Postbank waarschuwt klanten voor trojan

Klanten van de Postbank worden op de website van de bank gewaarschuwd voor een virus dat persoonlijke gegevens kan afvangen. De trojan zou niet alleen Postbank-klanten belagen, maar ook gegevens kunnen stelen bij andere websites.

Het zou gaan om een variant op de PSW.Win32.Sinowal-trojan. Deze malware circuleert al ruim een jaar op internet en is gespecialiseerd in het afvangen van persoonlijke gegevens. Naast de waarschuwing heeft de Postbank ook een detectie- en verwijdertool op zijn website geplaatst.

De variant die zich richt op Postbank-klanten probeert direct na het inloggen op MijnPostbank een of meerdere tan-codes van de gebruiker te ontfutselen door een vervalst invoerscherm te tonen. Met de afgevangen tan-codes kunnen cybercriminelen transacties uitvoeren met de rekening van het slachtoffer. Volgens de Postbank is er nog niemand gedupeerd door de trojan, maar eventuele slachtoffers worden schadeloos gesteld. De bank heeft aangifte gedaan bij justitie en roept klanten op die met de trojan besmet zijn om zich te melden bij de Postbank.

Voorbeeld van popupscherm dat vraagt naar tan-codes Postbankklanten

IT-banen

Reacties (144)

m_snel 21 september 2007 17:38

Wat lees ik hier een hoop onzin.

- Als je een formulier met 100 codes hebt en er worden er tien gevraagd dan is de kans dat er 1 goed is veel kleiner dan een sms waar er 1 of een paar in staan.

- TAN codes die per 100 geleverd worden , worden random gebruikt, en dat is al heel lang zo.

- Ieder systeem is te kraken en de mens is bijna altijd de zwakste schakel.

- Een beveiligde verbinding zegt niks, als je niet weet wie er aan de andere kant van de verbinding zit, ga maar eens internet bankieren, er zijn natuurlijk de bekende problemen met de urls, hosts bestand, maar ook via een proxy bij grote bedrijven zie je nog wel eens dat je een certificaat van de proxy krijgt ipv het eind punt en als daar niet op gecontroleerd wordt is je verbinding dus ook niet veilig.

Geen enkel systeem is veilig als je pc gehacked is , geen tan code, geen raborandom reader of wat dan ook. Je kan nl tussen de bank en de gebruiker een programma installeren die alles doorstuurt maar alleen even het bedrag en het rekening nr. veranderd.

Dus goed opletten en zorgen dat je virus scanner en patches up to date zijn.

JakkeMan

21 september 2007 13:22

Mensen die denken dat SMS berichten veilig zijn zal ik toch moeten teleurstellen. SMS berichten gaan als clear text door de lucht. dus ieder die dat wil kan jouw berichtjes en dus de TAN code onderscheppen. Als je daarnaast ook nog die persoon zijn GSM nummer kent, wordt het al helemaal gemakkelijk, dan moet je zelfs niet meer zoeken tussen al de data die je onderschept hebt. Kijk hier maar: (http://www.gl.com/gsmanalyzer.html)

Daarom dat een unconnected digipass nog altijd veel veiliger is dan een TAN code via SMS bericht.

Edit: Ik zie nu dat op de pagina die ik meegeef, dat de data gecaptured wordt op de lijn, maar er zijn ook tools, mits de juiste hardware die de wireless data kunnen capturen.

[Reactie gewijzigd door JakkeMan op 25 juli 2024 01:36]

botsing @JakkeMan • 21 september 2007 13:30

De TAN-code die je per SMS krijgt is toch alleen maar te gebruiken voor de transactie die je zelf direct daarvoor op Mijn Postbank.nl hebt voorbereid. Het is niet iets waar criminelen veel mee kunnen beginnen.

JakkeMan

@botsing • 21 september 2007 13:40

Ja, en als je daarnaast een trojan op je pc hebt staan, wordt het wel vrij makkelijk.
Dan kan je invullen wat je wil, rekening nummer veranderen, bedrag veranderen, TAN code opvangen en hopla 100.000 euro van je rekening ...

Bij een unconnected reader moet je altijd een signature maken van het bedrag en rekeningnummer dat je zelf kent. Bij een TAN code is dat natuurlijk niet het geval.

Herko_ter_Horst

@JakkeMan • 21 september 2007 14:40

Als je een Trojan weet te schrijven die de login- en rekeninggegevens van een specifieke gebruiker weet te koppelen aan z'n GSM nummer en dan ook nog een specifieke SMS die naar dat nummer gestuurd wordt weet op te vangen dan heb je daar wat aan ja.

Zéér vergezocht scenario.

Anoniem: 179500 @JakkeMan • 21 september 2007 14:37

SMS berichten gaan als clear text door de lucht. dus ieder die dat wil kan jouw berichtjes en dus de TAN code onderscheppen. Als je daarnaast ook nog die persoon zijn GSM nummer kent, wordt het al helemaal gemakkelijk.

Ja, en als je daarnaast een trojan op je pc hebt staan, wordt het wel vrij makkelijk.
Dan kan je invullen wat je wil, rekening nummer veranderen, bedrag veranderen, TAN code opvangen en hopla 100.000 euro van je rekening ...

Whahahahahaha

Nee klopt, we moeten gaan oppassen, totaal onveilig

ThE_ED @Anoniem: 179500 • 21 september 2007 15:30

Ja, in dit scenario kun je ook gewoon iemands cardreader/randomnummerbeest jatten. Totaal insecure die dingen

Trouwens, met een beetje social engineering kun je van heel veel onnozele klanten zo'n nummer verkrijgen, denk ik.

[Reactie gewijzigd door ThE_ED op 25 juli 2024 01:36]

Yucko @ThE_ED • 21 september 2007 17:42

Je hoeft mijn randomreader niet te jatten, maar je gaat gewoon naar de bank en vraagt om een nieuwe. Deze zijn nl. niet gekoppeld aan een specifieke rekening.

Wil je iets kunnen doen met mijn geld, dan zul je zowel mijn bankpas moeten jatten alsook de code die ik gebruik op de reader (en hopen dat ik het in de tussentijd niet gemerkt heb en mijn rekening geblokkeerd heb

)

Anoniem: 201824 @ThE_ED • 22 september 2007 15:31

So not true, die reader is niet alleen wat je nodig hebt. Je hebt de pas, bankrekeningnr, en pincode uiteraard, nodig.

Ikke_Niels @JakkeMan • 24 september 2007 12:04

JakkeMan:

Als je een aanpassing krijgt zal je ook een nieuwe sms krijgen, ofwel een gesms'de tancode kan alleen voor die transactie gebruikt worden.

En als je een sms krijgt met "wilt U 100.000 euro overschrijven naar rekening x" dan zou ik heeeel snel e postbank bellen

)

Herko_ter_Horst

@JakkeMan • 21 september 2007 13:29

Ja en dan? Dan heb je de TAN code. Moet je daarnaast nog wel even inloggen op mijn.postbank.nl met de gebruikersnaam en het wachtwoord van de juiste rekeninghouder.

Gitano @JakkeMan • 21 september 2007 13:33

Alleen die sms-jes opvangen moet je wel bij de verzendende of ontvangende partij in de buurt zijn. Het is niet zo dat ik in mijn woonplaats een sms ontvang en dat jij die 50km verderop kan afvangen (laat staan dat die gasten van die screenshot dat kunnen opvangen gezien hun knullige nederlands..)

Anoniem: 201824 @Gitano • 22 september 2007 15:33

Waarom zou ik 50 km verderop niet kunnen wat er als SMS aan een bepaalde persoon verstuurd wordt? Soms gaan berichten over diverse zendmasten heen, voordat ie bij de ontvanger aan komt. Tussen die verschillende zendmasten kun je dus ook een poging tot onderscheppen wagen, lijkt me.

SuperDre @JakkeMan • 21 september 2007 13:56

En die unconnected digipass is niet gewoon een stukje software wat gewoon na te maken is, het is gewoon een algoritme met wat specifieke parameters..

botsing 21 september 2007 13:21

Ik kom een heel eind. 'Wisselborgtocht' is een ongelukkige woordenboekvertaling van 'guarantee' en 'vigerend' is een net zo passende vertaling van 'valid', maar 'wedder' kostte me wat meer moeite.

De oplossing laat maar weer eens zien hoe dom die Nigerianen echt zijn. Het zelfstandig naamwoord 'wedder' is namelijk een adequate vertaling van 'better'. Dit moet wel haast een woord-voor-woord-woordenboekvertaling zijn, want er is geen vertaalsite te vinden die daarmee aankomt.

Het zou me niks verbazen als de originele Engelse tekst ook al vol met spelfouten staat, want daarin zijn het meestal ook niet zulke talenten. Ik vermoed dat 'zij' bijvoorbeeld een vertaling is van 'side', in plaats van 'site'.

[Reactie gewijzigd door botsing op 25 juli 2024 01:36]

Darude1234 21 september 2007 20:03

Je weet dat er altijd mensen er zijn die in dit soort dingen trappen, maar ik snap dat echt niet hoor. Als je een beetje nadenkt snap je dat zoiets pure onzin is, alleen al aan de tekst te zien: "Zowat wedder zekerheid voor wisselborgtocht, zijn voor nu 1B vigerend TANs ter zijn cijfers verlersen, b.v. 83 (TAN-cijfers)"
Het verbaast me nog steeds dat er blijkbaar mensen zijn die niet snappen waar die TAN-codes voor bedoeld zijn. Misschien wordt het tijd dat de postbank wat meer voorlichting geeft, alhoewel te betwijfelen valt of dat de verantwoordelijkheid van de postbank is...

mjtdevries @Darude1234 • 23 september 2007 09:13

Iemand die hier in trapt is niet te redden door voorlichting.

RemcoDelft 22 september 2007 10:00

Volgens de Postbank is er nog niemand gedupeerd door de trojan, maar eventuele slachtoffers worden schadeloos gesteld.

Dit zeggen banken altijd bij dergelijke acties. Terwijl de gebruiker duidelijk zelf fout zit als-ie hier schade door ondervindt, er zijn voldoende waarschuwingen geweest!
Ik ben dan ook zeer benieuwd wat de bank zou doen als de fraude een keertje slaagt, m.a.w. als er opeens een miljard euro van heel veel klanten mist! Beetje raar als de bank (en dus de andere klanten) hiervoor moeten opdraaien...

MuTTLeYs 21 september 2007 12:20

Als ik de tekst op de afbeelding probeer te lezen lijken het wel weer Nigerianen.
Wat een taal zeg, dat is toch geen Nederlands en ik kan mij niet voorstellen dat hier iemand intrapt.
Dan moet er wel een lichtje gaan branden en bedenk je je vast wel dat dit niet door postbank zelf getypt is.

Rekcor @MuTTLeYs • 21 september 2007 13:16

De beste beveiliging tegen phishing is nog altijd een simpele spellingschecker

Anoniem: 201824 @Anoniem: 136223 • 22 september 2007 14:48

eerder een vroege ^^

Twoflower @MuTTLeYs • 21 september 2007 12:57

En toch zijn er zat mensen die in zulke dingen trappen.
Waarschijnlijk zal het scherm er verder hetzelfde uitzien als een normaal scherm van de Postbank (heb zelf geen Postbankrekening, dus weet dat niet zeker).
Veel mensen zien dus dezelfde layout en lezen de tekst nooit, dus vullen ze gewoon de gegevens in.

gamepower2005 @Twoflower • 21 september 2007 13:10

De Nederlandse tekst geeft het toch een beetje weg, vind ik. Als iemand dat niet merkt, zou er toch een lichtje moeten gaan branden doordat de postbank om 10 tan-codes vraagt. Niemand verdient het natuurlijk om zo afgeperst te worden, maar als je hierin mee gaat, ben je imho nog niet klaar om het Internet op te gaan.

dietmertan.com @gamepower2005 • 21 september 2007 21:32

Hoe kun je nou tancodes invoeren als de postbank die niet naar je mobiel verstuurd?

Volgens mij werkt dit alleen als je nog zo'n a4tje met tan codes hebt

cHoc @dietmertan.com • 21 september 2007 22:24

Veel mensen hebben nog zo'n A4'tje met Tan codes, niet iedereen doet dat via mobiel.

mjtdevries @cHoc • 23 september 2007 08:36

Heb ik ook.
Mag misschien niet zo praktisch zijn als een mobiel, maar zolang je A4-tje veilig is (en daar heb je zelf controle over) is dit de allerveiligste methode die er maar bestaat.

marcieking

@mjtdevries • 23 september 2007 14:21

Mensen die via hun mobiele telefoon TAN-codes ontvangen zijn in dit geval veiliger: zij krijgen geen 10 TAN codes opgestuurd van de postbank en kunnen dus gemakkelijk merken dat dit fake is.

Synch @Twoflower • 21 september 2007 13:28

Ja de layout en kleuren zijn hetzelfde maar als je een onbekend scherm ziet moet je toch echt eerst lezen voordat je weet wat de bedoeling is.

mjtdevries @Synch • 23 september 2007 08:35

De kleur is hetzelfde, maar voor de rest komt er helemaal niets overeen.

Zo bestaat een TAN code invoerscherm altijd maar uit 1 invoer vak.
En niet uit twee vakken gescheiden door een streepje.
En zeker niet uit 10 van die vakken onder elkaar.

Fishbeast 21 september 2007 12:24

het is ook wel vaak raak bij de postbank zeg. hebben ze nou totaal de plank misgeslagen qua beveiliging tijdens de ontwikkeling?

3dfx @Fishbeast • 21 september 2007 12:40

hebben ze nou totaal de plank misgeslagen qua beveiliging tijdens de ontwikkeling?

Dit is toch geen issue die rechtstreeks betrekking heeft op de beveiliging van de site van de postbank?
Ze proberen gewoon gegevens te ontfutselen middels een trojan die je elders oploopt, en dat kan ook klanten van andere banken treffen.

Dit is net zoiets als dat jij een brief krijgt waarin je gevraagd wordt even 10x je handtekening te zetten op verder nog niet ingevulde machtigingsformulieren, en die retour te sturen.
Of dat je even je inlogcalculator+codes van de Rabo/Abn op wilt sturen zodat men die kan omruilen voor een nwe./modernere/veiliger versie.

Het is vaak niet voor te stellen dat mensen daar in trappen, maar kennelijk is het wel lucratief (zie spam).

yzf1kr @Fishbeast • 21 september 2007 13:21

Nee, de postbank is gewoon de grootste van Nederland.

Dus je kan in een klap meer mensen bereiken als bij andere banken.

ZpAz

@yzf1kr • 21 september 2007 13:40

Volgens mij is rabobank de grootste 'internetbankier' bank van Nederland, maar deze heeft een Random Reader, en elke code zul je dus maar 1 keer kunnen gebruiken, en alleen op het moment dat je hem invult. Als je 5 min wacht met het invullen van de code werkt het al niet meer.

Anoniem: 98216 @ZpAz • 21 september 2007 14:29

Bij de postbank heb je 2 manieren om aan je TAN te komen, of je haalt ze van een lijst met 100 codes (en je moet dan van een willekeurige van die 100 de TAN geven) of via SMS. Alleen de mensen met een papieren versie kunnen ze phishen en dan hopen ze dat er een TAN bij die 10 zit die je nog niet gebruikt hebt. (Want iedere van die 100 TAN codes wordt maar 1x op gevraagd.)

Met die TAN (en je username+wachtwoord maar dat is voor keyloggers natuurlijk wel te doen) kunnen ze dan een transactie door het systeem voeren, maar dit is puur mogelijk omdat de postbank voor mensen zonder mobiel (SMS) nog met die papiertjes werkt.

Maar ja, deze pagina heeft wel 'verdacht' als ondertitel...

golfdiesel @Anoniem: 98216 • 21 september 2007 15:14

Als je de papieren TAN lijst hebt dan gaat het niet random. Ze gaan gewoon de rij af van 1 tot 100. Dit was zo totdat ik over ben gegaan naar TAN via SMS, ik heb dus geen papieren lijsten meer.

Anoniem: 203250 @golfdiesel • 21 september 2007 15:21

Dat was eerst zo, maar tegenwoordig gaat het wel random met een TAN-papiertje

gfgw @Anoniem: 98216 • 24 september 2007 08:03

maar dit is puur mogelijk omdat de postbank voor mensen zonder mobiel (SMS) nog met die papiertjes werkt.

Ik heb al aangegeven dat ik de SMS naar mijn vaste telefoonnummer wil hebben, maar Postbank weigert dat. Ik kan alleen een 06-nummer opgeven.
Daarnaast is een papieren lijst wel zo handig (nooit wachten).

Croga

@ZpAz • 21 september 2007 14:08

Daar hebben ze dus ook geen fishing voor nodig. Simpelweg het algorithme kraken wat de berekening doet is voldoende.

Vandaar ook dat de Postbank al regelmatig prijzen heeft gewonnen met het TAN systeem. Er zit geen algorithme achter waardoor het veiliger is dan ieder systeem met een "randomreader" of soortgelijk apparaat.
Daarnaast zorgt het TAN via SMS systeem er voor dat dit hele phising systeem zinloos wordt. (met als bijkomende nadeel dat het SMS systeem wel eens uit valt

)

RobIII Moderator GoT @Croga • 21 september 2007 14:32

Niet dus; die Randomreader heeft je Pinpas nodig en die bevat dus een "deel van de code" voor het genereren van de uiteindelijke waarde. Zonder pas kom je dus met het gekraakte algoritme geen steek verder.

[Reactie gewijzigd door RobIII op 25 juli 2024 01:36]

Anoniem: 201824 @RobIII • 22 september 2007 14:54

Deel van de code zal pinpas nr, pincode, en rek.nr. zijn, oh ja en tijd niet te vergeten, zodat de reader weet, nieuwe code genereren. Je reader heeft een systeemtijd/datum, die overigens ongelijk is aan de werkelijke tijd (bij mij iig).
Data van een pas kopiëren/skimmen lijkt me al genoeg. Alleen nog een wiskundige nodig om die algoritme te kraken.

[Reactie gewijzigd door Anoniem: 201824 op 25 juli 2024 01:36]

OkkE @Croga • 21 september 2007 16:40

Er wordt een bankpas aan je rekening gekoppeld, zo ver ik weet is je bankpas dan ook onderdeel van de salt. Wanneer je het algoritme hebt gekraakt zal je dus als nog bepaalde gegevens van de bankpas moeten hebben.
Geen idee welke gegevens gebruikt worden trouwens.. vast o.a. het pasnummer.

MBV @OkkE • 21 september 2007 20:48

Bij de ABN voer je die in op de website, en gaat het dus over de lijn, en is dus niet veilig. De 'randomreader' van de ABN heeft je chipknip nodig: ik verwacht dus dat de versleuteling (gedeeltelijk) door de chipknip wordt gedaan, m.b.v. een private key die daarop staat. Door het bankpasnummer in te geven op de website, weet de website welke pas (en dus welke private key) er gebruikt wordt.

Metro2002 @Fishbeast • 21 september 2007 12:27

Enige waar de postbank vaak last van heeft zijn phising mails en die zijn er voor andere banken ook. Verder vind ik echt niks mis met de postbank beveiliging hoor.
Inlognaam en wachtwoord bij het inloggen en de transacties met een random tan code via sms of een lijst.

Je bent trouwens wel knap stom als je hierin trapt. ten eerste, waarom wil de postbank die codes? die hebben ze notabene zelf aan je verstrekt! ten tweede is het niet het gebruikelijke scherm die je krijgt als je inlogt dus moet er al een lichtje gaan branden. Ten derde is het alibaba taal en geen nederlands wat er staat dus lijkt me ook duidelijk dat er iets niet in de haak is.

Anoniem: 164791 @Metro2002 • 21 september 2007 13:29

Ten derde staat in de per post verzonden stukken dat er nooit om tancodes of wachtwoorden word gevraagd.

gfgw @Anoniem: 164791 • 24 september 2007 07:56

O jé, iedere keer als ik inlog wordt er om mijn wachtwoord gevraagd, en bij iedere transactie wordt er om een tancode gevraagd...

SuperDre @Fishbeast • 21 september 2007 13:50

laatst was het toch ook zo bij de ABN...

Anoniem: 179500 @PHiXioN • 21 september 2007 14:23

Hou toch eens op joh, dit artikel gaat over een phishing actie op een banksite, niet over een OS.

PHiXioN @Anoniem: 179500 • 21 september 2007 14:39

Het gaat om een trojan die zich nestelt op de pc van de klanten, niet om een fout in de website van de bank zelf. Aangezien Windows het makkelijk maakt voor zo een trojan om zich te nestelen (wellicht op Vista na), is het wel degelijk een punt.

Str1ngS @PHiXioN • 21 september 2007 14:50

Tis een combinatie van meerdere factoren wat internet onveilig zou kunnen maken voor de gebruiker (waaronder de gebruiker zelf de grootste kwaad-doener is). Alles opschuiven op windows is niks anders dan bashen..

[Reactie gewijzigd door Str1ngS op 25 juli 2024 01:36]

maxxware @Str1ngS • 21 september 2007 15:49

De trojan is niet specifiek voor de Postbanksite geschreven, maar voor een OS. In dit geval Windows. En dat Windows nu eenmaal een makkelijk slachtoffer is voor trojans, virussen en andere malware wordt mag inmiddels als een bewezen feit worden beschouwd. Wanneer je met een Mac of Linux machine naar de site waar de trojan wordt geinstalleerd gebeurt er niets. Tenminste, er wordt geen trojan geinstalleerd. De opmerking van PHiXioN is dus geheel correct en de score -1 niet waardig.

Anoniem: 175598 @maxxware • 21 september 2007 22:57

De reactie wel degelijk de score -1 waardig. PHiXioN suggereert dat als Windows inherent onveilig is (wat ik wens te betwijfelen, maar daar gaat nu niet om), Postbank niet in staat is om een goed beveiligde website te bouwen. Dat zijn twee totaal verschillende zaken die gewoon niets tot zeer weinig met elkaar te maken hebben.
De beveiliging van de Postbank is perfect als iedereen het SMS systeem zou gebruiken. Het 'lek' heeft dus niets met het OS te maken met de wijze waarop de TAN-codes verstrekt worden.
Verder is het overduidelijke flame zonder enige argumentatie. Dergelijke opmerkingen dienen uitsluitend om een OS-flamewar uit te lokken.
Samengevat: -1 en voor mijn part -2.

mjtdevries @maxxware • 23 september 2007 08:52

Oh, weet jij dan op welke site die trojan staat?
Ben je 100% zeker dat die site niet eenzelfde trojan voor mac en/of linux heeft?

Kijk even naar de tekst. Iemand die daar nog intrapt die is ook stom genoeg om een trojan op Mac of Linux te installeren.
"Hi, installeer even dit super handig tooltje waarmee je de nieuwste smileys voor je .... opgestuurd krijgt. Bij Mac of Linux moet je wel even als root inloggen zodat je er voldoende rechten voor hebt..."
Alleen dan natuurlijk in gebrekkig nederlands omdat het een of andere nigeriaanse crimineel is die dat schrijft.
Wat wou je daar tegen doen? Zulke domme gebruikers daar is geen enkel OS tegen bestand.

Anoniem: 201824 @PHiXioN • 22 september 2007 14:59

De windows XP firewall vind ik anders behoorlijk hardnekkig, kan bijv. geen gmail openen als ik de win firewall aan heb.

golfdiesel 21 september 2007 12:20

Probeer de tekst eens te lezen van het popupscherm... Lekker Nederlands.

Mik3yZ @golfdiesel • 21 september 2007 13:26

inderdaad is een hele vage tekst... maar deze trojan is alweer een halfjaar oud (heb hem namelijk een halfjaar geleden gehad)

wel worden gewoon de certificaten geaccepteerd en de site door IE7 gemarkeerd als veilig (groene balk voor het certificaat). In de hostfile is niets te vinden, terwijl er in de URL balk wel gewoon mijn.postbank.nl staat.

En nog iets... deze trojan werkte bij mij alleen op IE7 en niet via FireFox

Anoniem: 140100 @Mik3yZ • 21 september 2007 17:27

Dus: de trojan nest zich in IE7, laat https://mijn.postbank.nl zien in de adresbalk, laat de correcte icoontjes zien, en dan deze pagina.

Mik3yZ @Anoniem: 140100 • 23 september 2007 10:38

yup. dat is precies wat er bij mij gebeurde

Anoniem: 201824 @golfdiesel • 22 september 2007 14:47

Slechte ripoff van de echte site, de hyperlinktekst ziet er wel juist uit. En wat zou "zekerheid voor wisselborgtocht" nu kunnen betekenen >.<
Ik haal hier geen boodschap uit, voorzover dat de ogenschijnlijke bedoeling is van de virusmaker.

Anoniem: 42278 21 september 2007 13:29

Wat ook storend is, is het programma van Kaspersky om de trojan te zoeken en eventueel te verwijderen. Als je dat progje op je computer draait krijg je bovenaan de schermen een soort van "óóóààààààààj`j`j" te lezen. Dat de Postbank je zo'n vage scanner geeft is ook echt weer té amateuristisch...

Mik3yZ @Anoniem: 42278 • 21 september 2007 14:50

en Kaspersky is een hele bekende virusscanner... het gaat er toch om dat het virus verwijderd wordt?... toch niet om hoe het programma eruit ziet.

ik vind het goed van de postbank dat ze zo snel ingegrepen hebben en ook een oplossing aanbieden voor mensen zonder (goede) virusscanner

MueR Admin Discord @Anoniem: 42278 • 21 september 2007 14:27

In deze is snelheid belangrijker dan een mooie grafische interface met postbanklogo e.d.

martijnvanegdom 21 september 2007 12:25

Wanneer gaat postbank afstappen van dit systeem?? Inherent is het ook een stuk onveiliger dan een systeem van bijvoorbeeld van de rabo of sns

SuperDre @martijnvanegdom • 21 september 2007 13:51

Vertel dan maar eens wat er veiliger is aan het systeem van de rabo of sns? want ik vraag me dat enorm af namelijk..

Radiall @SuperDre • 21 september 2007 14:19

Het systeem van de Rabobank werkt niet met vaste codes.

Op het moment dat jij wilt inloggen op telebankieren wordt er een code gegenereerd die past bij jouw rekeningnr en pincode (die overigens moet kloppen met je pas) . Deze code voer je in en wordt door de Rabobank gevalideerd.

Maar, wanneer je een transactie doet verloopt het geheel iets anders. Je moet dan ook gewoon je pas in je randomreader drukken en je pincode opgeven, maar vervolgende moet je een controlegetal opgeven dat je door de bank wordt gegeven. Dit controlegetal is gebaseerd op de transactie die jij wilt doen. Het controlegetal is afhankelijk van de datum, rek. nrs. (zowel je eigen als die van de partij waar jij geld naartoe boekt) en het bedrag dat je wilt overmaken. Het controlegetal voer je in (Bij zeer grote bedragen moet je zelfs 2x een controlegetal invoeren) en op basis van de controlegetal wordt door de random reader een code gegenereerd die je weer moet invoeren.

De veiligheid van dit systeem zit hem in het feit dat iemand zonder pas, pincode en random reader niets kan. Daarnaast is het onmogelijk om een geldige code te genereren voor een betaling, omdat de codes die je eventueel softwarematig zou kunnen afvangen specifiek op die betaling slaan en dus nooit gebruikt kunnen worden voor het overmaken van een ander bedrag naar een andere rekening.

Anoniem: 63464 @Radiall • 21 september 2007 15:52

Het systeem van de postbank wekt ook met eenmalige codes, zeker als je via SMS werkt.
Ik zie het verschil niet echt

(zie MLM)

MueR Admin Discord @martijnvanegdom • 21 september 2007 12:38

Het systeem is een stuk gebruiksvriendelijker dan dat van de Rabo, om iets te noemen. Je kan overal ter wereld bij je bankgegevens, met enkel je GSM of een lijst met tancodes. Je hoeft geen random reader met je mee te slepen.

Ik vind niet dat je de stupiditeit van sommige mensen kan afschuiven op de Postbank. Gezien de grote hoeveelheid spel-, tik- en grammaticale fouten in dat venster moet je wel een IQ hebben wat ergens onder het kasplant niveau zit als je er in trapt. Er wordt op de login pagina heel duidelijk gewaarschuwd voor mogelijke phising. Browsers als Opera 9, IE7 en binnenkort FF3 hebben allemaal een phising filter en een dikke rode balk bovenin wanneer je op een mogelijke phising site of site met ongeldig SSL certificaat komt. Mocht je ondanks dat alles toch nog zo stom zijn om in dit soort acties te trappen, dan is het echt je eigen schuld. Dat de postbank je dan nog schadeloos stelt is heel erg fatsoenlijk van ze.

Wat je de Postbank kan aanrekenen is de grote aantallen storingen waardoor je niet kan inloggen.

Madshark

@MueR • 21 september 2007 13:38

Het systeem is een stuk gebruiksvriendelijker dan dat van de Rabo, om iets te noemen. Je kan overal ter wereld bij je bankgegevens, met enkel je GSM of een lijst met tancodes. Je hoeft geen random reader met je mee te slepen.

Zo 'wereldwijd' is je GSM niet, er zijn nog genoeg landen en omgevingen waar je geen bereik hebt, en je TAN code lijst kun je alleen maar kwijt raken met alle gevolgen van dien. Een kleine randomreader kun je wel overal ter wereld (zolang er internet is) bij je bankzaken, en bij verlies daarvan is er niets aan de hand. Deze zijn namelijk niet persoonlijk, de randomreader van je buurman is ook te gebruiken.

MueR Admin Discord @Madshark • 21 september 2007 14:24

Tja, als je in de rimboe zit heb je vaak geen bereik.. maar waarschijnlijk ook geen internet.

wboevink @MueR • 22 september 2007 23:08

En dan vraag je je nog af wat je in godsnaam met internet bankieren moet in de rimboe? Tenzij je gegijzeld bent en je eigen losgeld wilt overmaken.

Anoniem: 179500 @Madshark • 21 september 2007 14:26

Als ze geen mobiele telefonie hebben daar zal er vast ook geen internet zijn

Toff @Anoniem: 179500 • 21 september 2007 16:38

Zoals gezegd, je hebt geen GSMverbinding nodig voor die TAN-codes, daar heb je een voorraad van in een SMS-berichtje. Handig als je je GSM bij je hebt, maar je kan ze na ontvangst ook gewoon op een papiertje schrijven.
Verder kan je ook heel goed internetten via het vaste telefoonnet hoor, zeker als het om eenvoudige dingen als bankieren gaat, lukt dat prima via een 56k modem, wat meestal toch nog wel in labtops is ingebouwd.

Erkens @Madshark • 21 september 2007 14:02

Tja, je kan altijd een TAN lijst aanvragen of een TAN voorraad per SMS. Voor die random reader moet je wel toevallig een buurman hebben die hem wilt uitlenen en daarnaast ook nog eens bij dezelfde bank zit.

Anoniem: 201824 @Madshark • 22 september 2007 15:17

Kortom, een random reader heeft niet meer voordelen ten opzichte van de TANcode lijst, en vice versa, idem. Het zijn gewoon elkaars gelijken in gebruiksvriendelijkheid en toepasbaarheid.

Metro2002 @MueR • 21 september 2007 12:41

En niet te vergeten, postbank internetbankieren werkt op ELK operating system wat internettoegang heeft. Ik weet niet of zijn reader van de rabo bv onder linux werkt om maar wat te noemen.

Ik vind het postbank systeem ideaal, ik gebruik trouwens nog steeds de tancode lijsten. Daar staan iets van 100 codes op en er wordt er random 1 gevraagd. vrij veilig lijkt me.

DivxLover @Metro2002 • 21 september 2007 12:53

Ik weet niet hoe jij denkt dat zo'n reader werkt hoor, maar de mijne is toch echt totaal, maar dan ook totaal, onafhankelijk van het OS dat op mijn PC draait.

Internetbankieren werkt per saldo op elk systeem, het gaat namelijk om internet, niet om een applicatie die je op je pc moet draaien.

Of wilde je beweren dat het internet op een linuxPC of een MAC een ander internet is dan hetgeen op een Windows PC draait.....

Metro2002 @DivxLover • 21 september 2007 12:55

Ik neem aan dat zo'n reader drivers nodig heeft? zijn die beschikbaar voor elk systeem?
Nogmaals, ik heb geen ervaring met die readers dus weet niet of ze het overal op doen

MueR Admin Discord @Metro2002 • 21 september 2007 12:59

Een reader is een klein apparaatje, ruwweg even groot als een creditcard en ong. 0.5cm dik, wat totaal niks van doen heeft me de PC. Je voert daar je bankpas in, tikt je pincode in, en een nummer wat de bank genereerd. Je krijgt dan een respons terug, die je in moet voeren op je internet bankieren venster. Dit nummer is effectief hetzelfde als een tancode. Je hebt er dus alleen wat meer spullen voor nodig.

Metro2002 @MueR • 21 september 2007 13:02

okee, duidelijk maar er zijn toch ook banken als fortis (dacht ik) die zo'n kaartlezer hebben oid die je op de pc moet aansluiten??
Ik denk dat ik daar mee in de war ben. Dat systeem wat je nu beschrijft is inderdaad gewoon hetzelfde idee als die tancodes.

martijnvanegdom @Metro2002 • 21 september 2007 12:58

Nee het is gewoon een nummer generator.. Dat ding kun je niet eens aan je pc hangen

WernerL

@Metro2002 • 21 september 2007 13:02

Het enigste wat je met die reader doet is je pinpas in frotten, je pincode in voeren en de code die op scherm komt in inlogscherm van rabobank invullen. Werkt dus op elk exotisch OS. Geen drivers nodig omdat dat ding niet eens aan je pc aangesloten komt.

Anoniem: 201824 @MueR • 22 september 2007 15:14

Die random reader meeslepen is echt geen probleem hoor, het past makkelijk in een broekzak en is ook licht. Vind het een beetje een loze opmerking dat het TANcodelijst-systeem gebruiksvriendelijker zou zijn.

Iemand met een hoog IQ kan soms net zo stom zijn als iemand met een laag IQ, bijv een verstrooide professor, kan heel slim zijn, maar net zo goed soms stom doen.

Sites worden door de phishing filters -meen ik- alleen gecheckt op gerapporteerde url's, niet op inhoud. Ik zou overigens ook niet zo snel weten hoe ik een nieuwe phishing site kan rapporteren... Laat staan de gewone gebruikers.

Die 'ongeldige of verlopen SSL certificaten-melding' krijg ik wel eens bij vertrouwde sites (gelukkig niet bij de site van mn bank), waarvan de certificaat verlopen is of niet officieel gecertificeerd is. Omdat ik die sites vertrouw, negeer ik die loze melding over ongeldige SSL's. Mijn probleem dus als ik dat negeer, maar het doet wel een deel van het nut van de SSL certificaten teniet.

Het ene nadeel kan ook een voordeel zijn: omdat je niet bij de Postbank zou kunnen inloggen vanwege een storing, krijg je waarschijnlijk ook niet die popup of je 10 tancodes wilt invullen.

[Reactie gewijzigd door Anoniem: 201824 op 25 juli 2024 01:36]

kthijske @martijnvanegdom • 21 september 2007 13:18

Wat is er dan zo onveilig aan? Zels als mijn inloggegevens bekend zijn bij andere mensen kunnen ze mijn geld nog niet aan zonder de tan codes, daarvoor moeten ze ook nog mijn mobiel hebben, en als dat gebeurt heb ik het al lang geblokkeerd. Je moet gewoon niet zo dom zijn om je gegevens en/of je tan codes af te staan aan wie dan ook.

Voor elke gebruiker van de postbank zal in ieder geval duidelijk zijn dat hier iets niet klopt, door het slechte taalgebruik of anders door het feit dat je normaal gesproken alleen een tan-code in hoeft te voeren als je een transactie bevestigt.

martijnvanegdom @kthijske • 21 september 2007 13:31

Het punt is er gewoon een fixt lijst met Tan codes is.. Met zo'n nummer generator kun je veel willekeuriger te werk gaan.. Bij de rabobank is zo'n random-nummer ook behoorlijk lang (ik meen 8 cijfers) bij de sns is dit 6 cijfers lang..

Voor mijn zakelijk postbank met ik een lijst met 100 correcte tancodes..

Met sns met je 10^6 cijferreeksen die een andere cijfer reeks opleveren. Ik heb nog noooit meegemaakt dat ik dezelfde moest invoeren

Anoniem: 179500 @martijnvanegdom • 21 september 2007 14:29

Die fixed lijst met TAN-codes moeten ze ook eigenlijk niet gebruiken. Als mensen het via de mobiel toen, wordt er een code gegenereerd, totaal willekeurig. Die krijg je toegestuurd. Er is dan dus geen sprake van een lijst. Veiliger kan gewoon echt niet.

Anoniem: 201824 @martijnvanegdom • 22 september 2007 15:24

8 cijfers bij rabo is correct.
Dat je dezelfde moet invoeren als je ooit eerder gedaan zou hebben, denk je ook nog te kunnen herinneren? Goed geheugen hoor

De random reader/algoritme wordt binnen 10 jaar zeker wel gekraakt, het lijkt me sterk dat het -zo'n- ingewikkeld algoritme is dat niemand erachter kan komen. Het zou me niets verbazen als die al gekraakt is. Het zou me dan alleen verbazen dat het nog niet eerder bekend is geworden.

Who Am I? @martijnvanegdom • 21 september 2007 12:42

Ik vind het postbanksysteem een stuk makkelijker dan dat van sns. Bij de postbank kan ik gewoon vanaf elke plaats met internet geld over maken, bij de sns zou ik mijn digipas altijd bij me moeten hebben. Bij de postbank alleen mijn mobiel die ik toch altijd al bij me heb. Dat er af en toe onderhoud moet worden gepleegd is voor mijn eigen veiligheid dus daar stoor ik me totaal niet aan.

MLM @martijnvanegdom • 21 september 2007 13:46

Mja, ik gebruik mijn.postbank.nl en heb ingeschakeld dat TAN codes per SMS worden verstuurd... tenzij men dus de postbank weet te hacken op de 1 of andere manier, HEB ik die TANcodes niet eens, omdat de postbank ze nooit verstuurd heeft

maar goed, in zoiets zou ik toch al niet trappen. mijn god, de spelling

tweaktubbie @martijnvanegdom • 21 september 2007 12:29

ABN Amro had pas ook van zoiets last - en die werken 't zelfde als Rabo...

Eximius @tweaktubbie • 21 september 2007 12:38

Werken totaal anders, het verstuur systeem van Rabo is totaal anders vergeleken die van de ABN.

mjtdevries @martijnvanegdom • 23 september 2007 08:57

Inherent is het ook een stuk onveiliger dan een systeem van bijvoorbeeld van de rabo of sns

Als je nou geen flauw idee hebt waar je over praat, zeg dan gewoon niets.

Het TAN systeem is inherent het veiligste systeem wat er maar denkbaar is.
Het one-time-pad (want dat is het eigenlijk) is het systeem dat ook door de CIA en KGB etc gebruikt word omdat het per definitie niet te kraken is.

Er wordt geen versleutelingsmethode gebruikt, en een methode die er niet is, kun je ook niet kraken.

De enige zwakke schakel van dit systeem (voor zover je het dat kunt noemen) is de lijst met TAN codes. Die moet je netjes bewaren.

gfgw @martijnvanegdom • 24 september 2007 08:06

[wuote]Inherent is het ook een stuk onveiliger[/quote]
Waarom dan?

Op dit item kan niet meer gereageerd worden.

Postbank waarschuwt klanten voor trojan

Lees meer

IT-banen

Reacties (144)

Sorteer op:

Weergave: