Dit is dan toch bij elke bank waar je zonder two factor kan inloggen (dus alleen gebruikersnaam en wachtwoord)?
Lijkt me niet alleen ING specifiek, tenzij ING de enige bank op de wereld is waarbij je met alleen gebruikersnaam en wachtwoord kan inloggen.

Daarom laat de ING directie de eigen bonussen op hun zwitserse bankrekeningen storten en niet bij hun eigen bank...

Lijkt mij nogal logisch dat dit kan, wanneer je een loginnaam en wachtwoord hebt.

Als je kunt inloggen met een random reader via een geskimde kaart, kun je hetzelfde bij iedere andere bank.

Niet waar. Skimmen heb je niets aan, je hebt een clone van de chip + pasnummer + pincode nodig (bij de rabobank iig). Dus zo eenvoudig als jij het stelt, is het daar niet.

De uitleg die onder de link te vinden is veel duidelijker en begrijpbaar, zo zie ik het graag
Hierboven kan je er amper chocolade van maken (tevens staan er ook nog taalfouten in zodat het helemaal een rommeltje wordt)


Eigenlijk is het niet helemaal 100% de schuld van ING.
Het is meer een samenwerkingsprobleem.
De verificatie van Pay Pal is wel erg simpel.
Des al niet te min is het WEL HOOGST KWALIJK te noemen dat via PayPal gewoon betalingen kunnen gedaan worden zonder TAN code. Dat had de ING nooit mogen toelaten want daarmee haalt zij haar gehele security systeem onderuit.

We lezen/ontdekken de laatste tijd (jaar) wel erg veel Security zwakheden in het ING betalingsverkeer.
Ik vraag me wel eens af of ze er daadwerkelijk wel wat aan doen intern (hier waarschijnlijk wel aan maar ik durf te wedden dat er andere bekende fraude manieren zijn, die je over een jaar gewoon nog eens kan doen. )

En maar vol blijven houden dat het systeem van ING zo veilig is... Sukkels. Ze worden echt al jaren gewaarschuwd voor de constructie usernaam/wachtwoord.

@Syzygy: het heeft op zich niets met paypal te maken maar met automatische incasso, het zorgenkindje van de nederlandse banken.

Dat zou bij ASN ook wel eens gewoon kunnen werken... Heb je de calculator ook alleen maar nodig om zelf wat over te schrijven, niet om in te loggen.

Dan gebruiken die ook een prutsoplossing. Ik zou daar dan mijn geld niet stallen en/of zo snel mogelijk overzetten naar een bank die wel snapt hoe het moet.

hier in belgie heb je de calculator nodig om in te loggen
M1 knop om in te loggen
M2 knop om te betalen

waar zitten er nog foutjes...
bij betaling via bank zit bij een van de codes niet alleen het bedrag maar erachter ook een controlegetal;
kwestie dat een malware niet gewoon er 000 achter zet en je dus ipv 1 euro 1000 euro betaald

betaal je via een "website" dan zie ik dat controle getal nog niet...Dus die websites kunnen je nog steeds het 1000voudige laten betalen als je goed bent in cijfertjes intikken en er weer uithalen

Het heeft wel met PAYPAL te maken want die veroorzaakt mede de ellende
Ter controle stuurt PAY pal 2 bedragen naar de acoount , zeg even 12 cent en 3 cent.
Vervolgens kijkt de fraudeur even op de digitale saldo afschrijft en leest die bedragen.
Die vult ie bij PAYPAL in en dat is voldoende verificatie voor PAYPAL dat de fraudeur eigenaar is van de rekening.
Als je die bedragen toevallig goed raadt (en de marge is betrekkelijk) is dat ook voldoende.


dus kans 1 op 20 en nog eens een kans 1 op 20 (niet een erg sterke beveiliging)

Het is tussen de 0,01 en de 1,00 dat scheelt nogal in dit geval. Creditkaarten zijn nog kwetsbaarder, daar kan je alles mee kopen dat je wilt en dat wordt later wel eens van iemands rekening gehaalt..

"Cybercriminelen hebben aan een gebruikersnaam en wachtwoord voldoende om de rekeningen van ING-klanten te plunderen."

Criminelen hebben geen gebruikersnaam en wachtwoord nodig om je rekening te plunderen. Indien je een banking trojan resident in je geheugen hebt zitten, dan kan men je betaalopdrachten aanpassen, zonder dat je dat ziet.

Zelf tik je je gebruikersnaam en wachtwoord in om de (helaas gewijzigde) betaalopdracht goed te keuren, maar achteraf blijkt het bedrag en de bankrekening waarnaartoe je overmaakt te zijn gewijzigd.

Malware kan naast de betaalopdracht ook de presentatielaag aanpassen, zodat het lijkt alsof je opdracht normaal is uitgevoerd, totdat de malware niet meer aktief is, of totdat je een papieren afschrift binnenkrijgt.....

O je loopt echt achter volgens mij heb je geen idee dat monstr (slavik) al in 2004 een oplossing voor dit had bedacht, door screenshots te maken bij elke muisklik op een virtual keyboard

Naar mijn mening is dit toch een probleem van PayPal, tenzij PayPal een contract heeft met ING over het niet terugboekbaar zijn van incasso-opdrachten (zoals bij loterijen), De verificatie van PayPal is gewoon te simplistisch.

PayPal zou ook kunnen verifiëren via iDeal, zoals bij de ov-chipkaart (die chip deugt dan wel niet, maar de verificatiemethode wel).

hoewel het voelt alsof je in je rug getuft wordt is het slechts virtueel.
het doet ook geen pijn want bank draagt risico.

ter voorkoming kan een bank tevoren vragen aan te geven welke bankachtige producten je wenst te gebruiken.
dit dien je te bevestigen met iets anders dan uid/passwd.
wil je dit niet dan is het onmogelijk dat er bv iets naar paypal gaat.
daarbij kunnen ze een termijn afspreken voor clearing, net als bij effecten.
iemand die een rare transactie ziet kan deze dan laten terugdraaien.
helaas snijdt het mes aan twee kanten, de oplichters halen hun geld terug terwijl jij wel je pakketje stuurt.
inderdaad kan voor door anderen aangevraagde incasso's een separate bevestiging worden gevraagd, enig nadeel is verloop van tijd dat iemand zijn rekening bekijkt.
dit is probleem voor legitieme ontvanger, deze zal je herinnering mailen of bellen.
deze optie lijkt me kansvol.

zolang de kosten van oplichting onder de kosten van betere beveiliging vallen hoor je banken niet klagen.
het voelt vreemd maar kosten zijn kosten.
tevens kunnen ze statistische gegevens toepassen, bv je ip (zelfs al is deze veranderlijk valt deze binnen range provider) of tegenrekeningen.
er zijn meerdere systemen die zoeken op foute transacties, dus deze kan er ook wel bij.
alleen dienen ze je dan te bellen voor confirmatie, dit riekt naar fishing en is mogelijk erger dan de kwaal.
daarbij wordt je als gebruiker ook niet vrolijk van allerlei apparaatjes en lijsten die je altijd in de buurt moet hebben, ook tijdens vacantie.
ouderen hebben nu al moeite genoeg met al die nummers en zijn al blij als ze zelfstandig kunnen tappen.

als laatste heb je altijd nog de rekening van de katvanger die ze kunnen gebruiken.
overboeking tevoren in verzendlijst en wachten tot iemand de overboekingen bevestigt.

het wachten is op een veilig 1op1 systeem zonder maninmiddle risico.
het dient ook simpel te zijn voor de gebruiker.

tijdens inloggen zou een extra token als sms gestuurd kunnen worden.
dit verlaagt risico door sodemieters enorm.
zeker als je antenne gedrag bekeken wordt ter voorkoming mobiel geknutsel.
dit laatste is een discussie op zich over al dan niet gewenste big brother toepassingen.
op mijn leeftijd ken ik de waarde van privacy nog, maar ben ik nu mogelijk uit de tijd en ingehaald door realiteit?
als we al die kan op gaan dient het systeem transparant te zijn met inzage en aanpassingsmogelijkheid.

Nop en nop.

Het probleem zit
1 in de username/wachtwoord inlog van ing. Als deze door derden wordt bemachtigd dan kunnen deze de paypal overboeking doen en checken wat het bedrag is (niks 1:20*1:20, kans is 1)
2 de afspraak van banken en derden dat er incassomachtigingen zijn. Wederom niet paypal specifieks.

Sterker nog, ik denk dat ieder (pseudo)bedrijf op basis van met de inloggegevens verkregen gegevens een frauduleuze incasso op een ing rekening kunnen zetten. Daaraan wordt eigenlijk ook verborgen in het stuk gerefereerd. (De click and buy fraude).

Je kijkt echt niet breed genoeg.

Ja goed lezen is niet aan iedereen gegund.

Ik heb het over de kansberekening als je geen inzage hebt in de rekening, hetgeen al sowieso niet erg veilig is maar dat lees jij niet goed want je wil weer meteen commentaar geven (dat dus weer nergens op slaat).

Het is wel een afspraak tussen PAYPAL en de ING Bank.
Andere PAYPAL achtige bedrijven zullen wellicht ook een afspraak hebben met de ING bank en wellicht wel onder de zelfde condities.
Het gaat hier nu dus even over PAYPAL.
De verificatie van PAYPAL t.a.v. de ware identiteit van de tegenrekening houder is gewoon BRAK.

Dat ING sowieso NIET mag toelaten dat iemand een transactie doet ZONDER TAN Code is natuurlijk ook van de gekken.

Ja hallo, alle bankrekeningen staan zo al jaren open: automatische incasso. Het weten van een rekeningnummer is voldoende om zonder toestemming iemands bankrekening te plunderen. Banken weigeren te controleren of een incasso opdracht legitiem is, weigeren iedere verantwoordelijkheid tot controle tegen beroving! Je kan je geld misschien wel eens terug krijgen als je beroofd bent en je komt klagen. Kom nu niet aan met bagatelliserend excuus als 'maar je kan je geld toch terug krijgen...'. Geen enkel persoon hoort bij je geld te komen zonder je toestemming! En banken horen dat te controleren! Weg met dat idioot onveilige systeem waar de banken vele honderden miljoenen aan verdienen op onze kosten! Laat de banken verantwoordelijkheid nemen.

Maar elke bank staat toch toe dat elk bedrijf -totdat er klachten komen- 'gewoon' kan afschrijven?

Storm in een glas water. Dit is net zo'n "beveiligingsrisico" als het autmatisch accorderen van éénmalige automatische incasso's, wat elke Nederlandse bank doet. Het enige dat je daarvoor nodig hebt is een naam en een rekeningnummer, en vervolgens is het kassa. Is jaren geleden al eens door iemand (naam vergeten) in een TV programma gedmonstreerd, die harkte na een avondje éénmalige incasso's indienen vanachter z'n pc duizenden euro's binnen. Reactie banken: tja het is mogelijk maar het risico is klein.

Dit ING/Paypal probleem is op exact dezelfde wijze op te lossen als een willekeurige andere onterechte automatische incasso: laten storneren en klaar.

Peter

Hoe werkt de Kaspersky Virtual Keyboard?
Phishing is het probleem niet meer.

In de voorwaarden staat o.a.:
- Hoe bevestig ik een betaling via Mijn ING?
Elke keer als u geld overmaakt via Mijn ING, heeft u een TAN-code (Transactie Acceptatie Nummer) nodig. Dit is een
code waarmee u uw betaling bevestigt.
Elke keer als u betaalt, ontvangt u een gratis sms met een nieuwe TAN-code en het (totaal)bedrag van uw betaling op
uw mobiele telefoon. Met die TAN-code kunt u uw betaling verzenden. U kunt elke TAN-code maar een keer gebruiken...

- Via Mijn ING betalen vanuit het buitenland
Net als in Nederland kunt u inloggen met uw gebruikersnaam en wachtwoord. Wilt u geld overmaken, dan heeft u voor de ontvangst van de TAN-code wel uw mobiele telefoon nodig.
...

Kan ik Paypal gebruiken met mijn ING rekening?
ING biedt geen Paypal aan. Meer informatie over PayPal kunt u vinden op de site www.paypal.nl.
Als u in een webshop wilt betalen via Mijn ING (internetbankieren), dan kunt u gebruik maken van iDeal. Daarmee kunt u afrekenen in uw vertrouwde internetbetaalomgeving, op basis van de specifieke beveiligingsmethodes van uw bank. U gebruikt bij de betaling een TAN-code, net als bij een betaling via Mijn ING. Het verschuldigde bedrag wordt direct van uw Betaalrekening geïncasseerd.

PAYPAL:
PayPal voert elektronische overschrijvingen vanaf uw bankrekening voor het door u opgegeven bedrag uit via een mechanisme met de naam PayPal voert elektronische overschrijvingen vanaf uw bankrekening voor het door u opgegeven bedrag uit via een mechanisme met de naam Automated Clearing House (ACH). U gaat ermee akkoord dat met dergelijke aanvragen door u waarbij PayPal elektronische overschrijvingen vanaf uw bankrekening uitvoert, toestemming wordt verleend aan PayPal om deze overschrijvingen uit te voeren en dat u, nadat u uw toestemming voor de overschrijving heeft gegeven, de elektronische overschrijving niet meer kunt annuleren.

Leuk om hier te vernemen dat je kennelijk een soort 'automatische incasso' kunt doen middels 2 kleine eenvoudige bedragen, mits je uiteraard User-id password hebt (gekraakt); maar toch.

Voor mijn was ING altijd veilig door de extra drempel van TAN-code via mijn GSM, maar dat is nu verzwakt. Gelukkig zorg ik voor enkele andere drempels zoals Saldo-begrenzing, dagelijks monitoren...en als het dan misgaat zien we wel (snel).

Vreemde zaak en ik zal de ontwikkelingen zeker volgen.

@ cowboysec

Het is inderdaad een vreemde zaak. Aan de ene kant doet ING er alles aan om ed klant te beschermen via d TAN code constructie tot indien goed geïmplementeerd, uitstekend werkt.
Door onderlinge afspraken (policies) met dit soort bedrijven (als PayPal) trekken ze die hele beveiliging omver.

Het leed is nu geleden en iedereen weet hier nu van maar wat je dan wel mist is een reactie van ING hoe dit zo heeft kunnen gebeuren. (en niet iets in de trant van "we gaan er na kijken en lossen het op")

Kans van 1 op 400 vind ik redelijk klein

Ik zie het probleem niet.
Als je regelmatig je paswoord veranderd is er geen probleem.

Het probleem ligt eigenlijk bij PayPal.
De gebruiker heeft PayPal zelf gemachtigd om geld af te schrijven anders is dit niet mogelijk.
Iemand anders kan PayPal niet met zijn of haar eigen account gebruiken om bij de bank af te schrijven.

Daarom werkt het bij o.a. de Rabobank zo dat je bij het genereren van de betaal code op de Random Reader, ook het te betalen bedrag, en bij grote bedragen ook nog het rekeningnummer van de begunstigde als extra invoer getallen gevraagd worden voor het genereren van de beveiligingscode.

Daarmee voorkom je volgens mij alle problemen van het type dat probeert om wat de website laat zien aan te passen en op de achtergrond wat anders te doen.

full disclosure!

Het probleem is dat er om geld te stelen van iemands rekening alleen een gebruikersnaam en wachtwoord nodig zijn. ING heeft ter voorkoming van onrechtmatig geld overmaken naast de gebruikersnaam/wachtwoord eenmalige TAN-codes toegepast. Het probleem is dat de beveilging van ING niet voldoende is, simpelweg regelmatig je wachtwoord wijzigen is onvoldoende bescherming.
Een tweede probleem is dat het moeten weten van een gebruikersnaam, wachtwoord en geldige TAN-code een wassen neus is om geld van je te beroven: vanaf iedere willekeurige bank kan iedereen met een mogelijkheid tot incasso (en dat zijn een paar miljoen bankrekeninghouders, bij iedere willekeurige bank in Nederland en straks in heel Europa) geld van je rekening roven. Die mogelijkheid tot incasso misbruikt Paypal op dit moment en de ING en iedere andere bank heeft het nakijken dat Paypal die mogelijkheid tot incasseren beschikbaar maakt voor ieder willekeurig persoon waar Paypal geld aan wil verdienen.

Mis, de banken staan het toe dat er wordt geincasseerd door Paypal terwijl de banken niet controleren of die incasso's rechtmatig zijn. In incasso is alleen rechtmatig als er een papieren machtiging is met de handtekening van de bankrekeninghouder, of wanneer de machtiging (onder voorwaarden toegestaan) telefonisch is aangegaan en de toestemming van de rekeninghouder opgenomen is. Het is de taak van de banken om te controleren of er een geldige machtiging is en of de transactie wel rechtmatig is voordat ze het geld van iemands rekening boeken. Maar dat vertikken ze! Natuurlijk hoort de misbruiker van gebrek aan controle ook als fout te worden neergezet, maar de taak tot beschermen van je geld ligt bij de bank - niet bij de misbruiker. Als klant van een bank is voor mij mijn bank fout als ze geld van mijn rekening laten afschrijven zonder dat ze eerst mijn toestemming hebben gecontroleerd.

En als ING nou simpelweg zou invoeren dat je ook een TAN-code moet invoeren bij het aanloggen op internet-bankieren?
Dan heeft iemand niets meer aan alleen de userid/password combinatie. En als je dan zo gek bent om zelf te bevestigen dat PayPal-achtige bedrijfjes geld van je rekening mogen afschrijven, tja ...

Peter

Gewoon geen Paypal meer gebruiken, heb ik nooit gedaan en zal ik ook nooit doen.
Wil je iets kopen?
IDEAL of in geval van particulier nog steeds face-to-face.
TANcode werkt perfect via de GSM en zou dus ook voor ELKE transactie van Paypal of dergelijk bedrijf gebruikt moeten worden.

Ook wij zijn de dupe geworden van diefstal van onze ing rekening. Op zaterdag middag kwamen wij tot de conclusie dat er een fiks bedrag was afgeschreven, waar wij niets van wisten, wij deze persoon niet kenen, en het ook niet terug kunnen halen en als aller belangrijkste ook geen TAN code gehad hebben.

De ing bank erkent wel dat het hier fraude betreft maar of wij ons geld ooit terug krijgen is volgens de ING medewerkster nog maar de vraag?

Fraai is dat, dus doordat het systeem van ING niet waterdicht is zijn wij klanten de dupe?

Ook ik was voor bijna 3500 euro gedupeerd voor een aankoop die niet werd gedaan en zonder dat een tancode werd afgegeven. In de week van de frauduleuze transactie stond mijn saldo circa 15.000 euro (!) te hoog zonder bijschrijving en is daarna (met of na, ik denk met de transactie) weer "gecorrigeerd" zonder afschrijving. De ING heeft mij na een week zonder probleem volledig schadeloos gesteld.

Aanvullende informatie m.b.t. phishing en internetbankieren kan men vinden op http://www.financieleinformatie.com/archives/176

Ik wilde vandaag inloggen op Mijn ING en dat lukte ook wel maar na even wachten kreeg ik een melding dat ik mijn Tancode kon ingeven. Terwijl ik alleen mijn Rekening wilde checken, en ik hoorde het geluid van mijn telefoontje dat ik een SMSje had ontvangen ....na mijn SMSje te hebben gelezen stond er een bedrag van 2867.00 Euro ik hoefde alleen maar de Tancode in te vullen. Bij mij gingen meteen de alarm bellen af. Ik belde met de klantenservice van de ING en die vertelde mij...niet doen want dan bent U uw geld kwijt. Scan de computer meteen 2 x en ga daarna naar www.ing.nl/clean en die vind dan waarschijnlijk een virus en verwijder die dan met onze cleaner. Dit is een virus van criminelen die op deze manier geld van uw rekening willen halen. Ik heb dit meteen gedaan en inderdaad is er een virus gevonden. Ik moest ook meteen mijn Gebruikersnaam en Wachtwoord veranderen. Ook dit gedaan. Ik ben gelukkig niet opgelicht en ben daar zeer dankbaar voor, met de Hartelijke dank aan de goede hulp van ING Klantenservice.

Heeft iemand dit al meegemaakt? Van mijn rekening is 2 maal binnen 3 uur (1 keer om 23.45 en 1 keer om 01.30 geld gepind in Nederland). Aangifte gedaan bij de politie: ik lag gewoon te slapen en heb getuigen, plus pas zat gewoon in portemonee en ik had ook nooit code afgestaan aan iemand. Nu doet de ING bank heel geheimzinnig en zegt dat het geen skimming is geweest maar iets anders maar ook niet wat. HOE zouden ze mijn pas hebben kunnen copieeren? Iemand een idee?

http://co109w.col109.mail.live.com/default.aspx#n=874990221&fid=1&fav=1&mid=1b8ece73-481e-11e1-aa47-00237de4a69c&fv=1

kreeg net deze mail
mn engels is bar slecht
moet ik hier op reageren of weg gooien
groeten marco