Fraudeurs omzeilen beveiliging ING via Paypal

Meerdere rekeninghouders van de ING zijn de afgelopen tijd slachtoffer geworden van internetfraudeurs die gebruikmaken van Paypal en Click and Buy. Hiermee weten ze de beveiliging met tan-codes van de bank te omzeilen.

"De gegevens van zeker honderden ING-klanten zijn bekend, mogelijk nog veel meer", schrijft Crimesite.nl. Volgens de site werden rekeningen 'geplunderd', zonder dat om tan-codes werd gevraagd. Normaal gesproken zijn die codes vereist bij overschrijvingen, maar door rekeningen te koppelen aan Paypal- en Click and Buy-accounts, is de beveiliging te omzeilen.

Voor de methode is wel vereist dat de fraudeur toegang heeft tot de rekeningen van slachtoffers, zodat hij de bij- en afschrijvingen kan zien. De inlognaam en het wachtwoord moet hij dus via bijvoorbeeld phishing zien te achterhalen. Vervolgens maakt hij accounts aan bij Paypal en Click and Buy. Beide betaaldiensten zetten een bepaald bedrag op de bankrekening van de aanvrager, ter verificatie dat die inderdaad eigenaar is van de rekening. Click and Buy stuurt daarnaast een code mee.

De fraudeur ziet op het rekeningoverzicht dat het bedrag overgemaakt is en geeft dit aan bij zijn Paypal-account. Bij Click and Buy vult hij de code in. Vervolgens kan de fraudeur bestellen met de geactiveerde en gekoppelde accounts. Deze methode zou niet alleen bij ING werken, maar ook andere banken, die een username en wachtwoord gebruiken, kunnen treffen.

De woordvoerder van de ING verklaart dat de methode 'incidenteel' gebruikt wordt en wijst er op dat klanten de verantwoordelijkheid dragen voor de geheimhouding van hun gegevens. "We houden de aanpak van cybercriminelen in de gaten. Het gebruiksgemak is echter ook belangrijk. Ons systeem voldoet aan de eisen van de toezichthouder, De Nederlandsche Bank.", verklaart hij aan persbureau Novum. Andere banken in Nederland zouden niet met het probleem kampen. In Europa zouden de betaalmethodes van nog enkele andere banken kwetsbaar zijn, zoals die van de Duitse Sparkasse.

IT-banen

Reacties (286)

MastersInstinct 21 maart 2011 17:39

Wanneer je goed leest (en ervaring hebt met de genoemde diensten) dan kun je opmaken dat er geen exploits zijn. Het gaat als volgt te werk:

* Iemand heeft een ING rekening en internet bankieren.
* De persoon wordt via scam omgeleid naar een niet ING website en vult zijn aanmeld gegevens in.
* De Scam partij heeft nu toegang tot zijn rekening, maar is zonder TAN niet in staat hier iets mee te doen.
* De Scam partij maakt een Paypal of Click and Buy account aan en geeft de buitgemaakte ING rekening op.
* Zowel PayPal als Click and Buy storten 0.01 cent op de ING rekening, met in de betaalbeschrijving een bevestigingscode.
* De Scam partij heeft toegang om tot het inzien van de af en bijschrijvingen, en kan dus de bevestigingscode invullen. Hierdoor is Paypal (dan wel click and buy) gemachtigd en actief.
* De Scam partij doet aankopen via het Paypal account. Het bedrag wordt later door paypal afgeschreven van de ING rekening.

Geen exploit, niet nieuw, maar iets wat natuurlijk in het verlengde ligt van scampraktijken.

Anoniem: 116213 @MastersInstinct • 21 maart 2011 23:45

* Zowel PayPal als Click and Buy storten 0.01 cent op de ING rekening, met in de betaalbeschrijving een bevestigingscode.

Hier in Amerika doen ze het anders, omdat ze weinig met betaalbeschijvingen doen hier, wat daarmee helaas een stuk onveiliger is. Je kan bij het aanmelden van een bankrekening bij PayPal nu tussen twee verschillende methodes kiezen. De 1ste is dat je de inlog gegevens van je bank opgeeft, waarbij je direct de bankrekening kan toevoegen aan PayPal. En de 2de mogelijkheid is dat PayPal twee kleine bedragen overmaakt en dat jij dan je bankafschift moet afwachten en de grote van die twee bijschrijvingen dan op de PayPal website moet invullen ter verificatie.

Vroeger was dat bijvoorbeeld $0.37 en $0.42 (totaal was wel altijd minder dan $1.00), alleen waren er een paar figuren die daarmee fraudeerde door duizenden rekeningen te koppelen en iets van $64,000 buit maakten. De laatste keer dat ik een rekening koppelde aan PayPal een paar weken terug was het totaal minder dan 6 cent. Begint op die manier wel gevaarlijk te worden, want er zijn op dat moment zeer weinig combinaties mogelijk (1+5, 2+4 en 3+3 cent).

The_Manipulator 21 maart 2011 17:36

Volgens mij (maar ik ben niet 100% zeker) gebruikt de rabobank gewoon verificatie via z'n reader, ook met PayPal!

Cloud @The_Manipulator • 21 maart 2011 17:37

Nee hoor. Paypal werkt altijd met directe afschrijving. Je machtigt ze als het ware om altijd geld van je rekening te trekken.

De reden dat deze 'exploit' niet werkt met bijvoorbeeld de Rabobank, is dat de Rabobank niet met een username/password combinatie werkt om in te loggen. Je pincode en kaart zijn al nodig om überhaupt in te kunnen loggen. Dus kunnen de kwaadwillenden de verificatiebedragen van Paypal/Click and Buy niet zien op jouw rekening en dus de machtiging niet voltooien.

Flying Bobman @Cloud • 21 maart 2011 21:29

Ook Rabobank heeft een gat in de verdediging. Met Rabo mobiel kun je namelijk wel degelijk bij je rekeningafschriften komen met een 5 cijferige code (wachtwoord). Als kwaadwillenden dat wachtwoord via phishing of malware op je smartphone in hun bezit krijgen, is de schade net zo erg. Ik ben er voorstander van om ook voor de Rabo app verificatie met een reader te vragen, zo'n ding heb je toch meestal wel bij je.

Cloud @Flying Bobman • 21 maart 2011 22:40

Ah dat is ook niet zo mooi dan nee; in principe hetzelfde gat maar dan op een telefoon. Maar goed, dat Rabo mobiel blijkbaar werkt zonder het gebruik van de random reader, is voor mij al een reden om het dús niet te gebruiken. Als ik per se wil weten of een bepaalde transactie voltooid is, of dat er genoeg saldo op m'n rekening staat, dan doe ik dat wel via Rabo alerts of een pin automaat. En anders weet ik het maar niet

Maar ik ben dan ook geen student meer.

TheVMaster Moderator WOS @Cloud • 21 maart 2011 22:43

Je kunt 'Rabo Mobiel' ook gewoon vanaf je laptop/pc gebruiken hoor. Surf naar : http://m.rabobank.nl/ en je bent op de mobiele website.

-Tom @Flying Bobman • 21 maart 2011 22:07

Of de app beperken tot het zien van enkel je saldo + transansacties boven de >€0,05. Zodat de TAN-codes niet uitgelezen kunnen worden. Simpel, maar een doeltreffende manier om Rabobank-users veilig te stellen!

geniusboxen @The_Manipulator • 21 maart 2011 17:38

Neen, als je je rekeningnummer koppelt aan PayPal krijg je twee overschrijvingen op de desbetreffende rekening. Deze geef je in bij PayPal en is je account gekoppeld aan je rekeningnummer. Daarna kan je "slechts" met je email + wachtwoord geld overschrijven.

[Reactie gewijzigd door geniusboxen op 22 juli 2024 22:15]

TimSeve @The_Manipulator • 21 maart 2011 17:39

Jep

ik heb Rabobank en daar krijg je een dubbele verificatie (1x intypen op het kastje, en uitkomst op de website). Super systeem!

Ik werk bij ING (servicedesk), heb nog geen klachten ontvangen van de klanten maar dit is toch wel erg

Cloud @TimSeve • 21 maart 2011 17:44

Jep ik heb Rabobank en daar krijg je een dubbele verificatie (1x intypen op het kastje, en uitkomst op de website). Super systeem!

Volgens mij begrijp je The_Manipulator niet, of je hebt geen ervaring met Paypal. Want er is géén extra verificatie van de kant van Rabobank als je betaalt middels Paypal. Net zoals er geen extra verificatie is als jij op een site (voor een eenmalige machtiging) je naam en rekeningnummer invult.

Alleen iDeal zet daadwerkelijk de stap naar de portal van de bank, om de controle te doen. En dat is m.i. ook de enige echt veilige oplossing.

Flying Bobman @Cloud • 21 maart 2011 21:36

Het gaat om de eerste verificatie. Die wordt hier misbruikt. PayPal controleert of de rekening wel van jou is door 2 random bedragen over te maken naar je rekening. Die vul je later in de aanmeldingsprocedure in om te verifiëren dat de rekening van jou is. Om die 2 bedragen te kunnen zien heb je bij ING dus genoeg aan een wachtwoord. Bij de Rabobank heb je een pinpas, reader en pincode nodig, tenzij je gebruik maakt van Rabo mobiel (zie mijn eerdere post). Een reader is hufterproof omdat je bij phishing niks hebt aan zo'n eenmalige inlogcode.

Cloud 21 maart 2011 17:33

Tja dat is toch het grootste nadeel aan het werken met een username/password combinatie om in te loggen, in plaats van met een sleutel.

Ik denk dat de enige échte verbetering die ING kan doen is; ook voor het inloggen een TAN-code gaan eisen. Alleen dan kun je het systeem echt veiliger gaan maken. Liever mikken ze natuurlijk de hele TAN-situatie uit hun systeem en werken ze met een cardreader; maar dat zal wel een stap te ver zijn.

MueR Admin Discord @Cloud • 21 maart 2011 17:54

Ik heb juist liever geen card reader voor het inloggen. Ik kan nu thuis, op mn werk en waar dan ook op mn bankrekening, ideaal.

Wat ING echt eens moet verbeteren is de login procedure. Geen idee welke idioot die bedacht heeft. username case sensitive, wachtwoord case insensitive. Zeg maar, tegen alle conventies in. Daar heeft iemand moeite voor moeten doen om dat te verklieren.

Anoniem: 390875 @MueR • 21 maart 2011 19:10

Wat ING echt eens moet verbeteren is de login procedure.

Zoals anderen al voorgesteld hebben - om een TAN code vragen. Opgelost.

Geen idee welke idioot die bedacht heeft. username case sensitive, wachtwoord case insensitive. Zeg maar, tegen alle conventies in. Daar heeft iemand moeite voor moeten doen om dat te verklieren.

De persoon die van z'n meerdere krijgt te horen dat ondanks de vet rode letters in 48 punt impact met blink tags eromheen die vermeldt dat de velden hoofdlettergevoelig zijn, er toch nog mensen de helpdesk bellen met de klacht dat ze uit hun account zijn gesloten en dat ze toch -echt- wel het juiste wachtwoord hebben ingevuld, "hallelujah". Of was het nou toch "haIlelujah"? Of "haIIelujah"? Ze lijken ook zo verdomd veel opelkaar, hè?

Natuurlijk is er op zich een probleem aan de kant van ING dat ze niet om een random challenge/response vragen bij het inloggen. Een groter probleem - bij bijna elke bank met betaalrekening - is dat iedereen een bedrag kan afschrijven onder de noemer "we zijn online gemachtigd door de gebruiker". Laat ze daar maar een TAN voor vragen (al dan niet eenmalig per tegenrekening) - dan wacht PayPal maar even langer tot de bank ook echt het bedrag overmaakt.. moeten ze nu toch ook, dus dat overleven ze wel.

aikebah @Anoniem: 390875 • 23 maart 2011 01:34

Behalve dan dat online machtigen niet bestaat en dus per definitie niet geldig is bij dispuut. De enige geldige incasso varianten zijn schriftelijk en (voor een beperkte set organisaties na expliciete additionele toestemming) telefonisch.

.oisyn Moderator Devschuur®

Beveiliging
Betalingsverkeer

@Cloud • 21 maart 2011 17:51

Liever mikken ze natuurlijk de hele TAN-situatie uit hun systeem en werken ze met een cardreader

Mwoa. Onveiligheden aside, die op zich wel op te lossen zijn (hoewel ING dit wel keer op keer aan hun laars lapt en zich continu verdedigt met het zinnetje "ons systeem voldoet aan de eisen van de toezichthouder" - zeiden ze ook bij de mogelijkheid om je wachtwoord via SMS op te laten sturen

), vind ik het TAN systeem een stuk prettiger dan het moeten gebruiken van een reader. Ik kan nu gewoon op een willekeurig moment en plek geld overmaken via internet op m'n mobiel. Mijn mobiel heb ik altijd bij me, zo'n reader niet.

Een reader app voor de mobiele telefoon zou eventueel wel een goed alternatief zijn.

Cloud @.oisyn • 21 maart 2011 17:57

Het TAN-systeem kan ook prima werken inderdaad, die cardreader is puur een voorkeur van mijn kant

Ik heb er dan ook twee: één voor thuis en één voor on the road.

Het enige wat de ING hoeft te doen om alles een verschrikkelijk stuk veiliger te maken is: ook een TAN-code eisen bij het inloggen. Klaar ben je. Geen toegang meer zonder toegang tot de TAN-lijst. Als die al in verkeerde handen gevallen is, heb je wel meer problemen

Anoniem: 81936 @Cloud • 21 maart 2011 18:46

Het TAN-systeem (met sms) werkt makkelijk en is veilig. Het machtigen van derde partijen door het terugmelden van een omschrijving bij een storting niet. Het zou veilig zijn als de rekeninghouder een bedrag van 0,01 euro met een specifieke omschrijving naar zou moeten overmaken om de machtiging te verlenen. Daar is immers een TAN-code voor nodig.
Persoonlijk spreekt het verlenen van dit soort machtigingen me helemaal niet aan. Ik heb wel een PayPal-account en daar schrijf ik een bedrag naar over zodat ik bij PayPal een tegoed heb. Als m'n PayPal-account gekraakt wordt ben ik hooguit een paar tientjes kwijt. Nadeel is dat het overschrijven naar PayPal een paar dagen duurt en je dus niet direct kan betalen als je meer wilt uitgeven dan je tegoed bij PayPal hebt.

TvdW 21 maart 2011 17:37

Rabobank -> rabofoon of gewoon de iPhone app. Ik begrijp dat een pincode voor een telefoon lastiger is om te krijgen met phishing, maar zodra je deze hebt krijg je precies hetzelfde probleem...

APAF-1 @TvdW • 21 maart 2011 17:41

Gelijk heb je. Heb vaak genoeg dat mensen in de trein een beetje mee proberen te kijken. Niet uit het opzicht om meteen m'n account leeg te plunderen, maar gewoon uit menselijke nieuwsgierigheid.

Een pincode lijkt mij inderdaad ook moeilijker omdat de gebruiker 'm niet zelf invult maar je de pincode moet afkijken, tenzij je de app voor Android kopieert en in de market gooit onder dezelfde naam...

Polderdijk @TvdW • 21 maart 2011 17:51

Nee dat is weer anders.

Bij de rabo apps kan je alleen geld overmaken als er ooit al eens naar die rekening is overgemaakt binnen de afgelopen 13 maanden, maar niet eerder dan 1 maand.

De kans op fraude neemt de kans via deze apps dus al gigantisch af.

edit-
Je hebt echter wel gelijk als het hier gaat om de PayPal verificatie afschrijving te kunnen bekijken. Mocht je dus nog nooit de app hebben gebruikt, of je wilt het rekeningnummer in de app wijzigen, dan bestaat de kans dat iemand dit kan zien die over je schouders mee staat te kijken.

Echter ga ik er vanuit dat de meeste mensen 1 rekening heeft bij de Rabo, en deze dus al als default staat ingevuld, waarbij alleen de laatste 3 posities van het rekeningnummer zichtbaar zijn.

Kan is dus ook aanwezig, maar zeer minimaal.

[Reactie gewijzigd door Polderdijk op 22 juli 2024 22:15]

hellknight

21 maart 2011 17:41

Als je je bankrekening aan PayPal hebt gekoppeld heb je ook bij de Rabobank je random reader niet meer nodig. De manier van werken uit het artikel zou ook bij Rabo kunnen werken, alleen dan enkel via de smartphone-app - daarbij log je in met bankrekening, en eenmaal ingestelde keycode. Daarvia zou je dan ook de transacties kunnen zien.
Op andere manieren heb je volgens mij altijd je RandomReader nodig, ook om enkel de transacties te bekijken.
edit: was bedoelt als reply op de post van The_Manipulator

[Reactie gewijzigd door hellknight op 22 juli 2024 22:15]

Katsunami @hellknight • 21 maart 2011 17:57

Als je je bankrekening aan PayPal hebt gekoppeld heb je ook bij de Rabobank je random reader niet meer nodig.

Dat klopt. "Vroeger" was PayPal een "pre-paid" rekening. Je kon er pas mee betalen als er genoeg geld op stond. Ooit heb ik mijn bankrekening gekoppeld om sneller geld over te kunnen maken voor een artikel dat ik snel nodig had en betaald moest worden met een "verified" rekening. Het lijkt erop dat ik niet meer terug kan naar een "unverified" rekening via het pre-paid systeem.

Daarom denk ik erover om mijn PayPal-account op te zeggen, als ik inderdaad niet terug kan. Ik vind het te onveilig dat er alleen een e-mailadres en wachtwoord nodig is.

Betalen met een creditcard doe ik ook slechts mondjesmaat, als het niet anders kan.

Al die betalingsmogelijkheden buiten de bank om bevallen me eigenlijk niet. Het liefst zou ik ook een "pre-paid creditcard" hebben, waar je vooraf geld op moet storten. Moet ik maar eens heen gaan kijken.

[Reactie gewijzigd door Katsunami op 22 juli 2024 22:15]

Toff @Katsunami • 21 maart 2011 23:26

Ik heb een aparte bankrekening (ING) gekoppeld aan PayPal. Aangezien ik hier geen passen van heb, zitten er geen kosten aan. Ik beheer de aparte rekening via "mijnING" en er staat meestal maar een paar tientjes op. Veel plezier ermee, als je die steelt...
Ik vind PayPal een fijn systeem om zo nu en dan kleinere internationale betalingen te doen. Een stuk veiliger en goedkoper dan met een creditcard.

Katsunami @Toff • 22 maart 2011 08:53

Dat heb ik ook, maar dat zal je dus niet helpen kwam ik pasgeleden achter.

PayPal was sneller met afschrijven dan de Rabo was met overboeken, en dan sta je dus gewoon lekker in de min.

Toff @Katsunami • 22 maart 2011 14:19

Aangezien ik op betreffende rekening geen krediet heb, gaat de transactie dan niet door, in plaats van dat ik in de min zou komen. Bovendien beweert mijn bank, de ING, dat betalingen "meteen" worden verwerkt:

Hoe snel is een overschrijving met Mijn ING tussen twee Betaalrekeningen van de ING verwerkt?
Een overboeking tussen twee Betaalrekeningen van de ING wordt meteen verwerkt. Het saldo is direct gewijzigd en de begunstigde kan meteen over het geld beschikken. Houd er wel rekening mee dat bedrijven en instellingen niet direct inzicht hebben in alle overboekingen. Bedrijven houden daarom de boekdatum aan als datum van betaling.

De boekdatum kan eventueel wel een werkdag later zijn:

Hoe snel is een overschrijving in mijn rekeningoverzicht op Mijn ING zichtbaar?
In Mijn ING is uw saldo- en transactie-informatie steeds volledig bijgewerkt. Het saldo is dan ook al gewijzigd, met de reserveringsdatum. Op het moment dat de afschrijving daadwerkelijk geboekt wordt, verandert de reserveringsdatum naar de datum waarop geboekt wordt, de boekdatum. Bij betalingen vóór 17.00 uur is dat dezelfde dag en ná 17:00 uur de volgende werkdag.

Hoe zich dat tot elkaar verhoudt? Geen idee, maar met een werkdag speling gaat er bij mij nooit iets fout.
.

Pepperoni @Katsunami • 21 maart 2011 18:11

Die pre-paid creditcard bestaat al. 3V, van Visa. https://www.3vcash.nl/index.html
Te koop bij bepaalde winkels of met iDeal. Je betaald een toeslag afhankelijk van het bedrag(€3,50 voor een kaart van €100,- om wat te noemen), en eigenlijk werkt het prima.

Enige nadeel is dat je dus met kleine restjes op die "kaart" blijft zitten, want het overboeken naar je rekening of andere 3V kaart kost uiteraard ook weer geld. Maar goed, in bepaalde gevallen heb ik voor de veiligheid die dit biedt wel wat extra's over.

[Reactie gewijzigd door Pepperoni op 22 juli 2024 22:15]

Katsunami @Pepperoni • 21 maart 2011 18:26

Ik heb eens zitten zoeken,en het lijkt erop dat er ook "pre-paid" kaarten bestaan waar je een extra rekening hebt, waar je geld heen kunt overmaken. Als er niet genoeg op staat, kun je niet betalen, net zoals met een pinpas.

Ik zal het eens verder uitzoeken en kijken wat de voor- en nadelen zijn.

Anoniem: 105188 21 maart 2011 18:28

Tja, dat je sowieso bij ING kan inloggen met een dood gewone username/pass zonder dat er nog een extra laagje beveiliging bij zit maakt het wel heel makkelijk. Bij de Rabo hebben ze de random reader waarmee je moet inloggen, dat maakt het een stuk lastiger.

Het is trouwens niet de eerste keer dat de Postbank/ING met dit systeem negatief in het daglicht komen. Ik had eigenlijk gehoopt dat ze zouden leren van de fouten maar dat is dus niet zo. Maak die calculator nou gewoon verplicht en gooi die TAN codes eruit.

Max Hunt @Anoniem: 105188 • 21 maart 2011 19:35

Bij de ING moet je gegevens van de gebruiker zien te ontfutselen, bij de Rabo ook. Als iemand naar skimming websites gaat heeft ie voor het zelfde geld een keylogger / programma die je random reader info doorspeelt tijdens het inloggen.

Anoniem: 390875 @Max Hunt • 21 maart 2011 19:49

Het installeren van een stukje malware a la keylogger is toch nog een grotere barrière dan een site opzetten die als 2 druppels water op die van de ING lijkt en deze in een massmailing aan 'iedereen' in NL te versturen met een of andere semi-plausibele reden voor de gebruiker om in te loggen. Bij een programma krijg je tenminste nog een prompt in beeld bij elke browser, die ook vaak veiligheidsupdates krijgen.

Anoniem: 105188 @Max Hunt • 21 maart 2011 20:02

Bij de rabo, als je een sleutel hebt gebruikt kun je er niet meer een 2de keer mee inloggen. Geprobeerd op 2 laptops hier en bij tweede login wordt je afgewezen. Dus al zou je een keylogger gebruiken dan heb je er nog niks aan want dan heb je een sleutel die gebruikt is.

Dit tegenover de username/pass beveiliging van de ING welke altijd hetzelfde is... tja! Er zitten niet eens eisen aan het wachtwoord, kan elke 8 letter combinatie zijn.

PJzzz 21 maart 2011 17:39

TAN codes zijn ws van voormalige postbankklanten en ING heeft naar mijn weten gewoon een reader in omloop waarmee klanten kunnen inloggen. Het zal wel een te duur grapje zijn om al deze voormalige postbankklanten zo'n reader te geven.

Anoniem: 349190 @PJzzz • 21 maart 2011 18:07

Het is opmerkelijk genoeg net andersom. Tegen alle logica in heeft ING juist de readers onlangs compleet afgeschaft zodat ook zakelijke/ING klanten nu met username/pass moeten inloggen.

Ik wou namelijk een poosje terug zo'n kastje aanvragen om op ING in te kunnen loggen, maar ik kon dus geen reader meer krijgen, en kreeg bovenstaande te horen.

Nu inmiddels overgestapt op Rabobank.

edit:
Volgens mij loop ik inderdaad te liegen. Aangezien er op ING nog wel met de kastjes kan worden ingelogd. Wellicht is dit enkel nog voor zakelijke klanten, en dienen de particuliere ING klanten met username/pass in te loggen. Of de beste baliemedewerker van de ING heeft uit zn nek lopen lullen. Het niet kunnen krijgen van een reader was voor mij in ieder geval juist de reden om over te stappen naar Rabo.

[Reactie gewijzigd door Anoniem: 349190 op 22 juli 2024 22:15]

YellowOnline @Anoniem: 349190 • 21 maart 2011 18:15

Euh? Tenzij het omgekeerd is bij ING NL: ING België heeft net dat systeem met die readers ingevoerd en gaat het andere systeem afschaffen. Tegen mijn zin, want ik had net voor ING gekozen een jaar geleden omdat het de enige bank was waar ik nog niet verplicht zo'n reader moest gebruiken. Ik heb best wat veiligheid ruil voor het gemak van niet zo'n apparaat te moeten gebruiken.

Anoniem: 390875 @YellowOnline • 21 maart 2011 19:24

Euh? Tenzij het omgekeerd is bij ING NL: ING België heeft net dat systeem met die readers ingevoerd en gaat het andere systeem afschaffen.

Apart. Maar inderdaad - hier in NL is het juist andersom.. sinds 2009 worden de 'calculators' zoals ze door de ING genoemd werden langzaamaan afgeschaft;
http://webwereld.nl/nieuw...or-internetbankieren.html

Je kan nog wel met zo'n ding inloggen als je die nog gebruikt.

Misschien dat ING naar aanleiding van deze negatieve berichtgeving (titels als "Fraudeurs omzeilen beveiliging" die weliswaar accuraat zijn maar niet het hele verhaal vertellen) wel weer overstapt op zo'n ding, of dat ze nog een jaartje of 2 de boot afhouden om vervolgens op NFC techniek over te stappen en daar lezers voor uit te geven en apps voor mobieltjes met NFC lezer uit te geven.

mphilipp 21 maart 2011 19:38

Ik betwijfel ten zeerste of de rekeningen écht geplunderd werden. Er ontbreekt namelijk een essentieel stukje informatie. Ik snap hoe de achterdeur werkt: doordat de crimo's toegang zouden hebben tot mijn 'MijnING' kunnen ze de bevestigingscode voor de PayPal rekening achterhalen. Daarmee kunnen ze de PayPal rekening activeren. Prima, maar vervolgens gaat dat geld ergens anders heen. Dat kunnen eigenlijk geen PayPal rekeningen zijn, want die vereisen een extra verificatie op het moment dat er grote bedragen overheen gaan. Ik weet zeker dat dat gebeurt als je grote bedragen ontvangt (heb dat zelf gehad nl). Je moet dan overstappen op een (gratis) 'bedrijfsrekening' en een kopie ID en afschrift opsturen. Dat gaat al bij bedragen boven de €1000.
Als ze het naar een andere bankrekening overmaken is ook de ontvanger bekend. Dit betekent dat de fraudeurs dus in één klap met heel veel rekeningen aan de gang moeten, voordat de rekeninghouders het in de gaten hebben. Want als er één melding komt, kan men al betalingen aan de ontvangende bankrekening gaan blokkeren. Creditcardorganisaties zijn daar ook erg snel in en detecteren dergelijk verdacht gedrag.

Deze fraude is niet een waar je erg lang van kunt 'genieten'. Je moet snel je slag slaan en dat betekent nogal wat. Het liefst heb je meerdere ontvangende bankrekeningen nodig om detectie en blokkering voor te zijn. En je moet heel veel rekeningen hebben om te plunderen en in 1x (meteen als de bevestiging van PP binnenkomt) je slag slaan met flinke bedragen (als dat gaat). Na een paar dagen is de lol voorbij en worden de rekeningen geblokkeerd.

Ik heb geen idee hoe PayPal te werk gaat, maar het is een officiele bank, dus ik ga ervan uit dat zij ook een afdeling hebben die zich met fraude bezighoudt en samenwerkt met andere banken.

Verder drijft deze fraude op de domheid van mensen om op hele vage phisingmails te reageren. Ik weet dat het gebeurt, maar ik heb geen idee op welke schaal mensen erin trappen. Dat gekoppeld aan het feit dat je snel moet toeslaan en dat je waarschijnlijk toch traceerbaar bent, maakt dit geen onwaarschijnlijke fraude, maar ook weer geen 'crack of the century'.
Het is wel weer goed dat dit naar buiten komt, want misschien gaan die dumbo's die reageren op emails van 'banken' zich nu wat meer bedenken.

Misschien wordt het tijd voor een nieuw verplicht vak, vanaf groep 2 op de basisschool: omgaan met internet. En via scholen ook met lichte dwang voor ouders. Het is eigenlijk te triest voor woorden dat veel mensen zich compleet afsluiten voor dit soort ontwikkelingen en alleen maar porno, hyves en downloads op internet weten te vinden.

Anoniem: 390875 @mphilipp • 21 maart 2011 19:52

Hoeft natuurlijk niet per se om rekeningen te gaan. Je kan er ook gewoon dingen mee kopen. Als dat dan ook nog e-bay dingen zijn dan kijk je gelijk even op de rekening of de rekeninghouder wel vaker wat bij e-bay koopt (valt het niet zo op). Vervolgens af laten leveren in een of ander wazig land (de Seychellen, bijvoorbeeld) en van daaruit verder verhandelen.

Bijzonder lucratief is het misschien niet - maar ach, mensen slopen ook parkeermeters voor de €50 ofzo die er tegenwoordig misschien nog in zit.

mphilipp @Anoniem: 390875 • 21 maart 2011 23:30

Maar dan heb je weer een adres, dus je bent altijd de sigaar. Ik weet van CC fraude dat ze vroegâh nog wel eens de methode gebruikten van een dakloze (kunnen ze later niets meer van claimen) die ze ff onder de douche hadden gezet en $10.000 geven om een bankrekening te openen en het geld te storten en vervolgens een American Express aan te vragen. Die krijgt ie natuurlijk omdat er $10.000 op de rekening staat. Zodra de kaart er is, halen ze vrijdag voor sluitingstijd het geld van de bank en gaan een weekendje ruig doen in een leuke stad.

Uiteraard is dit voor het supersnelle communicatietijdperk. Authorisatie per telefoon enzo. Een jaar of 25 geleden. Nu kan dat niet meer omdat alle rekeninginfo ala minute beschikbaar is.

Anoniem: 390875 @mphilipp • 22 maart 2011 00:37

Maar wat heb je aan een adres in de Seychellen? Tenzij het echt om miljoenenfraude gaat is een bank echt niet van plan om daar even wat forse mannen heen te sturen met een vliegtuig om de verhuurder van een pand duidelijk te maken dat als ze de details van de huurder niet prijs willen geven hij grotere problemen zou hebben dan met de huurders.
Zie het hele The Pirate Bay verhaal - staat ook op naam van een schaduw in de Seychellen.. kom er maar 's achter wie er echt achter zit want links en rechts wordt er glashard ontkend

EdwinG 21 maart 2011 19:54

Ik vraag me af in hoeverre andere banken hier niet vatbaar voor zijn. Het gebruik van tan-codes, random reader of e-dentifier om in te loggen garandeerd geen immuniteit tegen dit trucje. Met phishing of andere trucjes is het dan nog steeds mogelijk om éénmalig in te loggen. Vervolgens is de vraag "Hoelang blijft je sessie geldig?".

Als je sessie alleen verloopt na X minuten inactiviteit, kan de aanvaller geautomatiseerd elke X -1 minuten de pagina verversen en zodoende dagen ingelogd blijven, om vervolgens de codes van paypal of click&buy te zien binnenkomen.

Anoniem: 390875 @EdwinG • 21 maart 2011 20:01

Het garandeert inderdaad geen immuniteit, maar in jouw geval zal je ook nog eens de sessie moeten hijacken (ssl, dus dat wordt al behoorlijk moeilijk).

Het probleem bij de ING is juist dat dit niet hoeft - een derde hoeft 'alleen maar' gebruikersnaam en wachtwoord te ontfutselen.

Als het gaat om een trojan o.i.d. dan maakt het inderdaad niet veel uit, want dan kan dat stukje software gewoon 'meekijken'.

EdwinG @Anoniem: 390875 • 21 maart 2011 20:11

Waarom moet ik session hijacking gebruiken voor een phishing aanval?
- Stuur het beoogde slachtoffer een e-mail om zijn bankgegevens 'te verifieren';
- In die e-mail een link naar je eigen (of een door jou gehackte) pagina, waar de gebruiker op 'moet' inloggen;
- Gebruiker vult pasnummer in op jouw site, evenals de challenge/response;
- Jij gebruikt die gegevens om in te loggen op de website van de echte bank, en houdt de zo gecreerde sessie in leven;
- Gebruiker krijgt een standaard pagina te zien dat alles in orde is, en gaat tevreden verder met prutsen.

Ik zie hier geen session-hijacking in voorkomen.

Anoniem: 390875 @EdwinG • 21 maart 2011 20:56

- Gebruiker vult pasnummer in op jouw site, evenals de challenge/response;
- Jij gebruikt die gegevens om in te loggen op de website van de echte bank, en houdt de zo gecreerde sessie in leven;

Alleen kan je diezelfde challenge/response - als de programmeur van de login niet heeft zitten slapen, tenminste - niet 2 keer gebruiken. Dat wil zeggen.. als het goed is geeft die site niet 2 keer dezelfde challenge.

Meekoh @Anoniem: 390875 • 21 maart 2011 20:58

Je hebt de challenge respons ook maar 1x nodig!
Als je die 1x hebt onderschept kun je 1x inloggen en bij het rekening overzicht komen.
Dan kun je dus het verificatie bedrag zien en heb je alles wat je nodig hebt al om de paypal koppeling te voltooien.
De programmeur kan het dus wel laten verlopen, maar het kwaad is dan al geschied

[Reactie gewijzigd door Meekoh op 22 juli 2024 22:15]

Anoniem: 390875 @Meekoh • 21 maart 2011 23:01

Okay, je hebt het dus over man-in-the-middle en niet alleen phishing.. nu snap ik het

[Reactie gewijzigd door Anoniem: 390875 op 22 juli 2024 22:15]

Netsrek 21 maart 2011 17:50

Dan ben ik toch erg benieuwd, wat als je je ING rekening al geregistreerd hebt bij PayPay of Click and Buy? Want volgens mij kan je maar één PayPal account aanmaken per rekeningnummer of zit ik hier fout?
Als mensen dus bang zijn dat hun ING zal worden gescammed dan kunnen ze beter in dat geval zelf alvast even een PayPal accountje aanmaken, heb je hier ook geen last meer van

Meekoh @Netsrek • 21 maart 2011 18:12

Klopt je kunt je bankrekening maar aan 1 paypal rekening koppelen.
https://www.paypal.com/he..._help&serverInstance=9012
Als jij dus al een rekening gekoppeld hebt in Paypal dan kan de hacker/scammer dat niet meer.

[Reactie gewijzigd door Meekoh op 22 juli 2024 22:15]

Steeefie @Meekoh • 21 maart 2011 19:04

Dus dat zou betekenen dat ik in mijn geval goed zit wat betreft PayPal, dan moet ik eigenlijk ook nog een Click and Buy account nemen (als daar het zelfde voor geld) om helemaal safe te zitten.

indostylo @Steeefie • 21 maart 2011 21:22

Nope, dat is niet zo safe zoals je denkt.

Als een hacker toegang tot je ING account kon krijgen, (via phishing of virus in je pc)
Wat houdt hem nog tegen om je Paypal account niet direct te pakken?

Account's blijven accounts, het maakt niet uit of je nu gelijk je bankrekening koppelt aan paypal of helemaal niet doe, grotendeels van gestolen accounts gebeuren meestal door onoplettendheid van de account eigenaar.

Ik heb zelf geen ING rekening, maar zoals wat ik hier heb gelezen, heeft men alleen een Username + Password om afschriften van ING te kunnen zien, dus geen Authenticator zoals bij ABN en Rabo. Dan zit de flaws ook echt bij ING om geen standaard te maken van Authenticator code bij inloggen en versturen van betalingsopdrachten.

Ik zeg zelf niet dat bij gebruik van Authenticator 100% veilig is, maar het is iig wel veiliger dan bij ING waar je slechts Username en Password nodig hebt om in te loggen.

Op dit item kan niet meer gereageerd worden.

Fraudeurs omzeilen beveiliging ING via Paypal

Lees meer

IT-banen

Reacties (286)

Sorteer op:

Weergave: