ING gaat klanten gratis antimalwarepakket leveren

ING biedt zijn klanten een gratis antimalwarepakket van de firma Trusteer aan. De veiligheidssoftware, beschikbaar voor Windows en OS X, zou malware, zoals trojans en keyloggers, kunnen herkennen en ook kunnen verwijderen.

ING stelt dat het in het buitenland al langer het pakket Trusteer Rapport aan zijn klanten levert en dat het pakket op de Nederlandse markt is aangeboden aan klanten die kampten met een besmette pc. De bank heeft nu besloten de software voor al zijn klanten beschikbaar te stellen. Opvallend is overigens dat de software op de ING-site niet via een versleutelde https-verbinding wordt aangeboden.

De Trusteer Rapport-software nestelt zich in de browser. Volgens Trusteer weet de software man-in-the-middle- en man-in-the-browser-aanvallen te voorkomen, en blokkeert het ook keyloggers en tools die pogen heimelijk screenshots te maken. De tool belooft ook phishingaanvallen te neutraliseren en gerommel met certificaten te herkennen. Trusteer Rapport is beschikbaar voor zowel Windows- als OS X-gebruikers, en is compatibel met Internet Explorer, Firefox, Chrome en Safari.

De software is volgens ING een goede aanvulling op bestaande virusscanners en firewalls, en moet internetbankieren veiliger maken. Desondanks blijft de bank zijn klanten adviseren om de laatste updates voor hun besturingssysteem te installeren en virusscanners actueel te houden.

Trusteer Rapport

IT-banen

Reacties (179)

CILLER 8 oktober 2012 13:16

Het idee is oké maar ik ben bang dat klanten die deze software niet op hun PC willen straks geen schadeloosstelling van ING meer gaan krijgen als ze toch gehackt worden en daarmee hun bankgegevens gestolen worden. Nu is dat nog volledig voor rekening van de bank.

CMD-Snake @CILLER • 8 oktober 2012 13:27

Ik heb eens zitten Googlen. Het is een redelijk onbekend product, er zijn nauwelijks reviews en laat staan reviews waar je iets aan hebt. Dit viel me wel op, schijnbaar is het makkelijk te kraken.

http://malwaretips.com/Th...ypassed-virtually-useless

Het filmpje is wel lang (47 minuten).

Ik denk dat de ING nog beter klanten een bekend bestaand pakket kan aanbieden in plaats van dit obscure pakket.

maradesign @CMD-Snake • 8 oktober 2012 14:21

Het filmpje is van vorig jaar... Dit programma is continue in ontwikkeling. Je wilt niet weten hoeveel klanten bij ons hier baat bij hebben. Als wij zeker weten dat de klant een virus heeft dan is het 100% zeker dat Zeus / SpyEye of Torpig etc gevonden worden. En kan de klant veilig de vervolgstappen uitvoeren en is hij van het virus af. Heel enkel merk ik dat de klant met zijn eigen pakket het heeft weten te verwijderen. Maar we zijn toch altijd nog een beetje huiverig omdat de klant niet lezen wat de naam van het virus is. Ze zeggen dan .. Ja het was een Trojan. Maar welke weten we niet. Daarom raden we altijd als extra ook Trusteer aan,. Omdat we een optimale service moeten kunnen bieden. Wij zijn er persoonlijk erg blij mee. Want het is tot nu toe een top product.

CMD-Snake @maradesign • 8 oktober 2012 15:03

Klinkt alsof je dit product verkoopt.....

Het filmpje is van september 2011. Zelfs al betreft het een 2011 versie van het product, dan is het om te janken. Je kan de encryptie zelf aan uit zetten, een stuk malware kan simpelweg dus eerst snel het programma uitzetten en dan zijn werk doen. Meeste AV producten hebben ook systemen om hun eigen integriteit te controleren. Dit programma maakt geen melding aan de gebruiker dat de beveiliging in feite is uitgezet.

De encryptie is ronduit belachelijk als je de voorbeelden hoort in het filmpje.

Het is ook opvallend hoeveel mensen BSOD's krijgen na het installeren van Rapport. Daarnaast zijn er erg veel klachten te lezen van sloom internet na het installeren van Rapport.

Wat mij ook opvalt is dat Rapport niet meedoet in tests van iets als AV Comparatives. Er zijn nauwelijks reviews te vinden, en de reviews die ik kan vinden zijn nou niet echt van hoog niveau.

Als wij zeker weten dat de klant een virus heeft dan is het 100% zeker dat Zeus / SpyEye of Torpig etc gevonden worden. En kan de klant veilig de vervolgstappen uitvoeren en is hij van het virus af

Hoe weet je dit zeker wat het dan is?

Overigens zijn Spyeye, Zeus en Torpig niet zomaar trojans waar je eenvoudig vanaf komt. Torpig kan zelfs een herinstallatie overleven. De allerbeste oplossing is dan nog echt je schijf goed te formatteren met iets als DBAN en vers te installeren.

Als ik alles zo lees/zie dan is dit geen beveiliging, gewoon een groot marketing budget.

maradesign @CMD-Snake • 8 oktober 2012 16:30

Providers bellen soms klanten die een virus hebben of stellen deze telefonisch op de hoogte dat hun pc besmet is. Ik kan niet zeggen hoe de ING dit opmerkt. Maar het zal ook wel voor een deel in samenwerking zijn met de providers en of een eigen detectie systeem. Er is niet maar 1 manier om een virus te detecteren.

Wat je zegt over SpyEye Zeus en Torpig klopt. Die kunnen een verwijdering overleven. Omdat het in het geheugen / mbr zit. Daarom start Trusteer de pc ook opnieuw op omdat je dan het bootrecord kan scannen / schoonvegen. Het is echt geen dom goedkoop programma het werkt echt. En ik verkoop niets. Het is immers gratis... Dan is het net of alles waar je tevreden over bent een verkoop praatje lijkt...

En waarom rapport niet meedoet met dit soort onderzoeken kan je vragen aan de support desk van Trusteer zelf. Die beantwoorden deze vragen waarschijnlijk wel. ING biedt het aan. Maar hun eigen supportDesk kan je misschien meer vertellen. En nogmaals het is een AANVULLING. Geen compleet pakket wat duizenden handtekeningen van virussen heeft zoals NORTON of iets dergelijks.

Wat ik wel heb meegemaakt is dat het systeem van een klant dusdanig naar de vernieling is geholpen ( software matig ) dat bij het installeren van een scanner / detecteren van het virus het systeem BSOD't. Dit is meestal wanneer er een vitaal onderdeel is beschadigt / besmet.

Over alle virusscanners is wat op te merken. Maar je kan er op rekenen dat wij blij zijn dat we zoveel klanten nu echt goed kunnen helpen. Dat was voor Trusteer helaas niet altijd het geval.

[Reactie gewijzigd door maradesign op 23 juli 2024 06:34]

CMD-Snake @maradesign • 8 oktober 2012 17:58

Providers bellen soms klanten die een virus hebben of stellen deze telefonisch op de hoogte dat hun pc besmet is.

Doorgaans sluiten ze die klanten af eerst. Maar je moet dan wel echt een enorme spam server zijn geworden willen ze dat doen. Genoeg mensen worden nooit geïnformeerd dat hun systeem onderdeel uitmaakt van een botnet.

Daarom start Trusteer de pc ook opnieuw op omdat je dan het bootrecord kan scannen / schoonvegen.

Dan zou Rapport dus al werken voor het OS geladen is? Ik denk het niet. Geen enkele scanner is dan actief. Het virus ook niet eens.

Een virus in het geheugen ben je kwijt met een reboot. Even de stroom eraf en je RAM is leeg.

Het rottig van Torpig is dat deze in de MBR zit en hooks plaatst op je harde schijf. Tevens misleid Torpig veel scanners door een schone MRB, Torpig slaat je oude MRB ook op daarvoor. Je moet dus een scanner hebben die of door deze truc heen kan zien en dan MRB kan herstellen of je moet een Live Cd gebruiken.

Ik denk dat de invloed van Trusteer nihil is op de AV markt. Ze zijn in bedrijf sinds 2006, maar in 6 jaar heeft in product kennelijk weinig indruk gemaakt. Nog nergens is het product voorbij gekomen in mainstream media. Dat de banken het pushen zegt niets. Dat kan net zo goed zijn dat Trusteer het goedkoopste was in licentie voor ze.

Persoonlijk vertrouw ik liever op andere AV oplossingen.

maradesign @CMD-Snake • 8 oktober 2012 18:17

Torpig in dit geval kan gedetecteerd worden. Maar voor het OS start grijpt het niet direct in. Het is tot nu toe alleen voorgekomen dat het in windows wordt gedetecteerd en met een restart uit het MBR wordt gehaald. Voor de gedetailleerde werking van het programma, het aanpakken van de methode dat het via hooks werkt en het virus een mbr backup terug kan zetten heb ik geen verstand van. Maar Trusteer geeft in dit geval wel aan dat het op een Trojan gaat genaamd Torpig. Dus het lijkt mij dat hij dit in de reboot ook dusdanig weet te verwijderen. Anders zouden er meer schade gevallen moet zijn.. en dat hou je als bank niet stil lijkt me...Maar dat is maar een mening. Tevens komt bij dit soort besmettingen ook aangepaste code voor op de pc die extra schermen en of content aan de website toevoegt om social engineering mogelijk te maken. Als bij een klant vervolgens ook deze situatie verholpen is en hij vervolgens overboekingen kan doen zonder dat het naar een IBAN oid wordt verzonden kan ik er alleen maar uit opmaken dat het tot nu toe erg goed werkt.

En ik neem ook aan dat Trusteer gekozen is omdat het moeiteloos naast andere software draait omdat het maar een aanvulling is. Nu heb ik zelf genoeg naast elkaar draaien. Maar ik kan het mij veroorloven om zo een best mogelijke mix te vinden van software waar ik de beste ervaringen mee heb. Een bank heeft die luxe niet. Dus er zou wel degelijk een betere reden aan zitten dan alleen het prijskaartje. Maar ook dat weet ik niet zeker. Lijkt me wel een valide argument. Maar dat van jou kan net zo goed.

[Reactie gewijzigd door maradesign op 23 juli 2024 06:34]

SED @maradesign • 8 oktober 2012 20:02

hier draait het met chrome in ieder geval niet!

chrome: 22.0.1229.79

Anoniem: 394438 @maradesign • 8 oktober 2012 14:40

Via een omweg kan het nog steeds omzeilt worden. Ook de current build. En Zeus / SpyEye of Torpig zijn redelijk verouderde virussen, en zijn er maar drie. Terwijl er dagelijks zo'n 10.000 virussen/varianten bijkomen. Dus dit vind ik een waardeloos voorbeeld.

maradesign @Anoniem: 394438 • 8 oktober 2012 14:52

Er zijn voor zover bekent is geen varianten met daarachter een netwerk wat gericht is op bankgegevens stelen wat zo massaal wordt gebruikt bij nederlanse banken als SpyeEye en Zeus varianten ( lees varianten dus meer dan 3). En omdat er volgens jou 10k virussen bij komen per dag, is dit van mij ( wat gebasseerd is op mijn dagelijkse werkzaamheden ) een waardeloos voorbeeld. Het is gewoon een geconstateerd feit. Deze virussen hebben nagenoeg de zelfde signature. En dus kunnen veel varianten en de originele geupdate versies worden gevonden door Trusteer. Er zal vast wel een tijd aanbreken dat er een variant komt die niet gedetecteerd wordt... Maar zo gaat het altijd... Wij huppelen achter de virussen aan, en vaak niet anders om, want dan was elke pc lekker veilig en hadden we geen problemen.

Juup @CMD-Snake • 8 oktober 2012 18:28

De OS X versie schijnt ook niet erg stabiel te zijn:

https://discussions.apple.com/thread/2795623

Baserk @CMD-Snake • 8 oktober 2012 18:39

Het is niet perse obscuur. Weliswaar redelijk onbekend in NL maar bv in de UK al erg veel aangeboden.
Jammerlijk is de reactie van Trusteer op de hele 44Con presentatie: de 'exploit' danwel 'bug' zou meteen zijn verholpen ondanks zogenaamd geweigerde 'full disclosure'.
Digit Security heeft echter vrijwel meteen alle info aangeboden.
Wat niet zal zijn bevallen is het feit dat er helemaal geen bug of exploit tijdens de presentatie is getoond maar structurele ontwerp fouten.
Digit Security link

HitmanPro Alert lijkt me wel een mooi alternatief voor Trusteer Rapport, zo gauw het uit beta is.

B0MBACI @CILLER • 8 oktober 2012 13:19

stiekem vind ik dat dan ook terecht, niet zozeer dat men verplicht wordt geacht dit software van ING te gebruiken, maar dat men verplicht wordt om av software te installeren en zonet is dat je eigen risico. (Maar wellicht ben ik de enige die dit vind)

Anoniem: 135995 @B0MBACI • 8 oktober 2012 13:49

Ik ben meer van mening dat men zich niet teveel moet ophangen aan av software, aangezien deze in wisselende kwaliteit aanwezig is en vaak niet kan voldoen aan de verwachtingen. Het biedt schijnveiligheid (ook voor de banken!).

Liever zou ik zien dat er innovaties komen op het gebied van authenticatie. Een betere two-factor authentication bijvoorbeeld. Of het dubbel moeten uitvoeren van opdrachten vanaf twee onafhankelijke devices (pas als beide binnen zijn, wordt het uitgevoerd - en dan vanaf wat hogere overboekingen of zo).

mjtdevries @Anoniem: 135995 • 8 oktober 2012 14:20

Wat is er dan wat jouw betreft zo mis aan de huidige two-factor authentication?

DutchReaper @mjtdevries • 8 oktober 2012 14:38

In de huidige variant krijg ik ten minste alleen op mijn pc te zien welk bedrag ik aan het overmaken ben. En naar wie ik het overmaak.
Liever heb ik dat ik het totale bedrag moet invullen zoals wat gebeurt wanneer je hoge bedragen overmaakt. (PS mijn bank is de ABN amro)

mae-t.net

Malware

@DutchReaper • 8 oktober 2012 14:46

Misschien dat het bij ABN-AMRO wat minder handig werkt, maar bij de ING doet men een vrij doordachte en gebruikersvriendelijke two-factor: In de huidige variant krijg je zowel op je PC als op je mobiele telefoon de hoogte van het bedrag te zien. Dat zijn wel degelijk twee onafhankelijke devices. Een aanvullende oplossing kan zijn om ook de specificatie van de over te maken bedragen per sms te sturen.

@robvanwijk: mee eens. Het eerste probleem wordt al deels ondervangen, maar de echte oplossing (specificatie meesturen) noem ik ook al. Het tweede probleem laat de two-factor inderdaad als sneeuw voor de zon verdwijnen. Om meerdere redenen ben ik ook geen voorstander van bankieren op de smartphone, ook niet bij andere banken (al was het inderdaad maar omdat je zooi moet meeslepen). Laten ze daar maar een geheel onafhankelijk systeem voor ontwikkelen, met een andere authenticatie (misschien iets met voice response?). Tot die tijd het bankieren via je telefoon met klem afraden.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 06:34]

robvanwijk

Beveiliging
Malware
Privacy

@mae-t.net • 8 oktober 2012 15:15

In de huidige variant krijg je zowel op je PC als op je mobiele telefoon de hoogte van het bedrag te zien.

Ja, maar je krijgt niet te zien naar welk rekeningnummer dat bedrag gaat.

In de huidige variant krijg je zowel op je PC als op je mobiele telefoon de hoogte van het bedrag te zien. Dat zijn wel degelijk twee onafhankelijke devices.

Ja, totdat je gaat internetbankieren op je smartphone.

Oorspronkelijk was de opzet met TAN-codes prima: echte two-factor (al is het dan zonder volledige specs in het smsje) én gebruiksvriendelijk ("iedereen" heeft "altijd" zijn telefoon bij zich, overal een random reader mee moeten slepen is lichtelijk onpractisch). Maar ja, toen (dankzij smartphones) opeens de browser en de sms op hetzelfde apparaat terecht kwamen werd het aanzienlijk kwetsbaarder (zeker omdat veel smartphones geen virusscanner draaien).

Jeroenneman @robvanwijk • 8 oktober 2012 16:14

Simpel: Niet internetbankieren op je telefoon.

Adam_2.0 @robvanwijk • 8 oktober 2012 15:58

Maar zit je dan niet sowieso met het probleem van veiligheid van de smartphone? Ik zit er zelf niet heel diep in, maar ik heb zelf nog nooit iets gehoord van anti-malware voor Android of iOS, en standaard zit het er niet in - is daarmee de hele smartphone als apparaat voor bankieren niet ongeschikt?

Edit: het is blijkbaar wel beschikbaar, maar ik geloof niet dat er veel aandacht aan wordt besteed - in het smartphone-beleid van m'n werkgever wordt daar vooralsnog niets mee gedaan, bijvoorbeeld.

[Reactie gewijzigd door Adam_2.0 op 23 juli 2024 06:34]

MeltedForest @Adam_2.0 • 8 oktober 2012 16:19

Toch beter in de Store kijken, anti-malware voor Android of iOS bestaat al heel lang. Windows Mobile 5 had trouwens al anti-malware/virus software die je kon kopen

HummerHealey @MeltedForest • 8 oktober 2012 22:53

Voor iOS heb je in principe geen anti malware nodig door het gesloten systeem. Of zie ik dat verkeerd? Een pakket als Intego virus barrier is met name bedoeld om andere niet op te zadelen met virussen in (doorgestuurde) attachments. Natuurlijk slipt er wel eens een App door, maar de kans om met iOS met een virus besmet te raken is op dit moment nog minimaal. Tenzij je gaat jailbreaken natuurlijk.

Overigens dacht ik dat OSX al ingebouwde anti malware had, maar die zal misschien wat minder up to date zijn.

Ondertussen maak ik maar gebuik van tan codes via sms (Xperia P) en log ik op de ING site in op een ander Apparaat (iPad / MacBook). Op m'n Xperia de ING App gebruiken lijkt me geen goed idee. Maar als ik een iPhone had zou ik daar ook de ING App niet op gebruiken. Ik heb er geen goed gevoel bij, dat op één apparaat te doen.

freaky @Adam_2.0 • 8 oktober 2012 19:27

Zal er aan liggen hoe het programma werkt en daar weet ik niet genoeg van. Mag hopen dat het iets van een signed app is, alleen HTTPS communicatie doet en met hashes en controle codes werkt waarmee het nog steeds bijzonder moeilijk is om er op in te breken.

Theoretisch blaten zonder enige onderliggende technische kennis van de app zelf is echter bijzonder makkelijk en tegenwoordig ook bijzonder gewaardeerd hier.

Op android moeten alle apps signed zijn overigens. http://developer.android....blishing/app-signing.html Als ze dan nog wat extra checks ingebouwd hebben kan het theorie wel stukken makkelijker te tappen zijn - het kan in de praktijk nog weleens bijzonder tegen vallen. Ik heb iig nog niet van fraude via het mobieltje (ie mobiel bankieren met de door de bank geleverde app - vind genoeg over de websites wat ze ook 'mobiel' bankieren noemen ipv internet bankieren).

Anoniem: 135995 @mjtdevries • 8 oktober 2012 15:18

Het dwingt geen expliciete controle van de gebruiker af. De gebruiker leert gewoon een trucje om de transactie te voltooien: in het geval van b.v. ABN AMRO het over en weer invoeren van een code, en in het geval van ING het invoeren van het TAN nummer. Ook al staat in de sms een volgnummer en het bedrag, de meeste mensen voeren blind het TAN nummer in (hupakee klaar).

Als je daarentegen op je smartphone nogmaals dezelfde transactie zou moeten invoeren, dan kijk je nogmaals kritisch naar bedrag en rekeningnummer. Ik noem maar wat hoor, ik snap dat dit niet de meest vriendelijke methode is.

Maar ik wil twee dingen aantonen: ten eerste, de mens automatiseert heel snel en zal altijd voor de snelste afhandeling gaan (niet de veiligste) en ten tweede, antivirus software biedt schijnveiligheid waardoor mensen nog minder gaan opletten bij wat ze op het internet doen. Ik zie helaas beide zaken veel om me heen gebeuren, met name bij niet-doorgewinterde computergebruikers...

SuBBaSS @B0MBACI • 8 oktober 2012 13:32

Sterker nog: vorig jaar, toen ING een aantal keer minder lekker in het nieuws kwam vanwege beveiligingsissues en die (eventueel) gehackte site, was de reactie van de helpdesk op (voor de klant) onverklaarbare overschrijvingen bijna standaard: "U heeft een virus op uw pc".
Gaan ze dat nu een stapje verder doortrekken en uiteindelijk eisen dat dit progsel gebruikt wordt?

Eigenlijk heb ik door die nieuwsberichten en reacties van ze niet al teveel vertrouwen, maar natuurlijk verdient iedereen een tweede kans en het is goed dat ze dit doen.
Toch blijven ING en security imo nog geen gelukkige combinatie, daar verandert dit stukje software voor mij niet veel aan.
Ik wacht in ieder geval eerst wel op de recensies.

freaky @SuBBaSS • 8 oktober 2012 19:14

Wil je even toelichten dan hoe dat bij andere banken beter is? Beetje eenzijdig afzeiken nu en de problemen zijn overal hetzelfde. Wellicht dat andere gebruikers iets beter op het bedrag letten gezien ze mogelijk in moeten typen in de random reader.

Dat gezegd hebbende, het is niet bepaald zo dat de ING het totaal bedrag niet meestuurt in de SMS en dat niet verifieren heeft dus dezelfde resultaten als bij de andere banken... (you're fucked). Het niet controleren van het totaal bedrag is wat mij betreft dan ook de enige valide reden van de bank om niet tot restitutie over te gaan. Virusscanners en ook deze software lopen altijd achter op de nieuwste malware crap.

Net zo goed als dat medicijnen altijd achter lopen op de 'laatste' virussen/ziektes. Alleen in IT land zijn de definities (vaccins) een stuk makkelijker en laten die geen jaren op zich wachten zoals bij bijv. AIDS (zei ik jaren? decennia is soms toepasselijker

). Maar ook in IT land duurt het vaak te lang, zeker als nieuwe malware zich heel gericht verspreid en het dus lang duurt voor de AV definities jongens een exemplaar hebben (bovendien richten die waarschijnlijk bijzonder overbelaste afdelingen zich waarschijnlijk eerst op de snel verspreiders - maar dat is een andere discussie).

Anoniem: 407481 @CILLER • 8 oktober 2012 13:28

Voor rekening van de bank betekend gewoon dat ze dat geld ergens anders (lees: bij de andere klanten) vandaan halen. Goede zaak dus als ze dit voor Windows gebruikers verplicht zouden stellen.

MClaeys @Anoniem: 407481 • 8 oktober 2012 13:57

En waarom enkel de Windows gebruikers? Zijn er werkelijk nog steeds mensen die denken dat OSx onkwetsbaar is? Van zodra een bank onderscheid gaat maken tussen haar klanten op basis van besturingssysteem, die bank ziet mij (en vele anderen) nooit meer terug.

Wat mij als niet-ING klant wel opvalt is dat er vooral veel last is van phishing bij deze bank, houd dit programma dat tegen? Misschien eens een gerapporteerde phishingsite maar veel meer niet denk ik.
En zit er dan niet ergens een dikke fout bij de manier waarop ING werkt, van andere banken hoor ik dat namelijk totaal niet (of zo eens heel af en toe)?
Zelfs het pakket dat ze aanbieden is maar een schijnvertoning, het heeft niet echt lovende kritieken als ik zo wat rond lees, het is niet via een versleutelde verbinding te downloaden (niet dat dat zo een ramp is, maar een bank is snel een doelwit. Voor zover ik me herinner was de vroegere bankensoftware (toen het nog niet puur via de website ging) ook enkel op een versleutelde verbinding te downloaden of op cd af te halen in de bank zelf).
Was het dan niet beter als bank samen te werken met enkele antivirus pakketten of beveiligingspakketten om een goede korting te bieden aan hun klanten voor het pakket dat ze al gebruiken (of willen gebruiken)?

[Reactie gewijzigd door MClaeys op 23 juli 2024 06:34]

mae-t.net

Malware

@MClaeys • 8 oktober 2012 14:51

Het vooruit sturen van TAN-codes in papieren lijsten of per 5 in SMS, maakt de ING-klant inderdaad kwetsbaarder voor phishing.

Wat mij betreft schaffen ze dat per onmiddelijk af en sturen ze alleen nog TAN-codes per stuk in een SMS. Dan werkt het echt uitstekend en is het zelfs minder gevoelig voor phishing dan de pas+reader die veel andere banken gebruiken. Immers kan je met pas+reader op aanvraag van een phisher nog steeds een code generen, maar zonder transactie op de ING-site kan je nooit een TAN-code genereren.

Dieks77 @mae-t.net • 8 oktober 2012 15:34

TAN-codes komen altijd per stuk in een sms.

Wel is het zo indien je tegelijk meerdere overschrijvingen doet er maar 1 TAN-code gestuurd wordt.
Echter, er wordt altijd een volgnummer én het totaal bedrag getoond wat je ook ziet in de popup waar je de TAN-code invult.

mae-t.net

Malware

@Dieks77 • 8 oktober 2012 16:44

Je kon ook altijd een voorraad TAN-codes per SMS krijgen. Als ze dat inmiddels afgeschaft hebben, mag je mijn opmerking daarover als niet geschreven beschouwen. De laatste keer dat ik keek, bestonden de papieren lijsten echter nog wel.

RiDo78 @mae-t.net • 8 oktober 2012 17:02

Wat mij betreft schaffen ze dat per onmiddelijk af en sturen ze alleen nog TAN-codes per stuk in een SMS.

Nee dank je, ik blijf liever bij mijn TAN-lijst. Aangezien je in een aantal gevallen wachtwoord van je account kunt resetten door een SMS te laten sturen, hoeft een aanvaller alleen maar je telefoon te jatten en je loginnaam af te kijken. Wachtwoord en TAN-codes komen per sms...

Bij mij mogen ze mijn TAN-lijst jatten, maar ze moeten dan nog steeds mijn wachtwoord hebben. En jatten ze mijn telefoon, resetten ze mijn wachtwoord, dan kunnen ze nog niets overschrijven.

smeaggie @RiDo78 • 8 oktober 2012 17:58

Moeten ze ook nog wel even je bankpasje jatten, want ze vragen voor een wachtwoord-reset wel wat meer gegevens:
- rekeningnummer
- pasnummer
- geldigheidsdatum pas
- geboortedatum

Maar inderdaad toch wel jammer dat een wachtwoord per SMS gestuurd kan worden. Maar goed, als mijn telefoon en/of bankpas gejat wordt is natuurijk wel een van de eerste zaken het blokkeren van (mobiel) bankieren...

mistervis007 @Anoniem: 407481 • 8 oktober 2012 13:34

Goede zaak dus als ze dit voor Windows gebruikers verplicht zouden stellen.

En uiteraard dan ook voor de OS X gebruikers.
Want het fabeltje dat daar amper virussen en dergelijke op voorkomen is sinds geruime tijd ook om zeep

Maar of het daadwerkelijk gaat helpen.........
Zoals hierboven beschreven is het pakket al reeds makelijk te kraken.

[Reactie gewijzigd door mistervis007 op 23 juli 2024 06:34]

IStealYourGun @Anoniem: 407481 • 8 oktober 2012 13:44

Jouw geld blijft jouw geld, ze kunnen niet zomaar eventjes geld van jouw rekening afhalen omdat iemand anders gehackt is. Banken laten zich hiervoor gewoon verzekeren en schuiven de kosten van de rekening door naar de klant. m.a.w jij als klant betaald een verzekering hiervoor.

[Reactie gewijzigd door IStealYourGun op 23 juli 2024 06:34]

d.drenth @IStealYourGun • 8 oktober 2012 15:18

Verzekeren? Banken die zich verzekeren? Nou dat denk ik niet, het is gewoon een kosten post voor hun. Ze hebben in de loop der tijd gewoon veel kosten weg gehaald door kantoren te sluiten etc.

Dit risico is gewoon een kostenpost voor een bank! En ik denk dat er geen verzekeringsmaatschappij / bank is die dit risico kan/wil/gaat verzekeren.

swemmela @IStealYourGun • 8 oktober 2012 13:54

Dus halen ze het indirect bij de andere klanten vandaan. Duh.

IStealYourGun @swemmela • 8 oktober 2012 14:03

Neen, bij veel banken moet je betalen voor een debetrekening en in die kosten zit een verzekering voor o.a dit soort zaken.

swemmela @IStealYourGun • 8 oktober 2012 14:05

En wie betaald die kosten voor die debetrekening dan?? Als dat niet de klant zelf is wil ik graag van jou de naam van die bank horen.

Begrijp je nu. Je bedoelt dat elke rekening van een klant apart is verzekerd. Ik betwijfel dit ten zeerste, mijn gevoel zegt me dat een bank daar eerder een collectieve verzekering voor afsluit en deze kosten naar ratio verdeeld over alle klanten. Dus alle klanten betalen voor die verzekering ook als ze daar geen gebruik van maken en dus wordt het ook bij andere klanten verhaald. Het is maar hoe je het bekijkt.

[Reactie gewijzigd door swemmela op 23 juli 2024 06:34]

Franckey @IStealYourGun • 8 oktober 2012 22:22

Ook als je een positief saldo hebt en geld verliest door digitale diefstal dan krijg je dan meestal gewoon terug van de bank. Dus dat van die debet-rekening klopt niet.

Voor de bank is dit een gecalculeerd risico en de kosten daarvan zijn uiteraard voor alle klanten.

Falcon @CILLER • 8 oktober 2012 13:32

Laat ING maar eens bewijzen, dat je dit pakket niet geinstalleerd had staan op een bepaald moment.

IStealYourGun @Falcon • 8 oktober 2012 13:40

Dat is nu ook weer niet zo moeilijk aangezien dit soort software vaak informatie moet ophalen van de servers van de leverancier. Dus gewoon eventjes in de log-files kijken is voldoende. -_-

mschol @IStealYourGun • 8 oktober 2012 14:12

een log file van een derde is te vertrouwen sinds wanneer?

mijn inziens zou het een wassen neus zijn..
er valt niet te bewijzen dat er geen antivirus of firewallsoftware op de pc stond op het moment van de kraak (als je dat moment uberhaupt kan terughalen...)

SKiLLa @mschol • 8 oktober 2012 22:47

Client-fingerprinting. De beveiligingssoftware zou de browser-useragent string kunnen aanpassen of een JS/ActiveX object ontsluiten dat de telebankieren-website kan controleren. Niet dat malware dat niet kan faken; of dat een bank dergelijke gebruikersvoorwaarden aan haar clienten zal gaan stellen, maar an sich kan een bank dan in haar eigen logs opzoeken of een client het geinstalleerd had staan op moment X.

Mr_gadget @CILLER • 8 oktober 2012 13:20

Dat is misschien wel de achterliggende strategie inderdaad...
Ook gevaarlijk is dat mensen straks denken goed beveiligd te zijn door het programma van de ING en geen virusscanner meer installeren..Of dit programma en een virusscanner geven veel conflicten met elkaar.

mcDavid @CILLER • 8 oktober 2012 13:23

Die schadeloosstellingen zijn een coulance die de banken aanbieden om hun betrouwbare karakter in stand te houden. Het kost ze bakken met geld, maar het alternatief is dat iedereen zijn geld weer in een sok onder het bed bewaart.
Ik denk dus dat ze in ditsoort software investeren omdat het simpelweg loont om mensen op zoveel mogelijk manieren aan te sporen en te helpen hun systeem te beveiligen. Dat kost ze uiteindelijk aan schadeloosstellingen minder dan de ontwikkeling van de software.

IStealYourGun @CILLER • 8 oktober 2012 13:35

Als je de gebruikersvoorwaarde op nahoud van meeste banken, dan vereisen die dat de gebruiker een firewall en een anti-virus pakket heeft draaien. Als je dan naar de praktijk kijkt, dan hebben de slachtoffer vaak geen firewall en/of anti-virus pakket, dus de schadeloosstelling is nu ook al een gunst van de bank.

Alexxxxxxxxxx @CILLER • 8 oktober 2012 13:36

@ CILLER
Wat nou als je Linux gebruikt? Dan is dit pakket niet eens te installeren en krijg je geen schadevergoeding?

The Zep Man

Privacy
Beveiliging
Malware

@CILLER • 8 oktober 2012 13:40

Het idee is oké maar ik ben bang dat klanten die deze software niet op hun PC willen straks geen schadeloosstelling van ING meer gaan krijgen als ze toch gehackt worden en daarmee hun bankgegevens gestolen worden. Nu is dat nog volledig voor rekening van de bank.

Het gevaar is eerder dat de verantwoording nu onduidelijk wordt. Gaat ING nu meehelpen om computers te beveiligen? Zij bieden het immers aan, en hierom wordt ook een bepaalde verwachting gemaakt.

Overigens is Trusteer niet zo erg interessant: als het populair wordt, dan zal de volgende generatie malware er gewoon rekening mee houden. Wat nodig is, is een vertrouwde omgeving waarbinnen de gebruiker elke te versturen transactie kan verifiëren. Dit is niet op de eigen computer of GSM/smartphone, aangezien hier geen goede controle op mogelijk is vanuit de bank.

maxxware @CILLER • 8 oktober 2012 13:52

Ik vraag me ook af hoe deze software de klanten helpt die bankieren via de smartphone, tablet of Linux PC? De echte oplossing is het internetbankieren by-design veilig te maken. Niet met extra software achteraf. En zeker geen software die om man-in-the-middle-aanvallen te voorkomen zich als man-in-the-middle plaatst...

Ramoncito @CILLER • 8 oktober 2012 14:20

De ING kan onmogelijk zien of jij al dan niet die software gebruikt, bovendien werken banken niet op die manier bij het al dan niet toewijzen van schade.

Wat ik zelf afvraag is of deze software dan weer compatible is met bijvoorbeeld het virtuele keyboard van mijn Kaspersky, als ik dit artikel lees dan lijkt het er juist op dat deze software die virtuele keyboard ook afschermt namelijk..

kamerplant @CILLER • 8 oktober 2012 14:21

Ik hoop het niet. Ik heb weinig zin dat m'n Mac zo traag wordt als een Windows computer omdat daar tig beveiliging- en validatiesoftware dingen de boel vertragen.

Anoniem: 211998 @kamerplant • 8 oktober 2012 18:33

>'als een Windows computer'
Oh boy, here we go.

BoringDay @CILLER • 8 oktober 2012 19:59

Ik ken het hele software pakket niet en overigens ook niet als een veilige app beschouwd voor OSX. Dit is meer commercieel verkoop want ik denk dat niemand deze scanner haast kent.

Betere keuze voor OSX is ClamXav .... staat tevens gratis in de store.

Als je betrouwbaar wil internet bankieren ... prive-modus, do-not-track, check je url, copy je wachtwoord niet naar het klembord en gebruik je gezond verstand.

tapet 8 oktober 2012 15:50

Het programma stuurt ongevraagd 'anonieme' gebruikersstatistieken.
Wat sturen ze precies wordt niet duidelijk, en ik heb twijfels over hoe anoniem dit eigenlijk is.

SnoeiKoei

8 oktober 2012 13:18

Goed initiatief. Zo toon je als bank iig wel dat je de risico's van je internet-bank-product onderkent en serieus neemt en meedenkt over risicopreventie. Een veel realistischer houding dan gewoon maar roepen dat je product 100% veilig is en niemand zich zorgen hoeft te maken.

Anoniem: 126717 @SnoeiKoei • 8 oktober 2012 13:27

Goed initiatief, maar als ik een beetje op dit pakket zoek zijn de berichten er over niet zo denderend....

http://www.pcpro.co.uk/re...re-trouble-than-its-worth
(2010) Rapport was always hovering near the top of my process list for resource usage, and it stopped all my screengrab utilities from working (not just on the HSBC site, but everywhere).

http://www.mymoneyblog.co...are-is-it-safe-legit.html
(2011) Some users of the of the software have noted that it slows down your system. Trusteer counters that it’s most likely due to your other security software conflicting with what Rapport is trying to do.

Dat zijn wat oudere paginas, dus het kan opgepakt zijn, maar toch...

Yurn @Anoniem: 126717 • 8 oktober 2012 18:34

Weet niet of ik het wel zo goed vind. Het lijkt enorm nobel. Maar het zou mij niks verbazen dat straks de eerste vraag van ING aan slachtoffers van internet fraude is of ze dit pakketje wel hebben geinstalleerd. En dan mag je raden wat het vervolg is als de klant "nee" antwoordt. No moneeeeey meneerke. Zo gezien dekt ING niet alleen de klant in, maar vooral zichzelf, aangezien ze nu bijna altijd moeten vergoeden bij internet fraude.

BoringDay @Yurn • 8 oktober 2012 20:05

Dus iedere klant moet maar een onbekend pakket software installeren?
Dit is pure commerce als men echt veiligheid aan klanten willen bieden moet men met realistische oplossingen komen niet halfgebakken.

xboxlivejunk 8 oktober 2012 13:14

Opvallend is overigens dat de software op de ING-site niet via een versleutelde https-verbinding wordt aangeboden.

De Trusteer Rapport-software nestelt zich in de browser. Volgens Trusteer weet de software man-in-the-middle- en man-in-the-browser-aanvallen te voorkomen, en blokkeert het ook keyloggers en tools die pogen heimelijk screenshots te maken.

Je download het om man-in-the-middle etc. te voorkomen, maar kan er een oplopen door het te downloaden. Juist.

The Zep Man

Privacy
Beveiliging
Malware

@xboxlivejunk • 8 oktober 2012 13:37

[...]

Je download het om man-in-the-middle etc. te voorkomen, maar kan er een oplopen door het te downloaden. Juist.

Tenzij de integriteit gevalideerd wordt (en sleutels niet uitlekken waarmee software ondertekend is).

Windows Update (WSUS) werkt bijvoorbeeld ook zo: gevoelige informatie gaat over HTTPS, de updates zelf over HTTP. Over het laatste wordt een integriteitscontrole gedaan, aangezien er niets geheim is aan de updates die Microsoft uitbrengt.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 06:34]

Gwaihir @The Zep Man • 8 oktober 2012 14:19

Hoe moet dat automatisch gebeuren bij eerste installatie? Alles wat daarvoor gebruikt kan worden, kan immers mee gemanipuleerd worden in het te downloaden bestand..

Integriteit van een eerste download verifiëren kan voor zover ik het volgalleen door de consument zelf gedaan worden, mits de hash daarvoor zelf veilig beschikbaar is. Maar geen hint dat die hash er is en geen doorsnee consument die dat zal doen. Kortom: enige oplossing is de download zelf beveiligen, via (o.a.) https.

mad_max234 @Gwaihir • 8 oktober 2012 14:37

Ook https is niet veilig op pc die besmet is, een pc die besmet is is helemaal niet meer te vertrouwen of je nu https gebruik of niet, alles wat je daarna installeer is niet betrouwbaar en kan mee geknoeid zijn zodra je het binnenhaalt en installeert. Of het systeem gebruikt rootkit zodat virus/malwarescanner helemaal het probleem niet ziet op het getroffen systeem.

Enige oplossing is voor besmet pc een verse installatie met origineel OS, en dan is simpel format soms niet eens genoeg, zelfs na format kan er nog virus overgedragen worden naar je nieuw installatie vanuit je oude besmette OS. Al weet ik niet of dat soort virussen nog kans hebben bij moderne cpu's en moederborden.

[Reactie gewijzigd door mad_max234 op 23 juli 2024 06:34]

robvanwijk

Beveiliging
Malware
Privacy

@mad_max234 • 8 oktober 2012 15:00

Ook https is niet veilig op pc die besmet is

Nee, inderdaad. Maar HTTPS is wel veilig op een pc die niet besmet is; HTTP is sowieso niet veilig, dat is het punt van de discussie. Bovendien, zelfs op een besmette pc zie ik geen enkele reden om nog een extra kwetsbaarheid toe te voegen (zou toch best jammer zijn als de besmetting die je al hebt opgeruimd had kunnen worden... behalve dan dat je vanwege een MitM-aanval een extra besmetting binnenhengelt. Toegegeven, da's niet een heel waarschijnlijk scenario, maar als er een goede oplossing voor het probleem is (lees: HTTPS), dan denk ik dat je die gewoon moet gebruiken.

freaky @robvanwijk • 8 oktober 2012 19:05

Kan iemand die het wel snapt (dus weet wat SSL, HTTPS en algoritmes zijn en NIET een computer idee / pcm abonnee die ook wat gelezen heeft) even uitleggen wat het punt met HTTPS is? Ik snap het nl. niet. On-the-fly code injection is voor zover ik weet helemaal niet aan de orde van de dag nl., tenzij je al besmet bent (en dan maakt het geen hol meer uit of het http of https is)...

Anyways, je kunt je programma's ondertekenen met certificaten. Morrel met het programma en de ondertekening klopt niet meer. Zo moeilijk is dat dus helemaal niet (afgezien van de gemiddelde gebruiker die het toch niet kan verifieren - maar goed - die willen we nooit lastig vallen, niet eens met overbevolkings problemen, we hopen blijkbaar nog steeds massaal op de pest v2 of veestapels op de maan ofzo).

Moeten we niet ook vallen over het feit dat de binary gewoon op de server aangepast kan worden en misschien wel compleet vervangen wordt door een geheel ander product? Als we toch bezig zijn

SKiLLa @freaky • 8 oktober 2012 22:10

HTTPS biedt verificatie van de (server-) identiteit, heeft een (certificaat) revocation-mechanisme en versleuteling om spoofing- en MitM-aanvallen stukken moeilijker te maken. HTTPS en HTTP 'combineren' is gevaarlijk omdat er HTTP sessie-/cookie-informatie gelekt kan worden die misschien 'tegen de HTTPS sessie' gebruikt zou kunnen worden.

Executables met een 'digitaal handig' kun je gewoon modificeren en dan opnieuw ondertekenen met een eigen handtekening. Vaak wordt alleen gekeken of de handtekening klopt en niet naar de identiteit van de uitgever. Ook kun je handtekeningen die verouderde algo's (MD5, RC4) gebruiken weldegelijk vervalsen met een modificatie + collission; zie (b.v.): http://blog.cryptographye...m/2012_06_01_archive.html.

mae-t.net

Malware

@xboxlivejunk • 8 oktober 2012 14:44

Tsja, downloads gaan vaak niet over https omdat het (vaak) niet hoeft. Een beetje fatsoenlijke installer zal de integriteit controleren bij het uitpakken, waardoor een gerichte mitm alweer een stuk lastiger is.

robvanwijk

Beveiliging
Malware
Privacy

@mae-t.net • 8 oktober 2012 15:04

Een beetje fatsoenlijke installer

En een beetje fatsoenlijke MitM zal natuurlijk niet alleen zijn malware toevoegen, maar ook de te controleren checksum overschrijven (of gewoon de hele controle eruit slopen)...

Soldaatje @robvanwijk • 8 oktober 2012 15:56

Ik snap het dan niet:
Als ik antivir, avg, comodo antivirus producten download is het allemaal http en niet https.
Dit zou dan allemaal onvelig zijn?

freaky @Soldaatje • 8 oktober 2012 19:08

Nah, bijna al die clubs ondertekenen hun software met certificaten. Verander er iets in en het gehele pakket doet het niet meer.

Maar goed, we moeten nu eenmaal vallen over ieder potentieel probleem. Dus ze kunnen ook gewoon de gehele executable aan de server kant vervangen door iets van zichzelf (zonder certificaat en/of controles dus).

Dus er blijft maar 1 oplossing over. Allemaal ophalen bij de notaris die het op CD (nee - geen rewritable) meegeeft in een verzegelde enveloppe en dan maar hopen dat die notaris te vertrouwen is. Bah, al weer een discrepantie

SKiLLa @freaky • 8 oktober 2012 22:32

De malware kan alsnog (b.v. middels een geavanceerde MitM aanval) als overlay aan het orginele bestand toegevoegd worden. Run je de installer, dan wordt eerst de malware geinstalleerd en dan pas het originele installatie-bestand; wat dan dus al te laat is.

Maar als de download gewoon onder HTTPS is, op dezelfde url als waar je daadwerkelijk telebankiert en de installer fatsoenlijk ondertekent is, heb je toch aardig wat garanties.

De banken op hun beurt kunnen de integriteit van de aangeboden installatie-bestanden b.v. middels reverse-proxies/wafs 'live' tijdens de download door de klant controleren op echtheid, of een minder geavanceerd doch goedkopere pre-download checksum op de download-servers zelf.

Op die manier bouw je de keten aardig dicht; alleen al besmette clients blijven een verloren zaak.

elleP @xboxlivejunk • 8 oktober 2012 13:59

Vooral om dat dit progsel zich in de browser "nestelt", de ideale plek voor een stukje malware

-Elmer- @xboxlivejunk • 8 oktober 2012 21:48

Het zou mij persoonlijk niet verbazen als kwaadwillenden een email aan ING-klanten versturen met de 'vrolijke' boodschap dat de klanten nu beschermd zijn als ze de gratis Trusteer software downloaden met een link erbij naar een of andere geïnfecteerde versie van het pakket. Het lijkt mij persoonlijk handiger als ING de software vanuit een beveiligde en voor de klant bekende omgeving aanbied (alhoewel natuurlijk niet vanuit mijnING want dat is niet bruikbaar voor reeds geïnfecteerde computers van klanten). Of waarom niet de klanten een brief sturen met een (https) downloadlink en duidelijk maken dat ze de software nooit ergens anders vandaan mogen downloaden?

Het lijkt me trouwens niet de goedkoopste licentie die ze hebben afgenomen.... Gezien dat manier dat de software is te downloaden komt het feitelijk neer op een licentie voor de hele wereldbevolking. Vraag me af of het niet bijna goedkoper zou zijn geweest om het hele bedrijf over te nemen...

Anoniem: 394438 @xboxlivejunk • 8 oktober 2012 14:35

Maar waarom werkt deze software niet op Opera? Nah.

Bilel 8 oktober 2012 13:18

Erg goed initiatief van de ING, hopelijk maken ze hun klanten duidelijk dat het geen 100% zekerheid biedt tegen phising/<andere methoden>/etc. Als de tool niet teveel conflicten opwakkert naast het draaien van mijn eigen anti-virus pakket zal ik het ook zeker aan laten staan.

Opvallend is overigens dat de software op de ING-site niet via een versleutelde https-verbinding wordt aangeboden.

Hoe is dit 'opvallend'? Je kunt ook te kritisch kijken he.

Barleone @Bilel • 8 oktober 2012 13:21

Het is opvallend in de zin dat over een http-verbinding (per definitie onversleuteld) er vanalles mis kàn gaan. Tijdens het downloaden van dit softwarepakket over http bestaat dus de mogelijkheid dat je via een man-in-the-middle aanval een virus binnenkrijgt.

mae-t.net

Malware

@Barleone • 8 oktober 2012 14:55

Gezien de hoeveelheid valse certificaten die de laatste tijd in het nieuws is, is die kans toch al niet nul bij gebruik van https. Bovendien moet die mitm wel erg specifiek zijn.

BoringDay @Bilel • 8 oktober 2012 20:06

als je 100% zeker wil zijn geen last van phising te hebben, check dan gewoon je url!
dat is alles en daar heb je geen resource vretende hulp middelen voor nodig. Alleen maar je ogen en het alfabet!

Anoniem: 286841 @BoringDay • 9 oktober 2012 07:49

Totdat je dnsserver of je hostfile aangepast is, dan niet meer.

[Reactie gewijzigd door Anoniem: 286841 op 23 juli 2024 06:34]

BoringDay @Anoniem: 286841 • 9 oktober 2012 21:46

Maar dat zal niet buiten mijn weten gebeuren.
Deze staat in OSX onder een afgeschermde map (dus inloggen is noodzakelijk).
En je kan met automator je DNS file automatisch laten flushen 'dscacheutil -flushcache'.
Verder installeer ik geen software van derden van onbekende bron.

Degene die toch allerlei vage dingen installeren en vage websites komen ... heeft een virusscanner toch maar weinig nut.

CMD-Snake 8 oktober 2012 13:19

Ik zie niet wat deze software nou toevoegd

zou malware, zoals trojans en keyloggers, kunnen herkennen en ook kunnen verwijderen

Elk anti-malware pakket doet dit al. Ik zie niet wat dit pakket nou extra weet te bieden t.o.v. wat er al in de markt is. Ook als aanvulling lijkt het me nutteloos, de functies zitten dan al in je AV pakket.

En een fout/niet geldig certificaat herkennen kan elke browser ook wel.

SnoeiKoei

@CMD-Snake • 8 oktober 2012 13:22

Ik zie niet wat deze software nou toevoegd

Nee waarschijnlijk is deze software ook niet bedoeld voor gebruikers als jij. Maar de gemiddelde half-digibete burger zonder benul van anti-malware-programma's en met een gezonde dosis koudwatervrees is blij als de bank zelf met een oplossing komt voor mogelijke beveiligingsrisico's.

CMD-Snake @SnoeiKoei • 8 oktober 2012 13:30

Genoeg klanten zullen het pakket snel downloaden denk ik wel. Maar als je gewoon logisch denkt dan moet je toch wel weten dat je dit al hebt. De claims die dit pakket maakt staan ook op de doosjes van elk ander AV programma.

Free rider @SnoeiKoei • 8 oktober 2012 13:41

Je zou inderdaad zeggen dat de software vooral voor digibete gebruikers bedoeld is. Maar, als ik op het screenshot afga: waarom is die software dan in het Engels?

Pablo 8 oktober 2012 13:35

Voor ING particulier heb ik dit niet eens nodig.
Je moet bij elke transactie een TAN nummer invoeren.
Als ik een melding krijg dat ik een TAN Nummer moet invullen voor een bedrag en een betaling die ik zelf niet aangemaakt heb, gaan de alarmbelletjes al rinkelen...

vincent_1971 @Pablo • 8 oktober 2012 13:41

er zijn ook methodes dat jij wel het correcte bedrag ziet maar dat er toch een verkeerd bedrag overgemaakt wordt op een onbekende rekening.

Pablo @vincent_1971 • 8 oktober 2012 14:07

Dit kan ik niet echt terug vinden wat jij beschrijft.
De informatie die ik op internet vindt verteld mij dat je Overlay schermen krijgt met random bedragen.

mae-t.net

Malware

@Pablo • 8 oktober 2012 14:57

Zolang je de banksite op je PC opent en de TAN op je mobieltje ontvangt, is het op het mobieltje getoonde bedrag volkomen ongevoelig voor overlayschermen.

hardware-lover @vincent_1971 • 8 oktober 2012 14:13

Als je nog met een TAN-lijst zou werken klopt het wat je zegt, via SMS krijg je het daadwerkelijke bedrag wat overgeboekt gaat worden te zien dus dan kan men een afwijking daarop wel zien.

mocean @hardware-lover • 8 oktober 2012 14:26

Als het bedrag gelijk blijft, maar het naar-rekeningnummer is aangepast, dan zie je dat dus niet in je TAN-sms.

jvdmeer @mocean • 8 oktober 2012 14:38

Indien je naar 1 rekening overmaakt, worden ook de laatste 3 cijfers van het rekeningnummer getoond. Dus ook dat is ondervangen.
Tevens wordt bij overboekingen van grotere bedragen een specifieke sms verstuurd voor alleen die overboeking met het bedrag en rekening nummer.

Mad-Monkey 8 oktober 2012 13:20

de software nestelt zich in de browser... dus IE, FF, chrome, Safari en natuurlijk alle versies, ie7 ->9 en laten we vooral netscape niet vergeten

.

als ik lees wat het allemaal detecteert vermoed ik toch echt dat het op zijn minst hoofdzakelijk buiten de browser werkt. Ik zal het vanavond eens op een CM gooien om er naar te kijken maar ik ben ietwat sceptisch tot nu toe.

martijn.s @Mad-Monkey • 8 oktober 2012 13:32

De volgende browsers worden ondersteund:

http://www.trusteer.com/support/supported-platforms

Voor Windows-besturingssystemen (Windows XP, Vista, 7 of Server), ondersteunt Rapport de volgende browsers:
Internet Explorer 6, 7, 8 en 9
Firefox 14 en 15
Google Chrome 21 end 22

Voor Mac OS X (Leopard 10.5 en hoger), ondersteunt Rapport:
Firefox 14 en 15 (inclusief 64-bitversie)
Safari 4, 5.0, 5.1 en 6.0 (inclusief 64-bitversies)

Ik heb als opera gebruiker dus weinig aan dit pakket.

[Reactie gewijzigd door martijn.s op 23 juli 2024 06:34]

BoringDay @martijn.s • 8 oktober 2012 20:08

maar dit soort software tast juist mijn veiligheid aan omdat ik standaard dingen heb uitgeschakeld. en ik wil geen troep op de computer ik bepaal zelf wat er nodig is.

Helixes @martijn.s • 8 oktober 2012 22:29

Tja., dat is maar net hoe je het bekijkt.

Opera wordt ook niet ondersteund door (Mijn) ING...

Anoniem: 374143 8 oktober 2012 15:13

Als alle ING gebruikers nu eens de volgende software aanschaffen:

1.) Goede AntiVirus scanner: ESET of NORTON
2.) HitManPro licentie aanschaffen: Hitman Pro 3, Hitman Pro 3 - 1 PC € 17,95

Site: http://www.surfright.nl/nl/shop/

3.) SuperAntiSpyware Pro: http://www.superantispyware.com/

4.) Malware Bytes AntiMalware: http://www.malwarebytes.org/

Alle bovenstaande software gebruiken en je bent voor 99% beveiligd, die 1% is gezond verstand gebruiken en NOOIT bijlage openen van onbekende e-mail!

Anoniem: 80487 @Anoniem: 374143 • 8 oktober 2012 16:26

Norton? En 3 verschillende anti spyware oplossingen? Pc moet wel werkbaar blijven...

Wat dacht van een random deugdelijk AV pakket wat ook spyware en malware afvangt, die geen Norton heet, en een up to date Windows samen met wat zelfscholing als het aankomt op dingen als attachments? Je PC afladen met beveiligspakketten heeft geen enkele toegevoegde waarde en wekt het idee dat je op software kan/moet vertrouwen.
Je moet helemaal niets vertrouwen, AV is backup. Je gezonde verstand moet je op vertrouwen zodat het in het beginsel al niet op je PC komt. Dan is er ook niets te verwijderen.

Bijlagen van onbekende mail is één ding maar onverwachte bijlagen moet je uberhaupt met argwaan benaderen. Ook als het "van bekenden komt" of van de politie of van de paus.
Attachments moet je alleen openen als het iets is wat je verwacht.

[Reactie gewijzigd door Anoniem: 80487 op 23 juli 2024 06:34]

Anoniem: 374143 @Anoniem: 80487 • 8 oktober 2012 17:12

SAS, MBAM en HitManPro gebruik ik alleen om te scannen, dus niet als realtime scanners...

Wat betreft de mail, daarin verschil ik niet van mening met jou...

Nogmaals, ik geef alleen enkele scanners die je kunt gebruiken naast je AV software..

ppl

Beveiliging

@Anoniem: 374143 • 8 oktober 2012 21:29

Als alle ING gebruikers nu eens de volgende software aanschaffen...

Als mensen nou eerst eens rekening houden met het feit dat er meer operating systems zijn dan Windows alleen en het aandeel van bijv. smartphones en tablets stijgende is...

De software die je hier noemt zijn allemaal Windows-only waar mensen die een smartphone, tablet, Linux, OS X, etc. gebruiken dus helemaal niets aan hebben. Wat hebben die dan aan de aangeschafte software? Ik zou het dan wat algemener verwoorden en mensen aanraden om een heel pakket aan veiligheidsmaatregelen te treffen. Een goede webbrowser en je systeem up to date houden vallen daar ook onder net als controleren waar linkjes naartoe gaan en niet overal domweg maar op klikken en dingen invullen. Je dekt de problematiek dus zeer zeker niet af door het installeren van een lading aan antivirus en antimalware software (wat eerder veel problemen zal oproepen). Gebruikers zelf moeten ook veranderen in hun gedrag en wat bewuster worden wat security van hun computer/smartpone/tablet betreft.

Je kunt je in deze ook afvragen of het installeren van een security pakket voor alleen het online bankieren wel een goede optie is. Waarom dan niet meteen een compleet eigen pakket bouwen zoals we dat vroeger hadden? Daarmee heb je wel veel meer controle over security omdat je nu de gehele applicatie incl. de beveiligde verbinding controleert. Bij het online banking wat we nu hebben ben je compleet afhankelijk van de software (versies, bugs, leaks, het aanwezig zijn van antimalware software, etc.) op de computer/device van de client. Ik denk dat er in dit geval alleen een probleem is qua kosten en qua verantwoordelijkheid. Alles komt op rekening van de bank te staan, zij zijn dan ook volledig aansprakelijk als iets stuk is. Met wat ze nu doen kunnen ze dingen afwenden op een derde partij (de fabrikant van het antimalware pakket).

[Reactie gewijzigd door ppl op 23 juli 2024 06:34]

memphis 8 oktober 2012 13:25

Het is goed dat een bank dit soort tools aan hun gebruikers beschikbaar stelt want veel "simpele" gebruikers zijn niet zo bezig met het opzoeken en installeren van software waar ze geen interesse in of weet van hebben. Als een bank het aanbied is de kans groter dat deze groep gebruikers wel actie ondernemen.

wica @memphis • 8 oktober 2012 14:01

Het zou fijn zijn, als de bank de algemene voorwaarden van deze tool in het Nederlands op hun website zet. Zodat ik die eerst kan door lezen voor dat ik hem download.

franssie @wica • 8 oktober 2012 14:44

Sowieso is die hele site mbv Google-Translate gebouwd lijkt het wel ... hoe amateuristisch is het taalgebruik en dat kennen we van ..?
De spam mail inderdaad.

Op dit item kan niet meer gereageerd worden.

ING gaat klanten gratis antimalwarepakket leveren

Lees meer

IT-banen

Reacties (179)

Sorteer op:

Weergave: