'Hackers plunderen bankrekeningen ING met virus' - update | Pro

Reacties

« 1 2 3 4 5 6 7 8 »

Door hAl, donderdag 18 augustus 2011 10:55

Gebruiken die banken in België geen via een apparaatje gegenereerde of via de mobile opgestuurde bevestigingscode ?

[Reactie gewijzigd door hAl op donderdag 18 augustus 2011 10:56]

Door Left, donderdag 18 augustus 2011 10:57

Lijkt me wel, anders zou het virus helemaal op eigen houtje de transacties kunnen plegen en had het ook geen popup nodig gehad.

Kennelijk wordt gebruikers dus in de popup gevraagd om de bevestigingscode in te geven.

Door v-god, donderdag 18 augustus 2011 11:09

Er was deze morgen toen ik in de wagen zat een interview met een dame die bij een van die banken verantwoordelijk was.

Wat er schijnt te gebeuren is dat je terwijl je aan het netbanken bent via een popup wordt gevraagd de beveiligingscode via het toestelletje en je pincode in te geven onder het mom van "extra beveiliging", zonder dat de gebruiker zelf heeft gevraagd een transactie te bevestigen.

Met die bevestigingscode wordt dan achter je rug om een valse boeking bevestigd.

Het is niet zo dat je ineens terwijl je op t.net zit een popup krijgt of zo.

Door bite, donderdag 18 augustus 2011 12:29

Als je die "TAN" code van de ING bank per sms krijgt staat daar wel het bedrag bij zodat je kan kan bevestigen dat je transactie klopt, dat is mijn ervaring ten minste dus ik denk dat dat standaard is. Het is daarmee toch niet zomaar een code zoals die van een los apparaatje.
Als daar dan zomaar pakweg 90% van je saldo staat terwijl je niets aan het betalen bent moet dat toch argwaan wekken maar blijkbaar wordt dat dan genegeerd (omdat het er zo authentiek uit ziet?).
Het lijkt me gemakkelijker het te betalen bedrag via een sms te verifieren dan het SSL certificaat zoals onder wordt voorgesteld; ik vind dat een goed idee maar menigeen zal niet eens weten wat het is.

[Reactie gewijzigd door bite op donderdag 18 augustus 2011 12:30]

Door RaisorX, donderdag 18 augustus 2011 13:01

Het klopt dat je via een sms het bedrag ziet wat er overgemaakt wordt. Ikzelf heb ook ING. Een vriend van mij heeft ook ING samen met internetbankieren, maar dan zonder sms. hij heeft namelijk een lijst met TAN-codes die hij van de bank krijgt. Als dat op deze manier gebeurt, wordt er dus geen bedrag getoond.

Ook een tijdje geleden dat er via PayPal en dergelijke geld van ING rekeningen afgehaald kon worden, door middel alleen inloggegeven van de bankrekening en automatische afschrijving.
PayPal verifiëerd je bankrekening door tweemaal paar cent te sturen, en dat bedrag moet je dan doorgeven aan PayPal. Dan word het namelijk bevestigd dat jij de eigenaar bent van de bankrekening. Dan kan er via PayPal automatisch laten afschrijven.
Ik ben zelf geen slachtoffer geweest, maar ING heeft dus wel heel mijn bij- en afschrijving geschiedenis verwijderd.

Door mjtdevries, donderdag 18 augustus 2011 13:15

hij heeft namelijk een lijst met TAN-codes die hij van de bank krijg

Maar als je die papieren lijst gebruikt, dan krijg je dus nooit TAN codes via SMS, en dan kan deze malware daar dus ook geen misbruik van maken.

Het lijkt er dus op dat dit alleen mensen raakt die op elke willkeurige pop-up van de computer op "ok" drukken.
Terwijl iemand die een heel klein beetje oplet (en dat doe je toch juist bij internet bankieren?) geen last zal hebben.

Door Schway, donderdag 18 augustus 2011 13:55

Dat is nou het idee achter een virus. Ze vallen 5000 mensen lastig, en als maar 1% niet op let. Booyah, winst. Dan hebben ze inkomsten om het met 10.000 te proberen, als er dan weer een conversie is van 1%

Door airell, donderdag 18 augustus 2011 14:07

Er zal toch meer dan "OK" geklikt moeten worden.

Hoe kan een virus nu een ING-server-valide code (TAN) genereren? Die zal je zelf, dmv SMS of papier moeten intypen.

Door HyperBart, donderdag 18 augustus 2011 14:15

Dat wordt toch ook duidelijk aangegeven in het artikel... Ik kan me goed voorstellen dat mijn buurman nog eens een verificatiecode genereert met zijn Vasco Digipass onder het mom van extra veiligheid...

En daar draait het allemaal om, zelfs mijn vader die op een bank werkt, zie ik zonder problemen bij kleinere banken nogmaals een verificatiecode geven via een Digipass'je dat hij bijna niet gebruikt...

Door Dutch2007, donderdag 18 augustus 2011 15:44

security hole: als ik bijv via paypal betaal, zal dit zonder tan/username van ING van me ing rekening afgeschreven worden.........

Door rdjnl, donderdag 18 augustus 2011 21:33

Die 'security hole' heet automatische incasso.

Door Bonez0r, vrijdag 19 augustus 2011 03:35

Maar automatische incasso kan alleen door criminelen misbruikt worden doordat je bij ING alleen username en wachtwoord nodig hebt om in te loggen. De hele tan beveiliging wordt dus omzeild omdat ING gemak boven veiligheid stelt.

Door Yezpahr, donderdag 18 augustus 2011 16:32

1. De TAN-code word naar je verzonden wanneer jij een betaling wilt verrichten.
2. Het virus wil een betaling verrichten.
3. De server verstuurt geldige TAN-code voor de gewenste transactie.

1+1=2
Ten minste, laatste keer dat ik checkte nog wel

. Of de 4de dimensie is opeens ingeslagen en dan is 1+2=4.

Door tiddo3, donderdag 18 augustus 2011 15:26

Ik denk dat je niet helemaal snapt hoe tancodes werken: Als jij via ing ov ideal een overboeking maakt, dan moet je een tancode invoeren. Dit kan op 2 manieren gebeuren: je krijgt een smsje met de code, of, als je dat van te voren heb ingesteld, krijg je een volgnummer te zien op je computer. Dat volgnummer kan je opzoeken op een papieren lijst waar de tancode achter staat.
Deze malware staa took helemaal niet op je telefoon, het wil alleen maar de tancode te zien krijgen. Of dat nou via een papiertje of via de mobiel is maakt helemaal niks uit. Sterker nog, mobiel is eigenlijk veiliger, omdat je dan meteen zou zien dat er geld wordt afgeschreven.

Door stresstak, donderdag 18 augustus 2011 22:32

Als dat op deze manier gebeurt, wordt er dus geen bedrag getoond.

De TAN code wordt gevraagd op een scherm waar ook de transactie staat.

Door R4gnax, vrijdag 19 augustus 2011 08:43

Behalve als dat scherm niet getoond wordt omdat de transactie onder de kap door een ander stuk code gestart wordt, zoals uit dit virus. Het virus doet zich kennelijk tijdens de invoer-actie voor als een extra beveiligings stap i.p.v. een geld transactie. Nogal wiedens dat daar dan geen bedragen bij staan, hè?

Door bogy, donderdag 18 augustus 2011 14:26

Kijk; in belgie met die toestelletjes zit het als volgt;

We hebben 2 modi om codes door te geven;

Modus 1; Identificaties (Knop M1)
Modus 2: Ondertekening (Knop M2)

Met knop M1 loggen we dus in op de bank, hiermee identificeren we ons en dit is de eigenlijke manier waarmee we ons bekend maken en de enige manier de gebruikt mag en kan worden om alles wat met beveiliging te maken heeft uit te voeren

met knop M2 bevestigen we onze overschrijvingen/Betalingen. Deze knop heeft géén andere functie; dus als er omwille van 'extra beveiliging' gevraagd wordt om met knop M2 een extra code door te geven dan moet er meteen een belletje gaan rinkelen dat dit niet klopt.

Tevens is de manier van werken met beide knoppen verschillend.

M1 werkt als volgt;
- Je krijgt een code voorgeschoteld die je moet intypen, je bevestigd met je PIN en krijgt dan een antwoordcode die je moet overtypen.

Met M2 gaat het wel wat anders;
- je begint met je PIN code, dan geef je de voogeschotelde code in, dan geef je het totaalbedrag in dat wordt overgemaakt (kan bv meerdere overschrijvingen tesamen zijn), en dan krijg je een antwoordcode die je moet overtypen

ik neem dus aan dat mensen die die 'extra beveiligingspopup' krijgen de M2-mode moeten gebruiken, anders kan er geen geld afgaan... het onglipt me dan wel waarom deze mensen hun gezond verstand niet gebruiken en niet even nadenken waarom ze hetzelfde doen als wanneer ze geld aan het overmaken zijn....
het is duidelijk een bewijs dat er veel te veel mensen zijn die dringen een cursus 'logisch nadenken' moeten volgen, want dan zouden ze het wel doorhebben dat ze geld aan het weggeven zijn.

Door majoh, donderdag 18 augustus 2011 15:52

Er zijn virussen in de maak die ervoor zorgen dat bepaalde elementen in je scherm vervangen worden door elementen van het virus. De virusmaker kan die doordat deze toegang heeft tot de bankieren site omdat hij zelf een rekening met token heeft. Hierdoor weet ie precies hoe het scherm opgebouwd is, en welke velden enz. gebruikt worden in de formulieren. Met deze informatie bouwt hij nep elementen die de gebruiker voor de gek houden.

Scenario:

- Gebruiker logt in, en ziet zijn internet bankieren.
- Gebruiker maakt een overboeking aan naar een bepaald rekeningnummer.
- De gegevens op het invulscherm wordt afgevangen door het virus, en het virus vult zijn eigen gegevens in.
- Het volgende scherm waar het overzicht staat van de boeking die je gaat doen laat het virus zien wat je ingetypt hebt, terwijl de bankieren applicatie eigenlijk de gegevens van de daadwerkelijke transactie terugstuurde naar de browser.
- De gebruiker ziet niets vreemds en verstuurd de transactie.
- Op het volgende scherm waar je code komt de staan vervangt het virus weer de daadwerkelijke transactie door de gegevens die de gebruiker heeft ingetypt, maar laat wel de code zien van het systeem.
- Gebruiker vult code in en bevestigd de foute transactie.

Als het virus heel grondig te werk gaat, zal hij op elke pagina in de bankieren applicatie de verkeerde gegevens laten zien, zodat de gebruiker niets doorheeft totdat de boeking echt gedaan is...

Dit is allemaal mogelijk omdat het virus alleen elementen in de HTML vervangt door iets anders, en de browser gewoon over de beveiligde verbinding gaat die goed opgezet is.

Dit is dus te voorkomen door altijd elementen van de transactie (zoals bedrag of begunstigde) op te nemen in de 'handtekening' die de gebruiker moet zetten, dan kan de gebruiker daar aan herkennen of de transactie die getoond wordt ook de transactie is die uiteindelijk gedaan wordt.

Met andere woorden de gebruiker kan zelfs door logisch nadenken er toch in trappen.

Door servies, vrijdag 19 augustus 2011 08:09

Desalniettemin zal die gebruiker nog steeds die M2 knop moeten gebruiken aangezien die M1 knop een ander algoritme/sleutel bevat/gebruikt en dus zou deze door moeten hebben dat er iets niet klopt.
Dit werkt precies hetzelfde als bij de Rabobank in Nederland.
de I knop wordt gebruikt voor het inloggen en de S wordt gebruikt voor transacties, ze zijn niet uitwisselbaar en dus zal de S ook nooit gebruikt worden voor authenticatie.
Wordt ik dus gevraagd om de S toets in te voeren voor een authenticatie dan weet ik dat het niet goed zit.

Door Oberon_Sedai, vrijdag 19 augustus 2011 12:07

"Dit is allemaal mogelijk omdat het virus alleen elementen in de HTML vervangt door iets anders, en de browser gewoon over de beveiligde verbinding gaat die goed opgezet is."

een domme vraag, maar zou het niet mogelijk zijn om een browser zodanig te maken dat verbindingen over SSL niet gemanipuleerd kunnen worden ?

Door IoorLTD, vrijdag 19 augustus 2011 15:05

jamaar.. het virus doet zijn ding lokaal....in hetzelfde OS / station waar jij die SSL verbinding mee hebt opgezet....dat zou met een andere broswer / taal toch niet uitmaken? De verbinding wordt namelijk niet gemanipuleerd.

Door BeosBeing, zondag 28 augustus 2011 15:06

Voor applicaties die we niet vertrouwen gebruiken we een sandbox, als de applicatie een virus blijkt te bevatten kan die er niet uit, dus kan gen schade doen. Voor zoiets als bankieren zou je iets soortgelijks moeten kunnen doen, dwz een sandbox waar van buitenaf niets in kan.

In ieder geval is logisch nadenken voor veel mensen niet vanzelfsprekend en is men al snel goedgelovig denkend dat de bank het wel heeft aangepast.

Door Fastman, donderdag 18 augustus 2011 15:08

Bij sommige banken werkt men op een andere manier.
Op zo'n apart bakje waar je je bankkaart in moet steken, staan er twee knoppen M1 en M2.

De M1 gebruik je voor authenticatie, terwijl de M2 gebruikt wordt voor bepaalde overschrijvingen, bijvoorbeeld als die groter zijn dan 1000 euro. Dan weet je dat je aan het overschrijven bent en niet aan het inloggen. Verder gebruikt men als pincode die je moet intypen ook een deel van het bedrag. 2583 euro, krijgt bv. een pin als 11112583.
Ook daarmee weet je dus dat je overschrijft.

Natuurlijk kan een browser ook geinfecteerd zijn. Zo kan er een groene balk getoond worden dat het SSL certificaat geldig is, terwijl dit niet het geval is. Maar dan moet er wel goed virus aan het werk zijn dat de browser op die manier kan kraken/simuleren.

Op zich is het niet moeilijk met een beetje goede wil van de bank. Na elke overschrijving (serverside), stuurt de bank gewoon een SMS naar de persoon met daarin een UNDO-code. Gebeurt er iets dat de persoon niet wil, kan hij tot 12u nadien gewoon een reply geven op de SMS en de transactie wordt geannuleerd.
Het enige minpunt is dat overschrijvingen dan altijd 12u duren vooraleer uitgevoerd te worden naar een andere bank. Maar wie heeft daar last van? Een overschrijving duurt al minimaal 1 dag, dus?

Kosten voor de bank: SMS kosten = nihil
Veiligheid = 100% op clientside niveau

Door MClaeys, donderdag 18 augustus 2011 19:19

Even pinnen in de winkel is in principe ook een overschrijving, ik hoop dat je daar dan geen UNDO sms voor krijgt, want winkels zouden niks meer verdienen

Door bogy, donderdag 18 augustus 2011 19:23

bij de belgische banken met het bakje is enkel M2 (M1 kan er totaal niet voor gebruikt worden) om over te schrijven; tenminste bij mij toch; en ik heb twee banken die het gebruiken (Argenta en Dexia); en bij beide voer je het bedrag niet met de pin samen, maar wel degelijk apart in zoals ik beschreven had.

bv; je wil 25.345 € overschrijven;
eerst moet je dus inloggen en de bank geeft code 4444 6574 op.
- je drukt op M1
hij vraagt de auth code; 44446574
hij vraagt je pincode 1234
hij geeft de auth reply 65487456; of een andere waarde als je het opnieuw probeert (bv 124024)

dan maak je de overschrijving aan, en je gaat bevestigen; je krijgt de authcode 0874 3214 mee, het totaalbedrag is 25345€
- je drukt op M2
je geeft je pin 1234 (Securecode?)
je geeft de authcode 08743214 (Data or OK?)
je geeft het bedrag 25345 (Data or OK?)
je drukt nogmaals op OK (Data or OK?)
hij geeft de auth reply 3225 7416 (of een andere als je het opnieuw probeert) die je dan moet overtypen

dat is dus trouwens ook goed om weten en was ik vorige keer vergeten te zeggen; de auth codes hebben zgn. SALT mee in de berekening; Daarom als je dezelfde codes tweemaal intypt krijg je verschillende resultaten. Hierdoor kunnen hackers de algorithmes niet zomaar terugdraaien na bv 100 berekeningen te hebben gemonitord. Anders zouden ze heel simpel na het afluisteren op den duur zelf de codes kunnen genereren zonder toedoen van de gebruiker en z'n kaart+pin+cardreader.

ik vind het nog altijd een zeer goed en veilig systeem; voor iedereen die met dit systeem zit; als er problemen zijn is het een typisch PEBCAK-incident...

Het uitstellen van betalingne met 12 uur vind ik maar niks, ik vind het nu zalig dat ik een betaling kan doen en dat het bedrag een paar minuten later bij de bestemmeling op de rekening staat (bij dezelfde bank). Bij veel banken staat het er na enkele uren al op, en sommige banken houden helaas sterk vast aan het 'valutadatum'-systeem waardoor ze een dag en soms zelfs nog twee dagen moeten wachten op hun geld (schande anno 2011!!!)
een uurtje lijkt me meer dan voldoende.. of een verwittiging per sms wanneer er een 'verdachte' transactie is gebeurd op de rekening die je nog eens moet bevestigen lijkt me meer aan de orde dan... en met 'verdacht' bedoel ik dan meer dan 60% van het totale budget (indien meer dan 1000 euro), meer dan 1000 euro (indien het geen zakelijke rekening is), etc etc etc ... een aantal parameters dus waaraan kan voldaan worden om verdacht te worden beschouwd en dus een extra bevestiging nodig heeft...

natuurlijk zal dat wel weer geld kosten, en dat betaalt, jawel, de rekeninghouder op het einde van het jaar ... dus wie wint er? de bank weeral eens

(edit; aanpassing in eerste zin gemaakt)

[Reactie gewijzigd door bogy op donderdag 18 augustus 2011 19:24]

Door High-Voltage2, donderdag 18 augustus 2011 22:10

bij de belgische banken met het bakje is enkel M2 (M1 kan er totaal niet voor gebruikt worden) om over te schrijven; tenminste bij mij toch; en ik heb twee banken die het gebruiken (Argenta en Dexia); en bij beide voer je het bedrag niet met de pin samen, maar wel degelijk apart in zoals ik beschreven had.

Bij KBC moet je M1 gebruiken voor authenticatie én voor het "tekenen" van een transactie. Eigenlijk is dat helemaal niet tekenen, en dus behoorlijk fraude gevoelig.
Heb dat lange tijd terug al aangehaald, dat zelfs eens naar hen doorgestuurd, maar geen respons... Ze zullen het waarschijnlijk beter weten, maar dat is gewoon een fundamentele fout tegen de cryptografie.

Toevallig of niet, maar KBC staat in de lijst met "slachtoffers".

Door Xubby, donderdag 18 augustus 2011 19:59

Sms is niet 100% veilig. Een paar jaar geleden is al aangetoond dat er bepaalde gsm's zijn die zich kunnen "voordoen" als een andere gsm.

Los daarvan, de gsm standaard G2 encryptie is al enige tijd gekraakt.
Een bericht met een overboek bedrag en code op zich is wel een goed idee, maar dan wel op een veiligere manier.

Door Wrecker3D, donderdag 18 augustus 2011 16:14

de bank zelf zal NOOIT naar de pincode vragen, een beveiligingsscherm als je al in gelogd bent is onzin, behalve bij overdracht van geld... of wijzigen gegevens...

Als je dus een TAN request of pincode / beveiligingscode verzoek krijgt lijkt mij dat je moet nadenken: "Maar ik heb niks ingevoerd"...

Gebruik/geef de codes dan ook nooit als je niets hebt in gevoerd/aangevragen en zet er vraagtekens bij...

Door pegagus, donderdag 18 augustus 2011 10:57

Die voer je dus gewoon zelf in. Of het virus speelt het klaar om andere informatie op het scherm te tonen dan dat naar de bank wordt verstuurd, of de slachtoffers zitten gewoon te slapen.

Door Pixeltje, donderdag 18 augustus 2011 11:10

De tijd dat elke poging om je gegevens te ontfutselen on half Nederlands en half Russisch geschreven werd is voorbij hoor. Laatst nog een poging gezien (gelukkig op tijd) waarvan de site echt een exacte kopie was van de echte, de teksten zonder spellingsfouten en de "reactie" van de site normaal.

Denk dat het een beetje voorbarig is om de gebruikers nu al te veroordelen als nog niet duidelijk hoe eea precies werkt.

[Reactie gewijzigd door Pixeltje op donderdag 18 augustus 2011 11:10]

Door LOTG, donderdag 18 augustus 2011 11:21

Op dat soort momenten check ik altijd of de SSL verbinding klopt. Ook bij paypal en dergelijke waar je vanuit andere sites naar toe gelinkt word of iDeal betalingen.

Dat is de manier om deze aanvallen te voorkomen.

Wat er bij de ING gebeurt is op deze manier niet te voorkomen denk ik, het klinkt alsof er code geinjecteerd word op het moment dat je op de ING site zit. Zeer smerige methode, maar nog steeds met een beetje common sense af te slaan.

Vooral oudere mensen die internet bankieren zijn hier heel vatbaar voor lijkt mij. Die hebben meestal al moeite met alles te volgen en zien dan ook niet zo snel in waarom het niet echt zou zijn.

Door Armageddon_2k, donderdag 18 augustus 2011 11:28

het meerendeel van de nederlander weet niet eens wat ssl betekend, laat staan waar het voor is.

Door Yzord, donderdag 18 augustus 2011 11:49

Persoonlijk vind ik dat dat probleem dus bij de bank ligt. Ze leveren een produkt zonder een normaal overzichtelijke handleiding mee te geven. Er wordt vanuit de bank gedacht dat mensen maar moeten weten wat SSL betekent en hoe ze een beveiligde verbinding kunnen herkennen.

Feit is dat internetbankieren door de strot wordt geduwd en er haast geen alternatief is. Ze zullen vast wel ergens op hun site hebben staan hoe je een beveiligde verbinding kan herkennen, maar ik pleit ervoor bij elke transactie een voorbeeld te laten zien hoe je een beveiligde verbinding kan herkennen, net zo lang totdat het de neus uit komt van de mensen en ze dus weten hoe het in elkaar steekt.

Maar dan krijg je het volgende:

[img]http://i51.tinypic.com/52m7g1.jpg[/img]

Is dit te vertrouwen? Dit krijg je als je op het slotje op Paypal klinkt. Ja er staat een naam Paypal, maar Singapore vind ik persoonlijk weer niet te vertrouwen. vroeger stond er San Jose. Dus zeg het maar...is de paypal website nu wel te vertrouwen?

Het zou dus prettig zijn als de bedrijven eens wat meer aan de klant dacht. Ze lopen miljoenen mis met al die plunderingen, dus daar kan je wel een meiske op zetten die even netjes een handleiding schrijft en een regeltje aanmaakt onder elke tan code aanvraag met daarin "hoe een beveiligde verbinding te herkennen".

Toch?

Door Cid Highwind, donderdag 18 augustus 2011 12:11

En hoeveel mensen zal uiteindelijk die handleiding lezen? Juist voor iets wat toch al degelijk is ingeburgerd zitten mensen niet te wachten op een handleiding, maar op iets wat "automatisch" goed werkt, zo moet het maar gemaakt worden is de gedachte.

Zulke verliezen door fraude horen gewoon bij de kostencalculatie, ze besparen genoeg op kantoren en personeel om zoiets op te kunnen vangen.

Los daarvan, het blijft me verbazen dat het toch hoofdzakelijk ING/Postbank telkens weer is waar de negatieve berichten met betrekking tot internetbankieren over binnen komen. Het is voor mij serieus de reden om vooral daar geen rekening te openen. Zijn zij nu eenmaal een zeer gewild doelwit door het aantal klanten (t.o.v. Rabo/ABN?), of hebben zij hun zaakjes gewoonweg nog steeds niet goed op orde?

Door k1n8fisher, donderdag 18 augustus 2011 12:29

Dit zijn nu twe berichten in korte tijd met de ING in een hoofdrol. Misschien komt dit doordat de ING makkelijker te hacken is of misschien omdat de ING meer in de openheid treedt dan de anderen.

De RABO is geloof ik de grootste bank van Nederland maar daar hoor je niet veel van. Is dat omdat zij weinig last van hacks e.d. hebben of omdat ze dit gewoon achter gesloten deuren houden?

Feit is wel dat het grootste platform het meest het doelwit is van de criminelen omdat daar nou eenmaal het meest te halen valt. Kijk maar naar het aantal virussen dat er bestaat voor het Windows platform t.o.v. andere OS-sen.
Dat is gewoon de wet van de grootste getallen.

Persoonlijk geloof ik dus niet dat Alleen de ING hier last van heeft maar misschien hebben zij de pech dat het van hen wel in de openbaarheid komt of kiezen ze misschien zelf voor die openheid. Openheid kan immers vertrouwen wekken doordat je laat zien dat je niets te verbergen hebt!

Gezien de hier gebruikte methode zou ik zeggen dat dit ook gewoon kan werken voor een RABO of ABN/AMRO rekening maar misschien dat daar nog niets van bekend is. Wie weet wat de oproep van tweakers daarin kan betekenen!

Door vlaaing peerd, donderdag 18 augustus 2011 13:09

ABN Amro grijpt meteen in, stort geld snel terug en ik vermoed dat ze zsm dat in de doofpot stoppen en zelf onderzoek plegen. ABN is de grootste bank van NL en lijkt me daarom een veel aantrekkelijker slachtoffer. Desalniettemin ljikt me hun methode wel iets veiliger als de TAN code.

@Sid
Als het gaat om je eigen fortuin dan ben je een idioot als je niet ff de handleidng doorleest. IMO moeten mensen dat gewoon doen anders verdienen ze het bijna om slachtoffer te worden. Hetgeen de gemiddelde hackrus dan ook ruimschoots van profiteert, getuige dit artikel.

Door DarkKnight, donderdag 18 augustus 2011 14:51

ING is best wel wat groter dan de Rabobank, want er zijn errug veel Postbank gebruikers (wat nu dus geïntegreerd is met ING bank zelf).
En ik betwijfel of je zo'n hack wel buiten de media kan houden. Ten minste, ik zou als Tweakers.net gebruiker, er hier ook een stuk over schrijven en kijken over er nog meer ervaringen zijn.
Maar ja, grootste platform met slechtste beveiliging (of er moet iets echt grondig veranderd zijn bij de ex-Postbank) is altijd een iets groter doelwit.

Door Yzord, donderdag 18 augustus 2011 12:49

En hoeveel mensen zal uiteindelijk die handleiding lezen? Juist voor iets wat toch al degelijk is ingeburgerd zitten mensen niet te wachten op een handleiding, maar op iets wat "automatisch" goed werkt, zo moet het maar gemaakt worden is de gedachte.

Als je tegenwoordig een tv of recorder koopt, zul je wel de handleiding erbij moeten pakken, want vergeleken met "vroeger" snap je er op het eerste gezicht er geen bal van. Daarbij gaat het om je eigen rekening met geld...daar mag je heus wel wat voorzichtiger ermee doen dan klakkeloos te denken dat het maar zo gemaakt moet worden. Elk produkt heeft zijn nukken.

Kijk, het gaat mij niet om de specifieke handleiding, maar wel om een link onder de vraag om je TAN code in te voeren hoe men snel een beveiligde verbinding kan checken. Bijv. door aan te geven dat je

ING Bank
Amsterdam, Netherlands

krijgt te zien als je op het slotje klikt. Staat dat er niet, voer dan geen TAN code in. Simpel scriptcode implementeren incl. een gevarendriekhoek en klaar zijn ze. Naar mijn idee breng je hiermee je klanten netjes op de hoogte en geef je ze nog eens les ook nog voor andere websites/shops.

Door Rubizon, donderdag 18 augustus 2011 15:15

Als je tegenwoordig een tv of recorder koopt, zul je wel de handleiding erbij moeten pakken, want vergeleken met "vroeger" snap je er op het eerste gezicht er geen bal van.

Ik weet of jij ooit een oude VHS-band recorder hebt gehad, maar je had van die gedrochten waarbij een simpele huisvader nooit met success een programma opgenomen kreeg zonder diepgaande studie van een manual van 1000 bladzijden dik.

Echter "tegenwoordig" een opname programmeren met een simpele DVD-recorder OF een programma via digitale TV opnemen gaat heel wat makkelijker. Zeker met zogenaamde "Quick guides" die tenminste de basis en veelgebruikte werking uitleggen.

Internet bankieren zou mits het kennen van de basis beveiligings procedure net zo eenvoudig moeten kunnen zijn.

Door stresskiller, donderdag 18 augustus 2011 23:41

waarom zou je tegenwoordig nog iets willen opnemen ? is er dan nog iets op tv ?

Door Herko_ter_Horst, donderdag 18 augustus 2011 22:00

Ja, en een phishing site zegt dat er dan "ING Phising, Verweggistan" moet staan om veilig te zijn. Dat gaat een doorsnee gebruiker echt niet snappen.

Door terradrone, donderdag 18 augustus 2011 13:50

Maf, het valt me nu pas op dat de Paypal inlogpagina een certificaat van Paypal uit singapore heeft, maar wanneer ik ingelogd ben het certificaat van Paypal San Jose komt. Erg raar...

Door sundace, donderdag 18 augustus 2011 11:54

dat hebben de banken met hun 1-2-3 check methode toch anders redelijk bekend gemaakt. Mss dat ze neit weten wat SSL is maar wel wat een rode/groene balk en het hangslot betekenen.

Door maxxware, donderdag 18 augustus 2011 12:15

Een groen slot wil niet altijd zeggen dat het ook het *juiste* groene slot is. De pop-up kan vane een ander domein komen met een gevalideerd SSL certificaat... 99% van de internetters heeft nauwelijks benul van internet en beveiliging, dus dat is gewoon niet te doen. Een bank - in dit geval ING - moet dus een bewezen onveilig systeem - in dit geval het TAN-code systeem - gewoon niet gebruiken.

Door xeross, donderdag 18 augustus 2011 12:54

Of ze je nou tricken om een TAN in te voeren of een code van je apparaatje met je pasje

Door furby-killer, donderdag 18 augustus 2011 15:53

En iig rabobank verteld ook elke keer als je inlogt dat je moet kijken of je inderdaad op het rabobank domein zit (niet dat dat veel uitmaakt, een phisher kan die tekst wijzigen, en als zoals hier het geval was een virus op je computer staat kan dat virus je ALLES wijs maken. Hij kan gewoon je laten zien dat je het juiste beveiligingscertificaat hebt op de juiste site.

Ik gebruik dan zelf rabobank en ben daar tevreden over, maar ook daar zou het exact hetzelfde zijn, het virus vraagt gewoon mensen de juiste code te geven, dat zouden mensen met een randomreader net zo hard kunnen doen. Waarschijnlijk is het dan nog het veiligste wanneer je in de sms met tancode meteen ook en bedrag, en rekeningnummer waarnaartoe, en rekeninghouder krijgt. Geen idee hoeveel je daarvan al krijgt, al blijft natuurlijk het probleem dat dat prima werkt met een enkele overschrijving, maar hoe doe je dat als je 100 overschrijvingen aan het bevestigen bent?

Door tinusbalpol, donderdag 18 augustus 2011 11:32

Nu moet ik zeggen dat TAN-codes via SMS in ieder geval een extra beveiligin met zich meebrengen. Daar staat in ieder geval een validatie van het bedrag in wat je wil overboeken.
Moet zeggen dat ik daar zowiezo aardig op let bij overboekingen.

Door Radiance, donderdag 18 augustus 2011 13:01

Inderdaad.
Als je een SMS met TAN code krijgt voor deze zogenaamde extra beveiliging controle waarin vervolgens staat dat je 1000 euro wilt overmaken moet er toch wel een lampje gaan branden.

Probleem is dat mensen over het algemeen snel snel snel willen handelen en dus niet lezen.
Zelfde geld voor computers en toolbars. Word m'n moeder weer pissig met de vraag hoe die zooi nou weer ineens in dr browser komt. Antwoord: Die heb je zelf geïnstalleerd omdat je zonder te lezen alleen maar next next next klikte.

Door BLACKfm, donderdag 18 augustus 2011 13:12

Antwoord: Die heb je zelf geïnstalleerd omdat je zonder te lezen alleen maar next next next klikte.

Zo herkenbaar, 'Mijn computer is zo traag bla bla bla', maak je voor hun de pc schoon met een nieuwe installatie en kom je een week later terug is het weer net zo erg.
Voornamelijk met kinderen die voor MSN allemaal tools installeren en gratis spelletjes van internet waar je allemaal toolbars mee krijgt.

Door ILUsion, donderdag 18 augustus 2011 12:48

Goh, ik denk dat het zelfs met common sense mogelijk niet al te simpel is om af te slaan, afhankelijk van hoe goed je bank alles op poten heeft (en natuurlijk voor een stuk hoe goed je oplet).

Bij BNP Paribas Fortis is het bv. zo dat je een kaartlezer hebt waarop je die TAN-code kan genereren. Nu worden er 2 soorten codes gemaakt (M1 en M2). De M1-code is om in te loggen (werkwijze: druk M1, geef de challengecode in, OK, pincode, OK) en de M2-code is om iets digitaal te ondertekenen zoals een overschrijving. Hierover doet Fortis ook niet moeilijk, als je zelf een overschrijving invult, wordt duidelijk gemaakt waarvoor alles dient, want de werkwijze is als volgt:
druk M2, pincode OK, rekeningnummer waarnaar je overschrijft OK bedrag in centen OK OK en je krijgt je handtekening. Bij ING is het een gelijkaardig scenario, alleen worden daar de toetsen duidelijk gelabeld: IDENTIFY en SIGN.

Als oplettende gebruiker zou je dus inderdaad moeten doorhebben dat er iets niet aan de haak is, maar er zullen genoeg mensen zijn die alles blindelings opvolgen omdat ze zelf de link niet leggen tussen die verschillende methodes (en dat een echte check dus volgens M1/IDENTIFY zou moeten verlopen).

Bij andere banken verliep (verloopt) het soms anders, dan kreeg je gewoon een stukje papier waarop een aantal statische codes stond waarvan je een bepaalde range moest ingegeven of het oude systeem van ING was een applicatie (zelfs beschikbaar voor Linux, wel thumbs-up daarvoor) die je sleutel bijhield. Maar dat houdt dus ook in de als je een virus hebt, dat virus gewoon rechtstreeks aan je sleutel kan (of toch als je op de site zit) en dan ben je helemaal gezien.

Door jwstolk, donderdag 18 augustus 2011 18:48

De random-reader van de Rabobank doet dit ook, de knoppen heten "I" / "S" i.p.v: M1/M2.
Bij grotere bedragen is het totaal bedrag ook een van de codes, en bij nog grotere bedragen komen er nog meer random codes bij. Wat een (Windows) virus ook op je scherm laat zien, het moet dan toch wel opvallen dat je veel codes in moet voeren, en dus een groot bedrag aan het overschrijven bent.
(Tip: Als je moet internet bankieren op iemand anders z'n PC, gebruik dan een linux live-cd.)

Door peugeot106xsi, donderdag 18 augustus 2011 11:32

Inderdaad, deze tijd is het niet moeilijk een site compleet na te maken. Met google chome kan bijvoorbeeld een complete website inclusief css en alle plaatjes met 3 muisklikken lokaal worden opgeslage. Hang er je eigen scripts achter en je heb je eigen 'nep'site die er letterlijk 1:1 hetzelfde uitziet.

Door DickCAH, donderdag 18 augustus 2011 11:49

Volgens mij is dat niet eens zo een nieuwe methode.

Vroeger, toen netscape nog een hippe browser was en HTML 4.0 nog maar in de kinderschoenen stond, kon je dit soort acties in de meeste browsers ook redelijk eenvoudig regelen. Toen werd dat iets als "webpagina lokaal opslaan" genoemd. Oke, je moest het dan vaak wel pagina voor pagina doen, maar dan had je ook gewoon alles te pakken.

Die optie is ondertussen inderdaad uit veel browsers verdwenen of in ieder geval een stuk verder weg gestopt. Waarom? Tja, tegenwoordig is off-line browsen niet meer zo in de mode, want internetverbindingen zijn een stuk betrouwbaarder geworden. Dus de noodzaak om een stukje van Wikipedia lokaal op te slaan is een stuk kleiner. Als je die informatie morgen weer nodig hebt, surf je gewoon even naar Wikipedia, ook als je ergens anders dan thuis zit.

Tja, ik heb het nog meegemaakt dat ik bij een klant binnenkwam en dat je daar dan gewoon geen internet had. Lokaal opslaan van webpagina's was dan vaak een uitkomst om toch informatie van het net bij de hand te hebben.

Door sumac, donderdag 18 augustus 2011 12:08

Tja, als je even iets verder kijkt, in Firefox kan dat gewoon met CTRL-S.

Door peugeot106xsi, donderdag 18 augustus 2011 12:24

Dat slaat alleen 1 enkel html bestand, en niet de complete website met css, plaatjes en scripts.

[Reactie gewijzigd door peugeot106xsi op donderdag 18 augustus 2011 13:05]

Door Cartman!, donderdag 18 augustus 2011 12:58

Hij slaat die pagina op incl. images/css/javascript. Niet alle pagina's maar dat is ook praktisch onmogelijk zonder spider-software.

Door pegagus, donderdag 18 augustus 2011 11:34

Ik geef dan ook twee opties.

Maar het kan bijna niet anders dan dan dat de pop-up in beeld komt, zonder dat de gebruiker daartoe actie heeft ondernomen.

Op een normale banksite krijg je echter geen pop-up te zien, maar gewoon het scherm. Het probleem met een pop-up is dat je niet zomaar het achterliggende web-adres kunt zien.

Door telenut, donderdag 18 augustus 2011 14:05

dan is die van dexia een uitzondering, daar is het ook een popup helaas..

Door RoelSadza, donderdag 18 augustus 2011 14:11

Toch raar dat het mensen niet opvalt dat er ineens een bedrag in de duizenden staat in het sms'je, bij ING staat het bedrag er namelijk altijd bij.

Door mmniet, donderdag 18 augustus 2011 10:58

jawel, die gebruiken de gebruikers in dit geval ook. blijkbaar zijn mensen bereid om hun inlogcode op te geven op de raarste momenten

Door BRAINLESS01, donderdag 18 augustus 2011 11:13

Als een banksite daar om vraagt is dat natuurlijk niet zo heel gek. 99% van de gebruikers zou daar direct op reageren, mits het er professioneel uit ziet. Een tweaker kent de gevaren en zou waarschijnlijk 2 keer nadenken, maar de gemiddelde gebruiker heeft daar geen benul van.

Door Xubby, donderdag 18 augustus 2011 11:36

Een popup bij de SNS bank voor een pincode is niet gebruikelijk: die moet je op de website zelf invullen.
Dus als je goed oplet, zou je het vreemd moeten vinden.
Maar op het moment hebben sns-ers geen last, als ik het goed lees.

Over die popup:
Misschien draait er code die in de gaten heeft dat er een bepaalde bankwebsite actief is en laat ie een popup zien na enige tijd?

Door k1n8fisher, donderdag 18 augustus 2011 12:33

Maar als je normaal geen pop-up krijgt voor de validatie van dat soort gegevens en de bank er in zijn nieuwsbrieven voor waarschuwt dat je alleen de gebruikelijke pagina's moet gebruiken........ ligt het dan niet gewoon aan de gebruiker?
Sowieso: als het virus zich op de computer van de gebruiker installeert dan ben je als gebruiker al verkeerd bezig omdat je PC niet goed is beveiligd!

Door Precision, donderdag 18 augustus 2011 11:31

Je bent ingelogd bezig met internet bankieren en plots wordt er ter extra beveiliging een extra code gevraagd. De url is echt, het ssl certificaat is echt. Ik vermoed dat het virus een soort van proxy is die geduldig wacht tot je op je banksite zit en dan code injecteert in de response van de server. Als je zoals ik bij verschillende banken zit en ze vragen allemaal op een ander moment om die codes. De procedure voor internationale/europese/nationale overschrijving verschilt soms (vooral vroeger, nu minder). Het is geen inlogcode die je geeft want je bent al ingelogd.

Door NetXtreme, donderdag 18 augustus 2011 10:58

Er staat natuurlijk wel:

... Als dat wordt bevestigd, wordt het geld afgeschreven. ...

Hoe die bevestiging word gedaan staat er niet...

Door mdma3012, donderdag 18 augustus 2011 11:05

Voor KBC en Dexia waar ik zelf klant ben kan ik zeggen dat de bevestiging dmv een kaartlezer en request/responsecode gebeurt. De gebruiker moet dus actief bevestigen.

Door Cafe Del Mar, donderdag 18 augustus 2011 11:13

Je krijgt een heel minimalistische site, met enkel volgende gegevens:
- identiteit of omschrijving aanvrager, meestal is dat een webshop die via Ogone (3D Secure) een betaling wil laten uitvoeren. De betaling gebeurt zoals een gewone overschrijving, maar omdat de handelaar (webshop) meteen van Ogone het bericht krijgt dat de transactie correct is verlopen, kan de webshop de betaling als voldaan beschouwen en meteen het product versturen/opzij houden.
- bedrag waar het om gaat
- challenge, een 8 cijferige code, die random aangemaakt wordt obv tijdstip, bedrag, .... Je kan een challenge voor transactie1 nooit gebruiken voor transactie2. Je kan bv de batterij uit zo'n kaartlezer (UCR) niet vervangen. De klok van de UCR loopt dan niet meer gelijk en elk antwoord op de challenge is verkeerd.
- een invulvak voor het antwoord op de challenge. Het antwoord verkrijg je als volgt. Je steekt uw kaart in de UCR, dan geef je aan of het voor betalingen is (M2) of voor in te loggen (M1), je geeft uw PIN-code in en nadien geef je de challenge in die je op het scherm ziet. Dan geef je het bedrag in (afhankelijk van de bank met of zonder decimalen, Dexia: geen decimalen vereist; BNP Paribas Fortis: wél decimalen vereist). Een seconde later antwoord de UCR met een 7 of 8 cijferige code die je op de site moet ingeven.
- een OK knop, waar je op klikt na het ingeven van het antwoord op de challenge

Er staan nergens banners of reclame ofzo. Je kan u nergens door laten afleiden.

Door zynex, donderdag 18 augustus 2011 12:37

Duidelijk, maar het blijft toch vooral onoplettendheid in het geval van ING.

-Je zal dit virus eerst op je pc moeten hebben staan. (Want er staat dat de systemen van ING niet gehacked zijn en er dus geen website implementatie is.)

-Statusbalk ofniet een bevestigingscode zal nooit een tancode zijn. Dat moet dus al meteen verdacht overkomen. En wat veel mensen niet weten: in de tancode staat hoeveel geld er overgeboekt wordt.

Dus als ik een 'bevestiginscode' krijg waarin staat dat 9000 euro wordt afgeschreven zou ik toch gaan opletten

(en dat bedrag kan niet naderhand verandert worden. Stel het bedrag zou verandert worden door de hackers, dan krijg je een nieuwe tan code.)

[Reactie gewijzigd door zynex op donderdag 18 augustus 2011 12:38]

Door Floor, donderdag 18 augustus 2011 13:07

Kan je dus gerust stellen dat de beveiliging middels TAN gewoon ruk is. Niet dat dit een nieuw feit is maar het is niet voor niets een systeem wat (erg) gevoelig is voor phishing.

Bij de Rabo heb je een systeem wat zich aanpast aan de hoeveelheid. Des te meer geld je overmaakt, des meer codes je voorgeschoteld krijgt. Daarbij is 1 van de codes het totale geldbedrag.

Deze aanval is goed opgezet en doordacht. Het feit dat deze zo succesvol is zou de verantwoordelijke securityofficer eens flink wakker moeten schudden. Tijd voor een andere baan.
Wanneer je als officer niet in staat bent om tegen een directie te zeggen/overtuigen dat de beveiliging niet goed is en dat dit om die reden niet geïmplementeerd wordt ben je je functie niet waardig. In een goede veilige omgeving, wat een bank in essentie toch zou moeten zijn moet de securityofficer op veiligheidsgebied de eindverantwoordelijk zijn en niet de Algemene Directie welke andere belangen heeft.

Door mjtdevries, donderdag 18 augustus 2011 13:31

Dat Rabo systeem is net zo ruk want als de gebruiker nergens naar kijkt en gewoon met verstand totaal op nul overal maar op ok gaat drukken dan werkt dit ook bij Rabo.

Als je alle instructies van de bank negeert dan is geen enkel systeem veilig.

Door furby-killer, donderdag 18 augustus 2011 16:02

Blijkbaar krijg je bij de ING altijd een SMS'je met het totale bedrag, bij de rabo alleen als het boven een bepaalde waarde uitkomt, dus een virus kan altijd nog onder dat bedrag blijven zitten en dan is het minder beveiligt dan de ING, en als het erboven uitkomt is het gelijk.

Oftewel als je zon virus voor rabo hebt, die gewoon netjes wacht totdat je zelf gaat internetbankieren en daarbij een extra overboeking toevoegd zonder dat je boven het minimum bedrag uitkomt om het bedrag in te moeten tikken zul je helemaal niks merken als rabo klant, terwijl bij de ING het in je SMS'je staat.

Maar zelfs als je gewoon het bedrag moet intikken, bedenk wel dat dat virus complete controle over je computer kan hebben. Dus ipv dat er staat: "Tik nu het tweede controle getal in, dit is het totale bedrag" (of iets soortgelijks), kan dat virus gewoon neerzetten: "Tik nu 7167 in, dit is een willekeurig gegenereerd controle getal voor extra beveiliging". En daar ging je bankrekening.

In andere woorden, ook de rabo is hier niet tegen beveiligd. Beste manier voor beveiliging die ik me hierbij nog kan voorstellen is dat je een SMS'je krijgt met een code waarin meteen ook alle overboekingen die je gaat doen staan. Al dan nog steeds als het virus gewoon een creatieve naam aan de overboeking meegeven zullen genoeg mensen alsnog gewoon de code invoeren.

Door Cyw00d, donderdag 18 augustus 2011 10:58

Kijk op onderstaande website en druk op PC banking en dan Veiligheid boven alles.

https://www.bnpparibasfortis.be/portal/start.asp

Veiligheid boven alles
3 pijlers voor veilig bankieren via internet:
Een beveiligde verbinding.
U krijgt enkel toegang tot uw bankgegevens met uw bankkaart, pincode en uw kaartlezer of uw digipass.
Verantwoord gebruik: deel uw geheime code aan niemand mee, zorg voor een goede antivirus en firewall die u regelmatig bijwerkt,...

Door airell, donderdag 18 augustus 2011 11:27

Is in de virus popup wel of geen url of status balk te zien? Dan is het lastig een beveiligde verbinding te checken.

Anders voldoe je volledig aan de 3 pijlers die je beschrijft volgens mij.

Door TD-er, donderdag 18 augustus 2011 11:33

zorg voor een goede antivirus en firewall die u regelmatig bijwerkt,...

Heel verstandige adviezen, maar hoeveel mensen weten uberhaupt dat er verschillende virusscanners zijn en hoeveel van die mensen snapt een firewall?
Norton antivirus wordt nog wel eens meegeleverd met een nieuwe PC, maar daar moet na verloop van tijd voor betaald worden.
"Waarom zou ik betalen, ik heb toch een antivirus erop staan?"
"He irritante vraag waar ik niets van snap, zal wel goed zijn, toestaan... en verder"

En de correspondentie van banken en vorige week ook de site van de ING zijn ook niet echt voorbeelden van hoe het wel moet.

Zolang zowel de bedrijven en banken de veiligheid niet serieuzer nemen dan zo'n nietszeggend zinnetje en de gemiddelde burger amper weet hoe de muis bediend moet worden, zie ik nog wel veel meer van dit soort problemen voorbij komen.

Door cire, donderdag 18 augustus 2011 19:28

Hmm, hoe zouden de banken het wel moeten doen dan? Je gelooft toch zeker niet dat als ze een uitgebreide technische handleiding publiseren, mensen het wel lezen!?

Voor zover ik kan het hier kan zien heeft het weinig met de beveiling van ING te maken. Mensen krijgen een SMS waar het bedrag in staat nota bene. Als mensen gewoon verder gaan, kunnen de banken natuurlijk weinig meer doen...

Door Squ1zZy, donderdag 18 augustus 2011 11:00

Ik vraag me ook af hoe ze dit gedaan hebben.

"Als dat wordt bevestigd, wordt het geld afgeschreven."

Misschien wordt er met "bevestigd" dat mensen hun gegevens invullen?

Waar komt die pop-up vandaan? Vanaf een browser? Of een executable?
Ik verwacht dat de machines die zijn geinfecteerd geen virusscanner of ander software heeft draaien.

Lijkt mij dat ze de "simpele" gebruiker hebben gepakt en geen "Tweakers"

Het orginele artikel is in het frans helaas. Ik vraag me af welke techniek hier gebruikt is.

Door jan-willem3, donderdag 18 augustus 2011 11:36

Ik kan het natuurlijk niet met zekerheid zeggen maar ik verwacht het volgende:

-Het virus vraagt toestemming om in te loggen bij de bank (Maar de gebruiker heeft dit niet door).
-Daarom komt er vervolgens een popup met een nepsite. Waar de code word gevraagd en de andere bank gegevens die nodig zijn om in te loggen. Met als reden dat het voor extra beveiliging is, wat natuurlijk niet waar is.
-Daarna worden de gegevens doorgestuurd naar het virus (of de makers ervan) die vervolgens inlogt en het geld overmaakt.

Het bovenstaande moet dan uiteraard snel gebeuren. Want na te lang wachten verloopt natuurlijk de mogelijkheid om te inloggen.

Door het gebruik maken van deze methode maakt het ip adres ook niet uit want het ip van de aanvraag kan het zelfde zijn als het ip dat het verstuurd.

Het kan natuurlijk ook zijn dat ze gewoon een aanvraag voor overschrijving hebben gedaan in plaats van inloggen maar dat maakt verder natuurlijk niets uit. De methode blijft het zelfde.

[Reactie gewijzigd door jan-willem3 op donderdag 18 augustus 2011 11:43]

Door gjvdree, donderdag 18 augustus 2011 11:37

Zou natuurlijk een plugin in de browser kunnen zijn. De browser heeft een beveiligde verbinding, en de popup leest dan de bron van de pagina uit. Is volgens mij vrij simpel. Plugin vraagt een nieuwe tancode aan ing, gebruiker kijgt sms, plugin vraagt om tancode. Voila, hoeft de plugin alleen nog even een transactie maken.
Kost me ongeveer een dag om zoiets te maken.

Door Ravefiend, donderdag 18 augustus 2011 11:01

We maken inderdaad wel gebruik van een Digipass waarmee je een bevestigingscode moeten genereren (met je pinpas) ter bevestiging van geld transfers. Voor zover ik de nieuwsberichten heb begrepen, opent het virus een popup browser window waarin het vraagt om een bevestigingscode te genereren terwijl je bv. enkel maar naar je saldo aan te turen bent. Daarmee geef je het virus de toestemming om het geld bedrag over te schrijven, zonder je er zelf bewust van bent.

[Reactie gewijzigd door Ravefiend op donderdag 18 augustus 2011 11:01]

Door Kevinp, donderdag 18 augustus 2011 11:12

Iedereen die dat doet is natuurlijk ook niet handig geweest. Ik bedoel ik betaal alleen als ik dat verwacht. Niet als dat random komt.

Als ik een ideaal link stuur dan maak je dat toch ook niet klakkeloos over (sommige dus blijkbaar wel).

Door WaRSTeaM, donderdag 18 augustus 2011 11:29

Wel even goed de post lezen waar je op antwoord hè! (En evt bovenstaande posts)

Ik lees toch echt duidelijk dat er een pop-up verschijnt waarin ALLEEN gevraagd wordt om de code die in de pop-up staat middels je UCR te bevestigen. Er staat dus niks van een bedrag/ontvanger/ect in!

Weet het niet zeker maar als ik het goed begrijp wordt er aangegeven dat dit nodig is i.v.m. extra beveiliging.

Dus:
Je bent al inglogd op internetbankieren. Of je nu wat aan het doen bent of gewoon lekker naar je saldo aan het kijken bent, er verschijnt gewoon een pop-up met de vraag om de code in je UCR in te voeren en de response in de pop-up in te geven. Dit is nodig i.v.m. extra beveiliging. Meer ziet een gebruiker niet en meer hoeft een gebruiker niet te doen.

Dat er dan vervolgens achter de schermen een transactie is aangemaakt en deze alleen nog maar bevestigd hoeft te worden ontgaat geheel aan de gebruiker.

Ik kan best begrijpen dat als je een pop-up krijgt van je bank (Waarschijnlijk een pop-up zonder adresbalk zodat je de URL niet kunt zien) en deze in exact de zelfde huisstijl als je bank is gemaakt onder het mom van extra beveiliging, welke dan ook nog eens ALLEEN naar voren komt op het moment dat je al ingelogd bent op internetbankieren, dat er huis tuin en keuken gebruikers er op vertrouwen dat dat bank de code nodig heeft voor de extra beveiliging.

Door Kevinp, donderdag 18 augustus 2011 11:58

Maar mijn "send" code (zit bij de Rabobank verschil in) typ ik dus gewoon niet in tenzij ik het verwacht.

Ik weet dus niet hoe dat bij andere banken is. Maar als je met je "inlog" kan versturen dan moet er snel iets aangepast worden.

Door redstorm, donderdag 18 augustus 2011 12:19

Helaas zijn er een hoop Nederlanders die of niet vaak internetbankieren of eigenlijk lukraak de instructies op het scherm volgen (1. toets rek nummer in, 2. toets pasnummer, 3. druk op S en vul 1234 5678 in etc..)

Eigenlijk zou er een grote sticker achter op de randomreader moeten staan met een groot uitroepteken en de tekst "Gebruik de S knop alleen als u geld wilt overmaken".
Of misschien handig om een beknopte handleiding erbij te geven.

Door Niosus, donderdag 18 augustus 2011 11:02

Ja. Er wordt gewerkt met een soort van kaartlezer waarbij je voort transacties je pin, het bedrag en nog een paar andere codes moet ingeven. Volgens mij zijn er dus mensen die gewoon een overschrijving hebben gedaan volgens de normale weg zonder ook maar 10 seconden stil te staan waarom of waar hun geld heen gaat. Volgens de banken is hun systeem niet gekraakt dus de slachtoffers moeten wel fysiek hun kaart in de lezer hebben gestoken en de stappen gevolgd.

Het ziet er naar uit dat dit gewoon komt door domme gebruikers.. een virus dat dit doet kan ik ook schrijven op een halve dag.

Door GAIAjohan, donderdag 18 augustus 2011 11:09

Klinkt als de voor de nederlanders bekende Raboreader.
http://www.onzestem.eu/wp...ds/2011/07/raboreader.jpg

De I-knop is voor inloggen op de website.
Na inloggen op kastje via je pin, krijg je een code te zien je moet invoeren op de pc (+ banknummer + kaartnummer). -> ingelogd

De S-knop is voor het signeren van een betaling.
Na het indrukken vandeze moet je je PIN ingeven, dan de code die op website staat invullen in de reader. Dan krijg je een nieuwe code terug die je op de website moet invullen

ABN gebruikt ook zo'n ding, en ING doet met SMS geloof ik.

[Reactie gewijzigd door GAIAjohan op donderdag 18 augustus 2011 11:13]

Door 108886, donderdag 18 augustus 2011 11:49

Maar als je weet dat deze Vasco-security bakjes eigenlijk bij elke bank hetzelfde zijn, is die extra beveiliging ook niet zo extreem...

Je kan dus een ing/argenta/kbc/fortis/... bakje gebruiken om hetzelfde effect te bereiken bij eender welke bank.

Door varkenspester, donderdag 18 augustus 2011 13:37

Je hebt ook je originele bankkaart nodig en je originele pincode van die bankkaart (de bankkaart moet je in het apparaat steken)

Door worldcitizen, donderdag 18 augustus 2011 13:45

Je kan dus een ing/argenta/kbc/fortis/... bakje gebruiken om hetzelfde effect te bereiken bij eender welke bank.

Heb je dit geprobeerd of blaat je maar wat?
Zo juist getest. Een Rabobank kaart werkt niet in een ABN AMRO reader.

Ik neem dat dit voor alle banken geldt. Als de hardware en software gelijk zijn hoeven de key en of certificaten niet gelijk te zijn.

Maar als je weet dat deze Vasco-security bakjes eigenlijk bij elke bank hetzelfde zijn, is die extra beveiliging ook niet zo extreem...

Dit soort "security bakjes" zijn een stuk veiliger dan een username/password en een TAN code die je via je mobieltje binnen krijgt. Het bewijs staat ook weet in dit artikel.
Een mobieltje is in het algemeen niet een device waar mensen heel erg zorgvuldig mee omgaan. Zeker als je dit vergelijkt met een bankpas en hun pincode.
Met een geetje geluk staat de username en password ook no opgeslagen op de telefoon.

IMO zou de Nederlandse dank de TAM code moeten verbieden.
De CEO's van de ING zouden er IMO beter aan doen om hun bonussen aan vernieuwing te besteden i.p.v. in hun eigen zak te steken.

[Reactie gewijzigd door worldcitizen op donderdag 18 augustus 2011 17:36]

Door skoj, donderdag 18 augustus 2011 14:32

Ik kan met de kaartlezer van Dexia of Bpost zonder problemen inloggen bij BNP Paribas Fortis. Het enige wat verschilt is de bedrukking. Mij lijkt het niet slecht dat men allen samenwerkt via Vasco aan 1 beveiligd hardware systeem. Geen idee of ze dit werkelijk doen.

Zoals eerder vermeld heb je nog steeds je login, kaart en pincode nodig. De kaartlezer is op die manier niet minder veilig dan een bankautomaat zonder cameratoezicht.

[Reactie gewijzigd door skoj op donderdag 18 augustus 2011 14:44]

Door Wim-Bart, donderdag 18 augustus 2011 15:10

[...]

Heb je dit geprobeert of blaat je maar wat?
Zo juist getest. Een Rabobank kaart werkt niet in een ABN AMRO reader.

[...]

ABN AMRO kaarten werken wel in een Rabo Reader. Paar maanden geleden nog getest met Office Net van ABN AMRO. Sterker nog, de readers van ABN en RABO zagen er het zelfde uit.

Door varkenspester, donderdag 18 augustus 2011 15:20

Je kan in Belgie elke digireader gebruiken bij elke bank (en ja ik doe dit regelmatig: fortis lezer voor argenta bvb),

wél moet je natuurlijk wel de bankkaart en pincode van de betreffende bank gebruiken.

Door Dutch2007, donderdag 18 augustus 2011 16:59

username en/of pw staat niet vermeld in het bericht van de TAN code.. alleen bedrag & TAN & TAN nummer

bericht is in de trend van:

Let op: geef nooit uw TAN-code af. ING zal hier nooit om vragen. Totaalbedrag iDEAL transactie E xx,xx. Volgnummer xxx, tan-code xxxxxx

Door cire, donderdag 18 augustus 2011 19:34

De 'bakjes' (readers) zijn in veel gevallen inderdaad uitwisselbaar. De echte beveiliging zit dan ook in je bankpas en niet in de 'reader'.

Als je weet hoe het werkt, kun je het zelf programmeren en heb je niet eens zo'n reader nodig.

Voor meer info: http://en.wikipedia.org/wiki/Chip_Authentication_Program

Door sundace, donderdag 18 augustus 2011 11:56

Alleen weet je op het moment dat je de S moet gebruiken altijd dat het om een transactie gaat. Als het om extra beveiliging gaat wordt bij de rabo altijd de I code gebruikt om te surfen (of als je de site te lang open hebt en niets doet)

Door Rinzwind, donderdag 18 augustus 2011 12:24

En de rabo vraagt ook om het bedrag in te typen bij transactie op je digireader. Ze mogen wel beter waarschuwen voor 'vreemd' gedrag. Cq Let op de S is voor transactie...

Door Wim-Bart, donderdag 18 augustus 2011 15:07

....

ABN gebruikt ook zo'n ding, en ING doet met SMS geloof ik.

ING heeft of SMS of via TAN lijst.

Zelf gebruik ik TAN lijst omdat bij SMS je altijd kan afvragen wie de SMS getriggerd heeft. Daarnaast geeft ik altijd per definitie eerst een foute TAN code in, gevolgd door de goede (2e poging). Maar dat is een tik van me, doe ik met inloggen ook. Soms direct goede wachtwoord, soms bewust 1e en/of 2e wachtwoord fout.

Door varkenspester, donderdag 18 augustus 2011 13:36

In Belgie werken alle banken (althans toch zeker KBC, Fortis en Argenta) met een appartaatje waarin je je bankkaart moet steken, je een code moet ingeven , vervolgens je pincode moet opgeven en een nieuwe code moet overtypen op het scherm.
Zonder interactie met de gebruiker is een overschrijving dan ook niet mogelijk.

Door westergas, donderdag 18 augustus 2011 15:19

Door Martux, donderdag 18 augustus 2011 10:56

Door schumiintel, donderdag 18 augustus 2011 10:57

Door Bal0n, donderdag 18 augustus 2011 10:58

ik neem aan dat het geld naar een rekening is geboekt. En die rekening zou toch op een naam van iets of iemand moeten staan, in ieder geval zou daar mee de locatie (binnen of buiten België) mee te bepalen moeten zijn.

Informatie die toch redelijk simpel te achterhalen is voor de banken, jammer dat die niet vrij is gegeven. Maar het zal ongetwijfeld te maken hebben met het onderzoek wat eraan vast is geknoopt..

Door Iftert, donderdag 18 augustus 2011 11:01

Dat denk ik dus ook als ik dit soort dingen lees.Maar als ze het overschijven naar een land die nog een bankgeheim heeft. of gewoon waar totaal geen kijk op dit soort dingen is.

Het blijft een moeilijk verhaal. Hoop dat ze hier snel een oplossing voor vinden.

Door primanocte, donderdag 18 augustus 2011 11:04

voor zover ik weet kunnen ze maar 1 stap kijken.. dus het wordt geboekt naar rekening 1 -> de bank kan er nog bij. Het wordt gelijk overgeboekt naar rekening 2 -> de bank heeft pech .. geld weg..

Door Rainlife, donderdag 18 augustus 2011 11:12

Dan nog, dan zouden ze via het gerecht nog kunnen inzage krijgen in rekening 2 en die transactie en dan merken ze dat er nog een rekening 3 is en ... dat wordt allemaal nog eens moeilijker gemaakt door via verschillende landen waar de samenwerking niet 100% mee is te gaan en na lang zoeken komen ze tenslotte uit op een rekening die ondertussen al opgeheven is en loopt hun spoor dood. ALS ze al tot daar raken.

Door Het.Draakje, donderdag 18 augustus 2011 11:16

Ze maken gebruik van zombies. Mensen die wat willen bijverdienen door hun bankrekeningnummer even uit te lenen aan (on)bekenden.

Is best een goede deal: leen mij je banktoegang voor één uur, krijg je 50 euro van mij.
Ik boek dan meteen een kwart miljoen erop en haal het er meteen weer af (overboeking naar zuid-amerika o.i.d.).

(Uiteraard komt de bank daarna bij jou voor terugbetaling van die 250.000, maar dat vertel ik jou niet., dat is jouw probleem)

Door Daeron, donderdag 18 augustus 2011 11:11

Als die bankrekening zich in het oostblok ofzo bevindt kun je fluiten naar die info. Ze zijn daar corrupt genoeg om voor een paar euro die info lekker geheim te houden.

Door Cafe Del Mar, donderdag 18 augustus 2011 11:30

Als het een Europese bank is, bereikbaar binnen de SEPA-zone, is de bank (van de bestemmeling) aansprakelijk voor de uitgevoerde fraude. Tot 13 maanden na datum kan je een claim indienen via uw eigen bank.
Als de bank van de bestemmeling hier niet aan voldoet, verliest ze de mogelijkheid om bank te spelen.
Enerzijds is er de lokale toezichthouder, maar als je die nog niet vertrouwt in "corrupte oostblok landen", dan is er nog altijd de clearing.
Clearing wordt op Europees niveau geregeld. En het is heel simpel: als je geen toegang hebt (direct of indirect, subparticipant) tot een Europees clearing en settlement mechanisme, besta je als bank de facto niet.

Voorbeeld van clearing is Euroclear.

Door bvk, donderdag 18 augustus 2011 19:00

Juist en vergeet ook de Swift organisatie niet! Je kunt zo tracen naar welke bank het uiteindelijk toe gegaan is en als die bank niet meewerkt lopen ze natuurlijk kans hun Swift aansluiting te verliezen. En zonder actieve BIC ben je als bank niets meer...

Door Iblies, donderdag 18 augustus 2011 11:12

Ze kunnen gebruik maken van 'ezels'. Mensen die hun rekening ter beschikking stellen om daar een bedrag op te laten storten. Deze beseffen vaak niet dat ze verantwoordelijk kunnen worden gesteld en/of op een black list kunnen worden gezet.

Ook kun je vrij eenvoudig gebruik maken van internationale rekeningen. Je zult verbaasd hoeveel banken internetbankieren aanbieden terwijl je in de veronderstelling bent dat het een derde-wereld land is.
En daar duren de verzoeken voor informatie wat langer. Er bestaat niet een bank die staat te springen om informatie van clientèle zomaar te verspreiden.

Door Dakdoef, donderdag 18 augustus 2011 11:22

ik neem aan dat het geld naar een rekening is geboekt. En die rekening zou toch op een naam van iets of iemand moeten staan, in ieder geval zou daar mee de locatie (binnen of buiten België) mee te bepalen moeten zijn.

Informatie die toch redelijk simpel te achterhalen is voor de banken, jammer dat die niet vrij is gegeven. Maar het zal ongetwijfeld te maken hebben met het onderzoek wat eraan vast is geknoopt..

Jammer dat het waarschijnlijk binnen no time naar twintig verschillende rekeningen is doorgesluisd en daarna binnen een dag weer verschillende keren verplaatst. Vaak vage rekeningen op de kaaimaneilanden of trinidad en tobago. Nooit meer te achterhalen waar het nu gebleven is.

Door kKaltUu, donderdag 18 augustus 2011 12:18

Ik heb 2 klanten gehad die dit (beiden met ING rekeningen) hebben gehad.
De eerste was 45 duizend kwijt, dit was naar een rekening in Boedapest overgeschreven. De tweede klant is 5 duizend kwijt en dat ging naar een Rek. Nr. in China.

Deze incidenten hebben 2 ~ 3 weken geleden plaatsgevonden , en het onderzoek van de bank is pas begonnen.
Zelf heb ik er weinig hoop in, aangezien de rekeningen hoogstwaarschijnlijk van katvangers zijn.

Een ander ding is, het virus wat in een van de PC's zit is niet op te schonen.
Als ik het netwerkverkeer sniff zie ik nog vreemde requests uitgaan die gewoonweg niet horen. AVG en MBAM kunnen de infectie niet zien/opschonen.

Door CaineTanathos, vrijdag 19 augustus 2011 11:33

je kan misschien met lspfix eens checken of er niets in de winsock settings is gekropen:
http://www.cexx.org/lspfix.htm

het kan ook een rootkit zijn. Of een soort van lokaal webserverke . de browser heeft dan bij de proxy-instellingen 127.0.0.1 staan

Door Electromonkey, donderdag 18 augustus 2011 10:59

Toevallig heeft mijn zwager dit 3 weken geleden ook gehad, gewoon in Nederland weliswaar. Hij zat op de home pagina van zijn ING, er verscheen een pop-up met een bericht over een digitale handtekening. Vervolgens kreeg hij een TAN-code via sms. Het geld werd overgemaakt naar een buitenlandse rekening. ING bood opvallend snel excuus en het geld stond er na 1 weekje weer op. Moet er wel bij vermelden dat hij dit op een laptopje deed met windows XP en geen virusscanner. Dit kan natuurlijk de oorzaak zijn, maar een virus dat pop-up veroorzaakt in de stijl van ING?

[Reactie gewijzigd door Electromonkey op donderdag 18 augustus 2011 11:03]

Door Senor Sjon, donderdag 18 augustus 2011 11:14

Ik heb dit ook gehad, ondanks het bezoeken van geen gekke sites en een up-to-date XP/McAfee/Firefox.

Om te herkennen: de sites waar je normaal op ingelogd bent zoals tweakers onthouden je personalia opeens niet meer bij afsluiten browser. Het inlogscherm van ING had wel https in de URL, maar geen certificaat toen ik het later controleerde. Toen ik inlogde kreeg ik een "bevestigingsscherm" met het verzoek een TAN in te voeren. Het SMSje gaf braaf aan of ik ff 2010 euro wilde overboeken. Alle signalen op rood en gelijk afgesloten. McAfee nogmaals laten scannen; vond niets. De cleaner van ING had hem binnen 3 tellen (root van C:\).

Broncode gaf maar één verwijzing naar een andere niet-ING site.

Vertrouwen in McAfee heeft wel een grote deuk opgelopen hierdoor.

Door Electromonkey, donderdag 18 augustus 2011 11:16

Pfff ja ik vind dit geen goede ontwikkeling..het betekend dat ze in principe gewoon kunnen zien wat je saldo is etc. Ook al zullen ze niks interessants zien, het is en blijft strikt persoonlijk.

Door himlims_, donderdag 18 augustus 2011 11:22

Als tweaker weet je dat je ook niet blindelings in McAfee moet vertrouwen

+

meest pauper virus-scanner (cq system-resource-destroyer) die men kan installeren is die van McAffee.

En voor zo veilig mogelijk telebankieren; via een Virtual Machine!

Door joppe.s, donderdag 18 augustus 2011 13:14

@himlims, ik denk dat je gelijk hebt, een virtual machine zou in theorie een behoorlijk stuk veiliger zijn. Dit is ook de eerste phishing situatie waarbij ik denk dat ik er zelf ook nog wel in zou trappen.

Als je tijd hebt, zou je dan willen delen welke software jij daarvoor gebruikt en wat de meest gebruiksvriendelijke methode is voor de normale mensch om dit te gebruiken?

Dit is een serieuze vraag, ik denk dat veel tweakers zelf nu ook zitten te denken dat het hun ook zou kunnen overkomen, daarnaast heeft iedereen familieleden die sowieso vatbaar zijn voor dit soort virussen, laat staan dat ze virtual machines gebruiken. Ik heb zelf helaas de kennis niet om dit zelf op te zetten, ik heb in een grijs verleden wel eens Virtualbox gebruikt, maar ik kreeg niet eens de copy/paste functie aan de praat (shame)

Dus concreet: is er een tweaker(bijv. himlims maar mag ook iemand anders) die een makkelijke methode heeft om via een virtual machine te telebankieren? zou deze tweaker dit dan in de vorm van een handleiding hier willen posten? en de Tweakers redactie zou dan dmv een update aan dit artikel kunnen linken naar deze handleiding.

Het zou veel veiliger zijn als iedereen zou telebankieren in een virtual machine die daarna weer kan worden opgeheven.

Door DeadLock, donderdag 18 augustus 2011 18:20

Hiervoor kan simpelweg gebruik gemaakt worden van virtualisatiesoftware zoals VirtualBox, VMWare player, ... Het meest veilige is om vervolgens de meest recente live cd van bijvoorbeeld ubuntu te gebruiken, booten van deze ISO en vervolgens met firefox de website van je bank bezoeken om de nodige overschrijvingen uit te voeren.

Het voordeel van het gebruik van een linux live cd is dat er simpelweg veel minder linux-virussen zijn (als die er al zijn). Ook zorgt de live cd ervoor dat er geen gemene dingen blijven hangen na het surfen. Het enigste nadeel van deze aanpak is dat je mogelijk een ietwat verouderde versie van bv firefox gebruikt, die dan weer lekken kan bevatten. Echter lijkt me de kans op misbruik op deze manier erg klein.

Bij (kbc) heb ik nog nooit de M2 knop gebruikt, ook niet voor het bevestigen van de betaling. Zowel het inloggen als het bevestigen kan met de M1 knop gebeuren, vreemd? Een erg vernuftig virus, ik denk dat de kans groot is dat je het (zelfs) als tweaker niet door hebt.

[Reactie gewijzigd door DeadLock op donderdag 18 augustus 2011 18:20]

Door CaineTanathos, vrijdag 19 augustus 2011 11:21

De M2 knop wordt bij KBC gebruikt bij grote bedragen , ik denk vanaf 5000 euro ofzo

Door Rinzwind, donderdag 18 augustus 2011 12:28

Maar je zegt wel dat er genoemd wordt dat er een bedrag overgeschreven wordt in de sms... beetje dom van gebruiker om braaf dat nr in te voeren.

Door serhat, donderdag 18 augustus 2011 11:15

Dit kan natuurlijk de oorzaak zijn, maar een virus dat pop-up veroorzaakt in de stijl van ING?

Dit kan prima. Als je wilt kan je het helemaal makkelijk doen en de CSS/HTML van de ING site plukken en aanpassen. Er zijn genoeg manieren om een soort van embedded browser in je app te gebruiken.

Door gjvdree, donderdag 18 augustus 2011 11:38

addin in je browser

Door Remus, donderdag 18 augustus 2011 11:19

In de SMS van ING staat ook het bedrag van de transactie vermeldt. Ik vind het opvallend dat dan geen alarmbellen afgaan bij je zwager.

Door Electromonkey, donderdag 18 augustus 2011 11:21

Ja dit klopt, hij kon zichzelf ook voor zijn kop slaan. Hij zag het uiterlijk van ing kreeg een sms met tan-code, dit vertrouwde hij en blindelings heeft hij dit ingevuld. Dit is denk ik typerend voor mensen die 0% verstand hebben van html en/of internet oplichting.

[Reactie gewijzigd door Electromonkey op donderdag 18 augustus 2011 11:22]

Door Lucky-Shirt, donderdag 18 augustus 2011 11:23

Maar bij die SMS voor je tancode, wordt ook het bedrag vermeld. Ik controleer zelf altijd dit bedrag en het volgnummer. Ik naam aan dat je niet die tancode in gaat geven, als daardoor 90% van je saldo naar een vreemd rekeningnummer wordt overgeschreven.

Een goed oplettende gebruiker kan dit imo nog steeds prima voorkomen.

Door MClaeys, donderdag 18 augustus 2011 11:26

Uiteraard lijkt de stijl van de popup op ING, het zou anders nogal opvallen. Dan nog moet je geen handtekening gaan ingeven op een random moment. Ik heb een beetje de indruk dat dezelfde mensen hierin trappen als de mensen die in phishing mails stappen. Altijd leuk als mensen hun systeem niet beveiligen omdat ze zichzelf slim genoeg vinden en toch nooit virussen krijgen (denken ze), en als er dan iets misloopt gaan ze zitten zeuren en klagen. Er zijn genoeg gratis antivirus-programma's, dus geld is al geen excuus om het niet te doen.

Door hardware-lover, donderdag 18 augustus 2011 12:02

Verschillende maanden geleden zeker met de voorloper van het virus te maken gehad? Ik kreeg de betreffende PC thuis voor een schoonmaakbeurt waarbij de eigenaar ook niet goed had opgelet bij het overmaken van een klein bedrag (< 10 euro) er was echter, zag hij pas dagen later, 8000 euro van zijn rekening afgeschreven. Die afgeschreven 8000 euro was namelijk niet direct zichtbaar als transactie op zijn rekening_overzicht. Hij had natuurlijk een sms ontvangen waarin het bedrag correct (8000) vermeld stond maar had enkel naar de TAN code gekeken. Ja ik weet het, slordig, maar hij had eenvoudigweg niet naar het bedrag gekeken. Zijn geld heeft hij na maanden touwtrekken met ING gelukkig weer teruggekregen en hij zal in het vervolg wel 3 keer kijken welk bedrag hij daadwerkelijk over gaat schrijven.

De grootste misser in de beveiliging van ING via TAN codes vind ik dat het er maar één is. Waarom geen 2 codes bij grotere bedragen? Bij Rabobank wordt bij grotere bedragen een extra code gevraagd waarin het bedrag zelf opgegeven moet worden. Dan wordt je automatisch getriggerd bij dit soort vervelende zaken.

edit reden: typo's

[Reactie gewijzigd door hardware-lover op donderdag 18 augustus 2011 14:00]

Door MClaeys, donderdag 18 augustus 2011 13:40

Bij Fortis moet je ook bij het 2e deel van de transactie zowel het bedrag als het rekeningnummer van de begunstigde in je kaartlezer intypen, aan de hand daarvan genereert het een handtekening. Als je het als gebruiker op dat moment nog niet doorhebt dan vraag ik me af of je wel met pc-banking bezig zou moeten zijn.

Door TagForce, donderdag 18 augustus 2011 16:59

Bij de TAN code staat het bedrag gewoon in het SMSje...

Die moet je ook gewoon lezen.
Je kan wel 35000 keer een code in moeten typen voor de beveiliging, maar dat maakt het niet veiliger, alleen irritanter.

De rabo is minder veilig dan de TAN-code.
Daar hoef je namelijk alleen maar iemands handtas te jatten om de hele rekening te kunnen plunderen. Je hebt namelijk alleen maar het pasje en de reader nodig om in te kunnen loggen...

Bij de ING heb je nog een persoonlijke inlog en wachtwoord die in je hoofd hoort te zitten. Die hebben ze dan niet.

Door cire, donderdag 18 augustus 2011 19:38

Bij de rabo (en andere) heb je ook nog de PIN code nodig. Die zit als het goed is niet in de handtas...

Door Jarno, donderdag 18 augustus 2011 10:59

Maar voor die tijd is het al naar vele andere rekeningen geboekt natuurlijk. En is het geld waarschijnlijk al spoorloos.

[Reactie gewijzigd door Jarno op donderdag 18 augustus 2011 11:00]

Door rob12424, donderdag 18 augustus 2011 11:00

En je hoeft nergens een code in te voegen?? (das erg raar)

Ze kunnen toch zien waar het bedrag naar toe wordt geschreven? Kan die dan niet geblokeerd worden?

De titel wekt de argwaan dat het virus in de computers van de banken zelf zit terwijl de zwakste schakel (zoals meestal) de klant thuis met zijn pc is!?

Door HardBaLLz, donderdag 18 augustus 2011 11:01

"Het virus werkt met een popup op het scherm, die de gebruiker vraagt om een transactie te plegen. Als dat wordt bevestigd, wordt het geld afgeschreven."
Als je een popup krijgt waarbij je wordt gevraagd om een transactie te doen, waar je niet om heb gevraagd dan gaat er toch wel een lampje branden dat het niet helemaal pluis is?

Door Stefandepefan, donderdag 18 augustus 2011 11:24

Misschien denken de meeste mensen dat het geen virus/bug is maar een nieuwe feature van hun banksite

Door MClaeys, donderdag 18 augustus 2011 16:55

Hier vermelden ze nochtans duidelijk dat het op een zeer ongebruikelijk moment gebeurt, dat zou toch een belletje moeten rinkelen

nieuwsitem

Eigenlijk wil ik dit virus wel eens oplopen, om dan te filmen wat het precies inhoud. Kan handig zijn om de situatie te verduidelijken aan mensen

Door .oisyn, donderdag 18 augustus 2011 11:01

Het virus werkt met een popup op het scherm, die de gebruiker vraagt om een transactie te plegen. Als dat wordt bevestigd, wordt het geld afgeschreven

Wacht even. Dus je krijgt onverwacht een popup, met de vraag of je een transactie wil doen, en dat doe je dan ook gewoon maar? Seriously? Zijn er nog steeds mensen die daar géén argwaan bij krijgen?

Door Zoijar, donderdag 18 augustus 2011 11:05

Snap ik ook niet. Als ik nu hier ineens een rabobank scherm voor me krijg als ik zit te typen, dan druk je toch niet op "betaal maar"? Je weet toch wanneer je iets moet betalen? Vreemd.

Door Rainlife, donderdag 18 augustus 2011 11:17

Waarschijnlijk zal het virus wel slimmer zijn dan dat.
Wat ik (bijvoorbeeld) zou doen als virusschrijver is:
1) wacht tot de gebruiker een transactie doet
2) na de transactie toon ik een nieuw scherm dat er uitziet alsof de gebruiker op het vorige (legitieme) scherm een foute code heeft ingevoed.
3) gebruiker zegt: oeps, een cijfertje verkeerd overgetypt
4) gebruiker geeft opnieuw code in en schrijft al zijn geld naar mij over

denk maar eens na hoeveel mensen die reactie bij nummer 3 gaan hebben.

@eggy: Het is natuurlijk zo dat het niet zo simpel is, maar het concept lijkt me wel te werken. En inderdaad een nieuwe code, dat valt toch op ? De manier die werkelijk gebruikt is tenslotte ook opgevallen bij sommigen (maar niet bij iedereen). Overigens is het bij sommige banken dat de som geen deel uitmaakt van de in te voeren code en het is dus lastiger zou zijn om op te vallen dat er iets niet klopt.

[Reactie gewijzigd door Rainlife op donderdag 18 augustus 2011 15:33]

Door Katsunami, donderdag 18 augustus 2011 11:30

Dat zou inderdaad een goede (nou ja... je snapt wat ik bedoel) manier zijn om het aan te pakken. Daar zou ook een oplettende gebruiker nog wel eens in kunnen trappen. Als er "zomaar" een popup verschijnt, zonder dat je dat verwacht (dwz, als je niet met bankieren bezig bent), dan zouden er wel wat alarmbellen af mogen gaan.

Door eggy99, donderdag 18 augustus 2011 13:12

Zou natuurlijk niet werken. De Tan code is dan al gebruikt en je hebt er dan niks aan als die opnieuw ingevoerd wordt.

Door RielN, donderdag 18 augustus 2011 14:25

Dat is net de truuk, je krijgt gewoon een nieuwe code met je SMS, dat is toch de hele hack?

Door eggy99, donderdag 18 augustus 2011 15:06

Nieuwe code met bedrag, wat niet klopt. Welke je dus niet gaat gebruiken.

Door Darude1234, donderdag 18 augustus 2011 20:08

Kan toch dat hetzelfde bedrag overgenomen wordt als in de oorspronkelijke betaling. Alle beetjes helpen. Als het virus bij 1000 mensen geïnstalleerd staat en die schrijven iedere dag 10,- over dan vang je 10.000 euro op een dag.

Door Katsunami, donderdag 18 augustus 2011 11:10

Pasgeleden las ik ergens een quote gezien die wel van toepassing is hier.

“Just think of how stupid the average person is, and then realize half of them are even stupider!”

Veel "hacks" en "virussen" werken slechts vanwege de domheid, onkunde of desinteresse van de gemiddelde computergebruiker.

Door watercoolertje, donderdag 18 augustus 2011 11:22

Nou dan is dit een mooie straf

Ten minste ik zou me lesje wel leren als ik het mee zou maken, vanmorgen nog geld overgemaakt (doe ik dagelijks)

Enne 90% van me saldo, wat gebeurd er dan als je in de min staat? Krijg je dan juist geld?

[Reactie gewijzigd door watercoolertje op donderdag 18 augustus 2011 11:22]

Door RJC82, donderdag 18 augustus 2011 12:37

De gene van wie die quote komt valt dus in de helft in kwestie, gezien de vergrotende trap van stupid 'more stupid' is.

OT: Dat dit nog kan gebeuren verbaasd mij ook wel. Zelf zou ik dit soort trucjes door hebben. Als mij een tweede keer een code wordt gevraagd, om opnieuw in te loggen oid, dan begin ik weer van voor af aan. URL van de bank handmatig intypen, letter voor letter, etc.
Aan de andere kant kom ik ook genoeg mensen tegen die de virusscanner niet goed bij houden. Ze krijgen dan steeds een waarschuwing dat het niet actueel meer of de licentie verlopen is, maar dat klikken ze gewoon weg in een automatisme. Als zoiets dan gebeurt verbaasd hun dat ook nog eens en krijgt internet de schuld.

Door hexta, donderdag 18 augustus 2011 11:28

Je zit te internetbankieren.
Je hebt wat dingen verzonden, en dan opeens komt er een pop-up met de vraag of je wegens extra veiligheid nog 1 keer je tan code kan invoeren.

Ze zeggen niet: wil je nu geld overmaken?
Ze zeggen eerder: we hebben nog 1 keer jouw tancode nodig, die zal zsm naar jouw telefoon worden verzonden.
Ik zou er waarschijnlijk zelf ook nog in kunnen trappen..

Door mjtdevries, donderdag 18 augustus 2011 13:41

Er gebeurt iets dat nog nooit gebeurd is tijdens je internet bankieren.

Dan word je niet extra voorzichtig?
Dan ga je niet bij die volgende SMS even goed naar het totaal bedrag kijken?

Hoe kan een bank nu ooit een veilig systeem maken als zelfs zulke simpele dingen als even het bedrag controleren gewoon genegeerd worden door gebruikers?

Door Gijsen, donderdag 18 augustus 2011 11:02

Elke transactie moet je eerst "tekenen" (bevestigen dus) alvorens deze door gaat.
Waarschijnlijk past het virus dan het rekening nummer aan..
Anders valt dit naar mijn weten op..

« 1 2 3 4 5 6 7 8 »

Op dit item kan niet meer gereageerd worden.

11:24	Intel geeft herstelfirmware voor 320-ssd's vrij
10:40	Crytek komt met gratis sdk voor CryEngine 3

'Hackers plunderen bankrekeningen ING met virus' - update

Nieuws I/O

Shortcuts

Categorieën

Lees meer over

Gerelateerde content

Reacties

27-05 Nieuws

00:38 Productreviews

04:10 Vraag & Aanbod

25-05 Jobs

20:30 Etc.

05:35 Reacties

05:01 Forum

25-05 Gesponsorde acties

01:46 Tweakblogs

26-05 Computable headlines

25-05 CRN headlines