Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Direct e-banking betaaldienst: makkelijk of MitM?
20-02-2009, 10:58 door Anoniem, 24 reacties
Sinds kort bestaat er een nieuwe betaaldienst op internet. Als je iets bestelt bij een webshop kun je kiezen voor "direct e-banking". Nadat je voor je bank gekozen hebt en je rekeningnr/pasnr gegeven hebt vraagt de direct e-banking site een aantal keer om een response op een challenge, of bij de ING om TAN codes. De direct e-banking site logt namens jou aan op je eigen internetbankieren, doet een betaling voor jou (naar het rekeningnr vd webshop) en logt weer af (hopelijk).
Ik moet dan dus die direct e-banking site maar vertrouwen dat ze niets anders doen ... of bekijken ... en ik moet hun medewerkers vertrouwen.. Bij deze hele constructie krijg ik een heel naar gevoel: de ideale man in the middle.
In Duitsland bestaat dit ook al.
Wat vinden jullie?
http://www.directebanking.nl/
http://www.thepaypers.com/news/article.aspx?cid=736967
http://www.sofortueberweisung.de/
Ik moet dan dus die direct e-banking site maar vertrouwen dat ze niets anders doen ... of bekijken ... en ik moet hun medewerkers vertrouwen.. Bij deze hele constructie krijg ik een heel naar gevoel: de ideale man in the middle.
In Duitsland bestaat dit ook al.
Wat vinden jullie?
http://www.directebanking.nl/
http://www.thepaypers.com/news/article.aspx?cid=736967
http://www.sofortueberweisung.de/
Reacties (24)
Ziet er legetiem uit. Ik zelf zou het persoonlijk niet vertrouwen. Geef me dan maar liever IDEAL dan weet ik te minsten zeker dat het klopt. Dat is door een aantal banken opgezet. Stuk vertrouwelijker dan direct e-banking lijkt me. Overigens er zal altijd een vertrouwen kwestie zijn, met online bankieren. Er zijn zo veel dingen op internet die niet veilig zijn. Overigens bied het nog gene garantie dat IDEAL wel veilig is mocht je eigen machine gehacked zijn of spyware trojan etc bevatten. Technische gezien zijn ze met die methode letterlijk "de man in the middle"
1. De rekeningnummer check faalt vooralsnog voor nederlandse nummers; nogal slordig en wekt geen vertrouwen.
2. Het systeem is afhankelijk van secure cookies met geldigheidsduur van 1 jaar. Nono wmbt. Betaalverkeerdient geen clientside afhankelijkheden te kennen voor de transacties zelf.
Oude techniek, lijkt het, maar de Duitse TNO heeft het systeem (goed)gekeurd. RABO heeft ook zoiets in huis, maar gebruikt het niet (meer)
Doe mij maar iDEAL.
2. Het systeem is afhankelijk van secure cookies met geldigheidsduur van 1 jaar. Nono wmbt. Betaalverkeerdient geen clientside afhankelijkheden te kennen voor de transacties zelf.
Oude techniek, lijkt het, maar de Duitse TNO heeft het systeem (goed)gekeurd. RABO heeft ook zoiets in huis, maar gebruikt het niet (meer)
Doe mij maar iDEAL.
21-02-2009, 05:46 door
ctrlaltdelete
Had dat Direct e-banking ook al eens bekeken en snap er echt het nut niet van. Vooral de manier waarop het werkt lijkt mij juist een extra risico.
Gebruik iDEAL of voor buitenlandse sites PayPal en zorg er natuurlijk voor dat je eigen systeem schoon is van malware.
Gebruik iDEAL of voor buitenlandse sites PayPal en zorg er natuurlijk voor dat je eigen systeem schoon is van malware.
ik ga toch niet mijn bankiergegevens invullen in een andere site zodat die overboekingen kan doen voor mij!! einde zoek lijkt mij.
Niet alleen de veiligheid is een hekel punt.
Als de de bank besluit het systeem aan te passen werkt het hele systeem niet meer!
Geef mij maar iDEAL of creditcard (als het echt niet anders kan).
En anders Paypall.
Maar dit systeem?
De website ziet er leuk uit, hoewel bijna alle plaatsjes uit gratis te downloaden templates en icon pakketten komen.
Het is een Duits bedrijf, dus bij geschillen kan je niet beroepen op de Nederlandse wet of iets.
Tevens heb ik het vermoeden dat ik hiermee de overeenkomst met mijn bank schend.
iDEAL zou toch internationaal gaan?
Dan wacht ik liever daar op.
Als de de bank besluit het systeem aan te passen werkt het hele systeem niet meer!
Geef mij maar iDEAL of creditcard (als het echt niet anders kan).
En anders Paypall.
Maar dit systeem?
De website ziet er leuk uit, hoewel bijna alle plaatsjes uit gratis te downloaden templates en icon pakketten komen.
Het is een Duits bedrijf, dus bij geschillen kan je niet beroepen op de Nederlandse wet of iets.
Tevens heb ik het vermoeden dat ik hiermee de overeenkomst met mijn bank schend.
iDEAL zou toch internationaal gaan?
Dan wacht ik liever daar op.
21-02-2009, 17:47 door
[Account Verwijderd]
[Verwijderd]
Zodra je je inloggegevens bij een andere dan je eigen banksite invult, ben jij zelf verantwoordelijk voor eventueel misbruik ervan.
Banken waarschuwen niet voor niets om je inloggegevens alleen op hun eigen site in te voeren. Daarom is iDeal gemaakt.
Met andere woorden: nooit vertrouwen!
Banken waarschuwen niet voor niets om je inloggegevens alleen op hun eigen site in te voeren. Daarom is iDeal gemaakt.
Met andere woorden: nooit vertrouwen!
Dus dit is zoiets als je pasje met pincode aan een winkelier geven zodat hij met jouw pasje naar een geldautomaat gaat en precies het aankoopbedrag van je rekening haalt. Hij geeft vervolgens het pasje terug aan jou en vergeet de pincode....
Ik kijk wel twee keer uit voor ik die betaalmethode kies. Paypal werkt ook prima, die koppel je gewoon aan je NL betaalrekening en voor elke Paypalbetaling krijg je een incasso op je rekening. Net zo makkelijk.
Ik kijk wel twee keer uit voor ik die betaalmethode kies. Paypal werkt ook prima, die koppel je gewoon aan je NL betaalrekening en voor elke Paypalbetaling krijg je een incasso op je rekening. Net zo makkelijk.
22-02-2009, 09:03 door
[Account Verwijderd]
[Verwijderd]
Achterlijk systeem. Waar is https? Fijn dat TueV een verklaring afgeeft, fijn dat er een verzekering is, maar waar is het Nederlands recht, met de aansprakelijkheden?
Lijkt op de bekende phising aanvallen: Het is compleet met typfouten...:
<quote>
U betaald met een van de veiligste betaalsystemen wereldwijd.
</quote>
https://www.payment-network.com/nl/general/management-2.html
Belangrijk om te weten dat Herr Klein hiervoor actief is, en wat hij zoal gedaan heeft. Not.
Waar is de bankvergunning trouwens? Mogen ze wel in Nederland opereren op basis van wat ze in Duitsland doen?
De voorwaarden zijn ook lekker: https://www.payment-network.com/nl/general/agb-2.html waarin de aansprakelijkheid door deze partij wordt afgewezen. Dit is in strijd met vigerend Nederlands Recht.
Niet doen dus, ziet er uit als prutswerk.
EJ
Lijkt op de bekende phising aanvallen: Het is compleet met typfouten...:
<quote>
U betaald met een van de veiligste betaalsystemen wereldwijd.
</quote>
https://www.payment-network.com/nl/general/management-2.html
Belangrijk om te weten dat Herr Klein hiervoor actief is, en wat hij zoal gedaan heeft. Not.
Waar is de bankvergunning trouwens? Mogen ze wel in Nederland opereren op basis van wat ze in Duitsland doen?
De voorwaarden zijn ook lekker: https://www.payment-network.com/nl/general/agb-2.html waarin de aansprakelijkheid door deze partij wordt afgewezen. Dit is in strijd met vigerend Nederlands Recht.
Niet doen dus, ziet er uit als prutswerk.
EJ
22-02-2009, 22:57 door
Thaddy
Door Anoniem1. De rekeningnummer check faalt vooralsnog voor nederlandse nummers; nogal slordig en wekt geen vertrouwen.
2. Het systeem is afhankelijk van secure cookies met geldigheidsduur van 1 jaar. Nono wmbt. Betaalverkeer dient geen clientside afhankelijkheden te kennen voor de transacties zelf.
Oude techniek, lijkt het, maar de Duitse TNO heeft het systeem (goed)gekeurd. RABO heeft ook zoiets in huis, maar gebruikt het niet (meer)
Doe mij maar iDEAL.
Ik was vergeten in te loggen, maar deze was dus van mij ;)2. Het systeem is afhankelijk van secure cookies met geldigheidsduur van 1 jaar. Nono wmbt. Betaalverkeer dient geen clientside afhankelijkheden te kennen voor de transacties zelf.
Oude techniek, lijkt het, maar de Duitse TNO heeft het systeem (goed)gekeurd. RABO heeft ook zoiets in huis, maar gebruikt het niet (meer)
Doe mij maar iDEAL.
Aanvullend: behalve dat software matig de boel in orde zou kunnen zijn vraag ik mij af of Tüv naar de procedurele kant heeft gekeken.
is er al een partij zoals equens of nvb die hier een uitspraak over doet of dit ondersteund of gedoogd wordt?
Door Anoniemis er al een partij zoals equens of nvb die hier een uitspraak over doet of dit ondersteund of gedoogd wordt?
Dan zul je bij DNB moeten zijn. Dat is de enige partij die hierover gaat.
EJ
"https" betekent dat de website is beveiligd. Dit is dus érg positief! Het feit dat deze betaalmethode als onveilig wordt gezien, heeft vooral te maken met de naamsbekendheid die deze betaalmethode nog niet heeft. Toen iDEAL een aantal jaren werd geintroduceerd, zag je dezelfde reacties. En kijk nu eens? iDEAL is 1 van de meest populaire betaalmethoden van de E-commerce business! Ik heb vertrouwen in deze betaalmethode...
Door Anoniem: Achterlijk systeem. Waar is https? Fijn dat TueV een verklaring afgeeft, fijn dat er een verzekering is, maar waar is het Nederlands recht, met de aansprakelijkheden?
Lijkt op de bekende phising aanvallen: Het is compleet met typfouten...:
<quote>
U betaald met een van de veiligste betaalsystemen wereldwijd.
</quote>
https://www.payment-network.com/nl/general/management-2.html
Belangrijk om te weten dat Herr Klein hiervoor actief is, en wat hij zoal gedaan heeft. Not.
Waar is de bankvergunning trouwens? Mogen ze wel in Nederland opereren op basis van wat ze in Duitsland doen?
De voorwaarden zijn ook lekker: https://www.payment-network.com/nl/general/agb-2.html waarin de aansprakelijkheid door deze partij wordt afgewezen. Dit is in strijd met vigerend Nederlands Recht.
Niet doen dus, ziet er uit als prutswerk.
EJ
Lijkt op de bekende phising aanvallen: Het is compleet met typfouten...:
<quote>
U betaald met een van de veiligste betaalsystemen wereldwijd.
</quote>
https://www.payment-network.com/nl/general/management-2.html
Belangrijk om te weten dat Herr Klein hiervoor actief is, en wat hij zoal gedaan heeft. Not.
Waar is de bankvergunning trouwens? Mogen ze wel in Nederland opereren op basis van wat ze in Duitsland doen?
De voorwaarden zijn ook lekker: https://www.payment-network.com/nl/general/agb-2.html waarin de aansprakelijkheid door deze partij wordt afgewezen. Dit is in strijd met vigerend Nederlands Recht.
Niet doen dus, ziet er uit als prutswerk.
EJ
@ Anoniem:
Hoe kun je nou in godsnaam beweren dat het een beveiligde website is? HTTPS is een uitbreiding op het HTTP-protocol met als doel een veilige uitwisseling van gegevens. Bij gebruik van HTTPS wordt de data versleuteld, waardoor het voor een buitenstaander onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden.
Dit heeft dus niets met de website an sich te maken. Kunnen dus net zo goed een stelletje oplichters zijn.
De vergelijking met iDeal raakt kant nog wal daar men bij iDeal geen PIN hoeft te verstrekken aan een onbekende derde partij. Dus, als je mensen nog eens goede raad wilt geven, hoe dan gewoon je mond alstublieft, hartelijk dank.
Je bankgegevens inclusief PIN aan derden verstrekken.......stommer moet je niet worden.....
Succes aan alle mensen die zich toch door de gelikte website laten overhalen.
BNW
Hoe kun je nou in godsnaam beweren dat het een beveiligde website is? HTTPS is een uitbreiding op het HTTP-protocol met als doel een veilige uitwisseling van gegevens. Bij gebruik van HTTPS wordt de data versleuteld, waardoor het voor een buitenstaander onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden.
Dit heeft dus niets met de website an sich te maken. Kunnen dus net zo goed een stelletje oplichters zijn.
De vergelijking met iDeal raakt kant nog wal daar men bij iDeal geen PIN hoeft te verstrekken aan een onbekende derde partij. Dus, als je mensen nog eens goede raad wilt geven, hoe dan gewoon je mond alstublieft, hartelijk dank.
Je bankgegevens inclusief PIN aan derden verstrekken.......stommer moet je niet worden.....
Succes aan alle mensen die zich toch door de gelikte website laten overhalen.
BNW
Door Anoniem:
Waar is de bankvergunning trouwens? Mogen ze wel in Nederland opereren op basis van wat ze in Duitsland doen?
Hebben ze die nodig dan? Ze beheren toch zelf geen geld, ze maken het de klant alleen mogelijk te betalen...Waar is de bankvergunning trouwens? Mogen ze wel in Nederland opereren op basis van wat ze in Duitsland doen?
Er zijn meerdere grote payment providers die Direct E-Banking ondersteunen, dus daarom zal het wel geen frauduleus stinkzaakje zijn. Echter zie ik het nut er niet zo van in, aangezien we in NL al iDeal hebben. Nevertheless, een klant van mij heeft een (internationale) webshop en biedt voor de Duitse klanten ook Direct E-Banking aan (via een grote payment provider), dus ik heb er wel vertrouwen in dat het allemaal legitiem is.
yep, ook ik heb Directebanking vooral voor de duitse klanten gebruikt. Sofortuberweisung.de zoals het daar heet, is daar goed geaccepteerd; vergelijkbaar met ideal hier naar ik begreep.
Bedenk dat er in duitsland vele honderden, zo niet duizenden banken en bankjes zijn: regionale, per bundesland en federaal. Dus niet zo simpel als in NL om iDEAL op te zetten.
Men maakt zo ver ik weet gebruik van de mogelijkheden die SEPA biedt. Dit is een europese betaalstandaard waardoor 'iedereen' dit soort diensten kan aanbieden en dus niet alleen banken.
Bedenk dat er in duitsland vele honderden, zo niet duizenden banken en bankjes zijn: regionale, per bundesland en federaal. Dus niet zo simpel als in NL om iDEAL op te zetten.
Men maakt zo ver ik weet gebruik van de mogelijkheden die SEPA biedt. Dit is een europese betaalstandaard waardoor 'iedereen' dit soort diensten kan aanbieden en dus niet alleen banken.
28-05-2009, 18:30 door
Zarco.nl
Binnen 2 minuten een xss-mogelijkheid gevonden op hun website.
Wou zeggen "Liever iDeal dus"...
1 minuut later slik ik die woorden toch maar in... :P
Wou zeggen "Liever iDeal dus"...
1 minuut later slik ik die woorden toch maar in... :P
Ja idd ik had hetzelfde id maar ik ga eerst research doen voordat ik zoiets zal gebruiken want ik vind het een raar prencipe als ze kwaat willen kunnen ze je kaal plukken, je hoeft maar 1 gek te treffen. groetjes
Door Anoniem: Sinds kort bestaat er een nieuwe betaaldienst op internet. Als je iets bestelt bij een webshop kun je kiezen voor "direct e-banking". Nadat je voor je bank gekozen hebt en je rekeningnr/pasnr gegeven hebt vraagt de direct e-banking site een aantal keer om een response op een challenge, of bij de ING om TAN codes. De direct e-banking site logt namens jou aan op je eigen internetbankieren, doet een betaling voor jou (naar het rekeningnr vd webshop) en logt weer af (hopelijk).
Ik moet dan dus die direct e-banking site maar vertrouwen dat ze niets anders doen ... of bekijken ... en ik moet hun medewerkers vertrouwen.. Bij deze hele constructie krijg ik een heel naar gevoel: de ideale man in the middle.
In Duitsland bestaat dit ook al.
Wat vinden jullie?
http://www.directebanking.nl/
http://www.thepaypers.com/news/article.aspx?cid=736967
http://www.sofortueberweisung.de/
Ik moet dan dus die direct e-banking site maar vertrouwen dat ze niets anders doen ... of bekijken ... en ik moet hun medewerkers vertrouwen.. Bij deze hele constructie krijg ik een heel naar gevoel: de ideale man in the middle.
In Duitsland bestaat dit ook al.
Wat vinden jullie?
http://www.directebanking.nl/
http://www.thepaypers.com/news/article.aspx?cid=736967
http://www.sofortueberweisung.de/
15-09-2009, 09:36 door
Thasaidon
Ik gebruik bijna altijd acceptgiro.
Op die manier krijg je namelijk eerst je product en kun je betalen als alles goed (gegaan) is.
Mocht de levering niet goed zijn of er iets verkeerd gaan, heb je je geld nog in je zak.
Achteraf geld proberen terug te krijgen is altijd lastiger.
Als het niet anders kan gebruik ik iDEAL
Op die manier krijg je namelijk eerst je product en kun je betalen als alles goed (gegaan) is.
Mocht de levering niet goed zijn of er iets verkeerd gaan, heb je je geld nog in je zak.
Achteraf geld proberen terug te krijgen is altijd lastiger.
Als het niet anders kan gebruik ik iDEAL
Op zich is het uitgangs punt van deze betaal methode niet verkeerd, ze komen uit Duitsland waar iets als ideal niet van de grond komt. Het probleem wat ze daar hebben is dat er meer als 3000 banken zijn. De enige mogelijkheid om het daar overzichtelijk te houden om een dergelijke oplossing aan te bieden.
En in duitsland is het op dit mement de 2 of 3e betaal methode die ze hebben, maar inderdaad ben ik ook blij dat we in nederland ideal hebben.
En in duitsland is het op dit mement de 2 of 3e betaal methode die ze hebben, maar inderdaad ben ik ook blij dat we in nederland ideal hebben.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
