Skimmen van bankkaart, nog mogelijk?

B

berenod

Well-known member
Naar aanleiding van dit artikel!

Ik was van het idee dat dit vandaag de dag quasi onmogelijk was geworden.
Ik heb lang in Azië gewoond waar de chipkaarten pas veel later geïntroduceerd zijn dan hier, en daar was het schering en inslag toen.

Nu is het daar ondertussen ook overal met chip...

Maar, zijn er vandaag nog landen met machines waar je geld kan uithalen met enkel de magneetstrip?

Per het artikel zou er een overschrijving zijn gebeurd naar een UK en een US rekening, ik zie niet echt hoe dat zou kunnen met een gekopieerde magneetstrip (al dan niet met pincode)?

Mensen uit de bankwereld die hier licht kunnen op werpen?
 
Een magneetstrook kopieren gaat altijd, daarom zijn de chips er gekomen.

Heb tot 10 jaar terug voor een bedrijf gewerkt dat chipkaarten maakte (ik heb oa de Proximus (incl Banxafe), tachokaarten (België en Griekenland), maaltijdcheque kaarten van Sodexo, Edenred en Monizze, Proton Prisma (elke Belgische bank excl KBC, maar wel Zwitserse, Nederlandse en Mexicaanse banken), Rabobank kaarten en zoveel anderen mee ontworpen en de productiesystemen opgezet).

Dacht dat de magneetstrook enkel nog gebruikt werd voor identificatie, dat je daar uberhaupt nog iets mee kan doen is wel vreemd. Zeker een overschrijving. Als ik geld wil overschrijven naar een onbekende (binnenlandse) rekening wordt bij elke bank een bevestiging gevraagd via de bankapplicatie of reader. Hoe hebben ze dat dan gedaan.
 
HUSKE zei:
Een magneetstrook kopieren gaat altijd, daarom zijn de chips er gekomen.

Heb tot 10 jaar terug voor een bedrijf gewerkt dat chipkaarten maakte (ik heb oa de Proximus (incl Banxafe), tachokaarten (België en Griekenland), maaltijdcheque kaarten van Sodexo, Edenred en Monizze, Proton Prisma (elke Belgische bank excl KBC, maar wel Zwitserse, Nederlandse en Mexicaanse banken), Rabobank kaarten en zoveel anderen mee ontworpen en de productiesystemen opgezet).

Dacht dat de magneetstrook enkel nog gebruikt werd voor identificatie, dat je daar uberhaupt nog iets mee kan doen is wel vreemd. Zeker een overschrijving. Als ik geld wil overschrijven naar een onbekende (binnenlandse) rekening wordt bij elke bank een bevestiging gevraagd via de bankapplicatie of reader. Hoe hebben ze dat dan gedaan.
Klik om te vergroten...
Inderdaad, lijkt meer een "half" verhaal, zonder de fysieke kaart en pincode zie ik dit gewoonweg niet mogelijk zijn.
Zelfs al hebben ze heel mijn kaart, maar zonder pincode, zal de schade nog steeds beperkter zijn.
50€/dag of 100€ over meerdere dagen zou kunnen, moest ik niet doorhebben dat mijn kaart weg is. Vanaf er contactloos 100€ gepasseerd is moet er sowieso pincode gegeven worden.

Al de rest, online aankopen, noem maar op, passeren idd altijd via de bankapp of cardreader.


Eerder een fraudulente transactie zoals bijvoorbeeld een te hoog bedrag in het betaaltoestel, en dan pincode ingegeven zonder te lezen wat er op het display staat of zo...
Maar dan ziet ge de naam van de handelaar in je transacties.
Contactloos sowieso beperkt tot 50€...
 
Laatst bewerkt:
Mocht dit artikel waar zijn, zou het nogal daveren in de betalingswereld. Maar het is natuurlijk niet waar, de journalist schrijft ook enkel de getuigenis van die persoon op zonder minstens eens bij de bank te verifiëren (niet of het specifieke verhaal klopt - wel of in het algemeen kan). Als het echt skimming zou zijn, zou men ook geen overschrijvingen gedaan hebben waarmee er qua bewijs een link is met een andere account, maar het geld gewoon afgehaald via een muur-ATM ergens buiten de EU.

De overschrijvingen zullen waarschijnlijk gewoon via klassieke phishing gebeurd zijn, of met een infostealer malware op z'n laptop of smartphone. Met de oplossing die hij voorstelt - z'n bankkaart thuis laten - gaat hij dit ook niet opnieuw kunnen voorkomen.
 
Een collega heeft dit 2 maand geleden meegemaakt.
Weekendje naar London geweest en daar een pak sigaretten gehaald in een nightshop. Een week later is om 23h58 en 0h02 2x zijn dag limiet van 650euro naar een andere rekening overschreven met een instant overschrijving. 1300euro kwijt.

Hij is naar de politie en bank geweest, maar gezien het om een overschrijving gaat, kunnen ze niks doen...
 
berenod zei:
Inderdaad, lijkt meer een "half" verhaal, zonder de fysieke kaart en pincode zie ik dit gewoonweg niet mogelijk zijn.
Zelfs al hebben ze heel mijn kaart, maar zonder pincode, zal de schade nog steeds beperkter zijn.
50€/dag of 100€ over meerdere dagen zou kunnen, moest ik niet doorhebben dat mijn kaart weg is. Vanaf er contactloos 100€ gepasseerd is moet er sowieso pincode gegeven worden.

Al de rest, online aankopen, noem maar op, passeren idd altijd via de bankapp of cardreader.


Eerder een fraudulente transactie zoals bijvoorbeeld een te hoog bedrag in het betaaltoestel, en dan pincode ingegeven zonder te lezen wat er op het display staat of zo...
Maar dan ziet ge de naam van de handelaar in je transacties.
Contactloos sowieso beperkt tot 50€...
Klik om te vergroten...
Via NFC/Google Wallet kan je wel boven de 50euro contactloos betalen zonder pin. (Allez, je smartphone is zogenaamd de pincode)
 
DogFacedGod zei:
Via NFC/Google Wallet kan je wel boven de 50euro contactloos betalen zonder pin. (Allez, je smartphone is zogenaamd de pincode)
Klik om te vergroten...
Dan moeten ze je telefoon al hebben, of kunnen unlocken, dat is vaak veiliger dan een pin. Maar daar gaat het hier niet om.

Ik denk ook een half verhaal. De schade is bijna altijd maar beperkt door de limieten op de kaart.
 
MorGo7h zei:
Een collega heeft dit 2 maand geleden meegemaakt.
Weekendje naar London geweest en daar een pak sigaretten gehaald in een nightshop. Een week later is om 23h58 en 0h02 2x zijn dag limiet van 650euro naar een andere rekening overschreven met een instant overschrijving. 1300euro kwijt.

Hij is naar de politie en bank geweest, maar gezien het om een overschrijving gaat, kunnen ze niks doen...
Klik om te vergroten...
Maar hoe dan?
Ik kan geen overschrijving doen zonder in te loggen op mijn bank, en dat gaat enkel via itsme, of bankkaart (de chip) met kaartlezer van de bank.

En dan nog eens een tweede verificatie via itsme of kaart/kaartlezer voor een overschrijving naar een nog niet opgeslagen bankrekeningnummer...

Indien er een overschrijving is gebeurd moet de bank toch kunnen zeggen via welk kanaal en hoe die overschrijving is geauthoriseerd?
Zelfs mijn bank app op smartphone authoriseerd nog eens apart via itsme, dus al smartphone en mijne vinger voor nodig...
 
Laatst bewerkt:
berenod zei:
Maar hoe dan?
Ik kan geen overschrijving doen zonder in te loggen op mijn bank, en dat gaat enkel via itsme, of bankkaart (de chip) met kaartlezer van de bank.

En dan nog eens een tweede verificatie via itsme of kaart/kaartlezer voor een overschrijving naar een nog niet opgeslagen bankrekeningnummer...

Indien er een overschrijving is gebeurd moet de bank toch kunnen zeggen via welk kanaal en hoe die overschrijving is geauthoriseerd?
Zelfs mijn bank app op smartphone authoriseerd nog eens apart via itsme, dus al smartphone en mijne vinger voor nodig...
Klik om te vergroten...
Hij heeft eerst contactdoos proberen betalen en dat ging niet. Daarna kaart int machientje gestoken en de pincode in gegeven.

Het ging over 2x een instant overschrijving, maar hoe de authorisatie gebeurd is, weet ik niet. Gewoon stom dat ze er niks aan kunnen doen. Zelfs na aangifte bij de politie.

Ik weet niet als dat kan, maar als ze chip namaken en zijn pin hebben, dan kun je met een lezer inloggen en betalingen uitvoeren. Aan zo’n kaartlezer geraken van de juiste bank lijkt me een kleine moeite.
 
MorGo7h zei:
Hij heeft eerst contactdoos proberen betalen en dat ging niet. Daarna kaart int machientje gestoken en de pincode in gegeven.

Het ging over 2x een instant overschrijving, maar hoe de authorisatie gebeurd is, weet ik niet. Gewoon stom dat ze er niks aan kunnen doen. Zelfs na aangifte bij de politie.

Ik weet niet als dat kan, maar als ze chip namaken en zijn pin hebben, dan kun je met een lezer inloggen en betalingen uitvoeren. Aan zo’n kaartlezer geraken van de juiste bank lijkt me een kleine moeite.
Klik om te vergroten...
Voor zover ik weet is de chip kopiëren onmogelijk.
Indien dit zou lukken, dan staat de financiële wereld op zijn kop, want dan hebben we terug hals over kop skimmers op ATM's staan over heel de wereld.

Bijkomend, moesten ze dat kunnen dan zouden ze gek zijn om overschrijvingen te gaan doen, daar zijn rekeningnummers voor nodig, of "bankmules" en dergelijke, dan kan je beter gewoon cash aan de automaten gaan afhalen met uwen helm op hé...

De bank zal terugbetaling van zulke fraude enkel weigeren wanneer de transactie correct geautoriseerd is.
Dus kaartlezer + pin, itsme of je bank app op je GSM.
In 99% van deze gevallen is die autorisatie er, via phishing en dergelijke meer de mensen overhalen om via itsme de transactie te autoriseren, of via hun kaartlezer.
Andere typische zijn gefoefel met die betaalterminals, een betaling doen voor een veel hoger dan overeengekomen bedrag (ze houden een vinger over het display of zo, en de klant die zijn pincode in tikt zonder het bedrag te zien of te verifiëren...
Zie nog recent hier in België die marktkramer met zijn fruit dat honderden euro's bleek te kosten, de grote hoop van de mensen lezen amper het bedrag op de betaalterminal alvorens de pincode in te tikken.

Probleem is dat de meeste mensen niet graag toegeven dat ze, meestal op een eerder domme of naïeve manier, in het ootje genomen zijn, en dan komen die "half" correcte verhalen waar er een draai wordt gegeven dat ze niets verkeerd hebben gedaan.

Als ze echt niets hebben fout gedaan krijg je quasi altijd je centen terug van de bank, je zal misschien wat moeten moeite doen, maar als jij geen fout hebt begaan krijg je nagenoeg altijd je geld terug...

En ik ben echt geen vriend van de banken hoor :cool:
 
Chip kopiëren is bij mijn weten wel mogelijk. AL is het niet echt kopiëren, het is eerder dupliceren / klonen. Enkel op voorwaarde dat de NFC aanstaat (dus het contactloos betalen).
www.vice.com

Hoe makkelijk is je nieuwe NFC-bankpas te kraken?

We vroegen het aan een ICT-masterstudent.
www.vice.com www.vice.com

Enkel als je dan een itsme of de pin kan genereren kan je iemand leegplunderen (al heeft de bank daarvoor ook een beperking staan). Anders blijft het beperkt tot het bedrag waar je contactloos kan betalen.
En normaliter wordt dat beperkt tot 50€, waarna je terug uw pin moet ingeven.

Al zijn er daarnaast waarschijnlijk ook nog andere beveiligingen die in de achtergrond zullen draaien die bepalen of die pin gevraagd moet worden. Of waardoor de veiligheid iets beperkter is, vb in plaats van cumulatief 25/ 50€ is het voor uitgaven in de winkel waar je wekelijks komt op 2 weekbasis vb 100€.
 
Renegadexxripxx zei:
Chip kopiëren is bij mijn weten wel mogelijk. AL is het niet echt kopiëren, het is eerder dupliceren / klonen. Enkel op voorwaarde dat de NFC aanstaat (dus het contactloos betalen).
www.vice.com

Hoe makkelijk is je nieuwe NFC-bankpas te kraken?

We vroegen het aan een ICT-masterstudent.
www.vice.com www.vice.com

Enkel als je dan een itsme of de pin kan genereren kan je iemand leegplunderen (al heeft de bank daarvoor ook een beperking staan). Anders blijft het beperkt tot het bedrag waar je contactloos kan betalen.
En normaliter wordt dat beperkt tot 50€, waarna je terug uw pin moet ingeven.

Al zijn er daarnaast waarschijnlijk ook nog andere beveiligingen die in de achtergrond zullen draaien die bepalen of die pin gevraagd moet worden. Of waardoor de veiligheid iets beperkter is, vb in plaats van cumulatief 25/ 50€ is het voor uitgaven in de winkel waar je wekelijks komt op 2 weekbasis vb 100€.
Klik om te vergroten...
Opletten, je haalt twee zaken door mekaar.
Je hebt de NFC chip (rfid) die de contactloze zaken toelaten. Klein bedrag zonder pin, groter met pin.
Dan heb je de chip die gelezen wordt in je kaartlezer van je bank om bijvoorbeeld transacties te autoriseren.

Lees het artikel goed, ze schrijven nergens dat die NFC chip gekopieerd wordt hé. Ofwel skimmed men een bedrag zonder pincode door een terminal ongezien naast je broekzak met portefeuille te houden.
Valt eigenlijk niet voor, want die teminal moet geregistreerd zijn en het geld gaat naar de rekening van degene die het toestel bezit. Allemaal makkelijk te traceren en maar voor kleine bedragen.
In datzelfde artikel spreken ze over een tweede methode, waar één telefoon met NFC en speciale software tegen je portefeulie wordt gehouden, en er ergens anders in de wereld iemand een contactloze aankoop doet met zijn telefoon waar ook die software opstaat.
Men "teletrasporteert" als het ware jouw bancontactkaart naar ergens anders. Moeilijk om een schuldige te vinden want aan de andere kant is gewoon een legitieme aankoop gebeurd, dus geen koppeling rechstreeks naar de skimmers.

Heel dat bovenstaande gaat nergens toelaten een gewone bankoverschrijving van jouw rekening naar een andere te autoriseren.
 
Ik ken de details van bankkaartchips niet, maar ik ga ervan uit dat die, zoals bvb SIM-kaarten, een secure element hebben waarin cryptografische sleutels zitten die nooit de kaart verlaten, en bijgevolg onmogelijk te copiëren zijn.
 
ViperHD zei:
Ik ken de details van bankkaartchips niet, maar ik ga ervan uit dat die, zoals bvb SIM-kaarten, een secure element hebben waarin cryptografische sleutels zitten die nooit de kaart verlaten, en bijgevolg onmogelijk te copiëren zijn.
Klik om te vergroten...
Dit, plus het betreft zogenaamde "CPU" kaarten, er zit effectief logica in die code kan uitvoeren .
 
berenod zei:
Dit, plus het betreft zogenaamde "CPU" kaarten, er zit effectief logica in die code kan uitvoeren .
Klik om te vergroten...

Inderdaad, gaat hand in hand met het feit dat de keys de chip niet verlaten. De crypto berekeningen (encryptie/decryptie/signing) moeten per definitie door de chip zelf gebeuren.
 
De chip kopiëren gaat effectief niet. Elke kaart is ook beschermd tegen replay attacks, lichtflitsen ed. Een chipkaart heeft een redelijk goede security.

Het NFC gedeelte zou je mss kunnen kopieren, maar excl autorisatiealeutels (al ken ik dat deel niet echt, in 2014 was dat nog niet standaard in België).

Ik heb draadloos betalen overigens altijd uitstaan op al mijn bankkaarten. Draadloos betaal ik soms wel via apple pay, anders altijd met kaart insteken + pin.
 
berenod zei:
Heel dat bovenstaande gaat nergens toelaten een gewone bankoverschrijving van jouw rekening naar een andere te autoriseren.
Klik om te vergroten...
Maar dan ga je er van uit dat mensen het verschil weten, dit verschil kunnen zien in hun homebanking/app (want bij sommige banken is dit cryptisch omschreven) en er ook niks lost in translation is (bij verhaal van collega of die jongen op gentse feesten richting journalist).
 
the_fox zei:
Maar dan ga je er van uit dat mensen het verschil weten, dit verschil kunnen zien in hun homebanking/app (want bij sommige banken is dit cryptisch omschreven) en er ook niks lost in translation is (bij verhaal van collega of die jongen op gentse feesten richting journalist).
Klik om te vergroten...
Tjah, daar gaat net de discussie over hé.
We zijn min of meer zeker dat wat ze omschrijven (dus kaart geskimmed en daarna overschrijvingen) niet mogelijk is.

Dus volgens mij zijn ze gewoonweg onvoorzichtig geweest, pincodes ingegeven op toestellen zonder deftig naar bedragen te kijken etc.
Ook al omdat in dat krantenartikel het zou gaan over een "overschrijving" naar Amerika, dat is al geen SEPA overschrijving meer, bij de meeste banken kan dit bijvoorbeeld al niet via de smartphone app, enkel via webbrowser en de klassieke inlog methodes.

Een online betaling of via terminal kan natuurlijk wel naar een Amerikaanse handelaar/account...

Sowieso sloppy reporting van de journalist, want uiteindelijk is dit toch belangrijke materie, en je gaat mensen voor de foute dingen bangmaken zonder ze te wijzen op waar ze wel mee voorzichtig moeten zijn.
 
Je moet ingelogd zijn om te kunnen reageren. Aanmelden | Registreren
Terug
Bovenaan