iDEAL zonder bankieren-app

Wanneer je afrekent via iDeal dan wordt je doorgestuurd vanaf de website naar je bank app. Inloggen, een QR code scannen en je hebt afgerekend. Deze zomer gaat Currence een nieuw betaalsysteem invoeren voor iDEAL. Je kan een profiel aanmaken en op deze manier sneller betalen.

Is dit een 1 april grap of moeten we echt serieus onze gegevens weer ergens plaatsen waardoor er weer een hack kan plaatsvinden en straks nog meer gegevens van mij op straat ligt omdat dit platform al mijn betaal informatie heeft en weet waar ik alles koop?

Hieronder het artikel bij iCulture:

Ik hoop dat het een 1 aprilgrap is :frowning:

Wat je zegt, dat mag ik toch ook wel hopen. Want hier zitten we natuurlijk niet op te wachten. Er is nu al een grote datalek waar ze eigenlijk niet eens weten hoe groot het probleem is en wat er gelekt is.

Het staat zelfs nu op hun eigen website:

Kortom, gebruikers gaan een overeenkomst aan met/bij Currence (merkeigenaar van iDeal) zodat ze daar(mee) betalen en het bedrijf dat (direct) mag/kan afrekenen bij hun ingestelde bank.

Het One-Click systeem - zoals ook NFC betalingen - is prima, mits het voor kleine(re) bedragen blijft en niet dat je per ongeluk ineens een auto hebt gekocht omdat er toevallig voldoende saldo zou zijn. Ik vermoed ook dat banken zelf graag af willen van hun “iDeal” koppeling en de autorisatie verantwoording richting klanten, dat in zichzelf best complex is omdat de bank dat realtime moet fiatteren.

Er is ook een (aan)kooprisico. Zelf bij Amazon wel’s gehad dat ik wat zocht en voor ik het wist om te kijken wat de (totale verzend)kosten waren, het per CC ook al had betaald. Niet erg in dit geval maar was wel een eye-opener om voortaan alerter te zijn bij knopjes “betalen”.

Een vraag die bij mij opkomt of en hoe het bedrijf Currence , de “balance checking” en de bijbehorende (privacy) registratie gaat doen om al die consumenten betalingen te kunnen fiatteren en traceren.

Ze gaan het bank gedeelte inbouwen in de website van de winkel.
Er hoort voor de veiligheid een betaal profiel van de klant bij.
Je geeft aan wat je normale koopgedrag is.
Dan kunnen ze het afwijkende gedrag filteren.
Het past helemaal in het plaatje, totale controle van je koopgedrag.

Op de website van iDEAL staat bij de uitleg wel een bananen prullenbak.
Dat zou op een grap of een bananenrepubliek kunnen duiden.

afbeelding van de bananen prullenbak

2 likes

Is het niet een plant in een blauwe plantenbak :slight_smile:

Ben bang dat het geen 1 april grap is, bericht van 14-10-2022: https://www.ideal.nl/actueel/nieuws/de-nieuwe-ideal-hub-is-live/

Waarom - buiten dat er publiciteit aan wordt gegeven rondom 1 april - zou het een grap (moeten) zijn ?

Het fusieproces van betalingsfiattering is al tijden aan de gang en het bedrijf neemt simpel de volgende stap. De “grap” is wmb vooral dan mensen het nieuwe zo prettig vinden dat ze het niet erg vinden om afhankelijk gaan zijn van dit soort virtuele bankconstructies.

Interessant is wel dat het gaandeweg steeds lastiger is om te onderscheiden wat (on)war publicatie zou - kunnen - zijn. Zelfs van (AI) foto’s valt inmiddels als bewijs, geen recht meer te ontlenen. Met één deepfake foto, laat staan video of geluidsopname, is iemands integriteit ter discussie te stellen.
Ik vraag mij ook steeds vaker af of mijn buurman met dezelfde ‘krant’ ook dezelfde inhoud (ver)krijgt want zij lezen steeds vaker iets heel anders dan wij tot ons nemen.

2 likes

Er gaat wel meer veranderen.
Deze zomer start de operatie om in een paar jaar alle bankpassen met het rood-blauwe logo te vervangen.
We krijgen allemaal een debetkaart met een geel-rood logo.
Geen gedoe meer met allemaal verschillende creditcard systemen.
Alle pin apparaten en flappentappen moeten bij de start omgebouwd zijn.

Ik heb al een debet kaart van Wise.
Daarmee betaal ik in niet-Euro landen geen belachelijk € 3,50 per transactie + 1,40% koersopslag zoals bij de ING. Maar gewoon een koersopslag van 0.4%, verder niets. Ik kan er bij winkels mee betalen en contant geld opnemen in vreemde valuta bij een geldautomaat zonder extra kosten.
In NL kan ik er zelfs geld mee uit een automaat trekken zonder de € 0.80 transactiekosten omdat ik een pakket heb met korting. Gewoon eerst via ideal wat geld storten op het Wise account/debet kaart en daarna met Wise geld opnemen.
Ja een fysieke Wise kaart kost éénmalig € 7,-. Maar ik kan gratis zoveel digitale debet kaarten aanmaken als ik wil, die dan effectief voor internet betalingen net zo werken als een creditcard, maar dan nooit voor meer dan er op je Wise account staat. Wel zo veilig. Gaat er iets met zo’n digitale kaart mis, verwijder je hem gewoon.

1 like

Je creditcard en pin card kan je ook (vaak in het pakket kosteloos) blokkeren en opnieuw aanvragen. Een voorgeladen debetcard is feitelijk niets anders dan een bankrekening elders. Tot op het moment van blokkeren, blijft de gebruiker verantwoordelijk voor de schade.

Ik vermoed dat die Wise card qua vrijheid in gebruik - net als eerder met creditcards - tzt ook wel weer wat beperkt zal gaan worden. Die opslag -en (koers)kosten hebben niets meer uitstaan met een werkelijkheid en zijn vooral een verdienmodel (omdat het kan) van organisaties.

Voor Wise geldt denk ik dat ze het nou juist moeten hebben van klanten die met verschillende valuta werken. Dat is hun doelgroep. Dus ik denk dat ze daarin anders zullen zijn dan de gewone banken en creditcard maarschappijen, echt een heel andere markt.

Wise heeft in die zin ook meer te maken met vrijheid, vrijheid van de meer gevestigde orde van banken en creditcard maatschappijen.

Recent bij Amazon iets gekocht in dollars via Wise in plaats van in euro’s, hoefde ik alleen de 0.4% koersopslag te betalen en niet de ongeveer 3% die Amazon in rekening bracht voor betalen in Euro’s.

1 like

Ze zijn hier al een tijdje mee bezig, sinds maart vorig jaar zijn alle transacties met debetkaarten (ongeacht Maestro, V Pay, MasterCard Debit of Visa Debit) kwa prijs gelijkgesteld aan het huidige pin-tarief om deze transitie in te zetten. Eind vorig jaar konden de banken al MasterCard Debit uitgeven en in de loop van dit jaar kunnen er geen nieuwe Maestro kaarten meer uitgegeven worden.
In geldautomaten werkt het allemaal prima om MasterCard Debit te gebruiken, maar winkelier lijken niet echt geïnformeerd te worden (of negeren post hierover), gezien ik nog weinig winkels heb gezien waarin na deze aankondiging ik wel met MasterCard Debit kon betalen.

1 like

Dat komt omdat heel veel winkels de optie Creditcard uit gezet hebben.
Dat is namelijk erg duur per transactie, voor de winkelier.
Pas na de de update van de pinautomaat werkt debit en creditcard beide en voor een laag tarief.
Het klopt, dat ik van winkeliers hoor dat ze er bij toeval achter komen.

Ook nog wel een grappig verhaal over dit onderwerp.
Voor een tijdje terug hadden ze in Duitsland een enorme blunder.
Groot deel van de pinautomaten is op afstand kapot gemaakt met een foute update.
Veel winkels hebben dagen lang zonder betaalautomaat gezeten.
Veel automaten zijn voor het gemak omgeruild voor een nieuw model.
Dat was best wel dom, om alles ineens van dezelfde update te voorzien.

Phishing is dat je door een actie van een andere persoon naar een niet door jouw gecontroleerde website gaat en daar je credentials op gebruikt

QR-betalen is dat je door een actie van een andere persoon naar een niet door jouw gecontroleerde website gaat en daar je credentials op gebruikt.

IDEAL is dat je door een actie van een andere persoon naar een niet door jouw gecontroleerde website gaat en daar je credentials op gebruikt.

Zoals mensen hier weten is het redelijk gemakkelijk om www.lNG.nl te registreren en letsencrypt doet de rest.

De banken willen dat phishing voorkomen wordt. Waarom stimuleren ze dan IDEAL en QR-codes?

Bank betalen zou je alleen moeten doen als:

  • Je de bank-URL zelf opgeeft
  • Je dit doet in een omgeving met DNSSEC-verificatie
  • De bank netjes DNSSEC gebruikt.

Wat dit laatste betreft kom je op teleurstellingen als je de Grote Drie hierop test.

Het lijkt mij niet dat je www.lNG.nl kunt, laat staan makkelijk registreren, wel dat je het zelf kunt hosten.
Erg makkelijk om een eigen dns als fake te gebruiken die hostnaam ghosten en vervolgens met een adres-“trucje” er een certificaat aan te hangen. Ook qua routing is e.e.a. te faken door een IP - even een paar seconden - naar een eigen malafide server te routeren.
Er zijn verder ook manieren om een legitieme verbinding te proxy’en voor een onveilige betaling.

Het certificaat zelf zegt overigens niets over de betrouwbaarheid van afgifte. De reden dat je dus OOK moet kijken wie het certificaat uit/afgeeft. Een bank zal (imo) sws geen extern certificaat gebruiken maar altijd dat zelf af/uitgeven.

Wat ik graag - al vele jaeren - zou geregeld wil zien dat ik zelf kan bepalen wanneer, waar en welke instantie(s) (inclusief winkels), een betaling met whatever code van mijn rekening mogen afschrijven.

Helaas lijken “bankwetten” dit te verbieden om - wanneer betalen door bv Pinnen, QR of Ideal mogelijk is - een zelf instelbare restrictie op grond van plaats, tijd en ontvanger te laten hanteren.

Het is best wel wrang dat fraude mogelijk is omdat de regelgeving verbiedt dit veilig(er) te maken en vervolgens gebruikers met allerlei technisch geneuzel opzadelt die het gebruik zg veilig moet maken door de verantwoording daarvan bij de gebruiker neer te leggen.

Ik denk dat je de domeinnaam in mijn posting nog maar eens goed moet bekijken, zo te zien is het experiment in mijn posting geslaagd. Dan zie je meteen waarom je een domeinnaam bij bankieren altijd zelf in moet kloppen en nooit “op moet klikken, want dit is bekend”.

1 like

Nu wil het geval dat ik nooit website links klik zonder dat die langs mijn copy-paste tekst editor zijn geweest, ook om te voorkomen dat een link buiten beeld andere rommel bevat. Los daarvan type bij voorkeur liever niet een linknaam maar gebruik daarvoor mijn eigen (index)referentie database.

Zelf interesseert mij een afgebeelde tekst of naam geen zier en hecht alleen waarde aan waar dat effectief toe leidt en natuurlijk ben ik bekend met lettergelijkheid-trucs zoals je gebruikte ‘0oO1l’ opzetjes, voor meer info zie IDN homograph attack - Wikipedia

Wel leuk :slight_smile: om als proefkonijn te dienen.

En dan wel een font in je kladblokje, die de verschillen mooi laat zien.
De domeinnaam is gewoon van een firma die gas verkoopt.