Pagina 1 van 3

RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 12:05
door ubremoved_2964
Recent werd mijn KBC kaart vervangen en ik kreeg een exemplaar met RFID. Dat vind ik uiteraard een schending van de privacy, gezien zelfs wanneer je de functie laat uitzetten, men de chip nog steeds kan activeren, en ook al kan je er geen betalingen mee doen, kan men je nog steeds volgen.

Dus heb ik de kaart tegen een felle led gehouden en uitgezocht waar de lussen zitten die de RFID moet poweren, en heb deze lus doorgedremeld .....
rfid01.png
rfid02.png
Deze kaart werkt nog steeds perfect via chip & pin, maar tracking zal nu niet meer mogelijk zijn. Ik heb nog in een vorig leven als security specialist voor een RFID payment provider & loyalty gewerkt, dus ik weet perfect wat kan en niet kan.

De kaart steeds in zo'n speciale faraday kooi meedragen is een last teveel die ik niet wil dragen. Dit wordt door de banken opgedrongen voor het betaalgemak, what's next, onderhuidse chip? Nee danku.

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 12:11
door FunkStar
Even in de war, die KBC bankpas zijn toch passive RFID? (Zonder batterij)

Hoe gaan die u tracken? Als je iets koopt tracken ze je toch aangezien je daar iets koopt.

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 12:17
door ubremoved_2964
Op plaatsen waar mensen via een versmalling moeten passeren (bvb ingang, uitgang openbare plaatsen ....), zijn de mogelijkheden eindeloos ....

http://hackaday.com/2013/11/03/rfid-rea ... feet-away/

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 12:20
door heist_175
Of in de metro/trein, iemand vlakbij :).
In Nederland heb ik al heel wat RFID bankpassen gezien, het is wel handig. Handiger dan bancontact/maestro (PIN) of Proton vroeger.
Geen idee hoe banken zullen omgaan met foutieve/frauduleuze afnames.

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 12:42
door JoskeVermeulen
Kon je niet gewoon vragen voor eentje zonder of gaat dat niet? :lol:
Ik zag dit trouwens onlangs: http://www.telegraph.co.uk/technology/2 ... this-scam/

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 12:44
door remus
Secrid portefeuille gebruiken :wink:

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 12:48
door meon
remus schreef:Secrid portefeuille gebruiken :wink:
Je bent me 2 min voor omdat ik het topic aan het zoeken was: https://userbase.be/forum/viewtopic.php?f=1&t=46514
Klopt: https://www.secrid.com/protect-your-cards/
Aangezien contactless payment 'de toekomst' is zou ik geen permanente schade willen toebrengen aan m'n bankkaart hoor :)

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 13:40
door nickz
Toen deze functie werd ingevoerd heb ik zelf mijn bankkaart laten omruilen en ik moet zeggen dat het erg handig is. Mijn bankkaart zit samen met mijn kredietkaart in een plastic hoesje van de bank en nu hoef ik deze daar zelfs niet meer uit te halen. Gewoon de kaart met hoesje even tegen de zijkant van de betaalterminal houden.

Bij betalingen onder de € 25 moet er geen pincode worden ingevoerd (uitzondering: als er voor meer dan € 50 aan opeenvolgende betalingen zonder pincode zijn gebeurd). Op dit vlak is het risico kleiner dan bij het vroegere Proton: dat kon worden opgeladen tot € 125 en als je kaart gestolen was kon men dit saldo nog opgebruiken, zelfs als de kaart reeds geblokkeerd was (bij betaling werd er immers geen verbinding gemaakt met de mainframe van Banksys). Het risico was dus in feite even groot als met cash geld rondlopen. Bij het nieuwe systeem van contactloos betalen is het risico zelfs kleiner dan rondlopen met een bankbiljet van € 50! De betaling is ook enkel mogelijk als de kaart vlak tegen de terminal gehouden wordt, dus niet vanop meerdere centimeters.

Wat me wel is opgevallen, is dat deze betalingen steeds via het (duurdere) Maestro-netwerk verlopen, nooit via Bancontact/Mister Cash. Bij winkels die wel een nieuwe terminal hebben, maar geen Maestro aanvaarden werkt het dus niet. Als ik die chip uitlees met NFC TagInfo op mijn smartphone, dan zie ik nochtans verwijzingen naar zowel Maestro als Bancontact. Mogelijk moet dit dus nog worden geactiveerd op het Bancontact-netwerk.

Opgelet: als je een gat boort in je bankkaart, dan zou het wel eens kunnen dat bepaalde handelaars deze niet meer zullen aanvaarden omdat ze dit verdacht vinden, zeker in landen waar de betaling nog via de magneetstrip en handtekening gebeurt zal men extra wantrouwig zijn.

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 13:46
door ubremoved_2964
Is kaart van de zaak, heb dan nog steeds een privé kaart zonder RFID.
En privé VISA en zaak VISA hebben ook nog geen RFID, dus betalen zal voorlopig nog wel gaan.

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 14:04
door nickz
Wat als je kaart moet worden omgeruild? Hoe ga je dit dan uitleggen aan je bank? Dat je een gat in je kaart hebt geboord om niet 'gevolgd' te worden? Voor niet-paranoïde mensen klinkt dat al bijna even absurd als zeggen dat je wordt afgeluisterd via de waterleiding :lol:

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 14:38
door conexio
Ik weet niet hoe dat bij KBC zit, maar bij sommige banken sturen ze gewoon een nieuwe kaart per post en raden ze aan om de oude te "vernietigen". De meeste mensen knippen die in het beste geval in twee en gooien ze in de vuilnisbak. Sommigen pakken het grondiger aan en gooien ze op de barbecue of in de open haard.

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 14:49
door MClaeys
nickz schreef:Wat als je kaart moet worden omgeruild? Hoe ga je dit dan uitleggen aan je bank? Dat je een gat in je kaart hebt geboord om niet 'gevolgd' te worden? Voor niet-paranoïde mensen klinkt dat al bijna even absurd als zeggen dat je wordt afgeluisterd via de waterleiding :lol:
Die gaat rechtstreeks de versnipperaar in, dus daar gaan ze niet moeilijk over doen. Ik moet momenteel ook geen RFID kaart.

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 14:52
door stijnkoppelmans
Ik heb ook bijna al m'n bankkaarten met NFC/contactloos betaal mogelijkheid en vind het vreselijk handig. In een aantal landen kun je nagenoeg overal betalen met NFC, hier in Belgie komt het pas langzaam op gang. Nu loopt het bijna nog altijd via maestro, MasterCard, v-pay of visa, maar voor het einde van het jaar zou bancontact zijn eigen platform nog gaan openstellen voor NFC betalingen. Hopelijk zal de aanvaarding van contactloze betalingen dan sneller toenemen. :D

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 16:20
door stevenvs
Maestro en MasterCard is dezelfde firma hetzelfde met V-pay en Visa.

Ik heb al een hele tijd een kredietkaart op mijn telefoon die via NFC werkt en dat is dus super handig.
Het spijtige is dat het hier in dit apenland bijna niet gebruikt kan worden maar in het buitenland zoals UK of Nederland is het echt superhandig en snel.

En kwa veiligheid nog nooit geen problemen gehad.

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 17:47
door sanderd17
nickz schreef:Bij betalingen onder de € 25 moet er geen pincode worden ingevoerd (uitzondering: als er voor meer dan € 50 aan opeenvolgende betalingen zonder pincode zijn gebeurd).
Dus gewoon een mobiele betaalterminal wat hacken (buzzer verwijderen, altijd een bedrag van €25 laten opvragen, ...), en een beetje meereizen op volgepropte bussen en metro's, en je kan €25 per medepassagier opvragen (als die een kaartje heeft in zijn achterzak of niet te diep verstopt in de handtas).

Lijkt mij nog altijd een tamelijk winstgevende bezigheid, en weinig kans om betrapt te worden.

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 18:06
door conexio
@ub4b Ik heb gemerkt dat RFID lezers een chip niet kunnen lezen als er meerdere RFID-kaarten bij elkaar in een portefeuille zitten.
Duikt dat probleem enkel bij de meer basic toestellen op of geldt dat voor alle RFID-lezers?

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 18:53
door MClaeys
Ja en nee, veel chips hebben een random response tijd, dat in combinatie met een RFID lezer die anti-collision heeft en je kan verschillende kaarten onderscheiden. Ze lezen niet tegelijk, maar die indruk wekt het wel. Het zit misschien niet in een betaalterminal, maar zulke lezers zijn er wel.

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 19:51
door heist_175
Lijkt mij nog altijd een tamelijk winstgevende bezigheid
Geen idee wat er langs "creditor" kant mee gebeurt?
Dat geld komt nog altijd toe op een rekening, plus bij Maestro zijn ze niet gek. Ze volgen dat ongetwijfeld op en blokkeren de creditor bij onraad. Zo gaat het nu bij SDD en VISA ook.

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 20:20
door ubremoved_2964
sanderd17 schreef:
nickz schreef:Bij betalingen onder de € 25 moet er geen pincode worden ingevoerd (uitzondering: als er voor meer dan € 50 aan opeenvolgende betalingen zonder pincode zijn gebeurd).
Dus gewoon een mobiele betaalterminal wat hacken (buzzer verwijderen, altijd een bedrag van €25 laten opvragen, ...), en een beetje meereizen op volgepropte bussen en metro's, en je kan €25 per medepassagier opvragen (als die een kaartje heeft in zijn achterzak of niet te diep verstopt in de handtas).

Lijkt mij nog altijd een tamelijk winstgevende bezigheid, en weinig kans om betrapt te worden.
het feit dat louter de proximity genoeg is om een betaling tot stand te laten komen, baart me zorgen
een rogue betaalterminal zou op drukke plaatsen zoals een metro voor best wat skimming kunnen zorgen

er zijn al actieve blockers:

http://www.cnet.com/au/news/armourcard- ... ur-wallet/

en het risico is reëel: met een RFID lezer, een raspberry pi en een 5V USB batterij kan je al heel wat miserie aanrichten:

http://www.dailymail.co.uk/sciencetech/ ... CONDS.html

Re: RFID in KBC bankpas & bypass

Geplaatst: 08 maa 2016, 21:57
door Ken
Om het betaalverkeer vanaf een terminal mogelijk te maken is er toch een abonnement of 'klantennummer' nodig bij bv. Worldline of andere acquirers, waarbij het bedrijf of individu die int dan geïdentificeerd is?

Tenzij jan en alleman dit kan aanvragen bij Wordline of andere tussenbedrijven, wat ik betwijfel, en daarbij dan bv. een buitenlands, lees offshore rekeningnummer kan opgeven waarop de betalingen moeten toekomen, wat ik ook betwijfel, vraag ik me af of dit een reëel risico is.
Ik veronderstel en ben er quasi zeker van dat Worldline dit bv. niet zou toelaten...

Verder is voor zover ik weet het betalingsverkeer streng gereglementeerd.

Re: RFID in KBC bankpas & bypass

Geplaatst: 09 maa 2016, 00:00
door stijnkoppelmans
Bij mij lukt een betaling niet wanneer ik m'n portefeuille tegen de terminal hou. M'n kaart is dan 'onleesbaar' volgens de terminal, ik vermoed vanwege de verschillende NFC kaarten zo dicht bij elkaar. Denk dat het bij skimmen dus ook niet zomaar zal gaan.
Als je een beetje in de media zoekt naar contactloos betalen dan zie je dat er in Nederland ook ophef is over skimmen. Tegelijkertijd kijken mensen blijkbaar graag overheen het feit dat contactloos betalen al jaren bestaat in veel oost Europese landen, Australië(zelfs tot $100 per transactie) en Turkijke en dit hier nog steeds altijd wordt gebruikt. Zoveel afkeer zal er dus wel niet tegen zijn toch?

Re: RFID in KBC bankpas & bypass

Geplaatst: 09 maa 2016, 07:42
door MClaeys
stijnkoppelmans schreef:Bij mij lukt een betaling niet wanneer ik m'n portefeuille tegen de terminal hou. M'n kaart is dan 'onleesbaar' volgens de terminal, ik vermoed vanwege de verschillende NFC kaarten zo dicht bij elkaar. Denk dat het bij skimmen dus ook niet zomaar zal gaan.
Als je een beetje in de media zoekt naar contactloos betalen dan zie je dat er in Nederland ook ophef is over skimmen. Tegelijkertijd kijken mensen blijkbaar graag overheen het feit dat contactloos betalen al jaren bestaat in veel oost Europese landen, Australië(zelfs tot $100 per transactie) en Turkijke en dit hier nog steeds altijd wordt gebruikt. Zoveel afkeer zal er dus wel niet tegen zijn toch?
Bij skimmen hangt het af van de technieken in de lezer, niet in de kaart. Skimmen lukt wel degelijk vanop afstand, dat zo een terminal aan de kassa in de war geraakt is gewoon omdat er geen nut is voor die terminals om meerdere kaarten te lezen. In principe zou men zo ook een terminal kunnen plaatsen, maar dan moet er een touchscreen bij staan om de gewenste kaart enzo te kiezen. Meer kosten dan nut. Voor een skimmer ligt dat anders natuurlijk.
Voor een bankkaart zal het misschien moeilijker zijn, maar voor visa/master kaarten demonstreren ze het al jaren op black hat.
Ze innen dan niet gewoon geld btw, ze lezen gegevens uit zoals vervaldatum, kaartnummer enzo. Gegevens waar je op veel websites al wat mee bent.

Re: RFID in KBC bankpas & bypass

Geplaatst: 09 maa 2016, 22:10
door Mathy
Zolang alles niet met 1 kaart of je GSM kan waarbij je de rekening kan selecteren waar het bedrag af moet zie ik niet in wat het nut van die NFC betalingen is. Ik moet nog steeds de juiste kaart uit mijn portefeuille halen (ik heb 7 betaalkaarten!) dus de tijd om die in de machine te steken maakt ook niet het verschil...

Re: RFID in KBC bankpas & bypass

Geplaatst: 10 maa 2016, 00:02
door butskristof
Apple Pay dus. Vraag is alleen wanneer dit ooit tot in België gaat geraken.

Re: RFID in KBC bankpas & bypass

Geplaatst: 10 maa 2016, 00:11
door WalterB1
Zo'n kaart is en blijft eigendom van de uitgever. Die aanpassen mag formeel gezien niet denk ik.

Re: RFID in KBC bankpas & bypass

Geplaatst: 10 maa 2016, 02:01
door ubremoved_2964
WalterB1 schreef:Zo'n kaart is en blijft eigendom van de uitgever. Die aanpassen mag formeel gezien niet denk ik.
Wat gaan ze doen? Enkel als je met de kaart terug zou gaan naar de bank kunnen ze lastig doen, en dan zeg je: de RFID in bankkaarten kan blijkbaar gekraakt worden en op afstand uitgelezen worden. Ik vind dat een schending van de privacy en daarom heb ik de antenne in de kaart onklaar gemaakt, zodat de kaart dezelfde functionaliteit heeft als de vorige kaart en niks meer dan dat.

Ik neem dan uiteraard een hardcopy van zo'n artikel mee waar researchers zo'n kaart hebben gekraakt, gaan zij dan weerleggen dat hun kaart niet kraakbaar is?

Re: RFID in KBC bankpas & bypass

Geplaatst: 10 maa 2016, 03:44
door ITnetadmin
ub4b schreef:het feit dat louter de proximity genoeg is om een betaling tot stand te laten komen, baart me zorgen
een rogue betaalterminal zou op drukke plaatsen zoals een metro voor best wat skimming kunnen zorgen

er zijn al actieve blockers:

http://www.cnet.com/au/news/armourcard- ... ur-wallet/

en het risico is reëel: met een RFID lezer, een raspberry pi en een 5V USB batterij kan je al heel wat miserie aanrichten:

http://www.dailymail.co.uk/sciencetech/ ... CONDS.html
Die armourcard actieve blocker klinkt me als vrij illegaal in Belgie, spijtig genoeg. Frequency jamming is niet toegelaten.

Re: RFID in KBC bankpas & bypass

Geplaatst: 10 maa 2016, 04:15
door mipa
Mathy schreef:Zolang alles niet met 1 kaart of je GSM kan waarbij je de rekening kan selecteren waar het bedrag af moet zie ik niet in wat het nut van die NFC betalingen is.
Als je niet moet pinnen kunnen mensen met slechte bedoelingen
de code ook niet over je schouder afkijken.

Re: RFID in KBC bankpas & bypass

Geplaatst: 10 maa 2016, 07:46
door heist_175
Wat gaan ze doen
Niets.
Ik ben de kaart verloren. En wat dan :)

Re: RFID in KBC bankpas & bypass

Geplaatst: 10 maa 2016, 08:25
door MClaeys
mipa schreef:
Mathy schreef:Zolang alles niet met 1 kaart of je GSM kan waarbij je de rekening kan selecteren waar het bedrag af moet zie ik niet in wat het nut van die NFC betalingen is.
Als je niet moet pinnen kunnen mensen met slechte bedoelingen
de code ook niet over je schouder afkijken.
Kunnen ze nu ook niet, ik ben daar zelf voorzichtig mee en dat heb je zelf grotendeels in de hand, skimming niet.
butskristof schreef:Apple Pay dus. Vraag is alleen wanneer dit ooit tot in België gaat geraken.
Of Android Pay, of de variant op Windows Phone (daar weet ik de exacte naam niet, maar ik heb de optie wel op men toestel). Ze staan allemaal nog in de basis, dus momenteel nog afwachten. En dan eerst nog zeker zijn dat het evengoed niet vanuit afstand kan gelezen worden als NFC altijd aan staat (zoals bij de meesten die het hebben).

Re: RFID in KBC bankpas & bypass

Geplaatst: 10 maa 2016, 22:44
door Ken
Ik blijf ervan overtuigt dat men niet veel of helemaal niks kan doen met een rogue betaalterminal... Die betaalterminal moet toch gekoppeld zijn aan een acquirer?

Re: RFID in KBC bankpas & bypass

Geplaatst: 10 maa 2016, 22:51
door butskristof
Ken schreef:Ik blijf ervan overtuigt dat men niet veel of helemaal niks kan doen met een rogue betaalterminal... Die betaalterminal moet toch gekoppeld zijn aan een acquirer?
Dit dus. 'Contactless payments' zijn bv in de UK al schering en inslag sinds pakweg 2008. Moest het echt zo fataal mislopen zou het er echt doorkomen.

Re: RFID in KBC bankpas & bypass

Geplaatst: 15 jun 2016, 01:26
door ubremoved_2964
Voila er was een geldige reden om de RFID antenne in mijn KBC bankkaart te doorboren. Ik heb zelf nog in de RFID sector gewerkt, en het was gewoon een kwestie van tijd ....
"A criminal group going under the name of The CC Buddies is selling a hi-tech device on the Dark Web that's capable of copying details from contactless debit cards if held as close as eight centimeters away from a victim's card," reports Softpedia. The device, named Contactless Infusion X5, is extremely dangerous because it can copy up to 15 bank cards per second, something that may come in handy if a crook is going through a crowd at a concert or through a crowded subway cart. The device can collect data such as the card's number and expiration date. If the debit card's RFID chip stores information such as the card holder's name, home address, and a mini statement, X5 can steal that data as well. The X5 is sold on the Dark Web for only 1.2 Bitcoin (~$825), and its creators say that each buyer will receive the X5 device, a USB cable for charging and data transfers, and 20 blank plastic cards.
https://yro.slashdot.org/story/16/06/13 ... per-second

Re: RFID in KBC bankpas & bypass

Geplaatst: 15 jun 2016, 07:28
door heist_175
8 centimeter. Enig idee hoe weinig dat is?
Neem de chip en construeer in gedachte een bol van 8cm errond. De persoon met dat toestel moet zijn toestel positioneren in die bol.
Veel plezier!

Dat het toestel 15 kaarten per seconde kan kopiëren, is prima voor een krantenkop in HLN, maar totaal irrelevant.
Ongemerkt in de metro 15 mannen per seconde langs hun achterste wrijven in de hoop dat hun kaart daar zit?
Of aan de voorkant - rond de borststreek - in de hoop dat de portefeuille in een binnenzak zit? Welke binnenzak dan nog, links of rechts? Op welke hoogte zit die juist?
Bij dames die hun portefeuille/portemonnee in hun handtas hebben zitten, ben je al nagenoeg kansloos.

Prima dat dit gemeld wordt, maar ik kijk uit naar artikels over massale fraude met contactless.
Enig idee hoeveel fraude er gepleegd wordt met credit cards? Met debit cards?
Allemaal verbieden dan maar :).

Re: RFID in KBC bankpas & bypass

Geplaatst: 15 jun 2016, 08:01
door fvhbrugge
Criminelen zullen uiteraard een toestel bouwen dat op grotere afstand werkt. Gewoon sterker signaal uitzenden en goed kunnen luisteren naar een zwak terugkerend signaal van de betaalkaart.

Re: RFID in KBC bankpas & bypass

Geplaatst: 15 jun 2016, 11:17
door ubremoved_539
heist_175 schreef:Ongemerkt in de metro 15 mannen per seconde langs hun achterste wrijven in de hoop dat hun kaart daar zit?
Volgens mij heb je "hits" genoeg op die manier... en in de metro is het zo druk dat toch iedereen op elkaar gepakt zit.

Re: RFID in KBC bankpas & bypass

Geplaatst: 15 jun 2016, 17:56
door nickz
Kaartnummer en vervaldatum alleen is niet voldoende om een betaling uit te voeren via Bancontact of Maestro. Er moet altijd een authenticatie plaatsvinden. Je kan dus $825 betalen voor zo'n apparaat en zelfs als het je lukt om van op minder dan 8 cm iemands kaart uit te lezen, dan ben je niets met die gegevens.

Verstuurd vanaf mijn Xperia-smartphone met Tapatalk

Re: RFID in KBC bankpas & bypass

Geplaatst: 15 jun 2016, 18:54
door Tomby
nickz schreef:Kaartnummer en vervaldatum alleen is niet voldoende om een betaling uit te voeren via Bancontact of Maestro. Er moet altijd een authenticatie plaatsvinden.
Da's enkel voor betalingen op Belgische, Nederlandse, en heel misschien nog andere Europese sites. Genoeg online shops waar je gewoon enkel je CC nummer, vervaldatum en CVV moet geven.

Re: RFID in KBC bankpas & bypass

Geplaatst: 15 jun 2016, 19:08
door conexio
Ook bij Belgische bedrijven zoals Brussels Airlines en de NMBS is dat voldoende om een betaling met creditcard uit te voeren.

Re: RFID in KBC bankpas & bypass

Geplaatst: 15 jun 2016, 19:17
door axs
Gaat over maestro/bancontact ... Niet over Creditcards.