Vrijdag ook iemand laten overstappen op linux. Die zat met Windows XP met rootkit gewoon te internetbankieren. Ze gebruiken alleen mail, internettten en bankieren. Dus Debian erop en gisteren belde ze tevreden op. PC was sneller en alles werkte perfect.

Wat zijn de cijfers per bank? Maw wie doet het goed en wie slecht?

sjiek voor je...blijerd,krijg je thuis geen aandacht of zo?

Dit heeft niks met dit topic te maken.

Volgende keer onder je eigen naam posten EERDE.

Dat zou interessant zijn inderdaad, mits ook geschaald naar het aantal rekeninghouders .

Linux beschermt niet tegen phishing. Wel is het absurd dat je met phishing een account *kan* plunderen. Dat lukt met mijn rekening bij abn/amro toch echt niet.

Met phishing alleen ben je er nog niet.
Bij de Abn/Amro is het zo dat naast pasgegevens, pincode ook nog een authenticatie reeks moet worden ingevuld, gegenereerd door de calculator.
Het enige wat ik mij kan voorstellen is dat het rekeningnummer wordt gewijzigd in de transactie, wat mij lastig lijkt om deze omgeving zich op de website en dus op de locatie van de bank afspeelt.
Ik kan mij er nog niet veel nbij voorstellen.
Iemand een idee?

Ik ben enkele keren een mail tegen gekomen met daarin activeren.html.
deze pagina lijkt op een rabobank pagina en vraagt alle gegevens die je nodig hebt tijden een transactie.
(rabobank geeft een code met reader zonder een code te hoeven invoeren van te voren)

alle gegevens worden vervolgens doorgestuurd naar een php pagina op een gehackte site.
Vanaf daar kan je natuurlijk een mail of iets dergelijks uit laten gaan waar deze gegevens direct beschikbaar komen.

Deze gegevens kan je binnen een tijdsbestek van 15 minuten gewoon gebruiken om transacties te verrichten.

Natuurlijk. Je moet bedenken dat NIETS van wat je ziet en doet op de client computer vertrouwd kan worden .
Wat de webserver van de bank stuurt , en wat op jouw scherm verschijnt kunnen twee heel verschillende dingen zijn.

Wat jij intikt/inklikt als bedrag en bestemming, en wat de bank aangeboden krijgt als transactie kunnen ook twee verschillende dingen zijn.

Al die dingen kunnen door een trojan willekeurig gemanipuleerd worden.

Wat de bank moet proberen is om die hele set ontvangen transacties via een betrouwbaar kanaal aan jou te laten weten en daar authorizatie voor te krijgen.

De computer en internet zijn niet dat kanaal (want de client computer is onbetrouwbaar), het enige wat ze hebben is een heel beperkte hoeveelheid bandbreedte om die samen te vatten, op een manier dat mensen dat uit hun hoofd snappen.
Geen fancy hashes dus.

Het gaat er niet (alleen) om dat de echte rekeninghouder aan de andere kant van het toetsenbord zit.
Het gaat er vooral om dat de eigenaar bewust alle transacties *die de bank ontvangen heeft* goedkeurt, in grootte en in bestemming.

De "calculator" banken moet die informatie samenvatten in een handvol cijfers, ongeveer zoveel als je mensen kunt laten intikken.
En die mensen moeten snappen dat een transactie bedrag daarin extreem belangrijk is.
(stel dat het scherm zegt 'bij uw calculator, neem het transactie bedrag en voeg een 9 toe als voorloopcijfer ?
Gaat tante truus in de alarmstand ? Gaat zelfs de gemiddelde bezoeker hier in de alarmstand ? )

De TAN-via SMS bank(en) hebben maar liefst 160 karakters om te beschrijven wat ze gaan uitvoeren, en wat dat betreft een voorsprong. Een nadeel is dat de betrouwbaarheid van een SMS kanaal aan het afnemen is, vanwege smart phone hacks of het (te) makkelijk wijzigen van opgegeven telefoonnummers bij de bank. (en wat verder gezocht, sim clone hacks).

Wat de banken meer doen, (en creditcard maatschappijen al lang moesten doen) is 'verdachte patronen' vlaggen en die transacties vertragen.
Maar weinig mensen betalen naar het Oostblok. Hypotheken en huren worden jarenlang op hetzelfde moment voor hetzelfde bedrag naar dezelfde rekening gestort.
Rekeningen met weinig transacties (scholieren, uitkeringstrekkers) die opeens een vloed van stortingen krijgen en enorm pinnen op veel plaatsen kunnen wel eens een money mule geworden zijn.
Dat soort patronen spotten, vlaggen, en dan ingrijpen (vertragen of blokkeren,menselijke analyse, telefonische follow up) is wat bedoeld wordt met 'onderscheppen in het voortraject' .

Daarom is het ook hoog nodig de tijd dat Javascripting en Flash worden verbannen. Er zijn routers waarin je dit allemaal kunt blokkeren maar het is toch belachelijk dat veel websites deze standards toch blijven gebruiken ondanks de gevaren. Websites welke steeds meer op een kerstboom gaan lijken vanwege ads/banners waardoor ze potentieel een doelwit zijn om andere codes erin te verwerken welke geladen worden op de systemen van bezoekers.

Zelfs Security.nl heeft deze bittads troep op de website welke je uiteraard gelijk ziet in de gatenkaas browser IE.

En wat is nu eigenlijk veiliger bij de ING:
1-Tan code lijst op papier
2-Tan code via sms

Dat hangt van je threat-model af.
Voor het overgrote deel van de gebruikers is TAN-via-SMS de beste keuze. Je moet dat eigenlijk niet zien als tan-via-sms, maar als "terugmelding van transactie via sms, met daarnaast een authorizatie code".

Wat er in de sms staat over de transactie moet zijn wat je via het web hebt ingevoerd.

Heb je nu een heel veilige internet bankier pc (openbsd via live cd met hardcoded bank-server ip adressen bijvoorbeeld), en een slettig smartphone gedrag (alles van overal installeren) dan kun je misschien stellen dat een papieren TAN lijst veiliger is.

Nogmaals (ben anoniem maandag 22:28), het gaat om het authorizeren van de hele *transactie* zoals die aankomt bij de bank. Bedrag en bestemmingen.

Alleen bewijzen dat een transactie *die de bank ziet* door de rekeninghouder gedaan wordt is niet voldoende.
De transactie die de rekeninghouder meent te doen en de transactie die de bank ontvangt moeten overeenkomen.

De papieren TAN lijst bewijst (nu ja, maakt zeer aannemelijk) dat een transactie door de rekeninghouder gedaan wordt, maar zegt niets over de inhoud van de transacties.