Dat is de enige manier om ze te laten merken dat je het er absoluut niet mee eens bent.

Dit is echt de domste actie van de ING tot nu toe!
Die bank wordt door de staat gesteund, ze stonden immers tijdens de krediet crisis op omvallen en toen besloot meneer Bos de bank over te nemen, en dan gaan ze dit doen.
Liegen + downgraden... ik doe opleiding voor netwerkbeheerder en zou echt ontslag nemen als men mij zou verplichten dit te doen, want voor de veiligheid moet je juist UPgraden.
Daarnaast is het ook al aantal keren in de programma van de vara genaamd "kassa" hierover gesproken geweest en ook de ICT mensjes die daar als expert zaten, vonden de tan-code manier eveneens onveilig.
Ik juig het dus toe om de zakelijke contracten met deze bank op te zeggen.

- SMS is af te luisteren en telefoons zijn te stelen. SMS-diensten zijn in het buitenland niet altijd snel genoeg.
De kans op afluisteren is wel heel klein. Als je telefoon wordt gestolen moeten ze nog steeds jouw id/wachtwoord hebben.
Als het dus fout is dat je eigen schuld.

- TAN-code lijsten zijn van tevoren bekend, kunnen worden gehengeld, zijn niet transactieafhankelijk en zijn te lang geldig.
De lijsten zijn bekend, maar wat via SMS komt niet. Dus maak een goede keuze.

- Username/passw is onvoldoende beveilgiing voor mijn transactiegegevens
TAN code via SMS is het derde component die hier even niet genoemd wordt.

Kortom, paniek om niets.
Frans.

They are retarded...

Omroep Max zoekt contact met gedupeerden van phishing. In het consumententelevisieprogramma 'Meldpunt!' besteden we aandacht aan betalingsverkeer via internet en de risico's daarvan. Bent u door phishing benadeeld doordat ongewild geld van uw rekening is afgeschreven? Durft u hierover op tv te vertellen om zodoende anderen hiervoor te behoeden? Mail dan met: meldpunt@omroepmax.nl

Redactie 'Meldpunt!'
Omroep Max

Het enige probleem dat ik zelf heb met het systeem van de ING is dat als je ook bij ze belegt, men je aandelen portefeuille kan verhandelen met alleen je username/password combi.

De TAN codes is in elk geval nog enige vorm van beveiliging. Bij veel buitenlandse banken heb je enkel en alleen de username/password combi nodig om overboekingen te kunnen doen.

Op dit moment lijkt mij een userID/password + TAN via SMS vrij veilig.
Er zijn immers eenvoudigere manieren te bedenken om iemand geld afhandig te maken.

Toch ben ik het eens in zoverre dat een bank in ieder geval, na een grondige risicoanalyse, het zo veilig mogelijk moet maken. Dit kan soms heel eenvoudig door een procedure anders op te stellen, maar ook door het veranderen van een foutboodschap.

Laten we ING maar als voorbeeld gebruiken. De ING (https://mijn.ing.nl) heeft er voor gekozen om een andere melding te geven, voor een foutief wachtwoord, dan voor een foutieve gebruikersnaam:

foutief wachtwoord:
"U heeft uw gebruikersnaam en/of wachtwoord verkeerd ingevuld. Probeer het opnieuw. Let op: als u uw codes 3x foutief invoert, wordt uw toegang geblokkeerd en dient u nieuwe codes aan te vragen."

foutieve gebruikersnaam:
"U heeft uw gebruikersnaam en/of wachtwoord verkeerd ingevuld. Probeer het opnieuw.

Let op: Als u uw codes 3x foutief invoert, wordt uw toegang geblokkeerd en dient u nieuwe codes aan te vragen via de link 'Inlogcodes vergeten' onderaan dit scherm."


Dit lijkt mij voor de ING eenvoudig en goedkoop aan te passen en kan, zij het een klein beetje, bijdragen aan de veiligheid.
Zo zijn er ongetwijfeld meerdere manieren om de veiligheid te vergroten, zelfs met geringe kosten.

Een calculator hoef je niet te stelen, die haal je gewoon bij de bank. In combinatie met je bankpas heb je pas een werkende code, dus zonder bankpas kan je niet internetbankieren.

Er zijn heel veel manieren om aan de username/password te komen voor fraudeurs. Keyloggers, phishing of andere malware werkt hier goed voor. Daarna moet men de TAN code onderscheppen. Je stelt dat de kans hierop erg klein is, maar daar ben ik het niet mee eens. Binnen afzienbare tijd worden de rainbowtables voor A5/1 encryptie op internet gepost door Karsten Nohl. Het is daarna met zo'n 500 EUR aan apparatuur (www.ettus.com) mogelijk om GSM signalen te onderscheppen en te decrypten. Dat valt dik binnen de vaardigheden en de motivatie van fraudeurs, en het is dus logisch dat zij dit zullen gaan doen. Bedenk wel dat we met deze keus van de ING voor minstens de komende 5 jaar aan deze methode vastzitten. En veiliger gaat het niet worden.


Als ik op vakantie ga, of voor zaken in het buitenland zit moet ik kunnen bankieren (de belastingdienst eist van mij als ondernemer betaling op tijd!). In het buitenland werken SMS diensten vaak langzamer en zijn dus niet bruikbaar. Ik zal dus voor mijn vakantie over moeten stappen op lijsten, en teruggaan naar SMS diensten als ik weer thuis ben. Niet werkbaar dus.


Nee, dat was het eerste punt: GMS (incl SMS) is af te luisteren.

Groeten!

Nou dan zijn ze het eerste slachtoffer van het concept regeeraccooord...

Nee, voor mensen zonder GSM, of buiten ontvangstgebeid of in het buitenland worden de lijsten nog steeds gehanteerd.


Daarom hebben de calculators van o.a. ABN Amro en Rabo ook de Pincode van het pasje nodig.


Ja, het deel dat ik zelf in de hand heb, behandel ik dan ook met zorg. Maar als de architectuur wijzigt waardoor ik een lager beveiligingsniveau krijg, is dat niet acceptabel voor mij. Mijn rekening is ook nog nooit geplunderd, maar dat betekent niet dat het niet gebeurt.....

Als ik hierboven lees dat je met dat ding alleen je bankpas nodig hebt, om te kunnen bankieren, klinken tan codes mij veiliger in de oren.

Als iemand mijn pas onderschept, en zo een apparaat heeft kun je al aan de gang. Terwijl als iemand mijn tan code lijst onderschept (ik las ergens dat je die niet meer kon krijgen bij de ING hier, maar dat is niet waar die hebben ze nog steeds). Kun je nog steeds niks met deze codes, je zult eerst mijn username en password moeten kraken.

De kans dat en iemand mijn tan code lijst bemachtigd, en mijn username en password weet te kraken, acht ik uiterst klein.
(Maar dat komt vooral door hoe ik met die laatste omga, en het voorkomen van maleware / spyware op het device waar ik op internet bankier).

Hier is er niks over bekend. Er is geen communicatie geweest met een inhoud van deze strekking. Lijkt me eerlijk gezegd ook een beetje erg onwaarschijnlijk, zeker in situaties waar twee mensen voor een betaling moeten 'tekenen' want dat zou belachelijk onveilig worden. We zullen het in de gaten houden en er wat navraag op doen.

Je makkelijk slachtoffer worden van spyware terwijl je antivirus programma dit niet door heeft.. security.nl heeft pas nog gemeld dat de zogenoemde scareware programma's nauwelijks worden herkend als virus, terwijl het juist grote virussen zijn.
Tan code lijst is makkelijk te hengelen, er zijn genoeg slachtoffers omdat criminelen steeds geliktere phishing websites weten te bouwen.
mobiele telefoon is af te luisteren.

Maar bij de rabo/ABN heb je je pasje nodig en een calculator - daarna krijg je na het intoetsen van je pincode een bepaalde inlog code terug gestuurd en via deze code kan je inloggen, maar het slimme aan deze code is... dat deze code slechts 1 maal geldig is, dus na het intoetsen ervan dien je per direct opnieuw je pincode in te moeten voeren etc.
dus kans op stelen van deze code is minimaal.

Nee, bankpas (met chip, dus geen magneetstrip) plus PIN. Kortom, datgene wat je ook nodig hebt om cash uit de muur te halen.


Klopt niet, PIN code is in die gevallen ook nodig.

ZIe http://www.ing.nl/zakelijk2/nieuws-en-kennis/de-nieuwe-ing-voor-u/index.aspx onder kopje 'internetbankieren'. Voor bepaalde zakelijke klanten die de andere offline banking applicatie gebruiken (die waar jij het waarschijnlijk over hebt en met smartcards werkt) geldt dit niet.

groeten

De TAN methode gevoelig voor 'man in the middle attack'.

ABN-AMRO is ook vatbaar.
RABO-BANK niet vatbaar bij hogere bedragen,
ING-BANK, geen ervaring.

Eens, een TAN password is niet betrouwbaar. Met je TAN user+pass kunnen ze zichzelf ongelimiteerd toegang verschaffen naar je rekening en toeslaan wanneer je rekening goed gevuld is. Dat is het grote nadeel van TAN. Bij een ABN-AMRO, RABO-BANK calculator kunnen ze dat niet, alleen wanneer jij inlogt, kunnen ze meekijken.

Een ander nadeel van TAN en de ABN-AMRO calculator, is dat de autorisatie code niet is afgestemd kan worden op het te over te maken bedrag. RABO-BANK kan/doet dat wel. RABO zal bij het overboeken van een hoog bedrag (500+ euro dacht ik), met de calculator verifiëren of er ook werkelijk alleen maar dat gewenste bedrag word overgeboekt.

TAN is no-go (al jaren niet meer).
Per SMS Codes ontvangen lijkt mij voor toch erg veilig. GSM afluisteren is mogeelijk, in de praktijk lijkt het mij niet eenvoudig om grootschalig een GSM aanval te voeren. Het zal actie zijn gericht aan één persoon en dan nog moet dat persoon zo'n SMS dienst gebruiken.

ABN-AMRO verifieert het rekeningnummer via de calculator bij transacties boven de 5000 euro.

Leuk, GSM is gekraakt en ineens valt iedereen over de veiligheid van SMSjes. Stel nu dat iemand mijn SMS kan afluisteren. Wat staat daar dan voor informatie in?

*doet sms checken*

"Geef nooit uw TAN code! Totaalbedrag overboekingen E xx.xxx,xx. Hoogste overschrijving E x.xxx,xx naar rekening *834.. volgnumer xxx; TAN-code xxxxxxxx."

Bel de politie, schakel de landmacht in!!

Hebben jullie eigenlijk wel een idee waar jullie over praten? Hebben jullie ooit wel eens van classificatie van informatie gehoord? Of een risico assessment? Of maximale schade vs kosten van mitigeren? Of acceptatie van risico's? Of uberhaupt van risico management?

En wat betref de topic starter. Wat is nu eigenlijk je maximale risico's? En zijn deze risico's gedekt?
Succes bij de ABN en RABO. Het gras is altijd groener....

De ABN Amro e-Identifer-II heeft dit opgelost en is daarmee niet meer vatbaar hiervoor. Het doet dit door een terugkoppeling op het display van de e-Identifier zodat daar te zien is wat er precies naar wie wordt overgemaakt.

Ik gebruik een OS om te telebankieren, waar geen spyware op kan komen. Simpelweg omdat er niks geinstalleerd kan worden (Live distro idee). En je rabo pas, het slimme vind ik juist het kutte. Ik acht namelijk de kans veel groter dat ik geskimmed word (mn pas gegevens gejat en pin code). Dan dat en iemand mijn tan lijst weet te bemachtigen en ook nog is mijn username en password van telebankieren.

Dat GSM onderschept kan worden is al bijna 20 jaar bekent, nu kan het echter met een lage investering. Echter, probeer tussen alle SMSjes de juiste te vinden met de TAN code. Daarbij, nog steeds id/wachtwoord. Als je slorig bent en een keylogger o.i.d. hebt, is dat dan de schuld van de ING dat derden dan in staat zijn om jouw geldverkeer (met veel moeite) te manipuleren?

Het mooie van TAN via SMS is juist dat een ander communicatie kanaal wordt gebruikt.

En ja, wanneer SMS in het buitenland te lang duurt, kun bij de ING nog steeds de transactie afronden ook al is er enig vertraging.

Frans.

Leuke termen als risicomanagement risicoassesment. Toevallig mag ik me gecertificeerd noemen op dat gebied en moet ik concluderen dat jij geen idee hebt waar je het over hebt. Fout nr 1 van een risicomanager: Jij bent niet diegene die bepaald of een risico acceptabel is maar dat doet diegene waarvoor jij die analyse uitvoert. In dit geval is dat de topic starter en niet jij.

Verder impliceer jij dat het een overschat risico is, nogmaals dat bepaal jij niet meer je opdrachtgever of in dit geval de topic starten. De overheid heeft inmiddels Digi-D ook onveilig verklaard door het gebruik van SMS over GSM (A3/1 encryptie) Dit gebeurt niet voor niks en geloof mij dat daar ook een risicomanager zit die de afweging maakt omdat te concluderen. Nogmaals bepaalde de overheid hier voor haar zelf dat het onveilig is, jij als burger mag dat ook concluderen als je op de hoogte ben van de risico's en je deze niet acceptabel vind.

Buiten dit alles, geef je schijn dat je weer dat je geen enkele idee hebt over geautomatiseerde gegevens verwerking laat staan malware. De leuke variant van Zeus heeft namelijk al een overboeking gedaan voordat jij je smsje leest...... maar welke informatie staat er nu eigenljik in zoon sms heh ?

Feit is gewoon dat de techniek die de rabobank veilig is omdat er meer factoren worden gebruikt ook feit is dat dit elke dat opnieuw bewezen moet worden. Iets wat vandaag de dag veilig wordt geacht kan morgen gekraakt zijn en als onveilig worden betiteld....... met deze argumenten denk ik dat jij reactie totaal geen grondslag meer heeft ...

Exact, en dat is nu precies wat de aanvaller nodig heeft om de transactie te kunnen afronden! Wat bedoel je hiermee te zeggen?


is mijn beroep, dus ja.


Mijn maximale risico is het gehele saldo van mijn rekening. Want in een worst case is het weg, en krijg ik het niet terug. Dit risico is niet met zekerheid gedekt omdat het beleid van de ING niet garandeert dat fraudeslachtoffers altijd vergoeding krijgen. Dus moet ik uit oogpunt van risicomanagement, zelf zorgen dat ik gebruik maak van beveiligde technologien. En als mijn bank dan plots het niveau aantoonbaar verlaagt, dan neemt mijn risico dus toe omdat de kans op het optreden ook toeneemt. (risico = kans * impact). Derhalve is mijn bedreigingsprofiel gewijzigd en heb ik een nieuw assessment uitgevoerd. Het resultaat hiervan is dat ik een nieuwe maatregel moet implementeren (lees: zoek een nieuwe bank) die mijn risico mitigeert tot een voor mij acceptabel niveau. Zo genoeg antwoord?

Door dat TAN code systeem is ING wel de enige bank waarbij je tenminste nog kunt internetbankieren als je pas ingeslikt/ gestolen of geblokkeerd is.

De papieren lijsten zijn er wel degelijk nog steeds, al moedigen ze wel particulieren aan om op sms over te stappen.

Het huidige systeem met de calculator van de ING gebruikt geen pas. Dus ook zonder TAN codes kan dit, maar is nou net het systeem dat wordt uitgefaseerd.

Ik weet niet zeker of het niveau 'aantoonbaar verlaagd' is.

Er zijn een aantal deelgebieden in dit vraagstuk:
- is TAN een slechte beveiligingsmethodiek?
- is sms veilig genoeg om een code over te versturen?
- is een papier met TAN codes veilig genoeg voor bankzaken?
- is login/password wat leidt tot 'read-only' toegang tot bankgegevens veilig genoeg voor bankzaken?
- is de totale combinatie login/password + TAN welke via papier of sms bekend is veilig genoeg?

Als je naar de afzonderlijke onderdelen kijkt is er best iets op aan te merken.
Maar om een transactie te doen dient iemand over zowel je login/wachtwoord als over je TAN te beschikken.
Hij moet je telefoon of TAN lijst in bezit hebben en gelijktijdig je login credentials voor ING.
Dat is al een stuk minder waarschijnlijk, tenzij we te maken hebben met een tegen 1 persoon gerichte actie.
En dan zitten we in een heel ander vraagstuk, want dan is een pas/card-reader niet per definitie veiliger.

TAN-codes die echt werken als een one-time-password zijn prima, want die zijn beperkt geldig en niet van tevoren bekend. De TAN-lijsten zijn dat niet. De SMS-TAN's wel.


Ik vind van niet, omdat het mogelijk is om in bulk SMS te tappen voor een voor een aanvaller economisch rendabel bedrag. Dit bedrag gaat nog verder dalen en komt daarmee in hetzelfde bereik als skim-apparatuur voor skimmers. Het doorzoeken van alle SMS'sen is kinderspel. Zie 'man grep' ;-)


nee want van tevoren bekend en lang geldig.


Ik vind van niet, omdat read-only betekent dat daarmee enorm veel informatie bekend raakt die voor gerichte (social engineering) aanvallen kan worden gebruikt. Maar dat is zo in mijn situatie, wellicht gelden voor andere mensen andere normen. Maar alleen al hierom vind ik het te risicovol.


En dat is inderdaad de totale optelsom, maar die valt vanuit mijn perspectief dus negatief uit.

Misschien een domme vraag maar als je een tancode, verkregen per sms. hebt gebruikt voor een transactie is deze tancode dan niet waardeloos en niet meer te gebruiken? ik neem aan dat je ze random krijgt toegezonden? Wat heb je dan aan oude codes als je telefoon wordt gestolen bijvoorbeeld?

Je kunt ze maar een keer gebruiken, ik werk ook met ing.

Jongens niet zoveel paniek over ING. Als GSM/TAN niet veilig genoeg is, kan je bij ING nog altijd met FTP uit de voeten.

http://www.ing.nl/businessbanking/internetbankieren/ing-ftp-service/index.aspx

Zo, ook weer opgelost.

Aan de oude codes heb je niets, maar met de telefoon kun je nieuwe ontvangen!

Dat heb ik juist liever niet, als ik mijn pas heb laten blokkeren omdat hij gestolen is of ik ZeuS op mijn machine op ofzo dan zou degene die mijn gegevens heeft dus ook mogelijk kunnen internetbankieren.

TAN by SMS is het beste compromis tussen veiligheid & werkbaarheid voor een particulier. De gemiddelde internet crimineel zal niet de tijd besteden die nodig is om deze beveiliging te kraken tenzij dit een aanval gericht is op 1 persoon in welk geval ze binnen zullen komen hoe sterk je beveiliging ook is.

Haha, epic... sftp zal nog wel te modern zijn voor de meest automatiserings systemen...

Dit speelde eind vorig jaar toch ook al? Toen was het voor particuliere klanten van de ING en vond ik het al een slechte zet van ING. Zeker gezien dit artikel op tweakers.net:
http://www.security.nl/artikel/34726/1/%22Pinpasfraude_kinderspel_bij_ING%22.html

Jochie, dit is al weer de zoveelste keer dat je met je certificering zwaait. Ken je deze post nog? Je komt net kijken. Hoe oud ben je eigenlijk? Ik gok niet ouder dan 22.

http://security.nl/artikel/30975/1/Security_gerelateerde_vacatures.html


Nee, de risico drager bepaalt of een risico acceptabel is. Dus de kernvraag is hier: "Wie draagt het risico?"
En dat hoeft niet perse de topicstarter te zijn. Sterker nog, dat is niet de topicstarter. Het enige dat de topicstarter mag bepalen is of hij klant blijft. Alle andere beslissingen mbt risico ligt bij de service provider, in dit geval de bank. En laat die nu ook toevallig degene zijn die alle schade dekt.

Leuk vak he?



Appels met peren vergelijken. Je DIGI-D stuurt wellicht gegevens die in het kader van de WBP over een vertrouwd kanaal verstuurd dienen te worden. Dat heeft niets met een TAN code of de eventuele misbruik van internetbankieren dmv afluisteren te maken, maar dat is een wettelijke verplichting.

En zelfs met mijn, volgens jou, gebrekkige kennis kan ik je vertellen dat TAN codes volgens mij niet onder de WBP vallen. Maar een plusje voor de poging.



Wauw! Die Zeus moet wel heeeeeeeel erg slim zijn! Hij kan dus zowel mijn computer (as if ik Windows draai) als mijn telefoon besmetten. En dan kan hij ook nog eens mijn mobiel aan mijn computer en bankaccount koppelen, en dan kan hij ook nog eens realtime mijn smsjes afvangen en deze aan een overboeking koppelen, en dan kan hij met die TAN code geautomatiseerd een transactie goedkeuren en daarna mij iets anders voorschotelen.. en dat allemaal voordat ik mijn smsje lees.

Misschien ben je in de war met de mogelijkheden bij je RABO bank rekening? Geen idee trouwens. Daar ben ik geen klant.



Normaal gesproken neem ik zoiets best van iemand aan.... alleen van jou niet want ik heb nu al een paar keer jouw analyserend vermogen in actie gezien.



Het slimste stukje uit je hele post


Wot???!?!

Ik zou de volgende keer even wachten met conclusies trekken over het kennisniveau van een persoon. Denk niet dat je met een certificering toepasbare kennis in huis hebt. De wereld verschilt een heleboel van je studieboeken.


@DJdeDJ
Mooie risico analyse! Veel geluk bij je nieuwe bank.

De bank dekt de financiële schade welke direkt gerelateerd is aan de phishing actie.
Maar daar gaan een paar dagen overheen i.v.m onderzoek.
Fijn voor alle automatische incasso's die mis gaan (regelmatig zijn er additionele incassokosten aan verbonden en hoop handmatig werk). De boodschappen die je niet kan betalen. Pech als je tank bijna leeg is, kan je ook moeilijk naar je werk.
Er zit wel degelijk een risico bij de topicstarter.

@Anoniem dinsdag 17.21.
Goed punt! Het blijft altijd leuk om security.nl te lezen. Temeer omdat zogenaamde 'experts' (jochies met een certificering en powerpoint skills) inderdaad altijd denken dat de praktijk is zoals het lezen uit een boek. Ach gelukkig zie ik deze 'experts' niet meer zo vaak, aangezien het personeelsbeleid bij ons inmiddels is aangescherpt tot minimaal 10 jaar relevante werkervaring. Maar ik mis het wel een beetje..

Schaf PC banking en dergelijke af en loop terug alle dagen naar de bank, stop onderweg om iets te eten en te drinken in goed gezelschap.

De bank dekt nu nog het risico. Dat gaat vast veranderen, initieel lag de bewijslast al bij de gebruiker. Daar is men toen van teruggekomen.

Enne: bankieren kan ook vanaf je mobiel. Zeus is er ook voor mobieltjes. Weg 2factor.

Niet alleen voor hen. TAN op papier is heeeeeel waarschijnlijk veruit de meest gebruikte methode bij ex-Postbank klanten. Gebruik van SMS vergt actie van de gebruiker.