij een bedrijf dat werkt met beveiligde transactions, en ben ik zelf bezig met een testen van betaalkaarten die met zowel contact als contactloos kunnen betalen.

De gebruikte betaal applicatie is de Mastercard Meastro Paypass applicatie.

EMV kaarten gebruiken nu SDA, DDA of CDA. De SDA (SDA kaarten kunnen wel gekloond worden, maar zelf passen met chips bakken is een stuk prijziger (dus onaantrekkelijker) dan de magneetstrips die we kennen van skimmen. Wanneer er DDA gebruikt wordt zal er authenticatie plaatsvinden volgens een challenge & MAC principe. Nadeel is dat dit iets langer duurt als je tap&go'd.

Daarnaast wordt Paypass al veel meer gebruikt in Amerika, maar daar heb je vaak nog de Magstripe Paypass mode, en niet de EMV Paypass mode waar we hier van spreken.

Niet zo panisch doen mensen
11-06-2010, 13:36 door Anoniem
Ik ben niet bij ABN Amro, anders zou ik er nu meteen heenfietsen om mijn rekening op te zeggen. Skimmen is niet mogelijk, zeggen ze. Wat ze niet zeggen: het is ook helemaal niet nodig. Even voor het weekend een ABN Amro-pas scoren en je kunt weer gratis boodschappen doen. Je moet wel winkel in, winkel uit, maar in een winkelcentrum is dat geen moeite. Gratis kopje koffie tussendoor. Met een appelflap, kost toch niks. De meeste bankklanten zijn zo laks dat je met zo'n pas wel een weekje vooruit kunt.
11-06-2010, 14:13 door Anoniem
Door Anoniem: ov-chipkaart 2.0. Overigens is dit systeem samen met de ov-chipkaart al jaren in Hong Kong. Ik vind het maar niets..

De octopuskaart, zo wordt deze genoemd. heb ik zelf ook uit mogen proberen in HongKong. Ik moet zeggen dat het een stuk beter werkt dan onze OV chipkaart. Of het veiliger is durf ik niet te zeggen maar HongKong heft het inderdaad al jaren en er zijn daar nooit problemen. Nu zit dat hem ook wel in de aard van het beestje wat mensen ouden zich over het algemeen zich beter aan de regels daar.

Persoonlijk snap ik niet wat dit voor een extra's bied voor een land die een pinpas heeft. Ik hoop wel dat dit kaartje geen machtiging op je bankrekening heeft haha.... -_- ik zie het gewoon nog gebeuren ook.. kan je alvast met je kaart blokeer telefoonnummer onder de sneltoets de straat op.
11-06-2010, 14:27 door _Peterr
Dat er geen PIN gebruikt wordt heb ik geen moeite, heeft de chipknip ook niet. Maar contactloos, op afstand. Daar begin ik voorlopig nog niet aan. Mijn gevoel is daar niet goed bij.
11-06-2010, 16:33 door Anoniem
Om te betalen moet de eigenaar de pas tot 1 centimeter van de betaalautomaat houden.

De afstand voor dit soort systemen is afhankelijk van de gebruikte antenne. Wanneer er een hoge kwaliteit antenne gebruikt wordt, kan er waarschijnlijk een betaling gedaan worden over een afstand van 1 a 2 meter.

scenario:
Criminelen hebben een draadloos (UMTS) betaal systeem aangepast met een hoge kwaliteit antenne. Dit systeem is verstopt in een rugzak. De crimineel gaat nu naar een druk bezochte plek, zoals een station. Ongemerkt worden er nu verschillende betalingen gedaan van 25 euro. Als deze crimineel dit een paar dagen volhoud, heeft hij toch een lekker maand salaris verdient.

We hebben al gezien dat de OV chipkaart niet veilig is, echter valt hier heel lastig geld mee te verdienen. Ook de beveiliging van dit betaal systeem lijkt mij niet 100% water dicht.
In het verleden is wel gebleken dat wireless technieken niet samen gaan met security.
11-06-2010, 16:38 door Anoniem
Buiten het feit dat deze passen op afstand uit te lezen zijn (en een challange heeft ook geen nut als ze eenmaal het algoritme gekraakt hebben) is het natuurlijk superhandig om gewoon zo'n pas te stelen en op de bonnefooi te betalen. Heerlijk, laat maar komen!
11-06-2010, 16:49 door Anoniem
Opzich erg handig. Hoop paranoia reacties hier maar dat is te verwachten op een sec forum.
Op een creditcard zit ook geen PIN code.

Ik zou het wel willen gebruiken maar dan moet de encryptie sterk zijn en er moet een straling werende behuizing er omheen worden meegeleverd die je open knijpt op het moment dat je betaald zodat dat ding niet op afstand valt uit te lezen.

my 2 cents,

bl33p
11-06-2010, 17:17 door spatieman
nieuwe trend: wireless scimming.
11-06-2010, 18:18 door Anoniem
Los van alle bedenkingen die anderen al genoemd hebben erger ik me eraan dat kennelijk elke bedrijfstak zijn eigen digitale portemonnee moet uitvinden, die ieder afzonderlijk van een saldo voorzien moeten worden. Met hoeveel geld, fysiek en op allerlei chipkaartjes, loop je uiteindelijk op zak? Kan er niet één gezamenlijke dijk van een oplossing bedacht worden die echt goed in elkaar zit?
11-06-2010, 18:43 door Preddie
Door Anoniem: Opzich erg handig. Hoop paranoia reacties hier maar dat is te verwachten op een sec forum.
Op een creditcard zit ook geen PIN code.

Dat is ook de reden dat er zoveel slachtoffers zijn met een creditcard .....
11-06-2010, 18:43 door Security Scene Team
Door Anoniem: Zijn ze nou helemaal gek geworden? De OV-Chipkaart heeft al aangetoont dat contactloze transacties zonder PIN totaal onveilig zijn. Ook van contactloze credit cards is dit al aangetoont (http://www.youtube.com/watch?v=vmajlKJlT3U). Skimmen is niet nodig, omdat de kaart zonder fysieke toegang op afstand kan worden gekloond. De back-end systemen die de transacties moeten controleren zullen de kosten alleen maar hoger maken. Bij de OV-Chipkaart worden gekloonde kaarten geblokkeerd zodra het back-end constateerd dat de kaart vrijwel gelijktijdig op 2 verschillende locaties wordt gebruikt. De rechtmatige gebruiker van de kaart zal dan zijn pas niet meer kunnen gebruiken.

''Winkeliers en consumenten hebben behoefte aan betaalproducten die gemak, effici?ntie en veiligheid bevorderen'' (http://www.nu.nl/economie/2267403/contactloos-betalen-met-bankpas.html)
Dat betwijfel ik. Als je al niet met een Chipknip of PIN-pas om kan gaan, verdien je contactloos betalen niet.

True.. simpel gezegt maken ze het steeds makkelijker voor de Skimmers.
en ja dit is aangetoond. Ook isdit vergelijkbaar met het RFID ideetje dat in onze Paspoorten & ID-kaarten zit.
Ook hiervan werd gezegt "zwaar" beveiligd te zijn, maar Feit wil nu dat mensen met een Krachtige RFID (radio-golven) al vanaf 50m kan ontvangen, en inje Hobby-hokje de kaart of paspoort kan Alteren en je een Vervalse IDkaart of paspoort kan maken.

ik blijf me verbazen over de slechte inzicht die ze in deze technieken hebben.

Ik blijf lekker Bij de RaboBank, Vindt het RandomReadertje erg fijn, netals de SSL verbindinging naar hun klanten site toe.

-1 ABN Amro
12-06-2010, 13:23 door Anoniem
ik zie een nieuwe trend "reapers" i.p.v. skimmers. Jat de pas en je bent klaar.
12-06-2010, 13:24 door WhizzMan
Ik betaal tegenwoordig weer gewoon contant. Een stuk veiliger en beter voor m'n privacy. Banken maken het alleen maar duurder en vervelender om zaken met ze te doen, zonder dat er voordelen tegenover staan in een boel gevallen.

Iedereen die beweert dat een systeem veilig is zonder er zelf technische kennis over te hebben en die te delen is onbetrouwbaar. Topmensen van banken zijn statistisch gezien ook onbetrouwbaar gebleken de afgelopen 10 jaar of zo. Het lastige is dat politici dat niet inzien of dat niet willen laten blijken. Ze willen kennelijk na hun politieke carriere allemaal een baantje als bankier...
12-06-2010, 13:41 door Security Scene Team
precies dan het heft zelf maar in handen nemen ;) goed ding.

met elk systeem blijft natuurlijk ook weer dat 't zo beveiligd is als de persoon die erachter zit. zo te zien zijn zij zwaar instabiel.
12-06-2010, 20:05 door [Account Verwijderd]
[Verwijderd]
12-06-2010, 20:52 door P5ycH0
De enige betaal/reis/documenten die ik wil zien zijn NIET draad of contactloos.
Draadloze communicatie is NIET te beveiligen. Je hebt ten eerste geen enkel idee wanneer je pas gescanned word / is.
Ook moet men nu in 2010 inmiddels wel doorhebben dat dit niet werkt. Gaat men hier ook weer bijhouden wie waar is geweest? Bij onze fijne ov chipkaart staan je reisgegevens voor 7 jaar opgeslagen. Maar oh wat handig is het toch.
Ik wil GEEN rfid chip in mijn paspoort, rijbewijs, id kaart, bankpas, etc etc. Er is voor mijn geen enkel voordeel t.o.v. een magneetstrip. Ik prefereer cash betalingen. Pinnen doe ik bij slechts bij 1 automaat.

Ik wil er best aan, maar dan moeten de heren bankiers wel even een contractje tekenen.
Daarin zal staan dat ze per privacy schending een boete van 10.000 euro kunnen verwachten.
Bij fraude moet het gefraudeerde bedrag direct worden vergoed, en moet de bank 10.000 euro boete betalen omdat men heeft gelogen over de veiligheid.
Bij het in twijfel trekken van een fraude claim dient het 'missende' bedrag direct te worden overgemaakt, en zal de bankdirecteur op de knieen zijn excuses aan moeten bieden.

Heerlijk om even zo weg te dromen.....
12-06-2010, 21:09 door Anoniem
Droom maar fijn. Brazil...
13-06-2010, 09:17 door Dev_Null
De ABN Amro heeft een nieuwe betaalpas die geen pincode meer vereist bij het afrekenen

1. Als je dit betaalpasje verliest.. ben je de pisang. Er is geen enkele beveiliging meer die "een derde" tegenhoud om je rekeningen te plunderen omdat je ZELF geen pincode meer hoeft in te toetsen.

Om te betalen moet de eigenaar de pas tot 1 centimeter van de betaalautomaat houden
2. Daarnaast is deze pas ook mooi te gebruiken om mensen te TRACEREN via de reeds ingebouwde RFID techniek OP GROTERE AFSTANDEN :-)
13-06-2010, 10:40 door Anoniem
Dit is hetzelfde als de chippas alleen contactloos. Je kan er maar max 25 euro opzetten er dat moest dacht ik wel via pincode. Maar dat neemt niet weg dat je zakkenrollers 2.0 gaat krijgen. Ook waren we volgens mij net van die blunder van een chipas knip af. Helaas kans gemist Zalm je ziet toch dat er een overheid persoon achter zoiets zit. Totaal van god los en het mag wat kosten.
13-06-2010, 15:20 door Anoniem
Hier 'n klein artiekeltje, over 'n 'beveiligde' Beurs voor je Pasjes, tegen Regen etc. En ook Identiteits dieven!
gewoon 'n paar simpele Stainless Staal plaatjes erin plaatsen en klaar ;)

Mensen wees Alert, zoals jullie zien doen de Banken en instaties dit niet! zij willen verdiennen en niets anders dan dat. dus Echte beveiliging zulje zelf moeten toepassen. en dit kan heel simpel en goedkoop ;)

http://www.wired.com/gadgets/miscellaneous/news/2007/07/steel_wallet

En Tja, Als je je pasjes niet goed opbergt en dus verliest, dan Vraag je er eigenlijk om, om te worden Skimmed.
dus wees zuinig op je bezit, en overweeg deze simpele toepassingen op je beurs ;)
13-06-2010, 15:23 door Security Scene Team
mensen wees zuinig op je bezit en ga hier dus ook ERG voorzichtig mee te werk.

door die 'Scanners' te slim af te zijn, kunje dit eens doen:
http://www.wired.com/gadgets/miscellaneous/news/2007/07/steel_wallet

gewoon n Stainless Staal beurs. dit voorkomt dat jouw RFID chipjes kunnen uitzenden, en worden ontvangen door kwaadwilligen.

Security is a state of mind, NOT Reality!
15-06-2010, 12:46 door Anoniem
KLEIN BEDRAG PINNEN MAG...... hoeveel mensen weten eigenlijk dat de bank nu per pinbetaling een bedrag in rekening brengt. Het is inderdaad een succes.. vooral voor de banken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.