Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 328 reacties

Het gebruik van sms'jes voor het verifiëren van banktransacties is compleet achterhaald vanwege Android-malware. Dat concludeert een organisatie die onderzoek doet naar ict-beveiliging. In Nederland gebruikt ING sms'jes om de zogeheten tan-codes te versturen.

MalwareIn een rapport over mobiele malware doet onderzoeksinstituut NSS Labs drie aanbevelingen. Een daarvan is gericht aan banken die leunen op sms'jes voor het verifiëren van mobiele transacties, naast bijvoorbeeld een wachtwoord. "Gebruik geen verificatie op basis van sms'jes", schrijft NSS Labs. "Die methode is ernstig gecompromitteerd."

Wie via internetbankieren van ING een transactie wil bevestigen, moet een zogeheten tan-code invullen. Dat is een willekeurige reeks cijfers die is gekoppeld aan een volgnummer. Hoewel het mogelijk is om die van een vel met honderd tan-codes af te lezen, is het ook mogelijk om de codes per sms te ontvangen.

Het versturen van een sms naar een telefoon is echter geen garantie meer dat de gebruiker de transactie bevestigt. Malware op Android-telefoons kan de code uitlezen en zelf bevestigen. Daarvoor moet wel worden samengewerkt met malware op een Windows-pc. Volgens NSS Labs zijn er echter verschillende trojans die daarvoor ondersteuning bieden in combinatie met het Android-besturingssysteem, dat het sideloaden van applicaties buiten de Play Store om toestaat.

Zo zouden er kant-en-klare extensies voor de Zeus- en SpyEye-malware zijn die dat mogelijk maken. De zogeheten SpyEye-in-the-Middle-extensie is zelfs speciaal bedoeld voor bankklanten in Europa, zo schrijft NSS Labs. Bij het overboeken, waarbij de website voor internetbankieren wordt gemanipuleerd, geeft de malware op de pc aan dat er een mobiele app moet worden geïnstalleerd om de transactie te kunnen voltooien. In werkelijkheid onderschept die malware de sms'jes met de verificatiecodes en wordt een frauduleuze, door de malware opgezette transactie bevestigd.

ING-woordvoerder Ronald van Buuren laat weten dat de bank 'kennis heeft genomen van het rapport', maar geen aanleiding ziet om te stoppen met het versturen van tancodes per sms. "We nemen maatregelen tegen dit soort aanvallen", zegt Van Buuren, die niet uit de doeken wil doen wat de bank precies doet, om aanvallers niet te veel aanwijzingen te geven. "We monitoren en detecteren of er verdachte transacties plaatsvinden of klanten zijn geïnfecteerd met malware", aldus de ING-woordvoerder. Hij benadrukt bovendien dat bankfraude ook bij andere banken voorkomt.

ABN Amro en Rabobank gebruiken geen tan-codes per sms, maar een random reader, die de codes genereert die bij het overboeken moeten worden ingevuld.

Update, 17:35: Reactie ING toegevoegd.

Moderatie-faq Wijzig weergave

Reacties (328)

1 2 3 ... 7
Geldt dit enkel voor banktransacties? Tegenwoordig bieden veel sites two-step verification aan als inlogmethode. Volgens dit artikel zouden al deze methodes dan ook onveilig zijn.
Correct.

Als malware op je telefoon al je smsjes kan uitlezen dan geldt dat dus voor álles wat die methode gebruikt.

Nog een argument waarom Apple en Microsofts ideeën (en volgens mij ook die van RIM/Blackberry) over veiligheid van mobiele devices zo gek nog niet zijn. Die hadden dit al lang voorzien.

[Reactie gewijzigd door CyBeR op 12 december 2013 16:10]

Nog een argument waarom Apple en Microsofts ideeën (en volgens mij ook die van RIM/Blackberry) over veiligheid van mobiele devices zo gek nog niet zijn. Die hadden dit al lang voorzien.
De positie t.a.v. het makkelijk kunnen installeren van apps buiten de "centraal geregelde" store om heeft niets te maken met veiligheid, puur met marktpositie.

En het is inderdaad makkelijker op Android, maar zeker niet onmogelijk op alle drie de andere platformen die je noemt. Het verschil zit hem er in dat je op Android een vinkje moet zetten (je krijgt nog een waarschuwing) en bij beide andere OS'sen deze beveiliging bewust moet omzeilen.

Daar komt bij dat je dan éérst een geïnfecteerde pc moet hebben die je de Android malware voorschotelt en dan ook nog dom genoeg moet zijn om deze te installeren via een of andere mail link. Als het automatisch via ADB geïnstalleerd zou worden dan heb je dat zelf opengezet op je telefoon, op dat moment vallen de argumenten vóór IOS of WP weg.

Het is simpel: een random reader is íets veiliger. Maar het bankieren op basis van de SMS code is zoveel gebruiksvriendelijker dat je de overweging kunt maken of je dit miniscule risico niet voor lief wilt nemen, samen met de bank.

En laten we eerlijk zijn: als je pc al geïnfecteerd is met malware, dan is het zelfs mogelijk om om de tuin geleid te worden als je de random reader gebruikt. Je zorgt dat je de code van de randomreader overneemt maar veranderd onderhuids het bedrag/rekeningnummer. Vervolgens voert de gebruiker de juiste code in en wordt er een heel ander bedrag naar een ander rekeningnummer overgemaakt...

Storm ==> glas water.
Bij Rabo is dit niet het geval, je kunt misschien het rekeningnummer wijzigen, maar het totaalbedrag in ieder geval niet
DigID is dan inderdaad dus ook gevaarlijk...
Dat ligt aan wat je met een gecompromitteerd systeem kan doen. Een gekraakt account bij de website van de schaakclub is niet zo'n probleem. Bij DigID wordt het inderdaad steeds gevaarlijker. Ik weet niet wat je allemaal al kan maar als je toeslagen ka aanvragen en bankrekeningnummers kan opgeven dan is het inderdaad een probleem.
Dat kan inderdaad met digid. Sterker nog : het dwingt dan de SMS functie nog niet eens af!
Gebruikersnaam + wachtwoord is genoeg.
Dat ligt eraan hoe belangrijk het deel is wat je wil bereiken. Als ik bijv bij mijn studiefinanciering wil komen, moet ik verplicht +sms doen.
Klopt, maar raar gezien bij de belastingdienst niet terwijl ik die wel wat belangrijker vind dan DUO :S
Geen enkele methode is 100% veilig. Neemt niet weg dat two-step inloggen altijd stukken veiliger is dan enkel een wachtwoord. En vergeet niet, ING is een commercieel bedrijf. Zolang de kosten van het compenseren van getroffen klanten op de langere termijn lager zijn dan het implementeren van een nieuw verificatiemethode, gaan ze niets veranderen.

Bovendien kan ik me niet voorstellen dat dit echt een groot probleem is... 99.9% van de mensen installeren geen apps buiten de Play Store om. Staat standaard ook uit dus kan ook niet echt perongeluk. Lijkt me meer een theoretisch onderzoek dan een praktische aanbeling dit...
Misleidende titel. De conclusie is dat de combinatie van een met malware geïnfecteerd Windows syteem en Android toestel en een verificatie SMS onveilig is. De problemen zijn dus per definitie niet gelinkt aan sms maar aan slecht beheerde Android toestellen i.c.m slecht beheerde Windows PCs.

Gelukkig is dit sensationele nieuws hier te lezen, waar de mensen die dit voornamelijk zal overkomen niet kijken... En als deze mensen hier toch niet kijken, waarom dan niet een iets objectievere berichtgeving? Waarbij ook de echte inhoud al in de eerste helft van het artikel naar voren komt.
Interessanter dan dat slecht beheer een risico vormt, is dat malware op verschillende systemen gaat samenwerken. Is dat een trend of hype of uniek?
Als jouw beveiliging afhangt van de veiligheid van andere systemen buiten jou controle, dan denk ik toch dat je ergens en ontwerpfoutje hebt.

Onveilige android & windows systemen zijn een gegeven, zeker met miljoenen gebruikers. Zorg, als bank, dat je daar geen last van hebt.
Weer Bullshit. Android is niet onveilig. Je moet eerst je toestel zelf onveilig maken.
Bovendien moet je ook nog een Windows draaien welke is geinfecteerd.
Succes, ik zou zeggen eigen schuld dikke bult. Moet je als tweaker maar beter opletten.
Bovendien welke zichzelf respecterende tweaker gebruikt nou Windows op de PC, en synchroniseerd zijn android toestel hiermee. Of laat software installeren omdat een popup hierom vraagt? Losers.
Waar slaat dat nou op?
Er leven meer mensen in NL dan alleen tweakers en ja er zijn mensen die in een pop-up trappen. Wil je zeggen dat je nooit ergen op hebt geklickt omdat het er echt uit zag, en vertaal dat nu eens naar de miljoenen mensen hier die -geen-verstand van computers hebben?

En iedere tweaker die windows draait en android heeft Losers noemen? Jij gaat vrienden maken hier..

Overigens net mijn android geroot. 1 click. Done. Reuze veilig. Als ik je grootmoeder naar een pagina stuur waar staat welk vinkje ze moet uitzetten en welke link ze moet klikken dan is het gebeurd. Dan komt ze bij jou uithuilen. Mag jij 'loser' zeggen.
Nee, de loser is degene die dat voor zn grootmoeder doet. De grootmoeder is dan het slachtoffer voor de idiootheid van de kleinzoon/dochter. Je zadelt namelijk iemand op met een probleem die niet weet dat het bestaat.
Om je ndroid te rooten heb je overigens meer dan 1 klik nodig. Dus fail.
'ik' ben in dit voorbeeld dan de malware leverancier annex hacker die je grootmoeder die pagina stuurt: "Als ik je grootmoeder ..."
Lezen is ook een vak.

Blijkbaar geloof je die 1-click root ook niet. Leef rustig verder..

[Reactie gewijzigd door Durandal op 12 december 2013 22:25]

"Gebruik geen verificatie op basis van sms'jes", schrijft NSS Labs. "Die methode is ernstig gecompromitteerd."
Foute conclusie van NSS Labs want nergens in het rapport tonen ze aan dat SMS verificatie an sich gecompromitteerd is maar alleen dat de gebruiker dit zelf onveilig maakt door in malware scams te trappen. Er is nog steeds ten alle tijden een input van de gebruiker nodig om geïnfecteerd te raken. En ja, de gebruiker is dus het probleem en niet de gebruikte techniek.
Er is nog geen enkel stukje malware op de markt dat helderziende gave heeft waarmee een geïnfecteerde pc weet naar welk telefoonnummer deze een sms moet sturen. Het maakt dus niet uit of er SMS verificatie of een identifier gebruikt wordt zolang criminelen d.m.v. social eniginering gebruikers over halen om malware te installeren. Geen enkele methode is veilig als er een mens tussen zit.
Gelijk heb je! De gebruiker moet zich aanpassen aan technologie! Natuurlijk!

Volgens mij moet je de gebruiker juist centraal stellen. Uitgaande van zijn/haar fouten maak je de technologie. Jouw visie, de gebruiker zien als weakest link, is helaas niet meer van deze tijd.
Ik moet zeggen dat ik het systeem van de ING wel prettig (en veilig genoeg) vind. Bij mij komen de sms-jes aan op een old-skool dumbphone, knappe jongen die daar een rootkit o.i.d. op krijgt, dat apparaat kan niet eens webbrowsen of apps draaien.

Daarnaast is het heel handig dat je een smsje (met tan-code) krijgt voor iedere keer dat er transacties worden uitgevoerd. Mocht je password/accountgegevens zijn uitgelekt, dan kom je daar direct achter, omdat je spontaan een smsje krijgt... lijkt mij wel prettig.

Kan je meteen de bank bellen om alles te blokkeren
zat laatst tros radar te kijken. blijkt dat je met alle banken met zo'n random reader volledig genaaid bent als ze je pin pas jatten en je pincode weten (die ze afkijken bij een parkeer automaat bijvoorbeeld en je dan ff laten afleiden en je pas vervangen door een andere)

is het systeem van ING toch een stuk minder jat gevoelig aangezien je daar nog wel een login voor nodig hebt voor je het kan gebruiken.
Wat is je punt? Zodra ze je pinpas hebben en je pincode weten kunnen ze toch sowieso lekker gaan pinnen bij de eerste de beste pin automaat? Die gaan dan echt niet wachten tot ze bij een PC kunnen.

[Reactie gewijzigd door JoeyPrr op 12 december 2013 17:19]

behalve dat ze met die pas en een random reader dus ook toegang hebben tot je spaar geld via de PC, wat niet het geval is bij de ING.

bij ing hebben ze dan enkel toegang tot de lopende rekening en zal bij de meeste mensen de schade dus te overzien zijn.
Voor de methode van ING heb je geen pas nodig. Ik kan dus pogingen gaan wagen om je login gegevens + TAN codes te ontfutselen waar ik ook ben op de wereld. In het geval van de Rabo heb ik je pas nodig, dus het aantal mensen wat potentieel ongewenst toegang tot je rekening wilt hebben is een stuk kleiner.
3 keer verkeerd inloggen en je account is geblokeert. dat gaat hem dus niet worden.

je moet dus zoals gezegt zowel toegang tot mijn PC als mijn telephone hebben voor dat dat kan.

bij alle andere banken is toegang tot de PC genoeg. ff wat software maken om de random reader af te luisteren en klaar.

[Reactie gewijzigd door Countess op 12 december 2013 17:52]

Niet bankieren op een Android telefoon dus lijkt mij. Met Windows en iOS is er dus vooralsnog niets aan de hand.
Nee, niet bankieren op een Windows PC en je smsjes ontvangen op een Android telefoon waarop je software van buiten de play store om hebt geinstalleerd (of die je regelmatig aan die Windows PC hangt via USB terwijl je ADB toegang hebt).

Beetje over the top conclusie van NSS Labs. Als je malware op je Windows PC hebt kunnen ze sowieso al je transacties beinvloeden. Of je nu zelf je tan code in typed of dat die TAN code via malware op je Android telefoon automatisch wordt ingevoerd maakt dan ook niet zo veel meer uit.
Eerlijk gezegd vertrouw ik de software die wel in de store staat ook niet. Zo moeilijk is het niet om een programma te maken dat eerst netjes zes maanden een spelletje speelt en dan opeens je wachtwoorden pikt. Zelfs als de auteur zelf geen kwaad in de zin heeft kan zijn computer ook gekraakt worden en bij de volgende update van de app zit er dan opeens wel rommel bij.
Dan zijn er ook nog een hoop apps die gebruik maken van libraries van advertentienetwerken. Dat hoeft ook maar 1 keer fout te gaan en je hebt een hoop ellende.
En dan weigerd automatisch updaten van die app en vraagt android de nieuwe rechten te bevestigen. De gebruiker is en blijft de zwakste schakel
Helaas keuren de meeste gebruikers alles goed en vragen applicaties nu al vaak om erg brede permissies.

De gebruiker is inderdaad de zwakste schakel omdat hij apps blind vertrouwt. Ik doe dat dus niet en ik weiger apps te installeren die om permissies vragen waarvan ik niet begrijp waarvoor ze nodig zijn, zoals zo'n beetje alle apps die je adreslijst willen uitlezen of willen zien welke andere apps er draaien. Helaas blijft er dan niet veel over.
Als je malware op je Windows PC hebt kunnen ze sowieso al je transacties beinvloeden. Of je nu zelf je tan code in typed of dat die TAN code via malware op je Android telefoon automatisch wordt ingevoerd maakt dan ook niet zo veel meer uit.
Nou ja, het verschil is natuurlijk dat ze dan alleen transacties die jij initieert kunnen beïnvloeden en daarbij ook niet het bedrag kunnen aanpassen (want dat kun je terugzien in de SMS). Op het moment dat je telefoon ook malware bevat die samenwerkt met je PC kunnen ze in feite ongehinderd transacties doen zonder dat jij überhaupt aan het internetbankieren bent, en op die manier je hele rekening leegtrekken. Daar zit nogal een verschil in.

Maar nog veel idioter vind ik het besluit van de ING een paar jaar terug dat een vergeten wachtwoord ook maar via SMS toegezonden moet kunnen worden, want dat zou klantvriendelijker zijn |:(. Iemand hoeft dus maar toegang tot je telefoon te krijgen om te kunnen internetbankieren.

Ik ben daarover in discussie gegaan met de ING. Hun antwoord: we raden aan om een moeilijk te raden gebruikersnaam te kiezen. Serieus, hoe dom kan je zijn! Het hele probleem wat ze eerst met wachtwoorden hadden wordt dus gewoon maar verplaatst naar de gebruikersnaam. Mensen die vroeger hun wachtwoord vergaten gaan nu hun gebruikersnaam vergeten. En dan is het ook nog eens veel te makkelijk om "onthoud mijn gebrukersnaam" aan te vinken bij het inloggen. En als een zakelijker rekening hebt onthoud de browser gewoon je complete logingegevens als je niet oppast.

[Reactie gewijzigd door .oisyn op 12 december 2013 16:23]

En dan doodleuk samen met de andere banken de bewijslast en het risiko bij de klant neerleggen..
99% weet niet eens dat die maleware heeft. En het gaat er niet om of het erop staat het gaat erom dat android net als windows een onveilig systeem is. Aangezien er steeds meer wizZ kids bij komen is de kans op maleware en virussen ook groter.
Eigenlijk moet er gewoon een keer een virus komen die 2 miljoen rekeningen leeg kaapt voordat er echt wat aan gedaan gaat worden.
Software uit de play store kan gewoon malware bevatten, er is geen enkele controle op.

paar dagen geleden nog een gevalletje in het nieuws van zo'n app die tientallen miljoenen keer gedownload was.
Oh ja, want hackers zijn niet geinteresseerd in SMS'jes als ze naar een telefoon met WP of iOS verstuurd worden :+ Waar het hier om gaat is marktaandeel. iOS en WP hebben beiden net zoals Android genoeg marktaandeel om interessant te zijn voor hackers. Dus ook WP en iOS zijn net zo min veilig als Android.
Wat je vergeet is dat het een stuk moeilijker is om malware op een iOS of WP device te krijgen. Voor die devices moet dat door een lek in de software, bij Android is het een feature dat er van ongeautoriseerde bronnen geïnstalleerd kan worden.
Uh nee, je iPhone moet van een jailbreak zijn voorzien.
Genoeg mensen die dat hebben gedaan. Net zoals dat Android van zichzelf uit ook geen apps sideload, dat moet je zelf doen en verschillende waarschuwwings popups negeren.
Dus BullShit iPhone en WP zijn niet veiliger dan Android.
Een feature die standaard uit staat en in een menu waar niemand ooit kijkt ;)
Maakt niks uit, je kan gewoon ongecontroleerd publiceren in de play store. Waarom moeilijk doen als je je malware gewoon via de officiele store kan verspreiden ?
Als je als gebruiker je verstand gebruikt kan je voor 99% er zeker van zijn dat je geen malware oploopt via de Playstore. Google is daarbij al hard aan het werk om die dingen te verwijderen en Android 4.4 heeft al een ingebouwde virusscanner.

Zolang jij geen rare apps download ( overduidelijke fake messengers bijvoorbeeld) of op advertenties zoals "DOWNLOAD YOUR NEW TWILIGHT BACKGROUND NOW" klikt is er geen enkel probleem. Kortom, gebruik je verstand want daarvoor heb je het.
Oh ja, want hackers zijn niet geinteresseerd in SMS'jes als ze naar een telefoon met WP of iOS verstuurd worden :+ Waar het hier om gaat is marktaandeel. iOS en WP hebben beiden net zoals Android genoeg marktaandeel om interessant te zijn voor hackers. Dus ook WP en iOS zijn net zo min veilig als Android.
Op WP en iOS is het niet mogelijk om eenvoudig apps te sideloaden, iets wat op Android wel het geval is, ik denk dat daar de crux zit.
En wie controleert de broncode van de apps uit die windows of iphone appstores dan?
Waar het hier om gaat is marktaandeel
Nee, waar het om gaat is beveilging. Op WP is het bijvoorbeeld onmogelijk om als app de toegang te krijgen tot je SMSjes, en redelijk ingewikkeld om apps te installeren buiten de store om (heb je een developers license voor nodig)

[Reactie gewijzigd door .oisyn op 12 december 2013 16:32]

Dat is dus niet het geval, in het begin had ios 80% marktaandeel terwijl er bijna geen mailwarw te vinden was net als nu overigens. Je hebt gelijk dat een besturingsysteem wat door meer personen wordt gebruikt interessanter is om te hacken maar daarbij is veiligheid nog steeds het belangrijkst.. Doordat apple zo gesloten is zijn er aanzienlijk minder virussen dan bijvoorbeeld android en in de toekomst windows. Android moet er gewoon voor zorgen dat ze is een degelijke veiligheid in het systeem implementeren want je kan tweakers niet open slaan of er is weer een virus bijgekomen.
Nee, naar Windows en iOS zijn nog geen onderzoeken gedaan die zich op dit gebied richten. Zelfde verhaal als "Op een Apple kun je geen virussen krijgen". Totaal achterhaald concept van schijnveiligheid.

Daarnaast, ING stuurt ook gewoon smsjes naar Windows en iOS telefoons, waar iemand die dat wilt ook gewoon mallware voor kan schrijven...
Maar bij iOS en Windows is er enige controle op, er is altijd een persoon die de applicatie reviewed. Bij android isner geen enkele controle en als je nu iets publiceerd staat het onmiddelijk in de play store. Enige wat ze doen is achteraf apps deleten als er klachten zijn, maar dan kan het al te laat zijn.
Ik wil ook helemaal niet impliceren dat het ene concept beter is dan het ander, beide hebben voors en tegens en het laatste wat ik hier wil is de aloude windows/apple/android oorlog laten oplaaien.

Het enige dat ik probeerde te doen was de nuance aanbrengen ;)
Op Android ook niet. Er is pas wat aan de hand als je malware gaat / laat installeren op je telefoon. En zo gauw dat er op staat, is het überhaupt niet aan te raden om die telefoon nog te gebruiken, voor wat dan ook...
Met android nooit gedoe gehad. Sinds 2 weken een Windows Phone en de eerste keer toen ik wat wilde overmaken kreeg ik de SMS niet binnen en vandaag lukt het ook al niet...

Geef mij maar Android dan! :) Of nog liever: een calculator. :)
Er staat over een samenwerking tussen malware op PC en op Android. Dus ook niet meer internet bankieren als je SMSjes op een Android telefoon binnenkomen (en dus bankiert op een Windows PC!)
Grappig, t is de enige reden dat ik bij ING blijf, geen gezeik met die random readers. En ik vind t ook een stuk veiliger. Ja, als dit en als dat en als dat, dan is t misschien gevaarlijk. Maar in t gewone gebruik met een beetje virusscanner op je pc en common sense is er weinig gevaarlijks aan lijkt me. En t is verrekte handig!
Daarom zit ik ook bij ING.
Ze vergeten 1 stap in het onderzoek.

Hoe weet de mailware op android bij welgebruikers account het de tan code hoort.

Ze mogen alle tan codes stelen maar met alleen tan code kan je niets dan moet ook de inlog gegevens hebben de gebruiker die bij de tan codes hoort.


En mailware op de pc weet niet naar wel nummer de tan code gestuurd word. Dus ook daar is het geen ramp als ze inlog gegevens worden gestolen.


Ook staat het over te schrijven bedrag is de sms van de tan code. na het ontvangen van
De tan code kunnen er geen overschrijving meer in de verzend box geplaatst worden. Het kan wel maar dan is de tan niet geldig.
En moet je een nieuwe opvragen.

Hier door is het ook niet mogelijke om via een man in de Middle pagina of een overlaye ongezien geld over te boeken naar de rekening van de hacker.

Tot nu is gebleken dat het ING systeem het veiligst is. Het is nog nooit gehackt.
De onderzoekers vergeten voor het gemakt maar even dat de mailware moet weten welke telefoon bij welke pc gebruiker hoort en dat deze info op het juiste tijd stip samen moet komen ( iets wat door huidige opbouw onmogelijk is)

Dat kan je ABN en Rabo niet zeggen
ABN reader mailware. En Rabo overlaye hack dat er een pagina over de Rabo pagina zat en en met over boeken dat je ongezien geld naar de hacker overboekte.
Hoe weet de mailware op android bij welgebruikers account het de tan code hoort.
In principe niet super moeilijk, veel mensen zitten met hun browsers op Google applicaties ingelogd, zoals GMail. Dit houdt je sessie actief.
Op je Android telefoon zit je daar toevallig ook mee ingelogd.

De link dan leggen is uitermate makkelijk voor goed gecode malware.
Vereiste is natuurlijk dat de malware op zowel je PC als telefoon staat. En ook dat hoeft niet altijd te lastig te zijn afhankelijk van de USB modus van je Android apparaat, al zullen velen debug modus bijvoorbeeld niet ingeschakeld hebben staan en dit staat standaard uit. Echter, als de malware een sessie van google jat met malware op je PC, kan het ook een verzoek sturen aan de app store om een bepaalde app (met daarin een trojan, indien niet gedecteerd door Google) op je apparaat te downloaden en installeren.

Het is niet extreem makkelijk, maar de link leggen kan wel degelijk, en makkelijk ook.

Ik ben het met je eens verder hoor, het onderzoek is flut en de SMS verificatie is bijzonder veilig. Maar ik vond dit specifieke stukje in je betoog wel interessant.

[Reactie gewijzigd door WhatsappHack op 13 december 2013 04:17]

Standaard staat bij mij privacy guard aan op m'n Android smartphone. Die blokkeert standaard alle apps behalve degene die ik white list of alle die standaard geen toegang vragen tot privégegevens. Zo denken facebook en andere apps allemaal dat ik geen contacten heb, geen smsjes ontvang e.d.

Dit gevaar speelt misschien wel maar als klant kun je je er prima tegen wapenen. We hoeven niet alles op de bank af te schuiven.
Die app draai ik zelf ook, maar werkt alleen -bijna- goed als je je toestel geroot hebt.
Soms laat hij toch dingen er doorheen glippen, ook al heb je die bepaalde app ge-blacklist.
Typisch gevalletje schijnveiligheid dus. Ervaring leert dat je voor het dichtzetten en uitschakelen van apps bij het booten maar op twee dingen redelijk goed kunt vertrouwen, dat is de app OPS en in de latere Android versie's in het apps-menu om handmatig apps uit te schakelen. Ofwel: zaken die je via het firmware-menu kunt schakelen. Naar mijn idee kun je eigenlijk geen enkele website of app echt vertrouwen, tenzij je hem zelf gebouwd hebt en dan alleen lokaal draait, op de website van de bank zelf na, omdat deze nog 2-3 lagen extra security toepast, bovenop SSL en de password-verificatie's en TAN-codes (van papier- maar ook deze lijst kan nog gepikt worden.)
Het feit dat apps ook cross-talk bij elkaars data kunnen, is een zorgenkindje- het risico op security-problemen is daardoor significant groter, naarmate je meer apps installeert (en/of uit vreemde bronnen, niet geverifieerd door Google) want je hoeft er maar ééntje tussen te hebben die raak is en je hebt (misschien) een probleem.
Op de desktop is de security eigenlijk toegenomen, d.m.v. het toepassen van een sandbox om je browser en je mail-client o.a. en is het nog wel oppassen voor een man in the browser attack bij bankieren en lokale lieden in je omgeving die als man in the middel fungeren met SSL-strip als kers op het toetje, maar in de mobiele wereld is de veiligheid imo gewoon ronduit bullocks.
Het feit alleen al, dat apps zoveel permissies krijgen en onderling kunnen sharen- is imo al vragen om moeilijkheden. :/
Tenzij je als bank een tunnel naar je mobiel opzet en je app in een soort sandbox plaatst, is mobiel bankieren eigenlijk permanent onveilig, alleen al door de opbouw van Android en de wijze waarop apps hun gang kunnen gaan.
Bijzondere conclusie, heb nog nooit van slachtoffers gehoord.
Security beleid hoeft (of moet juist) niet op een verdronken kalf manier tot stand komen :-)
Ik gebruik al ~7 jaar ING internet bankieren met sms verificatie, nooit problemen gehad. Ik hoor van mensen / bekende alleen maar klagen over de RR (random reader) of hoe je dat noemt van andere banken...
Dat klagen is bekend bij mensen. In de huidige maatschappij weten veel van de gebruikers weinig van beveiliging af, maar des te meer van de gemakken van technologie. De random reader klinkt inderdaad als een overbodig apparaat, wat alleen maar lastig is. Maar dit apparaat zorgt daarentegen wel voor een ( voor zover bekende ) sterke beveiligingslaag.

Over het algemeen is het beveiliging ook zo dat je gemak moet inleveren. De kunst is alleen om daar de juiste balans in te vinden.
Ik vind de juiste balans gevonden door de random reader van ABN-AMRO aan te kunnen sluiten via USB. (niet je kaart er langer in laten zitten dan nodig). Je geeft aan te willen betalen, je krijgt de details op je PC scherm, je tikt je pincode van je pasje in op de reader, en in het display van de reader zie je de details van de transactie(s). Als je akkoord bent, druk je op OK, en dan geeft je reader dat door aan je browser, en transactie geslaagd.

Wel eerst even de driver installeren.

Hierbij hoef je dus niet de challenge/response codes over te tikken, zoals bij de Rabobank reader.

Overigens heb je de keuze om het aan te sluiten of niet.
Ik vind de juiste balans gevonden door de random reader van ABN-AMRO aan te kunnen sluiten via USB. (niet je kaart er langer in laten zitten dan nodig).
Je geeft hier dus zelf al aan dat je die USB aansluiting als risiko ziet.
De tijd maakt niet uit hoor; als je malware hebt die je kaart uitleest dan is dat in een milliseconde of wat gebeurt. Veel sneller dan jij hem er uit kan trekken.

Ik zou lekker de moeite nemen om die paar cijfertjes over te typen. Het hele idee van die beveiliging is dat er geen fysieke verbinding (dus geen geheime informatieoverdracht) is tussen die twee lagen.

[Reactie gewijzigd door Durandal op 12 december 2013 17:35]

Reken maar, dat die kaart niet zomaar uit te lezen valt. Reken ook maar, dat dat al door heel wat mensen geprobeerd is :)
Het enige wat ik kan vinden wat dat betreft is dat malware zelf op de OK knop kan drukken om de transactie te bevestigen. Máár... daarvóór moet de gebruiker eerst zelf een transactie hebben klaargezet (ok, kan heel misschien geautomatiseerd worden) en dan zijn pincode hebben ingevoerd.

Uberhaubt je pasje insteken, en je pincode invoeren doe je niet als je zelf geen transactie gaat goedkeuren.

