Banken en politie slaan handen ineen tegen cybercrime

TAN lijsten zijn ook bij de ING een keuze, ook oen het nog Postbank was. Je kan namelijk heel makkelijk je TAN op je mobiel krijgen (of dat zo handig is ivm mobiel internet laat ik even in het midden).
Maar ook Rabo-gebruikers krijgen phishing-mailtjes: Ik heb er pas een paar kunnen vergelijken, het ING mailtje lijkt inderdaad op bevenstaande, maar Rabo / ABN e.d. krijg je een mailtje met een linkje dat er uitziet als een inlogpagina met random-reader (leuk woord voor de automatische vertaler trouwens) met in krom nederlands de tekst dat je je rekening moet verifieren, en dat het eventueel 15-20 minuten kan duren. A
Als je die mailtjes in Html-weergave bekijkt, lijkt er behalve het kromme nederlands niets aan de hand (behalve dat je inmiddels wel moet kunnen aanvoelen dat dit geen zuivere koffie kan zijn, omdat standaard, dikgedrukt op iedere inlogpagina van een bank staat dat ze nooit per mail om gegevens zullen vragen)
Bekijk je ze echter in plain text, dan zie je dat de linkjes heel ergens anders naartoe wijzen...

Onzin natuurlijk om ze te laten dwingen tot een andere inlogmethode, de ING bied de grootste gebruiksvriendelijkheid met betrekking tot het inloggen en overmaken van geld. Geen gedoe met die pokke random reader. Als je zo dom bent als een kip en intrapt in die phishingmails, ga dan naar de Rabobank of een andere bank waar je een reader nodig hebt. Enige reden dat ik bij de ING zit is het inlogsysteem, niks meer dan lof.

Dat is weer het voordeel van alle banken buiten de postbank/ING.
Je hebt geen TAN codes. Je kunt "alleen" via een man in the middle fraude plegen.

Met gebruik van TAN-codes (via sms, ik heb het niet over de geprinte lijst; dat is mijns inziens een slechte hack om het systeem te kunnen gebruiken zonder mobieljte) wordt een man-in-the-middle fors moeilijker gemaakt. In het smsje kun je immers allerlei extra informatie zetten (totaal bedrag overboekingen, rekeningnummer van ontvanger bij grote overboekingen) die volledig buiten de computer om gaan en dus niet door malware beïnvloed kan worden.
Bij gebruik van een random reader heeft de trojan toegang tot alle informatie die tussen klant en bank uitgewisseld wordt. Tenzij je de gebruiker dwingt om alle informatie (bedragen, rekeningnummers) in de reader in te typen, wat je in de praktijk liever niet wil in verband met gebruikersvriendelijkheid, kan dat dus eenvoudig aangepast worden door malware. Bij de ING wordt het dan wel niet cryptografisch geverifieerd, maar versturen via een apart kanaal is (met behoud van gebruiksvriendelijkheid) nagenoeg net zo veilig.
Toegegeven, nu we tegenwoordig Internet-toegang hebben op hetzelfde apparaat waarmee we sms ontvangen wordt het opeens een minder ideaal systeem, maar dat was nog verre van gebruikelijk toen het ingevoerd werd. Indertijd was "mensen hebben hun mobiel toch altijd bij zich, als we die gebruiken hoeven ze geen extra token mee te slepen" een volkomen valide redenering.
Je zou botweg mobiele browsers kunnen blokkeren, maar dan gaan je klanten zeuren. Uiteindelijk is dat ook gewoon altijd het probleem; "veiliger" betekent bijna altijd "ingewikkelder". En hoe ingewikkelder, hoe eerder mensen overstappen naar een andere bank! (Ik heb me ooit laten vertellen dat sommige landen de minimum lengte van pincodes voor Internetbankieren bij wet bepalen. Zo voorkomen ze de drie-cijferige codes die banken willen hebben vanwege het "gebruiksgemak"...)

"Dat is weer het voordeel van alle banken buiten de postbank/ING."

Nou, ik vind het juist het grootste voordeel van de ING ten opzichte van de andere banken.

Bij de Postbank en nu bij de ING werkt TAN op mijn mobiel altijd perfect en mijn mobiel heb ik altijd bij me. Superhandig, als ik ergens anders ben maak ik toch zo wat poen over als dat nodig is. Erg handig en gebruiksvriendelijk. Voor mij gelukkig nooit geklooi met die readertjes meer.

Dat je dan in een e-mail voor fishers je complete TAN-lijst gaat inkloppen vind ik echt onbegrijpelijk. Jullie kunnen me dan wel wegminnen op mijn eerste reactie in deze thread, maar je moet toegeven dat je dan echt oliedom bent en/of de afgelopen 10 jaar onder een steen hebt geleefd. En stekeblind, want op elk SMS-bericht van de ING met daarin je TAN-code staat letterlijk "Let op! Geef nooit uw TAN-code af!" en dat staat ook op de TAN-lijst.

[Reactie gewijzigd door gekkejopie2 op dinsdag 15 maart 2011 03:00]

Bankieren via mobiele telefoon/smartfone is natuurlijk helemaal onveilig. Al die mensen die hun iPhone hebben gejailbreakt kunnen bv gebruik maken van een 'alternatieve' market (zo ook Android gebruikers). Daar kunnen natuurlijk heel makkelijk klonen van apps in zitten die een trojan bevatten. Denk je dus lekker gratis een betaalde app te hebben, wordt ondertussen je rekening geplunderd.

Nee, het mobiele platform mag eerst bewezen veilig te zijn voordat ik daar één transactie op durf te doen. Ik begrijp niet waar men het vertrouwen vandaan haalt.

Ik denk niet dat de banken op deze manier gaan samenwerken met het openbaar ministerie. Van ons huis wordt ook ingelogd door 5 personen. De meeste van ons hebben ook nog eens 2> rekeningen bij de ING. Als mijn neefje langskomt en zijn bankgegevens wil checken, of hij eventjes iets geld naar mij wil overmaken zal het ook overkomen alsof er vanaf ons huis heel veel bankrekeningen worden beheerd.
Daarbij komt ook nog dat het beleid makkelijk te omzeilen valt, als jij daadwerkelijk bij mensen op hun bankrekening inbreekt, kun je heel makkelijk proxy's gebruiken.