Belangrijk: Voor het goed functioneren van nrc.nl maken wij gebruik van cookies (meer informatie).
Hiervoor hebben wij wel eerst je toestemming nodig. Klik op de groene knop als je hiermee akkoord gaat.

Google Wallet, een nieuwe klus voor cyberskimmers

door

Internetbedrijf Google neemt het initiatief voor mobiel betalen met Google Wallet. Je portemonnee is niet meer nodig als de smartphone de rol van je creditcard en pinpas overneemt.

Snel een rondje bier afrekenen door je smartphone op de toonbank van de kroeg te leggen, dat is een van de zeer praktische voordelen van Google Wallet. Maar het nieuwe betaalsysteem van de internetgigant heeft ook nadelen: anoniem boodschappen doen is er niet meer bij. En een mobieltje met internetverbinding is kwetsbaarder voor inbraak op afstand dan contant geld.

Google stelde afgelopen week zijn elektronische portemonnee voor (zie google.com/wallet) . In de Nexus S, een toestel dat Google samen met Samsung ontwikkelde, zit een NFC-chip (near field communication) die draadloos contact maakt met de betaalterminal van de winkel. Je voert een pincode in en betaalt zo niet alleen de rekening, maar spaart ook bonuspunten of doet mee aan een kortingsactie. De telefoon wordt dus meteen een bonnenboekje. Vooralsnog werkt Google Wallet alleen in de VS met een creditcard van Citi Mastercard of virtuele prepaid tegoeden van Google. De deur staat open voor andere partijen.

Het regent straks betaal-apps

De verwachting is dat er de komende jaren een hoop apps verschijnen die je als elektronische portemonnee kunt gebruiken. Want naast Google gaan ook alle concurrerende telefoonmakers (Apple, Nokia, RIM BlackBerry) NFC-chips toepassen.  Telecomproviders willen NFC graag als betaalmiddel inzetten. In Nederland zijn KPN, Vodafone en T-Mobile bezig in samenwerking met ABN-Amro, ING en de Rabobank. Ook Visa heeft een mobiel betaalsysteem ontwikkeld, net als Paypal. Paypals moederbedrijf, eBay, klaagde Google meteen na de aankondiging van Google Wallet aan wegens diefstal: het product is ontwikkeld door twee oud-medewerkers die door Google zijn weggekocht. Zoals gewone skimmers telkens nieuwe manieren vinden om je pincode bij de pinautomaat af te troggelen, zo zullen cyberskimmers hun tanden zetten in de nieuwe draadloze betalingsmethode.

Even veilig als pinnen?

Volgens Google is de betaalactie veilig omdat de belangrijkste gegevens bewaard worden op een afgeschermd gedeelte, het secure element van de NFC-chip. De chip die Google gebruikt is gemaakt door het Nederlandse bedrijf NXP. Dat verzorgde ook de – inmiddels gekraakte – OV-chipkaart. De betaalchips die in smartphones zitten gebruiken voor betaling wel veel betere encryptie: even goed als die van nieuwe pinpas, de EMV-chip.

Maar Google Wallet heeft risico’s die niet voor je gewone portemonnee gelden. Al was het maar omdat hackers op afstand kunnen binnendringen op een smartphone, als je bijvoorbeeld kwaadaardige software via de Android Market. Google garandeert dat malware niet bij het beschermde element van de NFC-chip kan. Voor de zekerheid mogen andere apps NFC niet gebruiken voor betalingsverkeer. Het is onduidelijk of die beperking ook geldt voor mensen die hun telefoon kraken.

Backoffice is zwakke schakel

Je moet er op vertrouwen dat Google en andere toekomstige betaalaanbieders hun data veilig opslaan. Experts zoals de Delftse hoogleraar  Michel van Eeten waarschuwen dat, naarmate het aantal tussenliggende partijen in het betalingsverkeer groeit, ook de kans op fouten toeneemt in de backoffice (de systemen die de bank op de achtergrond gebruikt). Het gekraakte Sony PlayStation netwerk staat nog vers in het geheugen. Net als het de webaanval op de Rabobank, die het internetbetalingsverkeer dagenlang verstoorde. Google zegt dat de risico’s voor misbruik door de bank gedekt worden. Maar in Nederland geven banken nog geen standaard garantie af voor fraude met elektronisch bankieren. In  de praktijk wordt schade meestal vergoed maar je moet als klant zelf actie ondernemen.