Sterker, er wordt zelfs gesuggereerd dat mét USB veiliger is, want dan kan er geen man-in-de-browser aanval worden gepleegd want de gebruiker hoeft geen code in een nagemaakte website te voeren.
Zie hier precies hetgeen dukejan probeert aan te geven. Lekker makkelijk zo'n op de computer aangesloten (dus bereikbaar voor malware) device voor verificatie.
En toch zijn er mensen met een random reader geld kwijt geraakt. Ik weet niet of het intussen gewijzigt is maar mensen waren het slachtoffer ten gevolge van het inserten van realtief kleine bedragen. Maar de redelijk recente link https://www.security.nl/posting/371446/ doet vermoeden dat je heel goed moet opletten.
Gewoon goed opletten.
Is er een https verbinding kijk niet alleen of iets een bepaalde kleur heeft, zorg dat je zicht hebt op je adresbalk ivm doorlinken etc..
Nooit met "S" verifiëren als hierom bij simpel inloggen wordt gevraagd.
Inloggen is met "I". Altijd de gebruiksaanwijzing en voorwaarden goed doorlezen, dan had dat ook voorkomen kunnen worden.
Sorry hoor, banken zijn heel precies met dit soort dingen, dat zou je zelf ook moeten zijn, welke oen synct en logt in met "S" |:( 8)7
Als de gebruiker nooit iets fout zou doen was er ook geen markt voor dit soort fraude. Als de gebruiker zich aan de regels van de bank zou houden zou deze ook nooit opgelicht worden, wordt er dus wel gefraudeerd dan is de gebruiker altijd schuldig en verantwoordelijk.
"wordt er dus wel gefraudeerd dan is de gebruiker altijd schuldig en verantwoordelijk. "

Grote kolder. Laatst is hier bij een Shell tank station nog geskimmed, vertel mij maar wat iemand die zijn benzine betaald fout zou doen.
Het is algemeen bekend dat windows pc's niet de veiligste zijn als je ook nog op alles wat voor je neus komt klikt en bovendien je telefoon zo aanpast dat het volledig open is (adb, root en programma's van ongedefiniëerde sites installeerd buiten de store om) deze ook nog synct met je onveilige pc en hier ook nog op telebankiert (dus zo laconiek bent over telebankieren) verdien je het mss wel.
Oorzaak zit 'm niet in de random reader maar in een PC die besmet is met malware en op de achtergrond zijn eigen transacties genereert en de klant valselijk dwingt deze te autoriseren.
Dat wil niet zeggen dat het nooit misgaat met ING.
Ik kan je een aantal gevallen noemen binnen mijn kennissen kring waarbij het al wel is misgegaan.

Waarschijnlijk klagen mensen over de random reader juist meer, omdat het wat meer werk is om een betaling te verichten, dit terwijl een random reader gewoon veel veiliger is. Hoewel dit natuurlijk nog veel veiliger kan.

Bij random readers moeten ze het gewoon verplichten dat een persoon die een betaling doet ook het daadwerkelijk bedrag dat hij / zij over wil maken moet invullen om een code te genereren. Dan wordt het i.i.g. al een stuk beter. Rabobank doet dit i.i.g. al. Als je dan ineens een ander getal moet invullen weet je dat er iets niet aan de haak is.

Daarnaast de mogelijkheid om betalingen binnen 1 - 2 uur gemaakt met een randomreader te kunnen annuleren. Dat deze als het ware gewoon een uur of 2 op een hold worden gezet. Mensen vervolgens ook per e-mail en sms berichten dat er een betaling gedaan is met bedrag xxx. Zodat ze weten of ze de betaling moeten annuleren, of dat het geheel klopt.

Ontopic:
Het verbaast me echt, dat ze nu pas tot die conclusie komen, daar dit al heel erg lang bekend was....
Smsjes zijn eenvoudig uit te lezen, waarbij kwaadwillende de tancodes gelijk kunnen gebruiken bij betalingen. Daarbij komt dat deze vorm van misbruik al lang bestaat. En er zijn ook al gevallen waarbij dit gebeurd is.
Ja Rabo is wvdb beter dan de ABN, maar ook bij de Rabo kan je beroofd worden; het geld kan dan nog steeds naar een andere rekening gestuurd worden. Kwestie van wachten tot een voldoende hoog bedrag voordat de malware toeslaat.
Nee hoor, bij de Rabo moet je voor grotere bedragen (dacht vanaf 500 euro) ook het rekeningnummer van de begunstigde invoeren op de random reader. Je moet dan 4 dingen invoeren:
- pin
- server-side hash
- bedrag voor de komma
- rekeningnr begunstigde

Is even wat invulwerk maar is wel veiliger gebleken dan de producten van andere banken.
Oh dat is dan nieuw. Heb ik nog niet gezien. Is ook al weer even geleden dat ik dat soort bedragen heb overgemaakt.
Goed gedaan Rabo :)
Je krijgt die vraag voor een 3e code zelfs als je een groot bedrag van je spaarrekening naar je betaal rekening boekt!

Dat had ik gemerkt toen ik 3000 overboekte voor bijdrage aan de hypotheek.
Ik snap niet zo goed wat er gevaarlijk is. Stel nou dat er malware bestaat die die smsjes leest... Dan wat? Er staat alleen een nutteloze combinatie van cijfers in, je hebt geen inloggegevens, geen toegang tot de rekening, je weet alleen hoeveel er op dat moment overgeschreven wordt...?
Ik snap niet zo goed wat er gevaarlijk is. Stel nou dat er malware bestaat die die smsjes leest... Dan wat? Er staat alleen een nutteloze combinatie van cijfers in, je hebt geen inloggegevens, geen toegang tot de rekening, je weet alleen hoeveel er op dat moment overgeschreven wordt...?
Van een klant die mobiel bankiert kan malware op hetzelfde toestel de gebruikersnaam en het wachtwoord onderscheppen/aflezen. Je hebt als aanvaller dan een gebruikersnaam, een wachtwoord en de mogelijkheid om SMS berichten af te vangen (zonder dat de klant ze ooit ziet). Dit is voldoende voor een succesvolle aanval.
Daar hebben ze een app voor.
Als je internet bankiert via de APP hoef je je username en password niet meer in te vullen dus gebruik je ook geen TAN codes.
Daar hebben ze een app voor.
Als je internet bankiert via de APP hoef je je username en password niet meer in te vullen dus gebruik je ook geen TAN codes.
Ik lees inderdaad net dat je niet een gebruikersnaam en wachtwoord invult om je mobiel apparaat te kunnen gebruiken met mobiel bankieren bij ING. Dan nog steeds kan malware hier wel om vragen in een phishingaanval (bijvoorbeeld als front-end voor de ING applicatie).
Hier hebben ze dus SAML voor uitgevonden. Wij (wachtwoordbeheer) gebruiken dan ook geen SMS voor 2factor, maar Google Authenticator. Alle OTP toepassingen die verzonden moeten worden zijn per definitie onveilig. Goed dat men dit nu realiseert.
Tot een X bedrag. Voor alles daarboven is normaal internetbankieren vereist.
Allereerst moeten de inloggegevens worden onderschept. Dat kan ("in samenwerking met") met een virus op een Windows computer, of zelfs helemaal vanaf de handheld indien daar ook mee wordt ingelogd op de internetbankieren website. Meestal wordt dan echter de Bankieren app gebruikt.

Vervolgens kan er vanaf de handheld een betaling worden geïnitieerd, onderschept hij de TAN-code en kan hij zo volledig ongemerkt betalingen gaan uitvoeren.

Enfin, moet je wel eerst dat virus op je phone hebben en je inloggegevens moeten zijn onderschept (dus ook geen goede virusscanner op Windows + je installeert 'zomaar' apps buiten de Play Store om op je Android terwijl je ook daar geen goede virus scanner op hebt). Tja, dan roep je het een beetje over jezelf uit.

Daarnaast zijn toch ook de bankieren apps waar je geen inloggegevens voor nodig hebt kwetsbaar? De ING Bankieren app heb je enkel een 5-cijferige code voor nodig om (kleine?) bedragen mee over te boeken.

[Reactie gewijzigd door Inny op 12 december 2013 16:26]

Als de app zelf een transactie genereerd en de tan-code uitleest, dan is je geld wel weg.
Klopt, maar dat is wel behoorlijk vergezocht. Het gaat om behoorlijk geavanceerde malware. En als je bankieren op je PC doet, en niet op de telefoon zelf, moet zowel je PC als je telefoon besmet zijn, en actief samenwerken. Immers TAN code uitlezen is leuk, maar die info moet dan nog steeds terug naar de PC.

In veel landen wordt enkel nog een wachtwoord gebruikt als verificatie, dus het stellen dat SMS 'zeer onveilig' is, vind ik een hyperbool. Wat is dat andere dan? Het is goed dat men waarschuwd, maar dat het nu 'zeer onveilig' is, is larie.

Bovendien - en ik buk vast - is het probleem vooralsnog exclusief voor Android toestellen. Beter om dan specifiek mensen te waarschuwen voor die combinatie dan mensen algemeen bang maken.

Windows Phone heeft bijvoorbeeld de vereiste API's niet om SMSjes te onderscheppen als applicatie. Ook een vorm van beveiliging :Y)
Dus je stelt dat iPhone of windows phone niet besmet zouden kunnen worden?
En dan buk je ook nog, kan het virus er helemaal makkelijk inrijden...

Een kenmerkt van een virus is dat het zichzelf kan verspreiden, en als je PC dus geinfecteerd raakt zich via je netwerk in je telefoon nestelen (met wifi op je telefoon), of anders als je de telefoon op de PC aansluit.
Het zou in theorie zelfs via bluetooth of als geluid via je speakers kunnen...

Denken dat dit onmogelijk is omdat het niet in het nieuwsbericht genoemd wordt is erg naief.
De exploits waarvan men weet dat die bestaan zijn degene waar je het minst bang voor hoeft te zijn. (niet dat je je er niet druk om zou moeten maken)

Google eens op "false sence of security"
Op het internet is ignorance geen bliss.

Het is trouwens ook heel erg slecht van de ING om er niks aan te doen, en als reden op te geven "ja maar het gebeurt ook bij andere banken"
Maar de clou is dus juist dat er malware rondgaat voor PC die specifiek dit soort internet bankieren target. De malware op de PC geeft je vervolgens instructies om de malware op je GSM te installeren. Onder de pretentie dat je een nieuwe app voor online bankieren van je bank moet downloaden.

Zodra iemand daar in getrapt is hebben ze beet, ze kunnen dan via de malware op de PC de inloggegevens onderscheppen en middels de malware op de telefoon de TAN-code.

Via een command & control server kan de malware op de GSM communiceren met de malware op de PC. Door de gebruiker te vragen om het telefoonnummer te verivieren voor de malware op de PC weet je ook welke PC er bij welke GSM hoort.
Maar dat betekend dat die mallware wel in de store gezet moet worden, buiten de store om installeren vergt een extra handeling om dit te kunnen installeren, indien je en een trojan op je pc krijgt en de software dan installeerd en ook nog aangeeft dat je buiten de store om software kan installeren dan heb je het ook wel een beetje zelf schuld aan. Ergens moet er dan toch wel een lampje gaan branden?
Maar dat betekend dat die mallware wel in de store gezet moet worden, buiten de store om installeren vergt een extra handeling om dit te kunnen installeren, indien je en een trojan op je pc krijgt en de software dan installeerd en ook nog aangeeft dat je buiten de store om software kan installeren dan heb je het ook wel een beetje zelf schuld aan. Ergens moet er dan toch wel een lampje gaan branden?
Dat weet jij, dat weet ik, maar dat weet je tante Sjaan van 53 die een "iPhone Android" heeft niet, maar ze wil het wel gebruiken.
Die vind dat het er allemaal heel gelikt en professioneel uitziet, dat zou zo van de bank kunnen zijn.

Een URL als "www.ing-mobiel-bankieren.nu" zal voor genoeg mensen op zijn minst plausibel klinken.
Daar download je dan de installer, dus buiten de play-store om, en de instructies op de site helpen je met het sideloaden.
Als er niet gewoon een stuk java script tegenaan gegooid is om de boel met een wizard te laten gaan.
De malware staat dus niet in de store, dat hoeft ook helemaal niet omdat je op android buiten de store om mag installeren.
Standaard mag je niet buiten de store om installeren, dat moet je expliciet aan zetten.
Dat kan ook gewoon, zolang het maar verborgen wordt in de app die in de store wordt geplaatst.
Vanuit je PC je mobiel besmetten dient geen probleem te zijn. Er zal geregeld overdracht zijn tussen de 2 werelden dus genoeg kans om vanuit je pc je mobiel te infecteren lijkt mijn.
Klopt, maar dat is wel behoorlijk vergezocht. Het gaat om behoorlijk geavanceerde malware.
dat soort malware bestaat al jaren voor PC's, waarom niet voor telefoons?
Mee eens maar om Android als 'onveilig' te bestempelen vind ik kort door de bocht. Als je 'unknown sources' aanvinkt (dus sideload) en aan laat staat dat is net zoiets als dat je de voordeur van je huis open laten staan als je weggaat. Die enkele keer dat ik een app 'sideload' zet ik dat vinkje aan (liefst met internet verbinding uit), installeer de non-Google Play app en zet m weer uit. Net als dat ik mijn huis afsluit als ik wegga.
Gezond verstand is wat velen kennelijk niet hebben. Dergelijke lui moeten inderdaad een OS hebben met muren er om heen waar je niks mag zoals iOS. Werkt prima en snel maar niet mijn ding.
Overigens heb ik geen ING dus ik gebruik Random Reader met browser zowel op computer als smartphone.
Bovendien dekt de bank toch fraude tot kweet niet hoeveel (een ton ofzo?). Dus waar hebben we 't nou over?

Dat je moet proberen 't beter en veiliger te maken, ala. Maar ik vind dit verder ook wat overdreven. Gewoon de mobiele app niet gebruiken voor mobiele betalingen als je safe wilt spelen. Dan is die link er ook niet. Daar heb je geen rapport voor nodig om dat te snappen.

Of gewoon het super onhandige Rabo / ABN AMRO systeem gaan toepassen. Kies je bank erop zou ik zeggen ...
Die voorwaarden worden ook aangescherpt... sommige banken stellen al dat ze niet meer verantwoordelijk zijn als gebruikers geen virusscanners, firewall of nieuwste software gebruiken.
De titel zou ook moeten zijn 'Banktransacties verifiëren via sms op Android toestellen is zeer onveilig'. Op mijn Nokia N9 verwacht ik weinig malware.
De Nokia N9 draait Meego, geen Symbian. De N9 is tevens de eerste en de laatste telefoon die op Meego draait, dus niet zo interessant voor hackers.
Interessante link. Ik had er nog nooit van gehoord.

Maar goed, het gaat over een soort van proof of concept, niet een echte dreiging door criminelen. Sowieso moet je om mijn telefoon via NFC te hacken, wel fysiek heel dichtbij staan.
Het is dat ik je reactie niet mag modereren, maar ik ben het in deze helemaal met je eens.
Ik snap niet zo goed wat er gevaarlijk is. Stel nou dat er malware bestaat die die smsjes leest... Dan wat? Er staat alleen een nutteloze combinatie van cijfers in, je hebt geen inloggegevens, geen toegang tot de rekening, je weet alleen hoeveel er op dat moment overgeschreven wordt...?
Man-in-the-browser aanval. Als je dan internet bankiert niet via de app, maar via je browser (op je mobiel, of zowel je pc als mobiel zijn geinfecteerd), dan kan de malware je tan-codes onderscheppen en gebruiken voor een andere transactie dan jij denkt uit te voeren.

Jij logt in om je huur over te maken, onder water worden in de browser er andere transacties uitgevoerd en de benodigde tancodes onderschept door je android-telefoon.

Jij merkt niet dat er iets mis is, omdat je browser je een te verwachten saldo toont, en je krijgt ook geen onverwachte tancodes/transactiemeldingen.

[Reactie gewijzigd door Keypunchie op 12 december 2013 16:25]

Nuttloos, om dat te kunnen is er geen malware nodig op je telefoon, want jij moet op een gegeven momen toch de code intypen. De malware kan die code gebruiken om een hele andere transactie te doen dan jij denkt dat je aan het doen bent. Dezelfde strategie werkt overigens precies zo bij een random reader.

Veel serieuzer is het feit dat jij helemaal geen transacties hoeft te doen. Op het moment dat naam en wachtwoord 1x gecaptured zijn, en je malware hebt op je telefoon, dan heeft een attacker genoeg info om gewoon compleet los van wat jij op dat moment aan het doen bent je hele rekening leeg te trekken. Een slimme attacker wacht nog even tot je salaris is gestort alvorens zijn slag te slaan.
uttloos, om dat te kunnen is er geen malware nodig op je telefoon, want jij moet op een gegeven momen toch de code intypen.
Nee, dat hoeft dus niet, dat kan de malware op je browser nu helemaal zelfstandig doen, want de malware op je android stuurt de tancodes door naar die malware.
Waar het om ging was dat jij leek te suggereren dat je zelf bezig moet zijn met internetbankieren voor de malware om zijn slag te kunnen slaan, maar zoals ik stelde hoeft dat helemaal niet. Maar misschien begreep ik je verkeerd.
Nou, je moet wel 1x inloggen voor de malware in je browser om te kunnen werken. De inloggegevens van internetbankieren zijn ook nog nodig. Daarna is het een kwestie van de browser draaiende te hebben. (Of de malware moet je systeem nog verder besmetten ofgaat vrolijk vanaf andere lokatie verder)

Terzijde: Geen idee waarom ik -1 krijg. Misschien zeg ik wel iets doms, of incorrects, maar toch niet iets ongewensts?
Goede punten; een kleine kanttekening: bij gebruik van een random reader werkt dat misschien toch niet in alle gevallen. De bank vraagt in sommige gevallen om het totaalbedrag EN het rekeningnummer in te vullen.

Als de man-in-the-browser je ingevoerde transactie onder water zou splitsen in een transactie van 1 cent naar het originele rek. nr. en de rest naar het rek .nr. van de fraudeur, dan kunnen ze wellicht alsnog kwaad doen.

Of: de man-in-the-browser vervangt het rek. nr. en vraagt de gebruiker: ".. [pin invoeren] ... [ren] ... Voer nu het totaalbedrag in. Toets Ok. Voer nu de volgende code in: [rek. nr. fraudeur].". De alerte gebruiker zou merken, dat er nooit na het totaalbedrag een willekeurige code, maar een rek. nr. ingevoerd moet worden. Als je echter niet oplet, dan kan er op die manier alsnog naar een andere rekening overgeboekt worden.

TL;DR: ik dacht uit te kunnen leggen waarom het gebruik van een random reader wel veilig kan zijn en haal mijn eigen argument vervolgens grotendeels onderuit :)
Daarvoor hoef je niet mijn SMSjes te lezen, als je gewoon het reknr veranderd van de ontvanger ben je al klaar.
Weet niet zeker, maar sommige tancodes bevatten bevestigingsinformatie (bedrag, laatste cijfers rekeningnummer). Het "mooie" aan ook de tancodes kunnen onderscheppen, is dat de gebruiker die controle heeft verloren.

En je kunt in dit scenario meer dan 1 transactie doen. Zolang de gebruiker ingelogd is, heb je in 1 klap alle vrijheid.
Ze bevatten niet het rekeningnummer bij ING. Nu staat er alleen bedrag, volgnummer en de TAN-code.
2 factor op 1 device werkt nooit zoals bedoelt (het schept geen extra veiligheid). En als android al vo onveilig is moeten gebruikers vooral geen gebruik maken van de android mobiel bankieren apps, die van de ING kent slechts 1 passcode voor alle acties.
Trojan op je (Windows XP?) PC leest met keylogger je login gegevens van ING uit. Logt op een onbeheerd moment de website van ING (dit lijkt me zelfs niet eens op de pc zelf te hoeven gebeuren, maar is misschien handiger omdat ING dat publieke IP vertrouwd).
Via de sideloaded app op je Android ondervangt die je tancode sms (jij krijgt die zelf niet te zien) en stuurd deze door naar de Trojan die op je PC draait.

En weg is je geld.

[Reactie gewijzigd door DrBashir op 12 december 2013 16:30]

Vooral dat sideloaded appje wat zo makkelijk met de PC trojan zou kunnen communiceren zie ik juist als redelijk onwaarchijnlijk gezien die sideloaded app mss helemaal niet zomaar met de PC kan communiceren door fw of nat enzovoorts. Dus in theorie als werkelijk alles meezit zou het mogelijk kunnen zijn maar ik maak me er geen zorgen over.
Je vergist je. Er zijn genoeg FW en NAT traversion technieken om uit te kiezen. Om te communiceren hoef je alleen maar Met de twee apparaten dezelfde server(-keten) te benaderen en dat wordt niet door je standaard windows firewall of NAT tegen gehouden.

Ik zou beginnen met een uitgaande Firewall te installeren (en dan nog hou je javascript in je geinjecteerde bank pagina niet tegen om naar buiten te communiceren).

[Reactie gewijzigd door Durandal op 12 december 2013 19:25]

Thanks, dat maakt het al weer wat aannemelijker idd.
Niet zo goed over nagedacht... :o
Ik heb zelf inderdaad wel een bi-directionele fw draaien, in interactive mode zodat ik aan elke 'vreemde/onverwachte' communicatie zowel in of uitgaand zelf toestemming moet geven. Zo hou je nog redelijk inzichtelijk wie en wat er allemaal wat probeert te doen.
Trojan op je (Windows XP?) PC leest met keylogger je login gegevens van ING uit. Logt op een onbeheerd moment de website van ING (dit lijkt me zelfs niet eens op de pc zelf te hoeven gebeuren, maar is misschien handiger omdat ING dat publieke IP vertrouwd).
Via de sideloaded app op je Android ondervangt die je tancode sms (jij krijgt die zelf niet te zien) en stuurd deze door naar de Trojan die op je PC draait.

En weg is je geld.
Als ik niet via mijn eigen ip bankier bij de ING krijg ik sowieso vragen voor ik iets kan doen. Wel weer via mijn GSM overigens. Al een tijdje niet meer buitenshuis gebankierd, maar ik geloof dat ze me toendertijd een code stuurden die ik eerst in moest voeren voor ik verder kon gaan. Maar zoals al gezegd, wel weer via mijn gsm.
Zelf werk ik onder een beperkt account op de pc en sta ik geen apps to van buiten de Playstore, ik maak me geen zorgen over malware (al dan niet terecht).
Een trojan werkt op je eigen PC, met je eigen IP, en of jij een beperkt account gebruikt (van wat eigenlijk) stoort het zich niet aan. Voor een browser transactie zijn niet veel rechten nodig.
Klopt, maar ik heb het gevoel (niet de kennis) dat een trojan het wat lastiger heeft om überhaupt op mijn pc te komen vanwege het beperkte account, en de bijbehorende vragen of ik bestanden wil uitvoeren. Niet waterdicht uiterarrd, maar common sense plus bovenstaande + het feit dat ik sowieso al jaren geen software meer installeer + wat malware scanners geven me iig een veilig gevoel. Het kan schijnveiligheid zijn, maar dat voelt ook best lekker.
Maar de TAN code zit op een ander apparaat. En die terugsturen naar de PC is lastig, want er is mogelijk geen verbinding, firewalls, etc.

En de malware op de Android telefoon, is een ander IP en kan dus niet zelf gaan bankieren, en de eigen TAN codes op de achtergrond onderscheppen.
Beide apparaten, mobiel en pc kunnen via een server op internet communiceren. Een of ander obscuur IRC kanaal bijvoorbeeld.
Tenzij je een uitgaande firewall draait is de communicatie dan gelegd en is je bankrekening leeg.

Dat er soms geen fysieke verbinding is klopt, maar die malware zal geduldig zijn.
Nee, maar die mallware kan de code rustig naar een tussen-server sturen waar de mallware op je pc ook mee verbonden is.
nvm

[Reactie gewijzigd door zacht op 12 december 2013 17:40]

Beetje hetzelfde zeggen als dat je gevaar loopt voor inbraak in je huis omdat sleutels blijkbaar kopieerbaar zijn.
Alleen als je ze elke dag bij de buren af geeft.

ok voor degenen die aan het 0-en zijn en de hint blijkbaar niet begrijpen: Zeggen dat je sleutels kopieerbaar zijn is NIET hetzelfde; je moet namelijk nog iemand in de gelegenheid brengen om ze daadwerkelijk te kopieren. Dat doet de ING in dit geval wel; ze sturen de sleutels per postbode, en die levert ze af aan de deur, zonder ontvangstbevestiging.

[Reactie gewijzigd door Durandal op 12 december 2013 21:00]

Malware op Android-telefoons kan de code uitlezen en zelf bevestigen. Daarvoor moet wel worden samengewerkt met malware op een Windows-pc.
Dit dus.
Dus niet. Je smartfone kan gewoon via je wifi naar de bank. Ik zie de noodzaak van een windows pc niet. De applicatie kan gewoon al het netwerkverkeer genereren dat nodig is.
Gebruikersnaam en wachtwoord zijn nog steeds nodig. SMSjes kunnen lezen is NIET genoeg.

Zo lang je maar geen rare apps op je telefoon hebt, geen crapware op je Windows hebt, hoef je je niet veel zorgen te maken. (ik heb ING)
Of als je geen android hebt maar iOS of WP8, dan is er ook niks aan de hand.

[Reactie gewijzigd door mohf op 12 december 2013 22:44]

Haal ik uit het artikel hoor.
Ik ken de malware niet, want gebruik geen windows en ook android.
Klanten krijgen een gemanipuleerd en geforceerd scherm naar voren na het inloggen. De inlogcodes zijn dus al bekend bij criminelen omdat de spyware hier dus al actief staat. Mensen moeten van alles invullen zoals pasgegevens, merk toestel en ook mobiel nummer. De mensen krijgen dat het verzoek om een via sms een app te installeren die tancodes onderschept. De criminelen zetten dan zelf een betaling klaar, onderscheppen de tancode en weg is je geld.

Gelukkig ziet ING deze manipulatie van schermen en blokkeerd daarom preventief de tanfunctie. Mensen zullen dan eerst zelf stappen moeten ondernemen om hun pc weer schoon te krijgen voordat ze weer mogen betalen.

Met alleen de inlogcodes kun je niet zo bar veel. Ook voor mogelijk afwijkende inlog zijn de paccodes ontworpen.
Mensen moeten zich op een goede manier bewust zijn van waar ze mee bezig zijn. Gebruik je boerenverstand wanneer je aan het internetbankieren bent.

Mensen reageren vaker op phishingmails dan dat er daadwerkelijk financiele fraude plaatsvindt.
Eens, het is dan mischien niet 100% veilig, maar vind wel dat het veiliger is als het oplezen van een blaadje... Overigens heeft volgens mij het merendeel zo'n blaadje en maakt dat het probleem al een stuk kleiner.

Ik gebruik zelf de sms codes van ING en vind dit toch zeker 10x zo fijn als die Random Readers. waarom?

Omdat geen reader geen geld.... zo simpel is het.
Daarbij moet je ook nog is 3x een code oplezen en weet ik het wat allemaal het duurt gewoon te lang..

Ing stuurt je DIRECT een sms met 5 cijfers (dacht ik) die vul je in en klaar.. nooit geen last van gehad. Met ABN moet je dus eerst dat kreng van een kastje zoeken (ik zat ooit bij ABN) en vergeet je hem een keer (vakantie) ben je dus zacht gezegd genaaid.

Ook saldo checken kan niet zonder dat kastje, al met al (als je het mij vraagt) erg onhandig en niet meer van deze tijd...

Wil niet zeggen dat ING's methode heilig is maar die Kastjes van ABN en rabo zijn dat al helemaal niet... en bij ING heb je nog de keuze om die sms codes te gebruiken ja of nee, bij ABN niet. ;)
Ja weet je wat pas handig is? Helemaal geen verificatie maar gewoon alleen een wachtwoord om in te loggen.
Weet je wat nóg handiger is? Helemaal geen wachtwoord maar gewoon een hele lijst met rekeningnummers op de website van ING die je kunt aanklikken om geld over te maken.

Helaas is wat "makkelijk" is, niet altijd veilig. Sterker nog, deze staan vaak haaks tegenover elkaar.
gewoon alleen een wachtwoord om in te loggen.
Zou ook geen probleem zijn. Is immers technisch gezien niet echt een vershil met gebruikersnaam+wachtwoord. ING heeft dan wel onlangs PAC codes toegevoegd, maar als je een sterk wachtwoord gebruikt is dat niet nodig (mocht ING zelf de lijst met wachtwoorden lekken hebben zij een probleem).
een hele lijst met rekeningnummers op de website van ING die je kunt aanklikken om geld over te maken.
Zou makkelijk zijn, maar dan weet ING weer niet waar dat geld vandaan moet komen ;) (of het moet al via cookies).

Wel is daaraan gerelateerd een maatregel dat je alleen 'makkelijk' geld over kan maken naar rekeningnummers die je al eerder hebt gebruikt (en daarvoor dius de 'moeilijke' stappen hebt doorlopen). Dan kan malware wel leuk extra geld wegschrijven naar De Persgroep (bijv.), maar tenzij die toevallig ook achter de malware zitten heeft dat niet so bijzonder veel nut.

Natuurlijk is er wel correlatie tussen moeilijk en veilig, maar of de RR en dergelijke nou in de juiste richting is.. ik betwijfel het. ( Neemt niet weg dat TAN-via-SMS als hetzelfde mobieltje gebruikt wordt voor het bankieren zelf zeker niet de juiste richting is. )
Alleen een wachtwoord is NIET genoeg. Een wachtwoord kan namelijk afgekeken, onderschept of geraden worden. Daarom gaan transacties altijd via tweeweg-authenticatie:
1) wat je weet (wachtwoord)
2) wat je hebt (random-reader of telefoonnummer)
Telefoonnummer is op deze manier gewoon niet betrouwbaar omdat het tegenwoordig doodeenvoudig is verkeer naar telefoonnummers te onderscheppen. Een virus op een smartphone is maar één manier, ook het GSM-verkeer uit de lucht ontvangen is tegenwoordig in een handomdraai te doen.
Alleen een wachtwoord is NIET genoeg. Een wachtwoord kan namelijk afgekeken, onderschept of geraden worden. Daarom gaan transacties altijd via tweeweg-authenticatie:
Dat zei ik ook niet. Het citaat ging om inloggen, niet om transacties.

En daarbinnen maakt het technisch gezien niet zo veel uit of je nou 2 velden nl. 'naam' en 'wachtwoord' hebt, of 1 veld 'wachtwoord' zo lang je wachtwoord maar sterk is.
Het wordt een probleem als iemand wachtwoord '12345' gaat gebruiken omdat je dan niet meer de combinatie 'kamiquasi' EN '12345' hoeft te weten. Dat is nu immers vaak een barrière - maak je een nieuw account aan dan kan je niet dezelfde gebruikersnaam als iemand anders gebruiken, maar het wachtwoord mag prima hetzelfde zijn als voor een ander.

Maar met een wachtwoord als 'ymmPYrGWCMF_1W9NKl7uPvUDNzgDJ586' is er een dermate kleine kans dat er andere gebruiker zou zijn met datzelfde wachtwoord (laat staan dat het geraden wordt, en een nog kleinere kans dat het in de praktijd successvol aangevallen zou kunnen worden) dat het wachtwoord prima als ID gebruikt kan worden.

Nogmaals, dit staat dus los van transacties waarbij er altijd een éénmalige, (voor de gebruiker) unieke, code gebruikt moet worden.
zolang het om mijn bankrekening gaat kan geen beveiliging me te goed zijn. noem me ouderwets, maar een onafhankelijk aparaat zonder de mogelijkheid om met internet verbonden te worden is in mijn ogen nog steeds veiliger dan sms/android applicatie (niet gefundeerd, ben geen beveiligingsexpert).
dat bakje gaat dus altijd en overal met me mee. heb ik ook altijd toegang tot mijn rekening...
heeft niks met ouderwets te maken, maar met het principe achter 2-factor authenticatie. Op het moment dat alle gegevens over hetzelfde apparaat komen, is het effectief geen 2-factor authenticatie meer!

De beste malware van de wereld kan niet mijn pasje in mijn randomreader stoppen en mijn pincode uitlezen. Dus dat systeem lijkt mij een stuk veiliger dan een SMS.
Ik hoor van mensen / bekende alleen maar klagen over de RR (random reader) of hoe je dat noemt van andere banken...
Wat voor klachten zijn dit precies?

Vindt het juist wel een goed concept dat je een apart aparaat gebruikt dat nooit met het internet verbonden wordt, en dus ook niet op die manier besmet kan raken.
Ik zit bij ING deels omdat ik geen RR wil. Ik wil geen extra apparaatje hebben, ik wil het gewoon via mijn mobiel kunnen doen.
Je wilt onveilig bankieren?
Ik zou het niet onveilig noemen. Beveiliging enigszins op orde hebben en geen Android foon vol bagger hebben lijkt me voldoende beveiliging voor de grootste gevallen.

[Reactie gewijzigd door Gamebuster op 13 december 2013 10:05]

Ik zit bij ING deels omdat ik geen RR wil. Ik wil geen extra apparaatje hebben, ik wil het gewoon via mijn mobiel kunnen doen.
Ik heb de ABN-Amro uitgekozen specifiek omdat ik WEL een RR als eis had. Gemak dienst de mens, zeggen ze en dat is waar, alleen is de mens soms een hacker die op je geld uit is.

Ik snap overigens die banken niet die aan de ene kans transacties makkelijker te hacken maken middels mobiel-bankieren zonder veel inlog poespas, en aan de andere kant strictere regels gaan opleggen om je geld na een hack terug te kunnen krijgen.
Dat kan met de Rabo ook hoor. Je kunt tot een maximaal bedrag geld overmaken zonder gebruik van de RR via de app. Je kunt dit volgens mij ook uitzetten voor bepaalde tegen rekeningen o.i.d.
Maar dan loop je toch alleen maar meer risico dan met de SMS-methode?
Geen extra verificatie lijkt mij altijd gevaarlijker dan een zwakke verificatie..
Standaard kan je alleen via de app overboeken naar bekende rekeningen. Het is ook mogelijk kleine bedragen helemaal vrij te geven, maar dit moet je explisiet aangeven.

Voor andere rekeningen moet je deze bevestigen met je RR.

Dus iets als belastingen wat je al vaker betaald hebt => werkt zo
Je nieuwe sportclub => RR

[Reactie gewijzigd door hackerhater op 13 december 2013 09:31]

Je moet alsnog inloggen met een code op de App.
De randomreader van ABN werkt alleen maar veilig als je hem NIET aan je computer hangt met usb (waar 'ie wel voor bedoeld is)
http://tweakers.net/nieuw...en-abn-amro-update-2.html
Het is a. Een mogelijkheid om 'm met je PC te verbinden, hoeft zeker niet en b. Dat probleem is allang opgelost.
Dat was al oud nieuws toen het naar buiten kwam. AbnAmro zegt zelf nergens dat het veiliger is om connected te internetbankieren.
Los daarvan sterft connected internetbankieren een langzame dood, het is niet meer van deze tijd om met een kabeltje aan de pc verbonden te zijn. Alles moet snel en mobiel, het zou mij niets verbazen als binnen nu en 3 - 5 jaar de usb mogelijkheid bij AbnAmro komt te vervallen,
en dan via BT of Wifi ofso? Dan gaat de knoopcel batterij wel erg snel leeg niet? Nee, geef mij maar gewoon USB.
En je nooit bij je hebt, geniaal ja..
Heb er zelf niet heel veel last van. Heb zelf Rabobank en de RR is niet aan jou verbonden, maar heeft enkel jou pasje nodig. En als student zijnde is er in elk studentenhuis wel een RR aanwezig. Moeilijker is die van SNS, die zijn persoonsgebonden.
Dat heb je helemaal zelf in de hand, nietwaar.
Ik gebuik liever de papieren lijst, knappe spyware die dat uitleest.

Vraag: bankier je dan ook via je telefoon? De combinatie van bankieren en een sms-ode ontvangen op 1 appararat lijkt mij 'vragen om problemen'. Of het nou is door diefstal of met mallware.
Dit dus. Zelf heb ik ook gewoon m'n eigen TAN lijst in tekst vorm met een bepaalde manier van offsetten (zodat als de ING vraagt om code 100 ik weet dat ik eigenlijk 150 moet hebben, zeg maar) zodat zelfs als de malware m'n TAN lijst uitleest, er 2 dingen gebeuren: 1. De ING komt mij melden dat er verkeerde TAN codes invoerd zijn en ik eens kan kijken hoe er malware op m'n mobiel terecht is gekomen 2. er wordt niks afgeschreven.

2-factor op één apparaat is nauwelijks 2-factor te noemen, en om nou zo'n reader aldoor mee te nemen, of zien te regelen, zorgen dat ik het pasje bij me heb, om nog maar te zwijgen over problematiek als je in het buitenland zit (ja, die dingen gaan bijna nooit stuk, en ja ik heb dan ook nog wel een credit card voor nood, maar voor gewoon internetbankieren heb je wel een probleem.).. nee, doe mij die lijst maar.
En die lijst heb je hardcopy of op je telefoon? Als je een standaard offset gebruikt is dat toch ook niet zo heel moeilijk te achterhalen voor een stukje software? Nu zal het redelijk specifiek zijn en dus nog niet in malware zitten, maargoed als de malware geen transacties uitvoert bij jou en jijzelf wel dan ga je als boefje natuurlijk ook achter je oren krabben.
Als je een standaard offset gebruikt
Nope - ik heb er een systeempje voor; slim stukje malware dat het uit weet te vogelen zonder eerst al door de mand te vallen, dan mogen ze van mij m'n limiet ook wel overschrijven naar hun rekeningnr. ;)

En ja, ik ga er ook van uit dat er geen malware is die het überhaupt zou proberen, aangezien het een stuk makkelijker is om op mensen die gewoon de lijst, de TAN-via-SMS, etc. gebruiken te focusen.
Zowel ABN-AMRO als de ING app op smartphone's hebben geen tan/edentifier code nodig om geld over te maken. Alleen je 5 cijferige pincode. Zowel bij openen als bij transactie bevestigen.

Bij beide kun je tegenwoordig (abn app al langer) (rabo app ken ik niet) zelf een dag limiet instellen. Bij de abn-app kun je alleen naar vertrouwde rekening nummers met de pincode geld naar overmaken, anders heb je alsnog de edentifier nodig. En boven de limiet die je ingesteld hebt ook. Die laatste 2 weet ik niet van hoe de ING app mee omgaat.
Bij de rabo app heb je standaard ook de indentifier nodig voor niet bekende rekeningen.
Waarom wordt er geklaagd over de Random Reader (alleen Rabobank heeft dit afaik)
Dit apparaatje zorgt ervoor dat je fysiek het apparaat, je pas, het gewenste bedrag en random code van de transactie nodig hebt. Zonder een van deze dingen, geen transactie. Lijkt me dus vrij veilig.
ABM-Amro ook, en ik dacht hierboven iets gelezen te hebben dat de SNS er ook een heeft.
Overigens is ook dit niet onfeilbaar.
De random reader zélf is het probleem niet. Malware op de PC wel.
Ik kan je vertellen dat er niks mis is met de random reader van de rabo, gebruik hem al jaren en mensen om mij heen ook, zonder problemen.
Niet zo zeer klagen maar meer het feit dat je dat ding mee moet sjouwen.
Vreemd. Ik heb compleet geen klagen over de E-dentifier van ABN AMRO en voel me bij dat systeem ook echt wel een stuk veiliger dan een vel met tancodes of SMS.
Waarom zou je klagen over de Random Reader?

Het doet ze ding en is volgens mij gewoon veilig.. het enige dat er te klagen valt is dat er misschien meer tijd over heen gaat als via je telefoon.
Ik heb dan weer nooit een probleem gehad met de e.dentifier (de random reader) van de ABN-AMRO, die ik ook al 12 jaar gebruik ofzo.
Ik gebruik al 20 jaar een Challenge/Response-calculator. Zowel bedrijfsmatig als privé. Nooit problemen mee gehad.
Ik gebruik al ~7 jaar ING internet bankieren met sms verificatie, nooit problemen gehad.
Dan zit je goed: als je al 7 jaar geen slachtoffer bent geworden van phishing of andere fraude, dan is het onwaarschijnlijk dat het nu nog gebeurt. De extra veiligheid die een random reader biedt is aan jou dan ook niet besteed.

@Dorank
Natuurlijk kan iemand na zeven jaar alsnog slachtoffer worden. Ik denk dat heel weinig mensen die het aankoemnd jaar slachtoffer van fraude zijn geweest dat eerder hebben meegemaakt.

[Reactie gewijzigd door 84hannes op 12 december 2013 21:03]

Wat een onzin, dat iemand oplet betekent nog niet dat er buiten zijn persoonlijke fout om omstandigheden zijn die ervoor zorgen dat fraude mogelijk is.

Het ING systeem is sinds de introductie in 198x vrijwel ongewijzigd. Toen ik begon met telebankieren bij de Postbank in 1990 vond ik het al eng, maar vergeleken met nu was dat super secure. Ik boote van een aparte set floppies om te telebankieren, het was vrijwel onmogelijk om malware daartussen te krijgen. Tegenwoordig hangt alles aan internet en moet je maar hopen dat je je devices goed beveiligd hebt. Je zou natuurljik van een CD/readonly USB disk kunnen booten om je bankzaken te doen, maar malware kan tegenwoordig op allerlei firmwares in de machine zitten.
Doe mij die random reader maar. Ik woon sinds kort in Denemarken en ben nu 'gezegend' met een velletje met 150 codes - achterhaald concept.
Met de random reader nog nooit een probleem gehad , moet wel zeggen dat ik nooit de USB verbinding gebruik daar dat de meest onveilge methode is..

Papieren code lijsten voor inlog codes zijn een stuk veilger
Nee, je moet proactief werken maar op deze manier kun je elke vorm van 'veiligheid' te grond in boren. Wat nou met die readers? In plaats van dat je een malafiede App moet downloaden word er gezegd dat je je reader naar een post-box moet sturen incl. je pasje. Yay.. weer niet veilig.

Dus of het nu SMS is, of iets anders.. bij zulk soort vergaande middelen (iemand een app laten installeren) is vrijwel niets meer veilig.
Het verschil zit hem in het feit dat de aanvaller jou niet meer nodig heeft bij de side-load app. Dat heeft 'ie wel met een RR challenge of een postbus.
Je bent dan ook niet per definite onveilig enkel als je een smartphone gebruikt, en die Android heeft, en je bij het downloaden van apps buiten de store niet goed oplet wat de rechten zijn (rechten tot je sms valt toch wel op zegmaar :P). Dat laatste doe ik wel (ook uit de store overigens), en imho is het risico daarmee te verwaarlozen.

En dan nog is onduidelijk wat ze precies kunnen met die code als ze ook nog is in moeten loggen oid om er iets mee te kunnen!

Ik heb overigens niet de ing app geinstalleerd, vind ik echt onzin, de website is 10x uitgebreider :)

Daarbij als je niet veel geld op je rekening hebt, heb je ook niet zo veel te verliezen ;)

Dus dat risico neem ik graag voor lief voor het gemak van het niet mee hoeven slepen van een Reader die iedereen om me heen altijd vergeet (in afgelopen 3 jaar zeker 100 keer de vraag gehad of ik een reader heb van rabo of abn)...

[Reactie gewijzigd door watercoolertje op 12 december 2013 16:28]

Zou ik dan snel eens doen, er werkt niets fijner dan de ing app en niets omslachtiger dan de ing website.
maw alleen tweakers hebben hier last van, want de meeste mensen weten niet eens hoe je een apk'tje moet installeren.
Dus Android is niet per definitie onveilig.
Ik dacht exact hetzelfde! In dit geval moet de PC besmet zijn wat ik nog wel mogelijk zie, maar daarnaast moet ook de telefoon besmet zijn door een app die buiten de store om geinstalleerd wordt. Die combinatie is al een heel stuk minder aannemelijk, het kan, maar daar is het voorlopig wel mee gezegd denk ik zo. Naast dat je twee besmette devices hebt moeten deze ook nog op een bepaalde wijze aan elkaar gekoppeld worden.
Naast dat je twee besmette devices hebt moeten deze ook nog op een bepaalde wijze aan elkaar gekoppeld worden.
Wat dacht je van malware die zich op je Adroid aparaat sideload op het moment dat je hem aangesloten hebt op je PC (even bestanden kopieeren via een USB kabel en je bent zo wat extra software rijker). Het zijn wel bijzonder specifieke situaties waarin dit gaat werken. Iemand bij een PIN automaat overvallen gaat denk ik vlotter en geeft potentieel nog een hogere payout ook.
Dat is niet mogelijk zonder bevestiging van de gebruiker, tenzij de gebruiker een complete adb-setup heeft heeft draaien. Die groep is aanzienlijk klein, wat meteen al een enorme beperkende factor is voor het nut van de malware. Verspreiden via illegale besmette apk's van legale apps is aannemelijker, maar dan mis je de koppeling weer. We praten hier meer in termen van 'proof of concept' en 'het kan' dan dat er gevallen in de praktijk zijn, ik heb er in ieder geval nog niet van gehoord.
Met dit rapport/artikel wordt het in ieder geval weer aannemelijker dat een aanvaller dit idee ten uitvoer zal brengen.
offtopic:
laat maar

[Reactie gewijzigd door Aham brahmasmi op 12 december 2013 17:43]

Ik dacht exact hetzelfde! In dit geval moet de PC besmet zijn wat ik nog wel mogelijk zie, maar daarnaast moet ook de telefoon besmet zijn door een app die buiten de store om geïnstalleerd wordt. Die combinatie is al een heel stuk minder aannemelijk, het kan, maar daar is het voorlopig wel mee gezegd denk ik zo. Naast dat je twee besmette devices hebt moeten deze ook nog op een bepaalde wijze aan elkaar gekoppeld worden.
Bovendien zijn er situaties waar het verifiëren middels een sms juist extra veiligheid biedt. Bij een niet besmette telefoon (of bijvoorbeeld een dumbphone) kan de TAN-sms veiligheid bieden omdat de reden voor het opvragen van de code dan vermeld wordt.

Ervan uitgaande dat het systeem met de random reader nog werkt als voorheen, is er ook een code nodig voor het inloggen. Malware is redelijk simpel zo te schrijven dat het doet alsof het wachtwoord verkeerd is ingevuld, terwijl het op de achtergrond inlogt met de door de gebruiker geleverde code. De gebruiker vult zijn wachtwoord en een nieuwe code nogmaals in, en die kun je vervolgens gebruiken om een in de tussentijd gereedgemaakte transactie te verifiëren. Daar gaan je centen.

Het is altijd goed om je bezig te houden met beveiliging, en altijd maar achter de feiten aan lopen wil je ook niet, maar dit is gewoon een halve waarheid. Het komt er gewoon op neer dat internetbankieren op een gecompromitteerd systeem erg onveilig is, en dat je daarom de juiste hoeveelheid aandacht moet schenken aan het voorkomen van een besmetting.
Bij de rabo RR (rest weet ik niet) werkt dat niet. Je hebt verschillende knoppen voor inloggen (I) en bevestigen (S). De 2 codes zijn niet compatible met elkaar.

Met een 2e inlog code kan je verder niks.
Je hoort ook nog vaak iets van slachtoffers. Je hoort alleen dat er slachtoffers zijn, de meeste weten niet eens hoe ze slachtoffer geworden zijn. De banken hangen het ook niet aan de grote klok dus zul je er daar ook niet over horen.

Het artikel noemt specifiek voorbeelden van malware dus is die er en wordt deze ook gebruikt. Of die malware succesvol is, zal moeilijk te meten zijn.
Ben toch wel benieuwd wat er gebeurt wanneer een klant hier een melding van maakt. Zal de schuld dan bij de klant liggen waardoor hij zijn recht op refund verliest?
Zelf had ik ook zo mijn twijfels om de verificatie van een betaling via de mobiele telefoon te laten verlopen. Blij dat ik nog met de oude papieren TAN codes werk, dat ga ik lekker zo houden.
Banken doen er alles aan om zo iets geheim te houden. Banken zijn ontzettend afhankelijk van vertrouwen. Als men het vertrouwen in de veiligheid van een bank verliest dan gaat het heel snel fout.
Ik kan me dus voorstellen dat de bank aan slachtoffers vertelt dat ze het geheim moeten. Als daar tegenover staat dat de bank de schade vergoedt denk ik dat velen dat zullen accepteert.
Erg leuk dit...net vanavond ben ik dus het bokje. Inlogscherm van ing met ing https roept dat ik "de certificaat" ja echt de certificaat van ing moet installeren. Fijn kan ik weer mijn pc gaan uitpluizen op enge dingen.
Vriend van me is het overkomen en ik zelf heb ook tal van virussen gehad op android. Hier zal de gemiddelde gebruiker niet merken omdat die niet verder komt dan een virus scanner maar ik ben al twee jaar overgestapt op een iphone waar dit probleem aanzienlijk minder is. Een open systeem is voor 0,01% van de bevolking leuk de rest doet er toch vrij weinig mee, dus geef mij maar een meer gesloten systeem wat wel veilig is voor virussen etc.
Sorry hoor maar wat een BS. Als je met een Android telefoon meerdere malen bent geinfecteerd, dan heb je dat zelf opgezocht. Custum Rommutjuh, aapeekaatjes geinstalleerd buiten de store om?
Android is net als met de iPhone gewoon veilig. Ja je kan buiten de store om maar dan geef je zelf die veiligheid op. Je krijgt zeker een waarschuwing als je dat probeert, kies je ervoor het toch te doen ben je zelf verantwoordelijk, dus is je beschuldigende vingertje naar Android niet gepast.
Je kan ook een iPhone jailbreaken met alle gevolgen van dien.
Ik ook niet maar de SMS komt in elk geval vaak niet aan. Ik probeer al een uur een bedrag van 39 euro over te maken maar de SMS met de TAN komt maar niet binnen. Als dat niet lukt kan je een verzoek doen op het op een andere manier te doen, je wordt dan automatisch teruggebeld. Ook dat werkt niet. Ik heb het het afgelopen uur nu 3x met beiden geprobeerd, maar zonder resultaat. Om het normale klantenservicenummer te bellen vertik ik, daar is het 'drukker dan u normaal gewend bent' en ik betaal voor internetbankieren dus dan ga ik ervan uit dat het werkt. Nou, morgen dan maar een nieuwe poging wagen.

Maar ik heb inderdaad veel liever een calculator!
Ondanks drie keer lezen snap ik niet hoe dit zou moeten werken. Zolang ik bij (in dit geval) ING het 'slotje' op de mijning.nl pagina zie staan, is de betreffende site voor zover ik weet veilig.

Hoe moet dit precies werken? Hoeveel domme dingen moet ik doen (random software installeren is al zeer dom) om hier in te tuinen?
Inderdaad ergerlijk dat er altijd moord en brand geschreeuwd wordt over hoe onveilig bepaalde methodes zijn, maar dat er zelden tot nooit een praktijkvoorbeeld gegeven wordt van hoe de zwakte van een bepaalde authenticatiemethode benut kan worden. Op deze manier worden gebruikers onnodig bang gemaakt.
Uh, heb je de PDF gelezen? Daar staat toch zeer precies in hoe dat in de praktijk werkt.

Ik denk zeker niet dat dit onnodig bang maken is. Het systeem is bewezen onveilig en er zijn kits op de markt die deze onveiligheid benutten. Hoeveel meer wil je hebben om bang te worden? Je eigen rekening leeg zien lopen?
stap 1: infecteer windows pc met malware
stap 2: imiteer de ing website incl slotje (dat wordt al lastig om dat goed te laten gaan, maar het kan)
stap3: net nadat er op "betalen" is gedrukt wordt er gemeld dat er een app geinstalleerd moet worden incl een mooie qr code oid om het te kunnen installeren.
stap4: de betaling naar ing wordt nu ingediend door de pcmalware
stap5: malware op telefoon onderschept smsje en past deze, volgens de malware op de pc aan (hoe, dunno precies)
stap6: profit..
stap 1: infecteer windows pc met malware
stap 2: imiteer de ing website incl slotje (dat wordt al lastig om dat goed te laten gaan, maar het kan)
Als de malware op de PC staat is dat helemaal niet moeilijk maar juist erg eenvoudig.
Ondanks drie keer lezen snap ik niet hoe dit zou moeten werken. Zolang ik bij (in dit geval) ING het 'slotje' op de mijning.nl pagina zie staan, is de betreffende site voor zover ik weet veilig.

Hoe moet dit precies werken? Hoeveel domme dingen moet ik doen (random software installeren is al zeer dom) om hier in te tuinen?
dat slotje zegt alleen maar dat de pagina die geladen is van de server van ing komt TENZIJ het certificaat van ing gestolen is (valse certificaten zijn al een paar keer ontdekt de laatste paar jaar, bv diginotar debakel).
Het slotje zegt je niet dat malware niet hetgene heeft veranderd -dat je ziet- op je scherm. Je kan dus gemanipuleerd worden.

Je logt dus in op de ING site. Malware op je PC injecteert die pagina en zegt dat je een 'ing tool' moet downloaden naar je telefoon.
Malware op je smartphone kan Vervolgens je TAN code sms onderscheppen, via bv een IRC server naar je PC sturen en die heeft dan inmiddels je inloggegevens en TAN code en zal zonder dat je het ziet je bankrekening leeghalen.

ING volgt dan vervolgens de nieuwe bankregels en stelt dat je moet bewijzen dat je PC en telefoon up to date, schoon en veilig waren. Dat kan je niet want je bent immers gehackt en de bank vergoed niets.
Daar sta je dan/
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True