Internetbankieren niet zo veilig als gedacht

Reacties

« 1 2 3 4 5 »

Door Stubby, dinsdag 29 oktober 2002 10:42

Heb het gisteravond ook gezien, en schrok wel. Ik gebruik vaak dit soort internet programma's. Nou is dit ook al eens voorgekomen bij rabo en abn amro, maar dan met hun gewone thuis bankier zooi.

En waarom is dit niet eerder ontdekt??? ik geloof dat internet bankieren al een tijd in gebruik is

Door Nasi_el_Zonnebadtie, dinsdag 29 oktober 2002 13:15

Ja ik zag het ook. Ik heb gelijk 7.902.054 bij mijn rekening bijgeschreven.

* 786562 Nasi_el_Zonnebadtie

Door DenDave, dinsdag 29 oktober 2002 14:13

Niet in vissoie allesinds..

www.anniviers.ch

Door DenDave, dinsdag 29 oktober 2002 14:03

{yawn}
dit stond al twee maanden geleden in de c't magazine.. inclusief de "secret" tool.. zij gebruiken Ethereal...

Bon, wel positief dat er nu wat aan gedaan wordt maar wel triest dat de banken pas luisteren als de geeks een pak dragen..

Door Vasago, dinsdag 29 oktober 2002 23:40

Hiervoor werden ik en m'n ouders al 2 jaar geleden gewaarschuwd toen we begonnen met de aandelen via het net te doen... niets nieuws dus

Door majic, dinsdag 29 oktober 2002 10:43

ik ff blij dat ik Mozilla gebruik, sinds eeuwen

Door Unstable Element, dinsdag 29 oktober 2002 10:44

dus mozilla gebruikt geen http?

Door freaky, dinsdag 29 oktober 2002 10:46

ik hoop zo dat dat sarcastisch bedoelt is....

Door Unstable Element, dinsdag 29 oktober 2002 11:42

Inderdaad...

Door HermeS, dinsdag 29 oktober 2002 10:52

Het is httpS, een aanvulling die op port 443 loopt, en een beveiligd is.

En ik geloof dat dit probleem in de Crypto API ligt van Windows/IE, dus niet aan het opgestelde protocol maar aan de implentatie ervan, en dat heeft weinig temaken met http.

Door rootlinux, dinsdag 29 oktober 2002 10:57

Door SiGNe, dinsdag 29 oktober 2002 11:15

Volgens de wildher site:
Het correct gebruiken van deze certificaten wordt aangestuurd door de browser. Veel gebruikte browsers zijn Microsoft Internet Explorer en Netscape. Op dit moment zit er in Microsoft Internet Explorer een fout waardoor de beveiliging niet correct werkt. Zoals getoond bij het programma Netwerk kunnen de transacties worden �afgeluisterd� of zelfs worden aangepast. Dit geldt niet alleen voor internetbankieren, maar ook voor het doen van creditcard betalingen via het internet.

Totdat Microsoft deze fout heeft opgelost, is de eenvoudigste oplossing een andere browser te gebruiken. Andere leveranciers van webbrowsers, zoals bijvoorbeeld Netscape, hebben het probleem reeds eerder onderkend en verholpen. Als u toch met Internet Explorer wilt internetbankieren dan moet u eerst controleren of de juiste certificaten actief zijn en uw verbinding dus veilig is.

Door 5371, dinsdag 29 oktober 2002 12:29

Totdat Microsoft deze fout heeft opgelost

Wat overigens in September al is gebeurd....

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/sec urity/bulletin/MS02-050.asp

Door Hawks, dinsdag 29 oktober 2002 10:43

Er wordt al heel lang en heel veel via internet gebankierd, dus ik snap niet dat ze zo'n simpele fout niet veel en veel eerder opgemerkt hebben.
(of zouden ze hem verzwegen hebben??)

en denk je dat iedereen elke keer bij het internetbankieren zijn slotjes na gaat kijken??
* 786562 Hawks

Door Cipri, dinsdag 29 oktober 2002 10:44

Ik kijk zelf altijd of er wel https:// voor staat hoor, als ik CC info of wat dan ook moet invoeren. Macht der gewoonte, maar het gebeurt toch echt wel hoor, en niet zo moeilijk om te doen

Door mcCrom, dinsdag 29 oktober 2002 11:04

Binnen het bedrijfsleven en zeker het bankwezen wordt er een hoop verzwegen. Het gaat tenslotte om een hoop klanten.

Op het moment dat er een nieuw product of dienst door een instelling als een bank word ontwikkeld, wordt dit door talloze bedrijven onderworpen aan security scans.
Als je er bijv een tool als Etherreal tegenaan houdt, vliegt de informatie over je beeldscherm. Ik kan me niet voorstellen dat ze dit niet hebben gedaan tijdens de ontwikkel / demo fase van de dienst.

Door Du-Djutz, dinsdag 29 oktober 2002 14:11

>>Als je er bijv een tool als Etherreal tegenaan houdt, vliegt de informatie over je beeldscherm<<

Helaas dus niet binnen een bestaande SSL-sessie met verwisselende sleutels niet genoeg tijd om de data te decrypten. Dus Ethereal als sniffer gebruiker is niet mogelijk.

Men heeft het expliciet over een Man-in-the-Middle attack op een lokaal netwerk, waarbij men inderdaad o.a. DNS foppen (t.b.v. van de URL).

Door BV, dinsdag 29 oktober 2002 22:10

Ook bij banken is het (in)zicht in technologie beperkt. Ik denk niet dat we er zomaar vanuit mogen gaan dat de banken moedwillig krakkemikkige Microsoft technologie door de strotjes van de klanten drukken.

Speaking of which....Bij Microsoft denkt men ook dat men veilige software bouwt en zie... men bedenkt een certificatie-plugin voor IE

Door chewie, dinsdag 29 oktober 2002 11:06

Er wordt al heel lang en heel veel via internet gebankierd, dus ik snap niet dat ze zo'n simpele fout niet veel en veel eerder opgemerkt hebben.

Dit is geen fout in internet-bankieren, maar het is een fout in de manier waarop Internet Explorer het https-protocol geimplementeerd heeft. De banken gaan ervan uit dat ze, wanneer ze internetbankieren via https aanbieden, een veilig product hebben. Dat ben ik op zich met ze eens. Het enige wat ze kunnen doen is mensen op deze fout wijzen en wellicht druk uitoefenen op microsoft om hier snel iets aan te doen.

Door 5371, dinsdag 29 oktober 2002 12:30

en wellicht druk uitoefenen op microsoft om hier snel iets aan te doen

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/sec urity/bulletin/MS02-050.asp

Door TheHaguez, woensdag 30 oktober 2002 10:06

Sorry, maar hier ben ik t niet helemaal mee eens. Was het nou dat er in 1 of ander browsertje dat door enkelen wordt gebruikt, ben ik het met je eens. Maar Internet Explorer wordt door 90% van de mensen gebruikt, lijkt me dan wel logisch als je eerst even juist met die browser test of alles wel veilig is.

Ik gebruik pm 1 jaar internetbankieren van ABN. Ik ben altijd huiverig geweest voor dat electronisch bankieren, maar uiteindelijk toch overstag gegaan. Mede door de overtuigen waarmee de medewerker van de bank mij vertelde dat het absoluut veilig was, maar ook door enkele tests in pc-bladen. Er is nooit gerept over eventuele beveiligingslekken/browserproblemen. Achteraf was mijn achterdocht toch niet zo vreemd...

Gelukkig is, naar mijn mening wel te laat, het lek gedicht dmv een patch. Toch ken ik genoeg mensen die amper updaten en sommige zelfs helemaal niet. Mja, ook de consument heeft zijn eigen verantwoordelijkheden zullen we maar zeggen.

Door Raafz0r, dinsdag 29 oktober 2002 10:43

Weer een reden om over te stappen naar andere browsers...

Jammer dat er nog een aantal sites zijn die niet goed werken op bijv. Mozilla.

Door AlBundy, dinsdag 29 oktober 2002 11:06

Jammer dat er nog steeds zoveel mensen cq. bedrijven zijn die geen html kunnen of hun site zo bouwen dat hij er alleen in IE goed uitziet.
IE houdt zich niet aan een aantal standaarden waardoor sommige websites er in haar browser wel goed uitzien, maar niet in andere browsers.
Een goed voorbeeld is Jotti, die met het bouwen van de template van zijn forum gewoon volgens de standaarden werkt, maar op bepaalde plekke foute html moet gebruiken om het er in Internet Explorer goed uit te laten zien...

Door Inferno, dinsdag 29 oktober 2002 11:49

Wat denk je dat die mensen die die sites bouwen belangrijker vinden:
- Het ziet er goed uit in Internet Explorer: de klant is blij, want nu kan 97,5% van de mensen zijn site goed bekijken.
- Het ziet er goed uit in Mozilla, maar IE heeft er moeilijkheden mee / het ziet er niet goed uit. De klant is boos omdat zijn site voor de meeste mensen lelijk is.

Natuurlijk zou het beter zijn als iedereen dezelfde standaard zou gebruiken, maar je kunt moeilijk de sitebouwers de schuld geven dat IE gewoon bepaalde andere html tags gebruikt dan bijv. Mozilla/Netscape.

Volgens mij was het trouwens al een hele tijd geleden bekend dat Internetbankieren niet veilig was...

edit: gevonden: http://frontpage.fok.nl/news.fok?id=23205

Door AlBundy, dinsdag 29 oktober 2002 12:41

Ben ik ook met je eens, maar ik vind het wel jammer dat een bedrijf als Microsoft zijn monopoliepositie min of meer gebruikt als argument om van de standaarden af te mogen wijken.

Maar voordat er hier een flamewar gaat ontstaan en de boel nog verder off-topic gaat zal ik maar stoppen, want daar heb ik ook geen zin in

Door Stemband, dinsdag 29 oktober 2002 12:49

Volgens mij was het trouwens al een hele tijd geleden bekend dat Internetbankieren niet veilig was...

edit: gevonden: http://frontpage.fok.nl/news.fok?id=23205

Dit gaat over electronisch bankieren en heeft te maken met de interpay systemen. Hierbij moet je al een incasso contract hebben, om het 'trucje' te kunnen doen. Verder ligt het probleem niet bij internet bankieren, maar bij de IE browser. Alle https is hierdoor niet zo veilig als wordt verondersteld.

Verder is nooit verondersteld dat IB 100% veilig is. het is altijd een afweging tussen wat beveilig je, hoeveel kost het om deze beveiliging te breken en wat levert dat vervolgens op.
100% veilig is onwerkbaar!

Door Kib_Tph, dinsdag 29 oktober 2002 14:44

en als je wel volgens de standaard schrijft (zoals ik) dan zin er nogsteeds browsers die dit niet goed renderen. En het leuke is nou dat IE niet zo'n browser is, maar dat browsers als netscape, en opera vaak de standaard niet goed ondersteunen.

Door Blade, dinsdag 29 oktober 2002 16:24

Je lult uit je nek. Natuurlijk is geen enkele browser perfect, dat kun je ook niet verwachten. Zowel IE and NS, als Mozilla hebben rendering bugs, en zullen dat ook altijd hebben.

Het is daarom ook altijd mogelijk om je pages voor browser x te developen, totdat alle bugs in browser x eruit zijn, en je code helemaal valid is volgens validators zoals http://validator.w3.org, en vervolgens in browser y te gaan kijken om erachter te komen dat het er toch niet helemaal hetzelfde uit ziet. Daaruit kun je echter nooit concluderen dat browser y de standaarden daarom minder goed ondersteund! Als je was begonnen met voor browser y te designen was je misschien wel veel minder lang bezig geweest met je page debuggen, en had het het in browser x er misschien ook wel niet uitgezien. Ook daaruit kun je niet concluderen dat browser x slechter is.

Als je echter objectief gaat kijken, zoals bijvoorbeeld de heren van http://www.richinstyle.com dat zul je zien dat IE toch echt een *aanmerkelijk* hoger aantal rendering bugs heeft dan Mozilla/NS6/7.

Ook zijn er een aantal zeer nuttige dingen, niet direct gerelateerd aan html/css waar IE totaal niets van bakt (en dan heb ik het nog niet eens over security...

).

Probeer maar eens een PNGtje met transparante background te gebruiken in IE - IE maakt het gewoon grijs.... En nee, een GIFje gebruiken is geen *goed* alternatief! 256 kleuren behoort in de middeleeuwen thuis.

Door RobT, dinsdag 29 oktober 2002 12:13

Stuur een emailtje naar de webmaster of het bedrijf van de website als je 'm niet goed kunt zien in Mozilla/Netscape.

Dat is de enige manier lijkt het wel om ze te laten inzien dat het gemakkelijker is wel goede code te maken...

Door obsidian, dinsdag 29 oktober 2002 10:44

Dit komt doordat het beveiligingscertificaat - dat zorgt voor de beveiliging van de verbinding tussen klant en bank - niet correct wordt aangestuurd door Internet Explorer.

Bedoelen ze dan niet dat IE niet veilig is? Dat betalen en bankieren via internet niet 100% veilig is dat wisten we al, maar om nou te zeggen dat het niet veilig is omdat IE niet goed kan omgaan met certificaten vind ik wel wat ver gaan. Lijkt mij dat ze dan beter kunnen zeggen dat je een andere browser moet gebruiken. Of beter, dat banken hun eigen browser gaan lanceren speciaal voor het bankieren over internet.

Door Crazy D, dinsdag 29 oktober 2002 13:40

Het "gewone" beveiligingsrisico van internet bankieren staat hier los van, IE maakt het nog wat minder veilig dankzij deze bug. (en what's next, zou ik er bijna achteraan willen zeggen, gezien de hoeveelheid bugfixes voor IE van dit jaar...)

En een aparte browser is natuurlijk totaal geen optie. Dan kunnen ze net zo goed weer de ouderwetse telebankier progjes tevoorschijn toveren, en die via internet laten werken i.p.v. inbellen bij de bank.

Door Datafeest, dinsdag 29 oktober 2002 10:44

En stel nou dat iemand's bankrekening hierdoor wordt leeggehaald, wie is er dan verantwoordelijk voor?

Krijg je je geld terug van de bank? Of van Microsoft? Of heb je gewoon dikke pech?

Door Shook, dinsdag 29 oktober 2002 10:51

Voor zover ik weet, is een bank daarvoor verzekerd. Je krijgt het dus gewoon terug van de bank (zelfde concept als de bank een foutje maakt in je voordeel, gaat ook gewoon terug naar de bank)

Door Stemband, dinsdag 29 oktober 2002 12:53

Fout, je wordt geacht (lees de voorwaarden) er zeker van te zijn dat je met de server van de bank communiceert. Doe je dat niet, dan is dat een fout aan de client kant, niet een fout van de bank en je kunt ze daar niet verantwoordelijk voor stellen.

Wellicht dat je een kans maakt, zie ook de situatie met de gekopieerde pinpassen, maar in beginsel zijn de banken niet verantwoordelijk.

Door Oeboema, dinsdag 29 oktober 2002 18:33

De ABN AMRO heeft al op zijn internet-bankieren site staan dat fout afgeboekte bedragen vanwege deze IE bug vergoed worden. Staat er trouwens pas na inloggen, ik heb het nog niet op de ABN AMRO site zelf gezien.

Door Ortep, dinsdag 29 oktober 2002 10:46

De kans dat iemand me op mijn kop slaat als ik net een pinautomaat heb bezocht is veel groter dan dat mijn internet bankier acties worden gekaapt.
Bovendien moeten ze het nog wel ergens heen sturen. En dat rekening nummer is dan bekend, inclusief de eigenaar. Het is best lastig om geld echt te laten verdwijnen.

Door remcodijaneiro, dinsdag 29 oktober 2002 12:20

Gewoon naar een zwitserse rekening storten daar kennen ze bankgeheim geen haan die er naar kraait...kijk maar naar dat verhaal van Interpay hoe simpel het is geld te laten "verdwijnen..

Door Ortep, dinsdag 29 oktober 2002 12:54

Dat kan dus niet. Je zal eerst naar een Nederlandse bank moeten. Overschrijvingen naar een buitenlandse bank gaan zeer moeizaam. En als er sprake is van een misdrijf boeken ze het gewoon terug. OOK van een Zwitserse bank. Dat bleek ook uit dat verhaal van Interpay.

Door Wardancer, dinsdag 29 oktober 2002 16:03

En dus zul je het geld moeten opnemen, smokkelen en storten in bijv. Zwitserland. Aangezien dat nogal lastig is wordt er vaak een omweg bevaren. Door het geld een aantal keer over te maken. (van een Nederlandse bank naar een bank met bankgeheim, naar een andere bank met bankgeheim en eventueel nog een aantal maal.) De Nederlandse authoriteiten hebben bewijs dat het geld van een Nederlandse bank naar bijv een Zwitsere bank is gesluisd en vorderen dat terug. Echter dit geld is al weer doorgesluisd en die transactie valt (meestal) wel onder het bankgeheim. Vandaar dat er vaak nog een aantal transacties gemaakt worden. Et volia

Overigens is dat Zwitserse bankgeheim aan corosie onderhevig, en dat zou dus wel eens kunnen verdwijnen op de middellange termijn.

Door SirBlade, dinsdag 29 oktober 2002 13:32

Ben het met Ortep eens. Iedere idioot die een hand heeft waarmee hij en pistool kan vasthouden kan mij van m'n geld beroven of me dwingen te pinnen. Zelf al komen er script-kiddie-tools om de girotel te manipuleren, dan nog ligt de drempel hoger als bij een gewone beroving.

Bovendien. zag hier gisteren wat over op netwerk (dacht ik), de man noemde daar niet welke tools hij gebruikte om de data-stroom te onderscheppen, maar ik neem aan een packet-sniffer. Volgens mij werken die niet echt lekker op een geswitched netwerk. Wat toch veel netwerken tegenwoordig zijn.

Door troje, dinsdag 29 oktober 2002 15:05

Een packet sniffer is inderdaad makkelijker in een netwerk met bus structuur. Maar met IP spoofing kan je de 'man-in-the-middle' aanpak gebruiken waardoor bovengenoemde truc ook in een geswitched netwerk zal werken.
Een paar CT's geleden stond hierover een razend interessant artikel.

Door Akhorahil, dinsdag 29 oktober 2002 20:55

Theoretisch zou zo'n aanval overal vandaan opgezet kunnen worden, uit de netwerk aflevering van maandag werd echter duidelijk dat het bedrijf in kwestie die alleen vanuit een lokaal netwerk gedaan heeft. Of het daarbij om een geswitchte verbinding ging werd niet vermeld. Het wordt dan al VEEL moeilijker om achter de configuratie (DNS server, ip adres) van de aan te vallen machine te komen. De door hen gebruikte lab opstelling doet ook niet echt recht aan de realiteit : het ging hier dus om een 'onbewaakt' netwerk.
Niet voor niets werd door de aardige meneer van wildher aangeraden om internetbankieren thuis te doen (tenzij je kabel hebt natuurlijk, dat is in principe ook een lokaal segment), je zit dan namelijk achter een PPP verbinding (in mijn ADSL geval ook nog achter NAT/firewall), wat de praktische uitvoerbaarheid van deze truc tot vrijwel nul reduceert...

Door j1md1gr1z563, dinsdag 29 oktober 2002 10:46

Niets is perfect, het is altijd mogelijk om via het Internet bepaalde transactionele zaken te ondervangen en aan te passen, zeker als de gebruiker of de provider niet genoeg aan beveiliging heeft gedaan.
Dat er niet de hoogste encryptie wordt gebruikt is een kosten baat plaatje, de beveiliging up2date houden is duurder dan de incidentele inbraken.

Hoe zit het trouwens met telefonisch bankieren via je mobile of via je draadloze huistelefoon, valt daar niet het een en ander aan af te luisteren ?

Door rootlinux, dinsdag 29 oktober 2002 11:00

Via je modiel is het erg duur om afteluisteren en dus is de kans klein dat iemand dat zal doen.

Via een gewone draadloze telefoon is het een stuk makkelijker en goedkoper. Wel moet het slachtoffer natuurlijk de mogelijkheid hebben om geld over te schrijven naar een andere rekening via de telefoon.

Door Stemband, dinsdag 29 oktober 2002 12:57

Mobiel bankieren is ook beveiligd en wel met een WTLS certificaat. (TLS is SSL voor mobiele telefoons)
Er wordt hier net zo goed encryptie gebruikt. Echter op een gegeven moment wordt het signaal uit de lucht gehaald en omgezet naar een signaal over het vaste net. Dit is plaintext en af te luisteren.

Door xs2bas, dinsdag 29 oktober 2002 10:51

Het is inderdaad vervelend dat mensen zomaar je saldo zouden kunnen achterhalen, maar als er ongewenste transacties worden gedaan omdat het systeem dat de bank aanbied niet veilig is dan is de bank daar 100% verantwoordelijk voor. En volgens mij dragen ze die verantwoordelijkheid graag want te veel slechte publiciteit en het internetbankieren ligt op zn gat en dus weg grote investering. Ik blijf het voorlopig iig vrolijk gebruiken

Door HermeS, dinsdag 29 oktober 2002 10:58

omdat het systeem dat de bank aanbied niet veilig is dan is de bank daar 100% verantwoordelijk voor

Hoezo? InternetExplorer (IE) is geschreven door Mircosoft, waarom zou de bank hiervoor verandwoordlijk gehouden kunnen worden, hebben hun het recht om de source code van IE en NT door telopen of er fouten in zitten? Nee.

Het probleem is veroorzaakt door of (weer?) bij MS en niet door toedoen van de BANKen.
Quote uit artikel.

Totdat Microsoft deze fout heeft opgelost, is de eenvoudigste oplossing een andere browser te gebruiken

De kop van het artikel is niet duidelijk vind ik.

Door JamesTiberius, dinsdag 29 oktober 2002 10:52

Ik ben trouwens ook eens naar een mini cursus telbankieren (een avond) van de Rabo gegaan. Daar legde ze dit (het controleren van het certificaat) heel nadrukkelijk uit .

Deze bank geeft dus zeker de juiste instructies om veilig te _kunnen_ bankieren!

« 1 2 3 4 5 »

Op dit item kan niet meer gereageerd worden.

10:43	Intel betreedt Serial ATA II en iSCSI-markt
10:29	Britse overheid overweegt verbod op Bluetooth in auto

Nieuws I/O

Shortcuts

Categorieën

Gerelateerde content

Reacties

18:57 Nieuws

22:31 Productreviews

03:21 Vraag & Aanbod

10-02 Jobs

02:02 Etc.

05:05 Reacties

05:45 Forum

03-02 Gesponsorde acties

20:16 Tweakblogs

10-02 Computable headlines

10-02 CRN headlines