Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

ING stelt uitfasering tan-code uit wegens coronavirus

ING stelt het uitfaseren van de tan-code uit wegens het coronavirus. De app en de scanner zouden de werking van de 2fa-codes overnemen, maar de bank rekent bij de overstap op veel vraag om hulp bij ING-vestigingen, wat nu niet mogelijk is.

Het vaarwel aan tan-codes is voor onbepaalde tijd uitgesteld, zegt ING. "Alles staat op zijn kop en dat geldt ook voor onze plannen." Oorspronkelijk was de bank van plan om eind deze maand de tan-codes buiten gebruik te stellen. Eventuele berichten die klanten daarover ontvangen hebben van de bank, kunnen ze dus ook als niet verzonden beschouwen.

Volgens ING is de tan-code inmiddels zo'n 32 jaar oud. De codes zijn een reeks tekens waaraan een volgnummer verbonden is. Bij een overboeking via internetbankieren geeft de bank een volgnummer op, waarna de klant de code moet invoeren. Tan-codes kan men op papier krijgen of per sms. Inmiddels zijn er twee alternatieven op tan-codes: de scanner, sinds 2019, en bevestigen in de ING-app, sinds 2017.

Door Mark Hendrikman

Nieuwsposter

22-03-2020 • 13:19

266 Linkedin

Reacties (266)

-12660262+1104+214+31Ongemodereerd111
Wijzig sortering
Wat ik me altijd afvraag met zulke dingen.
Hoe vaak is dit in de praktijk nu misgegaan (bij jou). En is de bank niet gewoon aansprakelijk als de app lek blijkt?
Ik gebruik al jaren de app. 100en, zo niet 1000en betalingen ontvangen en gedaan... Denk er gewoon echt niet over na, is nog nooit fout gegaan.
TAN codes, zeker op papier, lijken me echt het minst veilig van alle opties.
Maar misschien hebben jullie er dus slechte ervaring mee, of kennen jullie cases waar dit is misbruikt?
Nee, de bank heeft juridisch alles afgedekt. In de praktijk hanteert men een zekere coulance, als gevolg van de aandacht die het heeft van consumentenorganisaties. Als de mensen hun vertrouwen in de bank verliezen heeft de bank een probleem, dat blijven ze liever voor.

En wat die app betreft, zoals ik boven ook al schreef:
1) Systeemopslag vol, kan niet meer updaten - iedere software heeft gaten
2) Telefoon wordt ook gebruikt door de kinderen om youtube op te kijken en spelletjes op te spelen en ... nu even niet tijdens corona maar ... gaat zelfs van hand tot hand met de buurtkinderen.
Die app is dus echt heel veilig
Die heb je als je de computer compromitteert. Je moet dus echt zowel de computer als de telefoon kraken als je met TAN-SMS wilt rotzooien.
TAN-codes zijn geen extra manier om je bank account te kraken. Het is niet alsof je met het hebben van de TAN-codes op papier plotseling het account in kan. Zowel op papier als via een omweg verkregen extra gegevens die je nodig hebt zijn een aanvulling op de beveiliging. Aanvullingen die ieder hun eigen voor- en nadelen hebben. Dat klanten hun TAN-codes op papier niet goed bewaren verzwakt de beveiliging, en dat gaat net zo goed op voor het slorig omgaan met toegang tot een app of een scanner. De TAN-codes zijn niet perse minder veilig omdat ze op papier staan en de andere middelen digitaal zijn.
Via bijvoorbeeld phishing is het heel goed mogelijk om papieren TAN-codes in bezit te krijgen. In het verleden genoeg van die mails gehad: 'log in en vul de eerstvolgende drie TAN-codes in'. Zoiets.
Dat klopt maar daarvoor maakt het niet uit of de codes op papier staan of niet. Deze mail zou overigens niet werken met het systeem van ING want die codes worden niet op volgorde uitgegeven. Er zijn geen "eerstvolgende drie codes". Je kan de gebruiker wel om drie codes vragen, maar je weet niet welke code de bank gaat vragen. Als je veel geduld hebt en voldoende codes hebt losgepeutert zal je vroeg of laat geluk hebben en een van die codes kunnen gebruiken. Dan kun je eenmalig 1 betaling goedkeuren. Dat blijft een overzichtelijk klein risico. Waterdicht is het niet, maar dat is het nooit, het gaat allemaal om kansen, verhoudingen en risico's.

[Reactie gewijzigd door CAPSLOCK2000 op 23 maart 2020 14:07]

Ik heb bewust de app van ING verwijderd.
Ik wil zien welke incasso's er gaan komen. In de app moet ik dan verplicht toestaan dat ING mijn data voor analyse doeleinden gebruikt.

Dat is verplicht privacy in. Dat staat mij niet aan.

Ook heb ik echt bij lange na geen miljoen, maar toch veranderen ze eenzijdig dat als je een miljoen hebt een 'spaarrekening' negatieve rente mag rekenen. Het verbaast mij dat de Financiële autoriteit niet ingrijpt. Dat is immers geen sparen meer, zelf opnemen en in een kluis stoppen geeft dan meer 'rendement'.
Denk je eens in dat je met pensioen gaat, dan wil je geen risico's meer lopen met je geld, dus spaarrekening. Gaan ze er los van de inflatie en rekening kosten ook nog rente voor vragen als je geld bij ze onderbrengt. Lijkt me zwaar indruisen tegen de bank eet; handelen in belang van de klant. Dit is gewoon; we hebben paar ton nodig, waar halen we dat makkelijk zonder veel weerstand, ja je mag switchen naar een andere bank, na decennia klant te zijn geweest. Zo vriendelijk. En geen garantie dat de andere banken een paar maanden later niet mee gaan doen. Gewoon omdat het kan, want niet terug gefloten door de waakhond.


Nu moet ik dus verplicht een kastje mee als ik geld over wil maken naar mijn rekening om mijn boodschappen te betalen óf verplicht hun app installeren én verplicht akkoord gaan dat ze mijn data mogen gebruiken voor data analyse.

Waakhond wordt wakker. Die Gan analyses zijn niet anoniem. De machine trained (learned) modellen bevatten persoonlikje informatie.

De privacy en de financiële rechten worden met voeten getreden, waakhonden sta op!

[Reactie gewijzigd door djwice op 22 maart 2020 20:34]

Ik weet niet aan welke financiële autoriteit je precies denkt, maar banken mogen op dit moment gewoon een negatieve rente rekenen, dus geen autoriteit kan daarop optreden.

Het probleem wordt bewust veroorzaakt door de Europese Centrale Bank. Die vindt het nodig nog steeds de rente idioot laag te houden. Dat en andere ‘maatregelen’ deden ze eerst met als excuus de financiële crisis, maar ook nu die al jaren voorbij is, blijven ze het maar volhouden.

Nu er weer een economische domper dreigt, hebben ze in feite geen kruit meer te verschieten want de ‘vorige’ maatregelen zijn nooit opgeheven.

De zwakke euro-landen zijn nog steeds zwak en hebben dan ook meteen weer al steun gekregen. Komt alles bij elkaar niet serieus over die ECB.
Onzin, je kunt middels je bankafschriften gewoon laten zien dat je contant hebt opgenomen.
Als er een goede reden is zal de rechter vast wel een bevel tot inzage willen geven, is mij en mijn kennissen nog nooit overkomen.
Verder is het bezitten van contant geld op zich helemaal niet illegaal dus voor dat aan houden moet een goede andere reden zijn.
Ik betaal (bijna) alles cash (nu iets minder vanwege corona), en nee ik heb geen smartphone.
Het probleem van het op afstand overnemen van 2fa is zeker niet theoretisch. Het is al heel oud en nog steeds actueel. Afgelopen week nog arrestatie door Europol waarbij de verdachten op deze manier meer dan 100 keer toesloegen. In de afgelopen jaren was het ook met regelmaat in het nieuws.
Als je ze kan loggen ben je dus al het scherm aan het lezen. Dan is het eenvoudig om een lijst te beginnen opbouwen van code 1 = ######, code 2 = ######, enz...
Volgens mij snap je niet helemaal hoe een papieren tan-code-lijst werkt. Elke code wordt één keer opgevraagd en daarna nooit meer, en er zit geen enkel verband tussen de codes. Je hebt helemaal niks aan een log van gebruikte codes. De enige manieren om dat te kraken zijn
1) door de lijst te stelen/fotograferen, of
2) door de HTTPS-sessie te kapen.
Bij het laatste vorm ben je als gebruiker al zodanig de sjaak dat elke vorm van beveiliging aan diggelen is, dus als echt serieuze 'zwakheid' blijft alleen 1 over. En de kans dat dat misgaat is gewoon kleiner dan dat elke andere vorm van praktische huis-tuin-en-keukenbeveiliging mis gaat, zolang je die lijst gewoon thuis bewaart (wat dan ook meteen de reden is dat men het niet graag meer gebruikt tegenwoordig).

Als je een TAN-code via SMS veiliger noemen omdat dit 'niet statisch' is, is de boel omdraaien. SMS is gewoon aantoonbaar en praktisch stuk, papier heeft gewoon überhaupt geen digitale inbraakmogelijkheid.

[Reactie gewijzigd door bwerg op 22 maart 2020 14:56]

Nee, want als ik jouw HTTPS-sessie heb gekraakt dan zie jij alleen een pagina dat het inloggen is mislukt, en dat je om te bevestigen dat je een persoon bent en geen hacker bij je volgende inlogpoging een TAN-code moet invullen. Onder water ben je natuurlijk gewoon ingelogd en heb ik een overschrijving van 2000 euro klaargezet naar mijn rekening.Bij jouw volgende "inlogpoging" vul je een TAN-code in en heb ik mijn 2000 euro.
En zijn veel meer aanvallen op SMS dan alleen de punten waarop de door jou genoemde maatregelen van toepassing zijn zoals onderschepping op het device zelf door malafide apps, phishing ('ik heb u per ongeluk een code gestuurd, kunt u deze terugsturen"). SMS wordt in de security wereld niet als erg veilig medium gezien en als het op MFA aankomt als een van de zwakkere methodes aangemerkt. Diverse bronnen noemen het "beter dan niets" maar niet toereikend genoeg in veel gevallen.
De app is principieel onveiliger omdat hij volledige betaalfunctionaliteit heeft en/of aan hetzelfde netwerk hangt als het apparaat van de andere factor. De kraker hoeft dus maar 1 apparaat of 1 internetverbinding over te nemen. Bij een losse scanner is inbreken op de 2e factor volstrekt onmogelijk en bij een losse telefoon met sms-tan is het een stuk lastiger omdat de kraker toegang tot het telefoonnetwerk moet hebben en het nummer aan de banksessie moet zien te koppelen.

[Reactie gewijzigd door mae-t.net op 22 maart 2020 20:11]

Een TAN-code op zichzelf is niet nuttig, maar in combinatie met gebruikersnaam het wachtwoord ben je binnen. Verspreid een louche app die korting, geluk, zaklamp-functie of andere zaken belooft, waarvoor gebruikers een account moeten aanmaken. Vraag ook toegang tot sms-berichten, veel gebruikers zullen akkoord gaan. Zo niet, geef een melding dat het nodig is voor een activatie-sms of zoiets en probeer het opnieuw. Wanneer iemand een account maakt, probeer dan de combinatie van gebruikersnaam en wachtwoord bij alle gangbare banken. Doe ook nog wat variaties met het wachtwoord als het niet lukt.

Dit hele gebeuren automatiseer je uiteraard. Het is niet belangrijk als je slechts eens in de duizend installaties beet hebt. Want zodra je beet hebt, dan heb je gebruikersnaam, wachtwoord en toegang tot sms-berichten waarnaar de TAN-codes verstuurd worden. En met een geautomatiseerd proces is geld heel snel overgemaakt van spaarrekening naar betaalrekening en vanuit daar foetsie. Voordat de gebruiker door heeft waarom die TAN-sms'jes ontvangt van z'n bank en alarm geslagen heeft, is het geld al weg.

Nu is jouw telefoon ongetwijfeld helemaal dichtgezet, maar denk aan de minder tech-vaardige mensen die alle apps die los en vast zitten installeren. Als je bij zo iemand in de app-machtigingen gaat kijken, hoeveel apps hebben dan toegang tot sms'jes? Er hoeft er maar eentje tussen te zitten...

Oh, en zelfs als je je eigen telefoon op orde hebt kan je provider natuurlijk je nummer weggeven aan een kwaadwillende. Zie bijvoorbeeld https://youtu.be/LlcAHkjbARs?t=234

[Reactie gewijzigd door ari op 22 maart 2020 15:46]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True