Fraudeurs omzeilen beveiliging ING via Paypal

Reacties

« 1 2 3 4 5 6 7 8 »

Door alex3305, maandag 21 maart 2011 17:32

Daarom is het ook een goede zaak om voor Paypal niet een hoofdemailadres te gebruiken en regelmatig van wachtwoord te wisselen. Zo wissel ik meestal eens per jaar van mailadres voor Paypal betalingen en stel ik minimaal elke drie tot zes maanden een nieuw wachtwoord in.

Door Tepel, maandag 21 maart 2011 17:36

Je hebt het niet helemaal juist gelezen, de criminelen maken hier de paypal account aan. Doordat ze op een andere manier de logingegevens van een gebruiker hebben weten te bemachtigen kunnen ze de account op paypal verifieren waarna paypal moeiteloos spul afschrijft.

Door ShadowBumble, maandag 21 maart 2011 17:49

Dus eigenlijk is ING niet lek maar het paypal systeem, aangezien Paypal geen verdere verificatie doet.

Door geniusboxen, maandag 21 maart 2011 17:52

PayPal doet zijn verificatie door het twee malig over te maken van een enkele eurocent. In deze is het de fout van ING.

Door ShadowBumble, maandag 21 maart 2011 17:55

Das alleen initieel, volgens mij zou het zo moeten zijn dat er iedere transactie een verificatie zou moeten zijn. Dus ik vind dit nog steeds een probleem aan paypal zijde ( of click and buy ) aangezien er geen directe transacties worden gedaan vanuit je eigen bankbeheer, maar vanuit een 3de partij.

Door Dlocks, maandag 21 maart 2011 18:00

Dan nog is het ING die deze manier toestaat.

En aangezien de internetfraudeurs 'jouw' gebruikersnaam en wachtwoord van ING hebben heeft een 2e, 3e etc. verificatie geen zin.

Als je een automatische incasso -bijvoorbeeld de eerste keer- zou moeten verifiëren ofwel bevestigen middels een tancode zou je dit probleem al niet meer hebben.

[Reactie gewijzigd door Dlocks op maandag 21 maart 2011 18:02]

Door Pinkys Brain, maandag 21 maart 2011 19:17

Het hele incasso systeem is niet meer van deze tijd. Het is een grof schandaal dat de gebruiker verantwoordelijk is om onrechtmatige incasso waar nooit toestemming voor is gegeven terug te draaien.

Waarom is er geen enkele bank die werkt met een whitelist? (Dus jij zet bedrijven op een lijst die incasso mogen doen, voor de rest wordt alles automatisch gestorneerd.) Met internet bankieren is dat triviaal.

Door Zer0, maandag 21 maart 2011 19:26

@ Pinky
Misschien moet de bank voor elke internet-transactie maar even vragen of je een handtekening komt zetten voor akkoord. Natuurlijk kan dat alleen tijdens kantoor-uren en zit er enige behandelings duur aan vast. Word lekker makkelijk he, dat bestellen via internet.
Natuurlijk is veligheid van belang, maar gebruikers willen ook alles makkelijk, en direct, en helaas kun je niet altijd alles tegelijk hebben.

Door Pinkys Brain, maandag 21 maart 2011 19:43

Wat heb ik met andere gebruikers te maken? Als zij alle bedrijven ongelimiteerd toegang willen geven tot hun rekening (storneerbaar als je er snel genoeg bij bent) laat hun dan. Kan met het systeem wat ik voorstel prima, gewoon een default whitelist van *.

Het systeem waar ik om vraag is in tegenstelling tot jou stroman volledig automatiseerbaar.dus openingstijden en mankracht zijn ook niet van belang. Nou zullen ze van het incasso systeem waarschijnlijk zo iets niet aan mogen bieden, want zelfs het bestaan ervan zou al afbreuk doen aan het consumenten vertrouwen in het incasso systeem zelf (wat in mijn opinie volledig misplaatst is).

Door sumac, maandag 21 maart 2011 19:59

@Zer0
Het zou anders een kleine moeite zijn als je via internetbankieren incasso's zou kunnen regelen. Dat kan eenvoudig, op twee manieren. De eerste is de mogelijkheid om incasso's terug te draaien via internet. Dmv een sms of email (hoeft niet meteen, kan ook eens in de paar dagen) kan de bank de gebruiker op de hoogte stellen van de incasso. De gebruiker logt in, en maakt 'm ongedaan.

Tweede mogelijkheid is interessanter. De incasso wordt aangemeld bij de bank. De bank zet 'm in een wachtrij. De gebruiker krijgt een bericht, logt in, en keurt de incasso goed of af.

Door Zer0, maandag 21 maart 2011 23:36

De eerste is de mogelijkheid om incasso's terug te draaien via internet. Dmv een sms of email (hoeft niet meteen, kan ook eens in de paar dagen) kan de bank de gebruiker op de hoogte stellen van de incasso. De gebruiker logt in, en maakt 'm ongedaan.

Maar ondertussen is het produkt al door de winkelier verzonden en zit die dus met de gebakken peren, met als gevolg dat ze voortaan pas leveren nadat ze zeker zijn dat het geld op hun rekening blijft staan.

Tweede mogelijkheid is interessanter. De incasso wordt aangemeld bij de bank. De bank zet 'm in een wachtrij. De gebruiker krijgt een bericht, logt in, en keurt de incasso goed of af.

Dat is een mogelijkheid, maar het word er niet echt eenvoudiger en gebruiksvriendelijker op.

[Reactie gewijzigd door Zer0 op maandag 21 maart 2011 23:39]

Door mrjixies, dinsdag 22 maart 2011 07:32

Laten we wel zijn. Er zijn maar zeeeeeeeer weinig online winkels waar je met incasso kunt betalen. Het is eerst betalen en dan ontvangen dus deze vlieger gaat niet op.

Door mtsr, dinsdag 22 maart 2011 08:04

Als je direct zeker wil weten dat je je geld hebt kun je nu ook niet met incasso werken, de klant kan altijd storneren. Het enige systeem wat daarvoor werkt is betaling vooraf òf iDeal.

Door TheekAzzaBreek, dinsdag 22 maart 2011 01:03

Je mist z'n punt. Incasso is vooral bedrijfsvriendelijk opgezet, volgens een 'ja, tenzij' principe. Als een bedrijf aan enkele voorwaarden voldoet (en daar moet je je niet te veel van voorstellen) wordt iedere incasso opdracht gewoon uitgevoerd. Als een bedrijf het te bont maakt kan dat worden ingetrokken,maar je hoort nooit dat dat ook gebeurt.

Een whitelist principe, waar alleen erkend bonafide bedrijven of speciaal door de rekeninghouder toegestane accounts incasso mogen doen is veel veiliger, en hoeft voor de consument geen echte nadelen te brengen.

Door Pooh, dinsdag 22 maart 2011 08:47

Je mist z'n punt. Incasso is vooral bedrijfsvriendelijk opgezet, volgens een 'ja, tenzij' principe. Als een bedrijf aan enkele voorwaarden voldoet (en daar moet je je niet te veel van voorstellen) wordt iedere incasso opdracht gewoon uitgevoerd. Als een bedrijf het te bont maakt kan dat worden ingetrokken,maar je hoort nooit dat dat ook gebeurt.

Waarom moet je je daar niet teveel van voorstellen? En waarom hoor je nooit dat dat ooit gebeurt? Banken zijn juist vreselijk streng als het gaat om het incassosysteem. Een paar klachten over onterechte incasso's, en ze trekken vrolijk je vergunning in. Dan mag je weer acceptgiro's gaan sturen. Ik weet even niet meer uit mijn hoofd wat de normen zijn, maar die liggen erg laag, ook goedwillende incasseerders krijgen regelmatig waarschuwingen van de bank, zelfs al ligt de fout volledig bij de consument. (Veel consumenten storneren vrolijk ook al hebben ze toestemming gegeven, omdat ze bijvoorbeeld krap bij kas zitten)

Dat intrekken in de praktijk niet zo vaak gebeurt geloof ik wel, bedrijven kijken wel uit. Niet alleen raken ze hun incassovergunning kwijt, als de bank het vermoeden heeft van fraude zal er ook aangifte bij de politie plaatsvinden.

Natuurlijk is het systeem in 2011 volledig achterhaald. Het is duidelijk ontworpen in een tijd dat men nog met acceptgiro's en schriftelijke machtigingen werkte. Maar echt lek is het niet. Als het al eens foutgaat, is het altijd terug te draaien. Wat dat betreft is het niet te vergelijken met bijvoorbeeld skimming van bankpassen, waar voor miljoenen aan schade wordt geleden, en de skimmers er gewoon mee wegkomen.

[Reactie gewijzigd door Pooh op dinsdag 22 maart 2011 09:03]

Door WizX, maandag 21 maart 2011 19:47

Dat zou ideaal zijn! Gewoon iets waarbij je de eerste transactie moet goedkeuren (met je tan code in dit geval) waarna de afschrijver op de white-list komt. Uiteraard moet er dan ook een mogelijkheid bestaan om weer uit de whitelist te verwijderen. Maar ik weet niet hoe het met de afspraken etc bij de bank zit...?

Door cHoc, maandag 21 maart 2011 20:02

@ Pinkys Brain

En dan zet je Paypal op je whitelist, dus dat schiet dan nog niet op.

[Reactie gewijzigd door cHoc op maandag 21 maart 2011 20:03]

Door Pinkys Brain, maandag 21 maart 2011 20:52

Gegeven de keus zou ik zou dat dus persoonlijk nooit doen, ik vertrouw paypal voor geen meter.

Door BabyXL, maandag 21 maart 2011 21:00

Geen moeite met Paypal.

Hetgeen waar ik eerder moeite mee heb is de ING Bank zelf. Met name de inlog procedure is niet meer van deze tijd.

Bij de Rabobank kan je niet zomaar inloggen zonder je calculator, als de ING Bank ook zoiets zou doen ben je meteen van het hele gedonder af.

Door TheVMaster, maandag 21 maart 2011 22:25

Bij Rabo kun je ook ZOMAAR inloggen ZONDER je calculator, namelijk via (of) een mobiele applicatie (Android, iPhone) OF via de mobiele website. Het is dan misschien wel niet mogelijk om geld over te maken, maar dat is ook helemaal niet nodig.

Door Emthigious, maandag 21 maart 2011 23:18

Maar dat kan alleen als je het zelf hebt aangezet..

Door MueR, dinsdag 22 maart 2011 09:45

@Emthigious:
Ja, dat kan alleen als je het zelf aan hebt gezet. Net zoals dat je bij de postbank ING zelf op die phising link hebt geklikt. Je, de ING heeft wat beveiligingsproblemen. Nee, zo'n vervelende calculator helpt daar niet bij. De beveiligingsproblemen zitten hem in de users. Die zijn te dom en te goedgelovig om op het internet te overleven, helaas.

Door gabaman, dinsdag 22 maart 2011 07:56

Het is mogelijk om over te boeken zonder calculator.
Rabosite:
"Rabo Mobielbankieren zonder Random Reader kan alleen naar rekeningen waar u al eerder naar heeft overgeboekt. De betaling naar deze rekening moet langer dan een maand en korter dan vijftien maanden geleden zijn uitgevoerd. "

Aanvulling op TheVMaster

[Reactie gewijzigd door gabaman op dinsdag 22 maart 2011 08:43]

Door PJS, dinsdag 22 maart 2011 07:26

Handig, vooral als je onderweg bent (of op je werk..) en je calculator niet mee hebt...

Het gemak van de ING zit 'm juist in het feit dat je zonder een calculator kunt bankieren.

De discussie over TAN-codes op mobieltjes die vervolgens gestolen kunnen worden is pas nog geweest, dus don't bother..

Door Bulls, maandag 21 maart 2011 23:51

Hoe moeilijk is het nou om een tancode te vragen net als bij iDeal? Als je geld wil afschrijven via paypal van je rekening dan moet er netzogoed een bevestiging gevraagd worden. Maar nee het moet weer als een CreditCard gaan voor automatische betalingen zoals monthly fee van een mmo.

Door Jeroenimoes, dinsdag 22 maart 2011 00:27

En wie houdt dan in hemels naam zo'n white list up-to-date? Elke dag honderden, zo niet duizenden mutaties? Wie bepaalt wie er wel en niet op een whitelist komt?

Door Bulls, dinsdag 22 maart 2011 00:34

Jezelf toch? je geeft alleen de adressen op voor die lijst als je hun machtiging geeft voor het automatisch incasso.

[Reactie gewijzigd door Bulls op dinsdag 22 maart 2011 00:35]

Door RielN, dinsdag 22 maart 2011 01:04

Gebruiksgemak. Dan wordt op dezelfde manier mijn identiteit gebruikt om die whitelist aan te passen.

Door unglaublich, dinsdag 22 maart 2011 08:22

Dat zou weinig zin hebben hier daar PayPal altijd de incasso's doet.

Door Cheetah, maandag 21 maart 2011 19:39

@geniusboxen, om je statements even op te knippen:

1.) PayPal doet zijn verificatie door het twee malig over te maken van een enkele eurocent.
2.) In deze is het de fout van ING.

1.) als premisse van 2.) is in de logica een non-sequitur, ofwel uit 1.) volgt niet per definitie 2.).
In dit geval totaal niet, integendeel zelfs, en dat zal ik hieronder uitleggen.

Paypal/Click&Buy zijn degenen die de betalingen autoriseren en afschrijven/incasseren.
Je zegt het feitelijk zelf al: PayPal doet hun verificatie door..... de issue zit dus bij: de verificatie door Paypal en Click&Buy. Dit op basis van het feit dat zij aannemen een machtiging van de bankrekeningeigenaar te hebben ingeval de door hun verstuurde betaling/codes correct worden ingevoerd bij het koppelen van een bankrekening aan 1 van hun accounts. Dat Paypal denkt vervolgens gemachtigd te zijn tot afschrijven van bedragen is niet het probleem van ING!
Dit probleem ligt dus wel degelijk bij Paypal en Click&Buy. Zij controleren alleen of iemand zicht heeft op transacties op de bankrekening (ofwel inzage heeft in saldo-informatie), en dus niet - wat ze wel zouden moeten checken - of iemand ook geautoriseerd is om zelf transacties met de betreffende bankrekening uit te voeren! Deze check is heel makkelijk in te bouwen door iemand bijvoorbeeld te vragen het overgemaakte bedrag terug te storten vanaf het genoemde bankrekeningnummer. Zoals het er nu voorstaat met de "verificatie" kan - afgezien van phishing etc - iedereen die toegang heeft tot de bankafschriften of die een (read-only) inzage-machtiging heeft (bijv op een bedrijfsrekening) ook op deze manier frauderen.

Naar alle waarschijnlijkheid komt dit issue overigens ook volledig voor kosten van Paypal en Click&Buy. Bedragen die - zeker zonder machtiging van de eigenaar - via (automatische) incasso van een rekening worden afgeschreven kunnen gewoon worden gestorneerd. En de bank haalt dat geld rucksichtlos terug bij degene die de (automatische) incasso gedaan heeft (in dit geval dus Paypal en Click&Buy). En in dit geval zeker terecht: moeten die hun zaakjes maar beter op orde maken.

De titel van het artikel is m.i. dus ook niet juist. Het zou iets moeten zijn als: "Lekke Paypal/Click&Buy verificatie maakt fraude met bankrekening mogelijk".
Dit is immers geen ING-specifiek probleem. Iedereen met inzage in de af en bijschrijvingen van een bankrekening kan op deze manier frauderen met die betreffende bankrekening -> dankzij de lekke ontbrekende verificatie van rekening-transactie-autorisatie door Paypal en Click&Buy.

<edit>
@ Dlocks, maandag 21 maart 2011 18:00 "Dan nog is het ING die deze manier toestaat."

Er is geen sprake van "ING die deze manier toestaat". Dit is gewoon hoe machtigingen tot incasso op een rekening werken bij any bank: de bank gaat er bij zo'n incasso van uit dat genoemd bedrijf een machtiging heeft gekregen van de rekeninghouder. Het is de verantwoordelijkheid van het bedrijf dat incasseert om te verifieren of (cq: zeker te weten dat) die machtiging daadwerkelijk bij de rekeninghouder vandaan komt, en zo niet is het pech voor het incasserende bedrijf gezien het geld dan door de bank teruggehaald wordt.
Dat is dus precies de reden waarom veel webshops geen mogelijkheid tot eenmalige incasso door hunzelf aanbieden, maar jou vragen om zelf over te boeken. Risico op fraude. En dat is in zo'n situatie hun risico (!) - niet dat van de bank of de rekeninghouder.

<edit2 @mmjjb>

Dat is juist het leuke, PayPal is slechts een derde die de transactie afhandeld! Zij is niet de aanvrager van de incasso, dit doordat zij een Payment Service Provider is.
De aanvrager is in ditgeval de persoon die deze mensen oplicht, paypal verificeerd de transactie, net zoals de bank overigens, zij(paypal) is in geen enkel geval hiervoor aansprakelijk

Wat Paypal hierover schrijft qua positionering is volslagen irrelevant. Paypal is degene die de uiteindelijke opdracht geeft tot incasso van de rekening, dus zij zijn degenen bij wie de bank het geld terughaalt. Dat zij die incasso-opdracht voor een 3e partij uitvoeren is zowel transparant als irrelevant voor de bank.
Dit is hoe het machtigingensysteem werkt: Paypal beweert een machtiging op de rekening te hebben, Paypal boekt het geld van de rekening af, dus het geld wordt ook bij Paypal teruggehaald. Zonder discussie. En Paypal moet vervolgens zelf maar zien dat ze het geld dat ze voor de fraudeur hebben geincasseerd terugkrijgen van die fraudeur.
Niet het probleem van de bank noch dat van de rekeninghouder. Had Paypal de machtiging maar beter moeten verifieren.

[Reactie gewijzigd door Cheetah op dinsdag 22 maart 2011 16:14]

Door Janoz, maandag 21 maart 2011 20:25

Tja, PayPal en Click&Buy doen een plausibele aanname dat rekeningoverzichten privé zijn. Dat is echter iets waar je bij de ING met hun brakke systeem niet vanuit kunt gaan.

" Ons systeem voldoet aan de eisen van de toezichthouder, De Nederlandsche Bank" Komt mij trouwens bekend voor. Dat bleef de ING ook maar blaten toen ze eigenhandig het internetbankieren van een beveiligings laag stripten door het wachtwoord ook via SMS te gaan versturen.

Door Rukapul, maandag 21 maart 2011 20:51

Toch is de aanname van Paypal incorrect. De enige reden om een rekeningoverzicht normaalgesproken confidentieel te houden is om de eigen privacy te beschermen, niet een financiele. Het is Paypal die dat gebruik 'overload' en daarmee dus de gevolgen draagt.

ING doet veel fout, waaronder de SMS wachtwoord reset, maar primair ligt het probleem hier bij Paypal wat het risico neemt om een legitieme machtiging te veronderstellen op basis van eigen aannames. Kwestie van storneren wegens ongeauthoriseerde incasso en het probleem laten liggen waar het ligt: Paypal.

Door sdk1985, maandag 21 maart 2011 23:40

Erg leuk zon lang verhaal maar lees het artikel nog eens goed;

"Voor de methode is wel vereist dat de fraudeur toegang heeft tot de rekeningen van slachtoffers, zodat hij de bij- en afschrijvingen kan zien. De inlognaam en het wachtwoord moet hij dus via bijvoorbeeld phishing zien te achterhalen. Vervolgens maakt hij accounts aan bij Paypal en Click and Buy"

Bij bijvoorbeeld de rabobank heb je een randomreader waardoor iemand zonder dit apparaat (buitenlandse hacker) uberhaupt geen gegevens kan inzien. Met het apparaat heb je de pas, de pincode en het pasnummer nodig.

Het is dus wel een probleem specifiek gericht op ING omdat deze nog het verouderde tan-code systeem (let op dit is een lijst met bijvoorbeeld 20 codes) met een loginnaam en password gebruiken en GEEN random reader.

Overigens is onlangs de beveiliging van de randomreader nog eens verhoogt door nu het pasnummer naast het rekening nummer vragen.

[Reactie gewijzigd door sdk1985 op dinsdag 22 maart 2011 03:08]

Door rdfeij, dinsdag 22 maart 2011 07:33

Dat is nu net de reden dat ik bij ING/Postbank blijf. Mijn login / paswoord zijn van mij en die krijgt niemand.
Verder kan ik overal ter wereld geld overmaken, zolang ik mijn mobiel maar bij heb (voor het ontvangen van TAN-codes) en die stomme random reader kun je alleen maar vergeten mee te nemen.
En het is een "keuze" van de paypal gebruiker om deze manier te gebruiken. Er even van uit gaande dat er geen hacker/phisher bezig is, is deze manier zowiezo slecht van Paypal omdat je inderdaad de laatste verificatiestap (tan code) ontbreekt, terwijl ook Paypal geen moeite doet om deze extra verificatie op de een of andere manier dan zelf maar te implementeren.

Voor wat betreft de auto incasso machtiging, dat risico loop je bij elk bedrijf als je daar wel of geen toestemming voor geeft. In principe kan ieder bedrijf een incasso regeling aanvragen, en bij mensen incasso's gaan doen zolang ze maar rekeningnummers en namen hebbben.
Eer dat de bank erachter komt dat deze transacties zijn gedaan zonder toestemming (schriftelijk, met handtekening, dient een administratie van te zijn) van de rekeninghouder, is de incasso al uitgevoerd, en is de persoon / bedrijf die hem uitgevoerd heeft alweer failliet verklaard.

De problemen zitten hier dus tweeledig: (er is niet echt een partij de schuld te geven.)
- de banken werken nog met het antieke (maar soms wel handige) incasso systeem
- paypal doet geen moeite een extra beveiligingsslag in te bouwen om deze fraude te voorkomen.

Door mmjjb, dinsdag 22 maart 2011 00:44

In dit geval kun je nog zo'n groot artikel om niks schrijven, maar dat kan ik ook.

Bron: ing.nl
"U heeft toegang tot Mijn ING met uw inlogcodes. Deze zijn strikt persoonlijk."
" Ga altijd vertrouwelijk om met deze gegevens, net als de pincode van uw Betaalpas."
In dit geval geef Ing aan dat de inlogcodes net zo vertrouwelijk behandeld moeten worden als de pincode van een betaalpas.

Bron: jurofoon
Tot het moment van melding is ben je als klant zelf verantwoordelijk voor de afschrijvingen die plaatsvinden van je rekening. Je zult lang niet altijd direct op de hoogte zijn van misbruik. De bank stelt ook als voorwaarde dat je altijd je bankafschriften in de gaten moet houden. Doe je dat niet en je merkt fraude niet op, dan kun je met een enorme schadepost blijven zitten!

Bron: Paypal
PayPal is slechts een betaalserviceprovider (PSP, Payment Service Provider).
PayPal is in alle opzichten een onafhankelijke contractant.
. Door een rekening als 'Gecontroleerd' aan te merken, geeft PayPal enkel en alleen aan dat de houder van de gecontroleerde rekening de stappen in clausule 2.3(a) heeft voltooid. Zoals reeds beschreven in sectie 1.1 en door toekenning van de status.

In alle gevallen geeft PayPal aan slechts een tussenpersoon te zijn, in dat geval dient de aanvrager van de transactie toestemming te hebben van de begunstigste.
Paypal verificeerd deze aangevraagde transactie via haar websysteem.

Zoals jurofoon aangeeft is de rekeninghouder verplicht zijn/haar bankafschriften regelmatig te controleren.
Tot op het moment van melden van fraude aan de bank, is de rekeninghouder verantwoordelijk voor zijn/haar handelen. Ingeval van fraude zijn de gedupeerde nalatig geweest

1. Het tijdig controleren van rekeningafschriften
waardoor tevens PayPal verificatie geannuleerd kon worden.
2. Het vrijgeven van inlogcode's doormiddel van phising, de personen die deze gegevens vrijgegeven hebben ondermijnen hierbij de voorwaarde van ING voor het opzetten van de connectie met Mijn Ing.

@hierboven

En de bank haalt dat geld rucksichtlos terug bij degene die de (automatische) incasso gedaan heeft (in dit geval dus Paypal en Click&Buy).

Dat is juist het leuke, PayPal is slechts een derde die de transactie afhandeld! Zij is niet de aanvrager van de incasso, dit doordat zij een Payment Service Provider is.
De aanvrager is in ditgeval de persoon die deze mensen oplicht, paypal verificeerd de transactie, net zoals de bank overigens, zij(paypal) is in geen enkel geval hiervoor aansprakelijk

[Reactie gewijzigd door mmjjb op dinsdag 22 maart 2011 00:47]

Door -RetroX-, dinsdag 22 maart 2011 08:50

Bij ING zijn de (papieren) bankafschriften niet meer een standaard dienst.

Doet overigens niet veel af van het feit dat het transactieoverzicht moet worden gecheckt op 'afwijkende' transacties.

Door peli, dinsdag 22 maart 2011 09:15

Geen standaarddienst? Ik ontvang ze nog steeds maandelijks. Op aanvraag en tegen een vergoeding zelfs wekelijks..... dus.

Door aikebah, woensdag 23 maart 2011 00:57

Paypal is wel degelijk de 'aanvrager van de incasso'.

De fraudeur heeft zichzelf voorgedaan als de rekeninghouder bij ING en gezegd tegen Paypal: 'Als ik iemand wil betalen, haal het benodigde geld dan maar van mijn rekening'.

Vervolgens plaatst hij een webbestelling. Paypal bemiddeld dan als Payment Service provider tussen de fraudeur en de ontvanger van het geld (ongetwijfeld een paypal-account dat ook onder controle van de fraudeur staat). Voor het funden van het Paypal account van de fraudeur, zodat de betaling plaats kan vinden doet Paypal een incasso tegen het door de fraudeur opgegeven bankrekening gekoppeld aan het 'paypal account betaler'.

Door PJS, dinsdag 22 maart 2011 07:30

Door computerjunky, maandag 21 maart 2011 17:58

nee het is de fout van de gebruiker die zijn wachtwoord niet goed beveiligd heefd of mot ik zeggen zijn pc waardoor er phishing software om de pc kon komen waar het hele gelazer mee start.

als er geen phishing software op de pc komt kan er geen paypall wachtworrd achterhaald worden waardoor de rest ook niet mogelijk word.

Door Roland684, maandag 21 maart 2011 18:09

De code/bedragen die gebruikt worden om te controleren of je toegang hebt tot de bankrekening komen ook op het papieren afschrift terecht. En die worden per post verstuurd, dat is ook allesbehalve veilig.

Je hoeft alleen maar aan te tonen dat jij de afschrijften van een rekening kunt zien om paypal/clickandbuy te machtigen om geld af te schrijven... Waarom hoef je niet te bewijzen dat je geld kunt overschrijven?

Bij paypal zou je ze zelfs kunnen gokken, ze maken vast alleen zeer kleine bedragen over.

@Cloud: paypall gebruikt geen code, maar wil het bedrag van je horen
@Quazier: Inderdaad, 9999 mogelijkheden. dat betekent dus gemiddeld 1 in de 9999 pogingen is kassa. vind ik niet weinig. (en de kans is natuurlijk groot dat paypal aan de lage kant gaat zitten, anders kost elke nieuwe account ze 1 euro. Ik vermoed dat bedragen onder de 20 cent relatief vaak voorkomen.

[Reactie gewijzigd door Roland684 op maandag 21 maart 2011 21:47]

Door Cloud, maandag 21 maart 2011 18:19

Het gaat Paypal niet om de bedragen, die zijn natuurlijk hartstikke klein. Anders kost het ze veel te veel geld. Het gaat ze om de identificatiecodes die als omschrijving bij de overschrijvingen vermeld worden. En die zijn een stuk langer en dus echt niet meer te gokken.

Door Quazier, maandag 21 maart 2011 19:00

je krijgt bij paypal twee bedragen van €0,xx gestort
vervolgens moet je die xx invullen op de website, dus 99x99 mogelijkheden

Door EdwinG, maandag 21 maart 2011 19:57

Die xx invullen? Dat lijkt me nogal een domme zet van Paypal. Elke transactie heeft namelijk zoiets als een kenmerk of omschrijving. Daar kan makkelijk een tekst in als 'Uw eerste code is ************. Veel meer mogelijkheden dan die paar centen.

Door jbtbnl, maandag 21 maart 2011 21:56

En toch werkt het zo bij PayPal, en dat zeg ik uit ervaring. Helaas...

Door ADQ, maandag 21 maart 2011 18:27

Papieren afschriften? Dat is welhaast prehistorisch?

Dit is eigenlijk geen fout van de ING. Het beveiligingslek is die oerdomme gebruiker achter de pc! Die ondanks het al jaren gebruik maken van die bank alsnog ingaat op mails zoals "ING is niet in staat om uw account te verifieren. Uw account dient zo snel mogelijk geverifieerd te worden. U kunt uw account simpel weg verifieren door op de volgende link te klikken."

Wel mooi gevonden: U kunt uw account simpel <spatie> weg verifieren. Inderdaad weg!

Edit: tikvout

[Reactie gewijzigd door ADQ op maandag 21 maart 2011 18:27]

Door OddesE, maandag 21 maart 2011 18:48

Sorry maar die 'oerdomme' gebruiker hoeft echt niet per sé op een site zijn gegevens te hebben ingevuld. Er kan gewoon software middels een virus / worm / trojan op zijn PC terecht zijn gekomen die wachtwoorden logged: een key logger. Dit kan iedereen gebeuren.

Ik werk zelf bijna 10 jaar in de IT als ontwikkelaar maar ik ben echt oprecht bang dat mij dit overkomt. Een keer een virus oplopen dat stilletjes op de achtergrond je doen en laten monitored is gewoon moeilijk te voorkomen. Natuurlijk heb ik antivirus maar dat is niet waterdicht. En de process lijst in Windows is super lang en zwaar ondoorzichtig. Ik ben een ervaren gebruiker maar weet echt niet van elk proces wat het doet en de naam van het proces is geen enkele garantie, iedereen kan zijn proces svchost.exe noemen bijvoorbeeld.

Het afschuiven op een zogenaamd domme gebruiker kan een gevoel van veiligheid geven; je hebt het zelf in de hand. Vroeger deed men dit ook bij auto ongelukken. Het kwam door die domme chauffeurs die niet kunnen rijden. Veel auto's hadden geen gordels, airbags waren nog niet uitgevonden etc. Door de jaren heen zijn vele veiligheidsmaatregelen genomen waardoor een hoop ongelukken die toen dodelijk waren of tot zware verwondingen leidden nu alleen blikschade veroorzaken. De statistieken bewijzen het: die maatregelen helpen. Ook op de PC hebben we veiligheidsmaatregelen nodig want het zijn echt niet alleen maar domme menses die 'er om gevraagd hebben' die getroffen worden.

Door Pinkys Brain, maandag 21 maart 2011 19:27

In principe zou iedereen met een hoop geld op zijn bankrekening niet met een normale PC moeten internet bankieren (of Mac, of smartphone/tablet ... die dingen worden ook aan alle kanten geowned bij normaal gebruik). Het is vragen om ongelukken.

Door xbm360, maandag 21 maart 2011 22:08

Ik denk er hetzelfde over, ondanks dat ik 'n virusscanner heb lopen & ik regelmatig in de tasklist & de services.msc/msconfig check op vreemde processen/services/registry-entries, ed...

Maar ja aan de andere kant wat weegt zwaarder gebruiksgemak met iets mindere security, of 'n omslachtig systeem met 'n calculator die je kwijt raakt, of waarvan de batterijen om de haverklap leeg zijn.

En ja PayPal valt ook wat te verwijten omdat 't verificatiesysteem ook niet helemaal waterdicht is, maar aan de andere kant is PayPal ook weer heel gebruikersvriendelijk. Aan de andere kant cache ik de paswords in FireFox, zeker niet aan te raden op 'n openbare/onbeveiligde PC, maar niet door keyloggers te onderscheppen. Tenzij er 'n virus/worm verschijnt die deze files kan onderscheppen & hacken.
Maar goed, als ik zo paranoide moet gaan leven om continu dat soort "beren op de weg" te zien...

Door Floor, maandag 21 maart 2011 20:38

@ADQ. van beveiligingssysteem van een bank mag je eisen dat deze hufter proof is.
Ik ben momenteel diverse rekeningen aan het opzeggen. ING/postbank heb altijd systematisch geweigerd (achterlijk systeem) en Roparco is al even rot. Hup afstraffen door rekeningen op te zeggen en over te hevelen naar banken die het wel snappen (Rabobank bijvoorbeeld).
Wanneer een bank zijn veiligheid niet eens goed in orde heeft (goh, wat was de basisfunctie van een bank?) dan wil ik er zo min mogelijk mee te maken hebben.

Door ADQ, maandag 21 maart 2011 23:04

Dit is niet geheel aan de bank te wijten, maar aan derde partijen.
Persoonlijk vindt ik het systeem van TAN codes goed, vooral omdat ik vanuit het buitenland ook wil kunnen bankieren (en doe).
De kans dat ik mijn telefoon vergeet is zo dicht bij nul dat je die kunt vergeten, dat calculator achtige ding daarentegen? Heel groot.
Niets is hufterproof te maken, dat heeft de historie al bewezen. En met alle extra mogelijkheden die we tegenwoordig hebben wordt het hufterproof maken nog moeilijker. Checkes werden vroeger ook uit brievenbussen gehengeld.

Dus ja, je moet een virusscanner, adblocker (voor de veiligheid, niet eens alleen voor de reclame), Noscript etc gebruiken, los van https en nog veel meer.
En dan ben je, zelfs met je goede gedrag en opletten, nog maar een procent of 99 zeker dat je veilig bent?

Door Chuckylee, maandag 21 maart 2011 18:04

ze hebben eerst iets nodig welke je ZELF hebt in gevuld op een phising site, dus zoals in vele gevalen ligt de fout bij de gebruiker.
en dat het mogelijk is, is bezwaarlijk echter zal het bij elke rekening kunnen als er geen gebruik gemaakt hoeft te worden van de "beveiliging" welke de bank heeft ingevoerd.
dus het is een kwestie van tijd voor het volgende banksysteem aan de beurt is.

Door OddesE, maandag 21 maart 2011 18:52

Niet waar, er zijn vele manieren om je wachtwoord te achterhalen:

Door Chuckylee, maandag 21 maart 2011 19:08

in alle gevalen heeft dan nog steeds de gebruiker de "fout"gemaakt.
maar okay, ik had : "bijvoorbeeld op een phisingsite" moeten schrijven.

Door Carharttguy, maandag 21 maart 2011 21:48

Wat is dit voor nonsens.

Bij brute force / raden kan je er echt niets aan doen, neem aan, je pakt een wachtwoord: "6YHGhi", mooi wachtwoord voor de gemiddelde gebruiker. Als dat gebrute forced wordt, kan je niets aan doen. En als ze het raden ben je echt de pineut.

Er zou een max aantal foute logins moeten zijn.

Door mschol, maandag 21 maart 2011 23:10

ing heeft dan ook een login maximum van 3x waarna de boel geblokkeerd wordt en je per post info krijgt om te deblokkeren

Door terror538, dinsdag 22 maart 2011 10:52

6YHGhi heeft 6 posities met ieder minstens 62 mogelijkheden, dus 56800235584 mogelijke wachtwoorden alleen al voor een 6 teken wachtwoord. Mooie bruteforcer ben jij als jij dat binnen een economische tijd weet te vinden.
Brute-forcen is vooral te doen als mensen bestaande woorden/namen gebruiken. Mijn belangrijke wachtwoorden bestaan eigenlijk altijd uit hoofdletters cijfers en kleine letters en zijn 8 tekens.

Een goede defense tegen het brute-forcen van wachtwoorden zou een check zijn die of na x aantal pogingen een lockout doet of een check die kijkt hoe groot de afwijking is van het daadwerkelijke wachtwoord, en dan op basis daarop een aantal protocollen op start (in zo'n geval is het namelijk een goed idee om daadwerkelijk tot vervolging en aangifte over te gaan omdat je zeker bent dat het om een inbreker gaat)

Door Bonez0r, dinsdag 22 maart 2011 20:20

Je kan ook totaal ongemerkt een keylogger oplopen door bijvoorbeeld een drive-by exploit op een site (alleen de site laden is al genoeg, je vult niet eens wat in). En dat hoeft dan niet eens een vage site te zijn. Ook bekende vertrouwde sites worden af en toe gehacked. Het hoeft maar één keer te gebeuren en je hebt die keylogger te pakken.

Het probleem zit in het kunnen inloggen op ING zonder tan code (dus met alleen username/pass, die gejat kunnen worden door criminelen, ook zonder schuld van de gebruiker).

En de ING woordvoerder zegt dat de verantwoordelijkheid bij de klant ligt om de inlog codes geheim te houden. Hij geeft dus toe dat de tan code beveiliging omzeild is maar vindt dit niet relevant. Ook totale onzin want het hele tan code systeem was nou juist ingevoerd omdat het beveiligen van je rekening met alleen een username/password niet veilig genoeg is!

Ik denk er sterk over om ING alleen nog maar te gebruiken voor m'n betaalrekening met een minimaal bedrag erop. De rest van het geld gaat dan maar op een rekening bij een bank die wel veilig is.

[Reactie gewijzigd door Bonez0r op dinsdag 22 maart 2011 20:59]

Door Steeefie, maandag 21 maart 2011 18:53

Maar toch is het ook zo dat je maar een keer de inlog gegevens nodig hebt van een ING klant om beide bedragen te zien. Aan de andere kant, wanneer een ING klant 2 vage kleine bedragen bijgeschreven ziet en daar zelf geen opdracht toe heeft gegeven, gaat er dan nog steeds geen belletje rinkelen? Natuurlijk niet iedereen kijkt dagelijks op zijn rekening (ik ook niet) en zou deze bijgeschrven bedragen zien. Wanneer het op maandag gestort is dan hebben de "frauders" de rekening al leeg gehaald.

Misschien kan ING een extra verificatie doen bij de gebruiker, alleen denk ik nu ook even, hoe? Dan toch maar een soort van Random Reader introduceren?

Door miw, maandag 21 maart 2011 19:25

Dan zou ING dus elke gebruiker dwingen om minimaal elke dag de overschrijvingen na te lopen of er wellicht een marginale transactie heeft plaatsgevonden waardoor er kennelijk later zonder verdere authorisatie van de eindgebruiker met een TAN code willekeurige bedragen van je rekening kunnen worden afgeboekt.
ING heeft een volsterkt verkeerde methode gevolgd om hun klanten in staat te stellen om hun rekening aan PayPal (en vergelijkbare sites) te koppelen. Dat is dus een beveiligingsprobleem van ING. Verder reageert ING ook nog eens volstrekt onprofessioneel door het probleem te bagateliseren.

Door bkor, maandag 21 maart 2011 21:15

miv: PayPal doet dat bij iedere bank. Heeft niets met ING te maken.

Door watercoolertje, maandag 21 maart 2011 19:42

Misschien kan ING een extra verificatie doen bij de gebruiker, alleen denk ik nu ook even, hoe? Dan toch maar een soort van Random Reader introduceren?

Dat hoeft nou ook weer niet, gewoon het systeem met de tancodes (ideal gaat toch ook prima) ook toepassen, dat is wat mij betreft prima. Eigenlijk zou ING dat verplicht moeten stellen, mijn rekening is zo veilig als de zwakste schakel van de beveliging 'veilig' is (en dat is dus een beveiliging zonder tan-code). En in dit geval lijkt mij dat dus paypal en niet te vergeten incasso's waar je dus net zo makkelijk misbruik mee kan maken als je de login hebt van een persoon (en dus genoeg gegevens hebt, echter wel met een periode dat het gestorneerd kan worden oid)

Door RemcoDelft, dinsdag 22 maart 2011 08:23

Die 2 betalingen zijn ook wel te gokken: er zijn niet veel mogelijkheden, dus brute-force kom je een heel eind.

Door BlackHawkDesign, dinsdag 22 maart 2011 09:27

In hoeverre, de mensen hebben zelf hun inloggegevens afgestaan.

Moet ik wel toegeven dat ik voor mijn bank een simpel gebruikersnaam en wachtwoord niet voldoende vind.

Door Cloud, maandag 21 maart 2011 17:54

Nee ook niet. Dat zou betekenen dat alle bedrijven die door middel van een doorlopende machtiging geld van jou innen, 'lek zijn'.

Nee het probleem is dat de rekeninggegevens bij de ING in te zien zijn, zonder vorm van extra verificatie zoals een TAN-code of cardreader. Nadat er succesvol inloggegevens gepished zijn, kan iemand dus eenvoudig een machtiging inregelen bij Paypal/Click and Buy.

Als je iets lek wilt noemen, neem dan de 'eenmalige machtiging' waarvoor alleen maar een naam en rekeningnummer nodig zijn

Door Blackbird-ce, maandag 21 maart 2011 22:43

Ben ik niet helemaal met je eens: 't feit dat de bankgegevens bij ING in te zien zijn zonder TAN-code o.i.d. is geen verslechtering t.o.v. de oude "papieren" manier. Ook toen kon je een enveloppe uit de brievenbus vissen en zien hoeveel cent Paypal gestort zou hebben.

Het probleem ontstaat m.i. enkel en alleen doordat ING een vrijwel onvoorwaardelijke machtiging geeft aan Paypal op het moment dat die eenmalige "authenticatieslag" is uitgevoerd.

ING zou misschien wel TAN-codes willen gebruiken bij alle transacties, maar Paypal ondersteunt volgens mij geen federatief systeem, waarbij de bank het niveau van authenticatie bepaalt (zoals bij iDeal het geval is)

Door DarkShadow, maandag 21 maart 2011 18:00

ING heeft een zwak systeem, inloggen op de bankrekening met username/pass is nooit sterk genoeg. Paypal is ook zwak, maar in deze treft het geen blaam.

Door Roland684, maandag 21 maart 2011 18:12

Met username en password kun ja alleen de rekening inzien. So what? dat kan de postbode ook. Je afschriften zijn niet geheim, hooguit privacygevoelig.

Met paypals systeem is een afschrift ineens een identificatiemiddel geworden dat ze accepteren voor het doen van afschrijvingen.

@Cloud: Alleen bedrijven kunnen machtigingen innnen, en als er te vaak een machtiging wordt gestorneerd door de klant, raak je je vergunning kwijt. Punt is waarschijnlijk wel dat de ing niet snel paypal zal afsluiten.

[Reactie gewijzigd door Roland684 op maandag 21 maart 2011 21:50]

Door Cloud, maandag 21 maart 2011 18:17

Wees blij dat ze dat überhaupt nog doen.

Zoals ik hierboven al zei; voor een eenmalige machtiging is ook niets meer dan een naam en rekeningnummer nodig. Paypal controleert dan tenminste nog of jij überhaupt wel toegang tot dat rekeningnummer hebt alvorens ze willen gaan afschrijven.

@Steefie: precies mijn punt!
@gekkejopie2: inderdaad. Als ik klant was van ING dan had ik ook liever dat ze hun eigen zaakjes op orde maken, dan dat ze het probleem afschuiven op Paypal.

[Reactie gewijzigd door Cloud op maandag 21 maart 2011 20:16]

Door Steeefie, maandag 21 maart 2011 18:54

Een eenmalige machtiging kan ook met de Rabo, ABN Amro enz. Dus dan zijn alle banken lek. Er wordt ook niet voor niks gewaarschuwd dat je je voorzichtig om moet gaan met je rekeningnummer.

Door Vistajevski, maandag 21 maart 2011 20:42

Sterker nog: als iemand een incasso opdracht geeft voor een willekeurige bankrekening wordt die gewoon uitgevoerd, en pas gestorneerd als jij gaat piepen. Dat werkt in elk geval bij ING zo. Aan een ander akkefietje met hen heb ik nog een brief overgehouden waarin letterlijk staat dat ING incasso-opdrachten zonder nadere controle uitvoert, behoudens de 11-proef.

Door OddesE, maandag 21 maart 2011 18:55

Maar wat Paypal doet is geen eenmalige afschrijving maar een automatische incasso toch?

Kun je de betalingen gewoon terugdraaien zoals ook kan met andere incasso's?

Door gekkejopie2, maandag 21 maart 2011 19:21

Ik vind dat ING dit helemaal niet mag overlaten aan bedrijven zoals PayPal. Wat heb ik eraan? Ik hoef geen PayPal, ik maak zelf wel wat over als dat nodig is. Voor elke incasso moet ik persoonlijk zelf mijn bank machtigen. Als ING dat ook aan anderen overlaat dan ben ik hiervoor niet aansprakelijk maar de ING zelf.

Door aikebah, woensdag 23 maart 2011 01:19

Nee hoor, jij machtigt je bank niet, jij machtigt het bedrijf dat graag bij jou wil incasseren (zoals bijvoorbeeld de uitgever van je favoriete maandblad).

Paypal meent dat het door jou te laten vertellen welke bedragen het naar rekening x heeft overgeboekt voldoende zeker te weten dat jij bent wie je beweert te zijn (namelijk de rekeninghouder van rekening x) en daarmee denken ze voldoende aantoonbaar te hebben gemaakt dat de rekeninghouder van rekening x toestemming heeft verleent voor 'het incasseren van bedragen ten behoeve van het het doen van betalingen binnen het Paypal systeem'.

Bij een 'melding onterechte incasso' hebben ze echter geen poot om op te staan (lees schriftelijke handtekening) en wordt het geld teruggestort op je rekening

Schriftelijke machtiging
Schriftelijke machtigingen dient u te bewaren. Kunt u bij een geschil geen ondertekende machtiging tonen, dan bent u verplicht tot restitutie van het betreffende Incassobedrag tot 13 maanden na de Incasso-afschrijving van de rekening van de klant.

(bron)

Door dasiro, maandag 21 maart 2011 20:32

doordat de inloggegevens bij ING blijkbaar volledig statisch zijn, kan je door eenmalig in te loggen de verificatiecode bemachtigen. DAT is de fout van ING, niet van de gebruiker, wiens paswoord ook middels andere methodes kan worden achterhaald

Door peli, dinsdag 22 maart 2011 09:20

Statisch in de zin dat je je wachtwoord regelmatig dient te vervangen. Met username/wachtwoord heb je alleen maar toegang tot je rekening om deze in te zien. Voor betalingen heb je een TAN-code of SMS-code nodig... Met het wachtwoord alleen kan je dus niets beginnen. Weet waarover je spreekt alvorens iets neer te plempen.

Door dasiro, dinsdag 22 maart 2011 12:09

DUS statisch. Bij KBC heb je zelfs voor in te loggen je code-generator waar je je bankkaart in moet steken en je pincode op moet ingeven, voordat je kan inloggen. pas als ze je bankkaart en je pincode hebben kunnen ze dus online je rekening raadplegen, maar dan kan je net zo goed geld uit de muur gaan halen verkleed als pinokkio

Door Nicesoft, maandag 21 maart 2011 20:32

Door TempesT, maandag 21 maart 2011 21:12

Inderdaad. Paypal en Click & Buy hebben allerlei dingen mooi verwoord met beschrijvingen als "koppelen aan uw giro rekening" , maar dat is het eigenlijk niet.
Het gaat om een automatische machtiging. Heel veel bedrijven hebben van banken het recht gekregen via eenmalige of automatische machtigingen geld van rekeningen af te schrijven. Officieel moet een bedrijf altijd een handtekening hebben voor een machtiging (voor zover ik weet). Als ze dat niet hebben dan is het risico voor het bedrijf (Paypal dus). De rekening houder kan dan namelijk binnen een bepaalde periode de betaling terugvragen van de bank (storneren), en als dit te vaak gebeurd kan een bank het bedrijf het recht ontzeggen om te incasseren.

Het enige verschil met andere banken is dat ING inzicht geeft in je betalingen met enkel gebruikersnaam en wachtwoord, andere banken doen dit wellicht niet (het artikel wekt die indruk tenminste), en vereisen een randomreader code ook voor het inloggen (en niet enkel voor overmaken zoals bij TAN codes van ING).

Het is dus meer een probleem bij het systeem van automatische machtigingen en fraudeurs die dit machtigings recht van een bedrijf misbruiken.

Door worldcitizen, dinsdag 22 maart 2011 09:23

Dus eigenlijk is ING niet lek maar het paypal systeem, aangezien Paypal geen verdere verificatie doet.

ING is wel degelijk lek. Zie (uit tweakers post):

De Nederlandsche Bank.", verklaart hij aan persbureau Novum. Ander banken in Nederland zouden niet met het probleem kampen.

Het wordt hoog tijd dat er eisen aan de veiligheid van banken gesteld gaan worden.

Door klubnikka, maandag 21 maart 2011 19:09

Ik krijg bijna dagelijks phishings van de "ING" . Verbaasd me dus niks dit bericht.

Door SniperEye, maandag 21 maart 2011 19:09

Met je 2e zin "Doordat ze op een andere manier de logingegevens van een gebruiker hebben weten te bemachtigen...." bedoel je de logingegevens van ING. Ik heb het zelf 3x moeten lezen maar snap hem nu

Door IIsnickerII, maandag 21 maart 2011 17:32

welke service maakte gebruik van deze exploit?
ik wil wel weten of mijn gegevens veilig zijn.

Door Razwer, maandag 21 maart 2011 17:35

is niet specifiek een service, is als je je gegevens hebt opgegeven op een phishing site. normaal gesproken zijn de inlog gegevens van mijn.ing.nl relatief waardeloos als je standpunt plunderen is, gezien je de tan codes moet hebben.
Door het te koppelen aan click and buy of paypal machtig je ze zodat ze van je rekening mogen boeken.
Click and Buy was in den beginne nog lekkerder, een geldig rekening nummer was toen al voldoende. Dat hebben ze niet eens zo gek lang geleden aangepast.

Kortom, als je je inlog gegevens van mijn.ing.nl niet "verliest" aan derden, is er niks aan het handje.

[Reactie gewijzigd door Razwer op maandag 21 maart 2011 18:56]

Door IIsnickerII, dinsdag 22 maart 2011 09:18

dat is het punt. ik HEB mijn account gekoppeld aan PayPal en maak er regelmatig gebruik van. ik ben zelf wel een fan van internet bankieren, maar met berrichten als dit ga ik mij een beetje zorgen maken. ik ben jong en wijs genoeg om gelijk te zien op welke sites ik mijn paypal gebruik (ik gebruik het voornamelijk voor games) maar ik kan het niet nagaan.

Door aikebah, woensdag 23 maart 2011 01:24

Het probleem zit dan ook niet in je paypal account (hoewel die ook slechts door username/password beveiligd is).

Het probleem is een Paypal account aangemaakt door een hacker dat door die hacker wordt gekoppeld aan een ING bankrekening waarvan ze de bijschrijvingen kunnen inzien (en dus bij PayPal kunnen verifieren) omdat ze username/password voor mijn.ing.nl via bv phishing hebben verkregen.

Door Bonez0r, dinsdag 22 maart 2011 20:49

Kortom, als je je inlog gegevens van mijn.ing.nl niet "verliest" aan derden, is er niks aan het handje.

Phishing is één methode en inderdaad, dat kan de gebruiker voorkomen (maar dan nog, niet iedere gebruiker is hier even oplettend op of heeft er evenveel kaas van gegeten. Om het af te schuiven op 'domheid' van die gebruiker is te makkelijk. Een betaalsysteem hoort fool-proof te zijn).

Maar Je kan ook bijvoorbeeld ongemerkt een keylogger op je systeem krijgen (via een vage site, maar ook via een vertrouwde site als deze gehacked is (en dat gebeurt soms)). In dat geval kan de gebruiker er niks aan doen en is deze overgeleverd aan de genade van criminelen die zijn/haar rekening kunnen plunderen. Totaal onacceptabele situatie. ING staat er inmiddels om bekend (na meerdere van dit soort berichten) dat ze gebruikersgemak belangrijker vinden dan de veiligheid van het geld van hun klanten. En helaas trappen mensen er massaal in. Tijd om dit eens aan de kaak te stellen in een tv programma denk ik

Door wootah, maandag 21 maart 2011 17:33

Tan codes?
Ik heb nog nooit Tan codes in hoeven te vullen als ik met paypal betaal via mijn ing rekening

Edit: jep had het verkeerd gelezen.
De fraudeurs moeten wel erg ver zijn om bij je geld te komen natuurlijk.
Sowieso, hoe wil je dit gaan aanpassen? zonder tan code vind ik eigenlijk best een voordeel van paypal, ondanks dat het minder veilig is.

[Reactie gewijzigd door wootah op maandag 21 maart 2011 17:45]

Door Cloud, maandag 21 maart 2011 17:34

Paypal werkt altijd met directe afschrijving, dáár zit het probleem ook niet. Het probleem is dat je voor het bekijken van de rekeninggegevens bij de ING, alleen maar een username en password nodig hebt.

Door Roland684, maandag 21 maart 2011 18:17

Het probleem is dat Paypal aanneemt dat het kunnen bekijken van een rekening betekent dat je er betalingen mee kunt doen. Dat is niet zo, voor betalingen is een extra TAN-code nodig.

Als paypal als verificatie gevraagd had een bepaald bedrag over te boeken naar paypal ipv een bedrag overboekt en vraagt wat ze hebben overgeboekt, was het probleem nooit ontstaan.

Door Cloud, maandag 21 maart 2011 18:28

Klopt, maar dat is lekker gebruikersvriendelijk zeg.

"Ja om betalingen met Paypal te kunnen doen, moet je eerst even wat geld naar ons overmaken o.v.v. deze twee identificatiecodes: ...."

Nee de huidige situatie, jou zomaar een paar eurocent geven, is wat leuker voor je gebruikers. Ik begrijp wel dat het deze situatie had kunnen voorkomen, maar dan leg je de verantwoordelijkheid bij andere bedrijven dan je eigen bank. Lijkt mij geen wenselijke situatie.

Door PPie, maandag 21 maart 2011 19:57

Toch zou het eenvoudig zijn om te zeggen: Stort die paar eurocent even terug naar onze rekening onder vermelding van je paypal-email en het referentienummer wat er bij staat.
Dan weet je dat iemand die storting heeft ontvangen en ook dat deze geld kan overmaken naar de rekening van Paypal.

Door i-chat, maandag 21 maart 2011 18:33

niet eens een gek idee, - paypall schrijft 1 euro cent over naar je rekening met in de beschrijving een bedrag, als je dat bedrag bij hun hebt gestort vanaf jouw rekening komt het op je paypall tegoed - maar is ook je rekening geactiveerd.

dat is een stuk minder onveilig dan wat ze nu doen...

Door Sinlath, maandag 21 maart 2011 17:34

Dat is ook de strekking van het bericht.

dat hoeft met Paypal dus niet, terwijl elke andere overboeking dat wel moet.

Door OddesE, maandag 21 maart 2011 17:53

Het is geen overboeking maar een automatische incasso. Bij geen enkele bank is voor een automatische incasso gebruikersinteractie vereist. Je hoeft niet eens in te loggen...

De woordvoerder van de ING [..] wijst er op dat klanten de verantwoordelijkheid dragen voor de geheimhouding van hun gegevens.

Auw! Dit klinkt als "helaas pindakaas, het geld ben je kwijt". Ik hoop dat je PayPal ook kunt blokkeren??

Door Hyronymus, maandag 21 maart 2011 18:09

Valt wel mee: het blijft de verantwoordelijkheid van de banken om deugdelijke producten aan te bieden.

Door Roland684, maandag 21 maart 2011 18:18

Ik neem aan dat je de eenmalige incasso ook terug kunt boeken, net als normaal.

Door i-chat, maandag 21 maart 2011 18:34

alle automatische incasso's kun je terug boeken, andere overschrijvingen echter niet... dus ook ideal niet..

Door Roland684, maandag 21 maart 2011 21:51

maar paypal is geen ideal. Je kunt alleen betalingen aan loterijen en betalingen die je expliciet zelf gedaan hebt niet laten storneren. Dus paypal-afschrijvingen kun je gewoon laten storneren.

Door Steeefie, maandag 21 maart 2011 18:56

een incasso kan je wel terug draaien maar dan moet daar een gegronde reden voor zijn. Ik weet dat werken met eenmalige machtingen voor een bedrijf een hel is. Mensen trekken hem in en de bank geeft vaak geen gegevens vrij van de klant. (ik spreek uit ervaring, maar dit gaat een beetje off-topic)

Door jvdmeer, dinsdag 22 maart 2011 10:27

Er hoeft geen enkele reden te zijn. Volgens mij is het bij de ING ook gewoon een kwestie avn een vinkje zetten en het wordt teruggedraaid.

Door jorikc, maandag 21 maart 2011 17:36

Precies! Juist omdat je die TAN codes alleen nodig hebt bij het overschrijven via online bankieren en je via Paypal en Click&Buy alleen een geverifieerde rekening hoeft te hebben, is dit een omzeiling van TAN codes.
Zo'n rekening verifieren kan via het bekijken van de overschrijving en dat kan met simpel username/wachtwoord bij ING.

Bij andere banken kun je niet simpel inloggen met gebruikersnaam/wachtwoord om je overzicht te bekijken en zijn dus beter beveiligd tegen deze phishing aanvallen.

Door boerke, maandag 21 maart 2011 19:50

Door Herko_ter_Horst, maandag 21 maart 2011 20:43

Ik heb al tijden geen papieren afschriften meer. Zou niet weten waarom ik een maand later een papiertje zou willen als ik op internet direct alles kan zien.

Door Viperke, maandag 21 maart 2011 17:37

Dat is ook het hele probleem!! Lees het artikel anders even

Door GENETX, maandag 21 maart 2011 17:37

Dat is dus juist het probleem. Die heb je niet nodig via PayPal en vandaar dat men ook kan betalen zonder die codes te weten.

Door Cloud, maandag 21 maart 2011 17:33

Tja dat is toch het grootste nadeel aan het werken met een username/password combinatie om in te loggen, in plaats van met een sleutel.

Ik denk dat de enige échte verbetering die ING kan doen is; ook voor het inloggen een TAN-code gaan eisen. Alleen dan kun je het systeem echt veiliger gaan maken. Liever mikken ze natuurlijk de hele TAN-situatie uit hun systeem en werken ze met een cardreader; maar dat zal wel een stap te ver zijn.

Door .oisyn, maandag 21 maart 2011 17:51

Liever mikken ze natuurlijk de hele TAN-situatie uit hun systeem en werken ze met een cardreader

Mwoa. Onveiligheden aside, die op zich wel op te lossen zijn (hoewel ING dit wel keer op keer aan hun laars lapt en zich continu verdedigt met het zinnetje "ons systeem voldoet aan de eisen van de toezichthouder" - zeiden ze ook bij de mogelijkheid om je wachtwoord via SMS op te laten sturen

), vind ik het TAN systeem een stuk prettiger dan het moeten gebruiken van een reader. Ik kan nu gewoon op een willekeurig moment en plek geld overmaken via internet op m'n mobiel. Mijn mobiel heb ik altijd bij me, zo'n reader niet.

Een reader app voor de mobiele telefoon zou eventueel wel een goed alternatief zijn.

Door Cloud, maandag 21 maart 2011 17:57

Het TAN-systeem kan ook prima werken inderdaad, die cardreader is puur een voorkeur van mijn kant

Ik heb er dan ook twee: één voor thuis en één voor on the road.

Het enige wat de ING hoeft te doen om alles een verschrikkelijk stuk veiliger te maken is: ook een TAN-code eisen bij het inloggen. Klaar ben je. Geen toegang meer zonder toegang tot de TAN-lijst. Als die al in verkeerde handen gevallen is, heb je wel meer problemen

Door MueR, maandag 21 maart 2011 17:54

Ik heb juist liever geen card reader voor het inloggen. Ik kan nu thuis, op mn werk en waar dan ook op mn bankrekening, ideaal.

Wat ING echt eens moet verbeteren is de login procedure. Geen idee welke idioot die bedacht heeft. username case sensitive, wachtwoord case insensitive. Zeg maar, tegen alle conventies in. Daar heeft iemand moeite voor moeten doen om dat te verklieren.

Door Kamiquasi, maandag 21 maart 2011 19:10

Wat ING echt eens moet verbeteren is de login procedure.

Zoals anderen al voorgesteld hebben - om een TAN code vragen. Opgelost.

Geen idee welke idioot die bedacht heeft. username case sensitive, wachtwoord case insensitive. Zeg maar, tegen alle conventies in. Daar heeft iemand moeite voor moeten doen om dat te verklieren.

De persoon die van z'n meerdere krijgt te horen dat ondanks de vet rode letters in 48 punt impact met blink tags eromheen die vermeldt dat de velden hoofdlettergevoelig zijn, er toch nog mensen de helpdesk bellen met de klacht dat ze uit hun account zijn gesloten en dat ze toch -echt- wel het juiste wachtwoord hebben ingevuld, "hallelujah". Of was het nou toch "haIlelujah"? Of "haIIelujah"? Ze lijken ook zo verdomd veel opelkaar, hè?

Natuurlijk is er op zich een probleem aan de kant van ING dat ze niet om een random challenge/response vragen bij het inloggen. Een groter probleem - bij bijna elke bank met betaalrekening - is dat iedereen een bedrag kan afschrijven onder de noemer "we zijn online gemachtigd door de gebruiker". Laat ze daar maar een TAN voor vragen (al dan niet eenmalig per tegenrekening) - dan wacht PayPal maar even langer tot de bank ook echt het bedrag overmaakt.. moeten ze nu toch ook, dus dat overleven ze wel.

Door aikebah, woensdag 23 maart 2011 01:34

Behalve dan dat online machtigen niet bestaat en dus per definitie niet geldig is bij dispuut. De enige geldige incasso varianten zijn schriftelijk en (voor een beperkte set organisaties na expliciete additionele toestemming) telefonisch.

Door Rock Lobster, maandag 21 maart 2011 18:46

Het TAN-systeem (met sms) werkt makkelijk en is veilig. Het machtigen van derde partijen door het terugmelden van een omschrijving bij een storting niet. Het zou veilig zijn als de rekeninghouder een bedrag van 0,01 euro met een specifieke omschrijving naar zou moeten overmaken om de machtiging te verlenen. Daar is immers een TAN-code voor nodig.
Persoonlijk spreekt het verlenen van dit soort machtigingen me helemaal niet aan. Ik heb wel een PayPal-account en daar schrijf ik een bedrag naar over zodat ik bij PayPal een tegoed heb. Als m'n PayPal-account gekraakt wordt ben ik hooguit een paar tientjes kwijt. Nadeel is dat het overschrijven naar PayPal een paar dagen duurt en je dus niet direct kan betalen als je meer wilt uitgeven dan je tegoed bij PayPal hebt.

Door Polderdijk, maandag 21 maart 2011 17:34

Het blijkt maar weer eens, keer op keer, dat het inloggen zonder offline-calculator (ala Random Reader / eDentifier) gewoon te onveilig is. Wanneer start deze 'bank' eens met het echt aanbieden van veilige oplossingen.

Ook snap ik niet dat deze bank nog zo veel klanten heeft, vertrouwen nou echt zoveel miljoenen mensen deze ultra-lekke bank nog?

Oke, zonder calculator is het wel makkelijker werken, maar met geld neem je toch ook geen risico?

Door Scooper, maandag 21 maart 2011 17:40

Jij kan toch ook gewoon inloggen op je email met login en password combinatie? Vertrouw je dat ook niet dan? Vind je die beveiliging dan ook 'ultra-lek'?

Oke, tuurlijk, bij een mailadres is het gevolg misschien minder groot, maar het komt er gewoon op neer dat je je login en password veilig moet houden en niet zomaar op straat moet gooien. Toch niet zo gek?

Door Polderdijk, maandag 21 maart 2011 17:45

Tuurlijk is het voor e-mail ook onveilig, daarom worden er in bedrijven met zeer gevoelige data ook gebruik gemaakt van o.a. RSA-tokens.

Echter is de impact voor e-mail een stuk kleiner dan voor internet bankieren.

Het enige voor e-mail is, dat er gevoelige data gelekt kan worden, en dat je e-mail account wordt gebruikt om spamruns te versturen, de schade is dan minimaal.

Maar bij internet bankieren is het zeker een stuk anders. Het gaat namelijk over je eigen geld, en wordt daar mee aan de haal gegaan, ben je per definitie eerst je geld kwijt.
Je zult je rekening moeten blokkeren, en eer dat de schade door de bank vergoed is, en je nieuwe pas hebt, ben je al even wat dagen verder, waarbij je dus niet bij je eigen geld kan!

Door RwD, dinsdag 22 maart 2011 08:54

Je hebt per definitie ook bij de ING een random code nodig voor overschrijvingen. Ze lezen dus ten hoogste vertouwelijke informatie, net als in jouw email.

PayPal acht de manier van verifieren als veilig, maar had per bank moeten nagaan of dit zo is. Verswchillende soorten banken met verschillende beveiligingen. Dus hetzelfde systeem zal niet altijd goed werken met iedere aanbieder...

Door GateKeaper, dinsdag 22 maart 2011 10:22

Het is toch niet aan paypal om te controleren of niet iemand anders op jouw ING rekening kan kijken?

Paypal die maakt gewoon gebruik van automatische incasso's. Een in Nederland geaccepteerde methode van geld afschrijven.

Ipv dat je een brief opstuurt waarmee jij bevestigd eigenaar te zijn, schrijven ze geld bij op je rekening, als jij kan zien wat er op de rekening is bijgeschreven lijkt het nogal vanzelfsprekend te zijn dat je hier eigenaar van bent.

De enige manier waarop ze zich zullen kunnen aanpassen is dus ipv dat ze geld bijschrijven ze je een bedrag laten storten. Maar dit gaat klanten kosten.

Immers zullen meer mensen bereid zijn om aan te geven dat ze 3 cent hebben ontvangen, dan 3 cent over te schrijven. En dan nog niet eens zo zeer om het bedrag maar om de moeite die het kost.

Door Sh4wn, maandag 21 maart 2011 17:48

Het gaat er om dat criminelen makkelijk kunnen inloggen op een ING account. Het enige wat ze nodig hebben is de username en password combinatie, en dan kunnen die criminelen alle afschrijvingen zien.

Nu maken zij een PayPal account aan, PayPal schrijft een paar cent af ter verificatie. Omdat de criminelen de username en password al hebben, kunnen ze dat bedrag wat afgeschreven zien.

Nu is het heel makkelijk om via PayPal bedragen af te schrijven.

Met zo'n offline random reader / eDentifier moet je voordat je uberhaupt iets kan zien, eerst inloggen met mijn pinpas en pincode, + de code die je krijgt op de website van de ABN / Rabo / ....

Ze kunnen dus niet zo makkelijk het afgeschreven bedrag zien en het heeft dus eigenlijk geen zin om als crimineel dan een PayPal rekening aan te maken, aangezien je het niet kan verifiëren.

Door stresstak, dinsdag 22 maart 2011 16:02

Jij kan toch ook gewoon inloggen op je email met login en password combinatie?

Ik kan zelfs op al mn computers en diverse netwerken zo inloggen..

Eenmaal gekoppeld en geactiveerd is een PP rekening zonder verdere controle natuurlijk handig, en open voor iedereen. Dus ook voor de criminelen.

Door The_Manipulator, maandag 21 maart 2011 17:36

Volgens mij (maar ik ben niet 100% zeker) gebruikt de rabobank gewoon verificatie via z'n reader, ook met PayPal!

Door Cloud, maandag 21 maart 2011 17:37

Nee hoor. Paypal werkt altijd met directe afschrijving. Je machtigt ze als het ware om altijd geld van je rekening te trekken.

De reden dat deze 'exploit' niet werkt met bijvoorbeeld de Rabobank, is dat de Rabobank niet met een username/password combinatie werkt om in te loggen. Je pincode en kaart zijn al nodig om überhaupt in te kunnen loggen. Dus kunnen de kwaadwillenden de verificatiebedragen van Paypal/Click and Buy niet zien op jouw rekening en dus de machtiging niet voltooien.

Door Flying Bobman, maandag 21 maart 2011 21:29

Ook Rabobank heeft een gat in de verdediging. Met Rabo mobiel kun je namelijk wel degelijk bij je rekeningafschriften komen met een 5 cijferige code (wachtwoord). Als kwaadwillenden dat wachtwoord via phishing of malware op je smartphone in hun bezit krijgen, is de schade net zo erg. Ik ben er voorstander van om ook voor de Rabo app verificatie met een reader te vragen, zo'n ding heb je toch meestal wel bij je.

Door -Tom, maandag 21 maart 2011 22:07

Of de app beperken tot het zien van enkel je saldo + transansacties boven de >€0,05. Zodat de TAN-codes niet uitgelezen kunnen worden. Simpel, maar een doeltreffende manier om Rabobank-users veilig te stellen!

Door Cloud, maandag 21 maart 2011 22:40

Ah dat is ook niet zo mooi dan nee; in principe hetzelfde gat maar dan op een telefoon. Maar goed, dat Rabo mobiel blijkbaar werkt zonder het gebruik van de random reader, is voor mij al een reden om het dús niet te gebruiken. Als ik per se wil weten of een bepaalde transactie voltooid is, of dat er genoeg saldo op m'n rekening staat, dan doe ik dat wel via Rabo alerts of een pin automaat. En anders weet ik het maar niet

Maar ik ben dan ook geen student meer.

Door TheVMaster, maandag 21 maart 2011 22:43

Je kunt 'Rabo Mobiel' ook gewoon vanaf je laptop/pc gebruiken hoor. Surf naar : http://m.rabobank.nl/ en je bent op de mobiele website.

Door geniusboxen, maandag 21 maart 2011 17:38

Neen, als je je rekeningnummer koppelt aan PayPal krijg je twee overschrijvingen op de desbetreffende rekening. Deze geef je in bij PayPal en is je account gekoppeld aan je rekeningnummer. Daarna kan je "slechts" met je email + wachtwoord geld overschrijven.

[Reactie gewijzigd door geniusboxen op maandag 21 maart 2011 17:38]

Door TimSeve, maandag 21 maart 2011 17:39

Jep

ik heb Rabobank en daar krijg je een dubbele verificatie (1x intypen op het kastje, en uitkomst op de website). Super systeem!

Ik werk bij ING (servicedesk), heb nog geen klachten ontvangen van de klanten maar dit is toch wel erg

Door Cloud, maandag 21 maart 2011 17:44

Jep ik heb Rabobank en daar krijg je een dubbele verificatie (1x intypen op het kastje, en uitkomst op de website). Super systeem!

Volgens mij begrijp je The_Manipulator niet, of je hebt geen ervaring met Paypal. Want er is géén extra verificatie van de kant van Rabobank als je betaalt middels Paypal. Net zoals er geen extra verificatie is als jij op een site (voor een eenmalige machtiging) je naam en rekeningnummer invult.

Alleen iDeal zet daadwerkelijk de stap naar de portal van de bank, om de controle te doen. En dat is m.i. ook de enige echt veilige oplossing.

Door Flying Bobman, maandag 21 maart 2011 21:36

Het gaat om de eerste verificatie. Die wordt hier misbruikt. PayPal controleert of de rekening wel van jou is door 2 random bedragen over te maken naar je rekening. Die vul je later in de aanmeldingsprocedure in om te verifiëren dat de rekening van jou is. Om die 2 bedragen te kunnen zien heb je bij ING dus genoeg aan een wachtwoord. Bij de Rabobank heb je een pinpas, reader en pincode nodig, tenzij je gebruik maakt van Rabo mobiel (zie mijn eerdere post). Een reader is hufterproof omdat je bij phishing niks hebt aan zo'n eenmalige inlogcode.

Door Fatal Mind, maandag 21 maart 2011 17:36

Met die reader / code generator is bankzaken doen wel een stuk lastiger, je moet dat ding dan constant bij je gaan hebben als je veel van huis ben.. ik snap dat het ze voordelen heeft, maar het heeft ook zeker ook z'n nadelen.

Door themole, maandag 21 maart 2011 17:39

Zo erg is dat niet, ik reis best veel en heb twee van die dingen. Een extra kopen kost je eenmalig 10 euro, werkt altijd perfect en is erg veilig.

Door dj1981, maandag 21 maart 2011 17:43

tsja, ik heb er in totaal 6 (van 2 banken) en voor geen enkele hoeven betalen. eentje voor op het werk geven ze je meestal gewoon mee...

Door Flight77, maandag 21 maart 2011 17:59

Nou bij de ABN deden ze wel moeilijk hoor. 35 euro voor zo'n nieuwe...

Maar als de oude nou eens kapot zou gaan, hint hint, nudge nudge, dan zouden ze hem wel kosteloos vervangen, hint hint, nudge nudge...

Ben er alleen nog niet aan toe gekomen om de oude e-dentifier per ongeluk te laten vallen en er per ongeluk met de deur overheen te raggen... een paar keer... hard... per ongeluk...

Door Pepperoni, maandag 21 maart 2011 18:05

Subtiele methode haha. Leg hem dan even kort in de magnetron, gok dat dan de chips ook wel om zeep geholpen zijn

Door TvdW, maandag 21 maart 2011 17:37

Rabobank -> rabofoon of gewoon de iPhone app. Ik begrijp dat een pincode voor een telefoon lastiger is om te krijgen met phishing, maar zodra je deze hebt krijg je precies hetzelfde probleem...

Door APAF-1, maandag 21 maart 2011 17:41

Gelijk heb je. Heb vaak genoeg dat mensen in de trein een beetje mee proberen te kijken. Niet uit het opzicht om meteen m'n account leeg te plunderen, maar gewoon uit menselijke nieuwsgierigheid.

Een pincode lijkt mij inderdaad ook moeilijker omdat de gebruiker 'm niet zelf invult maar je de pincode moet afkijken, tenzij je de app voor Android kopieert en in de market gooit onder dezelfde naam...

Door Polderdijk, maandag 21 maart 2011 17:51

Nee dat is weer anders.

Bij de rabo apps kan je alleen geld overmaken als er ooit al eens naar die rekening is overgemaakt binnen de afgelopen 13 maanden, maar niet eerder dan 1 maand.

De kans op fraude neemt de kans via deze apps dus al gigantisch af.

edit-
Je hebt echter wel gelijk als het hier gaat om de PayPal verificatie afschrijving te kunnen bekijken. Mocht je dus nog nooit de app hebben gebruikt, of je wilt het rekeningnummer in de app wijzigen, dan bestaat de kans dat iemand dit kan zien die over je schouders mee staat te kijken.

Echter ga ik er vanuit dat de meeste mensen 1 rekening heeft bij de Rabo, en deze dus al als default staat ingevuld, waarbij alleen de laatste 3 posities van het rekeningnummer zichtbaar zijn.

Kan is dus ook aanwezig, maar zeer minimaal.

[Reactie gewijzigd door Polderdijk op maandag 21 maart 2011 17:57]

Door TMC, maandag 21 maart 2011 17:38

Tja, in het echte leven heeft iemand ook alleen maar je pincode + pinpas nodig om geld op te kunnen nemen. Ik ben het eens met de beslissing van ING om de verantwoordelijkheid bij de gebruikers te leggen en in dit geval de gebruiksvriendelijkheid boven veiligheid te stellen.

Door ElementriX, maandag 21 maart 2011 19:56

Totdat je zelf een keer slachtoffer van phishing bent

Door PJzzz, maandag 21 maart 2011 17:39

TAN codes zijn ws van voormalige postbankklanten en ING heeft naar mijn weten gewoon een reader in omloop waarmee klanten kunnen inloggen. Het zal wel een te duur grapje zijn om al deze voormalige postbankklanten zo'n reader te geven.

Door octabit, maandag 21 maart 2011 18:07

Het is opmerkelijk genoeg net andersom. Tegen alle logica in heeft ING juist de readers onlangs compleet afgeschaft zodat ook zakelijke/ING klanten nu met username/pass moeten inloggen.

Ik wou namelijk een poosje terug zo'n kastje aanvragen om op ING in te kunnen loggen, maar ik kon dus geen reader meer krijgen, en kreeg bovenstaande te horen.

Nu inmiddels overgestapt op Rabobank.

edit:
Volgens mij loop ik inderdaad te liegen. Aangezien er op ING nog wel met de kastjes kan worden ingelogd. Wellicht is dit enkel nog voor zakelijke klanten, en dienen de particuliere ING klanten met username/pass in te loggen. Of de beste baliemedewerker van de ING heeft uit zn nek lopen lullen. Het niet kunnen krijgen van een reader was voor mij in ieder geval juist de reden om over te stappen naar Rabo.

[Reactie gewijzigd door octabit op maandag 21 maart 2011 18:19]

Door YellowOnline, maandag 21 maart 2011 18:15

Euh? Tenzij het omgekeerd is bij ING NL: ING België heeft net dat systeem met die readers ingevoerd en gaat het andere systeem afschaffen. Tegen mijn zin, want ik had net voor ING gekozen een jaar geleden omdat het de enige bank was waar ik nog niet verplicht zo'n reader moest gebruiken. Ik heb best wat veiligheid ruil voor het gemak van niet zo'n apparaat te moeten gebruiken.

Door Kamiquasi, maandag 21 maart 2011 19:24

Euh? Tenzij het omgekeerd is bij ING NL: ING België heeft net dat systeem met die readers ingevoerd en gaat het andere systeem afschaffen.

Apart. Maar inderdaad - hier in NL is het juist andersom.. sinds 2009 worden de 'calculators' zoals ze door de ING genoemd werden langzaamaan afgeschaft;
http://webwereld.nl/nieuw...or-internetbankieren.html

Je kan nog wel met zo'n ding inloggen als je die nog gebruikt.

Misschien dat ING naar aanleiding van deze negatieve berichtgeving (titels als "Fraudeurs omzeilen beveiliging" die weliswaar accuraat zijn maar niet het hele verhaal vertellen) wel weer overstapt op zo'n ding, of dat ze nog een jaartje of 2 de boot afhouden om vervolgens op NFC techniek over te stappen en daar lezers voor uit te geven en apps voor mobieltjes met NFC lezer uit te geven.

« 1 2 3 4 5 6 7 8 »

Op dit item kan niet meer gereageerd worden.

08:57	AT&T: T-Mobile-klanten moeten op termijn 3g-telefoon vervangen
17:00	HD 6850 voor enkel slot zonder pci-e-connector in Japan te koop

Nieuws I/O

Shortcuts

Categorieën

Lees meer over

Gerelateerde content

Gerelateerde jobs

Reacties

13:01 Nieuws

22:34 Productreviews

23:01 Vraag & Aanbod

25-05 Jobs

20:30 Etc.

23:04 Reacties

23:06 Forum

25-05 Gesponsorde acties

00:16 Tweakblogs

26-05 Computable headlines

25-05 CRN headlines