Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 285 reacties

Het virus waarmee hackers ING-klanten via internetbankieren geld afhandig maken, blijkt de bekende trojan SpyEye te zijn. De malware wordt niet herkend door veel virusscanners, melden tweakers die met de trojan te maken hebben gehad.

Het is onduidelijk hoeveel slachtoffers de hackers hebben gemaakt met hun virus: zowel de ING bank als de Nederlandse Vereniging van Banken doen daar geen mededelingen over. Een woordvoerder van de NVB zegt dat banken bekend zijn met de malware: "Die bestaat al langer en wordt telkens geraffineerder." De bewuste trojans blijken de afgelopen tijd inderdaad meer voor te komen bij ING-klanten, bleek tijdens een belrondje dat Tweakers.net deed onder reparatiebedrijven. Er zijn geen aanwijzingen dat het virus naast ING ook andere banken getroffen heeft.

Veel mensen hebben zich naar aanleiding van een oproep onder het artikel van donderdag over dit onderwerp gemeld bij de redactie van Tweakers.net. Uit een bloemlezing van de reacties blijkt hoe het virus te werkt gaat: nadat gebruikers inloggen op Mijn ING, krijgen ze een overlay op het scherm waarin wordt gevraagd om ter verificatie een TAN-code in te voeren. Vervolgens krijgen ze die tancode ook toegestuurd per sms. Oplettende gebruikers zien dat in dat sms'je een bedrag genoemd staat van 90 procent van het saldo. Dat gaat soms dus om duizenden euro's.

De transactie is op dat moment al op de achtergrond aangemaakt, terwijl de TAN-code zorgt voor de verificatie. Op de een of andere manier lijkt de trojan erin te slagen om de transactie te verbergen in het overzicht. Hoe SpyEye op pc's komt, is onbekend. De trojan kan worden bestuurd vanuit een command&control server, die normaal gesproken wordt gebruikt om botnets aan te sturen.

Kwaadwillenden hebben een licentie genomen op de op banken gerichte malware SpyEye, waarvan de broncode enkele dagen geleden uitlekte. De trojan is lastig te verwijderen, omdat die volgens een insider recent veelal via een rootkit op het systeem geïnstalleerd wordt, vermoedelijk Mebroot. Dan kan de gebruiker weinig anders doen dan een expert inschakelen of zijn harde schijf schoonvegen. Virusscanners kunnen de malware vanwege de rootkit niet verwijderen. Wel kan bijvoorbeeld de Cleaner van ING Bank de malware detecteren. Volgens veel gebruikers zien veel bekende virusscanners, zoals McAfee, de malware niet.

Het is niet ongebruikelijk dat kwaadwillenden aan de slag gaan met SpyEye, zegt Joost Bijl van Fox-IT. "Wie dat wil, kan een licentie nemen op SpyEye en aanpassen aan de bank in kwestie." De fraudezaak kwam in de publiciteit toen een Waalse krant donderdag publiceerde over de malware die klanten getroffen zou hebben. Banken in zowel Nederland als België vergoeden het bedrag dat mensen door het virus kwijtraken.

SpyEye

Moderatie-faq Wijzig weergave

Reacties (285)

Vind je het gek dat virusscanners het virus niet detecteren?

De executeable word namelijk vaak ook door een Crypter gehaald, als je wilt weten wat een crypter is, lees dit artikel:

http://ankitthehacker.wor...how-they-work-picssource/

Daarbij word niet alleen SpyEye gebruikt, maar ook R.A.T's zoals CyberGate, DarkComet en BlackShades.

Het is ook goed mogenlijk dat een Java Drive-by werd gebruikt om de malware te verspreiden.

Een Java Drive-by is een Rogue applet die de software op je computer download en execute.

Meestal heb je dit niet eens door, andere keren moet je toestemming geven of het mag worden uitgevoerd.

Daarbij kunnen ING Users ook worden getricked om de software te installeren onder het mom van een "Security Fix" oid.

Groeten,
Anthrax
Ja, dat vind ik gek. Een crypter zorgt ervoor dat signature-based detectie lastiger wordt.
Echter gebruiken moderne virus scanners sinds jaar en dag ook code-analyse : elke code die wordt uitgevoerd wordt bekeken op verdachte handelingen. Aangezien het gecrypte virus eerst gedecrypt moet zijn voor het uit te voeren is, hoort een goede heuristische analyse deze gewoon op te pikken.
Wat mij aannemelijker lijkt, is dat het gebruik van een rootkit ervoor zorgt dat de scanner de code nooit te zien krijgt. De OS hook wordt gewoon nooit aanroepen.
In het artikel staat duidelijk dat er gebruik wordt gemaakt van een rootkit.
Wat dus betekend dat het hele OS onbetrouwbaar is en je moet formateren om zeker te weten dat die troep weg is.
Oplettende gebruikers zien dat in dat sms'je een bedrag genoemd staat van 90 procent van het saldo.
In het sms bericht staat:
Let op: Geef nooit uw tan code af, ING zal hier nooit om vragen.
Totaalbedrag ****
volgnummer ****
Tan code ****


Oplettende gebruikers weten dus ook dat ING nooit zomaar om een tan code zal vragen.
ING zal alleen om een tan code vragen als jijzelf opdracht geeft.

Als je met je pinpas betaald dan moet je ook op ok drukken ter bevestiging van het bedrag.
Mensen controleren dat toch ook neem ik aan waarom niet bij de bevestiging van een overboeking?
DeBank van een Fins bedrijf schijnt alle bank trojans incl. SpyEye te kunnen detecteren - maar niet verwijderen. Heb alleen nog nooit van deze scanner of het bedrijf Fitsec gehoord. Ook kan ik niet echt betrouwbare sites vinden die dit nieuws brengen.

Iemand die kan bevestigen of dit betrouwbaar is of dat je juist een trojan op je pc introduceert?

http://www.softwarecrew.com/2011/08/debank-detects-all-the-major-banking-trojans-including-spyeye-in-minutes/


Edit: Lijkt toch legit te zijn. Download het wel van hun eigen site http://www.fitsec.com/blog/

[Reactie gewijzigd door Hawk1 op 19 augustus 2011 12:39]

Toevallig nèt een buitendienstmedewerker aan de lijn gehad (ook ING en een nep TAN-code scherm, maar gelukkig gelijk afgebroken).

Zijn AVG had de trojan niet gedetecteerd. Bij het starten van de scanner in AVG kwam na een seconde de melding dat 'ie al klaar was, en 0 virussen had gedetecteerd.

Microsoft Safety Scanner gedownload, de .exe een andere naam gegeven voor de zekerheid en gestart. Die vond niets. Nogmaals gestart maar in Veilige Modus en jahoor: een goed dozijn Trojan downloaders.

Na opnieuw Windows (XP) gestart te hebben, scande AVG weer zoals vanouds.

MS Safety Scanner:
x86 versie: http://definitionupdates....fetyscanner/x86/msert.exe
x64 versie: http://definitionupdates....tyscanner/amd64/msert.exe
Die begrijp ik niet helemaal. Schaar mezelf dan ook niet onder het kopje Tweaker ;)

Samenvattend; de normale scanner vind hem niet, maar de MS Safety Scanner wel in de Veilige Modus (waarbij de .exe is aangepast voor de zekerheid)?
Ik weet niet hoe die hackers het voor elkaar krijgen maar voor de banken moet toch te achterhalen zijn waar het geld naartoe gaat? Dat op het rekeningafschrift niets wordt weergegeven is zeer knap maar hoe zit dat bij de bron (lees: de ING)? Daar kunnen de autoriteiten voldoende info uithalen lijkt mij... daar wil ik wel iets meer over horen eerlijk gezegd.
Ze kunnen het traceren tot een 'exit punt' waarin het digitale geld omgezet wordt in iets dat niet meer te traceren is (geld opname bijv.).

Zo zijn er (ook in nederland) een hoop mensen die hun pinpas + pincode 'verhuren' om te misbruiken met dit soort doeleinden. Geld doorsturen naar een van die rekeningen, ATM zoeken zonder cam of mule laten pinnen en weg is het spoor. Zo zijn er wel meer manieren.

Het probleem van banken is dat ze er te laat achter komen en achter de feiten aan moeten. Daarnaast kun je geld digitaal heel snel verplaatsen; maar een bank zal voor elke 'hop' toch toestemming moeten vragen om details van de transactie te krijgen, etc.
Het exit punt is het punt waar men de pijlen op moet richten.

Exit punt blokkeren, dagvaarding opsturen naar eigenaar exit punt.
Claim leggen op de inboedel van de eigenaar.

edit @ Kamiquasi: Dat maakt niet uit. Het exit punt is een rekening nummer. Achter dat nummer zit een persoon die een akkoordverklaring van de gebruiksvoorwaarden heeft ondertekend.

[Reactie gewijzigd door serfbaws op 19 augustus 2011 12:34]

En als dat exit punt gewoon een pin automaat om de hoek is van de bank zelf? ;)
Het exit punt waar jij het over hebt is iemand waar niks te halen valt. Opsluiten is zinloos, ze zijn makkelijk vervangbaar door talloze anderen.
Ohw, dan laat maar zitten dat geld, er valt niks te halen.
We gaan de kosten gewoon verhalen op alle consumenten.
/sarcasme

ontopic: Maakt niet uit, volgens de wet is de gene die de overeenkomst aangaat verantwoordelijk, ook de bank dus die het exit punt van een nummer voorziet.
Dan klaag je maar gewoon de bank aan, zodat die op zijn beurt het exit punt aan zal moeten klagen.
Ohw, dan laat maar zitten dat geld, er valt niks te halen.
We gaan de kosten gewoon verhalen op alle consumenten.
/sarcasme
Zo werkt het inderdaad. En niet alleen bij de bank; en je doet er bewust of onbewust, en gewild of ongewild aan mee. Onontkoombaar.
Dat exitpunt is dan waarschijnlijk een katvanger; een dakloze of een rekening waar men door identiteitsdiefstal aan is gekomen. Linksom of rechtsom zal er voor de bank in elk geval niks meer te halen zijn.
Wat bovenstaanden al hebben gezegd.

P.S. er zit een reageer knop op tweakers.net, wel zo handig i.p.v. een soort Twitter-model aanhouden en reacties wijzigen.
Volgens mij is het probleem dat hier "money mules" gebruikt worden, ofwel mensen die tegen een vergoeding hun eigen bankrekening beschikbaar stellen.

Hier kun je er tig van gebruiken, en ze direct het geld naar een buitenlandse rekening over laten schrijven of via hun pinpas het geld opnemen. Bank weet niet meer waar het geld is gebleven... Klaar. En door er meerdere te gebruiken, loopt het blokkeren achter de feiten aan..

Mensen die hun rekening beschikbaar zijn, zijn strafbaar!
Het geld via internet omzetten naar BitCoins en het is (vrijwel) onmogelijk om te traceren
"De malware wordt niet herkend door veel virusscanners, melden tweakers die met de trojan te maken hebben gehad." Meer info, welke scanners herkennen het niet? Zo blijft het gokken.
Hitman Pro 3 kan dit. Uitleg staat hier:

http://www.surfright.nl/n...sted-miniport-hook-bypass
De belangrijkste wijzigingen in de nieuwe versie zijn:

Cloud Assisted Miniport Hook Bypass functie (zie hieronder).
Mebroot/Sinowal detectie en verwijdering.
Verwijdering van nieuwe varianten van de Vundo Trojan.
Master Boot Record (MBR) bescherming bij het herstellen van een geinfecteerde MBR, om rootkit watchdogs te pareren.
Reparatie voor BCD testsigning. Testsigning is een functie van 64-bit Windows die, als ingesteld, ervoor zorgt dat non-signed drivers op 64-bit Windows geladen kunnen worden. Testsigning wordt veel misbruikt door 64-bit bootkits.

[Reactie gewijzigd door Kaasje123 op 19 augustus 2011 14:12]

Ik denk dat testaankoop dan ook een punt heeft dat de gebruiker niet verantwoordelijk kan zijn hiervoor.
De bank moet hier instaan voor de vergoedingen, zoniet zal de consument volledig het vertrouwen verliezen in online banking.
Laat nu net de meeste banken in belgie hun loketten sluiten en mensen aansporen om alles online te doen (uit besparingsoverwegingen?).

ps: er is dan ook al een tijdje een "onweer" tussen test-aankoop en ING http://www.test-aankoop.b...dagvaardt-ing-s728443.htm

[Reactie gewijzigd door zabulus op 19 augustus 2011 11:11]

Uiteraard moet de bank in dit geval niet vergoeden. Het is de pc van de klant die geïnfecteerd is, dat is toch het probleem van de klant..

Als iemand mij geld afhandig maakt aan een geldautomaat, moet de bank dat dan ook vergoeden?
Uiteraard moet de bank in dit geval niet vergoeden. Het is de pc van de klant die geïnfecteerd is, dat is toch het probleem van de klant..
De bank mag alleen door de klant gewenste en geauthoriseerde transacties uitvoeren. Voor deze transactie heeft de klant zelf nooit willens en wetens toestemming gegeven, dus staat de bank garant.

Het is domweg een fraude-geval, net zoals dat iemand op andere slinkse wijze mijn gegevens steelt. Of je code afkijkt, vervolgens pinpas steelt, en vrolijk daarmee gaat internet bankieren.

Je moet niet de slachtoffers de schuld gaan geven van misdaad. Akkoord: de bank is _ook_ een slachtoffer, maar wel een institutioneel slachtoffer, met veel middelen om deze fraude te detecteren en af te handelen en te vergoeden. Sterker nog: daar hebben de banken juist samen potjes voor. Het is de wettelijke plicht van een bank om klanten tegen dit soort malafide praktijken te beschermen.

Zelf vind ik het overigens ook een morele plicht.

[Reactie gewijzigd door Keypunchie op 19 augustus 2011 11:25]

Voor deze transactie heeft de klant zelf nooit willens en wetens toestemming gegeven, dus staat de bank garant.
Toch heeft hij hem geauthoriseerd. Ik begrijp je punt, maar twijfel wel wie er nu echt fout is.

Tegen dit soort dingen kan een bank zich maar moeilijk beschermen. Alle handelingen komen van de pc van gebruiker, gebruiker authoriseerd betaling, en verzend hem naar de bank.

Systeem van de bank is hier in geen geval gehacked / gemanipuleerd.

Als ik onzorgvuldig omga met mijn pinpas / pincode ben ik ook fout.
[...]


Toch heeft hij hem geauthoriseerd. Ik begrijp je punt, maar twijfel wel wie er nu echt fout is.
Nee, de klant heeft hem niet geauthoriseerd. De enige transactie die de klant heeft geauthoriseerd is zijn eigen. De malafide transactie heeft hij niet eenduidig gezien en kan deze dus ook niet authoriseren.
Het invoeren van die tweede TAN code is wel degelijk een authorisatie.

Als de klant zich gewoon aan de belangrijkste controle stap had gehouden die de bank overduidelijk steeds verteld, dan was er niks aan de hand geweest.

Je moet gewoon bij die SMS eventjes het bedrag controleren. Dat word je steeds verteld door de bank.
Nou dat is ook flink kort door de bocht. De klant typt zelf de TAN code in bij het krijgen van de SMS:

Er staat dan duidelijk in een TAN altijd:

Let op: geef nooit uw TAN-code af! Aantal opdrachten: 1. Totaalbedrag overboeking E xxxx.xx. Volgnummer xxx; TAN-Code xxxxx.

Als je een financiele transactie uitvoert op je bank site (ook tijdens het inloggen) en dat wijkt af van wat je normaal doet! Mag je oplettendheid verwachten. Het feit dat de gebruiker dan niet leest is gewoon onacceptabel. Je hebt altijd een x % mensen die zo .... slim.. zijn na alle waarschuwingen om gewoon laks om te gaan met hun "geld".
De klant heeft hem geauthoriseerd door de bedragen die gekoppeld te zijn te controleren en de tan code ter verficatie door te geven.

Volgens mij kan dit hoogstens een issue zijn bij diegene die nog met de analoge tan codes werken.
Dat is onjuist. Het gaat hier om het omzeilen van de al jarenlange discussie van de ING beveiliging met TAN Codes.

Het systeem wat de ABN en Rabo gebruikt is daarentegen redelijk waterdicht. De bank is verantwoordelijk om dit systeem waterdicht te laten functioneren en anders niet deze dienst (internetbankieren) aan te bieden.
Nee, dat is niet waterdicht. Je zou net zo goed een popup voor de E.dentifier kunnen maken volgens mij.
Dat is inderdaad net zo makkelijk. Ik denk zelfs dat het ING systeem in dit geval nog veiliger is.

Immers krijg je hier een sms waar ook het saldo van de overschrijving in vermeld staat! Dit is bij ABN niet het geval. Je krijgt daar een code die je in je identifier invoert, en deze geeft dan een response code. Die code voer je weer in het webformulier in, en je overboeking wordt verzonden.

Voor ABN is een dergelijk virus dan ook eenvoudig te maken. Let me explain:

Een overboeking:
  • 1. Login met gebruik van identifier
  • 2. Ik klik op nieuwe overboeking
  • 3. Vul de velden in (rek.nr, naam, plaats, omschrijving / acceptgiro nr en bedrag).
  • 4. Klik op Verzenden & Betalen (of verzenden & nieuwe overboeking)
  • 5. Aanschouw een tabel met daarin voor iedere uitstaande betaling een rij met gegevens (ontvanger en bedrag).
  • 6. Klik op "Alles selecteren en betalen".
  • 7. Voer verificatie nr in in mijn identifier
  • 8. Voer identifier responsecode in op website ABN en klik OK.
Overboeking is nu voltooid (even uit het hoofd)

Het enige dat het virus hoeft te doen is een iframe laden, daarin stap 2 t/m 4 uitvoeren (nieuwe tab werkt, dus in iframe werkt ook) Als jij bij stap 5 bent, dan hoeft hij enkel zijn eigen rij te verbergen (javascripje met iets als hide row where ontvanger == "rekening_virus_schrijver" && bedrag == "over_te_schrijven_bedrag").

Virus hoeft geen response code op te roepen, want deze vraagt de bank al van je vanwege uitstaande betalingen. Eén code is geldig voor alle geselecteerde overboekingen.

Als het virus dus "slim" is, voert hij stap 2 t/m 4 uit op het moment dat jij op de knop in stap 6 drukt. Zo krijg je enkel de verficicatie code als je ook daadwerkelijk een uitstaande betaling hebt, en is er niks verdachts aan.

Wat mij ook wel verstandig lijkt van een dergelijk virus, is dat hij de overboeking ook in je overzicht verbergt. Bij ABN krijg ik geen analoge afschriften meer, enkel nog mijn telebankieren. Als hij het daar verbergt, en mijn saldo dus met het afgeschreven bedrag verhoogd, dan kom ik er pas achter als ik een incassobureau achter me aan krijg vanwege niet betaalde hypotheek (o.i.d.).

Dus ja, ook ABN is hier kwetsbaar voor, misschien zelfs nog wel kwetsbaarder (doordat je dus het overteschrijven bedrag niet ziet op je identifier (tancode sms van ING)).

[Reactie gewijzigd door GateKeaper op 19 augustus 2011 11:41]

Wanneer de E.dentifier2 aan de PC wordt aangesloten, krijgt je gewoon het bedrag dat overgeschreven gaat worden op je scherm te zien.

Daarnaast vraagt de ABN, net als de Rabobank, om een extra verificatie als het bedrag 'hoog' is (bij de Rabo is dat boven de 1000 euro). Je moet dan het bedrag dat overgeschreven gaat worden als code invoeren in je random reader. Bij de ABN werkt dit (geloof ik) hetzelfde.

Kleine bedragen kunnen dus nog wel 'gestolen' worden (door je uitstaande overschrijvingen aan te passen naar de rekening van de dief, of door minder dan 1000 euro te stelen). Deze bedragen zijn echter een 'kleine' moeite om te vergoeden en de daders pak je makkelijk; deze moeten namelijk behoorlijk wat transacties doen om een interessant bedrag te verdienen. Dat vertaald zich in een grotere pakkans.

Daarom zie je nu ook dat de ING getarget wordt. Deze hebben met hun TAN codes momenteel het zwakste systeem in Nederland.
Tjah, ik heb geen E.dentifier 2. Ik heb de eerste nog, en die werkt nog prima.

Grote fout van de ABN is dan dat je voor die E.dentifier 2 weer € 10,- moet betalen. Heb er laatst nog naar gekeken omdat ik het irritant vind dat standaard de nieuwe geselecteerd staat en ik dus weermoet kiezen "Gebruik #1".

Toen ik er achter kwam dat het aanvragen van het nieuwe (type 2) € 10,- kost, dacht ik "laat-maar". De bank vangt al genoeg van me O-)

Ik weet niet waar de grens ligt van de extra verificatie bij hoge bedragen. Maar toen ik onlangs circa 2500 euro overschreef kreeg ik geen extra bevestiging.

Mocht dit natuurlijk zo zijn, dan kan het virus er ook voor kiezen om enkel de rekeningnummers van de ingevoerde overschrijvingen te vervangen door het nummer van zijn baasje. Jij ziet 3 rekeningen richting 3 bedrijven, er gaan ook echt 3 rekeningen de deur uit, echter richting baasje van virusschrijver.

Hij krijgt wat minder geld binnen, maar met hogere slagingskans. Ik wil dan ook alleen aangeven dat ABN hier net zo goed kwetsbaar voor is.

Nee, eigenlijk is de bank niet kwetsbaar, maar degene die aan het telebankieren is! De eindgebruiker dus.
@GateKeaper

"Grote fout van de ABN is dan dat je voor die E.dentifier 2 weer € 10,- moet betalen."

Ik heb vorige maand gratis een nieuwe E.dentifier 2 opgehaald.

Ben je niet per ongeluk bij de rabo binnengelopen?

[Reactie gewijzigd door mensoc op 19 augustus 2011 12:39]

Nope, ik heb een mevrouw aan de telefoon gehad i.v.m. andere bankzaken en vroeg toen gelijk even naar het nieuwe aparaatje. Deze mevrouw wist mij te vertellen dat hiervoor 10 euro in rekening gebracht ging worden.

Had jij al één van de eerste generatie ? Misschien dat het daar aan ligt? Anders moet ik er nog maar eens een telefoontje achteraan gooien.
Klopt vast, maar als je aangeeft dat de batterij van je E.dentifier 1 op is ('hij geeft battery error, mevrouw') krijg je wel gratis een nieuwe mee. Ze kijken er verder niet eens naar.
Hij geeft geen error, maar toont niet alle delen van het cijfer, 8 word 9, 0, 7, 5, 3, 2 of 1 en 9 wordt 5 of 3, 0 wordt 7 maar 7 kan dus 0, 9 of 8 zijn en 5 kan 6 of 8 zijn, 1 kan 3, 0, 8 of 9 zijn. Als hij is opgewarmd doet hij het soms wel goed, maar als de batterij weer een beetje uitgeput is, zijn de halve cijfers weer terug.

Maar de volkomen willekeur wanneer je dus wel moet betalen voor een extra e.dentifier en wanneer niet is dus helemaal absurd.
krijgt je gewoon het bedrag dat overgeschreven gaat worden op je scherm te zien.
Bij de TAN code per SMS krijg je ook gewoon het bedrag op je telefoon scherm te zien.

Waarom denk je dat de mensen die dat negeren bij de ING het ineens niet negeren bij de ABN of Rabobank?

[Reactie gewijzigd door mjtdevries op 19 augustus 2011 19:21]

Voor de Rabo is het in deze situatie een gelijkspel. Bij overboekingen boven een bepaald bedrag moet je ook het bedrag in de reader invoeren wat je wil overmaken. Net als bij een tan via je mobiel heeft het virus hier geen controle over. Als het bedrag icm de responsecode niet klopt gaat het feestje dus niet door.

Pluspunt voor de tancodes omdat dit in geval van alle bedragen te zien is.

Pluspunt bij de Rabo dat je het bedrag met de hand moet invoeren zodat je als gebruiker het gewoonweg niet over het hoofd kan wat er over gemaakt word.
Pluspunt voor de tancodes omdat dit in geval van alle bedragen te zien is.
Minpunt als je de analoge variant gebruikt (afgedrukte lijst met tancodes).
Ik weet niet precies hoe het bij de ABN zit maar bij de Rabobank (wat een zelfde soort systeem gebruikt alleen dan heet het Random Reader) zit er meer beveiliging in naar mate het bedrag hoger is.

Als je bijvoorbeeld een bedrag hoger dan 100 euro (weet niet precies hoeveel het is) overschrijft moet je als tweede code het totaalbedrag van de overschrijvingen invoeren.

Als het bedrag nog hoger is (bv 1000 euro?) dan moet je zelfs nog een derde controlegetal invoeren, wat overeenkomt met het rekeningnummer waar dit bedrag heengaat.

Als je blindelings alles overtypt is er inderdaad een kans dat je het nog steeds verstuurt, maar het staat er wel duidelijk bij waar de getallen vandaan komen. Dit kan dus ook niet vervalst worden.
Niet helemaal correct, in ieder geval bij de Rabo niet. Als het bedrag van de transactie daar boven een bepaalde grens uit komt, dan vereist het systeem meer dan één response code. De aanvullende code is het bedrag van de transactie. Er staat me zelfs bij dat bij nog grotere bedragen een derde code nodig is, die dan (een deel van) het doelrekeningnummer bevat).
maar daarbij vergeet je dat je bij iig Rabobank ook het totaalbedrag van je overboekingen te zien krijgt, die moet je namelijk invoeren op je e.reader (als het totaalbedrag boven een x bedrag uitkomt)

Stel je wil zelf 3 overboekingen doen van in totaal 250 euro, als je virus dan een extra overboeking van 500 euro zou proberen te verbergen, dan vraagt de rabobank je om het totaal van je overboekingen (750 euro) in te voeren op je e.reader.

Lijkt me dat de meeste mensen dat wel opmerken (al weet ik ook dat dit in de praktijk minder mensen zijn dan je denkt)
Denk zeker niet dat het ING systeem veiliger is. Bij een authenticatie vraag bij de rabo(weet niet hoe het bij abn werkt) verwacht je dan niet dat je ineens betalingsacties op je random reader moet gaan uitvoeren. Bij inloggen moet je de acties met de 'i' button doen maar bij betalen met de 's' button. Er zit een duidelijk verschil in voor een gebruiker. Jij hebt het over het zelf klaar zetten van je betalingen maar dat gebeurt hier in de achtergrond door de malware.
Dat is inderdaad net zo makkelijk. Ik denk zelfs dat het ING systeem in dit geval nog veiliger is.
[...]
Als ING zo veilig is, waarom "trappen" mensen dan regelmatig in dit soort "beroof" pogingen?
Leg mij dat eens uit, dat snap ik echt niet.

Veilig is bij mij toch echt: zo weinig (niet: meer dan gemiddeld) (geslaagde) pogingen om beroofd te worden, hoor ...
@Xubby, je zegt het zelf "waarom trappen mensen"

het is de fout van de desbestreffende persoon zelf die niet oplet, en 100% vertrouwt op hun virusscanner
Nee, want je krijgt een code (althans bij de rabobank) die je moet ingeven op je e-reader en op basis daarvan genereert mijn e-reader en response code.
Als er dus een pagina tussenzit met een andere code, zal de bank nooit mijn response code accepteren.
Zodra je een overboeking plaatst kan de pagina aangepast worden en kan de overboeking aangepast worden zodat het geld naar de verkeerde bankrekening gaat. Zodra vervolgens een code nodig is kan de originele code die de rabobank doorgeeft gebruikt worden en dan typ jij die in op je kastje en krijg je het goede antwoord. De code hoort bij de verkeerde betaling, maar als eoa virus je pagina's aanpast dat het de goede betaling lijkt heb je dat niet door. Al helemaal niet als dat virus zo slim is om daarna in je internetbankieren die overboeking steeds aan te passen zodat het de goede lijkt te zijn.

In zo'n geval ben ik blij dat ik via een ander kanaal een bericht krijg van de bank met daarin iig het bedrag en (bij grote bedragen) ook het rekeningnummer. Dat valt veel moeilijker te vervalsen dan een webpagina.
Zodra je een overboeking plaatst kan de pagina aangepast worden en kan de overboeking aangepast worden zodat het geld naar de verkeerde bankrekening gaat. Zodra vervolgens een code nodig is kan de originele code die de rabobank doorgeeft gebruikt worden en dan typ jij die in op je kastje en krijg je het goede antwoord. De code hoort bij de verkeerde betaling, maar als eoa virus je pagina's aanpast dat het de goede betaling lijkt heb je dat niet door. Al helemaal niet als dat virus zo slim is om daarna in je internetbankieren die overboeking steeds aan te passen zodat het de goede lijkt te zijn.
Het bedrag, en als dat bedrag hoog genoeg is ook de rekening van de begunstigde, is onderdeel van de controle getallen die ter invoer dienen voor de Rabobank random reader. Dat behoor je als klant die gebruik maakt van die service ook gewoon te weten.

In dat geval kan een transactie dus niet vervalst worden, zonder dat je opmerkt dat de betreffende controle getallen niet kloppen. Oftewel: bovenstaand verhaal raakt kant noch wal.
Al die controlegetallen zijn principieel vervalsbaar omdat de trojan controle heeft over jouw computer en mogelijk cryptografische kennis van de sleutels die daarbij gebruikt worden. Omdat bij het TAN-systeem je telefoon betrokken is (dus een apart communicatiekanaal waar het virus geen greep op heeft, tenzij je vanaf je telefoon zit te bankieren), is dat inherent veiliger.

Bovendien zijn die controlegetallen dan toevallig wel het transactiebedrag en het rekeningnummer van de begunstigde, maar dat staat nergens bij vermeld dus mag je daar als gebruiker niet van uitgaan.

[Reactie gewijzigd door mae-t.net op 19 augustus 2011 13:42]

Bij Rabo mischien wel, maar bij abn is er niets van dien aard. code intypen in de edentifier en respons invullen op de website. Rekeningnummer kun je trouwens alleen in een controlegetal opnemen als het er maar één is, en bovendien is dat nummer onhandig lang waardoor er te gemakkelijk een fout bij het overtypen gemaakt wordt. En die bedragen, bij de tan staat altijd het totaalbedrag erbij, bij rabo alleen voor de grotere. Die controlegetallen zijn door de trojan te vervangen, dus je ziet en typt rekeningnummer en bedrag dat je verwacht en de trojan vervangt die in de communicatie door zijn eigen varianten.

De sms-tan is veiliger, enerzijds omdat die via een ander systeem gaat, anderzijds omdat die maar een paar minuten geldig is, al geldt dat laatste ook bij de responsgetallen van de losse apparaatjes.

[Reactie gewijzigd door BeosBeing op 28 augustus 2011 19:37]

Onzin - ook de pagina die er tussenzit kan dit gewoon nabootsen.

Wat wel een belangrijk controle voor mensen is, is controleren wat voor bedrag overgeschreven gaat worden, en naar welke rekening. Als dit afwijkt dan weet je in ieder geval dat er iets niet klopt.
en 50 euro tonen, maar 5000 euro overschrijven is onmogelijk ?
Ja, het zal wel moeten opvallen.

Bij Rabo krijg je dan 3 verificatiecodes
Code 1 (invoeren op reader)
Code 2 (is bedrag en invoeren op je reader)
Code 3 (invoeren op je reader).

Grotere bedragen betekenen meer codes. Tevens is er ook nog een verschil tussen inloggen en een transactie. Inloggen is ook nog je het pasnummer nodig.
Al met al veel beter dan de TAN meuk.
Onzin. Die mensen die zo slordig zijn dat ze in het SMS niet controleren wat het bedrag is, die krijg je ook wel zo ver dat ze bij Code 2 een groot bedrag invoeren op hun reader.

Tegen zulke mensen is gewoon geen enkel beveiliging systeem bestand.
Bij grotere bedragen wordt het bedrag meegenomen in de gegenereerde code. Als daar een ander bedrag wordt ingevuld klopt dus automatisch de code niet en wordt de overboeking afgekeurd.
(Dit is bij de Rabobank zo)
Ja, want bij grote bedragen wordt de 5000 gebruikt om een 2e code te genereren. Volgens mij ligt de grens op zo'n 1000 euro... Bij nog hogere bedragen wordt er soms zelfs om een 3e code gevraagd...
Verder heb je 2 toetsen op de Rabobank reader, de I voor identificatie/authenticatie en de S voor overboekingen. De S zal nooit gebruikt worden voor identificatie/authenticatie en als je die moet gebruiken daarvoor weet je zeker dat er wat fout zit...

[Reactie gewijzigd door servies op 19 augustus 2011 12:11]

Bij SNS moet je voor het overboeken van de grotere bedragen 2x een gegenereerde code invoeren.
En SNS kent geen popups: inloggen en overboeken doe je altijd op de webpagina zelf. Bij het (inloggen en) overboeken krijg je een code, die type je op nummergenerator in en het antwoord van de nummergenerator vul je op de website in, onder het totaalbedrag van de overboeking.
Popups lijkt me wat linker, als ik het allemaal zo lees.
En SNS kent geen popups: inloggen en overboeken doe je altijd op de webpagina zelf
Maar de mensen die hier in trappen letten daar niet op. ING gebruikt ook geen popups, maar je ziet dat dat niet uit maakt.
Het gaat hier niet om een popup maar om een overlay. Dat betekend dat een nieuw beeld wordt getekend over je bestaande beeld (met vervalste info) waar je helemaal niks van merkt. Ook bij het SNS model is dit dus gewoon mogelijk.

Mijn inzien is dat de gebruiker hier nog steeds de zwakke schakel is omdat die de tancode invoert terwijl er in het sms duidelijk een bedrag wordt genoemd dat overgeboekt gaat worden.

Het wordt pas link als het virus enkel bij echte overboeking te werk gaat en dan zonder het bedrag te wijzigen maar enkel de rekening nummer. Zowel het tan systeem als het reader systeem faalt dan. Het tan systeem is wel heel eenvoudig aan te passen door ook het rekeningnummer in het tanbericht te plaatsen.
Maar kan malware daar niet gewoon tussen gaan zitten? Dus popup voor een overschrijving, code aanvragen via de bank, alles klopt en dan een ander (verborgen) bankrekening sturen naar de ABN voor de overschrijving... ofzoiets
Dat maakt dus echt helemaal niks uit. Het virus kan die code gewoon van de website van de rabobank lezen en deze in zijn eigen venster tonen aan de gebruiker. De gebruiker kan deze dan gewoon invoeren in de e-reader. De response code wordt dan weer ingevuld in het het pop-up venster, waarna het virus die code weer invult in de webpagina van de rabobank. Het enige verschil tussen de beveiliging met tan-codes en de e-reader is dat tancodes op de server worden gegenereerd en naar je toegestuurd worden, en een e-reader ze zelf genereerd. Een virus hoeft echter alleen maar deze code op de computer af te vangen, hoe deze code is gemaakt, maakt voor het virus niks uit.

Het virus maakt gewoon een doodnormale overschrijving, maar past de website voor het overboeken dusdanig aan dat het op het scherm niet als een overboeking lijkt.

[Reactie gewijzigd door tiddo3 op 19 augustus 2011 11:39]

Blijven het nog 2 fisiek verschillende knoppen voor inloggen en overboeken.
Als je oplet zou het alleen kunnen dat bij kleine bedragen de begunstigde veranderd wordt.
Groot verschil is dat je bij de ABN (iig met e.dentifier 2) verschillende codes gebruikt voor inloggen en verzenden van opdrachten.

Als je echter denkt je 'gewone' opdrachten te verzenden, maar in feiten 'andere' opdrachten verzendt helpt dat je niet.
Die jarenlange discussie is met name een indicatie hoe weinig mensen snappen van wat beveiliging inhoudt en hoe dit werkt, en hoeveel mensen menen te moeten zeggen zonder dat ze er wat van snappen.

Het TAN-code systeem van ING is net zo veilig als de andere systemen, maar door zo'n "mooi stukje techniek" wat de mensen van de bank krijgen ontstaat plotseling de indruk van een geavanceerdere beveiliging.

Zoals al eerder aangegeven, elke beveilings-vorm is kwetsbaar voor een virus dat in staat is zich te nestelen tussen gebruiker en website, en of er nou een kastje, TAN-code per SMS of TAN-code op papier wordt gebruikt, het virus sluist het allemaal door, met alleen een aanpassing in rekening-nummer en bedrag.
Zoals al eerder aangegeven, elke beveilings-vorm is kwetsbaar voor een virus dat in staat is zich te nestelen tussen gebruiker en website, en of er nou een kastje, TAN-code per SMS of TAN-code op papier wordt gebruikt, het virus sluist het allemaal door, met alleen een aanpassing in rekening-nummer en bedrag.
Dat is dus bij in elk geval de rabo niet zo, omdat de gebruiker zelf (bij grotere bedragen)nog het totaalbedrag en het rekeningnummer van de ontvanger moet invoeren in de random reader. Op basis hiervan spuugt de random reader weer een autorisatiecode uit, die wordt vergeleken met die op de server. Als een virus dus het bedrag of rekeningnummer aanpast, klopt de code uit de random reader niet meer. Tenzij de gebruiker zo stom is om een afwijkend bedrag of rekeningnummer in te typen in de random reader, is dit systeem volgens mij veilig, zelfs als een virus je PC heeft overgenomen.

[Reactie gewijzigd door GreatDictator op 19 augustus 2011 13:29]

Maar het artikel geeft toch aan dat de verzonden SMS ook een bedrag om over te schrijven bevat? Misschien is het een idee dat mensen *kijken* naar wat ze doen en ontvangen?
Als je ge-skimmed wordt krijg je (in het algemeen) je geld terug van je bank en wordt het geld verhaald bij de daders (soms door je bank of anderszins). Zie deze manier van hacken ook maar als skimmen, je internetbankieren is "ge-skimmed" oftewel de hackers halen geld van jouw rekening af.

Als je beroofd wordt van je geld, dan kan je het geld verhalen op de dader. Vaak kan de bank erbij helpen. Niet altijd.

Hoe het ook zij: HET BLIJFT OPLETTEN!

[Reactie gewijzigd door qbig1970 op 19 augustus 2011 11:20]

Skimmen is op apparatuur van derde, je pc is van jezelf en dien je IMO zelf voldoende maatregelen te nemen om dit te voorkomen.
Mensen hebben vaak virusscanners, wat verwacht je nog meer van de gemiddelde consument?
Dat ze het SMS-je met de TAN code EN het bedrag controleren.
Staat in de TAN code dan het bedrag waar het over gaat? Zo ver ik weet heeft het TAN code systeem geen challenge/response.

Als ik bij de Rabobank iets over wil maken moet ik via de randomreader 1 tot 3 getallen invoeren afhankelijk van het bedrag. Uit de randomreader krijg ik dan het response getal.
Het 1e getal is een random getal.
Het 2e getal is het aantal euros (zonder centen).
Het 3e getal is het rekening nummer van een van de ontvangers.

Om die manier is het heel lastig om 90% van een rekening te plunderen zonder dat de gebruiker het opmerkt bij het voltooien van de transactie.
Nee hoor, het is net zo makkelijk.

Jij gaat er vanuit dat iemand een heel klein beetje oplet bij het internet bankieren, en dan is het met bovenstaande methode inderdaad niet mogelijk om een rekening te plunderen zonder dat de gebruiker het opmerkt.

Maar dat zelfde geldt voor de TAN code per SMS. In de SMS waar de TAN code in zit, staat ook het bedrag. Dus diezelfde persoon die een heel klein beetje oplet ziet dan dat de boel niet klopt.


Als iemand alle veiligheidsmaatregelen negeert, dan zal ie dat bij het Rabo systeem net zo hard negeren als bij het TAN per SMS systeem.
Het blijft altijd een afweging tussen gebruiksgemak en veiligheid. Als ik bij de Rabobank overal zo'n reader mee naartoe moet nemen en tot 3 getallen in moet voeren om een simpele transactie te doen dan zal ik zondermeer voor de ING met het TAN via SMS systeem kiezen.
Ik ga dan toch liever voor de veiligheid.
Wanneer komt het nu voor dat je onderweg een betaling wilt doen?

Je kunt de reader gewoon thuis laten en s'avonds je financieen regelen.
Ik zou er ook niet voor kiezen om op een "vreemde machine" waarvan ik niet weet wat voor een virussen draaien mijn bankzaken te regelen.
In het SMS'je dat je krijgt met de TAN code staat ook het bedrag geneomd
Jup, in de tancode staat altijd het volledige totaalbedrag. En een random reader zou hieraan niks veranderen, een internetbank met een random reader is op precies dezelfde manier (softwarematig) te skimmen.
En dat ze weten dat ze alleen bij transacties een TAN code nodig hebben en nooit ergens anders voor!
Als je TAN per SMS hebt wel ja. Niet iedereen heeft het zo. Overigens is op ING.be de term 'tan code' onbekend, en gaat dat alleen voor de Nederlandse ING, en niet voor de Belgische (of ze moeten het daar anders noemen).

Als je TAN per SMS hebt, heb je helemaal gelijk, maar het geldt niet in alle gevallen.
Ik heb bij ING nog nooit via een SMS iets moeten bevestigen, dus als ze dat nu zouden vragen, zou ik dat zeker niet vertrouwen.
Het gaat niet om bevestigen, je kan de TAN code via een SMS opgestuurd krijgen. Die code voer je dan weer in op https://www.ing.nl
Zoiets als een beveiligde bankieromgeving met een random reader of digipas? Bij mijn weten heeft ING nog steeds de slechtste veligheidsmaatregelen voor internetbankieren van alle Nederlandse banken.
Zelfs in die gevallen zou deze malware kunnen werken aangezien de malware in de achtergrond de transactie verwerkt en de gebruiker om een op het eerste zicht legitieme verificatie vraagt. De gebruiker heeft zich op de site van de bank aangemeld en het lijkt dan ook die site te zijn die een overlay voorschotelt.
Als je de sms ter controle bedoelt: die is niet helemaal veilig, maar wat verwacht je van een "budget" salaris-rekening? Dat wil zeggen, ING heeft een goedkope versie, de opvolger van de goedkope Postbank rekening.
Je moet er alleen wèl correct mee omgaan.

Ik ben al een paar jaar weg bij de ing, maar de papieren TAN-code lijsten, die waren pas echt link, vooral toen ze nog niet "willekeurig" werden gebruikt.

Neemt niet weg dat ING wel bovengemiddeld aan de beurt is bij pogingen om aan het geld van klanten te komen.
Wat is er dan link aan een papieren TAN-code lijst?
Dat is in principe het veiligste systeem dat er maar bestaat. (niet voor niets ook gebruikt door geheime diensten)

Je moet alleen zorgen dat je die lijst niet rond laat slingeren. Meenemen zodat je op elke willekeurige plek een transactie kan doen is er dus niet bij.
Je zegt het zelf: niet laten slingeren ...
Ook niet uit de brievenbus laten hengelen ...
Geen codes zomaar doorgeven. Maar dat was vooral een probleem toen de papieren tancode lijsten niet in willekeurige volgorde werden gebruikt.

[Reactie gewijzigd door Xubby op 19 augustus 2011 13:19]

Bij een SMS heb je de extra verificatie dat het bedrag dat je wil overmaken mee gestuurd wordt.
@stresstak:
De truc hier is dus juist dat je dat niet ziet. De trojan past de weergave van de webpagina aan.

[Reactie gewijzigd door ATS op 19 augustus 2011 16:55]

een applicatie die toelaat om transacties op de achtergrond te laten doen en ze zelfs laat verbergen is een verantwoordelijkheid van de bank. the end.
waarin de applicatie de browser is.... ING kan dit m.i. niet controleren, een slim virus kan gewoon netjes de ING website gebruiken zonder dat ING ook maar iets merkt, maar aan de klant achter het scherm iets heel anders laten zien.

De TAN code per SMS met het overschrijf bedrag is hierin de enige echte controle, daarom moet je dit ook altijd controleren. Ik heb geen ervaring met een random reader, maar ik hoop dat je daar ook het totaalbedrag in moet voeren (of af moet kunnen leiden)
Nogal kort door de bocht. Heb jij een betere mogelijkheid? De enigste eis is dat het moet werken op de computer van de gemiddelde Nederlander en ook nog enigzins bruikbaar is, dus niet te ingewikkeld.

En nee, het rabo systeem (of abn, of ...) is echt niet veiliger. Als mensen namelijk al niet eens het bedrag in de SMS controleren, hoef je er niet vanuit te gaan dat ze bij de rabo wel snappen dat het 2e getal het totaal bedrag is...
Bij de ABN doen ze moeilijk als je niet de mainstream browser gebruikt, vooral de credit-card-site blokkeert bij iets anders als IE, FF, Chrome (of Safari, hetgeen ik niet gebruikt), met name Opera, maar waarschijnlijk ook K-Meleon, Arora, Midore, Kasehase (allemaal recent) maar de ING-site werkt bij allemaal.

Als je vervolgens niet de als standaard ingestelde browser gebruikt maak je het voor een eventuele trojan een stuk moeilijker om je een valse transactie in de maag te splitsen. (Alleen daarom zouden IE (op Windows) en Safari (op OS-X) verboden moeten worden.)

[Reactie gewijzigd door BeosBeing op 28 augustus 2011 18:31]

op apparatuur van derden, maar het loopt via de website (betaaldienst) van de bank.

Het virus staat dus tussen de klant en de bank.
De banken zijn verzekerd voor dit soort fratsen.
Als zij niet willen meewerken aan een gesloten bankcircuit, dan moeten ze daar de problemen maar bij nemen.

Het zijn de banken die de beveiliging bedenken, dus hun verantwoordelijkheid.

Ik heb enkele maanden geleden eenzelfde 'onveilige' situatie voorgehad op PC banking:
Ik log in op de banksite met de gegenereerde code en ik krijg een scherm dat de inlogcode niet correct ingevoerd werd, met de vraag om dit opnieuw te doen.

Op dat moment had ik door dat dit een virus kon zijn. Ik had de keuze om te wachten tot de eerste inlogcode expired zou zijn (half uurtje) of nogmaals in te loggen. Ik heb dat tweede gedaan, maar was toen wel at risk:

Een virus heeft totale controle over je pc. Dus kan die groene SSL balk vervalst worden. Als jij een eerste keer inlogt, vangt het virus de code op, stuurt het zelf door en logt zelf in. Vervolgens toont het virus je een bericht dat je een foute code ingaf en vraagt je een nieuwe code. Jij typt de tweede code in, terwijl die weer opgevangen wordt door het virus en nu kan het virus een overschrijving doen met jouw code. (bij sommige banken die auth en sign door elkaar gebruik).

Als gebruiker kun je in zo'n scenario helemaal niks door hebben, want je maakt wel eens een foutje met die codes. Terwijl het virus alles kan emuleren zodat alles er goed uit ziet in de browser.

Zoals in het eerdere nieuwsitem gezegd, moet de bank extra maatregelen treffen om veilig te spelen en andere apparaten+communicatiewegen inroepen. GSM verkeer is fysiek gescheiden van het internetverkeer, dus daar is geen brug mogelijk door een virus. Het niet onmiddellijk boeken van de overschrijving weegt niet op tegen de extra veiligheid.

- Bij elke saldo wijziging een sms ter info
- Bij elke overschrijving een sms met een undo code

-> Dat het sms verkeer plaintext is en vervalst kan worden speelt geen rol. De sms functie wordt beperkt tot informatie en herroeping van een overschrijving. Hiermee kan een kwaadwillige hooguit een overschrijving van je annuleren, waarna je toch alweer een sms ter info krijgt :-) Het principe is verspreiding, het virus zou je GSM en PC tegelijk moeten infecteren en onderling moeten communiceren om beide apparaten om de tuin te leiden. Wat praktisch niet kan.

Verder moet de sms klaar en duidelijk zijn. Zaken als 90% kunnen toch niet. Alle bedragen moeten vaste bedragen zijn. Als ik bericht zou krijgen dat ik 90% overschreef, zou ik misschien ook wel 90€ lezen. Bij ING lijkt men in dit geval wel het bedrag vermeld te hebben.

[Reactie gewijzigd door ? ? op 19 augustus 2011 11:42]

Ik ga ervan uit dat de genoemde 90% niet in je SMS staat maar het bedrag daarvan.
saldo €1000,00 -> bedrag €900,00.
ING zal nooit een SMS met een percentage van het totaal saldo sturen. Het SMS-je zal dus 100% overeenkomen met de SMSjes welke je altijd ontvangt
Behalve dat je nu geen opdracht heb gegeven tot overschrijving. En dat is nogal een verschil, nietwaar?
Je geeft dus geen opdracht tot overschrijven, of je hebt wel een opdracht tot overschrijven gegeven maar bedrag is anders. In beide gevallen nooit TAN code invullen.
(edit 1e reactie was op die van Fastman)

[Reactie gewijzigd door W.Wonderland op 19 augustus 2011 12:52]

Je geeft dus geen opdracht tot overschrijven,
Mee eens. Het wachten is op een virus dat zelf achter de schermen zijn eigen overboekingen regelt als ik wat overmaak aan iemand. Meeliften op mijn TAN code dus.
Dat kan dus beslist niet. Met een tancode bevestig je een vooraf gedefinieerde overboeking met een vast bedrag wat bij je tancode genoemd staat. Dit bedrag kan niet ineens gewijzigd worden.

Wat wel kan is dat je overschrijvingen gemaskeerd worden en altijd naar dezelfde rekeningen gestuurd wordt.... Gelukkig zijn dat doorgaans geen grote bedragen en wordt zoiets redelijk opgemerkt omdat er altijd een vervangende partij is... Alleen bijv in de jaarlijkse belasting ronde zou dat erg jammer zijn...
Het systeem dat mijn bank gebruikt vind ik nog beter. Bij een overschrijving naar een rekeningnummer waarnaar ik nog geen overschrijvingen gedaan heb of bij grote sommen (meestal wel dus maar niet altijd) moet ik voor een overschrijving M2 gebruiken waarbij naast die verificatiecode en pincode ook het rekeningnummer en saldo moet ingegeven worden.

Als je dan zelf in het toestel een groot bedrag ingeeft en een vreemd rekeningnummer moet je echt wel zeer dom zijn.
Net zo dom als de mensen die nu een TAN code hebben ingegeven uit het SMS-je waar dat grote bedrag duidelijk in staat.
Bij onze engelse bank moet je niet geregistreerde rekening nummers (dus niet die van de providers van gas enzo) telefonish een rekenignummer laten toevoegen aan de lijst van beschikbare nummer. Omslachtig , maar veilig.
Lezen blijf moeilijk voor belen.
dat sms'je een bedrag genoemd staat van 90 procent van het saldo.
Er staat dan duidelijk in een TAN altijd:

Let op: geef nooit uw TAN-code af! Aantal opdrachten: 1. Totaalbedrag overboeking E xxxx.xx. Volgnummer xxx; TAN-Code xxxxx.

Als je dan alsnog.. tegen beter weten in het TAN code gaat invullen terwijl er duidelijk staat overboeking en bijvoorbeeld 1000,-
Bank 1) Infromatieverzoek: gebruik knop I op je cardreader. Overboeken gebruik knop S op je reader. De ene code kan niet misbruikt worden bij de andere mogelijkheid.

Bank 2) Hetzelfde principe, nu als een menukeuze in de reader. Onbekende begunstigde: Optie 3. Groot bedrag, menu optie 4.. Om een bedrag naar een onbekend rekeningnummer over te boeken moet je dus 1, 2, 3 en optie 4 uitvoeren. Als je het dan nog niet door hebt, dan hoor je niet op internetbankieren thuis.

Het systeem van ING waar je met één code een (groot) bedrag over kan boeken naar een onbekend rekeningnummer is gewoon veilig. Ik bankier dan ook niet bij ING.
Het systeem van ING waar je met één code een (groot) bedrag over kan boeken naar een onbekend rekeningnummer is gewoon veilig.
Ik vrees dat je NIET veilig bedoelt. Edoch, als ik een onverwacht groot bedrag zie staan bij een geplande overboeking maakt het niet uit hoeveel knoppen ik moet indrukken of codes moet invoeren Als het niet de bedoeling was en ik doe het toch is het mijn schuld.
Je schets nu een te rooskleurig beeld. Als je geskimmed wordt dan is het meestal in het verre buitenland dat er wordt gepind met jouw bankpas. En ook bij dit virus zal het geld hoogst waarschijnlijk naar het buitenland worden overgemaakt. Ik verwacht niet dat de banken dit geld terug kunnen halen (met het pinnen uit de automaat al helemaal niet) dus het verlies wordt allemaal geïncasseerd door de banken. Dit is een ingecalculeerd risico en verlies dat banken leiden. Indirect betaal jij daar als klant aan mee.
Dit klopt idd niet altijd, ikzelf werd geskimmed bij de Albert Heijn XL bij mij om de hoek... Keurig een brief gekregen van de ING dat ik slachtoffer was van skimming, ik moest mijn rekening in de gaten houden en het eventuele bedrag die ik mankeerde werd terugbetaald door de ING. Een week later kreeg ik een nieuwe pas van de ING!

imho een keurige service van de ING om mij te attenderen op deze feiten, ING ga zo door! ;)
Jij krijgt je geld wel terug ja... Alleen kan de ING het niet verhalen op de daders omdat die in "timboektoe" een geldautomaat hebben leeggetrokken en dat geld komt dus gewoon nooit meer terug!
het is totaal niet hetzelfde als skimmen, in principe kun je skimmen niet voorkomen als gebruiker en dit wel, schade door skimmen is NIET gerelateerd aan nalatigheid van de gebruiker en dat is hierbij wel het geval.
Kan iemand ook duidelijk maken of het nu Windows-only is of niet? Dat is voor veel bedrijven en consumenten ook belangrijk te weten.

@rulus; bij een beroving gaat het niet om duizenden Euro's in het algemeen en dan nog is er het verschil dat je er weet van hebt. Een virus, daar kan de klant niet zoveel aan doen als scanners deze niet oppikken, bovendien wordt het systeem van ING dat veilig behoort te zijn, ermee kunstig omzeild. Verantwoordelijkheid van de klant, maar ook van de bank en je kan beter de klant even in het voordeel zetten wat dit betreft.

[Reactie gewijzigd door vgroenewold op 19 augustus 2011 11:19]

Het gaat inderdaad over verantwoordelijkheid. In voornoemd geval van beroving moet je aangifte doen tegen de dief en zo proberen je geld terug te krijgen, toch niet tegen de bank?

Het is toch echt de verantwoordelijkheid van de klant om zijn pc veilig te houden, op welke manier dan ook. Ik vermoed dat het hier om Windows-only malware gaat (maar dat is inderdaad nog niet bevestigd), dus dat ik met mijn systemen (Linux-based) hier weinig risico loop.

De bank lijkt me hier echt niet verantwoordelijk; de klant voert zelf een overschrijving uit die opgestart wordt door lokale malware op zijn pc. Eventueel zou je als slachtoffer kunnen proberen om iets bij de maker van je antivirus te halen omdat die het niet detecteerde (maar daarbij veel gelukt gewenst)..
Zoals in het artikel al aangegeven wordt de trojan die hier is gebruikt niet herkend door een aantal virusscanners. Er zijn inmiddels al genoeg voorbeelden van trojans die op zo'n manier worden verspreid dat ook een expert de dupe zou kunnen worden. (bijv. door het hacken van een site voor legitieme software en daar een besmette variant plaatsen). Als het nu gaat om een gebruiker die onzorgvuldig is kan ik je nog volgen maar als de gebruiker alles netjes doet en nog steeds kwetsbaar is wordt het een ander verhaal.

De bank kiest de beveiligingsmaatregel en die voldoet niet tegen dit soort aanvallen. De bank accepteert daarmee een risico, ze zou immers ook nog strengere beveiligingsmaatregelen kunnen treffen. Andere banken hebben die wel. Waarom is dit dan de verantwoordelijkheid van de klant? De bank accepteert namelijk de illegale transactie, de gebruiker kan hier niets aan veranderen.

[Reactie gewijzigd door timag op 19 augustus 2011 12:00]

De bank kiest de beveiligingsmaatregel en die voldoet niet tegen dit soort aanvallen. De bank accepteert daarmee een risico, ze zou immers ook nog strengere beveiligingsmaatregelen kunnen treffen. Andere banken hebben die wel. Waarom is dit dan de verantwoordelijkheid van de klant? De bank accepteert namelijk de illegale transactie, de gebruiker kan hier niets aan veranderen.
Tot op een zeker punt heb je gelijk, maar ik ben het toch niet met je eens. De authenticatie die plaatsvindt voorziet namelijk wel degelijk in een afdoende beveiliging. Als jij als gebruiker niet naar het bedrag kijkt maar blind de code ingeeft is dat niet de schuld van de ING.

Sterker nog, de RABO/ABN/SNS zijn precies even gevoelig voor dit soort aanvallen. Immers: of je nu een tan-code of een digi-pas, of welke code dan ook ingeeft: als jij niet kijkt of de actie ook klopt met wat jij verwacht dan kan is het altijd mogelijk dit te vervalsen.

Zelfs al zou je een DNA sample + vingerafdruk + code + bankpas en rijbewijs vragen ter verificatie dan nog kun je er als bank niets aan doen dat de geverifieerde een transactie goedkeurt die hij/zij eigenlijk niet wil.

Moet je dan als bank maar gaan gokken dat een persoon een bepaald bedrag toch niet over wil maken en dan maar even bellen of het wel echt de bedoeling is?
Er is toch wel een wezenlijk verschil tussen Rabo/ABN/SNS en de ING.

Bij de eerste drie banken moet je een code invoeren die door de site gegeven word en zolang de hackers niet weten hoe die gegenereerd word kunnen ze je niet de juiste code tonen om in te typen op je random reader.

Degenen achter de software hebben bij de eerste 3 banken dus informatie nodig over hoe de code gegenereerd word.

Wat ik me wel afvraag is waarom accepteert de ING de TAN-code die toegestuurd word. Dat is dus kennelijk een code die door de ING aan de gebruiker is verstuurd, of de hackers hebben het systeem achter de codes gekraakt.

Er zitten dus wel degelijk gaten in het systeem dat ING gebruikt, ik bedoel een virus op de gebruiker zijn pc kan het ING systeem zover krijgen dat het een TAN code voor een ongewenste transactie aan de gebruiker stuurt.

Ik weet dat bij de rabo er groot bovenaan staat welk bedrag naar welke rekening je wil overmaken, zodra ik dat niet zie staan ga ik echt niet op S op de randomreader drukken en de authorisatiecode intypen, als de rabo iets wil verifieren dan vragen ze gewoon een 2e keer om een inlogcode. Terwijl als ik een overlay zie die vraagt om een TAN code die ik dan vervolgens ook netjes door de bank toegestuurd krijg.

Het ING systeem kan beter, er zijn ook al meerdere virussen geweest die zich specifiek op ING richten, dus zoals anderen zeggen dat het ING systeem net zo veilig is als dat van de anderen zou ik niet aan durven.
Hoe kan je nu beweren dat er een groot verschil tussen Rabo/ABN/SNS en ING terwijl je er blijk van geeft totaal niet te begrijpen wat er aan de hand is?

De hackers hebben geen enkele kennis nodig over hoe de code gegenereerd word. Ze hebben ook niet het maken van de TAN codes gekraakt. Dat kan ook helemaal niet, want die TAN codes zijn willekeurige codes. Bij die andere banken is er nog een theoretische mogelijkheid dat je het systeem kunt kraken, maar bij de TAN codes is dat per definitie niet mogelijk.

Wat er gebeurd is veel simpeler. De trojan zit zonder dat jij het in de gaten hebt de telebankieren webpagina in te vullen. Het ding heeft immers de controle over jouw pc en de bank kan niet zien of een fysiek persoon op het toetsenbord bezig is of een trojan.

Om niet te vallen doet die trojan dat terwijl de klant ook een eigen transactie doet.

Uiteindelijk moet je de transacties bevestigen met een code. Bij de ING met een TAN code, bij de rest met zo'n random reader.

De klanten zitten nu niets vermoedend de codes in te geven voor de transacties die de trojan heeft gemaakt.

Die transacties verschijnen niet op het scherm, daar kan een trojan wel voor zorgen. Maar ze komen wel naar voren bij de codes die ingegeven moeten worden. Maar als iemand daar totaal niet op let, dan vertel je de bank gewoon dat die transactie van de trojan valide is.

Het maakt daarbij niet uit of je het ING of Rabo/ABN/SNS systeem gebruikt. Als je het bedrag van de transacties niet controleert dan geef je de bank gewoon toestemming om de transacties inclusief de transactie van de trojan door te voeren.

Je geeft aan dat jij bij de rabo kan zien welk bedrag je wilt overmaken. Maar dat kun je bij de ING ook zien. Sterker nog, je kunt een trojan maken waarbij je het bij de Rabo niet meer kunt zien, maar zoiets is niet mogelijk bij de TAN code via SMS. In dat opzicht is het ING systeem dus zelfs veiliger dan de Rabo.
Als het goed is geeft de rabobank site voor het overmaken van bedragen boven de 1000 euro nog een tweede invoer. Deze tweede invoer is gelijk aan het bedrag dat overgemaakt wordt. Voorbeeld van het bedrag 1750 euro:
Pas invoeren
Pin invoeren
1e invoer: 10 cijferig random getal
2e invoer: 1750
Nu krijg je op de randomreader een getal wat je in moet voeren op de rabobank website.

Voor grotere bedragen wordt er nog een derde invoer gegeven die je in moet voeren op je randomreader (maximaal 10e invoer). Zodra deze malware dus een tweede of zelfs derde invoer aan jouw toont weet je al dat het foute boel is. Het is namelijk niet mogelijk om 4000 euro over te maken met slechts 1 invoer. Dus de malware moet jouw deze tweede en derde invoer tonen anders kan de malware geen bedrag overschrijven. Als je nog niet doorhebt dat de tweede invoer het bedrag is wat afgeschreven wordt zit er een steekje los bij je :)

Het systeem met de TAN codes is gewoon zeer onveilig. Ik vraag mij altijd af waarom de ING passen uberhaupt een pincode hebben als je die nooit nodig hebt...

Zie ook het bericht van elmuerte: http://tweakers.net/react...=Posting&ParentID=4915204

[Reactie gewijzigd door Twazerty op 19 augustus 2011 17:10]

Bij de eerste drie banken moet je een code invoeren die door de site gegeven word en zolang de hackers niet weten hoe die gegenereerd word kunnen ze je niet de juiste code tonen om in te typen op je random reader.
Als zo'n trojan (hele of delen van) webpagina's kan verstoppen voor de gebruiker, dan kunnen ze toch ook wel een getalletje overnemen?
Het enige is dat je bij die andere banken dan 2x een actie moet doen, wat wellicht meer opvalt.
Het enige wat tegen de ING spreekt is dat ze met een wachtwoord en gebruikersnaam laten inloggen.

Maar zo'n trojan zou natuurlijk ook een paypal account aan je rekening kunnen koppelen, aangezien je dan alleen maar de beschrijven hoeft te lezen en dan merk je als klant echt niet dat de rekening helemaal leeggetrokken is.
En dat kan nog best wel lucratief zijn, aangezien je ook vrij makkelijk kunt achterhalen wanneer iemand's salaris gestort wordt.
Het technische verhaal is al langsgeweest, maar om je laatste vraag te beantwoorden: ja. Net zoals bij creditcards: als er verdachte transacties plaatsvinden (1s na het inloggen 90% van je bankrekening wegsluizen lijkt mij verdacht) kan de bank dat best even navragen. Ik ken ook wel verhalen van mensen die op het punt stonden een transactie in Curacao te doen, terwijl ze in Nederland net bij de Chinees hadden afgerekend.
en nu heb ik een gedeelde rekening, en mijn vriendin zit op curacao.. wie mag er dan niet betalen voor zijn eten?
Als jij eten jou 90% van je rekeningsaldo kost, dan ben je of een arme sloeber, of je doet nogal ruim boodschappen ;-)
Een bank zou kunnen stellen dat Windows vanwege de fundamentele opbouw van het systeem niet geschikt is voor internetbankieren. Het is te makkelijk voor software om zich ongemerkt te installeren en te starten omdat het zo goed als onmogelijk is om de interne activiteiten van het systeem volledig te monitoren. Dat komt doordat MS vindt dat gebruikers daar niets mee te maken hebben.

Maar iedereen gebruikt toch Windows en de banken willen de concurentie bijblijven dus gaan ze internetbankieren voor Windows promoten.
M.a.w. de consument is het slachtoffer van 2 slechte produkten: een besturingssysteem en een service van de bank. Vervolgens krijgt zou die klant daar zelf de schuld van krijgen?

[Reactie gewijzigd door blorf op 22 augustus 2011 08:37]

Ik zou inderdaad ook zeggen dat je de maker van je antivirussoftware (deels) verantwoordelijk kan stellen. In het geval van betaalde software betaal je namelijk om je PC te beveiligen, en in het geval van gratis software is er mogelijk onterecht de indruk gewekt dat je computer veilig is.

Aan de andere kant kan ik me ook voorstellen dat (zeker gratis varianten van) virusscanners gevallen zoals deze in een disclaimer hebben opgenomen. En, toegegeven, de echte verantwoordelijke is natuurlijk de persoon die dit virus heeft gemaakt / geconfigureerd / verspreid.

In dat kader vind ik het dan ook erg netjes van de desbetreffende banken dat ze de schade wél vergoeden. Zoals zabulus al aangaf zorgt dit er ook voor dat online bankieren een goede naam kan blijven houden, wat ongetwijfeld opweegt tegen de (mogelijk) relatief lage kosten die de bank hierdoor zal maken.
Ik heb een deurslot van LIPS.

Als er bij mij wordt ingebroken zijn zij verantwoordelijk en stel ik ze aansprakelijk |:(

Er is geen enkele AV fabrikant die de garantie geeft dat er absoluut niets schadelijks door komt. Alleen overheden kunnen zulke contracten sluiten, en dan voor gesloten netwerken met heel specifieke voorwaarden.

In feite ben je hier zelf verantwoordelijk voor. Doordat dit een heel gerafineerde aanval is en de ING niet wil dat het vertrouwen in online banking wordt geschonden krijg je het geld (na veel moeite) vergoed. Ik denk dat dat terecht is.

Feit blijft dat je het alsnog zelf kunt zien, als je maar goed op het bedrag in de SMS let...
Ik voorzie dat v2.0 van dit virus deze overlay alleen nog maar laat zien op het moment dat je zelf ook daadwerkelijk een transactie doet en dan alleen het rekeningnummer verandert. Op deze manier is de buit misschien wel lager, maar je hebt als crimineel ook veel vaker beet. dan komt het SMSje precies overeen met dat wat je verwacht.

Kun je zo goed opletten als je wilt....
een deurslot van Lips gaat gewoon open als je met een hamer wat juiste tikjes geeft, net als ieder ander merk slot ;)
da's niet altijd waar hoor ...

gewone deursloten hebben enkel maar de 'schuiver'... wij hebben ook zo'n deur waarbij je extra vergrendelingen hebt waardoor inbreken plots niet meer zo simpel is..
sterker nog; als ze de schuiver forceren kan de deur niet meer open....
Een slot moet draaien om open te gaan. Knappe hamer die dat voor elkaar krijgt.
Je kunt natuurlijk met een hamer het hele slot eruit raggen, maar dan zou ik zeggen 1 tikje op een raam is ook genoeg.
Het systeem van de ING met Tancodes is crap. Daarom moeten ze wel vergoeden.
Het systeem van de andere banken met codes die berekend worden aan de hand van een aantal gegegevens zoals je pi code en een aantal getallen en de hoogte van het bedrag enz is veel veiliger.
Als het niet in de kleine lettertjes staat hadden we al wel weer zon "only in the usa" rechtzaak gezien tussen iemand een de virusscanner maker voor een schade vergoeding.
Daar ben ik het niet helemaal mee eens. Als er aan de kant van de klant vanalles gebeurt dan kun je daar de bank niet voor aansprakelijk stellen. De klant doet eigenlijk zelfs de transactie uit vrije wil.

SpyEye infecteerd de browser van de gebruiker en dan kun je daar als bank niets tegen doen. De rendering engine krijgt gewoon info die niet in de code van de server zit.

Het is erg netjes dat ING de klanten vergoed, maar in principe zijn ze niet schuldig.

Dit is overigens ook een van de reden dat ik niets zie in HTML als desktop applicatie taal. De UI word hier dermate zwak door dat het erg makkelijk is om er ongemerkt dingen te veranderen.
je zegt het al helemaal zelf in de laatste regel. HTML is gemakkelijk te manipuleren en eigenlijk ongeschikt voor dit soort dingen.

...en wie heeft er voor gekozen om dit enkel via www (dus HTML) uit te rollen? en de balies te sluiten? niet de gebruiker, dat was de bank. en de bank accepteert daardoor ook bepaalde risico's.

en zie ook de reactie van Arjant2. da's de allerallerallerbelangrijkste reden. op die manier hebben ze geen bankencrisis meer nodig, dan veroorzaken ze het zelf wel.
Het heeft natuurlijk niets met 'netjes' te maken.
Het heeft te maken met het vertrouwen in het internetbankiersysteem van ING.
Als ING dit niet zou vergoeden zouden klanten massaal stoppen met internetbankieren bij ING. Zou ze dus enorm veel klanten gaan kosten.
Genoeg om een bankrun te veroorzaken, en in denk dat het wel duidelijk is wat voor gevolgen dat kan hebben.
Overdrijven is ook een kunst....
dan ga je wel heel gemakkelijk voorbij aan het feit dat ik geen keuze heb in de beveiliging van de bank, ik wilde toen de postbank ing werd ook een random reader aanvragen, ik kreeg te horen, "nee meneer onze tan codes zijn veiliger, we gaan de random readers uitfaseren." welke veiligheid, ing de enige bank waar je via paypal geplunderd kan worden met enkel een paswoord en nu dit virus weer dat enkel ing treft.
bovendien wordt het systeem van ING dat veilig behoort te zijn, ermee kunstig omzeild
Dat word het niet. In de SMS met TAN code staat het bedrag dat de trojan probeert over te maken gewoon vermeld.

ING geeft altijd duidelijk aan dat je minimaal dat bedrag moet controleren voor je de TAN code invoert.

Het is dus gewoon een fout van de gebruiker.

Als mensen hun pincode op hun bankpasje schrijven en dat pasje word gestolen..., beweer je dan ook dat het systeem van de pincodes kunstig word omzeild en dat de bank verantwoordelijk is?
Dit vind ik eerder vegelijkbaar met skimming aan huis. Inplaatsvan dat er gepruts is met de bankautomaat is er met je pc gepruts zodat je denkt iets anders te doen dan wat er echt gebeurd. Lijkt me kwasie onmogelijk om tegen te beveiligen, mischien dat deticated software veiliger is dan een browser maar het lijkt me toch zeer moeilijk om dit te kunnen uitsluiten. mischien kan de bank bevestigings emails sturen van elke transactie om zo eventueel toch een 2e controle los van de transactie zelf. Maar als een virus enkel het rekening nummer verandert moet je dat al gaan nakijken.
Lijkt me kwasie onmogelijk om tegen te beveiligen
Waarom denk je dat ING het totaal bedrag van de transactie in die SMS heeft opgenomen?

JUIST om dit soort malware te voorkomen. JUIST omdat je je bijna niet kan verdedigen tegen een rootkit op een PC.

Dedicated software helpt daar net zo weinig tegen als een browser. Die PC kan besmet zijn en alles wat van die PC af komt is dus in principe onbetrouwbaar.

Maar dit belangrijkste stukje beveiliging gaan sommige mensen dus heel slecht mee om. Een bank kan nog zo vaak vertellen dat je dat bedrag goed moet controleren, maar mensen negeren het gewoon.

Een bevestiging email ipv een SMS lijkt me totaal zinloos. Daar word net zo slecht mee omgegaan als die SMS.
Sterker nog, die email zou eventueel door malware onderschept kunnen worden.

Ik ben bang dat je tegen zulke slordige klanten geen enkel waterdicht systeem kan bedenken.
Mja de banken verplichten je bijna om uit kostenbesparende overwegingen via internet te bankieren, dan moeten ze voor deze risico's ook maar instaan, of weer loketten openen zoals vroeger. Je wordt de facto verplicht om via internet te werken... PC-banking is echt niet ingevoerd als dienst naar ons klanten (hoewel het idd soms wel makkelijk is), maar als kostenbesparend en winstverhogend bedrijfsinstrument.
Toch is het logisch dat de bank vergoeding aanbiedt; het is immers de bank die het betalingsverkeer graag wil monopoliseren. Daar hoort ook bij dat ze de minder aangename consequenties ervan opvangen.
En eigen verantwoordelijk bestaat niet meer?
Zeker wel, maar je kan die niet 100% bij de consument leggen die de techniek ook maar opgedrongen krijgt en dus niet verplicht gesteld kan worden ze te begrijpen en altijd alert te zijn.

Van een briefje van 50 in je portemonnee voel je intuitief aan dat je het kwijt bent, dat heeft een zeer logische interface. Bij bankzaken ligt dat toch al anders, en bij internetbankieren al helemaal. Jij en ik kunnen er vast prima mee overweg, maar dat is geen reden om niet eens stil te staan bij de nadelen van zowel het systeem als van het nastreven van een monopolie op geld door de banken. Vooral dat laatste, mag heus wel een tegemoetkoming tegenoverstaan voor de mensen die -eigen verantwoordelijkheid of niet- tegen de nadelen oplopen. Vaak kunnen die immers niet kiezen voor een alternatief dat beter bij ze past.

Kort samengevat: banken kunnen de verantwoordelijkheid voor de nadelen van deelname aan hun systemen, niet geheel op de consument afschuiven. Gelukkig zien ze dat zelf wel in, zodat jij als klant dat niet hoeft te begrijpen ;)

[Reactie gewijzigd door mae-t.net op 20 augustus 2011 12:51]

Uiteraard moet de bank in dit geval niet vergoeden. Het is de pc van de klant die geïnfecteerd is, dat is toch het probleem van de klant..

Als iemand mij geld afhandig maakt aan een geldautomaat, moet de bank dat dan ook vergoeden?
Niet geheel, bank moet kunnen waarborgen dat haar klanten veilig kunnen bankieren. Die mogelijkheid hebben we(hele bevolking van jong tot oud) niet meer omdat banken de loketten allemaal hebben(of gaan) gesloten en je verplicht bent om je pc te gebruiken. We weten allemaal dat pc niet allemaal veilig zijn(het leeuwendeel schat ik zo), je kan niet verwachten dat een burger(ook die van 80 jaar oud) hun pc net zo goed beveiligen als de banken dat doen, dat kan niet en is niet reëel. Dus de bank weet dat de pc thuis de zwakke schakel is in haar systeem, want die pc thuis is evengoed een onderdeel van het internet bankieren, zonder die pc kan je immers geen gebruik meer maken van de bank.

Vind dat banken gewoon moeten waarborgen dat haar klanten veilig bij hun geld kunnen(de gehele schakel van thuis pc tot bank), en daar moeten ze gerand voor staan. Banken dringen dit immers ook op wij hebben er niet om gevraagd.
Als jij wordt overvallen, kun je dat verhalen op de verzekering. Maar de bank komt hier inderdaad niet bij kijken. de 3e partij echter wel. Met virussen echter, ik weet niet of de verzekering dat dekt. Bij gebrekkige beveiliging in ieder geval niet.
Ben ik niet geheel met je eens. Zodra een gebruiker geld gaat overmaken aan de hand van een popup doet hij dat zelf, niet de bank. Sure, de bank kan heel goed voorlichten, maar als puntje bij paaltje komt doet de gebruiker dit zelf, niet de bank. Ik vind het niet geheel terecht dat banken hiervoor moeten betalen. Het is gewoon de stupiditeit van de gebruiker. En ja, ik weet, niet iedereen is een Tweaker en niet iedereen is even slim wat dat betreft, maar als je zo naief bent om heir in te trappen (en dat vind ik ook van Phising mails), is het misschien verstandiger dat je GEEN online bankieren gebruikt.
Dit is toch hetzelfde laken en pak als scimming? Je ziet niet beter dan een pinapparaat en trekt daar geld uit. En een paar dagen later wordt er in het buitenland grote bedragen van je rekening afgehaald. Wiens schuld is dit dan? Je eigen schuld want je had je pincode moeten afschermen? Of toch de bank zijn schuld?

Dit is precies hetzelfde, meeste mensen die online zitten zijn eigenlijk maar leken op dit gebied en zien een popup verschijnen met alle logo's en denken dat dit normaal is. Ik weet wel beter maar zat mensen niet.

Dus wees blij dat de banken dit vergoeden en heeft niks te maken met de stupiditeit of naïviteit van de van de gebruiker.
Als ik bij een pinautomaat sta, en bij het pinnen ineens in beeld zie dat ik 90% van mijn saldo ga pinnen, dan stop ik er toch ook mee?

Deze gebruikers krijgen een SMS met een TAN code waarbij het over te schrijven bedrag is vermeldt. Als dat correct is, dan moeten mensen toch ook eens gewoon leren lezen, en niet altijd maar blindelings overal op klikken/overtypen imho....
Bij dit virus wordt niet meegekeken, maar wordt actie van je verwacht. Dit is social engineering, en met een beetje logisch nadenken kun je je daar tegen beschermen. Social Engineering werkt op je vertrouwen, dus als je gewoon niks meer vertrouwt dat anders is dan normaal, kom je al een flink stuk verder, zeker bij bankzaken.

Meekijken, zoals scimming, is iets geheel anders. Natuurlijk ben jij het niet schuld als ik achter jou ga staan als je telebankiert en je TAN codes onthoud, of een minicamera achter je computer hang zodat ik je inloggegevens kan vinden. Maar dat is iets geheel anders.
Op skimmen heb je als gebruiker geen invloed, in dit geval wordt en gegokt op nalatigheid van de gebruiker (geen controle van de bedragen door de gebruiker) en onveilige software.
Als blijkt dat de meeste mensen niet zo "slim" zijn, wat het geval is want soms zijn die popups heel goed nagemaakt, dan is de klant verantwoordelijk ja... maar je wilt deze ook graag het gevoel van veiligheid geven als bank en dan kies je beter voor een vergoeding ipv verliezen op grote schaal als het vertrouwen weg is. De bank dient hierop dus een antwoord te zoeken middels virusscan-makers en voorlichting of aanpassing van het systeem.
En ja, ik weet, niet iedereen is een Tweaker en niet iedereen is even slim [...] is het misschien verstandiger dat je GEEN online bankieren gebruikt.
Waarom denk je dat ik Pa (bijna 80) en af en toe wat, laat ik zeggen "goedgelovig" niet leer internetbankieren?
Internetten + e-mailen prima, maar internetbankieren, nee, toch maar even niet ...
De bank moet hier instaan voor de vergoedingen, zoniet zal de consument volledig het vertrouwen verliezen in online banking.
De bank heeft reeds aangegeven te gaan vergoeden:
Banken gaan de schade van klanten vergoeden.
nieuws: 'Hackers plunderen bankrekeningen ING met virus' - update
En dat is al jaren het beleid van banken om de slachtoffers schadeloos te stellen.

[Reactie gewijzigd door PcDealer op 19 augustus 2011 11:37]

Dit hele systeem is juist een demonstratie van de merites van het TAN code systeem, daarom kan dit namelijk helemaal niet gebeuren. Je krijgt erbij verteld wat totaal aan overschrijvingen is, en als je daar niet naar kijkt en toch gewoon de TAN code invoert dan ben je gewoon zelf een stomme lul.

BTW nog verbazingwekkend dat ie geen background heeft voor 90% van de spaarrekening naar de hoofdaccount zetten en *dan* alles wegsluizen.
De gebruiker is zeker wel verantwoordelijk voor het onderhoud van zijn eigen pc.
Man in the middle aanvallen zijn namelijk zeer moeilijk te voorkomen als er zo'n virus op de klant zijn pc staat.
ING waarschuwd klanten meer dan genoeg op een veilige PC, er zijn diverse gratis (en soms ook goede) scanners beschikbaar.

Voor iedereen die bang is dat hij/zij wellicht het virus op de pc heeft staan is het wellicht handig om een gratis removal tool te downloaden die sommige grote virusscanner makers aanbieden, zoals deze van eset: http://www.eset.eu/encycl...rojan-pincav-shd-backdoor (als het dan toch een variant is...)
"De trojan is lastig te verwijderen, omdat die volgens een insider recent veelal via een rootkit op het systeem geïnstalleerd wordt, vermoedelijk Mebroot. Dan kan de gebruiker weinig anders doen dan een expert inschakelen of zijn harde schijf schoonvegen"

Dat schoonvegen is wellicht toepasselijk als je niet echt slim bezig bent.

Iemand die een beetje nadenkt doet zijn geldzaken op het internet middels een virtuele machine die na het afsluiten en niet opslaan van wijzigingen weer net zo schoon is als het moment van de schone installatie.

Uiteraard kun je ook je browser in een sandbox draaien.

[Reactie gewijzigd door Kees de Jong op 19 augustus 2011 20:40]

En zo goed lijkt die scanner van ING niet te werken....http://blog.pcwebplus.nl/?p=1616

MBAM MalwareBytes’ Anti-Malware lijkt wel te voldoen

[Reactie gewijzigd door Hawk1 op 19 augustus 2011 12:08]

Lezen is moeilijk, eerste alinea van jouw link:

"Update 15-06-2011

De tool die hier getest is betreft één van de eerste versies die geen ITW (In The Wild) malware detecteerde, inmiddels is er een nieuwe ‘removal tool’ beschikbaar gesteld op de website van de ING en deze verwijderd alle recente SpyEye en Zeus malware."

[Reactie gewijzigd door airell op 19 augustus 2011 13:44]

Dat is een bericht van meer dan twee maanden oud. In dit soort zaken een eeuwigheid.
Waarom vergoeden de banken het bedrag dat mensen door hun eigen stupiditeit kwijtraken door het virus?
Misschien omdat het voor de bank goedkoper is om de schade te vergoeden bij een enkeling, dan dat het is om een veiliger systeem te introduceren?
Misschien omdat banken hun klanten zowat dwingen om alles via internetbankieren te regelen, terwijl de gemiddelde computer gebruiker helemaal niets snapt van de gevaren op internet?
Dat de bank het geld terug betaalt aan de klanten is lijkt mij in dit geval gewoon een service. Maar ik vraag me af hoe welke bank dan ook dit zou kunnen voorkomen met betere beveiligingen.

Wat in dit geval gebeurt, simpel gezegd is namelijk het volgende:
1) De bank vraagt "wilt u 90% van uw saldo overmaken? Zoja, gebruik deze TAN code"
2) De klant gebruikt de TAN code

Pas als banken je forceren om bijvoorbeeld het over te maken bedrag hardop voor te lezen ter bevestiging kun je dit probleem voorkomen. Dat wil zeggen, je moet mensen forceren heel goed alles te checken. Door alleen die informatie te geven schiet je niks mee op aangezien de meeste mensen daar niet naar (willen) kijken.
omdat niet iedereen techisch is. En virus scanners detecteren het niet. Mensen kunnen er niks aan doen.
Onee, dus het SMSje gewoon lezen is geen oplossing? 8)7
In het geval van ING krijg je een SMSje. In België zijn er ook een aantal banken getroffen, waar geen SMSje gestuurd wordt om je even attent te maken op het bedrag.

Mijn vriendin heeft het spul op haar laptop gehad. Je doet een overschrijving, die moet je ondertekenen met behulp van een kaartlezer. Daarbij moet je eerst je pincode, dan het rekeningnummer en dan het bedrag ingeven en de code die de kaartlezer teruggeeft intikken op de website. Normaal is je betaling dan goedgekeurd. In dit geval kreeg ze een popup die zei dat de code fout was en dat ze de procedure opnieuw moest uitvoeren (met andere getallen).

Nu klinkt dat op zich heel plausibel (je kan altijd eens een getalletje fout overtypen) en de meeste mensen kennen ook de procedure als je een foute authenticatie doet niet (moet je dan opnieuw authenticeren met dezelfde info of niet?). Als er gisterenmorgen op het nieuws geen waarschuwing was geweest, was ze er vermoedelijk ook gewoon ingelopen.

Ik vind in dit geval niet dat je zomaar kan zeggen dat de gebruiker een idioot is, want je doet gewoon wat je van plan was en je krijgt een popup in de perfecte bankstijl dat je een foutje zou getypt hebben (kan ook) met een mogelijkheid het opnieuw te proberen. In normale omstandigheden zouden we mensen die daarvoor naar de bank bellen als paranoia beschouwen.

Een behoorlijke handleiding met screenshots van wat je moet zien, ook als er iets misloopt, zou misschien iets kunnen helpen (maar dan kunnen ze niet alle paar weken hun layout lichtjes wijzigen).

EDIT: Normaal staat bij het ondertekenen van een overschrijving dat je het rekeningnummer en het bedrag moet ingeven. In de popup was sprake van een transactiecode (om de andere getallen te maskeren).

[Reactie gewijzigd door indigo79 op 19 augustus 2011 11:56]

Beetje overdreven, het is belangrijk om voorzichtig te zijn. Maar je kan niet van de gemiddelde computergebruiker verwachten dat ze weten of ze een trojan op hun computer hebben als de eigen virusscanner het niet eens detecteert.

Dat je de sms goed moet lezen lijkt me dan wel weer verstandig.
Tja, de andere kant is dat het eigenlijk vreemd is dat mensen zonder enkele training een apparaat mogen gebruiken waarmee ze financiële transacties uitvoeren, hun identiteit overal achterlaten en allerlei content binnen hengelen.
Wat is nou training, je hebt toch ook geen portemonnaie training gehad? Je bent als gebruiker verantwoordelijk voor je computer en het gebruik daarvan. Wees op je hoede voor malware zou ik zeggen.

En is het niet vreemd dat je bank je als je net ingelogd bent, gaat vragen om nog een keer in te loggen? Gaan er dan geen vraagtekens aan?

Ik zou zeggen ING stop met die TAN bende en neem een betere beveiliging en klanten let op wat er gebeurt. Hoe vervelend ook. Dit is echt een RTFS scam.
Die heb je wel gehad, al vanaf de lagere school. :) Dus met computers en online bankieren moet dat ook gebeuren.
De TAN is juist veiliger dan random readers. Als je PC gecompromitteerd is (man in the middle) met een random reader stijl systeem weet je volgens mij niet eens hoeveel geld je gaat overmaken -- tenzij dat leesbaar gecodeerd is in de invoercode van de random reader? Maar dat moet je dan ook nog maar net weten.
en neem een betere beveiliging
Tegen de stommiteit van de mensen die hier gedupeerd zijn is geen enkele beveiliging bestand.

Een aantal reacties naar boven is al piekfijn uitgelegd hoe een trojan op eenzelfde manier ook door de beveiliging van de Rabo en ABN kan komen.

Elke beveiliging houdt op een gegeven moment in dat de klant zelf ook moet opletten. En daar gaat het dus mis.
aan de ene kant heb je daar een punt, maar aan de andere kant zeg je daar dan ook mee dat een bejaard persoon dan ook geen pinautomaat mag gebruiken, omdat ze wellicht niet helemaal weten hoe ze dat moeten gebruiken.
Is dat niet min of meer gedwongen door de bank?
Papieren afschriften zijn verdwenen,
overschrijvingskaarten zijn verdwenen.
Ik denk dat een hoop vooral oudere mensen sowieso niks snappen van
die computer die door zoon is neergezet, en alleen maar weten hoe
hun standaard handelingen werken.
Heb je ooit een adnministratie afdeling gezien , er is daar vaak weinig computer kennis, de kennis die er is gaat alleen over financiele pakketten , niet over viruscanners.
Door DarkShadow, vrijdag 19 augustus 2011 11:09
als de eigen virusscanner het niet eens detecteert.
______________________________________________
precies, iedereen die zo dom is om op hun virusscanner te vertrouwen moet gewoon niet online bankieren, zelfs mijn moeder weet dat ook al heb je een virusscanner, dan moet je alsnog opletten wat je doet, een virusscanner garandeerd niet 100% virus vrij!!!!!!!!

daarbij krijgen de personen een sms-je met een bedrag erin vernoemd! IK(!) let hier altijd heel erg goed op, misschien heb je wel een nulletje teveel ingetikt, dan kan je dat zo nog even mooi nakijken, als de mensen dan gewoon zo dom zijn en niet in de gaten hebben dat het een ander bedrag is, tja dan is het gewoon hun eigen fout..

[Reactie gewijzigd door [Remmes] op 19 augustus 2011 11:25]

Omdat het niet zo simpel is als domheid. Je kan niet verwachten dat alle bankgebruikers techneuten zijn die verstand hebben van het apparaat wat ze bedienen. Als 99,99999999% hier in trapt doe je er als bank verstandig aan het risico te dragen, voordat iedereen wegloopt.
Het is wel domheid, 100% domheid, dat virus staat er los van, als je het smsje leest staat daar in dat er geld wordt over geschreven en op je scherm staat 'extra beveliging' dan bel je toch met de bank. Of heb je om te bellen tegenwoordig ook al techneut zijn?
Aan de andere kant, je kan je vast wel voorstellen dat je met al die transacties soms te snel op Ok klikt? Daar moet een bank toch wel enigzins voorzichtig mee omgaan, anders zou ik snel m'n vertrouwen verliezen en dat kost een bank veel meer.
Nee, ik kan me eigenlijk niet voorstellen dat je "met al die transacties" te snel op OK klikt.... Het gaat hier om je eigen geld, die transacties kunnen winst of (zwaar) verlies betekenen. Dat mensen EULAs van een spelletje niet helemaal doorlezen, daar kan ik inkomen. Maar dat mensen tijdens het internetbankieren, waarbij ze toegang hebben tot hun hele financiele boedel, ook maar gewoon een beetje blindelings doorklikken zonder te lezen wat er staat, dat begrijp ik echt niet.
Te snel op OK klikken is hier niet van toepassing.
Bij TAN via SMS, zul je in ieder geval de TAN code in het SMSje moeten lezen. En het is dan erg verstandig meteen te kijken of bedrag en rekening kloppen.

Maar als het 999 van de 1000 keer goed gaat worden mensen daar wel gemakkelijker in.
Ah dus jij bent zo iemand die voor elk wissewasje belt! Dat mensen de sms goed moeten lezen lijkt mij wel verstandig. In de avond uren is die bank sowieso niet echt bereikbaar voor je vragen. Kan mij wel vorstellen dat mensen denke wat hebben ze nou weer voor nieuwe onnodige dingen bedacht om zaken te controleren. Hey er komt oko sms-je met tan-code. Hup snel invoeren en doorgaan met waar je voor inlogt.
Ik zou dat ook raar vinden, maar zo'n n00bs die geloven al wat er op het scherm floept en klikken er op los, behalve als je iemand een programma wl leren installeren of zo. Dan is het constant "mag ik daar ok klikken" en "zou ik da wel vertrouwen".
Overdrijven is ook een vak...

Er wordt altijd gezegd door ING dat ze niet zomaar naar tancodes vragen, en als er ook in het sms bericht staat dat je een(groot) geldbedrag overschrijft, dan is het gewoon stom van jezelf dat je erin trapt.
Vergis je niet, de klant heeft geen keuze in de beveiliging bij de betreffende bank. Dat het ING-systeem fraudegevoeliger is, is wel duidelijk. De andere banken hebben hier veel minder last van, omdat deze met een losstaande reader werken.

Niet iedereen kan zomaar van bank switchen... het is geen mobiel nummer en vaak ook gekoppeld aan de hypotheek.

Zelf was bij mij het SMSje voldoende om af te breken, maar de volgende stap is dat ze de bankrekening van je betaling aanpassen en zo veel kleine bedragen afhandig maken. Dan heb je helemaal niets door, totdat er aanmaningen komen.
Een losstaande reader klinkt aardig, maar dit is pure schijnveiligheid.

Ik kan je garanderen dat het net zo makkelijk is dit te omzeilen als alleen TAN codes.
Het ING systeem is eigenlijk nog net iets veiliger omdat de bank je over een niet-onderschepbaar kanaal toch nog een hint geeft over wat er misloopt.

Bij Fortis (België) met zo'n kaartlezer zegt de trojan gewoon dat de authenticatie fout was en laat je bovenop de al gedane authenticatie nog een tweede overschrijving authenticeren. Heel mooi gecamoufleerd (zie ook mijn post hier net boven).
Niet iedereen kan zomaar van bank switchen... het is geen mobiel nummer en vaak ook gekoppeld aan de hypotheek.
Ben ook van bank gewisseld. En omdat die hypotheek-boer zijn centen elke maand toch echt (jammer genoeg) wilde hebben, kon je dat gewoon aan ze doorgeven ... O-)
edit: was reactie op Senor Sjon, niet op indigo79, klik foutje ...

[Reactie gewijzigd door Xubby op 19 augustus 2011 13:37]

Beetje kort door de bocht.
Dit is een zeer geavanceerd stukje spyware, en je moet echt uitgebreide ervaring hebben met spyware en pc's in het algemeen om dit te doorzien. (minderheid van de bevolking)

Het enige moment dat de normale gebruiker dit op kan vallen is bij het hoge bedrag in de bevestigings sms. Dat een gedeelte van de mensen hier overheen leest, kan ik me best voorstellen!
En dat is dus je eigen domheid. Dat bedrag is in die sms gezet specifiek om te voorkomen dat je transacties goedkeurt die niet kloppen.
Ik heb nog steeds een tan code lijst. Daar staan geen bedragen bij. Hoe moet ik dan zien of het bedrag klopt wat overgemaakt gaat worden (wat ik uberhaupt al niet eens verwacht als je een tan code ter verificatie moet ingeven)?
Ik heb nog steeds een tan code lijst. Daar staan geen bedragen bij. Hoe moet ik dan zien of het bedrag klopt wat overgemaakt gaat worden (wat ik uberhaupt al niet eens verwacht als je een tan code ter verificatie moet ingeven)?
Niet. Tijd om over te stappen op TAN-per-mobiel?

Andere optie voor de bank is om de TAN lijst op te splitsen per bedrag - elke €100, bijvoorbeeld. Op die manier zou een stuk malware 'alleen maar', zegge, €99.99 kunnen stelen. Krijg je alleen wel veel TAN lijsten ineens.
Zijn andere opties in dezelfde trend, maar dat schiet gewoon niet op.
Niet, inderdaad. Daarom is 't zaak dat je overschakelt op een modernere variant van het ING-overschrijfproces, namelijk de verificatiecode via SMS ontvangen.

Dat hebben ze echt niet gedaan om op papier te besparen hoor, maar omdat het daadwerkelijk een beter proces is.
Wacht maar tot jij eens word getroffen door iets wat jij toegestoken krijgt zonder het te merken of je dan ook nog zo'n gare opmerking maakt.

Het artikel gaf al aan dat de meeste virusscanners de malware niet eens herkende, laat staan dat de gemiddelde getroffen persoon hier absoluut geen kennis van bezit hoe zoiets werkt.
Laat staan dat je deze mensen moet gaan informeren over hoe deze dingen werken, ze weten niet wat hun overkomt als ze uberhaupt al begrijpen waar het over gaat.
Ik heb het meegemaakt hoor als 16 jarig knulletje voor 1000 euro opgelicht (kwam best hard aan) :) En daar heb ik me les uit getrokken en ik was gewoon dom bezig! En mensen die diezelfde fout maken zijn ook dom bezig! Tuurlijk is het zuur als iemand in je gezicht zegt dat je dom bezig bent, maar de waarheid is vaak gewoon hard, dat hoef je echt niet in een zacht roze jasje te verkopen, daar leert niemand wat van!

Als je iets zelf mee maakt zeg je meestal niet dat iets dom is omdat je dan over jezelf wat zegt maar diep van binnen weet iedereen dat het gewoon de gebruiker is die een fout maakt, niet de bank!

[Reactie gewijzigd door watercoolertje op 19 augustus 2011 11:21]

Omdat niet van iedereen verwacht kan worden dat ze zo slim en oplettend zijn als mark_vs.
De transactie is op dat moment al op de achtergrond aangemaakt, terwijl de TAN-code zorgt voor de verificatie. Op de een of andere manier lijkt de trojan erin te slagen om de transactie te verbergen in het overzicht. Hoe SpyEye op pc's komt, is onbekend.
Waarom vergoeden de banken het bedrag dat mensen door hun eigen stupiditeit kwijtraken door het virus?
Omdat het stupide klanten zijn die altijd de bank de schuld zullen geven en dus voor een andere bank kiezen ? Het is goodwill / klantenbinding en verzekeringswerk.
Dit is gewoon service, en gezien de reacties die ik hier lees denk ik dat het verstandig is, het is dan wel de schuld van de klant maar veel mensen (zelfs tweakers) zien dat niet zo en dus kan er verkeerde beeldvorming onstaat (en dat kost nog meer dan eventuele schadegevallen).
Voor welke banken zijn er versies geschreven (behalve de ING).
Lijkt me een interessant onderzoek voor tweakers.net om te doen. Sowieso is het voor de consument interessant hoe kwetsbaar jouw bank is. Ik vraag me dat persoonlijk ook af, en dan wat betreft de Rabobank waar ik klant ben. (en waar je een reader moet gebruiken om bedragen over te maken.)

In theorie lijkt het me dat ook al heb je een reader, een overlay voor de rabobank ook zou werken.
Als je zo stom bent om onverwacht op S te drukken wel.

Wat je wel kan doen als virusmaker is het misbruiken van het verzendscherm. Alhoewel een oplettende gebruiker dan zal zien dat de tweede code ineens niet 500 is (voor 500 euro) maar 2101 voor 2101 euro.

Maar je bent bij de Rabobank al snel afhankelijk van het verzendscherm. Eventueel kan je natuurlijk alle bedragen aanvullen tot de maximale zonder tweede getal. Dan zijn het kleine bedragen maar als dat er maar voldoende zijn maakt dat niet uit.

Edit:

Komt dit (tot nu toe) alleen voor op windows xp? De meldingen zie ik zie zijn allemaal windows xp.

[Reactie gewijzigd door Kevinp op 19 augustus 2011 11:20]

S=betalen

Je hoeft dus slechts zo slim te zijn om te bedenken dat je iets gaat betalen, zonder dat je weet wat..

Ik weet niet hoe dat bij ING gaat, maar inloggen en betalen is duidelijk gescheiden bij de Rabobank.
Bij ING ook, inloggen doe je met wachtwoorden, niet met TAN codes.

TAN codes zijn puur en alleen voor overschrijvingen.

Wat mij wel nuttig lijkt is dat mensen op de website niet alleen de TAN code moeten invullen, maar ook het bedrag uit de SMS.
Dan worden mensen tenminste gedwongen om dit bedrag ook bewust te lezen en in te voeren.

[Reactie gewijzigd door YakuzA op 19 augustus 2011 11:51]

Dat is het bij de ING ook. Je hebt je inlog code absoluut niet nodig voor het betalen en je betaal codes (TAN codes) heb je alleen nodig voor betalen en nergens anders voor.

Maar dit virus doet zich voor als de website en vraagt een TAN code onder het mom van extra beveiligings-check. Hetzelfde kan dus gewoon gebeuren bij de Rabobank: "voor uw veiligheid blabla voer nu code in blabla".

Als oplettende persoon weet je op dat moment dat het niet klopt, TAN codes of die Rabo-code hoor je helemaal niet in te voeren voor dit soort dingen. En toch vullen heel veel mensen het wel in.

Bij de ING gaat het zelfs nog 1 stap verder. De TAN code krijg je per SMS en in die SMS staat ook welk bedrag je wilt overmaken met die TAN code. Als je dan nog niet doorhebt dat er iets mis is dan let je blijkbaar gewoon echt helemaal niet op. Ik zou het haast willen vergelijken met dat je een rekening krijgt van 500 euro in een café waar je 1 koffie hebt gedronken en dat dan gewoon betaalt.
Bij de ING gaat het zelfs nog 1 stap verder. De TAN code krijg je per SMS en in die SMS staat ook welk bedrag je wilt overmaken met die TAN code.
Met papieren TAN Codes staat het bedrag en begunstigde gewon op je scherm.
Lzen dus. Als de klant niet leest is er niks te redden. Dan kun je gewoon (pin)codes invoeren en ongezien betalen wat de ander wil.

Ik vind het slordig dat de virusbestrijders er nog niks tegen hebben kunnen doen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True