Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 517 reacties
Submitter: TD-er

Alle Nederlandse banken hebben gezamenlijke regels opgezet voor veilig internetbankieren. Wie bijvoorbeeld geen anti-virussoftware op zijn smartphone draait en wie illegale software gebruikt, lijkt kans te lopen zelf op te draaien voor het schadebedrag bij internetfraude.

Zaterdag maakte de NVB de vijf uniforme regels voor veilig elektronisch bankieren en betalen bekend. Tot nu toe hanteerde iedere bank zijn eigen veiligheidsvoorschriften. De banken schrijven klanten voor hun bankrekening te controleren, hun beveiligingscodes geheim te houden, ervoor te zorgen dat derden hun bankpas nooit gebruiken en incidenten direct aan de bank te melden. Tenslotte moeten gebruikers van internetbankieren zorg dragen voor een goede beveiliging van de apparatuur waarmee ze hun bankzaken regelen.

In de toelichting staat dat software op apparaten zoals computers, tablets en smartphones, die voor bankzaken gebruikt worden, moet worden voorzien van de laatste beveiligingsupdates. De NVB doelt hiermee niet alleen op het OS, maar ook op beveiligingssoftware als virusscanner en firewall. Daarmee lijkt de NVB het gebruik van beveiligingssoftware voor apparaten als computers en mobiele apparaten indirect ook als voorwaarde te stellen.

Gebruikers dienen verder het gebruik van hun apparatuur achter een toegangscode te plaatsen, te zorgen dat onbevoegden niet de applicatie voor bankzaken kunnen gebruiken en altijd uit te loggen na internetbankieren. De gezamenlijke banken eisen verder dat klanten geen illegale software op hun systemen draaien, waarschijnlijk omdat ze van mening zijn dat dit het risico op backdoors en andere malware verhoogt. Dit staat echter niet nadrukkelijk vernoemd.

Als consumenten schade lijden, maar deze veiligheidsregels niet hebben nageleefd, dan lopen ze kans dat ze zelf op moeten draaien voor het bedrag dat zonder toestemming van de rekening is gehaald. Wie de regels wel opvolgt, maakt wel aanspraak op de wettelijke verplichting voor banken om het schadebedrag te vergoeden, waarbij ze overigens een eigen risico van 150 euro kunnen instellen. De NVB wijst erop dat banken op basis van hun coulancebeleid in bepaalde gevallen ook tot vergoeding kunnen overgaan als klanten zich niet aan de regels hebben gehouden. 

Update, 12.40: Genuanceerd dat de bewoordingen van de NVB niet direct het gebruik van beveiligingssoftware voor apparaten voor internetbankieren als eis stellen, maar dat dit indirect het geval is.

Update 2, maandag 17.00: De Nederlandse Vereniging van Banken laat aan Tweakers weten dat het draaien van een virusscanner en firewall op een computer inderdaad een eis is. "Tenminste, als je er zeker van wil zijn dat je in aanmerking voor vergoeding komt", zegt Jelle Wijkstra, woordvoerder van de NVB. Voldoe je niet aan deze voorwaarde op het gebied van beveiliging van je systeem, dan kom je volgens Wijkstra 'in de gevarenzone'.

Over beveiligingssoftware op smartphones en tablets kan hij minder duidelijkheid scheppen: "Ik heb me laten vertellen dat er voor sommige tablets geen antivirussoftware is, dan kun je dat als banksector natuurlijk ook niet verplicht stellen." Naarmate er meer malware-aanvallen voor mobiele apparaten komen en de beschikbaarheid van beveiligings-apps groeit, kunnen banken volgens hem wel weer als voorwaarde stellen dat klanten deze toepassingen ook daadwerkelijk gebruiken.

Wijkstra geeft toe dat de regels op dit punt onduidelijk zijn: "We gaan het hiermee de komende periode doen en evalueren of ze voldoende zijn. Het schept in ieder geval in zoverre duidelijkheid, dat iedere bank afzonderlijk voorheen zijn eigen regels had, die voor een groot deel overigens overeenkwamen. De eis voor een veilige wifi-verbinding van sommige banken is gesneuveld." 

Verder wijst hij erop dat banken tot nu toe zeer coulant zijn bij het toekennen van de restitutie bij fraude: "Het principe van redelijkheid en billijkheid zal toegepast worden bij claims, als het gaat om de beveiliging van systemen. Aan een student informatica mogen hogere eisen gesteld worden dan aan een oud vrouwtje." 

Antivirus voor smartphones en tablets

Draai jij beveiligingssoftware op je smartphone of tablet?

Nee, ga ik niet doen ook
69,9%
Ja, op beide
12,3%
Nee, maar ben het wel van plan
8,0%
Smartphone wel, tablet niet
6,2%
Tablet wel, smartphone niet
3,7%

Aantal stemmen: 14.465. Deelname gesloten op 15-12-2013 09:40. Stemmen is niet meer mogelijk.

Moderatie-faq Wijzig weergave

Reacties (517)

1 2 3 ... 16
Een set van verplichtingen waar bijna niemand aan kan voldoen en waarbij het voor het gros van de computergebruikers geeneens te controleren is of ze wel aan de eisen voldoen. Daarnaast geven de regels aan dat de opstellers geen idee hebben waar ze het over hebben.

Neem de verplichting van het hebben van een wachtwoord op je systeem. Heel veel gebruikers worden door die regel buitengesloten van schadevergoeding, want heel veel gebruikers hebben alleen de slide-to-unlock aanstaan op hun tablet/smartphone. Maar hoe wordt er omgegaan met deze regel als men de hybernate functionaliteit gebruikt van hun pc? Wat gebeurd er als men hun tablet alleen in slaapstand zet? En hoe gaat met achteraf aantonen dat je geen wachtwoord had aanstaan op het moment dat er iets gebeurd?

En wat is illegale software? Moet ook het OS legaal zijn? Ik neem aan van wel, maar negen van de tien laptops die ik in handen krijg zijn geïnstalleerd met een volume-license of iets dergelijks waarbij de key niet overeenkomt met die van de licentie geleverd bij de laptop. Hoe kan een gebruiker controleren dat het OS van hun gekochte laptop is geïnstalleerd met de juiste key? En als blijkt dat hun licentie niet overeen komt, is dan de verkoper van de laptop verantwoordelijk?

Kortom, een set van verplichtingen die aan de ene kant niet te handhaven zijn en waar aan de andere kant niet van verwacht mag worden dat een normale gebruiker hieraan kan voldoen. En het controleren van de url en/of afkomst van een e-mail staat dan weer niet in de regels. Terwijl phishing vaak gebruikt wordt door mensen te lokken naar een url die niet van de bank is door zich voor te doen als 'de bank'.

Dat ze de criminelen niet kunnen pakken en hun eigen diensten niet kunnen beveiligen is hun probleem. Kom dan niet met een set regels die niets toevoegen en eigenlijk alleen maar de klant buitenspel zetten als er iets gebeurd..
Ik heb er een dubbel gevoel bij. De banken moesten actie ondernemen want zoals het nu gaat was het systeem van internet bankieren onhoudbaar qua betalingen ivm fraude. Als bekend wordt bij het grote publiek wat de kosten zijn van fraude via het internet bankieren systeem dan zou niemand meer het systeem gebruiken omdat het eigenlijk niet veilig genoeg is en het vertrouwen weg valt. Dit heeft inderdaad te maken met criminelen en dat banken hun beveiliging niet op orde hebben maar ook dat klanten onzorgvuldig zijn qua systeem gebruik en op alles klikken wat de pc hen opdraagt. Die zijn de naieve en veels te goedgelovige klanten van een bank. Helaas maken criminelen daar gebruik van omdat deze klanten ook de beveiliging niet op orde heeft.

Helaas zijn de voorwaardie nu worden gesteld voor geen enkele klant haalbaar en zal er op papier nooit meer worden uitgekeerd. Wat uiteindelijk ook weer een bom legt onder het systeem van internet bankieren want je 'moet' iets gebruiken waar je voor 110% verantwoordelijk voor bent terwijl je in sommige gevallen echt niks aan kan doen maar dat moet je dan bewijzen wat natuurlijk de omgekeerde wereld is. Daarnaast stel dat er EUR 1000 van je rekening is afgeschreven en je moet je gelijk dit via een rechtszaak halen dan ben je al die EUR 1000 al kwijt aan proceskosten.

Uiteindelijk is, zoals Tarabass omschreef, deze actie het buitenspel zetten van de klanten terwijl de banken de zaken ook niet op orde hebben

[Reactie gewijzigd door Snackyman op 24 november 2013 10:51]

Ik heb er een dubbel gevoel bij. De banken moesten actie ondernemen want zoals het nu gaat was het systeem van internet bankieren onhoudbaar qua betalingen ivm fraude.
Het erge is dat banken het soms ook vaak moeilijk maken om zaken goed te controleren. Persoonlijk hield ik altijd een papieren boekhouding bij van alle ingekomen bankpapieren. Hierdoor verplichtte ik mezelf periodiek de waarde op mijn rekening en de transacties te controleren. Zelfs tegen bijbetaling weigert mijn bank dit nog op te sturen. "Dat kan helaas niet bij deze abbonomentsvorm". Tevens is de maximale periode van het opvragen van betalingsgegevens absurd kort: 15 maanden!

Het voor de gebruiker controleerbaar houden op een voor de _gebruiker_ vriendelijke wijze vind ik persoonlijk iets waar de banken in mogen investeren. Wat zijn eigenlijk de positieve punten die de consumentenbond in de wacht heeft gesleept? Ze hieraan samengewerkt met als uitkomst dat er zonder juriediesche en ict-deskundige achtergrond geen aanspraak meer kan worden gedaan op een betalingsmethode (internetbankieren) die iedereen indirect wordt opgelegd?

Effectief gezien wordt iedereen indirect aangezet tot het kopen/opzetten van een "bankzaken"-pc met een eigen virusscanner. Wanneer de banken het idee op een bank-pc te gebruiken financieel uit vinden kunnen (laatste halfjaar ¤4,2 miljoen fraude) dan mogen ze me best een systeempje geven of goedkoop aanbieden dat hieraan voldoet. Misschien een idee voor de consumentenbond om te onderhandelen dat iedereen een veilig systeempje krijgt van de NVB? Misschien blijkt dan ineens dat ¤4,2 miljoen schade over een bevolking van 17 miljoen mensen gewoon erg weinig is en dat deze regeling geen andere functie heeft als potentieel alle consumenten heel hard te kunnen gaan naaien in de toekomst!
Dat veel mensen zich niet aan regeltjes houden wil nog niet zeggen dat de bank niet in hun voorwaarden kan zetten dat je je wel aan regeltjes houd. Dit is ook zo bij verzekeringen. Als je je niet aan de voorwaarden houd dan wordt er niet uitgekeerd.

Ik heb ze nu een keer gelezen en ik vind de voorwaarden helemaal niet onoverkomelijk. Sterker nog dit ziet er meer uit als een paar basis regels die je normaal toch al gebruikt als je "veillig" gebruik maakt maakt van een computer.

Uiteraard is niets 100% veilig te krijgen en dat is ook niet wat de bank van je verlangt. Je bent bijvoorbeeld niet verplicht om anti malware te gebruiken. Sterker nog je hoeft ook niet alle software up to date te houden, slechts de software die je gebruikt voor internetbankieren.

De situatie was zelfs al zo ver dat klanten gingen klagen op TV dat als ze inloggegevens aan een wildvreemde gaven die toevallig opbelde, dat ze dan hun geld niet meer terug kregen. Als ik de sleutels in het slot van mijn auto of fiets laat zitten dan krijg ik ook niets terug van de verzekering als hij gestolen wordt.

En uiteindelijk hoef je je niet aan de regels van de bank te houden. Het is dan alleen je eigen risico.
Deze set van regels zorgt niet voor dat phishing onmogelijk wordt gemaakt. Phishing heeft niets te maken met het ontvreemden van een pc/telefoon en trouwens deze form van bank diefstal ben ik nog niet tegengekomen. Illegaal software zorgt ook niet voor dat phishing zijn doel reikt! Antivirus ook niet. Het belangrijkste wat helpt is commonsense! Dat zorgt ervoor dat je weet wat je aan het doen bent, maar dat is een lastig verhaal.

Volgende mogelijkheid is dat de banken zelf iets op de markt brengen voor het doen van online bankieren.

Een derde mogelijkheid, al eens eerder genoemd, een fulldisk encrypted VMWare image waarop een compleet OS staat (zoas SliTaz, DSL) en het systeem op readonly staat ingesteld en van daaruit doe jij je bankzaken. Geen enkele phishing software, antivirus of wat dan ook die daar bij kan komen. Je kunt zelfs nog verder gaan en aan de slag gaan met client certificaten. Je kunt het zo gek maken zoals je zelf wilt.
Beetje eenzijdig verhaal dit van de banken. Het wordt tijd dat de banken zelf actie ondernemen.

Paar tips voor de banken.

Controleer naam en rekeningnummer. Dus niet storten als die 2 niet met elkaar kloppen.
Zorg ervoor dat men niet zonder toestemming automatisch kan incasseren.
Ik als klant wil in kunnen stellen dat ik een sms/mail krijg bij transacties groter dan bijv. 250 euro.
Ik wil op een zeer eenvoudige manier mijn rekening tijdelijk kunnen blokkeren.
Ik wil dat internetbankieren werkt via een applicatie die in een sandbox wordt gestart ipv van mijn
browser.
Enz enz.

Echt heel erg zwak dit voorstel van de banken om alles maar eenzijdig op de klanten af te schuiven :(
hoeveel zou het kosten om bij elke transactie een mail te sturen?
Je pint ergens, krijg je een mailtje. Prima. Je staat 's morgens op en je ziet allerlei mutaties, dan kan er wat aan de hand zijn.

Ik kijk nu af en toe naar mijn saldo, maar vroeger keek ik de afschriften nog na.
Bij een Visa card kan dat, ik krijg van elke uitgave, boven de ¤10,- een SMS. De drempel kan ik zelf instellen. Dit zou een bank inderdaad ook kunnen doen.
SMS alert was er vroeger ook bij de ING, hebben ze geschrapt geloof ik. Je kon kiezen voor alerts bij mutaties bij of af met drempelwaardes. Handig als je op je salaris zat te wachten, vroeger had ik nog wel eens een stuk maand over.

SMS alerts kosten geld voor zowel de gebruiker als de bank.
Ik als klant wil in kunnen stellen dat ik een sms/mail krijg bij transacties groter dan bijv. 250 euro.
Gaat niets uithalen als die instelling met dezelfde gegevens beveiligd is als het plaatsen van transacties. Een crimineel die inbreekt kan dan gewoon deze optie eerst uitzetten.

Ook een sms/mail versturen wanneer de optie uitgezet wordt, heeft weinig zin; als een crimineel éénmaal binnen is ziet hij tenslotte wat het plafond voor een transactie is die geen sms/mail gaat versturen. Dan wordt je rekening gewoon in kleinere beetjes leeg geslurpt. Of je nou tien keer of tienduizend keer een transactie moet inboeken, dat maakt niet uit; wordt gewoon via een geautomatiseerde oplossing gedaan.
[...]


Gaat niets uithalen als die instelling met dezelfde gegevens beveiligd is als het plaatsen van transacties. Een crimineel die inbreekt kan dan gewoon deze optie eerst uitzetten.

Ook een sms/mail versturen wanneer de optie uitgezet wordt, heeft weinig zin; als een crimineel éénmaal binnen is ziet hij tenslotte wat het plafond voor een transactie is die geen sms/mail gaat versturen. Dan wordt je rekening gewoon in kleinere beetjes leeg geslurpt. Of je nou tien keer of tienduizend keer een transactie moet inboeken, dat maakt niet uit; wordt gewoon via een geautomatiseerde oplossing gedaan.
Dit kan je vrij makkelijk oplossen à la de Google manier.
Google heeft een mechanisme om ongebruikelijke activiteit op Gmail weer te geven, dus als bijvoorbeeld iemand uit Rusland inlogt, zal jij volgende keer een melding krijgen dat er iemand op je account zat.
Dit kan je uitschakelen, maar het duurt een week voordat het ook daadwerkelijk is uitgeschakeld.
Google heeft een mechanisme om ongebruikelijke activiteit op Gmail weer te geven, dus als bijvoorbeeld iemand uit Rusland inlogt, zal jij volgende keer een melding krijgen dat er iemand op je account zat.
Proxies, al dan niet ongewild via PCs die onderdeel uitmaken van een botnet.
Dit kan je uitschakelen, maar het duurt een week voordat het ook daadwerkelijk is uitgeschakeld.
En nogmaals; uitschakelen of niet maakt niet uit. Een crimineel hoeft enkel op de hoogte te zijn van het reeds ingestelde plafond om er onder te blijven zitten.


Het enige wat hier zou werken is alarm slaan als je in rap tempo meer dan x aantal transacties ingeboekt ziet worden.

[Reactie gewijzigd door R4gnax op 24 november 2013 23:46]

Controleer naam en rekeningnummer. Dus niet storten als die 2 niet met elkaar kloppen.
Dit is idd een vrij simpele controle voor de bank en zou verplicht moeten worden.
Zorg ervoor dat men niet zonder toestemming automatisch kan incasseren.
Dit leverd teveel administratie op bij de bank.
Ze zouden in dat online ding, best een optie voor automatische incasso kunnen maken, om ze te stoppen of juist toe te staan.
Ik als klant wil in kunnen stellen dat ik een sms/mail krijg bij transacties groter dan bijv. 250 euro.
Kan al bij bepaalde banken o.a. Rabobank.
Ik wil op een zeer eenvoudige manier mijn rekening tijdelijk kunnen blokkeren.
Zou handig kunnen zijn, denk ik
Ik wil dat internetbankieren werkt via een applicatie die in een sandbox wordt gestart ipv van mijn
browser.
Enz enz.
Laat de danken een VM aan leveren vanwaar uit de mensen veilig hun zaken kunnen doen.
Het wordt tijd dat de banken aan hun cliënten goedkope tablets leveren waarmee per device maar één cliënt met één bankpas kan internetbankieren. Als zo een tablet voorgeprogrammeerd wordt bij een bankfiliaal dan is er dus een "uniek" device voor elke rekeninghouder.

Het systeem wat de banken nu hanteren werkt blijkbaar niet. De verantwoordelijkheid wordt in mijn ogen veel te makkelijk bij de zeer gewaardeerde cliënten gelegd. :X

Ook met up-to-date software kan je nog het haasje zijn. Virusdefinities worden soms pas na dagen of weken bijgewerkt na een mogelijke besmetting. Ik heb zelf ooit meerdere weken achtereen meerdere keren een externe HDD gescand op malware. Pas na een maand - toen ik weer back-ups wilde maken - bleek er een Trojan op te zitten.
Zo'n dedicated device lijkt me een prima oplossing!
Aan de andere kant: er is niet veel meer aantrekkelijks voor een criminele hacker dan een enorme prijzenpot achter een homogeen systeem verstopt.
met de juiste input voor een "randomreader" of iets soortgelijks ben je er ook.
bedrag en rekening# en pincode -> confirmation-code of iets van die strekking.
'Geld in je oude sok stoppen', dit begint bijna weer een alternatief te worden voor het bankieren.

argumenten die vroeger golden om je geld op de bank te zetten zijn inmiddels achterhaald.

1. Wanneer je je geld op de bank zet is het veiliger dan in je oude sok onder je matras --> niet waar; een oude sok kan niet door internetfraude worden getroffen.
2. wanneer je je geld op de bank zet krijg je een mooie rente, in je sok niet --> Bij de bank heb je inmiddels meer kosten dan rente als consument.
3. banken zijn betrouwbare instellingen waar je geld veilig is en waar de klant voorop staat--> hmmmmm... het tegendeel is inmiddels wel genoeg bewezen als de bank plat gaat heb je het geld in je sok tenminste nog...
Daar zeg je me wat. Je zou wel eens gelijk kunnen gaan krijgen. Alleen zou ik dan goud gebruiken, geen geld.
Misschien als grapje bedoeld, maar je heb weldegelijk een punt:

Ik had een redelijk bedrag op mijn spaarrekening staan.
De bank besloot de rente behoorlijk te verlagen, dus ben
ik eens aan het rekenen gegaan, het blijkt dat ik iets meer
kan sparen door goud te kopen. Dit goud is op een bepaalde
plek bewaard. (kon kluisje huren bij de bank en dan nog steeds
meer geld overhouden dan het op de rekening te laten staan, maar
ik 'gunde' ze dat 'huur geld' ook niet meer).
Mijn opmerking was niet als grap bedoeld.
Nee, dat dacht ik al... ;) :)
Je kan het ook overdrijven natuurlijk. Het is niet echt een alternatief om je geld thuis te houden.

1. Geld kan niet zomaar gestolen worden van je rekening. Je kan natuurlijk in een pishing mail trappen maar je kan ook iets te hard praten over dat je je spaargeld thuis hebt liggen. Het risico voor beide gevallen heb je redelijk zelf in de hand.

2. Ik betaal geloof ik 4 euro per kwartaal, daar krijg je dan een aantal diensten voor terug. Of je meer rente dan dat krijgt hangt natuurlijk af van hoeveel geld je op je rekening hebt staan + de rente.

3. Als een bank 'plat' gaat staat de overheid garant voor de eerste, ik geloof, 100.000 euro. Als je sok scheurt en je geld wegrolt daarintegen...
Op punt 2: je vergeet de vermogensbelasting van 4%. Is bij velen wel even wat meer dan de rente die ze krijgen van de bank.. Daarbij vergeleken boeit die hele 4euro per kwartaal niks..

Tot iets van 21.000 hoef je geen vermogensbelasting te betalen, alles daarboven kost je 4% per jaar. Als goud meer stijgt dan 4% tov de euro maaakt het dus niks uit.

[Reactie gewijzigd door GAIAjohan op 25 november 2013 13:52]

Ten eerste: Het is vermogensrendementbelasting en geen vermogensbelasting.
Ten tweede: Vermogingsrendementbelasting is 1,2% en geen 4%
is het ook niet; dat snap ik best. Dat was een behoorlijk gechargeerde reactie van mij.
ik gebruikte ook het woordje 'bijna' in mijn eerste regel... mijn geld staat nog steeds op de bank.

Maar daar waar banken vroeger klanten moesten overhalen om hun spaarcentjes aan hen uit te komen lenen en dat daar duidelijke voordelen ten gunste van de klant tegenover stonden, en er ook een groot gevoel van vertrouwen was dat je geld veilig stond. Zo is het nu wel flink minder aan het worden.

Alternatieven heb je niet echt meer als je nog aan het betalingsverkeer wilt deelnemen, en daar zullen banken zich denk ik steeds meer naar gaan gedragen. dat is mijn punt eigenlijk.
Hoewel de titel van het artikel vermeld: installeer geen illegale software. Gaat het hier alleen maar over geneuzelf of je wel of niet een virusscanner op je mobiel kan installeren. Terwijl het probleem met illegale software voornamelijk om Windows PC gaat.

Uitgangspunt van de banken is: als je verwijtbaar gedrag vertoond maak je kans om geen of minder vergoeding te krijgen.

Als je gaat internetbankieren op een PC waarop een illegale gekraakte Windows draait met een zut andere gekraakte software, ben je (ook in mijn ogen) verwijtbaar bezig. Dan kan je net zo goed je wachtwoorden op een public forum zetten. Dus als je dan "slachtoffer" wordt dan hoeft dat niet via mijn rug te verlopen (verhoogde bankkosten).
zoals vlak hier boven al staat: bij internetbankieren moet je ervan uit gaan dat client-side de heleboel "stijf staat van de virussen" en daar moet internetbankieren gewoon tegen kunnen.
Geen enkel probleem om alleen echte, door de gebruiker bedoelde, overboekingen te doen.
(bedrag, rekening# en pincode ingeven op een challenge-response device en je bent er.)
1.Houd uw beveiligingscodes geheim.
2.Zorg ervoor dat uw bankpas nooit door een ander gebruikt wordt.
3.Zorg voor een goede beveiliging van de apparatuur die u gebruikt voor uw bankzaken.
4.Controleer uw bankrekening.
5.Meld incidenten direct aan de bank en volg aanwijzingen van de bank op.

1: Codes absoluut geheim houden gaat moeilijk. Des te ouder de code des te hoger de kans dat deze achterhaald zouden kunnen worden. Maak het dus zo moeilijk mogelijk. Instrumenten die de kans verkleinen zijn oa. via RSA Secure ID ed. Inlog gegevens die nooit hetzelde zijn.

De SNS bank had bij internet bankieren recent een periode dat je pas werd uit gelogd als je daarvoor twee stappen door ging. (klikken op uitloggen en vervolgens klikken op dat je zeker weet dat je wilt uitloggen) Hier heb ik een klacht over in gediend. Nu is het klikken op uitloggen en dan is de verbinding direct weg. Het " klantvriendelijk" zijn ging hier een stap te ver. Schuld van de klant? Nee, ondoordachte actie van de SNS Bank.

2: Een bankpas moet niet de enige stap zijn om geld te kunnen bemachtigen. Daaraan moet nog een andere veiligheidsstap gekoppeld worden. (aan de zijde van de klant, en moet verifieerd worden door de bank)

3: Verantwoordelijkheid neerleggen bij de consument vind ik een kwalijke zaak. De gemiddelde consument zou het bij misbruik te laat door hebben dat er dingen gebeuren wat niet de bedoeling is.
De technische expertise die een bank hoort te bezitten is vele malen hoger dan een doorsnee klant. Zet deze expertise dan in om een omgeving te creëren waarin de mogelijkheid tot ongewenste transacties tot een minimum terug gebracht wordt. Als een klant online wil bankieren vereis dan een plug-in welke de veiligheidsniveau van het gast systeem analyseert. Is deze niet voldoende laat de klant dat dan weten. En blokkeer verdere toegang. Dan ben je goed preventief bezig.

4: Je bankrekening/betaling controleren is niet altijd even makkelijk. Bij een webshop vind een ideal betaling soms plaats via een andere ontvanger. Deze is niet altijd goed te herleiden. Bij rekeningen (al dan niet zakelijk) waar meer dan 1 personen toegang toe hebben is het zeer lastig dat goed te herleiden. Zijn de " spook " overboekingen redelijk laag dan kunnen deze ongewenste betalingen voor een langere termijn onopgemerkt blijven.

5: Daar is naar mijn mening niets mis mee.
Alles wat onder een OS draaid is vatbaar voor aanvallen binnen dat os.
Maar het is niet moeilijk om online bankieren ongevoelig te maken voor wat voor virus dan ook.
Het is hierboven ook al door anderen aangegeven: gewoon het bedrag, het rekening# en pincode in voeren in een "random-reader". De resulterende code invoeren om de betaling te bevestigen.
Wat kan je verder nog nodig hebben? Zeg het maar.

Het probleem ligt dus bij de procedures van de banken.
Zoals wel vaker heeft dit plan twee kanten.
Van de ene kant is het niet meer dan logisch dat banken willen dat je vanuit een veilige omgeving bankiert, net zoals ze willen dat je je pincode geheim houdt. Dat er eisen gesteld worden kan ik dus goed begrijpen.
Het vervelende is dat in praktijk het allergrootste deel van de computers en telefoons hier niet aan voldoet. Met name op smartphones is het vaak niet eens mogelijk om een virusscanner en/of firewall te installeren zonder het apparaat eerst te rooten en na twee jaar hoef je ook geen updates meer te verwachten.

Van de andere kant zou het ook wel goed zijn als gebruikers massaal protesteren omdat hun telefoon niet meer wordt geupdate door de fabrikant of dat er geen firewal/virusscanner aanwezig is. De fabrikanten komen er nu mee weg omdat de meeste gebruikers niet genoeg van beveiliging weten dat het van invloed is op welke telefoon ze kopen. Er is ook weinig aandrang om er meer van te leren omdat ze zelf weinig last hebben van eventuele hacks.

Als nu bekend wordt dat telefoons van merk X (of met besturingsysteem Y) na een jaar niet meer kunnen telebankieren zullen gebruikers financiele schade lijden: ze moeten een nieuwe telefoon kopen. Op dat moment kost het wel geld en zullen ze luidkeels gaan protesteren bij de fabrikanten en een ander merk kopen.
Ik vind dit ondoordacht, je dwingt mensen om een smartphone/tablet te kopen dat heel lang van software-updates wordt voorzien (Nexus-apparaten of een iPhone/iPod/iPad). Dat zal betekenen dat met een oude Android (geen 4.4) geen bankzaken mogen geregeld worden. Ook is het onmogelijk om legaal een virusscanner op je iOS-apparaat te installeren.

Ook is een gratis virusscanner (waar de meeste mensen voor gaan kiezen) biedt helemaal niet zoveel bescherming, het is meer je smart- of iPhone terugvinden als hij gestolen is.

Mensen die bv. Ubuntu gebruiken voor veilig bankieren, hebben het helemaal moeilijk. Er is geen (goede) virusscanner voor Ubuntu, naar mijn mening. Ook is de Firewall moeilijk of niet in te schakelen. Terwijl Ubuntu juist veiliger is dan een normaal beveiligde Windows 8.1 .

Mensen die over Windows XP beschikken mogen dus ook niet meer bankzaken regelen op hun PC, als ze een vergoeding willen krijgen als ze slachtoffer zijn geweest met het online bankieren. Dat klinkt nog logisch, echter 10% van de Nederlandse computers beschikt over het verouderde Windows XP.

Veel mensen weten ook niet hoe ze hun plug-ins up-to-date houden, zoals Adobe Flash Player en Java. Dit kan overigens op: https://www.mozilla.org/nl/plugincheck/ .
Ok, duidelijk verhaal.

Even een kleine opsomming van de problemen die ik nu heb met de banken:
  • Ik betaal teveel voor m'n leningen (zie de Libor-fraude)
  • Ik draai als klant op voor de kosten van de boetes die de banken krijgen, iemand moet dat betalen en dat is dus de klant. En de klant, dat ben ik.
  • De directie strijkt het grote geld op, inclusief de oprotpremies van vele miljoenen
  • Valt er een bank om, springt De Staat bij en stort geld in deze bodemloze put. De Staat, dat ben ik, dat zijn o.a. mijn belastingcenten.
  • Valt er een bank om, ben ik mijn aandelen en andere claims op deze bank kwijt omdat deze nu ineens in handen zijn van De Staat. De Staat, dat ben ik, maar waar blijft dan mijn winstuitkering?
  • Beveiliging van de bank is nu vrijwel in zijn geheel MIJN verantwoording. Ondanks dat ik juist een bankrekening heb om mijn geld veilig te beheren.
Linksom of rechtsom, ik als klant en belastingbetaler draai altijd op voor de ellende die door onze staat en onze banken wordt veroorzaakt.

Waarom gaan we deze mensen niet hoofdelijk aansprakelijk stellen? En wanneer ze de boete of schadevergoeding niet kunnen betalen, gewoon voor iedere 1000 euro een dag in de cel. Lullig voor hen dat het dan al snel op levenslang uitdraait, maar wiens probleem is dat? Moet dat ook weer MIJN probeem worden?
Even wat tegengeluid:

Als je je pincode bij je bankpas bewaart en je raakt dan je portemonnee kwijt, dan vinden we het ook allemaal logisch dat de bank hiervoor niet hoeft op te draaien.

Maar als je reageert op phishingmail, of via een telefonische babbeltruc je TAN of OTP codes afgeeft dan is de bank ineens wel te verantwoordelijke partij? Dat begrijp ik niet helemaal.

Als je auto ernstige gebreken vertoont aan de remleidingen en je gaat er toch mee rijden neem je zelf ook het risico. Als je gaat internetbankieren met een met malware besmette PC neem je ook zelf het risico.

De hele discussie is dan ook in hoeverre je kunt verwachten dat de gemiddelde consument dergelijke ernstige gebreken zelf kan constateren. In beide bovengenoemde gevallen denk ik van niet. Daar heb je een expert voor nodig.

We vinden het allemaal normaal dat er zoiets is als een APK, en een automonteur die de reparaties uitvoert. Maar veilig computeren staan we nooit bij stil en worden we ook niet toe gedwongen. Dus ik begrijp deze stap wel van de banken.

En als je niet in staat bent zelf je computer te onderhouden, zou je er eigenlijk dan wel één moeten hebben (om te gebruiken voor het internetbankieren)? De adviezen die ze geven zijn niet bepaald moeilijk om op te volgen, en als je daar niet aan kunt voldoen zou je misschien een computercursus of iets moeten overwegen.

We moeten alleen uitkijken dat we ons niet begeven op een hellend vlak. Niet bij elke vorm van computerfraude direct de verantwoordelijkheid afschuiven op de klant, immers in elk geval moet onderzocht worden of de consument niet zelf (al dan niet bewust) de fraude in de hand heeft gewekt.

Wellicht had de consumentenbond zich ook kunnen inzetten voor een onafhankelijke geschillencommissie in voorkomende gevallen. Met een eigen afdeling voor forensisch onderzoek, zodat een gedupeerde klant ook zijn 'device' kan aanbieden voor onderzoek dat mogelijk zijn onschuld kan aantonen.
1 2 3 ... 16

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True