Hackers kraken sms-beveiliging banken

De beveiliging van telebankieren middels per sms toegestuurde codes blijkt niet waterdicht te zijn. Vorige week demonstreerden beveiligingsdeskundigen in Sydney dat het systeem gekraakt kan worden.

hacker Programmeurs van de beveiligingsbedrijven TrustDefender en Dragonfly Technologies hadden een speciaal programma gemaakt dat, eenmaal geïnstalleerd op de computer van het slachtoffer, diens rekening kon leeghalen. Bij de demonstratie werd een rekening van de Commonwealth Bank gebruikt, maar volgens de makers van het programma werkt het ook met soortgelijke systemen van andere banken. Hoe de kraak precies in zijn werk gaat werd overigens niet uit de doeken gedaan. Volgens de makers van het programma is het probleem dat de banken wel hun eigen computers kunnen beveiligen, maar niet die van de klanten. De testcomputer draaide Windows XP met de laatste updates, IE7 en de virusscanner AVG Antivirus. AVG bleek niet in staat het kraakprogramma als vijandig te herkennen en ook Windows hinderde het niet. Volgens het hoofd computerbeveiliging van de Commonwealth Bank betekent dit niet dat het systeem van telebankieren fundamenteel lek is. Volgens hem kunnen de per sms gegeven codes maar éénmaal gebruikt worden en bovendien heeft de bank programma's draaien die alarm slaan bij ongebruikelijke transacties.

Reacties (90)

Cave_Boy 5 mei 2007 08:39

Ehm moet ik nu als klant bij een bank die het per SMS krijgt bang zijn? Het is toch allang bekend dat iets wat digitaal beveiligd is niet 100% dicht is?

Ben benieuwd wat de banken hiertegen gaan doen. Hoe zit het met het "kraken" van Rabobank machientjes? Velen hebben deze en het lijkt me zelfs dat die dus makkelijker te doen moet zijn...

Verwijderd @Cave_Boy • 5 mei 2007 10:15

Ben benieuwd wat de banken hiertegen gaan doen. Hoe zit het met het "kraken" van Rabobank machientjes? Velen hebben deze en het lijkt me zelfs dat die dus makkelijker te doen moet zijn...

Die zijn vast te kraken. Hier is dat niet de issue. De conclusie is dat banken hun zaakjes goed voor elkaar kunnen hebben mbt beveiliging maar dat de klant de zwakke schakel is en dat ze de computer van de klant niet kunnen beveiligen. En dan zeg ik dat zo'n 'Rabo-machientje' beter is dan de codes electronisch te versturen.
Natuurlijk heb je wel vet probleem als ze je calculator jatten...

Misschien nog een extra beveiligingsaspect toevoegen: PPTP-verbinding naar de bank waar je toegang krijgt via nog een calculator...

sus @Verwijderd • 5 mei 2007 10:21

Natuurlijk heb je wel vet probleem als ze je calculator jatten...

eeehm... nee

Ik moet mijn bankpas in de raboreader steken en dan eerst mijn pincode invoeren. Pas _dan_ kan ik de code opvragen waarmee ik kan inloggen of mijn betalingen kan bevestigen. Voordat een betaling is gedaan heb ik dus 2 keer mijn pincode en 2 keer een "rabo-code" in moeten voeren.

Van de week heb ik een nieuwe reader gehaald, en ik kreeg er gewoon een mee. Hoefde ik niet speciaal aan te vragen ofzo...

Malarky @sus • 5 mei 2007 11:58

Tada we zijn ongeveer weer even ver bij af. We gingen allemaal digitaal betalen omdat het zo makkelijk was. Maar met al die vele codes, pasjes en calculators word het er zeker niet makkelijker op. Men opa betaalt alweer op de traditionele manier, hij begrijpt niet waren de banken de 'onzin' vandaan halen om tegen hem te vertellen dat het makkelijker is.

Rey Nemaattori @sus • 5 mei 2007 12:20

dat je opa te oud is om mee te gaan met de trend, betekent niet dat het niet makkelijker is

Ik zie mezelf niet naar de bank fietsen om een overschrijvingsopdr8 te dumpen...

SWINX @sus • 5 mei 2007 12:22

Ik denk dat zo'n overschijvingskaart invullen en naar de bank brengen toch langer duurt dat een code intypen in een machine en paar toetsen indrukken op je toetsenbord.
Dan is het online toch nog steeds sneller?

(en iemand was me weer voor...

)

Drogo @sus • 5 mei 2007 12:32

@Malarky, hoe ingewikkeld is één pas met één pincode nou? Overdrijven is ook een vak...

Verwijderd @sus • 5 mei 2007 16:06

@Rey Nemaattori

dat je opa te oud is om mee te gaan met de trend, betekent niet dat het niet makkelijker is

.
Beetje kort door de bocht ... Een groot deel van de NL bevolking is wat jij wellicht "opa leeftijd" noemt. Bedrijven moeten daar meer rekening mee houden.
Dat doe je bijvoorbeeld van het geven van gerichte en aangepaste voorlichting.

Rabo deed dat in het verleden door seniorenweb te steunen. Een dergelijke houding is 1000 keer beter en sympatieker dan het overbodige geblaat waar jij mee aan komt zetten.

(met geen van de genoemde partijen heb ik trouwens iets te maken)

cybero @sus • 6 mei 2007 13:48

Sterker nog het maakt geen drol uit welke random reader je hebt. Ze zijn allemaal hetzefde, je kunt gerust die van iemand anders gebruiken. (Al vaak genoeg gedaan.) Ik vermoed dat je met je pincode de chip benaderd die op de bankpas zit en dat gebruikt wordt om de code te genereren. Wellicht zit de gehele calculator wel op de chip ipv van in de reader.. Op zich mooi systeem. Pincode lijkt me zwakke schakel..

HellPunk @sus • 7 mei 2007 08:51

Een traditioneel overschrijvingsformulier invullen en even langsbrengen bij de bank is zeker makkelijker dan PC-banking, zeker als je dat al dertig jaar zo doet. Het wordt hier vaak onderschat hoe moeilijk oudere mensen het hebben met de nieuwe technologieën, zeker omdat die om de zoveel tijd nog eens veranderen.

diederik77 @Verwijderd • 5 mei 2007 10:26

[oeps, dubbel]

Natuurlijk heb je wel vet probleem als ze je calculator jatten...

Nee, die dingen zijn universeel en van iedere klant hetzelfde.
De beveiliging gebeurt doordat je je pincode op dat ding moet intoetsen.

Maar het gaat in het artikel steeds over de pc van de klant, dus zie ik niet waarom dit met sms-codes zou werken en met randomreader-codes niet.

Marcks @diederik77 • 5 mei 2007 11:58

Ik vind het sowieso al een vreemd systeem dat je je pincode op zo'n universeel machientje intoetst en dat de reader kan controleren of deze code klopt. Je pincode staat dus gewoon 'leesbaar' op het pasje.

Cameleon73 @diederik77 • 5 mei 2007 12:12

Dat klopt. Je pas wordt ook fysiek onbruikbaar na het 3x ingeven van een verkeerde pincode (er wordt een hardwarematige wijziging aangebracht!).

SA007 Moderator Tweaking @diederik77 • 5 mei 2007 13:50

Het pincode staat er idd op als one-way hash, maar die had is niet vanaf buitenaf uit te lezen. De pinautomaat stuurt het pincode + opdracht naar het pasje, het pasje geeft daarop terug wat het resultaat is.

In het bankpasje zit een microcontroller ingegoten in epoxy welke heel erg gevoelig is licht en beschadiging (ofwel als je het epoxy eraf haalt is het bijna gegarandeerd dat je 'm sloopt)
Verder is het geheugen van die dingen scrambled (ofwel bit 1 staat fysiek totaal niet in de buurt van bit1). Die scrambling is niet vrijgegeven, dus voordat je het geheugen uit kan lezen ben je jaren verder met alles proberen.

En zelfs als je de geheugeninhoud niet scrabled hebt moet je de one-way hash van het pincode terug zien te vinden, het kraken ervan is vervolgens simpel (mocht je weten welke hash gebruikt is, maar dit is misschien nog wel uit de code van de µC te halen)

Elk van deze stappen kost je minstens enkele maanden en dan heb je het pincode van een pas wat waarschijnlijk al LANG geblokkeerd is door de eigenaar

wizzkizz @diederik77 • 5 mei 2007 13:12

Ik vind het sowieso al een vreemd systeem dat je je pincode op zo'n universeel machientje intoetst en dat de reader kan controleren of deze code klopt. Je pincode staat dus gewoon 'leesbaar' op het pasje.

Het staat er wel leesbaar op, maar vast in een one-way hash, zodat het niet gemakkelijk te lezen is. Zodoende moet je alsnog bruteforcen (ok, slechts 10000 mogelijkheden) en speciale apparatuur hebben om die chip uit te kunnen lezen. Als ze het ook nog eens geencrypteerd hebben, moet je ook nog die beveiligingslaag zien te kraken. Daarvoor moet je dan wellicht heel die raboreader reverse-engineeren, dat is ook best specialistisch werk, doe je niet zomaar even.

m.a.w., het uitlezen is vast niet zo gemakkelijk als je stelt in je post.

ritsjert @diederik77 • 5 mei 2007 13:38

Je pincode staat dus gewoon 'leesbaar' op het pasje.

Hoe wil je anders geld uit de muur halen? (en vooral in elk land en bij praktisch elke automaat)

Janoz Moderator PRG/SEA @diederik77 • 5 mei 2007 15:03

Het lijkt me niet dat ze een one-way-hash zetten op het pasje. Voor de 10000 mogelijke pincodes heb je natuurlijk binnen notime de bijbehorende hashes berekend.

Je kunt beter de pincode gebruiken als sleutel bij je betalingen en voor de controle iets gebruiken wat op de 11 proef lijkt (die van de rekening nummers). Er zijn vele pincodes die dezelfde checksum opleveren, maar er is daar maar 1 van de echte. Die checksum is dan enkel een soort 'service' zodat het apparaatje aan kan geven dat je de verkeerde pin hebt.

Een leuk voorbeeld is om alle getallen bij elkaar op te tellen en dat mod 10 te doen. Er komt dan een getal 0 t/m 9 uit. Stel je kunt het getal uit de chip lezen, dan nog zijn er 100 mogelijke pincodes. Met 1 van die codes kom je dan misschien wel voorbij de eerste stap, maar vervolgens gaat het inloggen op de site wel fout omdat er een verkeerde versleutel-key (=pincode) gebruikt is.

@ritsjert:
Denk eens ietsje langer na

.. Ze maken contact met de bank (interpay) om je betaling door te geven. Kleine moeite om dan ook even de pincode door te sturen. Waarom denk je dat er altijd een telefoonlijn aan een pinautomaat zit?

Bloodshot @diederik77 • 7 mei 2007 00:57

Onzin.
Je PIN-code staat NIET leesbaar op het pasje, en betaalautomaten en geldautomaten zijn NIET in staat om een pasje fysiek te vernielen. Waarom zouden ze?

Het grote voordeel van een online-check is dat er ook een online-controle is op zaken als PIN-code, fraude, diefstal, etc..

b19a @Verwijderd • 5 mei 2007 10:39

In tegenstelling tot de Random reader van de Rabobank die universeel is voor iedere klant, maakt Bizner bank gebruik van een klantgebonden 'calculator'. Middels het invoeren van mijn persoonlijke code (niet pincode) genereert deze codes op eenzelfde manier als de Random reader. (Let wel: ik steek mijn pas er niet in)

Jiriki @b19a • 5 mei 2007 11:26

Dat is dan vergelijkbaar met de oude Digipass van de Rabobank. Deze had ook een eigen code, en geen bankpas was nodig.

Rey Nemaattori @b19a • 5 mei 2007 12:27

Maar dat systeem werd gewoon te duur(en je hoefde je pas er niet in te steken) aangezien die dingen per klant op maat gemaakt moesten worden.

humbug @b19a • 6 mei 2007 08:57

Dat is niet wezenlijk anders.

Bij de rabo, AbnAmro en vast nog wel meer banken heb je een universele lezer gecombineerd met een unieke pinpas. Bij Bizner krijg je dus een unieke lezer.

Uiteindelijk heb je dus een product wat uniek is (lezer/pinpas) in combinatie met een unieke code ("persoonlijke code"/pincode)

Beide systemen inplementeren dus eenzelfde beveiligingsmethode.

Hensz @Verwijderd • 5 mei 2007 16:52

Als dit met SMS kan, dan zijn die calculatortjes net zo min veilig meer. Iemand hoeft alleen maar het algoritme van zo'n ding in dat 'kraakprogramma' te stoppen en klaar is kees. Pincodes en bankpassen heb je dan ook al niet meer nodig. Voor SMS is dat nu dus gebeurd. Kennelijk was voor de bank waarmee ze dat gedaan hebben het algoritme ernstig simpel en maakt het niet dat je niet de enige bent die zit te bankieren.
Voordeel van SMS is dat een bank ter plekke het algoritme kan vervangen om weer safe te zijn. Bij de Rabo e.d. zullen ze eerst een paar miljoen nieuwe rekenmachientjes moeten laten maken en distribueren. Kan een paar weken duren.

engelbertus @Hensz • 5 mei 2007 22:25

je kunt ide code di die apparaten maken nog "salten"of de pincode van de klant in een berkening gieten die weer invloed heeft op het resultaat van zon machientje, dus dat machientje zelf is veilig genoeg. zelrs door toevoeging van de pincode kun je niet meer zeggen dat je de hash of het algoritme zelf wel kunt programeren omdat de pincode ontbreekt als variabele en wat dat kraak programma dan ook uitrekent, het komt nooit overeen met de controle gegevens op de computer bij de bank.

in tegenstelling tot sms dus waarschijnlijk, of de sms manier stuurt een persoonlijke code op basis van klantspecifieke gegevens en een standaard algoritme. als dat inderdaad o is dan is zon random reader even kwetsbaar als sm, en even kwetsbaar als de oude manier die de rabo gebruikte. maar ik zou niet weten hoe ze dat dan doen, gewoon zelf even een code bedenken zondar dat ze de pincode hebben. dan zouden ze dus eerst van het getal dat je van de rabo in je scherm ziet , moeten omrekenen naar de code die de reader of de sms geeft, en vervolgend een algoritme moeten uitvoeren om het pincode gedeelte er uit te halen( wat dus ook je poincode oplevert, of in ieder geval de hash ervan! zodat die ook weer kan worden uitgerekend. maar dat uitrekenen van die die zaken zou toch erg lng moeten duren als je het mij vraagt. dan zou ook bijvoorbeeld een private key makkelijk kunnen worden uitgerekend, en dta s toch nog lang niet zo?

Verwijderd @Cave_Boy • 5 mei 2007 10:33

Ehm moet ik nu als klant bij een bank die het per SMS krijgt bang zijn? Het is toch allang bekend dat iets wat digitaal beveiligd is niet 100% dicht is?

Nee? Aangezien de hackers fijn zeggen dat het mogelijk is, maar niet zeggen -hoe-, kan je de kraak-methode niet toetsen aan de beveiligings-methode van de Postbank.
Je zou al bij die Commonwealth Bank in Australië op moeten zoeken hoe zij het doen.. misschien wel op een overduidelijk achterlijke manier (bijv. dat je zelf makkelijk kan invullen naar welk nummer het ding SMS't), etc.

Verwijderd @Verwijderd • 5 mei 2007 11:35

Ik denk dat het er op neerkomt dat je de volgende keer dat je inlogt op je bank, je een spoofed/phishing variant van je site te zien krijg. Licht verveeld noteert het hoeveel je aan wie wil sturen in je actuele transacties, en toont dat op scherm, maar stuurt in de plek daarvan het totaalbedrag naar een eigen rekening. Het moet dan wachten op de legitieme TAN code die verstuurd wordt (met vermelding som-bedrag), en klaar is kees.

Daarom zou ik verwachten dat zo'n Raboreader of de vermelde Biznerreader even goed te kraken is: de login in correct (in bovenstaande voer je zelf je online naam+paswoord in, en de TAN is echt), paswoord op zelfde manier gesnoopt, het zijn enkel naam+rekeningnummer die vervalst zijn.

Je hebt dan (a) 2weken meestal totdat je je overschrijvingen bekijkt, en (b) je hebt het zelf gedaan met eigen paswoord en code. Lijkt mij voor de eerste slachtoffers moeilijk je geld terug te krijgen, beetje ongeloofwaardig verhaal =).

arjankoole @Verwijderd • 5 mei 2007 23:05

Daarom zou ik verwachten dat zo'n Raboreader of de vermelde Biznerreader even goed te kraken is: de login in correct (in bovenstaande voer je zelf je online naam+paswoord in, en de TAN is echt), paswoord op zelfde manier gesnoopt, het zijn enkel naam+rekeningnummer die vervalst zijn.

In principe, maar dan moet je wel via een trojan een man-in-the-middle SSL attack uitvoeren, en de hele site inclusief challenge/responses ondervangen en iets mee doen. Dat is pittig op z'n zachtst. 1 klein foutje en je hele hack werkt niet meer.

kingmuze @Verwijderd • 6 mei 2007 07:57

Ik denk dat MarvinDMartian bedoeld dat de hackers een schil om de echte site bouwen. Alles wat je hier invoert zoals login & pass worden direct verstuurd naar de echte bank site.

Zo lijkt het voor de bank dat de echte gebruiker erachter zit. En voor de gebruiker lijkt het of hij met de echte bank communiceert. Echter er zit een programma tussen IE & de gebruiker die de communicatie regelt tussen IE & de gebruiker.

Verwijderd @Verwijderd • 5 mei 2007 13:57

Ik heb een account bij Commonwealth Bank en het gaat als volgt:

Om in te loggen bij Netbank heb je een gebruikers nummer, en een wachtwoord, dat was 't. Voordat je Netbank kan gebruiken bel je met de Commonwealth Bank om het te activeren, zij geven je het inlog nummer en een tijdelijk wachtwoord wat je moet veranderen als je de eerste keer inlogt.

De sms verificatie is een optionele beveiliging... Voor de sms verificatie moet je eerst telefonisch je mobiele nummer doorgeven aan een medewerker van Commonwealth Bank. Daarna krijg je bij inloggen een sms met code.

Met name omdat het een optionele beveiliging is vind ik het een redelijk waardeloos systeem.

Ik ben zowiezo een beetje huiverig dat je mobiele telefoon steeds meer het middelpunt van je bestaan is. Over een tijdje betalen we ook nog via de mobiele telefoon. Behoorlijk wat functies voor een apparaat dat makkelijk gestolen of verloren is.

Rey Nemaattori @Cave_Boy • 5 mei 2007 12:19

De rabobank code is praktisch onmogelijk te kraken, ik zeg praktisch omdat er altijd wel een briljante geest opduikt ergens

Ik denk dat 't op deze wijze werkt:
http://nl.wikipedia.org/wiki/Asymmetrische_cryptografie

De randomreader bevat een public key en genereert daarmee codes die alleen door de rabobank uitgelezen kunnen worden. Bij het verzenden van opdrachten *neem* ik aan dat het andersom gaat: ieder kastje heeft een private key (hoeft niet per sé uniek te zijn, enige wat 't ding hoeft te doen is te garanderen dat de gebruiker zichzelf bekendmaakt dmv zijn bankpas&pincode) en stuurt een code naar de rabobank met een checksum.

Hoe die checksum opgebouwd is weet niemand, misschien een gehasde vorm van 't rekeningnummer oid, dan weet je nl zeker dat het van de eigenaar van de rekening afkomt.

wizzkizz @Rey Nemaattori • 5 mei 2007 13:16

die bevestigingscode schijnt een hash te zijn van een combi van rekeningnummers, bedragen, en de code die je zelf inklopt op je reader.

Roland684 @Rey Nemaattori • 5 mei 2007 15:35

En wie zegt dat die code niet te kraken is? de Rabobank zeker? Het feit dat de de beveiliging niet openbaar willen maken, maar alle moeite doen om heb geheim te houden, zegt mij genoeg.

Die bank zegt ook dat de chipknip veilig is, terwijl die dat absoluut niet is, maar dat beetje misbruik nemen ze gewoon voor lief.

Zo'n calculatortje heeft natuurlijk een processortje dat in het niet valt bij de rekenkracht van een PC, zelf een brute-force attack zie ik nog wel tot de mogelijkheden behoren.

Wokschotel @Roland684 • 6 mei 2007 10:10

Vreemd he, dat banken hun beveiliging zoveel mogelijk geheim proberen te houden. En kom nu alsjeblieft niet met het 'security through obscurity' argument aan

Bloodshot @Roland684 • 7 mei 2007 01:01

Die bank zegt ook dat de chipknip veilig is, terwijl die dat absoluut niet is, maar dat beetje misbruik nemen ze gewoon voor lief.

Maak me gek: Waar staan de verhalen over misbruik van de chipknip???

Ter info: De reden dat Nederland juist langzaam maar zeker overgaat van de magneetstrip naar de chip, is omdat de chip niet zomaar te kopieren valt, en de chip wel intelligentie bevat die gebruikt kan worden voor bijvoorbeeld de broodnodige beveiliging. CTAP of EMV zijn de nieuwe begrippen hier.

psychonetics @Rey Nemaattori • 5 mei 2007 15:50

Volgens mij werkt een Rabo Reader ook met een timestamp; de code is immers maar een minuut of vijf geldig.

Bovendien wordt aangeraden de Reader om te ruilen voor een nieuwe als de batterij van de oude nog maar 60% vol is. Vanaf dat percentage wordt de Reader onnauwkeurig en kan het dus voorkomen dat codes niet meer kloppen of gegenereerd worden, zo is mij verteld door de Rabobankmedewerkster

Edit: Is bruteforcen eigenlijk wel mogelijk als het met een timestamp zou werken? Want als je niet binnen vijf minuten (de tijd waarin een code geldig is) een mogelijkheid hebt gevonden met bruteforcen, dan worden alle uitgeprobeerde mogelijkheden toch waardeloos? Of zou je dat kunnen ondervangen op de een of andere manier?

XyritZz @Cave_Boy • 6 mei 2007 14:22

Ik heb geen idee hoe de Rabobank machientjes werken. Maar het kraken van het Postbank systeem met TAN code's/SMS code's lijkt mij makkelijker te kunnen dan ze in dit nieuwsbericht stellen.

Correct me if i'm wrong maar dit zou toch kunnen werken: Een stuk Malware dat in je browser gaat zitten, zodra die een URL herkend dat van een bank is gaat hij wachten totdat iemand een TAN-Code invoert, past deze aan waardoor die geweigerd word. De code vangt hij zelf op, en hij maakt een boeking naar de bankrekening van de hacker, want TAN-code's zijn voor 1 transactie geldig, maakt niet uit welk bedrag het is.

Met een beetje geluk vraagt de gebruiker nog een tweede TAN-Code aan voor de betaling, en je hebt dubbelslag.

Een andere optie zou zelfs nog zijn om het bankrekening nummer te herkennen en alleen dat aan te passen in de sessie, aangezien het in de meeste gevallen om kleine bedragen gaat kijkt de politie e.d. er toch niet naar om.

NjedVet @XyritZz • 7 mei 2007 09:06

Correct me if i'm wrong maar dit zou toch kunnen werken: Een stuk Malware dat in je browser gaat zitten, zodra die een URL herkend dat van een bank is gaat hij wachten totdat iemand een TAN-Code invoert, past deze aan waardoor die geweigerd word. De code vangt hij zelf op, en hij maakt een boeking naar de bankrekening van de hacker, want TAN-code's zijn voor 1 transactie geldig, maakt niet uit welk bedrag het is.

Is het niet zo (zeker met de TAN codes via SMS) dat deze alleen geldig zijn voor de combinatie van bedrag + rekening nummer??? Zodra je dus de TAN code opvangt en voor een andere transactie wil gebruiken is dit niet mogelijk.

Ik snap niet hoe ze deze hack hebben kunnen doen, aangezien de TAN codes toch echt via de server bij de bank verstuurd worden en niet op de PC van de gebruiker terechtkomen. enige manier die ik me kan indenken is de eerder genoemde "Man in the Middle" attack waarbij er een schil geplaatst wordt over de orginele bank site. Maar dit lijkt me niet specifiek voor SMS systemen en werkt volgens mij ook bij andere banken...

bat266 @NjedVet • 7 mei 2007 10:33

Nee ze zijn voor zover ik weet niet gekoppeld aan het bedrag wel wordt het bedrag meegestuurd in de sms dus die moet je zelf conrtroleren

Verwijderd 5 mei 2007 09:16

Nou, dit heeft niks met 'n hack te maken, maar gewoon met Malware wat op de client geplaatst wordt. Beetje "sensatie-berichtgeving" imho.

Ik durf te wedden dat dit systeem vele malen veiliger is dan met zo'n randomnumber generator die je van de banken zoals de Rabobank krijgt.

Ik ben iig blij dat de Postbank met SMS werkt, echt ideaal. Hoef je nooit te zoeken naar dat ellendige calculatortje. Je telefoon heb je nl. wel altijd gewoon bij je, dus kun je overal met internet toegang transacties doen. Hierbij moet je natuurlijk wel uitkijken dat 't 'n goed beveiligde PC is.

ultimasnake @Verwijderd • 5 mei 2007 10:33

Zelf heb ik eerst de postbank gehad en zit nu bij de abn-amro (ook met zo een machientje) en naar mijn gevoel zijn beide aardig veilig op hun eigen manier

BIj de postbank moet je eerst inloggen met een unieke code en wachtwoord en vervolgens heb je jouw mobiel nodig om het een en ander aan opdrachten te versturen.

Jat iemand jouw mobiel, en je hebt zo een tan sms'je er nog op staan. Dan weet hij alvast je rekening nummer.. Moet hij maar proberen je account te hacken en dan is hij er in. Zwakte is dan dus je mobieltje

Bij de abn-amro draait het om je pasje, het apparaatje en je pincode.
Je gaat naar de site, geeft je bankrekening nummer EN je pasnummer op (dus alleen je rekeningnummer weten is niet genoeg). Daarna stop je jouw pas in het apparaatje en moet je je pincode opgeven. Dan voer je de code die op het scherm staat in, en daar komt weer iets uit. 3x een foute pincode en dat ding blokeerd je pas!!!! (laatst nog iemand bij de bank het zien uitleggen aan de balie waar ik stond te wachten)

Het is in mijn mening IETS veilig, maar ook hier ligt de zwakte van het systeem bij het verliesen van je pasje. Zo een machientje kan haast iedereen krijgen natuurlijk.

MaxiTitan @ultimasnake • 5 mei 2007 11:06

Misschien was dat in het begin zo, ik weet het niet, ik zit nog niet zo lang bij mijnpostbank. Maar ik heb nog nooit mijn eigen rekeningnummer gezien in de SMSjes die ik van de postbank ontving.

Die SMSjes bevatten alleen het bedrag dat overgeschreven moet worden, transactienummer en de TAN-code.

Sowieso is het niet veilig om die SMSjes in je telefoon te laten staan, maar goed. Omdat je op een gegeven moment een lijst met TAN-codes in je mobiel krijgt.
Maar verder zie ik niet in hoe je een rekeningnummer kan achterhalen op basis van die paar gegevens.

Maurits van Baerle @MaxiTitan • 5 mei 2007 12:55

Die TAN codes kun je maar één keer gebruiken en alleen voor een specifieke transactie. Jij mag best wat oude TAN-codes van mij hebben hoor...

Rey Nemaattori @ultimasnake • 5 mei 2007 12:24

Met 't rekeningnummer kan hij ws. je naw gegevens opvragen bij de postbank...inbreken om het eea te bewerkstellingen is dan een kleine optie..tis omslachtig, en niet winstgevend, maar d'r zijn genoeg malloten in de wereld

En als iemand je pas jat ben je d'r nog niet: ze moeten de pincode ook hebben. Iets wat meestal geheim blijft itt wachtwoorden die je sneller met goede vrienden oid deelt(meeste mensen gebruiken overal 't zelfde w8 woord voor)

Verwijderd @ultimasnake • 5 mei 2007 14:44

In de smsjes die je van de Postbank krijgt staat inderdaad NIET je rekeningnummer. Er staat slechts het totale bedrag van de opdrachten die je verzendt, plus de TAN-code. Aan dat smsje heb je als kwaadwillende dus inderdaad niets. Bovendien log je op de site van de Postbank ook nog eens met een gebruikersnaam in en niet met je rekeningnummer.

Rey Nemaattori @Verwijderd • 5 mei 2007 12:23

Hoezo ozoeken naar je reader? Het heet INTERNETBANKIEREN warom zou dat ding ergens anders liggen dan bij pc?

Zelf heb ik um altijd in mijn rugzak zitten, ik neem um overal heen mee, ook al hebben bijna alle vrienden en familie rabobank en zelf ook zo'n ding....

jjkewl @Verwijderd • 5 mei 2007 20:52

Maar het is uitermate vervelend als Telfort m'n telefoon blokkeert vanwege een drie dagen openstaande rekening en ik dus niet die paar centen naar ze over kan maken.

Laat staan als je je mobiel kwijt bent, loopt je hele administratie in de knoei. Maar ik vind het tot nu toe het beste systeem dat ze hebben "bedacht".

@ultimosnake: In het TAN bericht van de PB staat alleen bedrag en tancode, geen rekeningnummer.

McChouffe 5 mei 2007 08:46

AVG bleek niet in staat het kraakprogramma als vijandig te herkennen en ook Windows hinderde het niet.

En andere virusscanners?

Verwijderd @McChouffe • 5 mei 2007 08:55

AVG is vrij goed hoor... enkel het verwijderen van virussen geeft al is problemen...

Wat ik me afvraag is of AVG anti-spyware er mee op draaide, aangezien de combinatie van de 2 toch wel een stuk effectiever is, en ik zou ook ni weten waarom een virusscanner alarm zou moeten slaan voor een nieuw gemaakt kraakprogramma??? die scanners kijken toch enkel naar bestaande virussen in de database???

volgens mij was er geen AVG anti-spyware mee geinstalleerd dus...

PS : gebruik zelf geen AVG maar installeer het bij 99% van de mensen die me vragen om hun pc is onder handen te nemen. Het is gratis, snel en vrij betrouwbaar.
Ik zelf gebruik PC-CILLIN 2007, qua beveiliging te vergelijken met Norton en consoorten, maar veel minder overhead...

Ernie @Verwijderd • 5 mei 2007 09:47

Ik dacht dat de meeste virusscanners met heureutische scanmethoden onderzoekt of iets een mogelijke bedreiging is voor het systeem. Deze manier van scannen is sowieso aanwezig bij anti-spyware programma's.

Ik blijf overigens lekker bij mijn ouderwetse papier met TAN codes, dan moet iemand wel hele rare dingen doen om toegang te krijgen tot mijn rekening en met mijn saldo is het niet de moeite om al mijn gegevens te jatten

Punksmurf @Ernie • 5 mei 2007 09:57

Ik zie niet in waarom TAN-codes veiliger zouden zijn dan SMS... Dat programma kan onmogelijk weten wat er op je TAN-lijst staat maar het kan net zo onmogelijk weten wat voor SMS je krijgt.

't Is allemaal erg vaag, ik vind het er meer op lijken dat het programma nog wat extra data injecteerd met transacties die niet zichbaar zijn voor de eindgebruiker enzo (maar dan zou het bedrag wat in de SMS wordt genoemd weer niet kloppen...). Maar áls het zo gaat is het net zo onveilig als eender welke manier om een code te generen aan de client-side. Be it een papieren lijst, een sms of zo'n rekenmachine-achtig ding. Geen idee wat ik hier nu van denken moet dus...

i-chat @Ernie • 5 mei 2007 10:58

daarom is 't misschien juist wel prettig dat je bij de rabobank in 2 verschillende vensters het totaal bedrag nog 's tegen komt, want op je beeldscherm lees je er ongetwijfeld minder snel overheen als in een sms. -

StM @Ernie • 5 mei 2007 12:45

Het totaal bedrag hoeft niet aangepast te zijn

Enkel het rekening nr waar het naar toe gaat...

Dwar @Ernie • 5 mei 2007 12:52

Dat van dat rekening nummer is volgens mij ook mogelijk als je alleen "fakeserver.ip mijn.postbank.nl" bij iemand in de host file kan krijgen.

TwistedAnimator @Verwijderd • 5 mei 2007 12:01

AVG is zowat de slechte antivirus op het gebied van virussen waar het geen definities voor heeft

http://www.av-comparative...en/ergebnisse_2006_11.php (copy & paste)

3% van de nieuwe virussen detecteren.. niet moeilijk dat het bij die krakers geen melding gaf

Verwijderd 5 mei 2007 09:15

Bij de postbank is het wel iets lastiger om ertussen te gaan zitten, aangezien in de tan code sms ook het over te boeken bedrag genoemd wordt...

eNaSnI @Verwijderd • 5 mei 2007 10:13

En als nu de bestemming gewijzigd wordt en het bedrag gelijk blijft?

Ernie @eNaSnI • 5 mei 2007 10:41

Je krijgt als je de tancode invoert altijd het scherm te zien waarin je ingeplande transacties staan (dacht ik) en sowieso zou ik controleren of de transactie goed is gegaan. Dan kun je meteen zien of je het naar het juiste rekeningnummer en persoon gestuurd hebt. Zo niet dan annuleer je de transactie gewoon

The Noid @Ernie • 5 mei 2007 10:56

Maar wat er op het scherm staat is niet te vertrouwen!
Belangrijker is dat in de TAN sms ook de laatste 4 cijfers van het rekening nummer met het grootste bedrag staan. Dus als het kraag programma het rekening nummer veranderd zie je dat in de sms.

humbug @Ernie • 6 mei 2007 09:10

En jij onthoudt (en controleert!) rekeningnummers?

Ik heb gewoon een lijstje veelgebruikte mensen/organisaties die ik selecteer en vul het bedrag in. Welk rekeningnummer mijn verzekeringsmaatschappij heeft? Geen flauw idee.

Maurits van Baerle @eNaSnI • 5 mei 2007 12:53

En dan krijgt iemand €27,50 van mij die voor bijv. KPN bestemd was. Wat een drama.

Er zullen waarschijnlijk weinig criminelen zijn die zoveel moeite willen doen voor een betrekkelijk kleine slaagkans als ze niet tenminste zelf kunnen bepalen hoe hoog dat bedrag is.

Als ze de hoogte van het bedrag aanpassen dan valt wel op in het scherm van je mobieltje (die niet gekraakt is) dat je ineens €3000 overschrijft aan wat jij dacht dat de rekening van KPN was.

Tees 5 mei 2007 08:40

De beveiliging van telebankieren middels per sms toegestuurde codes blijkt niet waterdicht te zijn.

Na deze zin ben ik al bijna opgehouden met lezen. Er bestaat simpelweg geen beveiliging die waterdicht is. Sommige beveiligingen zijn wat beter, andere wat minder. Deze is denk ik al vrij goed, aangezien dit systeem al jaren gebruikt wordt, en nu pas voor het eerst is gekraakt.

Verwijderd @Tees • 5 mei 2007 08:51

beveiliging wordt ook weleens "het verantwoord nemen van risico's" genoemd. Dus ik wil dan weer wel graag weten welke risico's nu weer groter zijn geworden

digibaro 5 mei 2007 09:46

Hoop technische reakties allemaal. Feit is gewoon als het fout gaat je centen simpelweg foetsie zijn en dan maakt het voor jezelf niet uit wat voor software je draaid.

The Noid @digibaro • 5 mei 2007 11:00

Als je je centen kwijt raakt omdat de beveiligings methode van je bank is gehacked krijg je je centen gewoon terug. Dus laten we ons juist op de technische kant richten, want de sociale kant is niet zo'n probleem.

Rey Nemaattori @The Noid • 5 mei 2007 12:30

bewijs maar eens dta het gehacked is en dat je de transactie niet zelf verstuurt hebt?

Drogo @Rey Nemaattori • 5 mei 2007 12:44

Niet nodig, zelfs als het aan de idioterij van de klant zelf ligt.

Als een klant malware installeert en vervolgens zijn daardoor verloren geld niet van de bank terugkrijgt, is die bank elk vertrouwen en elke klant kwijt.

Punksmurf @digibaro • 5 mei 2007 10:01

Dat lijkt me nogal voor de hand liggend, dus dat voegt nogal weinig toe. Ik denk dat daarom niemand dat nog zegt.

De technische reacties zijn wat inhoudsvoller, aangezien er nogal wat vraagtekens worden gezet bij deze hack - waardoor je je dus kan afvragen in hoe groot de kans is dát het fout gaat.

still_the_same @digibaro • 5 mei 2007 10:11

<flame>
Laten we op een technische site vooral niet over de techniek praten, maar over de sociale aspecten van de gevolgen er van......

</flame>

*zucht*

Verwijderd 5 mei 2007 09:37

Tuurlijk kan dat, met een beetje greasemonkey of greasemonkIE (internet explorer editie) kan je de pagina wijzigen. Maar als je op die manier gaat rekenen is er geen enkele methode om te beveiligen...

Verwijderd 5 mei 2007 08:56

100% veilig zal inderdaad denk ik wel nooit kunnen. Ik vraag me wel af of dit al langer bekend is ? Sinds een maandje ofzo is het bij de postbank niet meer mogelijk om via sms een voorraad aan te vragen van 5 tan codes.

Verwijderd 5 mei 2007 09:04

Ik hoop dat ze het wel door blijven ontwikkelen, ik vind het ideaal een tancode via sms te krijgen

Verwijderd 5 mei 2007 09:38

Ik vraag me af wat er nu precies gedaan is...

Een kraakprogramma op de pc kan niet de SMS afvangen of lezen... Dus hoe moet het dan werken?

Heeft het kraakprogramma dan de overboeking schermen afgevangen, onzichtbaar door eigen bedragen en gironummer vervangen, en dan de gebruiker de geldige TAN code laten invoeren?

Op dit item kan niet meer gereageerd worden.

Hackers kraken sms-beveiliging banken

Lees meer

Reacties (90)

Sorteer op:

Weergave: