'Hackers plunderen bankrekeningen ING met virus' - update - IT Pro - Nieuws

Hackers zijn erin geslaagd rekeningen van een onbekend aantal mensen te plunderen door een virus. Dat meldt een Belgische krant. De fraude is ontdekt in België, maar diverse tweakers melden dat de fraude ook in Nederland voorkomt.

Het virus is ongeveer tien dagen geleden actief geworden, schrijft de Waalse krant La Derniere Heure. Het gaat om de banken ING, Fortis, Dexia en KBC. Het is onduidelijk of alleen Belgische klanten van ING zijn getroffen of ook Nederlandse, maar diverse tweakers melden aan de redactie dat er ook in Nederland fraudegevallen bekend zijn.

Het virus werkt met een popup op het scherm, die de gebruiker vraagt om een transactie te plegen. Vervolgens komt een TAN-code binnen via sms voor een overschrijving. De popup is gemaakt in ING-stijl en zou er echt uitzien. Als dat wordt bevestigd, wordt het geld afgeschreven. Het gaat om ongeveer 90 procent van het saldo, waardoor de schade per slachtoffer in de duizenden euro's kan lopen. Dexia en ING geven toe dat de fraude is gepleegd.

Het is onduidelijk wie het virus heeft gemaakt, hoe het heet en hoe mensen het kunnen verwijderen. Mensen wordt aangeraden om geen transacties te doen op onverwachte momenten. Het fraudebedrag zou tot nu toe relatief klein zijn. Banken gaan de schade van klanten vergoeden. De banken beweren dat het komt door een virus op de pc van gebruikers en dat de systemen niet zijn gekraakt.

Update 11:13: Diverse tweakers melden dat de fraude ook in Nederland voorkomt. Het artikel is daarop aangepast. Enkele weken geleden voerde ING al een beveiligingstest uit die vragen opriep over de veiligheid van het systeem. ING benadrukt in een eerste reactie tegenover Tweakers.net dat de beveiligingstest los van eventuele virussen staat. Een zegsman bevestigt dat het vaker gebeurt dat er via een virus succesvol geld wordt afgeschreven, maar dat het niet bekend is of dat in de genoemde Nederlandse gevallen ook het geval was.

Ben je slachtoffer geworden van dit virus? Wij horen graag nadere gegevens over deze malware, zoals hoe de malware op de pc komt, hoe het precies werkt, hoe de malware kan worden verwijderd en naar welk rekeningnummer geld wordt overgeschreven. Ook screenshots zijn uiteraard welkom. Contact opnemen kan via dm of via e-mail.

IT-banen

Reacties (307)

Twixie 18 augustus 2011 13:05

Het huidige probleem met die kaartlezers is dat je eigenlijk niet ziet wat je juist digitaal ondertekent. De kaartlezer heeft enkel een numeriek klavier en numeriek display. Uiteindelijk ben je dus maar wat hashes aan het ondertekenen zonder te weten waar de hash voor staat.

Effen voor de verduidelijking nog even herhalen hoe het systeem werkt bij een overschrijving.
* Je stopt je bankkaart in je kaartlezer.
* Je kiest M2 op de kaartlezer waarna een challenge gevraagd wordt. Die wordt je door de webbanking applicatie gegeven.
* Die challenge geef je in de kaartlezer in.
* Vervolgens moet je het bedrag (zonder cijfers na de komma ingeven) ingeven op de kaartlezer. De Dexia webapp maakt overigens helemaal niet duidelijk dat dit een vorm van controle is. Hooguit worden de cijfers in bold getoond, maar mij is er in elk geval nooit gezegd dat je dit kan (en moet) controleren.
* Ten slotte moet je de pincode van je bankkaart ingeven.
* Nu genereert de kaartlezer op basis van je ingegeven getallen en de key op je bankkaart een response, die aan serverzijde bij de bank kan geverifieerd worden.

Je hebt hier dus uiteindelijk niets meer dan een ingewikkeld challenge-response systeem gebaseerd op een digitale handtekening. Probleem is dat je dus nergens kunt verifiëren wie de begunstigde is, maar hooguit het bedrag. Een slim virus zou gewoon een man-in-the-middle attack kunnen uitvoeren op het moment dat je zélf een gewone overschrijving doet.
* Het virus onderschept jouw vraag van overschrijving van x euro naar rekening y.
* Het virus wijzigt rekening y in rekening z en stuurt dat zo door naar de server.
* De server genereert de challenge.
* De gebruiker volgt bovenstaande procedure om de digitale handtekening te genereren.
* Deze wordt naar de server gestuurd, en wordt zonder probleem gevalideerd.
Gevolg: je x euro is overgeschreven naar rekening z, terwijl jij dacht dat het rekening y was. Je transactie-overzicht zal zelfs wellicht gewoon het adres van rekening y vermelden waardoor je zelfs niet doorhebt dat het naar een verkeerd rekening nummer ging. De fraude zal maar weken later ontdekt worden als je ineens een herinnering krijgt van y omdat je je factuur nog niet betaald hebt.

Dit schema zal zelfs de grootste security expert in de luren leggen omdat je gewoon onmogelijk aan de codes kunt zien dat er iets aan de hand is (de security expert zal uiteraard wel om te beginnen geen virus op zijn pc hebben...). Het nadeel van dit schema als hacker is dat je de bedragen niet onder controle hebt die overgeschreven worden.

Het schema dat hier nu toegepast is, is door een ervaren persoon wél te doorzien, alleen al vanwege het feit dat je de sequentie van een bankoverschrijving moet volgen op een willekeurig moment in je banking sessie, zogezegd als controle-mechanisme. Echter, op deze manier kan wel eender welk bedrag overgeschreven worden wat dus blijkbaar ook gebeurd is. De gebruiker heeft immers totaal niet door dat de 2de code die hij ingeeft eigenlijk een bedrag is.

joepP

@Twixie • 18 augustus 2011 17:54

Bij de Rabo wordt (bij grote overboekingen) zowel het bedrag als het rekeningnummer van de begunstigde meegenomen in de challenge. Daar geldt bovenstaande dus in mindere mate, je hebt altijd een controle waar het geld naartoe gaat.

Cafe Del Mar

18 augustus 2011 11:06

Dit is bijzonder pijnlijk, maar:
- de begunstigde is altijd bekend. Het gaat om het overschrijven van geld, ofwel is het naar een Belgische rekening en zal de Belgische bank van de bestemmeling het geld moeten terugstorten (voorzien in de wet). Ofwel gaat het om een Europese bank (IBAN/BIC) en in de SEPA rulebook staat dat een bank voor B2C (consumenten)transacties 13 maanden verantwoordelijk is voor "unauthorized transactions". De SEPA-techneuten van de EU mogen zich nu beraden of een dubieuze transactie die je wel zelf toestaat, al dan niet "unauthorized" is. Voor B2B is dat alleszins het geval. Daar moet je als bestemmeling kunnen bewijzen dat je recht had op het ontvangen geld. Als het een niet-SEPA bank is, dan kan het wel een probleem zijn om de identiteit te achterhalen.
- het probleem zit niet bij de banken zelf denk ik. Je kan betalingen met de kaartlezer (UCR) en pincode ook op andere websites doen, dat gaat via Ogone. Als de hackers nu het Ogone-certificaat of iets dergelijks hebben gekraakt, dan vragen ze een betaling te confirmeren.
* ze kunnen de site van Ogone "simuleren" en zo betalingen aanvragen
* ze kunnen de site van Ogone gebruiken om betalingen te valideren. Ze doen zich dus voor als echte winkel en vragen een niet-zo-echte betaling goed te keuren. Aangezien Ogone ziet dat uw transactie corredt gevalideerd wordt, laten ze de betaling passeren.

Anoniem: 154505 @Cafe Del Mar • 18 augustus 2011 15:42

Nee, de begunstigde is niet bekend, het is ook vaak een katvanger. En wie is de sepa dat ze denken dat ze geld van een willekeurig iemand mogen terugstorten?

Anoniem: 62011 18 augustus 2011 12:07

Gisteren een mailtje gehad die me naar deze site wilde sturen.
NIET op drukken tenzij je weet wat je doet.

From ING Bank N.V Wed Aug 17 19:16:07 2011
X-Apparently-To: xxx@yahoo.com via 66.94.239.34; Wed, 17 Aug 2011 12:16:15 -0700
Return-Path: <www@prooptimum.pl>
Received-SPF: none (domain of prooptimum.pl does not designate permitted sender hosts)
X-YMailISG: xe2XdTEWLDsp97uR9_7XqPWz_JoS5aKfXo8P_8SsNUukhXtN
iRAUbEbXRqYZlcOJxMozlmj0qVMqKmZR.dulmAC7_dkKGeac_akx89sk_2PO
zSLcx7jpPLJqyo1x80oWEulJjtMkJBF9nEimkZ8ClktpPOxDdr_gOKIeAbRq
tDoiBE9FfInf_iGKGhLhCGZwd82wobVI5ecCirdrWSiUHOpBK3eAlevOE7X3
aI0H41eqoT9oEu.Px5TLjIJoA_2Q4xSrzIVhvxZYFdux7FCV1dlLgWhdI59S
aCwTTOJvRwe0UPC5Ip3hKeMRFSpDnot49RSS1Zg7Cdwt60dZHC8h3EVS3kz6
LKrTg4CDKnE_WLRu7uyc2OMM0DmcPTcc_XgiCayJ5z_RsNLvz7T8ih_Merlv
LMhS_YuC2op1ztqva9Il6ucEPsscjIOwLpgnsZJNInmE9JPOU5hnxUjqtDiW
8.exLbK337mJ5QJJCAkG24ZbC01jJORmQwSe0tZuCbxqmaT40RPaFaNayjDg
ZHC88KFCod4t_WSMWAhDI1j.LQmk_UZcoigNNV8yq1.Qc1rX7KwAPIRe1jBx
VzC12bvuHNoEqVVEaZSn_EZ09IqelLK58WKXVTR3VMlO5594IWEQfEfgzYea
eKEeI13fDKSPSbKHqyrfqG2xdkxiDnv4seZkRN7af7avSaVbYzaszl4EjclK
2PMgsOC_SLrXs6YjIZITijm61UqzPdLxJepUPylok3ErfA0dkw0LZ7vObEIA
TxBO4LGiS.KVlI0idpD82c0wDVLa9mryOM9p_594RLodOPhUywc85COClKy9
VQk7IO5xaobjKzGm96zDowXqpGtgd.WDmUAwHZf.enwvezjXXjo4WC8HQRy4
nTEYe2tZ9euUsCgq3_8a1f.mfandDn5cCjCaoLLA8uS0Mta5ahyOFI5mZQRq
mCA9TNvmENQ93zLGtmMeZGxJhgXlSfp9NTa8YmO7noYT7nxfxSHYxbPTCLat
SasIQVAjCHd0iNg6uolB0rSOChnmqvNXXoxWRL774B_pQBEo1V_2KoEnSXzT
Qf0CSFa7l1EArQw0s0TLYqBvBj7RMtnwPNc38_jWO5VtFh0wubYL6Uhzk_CN
dpTIzwWOVKTFyCSeotFRnVa3
X-Originating-IP: [81.2.201.102]
Authentication-Results: mta1048.mail.bf1.yahoo.com from=server.ing.nl.prooptimum.pl; domainkeys=neutral (no sig); from=server.ing.nl.prooptimum.pl; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO prooptimum.pl) (81.2.201.102)
by mta1048.mail.bf1.yahoo.com with SMTP; Wed, 17 Aug 2011 12:16:15 -0700
Received: from prooptimum.pl (host-81-2-201-102.alpha.pl [81.2.201.102])
by prooptimum.pl (8.13.6/8.14.3) with ESMTP id p7HJG7mQ007115
for <xxx@yahoo.com>; Wed, 17 Aug 2011 21:16:07 +0200 (CEST)
(envelope-from www@prooptimum.pl)
Received: (from www@localhost)
by prooptimum.pl (8.13.6/8.13.6/Submit) id p7HJG7BS007114;
Wed, 17 Aug 2011 21:16:07 +0200 (CEST)
(envelope-from www)
Date: Wed, 17 Aug 2011 21:16:07 +0200 (CEST)
Message-Id: <201108171916.p7HJG7BS007114@prooptimum.pl>
To: xxx@yahoo.com
Subject: BELANGRIJK beveiligingsproblemen [Incident 040821].
From: "ING Bank N.V" <info@server.ing.nl.prooptimum.pl>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Content-Length: 2676

Plaatje

[Reactie gewijzigd door Anoniem: 62011 op 23 juli 2024 10:12]

HoppyF @Anoniem: 62011 • 18 augustus 2011 12:35

" Wij smeken u om uw informatie passen"
Wat voor taal is dit?

dacken @HoppyF • 18 augustus 2011 12:42

Dat is gewoon een google translate actie, wat duidt op een buitenlandse organisatie/hack partij naar allerwaarschijnlijkheid.

ook te zien waar het vandaan komt, .pl. Polski!

[Reactie gewijzigd door dacken op 23 juli 2024 10:12]

tweaker2010 @HoppyF • 18 augustus 2011 12:44

" Wij smeken u om uw informatie passen"
Wat voor taal is dit?

Nederbelgs

Maar serieus, als je zulke spelling ziet gaan toch gelijk alle alarmbellen af?

Haas_nl @Anoniem: 62011 • 18 augustus 2011 12:28

echt grappig dat z'n een of anders ingewikkeld hack script kunnen maken maar correct Nederlands typen is nog altijd een ramp.

leonvw @Anoniem: 62011 • 18 augustus 2011 12:39

Dat mailtje heb ik ook ontvangen via m'n werkmail... Als je daarop klikt (en het dus geloofd) ben je ook wel behoorlijk simpel van gedachten volgens mij

Anoniem: 394438 @leonvw • 19 augustus 2011 15:34

Dan ben je niet simpel van gedachten, dan ben je flink onder de drugs of gewoon teveel gezopen (en nee, geen Fristi maar een paar flessen bier...).
Helaas zijn er mensen die erin trappen, dat komt omdat hun computer-IQ onder de 50 valt.
Meer kennis over computers = minder slachtoffers.
Minder slachtoffers = meer geld.
Meer geld = profit!

Tom V 18 augustus 2011 11:12

Om een Nederlandstalig artikel te linken: http://www.hln.be/hln/nl/...teisterd-door-virus.dhtml

Verder moet er inderdaad voor elke transactie bevestigd worden via een kaartlezer.
(voor zover ik weet elke bank, maar kan het enkel bevestigen voor KBC)
Zonder code zal de transactie niet bevestigd worden.

Wat er nu gebeurde was dat er via een virus (JavaScript?) in de achtergrond een transactie gestart werd, en enkel het bevestigingsmenu werd getoond als (inline)popup, als je deze dan invulde, bevestigde je ongewild/onbedoeld de transactie.

Aangezien de popup komt terwijl je bezig bent op de site van de bank, denk je dat het enkel gaat om ingelogd te blijven of dergelijke en is het bevestigen natuurlijk zeer snel gebeurd.
Als de site zelf vraagt om de code in te vullen ga je het heel snel doen, zelfs al weet je niet 100% waarom.

[Reactie gewijzigd door Tom V op 23 juli 2024 10:12]

CivLord

@Tom V • 18 augustus 2011 11:54

De ING werkt (voor oude Postbankklanten) voor elke betaling met een TAN (Transactie Authorisatie Nummer) in een SMS-je. In de SMS staat ook het bedrag van de betaling ter extra controle.

Ik vind het een ideaal systeem, omdat ik ergens een betaling uit kan voeren zonder dat ik een kaartlezer bij me hoef te hebben.

Anoniem: 394438 18 augustus 2011 12:04

Als tweaker weet je dat je ook niet blindelings in McAfee moet vertrouwen +

meest pauper virus-scanner (cq system-resource-destroyer) die men kan installeren is die van McAffee.

En voor zo veilig mogelijk telebankieren; via een Virtual Machine!

Nou, jammerlijk genoeg is dat niet zo makkelijk.
Een VM is niet zo veilig als je wellicht denkt, heb je een virus op de PC zelf, heb je die automatisch op je VM (denk hierbij aan Trojaanse paarden, met name FUD(gecodeerd zodat de anti virus het niet merkt) gemaakt. Redelijk simpel omdat hij meteen de bestanden kan down en uploaden voor zijn kwade plannetjes).
Echt het veiligst is dan toch WebConverger, een open-source bootable Firefox browser, zonder extensiebeheer enzo. Je boot vanaf een CD of USB stick en je hebt een live webbrowser waarin niets word opgeslagen. En als er dan al wat word opgeslagen is dat in een muisklik weer totaal weg.
Dat is veilig. En veiliger kan eigenlijk ook niet, omdat het allemaal tijdelijk is en geen root access heeft tot bepaalde dingen.
Het bevat eigenlijk alleen een engine om Firefox te draaien, wat aanpassingen aan Firefox, en verder niks. Geen desktop, geen op de achtergrond draaiende services (behalve als je een WiFi adapter zoals Broadcom hebt) alleen het kaalste van het kaalste. Helaas wel phishing gevoelig, maar dat ligt ook aan jezelf als je de verkeerde URL intoetst of via google gaat zoeken (zit btw wel de phish-detector van Firefox in)

Gebruik het dagelijks, ond. voor Int. bankieren via de ABN Amro.

pietje63 @Anoniem: 394438 • 18 augustus 2011 12:19

Het virus van je PC ziet niet automatisch op je VM. Hier zijn echt wel wat extra stappen voor nodig (ik weet niet of de virusschrijvers al zo ver zijn).

En jij vertrouwt WebComverger wel volledig? Wie zegt dat er geen trojan in is verwerkt (geniale truc: hun site hacken en de image wijzigen!)? Of dat vlak na het downloaden deze wordt geinjecteerd (OK, nog lastiger dan de vertaalslag naar de VM, maar theoretisch mogelijk). Als je de USB versie gebruikt loop je natuurlijk ook gewoon het risico dat er een virus op komt. Bij de CD-versie kan er ook een virus in je geheugen komen.

Niets is 100% veilig. Ook het gebruik van papieren overschrijvingsformulieren niet. Een postbode kan zeer eenvoudig het rekeningnummer wijzigen. Als iemand bij je inbreekt en je overschrijvingsboekje of chequeboekje steelt (Wie heeft het nog?) dan moet je dat ook maar in de gaten hebben en de nummers blokkeren.

Ravefiend @pietje63 • 18 augustus 2011 12:39

Correct, net zoals je soms wel eens nieuwsberichten lezen dat rekeningen verstuurd via de post worden onderschept door criminelen. Vervolgens openen ze je post, veranderen het rekeningnummer erop naar dat van hun en krijg je alsnog je brief met overschrijvingsformulier in de bus, maar dan wel met een post-it erbij dat het rekening nummer gewijzigd is ...

Anoniem: 394438 @pietje63 • 19 augustus 2011 15:30

>Het virus van je PC ziet niet automatisch op je VM. Hier zijn echt wel wat extra stappen voor nodig (ik weet niet of de virusschrijvers al zo ver zijn).

Dus dat betekent dat ik geen VMD of enig ander Virtual Hard Disk Format kan injecteren?
Dat is jammer, want dat kan toch helaas wel.
Als je een Trojan hebt, kun je altijd als hacker de remote desktop bekijken. Beetje zoals TeamViewer. ik heb al een jaar bij de NL afdeling van een bekend AV bedrijf gewerkt. Echt, als je kennis hebt van port-forwarding, een VPS en/of VPN opzetten, en een tooltje(Cybergate bijvoorbeeld, cyber-software.org *) om deze zooi te maken heb je het al voor elkaar.
Het is te makkelijk voor woorden, en echt, de scriptkiddies kunnen er mooi 'gebruik' van maken. Helaas, daardoor liggen zoveel websites plat, en dit hebben we min of meer zelf veroorzaakt.

* Dit is voor educatieve en informationele doeleinden. Ik ben (gelukkig) niet verantwoordelijk wat je hiermee doet, dit is alleen maar om de makkelijkheid van beveiliging aan te tonen. Sommige AV's detecteren het programma als een Trojan, dit komt omdat je ze hiermee kan maken. (Een soort False Positve).

Ryaka 18 augustus 2011 11:05

Febelfin, de federatie van de Belgische financiële sector, heeft weet van de fraude. Ze zien daar een een stijging van het aantal fraudepogingen, maar tot nu toe waren de bedragen vrij klein (woordvoerster Pamela Renders van Febelfin op Radio 1 deze morgen) Over het aantal fraudegevallen kon ze zich echter nog niet uitspreken. Hoofd probleem bleek (nog steeds) dat veel mensen hun computer onvoldoende beveiligen.

je moet ook je gezond verstand blijven gebruiken als al dan niet online bankiert, als je je handtekening moet (in)geven op een ongewoon moment, of er zijn rare zinsconstructies op de website kan je inderdaad maar beter meteen te stoppen.

Iets meer info: De standaard & Radio 1

Edit: Typo*

[Reactie gewijzigd door Ryaka op 23 juli 2024 10:12]

Dlocks 18 augustus 2011 13:11

Vorige maand was een soortgelijk virus al actief op Android telefoons (vreemd dat dit niet bij gerelateerde content staat, tenzij dit bericht nooit op Tweakers heeft gestaan (wat dan ook weer vreemd is

Gepubliceerd: Woensdag 13 juli 2011
Auteur: Uhro van der Pluijm

Een nieuwe variant van de Zitmo trojan infecteert telefoons met Android. De trojan onderschept sms-berichten met TAN-codes, die worden gebruikt door ING-klanten.

Een Android-variant van de beruchte trojan Zitmo steelt TAN-codes die banken als ING via een sms'je naar een telefoon sturen. Door deze beveiligingscodes af te tappen, kunnen cybercriminelen geld stelen van argeloze slachtoffers. Daardoor is de tweetrapsauthenticatie van ING in feite gekraakt.

Bron: http://webwereld.nl/nieuw...jan-steelt-tan-codes.html

Misschien dat dezelfde mensen er achter zitten?

[Reactie gewijzigd door Dlocks op 23 juli 2024 10:12]

Game_overrr @Dlocks • 18 augustus 2011 22:43

Mooi dat je dit post. Tweakers schenkt veel aandamt aan positieve dingen over android en heb zelf wel de neiging dat bepaalde zaken en merken met een vooroordeel gebracht worden

diekli 18 augustus 2011 13:46

Dit is niets nieuws, dit gebeurd al jaren, zie www.security.nl

Een besmetting met een banking trojan kan op verschillende manieren plaatsvinden.
Besmette banners, foute PDF files etc.

Het kan gebeuren omdat Anti-Virus programma's eenvoudig te omzeilen zijn.
Je hoeft een 'aanval' maar te voorzien van dynamic code obfuscation (voor meer info zie google) en je AV vindt hem niet meer.

Aangezien de trojan zich diep in windows nestelt, kan een desktop AV hem (ook) niet meer vinden als er een signature beschikbaar is. Enige remedie is het opnieuw installeren van je machine.

Bank transacties worden dusdanig gemanipuleerd dat het heel moeilijk is om ze terug te zien op je overzicht met transacties. De gegevens worden namelijk gemaniplueerd voordat ze de geauthenticeerde tunnel met de bank ingaan. (meer info via "man in the browser" attack op google)

Geld gaat naar katvangers, dat wil zeggen dat je een tussenpersoon pakt (die geen idee heeft wat er gebeurd), en niet de echte criminelen.

De deskundigen onder ons weten dat dit al jaren gebeurd bij ELKE bank, dus de ophef vandaag is erg vreemd.

Het is trouwens geen probleem bij de bank, maar bij de klanten van de bank.
Deze machines zijn niet de verantwoordelijkheid van de desbetreffende bank, helaas de transactie is wel de verantwoordelijkheid van de bank...

Electromonkey 18 augustus 2011 10:59

Toevallig heeft mijn zwager dit 3 weken geleden ook gehad, gewoon in Nederland weliswaar. Hij zat op de home pagina van zijn ING, er verscheen een pop-up met een bericht over een digitale handtekening. Vervolgens kreeg hij een TAN-code via sms. Het geld werd overgemaakt naar een buitenlandse rekening. ING bood opvallend snel excuus en het geld stond er na 1 weekje weer op. Moet er wel bij vermelden dat hij dit op een laptopje deed met windows XP en geen virusscanner. Dit kan natuurlijk de oorzaak zijn, maar een virus dat pop-up veroorzaakt in de stijl van ING?

[Reactie gewijzigd door Electromonkey op 23 juli 2024 10:12]

Señor Sjon @Electromonkey • 18 augustus 2011 11:14

Ik heb dit ook gehad, ondanks het bezoeken van geen gekke sites en een up-to-date XP/McAfee/Firefox.

Om te herkennen: de sites waar je normaal op ingelogd bent zoals tweakers onthouden je personalia opeens niet meer bij afsluiten browser. Het inlogscherm van ING had wel https in de URL, maar geen certificaat toen ik het later controleerde. Toen ik inlogde kreeg ik een "bevestigingsscherm" met het verzoek een TAN in te voeren. Het SMSje gaf braaf aan of ik ff 2010 euro wilde overboeken. Alle signalen op rood en gelijk afgesloten. McAfee nogmaals laten scannen; vond niets. De cleaner van ING had hem binnen 3 tellen (root van C:\).

Broncode gaf maar één verwijzing naar een andere niet-ING site.

Vertrouwen in McAfee heeft wel een grote deuk opgelopen hierdoor.

Electromonkey @Señor Sjon • 18 augustus 2011 11:16

Pfff ja ik vind dit geen goede ontwikkeling..het betekend dat ze in principe gewoon kunnen zien wat je saldo is etc. Ook al zullen ze niks interessants zien, het is en blijft strikt persoonlijk.

Rinzwind @Señor Sjon • 18 augustus 2011 12:28

Maar je zegt wel dat er genoemd wordt dat er een bedrag overgeschreven wordt in de sms... beetje dom van gebruiker om braaf dat nr in te voeren.

himlims_ @Señor Sjon • 18 augustus 2011 11:22

Als tweaker weet je dat je ook niet blindelings in McAfee moet vertrouwen

+

meest pauper virus-scanner (cq system-resource-destroyer) die men kan installeren is die van McAffee.

En voor zo veilig mogelijk telebankieren; via een Virtual Machine!

joppe.s @himlims_ • 18 augustus 2011 13:14

@himlims, ik denk dat je gelijk hebt, een virtual machine zou in theorie een behoorlijk stuk veiliger zijn. Dit is ook de eerste phishing situatie waarbij ik denk dat ik er zelf ook nog wel in zou trappen.

Als je tijd hebt, zou je dan willen delen welke software jij daarvoor gebruikt en wat de meest gebruiksvriendelijke methode is voor de normale mensch om dit te gebruiken?

Dit is een serieuze vraag, ik denk dat veel tweakers zelf nu ook zitten te denken dat het hun ook zou kunnen overkomen, daarnaast heeft iedereen familieleden die sowieso vatbaar zijn voor dit soort virussen, laat staan dat ze virtual machines gebruiken. Ik heb zelf helaas de kennis niet om dit zelf op te zetten, ik heb in een grijs verleden wel eens Virtualbox gebruikt, maar ik kreeg niet eens de copy/paste functie aan de praat (shame)

Dus concreet: is er een tweaker(bijv. himlims maar mag ook iemand anders) die een makkelijke methode heeft om via een virtual machine te telebankieren? zou deze tweaker dit dan in de vorm van een handleiding hier willen posten? en de Tweakers redactie zou dan dmv een update aan dit artikel kunnen linken naar deze handleiding.

Het zou veel veiliger zijn als iedereen zou telebankieren in een virtual machine die daarna weer kan worden opgeheven.

DeadLock @joppe.s • 18 augustus 2011 18:20

Hiervoor kan simpelweg gebruik gemaakt worden van virtualisatiesoftware zoals VirtualBox, VMWare player, ... Het meest veilige is om vervolgens de meest recente live cd van bijvoorbeeld ubuntu te gebruiken, booten van deze ISO en vervolgens met firefox de website van je bank bezoeken om de nodige overschrijvingen uit te voeren.

Het voordeel van het gebruik van een linux live cd is dat er simpelweg veel minder linux-virussen zijn (als die er al zijn). Ook zorgt de live cd ervoor dat er geen gemene dingen blijven hangen na het surfen. Het enigste nadeel van deze aanpak is dat je mogelijk een ietwat verouderde versie van bv firefox gebruikt, die dan weer lekken kan bevatten. Echter lijkt me de kans op misbruik op deze manier erg klein.

Bij (kbc) heb ik nog nooit de M2 knop gebruikt, ook niet voor het bevestigen van de betaling. Zowel het inloggen als het bevestigen kan met de M1 knop gebeuren, vreemd? Een erg vernuftig virus, ik denk dat de kans groot is dat je het (zelfs) als tweaker niet door hebt.

[Reactie gewijzigd door DeadLock op 23 juli 2024 10:12]

CaineTanathos @DeadLock • 19 augustus 2011 11:21

De M2 knop wordt bij KBC gebruikt bij grote bedragen , ik denk vanaf 5000 euro ofzo

hardware-lover @Electromonkey • 18 augustus 2011 12:02

Verschillende maanden geleden zeker met de voorloper van het virus te maken gehad? Ik kreeg de betreffende PC thuis voor een schoonmaakbeurt waarbij de eigenaar ook niet goed had opgelet bij het overmaken van een klein bedrag (< 10 euro) er was echter, zag hij pas dagen later, 8000 euro van zijn rekening afgeschreven. Die afgeschreven 8000 euro was namelijk niet direct zichtbaar als transactie op zijn rekening_overzicht. Hij had natuurlijk een sms ontvangen waarin het bedrag correct (8000) vermeld stond maar had enkel naar de TAN code gekeken. Ja ik weet het, slordig, maar hij had eenvoudigweg niet naar het bedrag gekeken. Zijn geld heeft hij na maanden touwtrekken met ING gelukkig weer teruggekregen en hij zal in het vervolg wel 3 keer kijken welk bedrag hij daadwerkelijk over gaat schrijven.

De grootste misser in de beveiliging van ING via TAN codes vind ik dat het er maar één is. Waarom geen 2 codes bij grotere bedragen? Bij Rabobank wordt bij grotere bedragen een extra code gevraagd waarin het bedrag zelf opgegeven moet worden. Dan wordt je automatisch getriggerd bij dit soort vervelende zaken.

edit reden: typo's

[Reactie gewijzigd door hardware-lover op 23 juli 2024 10:12]

MClaeys @hardware-lover • 18 augustus 2011 13:40

Bij Fortis moet je ook bij het 2e deel van de transactie zowel het bedrag als het rekeningnummer van de begunstigde in je kaartlezer intypen, aan de hand daarvan genereert het een handtekening. Als je het als gebruiker op dat moment nog niet doorhebt dan vraag ik me af of je wel met pc-banking bezig zou moeten zijn.

TagForce @hardware-lover • 18 augustus 2011 16:59

Bij de TAN code staat het bedrag gewoon in het SMSje...

Die moet je ook gewoon lezen.
Je kan wel 35000 keer een code in moeten typen voor de beveiliging, maar dat maakt het niet veiliger, alleen irritanter.

De rabo is minder veilig dan de TAN-code.
Daar hoef je namelijk alleen maar iemands handtas te jatten om de hele rekening te kunnen plunderen. Je hebt namelijk alleen maar het pasje en de reader nodig om in te kunnen loggen...

Bij de ING heb je nog een persoonlijke inlog en wachtwoord die in je hoofd hoort te zitten. Die hebben ze dan niet.

cire @TagForce • 18 augustus 2011 19:38

Bij de rabo (en andere) heb je ook nog de PIN code nodig. Die zit als het goed is niet in de handtas...

Remus @Electromonkey • 18 augustus 2011 11:19

In de SMS van ING staat ook het bedrag van de transactie vermeldt. Ik vind het opvallend dat dan geen alarmbellen afgaan bij je zwager.

Electromonkey @Remus • 18 augustus 2011 11:21

Ja dit klopt, hij kon zichzelf ook voor zijn kop slaan. Hij zag het uiterlijk van ing kreeg een sms met tan-code, dit vertrouwde hij en blindelings heeft hij dit ingevuld. Dit is denk ik typerend voor mensen die 0% verstand hebben van html en/of internet oplichting.

[Reactie gewijzigd door Electromonkey op 23 juli 2024 10:12]

serhat @Electromonkey • 18 augustus 2011 11:15

Dit kan natuurlijk de oorzaak zijn, maar een virus dat pop-up veroorzaakt in de stijl van ING?

Dit kan prima. Als je wilt kan je het helemaal makkelijk doen en de CSS/HTML van de ING site plukken en aanpassen. Er zijn genoeg manieren om een soort van embedded browser in je app te gebruiken.

gjvdree @serhat • 18 augustus 2011 11:38

addin in je browser

Lucky-Shirt

@Electromonkey • 18 augustus 2011 11:23

Maar bij die SMS voor je tancode, wordt ook het bedrag vermeld. Ik controleer zelf altijd dit bedrag en het volgnummer. Ik naam aan dat je niet die tancode in gaat geven, als daardoor 90% van je saldo naar een vreemd rekeningnummer wordt overgeschreven.

Een goed oplettende gebruiker kan dit imo nog steeds prima voorkomen.

MClaeys @Electromonkey • 18 augustus 2011 11:26

Uiteraard lijkt de stijl van de popup op ING, het zou anders nogal opvallen. Dan nog moet je geen handtekening gaan ingeven op een random moment. Ik heb een beetje de indruk dat dezelfde mensen hierin trappen als de mensen die in phishing mails stappen. Altijd leuk als mensen hun systeem niet beveiligen omdat ze zichzelf slim genoeg vinden en toch nooit virussen krijgen (denken ze), en als er dan iets misloopt gaan ze zitten zeuren en klagen. Er zijn genoeg gratis antivirus-programma's, dus geld is al geen excuus om het niet te doen.

Anoniem: 80466 18 augustus 2011 10:55

Gebruiken die banken in België geen via een apparaatje gegenereerde of via de mobile opgestuurde bevestigingscode ?

[Reactie gewijzigd door Anoniem: 80466 op 23 juli 2024 10:12]

Left @Anoniem: 80466 • 18 augustus 2011 10:57

Lijkt me wel, anders zou het virus helemaal op eigen houtje de transacties kunnen plegen en had het ook geen popup nodig gehad.

Kennelijk wordt gebruikers dus in de popup gevraagd om de bevestigingscode in te geven.

v-god @Left • 18 augustus 2011 11:09

Er was deze morgen toen ik in de wagen zat een interview met een dame die bij een van die banken verantwoordelijk was.

Wat er schijnt te gebeuren is dat je terwijl je aan het netbanken bent via een popup wordt gevraagd de beveiligingscode via het toestelletje en je pincode in te geven onder het mom van "extra beveiliging", zonder dat de gebruiker zelf heeft gevraagd een transactie te bevestigen.

Met die bevestigingscode wordt dan achter je rug om een valse boeking bevestigd.

Het is niet zo dat je ineens terwijl je op t.net zit een popup krijgt of zo.

bogy @v-god • 18 augustus 2011 14:26

Kijk; in belgie met die toestelletjes zit het als volgt;

We hebben 2 modi om codes door te geven;

Modus 1; Identificaties (Knop M1)
Modus 2: Ondertekening (Knop M2)

Met knop M1 loggen we dus in op de bank, hiermee identificeren we ons en dit is de eigenlijke manier waarmee we ons bekend maken en de enige manier de gebruikt mag en kan worden om alles wat met beveiliging te maken heeft uit te voeren

met knop M2 bevestigen we onze overschrijvingen/Betalingen. Deze knop heeft géén andere functie; dus als er omwille van 'extra beveiliging' gevraagd wordt om met knop M2 een extra code door te geven dan moet er meteen een belletje gaan rinkelen dat dit niet klopt.

Tevens is de manier van werken met beide knoppen verschillend.

M1 werkt als volgt;
- Je krijgt een code voorgeschoteld die je moet intypen, je bevestigd met je PIN en krijgt dan een antwoordcode die je moet overtypen.

Met M2 gaat het wel wat anders;
- je begint met je PIN code, dan geef je de voogeschotelde code in, dan geef je het totaalbedrag in dat wordt overgemaakt (kan bv meerdere overschrijvingen tesamen zijn), en dan krijg je een antwoordcode die je moet overtypen

ik neem dus aan dat mensen die die 'extra beveiligingspopup' krijgen de M2-mode moeten gebruiken, anders kan er geen geld afgaan... het onglipt me dan wel waarom deze mensen hun gezond verstand niet gebruiken en niet even nadenken waarom ze hetzelfde doen als wanneer ze geld aan het overmaken zijn....
het is duidelijk een bewijs dat er veel te veel mensen zijn die dringen een cursus 'logisch nadenken' moeten volgen, want dan zouden ze het wel doorhebben dat ze geld aan het weggeven zijn.

majoh @bogy • 18 augustus 2011 15:52

Er zijn virussen in de maak die ervoor zorgen dat bepaalde elementen in je scherm vervangen worden door elementen van het virus. De virusmaker kan die doordat deze toegang heeft tot de bankieren site omdat hij zelf een rekening met token heeft. Hierdoor weet ie precies hoe het scherm opgebouwd is, en welke velden enz. gebruikt worden in de formulieren. Met deze informatie bouwt hij nep elementen die de gebruiker voor de gek houden.

Scenario:

- Gebruiker logt in, en ziet zijn internet bankieren.
- Gebruiker maakt een overboeking aan naar een bepaald rekeningnummer.
- De gegevens op het invulscherm wordt afgevangen door het virus, en het virus vult zijn eigen gegevens in.
- Het volgende scherm waar het overzicht staat van de boeking die je gaat doen laat het virus zien wat je ingetypt hebt, terwijl de bankieren applicatie eigenlijk de gegevens van de daadwerkelijke transactie terugstuurde naar de browser.
- De gebruiker ziet niets vreemds en verstuurd de transactie.
- Op het volgende scherm waar je code komt de staan vervangt het virus weer de daadwerkelijke transactie door de gegevens die de gebruiker heeft ingetypt, maar laat wel de code zien van het systeem.
- Gebruiker vult code in en bevestigd de foute transactie.

Als het virus heel grondig te werk gaat, zal hij op elke pagina in de bankieren applicatie de verkeerde gegevens laten zien, zodat de gebruiker niets doorheeft totdat de boeking echt gedaan is...

Dit is allemaal mogelijk omdat het virus alleen elementen in de HTML vervangt door iets anders, en de browser gewoon over de beveiligde verbinding gaat die goed opgezet is.

Dit is dus te voorkomen door altijd elementen van de transactie (zoals bedrag of begunstigde) op te nemen in de 'handtekening' die de gebruiker moet zetten, dan kan de gebruiker daar aan herkennen of de transactie die getoond wordt ook de transactie is die uiteindelijk gedaan wordt.

Met andere woorden de gebruiker kan zelfs door logisch nadenken er toch in trappen.

servies @majoh • 19 augustus 2011 08:09

Desalniettemin zal die gebruiker nog steeds die M2 knop moeten gebruiken aangezien die M1 knop een ander algoritme/sleutel bevat/gebruikt en dus zou deze door moeten hebben dat er iets niet klopt.
Dit werkt precies hetzelfde als bij de Rabobank in Nederland.
de I knop wordt gebruikt voor het inloggen en de S wordt gebruikt voor transacties, ze zijn niet uitwisselbaar en dus zal de S ook nooit gebruikt worden voor authenticatie.
Wordt ik dus gevraagd om de S toets in te voeren voor een authenticatie dan weet ik dat het niet goed zit.

Anoniem: 90101 @majoh • 19 augustus 2011 12:07

"Dit is allemaal mogelijk omdat het virus alleen elementen in de HTML vervangt door iets anders, en de browser gewoon over de beveiligde verbinding gaat die goed opgezet is."

een domme vraag, maar zou het niet mogelijk zijn om een browser zodanig te maken dat verbindingen over SSL niet gemanipuleerd kunnen worden ?

Anoniem: 247804 @Anoniem: 90101 • 19 augustus 2011 15:05

jamaar.. het virus doet zijn ding lokaal....in hetzelfde OS / station waar jij die SSL verbinding mee hebt opgezet....dat zou met een andere broswer / taal toch niet uitmaken? De verbinding wordt namelijk niet gemanipuleerd.

BeosBeing @Anoniem: 247804 • 28 augustus 2011 15:06

Voor applicaties die we niet vertrouwen gebruiken we een sandbox, als de applicatie een virus blijkt te bevatten kan die er niet uit, dus kan gen schade doen. Voor zoiets als bankieren zou je iets soortgelijks moeten kunnen doen, dwz een sandbox waar van buitenaf niets in kan.

In ieder geval is logisch nadenken voor veel mensen niet vanzelfsprekend en is men al snel goedgelovig denkend dat de bank het wel heeft aangepast.

bite @v-god • 18 augustus 2011 12:29

Als je die "TAN" code van de ING bank per sms krijgt staat daar wel het bedrag bij zodat je kan kan bevestigen dat je transactie klopt, dat is mijn ervaring ten minste dus ik denk dat dat standaard is. Het is daarmee toch niet zomaar een code zoals die van een los apparaatje.
Als daar dan zomaar pakweg 90% van je saldo staat terwijl je niets aan het betalen bent moet dat toch argwaan wekken maar blijkbaar wordt dat dan genegeerd (omdat het er zo authentiek uit ziet?).
Het lijkt me gemakkelijker het te betalen bedrag via een sms te verifieren dan het SSL certificaat zoals onder wordt voorgesteld; ik vind dat een goed idee maar menigeen zal niet eens weten wat het is.

[Reactie gewijzigd door bite op 23 juli 2024 10:12]

RaisorX @bite • 18 augustus 2011 13:01

Het klopt dat je via een sms het bedrag ziet wat er overgemaakt wordt. Ikzelf heb ook ING. Een vriend van mij heeft ook ING samen met internetbankieren, maar dan zonder sms. hij heeft namelijk een lijst met TAN-codes die hij van de bank krijgt. Als dat op deze manier gebeurt, wordt er dus geen bedrag getoond.

Ook een tijdje geleden dat er via PayPal en dergelijke geld van ING rekeningen afgehaald kon worden, door middel alleen inloggegeven van de bankrekening en automatische afschrijving.
PayPal verifiëerd je bankrekening door tweemaal paar cent te sturen, en dat bedrag moet je dan doorgeven aan PayPal. Dan word het namelijk bevestigd dat jij de eigenaar bent van de bankrekening. Dan kan er via PayPal automatisch laten afschrijven.
Ik ben zelf geen slachtoffer geweest, maar ING heeft dus wel heel mijn bij- en afschrijving geschiedenis verwijderd.

mjtdevries @RaisorX • 18 augustus 2011 13:15

hij heeft namelijk een lijst met TAN-codes die hij van de bank krijg

Maar als je die papieren lijst gebruikt, dan krijg je dus nooit TAN codes via SMS, en dan kan deze malware daar dus ook geen misbruik van maken.

Het lijkt er dus op dat dit alleen mensen raakt die op elke willkeurige pop-up van de computer op "ok" drukken.
Terwijl iemand die een heel klein beetje oplet (en dat doe je toch juist bij internet bankieren?) geen last zal hebben.

airell @mjtdevries • 18 augustus 2011 14:07

Er zal toch meer dan "OK" geklikt moeten worden.

Hoe kan een virus nu een ING-server-valide code (TAN) genereren? Die zal je zelf, dmv SMS of papier moeten intypen.

HyperBart @airell • 18 augustus 2011 14:15

Dat wordt toch ook duidelijk aangegeven in het artikel... Ik kan me goed voorstellen dat mijn buurman nog eens een verificatiecode genereert met zijn Vasco Digipass onder het mom van extra veiligheid...

En daar draait het allemaal om, zelfs mijn vader die op een bank werkt, zie ik zonder problemen bij kleinere banken nogmaals een verificatiecode geven via een Digipass'je dat hij bijna niet gebruikt...

Yezpahr @airell • 18 augustus 2011 16:32

1. De TAN-code word naar je verzonden wanneer jij een betaling wilt verrichten.
2. Het virus wil een betaling verrichten.
3. De server verstuurt geldige TAN-code voor de gewenste transactie.

1+1=2
Ten minste, laatste keer dat ik checkte nog wel

. Of de 4de dimensie is opeens ingeslagen en dan is 1+2=4.

Dutch2007 @airell • 18 augustus 2011 15:44

security hole: als ik bijv via paypal betaal, zal dit zonder tan/username van ING van me ing rekening afgeschreven worden.........

rdjnl @Dutch2007 • 18 augustus 2011 21:33

Die 'security hole' heet automatische incasso.

Bonez0r @rdjnl • 19 augustus 2011 03:35

Maar automatische incasso kan alleen door criminelen misbruikt worden doordat je bij ING alleen username en wachtwoord nodig hebt om in te loggen. De hele tan beveiliging wordt dus omzeild omdat ING gemak boven veiligheid stelt.

Schway @mjtdevries • 18 augustus 2011 13:55

Dat is nou het idee achter een virus. Ze vallen 5000 mensen lastig, en als maar 1% niet op let. Booyah, winst. Dan hebben ze inkomsten om het met 10.000 te proberen, als er dan weer een conversie is van 1%

Anoniem: 296873 @mjtdevries • 18 augustus 2011 15:26

Ik denk dat je niet helemaal snapt hoe tancodes werken: Als jij via ing ov ideal een overboeking maakt, dan moet je een tancode invoeren. Dit kan op 2 manieren gebeuren: je krijgt een smsje met de code, of, als je dat van te voren heb ingesteld, krijg je een volgnummer te zien op je computer. Dat volgnummer kan je opzoeken op een papieren lijst waar de tancode achter staat.
Deze malware staa took helemaal niet op je telefoon, het wil alleen maar de tancode te zien krijgen. Of dat nou via een papiertje of via de mobiel is maakt helemaal niks uit. Sterker nog, mobiel is eigenlijk veiliger, omdat je dan meteen zou zien dat er geld wordt afgeschreven.

stresstak @RaisorX • 18 augustus 2011 22:32

Als dat op deze manier gebeurt, wordt er dus geen bedrag getoond.

De TAN code wordt gevraagd op een scherm waar ook de transactie staat.

R4gnax

Privacy

@stresstak • 19 augustus 2011 08:43

Behalve als dat scherm niet getoond wordt omdat de transactie onder de kap door een ander stuk code gestart wordt, zoals uit dit virus. Het virus doet zich kennelijk tijdens de invoer-actie voor als een extra beveiligings stap i.p.v. een geld transactie. Nogal wiedens dat daar dan geen bedragen bij staan, hè?

? ? @v-god • 18 augustus 2011 15:08

Bij sommige banken werkt men op een andere manier.
Op zo'n apart bakje waar je je bankkaart in moet steken, staan er twee knoppen M1 en M2.

De M1 gebruik je voor authenticatie, terwijl de M2 gebruikt wordt voor bepaalde overschrijvingen, bijvoorbeeld als die groter zijn dan 1000 euro. Dan weet je dat je aan het overschrijven bent en niet aan het inloggen. Verder gebruikt men als pincode die je moet intypen ook een deel van het bedrag. 2583 euro, krijgt bv. een pin als 11112583.
Ook daarmee weet je dus dat je overschrijft.

Natuurlijk kan een browser ook geinfecteerd zijn. Zo kan er een groene balk getoond worden dat het SSL certificaat geldig is, terwijl dit niet het geval is. Maar dan moet er wel goed virus aan het werk zijn dat de browser op die manier kan kraken/simuleren.

Op zich is het niet moeilijk met een beetje goede wil van de bank. Na elke overschrijving (serverside), stuurt de bank gewoon een SMS naar de persoon met daarin een UNDO-code. Gebeurt er iets dat de persoon niet wil, kan hij tot 12u nadien gewoon een reply geven op de SMS en de transactie wordt geannuleerd.
Het enige minpunt is dat overschrijvingen dan altijd 12u duren vooraleer uitgevoerd te worden naar een andere bank. Maar wie heeft daar last van? Een overschrijving duurt al minimaal 1 dag, dus?

Kosten voor de bank: SMS kosten = nihil
Veiligheid = 100% op clientside niveau

bogy @? ? • 18 augustus 2011 19:23

bij de belgische banken met het bakje is enkel M2 (M1 kan er totaal niet voor gebruikt worden) om over te schrijven; tenminste bij mij toch; en ik heb twee banken die het gebruiken (Argenta en Dexia); en bij beide voer je het bedrag niet met de pin samen, maar wel degelijk apart in zoals ik beschreven had.

bv; je wil 25.345 € overschrijven;
eerst moet je dus inloggen en de bank geeft code 4444 6574 op.
- je drukt op M1
hij vraagt de auth code; 44446574
hij vraagt je pincode 1234
hij geeft de auth reply 65487456; of een andere waarde als je het opnieuw probeert (bv 124024)

dan maak je de overschrijving aan, en je gaat bevestigen; je krijgt de authcode 0874 3214 mee, het totaalbedrag is 25345€
- je drukt op M2
je geeft je pin 1234 (Securecode?)
je geeft de authcode 08743214 (Data or OK?)
je geeft het bedrag 25345 (Data or OK?)
je drukt nogmaals op OK (Data or OK?)
hij geeft de auth reply 3225 7416 (of een andere als je het opnieuw probeert) die je dan moet overtypen

dat is dus trouwens ook goed om weten en was ik vorige keer vergeten te zeggen; de auth codes hebben zgn. SALT mee in de berekening; Daarom als je dezelfde codes tweemaal intypt krijg je verschillende resultaten. Hierdoor kunnen hackers de algorithmes niet zomaar terugdraaien na bv 100 berekeningen te hebben gemonitord. Anders zouden ze heel simpel na het afluisteren op den duur zelf de codes kunnen genereren zonder toedoen van de gebruiker en z'n kaart+pin+cardreader.

ik vind het nog altijd een zeer goed en veilig systeem; voor iedereen die met dit systeem zit; als er problemen zijn is het een typisch PEBCAK-incident...

Het uitstellen van betalingne met 12 uur vind ik maar niks, ik vind het nu zalig dat ik een betaling kan doen en dat het bedrag een paar minuten later bij de bestemmeling op de rekening staat (bij dezelfde bank). Bij veel banken staat het er na enkele uren al op, en sommige banken houden helaas sterk vast aan het 'valutadatum'-systeem waardoor ze een dag en soms zelfs nog twee dagen moeten wachten op hun geld (schande anno 2011!!!)
een uurtje lijkt me meer dan voldoende.. of een verwittiging per sms wanneer er een 'verdachte' transactie is gebeurd op de rekening die je nog eens moet bevestigen lijkt me meer aan de orde dan... en met 'verdacht' bedoel ik dan meer dan 60% van het totale budget (indien meer dan 1000 euro), meer dan 1000 euro (indien het geen zakelijke rekening is), etc etc etc ... een aantal parameters dus waaraan kan voldaan worden om verdacht te worden beschouwd en dus een extra bevestiging nodig heeft...

natuurlijk zal dat wel weer geld kosten, en dat betaalt, jawel, de rekeninghouder op het einde van het jaar ... dus wie wint er? de bank weeral eens

(edit; aanpassing in eerste zin gemaakt)

[Reactie gewijzigd door bogy op 23 juli 2024 10:12]

High-Voltage2 @bogy • 18 augustus 2011 22:10

bij de belgische banken met het bakje is enkel M2 (M1 kan er totaal niet voor gebruikt worden) om over te schrijven; tenminste bij mij toch; en ik heb twee banken die het gebruiken (Argenta en Dexia); en bij beide voer je het bedrag niet met de pin samen, maar wel degelijk apart in zoals ik beschreven had.

Bij KBC moet je M1 gebruiken voor authenticatie én voor het "tekenen" van een transactie. Eigenlijk is dat helemaal niet tekenen, en dus behoorlijk fraude gevoelig.
Heb dat lange tijd terug al aangehaald, dat zelfs eens naar hen doorgestuurd, maar geen respons... Ze zullen het waarschijnlijk beter weten, maar dat is gewoon een fundamentele fout tegen de cryptografie.

Toevallig of niet, maar KBC staat in de lijst met "slachtoffers".

MClaeys @? ? • 18 augustus 2011 19:19

Even pinnen in de winkel is in principe ook een overschrijving, ik hoop dat je daar dan geen UNDO sms voor krijgt, want winkels zouden niks meer verdienen

Xubby @? ? • 18 augustus 2011 19:59

Sms is niet 100% veilig. Een paar jaar geleden is al aangetoond dat er bepaalde gsm's zijn die zich kunnen "voordoen" als een andere gsm.

Los daarvan, de gsm standaard G2 encryptie is al enige tijd gekraakt.
Een bericht met een overboek bedrag en code op zich is wel een goed idee, maar dan wel op een veiligere manier.

Wrecker3D @v-god • 18 augustus 2011 16:14

de bank zelf zal NOOIT naar de pincode vragen, een beveiligingsscherm als je al in gelogd bent is onzin, behalve bij overdracht van geld... of wijzigen gegevens...

Als je dus een TAN request of pincode / beveiligingscode verzoek krijgt lijkt mij dat je moet nadenken: "Maar ik heb niks ingevoerd"...

Gebruik/geef de codes dan ook nooit als je niets hebt in gevoerd/aangevragen en zet er vraagtekens bij...

Ravefiend @Anoniem: 80466 • 18 augustus 2011 11:01

We maken inderdaad wel gebruik van een Digipass waarmee je een bevestigingscode moeten genereren (met je pinpas) ter bevestiging van geld transfers. Voor zover ik de nieuwsberichten heb begrepen, opent het virus een popup browser window waarin het vraagt om een bevestigingscode te genereren terwijl je bv. enkel maar naar je saldo aan te turen bent. Daarmee geef je het virus de toestemming om het geld bedrag over te schrijven, zonder je er zelf bewust van bent.

[Reactie gewijzigd door Ravefiend op 23 juli 2024 10:12]

Kevinp @Ravefiend • 18 augustus 2011 11:12

Iedereen die dat doet is natuurlijk ook niet handig geweest. Ik bedoel ik betaal alleen als ik dat verwacht. Niet als dat random komt.

Als ik een ideaal link stuur dan maak je dat toch ook niet klakkeloos over (sommige dus blijkbaar wel).

WaRSTeaM @Kevinp • 18 augustus 2011 11:29

Wel even goed de post lezen waar je op antwoord hè! (En evt bovenstaande posts)

Ik lees toch echt duidelijk dat er een pop-up verschijnt waarin ALLEEN gevraagd wordt om de code die in de pop-up staat middels je UCR te bevestigen. Er staat dus niks van een bedrag/ontvanger/ect in!

Weet het niet zeker maar als ik het goed begrijp wordt er aangegeven dat dit nodig is i.v.m. extra beveiliging.

Dus:
Je bent al inglogd op internetbankieren. Of je nu wat aan het doen bent of gewoon lekker naar je saldo aan het kijken bent, er verschijnt gewoon een pop-up met de vraag om de code in je UCR in te voeren en de response in de pop-up in te geven. Dit is nodig i.v.m. extra beveiliging. Meer ziet een gebruiker niet en meer hoeft een gebruiker niet te doen.

Dat er dan vervolgens achter de schermen een transactie is aangemaakt en deze alleen nog maar bevestigd hoeft te worden ontgaat geheel aan de gebruiker.

Ik kan best begrijpen dat als je een pop-up krijgt van je bank (Waarschijnlijk een pop-up zonder adresbalk zodat je de URL niet kunt zien) en deze in exact de zelfde huisstijl als je bank is gemaakt onder het mom van extra beveiliging, welke dan ook nog eens ALLEEN naar voren komt op het moment dat je al ingelogd bent op internetbankieren, dat er huis tuin en keuken gebruikers er op vertrouwen dat dat bank de code nodig heeft voor de extra beveiliging.

Kevinp @WaRSTeaM • 18 augustus 2011 11:58

Maar mijn "send" code (zit bij de Rabobank verschil in) typ ik dus gewoon niet in tenzij ik het verwacht.

Ik weet dus niet hoe dat bij andere banken is. Maar als je met je "inlog" kan versturen dan moet er snel iets aangepast worden.

Anoniem: 156329 @Kevinp • 18 augustus 2011 12:19

Helaas zijn er een hoop Nederlanders die of niet vaak internetbankieren of eigenlijk lukraak de instructies op het scherm volgen (1. toets rek nummer in, 2. toets pasnummer, 3. druk op S en vul 1234 5678 in etc..)

Eigenlijk zou er een grote sticker achter op de randomreader moeten staan met een groot uitroepteken en de tekst "Gebruik de S knop alleen als u geld wilt overmaken".
Of misschien handig om een beknopte handleiding erbij te geven.

pegagus @Anoniem: 80466 • 18 augustus 2011 10:57

Die voer je dus gewoon zelf in. Of het virus speelt het klaar om andere informatie op het scherm te tonen dan dat naar de bank wordt verstuurd, of de slachtoffers zitten gewoon te slapen.

Pixeltje

@pegagus • 18 augustus 2011 11:10

De tijd dat elke poging om je gegevens te ontfutselen on half Nederlands en half Russisch geschreven werd is voorbij hoor. Laatst nog een poging gezien (gelukkig op tijd) waarvan de site echt een exacte kopie was van de echte, de teksten zonder spellingsfouten en de "reactie" van de site normaal.

Denk dat het een beetje voorbarig is om de gebruikers nu al te veroordelen als nog niet duidelijk hoe eea precies werkt.

[Reactie gewijzigd door Pixeltje op 23 juli 2024 10:12]

LOTG @Pixeltje • 18 augustus 2011 11:21

Op dat soort momenten check ik altijd of de SSL verbinding klopt. Ook bij paypal en dergelijke waar je vanuit andere sites naar toe gelinkt word of iDeal betalingen.

Dat is de manier om deze aanvallen te voorkomen.

Wat er bij de ING gebeurt is op deze manier niet te voorkomen denk ik, het klinkt alsof er code geinjecteerd word op het moment dat je op de ING site zit. Zeer smerige methode, maar nog steeds met een beetje common sense af te slaan.

Vooral oudere mensen die internet bankieren zijn hier heel vatbaar voor lijkt mij. Die hebben meestal al moeite met alles te volgen en zien dan ook niet zo snel in waarom het niet echt zou zijn.

ILUsion @LOTG • 18 augustus 2011 12:48

Goh, ik denk dat het zelfs met common sense mogelijk niet al te simpel is om af te slaan, afhankelijk van hoe goed je bank alles op poten heeft (en natuurlijk voor een stuk hoe goed je oplet).

Bij BNP Paribas Fortis is het bv. zo dat je een kaartlezer hebt waarop je die TAN-code kan genereren. Nu worden er 2 soorten codes gemaakt (M1 en M2). De M1-code is om in te loggen (werkwijze: druk M1, geef de challengecode in, OK, pincode, OK) en de M2-code is om iets digitaal te ondertekenen zoals een overschrijving. Hierover doet Fortis ook niet moeilijk, als je zelf een overschrijving invult, wordt duidelijk gemaakt waarvoor alles dient, want de werkwijze is als volgt:
druk M2, pincode OK, rekeningnummer waarnaar je overschrijft OK bedrag in centen OK OK en je krijgt je handtekening. Bij ING is het een gelijkaardig scenario, alleen worden daar de toetsen duidelijk gelabeld: IDENTIFY en SIGN.

Als oplettende gebruiker zou je dus inderdaad moeten doorhebben dat er iets niet aan de haak is, maar er zullen genoeg mensen zijn die alles blindelings opvolgen omdat ze zelf de link niet leggen tussen die verschillende methodes (en dat een echte check dus volgens M1/IDENTIFY zou moeten verlopen).

Bij andere banken verliep (verloopt) het soms anders, dan kreeg je gewoon een stukje papier waarop een aantal statische codes stond waarvan je een bepaalde range moest ingegeven of het oude systeem van ING was een applicatie (zelfs beschikbaar voor Linux, wel thumbs-up daarvoor) die je sleutel bijhield. Maar dat houdt dus ook in de als je een virus hebt, dat virus gewoon rechtstreeks aan je sleutel kan (of toch als je op de site zit) en dan ben je helemaal gezien.

jwstolk @ILUsion • 18 augustus 2011 18:48

De random-reader van de Rabobank doet dit ook, de knoppen heten "I" / "S" i.p.v: M1/M2.
Bij grotere bedragen is het totaal bedrag ook een van de codes, en bij nog grotere bedragen komen er nog meer random codes bij. Wat een (Windows) virus ook op je scherm laat zien, het moet dan toch wel opvallen dat je veel codes in moet voeren, en dus een groot bedrag aan het overschrijven bent.
(Tip: Als je moet internet bankieren op iemand anders z'n PC, gebruik dan een linux live-cd.)

Armageddon_2k @LOTG • 18 augustus 2011 11:28

het meerendeel van de nederlander weet niet eens wat ssl betekend, laat staan waar het voor is.

Yzord @Armageddon_2k • 18 augustus 2011 11:49

Persoonlijk vind ik dat dat probleem dus bij de bank ligt. Ze leveren een produkt zonder een normaal overzichtelijke handleiding mee te geven. Er wordt vanuit de bank gedacht dat mensen maar moeten weten wat SSL betekent en hoe ze een beveiligde verbinding kunnen herkennen.

Feit is dat internetbankieren door de strot wordt geduwd en er haast geen alternatief is. Ze zullen vast wel ergens op hun site hebben staan hoe je een beveiligde verbinding kan herkennen, maar ik pleit ervoor bij elke transactie een voorbeeld te laten zien hoe je een beveiligde verbinding kan herkennen, net zo lang totdat het de neus uit komt van de mensen en ze dus weten hoe het in elkaar steekt.

Maar dan krijg je het volgende:

[img]http://i51.tinypic.com/52m7g1.jpg[/img]

Is dit te vertrouwen? Dit krijg je als je op het slotje op Paypal klinkt. Ja er staat een naam Paypal, maar Singapore vind ik persoonlijk weer niet te vertrouwen. vroeger stond er San Jose. Dus zeg het maar...is de paypal website nu wel te vertrouwen?

Het zou dus prettig zijn als de bedrijven eens wat meer aan de klant dacht. Ze lopen miljoenen mis met al die plunderingen, dus daar kan je wel een meiske op zetten die even netjes een handleiding schrijft en een regeltje aanmaakt onder elke tan code aanvraag met daarin "hoe een beveiligde verbinding te herkennen".

Toch?

Cid Highwind @Yzord • 18 augustus 2011 12:11

En hoeveel mensen zal uiteindelijk die handleiding lezen? Juist voor iets wat toch al degelijk is ingeburgerd zitten mensen niet te wachten op een handleiding, maar op iets wat "automatisch" goed werkt, zo moet het maar gemaakt worden is de gedachte.

Zulke verliezen door fraude horen gewoon bij de kostencalculatie, ze besparen genoeg op kantoren en personeel om zoiets op te kunnen vangen.

Los daarvan, het blijft me verbazen dat het toch hoofdzakelijk ING/Postbank telkens weer is waar de negatieve berichten met betrekking tot internetbankieren over binnen komen. Het is voor mij serieus de reden om vooral daar geen rekening te openen. Zijn zij nu eenmaal een zeer gewild doelwit door het aantal klanten (t.o.v. Rabo/ABN?), of hebben zij hun zaakjes gewoonweg nog steeds niet goed op orde?

Yzord @Cid Highwind • 18 augustus 2011 12:49

En hoeveel mensen zal uiteindelijk die handleiding lezen? Juist voor iets wat toch al degelijk is ingeburgerd zitten mensen niet te wachten op een handleiding, maar op iets wat "automatisch" goed werkt, zo moet het maar gemaakt worden is de gedachte.

Als je tegenwoordig een tv of recorder koopt, zul je wel de handleiding erbij moeten pakken, want vergeleken met "vroeger" snap je er op het eerste gezicht er geen bal van. Daarbij gaat het om je eigen rekening met geld...daar mag je heus wel wat voorzichtiger ermee doen dan klakkeloos te denken dat het maar zo gemaakt moet worden. Elk produkt heeft zijn nukken.

Kijk, het gaat mij niet om de specifieke handleiding, maar wel om een link onder de vraag om je TAN code in te voeren hoe men snel een beveiligde verbinding kan checken. Bijv. door aan te geven dat je

ING Bank
Amsterdam, Netherlands

krijgt te zien als je op het slotje klikt. Staat dat er niet, voer dan geen TAN code in. Simpel scriptcode implementeren incl. een gevarendriekhoek en klaar zijn ze. Naar mijn idee breng je hiermee je klanten netjes op de hoogte en geef je ze nog eens les ook nog voor andere websites/shops.

Rubizon @Yzord • 18 augustus 2011 15:15

Als je tegenwoordig een tv of recorder koopt, zul je wel de handleiding erbij moeten pakken, want vergeleken met "vroeger" snap je er op het eerste gezicht er geen bal van.

Ik weet of jij ooit een oude VHS-band recorder hebt gehad, maar je had van die gedrochten waarbij een simpele huisvader nooit met success een programma opgenomen kreeg zonder diepgaande studie van een manual van 1000 bladzijden dik.

Echter "tegenwoordig" een opname programmeren met een simpele DVD-recorder OF een programma via digitale TV opnemen gaat heel wat makkelijker. Zeker met zogenaamde "Quick guides" die tenminste de basis en veelgebruikte werking uitleggen.

Internet bankieren zou mits het kennen van de basis beveiligings procedure net zo eenvoudig moeten kunnen zijn.

Anoniem: 195390 @Rubizon • 18 augustus 2011 23:41

waarom zou je tegenwoordig nog iets willen opnemen ? is er dan nog iets op tv ?

Herko_ter_Horst

@Yzord • 18 augustus 2011 22:00

Ja, en een phishing site zegt dat er dan "ING Phising, Verweggistan" moet staan om veilig te zijn. Dat gaat een doorsnee gebruiker echt niet snappen.

TheCapK @Cid Highwind • 18 augustus 2011 12:29

Dit zijn nu twe berichten in korte tijd met de ING in een hoofdrol. Misschien komt dit doordat de ING makkelijker te hacken is of misschien omdat de ING meer in de openheid treedt dan de anderen.

De RABO is geloof ik de grootste bank van Nederland maar daar hoor je niet veel van. Is dat omdat zij weinig last van hacks e.d. hebben of omdat ze dit gewoon achter gesloten deuren houden?

Feit is wel dat het grootste platform het meest het doelwit is van de criminelen omdat daar nou eenmaal het meest te halen valt. Kijk maar naar het aantal virussen dat er bestaat voor het Windows platform t.o.v. andere OS-sen.
Dat is gewoon de wet van de grootste getallen.

Persoonlijk geloof ik dus niet dat Alleen de ING hier last van heeft maar misschien hebben zij de pech dat het van hen wel in de openbaarheid komt of kiezen ze misschien zelf voor die openheid. Openheid kan immers vertrouwen wekken doordat je laat zien dat je niets te verbergen hebt!

Gezien de hier gebruikte methode zou ik zeggen dat dit ook gewoon kan werken voor een RABO of ABN/AMRO rekening maar misschien dat daar nog niets van bekend is. Wie weet wat de oproep van tweakers daarin kan betekenen!

vlaaing peerd @TheCapK • 18 augustus 2011 13:09

ABN Amro grijpt meteen in, stort geld snel terug en ik vermoed dat ze zsm dat in de doofpot stoppen en zelf onderzoek plegen. ABN is de grootste bank van NL en lijkt me daarom een veel aantrekkelijker slachtoffer. Desalniettemin ljikt me hun methode wel iets veiliger als de TAN code.

@Sid
Als het gaat om je eigen fortuin dan ben je een idioot als je niet ff de handleidng doorleest. IMO moeten mensen dat gewoon doen anders verdienen ze het bijna om slachtoffer te worden. Hetgeen de gemiddelde hackrus dan ook ruimschoots van profiteert, getuige dit artikel.

DarkKnight @TheCapK • 18 augustus 2011 14:51

ING is best wel wat groter dan de Rabobank, want er zijn errug veel Postbank gebruikers (wat nu dus geïntegreerd is met ING bank zelf).
En ik betwijfel of je zo'n hack wel buiten de media kan houden. Ten minste, ik zou als Tweakers.net gebruiker, er hier ook een stuk over schrijven en kijken over er nog meer ervaringen zijn.
Maar ja, grootste platform met slechtste beveiliging (of er moet iets echt grondig veranderd zijn bij de ex-Postbank) is altijd een iets groter doelwit.

terradrone

@Yzord • 18 augustus 2011 13:50

Maf, het valt me nu pas op dat de Paypal inlogpagina een certificaat van Paypal uit singapore heeft, maar wanneer ik ingelogd ben het certificaat van Paypal San Jose komt. Erg raar...

SunnieNL

@Armageddon_2k • 18 augustus 2011 11:54

dat hebben de banken met hun 1-2-3 check methode toch anders redelijk bekend gemaakt. Mss dat ze neit weten wat SSL is maar wel wat een rode/groene balk en het hangslot betekenen.

maxxware @SunnieNL • 18 augustus 2011 12:15

Een groen slot wil niet altijd zeggen dat het ook het *juiste* groene slot is. De pop-up kan vane een ander domein komen met een gevalideerd SSL certificaat... 99% van de internetters heeft nauwelijks benul van internet en beveiliging, dus dat is gewoon niet te doen. Een bank - in dit geval ING - moet dus een bewezen onveilig systeem - in dit geval het TAN-code systeem - gewoon niet gebruiken.

Anoniem: 325409 @maxxware • 18 augustus 2011 12:54

Of ze je nou tricken om een TAN in te voeren of een code van je apparaatje met je pasje

Sissors @maxxware • 18 augustus 2011 15:53

En iig rabobank verteld ook elke keer als je inlogt dat je moet kijken of je inderdaad op het rabobank domein zit (niet dat dat veel uitmaakt, een phisher kan die tekst wijzigen, en als zoals hier het geval was een virus op je computer staat kan dat virus je ALLES wijs maken. Hij kan gewoon je laten zien dat je het juiste beveiligingscertificaat hebt op de juiste site.

Ik gebruik dan zelf rabobank en ben daar tevreden over, maar ook daar zou het exact hetzelfde zijn, het virus vraagt gewoon mensen de juiste code te geven, dat zouden mensen met een randomreader net zo hard kunnen doen. Waarschijnlijk is het dan nog het veiligste wanneer je in de sms met tancode meteen ook en bedrag, en rekeningnummer waarnaartoe, en rekeninghouder krijgt. Geen idee hoeveel je daarvan al krijgt, al blijft natuurlijk het probleem dat dat prima werkt met een enkele overschrijving, maar hoe doe je dat als je 100 overschrijvingen aan het bevestigen bent?

tinusbalpol

@LOTG • 18 augustus 2011 11:32

Nu moet ik zeggen dat TAN-codes via SMS in ieder geval een extra beveiligin met zich meebrengen. Daar staat in ieder geval een validatie van het bedrag in wat je wil overboeken.
Moet zeggen dat ik daar zowiezo aardig op let bij overboekingen.

Radiance @tinusbalpol • 18 augustus 2011 13:01

Inderdaad.
Als je een SMS met TAN code krijgt voor deze zogenaamde extra beveiliging controle waarin vervolgens staat dat je 1000 euro wilt overmaken moet er toch wel een lampje gaan branden.

Probleem is dat mensen over het algemeen snel snel snel willen handelen en dus niet lezen.
Zelfde geld voor computers en toolbars. Word m'n moeder weer pissig met de vraag hoe die zooi nou weer ineens in dr browser komt. Antwoord: Die heb je zelf geïnstalleerd omdat je zonder te lezen alleen maar next next next klikte.

BLACKfm @Radiance • 18 augustus 2011 13:12

Antwoord: Die heb je zelf geïnstalleerd omdat je zonder te lezen alleen maar next next next klikte.

Zo herkenbaar, 'Mijn computer is zo traag bla bla bla', maak je voor hun de pc schoon met een nieuwe installatie en kom je een week later terug is het weer net zo erg.
Voornamelijk met kinderen die voor MSN allemaal tools installeren en gratis spelletjes van internet waar je allemaal toolbars mee krijgt.

Rollo @Pixeltje • 18 augustus 2011 11:32

Inderdaad, deze tijd is het niet moeilijk een site compleet na te maken. Met google chome kan bijvoorbeeld een complete website inclusief css en alle plaatjes met 3 muisklikken lokaal worden opgeslage. Hang er je eigen scripts achter en je heb je eigen 'nep'site die er letterlijk 1:1 hetzelfde uitziet.

Anoniem: 176826 @Rollo • 18 augustus 2011 11:49

Volgens mij is dat niet eens zo een nieuwe methode.

Vroeger, toen netscape nog een hippe browser was en HTML 4.0 nog maar in de kinderschoenen stond, kon je dit soort acties in de meeste browsers ook redelijk eenvoudig regelen. Toen werd dat iets als "webpagina lokaal opslaan" genoemd. Oke, je moest het dan vaak wel pagina voor pagina doen, maar dan had je ook gewoon alles te pakken.

Die optie is ondertussen inderdaad uit veel browsers verdwenen of in ieder geval een stuk verder weg gestopt. Waarom? Tja, tegenwoordig is off-line browsen niet meer zo in de mode, want internetverbindingen zijn een stuk betrouwbaarder geworden. Dus de noodzaak om een stukje van Wikipedia lokaal op te slaan is een stuk kleiner. Als je die informatie morgen weer nodig hebt, surf je gewoon even naar Wikipedia, ook als je ergens anders dan thuis zit.

Tja, ik heb het nog meegemaakt dat ik bij een klant binnenkwam en dat je daar dan gewoon geen internet had. Lokaal opslaan van webpagina's was dan vaak een uitkomst om toch informatie van het net bij de hand te hebben.

sumac @Anoniem: 176826 • 18 augustus 2011 12:08

Tja, als je even iets verder kijkt, in Firefox kan dat gewoon met CTRL-S.

Rollo @sumac • 18 augustus 2011 12:24

Dat slaat alleen 1 enkel html bestand, en niet de complete website met css, plaatjes en scripts.

[Reactie gewijzigd door Rollo op 23 juli 2024 10:12]

Cartman!

@Rollo • 18 augustus 2011 12:58

Hij slaat die pagina op incl. images/css/javascript. Niet alle pagina's maar dat is ook praktisch onmogelijk zonder spider-software.

pegagus @Pixeltje • 18 augustus 2011 11:34

Ik geef dan ook twee opties.

Maar het kan bijna niet anders dan dan dat de pop-up in beeld komt, zonder dat de gebruiker daartoe actie heeft ondernomen.

Op een normale banksite krijg je echter geen pop-up te zien, maar gewoon het scherm. Het probleem met een pop-up is dat je niet zomaar het achterliggende web-adres kunt zien.

telenut @pegagus • 18 augustus 2011 14:05

dan is die van dexia een uitzondering, daar is het ook een popup helaas..

RoelSadza @pegagus • 18 augustus 2011 14:11

Toch raar dat het mensen niet opvalt dat er ineens een bedrag in de duizenden staat in het sms'je, bij ING staat het bedrag er namelijk altijd bij.

mmniet @Anoniem: 80466 • 18 augustus 2011 10:58

jawel, die gebruiken de gebruikers in dit geval ook. blijkbaar zijn mensen bereid om hun inlogcode op te geven op de raarste momenten

BRAINLESS01 @mmniet • 18 augustus 2011 11:13

Als een banksite daar om vraagt is dat natuurlijk niet zo heel gek. 99% van de gebruikers zou daar direct op reageren, mits het er professioneel uit ziet. Een tweaker kent de gevaren en zou waarschijnlijk 2 keer nadenken, maar de gemiddelde gebruiker heeft daar geen benul van.

Xubby @BRAINLESS01 • 18 augustus 2011 11:36

Een popup bij de SNS bank voor een pincode is niet gebruikelijk: die moet je op de website zelf invullen.
Dus als je goed oplet, zou je het vreemd moeten vinden.
Maar op het moment hebben sns-ers geen last, als ik het goed lees.

Over die popup:
Misschien draait er code die in de gaten heeft dat er een bepaalde bankwebsite actief is en laat ie een popup zien na enige tijd?

TheCapK @BRAINLESS01 • 18 augustus 2011 12:33

Maar als je normaal geen pop-up krijgt voor de validatie van dat soort gegevens en de bank er in zijn nieuwsbrieven voor waarschuwt dat je alleen de gebruikelijke pagina's moet gebruiken........ ligt het dan niet gewoon aan de gebruiker?
Sowieso: als het virus zich op de computer van de gebruiker installeert dan ben je als gebruiker al verkeerd bezig omdat je PC niet goed is beveiligd!

Precision @mmniet • 18 augustus 2011 11:31

Je bent ingelogd bezig met internet bankieren en plots wordt er ter extra beveiliging een extra code gevraagd. De url is echt, het ssl certificaat is echt. Ik vermoed dat het virus een soort van proxy is die geduldig wacht tot je op je banksite zit en dan code injecteert in de response van de server. Als je zoals ik bij verschillende banken zit en ze vragen allemaal op een ander moment om die codes. De procedure voor internationale/europese/nationale overschrijving verschilt soms (vooral vroeger, nu minder). Het is geen inlogcode die je geeft want je bent al ingelogd.

NetXtreme @Anoniem: 80466 • 18 augustus 2011 10:58

Er staat natuurlijk wel:

... Als dat wordt bevestigd, wordt het geld afgeschreven. ...

Hoe die bevestiging word gedaan staat er niet...

Cafe Del Mar

@NetXtreme • 18 augustus 2011 11:13

Je krijgt een heel minimalistische site, met enkel volgende gegevens:
- identiteit of omschrijving aanvrager, meestal is dat een webshop die via Ogone (3D Secure) een betaling wil laten uitvoeren. De betaling gebeurt zoals een gewone overschrijving, maar omdat de handelaar (webshop) meteen van Ogone het bericht krijgt dat de transactie correct is verlopen, kan de webshop de betaling als voldaan beschouwen en meteen het product versturen/opzij houden.
- bedrag waar het om gaat
- challenge, een 8 cijferige code, die random aangemaakt wordt obv tijdstip, bedrag, .... Je kan een challenge voor transactie1 nooit gebruiken voor transactie2. Je kan bv de batterij uit zo'n kaartlezer (UCR) niet vervangen. De klok van de UCR loopt dan niet meer gelijk en elk antwoord op de challenge is verkeerd.
- een invulvak voor het antwoord op de challenge. Het antwoord verkrijg je als volgt. Je steekt uw kaart in de UCR, dan geef je aan of het voor betalingen is (M2) of voor in te loggen (M1), je geeft uw PIN-code in en nadien geef je de challenge in die je op het scherm ziet. Dan geef je het bedrag in (afhankelijk van de bank met of zonder decimalen, Dexia: geen decimalen vereist; BNP Paribas Fortis: wél decimalen vereist). Een seconde later antwoord de UCR met een 7 of 8 cijferige code die je op de site moet ingeven.
- een OK knop, waar je op klikt na het ingeven van het antwoord op de challenge

Er staan nergens banners of reclame ofzo. Je kan u nergens door laten afleiden.

zynex @Cafe Del Mar • 18 augustus 2011 12:37

Duidelijk, maar het blijft toch vooral onoplettendheid in het geval van ING.

-Je zal dit virus eerst op je pc moeten hebben staan. (Want er staat dat de systemen van ING niet gehacked zijn en er dus geen website implementatie is.)

-Statusbalk ofniet een bevestigingscode zal nooit een tancode zijn. Dat moet dus al meteen verdacht overkomen. En wat veel mensen niet weten: in de tancode staat hoeveel geld er overgeboekt wordt.

Dus als ik een 'bevestiginscode' krijg waarin staat dat 9000 euro wordt afgeschreven zou ik toch gaan opletten

(en dat bedrag kan niet naderhand verandert worden. Stel het bedrag zou verandert worden door de hackers, dan krijg je een nieuwe tan code.)

[Reactie gewijzigd door zynex op 23 juli 2024 10:12]

Floor @zynex • 18 augustus 2011 13:07

Kan je dus gerust stellen dat de beveiliging middels TAN gewoon ruk is. Niet dat dit een nieuw feit is maar het is niet voor niets een systeem wat (erg) gevoelig is voor phishing.

Bij de Rabo heb je een systeem wat zich aanpast aan de hoeveelheid. Des te meer geld je overmaakt, des meer codes je voorgeschoteld krijgt. Daarbij is 1 van de codes het totale geldbedrag.

Deze aanval is goed opgezet en doordacht. Het feit dat deze zo succesvol is zou de verantwoordelijke securityofficer eens flink wakker moeten schudden. Tijd voor een andere baan.
Wanneer je als officer niet in staat bent om tegen een directie te zeggen/overtuigen dat de beveiliging niet goed is en dat dit om die reden niet geïmplementeerd wordt ben je je functie niet waardig. In een goede veilige omgeving, wat een bank in essentie toch zou moeten zijn moet de securityofficer op veiligheidsgebied de eindverantwoordelijk zijn en niet de Algemene Directie welke andere belangen heeft.

mjtdevries @Floor • 18 augustus 2011 13:31

Dat Rabo systeem is net zo ruk want als de gebruiker nergens naar kijkt en gewoon met verstand totaal op nul overal maar op ok gaat drukken dan werkt dit ook bij Rabo.

Als je alle instructies van de bank negeert dan is geen enkel systeem veilig.

Sissors @Floor • 18 augustus 2011 16:02

Blijkbaar krijg je bij de ING altijd een SMS'je met het totale bedrag, bij de rabo alleen als het boven een bepaalde waarde uitkomt, dus een virus kan altijd nog onder dat bedrag blijven zitten en dan is het minder beveiligt dan de ING, en als het erboven uitkomt is het gelijk.

Oftewel als je zon virus voor rabo hebt, die gewoon netjes wacht totdat je zelf gaat internetbankieren en daarbij een extra overboeking toevoegd zonder dat je boven het minimum bedrag uitkomt om het bedrag in te moeten tikken zul je helemaal niks merken als rabo klant, terwijl bij de ING het in je SMS'je staat.

Maar zelfs als je gewoon het bedrag moet intikken, bedenk wel dat dat virus complete controle over je computer kan hebben. Dus ipv dat er staat: "Tik nu het tweede controle getal in, dit is het totale bedrag" (of iets soortgelijks), kan dat virus gewoon neerzetten: "Tik nu 7167 in, dit is een willekeurig gegenereerd controle getal voor extra beveiliging". En daar ging je bankrekening.

In andere woorden, ook de rabo is hier niet tegen beveiligd. Beste manier voor beveiliging die ik me hierbij nog kan voorstellen is dat je een SMS'je krijgt met een code waarin meteen ook alle overboekingen die je gaat doen staan. Al dan nog steeds als het virus gewoon een creatieve naam aan de overboeking meegeven zullen genoeg mensen alsnog gewoon de code invoeren.

mdma3012 @NetXtreme • 18 augustus 2011 11:05

Voor KBC en Dexia waar ik zelf klant ben kan ik zeggen dat de bevestiging dmv een kaartlezer en request/responsecode gebeurt. De gebruiker moet dus actief bevestigen.

Cyw00d @Anoniem: 80466 • 18 augustus 2011 10:58

Kijk op onderstaande website en druk op PC banking en dan Veiligheid boven alles.

https://www.bnpparibasfortis.be/portal/start.asp

Veiligheid boven alles
3 pijlers voor veilig bankieren via internet:
Een beveiligde verbinding.
U krijgt enkel toegang tot uw bankgegevens met uw bankkaart, pincode en uw kaartlezer of uw digipass.
Verantwoord gebruik: deel uw geheime code aan niemand mee, zorg voor een goede antivirus en firewall die u regelmatig bijwerkt,...

airell @Cyw00d • 18 augustus 2011 11:27

Is in de virus popup wel of geen url of status balk te zien? Dan is het lastig een beveiligde verbinding te checken.

Anders voldoe je volledig aan de 3 pijlers die je beschrijft volgens mij.

TD-er

@Cyw00d • 18 augustus 2011 11:33

zorg voor een goede antivirus en firewall die u regelmatig bijwerkt,...

Heel verstandige adviezen, maar hoeveel mensen weten uberhaupt dat er verschillende virusscanners zijn en hoeveel van die mensen snapt een firewall?
Norton antivirus wordt nog wel eens meegeleverd met een nieuwe PC, maar daar moet na verloop van tijd voor betaald worden.
"Waarom zou ik betalen, ik heb toch een antivirus erop staan?"
"He irritante vraag waar ik niets van snap, zal wel goed zijn, toestaan... en verder"

En de correspondentie van banken en vorige week ook de site van de ING zijn ook niet echt voorbeelden van hoe het wel moet.

Zolang zowel de bedrijven en banken de veiligheid niet serieuzer nemen dan zo'n nietszeggend zinnetje en de gemiddelde burger amper weet hoe de muis bediend moet worden, zie ik nog wel veel meer van dit soort problemen voorbij komen.

cire @TD-er • 18 augustus 2011 19:28

Hmm, hoe zouden de banken het wel moeten doen dan? Je gelooft toch zeker niet dat als ze een uitgebreide technische handleiding publiseren, mensen het wel lezen!?

Voor zover ik kan het hier kan zien heeft het weinig met de beveiling van ING te maken. Mensen krijgen een SMS waar het bedrag in staat nota bene. Als mensen gewoon verder gaan, kunnen de banken natuurlijk weinig meer doen...

Squ1zZy @Anoniem: 80466 • 18 augustus 2011 11:00

Ik vraag me ook af hoe ze dit gedaan hebben.

"Als dat wordt bevestigd, wordt het geld afgeschreven."

Misschien wordt er met "bevestigd" dat mensen hun gegevens invullen?

Waar komt die pop-up vandaan? Vanaf een browser? Of een executable?
Ik verwacht dat de machines die zijn geinfecteerd geen virusscanner of ander software heeft draaien.

Lijkt mij dat ze de "simpele" gebruiker hebben gepakt en geen "Tweakers"

Het orginele artikel is in het frans helaas. Ik vraag me af welke techniek hier gebruikt is.

LemonC200 @Squ1zZy • 18 augustus 2011 11:36

Ik kan het natuurlijk niet met zekerheid zeggen maar ik verwacht het volgende:

-Het virus vraagt toestemming om in te loggen bij de bank (Maar de gebruiker heeft dit niet door).
-Daarom komt er vervolgens een popup met een nepsite. Waar de code word gevraagd en de andere bank gegevens die nodig zijn om in te loggen. Met als reden dat het voor extra beveiliging is, wat natuurlijk niet waar is.
-Daarna worden de gegevens doorgestuurd naar het virus (of de makers ervan) die vervolgens inlogt en het geld overmaakt.

Het bovenstaande moet dan uiteraard snel gebeuren. Want na te lang wachten verloopt natuurlijk de mogelijkheid om te inloggen.

Door het gebruik maken van deze methode maakt het ip adres ook niet uit want het ip van de aanvraag kan het zelfde zijn als het ip dat het verstuurd.

Het kan natuurlijk ook zijn dat ze gewoon een aanvraag voor overschrijving hebben gedaan in plaats van inloggen maar dat maakt verder natuurlijk niets uit. De methode blijft het zelfde.

[Reactie gewijzigd door LemonC200 op 23 juli 2024 10:12]

gjvdree @Squ1zZy • 18 augustus 2011 11:37

Zou natuurlijk een plugin in de browser kunnen zijn. De browser heeft een beveiligde verbinding, en de popup leest dan de bron van de pagina uit. Is volgens mij vrij simpel. Plugin vraagt een nieuwe tancode aan ing, gebruiker kijgt sms, plugin vraagt om tancode. Voila, hoeft de plugin alleen nog even een transactie maken.
Kost me ongeveer een dag om zoiets te maken.

Niosus @Anoniem: 80466 • 18 augustus 2011 11:02

Ja. Er wordt gewerkt met een soort van kaartlezer waarbij je voort transacties je pin, het bedrag en nog een paar andere codes moet ingeven. Volgens mij zijn er dus mensen die gewoon een overschrijving hebben gedaan volgens de normale weg zonder ook maar 10 seconden stil te staan waarom of waar hun geld heen gaat. Volgens de banken is hun systeem niet gekraakt dus de slachtoffers moeten wel fysiek hun kaart in de lezer hebben gestoken en de stappen gevolgd.

Het ziet er naar uit dat dit gewoon komt door domme gebruikers.. een virus dat dit doet kan ik ook schrijven op een halve dag.

GAIAjohan @Niosus • 18 augustus 2011 11:09

Klinkt als de voor de nederlanders bekende Raboreader.
http://www.onzestem.eu/wp...ds/2011/07/raboreader.jpg

De I-knop is voor inloggen op de website.
Na inloggen op kastje via je pin, krijg je een code te zien je moet invoeren op de pc (+ banknummer + kaartnummer). -> ingelogd

De S-knop is voor het signeren van een betaling.
Na het indrukken vandeze moet je je PIN ingeven, dan de code die op website staat invullen in de reader. Dan krijg je een nieuwe code terug die je op de website moet invullen

ABN gebruikt ook zo'n ding, en ING doet met SMS geloof ik.

[Reactie gewijzigd door GAIAjohan op 23 juli 2024 10:12]

108886 @GAIAjohan • 18 augustus 2011 11:49

Maar als je weet dat deze Vasco-security bakjes eigenlijk bij elke bank hetzelfde zijn, is die extra beveiliging ook niet zo extreem...

Je kan dus een ing/argenta/kbc/fortis/... bakje gebruiken om hetzelfde effect te bereiken bij eender welke bank.

Anoniem: 112442 @108886 • 18 augustus 2011 13:45

Je kan dus een ing/argenta/kbc/fortis/... bakje gebruiken om hetzelfde effect te bereiken bij eender welke bank.

Heb je dit geprobeerd of blaat je maar wat?
Zo juist getest. Een Rabobank kaart werkt niet in een ABN AMRO reader.

Ik neem dat dit voor alle banken geldt. Als de hardware en software gelijk zijn hoeven de key en of certificaten niet gelijk te zijn.

Maar als je weet dat deze Vasco-security bakjes eigenlijk bij elke bank hetzelfde zijn, is die extra beveiliging ook niet zo extreem...

Dit soort "security bakjes" zijn een stuk veiliger dan een username/password en een TAN code die je via je mobieltje binnen krijgt. Het bewijs staat ook weet in dit artikel.
Een mobieltje is in het algemeen niet een device waar mensen heel erg zorgvuldig mee omgaan. Zeker als je dit vergelijkt met een bankpas en hun pincode.
Met een geetje geluk staat de username en password ook no opgeslagen op de telefoon.

IMO zou de Nederlandse dank de TAM code moeten verbieden.
De CEO's van de ING zouden er IMO beter aan doen om hun bonussen aan vernieuwing te besteden i.p.v. in hun eigen zak te steken.

[Reactie gewijzigd door Anoniem: 112442 op 23 juli 2024 10:12]

Anoniem: 135610 @Anoniem: 112442 • 18 augustus 2011 14:32

Ik kan met de kaartlezer van Dexia of Bpost zonder problemen inloggen bij BNP Paribas Fortis. Het enige wat verschilt is de bedrukking. Mij lijkt het niet slecht dat men allen samenwerkt via Vasco aan 1 beveiligd hardware systeem. Geen idee of ze dit werkelijk doen.

Zoals eerder vermeld heb je nog steeds je login, kaart en pincode nodig. De kaartlezer is op die manier niet minder veilig dan een bankautomaat zonder cameratoezicht.

[Reactie gewijzigd door Anoniem: 135610 op 23 juli 2024 10:12]

Wim-Bart @Anoniem: 112442 • 18 augustus 2011 15:10

[...]

Heb je dit geprobeert of blaat je maar wat?
Zo juist getest. Een Rabobank kaart werkt niet in een ABN AMRO reader.

[...]

ABN AMRO kaarten werken wel in een Rabo Reader. Paar maanden geleden nog getest met Office Net van ABN AMRO. Sterker nog, de readers van ABN en RABO zagen er het zelfde uit.

varkenspester @Anoniem: 112442 • 18 augustus 2011 15:20

Je kan in Belgie elke digireader gebruiken bij elke bank (en ja ik doe dit regelmatig: fortis lezer voor argenta bvb),

wél moet je natuurlijk wel de bankkaart en pincode van de betreffende bank gebruiken.

Dutch2007 @Anoniem: 112442 • 18 augustus 2011 16:59

username en/of pw staat niet vermeld in het bericht van de TAN code.. alleen bedrag & TAN & TAN nummer

bericht is in de trend van:

Let op: geef nooit uw TAN-code af. ING zal hier nooit om vragen. Totaalbedrag iDEAL transactie E xx,xx. Volgnummer xxx, tan-code xxxxxx

cire @Anoniem: 112442 • 18 augustus 2011 19:34

De 'bakjes' (readers) zijn in veel gevallen inderdaad uitwisselbaar. De echte beveiliging zit dan ook in je bankpas en niet in de 'reader'.

Als je weet hoe het werkt, kun je het zelf programmeren en heb je niet eens zo'n reader nodig.

Voor meer info: http://en.wikipedia.org/wiki/Chip_Authentication_Program

varkenspester @108886 • 18 augustus 2011 13:37

Je hebt ook je originele bankkaart nodig en je originele pincode van die bankkaart (de bankkaart moet je in het apparaat steken)

SunnieNL

@GAIAjohan • 18 augustus 2011 11:56

Alleen weet je op het moment dat je de S moet gebruiken altijd dat het om een transactie gaat. Als het om extra beveiliging gaat wordt bij de rabo altijd de I code gebruikt om te surfen (of als je de site te lang open hebt en niets doet)

Rinzwind @SunnieNL • 18 augustus 2011 12:24

En de rabo vraagt ook om het bedrag in te typen bij transactie op je digireader. Ze mogen wel beter waarschuwen voor 'vreemd' gedrag. Cq Let op de S is voor transactie...

Wim-Bart @GAIAjohan • 18 augustus 2011 15:07

....

ABN gebruikt ook zo'n ding, en ING doet met SMS geloof ik.

ING heeft of SMS of via TAN lijst.

Zelf gebruik ik TAN lijst omdat bij SMS je altijd kan afvragen wie de SMS getriggerd heeft. Daarnaast geeft ik altijd per definitie eerst een foute TAN code in, gevolgd door de goede (2e poging). Maar dat is een tik van me, doe ik met inloggen ook. Soms direct goede wachtwoord, soms bewust 1e en/of 2e wachtwoord fout.

varkenspester @Anoniem: 80466 • 18 augustus 2011 13:36

In Belgie werken alle banken (althans toch zeker KBC, Fortis en Argenta) met een appartaatje waarin je je bankkaart moet steken, je een code moet ingeven , vervolgens je pincode moet opgeven en een nieuwe code moet overtypen op het scherm.
Zonder interactie met de gebruiker is een overschrijving dan ook niet mogelijk.

Op dit item kan niet meer gereageerd worden.

'Hackers plunderen bankrekeningen ING met virus' - update

Lees meer

IT-banen

Reacties (307)

Sorteer op:

Weergave: