Bankklanten met onbeveiligde PC niet aansprakelijk
De Nederlandse banken zijn gisteren een campagne gestart om de consument veilig online te laten bankieren. Volgens de banken is er niets aan de hand met de veiligheid van internetbankieren, maar moeten consumenten beter hun computers beveiligen. Daarom is men de campagne "3 x kloppen" gestart, wat staat voor "klopt de PC beveiliging", "Klopt de website", en "Klopt de betaling". Als "graadmeter" noemde ze het onderzoek van de Consumentenbond waaruit blijkt dat veel consumenten denken dat ze veilig zijn, terwijl dat niet zo is.
We vroegen Gijs Boudewijn waarom de banken, die allemaal achter de campagne staan, denken dat het dit keer wel lukt om de consument security bewust te maken, aangezien er al tijden van dit soort campagnes worden georganiseerd, met altijd nog zeer weinig effect. Succes is volgens Boudewijn niet gegarandeerd, maar je moet het proberen, je kunt het niet niet doen. De banken denken dat nu, vanwege het grote aantal gebruikers, het juiste moment is aangebroken. Toch willen ze in de campagne niet de gevaren noemen die gebruikers lopen.
Op de website 3xkloppen.nl wordt dan wel een checklist aangeboden met wat mensen moeten doen, maar niet waarom. Als je overal invult dat je het niet weet, wordt er aan het eind alleen geadviseerd dat je met een expert contact op moet nemen en op een aantal aandachtspunten moet letten. Daarnaast wordt het ook niet verplicht om de beveiliging op orde te hebben, en blijft men onveilig opererende klanten gewoon vergoeden. Dit in tegenstelling tot Nieuw-Zeeland, waarbij banken wel de beveiliging van hun klanten in het geval van fraude willen controleren.
De banken willen geen uitspraak doen over wat de veiligste vorm van internetbankieren is. Hierdoor kunnen er dus verschillen tussen de banken zijn als het gaat om de implementatie van twee-factor authenticatie of andere oplossingen. Het is voor de consument hierdoor ook niet duidelijk wat de veiligste bank is. Toch wil de Nederlandse Vereniging van Banken haar leden niet opdringen om een bepaalde methode te kiezen. Daar zijn de banken vrij in.
We vroegen de Postbank om commentaar waarom zij geregeld worden aangevallen. Volgens de woordvoerster had dat niets te maken met de TAN-beveiliging, maar met het feit dat de bank 3,2 online banking klanten heeft. De banken zien ook niets in het verstrekken van gratis beveiligingssoftware. Volgende week gaat Security.NL dieper in op hoe veilig internetbankieren is en met welke gevaren gebruikers te maken hebben en gaan krijgen.
beveiligingssoftware."
Maar ze zouden de consument kunnen aanraden een kijkje te
nemen op security.nl. Beide partijen zouden een logootje
kunnen ontwerpen, Security.nl zou hier links of rechts een
ruimte kunnen creëren met dat logo, en de klanten laten
doorklikken naar een pagina vol goede raad, zoals op
gratissoftwaresite.nl.
Maar ik heb een beetje ervaring met het aanbieden van goede
raad: iedereen denkt het beter te weten, en te veel pc's
blijven botnet-speelgoed.
beveiliging op orde te hebben, en blijft men onveilig
opererende klanten gewoon vergoeden.
Als je de algemene voorwaarden voor electronische diensten
van de Rabobank doorleest zie je dat ze dat helemaal niet
(hoeven te) doen.
geven voor een minimale beveiliging. Ik zie ook geen
overzicht van aanbevolen software. Er wordt overigens geen
enkel softwarepakket aanbevolen. Niet eens Firefox of de
Firefox extensie Keyscrambler, AVG Antivirus, etc.
omdat ik volgens de site niet helemaal veilig ben....
De nadruk lag op: firewall op mijn eigen machine en spyware...
Toch jammer dat deze banken oogkleppen ophebben en alleen naar het
Windows OS hebben gekeken. Thuis en op het werk, zit ik altijd achter een
router/firewall en gebruik MacOSX (geen spyware voor)....toch jammer....
de TAN-beveiliging, maar met het feit dat de bank 3,2 online
banking klanten heeft.
Yippie een echt M$ verweer, doet het altijd weer goed.
Dat waardeloze testje heb ik ook even gedaan. Die is te
stompzinnig voor woorden. Houdt geen rekening met bv Linux
of Mac en hoe die met beveiliging en updaten omgaan.
NL is wel erg belerend aan het worden. Van fietslampje tot
PC beveiliging... :(
Gelukkig is er voor de banken nog een uitweg om hier elegant
uit te komen.
-Geef iedere klant een CD'tje mee met een GNU/Linux
distributie erop.
-Verder zouden alle banken met een nummergenerator en twee
gescheiden codes (inloggen/betaling verzenden) moeten werken.
Legaal werken !
Virtual machine
LUA (vrij vertaald zo met min mogelijk rechten werken alleen wat strict
noodzakelijk is)
Image steeds terug zetten
Image voorzien vd laatste patches zowel voor os als de gebruikte
applicaties
Antispyware, Virusscan SW, firewall
Image slechts benaderbaar door 1 account (password en username aan
niemand geven)
Enkel de bewuste banksite raadplegen en geen enkele andere site
Zoiets als die rabobank calculator gebruiken
Dan ben je iig "redelijk safe" bezig al hoe wel de zwakste schakel
voldoende is.
Dat is dus een interessante uitdaging voor een gemiddelde gebruiker.
En safe is het nooit. Er blijft een risico aanwezig.
Ben jij goed bezig dan wordt die IB site wel
weer gehackt en zo blijf je bezig.
alsjeblieft gebruik kan maken van Opera (i.c.m. windows nb.)
nog steeds krijg ik het standaard-antwoord dat deze browser door de
postbank niet wordt ondersteund en wordt me geadviseerd om gebruik te
maken van IE.
bovendien, als ik probeer in te loggen mbv Opera krijg ik nog steeds de
melding dat deze site gebruik maakt van een verlopen certificaat. ook dit
maakt blijkbaar geen indruk. hoe wil die bankorganisatie nog serieus
genomen worden ????
Staan uw firewall en virusscanner altijd aan?
Nee, ik gebruik geen virusscanner maar wel een firewall.
Staat de automatische update aan?
Onder Windows niet omdat er elke maand weer gezeik is met
updates. Onder linux wel maar geen automatische kernel-updates.
Gebruikt u altijd de nieuwste versie van uw browser?
Nee hoor, ik update vaak. Maar dankzij wat extra beveiliging
(NoScript e.a.) ben ik met oudere versies ook niet meteen
kwetsbaar. Op bcheck.scanit.be/bcheck krijg je eenidee van de (on)veiligheid van je browser.Staat de beveiliging van uw browser altijd aan?Dat dan weer wel ja :)Gebruikt u altijd het nieuwste anti-spywareprogramma?Ten eerste bestaat er geen noemenswaardige spyware voor mijnsysteem. Ten tweede is er geen enkel anti-spywareprogrammadat alle spyware kan vinden en ook verwijderen, dus hoeveelvan die programma's heb ik nodig (gelukkig heb ik een snellemachine)?Weet u altijd precies wat voor gratis bestanden udownloadt?Aangezien er geen noemenswaardige malware voor mijn systeembestaat, maak ik maar daar niet zo druk om. Mede omdat mijnsysteem van zichzelf al een meerlaagsbeveiliging heeft.Software die ik download is doorgaans open source.Overige vragenDe bankzaken overigens gaan altijd goed.Mijn score was dat ik 'nog niet helemaal veilig'internetbankier, met de aandachtspunten: Firewall, Browser,Spyware.Het is grappig om te zien dat typische Windows-ellende doorde massa geassocieerd wordt met computers in het algemeen.Het is alsof de massa in Trabantjes rijdt en 'gelooft' datde problemen die zij met hun auto hebben, bij alle auto'sin dezelfde mate voorkomen.Stel, over een paar jaar zit ik aan een digitaal loket vooreen nieuwe internet-rekening en dan bepaalt de lokettist(e)de veiligheid van mijn pc. Het weet niets van computers,maar kan mijn computer aan de hand van deze vragenlijst tochheel makkelijk beoordelen... Jammer meneer, u gebruiktgeen virusscanner en anti-spywareprogramma. Daardoor lopen uen de bank zeer grote risico's. En daarom kunt u bij onsalleen een internetrekening openen, als u ook de verzekeringtegen digitale criminaliteit afsluit. Dat kost u slechtsEUR.50,- per maand.En de politiek zal ook wel wat daadkracht gaan tonen. Onzeleiders zullen laten zien dat ze geen watjes zijn (ik zieBalkendachterende alweer stoer in de camera kijken). Eenzero-tolerancebeleid tegen onveilige pc's. Virusscanner enanti-malware verplicht zal het wel worden. En vette boetesvoor diegenen die die wet overtreden. Zo werkt Nederlandprofessioneel aan veiligheid...
programma hebben ontwikkeld.
Een proggie waarmee je alleen verbinding met de bank hebt
lijkt mij beter beheersbaar.
Nu bankier ik met Firefox in veilige modus.
Als ik overal "ja" op antwoordt... krijg ik dezelfde
uitkomst als als ik helemaal niks beantwoord...
Namelijk:
Niet helemaal veilig
Aandachtspunten: firewall, spyware, adres, betalen
Ik denk dat de banken zichzelf eerst even 3x op het hoofd
moeten kloppen... ;-)
hebben, en blijft men onveilig opererende klanten gewoon vergoeden."
Dit is een aperte leugen.
Op een gegeven moment hebben ze geen keus meer, omdat een klant
anders eenvoudig en ontraceerbaar zelf zou kunnen gaan frauderen.
Je zult als klant dan dus zelf moeten aantonen dat je te goeder trouw hebt
gehandeld, en je zult dat als klant niet kunnen aantonen.
Niet lang geleden werd dit door eBay treffend verwoord: de transactie is
formeel niet via onze systemen afgesloten, dus wij zijn niet aansprakelijk.
Het slachtoffer was bepaald niet stom bezig geweest, maar kan fluiten
naar haar geld.
Ze kunnen het geld dat met deze propaganda wordt weggegooid beter
besteden aan het oplossen van hun problemen; dat is goedkoper en
veiliger voor alle betrokkenen.
Nou als dat een goede test is kan ik met een gerust hart met
mijn miljoentjes schuiven via het Internet van de Bank.
Zowel in Firefox als in Konqueror is alles geheel veilig bij
de meest uitgebreide test en de pogingen mijn browser te
laten crashen zijn mislukt. :)
bezuinigingen op loketpersoneel en gebouwen nemen ze de
kosten van wat schadegevalletjes op de koop toe.
Waarom zou de eindgebruiker moeten betalen als de banksites
kinderleijk eenvoudig zijn te misbruiken? De bank moet gaan
investeren in zijn beveiliging! En dit n iet afschuiven op
de klant.
veilig afgesteld dat die site niet weergegeven kan
worden. ;)
dan in combi met die flashige bank website. Lekker veilig,
dat flash.
expert...waar vind ik die zo snel...ik doe aan onveilige
bankbewegingen...paniek slaat toe en ik weet opeens een goede
bestemming voor al die eenzame sokken in mij la.
1 ] u hebt geen flash, logisch ik werk met firefox met noscript.
2 ] siteadvisor geeft grijs aan, dusde site is niet
gecheckt, dus wie zegt me niet dat de site zelf niet onfris is.
3 ] Bij noscript zie ik dat 3x kloppen googlesincyndicates
er instaan voor scripts
4 ] iig, de test stelt geen ruk voor.
feli u bankiert veilig, doh..
van security.nl natuurlijk helemaal bewust van alle risico's dus is dat niet
zo vreemd.
Blijft natuurlijk het punt dat iedereen verantwoordelijk is voor de veiligheid
van de eigen computer en de bank hooguit op deze verantwoordelijkheid
kan wijzen.
Ik vind het risico acceptabel en blijf daarom lekker telebankieren. Ieder die
denkt dat het niet acceptabel is zou direct moeten stoppen.
Leuk item voor een poll!
Zijn de risico's acceptabel?
1) Ja, je kan rustig telebankieren
2) Nee, maar ik doe het toch
3) Nee, en ik telebankier niet (meer)
niet meer van alles op de hoogte zyn. Dan is het pas veilig. dank u
Je kunt je huis net zo zwaar beveiligen als een bunker,maar als
kwaadwillenden er perse in willen,komen ze er toch in,punt uit.Dat geldt ook
voor een zwaar beveiligd computersysteem.Recent is nog een computer
inbraak bekend in het zwaar beveiligde systeem van de Amerikaanse
overheid.Online internet bankieren blijft m.i een hachelijke zaak.Met een key
generatertje worden door klanten nieuwe onkraakbare codes
gemaakt.Denken ze.Hoevele spelletjes en software zijn er al niet
gekraakt,waaronder hagelnieuwe? En wat dacht u van de openbaar vervoer
chipkaart,niet te kraken.....dacht men.Een gelikte hacker weet,als hij of zij dat
wil,er wel raad mee na verloop van tijd.
Internet bankieren? Geen haar op mijne kop die daar aan denkt!
Hoe naief kunnen mensen toch zijn,vreselijk !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
