Malware voor Android onderschept tan-codes internetbankieren

De malware SpyEye werkt sinds kort ook op Android-toestellen. Dat schrijft een beveiligingsonderzoeker. SpyEye onderschept sms'jes met tan-codes en stuurt die door naar een externe server. De gebruiker moet SpyEye zelf installeren.

SpyEye voor Android werkt samen met de desktopversie. In de webbrowser krijgt de geïnfecteerde gebruiker een melding dat de bank eist dat een Android-app op de telefoon wordt geïnstalleerd, om te voorkomen dat sms'jes met tan-codes worden onderschept, schrijft beveiligingsblog Trusteer.

De app, die als simseg.apk open en bloot op het internet staat, installeert zich als System. Het verschijnt niet in de lijst apps en evenmin in de lijst actieve services. Via het Instellingen-menu kan de app ook niet gedwongen worden te stoppen, al kan hij wel worden gedeïnstalleerd. De app toont een fake activatiecode en onderschept vervolgens sms'jes met tan-codes, om die door te sturen naar de server.

Door het onderscheppen van tan-codes kunnen kwaadwillenden overschrijvingen autoriseren namens een gebruiker. Dan moeten wel eerst de gebruikersnaam en het wachtwoord onderschept zijn. De Android-app, die niet in Market is verschenen, is niet de eerste mobiele variant van SpyEye. Eerder verschenen al versies voor Symbian en BlackBerry.

SpyEye is een tool die veel wordt gebruikt door hackers om internetbankierders geld afhandig te maken. Vorige maand bleek onder meer dat een geavanceerde versie van SpyEye was gericht op Nederlandse en Belgische klanten van ING Bank.

Kwaadwillenden maken steeds vaker malware voor Android. Vanwege de gestegen populariteit in de afgelopen jaren is het aantal potentiële slachtoffers hoog. Bovendien is een smartphone vaak slecht beveiligd, terwijl er veel privacygevoelige data op staat.

Reacties (202)

Coffeemonster 15 september 2011 11:11

De les die ik hier uit trek, en die anderen ook zouden moeten leren, is dat je bij elke onregelmatigheid bij internetbankieren, zoals extra meldingen over invoeren van codes of het moeten installeren van extra software, goed moet controleren of dit inderdaad klopt (het liefst bij de bank zelf). Net zoals je bij enige twijfel bij een pinautomaat beter een andere pinautomaat kan zoeken (ik heb zo eens een pinautomaat links laten liggen omdat de invoergleuf niet 100% lijkt op wat er op het scherm stond, hoewel het er heel echt uit zag). Liever te wantrouwig dan naief in dit opzicht. En dan ben je nog niet 100% veilig...

Eypo 15 september 2011 10:42

Wat mij opvalt is dat ING vaker het doelwit is van dit soort hacking. Andere banken hebben hier naar mijn idee een stuk minder last van? (Ik bedoel dan ABN of Rabobank, de rest is volgens mij een stuk kleiner)
Is die verificatiemethode dan zo'n stuk beter?

xbeam @Eypo • 15 september 2011 12:21

ABN en Rabo zijn locale Banken.

De ING is wereldwijd gezien veel groter en bekender.
volgens mij behoren ze zelfs tot 1 van de grootste banken terwereld
ik denk dat daar het verschil zit waarom de ING vaker doelwit dan een rabobank of ABN

edite:
bron http://nl.wikipedia.org/wiki/ING_Groep

[Reactie gewijzigd door xbeam op 22 juli 2024 14:37]

watercoolertje

Google
Google Android
Mobiele besturingssystemen
Smartphones
Malware

@Eypo • 15 september 2011 10:43

Is die verificatiemethode dan zo'n stuk beter?

Nee uiteindelijk moet je een code invoeren die je ergens vandaan haalt dat het hier per SMS gebeurd is wat makkelijker maar als je een user wijs kan maken een app te installeren kan je hem ook wijsmaken de code van de rabo/abn-reader in te voeren

De gebruiker moet SpyEye zelf installeren.

@idereen: niet doen dus en er is geen probleem

Bovendien is een smartphone vaak slecht beveiligd, terwijl er veel privacygevoelige data op staat.

Nee hoor prima beveiligd

Maar van die beveiliging (aangeven wat een app allemaal kan op je systeem) wordt niet door iedereen gelezen, de beveiliging is goed (zo transparant als het maar kan) maar de meeste gebruikers zijn gewoon niet zo snugger

[Reactie gewijzigd door watercoolertje op 22 juli 2024 14:37]

sickyb @watercoolertje • 15 september 2011 11:02

[...]
Nee uiteindelijk moet je een code invoeren die je ergens vandaan haalt dat het hier per SMS gebeurd is wat makkelijker maar als je een user wijs kan maken een app te installeren kan je hem ook wijsmaken de code van de rabo/abn-reader in te voeren

Daar ben ik het niet mee eens. De beveiliging is zo sterk als de zwakste schakel en in dit geval is dat dus de sms. Het versuren van een sms met een code is bij ABN en Rabobank niet nodig.

[...]
@idereen: niet doen dus en er is geen probleem

Nu is het nog een malware app, straks is het een stukje code in een of andere app en daarna komt er nog een virus. Je had dus moeten zeggen, er is nog geen probleem. Er zit namelijk wl degelijk een zwakte in de beveiligingsmethode en men mag dus aannemen dat die ter zijner tijd misbruikt gaat worden.

watercoolertje

Google
Google Android
Mobiele besturingssystemen
Smartphones
Malware

@sickyb • 15 september 2011 11:53

Nu is het nog een malware app, straks is het een stukje code in een of andere app en daarna komt er nog een virus.

Virussen... Die zal je op Android zelf de rechten toe moeten kennen dus als je leest is dat geen probleem, lees je niet moet je je kop misschien maar is stoten zodat je het voortaan wel leest?

Android kent geen virussen, er kan niks achter je rug geinstalleerd worden je moet dit altijd zelf doen (en dan krijg je altijd een overzicht van rechten die de app nodig acht)...

Oftewel in geval van Android geldt: wie niet leest moet maar voelen... Bevalt het je niet ga dan lekker een ander OS gebruiken ofso, ik gebruik Android voor die vrijheid waar IK het meeste mag bepalen niet Google of het OS

Vrijheid beperken voor veiligheid is ook zeker niet de oplossing als dat wel zo was moeten we misschien allemaal uit voorzorg maar opgesloten worden in een gevangenis, zijn ook alle problemen verholpen is het niet? (dan leef ik liever vrij met risico dan opgesloten zonder risico)

[Reactie gewijzigd door watercoolertje op 22 juli 2024 14:37]

vgroenewold

Mobiele besturingssystemen

@watercoolertje • 15 september 2011 12:46

Eeuwenoude discussie, maar "wie niet leest moet maar voelen" werkt gewoonweg niet. Wil je dat Android als platform het predikaat veilig krijgt, dan moet dit werken voor de massa. Of je houdt het systeem zoals het nu is en de massa is uiteindelijk gewoon ontevreden, wat een theoretisch probleem kan worden voor Android in populariteit (en daar kan jij ook weer last van krijgen). Mensen lezen niet meer, omdat developers dit al sinds jaar en dag proberen en mensen er gewoon door zijn afgestompt. De (gedeeltelijke) oplossing zou dan moeten liggen in een slimmer systeem wat de gebruiker voor een bepaald gedeelte uit de som haalt.

Lijkt mij ook niets mis mee, het is gewoon duidelijk een probleem aan het worden.

[Reactie gewijzigd door vgroenewold op 22 juli 2024 14:37]

Anoniem: 145867 @vgroenewold • 15 september 2011 13:39

Het is duidelijk een probleem aan het worden?

Ik denk eerder dat die problemen juist verschrikkelijk uitvergroot worden. De kans opdat zoiets gebeurt is zo nihil dat het eigenlijk niet boeiend is.

Anders kan je net zo goed geen enkele OS gebruiken.....

vgroenewold

Mobiele besturingssystemen

@Anoniem: 145867 • 15 september 2011 13:56

Ik bedoel meer dat het nu het begin is van een hele berg aan malware, waarschijnlijk. Of dat ook gaat gebeuren is idd nog een grote vraag en dit soort malware is zeker een groter probleem omdat het zo afhankelijk is van de gebruiker. Dit is een probleem voor ieder OS inderdaad, maar dat neemt niet weg dat daar slimmer op zou kunnen worden ingespeeld.

Ubilosis @watercoolertje • 15 september 2011 13:08

[...]
Vrijheid beperken voor veiligheid is ook zeker niet de oplossing als dat wel zo was moeten we misschien allemaal uit voorzorg maar opgesloten worden in een gevangenis, zijn ook alle problemen verholpen is het niet? (dan leef ik liever vrij met risico dan opgesloten zonder risico)

Hoewel ik in de rest van je post me wel aardig kan vinden, is dit laatste deel niet een klassiek gevalletje van reductio ad absurdum?

Ik vraag mij trouwens af, ik zit bij de Rabo, ik gebruik een RaboReader, die de TAN codes aanmaakt (toch?) die voer ik vervolgens in op hun website. Kan zo'n virus niet redelijk eenvoudig deze tancode onderscheppen, aangezien ze weten waar je het invoerd? (Je heb dan al toestemming gegeven om de app en dus virus te installeren?)

Zo zou een virus voor alle banken gebruikt kunnen worden ipv alleen degene die een TAN-code via sms versturen? (of breng ik nu verkeerde ideeën aan de man?)

demonite @Ubilosis • 15 september 2011 13:58

Natuurlijk, stap 1 is het verkrijgen van de e-banking inlog gegevens.
Stap 2 is het (automatisch) inloggen en aanmaken van een overschrijving.
Stap 3 is het authenticeren van die overschrijving, daar heb je die TAN/Reader/Challenge code voor nodig, die kun je niet zelf genereren, dus het enige wat je hoeft te doen is die code onderscheppen op het moment dat hij ergens wordt ingevoerd.

Het voordeel van de SMS code is dat je die code kunt onderscheppen ruim voordat hij gebruikt wordt.
Die van de RaboReader wordt direct in de e-banking website ingevuld, dus dan ben je al te laat...

donzz @demonite • 15 september 2011 18:04

niet helemaal een voorbeeld van zo'n sms:

Let op: geef nooit uw TAN-code af! Aantal opdrachten: X. Totaalbedrag overboekingen E XX,XX.. Volgnummer XXX; TAN-code XXXXXX.

op de ing site staat op dat moment een overzichtje met de opdrachten, het totaalbedrag en het volgnummer. het is dus niet zo dat je van tevoren al een aantal tan codes opgestuurd krijgt.

demonite @donzz • 16 september 2011 08:08

met "ruim" bedoel ik de tijd die jij nodig hebt om dat SMSje te openen, te lezen en over te typen in je browser en op OK te drukken.
Die tijd is ruim voldoende om automatisch in te loggen, een andere overschrijving aan te maken en de onderschepte TAN code daarvoor te gebruiken.

trouwens... wel een idee, aangezien idd in dat SMSje al staat over welke overschrijving het gaat, zou het voor ING toch niet zo moeilijk moeten zijn om die TAN code alleen voor die overschrijving geldig te laten zijn!

maar aan de andere kant, als ze in staat zijn om automatisch in te loggen en overschrijvingen aan te maken, kunnen ze natuurlijk ook automatisch TAN codes aanvragen..

BeosBeing @demonite • 21 september 2011 15:17

Het voordeel van de SMS code is dat je die code kunt onderscheppen ruim voordat hij gebruikt wordt.
Die van de RaboReader wordt direct in de e-banking website ingevuld, dus dan ben je al te laat...

De SMS-code word naar je verstuurd op het moment dat de webpagina er naar vraagt (pagina laad sneller als sms wordt ontvangen) en dan ingevoerd.

De Reader-code wordt (aan de hand van de code op de webpagina) door de reader gegenereerd en dan ingevoerd.

In beide gevallen drukt de gebruiker daarna op 'ok' of 'verzenden' waarna de code pas wordt teruggevoerd naar de bank. Zo veel verschil maakt dat dus ook niet.

johnbetonschaar @watercoolertje • 15 september 2011 12:52

Android kent geen virussen, er kan niks achter je rug geinstalleerd worden je moet dit altijd zelf doen (en dan krijg je altijd een overzicht van rechten die de app nodig acht)...

Oftewel in geval van Android geldt: wie niet leest moet maar voelen... Bevalt het je niet ga dan lekker een ander OS gebruiken ofso, ik gebruik Android voor die vrijheid waar IK het meeste mag bepalen niet Google of het OS

Lekker naief, volgende stap is een malware applicatie vermomd als legitieme app, die om rechten vraagt die op het eerste gezicht terecht lijken, maar door de applicatie ook voor malware toepassingen wordt gebruikt. Een whatsapp/skype-kloon die internet, adresboek en Bel/SMS functies vraagt bijvoorbeeld. Gecombineerd met het feit dat Android applicaties vrij eenvoudig te decompilen zijn waardoor je ze kunt aanpassen en repackagen, Google ze niet gaat blokkeren, en er nog 100 andere apps store zijn waar je ze kwijt kunt, is dit gewoon een tijdbom. Het wachten is op een stuk malware dat intelligent genoeg gemaakt is dat het niet snel opgemerkt wordt.

Je hebt echt boter op je hoofd als je stelt dat malware op Android geen probleem is, dat het onbenullige schermpje met rechten een onfeilbare beveiliging is, en iedereen het aan zichzelf te danken heeft als je zoiets op je telefoon zet.

Maargoed je sluit je betoog af met de gebruikelijke uitgekouwde holle hyperbolen over 'vrijheid', 'keuze', en 'moeten we iedereen maar uit voorzorg opsluiten anders', dus dan zal je wel gelijk hebben

poefel @watercoolertje • 15 september 2011 14:10

Bijna alle apps in android hebben een hoop rechten nodig om te kunnen werken, al is het maar om je passende reclame te kunnen voorschotelen. Er hoeft dus maar een achterdeurtje in een of ander dom spelletje te zitten, en al je gegevens liggen op straat.

Anoniem: 175233 @watercoolertje • 15 september 2011 16:09

er kan niks achter je rug geinstalleerd worden je moet dit altijd zelf doen (en dan krijg je altijd een overzicht van rechten die de app nodig acht)...

Het probleem is echter, dat het meest simpele 'notepad' app al een waslijst met (overbodige) rechten vraagt. Waarom dat alles nodig is, (en waarom de gebruiker daarmee lastig gevallen wordt) is totaal niet inzichtelijk. Het effect laat zich raden... Iedereen negeert dat overzicht van rechten, en installeert gewoon.

Dat kun je de gebruiker niet helemaal aanrekenen... Er wordt gewoon té veel gevraagd. En dan ziet men door de bomen het bos niet meer.

mae-t.net

Malware

@watercoolertje • 16 september 2011 15:14

Android kent geen virussen, er kan niks achter je rug geinstalleerd worden je moet dit altijd zelf doen

Bedoel je met die uitspraak dat je over een waterdicht bewijs beschikt dat er geen potentieele exploits in Android zitten? (vooral van de categorie die MS zo prozaisch omschrijft als een "niet geverifieerde externe gebruiker"). Als je dat soort dingen kunt bewijzen, dan liggen er miljarden euro's voor jou klaar in de softwareindustrie, want dat is wel ongeveer een heilige graal.

Of weet je het misschien toch niet zeker?

[Reactie gewijzigd door mae-t.net op 22 juli 2024 14:37]

timmov @watercoolertje • 15 september 2011 11:46

Daarnaast moet je het installeren van applicaties buiten de market om eerst aanzetten. Normaliter is dit niet mogelijk. Bij deze handeling moeten al alarmbellen gaan rinkelen.

Passkes @watercoolertje • 15 september 2011 11:05

De verificatiemethode van de ING is wel degelijk veel zwakker dan die van de andere banken. Het is ook niet voor niets dat de ING telkens weer de sjaak is. Je hebt gewoon een extra apparaat nodig wat ook kan communiceren met derden in dit geval dus de telefoon. Mensen zijn m.b.t. virussen e.d. nog lang niet zo voorzichtig met hun telefoon als dat ze zijn met hun PC. En daar schuilt juist het hele gevaar.

Daarnaast heb je bij b.v. een rabobank meerdere malen een code nodig om grotere bedragen af te schrijven. (dubbel / triple verificatie).

Wat ik dan persoonlijk nog het ergste vind is de laksheid van ING om de gebruikers eerder te waarschuwen, ze waren inmiddels al bijna een jaar op de hoogte van het virus op de desktop en hebben er gewoon helemaal niets aan gedaan onder de noemer "het valt allemaal wel mee"....

Luuk1983

@Passkes • 15 september 2011 12:15

Je hebt nog altijd de gebruikersnaam en wachtwoord van de gebruiker nodig. Zonder die gegevens in het onderschappen van TAN-codes waardeloos. De combinatie gebruikersnaam + wachtwoord + TAN-code is naar mijn mening veilig genoeg. Ja natuurlijk kan het veiliger, maar ik blijf erbij dat het een afweging moet zijn tussen gemak en veiligheid. Ik kan overal waar ik ben met ING via internet dingen overmaken (heb telefoon altijd bij me), andere mensen hoor ik veel te vaak 'ja dat moet ik thuis doen, ik heb dat kastje van de bank niet bij me'.

Anoniem: 145867 @Luuk1983 • 15 september 2011 13:41

Dus wat wil de malware dan doen met die Tancode?

In de praktijk kunnen ze er bijna niks mee? Omdat je ook andere gegevens nodig hebt zoals jij stelt.

Lekker opgeblazen bericht dus...

mae-t.net

Malware

@Anoniem: 145867 • 16 september 2011 15:19

Nou, op het moment dat zowel je telefoon als je webbrowser geinfecteerd zijn ben je zwaar de sjaak. Dat is dus een situatie waar je heel alert op moet zijn.

Voor de rest vind ik het een prima werkbaar systeem, met argumenten die elders al gegeven zijn.

Darkstriker @watercoolertje • 15 september 2011 10:51

Dit is inderdaad gewoon oldschool social engineering.
Dat kan bij elke bank wel gebeuren.
Maar de tan-code principe is wel een stukje zwakker zelfs tegen dit.
Als Rabobank/ABN kan je je klanten heel duidelijk maken dat je de signeer code alleen nodig hebt als je zelf iets overmaakt. Dan wordt social engineering een stuk lastiger.
Tan codes kan je zoals hier gedemonstreerd makkelijk onderscheppen. Als er weer een root-exploit komt zoals die er in maart was dan zou dat bvb een simpele game kunnen doen. Dat kan bij de rabo implimentatie van e-banking niet (of alleen veel moeilijker) gebeuren.

poefel @Darkstriker • 15 september 2011 14:06

De reden dat banken tan-codes en random readers etc gebruiken is om een tweede verificatiemethode te gebruiken die los staat van de (in theorie onveilige) internetverbinding. Deze code per sms versturen was een goed idee toen het werd ingevoerd. Inmiddels zijn echter telefoons ook computers geworden met een internetverbinding. Het idee achter de sms is dus mijns inziens achterhaald en lijkt me niet meer veilig.

mae-t.net

Malware

@poefel • 15 september 2011 14:28

Het probleem is dat het alternatief, een code via een random-reader net zo goed via de eventueel geinfecteerde computer loopt, en daarom ook principieel kwetsbaar is. De TAN-code wordt buiten bereik van de klant gegenereerd dus is veel makkelijker aan te passen aan de stand der (kraak)techniek, bovendien zie je in het smsje nog een keer het bedrag bevestigd worden (veiligheid door feedback). In de praktijk valt het nu met de random-readers nog wel mee omdat de sleutels nog niet op straat liggen, maar die situatie zal op den duur ook niet houdbaar blijken, zodat het -opzich op de groei gekochte systeem- ook periodiek vervangen zal moeten worden.

Alles afwegend, inclusief gebruiksgemak, vind ik zelf de TAN-codes nog steeds een streepje vóór hebben. Zolang je dus maar niet in dit soort truukjes trapt, en ook niet je webbrowser voor telebankieren op je telefoon gaat draaien.

[Reactie gewijzigd door mae-t.net op 22 juli 2024 14:37]

kidde @mae-t.net • 15 september 2011 15:39

Beetje onzin:

-Bij de TAN-code kan deze achterhaald worden door onderscheppen van de post / SMS, en bij het verzenden van de klant naar de server, op 2 plekken dus,
-Code van de reader kan alleen onderschept worden tussen klant / server, 1 plek.

-Bij de e-reader wordt het wachtwoord (PIN) niet in de computer ingevoerd, bij de TAN-codes geloof ik wel.

-Verder werkt TAN vziw (vroeger zeker niet) niet met challange-response, zoals de e-reader wel. Dus men hoeft alleen het verkeer van de klant naar de server te 'faken'. Bij challange-response moet men zowel het verkeer van server naar klant (challange) als van klant terug naar de server (response) faken, 2 plekken dus.

Overigens is het GSM-protocol ook lek, dus als dat voor SMS gebruikt wordt is dat een 3e mogelijkheid voor achterhalen van de TAN-codes.

Maw: De e-readers zijn veel veiliger dan het TAN-drama. Vroeger, toen die dingen nog op een lijst stonden die in volgorde afgewerkt werden, was dat TAN-gebeuren helemaal een veiligheids-nachtmerrie, waar ik liever niet mee te maken had. Vreemd dat het nog steeds bestaat. Maar ja, de ING staat zowiezo al niet zo bekend als 'veilig', je kan immers ook reverse-lookups van bankrek. no's doen.

[Reactie gewijzigd door kidde op 22 juli 2024 14:37]

paazei @kidde • 15 september 2011 21:58

-Verder werkt TAN vziw (vroeger zeker niet) niet met challange-response, zoals de e-reader wel. Dus men hoeft alleen het verkeer van de klant naar de server te 'faken'. Bij challange-response moet men zowel het verkeer van server naar klant (challange) als van klant terug naar de server (response) faken, 2 plekken dus.

Als men op deze manier aan een tan-code wil komen zal men alsnog de tancode ook moeten onderscheppen, alleen een request indienen is niet voldoende om een rekening te kraken. Hoe wil je trouwens een request invoeren zonder inloggegevens van de klant.

Ik kan wel elk ding in je betoog gaan tegenwerken, maar ik leg het liever in mijn eigen woorden uit dat je zonder gebruikersnaam, wachtwoord en het bezit van of de telefoon of een hack uitvoeren op de desbetreffende telefoon. Zonder 1 van deze dingen kan je niet bankieren via de ING.

Wat is een tan-code, een gegenereerde code die voor het betreffende "gereserveerde bedrag" geldt, deze is dus te gebruiken voor de transactie die je op dat moment maakt.
Zonder logingegevens kan niemand deze transactie starten behalve jij en deze tancode werkt alleen voor deze transactie...
Zou je deze transactie annuleren en en nieuwe starten, dan krijg je een nieuwe tan-code toegestuurd.

Maw: De e-readers zijn veel veiliger dan het TAN-drama.
Als je ziet hoeveel mensen al slachtoffer zijn geworden van skimacties en de hackers dus een pas kunnen kopieren en daarbij gratis en voor niks de pincode, hoe moeilijk is het dan nog om deze in een readertje te douwen (welke universeel zijn.... de groote fail van dit systeem)...

Deze systemen zijn beiden even lek en dan kies ik voor het gebruikersgemak van de ing, overal bankieren, als je je telefoon maar bij hebt.
...

Maar ja, de ING staat zowiezo al niet zo bekend als 'veilig'
Dus andere banken zijn wel veilig? dacht het niet, misschien is de ING laatst vaker in het nieuws geweest omdat zij dingen anders doen dan anderen, maar daardoor niet onveiliger.
Elke Bank neemt zo zijn afweging tussen veiligheid/gebruikersgemak en zal mensen die slachtoffer worden van phishing e.d. uit een daarvoor weggelegd potje vergoeden. Dit om niet negatief in het nieuws te staan en toch de boel niet dicht te hoeven timmeren en het gebruikersgemak compleet om zeep helpen.

[Reactie gewijzigd door paazei op 22 juli 2024 14:37]

_Peter2_ @paazei • 16 september 2011 09:01

Maw: De e-readers zijn veel veiliger dan het TAN-drama.
Als je ziet hoeveel mensen al slachtoffer zijn geworden van skimacties en de hackers dus een pas kunnen kopieren en daarbij gratis en voor niks de pincode, hoe moeilijk is het dan nog om deze in een readertje te douwen (welke universeel zijn.... de groote fail van dit systeem)...

Bij de Rabobank moet je tegenwoordig ook je pasnummer invoeren bij telebankieren, aangezien dit bij normale pintransacties niet nodig is zal een skimmer hier niet over beschikken. En kan hij/zij hier dus ook niet mee telebankieren.

[Reactie gewijzigd door _Peter2_ op 22 juli 2024 14:37]

mae-t.net

Malware

@_Peter2_ • 16 september 2011 15:11

Dat bedoelde ik met op de groei gekocht; pasnummer invoeren, bedrag invoeren, eventueel zelfs het nummer van de tegenrekening. Allemaal extra maatregelen die je als bank nog kan doorvoeren naarmate het bedrag groter is en/of er weer nieuwe methodes van kraken opduiken. Dat neemt niet weg dat op het moment dat de keys op straat liggen, het ding waardeloos is, en dat de gebruiksvriendelijkheid tot die tijd continu afneemt.

Overigens vraag ik me af of het pasnummer niet gewoon op de pas staat en dus door skimmen bekend is.

BeosBeing @_Peter2_ • 21 september 2011 15:04

Bij de Rabobank moet je tegenwoordig ook je pasnummer invoeren bij telebankieren, aangezien dit bij normale pintransacties niet nodig is zal een skimmer hier niet over beschikken. En kan hij/zij hier dus ook niet mee telebankieren.

Dat was bij ABN van het begin af aan het geval, ook met de nu al bijna verdwenen (eerste versie) eDentifier.
Wat me bij de eDentifier2 opviel was dat je bij deze voor het inloggen geen code meer moet invoeren (alleen de pin), dat lijkt me minder veilig omdat er dan minder mogelijke respons-codes zijn.
Blijkbaar weet eDentifier dus welke retourcode hij moet opgeven terwijl hij geen invoercode nodig heeft (is zowiezo niet afhankelijk van de pin) dus het enige waar de die code van afhankelijk kan zijn is een volgnummer en mischien de tijd, maar in het laatste geval moet er in de eDentifier2 een klok lopen (die de batterij leeg eet)

Wel zijn er vermoedelijk extra beveiligingen ingebouwd voor het overmaken van grotere bedragen, maar die heb ik nog niet tegen gekomen.

Dat pasnummer is zo slechts één van de weinige simpele beveiligingen, de skimmer beschikt er niet over terwijl de pashouder dat nummer mischien uit zijn hoofd kent, ik ken ook het pasnr van mijn vrouw en de beide vorige pasnummers (het zijn bij ABN ook maar 3 cijfers, is dus zelfs handmatig te bruteforcen).

ING gebruikt overigens ingewikkelder pasnummers, 5 tekens met letters en cijfers.

XBL @kidde • 15 september 2011 19:15

Bedankt voor deze uitleg.

BeosBeing @kidde • 21 september 2011 14:08

-Bij de e-reader wordt het wachtwoord (PIN) niet in de computer ingevoerd, bij de TAN-codes geloof ik wel.

Niet dus, pincode voer je niet in. In principe kun je blijven betalen als je pasje kwijt (gestolen) is (als je je telefoon maar hebt) terwijl je met een paslezer dus wel je pasje nodig hebt en die paslezer. Je hebt dus twee dingen nodig en dat is nodeloos onhandig.
Men zou de reader in de pas moeten inbouwen. Uiteraard kan je telefoon gestolen worden, dan heb je wel een probleem als je betalingen wilt doen, maar de dief kan alleen daarmee nog niets

-Verder werkt TAN vziw (vroeger zeker niet) niet met challange-response, zoals de e-reader wel. Dus men hoeft alleen het verkeer van de klant naar de server te 'faken'. Bij challange-response moet men zowel het verkeer van server naar klant (challange) als van klant terug naar de server (response) faken, 2 plekken dus.

De TAN is ook een challenge-respons-systeem alleen wordt het op een andere manier gegenereerd.
Omdat bij het bank-systeem het verkeer via één systeem plaats vind en bij TAN via twee kun je dus ook argumenteren dat het juist veiliger is.Daarbij heb je ook nog een username en password.

Als je bij het systeem van de overige banken de pas+pincode hebt kun je alles, bij ING heb je username+wachtwoord en TAN-lijst of telefoon nodig dus dat maakt in principe niet veel uit.

Overigens is het GSM-protocol ook lek, dus als dat voor SMS gebruikt wordt is dat een 3e mogelijkheid voor achterhalen van de TAN-codes.

True

Maw: De e-readers zijn veel veiliger dan het TAN-drama. Vroeger, toen die dingen nog op een lijst stonden die in volgorde afgewerkt werden, was dat TAN-gebeuren helemaal een veiligheids-nachtmerrie, waar ik liever niet mee te maken had.

Voor zover ik weet werden de TAN-codes van die lijst in willekeurige volgorde opgevraagd. Het Postbank-systeem vroeg dan om de waarde uit rij x, kolom y.
In hoeverre dat te kraken is als je bij Postbank/ING binnen kunt kan ik niet beoordelen.

Vreemd dat het nog steeds bestaat.

Het bestond omdat er mensen waren die geen GSM hadden, en die zijn er nog steeds. Zelf hebben wij er destijds bewust voor gekozen om voor de ene persoon de GSM te gebruiken en bij de ander de lijst, laatste voornamelijk als backup als er met de GSM iets was (gestolen, netwerk plat)

Maar ja, de ING staat zowiezo al niet zo bekend als 'veilig', je kan immers ook reverse-lookups van bankrek. no's doen.

ING heeft wel wat fouten gemaakt in de loop der tijd, die reverse-lookups was echter een bewust ingebouwde feature om foute betalingen te voorkomen. Het enige probleem ermee was dat het niet gelimiteerd was, maar dan nog zou het effectief harvesten van gegevens om er misbruik van te kunnen maken gewoon veel teveel tijd gekost hebben.

guapper @Darkstriker • 15 september 2011 11:10

Terug naar de papieren lijsten dan maar; lastiger om daarbij te achterhalen welke code bij welke transactie hoort.

Anoniem: 112442 @watercoolertje • 15 september 2011 13:51

Nee uiteindelijk moet je een code invoeren die je ergens vandaan haalt dat het hier per SMS gebeurd is wat makkelijker maar als je een user wijs kan maken een app te installeren kan je hem ook wijsmaken de code van de rabo/abn-reader in te voeren

Te eerste is het omslachtiger. Ten tweede kun je met een radom reader code "alleen maar" je rekening informatie zien.
Je zult al minimaal een challenge response actie moeten hebben, om geld te kunnne overboeken. Dan zullen de meeste mensen achterdochtig worden.

IMO moeten ze ING dwingen om hun methode aan te passen aan deze tijd.

Nee hoor prima beveiligd Maar van die beveiliging (aangeven wat een app allemaal kan op je systeem) wordt niet door iedereen gelezen, de beveiliging is goed (zo transparant als het maar kan) maar de meeste gebruikers zijn gewoon niet zo snugger

Dat vertrouw je allemaal?
Daarbij kun je ook malware verstoppen in een leuk programma. een trojan horse. Dan heeft de gebruiker hier helemaal geen weet van.

Daarom moet IMO de Nederlandse bank de ING verbieden om deze manier van internet bankieren te blijven gebruiken.

mae-t.net

Malware

@Anoniem: 112442 • 16 september 2011 15:24

Aanpassen aan deze tijd... Dat zeg je nu wel, maar hoe had je je dat voorgesteld?

De pas/randomreader-combinatie die bij andere banken de sleutels genereert zal met elke veiligheidsmaatregel minder gebruiksvriendelijk worden, totdat de sleutel 'opeens' gekraakt is en alle passen of misschien zelfs alle passen en alle random readers vervangen moeten worden en je tot die tijd niet kan telebankieren. Om maar een van de mogelijke toekomstscenario's te noemen.

Iftert @Eypo • 15 september 2011 10:47

Ik heb zelf Rabobank, en daar zit een apparaatje bij . Mij lijkt dat zo`n apparaatje makkelijk te hacken is dan iets met een passwoord + tan codes (hack n00b speaking) Want mijn bank gegevens worden alleen maar beveiligd door m`n pin code, en een rekenkundig apparaat, dat volgens mij zo kan worden nagemaakt, of gesimuleerd.

Maar misschien mis ik wel iets

HyperBart @Iftert • 15 september 2011 10:57

Beetje hetzelfde principe als dat je zegt dat wachtwoordhashes tout court niet veilig zijn, dat is niet waar... Gebruik het juiste algoritme en de tijd dat het gekraakt wordt is zo lang dat het niet meer rendeert of de kwaadwillende dood is...

Het mechanisme in jouw "rekenkundig apparaat" is op hetzelfde gebaseerd en wordt geregistreerd in hun systemen... Vergelijk het een beetje met een continu veranderende sleutel (ja, echt zo een voor in een slot) afhankelijk van de tijd in een doosje, en dat doosje is beschermd met een PIN-code...

Iemand kan dus jouw doosje wel stelen, maar de sleutel er in niet, want die sleutel komt telkens maar als één variant naar buiten... en dan moeten ze je PIN-code nog hebben...

Die TAN-codes van banken per SMS heb ik nooit veilig gevonden... Hell, zelfs op papier niet... Daar zit te weinig variatie in en blijft te statisch... Geen dynamische two-factor authenticatie. De "prul" met TAN-codes op papier is dat het iets is wat je hebt (het papier met de TAN-codes) en iets wat je kent (het wachtwoord voor de bank-applicatie op de website))

Timo002 legt het ook heel simpel uit: Timo002 in 'nieuws: Malware voor Android onderschept tan-codes internetbankieren'

EDIT: Mijn laatste alinea stond nog al raar geformuleerd, even aangepast en een linkje bijgeplaatst naar een reactie van Timo002

En nog wat bijkomende info:
http://en.wikipedia.org/wiki/Security_token
Dit soort Digipassen gebruiken de meeste Belgen voor hun bank-verkeer: http://www.vasco.com/prod...0_range/digipass_810.aspx

[Reactie gewijzigd door HyperBart op 22 juli 2024 14:37]

robvanwijk

Malware

@HyperBart • 15 september 2011 12:23

Die TAN-codes van banken per SMS heb ik nooit veilig gevonden... Hell, zelfs op papier niet... Daar zit te weinig variatie in en blijft te statisch... Geen dynamische two-factor authenticatie.

Hoezo weinig variatie? Het zijn zes cijfers en ik heb nog nooit een patroon gevonden. Even onder de aanname dat de site alarm slaat als je probeert te brute-forcen, is daar niks mis mee.
Wat je bedoelt met "statisch" en "dynamisch" begrijp ik niet...?
Tuurlijk is het wel two-factor: password (what you know, via het Internet) + TAN-code (indirecte versie van what you have (namelijk: je mobieltje), via het GSM-netwerk). Dus het zijn twee verschillende factors, gecontroleerd via twee verschillende kanalen.
(Tenminste, toen het systeem ingevoerd werd; de uitvinding van smartphones is niet voorzien. Zie ook mijn andere reactie.)

De "prul" met TAN-codes op papier is dat het iets is wat je hebt (het papier met de TAN-codes) en iets wat je kent (het wachtwoord voor de bank-applicatie op de website))

Dat is een backup om te voorkomen dat iedereen begint te klagen "De Postbank verplicht me om een mobiele telefoon te hebben!!!111". In principe is het gewoon de bedoeling dat je TAN-codes via sms ontvangt.

HyperBart @robvanwijk • 15 september 2011 15:11

Die dynamisch/variatie en dat het te statisch was sloeg op die papieren TAN-codes...

Twilight Burn @Iftert • 15 september 2011 10:52

Je mist inderdaad iets ;-)

Dat apparaatje van de rabobank is in feite niets meer dan een simpel keyboard en scherm voor je bankpas.
De chip op je pas controleert de PIN code, en rekent de code uit die daarna op het scherm verschijnt (en je moet intoetsen op de website) - De chip zorgt er ook voor dat deze na 3 foute pogingen geblokkeerd wordt. Een andere Random Reader gebruiken heeft dan ook geen zin.

Iftert @Twilight Burn • 15 september 2011 10:55

Maar stel mijn pas is geskimmed en ze hebben mijn pin afgekeken. Dan kunnen ze er makkelijker bij. omdat ze dan toch niet een tan code opsturen via mijn sms. Dus ze kunnen naast mijn bank leeg pinnen. ook inloggen op mijn bank en zelf makkelijker bij mijn spaargelden

Twilight Burn @Iftert • 15 september 2011 10:58

Het skimmen van je pas betreft de magneetstrip, en niet! de chip. Dus met een geskimde pas kunnen ze geen gebruik maken van de Random Reader.
De chip is niet zomaar uit te lezen en te kopieren, terwijl dat bij een magneetstrip heel makkelijk gaat.

Wat de TAN code betreft, je mobiel is nog makkelijker gestolen dan dat je bankpas geskimd is, en vziw kun je ook instellen dat je wachtwoord naar je mobiel gestuurd wordt, dan hebebn ze aan alleen je telefoon (en je bankrekeningnummer) genoeg om je hele rekening leeg te stelen.

robvanwijk

Malware

@Twilight Burn • 15 september 2011 12:15

Wat de TAN code betreft, je mobiel is nog makkelijker gestolen dan dat je bankpas geskimd is, en vziw kun je ook instellen dat je wachtwoord naar je mobiel gestuurd wordt, dan hebebn ze aan alleen je telefoon (en je bankrekeningnummer) genoeg om je hele rekening leeg te stelen.

Als het goed is kun je een telefoonnummer (of IMEI-nummer of zo) niet vertalen naar een username; zelfs al heb je iemands mobieltje, dan weet je niet met welke username je een password-reset moet aanvragen.
Ook als je een handtasje steelt (met zowel telefoon als bankpas) kun je in principe nog niks: op de pas staat een rekeningnummer, maar daarmee kun je niet inloggen, daar heb je de username voor nodig.

Het gaat wel fout als je iemands smartphone jat, die persoon zijn smartphone gebruikt om te internetbankieren en de username staat opgeslagen in de browser. In dat geval kun je trouwens wel meteen de hele rekening leegplunderen.

Edit @the_shadow:
Nee, wachtwoord heb je niet nodig; als je gebruikersnaam weet dan kun je een nieuw wachtwoord aanvragen, dat naar de telefoon wordt gestuurd mijns inziens wordt een fors deel beveiliging opgeofferd voor een beetje gebruiksgemak, maar goed, ik ga er niet over.

[Reactie gewijzigd door robvanwijk op 22 juli 2024 14:37]

the_shadow @robvanwijk • 15 september 2011 13:00

Het gaat wel fout als je iemands smartphone jat, die persoon zijn smartphone gebruikt om te internetbankieren en de username staat opgeslagen in de browser. In dat geval kun je trouwens wel meteen de hele rekening leegplunderen.

Vergeet niet "en zijn wachtwoord op een papiertje heeft geschreven". Wat dat betreft is een Randomreader een gevaarlijker systeem: inlognaam = gebruikersnaam, verder dingen regelen met pincode. Als iemand je pinpas + pincode heeft, dan kan hij inloggen. Bij ING moeten er 3 afzondelijke dingen "geraden" worden: username (by default een random string), password, en de TAN code die via SMS wordt gestuurd.

MrAngry @the_shadow • 15 september 2011 13:15

Als iemand m'n pinpas + pincode heeft dan hoeft hij niet eens in te loggen, dan loopt ie gewoon met een petje op naar een pinautomaat en trekt de zaak leeg. Dus je hebt altijd door dat je zuur bent omdat je pas weg is.
Dat is het probleem bij de ING, naast pincode + pinpas heeft de ING voor online bankieren een tweede, gevoeliger, security systeem dat niet gebaseerd is op pas+code. Mensen kunnen dus gescammed worden terwijl ze niet doorhebben dat ze gecompromiteerd zijn.

Geronimous

@robvanwijk • 16 september 2011 02:28

Dat is niet helemaal waar,want een nieuw wachtwoord wordt niet naar de mobiel gestuurd.

Allereerst heb je bij het aanvragen van een nieuw wachtwoord je pasnummer nodig,naast je naam, etc. Vervolgens krijg je per post een nieuw wachtwoord opgestuurd, en niet via email.

prutsger @Twilight Burn • 15 september 2011 11:19

Nee wachtwoorden krijg je een afhaalbericht voor waarbij je moet legitimeren op het postkantoor.

TheFes @prutsger • 15 september 2011 14:37

Helaas, dat is vorig jaar veranderd!

nieuws: Klanten kwetsbaar door nieuwe beveiliging Mijn ING - update

Bartjeh @Twilight Burn • 15 september 2011 11:39

Ongetwijfeld dat je mobiel makkelijker gestolen wordt dan dat je pas geskimmed wordt, maar wat dat betreft wordt je portemonnee net zo makkelijk gejat als je telefoon, of mis ik hier iets?

guapper @Iftert • 15 september 2011 11:13

Bij deze verificatie wordt de chip gebruikt, niet de magneetstrip die voor skimming vatbaar is omdat die niet gecodeerd is.

Wh4ck0 @Iftert • 15 september 2011 10:55

nee, die "apparaatjes" sturen een commando naar je pinpas. De chip op je pinpas genereert dan een hashcode aan de hand van de code die jij invoert. De bank genereert diezelfde hashcode, en vergelijkt dit met het antwoord dat jij invoert op de site.
Tenzij je achter het algoritme kunt komen, is dit zeer lastig te kraken. Want het is hoogstwaarschijnlijk 1-way encryptie, EN de gedeeltes van de chip waar het algortime in zit, is niet uit te lezen.

Timo002 @Iftert • 15 september 2011 10:58

Inderdaad, zo denk ik er ook over. Maar op een of andere manier is het algoritme toch niet zo makkelijk te kraken. De huidige tijd wordt namelijk meegenomen in de berekening. En ik weet het niet zeker, maar waarschijnlijk wordt er ook een code uit de chip van de bankpas gehaald die het geheel sluitend maakt met de gegevens op de server.

BeosBeing @Timo002 • 21 september 2011 15:30

Bij ABN eDentifier2 wordt de tijd volgens mij niet meer meegenomen.

WilliamP @Eypo • 15 september 2011 10:46

Ik denk ook dat het komt omdat de ING wat groter is.
Dat zie je ook met Windows, hoe groter de speler hoe meer virussen etc er voor zijn.

Dat zie je nu ook gebeuren met Smartphones, ik denk dat in de toekomst we hier nog veel meer last van zullen krijgen.

i-chat @WilliamP • 15 september 2011 11:41

wat een onzin, de rabobank is een van de groterre 'zakelijke' banken van NL en heeftl als zodanig verwacht ik dus ook meer zakelijke klanten met zakelijke limieten, in vergelijking met bijv de postbank (nu ing) waar vooral oude dametjes hun spaarcentjes naar toe brengen...

als er een bank in nl gemakkelijk te targeten zou moeten zijn... dan is het wel de 'boeren leenbank'

ik verweit de ing dan ook degelijk dat ze zo dom zijn om nog steeds met smstjes te werken... elke gehackte smartphone kan dat systeem verkloten... natuurlijk is bij de rabobank de user nog steeds een probleem in de keten, maar bij de ing zijn er naast de user dus nog meer mogelijkheden...

soufianemrabet @i-chat • 15 september 2011 12:04

''De internetsite van de Mijn ING is de drukst bezochte internetsite van Nederland. (Als tweede staat de NS genoteerd.) Meer dan 5 miljoen rekeninghouders van de bank hebben internettoegang. Dat is bijna een derde van de Nederlandse bevolking. Het aantal bezoekers kan oplopen tot 1,1 miljoen per uur (In de maand mei, als het vakantiegeld en de eventuele winstdeling wordt uitgekeerd aan werkend Nederland). In deze maand verstuurde de bank (toen nog Postbank) op 1 dag 4,8 miljoen sms-jes aan hun klanten die online boekingen hebben ingevoerd.''

bron: wiki

Caelestis @soufianemrabet • 15 september 2011 13:00

Tja kun je nagaan en dan nog met TAN codes kloten alsof ze in de middeleeuwen leven.

Het is duidelijk dat het kleur en logo een belangrijkere rol spelen in het hoofd van veel Nederlanders dan het concept veiligheid.

De Rabobank is letterlijk de enige die het random reader gebruikt zoals het hoort. ABN heeft het systeem maar half ingevoerd waardoor ook zij gevoelig zijn voor code kaping.
Je kan immers gewoon het verificatie van de RR gebruiken voor welke transactie dan ook binnen 120 sec.

Rabobank gebruikt de details in het overdracht om het eerste code te genereren wat inhoudt dat ook als jij via een spoofing je RR code invult kan een hacker er nog niks mee omdat het code niet overeenkomt met zijn fake overboeking.

poefel @Caelestis • 15 september 2011 14:14

De Rabobank is letterlijk de enige die het random reader gebruikt zoals het hoort.

Dat mag wel waar zijn, maar toen ik nog een Raborekening had was ik wel telkens mijn reader vergeten op momenten dat ik hem nodig had. Dat probleem heb ik nu met ING niet meer. En op ieder moment over je eigen rekening kunnen is ook een vorm van veiligheid.

mae-t.net

Malware

@Caelestis • 16 september 2011 15:28

Met tancodes kloten? Als dat systeem zo onveilig zou zijn, dan zou dat voor de bank toch al lang niet meer lonen? Ik denk dat je even iets verder door moet denken.

Overigens erken ik dat het rabosysteem best aardig werkt voorlopig, hoewel wat omslachtiger dan bij de ING. Dat andere banken knudde zijn had ik al eens opgevangen maar weet ik niet uit eigen ondervinding.

Bartjeh @i-chat • 15 september 2011 11:49

Nouja een gehackte telefoon is meestal nog steeds de schuld van de user. Gestolen telefoon kan je dan meestal weer niet zoveel aan doen.

El Cid @i-chat • 15 september 2011 12:11

Qua betaalrekeningen is ING veruit de grootste.

mokkol @i-chat • 15 september 2011 13:56

ING is niet alleen in Nederland he

Anoniem: 261819 @Eypo • 15 september 2011 10:44

ING is de enige bank in Nederland die gebruik maakt van TAN codes, en deze ook per SMS kan opsturen. Dit is dus makkelijker aan te vallen dan de methodes die andere banken gebruiken (random readers).

[Reactie gewijzigd door Anoniem: 261819 op 22 juli 2024 14:37]

wootah

@Anoniem: 261819 • 15 september 2011 11:27

Ik dacht dat zo'n TAN code via SMS was gekoppeld aan een transactie code waardoor het niet mogelijk zou moeten zijn om een andere betaling (een groot bedrag richting de hacker) er mee goed te keuren

Ik bedoel, ING zet ook altijd het bedrag waarvoor de tancode bedoelt is in de SMS.

Als dat niet het geval is... word het dan niet tijd om zoiets toe te passen? lijkt me een stuk veiliger

Op zo'n manier kunnen al die hacks met gemak voorkomen worden natuurlijk

Bartjeh @wootah • 15 september 2011 11:31

Dat klopt dat de TAN code gekoppeld is aan een bepaalde Transactie. Maar als de mensen van deze tool ook jouw inlog van je ING account hebben, kunnen ze natuurlijk een transactie doen en daarna de sms onderscheppen via dit tooltje. Vervolgens keuren ze de transactie met de juiste TAN code goed.

wootah

@Bartjeh • 15 september 2011 11:37

Jup, ik ging er van uit dat er alleen lokaal toegang was vanuit de client pc.
Mja, als je bank gegevens over straat liggen en met zo'n android malware infectie zou je vrij snel al je geld kwijt kunnen raken.

Wellicht moeten ze dan komen met secundaire authenticatie. Maarja, met spyware op je pc kan dat ook vrij weinig helpen

mjtdevries @wootah • 15 september 2011 12:15

Die TAN code via SMS is al een secundaire authenticatie.

wootah

@mjtdevries • 15 september 2011 12:54

Ik bedoel op het inloggen zelf

Beerkeeper @Eypo • 15 september 2011 10:48

Met de Raboreader of de ABN reader (beide gelijk met inloggen, probeer het maar voor de grap

Je kan een Raboreader gebruiken voor je ABN AMRO pas of de ABN reader voor je Rabopas) kan je eerst alleen inloggen met je pincode, dat je intoetst op de reader. Deze geeft een code terug waarmee je kan inloggen, maar ook alleen dat.

Om een transactie over te maken, moet je je pincode intoetsen + een code die de rabobank site opgeeft (of meerder zelfs bij grotere bedragen). Deze codes zijn afhankelijk van de transacties, zoals bedragen en hoeveel transacties je gaat doen. Zonder pincode kan je niks en deze wordt nergens achtergelaten behalve op je randomreader

LOTG @Beerkeeper • 15 september 2011 10:58

Die word dus niet achtergelaten op de randomreader, hij word gebruikt als input voor het algoritme. Het zou beveiligingstechnisch heel slecht zijn als die daarvoor word opgeslagen.

Ik vind persoonlijk de random readers veiliger dan die tancodes. Iedere transactie heeft zijn eigen verificatie code, en die is ook vrij kort geldig. Voor grotere bedragen word het ook nog eens extra complex.

Helaas blijft de zwakke schakel nog altijd de gebruiker. Als jij die zo ver krijgt om jou code te versificeren en jou de code te sturen dan zijn de rapen gaar. Alleen je hebt niets aan de code als je niet weet voor welke transactie (en wanneer) hij dient.

ItMeAedri @Eypo • 15 september 2011 10:50

De Rabobank heeft een random reader, in feite een token wat op je bankpas werkt.

Betalingen moeten gedaan worden door je rekeningnummer, pasnummer op de Rabobank website in te vullen, vervolgens moet je je pincode op de reader invoeren en vervolgens moet voor een betaling nog een code van de betalingspagina worden ingevuld. Dan krijg je een code terug en moet je deze invoeren.

Het is soms onhandig als je geen reader mee hebt, maar voor de rest werkt het heel fijn. Je krijgt gratis deze reader, zolang je een rekening open hebt bij de Rabobank. Als deze kapot is krijg je zo weer een nieuwe mee.

Dutchrevenge @ItMeAedri • 15 september 2011 11:24

Het is zelfs zo dat je een nieuwe Random Reader moet afhalen als je batterij leeg is. Deze kun je zelf niet vervangen, omdat de systeemtijd van de Random Reader anders niet meer overeenkomt en dus niet een goede code kan verstrekken.

De beste beveiliging begint overigens nog steeds bij jezelf. Een bank zal je nooit verplichten om de app te downloaden.

Wat mij opvalt is dat mensen wel heel erg makkelijk zijn in het verstrekken van bankgegevens. Een beetje gezonde achterdocht kan geen kwaad.

Neko Koneko @Eypo • 15 september 2011 10:44

Rabo en ABN gebruiken geen SMS verificatie

Gamebuster @Eypo • 15 september 2011 10:44

voor andere banken heb je zo'n apparaatje nodig voor een code

Anoniem: 201824 @Eypo • 15 september 2011 13:52

Er is altijd iemand het meest de pineut / het populairst. Denk niet dat het zozeer aan de verificatiemethode ligt...

CyBeR @Eypo • 15 september 2011 23:57

Wat mij opvalt is dat ING vaker het doelwit is van dit soort hacking. Andere banken hebben hier naar mijn idee een stuk minder last van? (Ik bedoel dan ABN of Rabobank, de rest is volgens mij een stuk kleiner)

ING heeft 8 miljoen klanten in Nederland, wat ze gezien onze bevolking van slechts 2x dat direct de grootste maakt. Grootste deel (7mln) omdat ze vroegah de PostBank waren trouwens.

Is die verificatiemethode dan zo'n stuk beter?

Niet persee. Uiteindelijk moet je een code intypen en die kan onderschept worden als de scammer slim genoeg en jij dom genoeg bent.

iq654 15 september 2011 10:49

Het mooie van Android was het open karakter, maar voor mij begint dit langzaam toch een minpunt te worden.

HarmoniousVibe @iq654 • 15 september 2011 11:14

Juist, want op Windows (Mobile), iOS of OS X (of Linux) kan geen malware worden geinstalleerd die luistervinkt?

Het hele idee van TAN-codes (en zo'n Rabo/ABN-reader), is, zoals robvdijk al aangeeft, two-factor authentication. Dit is gedaan onder de veronderstelling dat de tweede factor niet, of in ieder geval veel minder makkelijk compromitteerbaar is. Het voordeel van TAN via SMS is dat je niet zo'n apparaatje nodig hebt, maar alleen je mobiel bij je moet hebben. Gebruikersgemak dus. Echter is die veronderstelling veel minder valide dan vroeger.

Derhalve is een Rabo-reader veiliger. Immers, zo'n ding heeft totaal geen connectivity of iets om dingen op te installeren. Zo'n reader is in realistische zin dus NIET compromitteerbaar.

Ik snap ook niet dat er in de reacties zo wordt gefocust op OS'en. 'The operative word' in de titel is TAN-codes. Niet Android. Dat Android nu wordt misbruikt legt slechts het echte probleem bloot, namelijk het structurele beveiligingsgat dat er zit in het hele systeem van TAN-codes. Dáár gaat het om.

Stel nu er zit een gat in de snelweg en er rijdt een Renault in dat gat en de bestuurder verongelukt. Dan kunnen we het met z'n allen gaan hebben over de veiligheid van zo'n Renault en dat is allemaal best, maar niet als we daarmee de echte oorzaak negeren, namelijk dat gat in de snelweg. De volgende keer is het gewoon een Volvo die erin rijdt hoor.

[Reactie gewijzigd door HarmoniousVibe op 22 juli 2024 14:37]

robvanwijk

Malware

@HarmoniousVibe • 15 september 2011 12:43

Dit is gedaan onder de veronderstelling dat de tweede factor niet, of in ieder geval veel minder makkelijk compromitteerbaar is.

Kleine correctie: het idee is dat de twee factoren onafhankelijk van elkaar zijn. Het cruciale punt is dat de ene factor (bijvoorbeeld username/password) volledig onderuit kan gaan (bijvoorbeeld via een phishing site), maar dat de tweede factor dan nog volledig onaangetast is (de phishing site kan niet bij je mobieltje).
Als je bijvoorbeeld inlogt met een password (waarna je read-only toegang hebt tot je gegevens) en een tweede password in moet voeren om geld over te kunnen maken, dan is dat geen two-factor! Een phishing-site (of spyware, wat dat betreft) die de ene kan vragen / onderscheppen, zal zeer waarschijnlijk ook de tweede te pakken kunnen krijgen, zonder veel extra moeite te moeten doen.

Anoniem: 340068 @iq654 • 15 september 2011 11:27

Het mooie van Android was het open karakter, maar voor mij begint dit langzaam toch een minpunt te worden.

Als je een app installeerd vraagt ie als het goed is welke informatie ie wil doorusturen en wat ie wel en niet mag.. Dus het is je eigen verantwoordelijkheid, en als je niet jailbreakt en logish nadenkt dat een spelletje je locatie gegevens willen doorsturen en al je persoonlije data mag benaderen, ja dan moet er toch een belletje gaan rinkelen

soufianemrabet @iq654 • 15 september 2011 12:22

Zover ik weet is BB-os helemaal gesloten.

´´De Android-app, die niet in Market is verschenen, is niet de eerste mobiele variant van SpyEye. Eerder verschenen al versies voor Symbian en BlackBerry.´´

blouweKip @iq654 • 15 september 2011 12:17

domme gebruikers? dat is een minpunt wat je bij ieder product zult aantreffen toch?

MichaelB74 15 september 2011 10:44

Wellicht wordt het toch tijd voor Google om een systeem in het leven te roepen waarin nieuwe apps eerst door Google getest worden op hun werking.

Aangezien er steeds meer zaken met en via mobiele telefoons gedaan worden, is dit een zorgelijke ontwikkeling. Denk hierbij ook aan hotspot functies waar het verkeer afgetapt zou kunnen worden tussen pc en telefoon.

kenneth @MichaelB74 • 15 september 2011 10:48

De app is niet in de Market verschenen, zoals het artikel al zegt.

Volgens mij (in ieder geval bij mij) kunnen standaard apps alleen uit de Market geinstalleerd worden, een losse apk wordt geweigerd.

MichaelB74 @kenneth • 15 september 2011 11:42

Het is mij duidelijk dat het (nog) niet in de Market staat, maar is dat ook zo?

Niemand die dat met zekerheid kan zeggen.

Dit zal door de gebruikers/onderzoekers gesignaleerd moeten worden en dan is het eigenljik al te laat, dan is deze al in omloop.

[Reactie gewijzigd door MichaelB74 op 22 juli 2024 14:37]

Corman @MichaelB74 • 15 september 2011 10:51

Als de apps nooit gepubliceerd worden op de Market, is er niet veel wat Google qua monitoring kan doen.

Sleepkever @MichaelB74 • 15 september 2011 10:52

Dit is dan juist toch het verschil tussen Apple en Google. De market is juist open, geen verificatie proces en je hebt de market niet eens nodig om apps te installeren, zoals bij deze maleware het geval is. Er wordt gewoon een APK gedownload naar de telefoon en de gebruiker kan deze installeren (mits 3rd party installations aan staan in de settings).

Dit maakt het voor developers een stuk makkelijker, maar is inderdaad minder veilig dan het gesloten model van Apple. Wat nou beter is is in mijn mening niet te zeggen, beide varianten hebben zijn eigen voor en nadelen.

stefanos1990 @MichaelB74 • 15 september 2011 10:53

Volgens mij wordt deze app geinstalleerd buiten de market om. Als je dat soort apps wilt installeren moet je dus eerst bij instellingen aanvinken dat je je bewust bent van het risico. Alleen mensen die verstand hebben van wat ze doen zouden dit moeten aanvinken.

joep doei @MichaelB74 • 15 september 2011 11:18

Je moet als gebruiker aangeven als je ook apps van andere locaties, dus buiten de market om, wil installeren., Standaard kan dat niet. En als je denkt dat je slim genoeg bent om dat te doen dan zou je ook slim genoeg moeten zijn om te weten wat je wel of niet moet installeren.

MrAngry @MichaelB74 • 15 september 2011 11:18

Gebruikers kunnen deze app alleen installeren als ze de instelling om non-market apps te kunnen installeren aanvinken. Die staat standaard uit, dus wat dat betreft heb je geen punt. Ik vraag me wel af of het vaak voorkomt dat gewone gebruikers deze instelling aanzetten. Misschien dat er best een big fat warning bij mag, of een timeslot: enable non market applications for 30 minutes oid.

watercoolertje

Google
Google Android
Mobiele besturingssystemen
Smartphones
Malware

@MichaelB74 • 15 september 2011 11:01

Apps in de market worden gereviewed door gebruikers zelf

En bij voldoende negatieve meldingen gaat Google kijken en eventueel de app uit de market halen (en bij extreme gevallen zelfs deinstalleren van de app op elke telefoon met de market geinstalleerd)...

Hadespuiter @watercoolertje • 15 september 2011 11:26

Een "als het kalf verdronken is dempt men de put" handelswijze dus. Als een x-hoeveelheid mensen slachtoffer zijn geworden van een bepaalde app en hier melding van maken dan pas gaat Google eens kijken.
Ik heb toch liever dat ze vooraf even een kijkje nemen zoals Apple doet.

Sumuhtsop 15 september 2011 11:00

Snap de ophef niet helemaal. Als jij een tan code ontvangt via sms dan ben je op dat moment bezig met een betaling en dus gebruik je hem ook meteen. Daarna is die tancode nutteloos.

En inderdaad: een tan code alleen is niet genoeg, login en ww zijn ook vereist.

kmf @Sumuhtsop • 15 september 2011 11:19

"uw ingevoerd tan-code is ongeldig, klik hier om een nieuwe code aan te vragen"

Sumuhtsop @kmf • 15 september 2011 11:23

Tja die melding kan ik me haast niet voorstellen in die tijd die er voor staat van ontvangst van een TAN code en gebruiken van de TAN code.

Anoniem: 145867 @kmf • 15 september 2011 14:07

"Deze tan-code is reeds eerder gebruikt, wij waarschuwen u op enige vorm van malware of phising informeer hierbij bij bla bla bla"

Ook wel een oplossing

ari @Sumuhtsop • 15 september 2011 11:31

Als je zelf iets overmaakt dan is dat niet zo'n heel probleem. Wanneer een kwaadwillende echter achter je login en wachtwoord is gekomen, dan wordt geld overmaken opeens heel makkelijk...

En wat betreft de login: die bestaat vaak uit een (combinatie van) voor- of achternaam, en wachtwoorden zijn helaas ook vaak hetzelfde. En net als met spam hoeft je hack maar in 0,1% van de gevallen effectief te zijn om te lonen...

kenneth 15 september 2011 10:53

Zouden er nou heel veel mensen zijn die én expliciet unknown sources toestaan voor installatie van apps én zo dom zijn spyware te installeren?

ari @kenneth • 15 september 2011 11:28

Ja. Zodra ze denken dat er iets leuks tegenover staat (gratis game, grappige applicatie) dan denken veel te veel mensen niet meer na over de beveiliging.

Gelukkig zijn er ook nog mensen die wel na kunnen denken, maar zo lang niet iedereen dat doet dan zal dit soort troep blijven bestaan (net zoals dat spam nog steeds loont).

Anoniem: 145867 @ari • 15 september 2011 14:06

Datzelfde heb je bij iOS.. Men gaat jailbreaken om illegaal apps erop te zetten. En na een jailbreak ben je veel vatbaarder..

robvanwijk

Malware

15 september 2011 10:46

Oorspronkelijk was het idee van TAN-codes het gebruik van two-factor authentication: op de computer geef je je (username en) password in, daarna bevestig je via de code die op je mobiel binnenkrijgt. In principe een prima systeem.

Door het onderscheppen van tan-codes kunnen kwaadwillenden overschrijvingen autoriseren namens een gebruiker. Dan moeten wel eerst de gebruikersnaam en het wachtwoord onderschept zijn.

Maar ja, met de uitvinding van de smartphone is dat opeens een heel ander verhaal geworden...

mrooie 15 september 2011 10:51

Alles heeft zijn voordelen en nadelen, zowel Android als iOS, laten we gelijk de discussie sluiten anders gaat de eeuwige discussie weer van start.

[Reactie gewijzigd door mrooie op 22 juli 2024 14:37]

Anoniem: 340068 @mrooie • 15 september 2011 12:53

Alles heeft zijn voordelen en nadelen, zowel Android als iOS, laten we gelijk de discussie sluiten anders gaat de eeuwige discussie weer van start.

Inderdaad, zoals Windows en OSX allen zijn voor en nadelen heeft..

Darf 15 september 2011 11:14

De meeste mensen die unkown sources aan hebben staan, hebben ook hun toestel ook geroot. Als een app een binnenkomende SMS probeert te lezen, dan krijg je een notificatie hiervan. Daarnaast kan je per app zien wat voor rechten deze met betrekking tot het lezen van berichten hebben. De meeste powerusers die apps buiten de android market installeren zullen dus juist nog beter beveiligd zijn hier tegen.

Het lijkt me dan ook maar een zeer kleine doelgroep, waarop deze app van toepassing is.

Anoniem: 145867 @Darf • 15 september 2011 14:12

Vaak weten die mensen ook waar ze mee bezig zijn en weten ze de gevaren van bepaalde apps met verschillende api's die geactiveerd zijn bij de melding tijdens het installeren van de .apk.

De kans opdat ze uberhaupt iets buit maken is echt heeeeeel klein idd.

Exorcist 15 september 2011 11:15

Het eeuwige gezeur over de ING met TAN codes. Altijd van gebruikers van Rabo/ABN met hun zeer handige (en altijd vergeten) reader.

Om een transactie te authenticeren of überhaupt op te stellen zijn nodig:

- Gebruikersnaam
- Wachtwoord
- TAN code (SMS)

Een kwaadwillende heeft dus alledrie nodig. In dat geval ben je even kansloos als een Rabo/ABN gebruiker, want benodigd zijn gebruikersnaam, wachtwoord en PIN code/pas. Een PIN code afkijken of skimmen lijkt me eveneens een aardig risico, maar in mijn ogen bij alle drie de banken te verwaarlozen omdat een combinatie van factoren aanwezig moet zijn bij de "crimineel".

Nee, geef mij maar de TAN validatie per SMS. Als je niet capabel bent om te Internetbankieren maakt het überhaupt niet uit bij welke bank je zit.

Sumuhtsop @Exorcist • 15 september 2011 11:24

Mee eens

Op dit item kan niet meer gereageerd worden.

Malware voor Android onderschept tan-codes internetbankieren

Lees meer

Reacties (202)

Sorteer op:

Weergave: