Website Rabobank lekt e-mailadressen klanten - Update

Enkele dagen geleden stuurde de Rabobank een waarschuwing de wereld in met betrekking tot een phishingmail die verstuurd werd. Het was toen nog niet geheel duidelijk of enkel Rabobank-klanten de mail ontvangen hadden, of dat de phishers op goed geluk willekeurige internetters hadden aangeschreven als Rabobank-klant. Een anonieme bron wist ons echter te melden dat het niet ondenkbaar is dat de fraudeurs over een database met e-mailadressen van Rabobank-rekeninghouders beschikken. Begin deze maand stelde hij de Rabobank namelijk op de hoogte van een lek in hun website, waarmee het mogelijk is om deze e-mailadressen te achterhalen.

Rabo beeldmerk Als men een rekening opent bij deze bank, krijgt men namelijk de mogelijkheid zijn e-mailadres op te geven en wordt men standaard aangemeld voor de nieuwsbrief. Het is mogelijk om zich daarvoor af te melden, wat overigens wel via een beveiligde verbinding gebeurt, maar daarvoor is geen wachtwoord of andere vorm van bevestiging nodig. Dit is echter nog niet het grootste veiligheidsprobleem, aangezien het aan- en afmelden van andere personen op een nieuwsbrief niet meteen als 'kritiek lek' bestempeld zal worden. In ditzelfde nieuwsbriefsysteem is echter nog een tweede fout aanwezig zodat het mogelijk is de e-mailadressen van andere klanten te achterhalen. Om voor de hand liggende redenen zullen we het lek hier niet uit de doeken doen, maar we konden de werkwijze wel uittesten.

Voor een handige programmeur blijkt het een koud kunstje om een systeem te bouwen dat deze e-mailadressen automatisch bij elkaar sprokkelt en in een database opslaat. Wanneer deze database in handen komt van malafide personen, zijn de gevolgen van een goed opgezette phishingactie dan ook niet meteen te overzien. Hoewel het met behulp van dit lek onmogelijk is toegang te krijgen tot rekeninggegevens of transacties uit te voeren in naam van iemand anders, lijkt het toch weinig vertrouwen te wekken in de beveiliging van het online bankgebeuren.

Gepubliceerd op 19-04-06, 10:43

Update 25-04-06, 15:30: Inmiddels heeft de Rabobank ons laten weten dat de fout verholpen is en het lek dus niet meer aanwezig is. Kwaadwilligen die e-mailadressen van Rabobank-klanten willen harvesten zullen dan ook geen succes meer hebben op de nieuwsbriefpagina. Het probleem situeerde zich in de parameters in de url van de pagina waar men zich kon aan- en afmelden voor de nieuwsbrief. Op die beheerpagina werd het e-mailadres van de ontvanger weergegeven, maar door enkele karakters uit een code in de url te wijzigen, kreeg men het e-mailadres van andere abonnees te zien.

IT-banen

Reacties (100)

Freakertje 19 april 2006 10:58

Het lijkt me niet vreemd als dit verhaal echt is. De laatste tijd krijg ik op mijn hoofdadres opeens spam binnen, terwijl ik dat de afgelopen 4 jaar nog nooit heb gehad. Ik ben dan ook altijd heel voorzichtig geweest dit adres bekend te maken.
Het zal wel onmogelijk te zijn dit te bewijzen, maar toch krijg ik mijn twijfels...

haling @Freakertje • 19 april 2006 11:20

Iemand anders kan ook een mailtje van jou doorgestuurd hebben die in verkeerde handen terecht is gekomen. Of dat hij geinfecteerd is met spy- ad- of malware (cq windows/msie/msoe). Het komt ook voor dat spamverstuurders gewoon een reeks willekeurige adressen spamt en zodra hij niet gebounced wordt jouw email adres in zijn/haar database opneemt.

Een vriend van mij heeft zo'n leuk email adres bij hotmail met een getal achter z'n username. Als dezelfde username minus 1 in de to voor komt, is het altijd spam...

Ik betwijfel ten zeerste dat jouw spamprobleem te maken heeft met de Rabobank omdat er zoveel andere mogelijkheden zijn...

The - DDD @haling • 19 april 2006 12:02

Je noemt nu dus de reden dat iedereen die mij op bepaalde adressen van die chain mail sturen helemaal de huid vol scheld.

Je kent ze wel, die mailtjes met dat leuke plaatje/filmpje. Trek je zo'n ding open, moet je eerst langs tientallen/honderden adressen scrollen voordat je bij het gegeven bent waar het nu juist om ging.

Leer BCC gebruiken zeg ik mensen dan altijd, maar omdat om de een of andere reden BSS standaard meestal niet aichtbaar is..... *zucht*

TD-er

@Freakertje • 19 april 2006 11:04

Zoiets is natuurlijk alleen maar aan te tonen wanneer je als adres iets als "wwwrabobank@jouwdomein" gebruikt en dan ook alleen maar bij de rabobank gebruikt.
Zelfs dan is het nog niet 100% zeker, omdat je server ook gehackt kan zijn en zo de mail-adressen vrij kan hebben gegeven, of door een virus.

The - DDD @TD-er • 19 april 2006 11:52

Ghihi, daarom is het dus handig een eigen domein te draaien.

Gewoon een catch all adres gebruiken, wat natuurlijk wel een whitelist heeft van de adressen die je gebruikt hebt. De rest gewoon bouncen.

Anders krijg je een lading spam over je heen:
Jantje01@example.com totaan Jantje[tot in het oneindige]@example.com

SlaSauS @The - DDD • 19 april 2006 13:39

Of gebruik een service als spamgourmet.com.

Je kunt dan gewoon adressen als rabobank.20.jouwnaam@spamgourmet.com gebruiken en dan zal de rabobank maximaal 20 mailtjes kunnen sturen (en die teller kun je uiteraard resetten).

Ideaal voor bijvoorbeeld sites waar je via mail moet registreren maar waar je verder liever niet te veel mail van krijgt, of eerst de kat uit de boom wil zien.

Karloe @The - DDD • 19 april 2006 17:12

De rest gewoon bouncen.
Jij bent lekker, dan krijgen alle ge fake te verzenders de bounces, en help je de spammers

. Droppen die handel, anders niet.

Mental @The - DDD • 21 april 2006 01:36

bouncen.. als in error msg terugsturen.

Franckey @TD-er • 20 april 2006 22:46

Precies. Dit gebruik ik al jaren en dat bevalt prima. Ik doe dat met een 3th level domain.

Ik heb 1x spam van een andere partij op tweakers@mydomain.provider.nl gehad. Ik heb toen direct een mailtje naar tweakers gestuurd en daarna is het nooit meer gebeurd.

Verwijderd @Freakertje • 19 april 2006 13:33

Ja, wat Freakertje heeft gehad heb ik dus nu ook.
En mijn hoofdmail adres gebruik ik zeker niet voor het aanvragen van informatie, dit doe ik via andere mail adres oplossingen.
Dus ondanks alle voorzieningen om spam te voorkomen, duikt het dan toch op, hoe je jezelf ook denkt te beschermen hiertegen.

Verwijderd @Freakertje • 25 april 2006 15:56

Potdoeme, zelfde geldt voor mij!! En ik heb er in vijftien jaar internetten echt nog nooit last van gehad!!!!

hoor ik iemand groepsproces zeggen?

Verwijderd @Verwijderd • 25 april 2006 16:09

Doe wel mee.
Es kijken hoeveel we eruit kunnen slepen.
Die gasten hebben toch geld zat.

Hoeveel miljard winst hadden ze ook alweer gemaakt? En een beetje goed geteste beveiliging kan er dan niet af?
Wie niet horen wil moet maar dokken.

Verwijderd 19 april 2006 11:14

Tja, een goed opgezette phising-actie heeft altijd slachtoffers.
Voor grootgebruikers van internet stelt een mail niks voor, en denken altijd eerst na of de afzender wel klopt. Onbekend is onbemind, dus hup, toedeledokie in de prullenbak.
Mensen die echter zelden tot nooit achter een computer zitten hechten veel meer waarde aan een e-mail en zien het meer als een gerichte post. Vooral als dit van een 'belangerijke' instantie als een bank komt.
Vergeet niet dat vooral oudere mensen meer respect hebben voor een bank (een hypotheek was iets waar je je voor schaamde), omdat dit vanouds een stabiel instituut was, met 'koning' directeur aan het hoofd. De jongere generaties zien de bank gelijk als de eerste beste poffertjeskraam; als een winkel waar je klant bent of niet.

Wanneer je een mailinglist met persoonsgegevens hebt uit de database van een bank, en je doelgroep is vooral de oudere generatie, dan kun je een zeer succesvolle phishingactie ondernemen. De impact van zo'n actie op een grote speler als de Rabobank en haar klanten is niet te overzien wanneer er een goed georganiseerde actie ( dit keer zonder spelfouten

) wordt opgezet.

Het is aan de Rabobank om dit met grof geweld de kop in te drukken, dmv:
- Een flaming waarschuwing naar de complete mailinglist
- Een gerichte papieren waarschuwing naar alle klanten
- Een solide beveiliging tegen hackers (Kom op zeg: Moet je die gebouwen zien en dan nog waardeloos beveiligd tegen hackers )
- Een actie ondernemen waarbij de gebruikte mailinglists waardeloos worden. (Voor mijn part een n ieuw e-mailadres voor alle klanten)

Manneh, Werk aan de winkel

/me @ Rudi Vader: Helder. (Ik heb je opleiding niet genoten, maar ken veel oude mensen en weet hoe de omgeving dacht over de plaatselijke boerenleenbank en het bestuur; vandaar het abuis. Het effect verandert er niet van.)

Het.Draakje @Verwijderd • 19 april 2006 12:36

Ook de ouderen weten wat phising is. Het komt zelfs (regelmatig) op TV.

En er wordt ook standaard bijvertelt dat een bank *nooit* telefonisch/per e-mail om gegevens vraagt. Banken kunnen dat zelf aanpassen als ze dat willen dus waarom zouden ze ernaar vragen.

Als je dit soort dingen *niet* kan onthouden, moet je je afvragen of je wel zo slim bezig bent met on-line bankieren. Je bent het nog steeds niet verplicht. Als ict-er bij een (andere) bank geef ik regelmatig aan mensen het advies om *niet* on-line te gaan.

"Een actie ondernemen : een nieuw e-mail adres"
Sinds wanneer geeft Rabo e-mail adressen uit? En als ik nu toevallig aan mijn e-mail adres gehecht ben ?

Verwijderd @Het.Draakje • 19 april 2006 14:59

Het gaat er niet om of mensen (en dan vooral ouderen) weten wat phishing is, maar of ze het herkennen . Ik heb nooit gezegd dat mensen er nog nooit van gehoord hebben, maar dat mensen anders tegen de zaken aankijken.

Daarnaast zei ik:

Een actie ondernemen waarbij de gebruikte mailinglists waardeloos worden

. Welke actie maakt me niet uit. Een nieuw e-mailadres, een gratis spamfilter dat alle foutieve rabobank mails eruit gooit, weet ik veel, het was maar een voorbeeld.

Er lopen mensen op deze wereld die geen barst verstand hebben van computers, en die kan je makkelijk te grazen nemen. (Mijn vaders computer is ook rechtstreeks met voorgeinstalleerde xp (fckgw) uit de winkel gekomen. Hoe zou het komen dat die niet wil updaten? Vanwege alle items op tv over illi software? Of vanwege het feit dat mijn vader zegt: Ik heb ervoor betaald en ik koop geen nieuwe windows?)

Verwijderd @Verwijderd • 19 april 2006 19:47

Je moet niet zo tegen me aan gaan zitten flamen en netjes lezen.

1. Mijn vader kent het belang van patchen. Met 'niet willen updaten' bedoel ik de illigale windows op m'n vaders computer die hem door een goedkope winkel in systeempjes in de maag is gesplits terwijl de beste man met de beste bedoelingen zei een nieuwe windowsinstallatie op zijn pc te willen.

"met gratis datalimiet"

2. Jij als ict-er kijkt anders tegen email aan. Mijn oma doet haar schort nog af en haar haar goed voordat ze de telefoon aanpakt. Voor haar is de telefoon een 'indringer'. Voor haar is post van de bank ook belangrijker zoals ik al zei in mijn eerste reactie. E mail van de bank, (en daar zit hem het herkennen in) is dus zeer belangrijk; authentiek of crimineel.

3.

Beveiliging zit (hoofdzakelijk) tussen de oren van de gebruiker en niet in technologie.

Juist. Dat probeer ik dus de hele tijd al duidelijk te maken.

4. Mailinglist waardeloos maken. Laat maar. Misschien niet zo'n sterk punt voor iemand met slechts een e-mailadres op z'n abonement, een spamfilter dat phishinmail doorlaat op z'n isp, weet ik veel, de computerwereld is groot gemaakt door mensen met veel fantasie.
('De rabobank heeft een belangrijk bericht voor u. Log in met uw random reader en reageer zo spoedig mogelijk' is de enige waarde die door mag komen met de naam rabobank.) was misschien een mogelijkheid geweest. De rabobank heeft ict-ers zat. Er zit er vast wel een bij die een progje in elkaar kan draaien dat dat kan.

5 Online bankieren niet verplicht? Loop morgen maar eens naar de balie en probeer het daar maar eens.

Het.Draakje @Verwijderd • 19 april 2006 17:50

Je weet dat vertrouwelijke gegevens *nooit* opgevraagd worden door je bank; dus *ieder* bericht met zo een vraag is phising. Hoezo moet je dat nog kunnen herkennen ?

Phising en dan met name de de bescherming daartegen heeft *niets* te maken met "verstand van computers". Net zomin als je jouw huissleutels zomaar aan iemand afgeeft moet je je login gegevens zomaar afgeven. Net zoals je huisgenoot de sleutel heeft, heeft de bank je inloggegevens. Eenieder die daarom vraagt (huissleutel of inloggegevens) is *niet* te vertrouwen.

Beveiliging zit (hoofdzakelijk) tussen de oren van de gebruiker en niet in technologie.

"Een actie om mailinglist waardeloos te maken" Een nieuw adres; je zou toch raar staan te kijken als je bank je zomaar een nieuw adres in de maag splitst. En met ADSL en kabel schakel je al helemaal niet zo snel over.
Spamfilter; een beetje ISP levert dat al standaard. Komt nog bij dat de volgende aanval gegarandeerd vanaf een ander adres komt en een iets andere aanhef/inhoud heeft, dus filteren is al helemaal lastig.

Niet patchen. Leg je vader eens uit waarom je wel moet patchen. Zelf gebruik ik een terugroep actie van een (willekeurig) automerk. Remmen doen het niet. Wedden dat ze gaan patchen ? Patchen is gewoon het gratis herstellen door de fabriek van designfouten.

Rudi Vader @Verwijderd • 19 april 2006 12:12

Vergeet niet dat vooral oudere mensen meer respect hebben voor een bank (een hypotheek was iets waar je je voor schaamde), omdat dit vanouds een stabiel instituut was, met 'koning' directeur aan het hoofd.

Even zwaar off-topic: men schaamde zich niet voor een hypotheek vroeger. Als je er al 1 kon krijgen hoorde je bij de upperclass. Men had vroeger eerder hele zware eisen voordat een bank een rekening voor je ging openen.
Dit wordt je geleerd bij de cursus cross-selling van een bank. Degene die niets met verkoop te maken had bij een bank maar wel klantcontacten hadden, kregen dit voor de kiezen.

TheRebell 19 april 2006 10:46

en ik blijf erbij dat het voor het grootste deel aan de kennis van de persoon ligt, want veel van deze ongein kun je voorkomen door een klein beetje je verstand te gebruiken..

ronaldvr @TheRebell • 19 april 2006 10:56

hmmm en mogen domme mensen dan dus maar geen bankrekening meer openen?
Het probleem is niet zozeer dat mensen "hun verstand" zouden moeten gebruiken, maar dat het internet nog niet een systeem is dat veilig genoeg is om je bankzaken aan toe te vertrouwen.En dat het de vraag is of het dat ooit wel zal worden.
Banken hebben zich vrolijk op internetbankieren gesort omdat dat uiteraard veel goedkoper is voor hen, en ondanks dat het redelijk veilig is, is het niet hetzelfde als de "ouderwetse" inbelsystemen.
Ik hou het voorlopig nog bij Girotel met een telefoonlijn.

Verwijderd @ronaldvr • 19 april 2006 11:47

Het probleem is niet zozeer dat mensen "hun verstand" zouden moeten gebruiken, maar dat het internet nog niet een systeem is dat veilig genoeg is om je bankzaken aan toe te vertrouwen.En dat het de vraag is of het dat ooit wel zal worden.

De slachtoffers van deze phishing actie zijn er gewoon in getrapt, daar helpt geen enkele beveiliging tegen. Als jou iemand ongevraagd opbelt die zegt dat ie namens je bank belt zonder verdere identificatie, ga je hem dan ook al je gegevens doorgeven? Natuurlijk is het via internet wat makkelijker, met alle mogelijkheden om je als iemand voor te doen die je eigenlijk niet bent, maar het principe blijft hetzelfde.

Het is denk ik niet zozeer een kwestie van beveliging, maar meer van voorlichting. Na de phishing toestanden van een tijd terug (rondom de postbank iirc) had je zo'n proactieve voorlichting eigenlijk wel van de grote banken mogen verwachten. In die zin is het misschien ook wel ten dele aan de bank te wijten.

napel25 @ronaldvr • 19 april 2006 13:08

Bankieren via het internet is niet absoluut veilig, maar dat zijn de andere vormen van bankieren ook niet.
Je kan ook een overschrijvingsenvelope uit de brievenbus vissen en informatie aanpassen of iemand die met zijn geld uit de bank komt lopen hem dat afpakken en noem maar op.

Slachtoffers van internetfraude worden daarbij vaak door banken gecompenseerd. Met name wanneer je niet onzorgvuldig ben geweest. Of deze variant door ook onder valt, weet ik niet.

Verwijderd @ronaldvr • 19 april 2006 15:52

Banken waarschuwen er ook voor dat ze je NOOIT om je pincode zullen vragen, en je het dus ook NOOIT aan iets anders dan een pinautomaat moet geven.

Deze phishing actie vereistte dat een klant zijn pincode aan de bank moest doorgeven, als ze dat ondanks waarschuwingen tóch doen dan kan de bank daar verder ook weinig tegen doen.

Die hele phishing actie heeft niks te maken met technologie, internet of hacker; ze hadden net zo goed op kunnen bellen en vragen om de gegevens en dezelfde mensen zouden er net zo hard intrappen.

Verwijderd @ronaldvr • 19 april 2006 11:54

Daarbij zijn er ook "domme" mensen ...zoals eerder genoemd....die voor het eerst internet zien
laat staan er ook mee omgaan

Beetje kortzichtig om gelijk te roepen dat ze maar hun verstand moeten gaan gebruiken..

Pietervs

Bedrijfsnieuws

@ronaldvr • 19 april 2006 13:02

hmmm en mogen domme mensen dan dus maar geen bankrekening meer openen?
Nee, domme mensen mogen geen (adresseringen van) nieuwsbrieven meer schrijven...

ep667

@ronaldvr • 19 april 2006 15:22

Banken hebben zich vrolijk op internetbankieren gesort omdat dat uiteraard veel goedkoper is voor hen, en ondanks dat het redelijk veilig is, is het niet hetzelfde als de "ouderwetse" inbelsystemen.

Ik ben het met je eens dat dat laatste veiliger is, echter gebruik ik gewoon het internetbankieren van de Rabobank. Dat is toch behoorlijk veilig omdat phishers, anders dan bij de Postbank, toch eerst aan mijn pasje en pincode moeten komen al geef ik ze mijn gegevens..

Wat dat mailadres betreft, dat heeft niets te maken met het internetbankieren. Dat hoef je alleen op te geven als je iets via internet bij hen besteld. Heb ik ook gedaan, maar op dat mailadres nog geen phishing mail gezien. Ook niet op andere mailadressen trouwens. Dus óf hij moet nog komen, óf we moeten het verhaal dat deze uit een db van de Rabo zelf zijn getrokken naar het land der fabelen verwijzen.

Wat me overigens sowieso niet duidelijk wordt is hoe men het doet. Logisch dat TN geen tutorial plaatst, maar men kan toch wel vertellen of bijvoorbeeld de db wagenwijd openstaat. Of dat je het alleen bij nieuwe klanten vanaf het moment dat je iets laat draaien (lokaal?) kan zien. Of dat het met een soort dictionary gaat, gewoon alle mailadressen proberen en kijken of je kan aan- danwel afmelden om zo te checken of een mailadres al in de db van de Rabo staat.. Toch handig om te weten.

erikdenv @ep667 • 25 april 2006 16:20

Bij de Postbank heb je per transactie een TAN-code nodig. Ik krijg deze per keer via SMS opgestuurd. Een kwaadwillende zal dus ook mijn mobieltje moeten hebben wil hij/zij iets overmaken.

RetepV @TheRebell • 19 april 2006 13:28

en ik blijf erbij dat het voor het grootste deel aan de kennis van de persoon ligt, want veel van deze ongein kun je voorkomen door een klein beetje je verstand te gebruiken..

En ik blijf erbij dat een computer een werktuig is om een mens meer te laten doen dan hij normaliter kan. Net als een hamer. Met een vuist slaat een normaal iemand niet een spijker in een plank, met een hamer wel.

Een computer is dus een werktuig. En een werktuig dat door veel simpele mensen gebruikt kan worden is beter dan een ingewikkeld werktuig waar maar een paar mensen wat aan hebben.

Een computer wordt dus meer waard als werktuig, naarmate de software door simpeler zielen gebruikt kan worden.

De conclusie is dus ook dat het een dooddoener is als je stelt dat de gebruiker beter had moeten weten. In feite zeg je daar mee dat het werktuig niet voor simpele zielen is, dwz. dat de computer alleen voorbehouden moet zijn aan intelligente mensen. En daarmee stel je dus dat de computer maar een beperkt nut mag hebben.

En daar ben ik het dus absoluut niet mee eens.

De computer is er JUIST voor de simpele zielen. Al was het maar zodat de intelligente mensen niet telkens lastig gevallen worden met stomme vragen

. Als je programma niet door simpele zielen te gebruiken is, dan heb je keihard gefaald als softwarebouwer. Sim-pel.

.oisyn Moderator Devschuur® @RetepV • 19 april 2006 20:03

Beetje jammer dat je strooit met woorden als 'intelligent' en 'simpele zielen'. Intelligentie heeft hier natuurlijk geen zak mee te maken, maar kennis van zaken hebben wel, en die twee dingen hebben zijn natuurlijk ongerelateerd aan elkaar (een dom iemand kan best verstand hebben van computers, net als dat een intelligent iemand zich er geen raad mee kan weten).

RetepV @.oisyn • 25 april 2006 16:35

Een slim iemand doorziet de strekking van mijn verhaal en gaat niet zeuren over komma's en punten.

J-roenn @RetepV • 19 april 2006 16:01

de makers van autocad hebben inderdaad zwaar gefaald

voor de rest vind ik echter wel dat je gelijk hebt hoor, daar niet van.

Daimanta @J-roenn • 19 april 2006 23:18

Nee, hij bedoelt dat het programma begrijpbaar moet zijn voor de domste gebruiker die de software gebruikt(de gemiddelde domme gebruiker weet niks van autocad)

AllSeeyinEye @TheRebell • 19 april 2006 11:17

@Therebell:
Ben ik slechts deels met je eens:

Van de gemiddelde tweaker mag je inderdaad verwachten dat ze doorzien dat het om een phising actie gaat. Wij zijn immers opgegroeid/grootgebracht/geschoold met computers en het internet.

Aan de andere kant zal het grootste deel van het klantenbestand van (online bankieren van) Rabo/Postbank/ING/e.d. bestaan uit de 'gewone consument'. Die zijn immers allemaal 'gepushed' door de banken om toch maar van de internet diensten gebruik te gaan maken (hetgeen kostentechnisch ook logisch is!). Ik denk dat je er vanuit mag/moet gaan dat een groot deel van de consument dan wel tot de ouderen behoort, of voor ons tweakers gezien in de categorie 'Dell-gebruiker' valt. Deze mensen hebben dus niet meer verstand van de computer dan de aan/uitknop, dat 'e'-tje is internet en dat envelopje is e-mail.
Als die mensen lezen dat ze van hun bank dit en dat moeten doen, dan is de kans groot dat het volgende geluid van achter die pc 'klik' is. Zeker nu de fake-bank-sites nagenoeg exacte kopieen zijn van de originele sites, is het die mensen niet (100%) aan te rekenen dat ze de fout ingaan.

Overigens wil ik hiermee niet zeggen dat het dan de banken toe te rekenen is. Het lek zoals nu bij Rabo gevonden uiteraard wel, maar phising is misdaad en dat is het slachtoffer (zowel de klant als de bank) niet toe te rekenen (tenzij de bank het natuurlijk zo makkelijk maakt, maar laten we daar maar niet vanuit gaan!)

RetepV @TheRebell • 25 april 2006 16:34

want veel van deze ongein kun je voorkomen door een klein beetje je verstand te gebruiken..

Yep. Maar omdat het onmogelijk is om van ALLES verstand te hebben, hebben we al vele duizenden jaren geleden iets uitgevonden. Namelijk het vertrouwen. En dat is nu nogal geschaadt. En samen met de andere beschadigingen die het vertrouwen de laatste paar jaar te verwerken heeft gekregen, zie je nu dat het een effect op de economie begint te krijgen.

Dat belooft nog wat. In Nederland blijft de economie op dit moment wat achter, voornamelijk omdat er geen vertrouwen is in de economie. Wij zijn zo ongeveer het verst vooruit m.b.t. informatietechnologie. De andere Europese landen lopen achter ons aan (behalve misschien Frankrijk).

Wat gaat er gebeuren met de economie van Europa wanneer bij die andere landen ook de schellen van de ogen van de bevolking af vallen?

Verwijderd @TheRebell • 25 april 2006 15:46

Niet helemaal waar

Je kan nooit voorbereid zijn op het onverwachte
Een hack...komt zoals gewoonlijk altijd onverwacht...
Eigenlijk zeg jij
Ze weten niet wat ze doen daar?

Beetje kortzichtig.....hackers/crackers....whatever
Blijven het een uitdaging vinden om "ergens" in te komen...

bastv 19 april 2006 11:06

lijkt het toch weinig vertrouwen te wekken in de beveiliging van het online bankgebeuren.

Gelukkig blijft het altijd nog veiliger dan accept giro's die ze uit de brievenbus kunnen halen.
Mensen die internet bankieren onveilig vinden en het liever nog naar de bank gaan snap ik ook niet.
Denk je dat elke bank een grote kluis heeft met vakjes waar jou geld dan in zit? Tuurlijk niet dat staat ook allemaal op computers.

Mijzelf @bastv • 19 april 2006 11:32

Punt is wel dat de fraudeur daarvoor daadwerkelijk naar de brievenbus moet om te gaan vissen, wat nogal opvalt, en dus riskant is.
Terwijl je dit soort online gaten gewoon kunt exploiteren vanachter je bureau in Schurkistan, dat geen uitleveringsverdrag met Nederland heeft.

SWINX @bastv • 19 april 2006 20:27

De vergelijking met online bankieren slaat eigenlijk nergens op in deze context. Als het nu een bedrijf is wat stofzuigers verkoopt en een mailinglist heeft, is het dan ook onveilig om zo'n stofzuiger te kopen?

Verwijderd @SWINX • 20 april 2006 22:34

ja, maar als daar een maitje van komt of je mischien het stof wil opsturen naar de fabrikant is het iets minder schadenlijk als duizenden euro's kwijd raken!

Preatorium 19 april 2006 11:11

@FrankMeussen: De Postbank heeft velemalen vaker met phising te maken gehad, vorig jaar alleen al diverse malen:
http://www.nu.nl/news/562...k-phishing_in_omloop.html.

En het online betalen en rekeningebeheer van de Rabobank is, bekend, veiliger. Zie o.a. nieuws: Onderzoek: 'Internetbankieren Postbank scoort slecht'.

Sinds februari heeft de Rabobank een nieuwe website, geheel XHTML e.d., moet ik de Postbank en andere banken nog zien doen

, zie forum: Rabobank.nl - semantisch.

Ortep

@Preatorium • 19 april 2006 12:09

Sinds februari heeft de Rabobank een nieuwe website, geheel XHTML e.d., moet ik de Postbank en andere banken nog zien doen

Is dat dan ook de reden dat mijn spamblokker in Firefox overuren draait op de site van de Rabo en geen problemen heeft met de Postbank site?

Als dat zo is, dan heb ik liever niet dat de Postbank wat verandert

Verwijderd @Ortep • 19 april 2006 15:58

Sommige popups zijn gewoon prima toelaatbaar... neem bijvoorbeeld de popup waarin tweakers hun reacties kunnen intiepen.

Overigens is de enige reden dat Postbank zo veel meer lastig wordt gevallen het feit dat de Postbank enorm veel leden heeft en je dus meer kans van slagen hebt. Soort "security by obscurity" voor kleine banken.

Marcel van Veen @Verwijderd • 19 april 2006 16:46

Pardon? Ik meen toch echt dat Rabo de grootste internetbankierenbank was...
De reden dat de Postbank lastig gevallen wordt is door hun achterhaalde TAN-systeem...

m3gA @Verwijderd • 25 april 2006 15:44

een recent onderzoek heeft aangetoond dat de methode van de postbank de onveiligste is en achterhaald (zoek maar even op webwereld)

Verwijderd @Verwijderd • 25 april 2006 15:59

bij de postbank kan ik nog steeds inbellen(!) op de speciale girotelcomputer. Daar komt geen internet aan te pas. Bijbehorende pc hangt ook niet in netwerk. Lijkt me al met al behoorlijk veilig

Verwijderd @Verwijderd • 25 april 2006 16:12

een recent onderzoek heeft aangetoond dat de methode van de postbank de onveiligste is en achterhaald (zoek maar even op webwereld)

Ik heb even gezocht op Webwereld, maar het enige dat ook maar enigszins in de buurt komt van jouw claim is dit:

De Consumentenbond vindt desondanks dat de banken hun websites moeten verbeteren om het aantal problemen met internetbankieren te verminderen. Bij de Postbank ziet de Consumentenbond liever dat gebruikers kunnen werken met een soort rekenmachientje dat beveiligingscodes genereert in plaats van de door de Postbank nu gehanteerde methode met tan-codes.

Wat opnieuw bewijst dat de consumentenbond zich niet moet bemoeien met techniek ingewikkelder dan een strijkbout.

Zoals al meerdere malen in deze thread is gezegd: de methode van de Postbank is de veiligste die er is. Misschien niet de meest handige, maar wat heb je aan handig als er toch geen geld meer op je rekening staat omdat iemand anders ook "handig" geld van je rekening af kan halen?

0rbit @Verwijderd • 25 april 2006 16:51

Wat is er niet handig aan het ontvangen van je TAN op je mobiel?

mjtdevries @Verwijderd • 20 april 2006 09:54

Dat iets een oude techniek is, zegt niet dat het achterhaald is.

TAN codes zijn de allerveiligste manier om transacties te beschermen.
Zelfs al onderschept iemand je transactie en kan ie het decrypten, dan heeft ie er niets aan, omdat je de volgende keer een andere code gebruikt.

Daarom is het ook veiliger dan de andere systemen. Die zijn in theorie te kraken, zodat iemand een volgende keer wel een transactie uit jouw naam uit kan voeren. Omdat TAN codes een lijst willekeurige cijfers is, is het per definitie niet te kraken.

Het enige risico is de lijst zelf. Die moet veilig bewaard worden. En dat heb je volledig zelf in de hand.

gfgw @Verwijderd • 20 april 2006 13:46

Overigens is de enige reden dat Postbank zo veel meer lastig wordt gevallen het feit dat de Postbank enorm veel leden heeft en je dus meer kans van slagen hebt.

Ik denk dat je de begrippen "leden" en "klanten" door elkaar haalt. De Postbank heeft wel klanten (of: rekeninghouders), maar geen leden. De Rabobank heeft ook klanten, en daarnaast (als coöperatie) ook leden. (Ik ben zelf klant bij de Rabobank, maar geen lid, en ben klant bij de Postbank.)

Dus het omgekeerde van jouw bewering is waar: de Rabobank heeft meer leden dan de Postbank.

masteriiz @Verwijderd • 25 april 2006 17:00

Sterker nog, je kunt zonder fysieke lijst werken, en de tan's laten sms'en.sms kan wel weer onderschept worden...

mjtdevries @Preatorium • 20 april 2006 09:46

En het online betalen en rekeningebeheer van de Rabobank is, bekend, veiliger. Zie o.a. nieuws: Onderzoek: 'Internetbankieren Postbank scoort slecht'.

Klinklare onzin.

TAN codes zijn de veiligste methode om transacties te doen. (niet voor niets gebruiken geheime diensten al tientallen jaren dezelfde techniek)

Verder staat in je link HELEMAAL NIETS over veiligheid.
Dat gaat over een klanttevredenheids onderzoek!!

de Rochebrune 19 april 2006 12:04

Ik heb de bewuste phishing email ook op mijn werk-emailadres ontvangen. En ik heb geen bankrekening lopen bij de Rabobank op dat emailadres.

Lijkt mij duidelijk dat ze dus "

op goed geluk willekeurige internetters hadden aangeschreven als Rabobank-klant

TD-er

19 april 2006 10:48

De enige actie voor de rabobank is nu om open kaart te spelen en direct een (papieren) mailing de deur uit te doen die meteen duidelijk maakt dat de Rabobank nooit via email zal vragen om persoonsgegevens en dat ook bij papieren mail goed gekeken moet worden of de boel van de Rabobank afkomstig is.

Als ze dit niet doen zal er binnen no-time een wel goed opgezette phishing actie komen en die kost niet alleen geld, maar nog veel belangrijker, het vertrouwen van de klant.
Dat vertrouwen is het enige bestaansrecht van banken en dat moeten ze dus niet verspelen.

Verwijderd 19 april 2006 10:49

Geen goed nieuws voor de Rabobank, gelukkig zit ik bij de Postbank.

Echt alles gaat daar beveiligd.
wanneer je 2 keer je inloggevens verkeerd invult en je doet het de derde keer weer ( altijd vervelend die Caps )
dan kan je weer een week wachten op twee brieven met nieuwe gebruikersnaam en wachtwoord
( die je overigens wel weer kan aanpassen )

Dit is me nu al 3 keer gebeurd en af en toe vloek ik als dat weer gebeurd waarom is die beveiliging zo streng nou om dit soort dingen te voorkomen lijkt me.1-0 voor de Postbank.

Xorgye @Verwijderd • 19 april 2006 10:53

Je kan het nog zo goed beveiligt hebben, maar als klanten je 'vrijwillig' hun inloggegevens geven heb je er natuurlijk niks aan

Dat is ook de weg die men tegenwoordig steeds meer in gaat: niet het systeem kraken maar de mensen die het systeem bedienen

The Realone @Verwijderd • 19 april 2006 10:52

Gelukkig zit jij bij de Postbank...waar het volgende week ook kan gebeuren...ligt niet aan de bank. Ieder bedrijf kan foutjes in haar software hebben.

Verwijderd @The Realone • 19 april 2006 10:57

bij de postbank kan ik nog steeds op een speciaal nr inbellen om mn bankzaken te regelen. Daarmee voorkom je in elk geval dat onderweg gegevens worden onderschept.
Dit draait bij mij bovendien op een stand alone pc zonder Inet verbinding.

.Johnny @Verwijderd • 19 april 2006 11:05

Goede morgen. Daar hebben we https voor.

mjtdevries @Verwijderd • 20 april 2006 09:38

Encryptie kan gekraakt worden. Maar dan moet je wel eerst de data onderscheppen.

Daarom is een medium dat minder makkelijk afgetapt kan worden veiliger.

Aan de andere kant vertrouw je ook niet alleen op https. De TAN code is een veel belangrijker (en betere) beveiliging.

RHE123 @Verwijderd • 19 april 2006 10:53

Zakelijke Girotel online van de Postbank is dan weer niet goed beveiligt naar mijn mening... Je kan hier gewoon zovaak proberen als je wilt volgens mij. Na 6 keer proberen nog steeds geen blokkade oid...

gooddaddy @Verwijderd • 19 april 2006 13:59

En jij vindt een inlognaam en wachtwoord veilig?

WiXX @Verwijderd • 19 april 2006 14:46

Lijkt me leuk als iemand anders voor jou de verkeerde gegevens invult. Dat is nog eens beveiliging waar ENORM misbruik van gemaakt kan worden.

bluewalk @Predje • 19 april 2006 11:07

En belletje is natuurlijk niet voldoende he, dan kan iedereen bellen.
Ook al bel je voor dat soort dingen dan zeggen ze netjes bij de Rabobank (en andere banken ook wel denk ik) dat dit soort dingen niet via de telefoon geregeld mogen worden.

Dannydekr 19 april 2006 13:00

Nevermind

gooddaddy @Dannydekr • 19 april 2006 14:13

Alleen vertrouwd de Rabobank erop dat jij dat niet doet, op basis van een verklaring van goed gedrag die je bij de gemeente hebt moeten halen. Ook gedetacheerden bij de Rabobank hebben een dergelijke verklaring nodig.

En als je het wel doet, is je hele verdere IT-cariiëre naar de maan, want je krijgt direct een strafblad waarin precies vermeld staat wat je gedaan hebt, waardoor je een dergelijke functie nooit meer krijgt, omdat je niet te vertrouwen bent

Beveiliging binnen de een organisatie moet je ook niet vergelijken met beveiliging buiten de organisatie.

Dannydekr @gooddaddy • 19 april 2006 14:56

nevermind

Verwijderd 19 april 2006 13:07

In plaats van dat de banken je dood spammen met reclame die op je deurmat vallen zouden ze eens een tijdje een camapagne moeten voeren, per post, die mensen attendeert op de risico's en waar ze wel en niet op moeten reageren via email.

De gemiddelde pc gebruiker kan na goed lezen best wel het een en ander aanvoelen maar met name ouderen en tieners hebben een laag lees gehalte waardoor men wat eerder geneigd is gegevens te doorgeven.

En ik blijf het zeggen, de strafmaat voor misbruik is gewoon veel te laag. De strafmaat bij de Nederlandse bank is effectief, daarom is er ook nog nooit iets geprobeerd : Je kan wel in een kluis komen maar je komt er niet levend uit

xahmol @Verwijderd • 19 april 2006 13:46

Ik weet dat in ieder geval de Postbank wel degelijk een let op phising circulaire heeft laten circuleren enige tijd geleden. En op de websites van Postbank en Rabobank stonden/staan duidelijke waarschuwingen.

Verder: natuurlijk is internetbankieren niet 100% safe. Maar nog altijd is de schade van acceptgirofraude veel groter dan van internetbankieren.
Ook is het een misverstand dat het oude inbellen middels Girotel veiliger is, omdat dit programma lokaal geinstalleerd staat is het hier weer mogelijk dat kwaadaardige software de betaalbestanden aanpast voor verzending. Internetbankieren heeft dit probleem niet.

Moraal van het verhaal: bankieren was, is en zal nooit 100% veilig zijn/worden, welke methode je ook gebruikt. Het enige wat banken kunnen doen is een afweging maken in fraudekosten/beveiligingskosten/gebruiksgemak. Theoretisch kan internetbankieren ongetwijfeld veiliger, maar zolang de fraudekosten lager zijn dan de beveiligingskosten is dat economisch niet rationeel.
Wel ben ik het er mee eens dat klanten nog veel meer zouden kunnen doen aan bewustwording bij veruit de zwakste schakel in het proces: de klant.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (100)

Sorteer op:

Weergave: