Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 188 reacties

De Postbank heeft toegezegd de schade te zullen vergoeden die rekeninghouders eerder dit jaar hebben opgelopen door fraude met internetbankieren. De bank had dit eerder geweigerd, maar ging overstag onder druk van het programma Kassa.

PhishingIn september van dit jaar besteedde Kassa aandacht aan de fraude, die twintig rekeninghouders in totaal ruim 200.000 euro had gekost. De criminelen waren erin geslaagd een trojan op de computers van de klanten binnen te smokkelen, die na het inloggen op de site van de Postbank om een reeks zogenaamde Tan-codes vroeg. Deze codes zijn nodig om elke transactie te bevestigen en worden per sms toegestuurd of per 100 stuks op een lijst. De malware richtte zich op de groep die van de laatste methode gebruikmaakte.

De ingevoerde codes werden doorgestuurd naar een site van de criminelen, die er vervolgens de rekeningen van de slachtoffers mee leeghaalden. Aanvankelijk weigerde de Postbank de schade te vergoeden. Volgens de bank hadden de klanten hun computers moeten beveiligen en hun codes niet aan derden mogen afgeven. Bovendien had de bank gewaarschuwd tegen deze vorm van fraude, want de trojan was al in 2006 voor het eerst opgedoken.

Kassa bracht hier tegenin dat de trojan nog altijd kon toeslaan op 23 procent van de up-to-date beveiligde computers en dat de waarschuwing niet persoonlijk was toegezonden aan de klanten die van Tan-codes op schrift gebruikmaakten. Ook waren de klanten zich er helemaal niet van bewust dat zij de codes aan derden verstrekten: doordat de trojan pas actief werd na het inloggen meenden zij de codes juist aan de Postbank te hebben verstrekt.

In de Kassa-uitzending van afgelopen zaterdag gaf een vertegenwoordiger van de Postbank toe dat de klanten inderdaad niet veel te verwijten viel. Hij zegde toe dat de bank uiteindelijk toch de schade voor zijn rekening zou nemen. Ook rekeninghouders die het slachtoffer waren geworden van de trojan, maar zich niet bij Kassa hadden gemeld zullen hun geld terugkrijgen, zo meldt De Telegraaf.

Moderatie-faq Wijzig weergave

Reacties (188)

Goed dat de Postbank terugbetaalt. Het gaat er m.i. namelijk niet om of mensen al dan niet hun computer beter hadden kunnen beveiligen. Dat zal best, maar dat geldt bijna voor iedere vorm van fraude: als er beter opgelet was, had het niet kunnen gebeuren.

Het online betalen spaart de banken erg veel geld uit (geen enveloppen meer versturen/openenen, en dure uitlees- en sorteer systemen voor al die schriftelijke, met de hand geschreven opdrachten); en het is nog eens makkelijker voor de klant ook. Maar dit soort diensten werkt eigenlijk alleen maar bij de gratie van een breedgedragen vertrouwen. Net als credit cards: als er iets misgaat door fraude, doe je er als instelling goed aan de klant coulant tegemoet te treden. Waarom? Omdat ie anders hetzij je credit card niet meer gebruikt, hetzij dus niet meer bij jou internet bankiert. Als je als instelling moeilijk gaat lopen doen breng je eigenlijk het gehele systeem van het collectieve vertrouwen in gevaar.

Mensen, over de brede linie, moeten ervan op aan kunnen dan online transacties (overschrijvingen/credit card) met een zekere waarborg gepaard gaan, zodat iedereen dit soort transacties met een veilig gevoel tegemoet kan treden.
Ik moet zeggen dat ik deze redenering wel volg maar absoluut niet ondersteun.

De manier waarop de Postbank met deze mensen omgaat vind ik pertinent fout. Op deze manier word er weer een stuk eigen verantwoordelijkheid weg genomen bij de gebruiker. Dit in een maatschappij waar al steeds meer mensen geen eigen verantwoordelijkheid willen dragen, terwijl deze zelfde mensen wel gebruik willen maken van bepaalde diensten.

Ik ga er niet vanuit dat mijn online transacties veilig zijn, daarom controleer ik het verloop altijd. Mijn creditcard gebruik ik, maar bij elke transactie weeg ik de kans op fraude af tegen het gemak van betaling. Als ik in een winkel met mijn creditcard betaal verlies ik hem geen moment uit het oog en onthou ik wanneer ik hem gebruikt heeft en wie mij geholpen heeft. Ben ik paranoÔde? Misschien, maar als ik moet vertrouwen op derden dan houd voor mij het feest al snel op.

Door dergelijke acties van de Postbank neemt mijn vertrouwen eerder af dan toe. Hoe meer mensen achteloos met hun gegevens omgaan 'omdat het toch wel gecompenseerd word als het fout gaat' hoe minder ik me serieus genomen voel door de Postbank omdat ik wel gewoon mijn zaakjes op orde heb maar dit blijkbaar 'dom is'... waarom zoveel tijd aan je eigen veiligheid besteden als je toch wel je geld terug krijgt?
En mijn ouders vinden het vreemd waarom ik nooit inlog op de website van postbank, met een *Windows OS*. Dit is dus de reden, virussen en trojans.

Ik vind de Postbank niet verantwoordelijk voor de meuk wat een ander installeert op zijn PC. (Gevraagd of ongevraagd). Als mensen inloggen op de Postbank websites, en ondertussen 4 varianten van keyloggers op de computer heeft staan, daar kan de Postbank niets aan doen, dan moet je je PC maar virus-vrij houden.

Maar nu ga ik mijzelf tegenspreken, welke virusscanner is dan 100% betrouwbaar? Geen ťťn... Ik heb eens een virus pas kunnen opsporen toen ik de 4e (!) virusscanner had geprobeerd, de anderen gaven niet eens een melding, dus wat is betrouwbaar? Mensen Windows is zo lek als een mandje, denk er goed om wat je doet.

Ben absoluut geen Windows hater, ik gebruik het ook nog steeds voor mijn games e.t.c. Maar veilig is een ander verhaal. Hou je Windows in ieder geval altijd up-to-date. Scan je PC regelmatig met meerdere Virusscanners. Er zijn tegenwoordig genoeg gratis online-virusscanners.

Gratis virus scanners: AVG | Avast | Avira.
Gratis spyware/malware scanners: Spybot | Malwarebytes | Super Anti spyware.
Gratis firewalls: Zone Alarm | Comodo.
Er kan met het SMS systeem toch vrij weinig misgaan, je krijgt een volgnummer, en het totaalbedrag van de overboeking meegeSMSt.

Als er opeens 10k staat in plaats van die 3,50 die je wilde overboeken, dan is er logischerwijze iets mis.
En wat als jouw ingevoerde bedrag wel wordt overgeboekt, maar niet naar de rekening die je hebt opgegeven?
Die informatie staat namelijk niet in je SMS.
Vind het wel raar dat de postbank niet overstapt naar het veiligere betaal systeem met verificatie codes, ik snap dat het een hele overschakeling is maar ik vind dat de veiligheid van de klanten hun geld voor gaat.

@Sunnie:
Bij grote aantallen mensen proberen hun pincode te laten invullen is echt niet te doen zelfs niet op een site die lijkt op die van de rabobank,ING etc.. mensen weten dat je de pincode zelf nergens moet invullen online, grote aantallen mensen hun TAN codes laten invullen op een site die lijkt op die van de postbank is een stuk makkelijker omdat mensen erop vertrouwen en ze weten dat ze normaal gesproken ook TAN codes op de postbank site moeten invullen.

Mensen die bijvoorbeeld rabobank internet bankieren hebben weten dat ze de S-codes alleen moeten geven bij betallingen en de I-codes bij het inloggen.
Is een stuk veiliger.

edit:14:45
Sunnie ik raad je aan om even de reactie van sirdupre te lezen, bij de rabobank e.a. banken met random reader maak je niet zomaar een halve ton over naar "verwegistan" zonder dat je het zelf doorhebt, bij de postbank is dit makkelijker voor criminelen.

[Reactie gewijzigd door redstorm op 14 december 2008 14:46]

Wie zegt dat dat soort beveiligingen veiliger zijn? Als men van iemand een pincode weet en zo'n verificatie apparaatje heeft stelt die beveiliging ook heel weinig meer voor.

@redstorm
Die redenatie is alleen maar gebaseerd op wat de klanten ZELF weten. Je zou kunnen stellen dat Postbank klanten ook zouden moeten weten dat ze die TAN-codes niet met tientallen tegelijk moeten invoeren. Ik bedoel dat de Postbank in principe ook 2 beveiligingslagen heeft, net zoals de Rabobank. Bij de Postbank heb je namelijk eerst je eigen wachtwoord en daarna nog deze TAN -codes. Bij de Rabobank heb je een pincode + pas nodig. In principe niet veel veiliger of onveiliger dan het systeem van de Postbank, alleen 2 totaal verschillende systemen. Kortom, voorlichting van beide banken over scamming zou hier op zijn plaats zijn.

@raynbow
Hoevaak zie je wel niet op het nieuws dat er pinpassen + pincodes worden gekopieerd? In zulke gevallen kunnen bij de Rabobank gelijk hele rekeningen worden leeggehaald via internet bankieren, hiertegen is de Postbank weer wel beter beveiligd (via de pinautomaat kan vaak maar maximaal 1000 euro worden opgenomen)

@player-x Die apparaatjes zou je in principe ook via marktplaats kunnen krijgen, daarom zie ik dit niet echt als een extra beveiligingslaag.

[Reactie gewijzigd door Sunnie op 14 december 2008 14:37]

Daar heb je niet helemaal gelijk in, de metode met de pas lezers heeft een 3 dubbele beveiliging.

1 pincode
2 de chip in de pas
3 keygen in de pas lezer (code is ook maar tijdelijk bruikbaar en ook nog eens tijds afhankelijk, als ik het goed heb zit er in de rabo card lezer een klok)

Dus ja imho is een cardreader veiliger dan tan codes.

ps. imho zouden trouwens pincodes langer mogen zijn of in iedergeval dat je de mogenlijk hebt om een code van 4~8 cijfers te gebruiken.
En voorlichting filmpjes van risico's en hoe fraudeurs werken zou imo ook wel wenselijk zijn.

[Reactie gewijzigd door player-x op 14 december 2008 14:34]

Ik denk dat het verschil qua veiligheid wel meevalt.

Sommige rekeningen bij de postbank hebben nog een oud systeem waarbij er 100 tan-codes op papier staan. Als je dan een trojan kan maken waarbij je vraagt om 20 tan-codes in te vullen. Dan een fake transactie doen naar de rekening van de crimineel en dan hopen dan de postbank vraagt om een van die 20 tan-codes, ja dan kan je wel misbruik ervan maken.

Maar, het nieuwe systeem waarbij de Postbank je een smsje met de tan-code en andere verificatiegegevens stuurt voordat je een transactie wil doen is natuurlijk niet vatbaar hiervoor, omdat de gebruiker alleen een tan-code sms krijgt wanneer hij op de officiŽle Postbank site een transactie in werking heeft gezet.

Dus nee ik ben het niet met je eens dat een cardreader per definitie veiliger is.

[Reactie gewijzigd door Ramon op 14 december 2008 14:40]

Precies, en het grote voordeel bij de postbank is dat je altijd je mobieltje wel bij je hebt en dus altijd vanaf elke internet pc geld over kunt maken. Ik hoor collega's regelmatig weer om zich heen roepen of iemand zo'n random reader toevallig bij zich heeft...
Ach ja, en ik hoor vaak genoeg Postbank klanten mopperen dat ze geld moeten overmaken maar dat de batterij van hun telefoon leeg is. Blijft gewoon een niet doorslaggevend argument.
De batterij van mijn telefoon is nooit leeg. (zit aan de lader als ik slaap)
En als ik bij de Rabobank of ABN zou zijn zou ik niet altijd die random reader bij me hebben.
En dat is maar beter ook, je moet ook eigenlijk geen bankzaken doen op een openbare computer of bij iemand anders op zijn computer.
Thuis heb je meer zekerheid dat je geen trojans op je PC hebt maar op een andere PC niet.
De fraudeur heeft naast de pincode en het apparaatje ook de pas zelf nodig waar de chip op zit. Hoe wil je anders het apparaatje gebruiken om een inlog- of signeercode te berekenen?
Je hebt helemaal niet de pas en lezer nodig.
Je kunt het slachtoffer ook laten geloven dat zijn eerder ingevulde code niet correct was. In de tussentijd gebruik je die code om in te loggen en betalingen klaar te zetten. De 2e inlogpoging laat je doen met de code van het bevestigen van de betalingen.
Dit werkt bijvoorbeeld met de ABN-methode, omdat die dezelfde methode gebruiken voor inloggen alswel bevestigen van betalingen.
De Rabobank heeft volgens mij een 2-tal knoppen om te schakelen tussen die 2 handelingen.

Volgens mij zou de Postbank met de SMS-tancodes ook vatbaar kunnen zijn voor iets dergelijks, want ik kan me niet voorstellen dat je een SMS moet ontvangen om je GSM-nummer aan te passen. De login is bij de Postbank steeds gelijk.
Het is trouwens ook mogelijk om bij en/of rekeningen een 2e GSM te koppelen aan je account, dus mogelijk zou je daar ook nog wat mee kunnen doen.

De oplossingen om dergelijke lekken op de ABN-site tegen te gaan zou natuurlijk kunnen worden aangepakt door een bepaalde minimale reactietijd te verwachten tussen verschillende handelingen. Alleen kun je als inbreker daar natuurlijk omheen werken door tijdelijk een "sorry, probeer het over een paar minuten weer" te laten zien.

Bij de Postbank zou je kunnen eisen dat mensen een code via een brief activeren om het GSM-account aan te passen. (Geen idee of ze dat doen of niet)
Toen ik mijn telefoon wilde aanmelden om TAN codes te ontvangen kreeg ik per brief hiertoe een code opgestuurd. Mijn telefoonnummer kan ik ook niet wijzigen zonder eerst een, per brief ontvangen, verificatiecode in te voeren.

In principe is de Postbank manier met SMSjes juist veiliger dan al die systemen waarbij je je pasje in een reader stopt. Als iemand een trojan op je PC installeert die de bank-site naar keuze perfect spooft heb je geen enkele manier om erachter te komen dat je overboekingen daadwerkelijk naar het goede rekeningnummer gaan. Ja, een afwijkend SSL certificaat wellicht, maar een beetje trojan draait ook daar zijn hand niet voor om, om nog maar te zwijgen over al die mensen die dat soort meldingen direct wegklikken zonder te lezen.

Bij de postbank weet je echter wel altijd waar je geld heen gaat omdat daar (bij grote bedragen in ieder geval) zowel het bedrag als het rekeningnummer per sms naar je gestuurd worden. Al is je computer volledig geinfecteerd met alle spyware die je je maar kan voorstellen, je telefoon zal nog steeds waarschuwen welk bedrag je waar naartoe overmaakt.

Gat in die beveiliging is uiteraard een papieren lijst met TAN codes danwel een telefoonnummer waar je naartoe kon bellen om TAN codes op te vragen. Die laatste is inmiddels afgesloten, die papieren lijsten proberen ze zoveel mogelijk mensen vanaf te krijgen.
Een extra beveiliging van TAN codes via SMS is dat het SMS bericht ook het totaalbedrag van de boekingen bevat. Als je bijvoorbeeld 300 euro overmaakt en je ziet in je SMSje dat het totaalbedrag 12.775 euro is, dan is het misschien niet zo slim om door te gaan met de transactie :)

Een soortgelijke beveiliging zou je ook op de papieren lijsten met TAN codes kunnen toepassen. Dat is bij mijn weten nog niet gebeurd, maar technisch zou het geen groot probleem zijn.
In plaats van een lijst zou je aparte lijsten met codes kunnen hebben afhankelijk van het totaalbedrag van de transacties. Dus bijvoorbeeld een lijst met codes voor transacties < 100 euro, een lijst voor 100-500 en een lijst voor 500+. Zo'n aanpassing zou het probleem niet wegnemen, maar wel flink beperken in omvang. Als je namelijk een opdracht inlegt van in totaal 150 euro, en er worden 12.000 euro aan transacties bijgezet, dan krijg je een TAN mismatch.

Rabobank heeft het opgelost door het totaalbedrag als extra controlegetal in de challenge-response cyclus met de kaartlezer toe te voegen. Een gemanipuleerde site kan wel transacties verstoppen van de gebruiker, maar dan komt het totaalbedrag niet overeen met het controlegetal. Zou de site dat ook aanpassen, dan klopt de response weer niet, zodat de bank de transacties weigert.
Rabobank heeft het opgelost door het totaalbedrag als extra controlegetal in de challenge-response cyclus met de kaartlezer toe te voegen.
Dat zou de veiligheid verhogen indien de gebruiker de betekenis van het extra controle getal zou weten. De randomreader legt deze betekenis + instructie hoe te handelen echter niet (voldoende) uit, en de rest van de infrastructuur (PC + service) is mogelijk onder controle van de aanvaller. Technisch is dus een leuke feature bedacht, maar de mens in de loop is onvoldoende meegenomen.

De kracht van de postbank met SMS authorisatie is dat de telefoon min of meer trusted is en duidelijke instructies kan bevatten. De postbank doet dat op zich ook goed met de volgorde in de SMS: de gebruiker ziet eerst het bedrag, eventueel rekeningnummer en dan pas de TAN code.
Niet waar.. Je moet de extra code invoeren (hoogte van het bedrag).. Als de crimineel een hoger bedrag wil overboeken dan komt er een andere code uit de Random Reader waardoor deze op de rabobank site niet meer klopt..
SMS mag misschien net zo veilig zijn, maar is bij reizen in het buitenland minder praktisch en in sommige gevallen bijna onmogelijk (neem bijvoorbeeld Zuid-Korea).

Volgens mij is het systeem van de Rabo op dit moment het veiligst wat ik ken, waarbij geen gebruik gemaakt wordt van SMS.

Aparte knop voor inloggen en een andere knop voor transacties. Dat maakt het voor trojans, etc. vrij moeilijk.

Maar ach, het probleem met die TAN codes speelt al jaren, dus ik snap niet goed waarom de Postbank niet al eerder de conclusie heeft getrokken dat ze dat systeem moet afschaffen.

Persoonlijk ben ik er helemaal niet rouwig om dat het label Postbank verdwijnt. Hopenlijk betekent dat ook het einde van hun eigenwijze houding. (Chipknip vs. Chipper, etc.)
Euh, wat is er mis met sms in Zuid Korea, ik heb afgelopen zomer gewoon geld overgemaakt via de postbank in Zuid Korea met behulp van sms. Sms ontvangen kost nooit geld vanuit de Postbank, ook niet in het buitenland.
Het probleem in Zuid Korea is dat je een vrij moderne en uitgebreide telefoon moet hebben, oftewel zo'n drie kwart van de toestellen (en mogelijk nog veel groter deel van de Postbankklanten) van Nederlanders zal niet werken in Z.Korea.

(die 3-kwart is een zelf ervaren schatting toen ik er met zo'n 25 man was)
Ja, maar hoe vaak komt het nou voor dat je naar een land gaat waar je mobiel niet werkt en je geldt wilt overmaken via de Postbank?
Volgens mij net zo vaak als de kans dat je de reader van de Rabobank vergeet mee te nemen in je koffer.
Laten we eens niet overdrijven en niet naar uitersten zoeken...
hoezo uitgebreid?

elke tri/quad-band gsm kan een netwerk verkrijgen daar. enige wat je dan hebt is roaming sms kosten... maar het is mogelijk :)

en volgens mij is mijn zeer oude nokia 7210 al tri-band....
hoezo uitgebreid?

elke tri/quad-band gsm kan een netwerk verkrijgen daar. enige wat je dan hebt is roaming sms kosten... maar het is mogelijk

en volgens mij is mijn zeer oude nokia 7210 al tri-band....
Ze hebben daar geen GSM-netwerk.
3-kwart van de postbank klanten gaan ook naar Zuid-Korea ieder jaar...
Al is het natuurlijk wel zo dat degenen die regelmatig naar Z-Korea/Japan reizen dit dan wel weten en hiervoor ook een 3G toestel aanschaffen.
Je krijgt bij de postbank wel een sms op je gsm als je je gsm nummer wijzigt, dit heb ik zelf al eens gedaan, je kan echter ook kiezen voor snail mail.
En daarom is de zogenaamde two-factor authenticatie tijdens het internet bankieren (dus m.b.v. een pinpas, apparaatje en pincode) net zo veilig als "in het echt".

De two-factor authenticatie is gebaseerd op het idee:

De gene die gerechtigd is om, in dit geval, een betaling te verrichten heeft iets dat een ongerechtigde niet heeft, en weet iets dat een ongerechtigde niet weet. Respectievelijk de pinpas (en lezer) plus de pincode.
Dat hoeft niet, als je toch al een trojan op de computer hebt draaien dan heb je gewoon een fake site die je opdracht 'verwerkt' maar dan naar een andere rekening.

Echt het systeem van de postbank met sms is net zo (on)veilig als dat van de andere banken. Als er een trojan op je computer is die vanalles onderschept dan maakt het allemaal niets meer uit.
Bij de Rabobank is het echter zo dat je bij grote bedragen het bedrag zelf ook als challenge krijgt bij de verificatie.

Bij kleine transacties krijg je dus wel alleen maar een challenge met een willekeurig getal (wat inderdaad in theorie wel te ondervangen is met een Trojan), maar bij de grote transacties krijg je naast die eerste challenge een tweede waarbij je dus het bedrag dat je verwerkt als extra informatie naar je pinpas stuurt. In principe zou een crimineel dan dus je eigenlijke transactie moeten wissen en een transactie met precies hetzelfde bedrag dat je overmaakt naar zijn eigen rekening moeten laten sturen. Ik geloof dat je bij hele grote bedragen ook nog het bankrekeningnummer waar je heen overmaakt als challenge krijgt, waarmee je dat probleem ook nog zou oplossen, maar dat weet ik niet zeker (zou geen slecht idee zijn, in principe).

Kortom, er zijn wel degelijk manieren om het een man in the middle een stuk moeilijker te maken dan de postbank op dit moment doet.
Het nadeel aan het rabobank systeem vind ik dat het clientside is en niet serverside (correct me if im wrong). Op een gegeven moment staat er vast wel een hacker op die dat apparaatje kan nabootsen

[Reactie gewijzigd door poepkop op 14 december 2008 15:05]

En dat maakt natuurlijk geen klap uit, want elke rekeninghouder kan zo'n ding (volgens mij zelfs gratis) bij de rabobank ophalen. Stuk voor stuk gebruiken ze hetzelfde algoritme. De bankpas heeft echter ook een eigen crypto-engine in z'n chip gebakken. Een hacker kan met de zogeheten random reader de challenges niet omzeilen zonder over de bankpas te beschikken. Tenzij hij de pas weet na te bootsen natuurlijk, maar dat is toch wel verdomd lastig als je het origineel niet hebt.
Die hacker is er al: elke klant van de Rabobank.

Al die zogenaamde random readers zijn namelijk exact hetzelfde. Maar ze reageren allemaal anders, doordat elke pas anders is. Dus ook al ben je nog zo'n geniale hacker, je zult altijd nog die pas moeten kopiŽren.

Daarnaast heb je ook nog de pincode nodig om een zinnige output te krijgen (foute code = fout antwoord = geen transactie). Veel succes...
Een chippas is niet de kopieren...

Alle beveiliging zit in de chip, de random reader zelf is eigenlijk alleen een toetsenbordje en een display.

Die geeft de codes die je invoert aan de chip op het pasje en de chip stuurt een code terug die hij berekend.
Een chippas is niet te kopieren? Zeg nooit nooit. Van de chip die gebruikt wordt voor de ov-chipkaart werd dit ook gezegd en we weten allemaal dat inmiddels het tegendeel bewezen is.
En 3x fout achter elkaar is pas beblokkeerd.
Daarnaast is na een X aantal keer een foutieve code invoeren ook de site tijdelijk niet toegankelijk maar dat laatste weet ik niet helemaal zeker want dan zou je iemand ook behoorlijk kunnen pesten.
Ik denk dat ze me voorgaande punt eerder zullen oplossen als een tijdelijke ip blok.
En daarnaast is 3 X foute code == chip dood
Bij de Rabobank ben je de pas zelf ook nodig om in te kunnen loggen. Zolang ze die dus niet beide hebben, is het een stuk moeilijker.
Ik lees hier. Als je de pas van iemand van de Rabobank hebt kan je inloggen. En lees verder, als je de pas van iemand hebt van de Postbank kan je hier mee niet inloggen.
Nee. Maar as je gebruikersnaam en ww van iemand heb ben je ook zo op z'n postbank binnen. TAN-codetjes sniffen met een phishing site en je bent klaar. Iemands pas krijgen is een stuk lastiger...
Hij moet dan ook wel je pas hebben of een kopie er van. Als ze dat al weten gaan ze echt niet het risico lopen via een IP getraceerd te worden, maar pinnen ze gewoon in RoemeniŽ. Skimming heeft dus niks te maken met de veiligheid van internetbankieren.

Overigens wordt het TAN systeem ook voor de ING-klanten geimplementeerd. Of ze daar nou zo blij mee moeten zijn? Zeker omdat er ook een mobiele telefoon voor nodig is, dat is weer een extra schakel in de ketting waardooor je potentieel niet bij je geld kunt als je het nodig hebt.
Ik denk dat met een gestolen pas pinnen wel een race tegen te klok is, anders rijd je 1000 kilometer om er achter te komen dat de pas is geblokkeerd.
Als je de kennis hebt om een pas te kopiŽren en de bijbehorende code af te kijken, dan is dat toch niet zo moeilijk? Pasje inlezen op een laptop, ding digitaal opsturen naar RoemeniŽ met de pincode erbij, een handlanger maakt het pasje aan, en pinnen maar.
Chipkaart op de bankpassen is nog niet te emuleren. Dus er valt nog niet digitaal op te sturen.
En hoeveel Nederlandse banken gebruiken een pinpas die werkt met een chip als je gaat pinnen?

Geen enkele. Alle huidige pinpassen gebruiken voor het pinnen een magneetstrip. En die is vrij gemakkelijk te kopiŽren (bijvoorbeeld door skimmers).
Magneetstrip is leuk, maar voor internetbankieren hebben ze er niks aan. De randomreader en gelijke kastjes werken met de chip.
Test maar door flink de magneetstrip krassen en/of magneet erboven houden. Dan zal je pasje niet meer werken in de pin automaten maar wel in je calculator.
De banken moet dan ook snel over op EMV voor pinnen, die magneetstrip is gewoon f*cked up. Al meerdere pasjes gehad waarvan de magneetstrip het niet meer doet.
Allemaal, ga het buitenland maar es in. Het probleem zit em in de pinautomaten in de Nederlandse winkels, daar kun je idd niet pinnen via de chip. Echter werkt die chip over de grens perfect bij payment terminals aan de kassa :)
@ari

Fout. Heel veel geldautomaten maken al gebruik van de chip op je pas en een aantal banken geven al passen uit die dit ondersteunen, bijvoorbeeld ABN Amro.

[Reactie gewijzigd door cire op 14 december 2008 18:34]

je gebruikt je chipkaart ook niet als je pint, maar gewoon je magneetstrip, die lezen ze uit (dmv skimmen), vervolgens word je pincode gestolen dmv bijvoorbeeld een camera of doordat de aanslagen worden onthouden.

vervolgens worden deze gegevens door de skimmer doorgestuurd naar idd bv een handlanger, en die maakt het pasje en steelt je geld.
En al helemaal als je je bedenkt dat dit nu alweer het zoveelste 'probleempje' is wat ze tegenkomen qua veiligheid met het Postbank Telebankieren. Vanaf het moment dat Postbank begon met online bankieren zijn er veiligheidsissues geweest.

Niet dat het bij andere banken helemaal niet gebeurd maar ik krijg toch echt de indruk dat het bij de Postbank wat vaker gebeurd dan normaal gesproken. Ik mag toch aannemen dat die daar ook minstens redelijk onderlegde IT specs hebben rondlopen die dergelijke problemen aan dienen te pakken en desnoods met een ander, veilger systeem op de proppen moeten komen als het huidige systeem niet (meer) voldoet.
Het systeem van TAN-codes op een blaadje is al minstens een jaar of 15 oud en stamt nog uit de tijd van Girotel.
Ze zijn het steeds meer aan het uitfaseren, maar je kunt dat niet zomaar van het ene op het andere moment afschaffen, al was het alleen al omdat het alternatief vereist dat je een mobiel hebt.
Dat komt gewoon omdat het een van de grootste banken van NL is en daarom dus een gewild doelwit.
Postbank gebruikers weten over het algemeen ook dat ze alleen tan codes hoeven in te tikken bij transacties. Als ze 10x een tancode moeten intikken, dan zou er een heel groot alarmbelletje moeten gaan rinkelen :P

Tenzij je nu claimt dat rabobank klanten slimmer zijn dan postbank klanten?
ik weet niet hoor.. maar postbank systeem opzich is veilig zat.. alleen zijn er helaas domme mensen die 10x tan codes intoetsen omdat"de postbank daarom vraagt"
m.a.w. de beveilign staat of valt bij de gebruikers..
tja... een WPA2 AES code is ook best veilig als je de code niet verspreidt. Het gaat er juist om dat de postbank al 100 TAN codes heeft die blijkbaar altijd werken. Bij een random reader is de menselijke interactie noodzakelijk en zal een code nooit 2 keer werken...
Je kunt ook instellen dat je een smsje krijgt. De TAN-codelijst kan dan door de shredder. Geen transactie betekent geen TAN-code, wat het hele systeem van onze vermoedelijk Afrikaanse en Oost-Europese vrienden buiten werking stelt. Waarom zouden klanten van de Postbank die meer verstand hebben dan een rol drop dan opeens uit veiligheidsoverwegingen een kaartlezer mee moet slepen ?
Die TAN codes werken niet altijd. De Postbank vraagt die codes random op. Maar bij voldoende mensen die hun codes opgeven, is het altijd wel een keertje raak.
Nou zo random was die volgorde niet, van dat blaadje.
Was gewoon steeds de volgende op de lijst.
Als het goed is is dat al een aantal jaar niet meer zo, en vraagen ze nu wel willekeurige codes.
Er wordt willekeurig naar een tan code gevraagd.
Dan is het dus een taak van de bank (Postbank in dit geval) om duidelijk te maken dat de klant niet met de site van de bank aan het spreken is.
Het is niet alleen een taak van de klant om aan te tonen wie hij/zij is. Die taak heeft de bank ook.
De Postbank zou een sms je moeten sturen dat je een trans actie gaat doen met x bedrag en een code. vervolgens zou de postbank na ontvangs van de code een tweede sms moeten sturen met bedrag en de tang code. Dan ben je er zeker van dat je met de postbank te maken hebt en je x bedrag afgeschreven krijgt.
Eh, dat werkt ook zo? Of bijna dan...
Als je ingesteld hebt om de TAN op je mobiel te ontvangen per sms dan krijg je op het moment dat je je overschrijvingen gaat versturen een bericht waarin het totaal bedrag staat plus de tan code, die code voer je in en daarmee wordt bevestigd dat de overschrijving uitgevoerd kan worden. Een phishing site kan dan dus per definitie niks beginnen, want de postbank site zelf moet dat smsje sturen. Bovendien is die code vervolgens meen ik ook maar een bepaalde tijd geldig.
Die lijst met 100 tan codes is iets uit het verleden en volgens mij dringt de postbank er ook op aan om over te stappen op het sms systeem.
Opzich is t veilig genoeg, je kunt er ook voor kiezen om tijdens het verwerken van een opdracht de tan code via een sms te laten sturen, dat lost dit probleem iig op.

Ik zat me overigens aan die uitzending te ergeren, nergens werden die mensen op hun eigen verantwoordelijkheid gewezen, een van die lui had zelfs het lef om zn juridische kosten ook van de postbank terug te willen...en nergens werd verteld dat het probleem uiteindelijk bij de onveilige software van de gebruikers lag (ze gebruikte zonder uitzondering windows en IE)

Gemiste kans van kassa en de laatste keer dat ik t programma kijk (begint kwa digibetisme steeds meer op de consumentengids te lijken)
Door het aanbieden van telebankieren neemt de bank gewoon dat risico. Graag net als hun concurrrenten internetbankieren willen aanbieden houd in dat je "dit soort' mensen krijgt.
Net als bij creditcards hoort dit risico binnen de bank gewoon verzekert te zijn.
Persoonlijk vind ik de methode van de postbank wel prettig. Een telefoon en laptop heb ik altijd wel bij me, maar ik wil liever niet nog een extra apparaat meenemen.
Vanaf 2009 zal dit systeem vervangen worden, want dan verdwijnt postbank en wordt het ING
Mag hopen van niet, want voor een gebruiker die geen volslagen idioot is, is het postbank systeem juist verreweg het veiligste systeem.

TAN codes zijn namelijk per definitie niet te kraken. Als die andere systemen wel.
Ik voel me als klant van de Postbank enorm voor aap gezet. Ik doe er alles aan om mijn Windows zo veilig mogelijk te maken. Virusscanner, Firewall en Windows updates. Daarnaast zit ik als een havik op mijn geld en kijk alle transacties goed na.
Wat blijkt nu... mensen die er met de pet naar gooien en niet de tijd en/of geld uittrekken voor een goede beveiliging worden gecompenseerd hiervoor. Waarom word ik niet gecompenseerd voor mijn kosten? De acties die ik neem zijn toch juist de acties welke de Postbank wil dat ik neem?

Als ik een deur op en laat of de sleutel onder mijn deurmat leg en mijn huis word leeg gehaald dan is er geen verzekering die dit dekt. Waarom doet de Postbank met een vergelijkbaar iets dit nu wel? En kom niet aan met een 'dat is een andere situatie'. Ik kan er ook van maken dat een vriendelijk persoon op mij afkomt en zegt van de makelaar/verhuurder/politie is en mijn sleutel nodig heeft. Wie dat doet word ook niet gecompenseerd.

Als mensen niet thuis zijn in een digitale wereld en daar geen geld of tijd in (willen) steken dan is dit hun goed recht. Ga alleen niet zeuren over iets dat door je eigen onkunde iets fout is gegaan.
Als ik een deur op en laat of de sleutel onder mijn deurmat leg en mijn huis word leeg gehaald dan is er geen verzekering die dit dekt. Waarom doet de Postbank met een vergelijkbaar iets dit nu wel? En kom niet aan met een 'dat is een andere situatie'. Ik kan er ook van maken dat een vriendelijk persoon op mij afkomt en zegt van de makelaar/verhuurder/politie is en mijn sleutel nodig heeft. Wie dat doet word ook niet gecompenseerd.
Voor zover ik weet zijn er wel degelijk verzekeringen (of uitbreidingen erop) die de inboedel ook verzekeren zolang er geen sporen van braak zijn. Een loper of lockpick-setje zijn bijvoorbeeld niet veel anders dan een sleutel, als je kijkt naar de schade die ze achterlaten op het slot.

Daarnaast is het aan de verzekeraar en in dit geval de Postbank om aan te tonen dat de klant nalatig geweest is. Dat kunnen ze alleen maar doen door zichzelf compleet uit te sluiten. Dat kunnen ze niet, want de papieren TAN-lijst is gewoon niet veilig genoeg.
Als bank moet je namelijk rekening houden met de onwetendheid van de klant.
Als ze overal duidelijk gemaakt zouden hebben dat ze nooit om meer dan 1 of 2 TAN-codes zouden vragen, net zoals ze altijd duidelijk maken dat ze je nooit om een pincode zullen vragen, dan zou het een ander verhaal kunnen zijn, maar aan de andere kant zijn er ook grove fouten bij de Postbank als je dat soort bedragen kunt overmaken.
Ja er zijn verzekeringen die uitkeren zonder sporen van braak, maar dat is niet het punt hier. Als jou om je verhaal gevraagd word en het blijkt dat jij de sleutel zelf aan iemand gegeven hebt, hoe zou een verzekering in dat geval reageren? Ik kan me werkelijk niet voorstellen dat ze dan uitkeren. Het gaat hier niet om braak met een loper of een andere tool, hier word gebruikgemaakt van de sleutel die jij dagelijks gebruikt, en je hebt hem ook nog zelf aan de persoon gegeven. Valt dit niet onder nalatigheid?

Verder is het een stelling dat de TAN lijst niet veilig is. Ik zelf denk dat de mens in dit geval de zwakste schakel is. Die moet opletten dat hij zijn codes niet laat 'slingeren' net zo als dat je je pasje+reader niet moet laten slingeren. Bij aanvraag word meerdere malen duidelijk gemaakt dat ze nooit om TAN codes zullen vragen zonder transactie (alle mensen uit de Kassa uitzending werden gevraagd direct na het inloggen TAN codes in te vullen ter extra controle). Wat had de Postbank moeten doen? flashende banners voor je inlogt? Schermvullende, met audio versterkte mouse-overs voor je inlogt?

Op het moment dat onwetendheid een geldig excuus word vind ik dat deze wereld wel erg ver afzakt. Ik herhaal mijn eerdere punt, prima als je van een dienst gebruik wilt maken, maar verdiep je er in, zo niet... eigen schuld, .....
Antwoord is simpel, de mensen sleuren de postbank de media in en dan betalen ze ineens wel alles. Als jij in jou verzekeringsgeval gewoon gaat janken bij Kassa krijg je ook alles vergoed. Bedrijven betalen alles voor een goed imago tegenwoordig...
meest waar ik kom die "computer problemen hebben" hebben geen beveiligingspakket geÔnstalleerd.
"kost geld" en "is nodig ik let echt wel op hoor" en klikken tijdens het surfen altijd op JA om van het gezeur af te zijn.

maar goed dit soort discussies hebben genoeg gevoerd.
Maar ik ben het wel met FIPO eens, volgens mij is het TAN code systeem, ouderwets geworden, en moet ook de postbank over random readers.
De Postbank heeft op het moment twee systemen parallel lopen: het oude systeem van de TAN codes die per 100 op papier worden opgestuurd en het nieuwe systeem (ook al enkele jaren oud, ongeveer tegelijkertijd met Mijn Postbank.nl ingevoerd) waar er SMSjes worden gestuurd met daarin het vervolgnummer (staat op de site aangegeven welk nummer dat moet zijn), het over te boeken bedrag (staat ook aangegeven, en is ook zelf wel te raden, als het bedrag in je SMSje opeens 400 euro is ipv 40, dan moet er bij jou ook wel een belletje gaan rinkelen) en tenslotte de TAN code van 6 getallen.

Dit probleem is ontstaan door de eerste methode, welke op het moment langzaam aan steeds verder wordt uitgefaseerd: nieuwe klanten weten er standaard al niet eens van af, en de mensen die nog uit het Girotel tijdperk stammen moeten de lijst iedere keer expliciet aanvragen: het gebruik wordt dus redelijk ontmoedigd.

Wat betreft de veiligheid van de randomreaders: was er een tijd terug niet ook een probleempje bij de ABN? De Postbank klanten hadden zich in ieder geval nog veilig kunnen stellen door gebruik te maken van de SMS codes (met daarin o.a. dus het bedrag wat afgeboekt ging worden), bij een man-in-the-middle aanval zoals bij de ABN kon gebeuren, kan er vanuit de klant vrij weinig gedaan worden.
> die nog uit het Girotel tijdperk stammen moeten de lijst iedere keer expliciet aanvragen: het gebruik wordt dus redelijk ontmoedigd. <

Het is geen grote moeite en ws ben ik straks de laatste de Mohikanen, maar ik heb geen mobiel nodig en was van plan dat zo te houden. Maar als ze er mij een sturen, zal ik er over denken :)
Nou het systeem werkt prima en is niet ouderwets, alleen dat je een lijst met tancodes kan aanvragen als je geen mobiel hebt, dat is ouderwets. Maar alsnog is de postbank daar niet verantwoordelijk voor en geeft deze ook duidelijk aan dat de Postbank nooit om tancodes zal vragen.
Zo dat is netjes.
Ik wist niet dat het virus al enige tijd actief was.
Ik maak zelf ook gebruik van postbank bankieren en de melding dat er een virus aanwezig kon zijn stond er nog maar een paar dagen op volgens mij?
Waarom heeft de postbank dit dan niet langer op de site laten staan terwijl ze wisten dat het virus nog actief was en schadelijk kon zijn? :?
Die melding staat er om de paar weken weer op. Heeft het altijd gedaan.

Dit doen ze omdat mensen anders het niet meer lezen (echt veel mensen lezen de helft van wat er op een site staat niet, op m'n werk ook zo veel last van met handleidingen etc :( ). Nu denken mensen af en toe "hey er staat wat bij ff lezen".

Er is ruim voldoende gewezen op deze trojan, er is ruim voldoende gewezen op het feit dat je op deze manier geen TAN codes moet invullen en er is een veiliger alternatief: de sms.


Die man die in de gedupeerde tribune zat en zei "Wij zijn dom" bedoelde het sarcastisch, maar het is echt zo.

Logisch na denken af en toe mag ook wel toch ? Vooral als het om je bankrekening gaat...


Overigens ben ik wel blij voor die mensen dat ze hun geld terug krijgen hoor. Maar ik zie ook wel waarom Postbank het eerst niet wou doen. Je auto diefstal verzekering zou ook niet uitbetalen als je de deur openliet en de sleutels nog in het contact had toen hij werd gestolen.

[Reactie gewijzigd door DaitoX.nl op 14 december 2008 16:56]

Eensch, behalve:

Ik ben helemaal niet blij voor die mensen, ze zouden het kwijt moeten zijn. Postbank waarschuwd altijd al voor dit soort praktijken, er is een uitgebreide uitleg over TAN codes beschikbaar (voor wie hem wil lezen dan). Ik vind het ronduit belachelijk dat ze hun geld terug krijgen... De phishing sites lijken in geen enkel opzicht op die van de postbank, en er worden dingen op gevraagd die totaal buiten de werkwijze van de postbank vallen. Waarvan 1 nog in verdomd slecht en onbegrijpelijk nederlands:
Zowat wedder zekerheid voor wisselborgtocht, zijn voor zij 10 wigerend TANs ter zijn cijfers verlenen, b.v. 03 (TAN-cijfers) - 345678 (TAN)

**10x TAN invoer veld**
Deze tekst ontcijfer ik uit het wazige voorbeeldplaatje bij de waarschuwing van postbank.nl. Als je daar 1 cijfer van 1 TAN code invult mag je van mij AL je geld kwijtraken...

Als het om je geld gaat zou je denken dat mensen zich eerst verdiepen in de werking van het geheel. Wat is internet bankieren? Hoe werkt het? Wat zijn de risico's? Wat kan misgaan? Heb ik alle folders gelezen? Wat betekenen mijn codes? Ik heb mijn pensioenregeling offerte ook eerst met iemand doorgenomen, net als mn belastingpapieren, auto aanschaf en de verzekeringen. Lijkt me niet meer dan normaal om dat dus ook even te doen voor je met internet bankieren begint...

[Reactie gewijzigd door smeaggie op 14 december 2008 17:35]

Die man die in de gedupeerde tribune zat en zei "Wij zijn dom" bedoelde het sarcastisch, maar het is echt zo.

Logisch na denken af en toe mag ook wel toch ? Vooral als het om je bankrekening gaat...


Overigens ben ik wel blij voor die mensen dat ze hun geld terug krijgen hoor. Maar ik zie ook wel waarom Postbank het eerst niet wou doen. Je auto diefstal verzekering zou ook niet uitbetalen als je de deur openliet en de sleutels nog in het contact had toen hij werd gestolen.
Wat voor jou heel logisch is, is voor anderen niet zo logisch.

Heel simpel voorbeeld uit de scheepsbouw:
"Het spreekt voor zich waarom er geen aluminium gebruikt mag worden op de route naar of binnen (slaap)cabines en ook niet op de plek waar de bemanning regelmatig aanwezig is"
Voor naval architects is dat heel logisch, maar weet jij ook waarom?

Hetzelfde voor computers, beveiliging, internet, etc.
Zolang er geen internet-bewijs is, met regelmatig vereiste updates, kun je simpelweg niet verlangen dat mensen altijd de internetveiligheid van hun computer op peil kunnen houden of zelfs maar het gevaar in kunnen zien.
Het is in-en-in triest dat mensen het ook niet willen inzien, maar een taak van de bank is om met die beperkingen om te gaan en de risico's in te calculeren.
Als de risico's te groot worden, moet de methode aangepast worden, aangezien de bank een dienstverlener is van de klant. Het kan niet zo zijn dat de klant dan maar de risico's moet dragen als de bank de zaakjes niet op orde heeft.
Als klanten dan niet over willen stappen op een andere methode (mits die redelijk is), terwijl de bank aangeeft dat het noodzakelijk is ivm de veiligheid, dan kan de bank weigeren om als dienstverlener zaken te doen met die klant.

Nu draait de bank echter de zaken om en dat kan gewoon niet. Gelukkig zijn ze (onder druk van Kassa) zelf ook tot die conclusie gekomen.
Nee weet ik niet. Maar als ik een schip ging bouwen zou ik daar wel naar onderzoek doen. Overigens lijkt me dat te komen door warmte, maar dit weet ik dus niet zeker.

<edit> ff opgezocht: "The first reason is that aluminum warships, suffered crack from metal fatigue, the second is that should the ship burn the aluminum melts at a lower temperature and suffers structural collapse, it also conducts heat well and this helps spread the blaze. In a ships this can be a problem because ships are large enough to burn at one end and fight the fire at another." Zat ik toch aardig in de richting. </edit>

De postbank wil dat je naar sms gaat omdat het veiliger is, maar biedt een alternatief voor mensen zonder mobiel. Hier wordt informatie duidelijk bijgeleverd waarin staat hoe je met je codes moet omgaan. Mensen kiezen er zelf voor om de informatie van de postbank links te laten liggen en maar iets te doen.

De hele virus maakt niet eens uit. Als jij je PC slecht beveiligd, maar wel de 5 regels lange tekst met de waarschuwing die de postbank jou zelf geeft had gelezen, dan was je hier niet de fout ingegaan. Dan had je contact opgenomen met de bank, die hadden je meer kunnen vertellen en dan had je het op kunnen lossen voordat je geld kwijtraakte.


Dit heeft helemaal niks te maken met onkunde in de omgang van PCs, maar de onwilligheid om een paar regels tekst te lezen en te begrijpen dat slecht geschrevem nederlandse tekst die nog maar net te ontcijferen valt niet van de postbank zelf is.

Duurde 1 minuutje om dit op te zoeken in de FAQ, poe poe.....

http://www.postbank.nl/in...1824,00.html?linktype=int

"Mijn Postbank.nl is strikt persoonlijk. Medewerkers van Postbank vragen daarom nooit naar uw gebruikersnaam, wachtwoord, activeringscode of TAN-codes. Niet via e-mail, telefoon of op welke andere manier dan ook. Verstrek uw gebruikersnaam, wachtwoord en TAN-codes dus nooit aan anderen. Als u direct na het inloggen wordt gevraagd om een of meerdere TAN-codes, vul deze dan niet in, maar neem contact op met de Postbank."


@smeaggie

Van mij hoefden ze het ook niet perse terug te krijgen hoor, want het komt natuurlijk wel weer uit onze zakken. Maarja het is ook zo lullig om gelijk al je geld kwijt te zijn als je iets doms doet. Als het niet terug was gegeven vond ik het ook niet erg hoor, maar voor die mensen ben ik wel blij.

[Reactie gewijzigd door DaitoX.nl op 14 december 2008 21:34]

Ik heb die melding al een hele tijd geleden gezien. Misschien heeft die niet 24/7 op de site gestaan maar ik kan me herinerren dat er al eerder voor deze trojan gewaarschuwd is.

Wat ik me ook afvraag, is of mensen die de trojan hadden maar Firefox gebruikten, de melding kregen dat ze op een phishing site terecht waren gekomen.
Iemand die daar iets over weet?
Gaat erom hoe het op de site staat. Als je gaat kijken staat het er niet heel erg duidelijk.
Rabobank geeft na het inloggen bij belangrijke mededelingen meestal een leeg scherm met alleen maar die mededelingen. Daarna kun je pas verder.

Postbank gaf het volgens mij alleen op de inlogpagina als klein tekstje..
Tsja, misschien heeft het er wel heel lang gestaan, maar keek je naar een andere site ;)
Sorry, maar ik vind het gewoon dom als je hier instinkt. Postbank waarschuwt van te voren en geeft ook aan nooit om TAN-codes te vragen. Als je niet capabel genoeg bent om je pc veilig te houden en echte postbank van neppe postbank te onderscheiden moet je misschien maar overwegen om gewoon via het papier te gaan bankieren.
Moet dit niet uit de zak van de dief betaald worden?
Van wie is dat geld in de zak van de dief ?
Juist ja, de gedupeerde. En van wie is het geld van de Postbank? Van de rekeninghouders, wie is dus diegene die hier met een big smile wegloopt? De dief. Nu wordt er gedaan of het de schuld van de Postbank is, terwijl het niet zo is dat postbank een beveiligingslek heeft.
Aan de andere kant is het wel zo dat de Postbank bij sommige accounts nog steeds het systeem met de tan-codes op papier gebruikt, wat in een geval als dit dus niet verstandig is. Bij het Sms-systeem weet je doordat je een sms met verificatiegegevens van de postbank krijgt dat jouw transactie ook echt bij de postbank is aangekomen, wat dus een stuk veiliger is dan tan-codes op papier.

[Reactie gewijzigd door Ramon op 14 december 2008 14:41]

Je moest eens weten joh hoe verschrikkelijk veel weerstand er is om de oude, onveiligere TAN-lijst af te schaffen: dreigementen over rechtzaken, klanten die dreigen op te stappen, scheldkannonades, oudere mensen zonder mobiel, etcetera.

TAN-codes per SMS zijn het meest veilige internetbankiermiddel heb ik eens gehoord. Ik moet echer wel schuldig blijven wat daarvan de bron is, dat zou ik echt niet meer weten, maar klanten moeten wel willen hŤ. Gelukkig willen veruit de meeste wel :)
In het programma waren zelf deskundigen die het systeem afkraakten/ minder veilig achten dan andere banken in NL. Zij wilden dit echter niet voor de camera doen op 1 na (Postbank/ING was klant van hun).
Geen mobiel hebben, maar wel je bankzaken via internet willen doen en kunnen doen in geval van die oudjes, want dat excuus hoor je vaak weer, ouderen kunnen niet met een GSM omgaan, maar een PC en internetbankieren is geen probleem.
papieren TAN lijsten zijn in principe geweldig veilig. (veiliger dan al die reader systemen)

Het enige risico is de klant, die netjes met zijn lijst moet omgaan.
Iemand die meer dan twee hersencellen heeft, heeft met een papieren TAN lijst dan ook een zeer veilig systeem in handen.

MAar ja, er zijn altijd nog een paar mensen in Nederland die je alles wijs kunt maken.
(dezelfde mensen die je ook kunt overhalen tienduizenden euros bij een speciale geldboom te begraven omdat het dan gaat groeien. Als ze dan na een paar maand het weer opgraven blijkt het geld verdwenen te zijn. Wat een verrassing....Is echt gebeurd in Rotterdam)
Er zijn dan wel meer mobiletjes dan mensen in Nederland maar dat zegt niet dat iedereen er 1 heeft ;) Dus nee je kan niet zomaar overschakelen... Ondanks dat het systeem al superoud is (10+ jaar?).

Ik ben zelf juist super tevreden en wil niet anders, ik krijg wekelijks 2 a 3 keer iemand aan me kop zeuren die een reader voor 1 of andere bank zoekt... Ik kan vanaf elke plek in nederland (waar ik bereik heb) geld overmaken (helemaal via de telefoon)...

[Reactie gewijzigd door watercoolertje op 14 december 2008 15:34]

Dan koop je voor 10 euro maar een mobieltje/ krijg je die van de Postbank, een telefoon is tegenwoordig echt niet duurder meer dan een of andere reader.
Readers kan ik zoveel meepakken bij me rabobank als ik wil :)
Juist, op deze manier kunnen criminelen hun eigen rekeningen wel gaan plunderen en dan bij Kassa klagen dat ze geld van de Postbank terug verwachten |:(
Die dief hebben ze eindelijk gepakt en daarom kunnen ze nķ terug betalen ;)
Heb jij het stuk wel gelezen poepkop? Of wil je gewoon afreageren ofzo?

De trojan nog altijd kon toeslaan op 23 procent van de up-to-date beveiligde computers.

Bovendien denk ik dat de groep die gebruikt maakt van 100 codes op papier al aanduiden dat ze weinig tot geen ervaring mee hier hebben. Denk dat deze groep voornamelijk ouderen zijn.
De trojan werkt alleen op windows icm IE, de trojan is alleen succesvol bij mensen die niet zorgvuldig zijn met het gebruikt van de website: eigen schuld dikke bult, maar eigen verantwoordelijkheid is tegenwoordig een vies woord...
Ja en daarbij de vraag hoe die Trojan ooit op de pc heeft kunnen belanden. Als jou pc tot de tanden beveiligd is (en dat zou bij elke digibeet zo moeten zijn) dan ben jij toch echt verantwoordelijk voor wat jij zelf op je pc binnen haalt. Ja ik heb het stuk gelezen en las over 23 procent, alleen heb ik een andere definitie van "23 procent van de up-to-date beveiligde computers" dan Kassa die het voor de gedupeerden opneemt volgens mij.

Daarnaast bestaat er nog zoiets als je overboeking terugdraaien...

[Reactie gewijzigd door poepkop op 14 december 2008 15:18]

Ja haha, je eigen overboeking terugdraaien is niet zo makkelijk hoor. Alleen een automatische incasso valt makkelijk terug te boeken (binnen 30 dagen). Er kan altijd een betalingsonderzoek worden gedaan, maar dat duurt een paar weken en geeft geen garantie dat je geld terug wordt gestort. In het andere geval krijg jij dan de contactgegevens van de begunstigde....en dan is het tussen jou en de begunstigde :)
De trojan werkt alleen op windows icm ie omdat dat de enige is waar ie op geschreven is, omdat niemand FF gebruikt. Het is net zo triviaal om FF over te nemen als het de moeite waard was kwa hoeveelheid gebruikers.
Hehe, grapjas, ik val niet onder de groep ouderen en ik gebruik liever een tan-code lijst op papier!

Om misbruik te maken van internetbankieren hebben ze mijn inlognaam en wachtwoord nodig *en* mijn tan-code lijst. Aangezien ik weet dat men nooit vraagt om meer dan 1 tan-code zullen ze (naast het weten te verkrijgen van mijn inloggegevens) fysiek in moeten breken in mijn huis om die lijst te bemachtigen.

Als ik SMSjes zou gebruiken hiervoor hoeven ze naast mijn inloggegevens alleen maar mijn mobiele telefoon te jatten die zich regelmatig buiten het huis begeeft (in mijn zak). Of men weet een kopie van de SIM gegevens te maken of men weet het mobiele nummer te veranderen bij de Postbank of er werkt een onbetrouwbaar persoon bij mijn telecomprovider die een handje helpt, etc., etc.

Dat laatste is toch echt een stuk onveiliger!
Als je alleen van huis uit wilt telebankieren scheelt dat wel, maarre.. die ene tan code die je per keer telebankieren invoert kan dus met een trojan gebruikt worden om 30.000 euro naar de rekening van de aanvaller over te schrijven, in plaats van 12,50 naar je ouders.
Postbank vraagt wel degelijk om TAN codes, namelijk op het moment dat je geld overmaakt.
Je bent net ingelogd en de site vraagt al om TAN codes. Die je alleen nodig hebt als je wat overmaakt. En de site blijft maar vragen om TAN codes. Als gebruiker zou je dan toch moeten weten dat het niet goed zit.
Maar voor het geval dat: voortaan een screenshot bij de TAN codes lijst + uitleg dat er een bedrag + datum komt te staan en dat jij dit zelf hebt aangegeven om over te maken.
Mochten ze er nog steeds in trappen dan lijkt het me echt de fout van de eindgebruiker.
Ik moest laatst ook even nadenken toen ik van de TAN lijst naar sms wilde overstappen. Tot mijn verbazing werd hierbij om een TAN code gevraagd, zonder verdere toelichting. Vervolgens zou ik bevestiging via sms krijgen, maar ontving niets.

Na even proberen bleek dat alles gewoon geregeld was, maar ze laten de gebruiker wel in het donker rondtasten.

Beveiliging is ook een stukje gebruikerservaring, iets wat bij de Postbank nog redelijk ontbreekt.
Toch moeten klanten zelf hun pc gewoon goed beveiligen en tancodes niet zomaar doorgeven aan derde. Zelf vind ik het systeem erg praktisch, aangezien je altijd je saldo kun bekijken zondat dat je een speciale reader bij je moet hebben. Geld overmaken, daarvoor heb je je mobiel nodig (tancode via sms) maargoed die heb je toch altijd bij je. Denk dat het systeem net zo veilig is als andere banken gebruiken. Bedoel, bankpassen kunnen gekopierd worden en het lijkt me dat die readers ook gehackt kunnen worden.
Die chip van de bank is toch erg lastig om kopieren kan ik je zeggen. Die chips zijn nogal zwaar beveiligd (anders zou iedereen ook zonder problemen zijn chipknip kunnen bijladen...).

De reader hoeft niet gehacked te worden. Enige wat dat ding doet is dezelfde berekening loslaten op een ander identificatienummer in de chip op de bankkaart, bankrekening, pincode en eventuele code(s) die de bank op de site opgeeft.
Laat die klanten maar eens wat beter op gaan letten.
Stond er een bedrag bij de TAN codes? Stond er een volgnummer bij? Was de URL juist?

Te goeder trouw handelen -kan- bij zoiets niet.
Ik weet niet het fijne van die trojan maar moeilijk is het niet om het host bestand zo aan te passen dat postbank.nl (wat dan ook in de url staat) doorverwezen wordt naar een criminele site die exact op Postbank.nl lijkt.

Zorg er ook nog even voor dat er https in de url staat en geen leek die het verschil ziet met de echte site.
%windir%\system32\drivers\etc\hosts
...
1.2.3.4 www.postbank.nl
%windir%\system32\drivers\etc\hosts

toevoegen aan het einde van het hostbestand is voldoende, waarbij 1.2.3.4 het IP adres is van de server van de kwaadwillende.

Veel te makkelijk dus.

[Reactie gewijzigd door unglaublich op 14 december 2008 14:35]

Ja en die site is dan ook echt versleuteld ja :z Je kan toch zien of de site het benodigde veiligheid certificaat heeft. Als je niet weet hoe dat werkt is het wellicht maar beter dat je niet online je bankzaken regelt.
Een versleutelde site maken kan ook, alleen als je de certificaat opent en alle waardes checked, weet je zeker dat het een echte certificaat is.
Iedereen gaat er vanuit dat dit alleen de gemiddelde gebruiker overkomt, maar dat is natuurlijk onzin. Je PC kan nu ook al geinfecteerd raken door een trojaanse paard (zie nieuws van gisteren). De kwaadwillende kan dan van alles doen om jou te laten geloven dat je op de juiste site zit en dan ben jij en ik ook gewoon de pineut.
Een trojan kan *alle* kenmerken van een versleutelde site simuleren, want heeft volledige controle over jouw scherm. En je kan mij niet vertellen dat jij iedere keer dat je telebankiert zelfs maar kijkt of je een slotje ziet staan, laat staan dat je daar op klikt om te controleren wat daar achter zit.
En als ik er vanuit ga dat deze mensen nog allemaal WIN XP gebruiken waarbij iedereen admin is, is dit inderdaad een piece of cake..
edit:
AHHH, wat heb ik vandaag. Ik doelde inderdaad niet op een vredestaart:).

[Reactie gewijzigd door thegve op 14 december 2008 16:33]

Onder vista met admin werkt dat ook nog prima hoor
Vandaag nog bij een vriendin moeten herstellen.

Zij had als admin geen toegang tot dat bestand, de mallware wel -_-'
Uiteindelijk maar met ubuntu geboot, schijf gemount en het hosts-bestand leeggegooit
En haar uiteraard naar een user-account en van IE af gegooid

[Reactie gewijzigd door hackerhater op 15 december 2008 00:19]

In theorie zou de browser dan moerten gaan tegensputteren dat er iets mis is met het SSL certificaat?
Als die nep-site gewoon http: is krijg je geen alarm, de mensen die echt checken of een site met SSL werkt zullen in het algemeen ook wel beter uitkijken voor ze hun gegevens inkloppen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True