OV Pay vrij gemakkelijk te kraken

Het lijkt me dat ze gewoon kunnen beslissen met wie ze wel/geen zaken wensen te doen. Er zijn ook veel bedrijven die bijv. American Express niet accepteren.

Wellicht moet je alleen debitkaarten van Nederlandse banken accepteren, in het buitenland is het altijd lastig je geld terug te halen. Revolut wordt in Nederland vooral door buitenlanders gebruikt, frauderen kan dan vrij makkelijk zonder risico.

Poortjes en paaltjes zouden moeten werken zoals bij een tankstation (even geduld aub… u kunt nu tanken bij pomp x) maar dat duurt nog wel even voordat ze dat kunnen.

Of je gewoon doorlaten en daarna bij controle in de trein door de mand vallen (payment not approved). Maar ja, jij hebt niets fout gedaan tenzij er opzet in het spel is.

Dat laatste (die mislukte incasso) is op dit moment pas de volgende dag aan de orde, too little too late.

Het hele systeem met poortjes is niet gebouwd op het snel verifiëren van bankgegevens zoals er wel borg kan worden weggezet bij een onbemensd tankstation. 

Eigenlijk is het te bezopen voor woorden dat de olieboeren wel weten regelen dat er zonder te betalen getankt wordt en dat OVpay een gammel systeem installeert waarbij relatief makkelijk gefraudeerd kan worden. Het lijkt erop dat het OV door nogal naïeve types wordt geleid. Dit in tegenstelling tot de olieboeren.

Ik vraag me trouwens af of er in Londen vergelijkbare problemen zijn. Daar kunnen ook betaalkaarten, creditcards en virtuele kaarten op telefoons gebruikt worden om te reizen. 

Dat zal vast wel.

Bij een busmaatschappij in Zuid-Engeland hebben ze al zoveel schade dat bepaalde banken vorig jaar al zijn geblokkeerd: 

https://www.finextra.com/newsarticle/40858/fraud-spike-forces-bus-company-to-ban-online-banks-and-cut-mobile-contactless-limits

Revolut geeft ook aan dat ze delayed transactions van offline terminals (wat de incheck en uitcheck) poortjes zijn niet mogen weigeren. Ze zijn zelf specifiek dat dit ervoor kan zorgen dat je rood komt te staan. Dit kan een paar dagen duren. Dus eigenlijk snap ik niet hoe je je kaart kan verwijderen en dan niet gecharged zou kunnen worden.

Tenzij je je account opoffert. Dan kan je het een paar keer doen binnen die paar dagen en dan ben je je account kwijt.

als je in Vlaanderen incheckt in tram of bus dan wordt er direct  gecheckt (dit gaat net zo snel als inchecken in Nederland) of je genoeg geld/bestedingsruimte hebt om je rit te betalen en vervolgens afgeboekt/gereserveerd. Bij onvoldoende saldo kun je niet inchecken. Het kan tegenwoordig dus wel degelijk

Voor elke rit doorheen de dag wordt er 2,50 euro gereserveerd

In Brussel wordt er 7,50 euro gereserveerd. Als je niet minstens 7,50 euro beschikbaar hebt op je rekening hebt, dan kom je bijvoorbeeld niet door de metropoortjes.

Om te kunnen reizen via contactloos betalen, wordt er tijdelijk een bedrag van € 7,50 gereserveerd op je rekening. Dit bedrag komt overeen met het maximale dagtarief. Het is mogelijk dat je deze reservering van € 7,50 ziet verschijnen in het overzicht van je transacties. Het resterende bedrag wordt weer vrijgegeven op het moment dat het correcte bedrag werd berekend, zo’n 2 à 3 werkdagen later. Maak je geen zorgen, enkel je gemaakte ritten worden aangerekend.

Misschien hebben ze daar geen poortjes (in tram en bus in ieder geval niet). Dan is het geen probleem als het wat langer duurt. Maar kunnen ze in NL dan niet gewoon het poortje standaard openen terwijl de reservering nog niet is gedaan? Een slimme jongen komt nu ook al makkelijk door de poortjes heen zonder vervoerbewijs.

Op reddit las ik:

Of de methode die ze volgens toepassen in de London Underground: als een kaart voor het eerst gebruikt wordt authoriseer je online een paar seconden nadat iemand ingecheckt is. Wordt dat geweigerd? Dan kom je er op je bestemming niet meer uit totdat je op een andere manier betaald hebt.

Ik heb niet meer context dan dit, maar dat lijkt mij een methode die het probleem oplost, niet voor extra vertraging zorgt, én te implementeren is zonder dat nieuwe hardware nodig is...

Waarom zou dat het probleem oplossen? 

Maak een tijdelijke kaart aan, check in, een paar seconde later wordt er een reservering geplaatst op je account omdat het de eerste keer is, dan zit je in de trein, krijg je controle (alles goed), check je uit, de betaling wordt uitgevoerd einde dag. De tweede keer is die authorisatie er niet en verwijder je je kaart nadat je uitgecheckt bent. En de derde, en de vierde, …

Het zou me niks verbazen als het probleem overal speelt bij offline terminals en dan 1x per een clearing. Tenzij de uitgevende bank offline terminals blokkeert on dit soort situaties te voorkomen of de terminal een bank blokkeert omdat tijdelijke kaarten toegestaan zijn.

Tijdelijke kaarten zijn bij mijn weten ontworpen voor online aankopen, niet voor offline terminals 

Tsja, viel allemaal wel weer te verwachten. Maar och heden wat heb ik vaak moeten horen dat ik te negatief tegenover TLS en de gaande ontwikkelingen sta. Want dat wil men allemaal niet horen natuurlijk.

T’is net als de keuze om met brakke beveiliging te werken rondom de OV-chipkaart zelf: men lost het domweg niet op. Dat speelt al 10+ jaar, het is dat er een paar jaar terug eens twee Alkmaarse gasten voor zijn opgepakt, anders was er ook al 10+ jaar geen vervolging.

Ik heb overigens uit de documentatie van MIVB/STIB opgemaakt alleen prepaidkaarten gecheckt worden of er wel €7,50 opstaat, het equivalent van een dagkaart in Brussel. In Vlaanderen is het nog simpeler. Daar wordt meteen €2,50 gereserveerd. 

Die poortjes in Brussel zijn waarschijnlijk niet veel slimmer of dommer dan de poortjes in Nederland. Het grote verschil met NS is natuurlijk dat de maximumbedragen per dag veel lager zijn.

De tijd zal leren hoe ernstig de fraude is en hoe goed de strijd tegen de fraude gevoerd kan worden. Ik vind het wel een beetje suf dat deze problematiek pas besproken wordt nadat het nieuwe betaalsysteem is uitgerold. Blijkbaar zitten de vervoerders als aandeelhouders van TLS ook maar een beetje te suffen. Je zou verwachten dat vervoerders bovenop de de ontwikkelingen zouden zitten. De opbrengsten moeten via TLS binnenkomen.

Die gasten kwamen uit Utrecht, en volgens https://nos.nl/artikel/2336040-utrechters-die-ov-chipkaart-hackten-moeten-mogelijk-33-000-euro-betalen kregen ze 120 uur taakstraf plus 33.000 euro betalen.

https://www.rtlnieuws.nl/tech/artikel/5156561/ov-chipkaart-gratis-reizen-ov-chip-kaartlezer-saldo-verhogen spreekt over bijna 15.000 euro plus die taakstraf.

Hoe dan ook, het heeft nogal wat voeten in de aarde gehad voordat die gepakt werden. Een toerist die een paar weken sjoemelt met OVpay komt er wel mee weg, vermoed ik.

heel goed, dit moeten ze bij ons ook snel gaan doen. We hebben veel ellende met jongerendagkaarten fraude waar ontzettend veel e-tickets massaal gedeeld worden. Nu gaan ze allemaal deze techniek gebruiken. :(