Betalingsverkeer

Bankensysteem SWIFT is het afgelopen jaar vaker succesvol gehackt dan eerder bekend was. Er is een "betekenisvolle" hoeveelheid aanvallen uitgevoerd op banken die met SWIFT werken, waarvan ongeveer een vijfde succesvol was. Dat zegt SWIFT bij monde van hoofd klantenbeveiliging Stephen Gilderdale tegen Reuters. "De dreiging is aanhoudend, flexibel, verfijnd - en gaat niet meer weg", aldus Gilderdale.

Het is de eerste bevestiging van succesvolle cyberaanvallen waar SWIFT bij betrokken is sinds een aanval op de centrale bank van Bangladesh in februari. Welke banken verder getroffen zijn en hoeveel er is buitgemaakt, is niet duidelijk. Ook is niet duidelijk hoeveel een "betekenisvolle" hoeveelheid aanvallen precies is. SWIFT waarschuwde in een brief aan aangesloten banken dat de aanvalsmethoden echter steeds verfijnder worden. Een nieuwe aanvalsvorm maakt bijvoorbeeld gebruik van software die helpdesktechnici in staat stelt om op afstand een computer over te nemen, aldus SWIFT.

In oktober waarschuwde cyberbeveiligingsfirma Symantec nog dat er een tweede hackersgroep was die zich van die methode bediende. Nu blijkt dat dat er dus veel meer zijn. Het SWIFT-systeem is onmisbaar voor internationale transacties tussen banken.

Alles bij de bron; NU 


 

Als je de bevinding van onderzoekers even op je laat inwerken, krijg je steeds minder begrip voor de slordigheid van partijen die op legitieme manier aan de consument proberen te verdienen. 6 seconden blijken genoeg om de benodigde betaalinformatie van een creditcard te stelen. Het is eigenlijk van de gekke dat het bestaat, het lek in online betalen dat wetenschappers van de Newcastle University ontdekten, als je leest hoe de diefstal van creditcardinformatie in zijn werk gaat, is de indruk onontkoombaar dat de betrokkenen beter hadden moeten weten.

De onderzoekers namen de 400 grootste webshops uit Alexa's ranglijst naar omzet op de korrel. En presto - met de juiste software kun je dan de autorisatiegegevens raden door gewoon verschillende vervaldata en CVC-codes uit te proberen bij websites die verschillende regels hanteren. Je zoekt dan eerst websites die genoegen nemen met kaartnummer en vervaldatum. Dat kost in de regel 60 pogingen - een creditcard is meestal 60 maanden geldig. Als je die twee gegevens gevalideerd hebt, ga je op zoek naar webshops die ook de CVC-code vragen. Daarvoor zijn 999 pogingen genoeg. Met enig doorzettingsvermogen achterhaal je daarna ook nog de adresinformatie bij de webshops die die informatie vragen voor de betaling te accepteren. Hoe dat allemaal in zijn werk gaat, staat beschreven in het onderzoeksrapport Does the online payment landscape unwittingly facilitate fraud?...

...Praktische conclusie met betrekking tot online creditcardbetalingen op dit moment is daarom:

  • Gebruik voor je online-betalingen liefst een aparte creditcard
  • Stel het bestedingsplafond op je creditcard voor online betalingen niet te hoog in
  • Controleer regelmatig of er met je creditcard geen betalingen door anderen worden gedaan
  • Gebruik online geen Visa-card totdat Visa maatregelen heeft genomen - en houd er rekening mee dat andere creditcards ook kwetsbaar kunnen zijn.
  • Wees extra alert op je rekeningoverzicht als je in het verleden online een nu nog geldige VISA-card hebt gebruikt; de kans dat kwaadwillenden dit mechanisme nu uit gaan proberen is natuurlijk groot.
  • Vraag bij je creditcardmaatschappij na wat ze aan dit probleem doet.

Alles bij de bron; AGConnect [Thnx-2-Dick]


 

Toezichthouder AFM is bang dat betaalgegevens misbruikt zullen worden en dat er meer cybercriminaliteit komt door een nieuwe Europese wet. Door die wet, PSD2 genoemd, zijn banken straks verplicht betaalgegevens van klanten te delen met andere partijen - mits de klant daar toestemming voor geeft.

Nu kunnen alleen banken zien wat je koopt, waar je pint, en hoeveel je maandelijks binnenkrijgt op je bankrekening. Zij kunnen dus ook als enige partij diensten aanbieden om je daarbij te helpen. Per 1 januari 2018 gaat dat veranderen. Alle partijen kunnen dan aanspraak maken op die gegevens.

Het toezicht op die diensten is te versnipperd nu, zegt hij. Dus lopen klanten gevaar dat hun betaalgegevens worden misbruikt. De politiek zou er daarom over na moeten denken hoe het toezicht beter geregeld kan worden. "Het zijn duizenden partijen die allemaal aan het smullen zijn om wat er staat te gebeuren", vertelt Don Ginsel van Holland Fintech. Alibaba, Amazon, ze gaan allemaal kijken hoe ze hierop kunnen inspelen. "De combinatie van adverteren met daadwerkelijk weten of iets ook echt gekocht wordt, is natuurlijk goud waard voor adverteerders."

Alle partijen die de data willen gebruiken moeten eerst een bankvergunning aanvragen. Dat is in Nederland goed geregeld. Maar het is een Europese wet, dus kan in elk Europees land een vergunning worden aangevraagd. "Cybercriminelen zullen er dan eerder voor kiezen om dat op Cyprus of Malta te doen", vertelt de toezichthouder. Daarom moet de politiek erover nadenken hoe dat toezicht beter kan worden geregeld.

In een reactie zegt de Autoriteit Persoonsgegevens: "Het is een richtlijn vanuit Europa. Als de wet hier echt doorgaat houden we het scherp in de gaten."

Alles bij de bron; NOS


 

De EU wil derden, waaronder financiële dienstverleners, inzage geven in bankgegevens van klanten. Het moet tot meer concurrentie en innovatie leiden in de financiële wereld. Rekeninghouders kunnen toestemming weigeren. Deze richtlijn leidt tot veel onrust over de privacy. Zes vragen.

1. Waarom moeten derden beschikking krijgen over onze bankgegevens?

Door de betaalmarkt open te stellen voor andere partijen, zoals grote fintechbedrijven, wordt het speelveld groter en ontstaat er meer ruimte voor innovatieve betaaldiensten.

2. Wie beslist hierover?

PSD (Payment Service Directive 2) is een EU-richtlijn uit 2007 die zorgt voor de regulering van betalingsdiensten in de Europese Unie. PSD2 is een uitbreiding hiervan en die houdt in dat derden toegang krijgen tot rekeninginformatie, mits de rekeninghouder hier toestemming voor geeft. 

3. Worden banken er beter van?

Nee, de banken worden er zelf niet beter van. Zij verkopen de betaalgegevens niet door, maar moeten ze onder de nieuwe Europese regelgeving wel delen met andere partijen, mits de klant daar dus toestemming voor geeft. Zo overweegt de Britse Barclays bank om klanten in de toekomst via Facebook hun saldo te laten checken. Daarnaast moeten banken behoorlijke investeringen doen in hun eigen administratieve systemen om dit vanaf 2018 te kunnen faciliteren.

4. Wie verdienen er wel aan?

Dat zijn de nieuwe spelers op het toneel. Bedrijven die onze betaalgegevens gebruiken voor bijvoorbeeld nieuwe innovatieve financiële producten of betaaldiensten. Bedrijven die zich bezighouden met het aggregeren van rekeninginformatie (data). Denk aan PayPal uit de Verenigde Staten of Adyen, een Nederlandse aanbieder van wereldwijde betaaloplossingen en het eveneens Nederlandse AFAS Personal, dat een online huishoudboekje heeft ontwikkeld.

5. Wat kun je hier als rekeninghouder tegen doen?

Goed opletten. Je hebt meer te kiezen, maar dat maakt het ook moeilijker om te bepalen welke derde partij betrouwbaar is en welke niet. Derde partijen kunnen ook in een ander land van de Europese Unie een vergunning aanvragen en vallen daarmee buiten de scope van de Nederlandse toezichthouders. Dat malafide bedrijven of organisaties die onzorgvuldig omgaan met de betaalgegevens of geld uit de zak van de spaarder willen kloppen de betaalmarkt betreden, is daarom niet uitgesloten.

6. Is één keer nee zeggen voor de klant afdoende?

Daar is nog discussie over. Gebruiksgemak staat hier tegenover privacy en veiligheid. In de definitieve versie van PSD2 zal hierover meer duidelijkheid komen.

Alles bij de bron; Trouw


 

VVD, PvdA, CDA en D66 zetten vraagtekens bij de veiligheid van het inlogsysteem IDIN waarmee banken hun cliënten de kans geven ook in te loggen bij de Belastingdienst en webwinkels. De partijen vinden dat er eerst een wettelijke regeling moet komen om de veiligheid van nieuwe inlogsystemen bij de overheid en andere instellingen te waarborgen. Die wet is op zijn vroegst in de loop van 2017 klaar en dan moeten de Tweede en Eerste Kamer er nog mee instemmen. 

"De veiligheid en de betrouwbaarheid van het inlogsysteem moeten gegarandeerd zijn", aldus VVD-Kamerlid De Caluwé. De PvdA wil weten wat er precies met de data gebeurt die banken in handen krijgen. "Aan welke spelregels moeten de banken zich nu houden om te voorkomen dat de privacy van burgers niet te grabbel wordt gegooid"?", vraagt D66-Kamerlid Koşer Kaya. Maar Plasterk deelt de zorgen van de Kamer niet. "De veiligheid is voldoende voor een kleinschalige pilot", zegt de minister. 

Het ministerie van Binnenlandse Zaken is al langer bezig met de uitbreiding van de elektronische ID-systemen voor overheidssites. Om de kosten te drukken is daarbij het bedrijfsleven, zoals de banken, gevraagd nieuwe systemen te ontwikkelen om gebruikers meer keuzes te bieden. De banken en andere partijen hebben eind september hun ideeën openbaar gemaakt. Afspraak was wel dat Tweede Kamer de regels rond veiligheid van de privacygevoelige informatie in een wetsvoorstel zou vastleggen.

Nu de wet er nog niet is, willen de banken toch al aan de slag. Plasterk houdt het project niet tegen. Eind december stuurt hij een brief naar de Tweede Kamer over de veiligheidseisen voor de privégegevens van zo'n 12 miljoen Nederlanders.

Alles bij de bron; NOS


"Euromunten, tientjes en vijftigjes, Nederlanders gebruiken ze steeds minder. Er wordt vaker gepind en steeds minder contant betaald. Banken en winkeliers zijn er blij mee, want het is veiliger, goedkoper en overzichtelijker. Maar er zijn ook bezwaren: alle pintransacties worden door de banken geregistreerd, en het pinnen - vooral contactloos - leidt tot minder bewust koopgedrag. 

Volgens Bas Filippini, voorzitter van de beweging Privacy First, mag het contant geld niet verdwijnen. De privacy is volgens hem in het geding. "Als je alles moet pinnen, kijken de banken en de overheid over je schouder mee. Uiteindelijk wil de overheid ook nog weten waar je het aan uitgeeft. Ze controleren je keuzepatronen. Geld wordt verdacht gemaakt."

De tegenargumenten zijn wat Filippini betreft beperkt geldig. "Er wordt gezegd dat het de criminaliteit omlaag zou brengen als we alle transacties in kaart brengen. Nu kom ik net uit Duitsland, er wordt daar veel meer dan hier contant betaald maar de criminaliteit is echt niet hoger. Ik zie niet in waarom het nu anders zou moeten gaan dan tien jaar geleden. Ik moet zelf weten waar ik mijn geld aan uitgeef.""

Klik HIER voor de televisie-reportage bij Nieuwsuur.

Alles bij de bron; PrivacyFirst


Consumenten kunnen binnenkort makkelijk en veilig inloggen en zich identificeren bij online dienstverleners, webwinkels en instellingen die iDIN op hun websites aanbieden. 

iDIN is een online identificatie- en inlogdienst die de Nederlandse banken samen met Betaalvereniging Nederland hebben ontwikkeld. Particuliere rekeninghouders kunnen zich ermee online identificeren en inloggen bij aangesloten organisaties (acceptanten), met de vertrouwde inlogmiddelen van hun bank. Met ABN AMRO, ING, Rabobank, SNS, ASN Bank, RegioBank en Triodos Bank doen de meeste consumentenbanken in ons land mee.

Identificeren of inloggen met iDIN lijkt sterk op de manier waarop Nederlanders iDEAL gebruiken: “Je selecteert op de website van de acceptant je eigen bank. Daarna wordt je doorverwezen naar het iDIN-startscherm van je bank. Daar log je in met de vertrouwde inlogmiddelen van je bank die vervolgens aan de acceptant kan bevestigen wie je bent. 

“De privacy van klanten is gewaarborgd”, aldus Mallekoote. “De klant kiest zelf om iDIN wel of niet te gebruiken. Bij ieder gebruik moet hij uitdrukkelijk goedkeuring verlenen voor het versturen van eventuele persoonsgegevens naar een acceptant. Daarbij ziet hij precies om welke gegevens de acceptant heeft gevraagd. Dat kunnen zijn naam, adres, leeftijd of geslacht zijn. Zo staat de klant altijd aan het roer.”
iDIN-acceptanten krijgen geen toegang tot financiële gegevens van de klant bij zijn bank, zoals saldo- en transactiegegevens. Na het identificeren of inloggen wordt de verbinding tussen bank en acceptant weer verbroken. Omgekeerd kunnen de banken dus ook niet bij de gegevens over de klant bij een iDIN-acceptant, zoals de bezochte webpagina’s en zijn bestellingen.

Alles bij de bron; BeveiligingsNieuws


Nederlanders betalen steeds vaker contactloos: door hun mobiele telefoon of betaalpas tegen de betaalautomaat te houden. In september is de mijlpaal van 500 miljoen contactloze betalingen bereikt. Dit jaar stegen de contactloze transacties met gemiddeld 10 procent per maand, aldus metingen van de Betaalvereniging Nederland en De Nederlandsche Bank (DNB). 

Betaalvereniging Nederland is blij met meer contactloze transacties. 'Daarmee hou je de pinpas altijd in de hand. De pas verliezen of vergeten komt dus minder vaak voor, net als zakkenrollen', zegt de woordvoerder. Volgens hem kijkt een zakkenroller eerst over de schouder mee, rolt daarna de pinpas en maakt er dan misbruik van. 'Dat kan nu niet meer, want je hoeft geen pincode meer in te toetsen.' Een code afkijken en dan grote bedragen pinnen wordt dus moeilijker.

Alles bij de bron; Volkskrant


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha