We'll be right back after these commercial?

Hmmm, ik vraag mij af hoe lang het duur voordat er virussen zijn die deze applicatie misbruiken. Lijkt me op deze manier wel heel laagdrempelig om geld over te maken.

Geen TAN-code nodig...en ook geen random reader o.i.d.
Klinkt nogal gevaarlijk....

welke andere bank deed dit ook al? vraag me af hoe de beveiliging daar is. persoonlijk vind ik het gewoon super veilig gevoel hebben, maar ik kan me voorstellen dat "men" er wel omvraagt.

Initieel TAN code nodig om beveiligingscode online op MijnING te maken zag ik. En verder is het identiek aan bv ABN Amro app qua vijfcijferige pincode. Daar ook nooit iets van ellende over gehoord.

App maar even decompilen en de code nalopen....

Bij ABN stel je zelf je limiet in

Wat ik vooral leker gevoel vind is de twee manieren om mijn saldo te checken.

Android kan gehacked worden, windows ook maar beide platformen op exact het zelfde moment is minder waarschijnlijk (en droid hangt niet aan windows dus kant op kruisbesmetting is klein ;)

Dit ben ik ook van plan.


Verder werkt app best goed en duidelijk. maar de zwakheid zit hem als iemand heb ingesteld heeft. Je hebt uiteindelijk maar de mobiel en de 5 cijverige pincode nodig.

Wie weet bestaat er zelfs een manier zonder de mobiel te kunnen doen en alleen maar de 5 cijvige codig nodig te hebben.

Verder heb je bij de ABN de reader alsnog nodig als je geld overmaakt naar een rekening waar je niet in de afgelopen 18 maanden geld naar hebt overgemaakt. Dus alleen bij bekende rekeningen gaat het makkelijk. Bij ING ontbreekt deze check.

Rabobank werkt ook met en 5 cijferige pincode. Alleen bij zowel de ABN als Rabo heb je wel je random reader/e-dentifer nodig. Alleen geld overmaken naar eigen rekening kan zonder.

Ontopic: De ING blijft voor mij toch de meeste onveilige bank...

En weer geen versie voor Symbian %^%$@

http://kassa.vara.nl/tv/afspeelpagina/fragment/is-mobiel-betalen-wel-veilig/speel/1/

Waarom zouden ze? Op DOS werkt ING ook niet ;) Blackberry loopt ook weer is achter..

Bij ING kun je OOK zelf je limiet instellen jammer genoeg heeft men daar besloten om dit ergens in de tig opties te 'verstoppen'

NNNNNNNNNNNNNNNEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE

De app logt niet zelf uit als je de home of de backbutton gebruikt, de Rabo App doet dit wel. Zolang android het proces niet killed blijft de app ingelogd. Dit in combinatie met het ontbreken van elke andere vorm van beveiliging (randomreader etc) maakt deze app potentieel onveilig.

Lijkt me superonveilig: 1 code (ook al is het 5 cijfers) voor zowel inloggen als overboeken! Mobiele malware die een man-in-the-middle uitvoert kan zo eenvoudig e.e.a. onderscheppen en gebruiken voor frauduleuze doeleinden. ING laat haar klanten hiermee enorme risicos lopen. Bij ABN AMRO en Rabo is dit inderdaad wel heel anders (en duidelijk wel veilig) geregeld.

weer een baat voor blackhatters

Ik ben benieuwd of dit wel allemaal goed gaat, ofschoon we meestal toch maar een fractie van het werkelijke aantal incidenten te zien krijgen. Zie ook 'Overheid te geheimzinnig over cybercriminaliteit' op http://webwereld.nl/analyse/108452/-overheid-te-geheimzinnig-over-cybercriminaliteit-.html
Ik laat dan in het midden of banken, in deze optiek, bij de overheid of bij de bedrijven horen.

Afgelopen week op InfoSecurity werden mijn indrukken van 'onveilige' smartdevices enkel en alleen maar terdege bevestigd door verschillende gerenommeerde spekers. Ook werd je niet echt vrolijk van het professionele verhaal over monitoring van Internetbankier-omgevingen. Zie bijvoorbeeld recente artikelen https://www.fox-it.com/nl/fox-it-oplossingen/cybercrime/detact-for-online-banking en meer op Google: http://goo.gl/uJwvq

Als je dus bedenkt dat er nog te veel discussie is rondom smartphones en tablets m.b.t. ICT-security risico's lijkt het me zelf nog net iets te vroeg om hiermee te beginnen. Maar ING heeft vast voldoende kennis, kunde en capaciteit om een klantvriendelijke en veilige omgeving aan te bieden.
Zie ook mijn discussie rondom BYOD-devices http://www.security.nl/artikel/38843/1/Bring_Your_Own_device%3A_een_goede_of_slechte_ontwikkeling%3F.html

Hierin kun je een aantal security-aspecten zien welke op (thuis / bedrijfs) Windows PC's minder relevant zijn maar nu wel degelijk op Android / iPhone van belang zijn om een veilige (bank-)omgeving te creeren. Enkele recente nieuwsberichtn dienomtrent:
- Chinese Android marktplaatsen digitaal mijnenveld zie http://www.security.nl/artikel/39107/1/Chinese_Android_marktplaatsen_digitaal_mijnenveld.html
- Android-app lekt data honderdduizenden klanten op http://webwereld.nl/nieuws/108493/android-app-lekt-data-honderdduizenden-klanten.html
- Android app jat cookies op beveiligde netwerken op http://webwereld.nl/nieuws/106888/android-app-jat-cookies-op-beveiligde-netwerken.html

deel 2/2

Ik denk zelf eerder aan oplossingen waarbij (Virtuele) omgevingen veilig worden omgestart of anders aan:
- LPS-USB 'key van Pentagon', zoals op deze site reeds eerdr besproken is. Deze gebruik ik regelmatrig en werkt prima. Ik heb helaas nog geen non-PC oplossing gezien, maar die komt vast wel te zijner tijd. Of deze uitgever tev vertrouwen is, is dan ook nog maar de vraag. Zie http://www.security.nl/artikel/37912/1/Pentagon_lanceert_superveilige_Linux-distributie.html
- Eerder heb ik naar een vergelijkbare ook interessante oplossing gekeken maar de onbekende ontwikkelaar zat in China, was een erg jonge gast en was me iets te enhousiast op meerdere gebieden van security zie. Zodra dit product meer marktbekendheid heeft zal ik het opnieuw bekijken. Zie http://www.xpud.org/index.en.html
- Defensie 'Linux'-stick voor onveilige omgevingen zie http://www.vovklict.nl/intercom/2011/1/09.pdf.
- IronKey voor Internet bankieren in US. Moet ik tzt nader bekijken, maar de beschrijving klinkt in 1e instantie goed. http://www.security.nl/artikel/39086/1/Bank_laat_klanten_via_USB-stick_internetbankieren.html
- Quest for a good boot CD for Internet banking: http://www.andrewpatrick.ca/security-and-privacy/quest-for-a-good-boot-cd-for-internet-banking

Mogelijk heeft ING 'het ei van Columbus' al gevonden voor de smart-devices; ik laat me verassen maar wacht zelf nog even af voor ik eraan begin; ik vind zelf mijn Android nog te onveilig ervoor.

Als tevreden klant van ING, die op een aardig veilige PC-omgeving met meer dan 50 beveiligingsmaatregelen werk (de meeste gebruikers hebben er maar een tiental) gebruik ik voor transacties op dit moment bij voorkeur de genoemde LPS-oplossing. Ik kan me echter voorstellen dat als er iets mis gaat, dat dan ING mogelijk ook aan dit (gratis) product zou kunnen twijfelen, en van de ene kant ook nog terecht want het is van ongeverifieerde bron, ook als adviseert security.nl dat hier, geeft de site aan dat het van US-militaire bron is etc..

Maar wie kan je e-vertrouwen op welk moment. Ik probeer in elk geval de risico's te optimaliseren. Bij minimalisatie zou ik niet meer leuk kunnen Internetten.....en daar gaat het mij om. Het bankieren, zaken doen etc. op Internet is voor mij op de 2e plaats maar fun (muziek, films, foto's, spellen...), amusement, nieuws, naslagwerken, encyclopedieen lezen is voor mij interessanter en dan niet tegen commerciele tarieven maar 'gratis' zoals honderduizenden zich daarvoor inzetten (freeware, free information...)

Ik zit niet zo goed in de bankmaterie.

Echter in Amerika ben je al snel je geld van de bank kwijt als er iets misgaat met Internetbankieren heb ik vaker al gelezen. De bewijslast / risico ligt (al snel) bij de eindgebruiker en toon maar eens aan dat je op moment X veilig bent bezig geweest met device Y op locatie Z...

In Europa zou men dat ook graag zo willen, echter de EU-/nationale wetgevingen leggen de primaire verantwoordelijkheid nog steeds bij de bank dacht ik en niet bij de eindgebruikers als erwat misgaat.

Echter in de (Internet)bankieren-overeenkomsten zijn er voldoende clausules en kleine lettertjes om de bank (terecht uiteraard) de mogelijkheid te geven om de schuld bij de eindgebruiker te leggen, als die zich niet houdt aan de 'vingerende veiligheidseisen die aan Internetbankieren' gesteld worden.

Echter hier hoor je verder niets tot weinig over of en in hoeverre eea in de praktijk voorkomt en of/hoeveel gedupeerden er zijn die zelf moeten dokken: nul? Uiteraard moeten kwaadwilleigen aangepakt en bestraft worden; dat staat buiten kijf maar de rest toch niet. De e-maatschappij moet voor die risico's zorgdragen.

Banken proberen de juiste balans te vinden/houden tussen bereikbaarheid, services, Internetbankieren, minder (handmatig) balieverkeer, veiligheid, risico's, klantvriendelijkheid etc. en niet op de laatste plaats WINST.

Het probleem is eigenlijk langzamrhand een e-maatschappelijk probleem geworden en het is wachten op DE VEILIGE OPLOSSING en hopelijk is die er nu via ING of binnenkort elders.

Internetbankieren: de banken moeten het risico dragen (Belgie)
http://www.test-aankoop.be/verbruik-en-handelspraktijken/internetbankieren-de-banken-moeten-het-risico-dragen-s729553.htm

Op http://www.ing.nl/Images/Voorwaarden_Mobiel_Bankieren_tcm7-96283.pdf staan de actuele voorwaarden.
Die zien er sec goed uit.

Als je je niet aan de aangegeven productvoorwaarden houdt dan ben je ook zelf verantwoordelijk. Ook sluit ING daarnaast nog enkle andere gevallen uit.

Het probleem zit 'm er echter in, dat in de praktijk bijna niemand zich houdt aan dit soort voorwaarden, of ben ik de enige die dat zo ziet?

Wie doet niet jailbreaken op iDevices, Rooten op Android, fuzzy apps laden welke de devices 'misbruiken', downloaden van Black markets, (illegale) software downloaden/kopieren en ga zo maar door....

Op zich zit daar niet het probleem maar de talloze waarschuwingen over de afgelopen jaren met Internetbankieren op vergelijkbaar (on)veilige PC's waren niet van de wind. Maar dat heb je nog altijd of 1) Token Devices bij RABO, SNS, AMRO en ING of ) TAN-codes via SMS naar geauthenticeerde telefoon/ TAN-lijst thuis bij ING.

E nu een vaste 5-cijferige pincode terwijl minimale wachtwoordeisen tegenwoordig 1000x zo sterk moeten zijn in 100 x veiligere bedrijfsomgevingen. Maar misschien is de ING-app ultiem beveiligd.

Ben ik nog snel even vergeten:
Fraudeurs omzeilen beveiliging ING (maandag 21.03.2011 Crimesite.nl) http://www.crimesite.nl/crimesite/159-headlines/20876-bankfraude-fraudeurs-omzeilen-tan-beveiliging-ing.html

Fraudeurs hebben een gat ontdekt in de TAN-beveiliging van ING internetbankieren. Rekeninghouders van ING bank zijn de afgelopen tijd slachtoffer geworden van een listige bankfraude, waarbij de TAN-codes zijn omzeild. De fraudeurs maken daarbij gebruik van Paypal en Click&Buy. Crimesite werd getipt over deze methode en kreeg ook lijsten te zien met inlognamen en wachtwoorden van gedupeerde ING-rekeninghouders.

ING heeft daarop gereageerd dat ze dat niet hebben meegemaakt en dat hun bankieren veilig is.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------
Van de andere kant ontkomen we niet aan deze prachtige technische mogelijkheden zonder welke onze maatschappij anno 2011 gewoon niet meer kan draaien. We gaan van real naar virtual en zullen dit ook in het kader van het nieuwe werken, sociale media en cloud computing moeten beschouwen en de nieuwe uitdagingen aangaan.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Ik adviseer zelf anno 2011 nog steeds minimaal 3 omgevingen (*); is misschien 'ouderwets' maar wel degelijk:
1) voor bedrijf: lezen en muteren bedrijfszaken
2) voor 'zakelijke' prive: bankieren, naar bedrijven inloggen om bedrijfszaken alleen te lezen
2a) voor 'fun'-prive: kinderen, amusement...en ales wat iedereen mar steeds bedenkt, gadgets...

Deze dienen zoveel mogelijk gescheiden te zijn in al haar facetten, dus Operating System, Apps, accoounts, mail etc...
Varianten zijn boot CD's/USB's of (minderveilige) Virtuele omgevingen zoals VMWare, VirtualBox, Virtual PC..

(*) Allen uiteraard updaten, beveiligen etc. volgens state-of-the-art

"Beveiliging ING mobiel bankieren best goed" zie artikel hier op Security.nl
http://www.security.nl/artikel/39139/1/%2522Beveiliging_ING_mobiel_bankieren_best_goed%2522.html

Ben ik zelf niet mee eens ; afwachten hoe dit bankieren verder verloopt. Hopenlijk goed voor geabonneerden op deze (Android) app-dienst.

Wow, ik vind t top!