Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 136, views: 23.778 •

Op enkele pas ontdekte command-and-controlservers van het Dorifel-botnet zijn gegevens van klanten van een aantal Nederlandse banken gevonden. In het geval van sommige ING-klanten is sprake van werkende logingegevens.

Zondag werd al bekend dat er op command-and-controlservers van het Dorifel-virus inloggegevens van Nederlandse bankklanten te vinden waren. Die servers zijn inmiddels offline gehaald, maar Nu.nl heeft twee nieuwe masterservers ontdekt. Uit een analyse van Tweakers.net blijkt dat op die server gegevens van klanten van onder meer ING, ABN Amro, Rabobank en diverse buitenlandse banken te vinden zijn.

In het geval van ABN Amro en Rabobank kan weinig met die gegevens worden gedaan, omdat voor het inloggen op internetbankieren een random reader vereist is. In het geval van ING kan echter wel met alleen gebruikersnaam en wachtwoord worden ingelogd. In een aantal gevallen kan dat ook daadwerkelijk met de gegevens op de nieuw ontdekte Dorifel-servers. Daaruit blijkt dat het om niet eerder ontdekte gegevens gaat: de eerder al uitgelekte accounts zijn door ING al geblokkeerd.

ING-woordvoerder Daan Heijbroek relativeert de ontdekking. "Er zijn al trojans die login-gegevens van bankklanten ontfutselen", zegt hij. "Het is belangrijk dat mensen hun computer goed beveiligen. Virussen als deze zijn een maatschappelijk probleem." Heijbroek zegt dat het onderzoek naar dit soort trojans 'eigenlijk altijd doorloopt'. "Het zou best kunnen dat er morgen weer gegevens opduiken."

Daarnaast stelt Heijbroek dat het niet gaat om nieuwe bankgegevens. "Deze accounts waren al bekend", aldus Heijbroek. "Daarom hebben we de betaalfunctie van deze accounts geblokkeerd. Uit voorzorg zullen we de toegang tot internetbankieren voor die accounts volledig blokkeren." Dat gebeurde niet direct, omdat ING de getroffen klanten de mogelijkheid wilde geven om hun saldo in te zien.

Trojans als Dorifel onderscheppen login-gegevens voordat ze naar de bank worden verstuurd; de banksites zijn dus niet gehackt. Overigens zijn login-gegevens in het geval van ING niet voldoende om geld over te kunnen maken; daartoe moet een kwaadwillende ook over de zogeheten tan-codes beschikken, die via papier of sms aan een klant worden verstrekt. Sommige malware slaagt er via social engineering echter in om tan-codes te onderscheppen en betalingen te doen. Teksten op de Dorifel-servers wijzen erop dat ook de in dit geval gebruikte malware daartoe in staat is.

Daarnaast kunnen met enkel gebruikersnaam en wachtwoord bij ING wel bankrekeningnummers worden ingezien, wat bijvoorbeeld zou kunnen worden gebruikt voor het uitvoeren van een automatische incasso. Ook is het mogelijk om een PayPal-account aan de rekening te koppelen en deze te bevestigen, waardoor er uiteindelijk zonder tancodes geld kan worden weggesluisd.

Vorige week werd bekend dat een ministerie, twee provincies, twee universiteiten, het RIVM en tal van gemeenten met de Dorifel-malware besmet waren. Het virus onthulde zichzelf door Word- en Excel-documenten te versleutelen, waardoor ze niet langer toegankelijk waren. Waarschijnlijk waren de instellingen echter al langer besmet.

Via het botnet waarmee Dorifel werd verspreid, werd later andere malware verspreid die bankgegevens kon onderscheppen. Om welke malware het daarbij gaat, is nog onduidelijk. Op de Dorifel-servers aangetroffen teksten, die worden gebruikt om ING-klanten om de tuin te leiden, worden ook door andere malware gebruikt. Mogelijk is er een kant-en-klaar framework ingezet.

Bekijk ook de demonstratie van Tweakers.net over de manier waarop trojans bankgegevens ontvreemden.

Update, 11:25: Nieuwe reactie ING in het artikel verwerkt. Volgens ING gaat het niet om nieuwe gegevens.

Reacties (136)

Reactiefilter:-11360132+196+25+30
Het viel me erg tegen dat sommige virusscanners er zo lang over deden om het virus in hun database op te nemen.

De les is ook maar weer, alles controleren als je internet wilt bankieren. Achter alles zit een risico.

Zit er soms een generator in het virus die na een aantal weken/dagen automatisch een nieuw ipadres zoekt ? Dit zien we ook steeds meer in virussen.

[Reactie gewijzigd door ictboy op 14 augustus 2012 10:48]

Wat wil je precies controleren dan?
Als gebruiker zelf moet je meer controleren voordat je inlog op internet bankieren. o.a. het adres het certificaat, is het certificaat wel aan het juiste domein toegekent. bijv. mijn.ing.nl en niet mijn.ing.blalala.org.
Dat maakt alleen helemaal niks uit als een trojan op je eigen computer draait.

Zolang een trojan onopgemerkt blijft is het erg moeilijk om te zien wat er nou daadwerkelijk allemaal gebeurt. De trojan kan gewoon keys loggen en doorsturen. Dan kan je dus gewoon op de officiŽle banksite je gegevens invullen en worden ze toch doorgestuurd naar anderen dan de bank.
De problemen van virussen en trojans zit in de apparatuur die we gebruiken.
Gebruik je Windows, dan kun je verwachten dat een onbekend virus geen enkel probleem heeft om zich te nestelen in de Windows kernel. Dit komt door de architectuur van Windows.
Gebruik je een browser met steeds meer features die gebruikt kunnen worden door java scripts, flash en andere technologieen op websites, dan kun je wachten op een nieuw virus die je via een website oploopt. Dit komt door de features die browsers bieden.

En ja, vergeet niet dat antivirus software in principe dom is: ze vergelijken scripts en objecten met een database. Bij een uitbraak zitten de signatures niet in de database en dus worden ze niet gedetecteerd. En de 'slimme' algortihmes die nieuwe virussen moet ontdekken kun je altijd omzeilen. Je moet dus behalve antirus software ook andere preventieve maatregelen nemen. Voor een doorsnee gebruiker is dat helaas te ingewikkeld.
Zit er soms een generator in het virus die na een aantal weken/dagen automatisch een nieuw ipadres zoekt ? Dit zien we ook steeds meer in virussen.
Sommige virussen hebben een complexe generator aan boord die IP-adressen of domeinnamen genereert (waarbij de botnetbeheerder moet zorgen dat die domeinnamen door hem geregistreerd en ingericht worden), je hebt varianten die een eigen P2P netwerk onderhouden zodat je een update (zowel qua binary code als qua config files) 'ergens' in het netwerk kan zetten waarna het zich organisch verspreidt, of je hebt malware die gebruik maakt van TOR hidden-services om aan updates en nieuwe commando's te komen. Die laatste zijn de ergste aangezien al het aan en afgaande verkeer gecrypt is (firewalls kunnen er niks mee) en er geen centrale C&C server is die je down kunt halen. Bij al deze voorbeelden is het daarnaast mogelijk om de footprint van de binary aan te passen zodat vrijwel geen enkele virusscanner al je botjes kan verwijderen, laat staan detecteren.
Om deze reden vond ik de uitspraak van een security sepcialist laatst interessant: banken moeten hun denkwijze omdraaien: ipv uitgaan van 'schone' clients en bij malware de schuld bij de klant neer te leggen, moeten ze ervan uitgaan dat alle clients besmet zijn. Hierdoor kom je tot hele andere verificatie en validatie mechanismen die broodnodig zijn in het huidige malware landschap. Want let wel, er wordt momenteel meer digitaal geld gestolen dan dat er ooit buit is gemaakt met een klassieke bankoverval (waarbij de grens van $ 20 miljoen vrijwel nooit overstegen wordt, terwijl met internet bankieren dit bedrag per land en bijna jaarlijks wordt gestolen ipv eenmalig)
Het is de keuze van banken om geen gebruik te maken van random codes en browser's. Om die reden kan mijn inziens klanten geen verwijt worden gemaakt.
Het is de keuze van de klant om ergens te bankieren. Als je het niet vertrouwt: klagen bij je bank en als je niet serieus genomen wordt: overstappen. Als 10% van de klanten dit doet moet je eens zien hoe snel men roept dat er nu een, andere, veiligere manier is. Banken zijn net bedrijven, ze investeren alleen als de kosten opwegen tegen de baten. Het enige product van een bank is het vertrouwen wat de klanten erin hebben. Dus stemmen met je voeten.
Om deze reden vond ik de uitspraak van een security sepcialist laatst interessant: banken moeten hun denkwijze omdraaien: ipv uitgaan van 'schone' clients en bij malware de schuld bij de klant neer te leggen, moeten ze ervan uitgaan dat alle clients besmet zijn.
Klopt. Het is alleen wel erg lastig om iets op te zetten als je niets of niemand kan vertrouwen. Eigenlijk onmogelijk. Op een gegeven moment moet je aannemen dat er iets wel te vertrouwen is. Maar ik ben het ermee eens dat een thuiscomputer niet geheel meer te vertrouwen is.

Wat je verder veel ziet is dat men mobiele telefoons volledig vertrouwt. Tan code naar je mobiel, of wachtwoord reset via je mobiel. Dit kan ook een probleem worden naarmate er meer malware opduikt voor telefoons die altijd aan het internet hangen. Misschien met men zich ook eens af gaan vragen of een sms-je wel altijd alleen maar door de bedoelde ontvanger wordt gelezen.
Draai het om: als banken niet 100% kunnen garanderen dat mijn geld niet - buiten mijn weten om - gestolen kan worden via de internetbankieren interface, is het dan wel een goed idee dat ze deze dienst Łberhaupt aanbieden? Bij misbruik zuivert de bank het gestolen vermogen weer aan, maar dat betalen wij direct (hogere pasbijdrage oid) en indirect (hogere inflatie wegens het toenemen van de geldhoeveelheid) zelf. Jaren terug werd al gewaarschuwd dat het aanbieden van internetbankieren een slecht idee was omdat het internet niet met veiligheid in het achterhoofd is opgebouwd. En het ging jaren goed omdat er bijna geen misbruik van werd gemaakt. Nu zijn er wat kundige Roemeense cowboys ten tonele verschenen en blijkt een groot deel van de security architectuur simpel te omzeilen. Dat moet toch te denken geven.
Ik ben wel blij met internetbankieren en niet elke keer naar de bank te hoeven lopen met een overschrijvingsformulier. Daar wil ik best wat redelijk risico voor nemen. Iets 100% garanderen is moeilijk, zeker in IT-land.

(Dat van die inflatie klopt overigens niet; integenstelling tot het populaire geloof mag een bank niet zomaar geld maken. Dit komt gewoon van het bestaande vermogen, wat altijd gedekt is (tenminste) door schuld.)
Daar wil ik best wat redelijk risico voor nemen. Iets 100% garanderen is moeilijk, zeker in IT-land.
Dat is juist de grap, dat risico neem jij niet, dat neemt de bank, en dus de overige klanten. Of accepteer jij het gewoon als je rekening wordt leeggehaald?
En jij kiest er voor bij de betreffende bank te bankieren.
Op zich kun je met de username/pass bij ING ook niet zoveel. Saldo inzien kan wel, overmaken lukt niet (heb je een one-time pass voor nodig via TAN lijsten of SMS). Het is wel een eerste drempel op weg naar het hacken van het account in kwestie.

Weet iemand trouwens of er al hacks zijn geweest op random-readers/e-dentifiers etc.?
Weet iemand trouwens of er al hacks zijn geweest op random-readers/e-dentifiers etc.?
Yep, bij RSA en bij de ABN. Bij RSA hebben ze de blauwdruk van de tokens gestolen (werking kon niet meer worden gegarandeerd), bij ABN hebben criminelen de firmware van de edentifiers in het bankfiliaal aangepast (briljante aanval overigens).
Het valt op dat er nooit melding wordt gemaakt van Belgische banken. Zijn er effectief geen belgische slachtoffers door betere beveiliging of komt het omdat dit vooral een Nederlandse website is?

[Reactie gewijzigd door biglia op 14 augustus 2012 10:47]

Er staat inderdaad nergens vermeld welke de 'diverse buitenlandse banken' zijn.
Het zou best kunnen dat daar Belgische banken tussen zitten
Uit een analyse van Tweakers.net blijkt dat op die server gegevens van klanten van onder meer ING, ABN Amro, Rabobank en diverse buitenlandse banken te vinden zijn
Het zou kunnen, maar het zou well sympathiek zijn als tweakers dit zou melden. Ik dacht begin dit jaar iets te lezen over meer aandacht naar belgiŽ toe van tweakers?
Belgische banken zijn in het verleden al steeds in het nieuws geweest wegens dit soort feiten.
Ik heb dit alleszins nog niet veel gehoord van de Belgische banken, ze gebruiken dan ook bijna allemaal een random reader om in te loggen en om te betalen. Dan nog is het niet onmogelijk natuurlijk, er zijn reeds aanvallen gebeurt met extra kaders waar je je code nog eens opnieuw moet ingeven. Met wat gezond verstand weet je dan dat je gegevens niet moet invullen, maar er zullen altijd mensen zijn die dat wel doen.
inderdaad, zelfs voor betalingen met mijn mastercard online moet ik tegenwoordig m'n code-generator gebruiken, daar waar vroeger de kaartnummer en veiligheidscode voldoende waren.
Het is belangrijk dat mensen hun computer goed beveiligen. Virussen als deze zijn een maatschappelijk probleem
ik snap niet dat dit soort uitspraken nog getolereerd worden door het publiek. Zo lang een bank statische inlogmechanismen en -codes gebruikt zijn klanten kwetsbaar. Dat is geen maatschappelijk probleem, maar een zeer groot intern security-probleem
Voor zover ik weet gebruiken alle (grote) banken in Belgie, card readers die random strings genereren en moet men inloggen met het kaartnummer en een nummer die alleen de gebruiker weet.
Bij ING Belgium is het zo dat je uw kaartnummer moet ingeven, uw ING ID, uw zelf gemaakt paswoord en een random string dat gegenereerd wordt. Deze manier van werken veranderd NOOIT. Argenta werkt op een soortgelijke manier.
Ik begrijp niet waarom jullie en andere landen met TAN werken.

[Reactie gewijzigd door reaper_unique op 14 augustus 2012 12:03]

Ho ho, da's alleen de ING.

Rabobank werkt ook gewoon (zoals het hoort) met random gegenereerde codes vanaf de Random Reader.
Maar de Rabo gebruikt geen door je zelf gemaakte paswoord.
Dat voegt geen extra security toe als dat formulier onderschept wordt door een virus.
Heel misschien gaat ING nu eindelijk eens inzien dat een statische user/pass combo echt een serieuze no-go is. Ook al kun je geen geld overmaken zonder een TAN-code (al wordt de PayPal omweg al aangehaald) dan nog wil je als klant geen pottenkijkers in je account. Voor mij was dit destijds de reden om van bank te switchen en zo te zien heeft ING er ondertussen nog weinig van geleerd.
TAN code om in te loggen moet toch niet zo moeilijk zijn lijkt me? Vind wel dat ze dit mogen gaan inzetten.
Als je het inloggen kunt onderscheppen (met een soort proxy), dan kun je ook de code uit de random reader onderscheppen. Alleen verkrijg je daarmee slechts eenmalig toegang tot de account.

En ik geloof dat er bij de ING ook iets is waardoor je ook maar een x aantal keer kunt inloggen zonder een keer je tan-code te geven. Misschien nog in combinatie met je ip-adres. Af en toen wordt ook een tancode gevraagd om in te loggen.

Zo'n random reader is wel heel veel omslachtiger, dat zou ik als consument niet handig vinden. Maar ze zouden het voor de mensen die het wel waarderen wel kunnen aabieden als optie, voor zakelijke klanten hebben ze die immers wel, dus de infrastructuur is er.
Als jij tancodes invoert om in te loggen zou ik even met de bank gaan bellen om te kijken of al je geld er nog wel is :?
Ik heb in al die jaren dat ik via de postbank bankier nog nooit een tancode moeten invoeren voor het inloggen.
Helemaal mee eens, maar die proxy gaat wel moeilijk werken omdat je dan een MitM aanval moet uitvoeren, een nieuw (je eigen) root/master SSL certificaat in de browser moet injecteren (om SSL waarschuwingen te voorkomen) ťn daarnaast ook nog eens de hele userinterface nabouwen waarbij je een hele trage verbinding simuleert (zo blijft de klant lekker lang wachten en heb jij tijd om met de gestolen gegevens zijn hele account leeg te halen).
Wat dat betreft vind ik het vreemd dat nog geen enkele bank DNSSec op hun domein heeft ingesteld, wat toch al een hoop ellende met fake pagina's kan voorkomen.
Jouw verhaal gaat er vanuit dat je proxied buiten het gehackte systeem om. Als je dit al in de browser onderschept middels spyware, heb je als hacker geen "last" van SSL.
Helemaal mee eens, maar dan vind ik ook dat jij als klant geen aanspraak meer moet kunnen maken op 'aanzuivering' als jouw rekening wordt leegetrokken. Want dat betalen we namelijk allemaal.
@buzzin: het gaat er niet om of je thuis bent, het gaat erom dat een token of random reader altijd veiliger is dan statische login codes.

[Reactie gewijzigd door Rick2910 op 14 augustus 2012 14:19]

Als ik gewoon me aan de beveiligingen van mijn bank houd, en zorg voor een veilige plek om te internet bankieren....waarom zou ik dan geen aanspraak meer mogen maken als er fraude is gepleegd? :?
Leg mij eens uit waarom ik alleen veilig zou zijn als ik thuis ben??
En TAN codes, gebruikersnamen en wachtwoorden vergeet je niet op je vakantie? Als je op vakantie gaat en je denkt toegang tot je account nodig te hebben pak je dat kastje gewoon in, net zoals opladers voor je telefoon en je bankpas. En anders: zo'n random reader is niet gekoppeld aan je bankpas, dus d'r is altijd wel een buurman in de buurt die hem wel meeheeft, of een Rabobank vestiging in de buurt. Mits je in NL blijft natuurlijk. Of je zorgt er gewoon van te voren voor dat je genoeg geld op je rekening hebt.
Eh nee, m'n wachtwoord (en inlog naam) weet ik uit m'n hoofd en m'n tancodes kan je per sms krijgen....dus eh, nee die vergeet je niet.
Een extra apparaatje met 1 specifieke functie raak je veel sneller kwijt of vergeet je sneller.

@FreshMaker: Dat jij niet graag bankiert als je niet thuis ben is jouw keuze....waarom zou een ander het dan niet mogen doen? :?

[Reactie gewijzigd door buzzin op 14 augustus 2012 13:26]

en daarnaast ..

ik heb nog NOOIT internetbankieren vanuit het buitenland hoeven / moeten doen
dan wachten "ze" maar even, als er direct overgeschreven zou moeten worden, of ik neem contact op met kennissen, die het dan wel willen voorschieten.

Zal dan hoogstens 2 weken zijn ( of de persoon gaat naar mijn woning, en regelt het via mijn account, zoveel vertrouwen heb ik dan nog wel in een aantal vrienden )
Met buzzin: als er om een TAN-code gevraagd wordt bij inloggen, ben je waarschijnlijk het slachtoffer geworden van malware. Zie ook: http://www.security.nl/ar...1/ING_phishingaanval.html
Als je het inloggen kunt onderscheppen (met een soort proxy), dan kun je ook de code uit de random reader onderscheppen. Alleen verkrijg je daarmee slechts eenmalig toegang tot de account.
Het verschil zit hem onder andere in hoe de code tot stand komt. De codes uit de readers zijn afhankelijk van pas, tijd en andere factoren. TAN codes zijn pregenerated (en dus op voorhand bekend). Een lijst met TAN codes is vele malen interessanter omdat je daarmee veel vaker transacties kunt uitvoeren en de codes ook nog eens gewoon leesbaar zijn (in de tijd dat bijna iedereen een camera op zijn of haar mobiel heeft erg onhandig). Een TAN code is onveiliger by design en word door sommige security expers ook niet meer als afdoende bestempeld. Tegenwoordig hebben zelfs veel kleinere bedrijven betere systemen op basis van tokens / sms tokens etc.
Even ter informatie:
Bij ING kan je op 2 manieren je TAN-codes verkrijgen, pregenerated of per SMS.
Dat houdt dus in dat je alsnog een Two-factor authenticatie hebt. Gezien de meeste mensen tegenwoordig wel een mobiel telefoontje hebben is dat een zeer betrouwbare manier.

Je hebt namelijk 2 type gegevens nodig.

"Something you know" oftewel gebruikersnaam en wachtwoord.
en
"Something you have" oftewel je mobiele telefoon waarop je de verwerkingscode krijgt.
Alleen zo jammer dat ING de boel zo heeft veranderd, dat je het wachtwoord via diezelfde telefoon kunt laten wijzigen/resetten. Voor mij de reden geweest om daar weg te gaan.
"Zo'n random reader is wel heel veel omslachtiger, dat zou ik als consument niet handig vinden. Maar ze zouden het voor de mensen die het wel waarderen wel kunnen aabieden als optie, voor zakelijke klanten hebben ze die immers wel, dus de infrastructuur is er."

Heh? niet handig? Omslachtig?

We hebben het hier over een apparaatje niet veel groter dan een pinpas van nog geen centimeter dik. Sorry hoor maar ik voer liever een paar extra codes in (eerst een transactie code in de random reader en dan de verschenen verificatiecode in internetbankieren) dan dat ik gebruik maak van onveilig internetbankieren.

Random Reader is een fool-proof concept (zolang je op de rabobank site zit iig) omdat je vanwege het invullen van een transactiecode in de RR Ťnkel dže transactie autoriseert. Dus ook al zou je een virus op je pc hebben die alles wat je intikt af kan lezen dan zou hij er nog HELEMAAL NIKS mee kunnen.
Behalve stiekem op de achtergrond een extra transactie injecteren, en die regel bij het controle lijstje weer even weghalen. Op het moment dat je toegang hebt tot de browser een koud kunstje.
Ja, maar als een virusscanner en firewall het niet onderscheppen wordt het voor de gemiddelde pc gebruiker wel erg lastig
Een gemiddelde pc-gebruiker interesseeert het niets. Als je kijkt naar wat de meeste mensen allemaal downloaden en installeren, is dit meer dan alleen 'ik wist het niet'. Het is een totaal gebrek aan interesse en denkvermogen voor die mensen om voorzichtig om te gaan met de computer.
Ik snap ook geen klap van auto's, maar dat wil niet zeggen dat ik niet kan autorijden. Een kind kun je het niet kwalijk nemen dat die het verschil niet ziet tussen een snoepje en een gevaarlijk medicijn, net zo kun je internetgebruikers niet kwalijk nemen als ze niet paranoÔde zijn bij het installeren van wat leuke smileys. Men maakt misbruik van de goedgelovigheid van de gebruikers, echter mag je daar nooit de gebruikers de schuld van geven, anders eindigen we met een hele hoop nare en gekke mensen (ik inclus). Het open karakter van het internet keert zich nu tegen de plekken waar verificatie en autorisatie van groot belang zijn. De SSL chain-of-trust is ook al 'broken-by-design' aangezien je afhankelijk bent van een derde partij die jou moet controleren (en dus corrumpeerbaar is).
Ik denk dat de banken zich serieus af moeten gaan vragen of het aanbieden van internetbankieren via het publieke internet wel zo'n goed idee is. Een oplossing heb ik niet direct (wel wat losse ideetjes, maar daar win je de oorlog niet mee) maar ik zie wel steeds meer mensen in mijn omgeving die eigenlijk van het internet bankieren af willen vanwege de onveiligheid. Maar probeer dat maar eens administratief te bereiken bij je bank...
Zo kun je alles wel bagatelliseren en zeggen dat men het niet kan helpen.
Wat dat kind betreft geldt dat alleen voor kleine kinderen. Kinderen van 8 jaar weten inmiddels het verschil wel. Peuters en kleuters niet nee, maar daar is het ook zaak om als ouder of voogd zijnde voor te waken. Je kunt internetgebruilkers wel degelijk kwalijk nemen dat ze de gevaren nog steeds niet zien. Men is gewoon te koppig om die dingen in te willen zien. Waarom snappen mensen wel dat je bij een ronde verkeersbord met een rode rand en waar 50 op staat dat je daar 50 kilometer mag rijden of wanneer men een bord ziet met "verboden te betreden" dat men weet dat je daar niet in mag.
Dan moet je ook gewoon snappen dat internet niet zonder gevaren is. En men snapt het ook wel, maar gaat toch door. Er wordt anders al genoeg gewaarschuwd, al kan het uiteraard nog wel beter.
Je haalt zelf de reden al aan. Een bord van 50 snapt iedereen, een bord van 130 ook, maar zou iedereen het snappen als dat 130 bord binnen de bebouwde kom staat (volg je het bord of je eigen onderbuik)? Mensen snappen meldingen en bewegwijzering wel, maar mensen zijn niet bereid om helemaal paranoÔde te worden als het over internetten gaat (ik bankier nu via SSL met mijn bank, maar staat het SSL certificaat wel op naam van mijn bank, zijn mijn hosts niet aangepast waardoor de domeinnaam in de adresbalk wel klopt maar ik in feite met een ander IP-adres communiceer etc). Dat is het ťchte probleem: klanten weten niet wie of wat ze moeten of kunnen vertrouwen op internet, en zelf elke keer alles nazoeken en nakijken maakt het medium bijna onbruikbaar. "Adres van mijn bank, ziet eruit als mijn bank, slotje van mijn bank, en toch is het niet mijn bank"? "Ja meneer, en dat is uw eigen schuld..."

[Reactie gewijzigd door Rick2910 op 14 augustus 2012 11:40]

Het verschil met pc's is dat het installeren van software meer te vergelijken is met het sleutelen aan je auto. Als je totaal geen verstand van hebt van auto's, dan haal je het niet in je hoofd om bv zelf de dynamo te vervangen (door een veel beter exemplaar!). Maar veel pc-gebruikers doen dit wel, ook al hebben ze er totaal geen verstand van. Installeren zomaar even een andere webbrowser of allerlei vage plugins. "Want anders doet die-en-die website het niet!" (en dan komen ze met de meest vage sites en plugins op de proppen waarvan je als expert gewoon al ruikt dat het geen zuivere koffie is).

Autorijden is 1, eraan sleutelen is iets anders. De PC gebruiken is 1, eraan sleutelen is iets anders. Als je een PC (zelfs Windows) helemaal dichttimmert en de gebruikers alleen hun eigen wachtwoord hebben (dus geen admin), je installeert een firewall en beperkt daar het verkeer tot alleen de applicaties die dat ook echt nodig hebben, en je laat de updates automatisch installeren, dan ben je al een heel eind. Het is alleen jammer dat Windows nog geen makkelijk toegankelijk update-systeem heeft waardoor alle software-fabrikanten hun eigen updater maken, de een nog brakker dan de ander (he Adobe). Als ze dat nog even fixen :) dan wordt het nog wel eens wat.

En gebruikers moeten gewoon leren dat sleutelen aan de pc werk is voor specialisten.
ING mag wel een extra laag invoeren bij het inloggen, desnoods ook door middel van een soort Login-TAN ofzo. Die bank heeft aan de lopende band gedonder en staat bekend als de bank die het niet in orde heeft terwijl de oplossing zo relatief voor de hand ligt en het eigenlijk allemaal wel meevalt als ze daar eens naar kijken.
Zo'n apparaat met je meezuilen om bij je bankzaken te kunnen is namelijk ook gewoon ruk zoals ik vrienden/bekenden wel eens zie doen.
Ing heeft tan codes die je via je mobiel ontvangt
Niet voor het inloggen, waar het dus om gaat.
Dynamische inlog codes lossen niets op .. is alleen schijnveiligheid.
Dynamische inlog codes lossen niets op .. is alleen schijnveiligheid.
Eenmalig te gebruiken dynamische inlog codes voorkomen replay attacks en maken daarmee het offline kraken van een beveiliging zo goed als onmogelijk. Ze zijn wel degelijk significant.
Niet voor het inloggen, waar het dus om gaat.
maar met inloggen alleen kun je nog geen geld overmaken.
Ing heeft tan codes die je via je mobiel ontvangt
Of via een papieren lijst.
Ze hebben last van storingen, maar van gehackte accounts toch niet? Doe eens een bron?
Geef eens een bron voor je beschuldigingen?
Ik hoorde juist altijd berichten over problemen bij andere banken....niet bij de ING.

Statische logins zijn geen probleem, mits koppelingen naar bedrijven als paypal een extra beveiliging krijgen.
Het heeft ook een voordeel namelijk: bij de abn word vaak een pas geblokkeerd als ze denken dat er geskimmed is....gevolg: je kunt NIETS meer. Geen internet bankieren, geen geld overmaken....je bent meteen hulpeloos...
Bij de ING heb je dat probleem niet.
Ik refereer juist naar de algemene consensus dat de ING het minder voor elkaar heeft. Dit komt omdat je voor de ING enkel een username en pass nodig hebt om in te loggen, als je als kwaadwillende die onderschept kan je dus inloggen en allerhande info raadplegen. En ik ben het gewoon niet met de stelling oneens, als ING klant, dat dit een probleem is.
De inhoud van mijn rekeningen vind ik informatie waar niemand wat in te zoeken heeft, je kan een eng accuraat beeld opstellen van mijn leefpatroon, dat probleem kan opgelost worden door een tan-code te eisen bij het inloggen, al dan niet altijd, of alleen op onbekende machines.

Dat enkel een username en pass combi niet de meest veilige nog werkbare constructie is die je kan instellen hoef je geen IT expert voor te zijn lijkt me...

Het voorbeeld dat bij ING een geblokkeerde pas je niet je toegang tot je online bankieren ontneemt vind ik niet echt van toepassing. Dat vind ik een ontwerpfout van de ABN. Er zijn veel meer manieren om dat veiliger maar toch nog gebruiksvriendelijk in te richten.

[Reactie gewijzigd door Alpha Bootis op 14 augustus 2012 11:49]

Statische logins zijn geen probleem, mits koppelingen naar bedrijven als paypal een extra beveiliging krijgen.
Het heeft ook een voordeel namelijk: bij de abn word vaak een pas geblokkeerd als ze denken dat er geskimmed is....gevolg: je kunt NIETS meer. Geen internet bankieren, geen geld overmaken....je bent meteen hulpeloos...
Bij de ING heb je dat probleem niet.
Een beetje de omgekeerde wereld als je het mij vraagt.

Ten eerste blokkeren banken echt niet maar zo passen. De indicatie dat er geskimmed is zal dan toch redelijk groot moeten zijn. Het niet blokkeren van geskimmde passen is gewoon dom en een onnodig groot risico voor bank en consument.

Ten tweede: Je kunt beter een geblokkeerde pas hebben (wat je overigens netjes door de bank zal worden gemeld om vervolgens het probleem op te lossen) dan dat jouw bankrekening leeg is gehaald waarna het in vele gevallen veel langer zal duren om dat op te lossen.
Netjes gemeld? laat me niet lachen. De pas van m'n vriendin is nu al 3 keer binnen 2 jaar geblokkerd. Elke keer komt ze er pas achter als ze wil betalen en er niets gebeurt.
Als je dan op vakantie bent is dat extreem lastig en de bank doet het af als JOUW probleem. Gewoon onbeschoft dus van de ABN.....
(en nee, ze is niet onvoorzichtig en gebruikt hem niet op rare plaatsen....ABN blokkeerd gewoon heel snel)

Natuurlijk moet je een pas blokkeren als deze geskimmed is, maar bij de ING houd dat tenminste niet in dat je niets meer kan. Je kunt nog geld overmaken naar je partner/ouders etc om nog iets te kunnen.

[Reactie gewijzigd door buzzin op 14 augustus 2012 12:05]

Mijn ervaring is totaal anders. Ik ben een keer tegen een (terecht) geblokkeerde pas aangelopen en werd daarbij netjes gebeld. Dat was overigens ook in het buitenland (Nepal) en ik werd prima geholpen om tot een oplossing te komen. Dat jij iemand kent die andere ervaringen heeft is spijtig maar het blokkeren van een pas met gegronde reden heeft niets met onbeschoft te maken.

Ik vind het vreemd dat de ING jou nog toestaat geld over te maken van een mogelijk gecompromitteerde rekening. Daar zou ik eerder vraagtekens bij zetten.

Een oplossing zou een soort noodfonds voor tijdelijke leningen kunnen zijn waar de bank een uitkering uit kan lenen (zonder rente) zodat jij die dagen verder kunt maar de rekening op slot kan blijven. Dit zou je dan bv op vertoon van een paspoort oid bij een afgesproken bank kunnen ophalen.
Een oplossing zou een soort noodfonds voor tijdelijke leningen kunnen zijn waar de bank een uitkering uit kan lenen (zonder rente) zodat jij die dagen verder kunt maar de rekening op slot kan blijven. Dit zou je dan bv op vertoon van een paspoort oid bij een afgesproken bank kunnen ophalen.
Rabobank heeft dat al. Rabo Interhelp kan jou een voorschot van maximaal §5000,- aan noodgeld verstrekken, mits je rekeningsaldo toereikend is. Hier kunnen nog wel (administratieve?) kosten aan verbonden zitten.
De meeste banken hebben automatische fraudedetectie. Wellicht dat je vriendin heel snel rijd en schoenen in groningen koopt om dan snel naar rotterdam te gaan voor de Albert Heijn. Als de tijd tussen deze acties te kort is, dan kan dat al een blokkade opleveren ;-)
De meeste banken hebben automatische fraudedetectie. Wellicht dat je vriendin heel snel rijd en schoenen in groningen koopt om dan snel naar rotterdam te gaan voor de Albert Heijn. Als de tijd tussen deze acties te kort is, dan kan dat al een blokkade opleveren ;-)
Yep, zo werd ik een keer door VISA gebeld omdat ik op 1 dag iets betaalde met m'n creditcard in New York, en in Zaandam. Dat klopte overigens gewoon. Maar dat soort checks zijn maar wat fijn, ik heb in de tijd dat ze nog van die carbonnetjes maakten van creditcards wel eens meegemaakt (ook in de USA) dat iemand m'n kaart geskimmed had en daar leuke aankopen had gedaan. (overigens kreeg ik dat geld binnen een paar uur teruggestort op m'n rekening, door een spoedtransactie van VISA)
ING heeft helemaal nooit gedonder, dit gaat over lakse gebruikers die hun login data hebben laten ontfustselen.
Die bank heeft aan de lopende band gedonder en staat bekend als de bank die het niet in orde heeft
Is dit nou smaad of domheid.?

Ik heb nog nooit last gehad met bankieren bij ING, noch met de papieren TAN-codes.
N.a.v. de Rabobank die hun bankpassen standaard blokkeert voor geldopnames buiten Europa (wat andere banken wat mij betreft ook mogen invoeren), zou ik zo'n optie eigenlijk ook wel willen hebben voor internetbankieren: blokkeer inloggen voor mijn account voor IP's van buiten NL of Europa. Uiteraard met mogelijkheid om het zelf op elk gewenst moment (al dan niet tijdelijk) te kunnen aanpassen.

Uiteraard is ook dit niet waterdicht, maar elk laagje beveiliging is mooi meegenomen, en het levert voor 99% van de mensen geen extra ellende of werk op.
Zo'n ip-blokkade gaat bij een botnet geen nut hebben, Zo'n net heeft duizenden ge-infecteerde clients in Nederland. En als je dan toch de login-gegevens op een ge-infecteerde client buitmaakt, kun je die natuurlijk ook vanaf diezelfde client gebruiken.
Slecht plan.
De crimineel gebruikt een tunnel naar een Nederlandse server terwijl jij vanuit je vakantie adres dan niet kan inloggen om in te grijpen en te controleren waarom je rekening leeg is.
Precies, goed idee, en stuur me dan een SMS als er vanaf een ander IP ingelogd wordt.
Dan kan ik dan bepalen of dat IP toegestaan moet worden en dat per SMS, of liever nog via een apart deel van de Rabobank site waar de randomgenerator weer voor nodig is, bevestigen.
Dus jij denkt dat de gemiddelde klant van de Rabobank dit technische geneuzel begrijpt? De meeste mensen zijn gewoon niet in staat op basis van dit soort gegevens beslissingen te nemen over of iets wel of niet veilig is.

Sowieso hebben mensen thuis al niet de garantie dat ze een vast IP adres hebben en mobiel al helemaal niet.

[Reactie gewijzigd door Herko_ter_Horst op 14 augustus 2012 11:53]

Je kunt zo'n systeem n00b-vriendelijk maken; bij een login op Facebook kun je een beveiligingsoptie aanzetten waarbij je bij een login vanaf een onbekend apparaat aan moet geven hoe dat apparaat heet, dat wordt vervolgens naar je e-mail gestuurd. Kan ook via SMS. En als een gebruiker, op vakantie, vervolgens een SMS krijgt met "Er is ingelogd vanaf @$IJOAigjsaioj vanuit Verweggistan", dan moet er wel een alarmbel gaan rinkelen bij die gebruiker. Geolocation kan daar ook bij helpen, ook al kan ook dat om de tuin geleid worden. Maak de gebruiker iig bewust van een login vanaf een onbekende locatie.
Bij de ING kun je overigens ook beleggings-transacties doen zonder TAN-codes.
Kijk: en dat is dus heel erg dom van ING. 1-factor security op iets wat geld kan kosten is natuurlijk uit den boze.
ING-woordvoerder Daan Heijbroek relativeert de ontdekking: "Het is belangrijk dat mensen hun computer goed beveiligen. Virussen als deze zijn een maatschappelijk probleem."
Mijn eerste reactie: "pfff, lekker bagatelliseren"
na ff verder denken: heel goed dat hij het publiek nuchter duidelijk maakt dat dit aan de orde van de dag is. Het is niet per se falen van de banken - hackers zullen erin blijven slagen logins te stelen.

Moraal: Let dus altijd goed op je veiligheid, ook als er even geen virus of hack in het nieuws is!
Ze geven wel hun klanten nog toegang tot hun saldo, maar adviseren dan niet om het wachtwoord te wijzigen? De gevonden logins werkten namelijk toch? Oeps? :P

Maar ja geforceerd het wachtwoord laten wijzigen zonder dat de klant daarvan op de hoogte is is ook weer tricky, want dan denkt de klant weer dat het een phishing-actie is.

Dit is ook een beetje het probleem aan het worden, je wordt er onderhand paranoÔde van, vooral als beginnende/niet zo ervaren pcgebruiker :/
Het virus onthulde zichzelf door Word- en Excel-documenten te versleutelen, waardoor ze niet langer toegankelijk waren.
Dat blijf ik een vreemde actie vinden, het virus verraad zijn aanwezigheid door een, op het eerste gezicht, vrij nutteloze actie. Of is dit een verspreidingsroutine die misloopt..
Webwereld heeft het virus geanalyseerd. Als ik het mij goed herinner was dat inderdaad een bug. Het was de bedoeling dat het virus verborgen werd maar per ongeluk werd het hele document versleuteld.
Via de ABNAMRO kan je tegenwoordig ook met elleen een wachtwoord je internet bankieren bereiken.
Dit geldt ook voor de Rabobank. Via de rabo-app voor Android kun je zo inloggen op je rekening en geld overmaken naar 'bekende' rekeningen zonder random-reader. De toegangscode stamt nog uit het tijdperk van de rabofoon (ik dacht 1998).

Als je geld over wilt maken naar een rekening die je nog niet eerder hebt gebruikt is het gebruik van een randomreader wel noodzakelijk.

Overigens was hier een tijdje geleden ook een lek in ontdekt. De toegangscode is 5 cijfers en men kreeg een statuscode terug of de code correct was. Ook nadat het maximaal aantal pogingen was overschreden. Dit is sindsdien wel opgelost. Zie ook dit bericht.

[Reactie gewijzigd door jan-marten op 14 augustus 2012 11:03]

klopt. alleen moet je dit eerst activeren met behulp van de reader. gebruik dit zelf ook. ook kun je hier een limiet instellen, zet je die op 0 dan kan je alleen geld tussen eigen rekeningen overmaken.

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Laptops Microsoft Apple Games Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013