Meekijken met aankoopgedrag

En dan is er de kwestie van de  privacy: Google Wallet is gratis in gebruik want het bedrijf verwacht geld te verdienen aan advertenties, met name lokale kortingsacties zoals Groupon die nu aanbiedt (‘Google Offers’). Een koppeling met prijsvergelijkingssite Google Shopping ligt voor de hand en ook de locatie van de Wallet-gebruiker is relevant. Zeker volgens het voorbeeld dat voormalig Google topman Eric Schmidt onlangs gaf: een klant staat op het punt een spijkerbroek te kopen en op dat moment ‘tipt’ een andere winkel in de buurt dat dezelfde broek in de aanbieding is, inclusief kortingsbon.

Momenteel, zegt Google, slaat de Wallet nog niet op welke producten je koopt. Maar dat lijkt een kwestie van tijd:  koopgedrag zegt veel over je interesses en maakt nog veel nauwkeurig gerichte – en dus duurdere – advertenties  mogelijk. Daar moet je wel tegen kunnen. Wie nu al ‘nee!’ roept als -ie bij de kassa van de Mediamarkt om z’n postcode gevraagd wordt, zal waarschijnlijk ook niet in de rij staan voor Google Wallet.

Geplaatst in:
gsm & smartphone
nieuwe technologie
veiligheid
Lees meer over:
bankieren
google
nexus
nfc
nxp
wallet

8 reacties op 'Google Wallet, een nieuwe klus voor cyberskimmers'

Hypnotosov

Geen paniek!

Als je het artikel zo leest lijkt NFC bijna een uitdaging aan hackers om je portemonnee te plunderen, en wie wil daar nou aan meewerken? Waarschijnlijke diezelfde mensen die op de Android Market proberen kwaadaardige software te downloaden…

In werkelijkheid is de Android Market geen vrijplaats voor virussen en Malware, bovendien is -zoals gezegd- de betaal-module beveiligd tegen zowel fysieke als software aanvallen. Totdat het systeem zich bewezen heeft zal bovendien de hoogte van mogelijke betalingen beperkt worden, en het risico ligt sowieso niet bij de consument.

Alle mogelijke toekomstige gevaren die in dit artkel genoemd worden (mogelijk zijn “gekraakte” telefoons niet veilig, mogelijk zullen banken fraude slecht afhandelen, mogelijk gaat Google in de toekomst je betaalverkeer registreren) zijn pure speculatie, er is vooralsnog geen goede reden om aan te nemen dat één van deze scenario’s werkelijkheid zal worden.

Misschien wel het grootste probleem dat ik heb met het artikel is dat het zo sterk leunt op de onderliggende angst voor technologie. Een pinpas skimmer kan gemaakt worden door iemand met vmbo electro-techniek en levert contant geld op.
Om de schijnbaar kwetsbare smartphone binnen te dringen is geavanceerde software nodig die zich onopgemerkt kan nestelen in de telefoon, de beveiliging van het NFC gedeelte kan kraken en het betaalverkeer kan omleiden. Dat geld moet vervolgens op een bankrekening terecht komen, waarna het doorgesluisd moet worden, witgewassen en uitbetaald. Je kunt je voorstellen dat dat ingewikkelder is dan bij je lokale bank een rekeningnummer aanvragen en daar het geld op laten storten.

Sander van der Wal

Omdat op Android je ook software via andere app stores dan die van Google kan installeren, blijft de kans op malware installatie een reeel risico.

Verder een onderbelicht aspect. Google weet al waar je naar zoekt, maar Google weet niet waar je je geld daadwerkelijk aan uitgeeft. Als ze dat wel weten kunnen ze nog gerichter gaan adverteren, en nog meer geld gaan vragen voor advertenties.

Sander

Eens met de voorgaande reactie. Wat wel een punt is dat de makers van dit soort betaalmiddelen de inventiviteit van kwaadwillenden schromelijk onderschatten. De zwakke punten zitten vrijwel nooit in de encryptie of techniek, maar vaak in de overdracht van de gegevens aan andere partijen. Daar moet men in Proof of Concepts veel aandacht aan geven.

Jan

Het vervangen van de traditionele betaalwijze met contant geld is hoogst riskant en feitelijk onwettig. Als realist weet ik dat pinpas, creditcard e.d. niet meer uit te bannen zijn. Maar het uitbreiden van betaalmogelijkheden op basis van ‘nieuwe media’ zal uiteindelijk tot een onoverzichtelijke puinhoop voor betaler ontvanger en een diffuse bancaire sector leiden. Naast oplichting door ‘hackers’.

Het gaat ook geweldige problemen geven voor sociaal zwakkere gezinnen, die ‘niet meer weten’ waar het geld blijft, vanwege de vele ‘diffuse’ betaalkanalen. Betalen wordt een steeds diffusere affaire. Voorbeelden: OV-chipkaart, prepaid telefonie, met deze betaalwijzen wordt controle op uitgaven ondermijnd. Prijsverhogingen kunnen op slinkse wijze nagenoeg, ongemerkt worden doorgevoerd. De meeste mensen in de spits kijken niet meer op afgeboekte reisbedragen, omdat dat tijd in beslag neemt en ze de boel niet willen ophouden!

Niets zo goed voor uitgavebesef dan afrekenen met cashgeld!Talloze autoparkeerders met cash geld op zak lopen een parkeerbekeuring op, omdat zij geen geld op hun ‘chipknip’ hebben staan. Terwijl de Wet voorschrijft dat te allen tijde cash geld geaccepteerd behoort te worden. Slechts ondervangen door Gemeentes met een klein wetje. Feitelijk ontduiking van de generieke wetgeving.

Zoals Max Dendermonde ooit schreef: ‘De wereld gaat aan vlijt ten onder’. Zouden we het niet eens een beetje rustiger aan kunnen gaan doen, zijn we ook minder snel aan onze ondergang toe?

jeroen A

Ik ben het met Jan eens. De privacy waakhond zou deze ontwikkelingen eens goed moeten uitkammen. Het lijkt allemaal erg fijn en gebruikersvriendelijk, maar in de grote mensen wereld bestaat “gratis” niet. Al deze uitvinders willen aan ons verdienen.
De OVchipkkaart is feitelijk een opgedrongen portemonee die je ook nog moet betalen, waar de OV vervoerder een greep in mag doen. Je krijgt het teveel gegrepen geld terug als jij je netjes aan hun regeltjes gehouden hebt en tijdig uitgecheckt bent. Services zoals een reisoverzicht krijg je alleen als je ge privacy opgeeft en niet anoniem reist.
Dat zal met een google wallet niet anders gaan. Veel service in ruil voor het lichten van je doopceel.

J.v.Loveren

Al het geld wat men nu nog bezit moet straks naar de bank. In ruil daarvoor kan men straks per telefoon betalen. Opnieuw wordt ons een betalingssysteem opgedrongen waar straks weer extra voor moet worden betaald. De bank zal meer een bank gaan worden zonder geld. En ook in de winkels zal men niet meer met contant geld kunnen betalen. Met het elektronische betalingssysteem kunnen ook tijd en plaats van inkomsten en uitgaven worden gecontroleerd en geregistreerd. Hoeveel men precies uitgeeft aan wat, waar en zelfs aan wie. Door al deze opgedrongen systemen verliest de burger steeds meer privacy. Big brother watch you, van de schrijver George Orwell, lijkt meer en meer realiteit te gaan worden. Nog even en men is overal te volgen en worden alle handelingen, transacties en DNA in één grote databank ondergebracht. De mens onderworpen aan ‘Het systeem’. Vanuit één punt bestuurd, gecontroleerd en geregistreerd het is slechts een kwestie van tijd. Alleen gezond verstand kan ons nog redden.

Lennart

@Hypnotosov
Angry Birds, wat bijna iedereen op zijn telefoon heeft staan verstuurt ook heel veel over de gebruiker. Daar gaat kennelijk ook iedereen mee akkoord..En het geld kan je natuurlijk via een stroman over laten maken en opnemen.

Wat ik jammer vind, maar wat natuurlijk ook wel logisch is, is dat we steeds makkelijker dingen digitaal kunnen doen. Maar altijd dit gemak met inlevering van de privacy en vrijheid betalen.

Hypnotosov

Het gaat er niet alleen om hoeveel data er verzonden wordt (en welke), maar vooral wat daar mee gedaan wordt. Volgens Rovio (de makers van Angry Birds) is alle verzonden data legitiem en wordt gebruikt voor ofwel geanonimiseerde statistieken of voor ranking sites (die uiteraard een unieke ID nodig hebben)

Wat betreft “cyberskimming” en de stroman-constructie, dat kan inderdaad. Maar als je dat vergelijkt met pinpas skimming, waarbij je per keer 500€ cash in je hand hebt is er meer organisatie nodig. En dat is eigenlijk mijn hele punt: Inbreken in de NFC chip, die leeg trekken en het geld in handen krijgen op een niet-traceerbare manier veronderstelt een uitgebreide organisatie. En voor zo’n organisatie is het niet interessant om een individu te ontdoen van een paar tientjes, dus het risico verschuift omhoog in de keten. Dat vind ik als consument een geruststellende gedachte.