Nieuws
image

Geldmaat introduceert contactloos geld opnemen via NFC

dinsdag 3 oktober 2023, 15:10 door Redactie, 13 reacties

Vanaf vandaag zal het bij steeds meer geldautomaten van Geldmaat mogelijk zijn om contactloos geld op te nemen via NFC. Het is daardoor niet meer nodig om de bankpas in de automaat te steken. Ook kan er geld worden opgenomen door de smartphone bij de NFC-lezer van de geldautomaat te houden, vergelijkbaar met het contactloos betalen bij een kassa. Het contactloos opnemen zou voor snellere transacties en minder storingen moeten zorgen.

De reader op de automaat leest via een chip in telefoon of pas de gegevens die nodig zijn om een transactie te starten. Via een logo voor contactloos betalen op de automaat en op het startscherm is de NFC-reader te herkennen. Gebruikt een klant een contactloze pas, dan start het scherm van de automaat op. Gebruikt een klant een mobiele telefoon of bijvoorbeeld een smartwatch, dan start de transactie via de telefoon en verloopt daarna via het scherm. Bij alle transacties is het noodzakelijk een pincode in te voeren, ongeacht de hoogte van het op te nemen bedrag.

De NFC-reader wordt gefaseerd ingevoerd. Vanaf vandaag zijn de automaten in Geldmaatwinkels geschikt voor contactloos opnemen van biljetten. Kort daarna volgen de automaten bij retailers, zoals boekhandels en gemakswinkels. De negenhonderd automaten bij AH-supermarkten worden in de loop van 2024 vervangen en zijn daarna ook geschikt voor contactloos opnemen. Eind volgend jaar zal naar verwachting 85 procent van alle opname-automaten geschikt zijn voor contactloos gebruik via de reader.

Reacties (13)
Reageer met quote
03-10-2023, 15:38 door Erik van Straten
Het is nu wachten op de voorzetstukken met NFC-ontvangers die jouw draadloze gegevens doorsturen naar een andere geldautomaat met daarop een NFC-zendertje. Een AitM (Attacker in the Middle) aanval dus.
Reageer met quote
03-10-2023, 15:49 door Anoniem
Nou, joepie.
Ik sta in de rij. Kan niet wachten. MAar zal wel moeten.
Nu kan die automaat meer dan 1 klant per 2 minuten?
Of -laat mij raden- nu gaat het ineens zogenaamd "sneller en makkelijker" ...?
Verplicht een traceerbare device nodig hebben, om gewoon over (jouw) contant geld te kunnen beschikken. Yay.
De belofte bij introductie van de pinpas was toch groter dan dat.
Reageer met quote
03-10-2023, 16:06 door Anoniem
Voor dat moet er ook een beeldscherm geplaatst moeten worden om de pinner voor de gek te houden. Ik neem aan dat er een challange vanuit de automaat gezonden word waarop de NFC zijn antwoord aanpast.
Reageer met quote
03-10-2023, 16:09 door Anoniem
Is afhankelijk hoe de NFC ontvanger op de automaat wordt uitgevoerd lijkt mij. Als het een ingebouwd vlak stuk is, die 1 vast geheel vormt met de behuizing van de automaat, wordt het toch best moeilijk om dit onzichtbaar te kunnen plaatsen.
Reageer met quote
03-10-2023, 16:19 door Anoniem
hoe makkelijk wordt het voor criminele om de lezer te spoofen/vervangen :P?
of een extra lezer erop te maken (weet niet wat de NFC range wordt?)

klinkt als een nog even over nadenken zou ik zeggen
Reageer met quote
03-10-2023, 16:34 door Anoniem
Door Erik van Straten: Het is nu wachten op de voorzetstukken met NFC-ontvangers die jouw draadloze gegevens doorsturen naar een andere geldautomaat met daarop een NFC-zendertje. Een AitM (Attacker in the Middle) aanval dus.
Maar je moet toch nog een pincode invoeren?
Reageer met quote
03-10-2023, 17:58 door Anoniem
Dit is een aanrader, "DEF CON 31 - Contactless Overflow Code Execution in Payment Terminals & ATMs - Josep Rodriguez". https://www.youtube.com/watch?v=eV76vObO2IM

En dit lek zat er dus al een tijd in, omdat de firmware niet remote kan worden geupdate in de meeste gevallen....
Reageer met quote
03-10-2023, 17:58 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Het is nu wachten op de voorzetstukken met NFC-ontvangers die jouw draadloze gegevens doorsturen naar een andere geldautomaat met daarop een NFC-zendertje. Een AitM (Attacker in the Middle) aanval dus.
Maar je moet toch nog een pincode invoeren?
Uit https://www.geldmaat.nl/geldautomaten/contactloos-geld-opnemen-nfc kan ik niet opmaken of de pincode, bij gebruik van een smartphone, op die smartphone of op de automaat moet worden ingevoerd (terzijde, in dat laatste geval is de transactie niet echt "contactloos" en zijn er mogelijk risico's bij de eerstvolgende grote virusuitbraak).

Als dat in alle gevallen op de automaat is, zullen de criminelen ook een onopvallende (mini) camera met zicht op het toetsenbord moeten ophangen.

Effectief is er maar sprake van één factor als alle benodigde informatie doorgestuurd kan worden. Bij een bankpas zal een dief deze fysiek in handen moeten hebben (er vanuit gaande dat een voorzetstuk, waar een bankpas in past, te veel opvalt), náást dat de dief de pincode moet kennen. Dat zijn twee (verschillende) factoren waardoor aanvallen meestal lastiger uit te voeren zijn.

Het "voordeel" van NFC-lezers op flappentappen zou kunnen zijn dat van minder ouderen de pinpas (sinds de ingebouwde chip is deze extreem lastig te kopiëren) en pincode (een geheim dat je weet) wordt afgetroggeld - doordat wellicht de criminaliteit zich verplaatst naar flappentappende NFC-gebruikers.
Reageer met quote
03-10-2023, 19:08 door Anoniem
Door Erik van Straten: Het is nu wachten op de voorzetstukken met NFC-ontvangers die jouw draadloze gegevens doorsturen naar een andere geldautomaat met daarop een NFC-zendertje. Een AitM (Attacker in the Middle) aanval dus.
Ik zie veel reacties met maar weinig kennis.

1) Je hebt niets aan een voorzetstuk om je NFC af te luisteren en door te sturen. De informatie en het 'transport' op je NFC naar de betaalterminal zijn zwaar versleuteld, dus de crimineel heeft er niets aan.
2) Ten tweede zou dat betekenen dat er jarenlang om de haverklap in de winkels ook dit soort "NFC-voorzetstukken" waren verschenen op de betaalautomaten, wat gewooweg niet waar is. Die zijn namelijk nog nooit opgedoken.
3) Ten derde voer je geen pincode in, maar via mijn eigen bankapp voer je biometrie in, waardoor pincodes bij de betaalterminal niet zijn af te kijken. Diefstal van je smartphone heeft dus geen enkele zin voor de crimineel.

Dus de kans dat criminelen ons massaal komen zakkenrollen, kun je naar het rijk der fabelen verwijzen.
Reageer met quote
03-10-2023, 19:42 door Japie Apie
We kunnen al tijden contactloos in winkels betalen, maar nu vliegen de complottheorieën je weer om de oren.
Reageer met quote
03-10-2023, 20:21 door Anoniem
Door Erik van Straten:(..) Het "voordeel" van NFC-lezers op flappentappen zou kunnen zijn dat van minder ouderen de pinpas (sinds de ingebouwde chip is deze extreem lastig te kopiëren) en pincode (een geheim dat je weet) wordt afgetroggeld - doordat wellicht de criminaliteit zich verplaatst naar flappentappende NFC-gebruikers.
Dit voordeel is dan wel een heel kort leven beschoren omdat men meteen begint met het ombouwen van alle 'indoor'- automaten, waarvan ik vermoed dat die bij voorkeur (maar zeker niet uitsluitend) door ouderen gebruikt worden.

Mocht blijken dat de NFC geld tappen kwetsbaarder maakt dan zou ik het een morele verplichting van banken vinden om iedereen weer de mogelijkheid te bieden om NFC op je bankpas uit te zetten.
Deze nieuwste toepassing wordt gerealiseerd om telefoonbezitters te plezieren (in de trend om steeds meer persoonsgebonden data in smartphone's te krijgen).
Reageer met quote
04-10-2023, 09:57 door Erik van Straten
Door Anoniem: 1) Je hebt niets aan een voorzetstuk om je NFC af te luisteren en door te sturen. De informatie en het 'transport' op je NFC naar de betaalterminal zijn zwaar versleuteld, dus de crimineel heeft er niets aan.
Wat ik bedoel is dat jouw smartdevice via een soort "verlengkabel" communiceert met de echte NFC-ontvanger (en zender, de communicatie is waarschijnlijk bidirectioneel) van een andere geldmaat. Versleuteling is daarbij irrelevant.

Ik realiseer me ondertussen wel dat het slagen van zo'n aanval erg afhangt van de user interface. Als de pinner eerst op de geldmaat aan moet geven welk geldbedrag (en evt. soort biljetten) zij of hij wenst, en daarna diens smartdevice bij de NFC-sensor moet houden, is wellicht niet tevens een voorzetscherm nodig.

"Dankzij" 3D-printers en het goedkoper worden van computeronderdelen (zoals touch screens) wordt het steeds goedkopen en eenvoudiger om allerlei "fysieke aanvallen" uit te voeren op geldautomaten.

Zie bijv. https://nos.nl/artikel/2491609-zeker-10-geldautomaten-in-den-haag-bewerkt-door-criminelen-pinners-krijgen-geen-geld of (uit 2010) https://krebsonsecurity.com/2010/05/fun-with-atm-skimmers-part-iii/ (Brian Krebs heeft hier veel meer artikelen over).

Door Anoniem: 2) Ten tweede zou dat betekenen dat er jarenlang om de haverklap in de winkels ook dit soort "NFC-voorzetstukken" waren verschenen op de betaalautomaten, wat gewooweg niet waar is. Die zijn namelijk nog nooit opgedoken.
Ik heb geen idee of zoiets ooit is gebeurd, maar sowieso zijn de bedragen in veel winkels meestal kleiner. Ook zie je, neem ik aan, wel het bedrag op jouw smartdevice.

Door Anoniem: 3) Ten derde voer je geen pincode in, maar via mijn eigen bankapp voer je biometrie in, waardoor pincodes bij de betaalterminal niet zijn af te kijken.
Je probeert daadwerkelijk geld te pinnen uit een Geldmaat. Alleen communiceert jouw smartphone of smartwatch met een andere Geldmaat dan jij voor je hebt. Er wordt echt gepind, alleen komt het geld ergens anders in Nederland uit een Geldmaat.
Reageer met quote
05-10-2023, 09:13 door Anoniem
Door Anoniem:
Door Erik van Straten:(..) Het "voordeel" van NFC-lezers op flappentappen zou kunnen zijn dat van minder ouderen de pinpas (sinds de ingebouwde chip is deze extreem lastig te kopiëren) en pincode (een geheim dat je weet) wordt afgetroggeld - doordat wellicht de criminaliteit zich verplaatst naar flappentappende NFC-gebruikers.
Dit voordeel is dan wel een heel kort leven beschoren omdat men meteen begint met het ombouwen van alle 'indoor'- automaten, waarvan ik vermoed dat die bij voorkeur (maar zeker niet uitsluitend) door ouderen gebruikt worden.

Mocht blijken dat de NFC geld tappen kwetsbaarder maakt dan zou ik het een morele verplichting van banken vinden om iedereen weer de mogelijkheid te bieden om NFC op je bankpas uit te zetten.
Deze nieuwste toepassing wordt gerealiseerd om telefoonbezitters te plezieren (in de trend om steeds meer persoonsgebonden data in smartphone's te krijgen).
Die persoonsgebonden data die dan weer met Client side Scanning op de telefoon uit te lezen is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search