Ik kreeg vanochtend een email van Beobank over de toepassing van 'sterke authenticatie om veilige online betalingen te garanderen'.
Bij mij ligt dat onderwerp wat gevoelig want in november hebben snoodaards reeds mijn kredietkaartrekening 1500 euro (+/-) lichter gemaakt en eigenlijk hadden ze gepoogd om nog meer te roven.
Vermoedelijk hebben ze mijn kaartgegevens ergens online weten te bekomen in één of andere shop waar ik de kaart heb gebruikt. Welke ? Geen idee.. Er zijn tientallen mogelijkheden.

De bank (beobank) heeft alles geregeld en ik ben schadeloos gesteld maar het was toch een bange ervaring.
Weet ook dat de schade beperkt bleef omdat ik binnen de 10 minuten na de eerste poging om mijn rekening te plunderen de kaart heb laten blokkeren. Ik had immers vragen om toelating tot betalen gekregen na pogingen om in webshops aan te kopen die wel degelijk goed beveiligd zijn, nog voor het verplicht is om dat te doen.
Anders was er zonder twijfel meer afgehaald.

Omdat de voorwaarden volgens de email die ik kreeg voor alle banken gelden en ook voor Europa, post ik hier de inhoud, die naar mijn ervaring erg leerrijk is.


"""""""""Sterke authenticatie om veilige online betalingen te garanderen



Geachte heer Haelewyn,


Sinds begin dit jaar aanvaarden Belgische banken geen online betalingen boven de 1.500 euro (via debetkaart of kredietkaart) meer, die gedaan worden op Europese websites die niet voldoen aan de verplichtingen voor sterke authenticatie. De volgende maanden zal dit bedrag geleidelijk verlaagd worden, totdat het niet meer mogelijk zal zijn om online betalingen te bevestigen zonder sterke authenticatie.
Wat is sterke authenticatie?

Sterke authenticatie is een identificatieprocedure die valt binnen het kader van de PSD2-richtlijn en die tot doel heeft een enkel wettelijk kader te creëren voor eenvoudigere, veiligere en efficiëntere online betalingen* in Europa.

Hoe bevestig ik een aankoop met sterke authenticatie?

Als de handelaar aan de sterke authenticatievereiste voldoet, verschijnt er bij het bevestigen van uw aankoop een Beobank-venster op uw scherm. Zo kunt u uw aankopen online bevestigen:

via uw Beobank Mobile app en uw Beobank Mobile geheime code, of
door uw Beobank Online wachtwoord in te vullen bovenop de eenmalige bevestigingscode die u ontvangt via sms, of
via uw Digipass (indien u een betaalrekening hebt bij Beobank).

Indien u uw Beobank Online wachtwoord niet meer kent, kan u een nieuw wachtwoord aanvragen via de Beobank Online login-pagina van onze website (door te klikken op de link ‘Wachtwoord/gebruikersnaam vergeten?’), via Beobank Service Center op +32 (0)2 626 50 50, of via uw vertrouwde agentschap. Zij helpen u ook graag verder indien u hulp nodig hebt met uw Digipass, of bijkomende vragen hebt.

Hoe zal dit in zijn werk gaan?

De overgang naar de verplichting om alle online aankopen te bevestigen met sterke authenticatie zal geleidelijk gebeuren. Hieronder vindt u de verschillende geplande etappes. Het is echter mogelijk dat de hieronder vermelde data onafhankelijk van onze wil worden gewijzigd. Houd er rekening mee dat deze wijzigingen van toepassing zijn op alle Belgische bankinstellingen en betrekking hebben op webshops binnen de Europese Unie.

1ste niveau
Sinds 19/01/2021 kunnen online aankopen voor een bedrag hoger dan 1.500 € die niet bevestigd zijn via sterke authenticatie, niet meer geaccepteerd worden.

2de niveau
Vanaf 23/02/2021 zullen online aankopen voor een bedrag hoger dan 500 € die niet bevestigd zijn via sterke authenticatie, niet meer geaccepteerd kunnen worden.

3de niveau
Vanaf 23/03/2021 zullen online aankopen voor een bedrag hoger dan 250 € die niet bevestigd zijn via sterke authenticatie, niet meer geaccepteerd kunnen worden.

4de niveau
Vanaf 19/04/2021 zullen online aankopen voor een bedrag hoger dan 100 € die niet bevestigd zijn via sterke authenticatie, niet meer geaccepteerd kunnen worden.

5de niveau
Vanaf 18/05/2021 zullen online aankopen, ongeacht hun bedrag, die niet bevestigd zijn via sterke authenticatie, niet meer geaccepteerd kunnen worden. We zullen helaas niet kunnen tussenkomen om deze betaling uit te voeren. Het is namelijk de verantwoordelijkheid van de handelaar om aan de sterke authenticatievereiste te voldoen. Aarzel echter niet om contact op te nemen met de handelaar om een alternatief te vinden, zoals betalen via overschrijving."""""""""

Sommige online sites slaan uw kaartgegevens op, zodat U dit bij een latere bestelling niet meer moet invullen. zelfs je pincode moet je dan niet meer ingeven. heb ik zelf al ondervonden.. . . Je kan dit wel uitvinken als je dit niet wil.. ( je moet er soms wel lang achter zoeken waar dit te doen )
Dus oppassen..

Voila... Die bedrijven zijn net een prooi voor mensen die de gegevens van creditcards willen stelen.

Maar gerust ben ik er nooit (meer) in.
Vanaf ergens juni dit jaar zal dat nieuw systeem volledig in dienst zijn en wordt het al wat veiliger.
Dat is eigenlijk rijkelijk laat en ik begrijp niet dat men hier niet al veel sneller werk van gemaakt heeft.

Een handelaar die online verkoopt zal altijd met de gebakken peren zitten als hij een betaling aanvaardt zonder uitgebreid de juistheid en identiteit te hebben gecontroleerd van de kaartgegevens.
Maar misschien doen die meer winst door de schade voor lief te nemen dan uitgebreid te controleren (kost geld).

Als een bedrijf niet aanbiedt om je kaartgegevens te bewaren kan het nog altijd zijn dat één of ander IT bolleboos in hun gegevens van bestellingen en betalingen raakt en daar staat waarschijnlijk ook wel alles verzameld aan gegevens die je voor de betaling hebt gebruikt.

Voorlopig geef ik mijn nieuw kaartnummer van Beobank Mastercard op zo weinig mogelijk webshops door.
Ik gebruik Paypal en hoop dat die hun zaakjes echt en volledig op orde hebben.
Eén alternatief is mijn prepaid kaart van Revolut. Maar die a la seconde voeden is niet altijd makkelijk of mogelijk.
Om mijn kaart voldoende aantal keren te gebruiken en mijn gratis kaart te blijven behouden, doe ik af en toe eens een uitgave in LIDL. Zo lukt het ook. Uitgaven via Paypal tellen ook mee natuurlijk.

Ik geloof niet dat er nog onlinewinkels zijn die geen tweetrapsverificatie gebruiken via sms of digipass

Ik ben klant bij beobank en moet al een hele tijd bij elke betaling na een sms bevestigen door aan te loggen bij de app.
Veiliger op deze manier .

Deze nieuwe regels zijn onderdeel van het bekende PSD2 (deel van strong customer authentication). In principe was dit al enige tijd geleden live, maar werd er vanuit de webshops om uitstel gevraagd omdat ze niet mee waren.
In het deel van strong customer authentication dienen 2 van volgende 3 te zijn voldaan: "something you know", "something you are" en "something you have".

Dit maakt dat alle webshops die Europese gebruikers toelaten verplicht zich hieraan moeten houden. VRT NWS heeft hier in den tijd dit over geschreven: https://www.vrt.be/vrtnws/nl/2019/09/13 ... tkaart-en/

Ergens ontzettend blij dat dit er eindelijk komt. Ik gebruik mij VISA kaart enkel op een website die bekend, vertrouwd en de capaciteit heeft om wat security experten in dienst te hebben. Voor al de rest vertrouw ik eerder op Bancontact.

Ter info: SMS authentication is weliswaar "veiliger" maar eigenlijk ook zo lek als een zeef. Vanuit security adviezen (als NISP) is het implementeren van nieuwe authenticaties / tekenen op basis van SMS OTP afgeraden. Banken die het nu gebruiken worden aangeraden een traject te voorzien om er vanaf te geraken.
Het is al bewezen dat hackers zich kunnen voordoen op de GSM antennes als een ander nummer waardoor SMS veel te kwetsbaar is voor het betaalverkeer.

Wat met PAYPALL ?

Op mijn paypal is er ook zo een dubbele verificatie.
Al bij het inloggen wordt er een sms naar mijn gsm gestuurd en om een betaling te bevestigen ook.
Je moet dat wel zelf instellen op je profiel.

Pedro007 schreef: ↑17 februari 2021, 14:16 Ik geloof niet dat er nog onlinewinkels zijn die geen tweetrapsverificatie gebruiken via sms of digipass

Zijn ze vergeten om jou te bannen, trol Pedro ?
Je zal het nog eens moeten vragen jongen.

Die onlinewinkels zijn er wel degelijk nog altijd.
Je gelooft desnoods dat de aarde plat is maar daarom is het nog geen werkelijkheid.
Het zijn soms zeer gekende namen die die verificatie niet doen.

haelewyn schreef: ↑17 februari 2021, 16:44 Op mijn paypal is er ook zo een dubbele verificatie.
Al bij het inloggen wordt er een sms naar mijn gsm gestuurd en om een betaling te bevestigen ook.
Je moet dat wel zelf instellen op je profiel.

Dacht dat SMS niet meer volstaat ? (zie andere reactie)

Ja .. Ook al eerder gehoord dat dat niet ideaal is, maar ik dacht beter dan niets en beter dan vroeger dus. Ik vind het alleszins toch al een grote stap vooruit.
Dat fraudeurs zichzelf kunnen voordoen als 'jouw nummer' kan allemaal wel zijn (misschien) maar ik vind het toch vergezocht.
Ik las onlangs wel dat men het als volgt speelt : men vraagt de operator een nieuwe simkaart te sturen en de oude ongeldig te maken. En dat dan nog ineens naar een ander adres dan bekend staat bij de operator ?
Plus... in die drie dagen zou ik niet merken dat ik geen verbinding meer krijg met mijn simkaart en ik zou daar niets aan doen ?

Hoe het nu moet gaan als ik een paypal betaling doe later , die via de kredietkaart moet worden afgerekend, weet ik niet.
Want logisch gezien moet Paypal de betaling beveiligen .. en moet ook je bank hetzelfde doen op het moment dat een betaling wordt aangeboden.
Tenzij ze voor Paypal uitzonderinge blijven maken.

Vind dat men de mensen vrij moet laten: een minimale beveiliging voor zij die instemmen met het risico.
Het is zowat een ziekte van al die regelneven-beveiligingsmensen: liefst van al zou ze hebben dat je NIETS doet.

Na in november ineens 1500 euro van mijn kredietkaartrekening te hebben zien verdwijnen zonder dat ik mijn kaart onveilig had gebruikt of ook maar enige fout had gemaakt, kan ik het met dat laatste voor mezelf niet eens zijn.
Ook algemeen lijkt me dat niet de juiste weg. Ze moeten het wel genoeg beveiligen want niemand gaat tevreden zijn als ineens zijn ganse limiet van de kaart is opgebruikt zonder dat de bank een tussenkomst doet.

Is er geen verschil tussen een kredietkaart en het doen van een overschrijving ? In het laatste geval staat men rechtstreeks (zonder tussenpersoon) in verbinding met zijn bank.

SparSpaar schreef: ↑17 februari 2021, 20:24 Vind dat men de mensen vrij moet laten: een minimale beveiliging voor zij die instemmen met het risico.
Het is zowat een ziekte van al die regelneven-beveiligingsmensen: liefst van al zou ze hebben dat je NIETS doet.

Prima te doen met mensen die er iets vanaf weten, maar not done by de gewone burger. Hoeveel volk loopt nog rond met wachtwoorden die veel weg hebben van hun geboortedatum en hun huisdier. Die wil je toch niet deze beslissing laten maken.
Voor je het weet staan ze te huizen bij de bank omdat ze het risico fout hebben ingeschat.

Ik zie het als gelijkaardig als de verplichting van een auto verzekering als je op de weg wilt.
Dat pakweg grote bedrijven hun risico willen inschatten is dat prima voor mij. Zij kunnen experten inhuren en extra controles invoeren in hun eigen workflows.