Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties

De Belgische Bank van de Post waarschuwt haar gebruikers voor een recent gestarte phishingactie. De criminelen hopen misbruik te kunnen maken van het feit dat de bank zijn online-applicatie amper beveiligd heeft.

In tegenstelling tot wat gebruikelijk is bij online-bankingapplicaties, wordt bij de Bank van de Post geen token-based login of smartcardverificatie toegepast. Elke gebruiker beschikt over een login, een zelfgekozen wachtwoord en een twintigcijferige code. Op het loginscherm van de bank wordt om de login en het bijhorende wachtwoord gevraagd, samen met vier willekeurig geselecteerde cijfers uit de code. Eenmaal ingelogd, kunnen gebruikers, zonder verdere controles, rekeningsaldi bekijken en overschrijvingen uitvoeren. In de mail die de phishers nu rondsturen wordt in het Engels gemeld dat de rekening is geblokkeerd, maar dat die blokkering ongedaan kan worden gemaakt door online wat persoonlijke gegevens in te vullen. Hoewel de Bank van de Post benadrukt dat nooit meer dan vier cijfers per keer opgegeven moeten worden, lijkt het een koud kunstje voor een geoefende cybercrimineel om op deze manier met de accountgegevens van slachtoffers aan de haal te gaan. De Bank van de Post was niet bereikbaar voor commentaar.

Bank van de Post
Inlogscherm Bank van de Post
Moderatie-faq Wijzig weergave

Reacties (49)

Ik denk dat het hoog tijd wordt dat de papiermolen opzij gezet wordt en dat er z.s.m. een .bank top level domain komt waar alleen bankaire instellingen een domein kunnen krijgen. Op die manier kan een klant altijd zien dat ie op een echte Bank site is beland.

Re: sub : Hier heb je wel een punt. Ik heb dit soort zaken ook wel vaak gezien in de phishing mails, maar zodra je er op klikt zie je wel het "exotic" adres in je balk staan en moet je getriggerd zijn dat je geen gegevens invult.
Ook hebben zowel IE als FF nu een mechanisme om vetrouwde sites die secure zijn met een groen balk te identificeren om dit nog duidelijker te maken.
Daarbij komt ook nog dat phishers meestal werken op basis van social enginering en minder gebruik maken van bugs, hacks of virussen.

Re: Prulleman : Dit gaat niet op, omdat een phisher het liefst een onbetrouwbare site wil verstoppen in een officiele sitenaam. Phishers proberen nu juist met een zo betrouwbaar mogelijk uitziende site mensen over te halen om gegevens achter te laten. Meestal worden er domeinnamen voor gebruikt die lijken op de echte site of die verkapt zijn in een echte sitenaam. Bijv: http://www.postbank.nl.bank.com/internetbankeieren

Re: T-MAN3000 : Hiervoor hoeft een klant of systeembeheerder niks van DNS te snappen. Je kan nu een eerste check door de browser laten doen en visueel aan de gebruiker aangeven dat de site vetrouwd is.

Re: Hulseman : Dat heeft niks meer met phishing te maken maar meer met hacken. Er zijn nog wel veel meer manieren om bij iemand zijn bank rekening te komen die minder moeilijk zijn dan een backdoor te installeren. Bijv. een pinpas skimmen en dan de rekening leeg plunderen of een API installeren die tussen de interface van de gebruiker en de webservice van de bank gaat zitten. Met phishing gaat het er om dat op basis van social enginering gegevens van gebruikers wordt ontfutseld door de gebruiker "voor de gek te houden"

Door een tld te gebruiken kan je een eerste visuele controle van het webadres voor de gebruiker makkelijker maken, hij ziet immers altijd iets herkenbaars wat alleen een echte bank heeft. Een bank moet natuurlijk nog steeds wel zijn klanten voorlichten over de mogelijke gevaren van emails met phishing attemps.

[Reactie gewijzigd door Luppie op 8 augustus 2007 16:50]

Zelfs dat is niet gegarandeerd, ze kunnen ook gebruik maken van bv Unicode parsing bugs in de webbrowsers en nog veel meer andere technieken. Dat je ziet dat je op http://www.banknaam.bank zit... maar in werkelijkheid ergens op http://exotic.domain.tr/exploit_pwnz_ya/ ofzo.

//Edit: om nog maar te zwijgen van DNS aanvallen & technieken. Ze moeten voor die TLD zowiezo minimaal al DNSSEC verplichten.

[Reactie gewijzigd door subspawn op 8 augustus 2007 13:38]

Dat heeft totaal geen zin, je zou via backdoors de hosts file kunnen manipuleren en zo gebruikers naar een hele andere website doorverwijzen.

Een open DNS server kan je hier mooi voor gebruiken, inplaats naar postbank.nl ga je naar een ip adres, echter je computer denkt dat de gegevens van de dns server kloppen, waardoor je geen idee hebt dat je op een andere server zit.

Echter werkt postbank met tan codes, waardoor dit truckje niet zal lukken, echter voor deze belgische bank wel.
Maar je moet wel toegang hebben tot de pc om de hostsfile te kunnen wijzigen. Dat is weer een stapje lastiger dan een gebruiker naar een verkeerde site te sturen. Behalve onoplettendheid/onwetendheid van de gebruiker, moet je ook een beveiligingslek hebben.
Een beveiligingslek is vrij makkelijk op te sporen. Er zijn genoeg mensen die hun wireless netwerk wagenwijd hebben open staan. Je spoort een "unsecure" netwerk op, je probeert de default admin credentials, je past in de DHCP server het DNS adres aan, Je verwijst in je eigen DNS server naar je verschillende namaak sites van banken die vervolgens een "man in de middle attack" uitvoeren. Alle grote overschrijvingen die mensen doen komen vervolgens op ťťn van jouw bankrekeningen terecht.
Als je dan toch al voor het huis staat met je WiFi laptop, waarom sla je dan niet gewoon een ruit in en steel je het hele huis leeg en/of neem je gelijk alle bankpapieren mee. Lijkt mij een stuk minder omslachtig dan het scenario dat jij schetst.
en valt dat niet te phishen?

niet als kritiek bedoeld, maar ik vraag het me af, je ziet namelijk ook weleens site waarbij je altijd hetzelfde in de adresbalk ziet staan, ongeacht op welke subpagina je zit. Als je dan het echte adres in een mooie link verstopt en de site zo maakt dat ie het adres van de echte site laat zien...?

\ te laat

[Reactie gewijzigd door Prulleman op 8 augustus 2007 13:43]

Dat klopt, maar dat kan alleen als de eigenaar van dat domein daar voor kiest.

Jij kunt op prulleman.com (als dat jouw domein is) elke andere site weergeven terwijl in de adresbalk gewoon prulleman.com blijft staan.

Je kunt echter niet op abnamro.nl prulleman.com weergeven, omdat jij niet de eigenaar/beheerder van abnamro.nl bent.

edit> maar hoe goed de beveiliging ook is, er zijn altijd mensen slim genoeg om hem te omzeilen, of mensen (klanten) dom genoeg om hem te verprutsen. Er trappen nog dagelijks mensen (en niet alleen domme mensen) in 'nigerian scam' mailtjes terwijl het al jaren bekend is dat dat oplichters zijn, en de mailtjes zelf doorgaans volledig ongeloofwaardig zijn.

edit2> wat een schandalig slechte beveiliging trouwens voor een europese bank!!!!

[Reactie gewijzigd door Rrob op 8 augustus 2007 13:59]

De Postbank doet ook zoiets hoor, zonder smartcard o.i.d.... alleen heb je dan nog TAN-codes, willekeurige nummers die je in moet voeren bij transacties, en die je per honderd thuisgestuurd krijgt. Die zijn wat minder makkelijk te verkrijgen door mensen die dat niet zouden mogen. "Je account is geblokkeerd, geef al je honderd tan-codes om dat ongedaan te maken" :P
Ik krijg de tancodes via sms toegezonden per stuk vlak vor het oversc hrijven. Die methode gaat dus gelukkig niet op. Een oplichter zal mijn telefoon dan ook moeten stelen en gebruiken voordat ik hem heb geblokkeerd.
Eerlijk gezegd denk ik niet dat een apart toplevel domain helpt, zolang soms zelfs systeembeheerders niet snappen hoe DNS werkt. (Ik spreek hier uit eigen ervaring)
Je kunt gewoon niet verwachten van Jan met de pet dat ze http://postbank.nl.internjetbankieren.ru kunnen onderscheiden van https://mijn.postbank.nl/...kieren/jsp/IndexLogon.jsp. Dat is allemaal dezelfde abracadabra.

[Reactie gewijzigd door T-MAN3000 op 8 augustus 2007 14:06]

Precies, en de gebruiker hoeft toch alleen zijn eigen bank te herkennen, of dat nou postbank.nl of postbank.bank is maakt niet uit. Alleen de mensen die er echt verstand van hebben, kennen het verschil.
zo jij doet wel erg veel moeite om jezelf het gelijk te geven.

wat is er mis met een .com adres? en wat als je www.ikgaopvakantie.nl heb, en je wilt betalingen via een creditcard accepteren? dan moet je een .bank website hebben? of verwijzen daarnaar? beetje vreemd ook. en eigenwijs van je.

dan kan elke branche straks zijn toplevel eisen. een toplevel ( vind ik) moet verder geen restricties of eisen stellen aan de soort website of server, of de bedrijven die er 1 mogen bezitten

juist die visuele check die jij noemt wordt door de meeste mensen altijd overgeslagen als ze op een link hebben geklikt.

verder zegt die check ook weinig.

check gewoon of het domein klopt. ook zoals je al zegt, de meeste browsers zijn veel beter in het aangeven van of een site een betrouwbare site is dmv certificaten. dat is net zo veilig als jou tld, maar veel eenvoudiger.


we hebben het dus alleen over phising, waarbij er geen programmas op de pc van de client geinstaleerd staan die de phisher helpt met het verdoezelen van website adressen, of ander sortige zaken.
Ik moet bekennen dat het hele gedoe omtrent die beveiliging me wat ontgaat. Is het dan zo een ramp als iemand op je homebanking geraakt? Het enige dat ze kunnen doen is je saldo consulteren en geld overschrijven. Leuke dief/hacker/phisher die geld overschrijft naar zijn eigen Belgische rekening :P "Jamaar, wat als het een internationale overschrijving is dan?" Bij mijn weten zijn er geen Belgische banken die 100% geautomatiseerd internationale stortingen verwerken via homebanking. Bovendien zijn de getransfereerde sommen meestal gelimiteerd op een bepaald bedrag. Ja, natuurlijk, in beide gevallen ga je wat administratieve zooi aan je been hebben. Maar dat valt toch mee.

Samengevat:
Ofwel een eenvoudige, gebruiksvriendelijke beveiliging met login/password met een kans dat er geld wordt overgeschreven naar een of andere meer dan waarschijnlijk gemakkelijke te traceren bandiet zijn bankrekeningnummer als ik dom genoeg ben om in te gaan op een phishingmail.

Ofwel een uberbeveiliging waar het gebruiksgemak tot 0 van herleid is door de combinatie van een username, token, one-timepad en lokale key.

Ik overwoog om van bank te veranderen omwille van het gereduceerde gebruiksgemak nu ik ook al rond moet lopen met zo'n onnozel machientje. Helaas blijkt het paranoiavirus alle bedrijven aangestoken te hebben.

<offtopic>
Jezus Christus, in wat voor angstklimaat leven wij eigenlijk? Er komt een dag dat we gewoon niet meer uit ons bed durven uit angst voor de gevaarlijke wereld daarbuiten. Het adagium "voorkomen is beter dan genezen" gaat niet ten allen tijde op. Op een bepaald moment krijg je een omgekeerd effect.</offtopic>

<terzijde>Mja, Bank van de Post. Ik heb er ooit nog een vakantiejob gedaan en moet zeggen: nog nooit zo'n hoop incompetent personeel bij elkaar gezien als bij De Post.</terzijde>

Edit:
@needless to say
Natuurlijk wil ik die omslachtigheid niet - maar dat gebeurt enkel wanneer iemand effectief je gegevens heeft bemachtigd. Alsof dit zo vaak gebeurt.

Het kan aan mijn bank liggen (Axa), maar die buitenlandse overschrijvingen die ik via homebanking doe (BIC/Swift) worden bij mijn weten nagekeken in de bank. Ze bellen me zelf op als er vragen zijn bij bepaalde overschrijvingen (via e-bay iets kopen bij een Chinees met een Duits postadres is blijkbaar iets dat argwaan werkt - het ging nochtans over een PCI MoBo-testkaart ^^)

O ja, en mij gaat het er net over dat ik overal op mijn HomeBanking wil kunnen zonder die digipass mee te sleuren. Het is inderdaad niet groot, net zoals mijn GSM dat niet is, mijn PDA dat niet is, etc. Al die kleine dingen samen zorgen er voor dat ik rondloop met een rugzak electronica. (Anticiperend: het was maar voorbeeld, ik heb geen PDA).

@MneoreJ
Stel me AUB niet naiever voor dan ik ben. Ik heb nooit beweerd dat je iedereen je gegevens moet geven. Ik wil maar zeggen dat ŗls ze al op je Homebanking geraken, dat de gevolgen dan niet zo verschrikkelijk zijn als men doet uitschijnen. Je moet in eerste instantie maar slim genoeg zijn om niet op phishing in te gaan. Als je zo stom bent, dan ben je stom genoeg om hen alle andere beveiligingscodes te verklappen.

Trouwens, je argumentatie valt te transponeren naar andere discussies, zoals bijvoorbeeld het best verkopende topic van de 21e eeuw tot dusver: terrorisme. Indien ik zou ijveren om de privacyschendingen van overheidswege aan banden te leggen zou jij ook kunnen argumenteren dat, bij een terroristische aanslag waar ik zelf het slachtoffer van zou zijn op enigerlei wijze, ik verwacht dat de verzekeringen "je onmiddellijk schadeloos stelt omdat jij als argument kunt aanvoeren dat het niet jouw schuld was omdat we immers niet in een angstklimaat moeten leven?"

Enfin, ik ben niet tevreden van die laatste paragraaf, maar ik denk dat je m'n punt snapt.

->
Mijn hele punt is net dat die beveiligingstechnieken meer miserie veroorzaken dan ze problemen oplossen. Met andere woorden: ze zijn effectief, maar niet efficiŽnt.

Je kan me moeilijk verwijten dat ik de verkleutering van PC-wereld met lede ogen aanzie. We evolueren naar een IT-maatschappij waar je op den duur niet meer baas over eigen computer bent door alle restricties en beveiligingen "voor je eigen goed". Mensen leren uit hun fouten uiteindelijk. Vermijden dat ze fouten maken maakt hen alleen maar hulpelozer.

<offtopic deel 2>
Hallo mensen. Risico's horen bij het leven. Als we geen fouten maken kunnen we er niet uit leren en stagneert de ontwikkeling van onze maatschappij. Problemen voorkomen is geen slechte zaak, maar we moeten ons dringend eens bezinnen waar we de lijn gaan trekken. GPS-armbanden voor kinderen? "Bent u zeker dat u dit bestand wil verwijderen?" De Engelse CCTV? Geen unsigned drivers in Vista x64? 15 jaar persoonsgegevens aan de USA uitlenen om een vliegtuig te mogen nemen? Verplichte helm op de fiets? Voedselcrisissen? In de USA nemen ze nu al kilo's medicatie tegen ziektes die ze misschien ooit kunnen hebben. Bush valt een land aan uit voorzorgsprincipe "voor zij ons aanvallen". Willen we daar echt naartoe?

Noem me maar naief, maar ik heb wat veiligheid over voor m'n geluk. Mark Twain is hier terzake al genoeg geciteerd.
</offtopic deel 2>

[Reactie gewijzigd door YellowOnline op 8 augustus 2007 20:47]

Je moet in eerste instantie maar slim genoeg zijn om niet op phishing in te gaan. Als je zo stom bent, dan ben je stom genoeg om hen alle andere beveiligingscodes te verklappen.
Hoe "stom" moet je zijn om een keylogger op te lopen? Hoe "stom" om met een zero-day exploit van je browser te maken te krijgen? De hele discussie was nou net dat de beveiliging van deze bank knudde is omdat alle beveiliging via hetzelfde kanaal verloopt. Natuurlijk is er geen enkele beveiliging die fool-proof is, maar dat is het doel ook niet.

Verder vind ik het fascinerend hoe je een discussie over veiligheidsmaatregelen bij een bank weet door te trekken naar een volledige levensfilosofie, inclusief vermelding van terrorisme. Hoe jij verzekeringen en banken wil vergelijken is me ook volstrekt onduidelijk. Voor die discussie heb ik niet getekend, en ik ga er dan ook graag een ander keertje op in, bij een onderwerp waar het meer van toepassing is.

Maar, vooruit, als jij je gelukkiger voelt bij een bank die jou gebruiksgemak biedt in ruil voor een wat minder veilige interface, ga je gang. Voor mij heeft het met geluk weinig te maken, en ik neem dan ook gaarne mijn diensten af bij een bank die een en ander wat veiliger maakt in ruil voor wat ongemak aan mijn kant. Ze zeggen wel dat geld niet gelukkig maakt, maar ik zou toch bijzonder ongelukkig zijn zonder.

Overigens mag je best een nieuwe post beginnen als je zoveel te vertellen hebt. Dat leest ook wat makkelijker voor de rest.

\[Edit: puntje verkeerd gelezen. Argument gewijzigd.]

[Reactie gewijzigd door MneoreJ op 8 augustus 2007 21:41]

Nou, los van het feit dat binnenlandse stortingen makkelijk te traceren zijn wens ik die omslachtigheid toch niet.. Stel, je hebt het juist even krap, moet rekeningen betalen en je geld is weg. Dan zul je het niet appreciŽren als je maanden moet wachten op je geld.


Enneuh, buitenlandse overschrijvingen gaan volledig automatisch als je de BIC en Swift code kent.


Trouwens, een digipass (zoals het systeel van fortis) is toch helemaal niet omslachtig? Het enige wat je moet doen is je digipass bij je hebben wanneer je je saldo online wil controleren of overschrijvingen doen. Gewoon je pascode op de digipass invullen, de code die de digipass geeft invullen op de site en je bent vertrokken.

Het merendeel van de mensen checkt de rekeningen trouwens steeds op dezelfde pc thuis. Je kan die digipass daar dus gerust laten. Zolang iemand je pascode niet kent is hij er niets mee, en jij hoeft het niet mee te sleuren. De enkele keren dat je je digipass toch buitensuis nodig hebt kun je hem besy meenemen, zo groot is het niet.
Ik moet bekennen dat het hele gedoe omtrent die beveiliging me wat ontgaat. Is het dan zo een ramp als iemand op je homebanking geraakt?
Nee, tuurlijk niet. Kom, moet allemaal kunnen, in goed vertrouwen en een sfeer van broederschap.

Dus, als je even je gegevens naar mij zou willen mailen? Dan kijk ik gratis en voor nop even of alles wel klopt.

Heel leuk dat jij je veilig voelt bij het idee dat de dief getraceerd kan worden als je geld foetsie is. Jij verwacht zeker dat je bank je onmiddellijk schadeloos stelt omdat jij als argument kunt aanvoeren dat het niet jouw schuld was omdat we immers niet in een angstklimaat moeten leven?

Paranoia is vervelend, maar naÔveteit kun je ook te ver doortrekken. Zoals de Engelsen zeggen: "A fool and his money are soon parted."
Ik gebruik al meer dan een jaar KBC Online-banking en ik log me in via een sleutel die op mijn USB stick staat. Eens de KBC website de sleutel vindt, nog paswoord invoeren en kan verrichtingen doen. Wat soms wel irritant is, is dat die sleutel enkel herkend wordt als hij de stationsletter "H" heeft in Deze Computer, maar dat zal voor de beveiliging zijn zeker?

In de loop van deze maand, zou KBC ook zo'n "machientje" opsturen (gratis voor KBC-online abbonnees) voor een nog betere beveiliging beweren ze. :o
Het is betere beveiliging dan wat hier getoond wordt, maar heb je de recente acties van tweakers wat betreft beveiligde USB sticks gezien? Dit is wel anders, maar de kans dat die sleutel ook zonder de USB stick is te versturen acht ik vrij waarschijnlijk.

Wat betreft die H letter. Wellicht was de stationsletter H bij het eerste gebruik en staat dit ergens opgeslagen. Dat is vrij gebruikelijk.
En hoe wil men dat dan gaan realiseren op een *NIX systeem?

En dan wil ik niet meteen Linux zeggen, maar er zijn ook genoeg Apple gebruikers.
En die kennen toch echt geen A, C, D, E ...... H schijf !!!
Mijn ouders gebruikten KBC-online met de keyfile onder Kubuntu.
In plaats van a:/keyfile.key staat er dan in de config file /mount/disk/keyfile.key :)
Ze hebben nu ook een card reader gekregen, dus dit systeem is niet meer nodig
Iemand met een mac heeft blijkbaar toch genoeg geld, dus die hoeft niet zo om de haveklap te kijken wat z'n saldo is :+
Dat "machientje" is bij ons al toegekomen. Werkt wat omslachtiger, maar wel veiliger denk ik. Voor elke verrichting moet je met het toestel een respond code opvragen in combinatie met je bankcode.
Heb het vorige maand ook ontvangen. Veiliger is het zeker, dat ga ik niet ontkennen, maar het gebruiksgemak is wel zienderogen gedaald.

Vroeger controleerde ik dagelijks m'n rekeningstand, sinds de komst van het 'kastje' is dat heel wat minder geworden.

Moet je eerst je kaart nemen en in kastje steken, code overtikken gevolgd door je pin, de verkregen code weer overnemen in je browser waarna je toegelaten wordt. Jammer genoeg blijft het daar niet bij en kun je dit proces weer herhalen bij het maken van een overschrijving.

Ik ben absolute voorstander van een veilig banksysteem, maar is dit niet nťt een beetje te? Imo was het vorige systeem mbv de file en wachtwoord, in combinatie met verstandig gebruik natuurlijk (!!), niet zo onveilig.
Je kunt meerdere overschrijvingen in 1 keer ondertekenen.
Dus 1x bij het inloggen en 1x bij transacties dat je moet aantonen dat je over de nodige credentials beschikt. Dat vind ik nog best doenbaar.
Die H drive letter kan je aanpassen in een config file ergens in de KBC Online folder.
voor gebruikers lasig te vallen ja. Ikzelf had liever het oude systeem, en ben niet de enige. Tuurlijk is dit veiliger omdat je private key niet meer op de PC staat, maar het gebruiksgemak is enorm gedaald.
Persoonlijk lever ik graag wat gebruiksgemak in als de veiligheid substantieel verbetert :)
Fortis BelgiŽ heeft inderdaad een DigiPass zoals ze dat machientje noemen. Om even een overzichtje te geven van de verschillende systemen bij wat Belgische banken:

Fortis: tegenwoordig DigiPass (in tegeven op de site: gebruikersnummer, serienummer van je digipass en de gegenereerde code), ook met C/ZAM-kaartlezer (kaartlezer die enkel geschikt is voor bankkaarten, niet voor klassieke smartcards; speciaal gemaakt door banksys als ik me niet vergis, ook met hun firmware en eigen drivers, nadeel was dat die enkel voor Windows waren, dacht ik en dat Fortis wel een actie gedaan heeft van een heleboel van die apparaten te verdelen voor 25 euro, waar ze normaal iets van 50 euro kosten, maar dat waren nog modellen met een extra adapter die enkel via de COM-poorten werkten, later kwam er ook een USB-versie)

KBC: inderdaad via een keyfile (dat op een vaste locatie moet staan, vreselijk ding, kan je in je Windows bak gaan proberen links te maken dat hij het wel begrijpt, is het dan zo moeilijk om gewoon die locatie makkelijk aanpasbaar te maken?)

ING: werkt met 2 systemen tegelijkertijd, ook een keyfile en clientapplicatie die als portal dient om vanuit je gewone browser dan toegang te krijgen tot het beveiligde gedeelte (en ja, die applicatie bestaat ook voor Linux, zelfs op 64-bit draait hij perfect!), en daarnaast DigiPass. Je kan zelf kiezen om een van beide (of allebei natuurlijk) te gebruiken, standaard geven ze enkel die applicatie (is goedkoper dan iedereen een DigiPass te geven)

Bank van de Post: met dit vreselijke systeem inderdaad. Het bruikbaarheidsprobleem hiermee is vooral dat de vakjes meestal nooit even groot zijn als de gearceerde cijfertjes waardoor je altijd moet zitten tellen op je scherm (1,2, 3; ehm, zat ik nu aan 5 of niet) en je dan nog het goede nummer voor dat vakje herinneren. Je moet dus bijna dat nummer ergens opschrijven, wat dan ook een groot gevaar voor de veiligheid is. Ze laten geen trviale cijferreeksen toe ( 123456 , of herhalen van dezelfde 4 nummers steeds ), maar het feit dat het hele nummer eigenlijk statisch is, is reden tot klagen. Kwestie van genoeg interacties af te luisteren en je hebt de code ook. Wat ik me dan afvraag: hoe bewaren ze dat alles in hun centrale database: gehasht of gewoon in plain-text?

Voor DigiPass bestaat er trouwens wel een applicatie van Vasco (maker van DigiPass) zelf voor Windows, waarmee je hetzelfde kan als met een digipass. Maar je kan in ieder geval niet aan een gratis versie geraken, en om het werkend te krijgen moet je waarschijnlijk toch belangrijke informatie hebben van de digipass die je wilt nadoen (serienummer, code die de bank erop geflasht heeft, weet ik veel wat), zodat je praktisch niet veel hebt aan dat programma. Maar het zou wel handiger zijn om zoiets te hebben op usb-stick of gewoon op je pc zodat dit alles gewoon in je browser geÔntegreerd zou kunnen worden.
KBC heeft nu ook zo'n machientje die je een code geeft waarmee je kan inloggen. Je hebt dus ook bankkaart nodig enzo :)

Ervoor was het inderdaad met een keyfile, maar ik kon die ook overal zetten waar ik wou.
Tot je je machientje kwijt raakt... 8)7


't systeem van de rabobank(en de ABN heeft gebruitk 't ook) is veel efficienter, ze kunnen phishen tot je een ons weegt, maar zonder jouw privesleutel of die van de bank komen ze er niet in....en je kan ieder machientje gebruiken..als ik bij mijn schoonouders ben hoef ik de mijne niet mee te nemen etc etc.

Ik snap echt niet dat de Postbank en de Bank van de Post(welke eigenwijze hrattock heeft die naam gekozen? Zeker weer een belg die de naam niet teveel op de nederlandsche variant wilde late lijken :+ ) nog met primitieve logins werken....
Ik vind het systeem van de postbank prima. Met een login kan je inderdaad op de website komen, maar voor ALLE transacties heb je een TAN code nodig. Deze wordt op het moment van de transactie naar mijn mobiele telefoon gestuurd. Om iets te kunnen doen heb je dus mijn login en mijn mobiel nodig.

Ik vind dit veel handiger dan zo'n klote kastje die je niet altijd bij je hebt. Mijn telefoon heb ik wel altijd bij me.
Het postbank systeem is idd het veiligste, hoewel een probleem tegenwoordig nu je met je mobieltje ook kan internetbankieren is dat als je mobieltje gejat wordt men makkelijker je rekening kan plunderen.

Zet dus je Postbank login/pass nooit in je mobieltje!

[Reactie gewijzigd door Dreamvoid op 8 augustus 2007 16:07]

Kennelijk hebben we hier te maken met een bank-fanboy :+

Een telefoon kan natuurlijk net zo makkelijk kwijtraken/gejat worden als een 'klote kastje' , en dan zit je helemaal zonder manier om te bankieren. Met een een paslezer kan je altijd die van je vrienden nog gebruiken...
Kennelijk hebben we hier te maken met een bank-fanboy :+

Een telefoon kan natuurlijk net zo makkelijk kwijtraken/gejat worden als een 'klote kastje' , en dan zit je helemaal zonder manier om te bankieren. Met een een paslezer kan je altijd die van je vrienden nog gebruiken...
Ik heb zelf ervaring met Digipass van de Rabo en met TAN-over-GSM van de Postbank. 1 keer raden welk systeem ik als elegant, goed bruikbaar en veilig ervaar. Eigenlijk allebei, maar qua veiligheid en gebruiksgemak is TAN-over-GSM toch net iets mooier. En kwijtraken? Digipass kwijt is einde verhaal, net als pasje kwijt bij het paslezer systeem, dan heb je echt niks aan de lezer van je vrienden. Ook je portemonnee met contant geld kan uit je zak vallen, en je boekje met overschrijvingskaarten kan door de hond worden opgegeten. Kwijtraken kan dus met alle betaalmethoden evengoed en is geen argument.

[Reactie gewijzigd door mae-t.net op 9 augustus 2007 14:39]

En dat serienummer is niet met brute force of een intelligente manier te faken? Lijkt me stug.
Lees eerst theorie van one-time pads maar eens (bv. http://searchsecurity.tec...,,sid14_gci213673,00.html). So far, zijn one-time pads & biometrische beveiligingen de meest veilige en haalbare methodes van authenticatie.

@Veli_007:
Er zijn natuurlijk altijd manieren rond, zoals slimme virussen (of trojans,... whatever), die transparant inline (as in man-in-the-middle op je eigen PC, dus op applicatie of API niveau) zich nestelen als jij de Fortis online banking website bezoekt. 100% veilige online banking is een illusie ;) Hoewel een fully updated PC +anti-virus/anti-malware (of een VM die alleen daarvoor gebruikt) met one-time pads het wel benadert, dan is je PIN code van 4 cijfers natuurlijk weer de grote issue... dat stelt nagenoeg niets voor :)
Ik wil niks zeggen, maar je kan daar een willekeurige kaartlezer voor gebruiken hoor. Er zijn nog andere banken die identiek dezelfde lezers gebruiken en die zijn onderling allemaal compatibel.

Je krijgt gewoon een publick key, deze dien je in te geven, samen met pincode en dan word er een berekening gemaakt in combinatie met de private key die op uw bankkkaart staat. Dan krijg jij een nieuwe key die je moet ingeven op de site. De berekening is voor elke kaart gelijk.
Ik heb geen card-reader bij Fortis, gewoon een kasje waar ik mijn PIN-code moet ingeven, en dan geeft het kasje een code die ik op de site moet ingeven.
Mijn bankkaart komt nergens in heel de procedure voor...
Jij hebt deze reader niet?
https://www.fortisbanking...es/All/All/access_key.jpg
Hier moet je je bankpasje in steken, dan inderdaad je PIN-code ingeven en dan krijg je inderdaad een code terug die je op de site moet ingeven.
Ik zie in je profiel niet of je uit BelgiŽ komt of niet. Ik heb 't over Fortis bank in Nederland.

[Reactie gewijzigd door Eegee op 8 augustus 2007 14:41]

Ik denk dat het hier gaat over Fortis BelgiŽ.

Tot voor een jaar of twee geloof ik was het ook mogelijk om een kaartlezer te gebruiken om mbv je bankkaart in te loggen bij je PCBanking.

Nu is het echter zo dat je een Digipass krijgt van Fortis. Deze heeft een serienummer dat op jouw naam (lees als: jouw rekeningnummer) geregistreerd is ťn gekoppeld is aan je PCBanking accountnaam.
Deze digipass moet je unlocken met een eenmalige pincode die je van de bank krijgt waarna je zelf een pincode moet ingeven. (trouwens, tijdens gebruik drie maal verkeerde pincode ingeven en digipass is onbruikbaar)

Als je inlogt op je pcbanking moet je naast je accountnaam en het serienummer van je digipass een zes-cijferige code ingeven.
Deze code wordt 'berekend' door je digipass.

Dus zoals Fire69 zei, dit is idd Token-based security (deze hier maakt gebruik van RSA)
Dat systeem met een digipass heeft de Rabobank jaren geleden vervangen door de random-reader waar je je bankpas in steekt.
Voordeel daarvan is dat als hij kapot is, je gewoon naar de bank loopt en een nieuwe kan halen. Of als je bij een vriend/kennis bent je die van hem/haar kan gebruiken om even iets over te boeken.
Ik heb geen card-reader bij Fortis, gewoon een kasje waar ik mijn PIN-code moet ingeven, en dan geeft het kasje een code die ik op de site moet ingeven.
Mijn bankkaart komt nergens in heel de procedure voor...
Het verschil hier is dat de private key in het kastje zit ipv in de bankaart, voor de rest is het exact hetzelfde :).
Onjuist, ABN Amro gebruikt dezelfde reader als Fortis Bank maar deze werkt toch echt anders.
Dat noemen ze nou token-based... zoals ook in het artikel staan. ;)
Kunnen ze niet gewoon zorgen dat je bankcard gelezen word in de cardreader die nu al de meeste portables zit? voor op pc kost dat extra kastje trouwens ook niet veel. de banken mogen er wel wat aan doen, ze verdienen er toch dik genoeg aan.
PS: in een recent onderhoud met KBC heb ik vernomen dat de beveiliging met een keyfile niet meer toegelaten is volgen de EU voorschriften. daarom dat ze allemaal naar die digi-pass gaan.
Ik vind dat ze meteen ook de optie card-reader in pc mochten toegevoegd hebben.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True