Security Professionals
- ipfw add deny all from eindgebruikers to any
Reacties (17)
Helaas, geen papieren afschriften werkt ook al niet meer. https://secure.security.nl/artikel/34731/1/ING_internetbankieren_voor_zakelijke_klanten_krijgt_security_downgrade
12-10-2010, 16:02 door
[Account Verwijderd]
[Verwijderd]
12-10-2010, 16:14 door
[Account Verwijderd]
[Verwijderd]
Heb al twee keer een activeringscode voor Mijn.ING moeten aanvragen. De eerste heb ik nooit ontvangen. Reactie helpdesk: "zal wel aan TNT post liggen". Tweede keer aangevraagd. op hoop van zegen dan maar. Anders snel naar Rabo.
Nog een goede toevoeging tegen skimmen in winkels:
Zorg in winkels dat je gebruik maakt van de chip van de pas in plaats van de magneetstrip. Bijna alle pinautomaten accepteren tegenwoordig ook een pintransactie via de chip. De gleuf die vroeger voor de chipknip was, wordt nu gebruikt om de chip te lezen. Veel veiliger aangezien deze niet geskimmed kan worden.
Zorg in winkels dat je gebruik maakt van de chip van de pas in plaats van de magneetstrip. Bijna alle pinautomaten accepteren tegenwoordig ook een pintransactie via de chip. De gleuf die vroeger voor de chipknip was, wordt nu gebruikt om de chip te lezen. Veel veiliger aangezien deze niet geskimmed kan worden.
02-12-2010, 14:18 door
WhizzMan
De chip-betaalpas is prima te skimmen, alleen zijn de skimmers nog niet zo ver dat ze dat ook doen. De reden daarvoor is dat de pasjes zelf nog niet na te maken zijn, maar je pincode is gewoon leesbaar, net als een aantal andere gegevens. Het wachten is totdat iemand een attack maakt die binnen een paar seconden de gegevens uit de chip weet te krijgen die nodig zijn om hem na te kunnen maken.
03-12-2010, 18:17 door
Le De_obfuscateur
moet je er voor zorgen dat je geen papieren bankafschriften meer toegestuurd krijgt via de post.
Vreemd stukje.Je bank afschriften zijn je laatste (eigenlijk je enige) controle-moment die jij hebt over wat er gebeurd met jouw rekening.
NOOIT opgeven, altijd opeisen die bankafschriften. Minimaal één per maand. Geld ook voor privé-rekeningen.
03-12-2010, 19:03 door
Syzygy
Door Le De'obfuscateur:
Je bank afschriften zijn je laatste (eigenlijk je enige) controle-moment die jij hebt over wat er gebeurd met jouw rekening.
NOOIT opgeven, altijd opeisen die bankafschriften. Minimaal één per maand. Geld ook voor privé-rekeningen.
moet je er voor zorgen dat je geen papieren bankafschriften meer toegestuurd krijgt via de post.
Vreemd stukje.Je bank afschriften zijn je laatste (eigenlijk je enige) controle-moment die jij hebt over wat er gebeurd met jouw rekening.
NOOIT opgeven, altijd opeisen die bankafschriften. Minimaal één per maand. Geld ook voor privé-rekeningen.
Volgens mij kan je 24 uur per dag inloggen om de stand van zaken te bekijken !
03-12-2010, 19:04 door
root
Is het niet veel veiliger om je geld ergens thuis te verstoppen?
03-12-2010, 20:26 door
Syzygy
Door root: Is het niet veel veiliger om je geld ergens thuis te verstoppen?
In je oven bijvoorbeeld
04-12-2010, 08:38 door
Erwtensoep
Tijd om van bank te wisselen?
Door Tweakers.net:
Privégegevens alle ING-klanten zijn door ontwerpfout te achterhalen
Door een ontwerpfout in het internetbankieren zijn naam, rekeningnummer en woonplaats van alle 8,9 miljoen Nederlandse ING-rekeninghouders te achterhalen. ING neemt geen maatregelen tegen dit privacy-issue.
Het achterhalen van privégegevens gaat via de overmaakfunctie van het internetbankieren van ING. Als iemand geld probeert over te maken naar een andere ING-klant controleert de bank of naam en rekeningnummer overeenkomen. Zo niet, dan verschijnt boven in beeld een melding met de vraag of het inderdaad de bedoeling is dat naar die persoon geld wordt overgemaakt. Daarbij staan veelal voorletters, achternaam en woonplaats vermeld.
Dit is bedoeld als service, maar kan gemakkelijk worden misbruikt. Kwaadwillenden kunnen een rekening openen en door een scriptje te maken de namen, woonplaatsen en rekeningnummers van alle ING-klanten achterhalen. Degene die Tweakers.net hierover tipte, heeft de proef op de som genomen en een lijst achterhaald met de 250 'eerste' rekeningnummers, van 0000001 tot 0000250. Om privacyredenen publiceren wij die lijst niet. Van de methode kan onder meer misbruik gemaakt worden door een database aan te leggen van ING-klanten. Een dergelijke database zou in het illegale circuit veel geld kunnen opleveren.
ING is niet van plan het opvragen van privégegevens onmogelijk te maken. "We maken een afweging tussen het risico op misbruik en de service aan klanten", aldus ING-woordvoerder Daan Heijbroek. "Tijdens een enquête bleek dat 94 procent van onze klanten blij is met deze service, die voorkomt dat mensen geld overmaken naar de verkeerde." Een mogelijke oplossing zou zijn een maximum, van bijvoorbeeld duizend, te stellen aan het aantal dagelijks op te vragen privégegevens. "Dat gaan wij niet doorvoeren, want wij achten het risico dat dit wordt misbruikt niet groot." Wel voert ING een wijziging door waardoor de woonplaats niet meer zichtbaar is.
De check op rekeningnummers bestond overigens al jaren, maar het was tot op heden onbekend dat deze misbruikt kon worden op deze manier. Kwaadwillenden zouden dit kunnen misbruiken om bijvoorbeeld bij grote groepen mensen via de automatische incasso of een eenmalige afschrijving een bedrag af te schrijven. Eerder al trok de Consumentenbond aan de bel over het incassosysteem omdat dit fraudegevoelig zou zijn.
Privégegevens alle ING-klanten zijn door ontwerpfout te achterhalen
Door een ontwerpfout in het internetbankieren zijn naam, rekeningnummer en woonplaats van alle 8,9 miljoen Nederlandse ING-rekeninghouders te achterhalen. ING neemt geen maatregelen tegen dit privacy-issue.
Het achterhalen van privégegevens gaat via de overmaakfunctie van het internetbankieren van ING. Als iemand geld probeert over te maken naar een andere ING-klant controleert de bank of naam en rekeningnummer overeenkomen. Zo niet, dan verschijnt boven in beeld een melding met de vraag of het inderdaad de bedoeling is dat naar die persoon geld wordt overgemaakt. Daarbij staan veelal voorletters, achternaam en woonplaats vermeld.
Dit is bedoeld als service, maar kan gemakkelijk worden misbruikt. Kwaadwillenden kunnen een rekening openen en door een scriptje te maken de namen, woonplaatsen en rekeningnummers van alle ING-klanten achterhalen. Degene die Tweakers.net hierover tipte, heeft de proef op de som genomen en een lijst achterhaald met de 250 'eerste' rekeningnummers, van 0000001 tot 0000250. Om privacyredenen publiceren wij die lijst niet. Van de methode kan onder meer misbruik gemaakt worden door een database aan te leggen van ING-klanten. Een dergelijke database zou in het illegale circuit veel geld kunnen opleveren.
ING is niet van plan het opvragen van privégegevens onmogelijk te maken. "We maken een afweging tussen het risico op misbruik en de service aan klanten", aldus ING-woordvoerder Daan Heijbroek. "Tijdens een enquête bleek dat 94 procent van onze klanten blij is met deze service, die voorkomt dat mensen geld overmaken naar de verkeerde." Een mogelijke oplossing zou zijn een maximum, van bijvoorbeeld duizend, te stellen aan het aantal dagelijks op te vragen privégegevens. "Dat gaan wij niet doorvoeren, want wij achten het risico dat dit wordt misbruikt niet groot." Wel voert ING een wijziging door waardoor de woonplaats niet meer zichtbaar is.
De check op rekeningnummers bestond overigens al jaren, maar het was tot op heden onbekend dat deze misbruikt kon worden op deze manier. Kwaadwillenden zouden dit kunnen misbruiken om bijvoorbeeld bij grote groepen mensen via de automatische incasso of een eenmalige afschrijving een bedrag af te schrijven. Eerder al trok de Consumentenbond aan de bel over het incassosysteem omdat dit fraudegevoelig zou zijn.
je kan natuurlijk ook een tweede rekeningnummer openen.
op het ene ontvang je alleen alle soorten inkomsten. Elke maand schrijf je (bijvoorbeeld elke twee weken) wat geld over naar je 'betaalrekening' zodat je kan pinnen en andere betalingen kan (laten) verrichten.
Houdt je meteen ook nog netjes bij hoeveel er per maand nodig is.
En kan je ervoor zorgen dat de schade nooit te groot wordt, mocht het mis gaan..
op het ene ontvang je alleen alle soorten inkomsten. Elke maand schrijf je (bijvoorbeeld elke twee weken) wat geld over naar je 'betaalrekening' zodat je kan pinnen en andere betalingen kan (laten) verrichten.
Houdt je meteen ook nog netjes bij hoeveel er per maand nodig is.
En kan je ervoor zorgen dat de schade nooit te groot wordt, mocht het mis gaan..
"Om te voorkomen dat je rekening wordt geplunderd via bovenstaande methode, moet je er voor zorgen dat je geen papieren bankafschriften meer toegestuurd krijgt via de post."
Indien je geen papieren afschriften meer ontvangt, dan wordt de kans kleiner dat je een besmetting met een banking trojan tijdig opmerkt. Heeft dus evenzeer nadelen vanuit beveiligingsoogpunt.
Indien je geen papieren afschriften meer ontvangt, dan wordt de kans kleiner dat je een besmetting met een banking trojan tijdig opmerkt. Heeft dus evenzeer nadelen vanuit beveiligingsoogpunt.
06-12-2010, 14:30 door
Le De_obfuscateur
Volgens mij kan je 24 uur per dag inloggen om de stand van zaken te bekijken !
Hoe veilig is jouw verbinding met je bank?
Waarschijnlijk goed.
Hoe betrouwbaar is die kennis voor jouw?
Hoe goed is hun systeem beveiligd?
Hoe betrouwbaar zijn zij (je bank)?
ISP?
Kabelexploitant?
Overheid? (Oh, noem ik die nou echt. JA)
Het gebeurd (gelukkig) niet vaak. Maar je bent echt de eerste niet, als je er achter komt dat andere je rekening hebben gebruikt. En je verbinding met je bank via man-in-the-m... aanval misbruikte om dat te verdoezelen.
06-12-2010, 14:37 door
Syzygy
Door Le De'obfuscateur:
Hoe veilig is jouw verbinding met je bank?
Waarschijnlijk goed.
Hoe betrouwbaar is die kennis voor jouw?
Hoe goed is hun systeem beveiligd?
Hoe betrouwbaar zijn zij (je bank)?
ISP?
Kabelexploitant?
Overheid? (Oh, noem ik die nou echt. JA)
Het gebeurd (gelukkig) niet vaak. Maar je bent echt de eerste niet, als je er achter komt dat andere je rekening hebben gebruikt. En je verbinding met je bank via man-in-the-m... aanval misbruikte om dat te verdoezelen.
Volgens mij kan je 24 uur per dag inloggen om de stand van zaken te bekijken !
Hoe veilig is jouw verbinding met je bank?
Waarschijnlijk goed.
Hoe betrouwbaar is die kennis voor jouw?
Hoe goed is hun systeem beveiligd?
Hoe betrouwbaar zijn zij (je bank)?
ISP?
Kabelexploitant?
Overheid? (Oh, noem ik die nou echt. JA)
Het gebeurd (gelukkig) niet vaak. Maar je bent echt de eerste niet, als je er achter komt dat andere je rekening hebben gebruikt. En je verbinding met je bank via man-in-the-m... aanval misbruikte om dat te verdoezelen.
Ja https wat zal ik zeggen, veilig dan maar !
veiliger dan het postkantoor, mijn postbode en mijn brievenbus of die van mijn buren als ie weer eens mijn naam niet kan lezen !
06-12-2010, 16:20 door
Le De_obfuscateur
Ja https wat zal ik zeggen, veilig dan maar !
veiliger dan het postkantoor, mijn postbode en mijn brievenbus of die van mijn buren als ie weer eens mijn naam niet kan lezen !
veiliger dan het postkantoor, mijn postbode en mijn brievenbus of die van mijn buren als ie weer eens mijn naam niet kan lezen !
https of hard-copy : allebei onvoldoende veilig.
Maar met de hard-copy heb jij een mogelijkheid er achter te komen of je https-sessions ook echt veilig waren.
Hoe vaak controleer jij de mutaties welke je banksite-pagina je voorschotelt?
Weet (herken) je elke mutatie van de afgelopen 4 weken?
Waarschijnlijk wel.
Maar hoe kom jij erachter als jou niet echt de pagina van je bank wordt getoond. Maar iets (zeer professioneel ogend) van een "man-in-the-middle"-attack.
Niet, als je geen hardcopy hebt.*
Of de fiod opeens bij je voor de deur staat. Of een dikke blauwe (extra) envelop.
* Dit gaat niet (altijd) op, ingeval de corrupte handelingen vanuit de bank zelf gebeurd. Of via werknemers met de door hun gewenste systeem toegangs-rechten.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
