Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 517, views: 92.619 •
Submitter: TD-er

Alle Nederlandse banken hebben gezamenlijke regels opgezet voor veilig internetbankieren. Wie bijvoorbeeld geen anti-virussoftware op zijn smartphone draait en wie illegale software gebruikt, lijkt kans te lopen zelf op te draaien voor het schadebedrag bij internetfraude.

Zaterdag maakte de NVB de vijf uniforme regels voor veilig elektronisch bankieren en betalen bekend. Tot nu toe hanteerde iedere bank zijn eigen veiligheidsvoorschriften. De banken schrijven klanten voor hun bankrekening te controleren, hun beveiligingscodes geheim te houden, ervoor te zorgen dat derden hun bankpas nooit gebruiken en incidenten direct aan de bank te melden. Tenslotte moeten gebruikers van internetbankieren zorg dragen voor een goede beveiliging van de apparatuur waarmee ze hun bankzaken regelen.

In de toelichting staat dat software op apparaten zoals computers, tablets en smartphones, die voor bankzaken gebruikt worden, moet worden voorzien van de laatste beveiligingsupdates. De NVB doelt hiermee niet alleen op het OS, maar ook op beveiligingssoftware als virusscanner en firewall. Daarmee lijkt de NVB het gebruik van beveiligingssoftware voor apparaten als computers en mobiele apparaten indirect ook als voorwaarde te stellen.

Gebruikers dienen verder het gebruik van hun apparatuur achter een toegangscode te plaatsen, te zorgen dat onbevoegden niet de applicatie voor bankzaken kunnen gebruiken en altijd uit te loggen na internetbankieren. De gezamenlijke banken eisen verder dat klanten geen illegale software op hun systemen draaien, waarschijnlijk omdat ze van mening zijn dat dit het risico op backdoors en andere malware verhoogt. Dit staat echter niet nadrukkelijk vernoemd.

Als consumenten schade lijden, maar deze veiligheidsregels niet hebben nageleefd, dan lopen ze kans dat ze zelf op moeten draaien voor het bedrag dat zonder toestemming van de rekening is gehaald. Wie de regels wel opvolgt, maakt wel aanspraak op de wettelijke verplichting voor banken om het schadebedrag te vergoeden, waarbij ze overigens een eigen risico van 150 euro kunnen instellen. De NVB wijst erop dat banken op basis van hun coulancebeleid in bepaalde gevallen ook tot vergoeding kunnen overgaan als klanten zich niet aan de regels hebben gehouden. 

Update, 12.40: Genuanceerd dat de bewoordingen van de NVB niet direct het gebruik van beveiligingssoftware voor apparaten voor internetbankieren als eis stellen, maar dat dit indirect het geval is.

Update 2, maandag 17.00: De Nederlandse Vereniging van Banken laat aan Tweakers weten dat het draaien van een virusscanner en firewall op een computer inderdaad een eis is. "Tenminste, als je er zeker van wil zijn dat je in aanmerking voor vergoeding komt", zegt Jelle Wijkstra, woordvoerder van de NVB. Voldoe je niet aan deze voorwaarde op het gebied van beveiliging van je systeem, dan kom je volgens Wijkstra 'in de gevarenzone'.

Over beveiligingssoftware op smartphones en tablets kan hij minder duidelijkheid scheppen: "Ik heb me laten vertellen dat er voor sommige tablets geen antivirussoftware is, dan kun je dat als banksector natuurlijk ook niet verplicht stellen." Naarmate er meer malware-aanvallen voor mobiele apparaten komen en de beschikbaarheid van beveiligings-apps groeit, kunnen banken volgens hem wel weer als voorwaarde stellen dat klanten deze toepassingen ook daadwerkelijk gebruiken.

Wijkstra geeft toe dat de regels op dit punt onduidelijk zijn: "We gaan het hiermee de komende periode doen en evalueren of ze voldoende zijn. Het schept in ieder geval in zoverre duidelijkheid, dat iedere bank afzonderlijk voorheen zijn eigen regels had, die voor een groot deel overigens overeenkwamen. De eis voor een veilige wifi-verbinding van sommige banken is gesneuveld." 

Verder wijst hij erop dat banken tot nu toe zeer coulant zijn bij het toekennen van de restitutie bij fraude: "Het principe van redelijkheid en billijkheid zal toegepast worden bij claims, als het gaat om de beveiliging van systemen. Aan een student informatica mogen hogere eisen gesteld worden dan aan een oud vrouwtje." 

Antivirus voor smartphones en tablets

Draai jij beveiligingssoftware op je smartphone of tablet?

Nee, ga ik niet doen ook
69,9%
Ja, op beide
12,3%
Nee, maar ben het wel van plan
8,0%
Smartphone wel, tablet niet
6,2%
Tablet wel, smartphone niet
3,7%

Aantal stemmen: 14.465. Deelname gesloten op 15-12-2013 09:40. Stemmen is niet meer mogelijk.

Reacties (517)

Reactiefilter:-15170502+1375+231+31
1 2 3 ... 16
Ik vroeg me gister al af bij Kassa.. Hoe gaan ze dit controleren? Moet je je spullen afgeven? Ook zei meneer in het programma, als alles up tot date is kan je niets gebeuren?..
Ja lol vraag ik me ook af... Mag je straks na een hack/skim/diefstal/etc. al je logs gaan inleveren bij de bank zodat ze kunnen zien of je wel veilig bent ingelogt op bijvoorbeeld een gratis accespoint? Komen ze thuis je server doorzoeken?
Oh wacht ik vermoed dat men de bewijslast om gaat draaien. Toont u maar eens even aan dat u aan onze voorwaarden heeft voldaan. Anders helaas pech geld weg... :+ :(

Juist ja, ongedraaide bewijslast... Eikels.
Controleren
Verder moet de klant kunnen aantonen dat hij bankafschriften geregeld controleert en moet hij mogelijke incidenten direct melden.

[Reactie gewijzigd door ManiacsHouse op 24 november 2013 10:05]

Die bankafschriften controleren is gemakkelijk, bij de Rabobank. Ik "misbruik" een mobile dienst om een dagelijkse stand van mijn rrekening geautomatiseerd binnen te halen. Laat de bank maar bewijzen dat ik ze niet lees.

Up to date systeem.
Zet een VM met een kale installatie van Windows met een AV ding er op. Zet alles aan op automatisch updaten. En gebruik hem voor niets andes dan je bankzaken. Nu voldoet een leek, aan de veiligheids eissen.

Negeer het hele mobile betalen, aangezien jij als leek, niet kan garandeen dit dit veilig is.
Komt daar nog bij dat volgens mij IOS en WP geen beveiligingssoftware hebben, per definitie voldoe je dus al niet aan de regels want ze spreken over smartphones en tablets :+

En een leek gaat niet met VM's prutsen. Ik neem ook aan dat alle oudjes met een XP computer dan ook maar pech hebben wanneer de support stopt?

Maar daar gaan we wel naartoe, de klant moet het maar bewijzen... En banken zijn machtig genoeg dat ze dit blijkbaar kunnen. Zou ik volgende keer een opt-out mogen als ze weer eens een redding nodig hebben met belastingsgeld? Dat ze dan gelijk eerst moeten bewijzen dat ze als een goede huisvader met het geld om gingen...
Komt daar nog bij dat volgens mij IOS en WP geen beveiligingssoftware hebben, per definitie voldoe je dus al niet aan de regels want ze spreken over smartphones en tablets
Dat is toch mooi :)
Ik mag toch verrwachten van mijn bank, dat als ze een applicatie uitbrengen voor een bepaalde platform. Dat ze ook gekeken hebben naar de beveiligings mogelijkheden van dit platform en daarmee een aantal aanbevelingen kunnen doen om de veiligheid te verhogen.

Nee, een leek gaat idd niet prutsen met een VM, maar de bank kan deze ook leveren en updates voor verzorgen. Zie het als een virtual kantoor :)
[...]
Ik mag toch verrwachten van mijn bank, dat als ze een applicatie uitbrengen voor een bepaalde platform. Dat ze ook gekeken hebben naar de beveiligings mogelijkheden van dit platform en daarmee een aantal aanbevelingen kunnen doen om de veiligheid te verhogen.
[...]
Banken kijken nu al niet eens naar de gevaren van de geleverde dingen voor telebankieren.
Heel simpel voorbeeld; de ABN-Amro.
Ze gebruiken daar nog steeds die 'groene' e-identifier, waar je je pas in moet steken.
Voor het inloggen alswel als het bevestigen van een betaling moet je als klant dezelfde handeling uitvoeren. Als klant kun je dus niet onderscheid maken tussen een typefout en dus nogmaals inloggen of het bevestigen van een ongemerkt klaargezette betaling (door malware bijvoorbeeld).
Dat is gewoonweg niet mogelijk en een grof schandaal dat de ABN nog steeds gebruik maakt van dergelijke apparaatjes.
Maar goed, dat heb ik pak 'm beet 5 jaar geleden al aangegeven bij de bank en het is nog steeds in gebruik. Maar nu gaat de klant opdraaien voor eventuele schade, omdat malware ineens valt onder de noemer "grof nalatig" gedrag van de klant, terwijl je met een hele simpele actie van de bank het mogelijk maakt voor de klant om het te herkennen en actie te ondernemen.

Zo zullen er wel meer banken zijn die dergelijke beginnersfouten maken met hun authentificatie en beveiliging.

En hoe zit het met het aanvinken "onthoud gebruikersnaam op deze computer" bij het inloggen op mijn ING?
Daar is je gebruikersnaam eigenlijk een deel van je wachtwoord, omdat je dat vrij kunt kiezen (en veranderen). Feitelijk geef je dan een deel van je wachtwoord vrij. Is dat ook "grove nalatigheid"?
Er is wel een verschil tussen inloggen en betalen hoor.

Voor inloggen steek je je pas er in en druk op je inloggen.

Voor betalen steek je je pas er in en druk je op betalen.


Bij het inloggen krijg je geen challenge, bij het betalen wel.
Bij beide acties staat het met plaatjes en tekst uitgelegd wat je aan het doen bent en hoe het er uit zou moeten zien.

Bij de ING krijg je een SMSje met een TAN-code en het bedrag dat in totaal aan je overschrijvingen verbonden is, als je de papieren lijst niet gebruikt.

Bij de mobiele apps heb je meestal een 5-cijferige code en een limiet in je opties. Zo kan je vaak inloggen en overmaken met die ene code, maar niet meer dan bijv. 50 euro. Dat kan je dacht ik wel instellen tot een maximum van 500 euro.

[Reactie gewijzigd door johnkeates op 24 november 2013 14:45]

Er is toch echt geen verschil tussen inloggen en betalen bij ABN AMRO bij gebruik van de groene e-identifier. Misschien is dat bij de nieuwere e-identifier veranderd, maar dat is blijkbaar voor de bank niet belangrijk genoeg om de oude om te wisselen voor de nieuwe.

In aanvulling op onderstaande: ABN AMRO weigert inderdaad de oude e-identifier gratis om te wisselen voor een nieuwe.

[Reactie gewijzigd door rdjnl op 24 november 2013 15:36]

Ik heb een groene e-dentifier. Ik heb er zelfs 3, om dat ik even naar de bank ging en vroeg om een paar extra e-dentifiers 'voor het geval dat', en voor op vakantie. En voor een op het bureau en een in de tas.

En ik krijg er periodiek voor elke rekening een met de post, een nieuwe. Voor het geval de oude een lege accu heeft.

Voor de duidelijkheid, dit is een edentifier:
http://www.wimhoflandfoto...%20web/edentifier2_sh.jpg

Wat jij waarschijnlijk bedoelt is de oude versie die al lang uitgefaseerd is (maar nog wel werkt als ie nog steeds niet leeg is): http://bin.ilsemedia.nl/m/m1gy3t7wq457.jpg
Gewoon naar de ABN toegaan, "Batterij is op" krijg je nieuwe...
Ik moest de nieuwe e-dentifier kopen.
Bij het inloggen krijg je geen challenge, bij het betalen wel.
Bij beide acties staat het met plaatjes en tekst uitgelegd wat je aan het doen bent en hoe het er uit zou moeten zien.
Bij de oude e.identifier krijg je dus 2x dezelfde actie voor zowel inloggen als bevestigen van de betaling en ik heb nog nooit een bericht van de bank gehad dat deze omgeruild moest/mocht worden.
Bij de ING krijg je een SMSje met een TAN-code en het bedrag dat in totaal aan je overschrijvingen verbonden is, als je de papieren lijst niet gebruikt.

Bij de mobiele apps heb je meestal een 5-cijferige code en een limiet in je opties. Zo kan je vaak inloggen en overmaken met die ene code, maar niet meer dan bijv. 50 euro. Dat kan je dacht ik wel instellen tot een maximum van 500 euro.
Ik weet dat je een SMS'je krijgt, maar mijn punt is ook meer dat je bij de ING ook met alleen een inlognaam en wachtwoord geld kunt kwijtraken.
Zo kun je een PayPal account koppelen aan je rekening. Het enige wat je dan hoeft op te geven is een code die bij een overschrijving van 1 cent staat. Die omschrijving kun je al lezen als je kunt inloggen.
Dat klopt, ik vind ook niet dat de systemen goed in elkaar zitten, maar sommige dingen kloppen niet.

Wat beter zou zijn is een multifactor auth, waarbij je een username/password combinatie hebt, een random code, en een challenge-response verificatie, waarbij je de laatste gebruikt voor transacties enz. en dan random code voor aanmelden, maar op een manier waarbij de random code en de challenge-response niet aan elkaar gekoppeld zijn zoals bij ABN nu wel is. (Je ondertekent de random code met je rekeningnummer, je pasnummer en je pincode, en de code is op basis van tijd)

[Reactie gewijzigd door johnkeates op 24 november 2013 16:43]

zo werken ALLE belgische banken dus ...
dat is het standaard MAESTRO betalingssysteem met Challenge/ident/response (login) en Ident/challenge/Amount/Response (betaling)

dit werkt cryptografish identiek als het pinnen aan de muur bij je bank om bv bankzaken te verrichten (login) of als pinnen aan de straat om geld af te halen (betaling)

ons 'kaske' ziet er dus zo uit: http://blogimages.seniore...d19be50388790d51282cc.jpg en alle banken gebruiken het tegenwoordig (of een afgeleide ervan met ietwat andere kleurtjes... http://www.brunoblogt.be/...2/02/IMG_0822-225x300.jpg
Kbc gebruikt bakjes met barcodescanners!

Gr harald
Er zit weldegelijk verschil in; de edentifier2 zoals ABN die gebruikt is andere hard- en software dan de massa apparaatjes die inderdaad door 99% van alle andere banken gebruikt wordt.

Cryptografisch werken ze inderdaad allemaal ongeveer hetzelfde, met als verschil of je een challenge-response aan kan bieden of ook optioneel een digitaal ondertekende random code.
PayPal werkt met automatische incasso.
Een bedrijf kan soweiso een incasso doen, of ze nu toestemming hebben of niet.
Daarom kun je een incasso altijd ongedaan maken. (storneren)
PayPal werkt met automatische incasso.
Een bedrijf kan soweiso een incasso doen, of ze nu toestemming hebben of niet.
Daarom kun je een incasso altijd ongedaan maken. (storneren)
Niet alle incasso's kun je laten storneren.
En zelfs al zou je de PayPal incasso's kunnen laten storneren, dan ben je er nog niet vanaf. Volgens PayPal is er namelijk door jou een koppeling gemaakt met jouw rekening en dus ben jij verantwoordelijk.
Storneren zou dan het probleem alleen maar heel tijdelijk niet zichtbaar laten zijn.
Nou, als Paypal geen handtekening van jou heeft, kun je een doorlopende automatische incasso laten storneren, en dan moeten zij maar bewijzen dat jij toestemming hebt gegeven, wat ze dus in de practijk niet kunnen.
Nou, als Paypal geen handtekening van jou heeft, kun je een doorlopende automatische incasso laten storneren, en dan moeten zij maar bewijzen dat jij toestemming hebt gegeven, wat ze dus in de practijk niet kunnen.
Dat is inderdaad de theorie. (voor meer info over deze manier van fraude, zie hier nieuws: Fraudeurs omzeilen beveiliging ING via Paypal )
Echter volgens de nieuwe regels, waar dit hele nieuwsitem over gaat, heb je dan minstens 1 van de regels overtreden, dus gaat de bank niet meer proberen jou te vergoeden.
En dat is precies wat ik bedoelde met mijn opmerking over het kunnen koppelen van een PayPal account aan je ING rekening.
Die regels van de bank zijn leuk, maar staan niet boven de wet. Ik storneer gewoon alles wat ik wil (daar heb ik recht op) en als ze geld willen zien starten ze maar een rechtzaak, dan verteld de rechter wel wat de echte regels zijn.
Maar dit artikel gaat helemaal niet over stornering: het gaat over wanneer iemand geld van je rekening heeft afgeboekt op andere wijze dan via een incasso. In dat geval valt er niets te storneren en ook niets automatisch terug te krijgen middels je bank, dus zonder iets te beginnen direct tegen de ontvanger zelf.

Het aardige van storneren voor jou als klant is nou juist dat je het bedrag meteen terug kunt krijgen—maar dat kan dus niet bij een gewone overboeking; dan moet je aan je bank vragen of zij jouw schade willen vergoeden, waarbij de bank dus verlies lijdt. Dat doet de bank in bepaalde gevallen, deels bepaald door de overheid, en deels door de regels van de bank zelf. Over dat laatste gaat het artikel.

Die truc met Paypal is inderdaad interessant. Dat is dus alleen relevant voor wanneer een crimineel wel je rekening kan bekijken, maar geen overboekingen kan doen. Hij geeft Paypal opdracht om een account te activeren, wat hij bevestigt door de code te noemen die alleen iemand kan zien die de rekening kan bekijken. Paypal kiest ervoor om die code te interpreteren als het geven van toestemming voor een doorlopende incasso. Stel nu dat je zo'n incasso laat storneren. Dan moet Paypal ofwel het verlies incasseren (aangenomen dat de dief er met de buit via Paypal vandoor is), ofwel jou aansprakelijk stellen, b.v door een incassobureau in te schakelen. Maar ze kunnen via de bank de stornering niet blokkeren, dus op korte termijn krijg jij je geld meteen terug. De bank heeft er verder niets meer mee te maken in het geval van een stornering, die voeren ze gewoon sowieso uit.

Zelfs al was het de krant, die wel een schriftelijke machtiging van jou heeft voor een doorlopende incasso, dan nog kan de krant via bank niets tegen jouw stornering beginnen, als ik het goed begrijp, en moeten ze via de normale weg direct met jou communiceren om jouw ertoe te bewegen hun alsnog te betalen.

Stel nu dat het een éénmalige incasso was via Paypal (ik denk niet dat Paypal dat doet, maar stel). Dan kun je niets storneren. Wat je wél kunt doen is bij je bank de incasso aanvechten. Dan krijg je niet meteen je geld terug, maar vraagt de bank aan Paypal om te laten zien dat ze een schriftelijke (ondertekende) of telefonische machtiging van jou hebben voor de incasso. Die heeft Paypal dus niet. Dan moet de bank het geld terugstorten, zelfs als ze het bij de ontvanger niet terug kunnen krijgen (wat de bank natuurlijk wel zal proberen).

Paypal kan proberen de bank ervan te overreden dat de code, die alleen gezien kon worden door iemand die jouw rekening kon bekijken, als machtiging moet tellen. Ik kan niet uitsluiten dat de bank daar misschien in mee zou gaan en zou weigeren het geld terug te storten; maar in theorie mag de bank dat niet doen, omdat het geen schriftelijke of telefonische machtiging is. Dat zijn de regels van Currence, het systeem volgens hetwelk de banken incasso's afhandelen.

Als het nu een rechtstreekse overboeking naar Paypal was, waarvoor een dief dus wel overboekingen moet kunnen doen vanaf jouw rekening, dan kun je helemaal niets laten storneren, noch een incasso aanvechten; dan kom je dus terecht bij de regels van de overheid en van de banken (zoals in het artikel). Ik neem aan dat de regels van de banken door de wet overtroefd worden bij de rechter; ik weet alleen niet precies meer wat de regels van de overheid zijn, en je wilt liever niet naar de rechtbank.

Ten laatste zullen banken in veel gevallen nog steeds je schade vergoeden ook al heb je hun regels niet precies nageleefd, om goodwill te kweken; het publiceren van die regels is denk ik voornamelijk bedoeld om mensen oplettend te maken, en ook om misbruik (mensen die geld expres zelf overmaken naar een webshop en dan claimen dat ze gehackt zijn) te ontmoedigen.

[Reactie gewijzigd door Cerberus_tm op 25 november 2013 00:15]

Voor het inloggen alswel als het bevestigen van een betaling moet je als klant dezelfde handeling uitvoeren.
Je kan al jaren de versie 2 van de e.dentifier krijgen, die gebruikt verschillende menu-opties voor inloggen en voor betalingen.
De bank adverteert dat niet en maakt het gebruik van de oude ook niet onmogelijk, dus de bank laat nog steeds 100'000-en klanten onveilige tools gebruiken. En dan gaan ze nu wel van de klanten eisen dat updates toch zeker elke 2 weken bijgewerkt worden. :?

En bij de ABN is een versleten pinpas niet eens gratis te vervangen, dus ik ga er even vanuit dat een e.dentifier ook niet gratis vervangen zal worden. Als dat wel zo zou zijn, zouden ze dat wat meer pro-actief mogen doen.
De bank adviseert dat wel, ik heb per rekening een brief gekregen (iets meer dan een jaar geleden) dat dat aangeraden werd.

De bank adviseert daarentegen niet om de nieuwe edentifier met kabel te gebruiken. Maar zonder kabel dus wel.

Daarnaast heb ik van ABN ook al mijn passen en creditcard gewoon al twee keer gratis vervangen gekregen op aanvraag, dus ook daar geen slechte ervaring mee, in mijn kennissen kring ook niet. Dat gaat bij ING trouwens ook gewoon goed. Alleen bij de rabo niet altijd.
Ik ben bij ABN meerdere malen naar kantoor gegaan en gezegd "mijn pas doet het niet". Dan testen ze het eerst in hun terminal op het bureau en vervolgens krijg je binnen 5 werkdagen gratis een nieuwe thuis.
Hier meerdere keren gehad dat een pas nog binnen de "houdbaarheid" zat, maar in meerdere winkelketens gewoon niet meer te gebruiken was.
Gewoon altijd in 't plastic hoesje, maar mooi niet dat 'ie gratis vervangen werd.
Dus kennelijk verschilt dat nogal per filiaal.
TD'er misschien moet je gewoon iets meer op je achterpoten staan. Ik heb ING en ABN. De ING pas hoe slecht die er ook aan toe is werkt altijd. ABN pas geeft het idd vrij snel op dus is gewoon hun schuld, slechte kwaliteit. Achter op 'je' pas zie je ook dat het helemaal niet van jou is, maar eigendom van ABN. Vroegtijdige slijtage komt dan ook gewoon voor hun rekening.
Ik heb een keer meegekeken op hun beeldscherm op kantoor en het is gewoon heel simpel. Ze hebben een dropdown box met de keuze betaald of gratis. Toen ik dat zag zei ik klik maar gratis :)
Het is inderdaad een goed punt: Banken stellen een aantal voorwaarden, maar als gebruiker kan je zelf geen eisen stellen aan de manier va internetbankieren...

ING: Ik gebruik allerlei symbolen in mijn wachtwoord maar dat wordt (of althans, werd) niet geaccepteerd (illegaal symbool-fout) alleen letters en cijfers, en maximaal 8. Inmiddels accepteren ze gelukkig nu ook hoofdletters...

Bij de Postbank vroeger logde ik in via modem op een apart telefoonnummer, op die manier kon er ook niemand iets opvangen aangezien op dat moment de PC niet met het internet was verbonden. Dat is nu wellcith onhandig, maar was wel enorm veel veiliger: Het systeem stond namelijk los van het WWW.

Ik begreep eigenlijk niet waarom de banken het hebben over een smartphone of tablet, die gebruik ik helemaal niet voor internetbankieren: Ik krijg mijn codes per post namelijk.
Codes per post heeft voor- en nadelen: Je codes kunnen gejat worden, samen met je PC (dan ben je al een heel eind). Voordeel is dan weer dat die betaalcode niet van je smartphone onderschept kan worden.

Eigenlijk zegt de bank nu tegen alle internetbankierders:
- Je PC moet altijd een OS hebben wat nieuw is en ondersteund wordt (nee, meneer, Linux betekent automatisch dat uw klacht wordt afgewezen).
- Je mag eigenlijk géén gratis software gebruiken (die SourceForge link in uw browser betekent afwijzing).
- Je mag zelfs niet de 'Free'-versie van AVG gebruiken...

Dan rijst er nog de vraag of je een website als de Telegraaf dan bijvoorbeeld aansprakelijk moet gaan stellen voor een malwarebesmetting en de daaruit voortvloeiende schade, in plaats van de bank...

Eigenlijk zit ik eraan te denken om ofwel een opstart USB-stick te maken voor internetbankieren, of er een losse PC voor in te richten (... eigenlijk waanzin...).

Laten de banken dan ook zelf eens iets bedenken, die opstart-USB stick, om een veilige verbinding voor internetbankieren te creëren, is dat dan niet een idee? Ik heb 10 jaar voor de banken gewerkt, veel fraudes meegemaakt (skimming, internetfraudes, diefstal, op lichting etc) en zij denken heel simpel: Als de oplossing meer kost dan de schades dan halen ze hun schouders op en doen ze niets (creditcard/pinpas met pasfoto bijvoorbeeld, of de nu net pas ingevoerde chip ipv magneetstrip).
Sorry, maar als je zoveel moeite hebt om je computer virusvrij te houden, dan kan je inderdaad beter wat anders gaan bedenken.

Die puntjes die je aanhaalt (geen Linux, geen gratis software, geen AVG) heb je blijkbaar ook maar uit je duim gezogen. Het enige wat van je verwacht wordt is "Zorg voor een goede beveiliging van de apparatuur die u gebruikt voor uw bankzaken". Bon, als je denkt dat Linux niet veilig is, kan je het voor je eigen gemoedsrust best links laten liggen, maar zomaar gaan vertellen dat de bank je op zou leggen om geen Linux of AVG te gebruiken slaat nergens op.
Zuig ik het uit mijn duim of is het mijn interpretatie van de regels zoals de banken ze nu aan ons voorspiegelen?

Ik zeg niet dat Linux onveilig is, het is open-source, en dus gratis software. De banken gaan dan, net zoals verzekeraars dat doen, alles uit de kast halen om maar niet te hoeven te betalen. Dan is het niet hebben van een Mac of MS besturingssysteem, een gratis AV ipv een betaalde, en het hebben draaien van een open-source programma om je CD-verzameling te beheren al een reden om jouw PC als 'onveilig' te bestempelen.

Ik ben blij dat er nog mensen zoals jij zijn die onbezorgd door het leven gaan, maar dan heb je nog niets meegemaakt. Ik heb heel lang in die bankwereld gewerkt en ik heb heel wat huilende mensen aan de telefoon gehad.
Jij hoeft hier niet in mijn plaats te gaan bepalen (en al helemaal niet op internet te gaan kwakken) wat ik al of niet heb meegemaakt.

Daarnaast is het absoluut je goed recht om het artikel van hierboven te komen tegenspreken. Met je 'hele lange' ervaring in 'de bankwereld' zal je dan vast ook wel in staat moeten zijn om te kunnen staven dat het het gebruik van de zaken waar je het over hebt (linux, open-source software om muziek te luisteren, gratis AV) in deze context als onveilig zouden gelden. Het artikel hierboven en de links waarnaar er verwezen wordt, spreken dat alvast tegen.

En om op je vraag te antwoorden, door stellingen te poneren als dat een link in je browser naar SoundForge zou aantonen dat je computer onveilig is, lijkt het er inderdaad dat je hier heel wat zaken uit je duim aan het zuigen bent. Ik hoop dat je daarvoor toch een sterker argument hebt dan dat je het wel zal weten omdat je lang in de bankwereld hebt gewerkt en er mensen hebben gehuild.
Dat is nou juist het verschil tussen iemand zoals jij, die aan de consumentenkant staat, en iemand als ik, die bij bij zo'n bedrijf/instelling werkt. Jouw denkwijze is die van 'Ik doe niets fout, dus alles komt goed' en wij aan de andere kant kijken alleen naar de puntjes die wij kunnen gebruiken om jouw claim niet te honoreren.

Een advocaat doet dat ook, de wet interpreteren op een manier zoals het hem en zijn cliënt het beste uitkomt. Als die crimineel dan vrijkomt staat dat ook groot in de krant en is iedereen verbolgen. Dat gebeurt dus in de echte wereld. Dat jij dat niet accepteert is simpelweg een kwestie van het nooit meegemaakt hebben.

Wederom: Ik ben blij dat er nog steeds mensen zijn zoals jij die een blindelings vertrouwen hebben in recht, rechtspraak, menselijke maat en eerlijkheid. Op mijn werk noemden we zulke mensen naïef.

Alleen al het feit dat ik een PC gebruik zonder wachtwoord is voor een bank al voldoende om mijn PC als 'onveilig' te bestempelen.
Hou nu toch eens je mond over jij dit en jij dat. Je hebt geen flauw idee tegen wie je het hebt, dus het is niet aan jou om hier te komen zever over wat ik heb meegemaakt en niet, over waar ik zou werken en waar niet. JE WEET ER NIKS VAN.

En al die holle woorden van je. Blablabla...
Er is een spreekwoord voor dit soort situaties waar de één het wel, en de ander het niet heeft meegemaakt: 'Door schade en schande wordt men wijs'.

Met 'holle woorden' bedoel je 'blablabla'-woorden?
VM's zijn niet persé veilig. Er zijn zelfs proof of concepts die mallware op Hypervisor nivo hebben aangetoond. Niets is inherent veilig.

De bankwereld roept het nu eigenlijk (eindelijk) in het openbaar: internetbankieren is niet veilig te krijgen. Klaar. Je kunt een PC (welk merk/os dan ook) niet vertrouwen. Smartphones al helemaal niet. Die zijn gewoon het meest onveilige van allemaal (ongeacht merk/os).

Het meest veilige zou zijn een gesloten systeem, een kastje dus, van de bank. Een systeem waarbij het onmogelijk is om van buitenaf contact mee te maken, geen updatemogelijkheid en alleen een mogelijkheid om via een encrypted verbinding met de bankcomputer te praten. Two-factor authentication gebruiken, en/of iets als een Yubikey voor een one-time-password.

Het hoeft niet duur te zijn, als het maar veilig is. Zo simpel mogelijk.
Je kunt een PC (welk merk/os dan ook) niet vertrouwen. Smartphones al helemaal niet. Die zijn gewoon het meest onveilige van allemaal (ongeacht merk/os).
Ik hoor die banken toch echt regelmatig roepen dat internetbankieren via smartphone veiliger is dan via PC. Ik heb nooit begrepen hoe ze dat kunnen beweren :P
De banken misschien (wie?). Maar als je securityexperts spreekt, zeggen die wat anders.
Er zijn Trojaans die een VM herkennen en zich dan rustig houden of de VM om de tuin leiden. Het zal je dus veel maar niet voor alles helpen.
Zet een VM met een kale....................Nu voldoet een leek aan de veiligeidseisen. Die twee spreken elkaar tegen. Een leek heeft geen benul van een VM. En hoe moet een leek een VM opzetten op een smartphone?
Zet een VM met een kale installatie van Windows met een AV ding er op.
Een VM is niet per definitie veilig hoor.
Het is namelijk ook maar gewoon een programma dat draait op je PC.

Een VM is ongeveer even veilig als dat banken zelf binaries zouden leveren.

(Ja misschien is het NU eventjes veilig, maar zodra de grote massa VMs gaat draaien, dan natuurlijk niet meer...)
Als je alleen op die VM internet bankiert. zou ik zeggen: Geen anti virus en gewoon instellen dat hij niets opslaat. Elke keer dat je de VM restart is hij sowieso weer schoon.
Dat is juist het punt: als jij ze wel bekijkt en daarna niet de bank inlicht onmiddelijk is het verder jouw verantwoordelijkheid. In feite ga je dan stilzwijgend akkoord met de transacties zoals je ze bekene hebt.

Dus zet die dagelijkse pull maar snel stil als je ooit frauduleuze transacties wilt kunnen terugdraaien...
je kunt ook doen zoals ik... geen internet bankieren. gewoon naar het kantoor en overschrijvingen per post.
Dat is een mogeljkheid, maar we leven niet meer in 1980. Ik internet bankier zelf op mn iPad, mn MacBook of een vertrouwde PC op mn werk. Dat laatste alleen wanneer het echt nodig is. Op de iPad gebruik ik mn browser en niet de app. De codes laat ik dan via sms doorkomen. Dat leverd een aanvaardbaar ridico op. Maar met papieren overschrijvingen naar de bank? Wist niet eens meer dat dat kon.
En dat is onveiliger dan bankieren via internet. Jouw betalingen gaan fysiek door vele handen die allemaal misbruik kunnen maken van jouw geld zonder dat jij daar invloed op hebt.
Dat zou best kunnen, maar dat is dan niet meer het probleem van de klant. Deze heeft zijn betalingsbewijs. Als later de overboeking hier niet mee overeenkomt ligt het probleem 100 % bij de bank.
precies.. ik vertrouw postbank niet helemaal. ze proberen me hun internetbankieren op te dringen en daar doe ik dus niet aan mee. als ik moet betalen/geld overmaken dan kan het nog steeds met hun gratis envelop. als bedrijven extra geld vragen dan geef ik wel een automatische incasso af die je binnen x weken weer kan laten terugboeken.
je kunt ook doen zoals ik... geen internet bankieren. gewoon naar het kantoor en overschrijvingen per post.
Grapjas,
Ons kantoor is gesloten, na véél opzeggingen zijn er met gratie 2 automaten teruggeplaatst.
Dichtstbijzijnde kantoor is 21KM weg.

Acceptgiro's kosten extra ( zorgverzekering rekent 2,50 - VF berekend je 2¤ )
Je wordt gedwongen om elektronisch te bankieren, maar de nazorg is er niet.
Ik zie regelmatig bejaarden worstelen met de stortingsautomaat, of zelfs de pinautomaten.

Het leven is makkelijker, totdat je buiten je eigen ervaringswereld komt ... mijn 95jaar oude grootmoeder heeft dat allemaal niet, maar de bank verwacht wel dat ze haar rekening online bekijkt :|
Hoe gaan ze dit controleren? Moet je je spullen afgeven?
Het is net als bij diefstal van fysieke goederen, de verzekering kan vragen om bepaalde zaken te bewijzen. Zoals het inleveren van bonnetjes, aantonen van braakschade, inleveren van alle sleutels en meewerken bij een onderzoek.

Als jij net (voor het idee) ¤10.000 schade hebt opgelopen en de bank vraagt om langs te komen met de computer waarmee je normaal internetbankiert voor 'onderzoek' dan is het lastig weigeren.
Uiteraard kun je je beroepen op privacy, maar dan kan de bank de schade niet goed onderzoeken en zijn ze niet meer verplicht om die schade te dekken.

De mensen met blauwe ogen hebben uiteraard hierin altijd een voordeel. ;)
Wat ik al zei de verantwoordelijkheid volledig bij de klant neerleggen. En reken maar dat de banken naarstig op zoek gaan zoeken naar 'foutjes' zodat ze jou simpelweg een oor aan kunnen naaien. Want waar ga je naar toe als de bank jou beticht van de laatste patch van Office niet geinstalleerd, wat totaal niets te maken heeft of had met de betreffende schade??
Binnenkort maar weer papieren bankoverschrijvingen bestellen denk ik: ik gebruik een linux pc. De NVB regels zijn een beetje jammer voor linux, als je ze letterlijk neemt:
o.a.:
Zorg dat de geïnstalleerde software op de apparatuur, zoals computer, tablet en/ of
smartphone, die u voor het regelen van uw bankzaken gebruikt, is voorzien van actuele
(beveiligings)updates. Geïnstalleerde software is bijvoorbeeld het besturingssysteem en
beveiligingsprogramma’s, zoals virusscanner en firewall;

Jammer, linux heeft standaar veel poorten dicht, maar de firewall is er niet of staat standaard uit. Uit veiligheidsoverwegingen: kan ie niet per ongeluk een poort open zetten. Virusscanners doen we al helemaal niet aan.

Edit: typo's. Toegevoegd:
Gezien het risico om je (flinke) spaarrekening en het banksaldo geheel verliezen, is het wel een aanrader je spaarrekening niet bij je salarisrekening houdende bank te hebben. Elders betekent twee verschillende inlogs voor overboeken van spaar naar salaris en van salaris naar dief: extra hobbel voor digitale dieven.

[Reactie gewijzigd door Xubby op 24 november 2013 10:39]

Linux heeft wel degelijk virusscanners (ik heb ze ook hier draaien) clamav

Er zijn zelfs scanners zoals chroot kit. Die rootkits kunnen herkennen.

Wat betreft je firewall, dat ligt echt aan je distro en aan jezelf.

Wat ik wel raar vindt is dat de meeste virusscanners echte mallware vaak niet eens goed aanpakken onder windows en je daar een mallware scanner voor nodig hebt! (en dat staat er niet in)
Dat jij geen virusscanner installeerd of de moeite niet neemt om een firewall correct te configureren is uw keuze, maar 1 waarmee ik niet akkoord ga. Ook onder linux verhogen een firewall en virusscanner de veiligheid, en je kan en mag niet beweren dat er bijvoorbeeld geen virussen bestaan voor linux, want deze zijn er wel degelijk.
Er bestaan wel degelijk virussen voor Linux, maar dat een virusscanner op Linux de veiligheid zou verhogen is zeer discutabel.

De virusscanner zelf is namelijk een app die je het volledige vertrouwen moet geven omdat die overal bij kan en die bovendien regelmatig moet communiceren via internet om updates binnen te halen. Als je virusscanner gecompromitteerd wordt ben je dus het haasje. Die kans moet je afwegen tegen de kans dat de virusscanner een hack van je OS of één van je andere apps weet te voorkomen.

Die afweging valt verschillend uit afhankelijk van welke software je draait maar over het algemeen zal de kans dat je Linux machine gehacked wordt vaak kleiner zijn dan het extra risico dat je loopt dat je virusscanner gehacked wordt of door false positives je systeem onbruikbaar maakt.
Cyclische beredenatie. Maar als je stelt dat de kans dat een Linux machine gehacked wordt klein is en de updates van de virusscanner komen van een Linux machine dan is dat in ieder geen reden om niet een virusscanner te installeren. Dan ga je ook nog eens volledig voorbij aan het feit dat de update server een single purpose machine is die als het goed is goed wordt onderhouden en bewaakt, dit in tegenstelling tot een systeem waar jij je dagelijks werkzaamheden op doet met een veelvoud aan applicaties. Het update process is een aparte daemon die zelfstandig de validiteit van de updates controleert alvorens deze aan de lokale database toe te voegen. En als laaste kan je de virusscanner prima draaien met beperkte rechten (selinux) en zonder root rechten (bv gewoon onder je eigen account).
Zoals Xubby al zei, clamav.
Er staat nergens dat het een actieve scanner moet zijn, dus yum/apt-get install clamav.

De bekendste distro's draaien standaard wel een set iptables rules. Laat de output van 'sudo iptables -L' in een console maar zien.

Laatste troef, selinux. Staat standaard ook vaak aan, hoe anoying ook.
Als het goed is dan doet iptables dat net niet, het is aan de gebruiker om zijn firewall in te stellen. Debian voegt allesinds geen regels toe:

root@debian:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Het is jammer en uiterst schakelijk voor het imago van Linux gebruikers indien jij serieus wordt genomen met het verkondigen van je gevoel van schijnveiligheid.
Jammer, linux heeft standaar veel poorten dicht, maar de firewall is er niet of staat standaard uit. Uit veiligheidsoverwegingen: kan ie niet per ongeluk een poort open zetten
Het is beter om te adviseren een standaard ingeschakelde firewall te hebben die expliciet alle het inkomende verkeer blokkeert, veel is immers niet alles. Er is tevens software die niet de mogelijkheid heeft om specifiek te binden op adressen (vaak is het alles of 1). Het is echt triest dat er nog steeds distros zijn die out of the box niet de moeite nemen om de (eind) gebruiker te adviseren iets aan veiligheid te doen, een afdoende minimaal firewallscript bestaat in essestie uit 3 regel:
$iptables -A INPUT -i lo -j ACCEPT
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A INPUT -j DROP
Dat worden er natuurlijk wat meer indien het in de vorm van een init script komt, maar dit is wat ik elke keer weer met de hand moet toepassen op nieuwe installs of telefoons. Of je een outbound firewall wil is aan de gebruiker, dat is een stukje maatwerk.
Virusscanners doen we al helemaal niet aan.
Wie is we? Ik gebruik regelmatig clamav. Je weet immers maar nooit. Op mijn persoonlijke single user machines ben ik nog nooit iets tegen gekomen, op multiuser machines helaas wel. Het is er, gebruik het af en toe dan ook aub.
...aanrader je spaarrekening niet bij je salarisrekening houdende bank te hebben.
Je moet sowieso geen spaarrekening bij een bank aanhouden.
1. Ze lenen het meer dan tienvoudig uit en hebben heel je spaarsaldo binnen een jaar aan rente bijmekaar geschraapt, jou met een schamele 'vergoeding' afschepend.
2. Door die geldschepping die ze met jouw spaargeld als dekking plegen, neemt de inflatie alleen maar nog meer toe.
3. Ze speculeren ermee en maken de markt kapot.
4. Als dat speculeren mis gaat krijg jij (een deel van) je geld niet meer terug.

Je kan dat waardeloze papier ('spaargeld') van je beter in goud of zo omzetten en bewaren. Of wat dacht je van bitcoins (op een goed moment gekocht)?
Geloof niet elke samenzweringstheorie op internet :)
Al dit spul (geldschepping, inflatie (toename geldhoeveelheid), speculatie, bailouts) heeft ook in de kranten gestaan hoor. ;)

O wacht, en is ook op TV geweest.
Dan zou je toch moeten weten dat de geldhoeveelheid (incl de groei van M1 door bankleningen) wordt gereguleerd door de centrale bank dmv de eisen voor reserves, jouw spaarsaldo heeft daar geen invloed op.

Dat geld 'waardeloos' is en onderhevig is aan (milde) inflatie is nou juist de hele bedoeling: het is een zo praktisch mogelijk betalingsmiddel, geen verzamelobject zoals goud, bitcoins of Flippo's.
Volgens mij is je spaargeld nou juist die 'reserve' zodra je 't aan de bank geeft.

Wat flippo's betreft heb je gelijk.
Wat bitcoins betreft ook een beetje, hoewel 't hier en daar wel voor betalingen (Virgin Atlantic, silk road), maar voornamelijk nog voor speculatie (mtgox.com), wordt gebruikt.
En goud wordt betaalmiddel zodra onze papieren euro door 't putje is gegaan. En dat is tot nog toe altijd gebeurd met fiat-geld...
Nee. Spaargeld is geen eigen vermogen, maar vreemd vermogen voor een bank.
Dan nog lenen ze 't tegen 16% uit aan degenen die rood staan, terwijl ik er maar een schamele 2.5% of zo voor krijg.
Vind ik erg lullig.
Bovendien hebben die bankiers 't bij mij inmiddels volledig verpest, zodat ik bij mijn mening blijf: geef ze niet je spaargeld!
Dat is geen samenzweringstheorie, dat is zorgvuldig achtergehouden informatie naar de burger. Deze informatie leer je op geen enkele school, tenzij je een specifieke vervolgopleiding kiest.

Het simpele feit dat men verplicht is een bankrekening te hebben wanneer men voor een baas werkt zodat hij hier je salaris naar overmaken kan zegt genoeg.
Banken zijn juridisch EIGENAAR van je 'geld' en jij bent ACHTERGESTELD schuldeiser wanneer het fout gaat.

Maar goed, je komt er nog wel achter binnen een jaar of 10
Banken zijn juridisch EIGENAAR van je 'geld' en jij bent ACHTERGESTELD schuldeiser wanneer het fout gaat.
Nog nooit van het garantiestelsel gehoord zeker?

Overigens kan je werkgever je heus contant uitbetalen als je dat graag wilt.
[...]

Nog nooit van het garantiestelsel gehoord zeker?
Maar voor die paar tiende procent extra rente zet je je ouwe dag toch op een achtergesteld deposito? Of je zet het op een bank in zeg IJsland, die gaven toch ook een mooie rente.

Trouwens met een beetje handig bankieren kan je middels het garantiestelsel een behoorlijk kapitaal verzekeren als particulier.
Je krijgt de eerste 2 ton toch terug? Neem een rekening bij de ING, een bij de RABO, SNS, Regiobank, ASN en Triodos en je kunt met een gerust hart een miljoen stallen. Immers bij elke bank die omvalt krijg je de eerste 2 ton terug van DNB / de staat, dus als er nergens meer dan 2 ton staat ben je gewoon gedekt.
Bij dit soort adviezen hoort een waarschuwing met betreffende het risico (de risicometer), je stelt alternatieven voor gegarandeerde opbrengst (voor zover er een rente vaste periode geldt) en gegarandeerd geen verlies anders dan opbrengensten lager dan inflatie/(vermogens)belastingen (mits je onder de 100000 EUR blijft) die vallen in de categorieen klein (2) tot zeer hoog (5).
Ik kijk net even voor de zekerhied in yast, openSUSE 13.1.
Ik heb wel degenlijk een firewall, en die staat ook aan.

En dat is de standaard installatie van openSUSE.

Verder heeft openSUSE iets van app amor. Ik wil best toegeven dat ik niet echt weet wat het is, maar het is wel een stukje beveiligings software.

http://nl.opensuse.org/AppArmor
Binnenkort maar weer papieren bankoverschrijvingen bestellen denk ik: ik gebruik een linux pc. De NVB regels zijn een beetje jammer voor linux, als je ze letterlijk neemt:
o.a.:
Zorg dat de geïnstalleerde software op de apparatuur, zoals computer, tablet en/ of
smartphone, die u voor het regelen van uw bankzaken gebruikt, is voorzien van actuele
(beveiligings)updates. Geïnstalleerde software is bijvoorbeeld het besturingssysteem en
beveiligingsprogramma’s, zoals virusscanner en firewall;
Hier staat overigens niet dat er virussanner en firewall geïnstalleerd moeten zijn, maar dat ze, als ze geïmstalleerd zijn, moeten zijn voorzien van de laatste (beveiligings)updates.

Daarbij kun je stellen dat Linux de firewall standaard uit heeft staan, maar dat wil nog niet zeggen dat deze niet is geïnstalleerd. Hoe je die gebruikt bepaalt natuurlijk wel de mate van beveiliging.

Wat een beter voorbeeld voor up-to-date software zou zijn is browser en Java / Flash, aangezien veel malware-infecties juist komen door veiligheidslekken in die software. (En een actuele virusscanner helpt dan vaak niet eens, want die lopen vaak toch achter de feiten aan)
Wat ik al zei de verantwoordelijkheid volledig bij de klant neerleggen. En reken maar dat de banken naarstig op zoek gaan zoeken naar 'foutjes' zodat ze jou simpelweg een oor aan kunnen naaien. Want waar ga je naar toe als de bank jou beticht van de laatste patch van Office niet geinstalleerd, wat totaal niets te maken heeft of had met de betreffende schade??
Uiteindelijk kun je altijd naar de rechter stappen. Maar er is echt wel een verschil tussen een patch 'missen' en je pc een virus-infested, crack-wahala met alle bekende key-sniffing-tools, alle backdoors open laten zijn en dan nog een gebruiker die overal alles maar invult.

Het is hetzelfde als de brandverzekering:
Een kaars vergeten, een beschadigd verlengsnoer door de hond of water over een elektrisch apparaat... dat kan gebeuren. Daarvoor is je verzekering.
Bekabeling die los hangt, zekeringen die zijn vervangen door aluminiumpapier of 'vastgezet', verlengsnoer op verlengsnoer op verlengsnoer uit de jaren 60. Antieke apparatuur waaraan 'geknutseld' is zodat ze het nog wel doen, maar niet maar automatisch afschakelen. Daarvoor ben je niet verzekerd en terecht!

Elk weldenkend mens snapt dat je dan risico neemt dat met een paar euro is te voorkomen. En als je te beroerd bent om ¤50 per jaar? uit te geven om dingen veilig te houden, dan hoef je van een verzekering ook geen ¤100.000 te verwachten als het mis gaat.... Een verzekering is om onverwachte dingen te verzekeren, niet om meer risico te kunnen nemen. En bij de bank loopt ook een verzekering tegen skimming/internetfraude/.... en die betaald dus ook niet zomaar uit.
En hoeveel kost het een bank om two-way authenticatie in te stellen?? En dan het liefst met sms of ander apparaat en niet via de mail?

Dat is toch een extra manier om wanneer er iets verkeerd gaat kijken of het niet aan de klant ligt. Een ander telefoonnummer icm met een IP dat nooit eerder is gebruikt moet verdacht maken. Etc etc.
Maar voor dergelijke checks and balances heb je extra personeel nodig en het mag zeker niet teveel kosten...
Maar dat hebben banken toch al (thans 2 factor)? bv random readers bij inloggen . Het zou inderdaad mooi zijn indien je de mobiele bank app als 2 way zou kunnen gebruiken, gezien de bestaande apps/infra is dat redelijk triviaal om te implementeren (met bv https://tiqr.org/), maar om de gebruikers zover te krijgen... je moet dan opeens 4 dingen meeslepen, een te vertrouwen apparaat voor het bankieren, een random reader en je pin pas, een appart apparaat voor de aditionele verificatie.

ING heeft overigens geen 2 factor/way authenticatie maar wel 2 factor/way autorizatie (TAN via SMS), ze hebben zelfs de extra check die je voorstelt op IP addr (PAC).
Wat is het verschil tussen twee factor authenticatie en two favtor autorizatie ?

Authenticatie is toch iets dat je weet en iets dat je hebt, volgens mij is in jouw voorbeeld met ING daar ook sprake van, een usernameen wachtwoord plus een mobiele telefoon, dus to factor?
Bij two-factor authenticatie wordt doormiddel van 2 zaken (iets wat je weet, hebt of bent) vastgesteld dat jij bent wie je zegt dat je bent.
ING doet dat niet. Die gaat er met naam en wachtwoord vanuit dat jij bent wie je zegt dat je bent.

Two factor authorization zorgt er d.m.v. 2 zaken voor dat je autorisatie hebt om iets te doen, ongeacht wie je bent.

Het principe van beide is hetzelfde, alleen wat ze controleren is anders. De een controleert je identiteit, de ander je authorisaties.
Dat klopt ook weer niet helemaal.
Op het moment dat je geld overmaakt of instellingen aanpast bij de ING, moet je wel degelijk een zogenaamde TAN code invoeren en dat is vergelijkbaar met Two Factor Authentication.
Killer heeft volkomen gelijk, het werkt verder precies hetzelfde maar het doel is anders:
-authenticatie: bewijzen wie je bent.
-authorizatie: bewijzen dat je iets mag.

Een rekening kan meerdere logins hebben, maar wellicht kan er slechts 1 user de verzendlijst daadwerkelijk verwerken.

TAN (Transaction Authentication Number) wordt bij ING alleen gebruikt voor het verwerken van de verzendlijst, niet bij inloggen.

De functie van een TAN is het voorkomen van een replay attack door een challenge (welke code hoort bij nummer x)/response (de code) in te bouwen op de meest triviale manier. Het zegt niets over de aard van de transactie.

Met de huidige versie van internetbankieren zou dat wat intelligenter kunnen, maar je moet bedenken dat het systeem z'n oorsprong heeft in Girotel, een volkomen onbeveiigt medium. Het opnemen van de audio van de gebruiker zou zonder TAN voldoende zijn om in te loggen, transactie toe te voegen aan de verzendlijst en te laten verwerken.
Mijn fout, ik las zijn bericht verkeerd!

EDIT: Ik zie het al, ik reageerde op de verkeerde :P

[Reactie gewijzigd door calvinturbo op 24 november 2013 14:31]

Audio opnemen? Asljeblieft niet. Dat is zo simpel te frauderen. Evenals video/beeld authenticatie. Gewoon een foto ervoor hangen, of een videotje als de authenticatie beweging nodig heeft (dit werkt op ALLE mobieltjes met facial-recognition unlock).
Dan klopt het toch wel wat ik zeg, of begrijp ik je verkeerd?

Zo snel als je een actie uitvoerd, dan moet je met een TAN-code werken. Dat authoriseer je de handeling. Niet je identiteit (indirect natuurlijk wel). Om in te loggen en de handeling voor te bereiden heb je niets meer nodig dan alleen je naam en wachtwoord.

Two-factor zegt allen maar iets over de methode (je hebt 2 zaken nodig om iets te doen). Wat j ermee doet definieert vervolgens de benaming. In het geval van de ING is het dus Two-factor authentication. Als ze ook om een code vroegen bij het inloggen zou het inloggen ook two-factor indentification zijn.
als ze zo naarstig op zoek naar fouten zijn geweest hadden ze niet al "naarstig" zo lang geld uitbetaald aan een ieder die er weer een rotzooi van maakt door op linkjes te kliikken, aan 'acties' mee te doen, met virusscanners te werken die sinds vorig jaar niet meer geupdate zijn..
wat een kolder vergelijking met office. je geef zelf al aan waar je je op kun beroepen. office heeft neits met bankzaken te maken dus daar hebben ze ook geen poot om mee te staan. je laatste viruspatch wel, je illegale windows versie ook. de verantwoording behoort ook steeds meer bij de klant te liggen, omdat de klant steeds goedkoper wil, en steeds vaker dus ook onveilig te werk gaat.
Alleen dus dat het wel mogelijk is dat een ungepatchte office exploits bevat die door malware potentieel jouw systeem kan besmetten, dus in zekere zin klopt het wel. Vandaar dus dat ze gepatchte software als onderdeel hebben opgenomen. Zelfde geld voor ieder ander programma trouwens. Als je pc besmet raakt dmv een exploit in een bepaald programma, heeft het er zeker direct mee te maken. Het bewijzen daarentegen is enorm lastig.

Verder denk ik dat er op een aantal punten idd niet goed is doorgedacht, het lijkt enorm Windows gericht te zijn. Nu zullen de meeste ook wel internetbankieren op Windows en/of Mac, maar Linux lijkt 'buiten' de regels te vallen.
dat Linux en mac os er buiten lijkt te vallen komt denk ik voornamelijk omdat het als veilig is bestempeld en dus veel minder gezien word als een dreigement. daarnaast denk ik dat mensen met Linux minder bezig zijn met illegale software omdat het voornamelijk al gratis is. windows gebruikers willen wel alle software, maar er niet voor betalen. gaan allerlei gekke capriolen uithalen om het binnen te krijgen, en nemen daar juist de risico's mee.

mag toch aannemen dat als bij controlle blijkt dat de hele pc schoon is, er geen illegale software op staat, en alles up2date is, behalve net toevallig office niet de nieuwste update heeft. dat rabobank dan echt niet gaat zeggen, sorry meneer uw office is niet geupdate u krijgt niets vergoed.
Je haalt het office verhaal zo wel behoorlijk uit de context. Het gaat mij hier om het probleem dat ze er naar kunnen verwijzen als blijkt dat er door malware geld is buitgemaakt. In dat geval kunnen ze oa verwijzen naar exploits in ungepatchte software. Maar nogmaals, dat is 1 van de vele scenarios en lastig te bewijzen.
Sorry hoor, maar hebben we door het NSA schandaal niet geleerd dat "Legale software" nog steeds net zo lek als "Ilegale software?" hoe zit het met zelf ontwikkelde applicaties? Hoe zit het met Os-en zonder virus- en/of malware scanners? De enige scanner voor OSX die ik ken scant op Windows virussen zodat je ze niet door stuurt via mail of USB).

Ammehoela dat ik daar een dure licentie voor ga aanschaffen. De verzender van het origineel is daar verantwoordelijk voor en de ontvanger kan daar zelf een scanner overheen gooien. Mijn systeem is dus zo goed als veilig (virtuele linux bak binnen OSX), maar voldoet aan geen enkele van de genoemde eisen met uitzondering van een up-to date os (Mavericks met autoupdate) de Ubuntu versie die ik gebruik is echter zo oud dat ik al niet eens meer weet wanneer ik die CD ooit heb aangevraagd.

Al met al kan de bank dit niet doen, tenzij ze zelf apparaten gaan leveren die dit allemaal kunnen (net als die random readers), maar dat zullen ze ook nooit doen. 2-Factor auth. is denk ik nog het meest veilige wat ze kunen gaan implementeren, met een bezoekje aan de bank als je het telefoonnummer wilt wijzigen.
In dit artikel, is het hebben van een virusscanner/firwall/malwarescanner op zichzelf geen bindende voorwaarde, het enige wat men vraagt (in dit opziht is: "Zorg voor een goede beveiliging van de apparatuur die u gebruikt voor uw bankzaken." Wat op zich niet veel verandert met de eerdere toestand, want de banken hadden dit al jaren in hun regels opgenomen, behalve dat het in Nederland vanaf nu op gezamelijke regels gaat.

Als jij iets van computers weet, en je weet dat er niets aan de hand is, dan hoef je geen spijkers op laag water te gaan zoeken, dan voldoe je gewoon aan die eis dat je apparatuur goed beveiligd is.

En natuurlijk kan een bank dit doen. Ze doen dit al jaren en het is nooit een probleem geweest.
Wat dacht je van beveiliging tegen Phishing? Ik weet niet of OSX/Linux dit stanndaard hebben, maar phishing is wat ik begrijp op dit moment oorzaak nummer 1 en in 95% of meer van de gevallen platform onafhankelijk.

Daarnaast heb ik ook al security bulletins gelezen over OSX Botnet, dus zeggen AV/Antimalware op OSX/Linux niet nodig zal zijn lijkt mij enigzins gevaarlijk.
Het zal vast nodig zijn enzo, maar het probleem is dat bijvoorbeeld Mcafee alleen op windows virussen scant en dus eigenlijk nul toegevoegde waarde heeft voor de veiligheid van een mac.
Yep, ik dacht ook al zoiets tussen de regels door te lezen. Eerst helpen ze de volledige financiele wereld naar de vaantjes met een recessie tot gevolg, en vervolgens gaan ze de deur openzetten tot het niet vergoeden van schade bij internetfraude?

Wat is het voordeel nog om je geld op een bankrekening te zetten als A de rente nihil is, B de heren bankiers het geld vrolijk kunnen 'kwijtraken' (IceSave anyone?) en C je het mogelijk toch niet terugkrijgt als het gestolen wordt?
De verplichting om je loon/uitkering/beurs op een bankrekening te laten storten... je kunt dus niet om dit monopolie heen. Bijkomend voordeel voor de overheid dat ze alles kunnen checken of je niet zwart werkt :p
Bijkomend voordeel voor de overheid dat ze alles kunnen checken of je niet zwart werkt :p
Het idee van zwart werken is juist dat di maftekkels er dus niet achterkomen.
Zo moeilijk is dat niet hoor. ik weet niet of jij je je eerste vakantiebaantje nog herinnert....
Jawel. Maar eventueel geld dat ik overhield stortte ik alsnog op de bank. Aan de balie wel te verstaan.
Vorige week nog een dikke beun gehad, maar die ¤ 1000 hou ik mooi in mijn oude sok. Kan ik de plaatselijke middenstand een plezier mee doen en niet de bank die er dan allerlei ongein mee uithaalt.
ja is ook vrij logisch want storten via de laptop gaat een beetje lastig. maar geld storten kan ook gewoon omdat je een kast hebt verkocht oid. Dus daar wordt niet heel gek van opgekeken. Wat ik wel raar vind is dat er niet wordt gekeken naar de herkomst van het geld en waar het heen gaat. Ik was laatst even geld pinnen voor een nieuwe laptop bij de bank en toen stonden er twee vrouwen voor mij die ongeveer 25.000 wilden storten want dat moest worden overgemaakt naar een buitenlandse rekening met de vraag of dat kon. Sorry hoor, maar dan gaan bij toch echt alle alarmbellen rinkelen.
Vziw is er een regel of wet die controle verplicht als men doodleuk meer dan 15.000 wil storten.
http://www.rijksoverheid....gebruikelijke-transacties
(hey daar hebben we terrorisme weer!!!)
niet als je dus met meer mensen bent. Allebei dus de helft (12.500) en er is niets aan de hand.
Lol whut!? 8)7
Zo zie je maar dat de echte 'boeven' toch wel weer wat weten te regelen... En onder het mom van veiligheid blabla (of afschuiven kosten van fraude) drukt men er wel van alles doorheen.
Bij de bank gaan er ook wel belletjes rinkelen, maar die dame aan de balie heeft daar verder niet veel mee te maken.
jawel, want die hoort de daarvoor aangestelde personen in te schakelen. Deze dames vroegen specifiek bij de dame aan de balie of ze die hoeveelheid in twee delen konden storten. Als ze nu hadden gevraagd of ze 1250 konden storten op 1 account had ik het nog gesnapt, maar specifiek naar een een verdeling vragen die net onder het limiet ligt is wel verdacht vind ik.
Bij IceSave is er niemand geld kwijtgeraakt die zich hield aan de limieten van de deposito garantie. Sterker nog, destijds was de limiet 20.000 euro (dus ik had er 18.000 op gezet want ik wou dat de ontvangen rente ook binnen de garantie viel), maar nadat de bank was omgevallen werd de garantie ineens 100.000 euro. Iedereen die hier onder bleef heeft al zijn geld teruggekregen. Ik heb zelfs rente ontvangen over die periode.
Zo heet zal de soep echt niet gegeten worden. Als de bank niet kan aantonen dat er een direct verband is tussen jouw laksheid en de 'hack', kunnen ze ook de vergoeding niet weigeren lijkt me. Zie het eerder als de garantieregeling. Natuurlijk mag je je smartphone niet on heet water gooien, maar als er een knopje spontaan afbreekt mogen ze dat ook niet weigeren te vervangen ivm waterschade, aangezien het daar gewoon geen verband mee heeft.
Zo heet zal de soep echt niet gegeten worden.
Dat zal ie zeker niet nee, aangezien men in de mededeling van de NVB in een begleidend document (PDF) het volgende schrijft:
Zorg dat de geïnstalleerde software op de apparatuur, zoals computer, tablet en/ of smartphone, die u voor het regelen van uw bankzaken gebruikt, is voorzien van actuele (beveiligings)updates. Geïnstalleerde software is bijvoorbeeld het besturingssysteem en beveiligingsprogramma’s, zoals virusscanner en firewall;
Ze stellen dus nergens dat je een viruscanner en firewall moet instaleren, alleen dat je de security updates voor je systeem moet instaleren als die er zijn. Dus voor je OS, en indien je virusscanner loopt te piepen dat ie een update heeft: moet je die ook instaleren. Maar het gebruk van een virusscanner blijft vrijblijvend. (kunnen ze ook juridisch gezien onmogelijk verplichten volgens mij).

[Reactie gewijzigd door arjankoole op 24 november 2013 11:07]

daar staat echter ook het volgende:
Installeer geen illegale software
Beveilig de toegang tot de apparatuur die u gebruikt voor het regelen van uw bankzaken met een toegangscode.
deze twee punten schrijven dus mooi voor dat ik geen illegale software mag installeren (die bij mij toch toch al in een sandbox draait) en dat ik per se een Password op die computer/Tablet/telefoon moet hebben. Nou lekker dan. Omdat office dus niet gekocht is (hoe willen ze dat controleren?) zou ik nalatig zijn? Dikke vette later zeg ik dan. Ik ga wel een andere bank zoeken die niet van die onzin regeltjes heeft, maar gewoon normaal voorschrijft hoe een klant zijn beveiliging kan regelen. Dat document is nog niet eens af en het staat al online. ook lekker slim.
Even een hypothetische situatie:

je weet dat verzekeringsmaatschappijen niet uitkeren als er geen sporen van braak zijn en je hele huis is leeggehaald?

waarom moet een bank wel betalen als JIJ op dat linkje klikt. Waar houdt de eigen verantwoordelijk op en begint de bank verantwoordelijkheid?

Ik vind dat je een pc niet in een crypto ruimte hoeft te vervangen waar iedereen een dichtgetimmerde versie van Linux SE draait achter ene top notch firewall. Er zijn echter wel uitschieters de andere kant op. Iedereen in deze maatschappij is maar van het vingertje wijzen: neem zelf eens wat verantwoordelijkheid! Als jij pirate warez wil draaien zonder firewall met een virusscanner die sinds 5 jaar geleden niet meer geupdate is; prima. Maar loop niet te janken als de bank geen vergoeding verstrekt.
Een verzekering keert tegenwoordig wel degelijk uit als er geen sporen zijn van braak. Ik kan met een eenvoudige klopsleutel ongeveer 99% van de huis. tuin en keukendeuren openen. Als je dus 's nachts geen alarm aan hebt zul je niet eens merken dat je woonkamer wordt leeggeroofd.

ohw en niet om het een of ander, maar klopsleutels zijn voor een paar euro per stuk te bestellen op internet en je kunt ze zelfs maken van oude sleutels die je in huis hebt liggen. Dus daar kun je net zo weinig aan doen als iemand die geen enkel idee heeft wat phishing inhoud. je kunt alleen vertellen dat het voorkomt en hoe je het kan voorkomen. je kunt er geen eisen aan verbinden want er wordt toch wel een manier op gevonden. een richtlijn is ok, maar het mag niet zo zijn dat er ook daadwerkelijk vergaande consequenties zitten aan het uit hebben staan van bv een malware scanner tijdens het overboeken (deze heb je immers alleen nodig als je iets download of installeert. Als je voor de rest je PC alleen voor Office gebruikt is er niets aan de hand zonder zo'n ding.
als de banken echt "eisen" hadden gesteld hadden ze ook nog even gezegd WELKE virus/malware scanner.. dus het zal wel meevallen. Wat niet wegneemt dat een beetje besef over hoe en wat, en hetgeen ik eerder noemde "verantwoordelijkheidsgevoel" best een goed idee zou zijn.
[...]


Het is net als bij diefstal van fysieke goederen, de verzekering kan vragen om bepaalde zaken te bewijzen. Zoals het inleveren van bonnetjes, aantonen van braakschade, inleveren van alle sleutels en meewerken bij een onderzoek.

Als jij net (voor het idee) ¤10.000 schade hebt opgelopen en de bank vraagt om langs te komen met de computer waarmee je normaal internetbankiert voor 'onderzoek' dan is het lastig weigeren.
Uiteraard kun je je beroepen op privacy, maar dan kan de bank de schade niet goed onderzoeken en zijn ze niet meer verplicht om die schade te dekken.

De mensen met blauwe ogen hebben uiteraard hierin altijd een voordeel. ;)
Dan mag de bank naar mij komen .....
mag 'hij' hier onderzoeken, maar mijn PC is mijn leven ( er staat meer op dan alleen de bankzaken ), die gaat echt niet weg naar een onbekende.

De verzekeraar komt ook gewoon langs, om te kijken naar de schade, of zorgt voor een expert.
In ieder geval heb je alles in je eigen macht er aan gedaan om bekende bugs op te lossen wanneer alles bijgewerkt is. Dat wil inderdaad niet zeggen dat je niets kan gebeuren maar daarvoor is dus de aansprakelijkheid voor de banken, het is dus een loze vraag aangezien die al beantwoord was.
Daarnaast is het logisch dat banken van hun klanten verwachten ook een inspanning te leveren om het bankieren veilig te houden.

Hoe ze het gaan controleren is natuurlijk een onbeantwoorde vraag, maar waarschijnlijk zijn sommige dingen te controleren. Bijvoorbeeld zal de ING vermoedelijk kunnen nagaan of dat je Trusteer Rapport op je PC geïnstalleerd hebt.
Heel simpel: als jij een schade gaat claimen moet je aantonen dat er geen rommel op de PC stond.
De nieuwste ABN Amro update vraagt bijvoorbeeld om root access. Door te controleren hoeveel mensen dit hebben en zelf niet weten wat het precies inhoudt heb je snel een verkeerde analyse.
Was er niet al een nieuws bericht dat dit een bug in de APP was?
Was geen bug.
De nieuwste ABN Amro update vraagt bijvoorbeeld om root access. Door te controleren hoeveel mensen dit hebben en zelf niet weten wat het precies inhoudt heb je snel een verkeerde analyse.
Kan die wel vragen, maar krijgen is een 2e
Ik weiger alle root-access verzoeken, tenzij ik weet waar ze voor dienen, EN of ze nuttig/noodzakelijk zijn.

De ziggo televisie app wilde dat ook, en startte niet op, als ze de SU binaries 'zagen'
In SU zit dan de mogelijkheid om het "uit" te zetten ... klaar ... ziggo doet het weer.
Het is de verantwoordelijkheid van de bank dat de de diensten die ze aanbieden (website, apps, etc.) goed beveiligd zijn (https, sandbox, encryptie, etc).

Die verantwoordelijkheid ligt natuurlijk niet bij de klant die daar geen verstand van heeft.
Misschien dat tweakers hun zaakjes goed op orde hebben, maar dit kun je niet verwachten van de gemiddelde gebruiker.

Als de bank de optie geeft om via een Android app te bankieren dan moeten zij zorgen dat deze veilig is. Om vervolgens bij misbruik te gaan zeggen dat de Android versie van het apparaat niet up-to-date is, is gewoon te belachelijk voor woorden...
Klopt, het is de verantwoordelijkheid van de bank dat zij hun zaakjes op orde hebben aan hun kant. Echter is het natuurlijk de verantwoordelijkheid van de klant dat hij de zaakjes aan zijn kant op orde heeft.

Als de App zelf een lek heeft, of iemand de bank kant van het systeem hacked en consumenten raken hierdoor geld kwijt, uiteraard zal de bank deze vergoeden.

Heb jij echter je telefoon geroot, is er malware op gekomen die buiten de bank app om het verkeer bijvoorbeeld routeerd naar een phishing server via de andriod netwerk stack (weet niet of het kan, maar gewoon een voorbeeld) dan kun je moeilijk zeggen het ligt aan de bank!!!

Verder zit iemand nog op XP te internet bankieren na april, met een verouderde mcafee trial die nog bij je PC zat toen je em kocht, jaren lang niet geupdate, dan kun je volgens mij onmogelijk de bank verantwoordelijk houden voor het geklungel aan jouw kant (of dit nu laksheid is, onkunde of onwetendheid) voor al deze 3 zaken zijn oplossingen. Als je geen verstand hebt van PC's kun je ook een korte cursus volgens, of je PC periodiek laten onderhouden door iemand die het wel snapt.

Ik heb geen verstand van auto's (zoals zovelen met mij) toch sturen wij onze auto ieder jar voor APK naar de garage, laten we de banden/remmen vervangen als deze versleten zijn, we controleren de olie/banden spanning regelmatig.

Waarom zou een leek op computer gebied dit niet doen of laten doen. Ieder jaar een nieuw AV pakket, iedere 3 jaar een nieuw OS, zorgen dat alles geupdate is e.d. kost een stuk minder dan het onderhoud aan je auto om maar een voorbeeld te noemen.
De bank kan er voor zorgen dat virussen, trojans, en andere malware er niet met het geld vandoor gaan. Als de bank hier niet voor kan zorgen moeten ze maar geen internet of ander niet fysiek bankieren aanbieden. (enige verantwoordelijkheid van de klant: phishing) Ik ga er wel vanuit dat de klant niet zijn pas en pincode weggeeft.
Dus als de bank niet kan garanderen dat je contante geld gejat wordt op de markt of op straat mag de bank jou geen contant geld geven?

De kant van de bank is zeer veilig. De kant van de gebruiker niet. Oftwel: die heeft zijn portemonnee in zijn achterzak zitten terwijl hij de Zwarte Markt bezoekt.
Dat is dus het punt discussie:
In hoeverre mag de bank van de klant verwachten dat hij 'zijn zaakjes op orde heeft'

Zoals in Kassa gezegd: het is onmogelijk om te voldoen aan deze voorwaarden, iedereen die in het verleden slachtoffer is geworden heeft gezondigd op één van deze punten.

Laat ik de verantwoordelijkheid van de bank zo formuleren:

De bank heeft verantwoordelijkheid haar diensten op een dergelijke manier te organiseren dat invloeden van buitenaf geen beveiligingsrisico's voor de klant veroorzaken.

De bank dient zich te wapenen tegen cybercriminaliteit, dat kun je niet van de klant verwachten. Het is daarom terecht dat de bank slachtoffer is van deze criminaliteit, en niet de onwetende klant.

Bij een goed ontworpen systeem mag het rooten van Android of het gebruik van een verouderd OS niet uitmaken.

Er zijn 2 opties:
1. De bank biedt haar diensten met een adequate beveiliging aan, waarvoor zij verantwoordelijk zijn.
2. De bank stopt met het aanbieden van haar diensten op platformen waarvan zij de beveiliging niet kunnen garanderen.

Soms moet de onwetende klant ook wel eens beschermd worden tegen zichzelf...

Zoals ik hieronder al vermeld heb:

"Ik heb al geruime tijd geen antivirus draaien op mijn desktop met Windows 7. Ik heb nog nooit last gehad van een virus of andere malware.

In mijn ogen is het voldoende om Windows, Chrome, Flash, Java, .NET, etc. gewoon up-to-date te houden.

Verder heb ik mijn Windows Firewall en die van m'n modem/router gewoon aan staan.

Ben ik gek? Nee, ik van niet.."

[Reactie gewijzigd door 737freak op 24 november 2013 16:56]

Dat is dus het punt discussie:
In hoeverre mag de bank van de klant verwachten dat hij 'zijn zaakjes op orde heeft'

Zoals in Kassa gezegd: het is onmogelijk om te voldoen aan deze voorwaarden, iedereen die in het verleden slachtoffer is geworden heeft gezondigd op één van deze punten.

Laat ik de verantwoordelijkheid van de bank zo formuleren:

De bank heeft verantwoordelijkheid haar diensten op een dergelijke manier te organiseren dat invloeden van buitenaf geen beveiligingsrisico's voor de klant veroorzaken.

De bank dient zich te wapenen tegen cybercriminaliteit, dat kun je niet van de klant verwachten. Het is daarom terecht dat de bank slachtoffer is van deze criminaliteit, en niet de onwetende klant.
Staat dit zo in de wet, of is dit een mening van de consumentenbond/kassa/ anderee consumenten organisatie (die het mijn inziens vaken verkeerd hebben bij digitaal ge-ente vraagstukken).

Als het in de wet staat, direct stoppen met bankieren via internen aanbieden. Geen enkele bank daar namelijk aan voldoen wanneer klanten nog steeds te dom zijn om phising te herkennen, bankpassen uitlenen, pincodes opschrijven, telefoooons niet locken.
Bij een goed ontworpen systeem mag het rooten van Android of het gebruik van een verouderd OS niet uitmaken.

Er zijn 2 opties:
1. De bank biedt haar diensten met een adequate beveiliging aan, waarvoor zij verantwoordelijk zijn.
2. De bank stopt met het aanbieden van haar diensten op platformen waarvan zij de beveiliging niet kunnen garanderen.

Soms moet de onwetende klant ook wel eens beschermd worden tegen zichzelf...
Optie 2 liever vandaag dan morgen. Snel een serverside scan implementeren die het account van mensen locked als ze op onveilige systemen proberen in te loggen. Het liefst met een handleiding hoe wel een systeem te beveiligen.

Optie 1 : Liever niet, ik heb er weinig zin aan meer te moeten betalen voor mijn bankzaken omdat bepaalde mensen (om soms goede redenen) niet capabel zijn op het digitale vlak.
Zoals ik hieronder al vermeld heb:

"Ik heb al geruime tijd geen antivirus draaien op mijn desktop met Windows 7. Ik heb nog nooit last gehad van een virus of andere malware.

In mijn ogen is het voldoende om Windows, Chrome, Flash, Java, .NET, etc. gewoon up-to-date te houden.

Verder heb ik mijn Windows Firewall en die van m'n modem/router gewoon aan staan.

Ben ik gek? Nee, ik van niet.."
Tja, ik vind het niet slim, maar dat is mijn mening, als voorbeeld:

Laatst nog een systeem van een maat van me met dezelfde mening onderhanden gehad vanwege een hardware defect. Een van de standaard zaken op mijn checklist is altijd een malware scan als ik een pc toch nakijk voor iemand. Deze vond toch mooi 3 bedreigingen die bij normaal gebruik geen invloed hadden op de werking/performance van het systeem, maar wel aanwezig waren en waarvan er 1 ook actief communiceerde met een botnet. Als ik niet gescand had, hadden ze er nog op gestaan. De andere 2 waren keyloggers uit game cracks, geen activiteit kunnen waarnemen anders dan dat ze op het systeem stonden. Houd er ook rekening mee dat de windows firewall en vaak ook de standaard firewall van een router alleen inkomend verkeer checkt. Verkeer geinitieerd vanuit jouw PC (botnet connectie) zal vrijwel nooit gefiltererd worden tenzij je zelf firewall regels hiervoor maakt.
Nou. En zo nog een paar misverstanden.

Kijk, tot nu toe waren er nog niet zo gek veel zaken geregeld met betrekking tot schade naar aanleiding van client side digitale bankroof, of hoe zoiets dan ook maar mag heten. Ja, alle banken zullen een paar voorwaarden hebben met betrekking to computerveiligheid bij gebruik van internet bankieren. En ja, verschillende banken zullen verschillende protocollen hanteren bij het al dan niet vergoeden van de schade. Protocollen die steevast gunstig afwijken van de algemene voorwaarden.

Wat belangrijk is voor de banken is dat er regels zijn, die nageleefd kunnen worden. Stel, namelijk, dat een zeer grote crimineel er niet met een paar accounts van ouderen vandoorgaan - maar met een significant deel van de hoofdsom, zeg 5% van de gehele gestalde vermogen. Dan zou de bank ineens omvallen - onacceptabel. De vergoedingen die voortvloeien uit de schade van die 5% klanten is meer dan genoeg om de bank te laten omvallen.

Nu ja, je bent waarschijnlijk een zeer belangrijk deel van die andere klanten kwijt. Dat even buiten beschouwing latend, zijn er ook andere belanghebbenden die de algemene voorwaarden graag nog eens onder de loep nemen. Investeerders. Aandeelhouders. Toezichthouders. Een bank die niet onder de schade van een grote digitale bankroof op deze manier uitkan, loopt een groter risico failliet te gaan en is daarmee minder krediet waardig. En betaalt daarmee meer rente.

Binnenkort verandert er iets wezelijks: ineens geeft de wetgever aan dat de schade in beginsel wel moet worden vergoedt. Welnu, het is prima dat de maatschapij dat zo afspreekt. Wel een beetje reactieve politiek, als je het mij vraagt (Kassa-Radarwetgeving), maar goed. Dat zou dus wel mogelijk de kredietwaardigheid van deze financiële dienstverleners kunnen aantasten.

Om dat te voorkomen, komen de Nederlandse banken, bij monde van diens vereniging NVB, dus nu met richtlijnen. Hoewel onder de huidige wetgeving cliënten best voordeliger uit kunnen zijn als je wel schade hebt (het is immers slechter uit te leggen dat jij als relatie geen vergoeding krijgt, als Den Haag hier zo over denkt) - maar wanneer banken willen, dan kunnen ze nog steeds onder het gros van de claims uit.

Kredietpositie gered :)

A propos: Iedereen die denkt dat deze 5 regels van de bank een garantie zijn dat men geen slachtoffer wordt, komt bedrogen uit. Immers, er is altijd een eerste slachtoffer van een nieuw virus, waar de scanner nog niet voor was voorzien. Er is altijd een nieuwe exploit waarvoor nog niet is geüpdate. En er is altijd een idioot die klikt op "Bank Adviseren Nu Scannen" klikt. Maar vooruit.
Kan je niks gebeuren... Groote woorden voor iemand die niet snapt wat het eigenlijk inhoud.
Zelfde als het vereisen van wachtwoorden als "Veiligheids maatregel"

Gebruikers dienen verder het gebruik van hun apparatuur achter een toegangscode te plaatsen, te zorgen dat onbevoegden niet de applicatie voor bankzaken kunnen gebruiken en altijd uit te loggen na internetbankieren.

Oké dus wat heeft een windows/android/ios passcode voor zin? Ik heb als systeembeheerder zijnde altijd een HirensBoot CD bij me. Je stopt hem er in en je selecteerd konboot (Of iedere andere ingebouwde bypasser) en je bent klaar.. Ik zie het nut en de aanleiding van deze "regels" niet, het lijkt wel alsof ze echt hun vertrouwen stellen in de authorisatie methode van Windows, MacOS of android.. En dat terwijl iedereen hier zowel zou moeten snappen dat deze authorisatiemethodes niks voorstellen :(

Nouja, een echt veilige digitale wereld kunnen we wel zo'n beetje gedag kussen.. Met Bedrijven als Google en Microsoft die alles maar "Gedwongen" aan de NSA geven, en van een anoniem internet kun je ook niet spreken.. Jammer maar helaas..
We gaan gewoon weer naar de bank om bankzaken te regelen en geld over te maken. Eens kijken hoelang deze regels dan nog standhouden.
En daar laten ze je dus mooi voor betalen. In eerste instantie al de service aan de balie verminderen door daar geld voor te vragen. Steeds minder rente op je spaargeld. Nu de verantwoordelijkheid voor beveiliging nog meer bij de klant leggen. Lekker klantvriendelijk allemaal.
Tuurllijk klinkt dit bericht alsof banken de schade willen afwentelen op de klanten. Maar hoe je het ook wendt of keert, criminalititeit kost de maatschappij als geheel gewoon geld, dus ook de burger.

Door meer risico en dus verantwoordelijkheid bij de klant te leggen hopen ze op een gedragsverandering. Persoonlijk vind ik het zonde dat ik, direct of indirect, meebetaal aan de schade die andere bankklanten oplopen omdat ze laks, onwetend, of wat dan ook zijn.

Edit: typo

[Reactie gewijzigd door menke op 24 november 2013 10:36]

Vergeet niet dat banken te weinig investeren in hun eigen systemen, die daardoor niet veilig genoeg zijn dus je kan niet alles op de consument schuiven. Er zijn inderdaad klanten die laks zijn maar kan je klanten iets verwijten over onwetendheid? Ja hier op tweakers heeft iedereen zijn beveiliging op orde maar kijk naar het gross van de Nederlanders. Die werken met hun handen, werken te weinig of helemaal niet met computers maar moeten toch alles via internet bankieren doen. Is er dan sprake van onwetend gedrag als ze windows XP gebruiken? Je kan ook aangeven dat de bank te kort heeft geschoten in een degelijk systeem met de juiste uitleg.
De bank kan ook een waarschuwing geven als je Windows Xp gebruikt. Kan zo uitgelezen worden via een simpel scriptje.
Een correctie: De kant van de bank is zeer veilig, daar is nog nooit een geval van hacken of i.d. geslaagd. Het gaat juist om de kant van de klant. En die kan de bank niet controleren, want daar gaat zij niet over.

En hoe bepaal je dat de banken te weinig investeren? Kun je wat bedragen noemen? En aangeven hoeveel het dan zou moeten zijn, ook met inachtname van het fiet dat de zwakke schakel bij de klant ligt en niet bij de bank?
Een correctie: De kant van de bank is zeer veilig, daar is nog nooit een geval van hacken of i.d. geslaagd.
http://www.fin24.com/Comp...Postbank-hacking-20120115

nieuws: 'Hacker steelt gegevens miljoen ING-klanten' - update

http://www.telegraph.co.u...3-million-police-say.html

http://www.nbcnews.com/id/28758856/#.UpLUw7FgXuo

Misschien een kleine nuancering aanbrengen? Of moet ik nog meer voorbeelden opsommen?
Zullen we de geografische scope even op NL houden, lijkt wel zo realistisch.
En het dan tegelijk ook wel even bij de veiligheid van transacties en transactiesystemen, want daar gaat het nu eenmaal om.

Als je een brievenbus van de bank openbreekt is het een beetje overdreven om te stellen dat je "een bank hebt gekraakt".

[Reactie gewijzigd door Edgarz op 27 november 2013 21:16]

Je hebt ook geen W.A. Verzekering zeker? En je hebt ook geen Autoverzekering, en je bent niet verzekerd tegen ziektekosten?

Het is met alles zo. De prijs die je betaald voor je producten in de supermarkt zijn mede bepaald door de hoeveelheid die er gestolen word. De autoverzekeringspremie is mede gebaseerd op de hoeveelheid schade die uitgekeerd wordt, en dat geldt ook voor de Ziektekostenverzekering.
Ken je de verzekeraar InShared? Even los van de marketingpraat; de boodschap lijkt me helder: hoe minder schade we met zn allen hebben, hoe lager de premie voor ons allemaal wordt...

Je voorbeeld over supermarkten: als de supermarkten maatregelen nemen tegen diefstal, waarbij de maatregelen goedkoper zijn dan de winst door minder diefstal, dan is dat goed voor iedereen (in eerste instantie voor de supermarkt, maar op langere termijn wel degelijk voor de consument).

En over mijn verzekeringsgedrag: ik verzeker me alleen als het A. moet (ziektekosten), B. de risico's voor mij te hoog zijn (ziektekosten, WA, etc.) of C. ik mezelf een hoger risico toedicht dan andere verzekerden.
Ofwel: als ik denk dat ik zuiniger ben met mijn mobiele telefoon dan een gemiddelde persoon sluit ik geen verzekering af, omdat ik anders meebetaal aan onzuiniger verzekerden.
Het grote probleem is niet de klant, maar de banken zelfs.

Veel banken hebben hun eigen bankier methodieken gewoon niet voor elkaar, bevatten slechte beveiliging en controles.

Ook al zou een klant een PC of Mobiel hebben met zoveel malware, spyware, virussen of weet ik wat voor troep, dan nog zou het niet zomaar mogelijk moeten zijn om geld te kunnen overboeken zonder tussenkomst van de Gebruiker.

Laat elke gebruiker bij een overboeking maar fysiek in "een" randomreader moeten invullen hoeveel geld ze exact over willen maken. Desnoods laat ze het rekeningnr waar het geld naartoe overgemaakt moet worden ook gewoon invullen op de reader. En op basis van dat bedrag, (rekeningnr), en pincode een code genereren welke ze moeten invullen voor de overboeking.

Elke klant weet dan 100% zeker dat ze ook daadwerkelijk dat bedrag overmaken naar dat rekeningnr waarvoor ze een code laten genereren. Laat de bank desnoods als dubbelcheck ook nog een sms en e-mail sturen. U probeerd xxx bedrag over te maken na de volgende rekeningen.
Als dit klopt hoeft u niks te doen. Als dit niet klopt annuleer de betalingen via uw banksysteem of neem contact op met de bank. Laat het b.v. 2 uur mogelijk zijn om een betaling via een random reader (dus echt alleen overboeken) te kunnen annuleren.

De rabobank laat een gebruiker b.v. al het bedrag invullen bij het genereren van een randomreader code. Stuurt echter nog geen bevestiging of heeft nog geen mogelijkheid tot annulering.

Daarnaast zouden de banken zelf b.v. antivirus en antispyware moeten aanbieden bij al hun rekeningnummers. Bij groot inkoop worden deze pakketen ook alleen maar goedkoper voor de gebruiker. Neem b.v. Avira in combinatie met Malwarebytes of wat dan ook.

De banken moet het balletje niet bij de klant leggen, maar eerst er zelf alles aan doen om dit op te lossen.

Begrijp me goed dat is mijn persoonlijke mening natuurlijk :)
Banken zijn met internet bankieren begonnen omdat het ontzettend veel goedkoper is dan via papier / handmatig geld transacties te doen. Consumenten hebben er niet om gevraagd om op zo'n manier hun bankzaken te doen. Het is dus aan de bank om te zorgen dat internet bankieren veilig is en veilig gedaan kan worden. En als daar een onderdeel van is dat ze hun klanten moeten opleiden om dat veilig te doen, dan hoort dat er bij.

Maar volgens mij kun je nimmer verlangen van klanten dat ze hun persoonlijke goederen (je pc / mobiel) moeten aanpassen om je dienst op een veilige manier te gebruiken.
het is ook de verantwoordelijkheid van de klant; de consument is eigenaar en verantwoordelijk van zijn hard/software. Dat ze vervolgens als een kleuter op ieder knopje klikken kan een bank toch niets aan doen?

* himlims_ is voorstander van een verplicht computer-rijbewijs (in bedrijfsleven)

[Reactie gewijzigd door himlims_ op 24 november 2013 10:58]

Nu is het meestal zo dat de eigenaar van de pc geen eigenaar van de software is...
En de eigenaar van de software iedere verantwoordelijkheid afschuift uitsluit...
Het is te makkelijk om de verantwoordelijkheden bij de consument neer te leggen. Er zijn velen wegen die naar Rome leiden om de banken op een veilige manier hun klanten kunnen bedienen maar in alle gevallen kost dat dus de banken geld. Het opstellen van deze voorwaarden denken de banken deze kosten te kunnen ontwijken.

Echter is er met een aantal zaken geen rekening mee gehouden waardoor het voor een gemiddeld computergebruiker ondoenlijk wordt om op een "veilige" manier gebruik te maken van een computer met toegang tot het internet:
  • Banken jagen consumenten richting grote software bedrijven
Wij weten met ons allen dat er een grote hoeveelheid mensen die illegale software hebben.
In principe dwingen de banken deze consumenten om dus deze producten te kopen of over te stappen naar open source of gratis producten, wat in meeste gevallen betekend dat het een stap achteruit is qua veiligheid.

De banken hebben niet aangegeven op welke manier er gekeken zal worden maar ik kan het mij niet anders voorstellen dat er op dit gebied wel degelijk gekeken wordt. Of is Microsoft Essentials ook al voldoende?
  • Banken dwingen gebruikers een bepaalde mate van know-how te hebben van computers en beveiliging over het algemeen.
For starters: Een firewall op zichzelf geeft totaal geen garantie of de gebruiker veilig is.
Daarvoor zal een gebruiker zelf acties voor moeten ondernemen om dit voor elkaar te krijgen,
  • Banken jagen de complexiteit op in de vaststelling schadeloosheid.
Stel (zeer fictief): Ik draai een drie maanden oude installatie van LFS (Linux From Scratch) met ClamAV (die ik regelmatig update) en een PF for Linux als firewall. Maar door een lek in mijn zeer recentelijke versie van Chromium browser die door crackers zijn ontdekt en omdat wat voor reden het nog niet is opgelost vatbaar is en ik verlies geld.

Hoe denken de banken te kunnen vaststellen wanneer ik nalatig ben geweest of gaan ze SnowIT op mij afsturen om vast te stellen of ik wel een goeie jongen ben geweest of hebben zij daar van die zulke knappe koppen daar die het in een keer begrijpen?

Kortom: De banken zijn hun straatje aan het schoonvegen alleen beseffen totaal niet wat er op hun afkomt en dit zal zeker een staartje krijgen.

[Reactie gewijzigd door Typnix op 24 november 2013 13:55]

Het probleem ligt ook voor een deel bij de banken zelf, in hun drang alles te automatiseren hebben ze een aantal systemen bedacht die heel onveilig zijn. Voorbeeld, om een bankrekening online te openen moet je een loonstrookje hebben, een scan van je ID en moet je 10 cent overmaken naar de nieuwe rekening. Als een scammer deze gegevens van je weet te krijgen en je overtuigt 10 cent over te maken kan hij vervolgens credit kaarten en bankrekeningen blijven openen en leeg trekken. In mijn ogen zijn de banken hier verantwoordelijk voor een makkelijk om de tuin te leiden systeem. Wist jij dat je die 10 cent nooit moet overmaken als iemand daar om vraagt, en weet je oma dat ook?
http://www.opgelicht.nl/dossiers/detail/6713/

[Reactie gewijzigd door ewt op 24 november 2013 12:42]

Eens kijken hoe lang jij het volhoudt om telkens naar de bank te gaan om geld over te maken elke keer als je bij een webshop wat wilt bestellen. (En dan een aantal dagen extra wachten voordat die webshop het verwerkt, etc).

Sowieso je hoeft je hier niet aan te houden, het is enkel gerelateerd aan je kansen om geld terug te krijgen als je een virus weet op te lopen dat je bankrekening plundert.
Naar je bank gaan en een redelijk bedrag overschrijven op je PapPal-account? Of gewoon betalen met VISA of Mastercard. Ik dacht dat fraudebescherming bij kredietkaarten Europees geregeld is. Betalen onder rembours is ook een mogelijkheid en een klein aantal winkels kun je betalen met Bitcoins.

Nog een optie is om in een ander SEPA-land waar de banken niet moeilijk doen een extra rekening te openen. Die rekening kun je dan gebruiken om online te bankieren.
Haha :) Dus je gaat een buitenlandse rekening openen en met biotoins inkomen doen omdat je het niet kan hebben dat een bank vraagt dat je computer of andere apparatuur
virusvrij is? De optie om gewoon een virusscanner te installeren als je een android-gsm hebt, lijkt me dan toch realistischer.
Waarom niet? Een extra bankrekening openen bij een andere bank is bijna geen werk en enkel door zelf actie te ondernemen, moeten de banken concurreren. Ik ben zelf klant bij 5 banken. Bij 1 ben ik klant omdat dit moest om een gunstige woonlening te krijgen, bij 2 ben ik klant voor de gratis kredietkaarten en de andere 2 hebben hoge rentevoeten (wat je hoog noemt natuurlijk deze tijd). En er is nog een voordeel: redundantie. Af en toe wil je in het weekend een betaling doen en krijg je de melding dat er werkzaamheden zijn tot zondag middernacht...je doet de overschrijving dan gewoon via een andere bank.
Dat was een vraag. Ik zou gewoon niet weten waarom het makkelijker zou worden voor je om een buitenlandse bankrekening te openen of naar bitcoinwinkels op zoek te gaan. En zelfs al ben ik geen computerspecialist, ik heb er totaal geen moeite mee om mijn computer virusvrij te houden en me op een fatsoenlijke manier online te beschermen. Dat jij bij verschillende banken bent, is je goed recht, en als consument hoogstwaarschijnlijk een prima keuze. Maar om dat nu te gaan doen zodat je ongehinderd je pc/linux/mac vol kan laten lopen met trojans en keyloggers, dat gaat me toch wat ver. Ik begrijp dat banken hun deel moeten doen in het bestrijden van cybercriminaliteit, maar als consument deel je die verantwoordelijkheid ook.

Vandaar ook dat ik deze discussie zo vreemd vindt. Meestal wordt er tot bijna op het absurde op gewezen dat het belangrijk is om veiligheidslekken langs alle kanten zo snel mogelijk te dichten. Maar nu plots de banken een gezamelijke regelgeving uitwerken die dit bevestigt, dan valt het ineens weer heel zwaar. Zo lijkt het toch.
Ik woon niet in Nederland, dus ik heb er geen last van maar ik zou toch goed nadenken als ze dit in België ook zouden doen. Zou jij het risico willen lopen dat je rekening geplunderd wordt en dat je daarna maanden werk hebt om je geld terug te krijgen omdat uw bank niet wil geloven dat je wel goed beveiligd was? (*) Ik niet. Ofwel, geeft mijn bank mij dan een rechtsgeldige uitzondering op dat beleid, ofwel schrijf ik 99% van wat bij die bank staat over naar een bank zonder zulke regels.

(*) Bijvoorbeeld: De bank vraagt om je laptop binnen te brengen zodat ze kunnen controleren of die wel goed beveiligd was, maar je antwoordt dat die gestolen is. De bank antwoordt vervolgens dat ze de fraude niet kunnen vergoeden omdat ze niet kunnen controleren of je laptop wel voldoende beveiligd was...
Tja, ik woon in België en blijkbaar ben ik het niet met je eens.

Waarom?
(1) Ik wil helemaal het risico niet lopen dat mijn rekening geplunderd wordt. Daarom vind ik het (oa) belangrijk om mijn computer op vlak van dingen als firewall/malware/virussen zo veilig mogelijk te houden. Dat banken dat met me eens zijn zie ik als een pluspunt. Mijn risico om geplunderd te worden is daardoor al een heel stuk kleiner, en moest het gebeuren, dan ben ik nog steeds door die policy beschermd.
(2) Voor zover ik weet hanteert mijn bank al een soortgelijke regelgeving. Het feit dat banken hun regels met elkaar gelijk laten lopen zou daar verder niks aan veranderen, toch zeker niet op het vlak van rottigheid van je computer afhouden.

Dat je je niet kan vinden in je hypothetisch voorbeeld, dat begrijp ik. Maar desondanks zie ik geen reden om aan te nemen dat dit werkelijkheid zou zijn. Banken hebben naar mijn ervaring in fraudegevallen nog nooit gewerkt op een manier van "breng al je spullen binnen en dan kijken we het hier na" maar stellen samen met jou (toch sowieso in het geval van private instellingen) een expert aan die op een hele andere manier een standpunt inneemt.
Banken hebben naar mijn ervaring in fraudegevallen nog nooit gewerkt op een manier van "breng al je spullen binnen en dan kijken we het hier na" maar stellen samen met jou (toch sowieso in het geval van private instellingen) een expert aan die op een hele andere manier een standpunt inneemt.
Als je ziet hoe moeilijk bank-verzekeraars in België nu al doen bij woninginbraken...nee, blijkbaar heb jij inderdaad een stuk meer vertrouwen in banken dan ik :)
Alsof dat wat uitmaakt. We kunnen niet zonder banken en dat weten ze maar al te goed. Er is wat minimale concurrentie op de markt maar verder is het aardig in evenwicht. Als we met z'n allen naar de bank gaan, gaan de kosten voor een rekening gewoon omhoog.
Gelukkig kunnen we tegenwoordig wél zonder banken dankzij de introductie van de bitcoin.
Dat is volgens mij een zeepbel die in de nabije toekomst gaat barsten.
Dan ben je slecht geïnformeerd. Het is een techniek die zich inmiddels behoorlijk bewezen heeft. Er valt niets aan te klappen, bitcoin is here to stay.

De koers zal best nog wat schommelen en kan idd ook instorten, maar de techniek ik here to stay.
Ik ben inderdaad vrij slecht geïnformeerd over het technische aspect van Bitcoin. Wat ik hierover schrijf dient dan ook gelezen te worden als een subjectieve mening.
Wat schommelen? Is je rekenmachine kapot ofzo?

Van enkele tientjes naar $700 klinkt leuk maar dat koersverschil komt vervelend uit als je er net een paar nodig hebt die je niet hebt. Het gedraagt zich als een munteenheid uit Zimbabwe. Dit soort fluctuaties zorgen voor mega-deflatie in een economisch systeem. Veel plezier daarmee.

Daarnaast is een ongecontroleerde munteenheid spekkie voor het criminele bekkie.
Bitcoins, je bedoeld die zeepbel die op barsten staat? Een koers die zo wispelturig is dat je op geen enkel moment weet wat ie waard is. Een koers die op enkele weken tijd verveelvoudigd is in waarde. Een koers waarbij maar 1 grote eigenaar moet beslissen dat hij zijn bitcoins gaat verkopen om heel het ding waardeloos te maken. Bitcoins zijn geen munt, het is meer een vorm van aandelen en speculeren geworden.

Waarom hebben we centrale banken denk je? Waarom word een munt onderworpen aan regels? Net om de koersen relatief stabiel te houden, om de waarde niet te laten kelderen of te snel te laten stijgen.
Bitcoins, je bedoeld die zeepbel die op barsten staat?
Nee, hij bedoelt bitcoins, dat briljante innovatieve systeem dat tot een revolutie met wereldwijde impact gaat leiden, vergelijkbaar met de komst van het internet.
Waarom hebben we centrale banken denk je?
Voor de bankiers? Zodat zij dit verdorven monetaire systeem in stand kunnen houden, waarbij zij het alleenrecht hebben om geld uit het niets te toveren met een druk op de knop. "Geld" (nou ja, een paar eentjes en nullen op hun computer) waar de rest van de samenleving voor moet werken en belasting betalen. Iets met moderne slavernij, en hoog tijd om die waanzin af te schaffen, en de macht en controle over ons geld en betalingsverkeer weer in eigen hand te nemen. Bitcoin dus.

[Reactie gewijzigd door Jace / TBL op 24 november 2013 22:44]

Ja probeer dat maar eens. Geld storten is al een ramp heb ik laatst ondervonden. Vooral toen bleek dat een van de ATM machines defect was en er nog maar een werkte. Neer dan 20 minuten staan wachten en toen opgegeven omdat me parkeermeter afliep.

Geen personeelslid die in actie kwam en contant bij de balie storten is onmogelijk. Maar wel ver rente vragen omdat je rood staat maar service ho maar. Ik heb er bij de ABN een flinke mail wisseling overgehad, maar echt veranderen zal het wel niet.
Dus jij vind het normaal dat een bank de schade op zich neemt omdat gebruikers een teringzooi van hun pc maken?
Aangezien banken geen redelijke alternatieven meer aanbieden: ja, inderdaad.
"Zorg voor een goede beveiliging van de apparatuur die u gebruikt voor uw bankzaken."
Hoe weet je of de beveiliging 'goed' is?

Edit: Ik doel er dus op dat dit erg subjectief en onduidelijk is.

[Reactie gewijzigd door FastFox91 op 24 november 2013 10:58]

Als je je aan de 'regels' van de bank houdt...
"Zorg voor een goede beveiliging van de apparatuur die u gebruikt voor uw bankzaken."
Hoe weet je of de beveiliging 'goed' is?
Geen illegale software, updates installeren en een anti-virus programma op je pc zetten.

Ik kan me niet voorstellen dat er iemand hier op T.net niet weet wat dat betekent. Iedereen kent dat familielid dat alles erop zet, alles aanklikt en de anti-virus eraf gooit omdat het de pc zo traag maakt. En dan ieder half jaar vraagt waarom de pc zo langzaam is....
Ik kwam browsers tegen waarbij er zoveel extra balken waren geïnstalleerd dat ze elkaar weer lieten crashen. Dat na het de-installeren van de eerste serie er weer een paar nieuwe balken tevoorschijn kwamen.

Zo geeft de autogarage ook geen garantie als je koelvloeistof bij de olie gooit en olie bij de koelvloeistof. Blijkbaar is schade door verkeerd gebruik bij een auto 'voor het idee' kostbaarder dan bij een computer waar je alleen maar je hele hebben en houden in hebt staan.
Ik heb geen antivirus op mijn PC draaien (Linux). Waar zou ik dan op moeten scannen? Windows mallware?
Ik hoop dat je beseft dat er virussen bestaan en geschreven worden voor elk besturingssysteem?
Virussen die werken op een moderne Linux installatie bestaan op dit moment niet. Wel trojans, maar dat is een kwestie van je verstand gebruiken en niet je beheerders-wachtwoord geven.

Ik zeg niks over de toekomst, want zeg nooit nooit. Echter op dit moment is een anti-virus op een Linux desktop compleet onzinnig tenzij je Windows clients wilt beschermen.

Een groot aandeel hierin zal zijn dat Linux erg makkelijk up to date te houden is door de package-manager. 1 applicatie die alle software (behalve sommige expert spul) update in 1 keer.
"Virussen die werken op een moderne Linux installatie bestaan op dit moment niet. "

Lijkt me nogal een boute stelling.
Volgens mij kan je niet uitsluiten dat ze er zijn. Je kan alleen stellen dat ze niet zichtbaar zijn.
Waarom noemt iedereen het "mallware"? Mallware zijn de goederen in een winkelcentrum. Je bedoelt "malware".
Ik heb al geruime tijd geen antivirus draaien op mijn desktop met Windows 7. Ik heb nog nooit last gehad van een virus of andere malware.

In mijn ogen is het voldoende om Windows, Chrome, Flash, Java, .NET, etc. gewoon up-to-date te houden.

Verder heb ik mijn Windows Firewall en die van m'n modem/router gewoon aan staan.

Ben ik gek? Nee, dat denk ik niet...
Maar ligt dat altijd aan de onkunde van de gebruiker als je Java update krijg je er McAfee bij
als je Adobe flash update krijg je er Chrome en Google toolbaar bij. Bij gratis programma's
krijg je gewoon een hoop zooi als je niet oplet maar daardoor zijn ze nog niet illegal.
Wat denk je van een onbeveiligd draadloze toetsenbord? Dat is van buiten kinderlijk eenvoudig af te luisteren. Al je gegevens in plain text.
Op zich een goede zaak, jammer dat de consumenten er weer voor opdraaien, terwijl de leveranciers van de software buiten schot blijven (denk aan gaten in Windows / Java die soms maandenlang niet opgelost worden).

Leuke paradox: Smartphones en laatste beveiligingsupdates (iig met Android krijg je de laatste versies er alleen maar op als je root, dus volgens de letter illigaal bezig bent)
Er is compleet niets illegaals aan rooten of het flashen van een andere ROM, dus die vlieger gaat niet op.
Op het feit na dat je nog wel eens garantie verliest als je root, wat natuurlijk erg irritant is
Nee dat mag dus niet, de garantie op het apparaat blijft intact.
Dat het niet mag, betekend niet dat het niet gebeurd. In de garantiebepalingen van mijn Galaxy S3 staat bijvoorbeeld duidelijk dat het rooten/flashen/draaien van een custom ROM er voor zorgt dat ik geen garantie meer heb.

En ja, dan heb je misschien wel gelijk, maar probeer dat maar eens te halen. Ik persoonlijk heb namelijk totaal geen zin in een rechtzaak oid. Ik wil gewoon een telefoon die werkt.
Ja dat mag wel in de garantiebepalingen staan, maar dat maakt het nog niet legaal houdbaar. Hou er rekening mee dat er niet voor niets altijd het zinnetje staat:
"Indien een punt of deel van deze bepalingen ongegrond wordt verklaard, blijft de rest van de overeenkomst wel geldig."

Ik kan ook in de voorwaarden zetten "Als u het toestel gebruikt, dan vervalt uw garantie", maar dat houdt geen stand en is in conflict met de wetgeving, en dreigen is dan genoeg: het zal nooit tot een zaak komen.

Maar, dit alles terzijde, Samsung heeft zel al gemeld dat het niet klopt wat er in die voorwaarden staat: (HTC ook trouwens)
nieuws: Samsung gaat gebrickte telefoons standaard onder garantie repareren
Paradox valt wel mee hoor, de laatste is de laatste, of die nou 3 jaar geleden is uitgekomen of gisteren. Blijkbaar is een volledig bijgewerkte Windows 95 installatie ook prima.
Leuke paradox: Smartphones en laatste beveiligingsupdates (iig met Android krijg je de laatste versies er alleen maar op als je root, dus volgens de letter illigaal bezig bent)
Rooten is NIET illegaal, hoe vaak moet dat nog duidelijk gemaakt worden?. Dus de banken kunnen je niks maken.
"Illegaal" is ook iets anders dan "onverstandig". Met rooten haal je een beveiligingslaag uit het OS, nog afgezien van het feit dat je met een geroote device een custom rom met ingebakken malware kunt binnenhalen. En voor bank software is dat dus een belangrijke beveiligingslaag (en met gezond verstand begrijp je dit ook wel).
Is er überhaupt anti-virus/malware software beschikbaar voor iOS?
Er bestaan er zeker: http://www.intego.com/mac-virus-barrier-ios bvb, avast en symantec hebben er ook als ik me niet vergis.
Ja heb je de reviews daar als eens van gelezen? Lijkt me meer een probleem dan een oplossing!
Leuk... voor zover ik weet is er geen antivirus software voor mijn smartphone beschikbaar (of nodig) en nu zou ik tevens een unlock code op m'n telefoon moeten zetten naast de 5-cijfer code die in de internet bankieren app al nodig is? Nee dank u.

Net alsof de bank tegen me zegt: "No more soup...ehm, internet bankieren for you!!"
Dit is de eerste stap naar een model, waarbij je als individu straks dus tegen een bank moet vechten om aan te tonen, dat jou niets te verwijten valt, zelfs als de bank zelf brakke software schrijft voor i-bankieren (denk aan USB verbinding van ABNAMRO kaartlezer).
Iets meer onderbouwing dan 1 geval (dat ook nog arbitrair verwijtbaar is) nog zou erg fijn zijn om je stelling te onderbouwen. Lukt dat denk je? Ik denk overigens van niet.
Virtueel probleem: " Sinds de lancering in november 2011 zijn er geen fraudegevallen geconstateerd"
Zonder aanvullende hulp is dit geen stand alone probleem van de software. Er is nl. een sniffer nodig of een malafide wifi hotspot om de gegevens te onderscheppen en de Man in the Middle op te zetten.
Paypall is geen bank maar een payment provider, dus telt niet mee.
Drie voorbeelden van lekken in de software van banken (Paypal ook maar even als bank meetellen), die openbaar zijn geworden.
Nauwelijks de moeite waard eerlijk gezegd als 'lek'. Er zijn ook blijkbaar geen schades uit voortgekomen. Als de software echt brak is dan moeten er toch meer voorbeelden van werkelijke fraudelekken te vinden zijn?

[Reactie gewijzigd door Edgarz op 25 november 2013 01:12]

Ik vergelijk deze regeling met dat de meeste verzekeringen ook niet uit betalen bij bijvoorbeeld diefstal van je fiets als deze niet op (goed) slot stond.
Of bij inbraak moeten er braaksporen zijn zoals kapot gemaakte sloten (Als bewijs dat je de boel beveiligd had).

Geen goede beveiliging geen dekking/uitkering.

[Reactie gewijzigd door BeerenburgCola op 24 november 2013 12:37]

Het veschil is, dat van die fiets kan je zelf bepalen of je dat wel of niet wilt. Internet bankieren, eigenlijk electronisch bankieren is een verplichting. Of kan jij je salaris wel in je hand krijgen, of de betaling van een door jou uitgevoerde opdracht?
Dus een vrijwillige keuze is er niet, die er wel is bij het verzekern van je fiets: Als jij geen door de verzekering voorgeschreven slot wilt gebruiken, verzeker jij je dus ook niet. Ik kan moeilijk zeggen, geef mij al het geld waar ik recht op heb cash in handen, dat lukt nu niet meer.
Voor computers is het nu al zo dat (anti) virusscanners aantoonbaar niet alle besmettingen kunnen vinden. Met de laatste updates in je (anti-virus)software, blijven de grootste bedreigingen nog vaak weken ongemerkt.

Van iOS weet ik weinig, maar van de scanners op Android is nog helemaal niet goed duidelijk welk percentage recente bedreigingen opgepikt worden.

Maar de banken menen dat de klant nu aantoonbaar moet maken dat het 'er alles aan gedaan heeft'? Of moeten we deze adviezen anders interpreteren? En een firewall in Android bestaat wel, maar wie kan daarmee voldoende en werkbaar uit de voeten?

Ik snap de richtlijn, maar ik begrijp ook dat we nog ver zitten van het overdragen van de verantwoordelijkheid naar gebruikers, temeer deze in gesloten systemen als iOS en Android opereren.
Google heeft sinds een aantal maanden in de Google Play Services applicatie een virusscanner zitten. Die applicatie staat op alle Android toestellen vanaf 2.2/2.3, en daar staat 'Verify Apps' standaard op aan. Verify Apps controleert of de applicatie geen malware bevat, en dit werkt ook voor apps die buiten de Play Store om zijn geïnstalleerd.

Verify Apps staat volgens Google op 95% van de toestellen aan. Meer informatie over Verify Apps, en malware op Android: http://www.androidpolice....-defenses-and-harm-users/

In principe draaien alle Android users dus al een virusscanner, en op iOS en WP zijn er volgens mij geen.
Ik heb eigenlijk helemaal niet de indruk dat je de richtlijnen snapt. Eerst en vooral, het zijn geen nieuwe richtlijnen, he. Er verandert anders iets, behalve dat vanaf nu jullie banken deze richtlijnen samen opzetten.

Daarnaast is dit geen reglementering die je als programmeur in een IF-functie moet gaan omzetten. Dit is gewoon de basis van hoe je veilig met computer/smartphones moet omgaan. Ik weet niet of die vage warez-sites en crack-sites van enkele jaren geleden nog bestaan, maar als je daar gaat shoppen staat je hele computer plots vol met de grootste rotzooi, worden homepages overgenomen, dialers geïnstalleerd enzovoort. Ook het niet-dichten van sommige lekken kan grote gevolgen hebben. Nogal logisch dat een bank dit wil voorkomen. Maar dan moet je aan de andere zijde ook niet gaan overdrijven, en willen aannemen dat als jij (naast die 4 andere punten) de nodige virusscanners en firewalls installeert en geen rotzooi erop laat komen, dat het dan goed is. En dat houdt ook in dat het niet nodig is om niet-nodige virusscanners en firewalls te installeren. Maar dat spreekt voor zich.
Ik mis de optie "Ik draai IOS, daar is geen virus scanner voor"

Daarnaast is het toch nooit te controleren of je een scanner draait.
En de opties ;
- Ik draai WP 8, daar is geen antivirus voor (nodig)
- Ik draai het op mijn telefoon, heb geen tablet.
- Ik draai het op mijn tablet, heb geen telefoon.
1 2 3 ... 16

Op dit item kan niet meer gereageerd worden.