Kwart Nederlanders bankiert via telefoon

Een kwart van de Nederlanders bankiert via de telefoon. Dat claimt de Nederlandsche Bank op basis van eigen onderzoek. Daarmee is er een minderheid van de Nederlandse smartphonebezitters die gebruikmaakt van de apps van banken om het saldo te bekijken en overboekingen te doen.

Volgens de recentste cijfers van GfK heeft ongeveer 70 procent van de Nederlanders een smartphone in bezit. Omdat die apps ook voor tablets beschikbaar zijn, ligt het percentage dat een app voor bankieren kan installeren vermoedelijk nog iets hoger. Dat zou impliceren dat minder dan 35 procent van de mensen die een smartphone heeft, hem gebruikt voor mobiel bankieren.

De Nederlandsche Bank gaat niet in op de reden waarom een meerderheid van de smartphone- en tabletbezitters ervoor kiest om niet mobiel te bankieren. Klanten van banken die de apps wel hebben, gebruiken die minstens een keer per week, zo claimt de DNB. De details over het onderzoek, zoals het aantal en de verdeling van respondenten en de vraagstelling, zijn niet gepubliceerd door de bank.

Reacties (164)

segil 21 augustus 2014 11:25

Vinden jullie het veilig genoeg om via je smartphone te bankieren? Ik gebruik Triodos bank, en vind het idee van de beveiliging via een wachtwoord/pincode niet echt veilig klinken. Ik kan mij voorstellen dat malware op mijn smartphone makkelijk de code kan onderscheppen en vanaf mijn phone zelf transacties kan uitvoeren. Wat vinden jullie? Ik heb hierover contact gehad met de Triodos bank, maar zij zeggen dat het veilig genoeg is en zien geen gevaar in deze constructie.

Auteur

arnoudwokke Redacteur Tweakers @segil • 21 augustus 2014 11:36

k kan mij voorstellen dat malware op mijn smartphone makkelijk de code kan onderscheppen en vanaf mijn phone zelf transacties kan uitvoeren

Ik vermoed dat bankieren via een app veiliger is dan via de browser. Immers: een browser is gemaakt om ssl-certificaten te accepteren van alle sites (zodat je ook Gmail kunt gebruiken, of bij een webshop kunt bestellen, of bij Tweakers kunt inloggen). Bankieren-apps kunnen echter maar een certificaat accepteren en dat is die van de bank zelf. Dat maakt een mitm-aanval moeilijker.

Het systeem van login met wachtwoord is inderdaad niet de meest veilige optie. Wie het wachtwoord heeft, kan inloggen. Banken denken wel na over betere beveiliging zonder dat het gebruiksgemak in de weg staat.

segil @arnoudwokke • 21 augustus 2014 12:30

Bestaat de kans dat malware de pincode onderschept en via de bankieren app zelf gaat inloggen en bankieren? Of is het onmogelijk om een bankieren app te bedienen buiten de app om?
En zou het mogelijk dat de malware maken zelf een app schrijft die inlogt bij de bank met mijn pincode (en andere gegevens die wellicht uit de bankieren app gehaald kunnen worden) en vervolgens creatief mijn rekening gaat omvormen?

Auteur

arnoudwokke Redacteur Tweakers @segil • 21 augustus 2014 12:34

De scenario's die jij schetst heb ik in elk geval nog nooit gezien - en dat terwijl er met bankier-apps zoveel op het spel staat dat malwaremakers daar veel tijd, geld en energie in stoppen.

De beste methode tot nu toe is het onderscheppen van sms'jes met tancodes, maar het bankieren zelf gaat dan via een browser. Ik weet niet of bij ING de login in de browser en in de app gelijk is; bij de banken waar ik zit hebben die twee niets met elkaar te maken.

434365 @segil • 21 augustus 2014 11:52

Ik vind het niet veilig genoeg, hoewel arnoudwokke zeker een punt heeft over de certificaten, blijft het feit dat de gemiddelde mobiel vandaag de dag echt niet als veilig bestempeld kan worden, en ik zou het je dan ook willen afraden dit soort apps te gaan gebruiken.

Uiteindelijk haal je er toch nauwelijks 'winst' uit, in vergelijking met een pinpas of contant geld, de kans dat je geld gestolen word is met een mobiele app gelijk, zo niet groter, en het is alleen maar nog een reden waarom je je telefoon echt niet kwijt mag raken, want (code nodig of niet) dan heb je een probleem, criminelen zitten ook niet stil, er zijn al genoeg zaken geweest waarin poolse bendes etc (waar je, met alle respect, niet echt technische hoogstandjes van zou verwachten?) telefoons bankpassen etc kraken, dus zon code is alleen maar schijn beveiliging.

ignitem @segil • 21 augustus 2014 11:52

Betalingen via de App zijn beperkt tot een bepaald bedrag per dag (€750 bij Triodos), waarmee de bank het risico op fraude indekt. Hetzelfde principe hanteren ze bij contactloos betalen.

Overigens ligt de bewijslast bij misbruik toch vaak bij de klant. Hoe bewijs je dat je telefoon is gehackt en je niet zelf je pincode hebt afgegeven?

Stef87 @segil • 21 augustus 2014 11:37

Ik gebruik het vrij veel, bij De ING app moet je voor de app opent een aangemaakt 5cijferige code invoeren en nogmaals bij overboekingen. Je telefoon heeft een codeslot en vaak kan je je telefoon op afstand wissen! Een pinpas is onveiliger in mijn ogen.

cees62 21 augustus 2014 11:27

Wat als een slechterik mijn smartphone in handen krijgt (of de zaklamp-app mijn bankgegevens steelt), ben ik dan ook mijn geld kwijt? Ik durf de app niet eens te proberen.

robin1301 @cees62 • 21 augustus 2014 11:41

De ING bank, waar ik klant van ben, stelt in haar voorwaarden dat je een redelijke beveiliging op je toestel moet hebben zoals een pincode. Dat zorgt alvast voor de eerste vertraging bij kwaadwillenden. Verder heeft ieder mobiel OS de mogelijkheid om op afstand je toestel te wipen.

ibson @cees62 • 21 augustus 2014 11:28

Wat als iemand je portemonnee steelt? Wat als iemand op jouw netwerk zit te sniffen? Het is in principe allemaal 1 pot nat.

434365 @ibson • 21 augustus 2014 11:47

Er is nogal een verschil tussen zelf kiezen om iets te installeren waardoor je eventueel al je geld kwijt raakt, of dat je (ongewild en zonder er controle over te hebben) gerold word.

Kwestie van vooruit denken, ik snap cees62 wel, "better safe then sorry" is een goede manier van omgaan met de digitale wereld van vandaag de dag.

Stef87 @cees62 • 21 augustus 2014 11:34

Er zit bij de ING een 5 cijferig code-slot op de app, die je nogmaal moet invoeren bij overboeking :-) werkt perfect!

Stef87 @Stef87 • 21 augustus 2014 11:35

En dan ook nog de eventuele code-sloten op je GSM. Tevens kan je op afstand je iphone wissen.

434365 @Stef87 • 21 augustus 2014 11:45

Maarja, een app kan ook gewoon je toetsenbord uitlezen...

Niet dat dit op een desktop machine niet kan, maar daar is over het algemeen de beveiliging een paar stappen verder dan op mobiel, feit is dat mobieltjes nog steeds super onveilig zijn, zelfs met van die (neppe) antivirus apps.

DCK @434365 • 21 augustus 2014 12:59

Maarja, een app kan ook gewoon je toetsenbord uitlezen...

De betreffende app van ING heeft daar rekening mee gehouden en gebruikt hun eigen UI voor het invoeren van de code.

434365 @DCK • 21 augustus 2014 16:27

Ah daar was ik niet van op de hoogte, das wel een slimme zet ja

Stef87 @DCK • 21 augustus 2014 17:14

Inderdaad ! Ha ik nog niet vermeld.

Dahley 21 augustus 2014 11:21

Ik denk eerlijk gezegd dat de reden gewoon is omdat mensen het niet veilig vinden. Net zoals ik, maar ik doe het alsnog want het is gewoon lekker makkelijk.

Fluks @Dahley • 21 augustus 2014 11:53

Het is eerder dat mensen denken dat het niet veilig is. Een telefoon voelt voor velen veel minder veilig dan een PC. Het tegenovergestelde is echter waar:
https://www.security.nl/p...el+veiliger+dan+via+PC%3F
http://www.elsevier.nl/Te...iger-dan-met-pc-1324147W/

Bij PCs is Windows dominant en daardoor een makkelijk (te kiezen) doelwit voor kwaadwillenden. SmartPhones zijn veel meer divers en bovendien worden de apps vaak ook nog gecontroleerd voordat ze openbaar beschikbaar worden.

Ik merk zelf dat ik meer en meer gebruik maak van de app. Om snel bedragen over te maken naar vrienden, of puur om mijn saldo te checken.

Anoniem: 112442 @Fluks • 21 augustus 2014 12:33

Het is eerder dat mensen denken dat het niet veilig is. Een telefoon voelt voor velen veel minder veilig dan een PC. Het tegenovergestelde is echter waar:
https://www.security.nl/p...el+veiliger+dan+via+PC%3F
http://www.elsevier.nl/Te...iger-dan-met-pc-1324147W/

Bij PCs is Windows dominant en daardoor een makkelijk (te kiezen) doelwit voor kwaadwillenden. SmartPhones zijn veel meer divers en bovendien worden de apps vaak ook nog gecontroleerd voordat ze openbaar beschikbaar worden.

Ik merk zelf dat ik meer en meer gebruik maak van de app. Om snel bedragen over te maken naar vrienden, of puur om mijn saldo te checken.

Het artikel van security.nl is basieerd op een cnet artikel (ook in het artikel zelf).
Dar kun je veelal standaard via een username/password transacties doen.
In Nederland wordt via de browser nog steeds de random reader etc gebruikt. Deze is bij de mobile app overboord gegooid.

Tevens gaan beide artikels niet in op het update beleid van mobile devices. Dat er geen tussentijdse security fixes zijn en dat devices maar beperkt ondersteund worden met firmware updates.

Deze regel uit het Elzevier artikel vind ik grappig.

Hoewel zij er regelmatig in slagen om met behulp van kwaadaardige software geld te stelen bij internetbankieren per pc, is het ze nog niet gelukt om dat bij mobiele apps te doen.

Veel minder mensen doen transacties via de telefoon en ook veel korter bestaat.
De banken zijn druk bezig deze apps te pushen, hoe sneller en gemakkelijker mensen geld kunnen uitgeven zonder overdenken hoe beter. Daarom zullen de banken dit niet aan de grote klok hangen. IMO het zelfde beleid als met credit card fraude. Blijf een onveilig medium gebruiken en betaal de fraude maar want dat is gemakkelijker.

Ik trek beide artikels flink in twijfel, missen sowieso onderbouwing.

DCK @Anoniem: 112442 • 21 augustus 2014 12:50

Ik vind echter dat jij flink wat onderbouwing mist om die artikels zodanig in twijfel te brengen.

Een aantal punten:

Je stelt zonder onderbouwing dat banken informatie achterhouden over mobiele fraude, terwijl ze voor de rest volslagen transparant zijn over internetbankieren en allerlei dingen melden over creditcardfraude.
Mobiel bankieren kan in Nederland al meer dan drie jaar bij de grote banken.
De "applicatie" van internetbankieren wordt elke keer dat jij de website inlaadt opnieuw gedownload, de "applicatie" van mobiel bankieren wordt periodiek geupdate van een geverifieerde bron.
Het is bijna onmogelijk om phishing toe te passen in de context van een mobiele app.
Je gaat voorbij aan het feit dat een random reader kan vervangen worden door een opgeslagen sleutel op je apparaat, en dat mobiele apps extra beperkingen hebben op transacties.
Er geen enkele rapportage is geweest de afgelopen jaren, niet van technisch of consumentenperspectief, over mobiele fraude. Niet eens 'gedupeerde' klanten die zich uitspreken. Hoe zit dat met internetbankieren?

Het is goed om skeptisch te zijn, maar in dit geval is er geen enkel bewijs dat mobiel bankieren onveilig zou zijn. Zeker niet in vergelijking met internetbankieren.

Anoniem: 112442 @DCK • 21 augustus 2014 14:07

Ik vind echter dat jij flink wat onderbouwing mist om die artikels zodanig in twijfel te brengen.

Een aantal punten:

Je stelt zonder onderbouwing dat banken informatie achterhouden over mobiele fraude, terwijl ze voor de rest volslagen transparant zijn over internetbankieren en allerlei dingen melden over creditcardfraude.

Dat is mijn mening, mede omdat de banken het zo hard pushen, en zelfs de security level verlagen.
nieuws: Rabobank-app kan nu betalen zonder Random Reader

Denk ook aan zaken als nfc betaling die IMO nog niet eens het security niveau van een chipknip heeft.

.Mobiel bankieren kan in Nederland al meer dan drie jaar bij de grote banken.

Maar pas sinds bijna een jaar bij de Rabobank zonder random reader.
nieuws: Rabobank-app kan nu betalen zonder Random Reader

.De "applicatie" van internetbankieren wordt elke keer dat jij de website inlaadt opnieuw gedownload, de "applicatie" van mobiel bankieren wordt periodiek geupdate van een geverifieerde bron.

De applicatie kan veilig zijn, het device waar het op draait is buiten de verlaagde veiligheid het probleem. Geen en late security updates via firmware en devices die niet meer ondersteund worden maar wel nog gebruikt.

Het is bijna onmogelijk om phishing toe te passen in de context van een mobiele app.
Je gaat voorbij aan het feit dat een random reader kan vervangen worden door een opgeslagen sleutel op je apparaat, en dat mobiele apps extra beperkingen hebben op transacties.

Zie bijvoorbeeld deze Android bug t.a.v. een sleutel:
nieuws: Bug in Android laat kwaadwillenden authenticatie-gegevens stelen
Als je via een hack het device kan overnemen kun je doen net alsof je iemand bent.
nieuws: Lockscreen iOS 7 blijkt eenvoudig te omzeilen
Zo even snel gezocht.

Er geen enkele rapportage is geweest de afgelopen jaren, niet van technisch of consumentenperspectief, over mobiele fraude. Niet eens 'gedupeerde' klanten die zich uitspreken. Hoe zit dat met internetbankieren?

De meeste klanten zijn blij als ze hun geld terug krijgen, ze zullen dat niet aan de grote klok hangen.
Voor de Bank zijn de belangen van een mobile banking app IMO erg groot.

Het is goed om skeptisch te zijn, maar in dit geval is er geen enkel bewijs dat mobiel bankieren onveilig zou zijn. Zeker niet in vergelijking met internetbankieren.

Wel zie boven, beveiliging van device en de verlaagde securiy level van authenticatie.

[Reactie gewijzigd door Anoniem: 112442 op 23 juli 2024 13:12]

DCK @Anoniem: 112442 • 21 augustus 2014 14:17

Voor de Bank zijn de belangen van een mobile banking app IMO erg groot.

Want? Wat is het verschil tussen mobiel bankieren en respectievelijk internetbankieren en credit cards? Waarom zouden ze bij het ene verzwijgen en redelijk vrijelijk praten over fraude bij de anderen? En zelfs als ze het zouden doen, denk je dat de Autoriteit Financiele Markten niet let op dit soort hypothetische selectieve doofpotten?

Uberhaupt, wat is de logica? "Ik denk dat bankierapps onveilig zijn" => "Hmm, ik kan geen bewijs vinden dat er fraude is" => "Het moet wel in een doofpot gestopt zijn". Waarom niet "Ik denk dat bankierapps onveilig zijn" => "Hmm, ik kan geen bewijs vinden dat er fraude is" => "Misschien zijn ze niet zo onveilig als ik dacht" ?

Wel zie boven, beveiliging van device en de verlaagde securiy level van authenticatie.

1. Dat is geen bewijs dat mobiel bankieren daadwerkelijk onveiliger is, dat zijn aannames en speculatie.
2. Het is de vraag of aannames wel juist zijn. De "beveiliging van device" is moeilijk te kwantificeren, maar het is duidelijk dat devices waarop apps doorgaans alleen uit geverifieerde app stores komen, minder vaak schadelijke software draaien. Het security level van authenticatie is ook moeilijk te kwantificeren, maar je kunt met deze lichtere authenticatie in de meeste mobiele apps ook simpelweg niet zoveel als je met internetbankieren zou kunnen.
3. Bewijs zou zijn: rapporten van fraude met mobiel betalen. Met cijfers over bedragen en het aantal incidenten. Zelfs als die niet bestaan, daag ik je uit zelfs maar één verhaal van een klant te vinden in Nederland die het slachtoffer is geworden van fraude met een mobiele app.

EDIT: Ik zie dat je in een edit er een hele hoop speculatie hebt bijgehaald. Het is prima om de aandacht te vestigen op mobiele security. Maar je moet wel eerst aantonen dat het ook praktisch mogelijk is om de theoretische zwakheden die je er bijhaalt te exploiteren.

Geef mij maar het rapport van een security-onderzoeker (of wie dan ook) die de afgelopen drie jaar een stuk malware of andersoortige aanval voor een mobiel bankieren-app beschrijft. Of schrijf dat stuk malware zelf. Of geef mij bewijs dat er ook maar één iemand van dergelijke fraude slachtoffer is geworden.

Zolang je dat niet kunt leveren, heb je geen enkel bewijs voor dat je speculatie gegrond is en dat mobiel bankieren onveilig is. En zelfs op basis van speculatie alleen valt nog steeds te beargumenteren dat mobiel bankieren veiliger is dan internetbankieren.

Nogmaals: ik geloof niet dat mobiel bankieren de heilige graal is, of dat er nooit fraude bij zal komen. Maar het lijkt er wel op dat mobiel bankieren de veiligste optie van thuisbankieren is op dit moment. Er wordt in dit topic veel angst geuit ten opzichte van mobiel bankieren en mensen zelfs aangeraden om te gaan internetbankieren uit veiligheidsoogpunt. Dat laatste is enorme onzin.

[Reactie gewijzigd door DCK op 23 juli 2024 13:12]

Anoniem: 112442 @DCK • 22 augustus 2014 12:31

Want? Wat is het verschil tussen mobiel bankieren en respectievelijk internetbankieren en credit cards?

Credit cards zijn al wijdverbreid, c.q. er is geen weg terug voor dit onveilige systeem, terwijl internet bankieren nog in zijn kinderschoenen staat. Negatief nieuws over mobiel bankieren kan de doodsteek zijn voor het product.

Geef mij maar het rapport van een security-onderzoeker (of wie dan ook) die de afgelopen drie jaar een stuk malware of andersoortige aanval voor een mobiel bankieren-app beschrijft. Of schrijf dat stuk malware zelf. Of geef mij bewijs dat er ook maar één iemand van dergelijke fraude slachtoffer is geworden.

Ik vind het wel grappig dat je om allerlei bewijs vraagt, terwijl je zelf alleen maar lappen tekst schrijft zonder enig bewijs of links.

Hie heb je wat links, ook met meningen van banken zelf.
Bescherming tegen fraude bij mobiel bankieren
Lek in Mobiel Bankieren app van ING
Banken bewust van risico's mobiel bankieren

Twee-factor authenticatie
Sommige critici vinden het storend dat de smartphone apps geen twee-factor authenticatie gebruiken. Een extra apparaatje om een code te genereren om vervolgens op de smartphone in te voeren, is volgens Samson niet erg praktisch en gebruiksvriendelijk. De schade die potentieel met de huidige banking apps kan worden aangericht valt volgens hem mee en zou een maatregel zijn om grootschalige fraude tegen te gaan. "Het lukt me niet als ik iemands telefoon jat om zijn volledige saldo in ene naar Rusland over te maken."

Samson merkt op dat ook banken tegenstrijdige belangen hebben. "Er zijn commerciële mensen en er zijn beveiligingsmannen. Je moet uitkijken dat er niet onder een veel lager beveiligingsniveau alle functionaliteit van internetbankieren plotseling ook mobiel kan. Dat iemand mijn hele spaarrekening naar een privérekening kan leegtrekken, en vervolgens naar een willekeurig adres in Nederland kan overboeken met alleen een wachtwoord. Dat is niet de bedoeling en ik denk ook niet dat dat gaat gebeuren."

Britse toezichthouder onderzoekt risico´s mobiel bankieren

Malware

Een van de populairste manieren om mobiel te bankieren is het gebruik van een speciale bank app. Dit biedt gebruiksgemak, maar het kan ook leiden tot malware, waarschuwen de onderzoekers. "Dit kan gebeuren als een consument een applicatie downloadt die van een legitieme aanbieder afkomstig lijkt, maar eigenlijk malware is, ontwikkeld om gevoelige financiële gegevens te stelen."

Mobiel bankieren
Ik schrik heel erg van de Limieten van geld dat je kunt overmaken met alleen maar een password. Zeker van de ING.

En kun je bij de meeste banken alleen naar bekende rekeningnummers (rekeningen waarnaar je in de afgelopen periode al eens geld hebt overgeboekt of die in je adresboek staan) overboeken. Alleen bij ING (standaard €1000 per dag, te verhogen tot €5000), Knab (max €250 per dag) en Rabobank kun je (max €250) kun je naar alle Nederlandse rekeningnummers geld overboeken met alleen je mobiele pincode.

[Reactie gewijzigd door Anoniem: 112442 op 23 juli 2024 13:12]

DCK @Anoniem: 112442 • 22 augustus 2014 13:02

Ik hoef ook niks te bewijzen. Jij claimt dat mobiel bankieren onveilig is - ik zeg dat je daar geen bewijs voor hebt. En dat heb je nog steeds niet gedemonstreerd. Je hebt nog steeds niks verteld over een aanval die mensen die mobiel bankieren geld heeft gekost. Alleen dat mensen bezig zijn met nadenken over de veiligheid ervan (en gelukkig!).

[Reactie gewijzigd door DCK op 23 juli 2024 13:12]

Anoniem: 112442 @DCK • 22 augustus 2014 14:25

Ik hoef ook niks te bewijzen. Jij claimt dat mobiel bankieren onveilig is - ik zeg dat je daar geen bewijs voor hebt. En dat heb je nog steeds niet gedemonstreerd. Je hebt nog steeds niks verteld over een aanval die mensen die mobiel bankieren geld heeft gekost.

Hoezo niets te bewijzen? Kom even met bewijs c.q. onderbouwing voor de volgende opmerkingen uit vorige posts.

Maar het lijkt er wel op dat mobiel bankieren de veiligste optie van thuisbankieren is op dit moment.

Puur gebaseerd op dat je nog geen slachtoffer kent? De security specialisten weten wel beter, zie mijn eerdere posts.
De mechanismen in internet bankieren zijn veel volwassener dat die van bankieren via de mobiel.
Random reader tov Username Password (alleen ING gebruikt nog TAN at IMO ook onveilig is).
Het volgende is verbeterd door de tijd.
Er moet nu het bedrag ingevuld worden op de randomreader.
Er zou eigenlijk ook het rekeningnummer ingevuld moeten worden op de randomreader t.a.v. dit lek.

Alleen dat mensen bezig zijn met nadenken over de veiligheid ervan (en gelukkig!).

Nee ze zijn het beveiligingsniveau aan het verlagen. Door transacties met alleen username en password toe te staan, tot wel € 5000,- per dag bij ING.

Dahley @Fluks • 21 augustus 2014 11:59

Inderdaad, en ik vind het zelf niet veel onveiliger voelen dan een pc. Alhoewel ik het nooit zou doen op een openbaar wifi netwerk zoals in de trein. (met mijn smartphone dan)

DCK @Dahley • 21 augustus 2014 12:24

Je kunt via een onvertrouwd netwerk inderdaad beter niet internetbankieren, want dat kan je geld kosten. Terecht.

Maar het slechtste wat er kan gebeuren als je dat met een mobiele app doet is dat het je niet lukt om geld over te maken. Ook op onvertrouwde netwerken. Het gebruik van een geinstalleerde applicatie is gewoon veiliger dan het inladen van een webapplicatie.

Mars4i @Fluks • 21 augustus 2014 12:46

Die diversiteit kan ook een nadeel zijn. De banken moeten dus meerdere apps maken voor een grote diversiteit aan OS'en die draaien op vele verschillende hardware. Ze moeten daar allemaal de beveiliging voor uitzoeken en testen. Daar kan dus makkelijker een fout in kruipen. Alleen zoals je al aangeeft, moeten criminelen hun aandacht ook enorm verdelen.

Anoniem: 195390 21 augustus 2014 11:21

gewoon ouderwets via de computer en alleen via netwerk kabel omdat ik wifi niet vertrouw.

AmbroosV @Anoniem: 195390 • 21 augustus 2014 11:47

Ook overdreven. Een geldige veilige HTTPS over je eigen verbinding over WPA2 met AES (bijna zeker het geval) is even veilig als diezelfde HTTPS over een kabel.

Je moet bij momenten ook een beetje vertrouwen in technologie hebben, anders blijf je eindeloos achterlopen.

Anoniem: 415735 @AmbroosV • 21 augustus 2014 12:56

Je mag wel even iets specifieker zijn met je claims.
1) WPA2 is niet immuun tegen ARP-poisoning.
2) MITM is mogelijk bij HTTPS.

Feit blijft, bij een kabel is fysieke toegang een criterium en bij WiFi niet.

AmbroosV @Anoniem: 415735 • 21 augustus 2014 13:02

Zolang het certificaat van de HTTPS-verbinding klopt voor het domein en is uitgereikt door een globaal vertrouwde instantie kan je er vrij zeker van zijn dat je veilig bent. Zelfs op een openbare WiFi-hotspot.

Anoniem: 415735 @AmbroosV • 21 augustus 2014 13:46

Vrij zeker inderdaad, mits de originele request een https is. In de praktijk wordt veelal HSTS gebruikt voor het opzetten van de HTTPS-verbinding. HSTS is onder bepaalde omstandigheden kwetsbaar (lees: TLS 1.0).

Dahley @Anoniem: 195390 • 21 augustus 2014 11:22

Dit dus.

Opteronx4 21 augustus 2014 11:34

Bij ing tan code ook via mobiel, niet echt slim dus

Stef87 @Opteronx4 • 21 augustus 2014 11:38

Bij mijn ING app ip de mobiel gebruik ik echt geen tan-codes! Alleen een 5cijferig codeslot, het slot op de telefoon én ik kan de telefoon op afstand wissen. Veiliger dan mijn "skimmable" pinpas

eca @Stef87 • 21 augustus 2014 11:47

Helaas is de limiet 5000 euro!!!

Zogenaamd kun je een lagere limiet instellen, maar die kun je via de app met dezelfde 5-cijferige code verhogen. O ja: je kunt ook nog bij je spaarrekeningen om die ongelimiteerd naar je betaalrekening over te maken.

Meeste mensen hebben kun telefoon zo ingesteld dat je niet elke seconde hem moet unlocken, dus alleen je 5-cijferige code is je bescherming:

1) iemand ziet je 5-cijferige code
2) telefoon wordt daarna gerold, telefoon lock is dus zelden al actief
3) limiet wordt vehoogd. duurt geloof ik 15 minuten voor verwerken, dus even spelletje spelen zodat de telefoon niet locked ;-)
4) spaarrekeningen eventueel overgemaakt naar betaalrekening als er geen 5000 op staat
5) 5000 overmaken naar willekeurige rekening in binnen of buitenland
6) volgende dag weer proberen mocht de eigenaar alles nog niet hebben geblokkeerd

Mijn pinpas heeft een limiet die ik niet bij een betaal/geld automaat kan wijzigen, dus het risico bij een afgekeken pincode is veel lager dan het risico bij een afgekeken 5-cijferige mobiele code.

Stef87 @eca • 21 augustus 2014 17:10

Mijn telefoon heeft gewoon altijd een lock, mocht je een iphone 5s hebben dan is het met je vingerafdruk. Overigens mobiel bankier ik nooit waar iemand anders over mijn schouder mee kan kijken.
Ik ken ook (nog) niemand die ooit via zijn telefoon-app bestolen is maar wel genoeg mensen waarbij de pas geblokkeerd was ivm skimming =)
De app zou ik niet willen missen.

Dubbeldrank

@Opteronx4 • 21 augustus 2014 11:41

De app is vergrendeld met een code, en voor de mobiele app heb je geen tancodes nodig. Verlies je het toestel of is hij gestolen, dan kan je via Mijn ING de app blokkeren. Niets aan de hand dus.

frankwopereis @Anoniem: 398486 • 21 augustus 2014 11:22

Een BlackBerry is ook gewoon een smartphone

Het is inderdaad makkelijk om even iets snel over te maken, en daarbij heb ik ook het idee dat het veiliger is; daar waar er op de computer altijd wel iets is met valse URL's, hackers etc. Wil niet zeggen dat dat met een telefoon niet kan, maar ik acht die kans kleiner.

mashell @frankwopereis • 21 augustus 2014 12:44

Ik heb juist het idee dat het onveiliger is. Overboeken zonder random reader achtige dingen is al een bron van vermindere veiligheid maar juist omdat de smartphone platformen nogal onvolwassen zijn, vaak lastig of zelfs niet te updaten en inherent onveilige onderdelen bevatten (bijvoorbeeld Android met z'n java), ook is binnen te telefoon eigenlijk alle data vaak gewoon toegankelijk.

frankwopereis @mashell • 21 augustus 2014 14:02

Je kunt bij mobiel bankieren ook de random reader wel aanzetten (SNS bank bijvoorbeeld).
Bij ING krijg je een TAN code, dat heeft minder zin op dezelfde telefoon.. Wel handig als je ook een werk telefoon hebt. Maakt het al weer iets veiliger.

3raser @mashell • 21 augustus 2014 15:20

Met de Rabobank app kun je alleen overboeken zonder random reader als het rekeningnummer in je persoonlijke adresboek staat. Daarnaast kun je er zelf voor kiezen om overboekingen onder een bepaald bedrag zonder random reader over te boeken. Om dat in te kunnen stellen heb je wel weer een random reader nodig.
Ik ben niet bekend met apps van andere banken maar wat mij betreft doet de Rabobank het prima. Zolang er geen hacks bekend zijn zal ik dus ook niet aan de app twijfelen.

ikweethetbeter @frankwopereis • 21 augustus 2014 11:27

Klopt. Met een site is de kans op MitM attacks veel groter dan met een app.

Vayra @ikweethetbeter • 21 augustus 2014 11:39

De 'markt' is ook nog niet zo groot he, en elke bank heeft zijn eigen app die weer eigen kenmerken kan hebben.

Ik denk dat wanneer het mobiel bankieren meer en meer gemeengoed wordt, dat deze dreiging zich ook naar de mobiele app zal verplaatsen. Kan niet anders. Nu is de drempel nog te hoog en het aantal gebruikers te beperkt.

ikweethetbeter @Vayra • 21 augustus 2014 14:11

Met een site ben je gebonden aan wat je browser aankan: HTTPS, SSL, HTML / XML. En je moet goed opletten, en niet in phishing vallen trappen. Voor je het weet zit je niet op rabobank.nl maar op raabobank.com of rabobank.phishing.com. Of natuurlijk een minder opvallende naam, bv rabobank.international.com. Ziet er allemaal erg betrouwbaar uit, maar is dat niet.

Een bankspecifieke app beschermt je tegen phishing mails. En als je alleen vertrouwde app stores gebruikt (jawel, weer een voordeel van de "gesloten" app store van Apple), dan staan alleen de officiële apps van de banken in de store.

Een bankspecifieke app hoeft zich ook niet te beperken tot de protocollen die de browser spreekt. Zolang het over het TCP/IP kan, kan alles. 4-voudige authenticatie, bank-specifieke encryptie, noem het en het kan.

Ik zie het nog gebeuren dat je op je PC of Mac straks ook een bankspecifieke app gaat krijgen, om bankieren veiliger te maken.

Anoniem: 463321 @ikweethetbeter • 21 augustus 2014 15:52

Als je gewoon zelf de url intypt heb je van phising ook geen last. Ik denk niet dat mensen die gaan bankieren telkens een link uit een email aanklikken.

Voor Windows 8.x heb je trouwens al bankspecifieke apps. Die gebruik ik ook omdat ze simpelweg makkelijker werken dan via een brwowser.
Of al die apps daadwerkelijk veiliger zijn betwijfel ik. Ook daar zal wel misbruik van gemaakt kunnen worden op één of andere manier.

William_H @ikweethetbeter • 21 augustus 2014 17:08

Helaas is dit dus niet waar. Ik zou het artikel er even bij moeten halen hier op Tweakers, maar daar stond laatst in dat een (mobiele) site veiliger was dan het gebruik van een app. Had met de (veiligheid van de) verbinding tussen app en backbone te maken en dat dit bij een site beter geregeld was.

IronAngel @Anoniem: 398486 • 21 augustus 2014 11:36

waarom mensen het niet doen snap ik overigens uiteraard niet.

Ik gebruik ING en krijg de tan-codes op mijn mobiele telefoon binnen per sms, opzich super handig. De gedachte om dan via een app op diezelfde telefoon te gaan bankieren haalt het hele principe van 2-factor auth weg, dus voor mij niet gezien.

Triogap @IronAngel • 21 augustus 2014 11:51

De 2-factor authenticatie zit erin. Dat de app geverifeerd wordt. Dus de app is "Something you have" en je gebruikt een 5 cijferige pincode, dus "Something you know".

Redbull4u @IronAngel • 21 augustus 2014 11:58

Same here.

Daarom bewust gekozen om niet op de mobiele telefoon te telebankieren.

Ik begrijp de noodzaak ook niet om altijd overal te kunnen telebankieren. Als ik 4 keer in de maand inlog op de ING site, is het veel.

Anoniem: 463321 @Redbull4u • 21 augustus 2014 15:57

Het gaat niet zozeer om de noodzaak maar om het gemak. Even het saldo controleren is via een app in een paar seconden gepiept. Op de computer duurt het allemaal langer en gaat het omslachtiger. Idem voor betalingen. Dus ook al ben ik thuis en staat de computer aan, ik gebruik toch mijn telefoon. Geen gedoe met bankpasje en readers erbij pakken.

Cilph @Anoniem: 398486 • 21 augustus 2014 11:20

...hoe vaak start je nou een computer per dag op? Voor mij is het makkelijker omdat ik geen Random Reader bij de hand hoef te hebben om mijn saldo te checken of even een tientje over te boeken.

Iftert @Cilph • 21 augustus 2014 11:22

Ikmoest laatst €3.5 overmaken, maar ik had echt wel de randomreader nodig (op de foon)

Cilph @Iftert • 21 augustus 2014 11:33

Overmaken naar mensen in je adresboek of voor kleine bedragen zou je er geen nodig moeten hebben. Dat laatste is volgens mij echter wel in te stellen.

Arokh @Cilph • 21 augustus 2014 11:36

kun je mobiel ook mensen aan je adresboek toevoegen zonder random reader? Want dan hebben we natuurlijk wel een probleem :-)

SeenD @Arokh • 21 augustus 2014 13:20

Volgens mij moet je eerst een keertje naar iemand over moeten maken mbv random reader en dan pas geldt de persoon als bekend.

Lijkt me wel logiscch, eerst geauthenticeerd overmaken en dan weet de app/bank dat dat nummer bestaat en dat er succesvol naar is overgemaakt.

En sowieso, anders zou een bad guy je telefoon kunnen pakken, zijn bankrekeningnummer in je adresboek doen en daarna geld overmaken naar zichzelf. Beetje te veel risico, lijkt me

Arokh @SeenD • 25 augustus 2014 10:32

dat was precies de reden waarom ik het vroeg, leek me ook al eng, en banken zijn niet zo stom gelukkig blijkt uit je antwoord. :-)

angelina @Cilph • 21 augustus 2014 11:55

Ook overmaken naar een rekening waarop je eerder (laatste 15 maanden) al had overgeboekt is geen random reader nodig.

nms2003 @Iftert • 21 augustus 2014 11:33

In de Rabo app kun je sinds enkele maanden een limiet instellen waarmee je zonder randomreader geld kunt overmaken, ook naar onbekende rekeningen. Deze limiet heb ik op € 150,- staan.
Naar reeds bekende rekeningen kan ik grotere bedragen overmaken, zonder random reader.

mmjjb @nms2003 • 21 augustus 2014 11:57

Bij ABN-AMRO kan het al sinds het begin van de applicatie, al zeker wel een jaar

ilaurensnl @mmjjb • 21 augustus 2014 12:01

Dit geld niet voor het eerste keer, alleen bij bekende rekeningen. Erg handig inderdaad, als ik bijvoorbeeld familie geld moet lenen kan ik dat gebruiken zonder er geïrriteerd van te raken

AmigaWolf @ilaurensnl • 21 augustus 2014 17:18

...hoe vaak start je nou een computer per dag op? Voor mij is het makkelijker omdat ik geen Random Reader bij de hand hoef te hebben om mijn saldo te checken of even een tientje over te boeken.

Iedere dag, ik laat mijn computer niet 24 uur per dag aan staan, ik doe hem uit als ik hem niet gebruik, ik krijg binnen kort (1 a 2 weken) mijn Minix Neo X8-H (Android TV BOX) en dan kijk ik lekker al mijn Films en TV series Met mijn Android TV BOX in 5.1 Dolby Digital of 5.1 DTS en DTS-HD Master :-)

Scheeld me ook een hoop stroom, aangezien mijn Game PC 135 Watt gebruikt als ik 1080P DTS films kijk en mijn Android TV BOX maar 3 a 5 Watt gebruikt met 1080P DTS films :-)

Dus mijn PC gaat dan een stuk minder vaak en lang aan.

En ik gebruik alleen mijn PC voor bankieren en niet mijn Telefoon, vind mijn PC een stuk veiliger (aanvoelen) dan een Telefoon.

[Reactie gewijzigd door AmigaWolf op 23 juli 2024 13:12]

Iftert @nms2003 • 21 augustus 2014 11:38

Hmmm... Meteen ff gekeken, en om dat in te stellen heb je je random reader nodig (a)

Dat doen we vanaaf thuis maar. Thx voor de tip

edit : ik zou het tot 250 euro kunnen instellen

[Reactie gewijzigd door Iftert op 23 juli 2024 13:12]

BvP2 @Iftert • 21 augustus 2014 11:41

Wellicht ABN AMRO? ik weet dat je bij hun ongeacht het bedrag je reader nodig hebt voor je telefoon als je niet het afgelopen jaar een bedrag hebt overgeschreven naar die rekening

edit: te langzaam gereageerd. maar thnx voor de tip. ga het gelijk aanpassen

[Reactie gewijzigd door BvP2 op 23 juli 2024 13:12]

artoon12 @Iftert • 21 augustus 2014 13:16

Als je naar dezelfde een paar keer geld overmaakt en hem in je aderesboek zet dan hoeft dat niet meer dan is het een vertrouwd rekeningnummer

Pataar @Iftert • 21 augustus 2014 14:32

Je kunt ook instellen dat je een tan-code nodig hebt. Deze krijg je dan via een sms.

Anoniem: 398486 @Cilph • 21 augustus 2014 11:21

Ik 1x per maand, maar een ander zet hem misschien elke keer uit.
Ik vind bankieren via de telefoon, saldo checken, geld over maken, enz gewoon super makkelijk.

Geheim49 @Cilph • 21 augustus 2014 11:23

Dit, het ongemak van de Random Reader is gewoon enorm groot. Gewoon even een tientje overboeken van een rekening kost mij 1 minuutje met de telefoon. En met de random reader misschien wel 4 tot 5. Dit is gewoon gemak.

SilentDecode @Cilph • 21 augustus 2014 11:25

Bij mij staat m'n pc elke dag aan, start hem ook maar 1x per maand kop.

Ondands dat ik een prehistorische telefoon heb (met de huidige telefoons dan), gaat het bij mij wat trager, maar ik doe er wel m'n bankzaken op.

TheKmork @Anoniem: 398486 • 21 augustus 2014 11:34

Blackberry heeft (of in elk geval had, heb geen BB meer) echter ook gewoon een ING app (geen idee vwb de andere banken), dus wat dat betreft valt dat nog steeds onder app gebruik.

[Reactie gewijzigd door TheKmork op 23 juli 2024 13:12]

emistery @Anoniem: 398486 • 21 augustus 2014 14:59

Op het moment start mijn computer sneller op dan dat ik mijn smartphone erbij moet pakken en die app openen dus nee ik geef je daar ongelijk in.

Alexxxxxxxxxx @Anoniem: 398486 • 21 augustus 2014 15:25

Blackberry valt onder de categorie smartphone

Een smartphone is een mobiele telefoon die uitgebreidere computermogelijkheden biedt. Een smartphone kan ook beschouwd worden als een handcomputer of pda die tegelijk ook een telefoon is.

Anoniem: 126717 21 augustus 2014 11:23

Dat zou impliceren dat minder dan 35 procent van de mensen die een smartphone heeft, hem gebruikt voor mobiel bankieren.

Ik heb een smartphone, ik heb de app, maar gebruik hem uiterst zelden en dan alleen maar om het saldo in te zien. Ik gebruik veel liever de veel veiliger desktop die ook voorzien is van een handig toetsenbord.

DCK @Anoniem: 126717 • 21 augustus 2014 12:34

Je desktop is niet veiliger dan je telefoon. Zeker niet als het gaat om bankieren.

Er gaat jaarlijks aan miljoenen euro's aan fraude om in internetbankieren. Het bedrag aan fraude dat plaatsvindt via mobiele apps is nul euro.

Dat komt deels omdat criminelen klaarblijkelijk zich niet richten op telefoons, maar voornamelijk om technische redenen. Het is vele malen moeilijker om een klant die gebruikt maakt van de app te phishen, of zijn router te kapen en een verkeerde website in te laden (een mobiele app faalt dan simpelweg). Het is gewoon moeilijker om te frauderen als mensen geinstalleerde applicaties hebben!

Als je net zo veilig wil bankieren op je desktop als op je telefoon is het bij sommige banken mogelijk om een Windows 8-app te installeren. In het algemeen is echter de conclusie dat bankieren op je desktop onveiliger is dan op je telefoon.

mashell @DCK • 21 augustus 2014 13:02

Het is gewoon moeilijker om te frauderen als mensen geinstalleerde applicaties hebben!

Dat is juist gemakkelijker. Het is immers een locale binary die kan door de code van je gratis spelletje worden aangepast, zonder dat jij of de bank dat merkt.. Alle banken zijn van hun telebankier applicaties weggegaan naar internetbankieren. Als smartphones volwassener worden en apps steeds minder nodig zijn omdat gewone websites daarop ook goed werken zal dat ook daar gaan gebeuren.

DCK @mashell • 21 augustus 2014 13:07

Het is immers een locale binary die kan door de code van je gratis spelletje worden aangepast, zonder dat jij of de bank dat merkt.

Wat? Op welk mobiel (of uberhaupt modern) besturingssysteem is het mogelijk om als binary willekeurig andere geinstalleerde binaries aan te passen?

Verder betwist ik niet het punt dat fraude bij mobiel bankieren uiteindelijk zal gebeuren. Maar het gaat voor criminelen vele malen moeilijker zijn om daar iets klaar te spelen dan via internetbankieren. En daarom stel ik dat mobiel bankieren veiliger is.

ikweethetbeter @Anoniem: 126717 • 21 augustus 2014 11:29

Waan je niet onterecht veilig op je pc!

Iftert 21 augustus 2014 11:20

Ik vraag mij af hoe het zit met de beveiliging op de telefoons, ik bankier volledig via de foon, heb er een virusscanner op staan. Maar is het nu veiliger?

Anoniem: 112442 @Iftert • 21 augustus 2014 11:29

Ik vraag mij af hoe het zit met de beveiliging op de telefoons, ik bankier volledig via de foon, heb er een virusscanner op staan. Maar is het nu veiliger?

Natuurlijk is het niet veiliger. Je kunt vaak transacties tot een bepaald bedrag doen zonder dat je een random reader nodig hebt.
Tevens gebruik je in veel gevallen een OS waar je helemaal geen invloed op hebt c.q. nog minder dan op Windows. Waar laat of helemaal geen security fixes op geïnstalleerd worden. Meestal alleen bij een nieuwe release, geen tussentijdse fixes.

Ik heb zelf Android device omdat ik deze het minst onbetrouwbaar vind, maar deze is IMO nog te onbetrouwbaar om een bankier applicaties waarmee ik transacties kan doen te installeren of zelfs via de browser op een mobiel device.
Op een Nokia N900 met Meamo zou ik er nog ik nog getwijfeld hebben om het erop te installeren.

arthur-m @Anoniem: 112442 • 21 augustus 2014 11:38

android daarin het minst onbetrouwbaar?

Ik denk juist het meest onbetrouwbaar.. Zeg maar het windows xp van mobiele os'en... Begrijp me niet verkeerd, maar door de populariteit is het heel lucratief om een android device te targetten met malware, exploits, etc... Of apps krijgen veel teveel rechten. Dat is bijna wekelijks in het nieuws.

M.i. kun je beter iOS op WP hebben. Dat is een gesloten platform en biedt veel meer veiligheid.

opmerking: een bankieren app maakt gebruik van SSL, dus zal een beveiligde verbinding opzetten met de bank. Dat is op een gesloten mobiel OS het meest veilig. (nog veiliger dan bankieren op je desktop, waar de kans veel groter is dat je systeem niet meer veilig is)

Anoniem: 112442 @arthur-m • 21 augustus 2014 12:02

android daarin het minst onbetrouwbaar?

Ik denk juist het meest onbetrouwbaar.. Zeg maar het windows xp van mobiele os'en... Begrijp me niet verkeerd, maar door de populariteit is het heel lucratief om een android device te targetten met malware, exploits, etc... Of apps krijgen veel teveel rechten. Dat is bijna wekelijks in het nieuws.

Dat klopt. Maar je kunt op geroote devices een applicatie installeren die de rechten beperkt bv. XPrivacy.

M.i. kun je beter iOS op WP hebben. Dat is een gesloten platform en biedt veel meer veiligheid.

Die mening deel ik niet. Omdat de sourcecode van Android open is kan nog een beetje onderzocht worden wat onder water gebeurt. Tevens kun je zien of er lekken in de code zitten. Dat kun je bij WP en iOS niet.
Tevens kun je een alternatieve firmware installeren waar je meer invloed op hebt.
Ik noemde Android onbetrouwbaar, daarom zal ik zeker niet mijn hand voor Android in het vuur steken.
Dit is in combinatie met het SMS push beleid van de providers de reden waarom ik geen abonnement maar een prepaid kaart heb.

opmerking: een bankieren app maakt gebruik van SSL, dus zal een beveiligde verbinding opzetten met de bank. Dat is op een gesloten mobiel OS het meest veilig. (nog veiliger dan bankieren op je desktop, waar de kans veel groter is dat je systeem niet meer veilig is)

Heel leuk maar hoe zeker weet je dat er in de SSL versie die op je device geïnstalleerd is geen lekken inzitten, er worden regelmatig lekken in SSL libraries ontdekt.
Zoals ik gezegd heb, er worden geen tussentijdse updates/patches op je device geïnstalleerd alleen nieuwe versies.
Daarom zijn niet meer ondersteunde devices in meer of mindere mate lek als een mandje. Dat geldt voor zowel Android, iOS als WP.

[Reactie gewijzigd door Anoniem: 112442 op 23 juli 2024 13:12]

arthur-m @Anoniem: 112442 • 21 augustus 2014 14:14

Dat klopt. Maar je kunt op geroote devices een applicatie installeren die de rechten beperkt bv. XPrivacy.

Dit veronderstelt al dat de gebruiker weet wat hij doet... Check even de post van Iftert die vraagt wat veiliger is (en daarmee ga ik er vanuit dat hij bovenstaande niet weet).

Over de lekken in WP en iOS geef ik je (deels) gelijk. Android is daarbij transparanter. Maar denk je niet dat lekken in iOS en WP heeeeel snel bekend zijn zodra ze misbruikt worden? Ik hoor veel vaker misbruik op een android telefoon dan iOS. Reden: de gebruiker die z'n systeem vern*** Kan android nog zo veilig zijn...

Dit is in combinatie met het SMS push beleid van de providers de reden waarom ik geen abonnement maar een prepaid kaart heb.

Ik weet even niet wat dit in de discussie doet?

Heel leuk maar hoe zeker weet je dat er in de SSL versie die op je device geïnstalleerd is geen lekken inzitten, er worden regelmatig lekken in SSL libraries ontdekt.

Bron??
En toch vertrouw ik meer op SSL dan op een stomme gebruiker, snap je?

Daarom zijn niet meer ondersteunde devices in meer of mindere mate lek als een mandje. Dat geldt voor zowel Android, iOS als WP.

Volledig mee eens!

edit: typefoutjes

[Reactie gewijzigd door arthur-m op 23 juli 2024 13:12]

Anoniem: 112442 @arthur-m • 21 augustus 2014 16:43

Maar denk je niet dat lekken in iOS en WP heeeeel snel bekend zijn zodra ze misbruikt worden?

Klopt geldt ook voor maar ze worden niet snel gedicht, pas bij een versie update als je device nog ondersteund wordt. Dat is het grootste probleem.

Heel leuk maar hoe zeker weet je dat er in de SSL versie die op je device geïnstalleerd is geen lekken inzitten, er worden regelmatig lekken in SSL libraries ontdekt.

Bron??

Bronnen t.a.v. SSL.
1) openSSL
2) SSL OSX en iOS
3) Windows Phone

Dit zijn enkele voorbeelden.

borft @arthur-m • 21 augustus 2014 11:49

Interessante gedachtengang ( * borft houdt sarcasme bordje omhoog). Security by obscurity is geen security. Je zou een argument kunnen maken, dat iOS veiliger is, omdat Apple strengere controle doet op apps die in de appstore komen, waar Google veel meer toestaat in Play. Echter, als je naar het verleden gaat kijken zijn er ook op iOS talloze veiligheidsproblemen geweest.

Hoe je erbij komt dat een beveiligde verbinding op je telefoon veiliger is dan op je desktop ontgaat mij ook volledig. Een verbinding met een mobiel apparaat gaat nagenoeg altijd draadloos, wat het per definitie minder veilig maakt, immers een draadloze verbinding is veel gevoeliger voor afluisteren of mitm aanvallen, dan een bedrade verbinding.

arthur-m @borft • 21 augustus 2014 14:10

Leuke reactie!

Hoe kom je erbij dat dit Security by obscurity zou zijn? de security zit erin dat het OS veel minder makkelijk aan te passen is. Dus ook door de onkunde van de gebruiker. Let er ook even op dat reageer op de post van worldcitizen die stelt dat android het meest veilig is *proest*... hoeveel devices maken nog wel niet gebruik van een antieke en brakke android versie... Dat risico loop je met WP en met iOS minder.
Zeker: veiligheidsproblemen zijn er zat geweest, dat geldt voor elk systeem, maar tel ze even van android en iOS en ik weet welke 'beter' is...

Daarnaast bankier ik persoonlijk veel liever met mijn smartphone via SSL via wifi, dan dat ik moet bankieren op een desktop/smartphone van een gebruiker die niet weet wat hij doet. Het is veel lastiger om met een mitm attack de SSL verbinding te hacken. Het device (desktop, smartphone) is veel makkelijker te hacken want de gebruiker is de zwakke schakel...

borft @arthur-m • 21 augustus 2014 14:52

Ik bedoel ermee, dat je niet weet hoe de internals van iOS werken, en dat je erop vertrouwt dat het veiliger is, omdat niemand het weet

Ik denk wel dat je gelijkt hebt, dat als je de gebruiker minder vrijheid geeft om dingen te slopen, er potentieel minder kapot kan

Maar ik denk dat de meeste mensen hier (mezelf incluis) te weinig kennis hebben om gefundeerde uitspraken te doen mbt de absolute veiligheid van mobiele besturingssystemen, specifiek in de context van electronisch bankieren.

Daarnaast, je geeft zelf al aan, de zwakste schakel is in veel gevallen de gebruiker, en dan maakt het gebruikte platform ineens een stuk minder uit!

Echter, als ik in de trein (of ergens anders) ga zitten met mijn eigen hotspot, met hetzelfde essid als een ander netwerk in de buurt, hoeveel mensen denk je dat dat doorhebben? Hoeveel mensen denk je dat een niet geldig certificaat gewoon wegklikken? En hopla, mitm! Probeer dat maar eens met een bekabelde machine.

Overigens, internet bankieren op je desktop gebruikt ook gewoon een SSL verbinding, dus wat dat betreft maakt de veiligheid echt niets uit.

Tot slot, het zal je verbazen hoeveel ontwikkelaars fouten maken bij de implementatie van SSL. Heel veel software vergeet bijvoorbeeld na het opzetten van de tunnel om alle certificaten goed te checken.

Iftert @Anoniem: 398486 • 21 augustus 2014 11:25

Als je een iPhone had zou het al gelijk een heel stuk veiliger zijn ja.

En waarom is het een stuk veiliger?

Omdat apple geen virussen heeft (wat niet waar is, wat het nog bizarder maakt dat er geen virusscanner is voor apple)
Omdat de foon wit is?
Omdat de totale marktaandeel van apple zo klein is dat het niet intressant is om er een virus voor te schrijven?

ikweethetbeter @Iftert • 21 augustus 2014 15:06

En waarom is het een stuk veiliger?

Om verschillende redenen.

Omdat apple geen virussen heeft (wat niet waar is, wat het nog bizarder maakt dat er geen virusscanner is voor apple)

Wat bedoel je met Apple? Het bedrijf, het OS, de software? Als je op de Apple prijslijst kijkt, dan zie je niks met de omschrijving "virus" staan. Apple heeft dus geen virussen!

Daarnaast zijn er ook geen virussen voor beide Apple OS-en, zowel OS X als iOS is erg veilig. Er bestaat wel malware voor OS X, maar je moet daarvoor Java of Flash hebben, en je moet er wat moeite voor doen, bv in een phishing val lopen. Maar daar beschermt geen enkel AV pakket je voor.

wat het nog bizarder maakt dat er geen virusscanner is voor apple

Een virusscanner grijpt diep in op een systeem. Wanneer je een goed OS hebt, en je hebt een slechte virusscanner, dan maak je je computer minder stabiel en minder veilig.

OS X en iOS zijn zeer goede, veilige en stabiele OS-en. Door er een virusscanner op te zetten, maak je het systeem niet beter of veiliger of stabieler. Dus wat is het nut? Weglaten dus, dat potentiële veiligheidslek!

Omdat de foon wit is?

Of zwart of goud. Wat jij wil! Maar je geeft hiermee wel aan dat we je niet serieus hoeven te nemen.

Omdat de totale marktaandeel van apple zo klein is dat het niet intressant is om er een virus voor te schrijven?

Natuurlijk, Apple is zo klein, dat is een margespeler!

En waarom is het een stuk veiliger?

Zet de Apple-haat van je af, en dan kun je dat zelf bedenken!

Overigens geldt dit niet alleen voor Apple, maar ook voor Windows Phone, omdat die ook een goed gecontroleerde gesloten app store heeft.

Iftert @ikweethetbeter • 21 augustus 2014 15:16

Mijn punt is dus (ik zal het even voor je uitspellen) :

Omdat apple (osx, ios) een grote speleris, worden er echt wel virussen voor geschreven (hoe groter de markt hoe veel meer virussen). Dus dat apple (osx, ios) geen virussen zouden bevatten alleen al omdat apple dit zegt is dus onzin.

Dat er een goed gereguleerde marktplaats is voor de mobiele apps zeg niet dat er geen virussen en mal en adware door heen komt. Ook dat is weer een fabeltje. (en laat staan op de computer).

En nee ik haat apple niet, ik heb alleen mijn bedenking bij de gebruikers die denken dat omdat het juist apple (ios, osx) is is het ook meteen veilig omdat apple het zegt.
Omdat ze dan een iets beter en dichter besturings systeem zouden hebben zegt helaas echt niet dat er geen virussen op zouden kunnen komen.

Maargoed, denk maar dat je veilig zit omdat je apple (osx, ios) gebruikt. Dan over komt je nooit iets.

[Reactie gewijzigd door Iftert op 23 juli 2024 13:12]

ikweethetbeter @Iftert • 21 augustus 2014 15:47

Het is een feit dat er (momenteel) geen virussen bestaan voor OS X en iOS. Er bestaat wel andere malware dan virussen voor OS X, en vooral als je Flash of Java op je Mac hebt staan, dan ben je niet absoluut veilig.

Maar waar iedereen en alles kwetsbaar voor is, is phishing. Daar helpt geen AV pakket tegen. Dus naast het gebruik van een veilig OS, moet je ook altijd je gezond verstand gebruiken.

Overigens is Apple niet de enige die een veilig OS kan maken. MS Windows 8.1 is ook veilig, vooral wanneer er geen Flash en Java op staat. De ingebouwde beveiliging van MS volstaat.

Iftert @ikweethetbeter • 21 augustus 2014 15:56

https://www.security.nl/p...euwe+Mac-virussen+in+2011

in 2011 zijn er er dus al meerdere (zijn er niet veel moet ik toegeven) virussen voor mac gevonden. Het marktaandeel is in die 3 jaar denk ik wel gegroeid. Dus ook wel het aantal virussen. Om kort te zjin : Het is dus dikke onzin om te stellen dat mac geen virussen bevat.
Het zijn er nog zeker niet veel, maar in elke soort software zijn gaten te vinden. En die zullen ooit gevonden worden en dus misbruikt worden.

Banken stellen ook niet voor niets dat ze ook op OSx een virusscanner willen hebben.

ikweethetbeter @Iftert • 21 augustus 2014 16:11

Oud nieuws. De titel is heel spectaculair "58 Mac virussen", als je de tekst leest, dan zie je dat het om "gewone" malware gaat.

Een virus installeert zichzelf, ongemerkt, en kan zichzelf verspreiden. Virissen bestaan anno nu, 21 augustus 2014, nog steeds niet voor OS X.

Malware bestaat wel, vooral trojans die met illegale software meelift is een (voor Mac begrippen) grote bedreiging.

En banken dekken zichzelf in. Dat heeft niks met veiligheid te maken, maar alleen met de mogelijkheid om iets op de consument af te schuiven als dat ze beter uitkomt.

Overigens heeft OS X, net als Windows, een malware scanner ingebouwd.

arthur-m @Anoniem: 398486 • 21 augustus 2014 11:29

Hoewel je post een beetje kort door de bocht is, ben ik het niet met je oneens.
Ik snap de -1 dan ook niet...

Een gesloten platform (wat iOS is, maar bijv ook WP), is wel iets veiliger dan als je zelf kunt gaan 'kloten' (zoals op Android).

Vayra @arthur-m • 21 augustus 2014 11:43

Want?

Het is alleen onveiliger wanneer je allerlei applicaties gebruikt die niet in de Play Store staan. Daarin is Android echt niet anders dan iOS. Als je daar gaat jailbreaken en allerhande 3rd party troep erop zit is de kans op een lek net zo groot. En iOS is nou ook niet echt het toonbeeld van security, getuige de berichten over lekken die gewoon in het OS zelf zaten in het verleden.

Dat je met Android vrijheid hebt betekent niet dat iedereen die ook benut. Een Android die fabriek-af in iemands handen komt is net zo gesloten als een iOS toestel. Zonder gekke capriolen zitten daar echt geen verschillen meer tussen. Ook Android is een ecosysteem net als WP en iOS, het is alleen open source.

[Reactie gewijzigd door Vayra op 23 juli 2024 13:12]

Anoniem: 112442 @Anoniem: 398486 • 21 augustus 2014 11:40

Als je een iPhone had zou het al gelijk een heel stuk veiliger zijn ja.

Ook een iPhone niet. Hoe snel worden security fixes op een iPhone uitgerold c.q. worden er tussentijdse security fixes op een iPhone uitgerold?
En worden er nog security fixes uitgerold op iPhones die de laatste iOS versie niet meer ondersteunen?

IMO het probleem bij iedere smartphone. Buiten de niet meer bestaande Nokia N900 etc en de verouderde openMoko. Maar die hebben zo'n app weer niet.

SilentDecode @Anoniem: 398486 • 21 augustus 2014 11:26

Kuch.. De sarcasme

Zorian 21 augustus 2014 11:47

De Nederlandsche Bank gaat niet in op de reden waarom een meerderheid van de smartphone- en tabletbezitters ervoor kiest om niet mobiel te bankieren.

Als ik mijn ma mag geloven: Omdat ze niet gelooft dat het veilig (genoeg) is om dergelijke dingen via de smartphone te doen.

Mijn pa en ik zelf doen zelf wel heel veel bankzaken via de smartphone.

434365 @Zorian • 21 augustus 2014 12:07

Meer naar je moeder luisteren!

Keypunchie @Zorian • 22 augustus 2014 01:08

De Nederlandsche Bank gaat niet in op de reden waarom een meerderheid van de smartphone- en tabletbezitters ervoor kiest om niet mobiel te bankieren.

Beetje rare formulering van de schrijver dit. Alsof het een heel bewuste keus is van die "meerderheid" om dit te doen.

Mobiel bankieren is nog piepjong, de apps die meer doen dan alleen saldo checken zijn nauwelijks 5 jaar en bij elke release van de mobiele apps zijn er wel weer nieuwe features te vinden. We zitten nu in de 'early majority fase' en de groei is nog lang niet gestopt.

434365 21 augustus 2014 11:40

Hang op, klik weg, bel je bank.

Ik denk dat de meerderheid niet bankiert op z'n telefoon door de vele informatie acties van de overheid en sire enzo, de meeste mensen beseffen zich (gelukkig!!) het gevaar van internet bankieren, zeker als je op een openbaar wifi zit (in de trein of mcdonalds ofzo)
Daarbij is de kans dat je je mobiel verliest natuurlijk een stuk groter dan dat je je PC/Mac van thuis 'verliest', dus dat zal ook zeker meespelen in de beslissing.

Zelf zou ik echt nooit op mn telefoon iets met m'n bank willen doen, als je het mij vraagt is dat wachten op problemen.

AmbroosV @434365 • 21 augustus 2014 11:52

Zelfs op een openbare hotspot bankier ik met plezier in apps en op de website. Zolang het HTTPS-certificaat in orde is is er simpelweg geen beveiligingsrisico. En banken gebruiken vrijwel altijd extended validation en dan is het heel snel duidelijk of je op de veilige site zit of niet.

Apps op mobiele platformen zijn dikwijls ook goed afgeschermd vanuit het OS zelf. Op een Android-telefoon die niet geroot is kan een app niet aan de gegevens van een andere app, bijvoorbeeld.

434365 @AmbroosV • 21 augustus 2014 12:05

Zolang het HTTPS-certificaat in orde is is er simpelweg geen beveiligingsrisico.

Was veiligheid maar zo zwart-wit, dat zou het leven een stuk makkelijker maken, feit is echter dat je allerlij apps installeerd waarbij je waarschijnlijk maar half naar de permissies kijkt, of uberhaupt niet goed weet wat ze feitelijk betekenen, en daardoor misschien op dit moment al allerlij apps draait waar dat dus wel mogelijk is.
Besef je heel goed dat je gewoon een computer in je zak hebt, en die kan op allerlij mogelijke manieren gehackd worden zonder dat jij iets merkt.

Het is zeker niet zo dat alle android apps je geld proberen te stelen, maar het is wel zo dat zo'n 60% van de apps permissies vraagt die ze niet nodig hebben, waarmee dit soort zaken wel mogelijk zijn.

Dat jij je goed genoeg voelt over de veiligheid om te doen wat je doet is leuk, petje af voor je lef, maar ik hou me er ver van, en met mij het overgrote deel van de bevolking.

DCK @434365 • 21 augustus 2014 13:50

Ik ben toch wel benieuwd met wat voor permissies ik iemands geld kan stelen bij mobiel bankieren. Zou je dat kunnen vertellen? Ik kan er namelijk geen vinden, en dan lijkt het er toch op dat wat je zegt onzin en pure bangmakerij is...

434365 @DCK • 21 augustus 2014 17:48

Tweakers artikel too the rescue!

http://tweakers.net/nieuws/97957/onderzoekers-voeren-geraffineerde-phishing-aanval-uit-op-android.html

Maarja, dit is dus maar 1 van de manieren, en het misbruikt (technisch gezien) geen eens de permissies. Punt is dat er veel schijnveiligheid is op mobiel.

Edit: voor de volledigheid, bijvoorbeeld de permissies die sommige file manager vragen geven ze toegang tot data van andere apps, ook is het zo dat (om wat voor achterlijke reden dan ook) veel apps je smsjes willen lezen, laat dat nou net bij veel bank-apps een 'veiligheidslaag' zijn, en zo kan je nog wel meer 'cornercases' bedenken.

Begrijp me niet verkeerd, het is niet zo dat iedereen met een zombie (onderdeel van een botnet) in zn zak rondloopt, maar het punt is nou eenmaal dat de boel gewoon echt niet zo veilig is als gesuggereerd word.
Kijk alleen al naar het artikel waar ik naar link, en dat is 1 geval, er zijn er 10tallen zo niet 100en die eerst maanden heen en weer gaan tussen louche figuren voordat wij normale gebruikers (of bijv Google) erover horen.

[Reactie gewijzigd door 434365 op 23 juli 2024 13:12]

DCK @434365 • 21 augustus 2014 18:06

Hehe ik wist dat dat ging komen

Wees nou eerlijk, niemand beweert dat mobieltjes veilig zijn maar als dit soort esoterische constructies nodig zijn om de veiligheidsmechanismen die er in die systeempjes zitten te omzeilen, dan is jouw hetze ertegen in dit topic wel een beetje overdreven.

Overigens suggereerde je dat er een ingebouwde, bedoelde manier voor het stelen van geld. En dat is gewoon bullshit.

Niemand verliest geld met bankieren op zijn telefoon. Niemand claimt dat het 100% waterdicht is, maar het is moeilijk genoeg dat de meeste mensen er rustig van kunnen slapen.

434365 @DCK • 21 augustus 2014 18:18

Was natuurlijk beetje open deur hehe, moest t wel posten

Maarja, misschien dat mijn reacties inderdaad iets overdreven zijn, maar daar staat weer tegenover dat er vast en zeker ook andere simpelere manieren zijn om dit soort trucs uit te halen.

En hey, een gewaarschuwd mens telt voor twee, als ik al 1 iemand behoed voor het verliezen van zn geld is het het in mijn ogen wel waard om dingen iets aan te dikken.

Over ingebouwde stuff, ik suggereerde (zonder zoveel woorden, want ik wil geen ruzie krijgen) dat het permissie model van Android niet 100% is, en dat is helaas al meerdere keren gebleken.
Tot op zekere hoogte ook in het gelinkte artikel, want laten we wel wezen, een graphics buffer zou natuurlijk met permissies beveiligd moeten zijn. Maarja.

DCK @434365 • 21 augustus 2014 18:49

Een nobel doel, maar ik denk niet dat mensen bang maken met halve waarheden daaraan bijdraagt...

Er heerst in dit topic al een zweem van "internetbankieren op je pc is veiliger dan op je telefoon" terwijl het omgekeerde waar is. Als je mensen enthousiast maakt voor het laten vallen van hun bankierapp voor de website van hun bank, stel je ze bloot aan meer gevaar dan daarvoor!

Voorlopig bestaat fraude met bankierapps niet in de praktijk - je kunt praten over zwakheden en problemen, maar door gebrek aan praktijkvoorbeelden lijkt het erop dat het te moeilijk is om ze te exploiteren. Voorlopig is het dan ook zo dat als je wil voorkomen dat mensen geld verliezen met internetbankieren je ze moet vertellen dat ze óf niet thuis bankieren óf een app gebruiken. Met ten strijde trekken tegen bankierapps je mijns inziens ook je doel voorbij.

Op dit item kan niet meer gereageerd worden.

Kwart Nederlanders bankiert via telefoon

Lees meer

Reacties (164)

Sorteer op:

Weergave: