image

Expert: Veilig internetbankieren is simpel

zaterdag 27 februari 2010, 15:21 door Redactie, 23 reacties

Veilig internetbankieren is helemaal niet zo moeilijk als veel mensen denken, zegt Roel Schouwenberg, senior anti-virusonderzoeker van Kaspersky Lab. Geavanceerde Trojaanse paarden die bankrekeningen plunderen, zoals de Zeus Trojan, zijn de laatste tijd vaak in het nieuws, maar hun aantal is beperkt. "Complexe malware is niet vereist voor het aanvallen van de meeste banken", merkt Schouwenberg op. Veel banken gebruiken geen twee-factor authenticatie voor het doen van transacties of het is een hele zwakke uitvoering. "Een geheime vraag in combinatie met een wachtwoord is geen echte twee-factor authenticatie." Banken hadden al in 2007 met wachtwoorden en geheime vragen voor internetbankieren moeten stoppen, aldus de expert.

Ondanks dat Trojaanse paarden als Zeus en Sinowal in staat zijn om bepaalde twee-factor authenticatie implementaties te omzeilen, ziet Schouwenberg voldoende mogelijkheden om veilig te kunnen internetbankieren. "Wat me frustreert is dat er een ultieme oplossing is dat het veilig internetbankieren probleem voor het grootste deel oplost." Dat is namelijk het gebruik van multi-factor authenticatie. De authenticatiecode moet op een apparaat worden gegenereerd dat niet in verbinding staat met het apparaat dat de transactie doet. Schouwenberg pleit niet alleen voor dynamisch gegenereerde codes voor het doen van transacties, ook het wachtwoord om op het account in te loggen moet elke keer anders zijn.

Rekeningnummer
"We moeten beseffen dat Trojaanse paarden alles op je scherm en in je verkeer kunnen manipuleren", waarschuwt de onderzoeker. Ook de oplossing voor dit gigantische probleem is volgens hem vrij eenvoudig. Het rekeningnummer waar gebruikers het geld naar overmaken, moet onderdeel van het authenticatieproces worden. "Stuur het nummer met de sms mee of gebruik het als extra challenge bij het gebruik van een token." Zodoende weet de gebruiker waar het geld naar toe gaat.

Volgens critici lost dit het probleem niet echt op, omdat gebruikers het verkeerde nummer in kunnen toetsen of niet goed controleren. "Als mensen bezig zijn met geld, moeten ze opletten. Het is een stom excuus en neemt niet weg dat dit de enige echte oplossing voor het probleem is." Met name Amerikaanse banken zijn huiverig voor deze aanpak, omdat klanten het als ongemakkelijk zouden ervaren. Europese bankklanten die wel met de extra maatregelen te maken krijgen zijn juist blij met de beveiliging, zegt de expert.

Evolutie
Door de evolutie van malware is een andere aanpak vereist en alleen door het meegeven van het rekeningnummer weet je zeker waar het geld terecht komt. In dat opzicht is internetbankieren gelijk aan het internet, waar gemak voorop staat. Toch is het volgens Schouwenberg veel eenvoudiger om het probleem van internetbankieren op te lossen dan de fundamentele kwetsbaarheden in de internet infrastructuur.

Daarbij spelen ook bankklanten een rol, die een betere beveiliging van hun bank moeten eisen. Als één bank de extra beveiliging als een competitief voordeel ziet, zal de rest volgen. "Het verliezen van grote sommen geld of een klein beetje ongemak dat te minimaliseren is? Ik weet wat ik zou kiezen", besluit de Nederlander die tegenwoordig in de VS werkt.

Reacties (23)
27-02-2010, 15:55 door Eerde
Bij de Rabo moet je tegenwoordig ook nog eens het nummer van de pas ingeven 1234. Verder heb ik nog nooit gehoord van een gecrackte Roborekening, dus maak ik me niet druk.

Mensen die zich wel druk maken kunnen eenvoudig een live-distro gebruiken voor het Internetbankieren.
27-02-2010, 16:17 door spatieman
live distro's rulen als het om bankieren gaat.
ok, het duurt effe voor het compleet geladen is.
27-02-2010, 16:47 door [Account Verwijderd]
[Verwijderd]
27-02-2010, 16:56 door Eerde
Door spatieman: live distro's rulen als het om bankieren gaat.
ok, het duurt effe voor het compleet geladen is.
Moet je een hele lichte nemen b.v. Puppy, is 165MB ! Draait dus volledig in RAM. Het heeft toch maar 1 functie nodig. Ik begrijp ook niet dat banken dat niet gewoon meegeven aan allen die zich zorgen baren... ;)
Wat zou dat nou kosten, cent of 10... 12 ?
27-02-2010, 17:07 door Anoniem
mag een bsd-distro, enkel voor bankieren, onder vm-ware ook? Of is de live-cd superieur?
27-02-2010, 18:11 door Anoniem
@Peter V en Eerde: live distro's? rulen? in RAM draaien?
Kan hier voor niet-ingewijden zoals ik wat toelichting bij komen? Wat bedoelen jullie eigenlijk hiermee?
27-02-2010, 18:52 door Anoniem
Door Eerde:
Door spatieman: live distro's rulen als het om bankieren gaat.
ok, het duurt effe voor het compleet geladen is.
Moet je een hele lichte nemen b.v. Puppy, is 165MB ! Draait dus volledig in RAM. Het heeft toch maar 1 functie nodig. Ik begrijp ook niet dat banken dat niet gewoon meegeven aan allen die zich zorgen baren... ;)
Wat zou dat nou kosten, cent of 10... 12 ?
of DSL, is maar 50MB en bevat firefox, meer heb je niet nodig.
27-02-2010, 21:29 door cyberpunk
Veel banken (in België dan toch) gebruiken al een Digipass en bij Dexia is het bij overschrijvingen zelfs zo dat het totaal bedrag van je overschrijvingen deel uitmaakt van de code. Het is dus vziw niet mogelijk om een hoger bedrag in te stellen. En dan nog, een tijd terug waren enkele Dexia-klanten "gehackt" en bij een paar bleek dat het hun eigen fout was (niet up-to-date software of illegaal). Dexia heeft die klanten allemaal vergoed.

Wat Live distro's betreft: hebben we een tijd terug hier niet gelezen dat die dingen ook niet waterdicht zijn?
27-02-2010, 23:45 door Anoniem
Dan zouden de banken misschien zelf eens zo'n live distro moeten ontwikkelen. Waardoor je er alleen maar bankzaken op kunt doen ofzoiets, met een makkelijke GUI.
27-02-2010, 23:59 door Anoniem
Beste Roel,
je betoog klopt helemaal, Internet bankieren is erg veilig. Ik wil het volgende toevoegen:
Antivirus programma's heb je ook niet nodig want ook virussen, bots en andere malware komen alleen in sprookejs voor.
28-02-2010, 00:17 door Anoniem
Volgens mij is de bank in Nederland gewoon financieel verantwoordelijk als je account gehackt wordt, dus de beveiliging maakt me niet echt uit ;)

Piet
28-02-2010, 01:24 door Kukel
Door Peter V:
Daarbij spelen ook bankklanten een rol, die een betere beveiliging van hun bank moeten eisen
Er is een aantal jaren geleden door een inzender van het Forum hier geklaagd over het veiligheidsniveau van de ING-bank (toen nog Postbank). Maar volgens de bank had de criticus het aan het verkeerde eind.

Dus wat doen de banken met de rol van bankklanten?

Niets dus.

Uhhhmmm....
- 'inzender van forum hier klaagt'
- Bank zegt dat de criticus het bij het verkeerde eind had..

Dan zie ik dat de bank iig reageert.... Dat ze dan niet gelijk aanpassingen doen is niet geheel gek als er maar 1 reageert. Als je met deze inzender een 'bankklant' bedoelt, dan doen ze er wel degelijk iets mee. Als hij niet de klant is, dan is de conclusie al helemaal niet van toepassing.

Cheers,

Ronald
28-02-2010, 11:06 door Anoniem
Bankbeveiliging is en blijft een afweging tussen wat makkelijk te gebruiken is en wat (al dan niet intrinsiek) veilig is. Mensen gaan gewoon niet met een boot-linux distro werken om te internetbankieren, period. Mensen doen meer op de PC dan alleen maar internetbankieren, en die gaan niet voor die ene transactie een nieuw OS openen. Ik denk persoonlijk dat de ING het nog wel het beste heeft opgelost met SMS keys: iedereen heeft zijn mobiel bij en de authenticatie sms bevat het over te schrijven bedrag en een deel van het rekeningnummer.
28-02-2010, 14:11 door Anoniem
Door Eerde:
Door spatieman: live distro's rulen als het om bankieren gaat.
ok, het duurt effe voor het compleet geladen is.
Moet je een hele lichte nemen b.v. Puppy, is 165MB ! Draait dus volledig in RAM. Het heeft toch maar 1 functie nodig. Ik begrijp ook niet dat banken dat niet gewoon meegeven aan allen die zich zorgen baren... ;)
Wat zou dat nou kosten, cent of 10... 12 ?
Ach, er is wel meer dat jij niet begrijpt. Namelijk dat banken echt niet gek zijn. Maar ja, wat wil je van iemand die wegloopt met Google? Dus we laten jouw "adviezen" maar even voor wat ze zijn.
28-02-2010, 14:26 door [Account Verwijderd]
[Verwijderd]
01-03-2010, 01:33 door Anoniem
1. vm-ware is geen beveiliging. Meer code is meer bugs, dus meer security problemen.

2. of een live-cd nu in ram draait of niet maakt niks uit. Een live-cd is behoorlijk goed te garanderen dat hij 'clean' is bij het opstarten, als deze op een CD staat of een readonly usb-stick, het is natuurlijk nog steeds mogelijk dat je een worm of virus binnen krijgt (in theorie). Als die zich in de BIOS of andere firmware nestelt (zoals een Apple keyboard), heb je mogelijk nog steeds een probleem. Je kunt een live-cd die alleen bedoeld is voor internet bankieren natuurlijk wel heel erg specialistisch maken daarmee veiliger ('minder code is beter' in theorie). Dus het moment dat je 'exposed' bent en de hoeveelheid code maken dus het verschil
01-03-2010, 02:21 door Anoniem
bij de ING krijg ik een sms met code die ik online moet invoeren, het bedrag staat ook in de sms


Dus ookal zouden ze het algoritme verder gekraakt hebben krijg ik alsnog een sms dat er iemand bezig is met geld door te sluizen.
01-03-2010, 09:04 door Anoniem
Er is een aantal jaren geleden door een inzender van het Forum hier geklaagd over het veiligheidsniveau van de ING-bank (toen nog Postbank). Maar volgens de bank had de criticus het aan het verkeerde eind.

Dus wat doen de banken met de rol van bankklanten?

Niets dus.[/quote]Dat kun je bestraffen: iedereen die hier moeite mee heeft kan naar een andere bank gaan. Doen genoeg mensen dit met als argument de onvoldoende beveiliging, dan wordt dat vanzelf aangepakt.
01-03-2010, 11:50 door Anoniem
Je maakt ons het wel erg moeilijk Roel Schouwenberg, telkens een ander wachtwoord voor het account voor in te loggen, wat als cybercriminele nou ook sms gaan stuur onder de naam van de bank met een fouten tancode, dan type je de fout code in en dan word je rekening geblockeerd!

Het is gewoon k*tsysteem dat ze bedacht hebben, geef mij maar zo keygene waarmee de rabobank werkt, het lijkt op rekenmachine en werkt perfect!
01-03-2010, 19:50 door Anoniem
Ik weet wel wat jij bedoeld jeroen, dat systeem dat de rabobank heeft voor internetbankieren.
Dat noemen we een Random Reader! Je kan het vergelijken met een keygen alleen krijg je dan geen Trojan paard in je computer naar maak je transactie legaal met de bank. Dat noemen ze bij de rabobank veilig internet bankieren, en geen gedonder met tan codes of mobiele telefoonverbinding die wegvalt of valse SMS bericht met fout tan-codes.

Door Anoniem: Je maakt ons het wel erg moeilijk Roel Schouwenberg, telkens een ander wachtwoord voor het account voor in te loggen, wat als cybercriminele nou ook sms gaan stuur onder de naam van de bank met een fouten tancode, dan type je de fout code in en dan word je rekening geblockeerd!

Het is gewoon k*tsysteem dat ze bedacht hebben, geef mij maar zo keygene waarmee de rabobank werkt, het lijkt op rekenmachine en werkt perfect!
02-03-2010, 18:51 door cyberpunk
Door Anoniem: Ik weet wel wat jij bedoeld jeroen, dat systeem dat de rabobank heeft voor internetbankieren.
Dat noemen we een Random Reader!

Oh, hier noemen dat gewoon Digipass. ;-) Staat ook zo op de achterkant van die dingen, zowel bij Rabobank.be als Dexia (al verschillen ze fysiek wel). Bij allebei staat echter ook het volgende: Made in China. OEI! :-o
18-03-2010, 09:30 door Anoniem
Banken calculeren het risico gewoon in als bedrijfsrisico.

Judas
01-05-2010, 22:05 door Anoniem
100% veilig is heel lastig zo niet vrijwel onmogelijk. We moeten dan ons niet blindstaren op die laatste 0.01% maar een relatief veilig systeem die ook nog eens gebruiksvriendelijk is. Zelf draai ik Mandrive in een virualbox onder Vista. Dat is zeker niet 100% maar voor mijn gevoel - voldoende - In mijn geval betaald de bank meteen terug als het misgaat omdat ze weten dat hun eigen beveiliging rammelt (Banco do Brasil).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.