Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 136 reacties, 23.854 views •

Op enkele pas ontdekte command-and-controlservers van het Dorifel-botnet zijn gegevens van klanten van een aantal Nederlandse banken gevonden. In het geval van sommige ING-klanten is sprake van werkende logingegevens.

Zondag werd al bekend dat er op command-and-controlservers van het Dorifel-virus inloggegevens van Nederlandse bankklanten te vinden waren. Die servers zijn inmiddels offline gehaald, maar Nu.nl heeft twee nieuwe masterservers ontdekt. Uit een analyse van Tweakers.net blijkt dat op die server gegevens van klanten van onder meer ING, ABN Amro, Rabobank en diverse buitenlandse banken te vinden zijn.

In het geval van ABN Amro en Rabobank kan weinig met die gegevens worden gedaan, omdat voor het inloggen op internetbankieren een random reader vereist is. In het geval van ING kan echter wel met alleen gebruikersnaam en wachtwoord worden ingelogd. In een aantal gevallen kan dat ook daadwerkelijk met de gegevens op de nieuw ontdekte Dorifel-servers. Daaruit blijkt dat het om niet eerder ontdekte gegevens gaat: de eerder al uitgelekte accounts zijn door ING al geblokkeerd.

ING-woordvoerder Daan Heijbroek relativeert de ontdekking. "Er zijn al trojans die login-gegevens van bankklanten ontfutselen", zegt hij. "Het is belangrijk dat mensen hun computer goed beveiligen. Virussen als deze zijn een maatschappelijk probleem." Heijbroek zegt dat het onderzoek naar dit soort trojans 'eigenlijk altijd doorloopt'. "Het zou best kunnen dat er morgen weer gegevens opduiken."

Daarnaast stelt Heijbroek dat het niet gaat om nieuwe bankgegevens. "Deze accounts waren al bekend", aldus Heijbroek. "Daarom hebben we de betaalfunctie van deze accounts geblokkeerd. Uit voorzorg zullen we de toegang tot internetbankieren voor die accounts volledig blokkeren." Dat gebeurde niet direct, omdat ING de getroffen klanten de mogelijkheid wilde geven om hun saldo in te zien.

Trojans als Dorifel onderscheppen login-gegevens voordat ze naar de bank worden verstuurd; de banksites zijn dus niet gehackt. Overigens zijn login-gegevens in het geval van ING niet voldoende om geld over te kunnen maken; daartoe moet een kwaadwillende ook over de zogeheten tan-codes beschikken, die via papier of sms aan een klant worden verstrekt. Sommige malware slaagt er via social engineering echter in om tan-codes te onderscheppen en betalingen te doen. Teksten op de Dorifel-servers wijzen erop dat ook de in dit geval gebruikte malware daartoe in staat is.

Daarnaast kunnen met enkel gebruikersnaam en wachtwoord bij ING wel bankrekeningnummers worden ingezien, wat bijvoorbeeld zou kunnen worden gebruikt voor het uitvoeren van een automatische incasso. Ook is het mogelijk om een PayPal-account aan de rekening te koppelen en deze te bevestigen, waardoor er uiteindelijk zonder tancodes geld kan worden weggesluisd.

Vorige week werd bekend dat een ministerie, twee provincies, twee universiteiten, het RIVM en tal van gemeenten met de Dorifel-malware besmet waren. Het virus onthulde zichzelf door Word- en Excel-documenten te versleutelen, waardoor ze niet langer toegankelijk waren. Waarschijnlijk waren de instellingen echter al langer besmet.

Via het botnet waarmee Dorifel werd verspreid, werd later andere malware verspreid die bankgegevens kon onderscheppen. Om welke malware het daarbij gaat, is nog onduidelijk. Op de Dorifel-servers aangetroffen teksten, die worden gebruikt om ING-klanten om de tuin te leiden, worden ook door andere malware gebruikt. Mogelijk is er een kant-en-klaar framework ingezet.

Bekijk ook de demonstratie van Tweakers.net over de manier waarop trojans bankgegevens ontvreemden.

Update, 11:25: Nieuwe reactie ING in het artikel verwerkt. Volgens ING gaat het niet om nieuwe gegevens.

Reacties (136)

Reactiefilter:-11360132+196+25+30
Moderatie-faq Wijzig weergave
N.a.v. de Rabobank die hun bankpassen standaard blokkeert voor geldopnames buiten Europa (wat andere banken wat mij betreft ook mogen invoeren), zou ik zo'n optie eigenlijk ook wel willen hebben voor internetbankieren: blokkeer inloggen voor mijn account voor IP's van buiten NL of Europa. Uiteraard met mogelijkheid om het zelf op elk gewenst moment (al dan niet tijdelijk) te kunnen aanpassen.

Uiteraard is ook dit niet waterdicht, maar elk laagje beveiliging is mooi meegenomen, en het levert voor 99% van de mensen geen extra ellende of werk op.
Precies, goed idee, en stuur me dan een SMS als er vanaf een ander IP ingelogd wordt.
Dan kan ik dan bepalen of dat IP toegestaan moet worden en dat per SMS, of liever nog via een apart deel van de Rabobank site waar de randomgenerator weer voor nodig is, bevestigen.
Dus jij denkt dat de gemiddelde klant van de Rabobank dit technische geneuzel begrijpt? De meeste mensen zijn gewoon niet in staat op basis van dit soort gegevens beslissingen te nemen over of iets wel of niet veilig is.

Sowieso hebben mensen thuis al niet de garantie dat ze een vast IP adres hebben en mobiel al helemaal niet.

[Reactie gewijzigd door Herko_ter_Horst op 14 augustus 2012 11:53]

Je kunt zo'n systeem n00b-vriendelijk maken; bij een login op Facebook kun je een beveiligingsoptie aanzetten waarbij je bij een login vanaf een onbekend apparaat aan moet geven hoe dat apparaat heet, dat wordt vervolgens naar je e-mail gestuurd. Kan ook via SMS. En als een gebruiker, op vakantie, vervolgens een SMS krijgt met "Er is ingelogd vanaf @$IJOAigjsaioj vanuit Verweggistan", dan moet er wel een alarmbel gaan rinkelen bij die gebruiker. Geolocation kan daar ook bij helpen, ook al kan ook dat om de tuin geleid worden. Maak de gebruiker iig bewust van een login vanaf een onbekende locatie.
Zo'n ip-blokkade gaat bij een botnet geen nut hebben, Zo'n net heeft duizenden ge-infecteerde clients in Nederland. En als je dan toch de login-gegevens op een ge-infecteerde client buitmaakt, kun je die natuurlijk ook vanaf diezelfde client gebruiken.
Slecht plan.
De crimineel gebruikt een tunnel naar een Nederlandse server terwijl jij vanuit je vakantie adres dan niet kan inloggen om in te grijpen en te controleren waarom je rekening leeg is.
Het viel me erg tegen dat sommige virusscanners er zo lang over deden om het virus in hun database op te nemen.

De les is ook maar weer, alles controleren als je internet wilt bankieren. Achter alles zit een risico.

Zit er soms een generator in het virus die na een aantal weken/dagen automatisch een nieuw ipadres zoekt ? Dit zien we ook steeds meer in virussen.

[Reactie gewijzigd door ictboy op 14 augustus 2012 10:48]

Zit er soms een generator in het virus die na een aantal weken/dagen automatisch een nieuw ipadres zoekt ? Dit zien we ook steeds meer in virussen.
Sommige virussen hebben een complexe generator aan boord die IP-adressen of domeinnamen genereert (waarbij de botnetbeheerder moet zorgen dat die domeinnamen door hem geregistreerd en ingericht worden), je hebt varianten die een eigen P2P netwerk onderhouden zodat je een update (zowel qua binary code als qua config files) 'ergens' in het netwerk kan zetten waarna het zich organisch verspreidt, of je hebt malware die gebruik maakt van TOR hidden-services om aan updates en nieuwe commando's te komen. Die laatste zijn de ergste aangezien al het aan en afgaande verkeer gecrypt is (firewalls kunnen er niks mee) en er geen centrale C&C server is die je down kunt halen. Bij al deze voorbeelden is het daarnaast mogelijk om de footprint van de binary aan te passen zodat vrijwel geen enkele virusscanner al je botjes kan verwijderen, laat staan detecteren.
Om deze reden vond ik de uitspraak van een security sepcialist laatst interessant: banken moeten hun denkwijze omdraaien: ipv uitgaan van 'schone' clients en bij malware de schuld bij de klant neer te leggen, moeten ze ervan uitgaan dat alle clients besmet zijn. Hierdoor kom je tot hele andere verificatie en validatie mechanismen die broodnodig zijn in het huidige malware landschap. Want let wel, er wordt momenteel meer digitaal geld gestolen dan dat er ooit buit is gemaakt met een klassieke bankoverval (waarbij de grens van $ 20 miljoen vrijwel nooit overstegen wordt, terwijl met internet bankieren dit bedrag per land en bijna jaarlijks wordt gestolen ipv eenmalig)
Om deze reden vond ik de uitspraak van een security sepcialist laatst interessant: banken moeten hun denkwijze omdraaien: ipv uitgaan van 'schone' clients en bij malware de schuld bij de klant neer te leggen, moeten ze ervan uitgaan dat alle clients besmet zijn.
Klopt. Het is alleen wel erg lastig om iets op te zetten als je niets of niemand kan vertrouwen. Eigenlijk onmogelijk. Op een gegeven moment moet je aannemen dat er iets wel te vertrouwen is. Maar ik ben het ermee eens dat een thuiscomputer niet geheel meer te vertrouwen is.

Wat je verder veel ziet is dat men mobiele telefoons volledig vertrouwt. Tan code naar je mobiel, of wachtwoord reset via je mobiel. Dit kan ook een probleem worden naarmate er meer malware opduikt voor telefoons die altijd aan het internet hangen. Misschien met men zich ook eens af gaan vragen of een sms-je wel altijd alleen maar door de bedoelde ontvanger wordt gelezen.
Draai het om: als banken niet 100% kunnen garanderen dat mijn geld niet - buiten mijn weten om - gestolen kan worden via de internetbankieren interface, is het dan wel een goed idee dat ze deze dienst Łberhaupt aanbieden? Bij misbruik zuivert de bank het gestolen vermogen weer aan, maar dat betalen wij direct (hogere pasbijdrage oid) en indirect (hogere inflatie wegens het toenemen van de geldhoeveelheid) zelf. Jaren terug werd al gewaarschuwd dat het aanbieden van internetbankieren een slecht idee was omdat het internet niet met veiligheid in het achterhoofd is opgebouwd. En het ging jaren goed omdat er bijna geen misbruik van werd gemaakt. Nu zijn er wat kundige Roemeense cowboys ten tonele verschenen en blijkt een groot deel van de security architectuur simpel te omzeilen. Dat moet toch te denken geven.
Ik ben wel blij met internetbankieren en niet elke keer naar de bank te hoeven lopen met een overschrijvingsformulier. Daar wil ik best wat redelijk risico voor nemen. Iets 100% garanderen is moeilijk, zeker in IT-land.

(Dat van die inflatie klopt overigens niet; integenstelling tot het populaire geloof mag een bank niet zomaar geld maken. Dit komt gewoon van het bestaande vermogen, wat altijd gedekt is (tenminste) door schuld.)
Daar wil ik best wat redelijk risico voor nemen. Iets 100% garanderen is moeilijk, zeker in IT-land.
Dat is juist de grap, dat risico neem jij niet, dat neemt de bank, en dus de overige klanten. Of accepteer jij het gewoon als je rekening wordt leeggehaald?
En jij kiest er voor bij de betreffende bank te bankieren.
Op zich kun je met de username/pass bij ING ook niet zoveel. Saldo inzien kan wel, overmaken lukt niet (heb je een one-time pass voor nodig via TAN lijsten of SMS). Het is wel een eerste drempel op weg naar het hacken van het account in kwestie.

Weet iemand trouwens of er al hacks zijn geweest op random-readers/e-dentifiers etc.?
Weet iemand trouwens of er al hacks zijn geweest op random-readers/e-dentifiers etc.?
Yep, bij RSA en bij de ABN. Bij RSA hebben ze de blauwdruk van de tokens gestolen (werking kon niet meer worden gegarandeerd), bij ABN hebben criminelen de firmware van de edentifiers in het bankfiliaal aangepast (briljante aanval overigens).
Het is de keuze van banken om geen gebruik te maken van random codes en browser's. Om die reden kan mijn inziens klanten geen verwijt worden gemaakt.
Het is de keuze van de klant om ergens te bankieren. Als je het niet vertrouwt: klagen bij je bank en als je niet serieus genomen wordt: overstappen. Als 10% van de klanten dit doet moet je eens zien hoe snel men roept dat er nu een, andere, veiligere manier is. Banken zijn net bedrijven, ze investeren alleen als de kosten opwegen tegen de baten. Het enige product van een bank is het vertrouwen wat de klanten erin hebben. Dus stemmen met je voeten.
Wat wil je precies controleren dan?
Als gebruiker zelf moet je meer controleren voordat je inlog op internet bankieren. o.a. het adres het certificaat, is het certificaat wel aan het juiste domein toegekent. bijv. mijn.ing.nl en niet mijn.ing.blalala.org.
Dat maakt alleen helemaal niks uit als een trojan op je eigen computer draait.

Zolang een trojan onopgemerkt blijft is het erg moeilijk om te zien wat er nou daadwerkelijk allemaal gebeurt. De trojan kan gewoon keys loggen en doorsturen. Dan kan je dus gewoon op de officiŽle banksite je gegevens invullen en worden ze toch doorgestuurd naar anderen dan de bank.
De problemen van virussen en trojans zit in de apparatuur die we gebruiken.
Gebruik je Windows, dan kun je verwachten dat een onbekend virus geen enkel probleem heeft om zich te nestelen in de Windows kernel. Dit komt door de architectuur van Windows.
Gebruik je een browser met steeds meer features die gebruikt kunnen worden door java scripts, flash en andere technologieen op websites, dan kun je wachten op een nieuw virus die je via een website oploopt. Dit komt door de features die browsers bieden.

En ja, vergeet niet dat antivirus software in principe dom is: ze vergelijken scripts en objecten met een database. Bij een uitbraak zitten de signatures niet in de database en dus worden ze niet gedetecteerd. En de 'slimme' algortihmes die nieuwe virussen moet ontdekken kun je altijd omzeilen. Je moet dus behalve antirus software ook andere preventieve maatregelen nemen. Voor een doorsnee gebruiker is dat helaas te ingewikkeld.
Laat iemand eens reageren waar daadwerkelijk geld van een ING rekening is gehaald, dat is pas een bewijs dat het onveilig zou zijn. En natuurlijk hoe ze het gedaan hebben, zonder de TAN-code.
Ik vermoed dat niemand je dat zal kunnen melden. Een crimineel zal niet melden hoe het gelukt is om geld buit te maken en het is ook niet onbekend dat banken hun klanten vriendelijk verzoeken / op het hart drukken dit soort informatie achter te houden en niet aan de grote klok te hangen dat men bestolen is. De bank zal jou als consument ook niet de details rond een gelukte diefstal uit de doeken doen.
Zodra ze je inloggegevens hebben kunnen ze een paypal account linken aan je banknummer. Paypal maakt dan twee transacties over die je moet valideren op de paypal website. Vervolgens heeft de eigenaar van het paypal account toegang tot jou geld, aangezien bij een paypal transactie geen tan-code wordt gevraagd.
Zodra ze je inloggegevens hebben kunnen ze een paypal account linken aan je banknummer.
Dat is hoe het kan. Maar de vraag was WIE is het overkomen dezer dagen.

Je zou in plaats van TAN-codes via de post die dingen kunnen laten ophalen bij je bankfiliaal. Ooit, lang geleden, verstuurde mijn bank gedekte eurocheques per post. Gevolg: cheques onderschept op het postsorteercentrum. Pasjes gemaakt, handtekening bedacht en kassa.:: 25 cheques a 300 gulden geind. De bank is toen overgegaan op afhalen door de klant.
ING mag wel een extra laag invoeren bij het inloggen, desnoods ook door middel van een soort Login-TAN ofzo. Die bank heeft aan de lopende band gedonder en staat bekend als de bank die het niet in orde heeft terwijl de oplossing zo relatief voor de hand ligt en het eigenlijk allemaal wel meevalt als ze daar eens naar kijken.
Zo'n apparaat met je meezuilen om bij je bankzaken te kunnen is namelijk ook gewoon ruk zoals ik vrienden/bekenden wel eens zie doen.
Geef eens een bron voor je beschuldigingen?
Ik hoorde juist altijd berichten over problemen bij andere banken....niet bij de ING.

Statische logins zijn geen probleem, mits koppelingen naar bedrijven als paypal een extra beveiliging krijgen.
Het heeft ook een voordeel namelijk: bij de abn word vaak een pas geblokkeerd als ze denken dat er geskimmed is....gevolg: je kunt NIETS meer. Geen internet bankieren, geen geld overmaken....je bent meteen hulpeloos...
Bij de ING heb je dat probleem niet.
Statische logins zijn geen probleem, mits koppelingen naar bedrijven als paypal een extra beveiliging krijgen.
Het heeft ook een voordeel namelijk: bij de abn word vaak een pas geblokkeerd als ze denken dat er geskimmed is....gevolg: je kunt NIETS meer. Geen internet bankieren, geen geld overmaken....je bent meteen hulpeloos...
Bij de ING heb je dat probleem niet.
Een beetje de omgekeerde wereld als je het mij vraagt.

Ten eerste blokkeren banken echt niet maar zo passen. De indicatie dat er geskimmed is zal dan toch redelijk groot moeten zijn. Het niet blokkeren van geskimmde passen is gewoon dom en een onnodig groot risico voor bank en consument.

Ten tweede: Je kunt beter een geblokkeerde pas hebben (wat je overigens netjes door de bank zal worden gemeld om vervolgens het probleem op te lossen) dan dat jouw bankrekening leeg is gehaald waarna het in vele gevallen veel langer zal duren om dat op te lossen.
Netjes gemeld? laat me niet lachen. De pas van m'n vriendin is nu al 3 keer binnen 2 jaar geblokkerd. Elke keer komt ze er pas achter als ze wil betalen en er niets gebeurt.
Als je dan op vakantie bent is dat extreem lastig en de bank doet het af als JOUW probleem. Gewoon onbeschoft dus van de ABN.....
(en nee, ze is niet onvoorzichtig en gebruikt hem niet op rare plaatsen....ABN blokkeerd gewoon heel snel)

Natuurlijk moet je een pas blokkeren als deze geskimmed is, maar bij de ING houd dat tenminste niet in dat je niets meer kan. Je kunt nog geld overmaken naar je partner/ouders etc om nog iets te kunnen.

[Reactie gewijzigd door buzzin op 14 augustus 2012 12:05]

Mijn ervaring is totaal anders. Ik ben een keer tegen een (terecht) geblokkeerde pas aangelopen en werd daarbij netjes gebeld. Dat was overigens ook in het buitenland (Nepal) en ik werd prima geholpen om tot een oplossing te komen. Dat jij iemand kent die andere ervaringen heeft is spijtig maar het blokkeren van een pas met gegronde reden heeft niets met onbeschoft te maken.

Ik vind het vreemd dat de ING jou nog toestaat geld over te maken van een mogelijk gecompromitteerde rekening. Daar zou ik eerder vraagtekens bij zetten.

Een oplossing zou een soort noodfonds voor tijdelijke leningen kunnen zijn waar de bank een uitkering uit kan lenen (zonder rente) zodat jij die dagen verder kunt maar de rekening op slot kan blijven. Dit zou je dan bv op vertoon van een paspoort oid bij een afgesproken bank kunnen ophalen.
Een oplossing zou een soort noodfonds voor tijdelijke leningen kunnen zijn waar de bank een uitkering uit kan lenen (zonder rente) zodat jij die dagen verder kunt maar de rekening op slot kan blijven. Dit zou je dan bv op vertoon van een paspoort oid bij een afgesproken bank kunnen ophalen.
Rabobank heeft dat al. Rabo Interhelp kan jou een voorschot van maximaal §5000,- aan noodgeld verstrekken, mits je rekeningsaldo toereikend is. Hier kunnen nog wel (administratieve?) kosten aan verbonden zitten.
De meeste banken hebben automatische fraudedetectie. Wellicht dat je vriendin heel snel rijd en schoenen in groningen koopt om dan snel naar rotterdam te gaan voor de Albert Heijn. Als de tijd tussen deze acties te kort is, dan kan dat al een blokkade opleveren ;-)
De meeste banken hebben automatische fraudedetectie. Wellicht dat je vriendin heel snel rijd en schoenen in groningen koopt om dan snel naar rotterdam te gaan voor de Albert Heijn. Als de tijd tussen deze acties te kort is, dan kan dat al een blokkade opleveren ;-)
Yep, zo werd ik een keer door VISA gebeld omdat ik op 1 dag iets betaalde met m'n creditcard in New York, en in Zaandam. Dat klopte overigens gewoon. Maar dat soort checks zijn maar wat fijn, ik heb in de tijd dat ze nog van die carbonnetjes maakten van creditcards wel eens meegemaakt (ook in de USA) dat iemand m'n kaart geskimmed had en daar leuke aankopen had gedaan. (overigens kreeg ik dat geld binnen een paar uur teruggestort op m'n rekening, door een spoedtransactie van VISA)
Ik refereer juist naar de algemene consensus dat de ING het minder voor elkaar heeft. Dit komt omdat je voor de ING enkel een username en pass nodig hebt om in te loggen, als je als kwaadwillende die onderschept kan je dus inloggen en allerhande info raadplegen. En ik ben het gewoon niet met de stelling oneens, als ING klant, dat dit een probleem is.
De inhoud van mijn rekeningen vind ik informatie waar niemand wat in te zoeken heeft, je kan een eng accuraat beeld opstellen van mijn leefpatroon, dat probleem kan opgelost worden door een tan-code te eisen bij het inloggen, al dan niet altijd, of alleen op onbekende machines.

Dat enkel een username en pass combi niet de meest veilige nog werkbare constructie is die je kan instellen hoef je geen IT expert voor te zijn lijkt me...

Het voorbeeld dat bij ING een geblokkeerde pas je niet je toegang tot je online bankieren ontneemt vind ik niet echt van toepassing. Dat vind ik een ontwerpfout van de ABN. Er zijn veel meer manieren om dat veiliger maar toch nog gebruiksvriendelijk in te richten.

[Reactie gewijzigd door Alpha Bootis op 14 augustus 2012 11:49]

Ing heeft tan codes die je via je mobiel ontvangt
Niet voor het inloggen, waar het dus om gaat.
Dynamische inlog codes lossen niets op .. is alleen schijnveiligheid.
Dynamische inlog codes lossen niets op .. is alleen schijnveiligheid.
Eenmalig te gebruiken dynamische inlog codes voorkomen replay attacks en maken daarmee het offline kraken van een beveiliging zo goed als onmogelijk. Ze zijn wel degelijk significant.
Niet voor het inloggen, waar het dus om gaat.
maar met inloggen alleen kun je nog geen geld overmaken.
Ing heeft tan codes die je via je mobiel ontvangt
Of via een papieren lijst.
Ze hebben last van storingen, maar van gehackte accounts toch niet? Doe eens een bron?
ING heeft helemaal nooit gedonder, dit gaat over lakse gebruikers die hun login data hebben laten ontfustselen.
Die bank heeft aan de lopende band gedonder en staat bekend als de bank die het niet in orde heeft
Is dit nou smaad of domheid.?

Ik heb nog nooit last gehad met bankieren bij ING, noch met de papieren TAN-codes.
Het valt op dat er nooit melding wordt gemaakt van Belgische banken. Zijn er effectief geen belgische slachtoffers door betere beveiliging of komt het omdat dit vooral een Nederlandse website is?

[Reactie gewijzigd door biglia op 14 augustus 2012 10:47]

Belgische banken zijn in het verleden al steeds in het nieuws geweest wegens dit soort feiten.
Ik heb dit alleszins nog niet veel gehoord van de Belgische banken, ze gebruiken dan ook bijna allemaal een random reader om in te loggen en om te betalen. Dan nog is het niet onmogelijk natuurlijk, er zijn reeds aanvallen gebeurt met extra kaders waar je je code nog eens opnieuw moet ingeven. Met wat gezond verstand weet je dan dat je gegevens niet moet invullen, maar er zullen altijd mensen zijn die dat wel doen.
inderdaad, zelfs voor betalingen met mijn mastercard online moet ik tegenwoordig m'n code-generator gebruiken, daar waar vroeger de kaartnummer en veiligheidscode voldoende waren.
Het is belangrijk dat mensen hun computer goed beveiligen. Virussen als deze zijn een maatschappelijk probleem
ik snap niet dat dit soort uitspraken nog getolereerd worden door het publiek. Zo lang een bank statische inlogmechanismen en -codes gebruikt zijn klanten kwetsbaar. Dat is geen maatschappelijk probleem, maar een zeer groot intern security-probleem
Er staat inderdaad nergens vermeld welke de 'diverse buitenlandse banken' zijn.
Het zou best kunnen dat daar Belgische banken tussen zitten
Uit een analyse van Tweakers.net blijkt dat op die server gegevens van klanten van onder meer ING, ABN Amro, Rabobank en diverse buitenlandse banken te vinden zijn
Het zou kunnen, maar het zou well sympathiek zijn als tweakers dit zou melden. Ik dacht begin dit jaar iets te lezen over meer aandacht naar belgiŽ toe van tweakers?
Voor zover ik weet gebruiken alle (grote) banken in Belgie, card readers die random strings genereren en moet men inloggen met het kaartnummer en een nummer die alleen de gebruiker weet.
Bij ING Belgium is het zo dat je uw kaartnummer moet ingeven, uw ING ID, uw zelf gemaakt paswoord en een random string dat gegenereerd wordt. Deze manier van werken veranderd NOOIT. Argenta werkt op een soortgelijke manier.
Ik begrijp niet waarom jullie en andere landen met TAN werken.

[Reactie gewijzigd door reaper_unique op 14 augustus 2012 12:03]

Ho ho, da's alleen de ING.

Rabobank werkt ook gewoon (zoals het hoort) met random gegenereerde codes vanaf de Random Reader.
Maar de Rabo gebruikt geen door je zelf gemaakte paswoord.
Dat voegt geen extra security toe als dat formulier onderschept wordt door een virus.
Er wordt erg gedaan alsof ING erg onveilig is en ABN-AMRO niet. De enige beveiliging die ING immers heeft is een tan-code die doormiddel van social engineering gekraakt kan worden. Maar de codes die van de random-nummergenerator bij bijvoorbeeld ABN-AMRO worden gevraagd kunnen toch evengoed via social-engineering opgevraagd worden bij een slachtoffer?

Wat natuurlijk wel waar is, is dat bij ING zonder tan-code wel kan worden ingelogd en bij de andere niet.
Zo'n door een random reader gegenereerde code is eenmalig en tijdelijk geldig. Bovendien verschilt een login-code van een overschrijf-code, en wordt voor het genereren van deze laatste code het te betalen bedrag gevraagd door de calculator.

Dat maakt het geheel vrij moeilijk te "social-engineren".
Gewoon mensen opbellen en vragen of ze even ter verificatie een code willen genereren werkt echt wel in heel veel gevallen....
Dat werkt in deze tijd echt niet meer, misschien bij mensen die ook graag bakstenen in een laptoptas van een wildvreemde op een parkeerplaats kopen.

Je moet op zo'n moment eerst kiezen voor de "S" optie op je random reader, je rekeningnummer en pasnummer doorgeven, waarna de oplichter je een code moet laten invoeren, daarna het afgeronde totaalbedrag, waarna het slachtoffer weer een 8 cijferige code moet voorlezen. Als je dan nog niet doorhebt dat er iets niet in de haak zit.
Via social engineering is zo'n random-nummergenerator ook niet veilig idd, maar daarom zit er tegenwoordig ook een extra code bij waar je het bedrag moet invullen (bij Rabobank iig). Aangezien iemand aan de telefoon moeilijk hard kan maken dat je bij "bedrag" even 1000 euro moet invullen, wordt het toch een lastigere taak dan het afhandig maken van een tan-code die hele volksstammen op een papiertje hebben staan ;)
Ik vraag me af hoeveel ING klanten nog met papieren TANs werken. Bij de SMS tan staat het bedrag wat overgeboekt wordt er gewoon bij vermeld.
die papieren tan codes vind ik anders nog heel wat veiliger dan die via sms. Helaas wil ING er helemaal vanaf.

Vooral als je ziet wat apps op smartphones tegenwoordig allemaal voor rechten willen, lijkt het mij op dat gebied slechts wachten op ongelukken.
Ik vraag me af hoeveel ING klanten nog met papieren TANs werken.
IK.
En op het scherm met de vraag naar de TAN staan ook de transactiegegevens.

Tenzij men mij een gratis telefoon levert zullen ze mij de sms in een gesloten enveloppe moeten doen toekomen. Ik heb geen mobiel (nodig).

Tevens zal ik mij dan per ommegaande bij een andere bank aanbieden als klant.
Heel misschien gaat ING nu eindelijk eens inzien dat een statische user/pass combo echt een serieuze no-go is. Ook al kun je geen geld overmaken zonder een TAN-code (al wordt de PayPal omweg al aangehaald) dan nog wil je als klant geen pottenkijkers in je account. Voor mij was dit destijds de reden om van bank te switchen en zo te zien heeft ING er ondertussen nog weinig van geleerd.
Als je het inloggen kunt onderscheppen (met een soort proxy), dan kun je ook de code uit de random reader onderscheppen. Alleen verkrijg je daarmee slechts eenmalig toegang tot de account.

En ik geloof dat er bij de ING ook iets is waardoor je ook maar een x aantal keer kunt inloggen zonder een keer je tan-code te geven. Misschien nog in combinatie met je ip-adres. Af en toen wordt ook een tancode gevraagd om in te loggen.

Zo'n random reader is wel heel veel omslachtiger, dat zou ik als consument niet handig vinden. Maar ze zouden het voor de mensen die het wel waarderen wel kunnen aabieden als optie, voor zakelijke klanten hebben ze die immers wel, dus de infrastructuur is er.
Als je het inloggen kunt onderscheppen (met een soort proxy), dan kun je ook de code uit de random reader onderscheppen. Alleen verkrijg je daarmee slechts eenmalig toegang tot de account.
Het verschil zit hem onder andere in hoe de code tot stand komt. De codes uit de readers zijn afhankelijk van pas, tijd en andere factoren. TAN codes zijn pregenerated (en dus op voorhand bekend). Een lijst met TAN codes is vele malen interessanter omdat je daarmee veel vaker transacties kunt uitvoeren en de codes ook nog eens gewoon leesbaar zijn (in de tijd dat bijna iedereen een camera op zijn of haar mobiel heeft erg onhandig). Een TAN code is onveiliger by design en word door sommige security expers ook niet meer als afdoende bestempeld. Tegenwoordig hebben zelfs veel kleinere bedrijven betere systemen op basis van tokens / sms tokens etc.
Even ter informatie:
Bij ING kan je op 2 manieren je TAN-codes verkrijgen, pregenerated of per SMS.
Dat houdt dus in dat je alsnog een Two-factor authenticatie hebt. Gezien de meeste mensen tegenwoordig wel een mobiel telefoontje hebben is dat een zeer betrouwbare manier.

Je hebt namelijk 2 type gegevens nodig.

"Something you know" oftewel gebruikersnaam en wachtwoord.
en
"Something you have" oftewel je mobiele telefoon waarop je de verwerkingscode krijgt.
Alleen zo jammer dat ING de boel zo heeft veranderd, dat je het wachtwoord via diezelfde telefoon kunt laten wijzigen/resetten. Voor mij de reden geweest om daar weg te gaan.
Als jij tancodes invoert om in te loggen zou ik even met de bank gaan bellen om te kijken of al je geld er nog wel is :?
Ik heb in al die jaren dat ik via de postbank bankier nog nooit een tancode moeten invoeren voor het inloggen.
Helemaal mee eens, maar die proxy gaat wel moeilijk werken omdat je dan een MitM aanval moet uitvoeren, een nieuw (je eigen) root/master SSL certificaat in de browser moet injecteren (om SSL waarschuwingen te voorkomen) ťn daarnaast ook nog eens de hele userinterface nabouwen waarbij je een hele trage verbinding simuleert (zo blijft de klant lekker lang wachten en heb jij tijd om met de gestolen gegevens zijn hele account leeg te halen).
Wat dat betreft vind ik het vreemd dat nog geen enkele bank DNSSec op hun domein heeft ingesteld, wat toch al een hoop ellende met fake pagina's kan voorkomen.
Jouw verhaal gaat er vanuit dat je proxied buiten het gehackte systeem om. Als je dit al in de browser onderschept middels spyware, heb je als hacker geen "last" van SSL.
Met buzzin: als er om een TAN-code gevraagd wordt bij inloggen, ben je waarschijnlijk het slachtoffer geworden van malware. Zie ook: http://www.security.nl/ar...1/ING_phishingaanval.html
"Zo'n random reader is wel heel veel omslachtiger, dat zou ik als consument niet handig vinden. Maar ze zouden het voor de mensen die het wel waarderen wel kunnen aabieden als optie, voor zakelijke klanten hebben ze die immers wel, dus de infrastructuur is er."

Heh? niet handig? Omslachtig?

We hebben het hier over een apparaatje niet veel groter dan een pinpas van nog geen centimeter dik. Sorry hoor maar ik voer liever een paar extra codes in (eerst een transactie code in de random reader en dan de verschenen verificatiecode in internetbankieren) dan dat ik gebruik maak van onveilig internetbankieren.

Random Reader is een fool-proof concept (zolang je op de rabobank site zit iig) omdat je vanwege het invullen van een transactiecode in de RR Ťnkel dže transactie autoriseert. Dus ook al zou je een virus op je pc hebben die alles wat je intikt af kan lezen dan zou hij er nog HELEMAAL NIKS mee kunnen.
Behalve stiekem op de achtergrond een extra transactie injecteren, en die regel bij het controle lijstje weer even weghalen. Op het moment dat je toegang hebt tot de browser een koud kunstje.
Helemaal mee eens, maar dan vind ik ook dat jij als klant geen aanspraak meer moet kunnen maken op 'aanzuivering' als jouw rekening wordt leegetrokken. Want dat betalen we namelijk allemaal.
@buzzin: het gaat er niet om of je thuis bent, het gaat erom dat een token of random reader altijd veiliger is dan statische login codes.

[Reactie gewijzigd door Rick2910 op 14 augustus 2012 14:19]

Als ik gewoon me aan de beveiligingen van mijn bank houd, en zorg voor een veilige plek om te internet bankieren....waarom zou ik dan geen aanspraak meer mogen maken als er fraude is gepleegd? :?
Leg mij eens uit waarom ik alleen veilig zou zijn als ik thuis ben??
En TAN codes, gebruikersnamen en wachtwoorden vergeet je niet op je vakantie? Als je op vakantie gaat en je denkt toegang tot je account nodig te hebben pak je dat kastje gewoon in, net zoals opladers voor je telefoon en je bankpas. En anders: zo'n random reader is niet gekoppeld aan je bankpas, dus d'r is altijd wel een buurman in de buurt die hem wel meeheeft, of een Rabobank vestiging in de buurt. Mits je in NL blijft natuurlijk. Of je zorgt er gewoon van te voren voor dat je genoeg geld op je rekening hebt.
Eh nee, m'n wachtwoord (en inlog naam) weet ik uit m'n hoofd en m'n tancodes kan je per sms krijgen....dus eh, nee die vergeet je niet.
Een extra apparaatje met 1 specifieke functie raak je veel sneller kwijt of vergeet je sneller.

@FreshMaker: Dat jij niet graag bankiert als je niet thuis ben is jouw keuze....waarom zou een ander het dan niet mogen doen? :?

[Reactie gewijzigd door buzzin op 14 augustus 2012 13:26]

en daarnaast ..

ik heb nog NOOIT internetbankieren vanuit het buitenland hoeven / moeten doen
dan wachten "ze" maar even, als er direct overgeschreven zou moeten worden, of ik neem contact op met kennissen, die het dan wel willen voorschieten.

Zal dan hoogstens 2 weken zijn ( of de persoon gaat naar mijn woning, en regelt het via mijn account, zoveel vertrouwen heb ik dan nog wel in een aantal vrienden )
TAN code om in te loggen moet toch niet zo moeilijk zijn lijkt me? Vind wel dat ze dit mogen gaan inzetten.
Voordat men weer gaat beginnen over ING en hun slechte manier van beveiligen. Hier is niet veel aan te doen. Er zijn nog steeds genoeg huishoudens die roekeloos op het internet zitten zonder een (geupdate) virusscanner, en zoals op tweakers bleek duurde het zelfs met een geupdate virusscanner lang voordat dit virus herkend werd.

De manier van inloggen op mijn ING vind ik persoonlijk zeer gebruikersvriendelijk en makkelijk, ik heb namelijk geen reader nodig en kan op elke browser even mijn saldo checken. Indien er geld overgezet moet worden is er nog de extra beveiliging van tan codes, al dan niet via een SMS'je. Dit systeem werkt gewoon goed en in principe veilig.

Wat hier boven wordt gezegt is wel een goed idee: de optie om in te stellen dat er alleen vanuit een nederlands IP adres ingelogd kan worden zou een leuke toevoeging zijn.

Uiteindelijk is het gewoon frappant dat zo'n virus zo'n grote impact kan hebben, zonder dat er bij de meeste virusscanners meteen alarm bellen gaan rinkelen.
de IP adres limiet is inderdaad een goed idee, nadeel is wel dat enkele multinationals niet voor elk land een eigen IP hebben. (ik meen dat het o.a. shell was)
Vrijwel alle multinationals die ik ken hebben bizarre ip-connectivity. Dus geo-IP werkt dan niet zoals je verwacht.
"vind ik persoonlijk zeer gebruikersvriendelijk en makkelijk"
Dat vinden de hackers ook blijkt!


Saldo checken kan bij de Rabobank per SMS. Kost mij een paar cent maar heeft als voordeel dat mijn rekeninggegevens niet met de combinatie <rek.nr> + <simpelwachtwoord> te openen zijn. De Rabo app gebruik ik niet overigens.
Via de ABNAMRO kan je tegenwoordig ook met elleen een wachtwoord je internet bankieren bereiken.
Dit geldt ook voor de Rabobank. Via de rabo-app voor Android kun je zo inloggen op je rekening en geld overmaken naar 'bekende' rekeningen zonder random-reader. De toegangscode stamt nog uit het tijdperk van de rabofoon (ik dacht 1998).

Als je geld over wilt maken naar een rekening die je nog niet eerder hebt gebruikt is het gebruik van een randomreader wel noodzakelijk.

Overigens was hier een tijdje geleden ook een lek in ontdekt. De toegangscode is 5 cijfers en men kreeg een statuscode terug of de code correct was. Ook nadat het maximaal aantal pogingen was overschreden. Dit is sindsdien wel opgelost. Zie ook dit bericht.

[Reactie gewijzigd door jan-marten op 14 augustus 2012 11:03]

klopt. alleen moet je dit eerst activeren met behulp van de reader. gebruik dit zelf ook. ook kun je hier een limiet instellen, zet je die op 0 dan kan je alleen geld tussen eigen rekeningen overmaken.
De Paypal methode werkt uiteraard alleen als je ook over de logingegevens van het Paypal account beschikt. Nou zal dit op een geinfecteerde machine (uiteindelijk) wel te achterhalen zijn, maar ik denk ik vermeld het even voor de volledigheid.
Eh....je kunt er uiteraard ook een paypal account van de hacker aan koppelen he? :)
De truuk is juist dat je, doordat je bij de ING met logingegevens het overschrijvingsoverzicht kunt bekijken, als hacker zelf een PayPal account kunt aanmaken en deze daarna eigenhandig kunt activeren op basis van de gegevens uit dat overzicht.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True