Privacy
- Wat niemand over je mag weten
Black Hat Asia laat zien hoe makkelijk het is met een contactloze bankpas op afstand te betalen
Op de Black Hat conferentie van 27 maart is een presentatie gegeven waarbij wordt getoond hoe makkelijk het is geworden om met twee telefoons en een app op afstand een betaling te doen met een contactloze bankpas.
Dit kan natuurlijk ook misbruik in de hand werken. Toch maar over op een beschermhoesje ?
Op internet staan voldoende aanbieders hiervan.
Voor de geïnteresseerden:
https://www.blackhat.com/docs/asia-15/materials/asia-15-VandenBreekel-Relaying-EMV-Contactless-Transactions-Using-Off-The-Shelf-Android-Devices.pdf
Dit kan natuurlijk ook misbruik in de hand werken. Toch maar over op een beschermhoesje ?
Op internet staan voldoende aanbieders hiervan.
Voor de geïnteresseerden:
https://www.blackhat.com/docs/asia-15/materials/asia-15-VandenBreekel-Relaying-EMV-Contactless-Transactions-Using-Off-The-Shelf-Android-Devices.pdf
Reacties (9)
Het is jammer dat aan deze vorm van fraude zo veel aandacht wordt besteed. De kans dat dit daadwerkelijk wordt misbruikt is namelijk helemaal niet zo groot. Er zitten namelijk een paar haken en ogen aan.
1) Het kan in NL met maximaal 25 euro, daarna heb je een pincode nodig
2) Het kan alleen wanneer een telefoon voor een betaalterminal staat en de ander precies op dat moment de andere kaart afluisterd (Volgens mij kunnen NL contactloze kaarten alleen gebruikt worden voor Online betalingen, dat is in ieder geval wel zo met mobiel betalen, maar dat kan ik mis hebben)
3) Je staat altijd met je snuffer op de camera. Denk je echt dat iemand dat risico neemt voor 25 euro?
Banken waren hier verder al lang van op de hoogte. Wat KPMG hier aantoont is helemaal niet nieuw (het is al zo oud als HCE op android devices) en er zijn zelfs al apps in de AppStore die dit kunnen.
1) Het kan in NL met maximaal 25 euro, daarna heb je een pincode nodig
2) Het kan alleen wanneer een telefoon voor een betaalterminal staat en de ander precies op dat moment de andere kaart afluisterd (Volgens mij kunnen NL contactloze kaarten alleen gebruikt worden voor Online betalingen, dat is in ieder geval wel zo met mobiel betalen, maar dat kan ik mis hebben)
3) Je staat altijd met je snuffer op de camera. Denk je echt dat iemand dat risico neemt voor 25 euro?
Banken waren hier verder al lang van op de hoogte. Wat KPMG hier aantoont is helemaal niet nieuw (het is al zo oud als HCE op android devices) en er zijn zelfs al apps in de AppStore die dit kunnen.
Inderdaad maar gauw beschermen die bankpas. Ze kunnen dus gewoon je bankrekening nummer aflezen op afstand ?
Door Anoniem:
1) Het kan in NL met maximaal 25 euro, daarna heb je een pincode nodig
Klopt, maar ga met zo'n scanner rondlopen op bv Utrecht centraal en dan heb je wellicht heel vaak 25,- per keer binnen...1) Het kan in NL met maximaal 25 euro, daarna heb je een pincode nodig
2) Het kan alleen wanneer een telefoon voor een betaalterminal staat en de ander precies op dat moment de andere kaart afluisterd (Volgens mij kunnen NL contactloze kaarten alleen gebruikt worden voor Online betalingen, dat is in ieder geval wel zo met mobiel betalen, maar dat kan ik mis hebben)
De enige manier om dit tegen te gaan is door de pas (en dus de chip) af te schermen.
3) Je staat altijd met je snuffer op de camera. Denk je echt dat iemand dat risico neemt voor 25 euro?
https://www.youtube.com/watch?v=7fVuX7Pl4-Q
Door Anoniem:
2) Het kan alleen wanneer een telefoon voor een betaalterminal staat en de ander precies op dat moment de andere kaart afluisterd (Volgens mij kunnen NL contactloze kaarten alleen gebruikt worden voor Online betalingen, dat is in ieder geval wel zo met mobiel betalen, maar dat kan ik mis hebben)
Dus niet... iedere bankpas met zo'n chip kan altijd gescand worden met een lezer (op bv de telefoon).
De enige manier om dit tegen te gaan is door de pas (en dus de chip) af te schermen.
3) Je staat altijd met je snuffer op de camera. Denk je echt dat iemand dat risico neemt voor 25 euro?
Ja, om dit te doen bij pinautomaten is idd niet handig, maar zoals ik al zei... ga met een "scanner" op Utrecht Centraal rondlopen dan heb je al gauw beet denk ik.
https://www.youtube.com/watch?v=7fVuX7Pl4-Q
Door Anoniem:
1) Het kan in NL met maximaal 25 euro, daarna heb je een pincode nodig
Klopt, maar ga met zo'n scanner rondlopen op bv Utrecht centraal en dan heb je wellicht heel vaak 25,- per keer binnen...1) Het kan in NL met maximaal 25 euro, daarna heb je een pincode nodig
2) Het kan alleen wanneer een telefoon voor een betaalterminal staat en de ander precies op dat moment de andere kaart afluisterd (Volgens mij kunnen NL contactloze kaarten alleen gebruikt worden voor Online betalingen, dat is in ieder geval wel zo met mobiel betalen, maar dat kan ik mis hebben)
De enige manier om dit tegen te gaan is door de pas (en dus de chip) af te schermen.
3) Je staat altijd met je snuffer op de camera. Denk je echt dat iemand dat risico neemt voor 25 euro?
https://www.youtube.com/watch?v=7fVuX7Pl4-Q
Leuk Youtube filmpje.. Is alleen niet mogelijk in NL. Onze contactloze bankpassen maken geen gebruik van Contactless Magstripe maar zijn gebaseerd op de EMV specificaties. Daarbij is de PAN (die dus over de contactloze interface wordt verstuurd) niet zoals in de VS gebaseerd op het nummer op de kaart. Hierdoor kun je dus door het kopieren van deze gegevens onmogelijk een CNP transactie doen.
Verder gaat 3 natuurlijk om BETALEN niet om het ophalen van de gegevens. Elke winkel heeft tegenwoordig wel camera's. Daarbij is het niet mogelijk om contactloos geld op te nemen (hier niet, en zo ver ik weet wereldwijd niet)
Als 4e wilde ik er overigens ook nog op wijzen dat veel mensen in NL meerdere passen in hun portemonnee hebben zitten die allemaal gebaseerd zijn op ISO 14443 (OV-chipkaart, meerdere bankpassen, accesspas voor bedrijf, sportpasjes, studentenkaarten) (Niet allemaal want sommigen werken op een andere frequentie). Een attacker heeft dus ook nog problemen met anti-collision.
Nogmaals, leuk verhaal maar niet nieuw en niet iets om je zorgen over te maken.
Mijn telefoon (gsm) moet alleen maar kunnen telefoneren en in extremis een berichtje kunnen versturen, dat Wi-Fi gedoe staat uit en op vlietuigmodus.
Weg met die Wi-Fi rommel.
Weg met die Wi-Fi rommel.
Hoezo 25 euro ?? Een pincode afkijken is niet zo heel nieuw en ingewikkeld. 25 euro wordt dan duizenden euro's !!
denk dat scenario nou eens helemaal door. je hebt een lezer met een groot bereik en gaat naar utrecht centraal.
en dan? om echt geld af te gaan schrijven is een beetje communiceren met een pas echt niet voldoende lijkt me. wat levert het je op, echt geen 25 euro cash in je portemonnee per succesvolle leesactie. nee je zult een relatie met een bank hebben waar het "gelezen" geld terecht komt. die zal je niet zomaar krijgen en zeker niet als deze praktijk vaker voorkomt.
daarnaast is er dus een transactie die gevolgd kan worden en waarop een bank actie kan overnemen. zodra ze opeens een grote piek in zulke transacties zien dan kunnen ze sowieso de account van de aanvaller blokkeren en mogelijk ook het contactloos betalen.
als consument krijg je je gestolen geld dan wel terug. voor de doemdenkers die beginnen over eigen verantwoordelijkheid en kleine lettertjes in contracten. als "we" een paar topfigureren zover krijgen dat je delen van bonussen teruggeven dan komt geld dat gewoon duidelijk gestolen is vanwege een probleem met de techniek ook wel terug. kan even duren en zeker de eerste keren zal het vervelend zijn, maar de gedachte dat ze je zomaar kunnen bestelen is zwaar overdreven.
geen betalingssysteem is 100% veilig, van meerdere zijn aanvallen bekend en die worden toegepast. maar ze worden nog gewoon gebruikt. de banken bouwen een risico marge in en proberen het te verbeteren.
en dan? om echt geld af te gaan schrijven is een beetje communiceren met een pas echt niet voldoende lijkt me. wat levert het je op, echt geen 25 euro cash in je portemonnee per succesvolle leesactie. nee je zult een relatie met een bank hebben waar het "gelezen" geld terecht komt. die zal je niet zomaar krijgen en zeker niet als deze praktijk vaker voorkomt.
daarnaast is er dus een transactie die gevolgd kan worden en waarop een bank actie kan overnemen. zodra ze opeens een grote piek in zulke transacties zien dan kunnen ze sowieso de account van de aanvaller blokkeren en mogelijk ook het contactloos betalen.
als consument krijg je je gestolen geld dan wel terug. voor de doemdenkers die beginnen over eigen verantwoordelijkheid en kleine lettertjes in contracten. als "we" een paar topfigureren zover krijgen dat je delen van bonussen teruggeven dan komt geld dat gewoon duidelijk gestolen is vanwege een probleem met de techniek ook wel terug. kan even duren en zeker de eerste keren zal het vervelend zijn, maar de gedachte dat ze je zomaar kunnen bestelen is zwaar overdreven.
geen betalingssysteem is 100% veilig, van meerdere zijn aanvallen bekend en die worden toegepast. maar ze worden nog gewoon gebruikt. de banken bouwen een risico marge in en proberen het te verbeteren.
Door Anoniem: denk dat scenario nou eens helemaal door. je hebt een lezer met een groot bereik en gaat naar utrecht centraal.
en dan? om echt geld af te gaan schrijven is een beetje communiceren met een pas echt niet voldoende lijkt me. wat levert het je op, echt geen 25 euro cash in je portemonnee per succesvolle leesactie. nee je zult een relatie met een bank hebben waar het "gelezen" geld terecht komt. die zal je niet zomaar krijgen en zeker niet als deze praktijk vaker voorkomt.
daarnaast is er dus een transactie die gevolgd kan worden en waarop een bank actie kan overnemen. zodra ze opeens een grote piek in zulke transacties zien dan kunnen ze sowieso de account van de aanvaller blokkeren en mogelijk ook het contactloos betalen.
als consument krijg je je gestolen geld dan wel terug. voor de doemdenkers die beginnen over eigen verantwoordelijkheid en kleine lettertjes in contracten. als "we" een paar topfigureren zover krijgen dat je delen van bonussen teruggeven dan komt geld dat gewoon duidelijk gestolen is vanwege een probleem met de techniek ook wel terug. kan even duren en zeker de eerste keren zal het vervelend zijn, maar de gedachte dat ze je zomaar kunnen bestelen is zwaar overdreven.
geen betalingssysteem is 100% veilig, van meerdere zijn aanvallen bekend en die worden toegepast. maar ze worden nog gewoon gebruikt. de banken bouwen een risico marge in en proberen het te verbeteren.
Bij de aanval die is beschreven op BlackHat wordt er betaald bij een normale pinautomaat bij een winkel. Er zijn dus twee aanvallers nodig, maar dan kan er bijvoorbeeld wel beltegoed, Staatsloten of itunes tegoed gekocht worden voor duizenden euro's (zelfs per transactie als de pincode wordt afgekeken). De rekening van de aanvaller wordt dus helemaal niet gebruikt, er is dus geen relatie met de bank nodig en je rekening kan ook niet geblokkeerd worden ( wel die van het slachtoffer, wanneer het al te laat is).en dan? om echt geld af te gaan schrijven is een beetje communiceren met een pas echt niet voldoende lijkt me. wat levert het je op, echt geen 25 euro cash in je portemonnee per succesvolle leesactie. nee je zult een relatie met een bank hebben waar het "gelezen" geld terecht komt. die zal je niet zomaar krijgen en zeker niet als deze praktijk vaker voorkomt.
daarnaast is er dus een transactie die gevolgd kan worden en waarop een bank actie kan overnemen. zodra ze opeens een grote piek in zulke transacties zien dan kunnen ze sowieso de account van de aanvaller blokkeren en mogelijk ook het contactloos betalen.
als consument krijg je je gestolen geld dan wel terug. voor de doemdenkers die beginnen over eigen verantwoordelijkheid en kleine lettertjes in contracten. als "we" een paar topfigureren zover krijgen dat je delen van bonussen teruggeven dan komt geld dat gewoon duidelijk gestolen is vanwege een probleem met de techniek ook wel terug. kan even duren en zeker de eerste keren zal het vervelend zijn, maar de gedachte dat ze je zomaar kunnen bestelen is zwaar overdreven.
geen betalingssysteem is 100% veilig, van meerdere zijn aanvallen bekend en die worden toegepast. maar ze worden nog gewoon gebruikt. de banken bouwen een risico marge in en proberen het te verbeteren.
Zonder pincode kan er trouwens 2x25 euro betaald worden; 50 euro per slachtoffer dus. Best lucratief op Utrecht centraal lijkt mij zo.
Door Anoniem:
Zonder pincode kan er trouwens 2x25 euro betaald worden; 50 euro per slachtoffer dus. Best lucratief op Utrecht centraal lijkt mij zo.
Door Anoniem: denk dat scenario nou eens helemaal door. je hebt een lezer met een groot bereik en gaat naar utrecht centraal.
en dan? om echt geld af te gaan schrijven is een beetje communiceren met een pas echt niet voldoende lijkt me. wat levert het je op, echt geen 25 euro cash in je portemonnee per succesvolle leesactie. nee je zult een relatie met een bank hebben waar het "gelezen" geld terecht komt. die zal je niet zomaar krijgen en zeker niet als deze praktijk vaker voorkomt.
daarnaast is er dus een transactie die gevolgd kan worden en waarop een bank actie kan overnemen. zodra ze opeens een grote piek in zulke transacties zien dan kunnen ze sowieso de account van de aanvaller blokkeren en mogelijk ook het contactloos betalen.
als consument krijg je je gestolen geld dan wel terug. voor de doemdenkers die beginnen over eigen verantwoordelijkheid en kleine lettertjes in contracten. als "we" een paar topfigureren zover krijgen dat je delen van bonussen teruggeven dan komt geld dat gewoon duidelijk gestolen is vanwege een probleem met de techniek ook wel terug. kan even duren en zeker de eerste keren zal het vervelend zijn, maar de gedachte dat ze je zomaar kunnen bestelen is zwaar overdreven.
geen betalingssysteem is 100% veilig, van meerdere zijn aanvallen bekend en die worden toegepast. maar ze worden nog gewoon gebruikt. de banken bouwen een risico marge in en proberen het te verbeteren.
Bij de aanval die is beschreven op BlackHat wordt er betaald bij een normale pinautomaat bij een winkel. Er zijn dus twee aanvallers nodig, maar dan kan er bijvoorbeeld wel beltegoed, Staatsloten of itunes tegoed gekocht worden voor duizenden euro's (zelfs per transactie als de pincode wordt afgekeken). De rekening van de aanvaller wordt dus helemaal niet gebruikt, er is dus geen relatie met de bank nodig en je rekening kan ook niet geblokkeerd worden ( wel die van het slachtoffer, wanneer het al te laat is).en dan? om echt geld af te gaan schrijven is een beetje communiceren met een pas echt niet voldoende lijkt me. wat levert het je op, echt geen 25 euro cash in je portemonnee per succesvolle leesactie. nee je zult een relatie met een bank hebben waar het "gelezen" geld terecht komt. die zal je niet zomaar krijgen en zeker niet als deze praktijk vaker voorkomt.
daarnaast is er dus een transactie die gevolgd kan worden en waarop een bank actie kan overnemen. zodra ze opeens een grote piek in zulke transacties zien dan kunnen ze sowieso de account van de aanvaller blokkeren en mogelijk ook het contactloos betalen.
als consument krijg je je gestolen geld dan wel terug. voor de doemdenkers die beginnen over eigen verantwoordelijkheid en kleine lettertjes in contracten. als "we" een paar topfigureren zover krijgen dat je delen van bonussen teruggeven dan komt geld dat gewoon duidelijk gestolen is vanwege een probleem met de techniek ook wel terug. kan even duren en zeker de eerste keren zal het vervelend zijn, maar de gedachte dat ze je zomaar kunnen bestelen is zwaar overdreven.
geen betalingssysteem is 100% veilig, van meerdere zijn aanvallen bekend en die worden toegepast. maar ze worden nog gewoon gebruikt. de banken bouwen een risico marge in en proberen het te verbeteren.
Zonder pincode kan er trouwens 2x25 euro betaald worden; 50 euro per slachtoffer dus. Best lucratief op Utrecht centraal lijkt mij zo.
Theoretisch ja, praktisch nee.. Anticollision.. Als we maar 1 persoon op Utrecht centraal met 1 kaart laten rondlopen zou het theoretisch kunnen.. Praktisch is het een probleem dat er vele kaarten zijn in het veld, vooral Utrecht centraal. Daarbij zul je een stabiele sessie moeten kunnen opzetten met de kaart, als men beweegt op Utrecht centraal wordt dit al moeilijk.
Al met al zoals ook de poster hierboven aangeeft; leuk maar niet praktisch.. Daarbij is het niets nieuws en wisten banken dit al maanden.. Zoals ik al eerder zei, er zijn zelfs apps in de app store voor..
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.