vaak word wifi aangeboden als service, maar een walloutlet zie je toch niet veel. tenminste, ik heb ze bij de McDonalds niet kunnen ontdekken.
en als je via wifi niet mag VPN-en, mag dat dan wel via UTP?

Dan moet ik een kabel van huis naar het vliegveld leggen... gaat denk ik niet lukken.

Humor een UTP kabel gebruiken, maar toch niet internetbankieren.
Ik zie verder nog steeds niet hoe men de Rabo's "two factor authentication" middels 'random reader' wil omzeilen ? Inclusief de beveiliging daar daar nog bovenop gestapeld is.
Kijk in een aantal landen heb je nog gewoon: login naam + ww, tsja dan maak je het den boef wel heel zzzimpel ;)

Met Eerde eens, als heb je iemands username en ww (dat wordt al moeilijk want de site is secure) dan kun je later alleen zijn banksaldo zien en zijn gemaakte transacties. Voor het overboeken van geld heb je toch een code nodig.

@Eerde,

Als ze er tussen zitten dan kunnen ze extra transacties inserten en die mee laten lopen en het verkeer terug wordt weer bewerkt en daar slopen ze de extras uit.

Dus jij tikt in 10 euro en zij doen 10 + 100 (richting money mule) en sturen dat door. Jij krijgt random reader code voor 110 euro met "bevestiging" voor 10 en die tik je in en zij laten in bevestiging weer alleen 10 euro zien.

Klinkt over the top maar is in duitsland ook gebeurt met bankier software. Is overigens onwaarschijnlijk maar niet onmogelijk en ze moeten wel aanwezig zijn dus groot risico.

Waar ze meer mee kunnen is CC's faceboek logins (ook die zijn geld waard) en andere online zooi. Ook paspoort details etc er valt genoeg te halen.

@N4ppy
Hoogst onwaarschijnlijk dat 'the man in the middle' weet hoe de Rabo het bedrag versleuteld in de 'challenge' en mijn random reader in de 'response'... maar verlicht mij.

Deze "Niet internetbankieren via WiFi hotspots" begrijp ik (zoals velen hier) ook niet.

De authenticatie gebeurd dmv sterke authenticatie, wachtwoord (pincode) wat je weet en de eenmalige wachtwoorden die bijvoorbeeld de random reader genereerd waar Eerde naar verwijst.
Dit gebeurd in een geincrypteerde SSL sessie, dat maakt het haast onmogelijk transacties te beinvloeden en het verkeer leesbaar af te luisteren.

Graag zou ik wat uitleg zien van Bestuzhev die deze stelling onderbouwd want in mijn ogen slaat hij de plank wat internetbankieren aangaat volledig mis.

grtn
-Rob Buddingh'
CRYPTOCard

Hoe die versleuteling werkt, maakt niet uit. De man in the middle stuurt een verzoek naar de Rabobank om 110 euro over te maken. De Rabobank stuurt een challenge voor 110 euro, die door de man in the middle doorgestuurd wordt naar de gebruiker. De gebruiker kan aan de challenge niet zien om welk bedrag het gaat en de random reader vertelt hem dit ook niet. Pas bij grotere bedragen moet je op je random reader ook het bedrag invoeren. Zelfs dan kun je het rekeningnummer van de begunstigde nog aanpassen. Bij nog hogere bedragen zal de random reader ook vragen om dit rekeningnummer in te voeren.


Dit is iets lastiger. De man in the middle moet de gebruiker laten geloven dat hij met de Rabobank communiceert. Hij vraagt bijvoorbeeld een SSL-certificaat aan voor https://bankieren.rabobonk.nl en hoopt dat de gebruiker het niet door heeft. De man in the middle legt zelf een geldige SSL-verbinding met de Rabobank en stuurt alle benodigde gegevens van de gebruiker door. Het enige wat hij doet is bedragen en/of rekeningnummers aanpassen.

Dit is iets lastiger. De man in the middle moet de gebruiker laten geloven dat hij met de Rabobank communiceert. Hij vraagt bijvoorbeeld een SSL-certificaat aan voor https://bankieren.rabobonk.nl en hoopt dat de gebruiker het niet door heeft. De man in the middle legt zelf een geldige SSL-verbinding met de Rabobank en stuurt alle benodigde gegevens van de gebruiker door. Het enige wat hij doet is bedragen en/of rekeningnummers aanpassen.[/quote]
Dat ligt er aan 'waar' de man in de middle zich bevind. Tegenwoordig steeds vaker 'in de browser'.
Hierdoor kan deze de transacties bewerken voordat deze de tunnel in gaan. En vervolgens ook weer als ze uit de tunnel komen en voordat ze aan de gebruiker worden gepresenteerd. De SSL tunnel is dan gewoon een heel normale geldige sessie met de bank.
Dit is ook de reden waarom zelfs two-factor authenticatie dit niet kan afdekken.
Altijd opletten natuurlijk als je drie keer moet signen voor het overmaken van een tientje :) , maar ook hier wordt op ingespeeld door niet al te grote bedragen te stelen.

Betekend dus wel dat je machine eerst 'besmet/geinfecteerd' moet zijn voordat er gebankierd wordt.
Maar ook dit is niet onmogelijk.
- je bent al besmet, maar dit gaat buiten de scope van dit verhaal
- de bank besmet je :) , zie http://www.security.nl/artikel/36191/1/Bank_infecteert_klanten_met_Trojaans_paard.html
- via de onveilige wifi link krijg je een gewijzigde http pagina (hetzij de wifi login page, hetzij any other page) tijdens het browser welke je infecteerd.