Banken bewust van risico's mobiel bankieren
Bij computervereniging HCC heerst grote twijfel over de veiligheid van mobiel bankieren apps, maar de banken zeggen dat ze zich van de risico's bewust zijn. Dat werd duidelijk tijdens een discussie over het onderwerp in de Amsterdamse Bazel, waar ook Security.nl aanwezig was. Mobiel bankieren apps worden inmiddels door honderdduizenden consumenten gebruikt. Volgens Michael Samson, adviseur informatica bij de Nederlandse Vereniging van Banken (NVB), zijn de huidige apps niet te vergeleken met internetbankieren op de pc. "Ten eerste is op mobiel de beveiliging lager. De functionaliteit is over het algemeen ook lager." Het gaat dan om het bedrag van de transacties en de rekeningen waar het geld naar over is te maken. "Zo heeft iedereen wel wat aan beveiliging er om heen gebouwd."
Samson benadrukt dat er op de smartphone veel minder malware is, omdat de telefoon nog niet voor transactieverkeer wordt gebruikt. "Dat begint nu hard op te lopen." De huidige oplossingen zouden volgens hem dan ook voldoen. "Je moet het wel in de gaten houden."
Onveilig
Bij de HCC, de grootste computerhobby-vereniging van Nederland, is men niet overtuigd van de veiligheid van de apps. "Je kijkt over de schouders van iemand mee en je hebt de hele wereld", zegt Arda Gerkens, directeur van de HCC. "Hoe kan het in deze tijd dat banken dit soort zaken toestaan." Gerkens zou van leden signalen krijgen dat ze het mobiel bankieren onveilig vinden en de app vaak weer verwijderen.
Samson merkt op dat de NVB niet over de veiligheid van bankieren apps gaat, maar stelt dat als het echt de spuigaten uit zou lopen, De Nederlandsche Bank of interne auditors bij de bank in kwestie wel op zullen treden. "Het onderwerp staat ook bij banken op de agenda", gaat Samson verder. "Het gebruik van mobiel gaat heel hard." Consumenten zouden veel vaker hun saldo via een smartphone app controleren dan via hun computer. "Op dit moment is er nog geen schade."
Twee-factor authenticatie
Sommige critici vinden het storend dat de smartphone apps geen twee-factor authenticatie gebruiken. Een extra apparaatje om een code te genereren om vervolgens op de smartphone in te voeren, is volgens Samson niet erg praktisch en gebruiksvriendelijk. De schade die potentieel met de huidige banking apps kan worden aangericht valt volgens hem mee en zou een maatregel zijn om grootschalige fraude tegen te gaan. "Het lukt me niet als ik iemands telefoon jat om zijn volledige saldo in ene naar Rusland over te maken."
Samson merkt op dat ook banken tegenstrijdige belangen hebben. "Er zijn commerciële mensen en er zijn beveiligingsmannen. Je moet uitkijken dat er niet onder een veel lager beveiligingsniveau alle functionaliteit van internetbankieren plotseling ook mobiel kan. Dat iemand mijn hele spaarrekening naar een privérekening kan leegtrekken, en vervolgens naar een willekeurig adres in Nederland kan overboeken met alleen een wachtwoord. Dat is niet de bedoeling en ik denk ook niet dat dat gaat gebeuren."
Keuze
Volgens Gerkens moeten consumenten de keuze krijgen. "Ik denk dat het voor de consument prettig is als die zelf voor de meest of veilige optie of minder veilige optie kan kiezen, dan dat er dingen door zijn strot worden geduwd." Samson vindt dat banken al hun verantwoordelijkheid nemen, maar dat het laten instellen van klanten hoeveel ze willen kunnen overmaken geen echte oplossing is.
"Ik wil als klant überhaupt de keuze hebben of ik geld naar een andere rekening kan overboeken. Ik zou zeggen dat je dat nooit zou moeten willen op een mobiel. Je zou nooit moeten willen dat je mobiel geld kunt overboeken naar een andere rekening dan je eigen rekening", stelt Gerkens.
Eddy Willems van G Data denkt dat er uiteindelijk toch iets van multi-factor authenticatie zal komen. "Dan zitten we iets beter. Ik zeg niet dat we veilig zitten, dat is een andere zaak." Wat betreft de veiligheid van smartphones zijn anti-virusbedrijven op dit moment machteloos, merkt Willems op. Zowel Google als Apple zouden de noodzakelijke API's niet vrijgeven, waardoor een virusscanner niet op hetzelfde niveau kan werken als op een normale computer.
Toekomst
Wat betreft de toekomst houden banken de veiligheid van het mobiele platform en bankieren apps in de gaten. "Laat ik eerlijk zijn, er zit wel een risico aan voor de toekomst", laat de NVB-adviseur weten. Steeds meer consumenten zouden echter via hun mobiel willen bankieren, "waardoor banken gewoon moeten", aldus Samson. "Als de een het doet, doet de ander het ook. Je moet alleen zien hoe de veiligheid van de mobiel zich ontwikkelt en ook hoe de commerciële druk zich ontwikkelt."
Het donkerste scenario dat Samson zich voor kan stellen is dat straks alles kan op de mobiele telefoon, waardoor fraude groeit. Maar banken zouden de beveiliging niet verder kunnen laten gaan dan alleen een gebruikersnaam en wachtwoord. "Dat is een onwerkbare situatie dan gaat de fraude echt oplopen. Dat scenario zal niet gebeuren." Als oplossing kunnen banken volgens de adviseur kiezen om het transactiebedrag te beperken of wachten totdat mobiele telefoons veel veiliger worden.
Zoals hij voorstelt een dashboard op de website *met* Random Reader waarin je bijvoorbeeld ook een limiet aan aantal en omvang van mobiele transacties kan instellen, een keuze om transacties al dan niet te beperken tot transacties naar bekende nummers (uit het adresboek), etc.
Ik vind kunnen het overmaken van bedragen via mobiel erg handig, maar dat is tientjes werk. Ik ga geen auto kopen via m'n mobiel.
Overigens is het bij de Rabo app - voor zover ik weet - zo dat je voor transacties naar onbekende rekeningnummers ook bij de mobiele app je Random Reader nodig hebt. Alleen als rekeningnummers in je adresboek voorkomen dan kan je er zonder Random Reader geld naar over maken (mogelijk alleen kleine bedragen, met grote bedragen geen ervaring).
Al je maatregelen voor veilig internet bankieren geld dus ook voor je mobiele device.
-Secure connection.
-Strong authentication of dual authentication.
-Login and password dienen extra encrypted te zijn binnen https
-No jailbreak phones.
-Secure cookies (deze opties wordt amper gebruik op phones)
-secure programming guidlines (MAC and Mobiele apps zijn vele niet veilig geprogrammeerd)
-uitgebreid testen em pentesten.
Linux niet voor professionals?
Android applicaties (in Java) draaien in user-modus, de antivirus moet bij de Kernel laag (C taal) kunnen komen om echt effectief te zijn. En dat staat Google niet toe, vanwege de veiligheid.
Als antivirus echt mogelijk moet worden, dan moet de leverancier dit zelf installeren.
Installeren via een marketplace is gewoon niet veilig genoeg voor dit soort root-applicaties.
Als je dit voor één apps toestaat, kunnen andere dat ook gebruiken. En als mensen iets willen, al is het maar een spelletje (met adware) dan drukken ze gewoon op oke en kijken veelal niet verder naar het risico.
Als een bank dit echt veilig wilt aanbieden, moet dat op een apart toestel welke alleen de banking app draait en met two-factor authenticatie. Anders blijf je altijd een risico lopen!
De Rabobank stuurde mij, zonder dat ik daar om had gevraagd, op een gegeven moment een compleet mobiel bankieren pakket inclusief autorisatie codes etc.
Omdat ik me er maar al te goed bewust van ben dat android zo lek is als een mandje, heb ik onmiddellijk de Rabobank gebeld om dat mobiele pakket te laten deactiveren. En om er zeker van te zijn dat de Rabobank geen verhaal op me heeft, mocht er om een of andere reden daar toch nog iets fout mee gaan heb ik Rabobank verzocht schriftelijk aan mij te bevestigen dat dat mobiel bankieren volledig is ge-deactiveerd. Wat Rabobank trouwens ook keurig netjes heeft gedaan.
Ik ben zeer tevreden over Rabo elektronisch bankieren, mede omdat het beschikt over two factor authentication. Maar ik vindt het volstrekt onbegrijpelijk dat de Rabobank mij tegelijkertijd ongevraagd een een mobiel betaalsysteem door de strot probeert te duwen dat potentieel zo lek is als de pest, ook al gaat het om relatief lage bedragen.
Banken: direct Eigen Risico dan maar invoeren en dan wel een percentage van het bedrag van de transactie zodat ook de rijkeren onder ons naar rato schuld moeten betalen. Ben ik sterk voorstander van; de rest werkt nog niet
Vaste bedragen duperen de armen onder ons teveel en zijn een schijntje voor de rijkeren.
Al je maatregelen voor veilig internet bankieren geld dus ook voor je mobiele device.
-Secure connection.
-Strong authentication of dual authentication.
-Login and password dienen extra encrypted te zijn binnen https
-No jailbreak phones.
-Secure cookies (deze opties wordt amper gebruik op phones)
-secure programming guidlines (MAC and Mobiele apps zijn vele niet veilig geprogrammeerd)
-uitgebreid testen em pentesten.
0) Smartphones zijn wel intrensiek beter qua basisbeveiliging dan PC's schat ik zo in maar de apps etc. en additionele maatregelen lopen nog uit de pas
1) de beveilingsmatregelen van smartdevices zijn volgens mij nog lang niet op PC-niveau en ik verwacht dat dit jaar nog niet tot Android 5.0 komt
2) en als je al goede beveilings apps toepast dan heb je voor een goede performance al snel een quad core processor nodig
3) ook jaibraken en rooten willen velen juist wel doen. je kunt dat niet selectief even uit-aanzetten (dacht ik) zoals admin bij Windows of root bij Linux
4) ja wie heeft allemaal veilige apps?
5) pentesten en testen doen maar weinigen, dus.
Samengevat:de smartdevices zitten komend jaar nog lang niet op PC-niveau qua beveiliging.
Dan te bedenken dat PC-gebruikers het al allemaal niet meer snappen en onveilig werken; maak je borst maar nat met Internet bankieren op Smartdevices.
Ik doe het vooralsnog niet en wil geen early victim zijn.
Mooi dat HCC stelling neemt. Ook als zijn het hobbyisten. Juist die vertrwouw ik beter dan banken en hun auditors. Hobbyisten zijn 100% onafhankelijk en banken(auditors) zijn dat zeker niet.
Dat RABO zo'n app-pakket ongevraagd stuurt zou niet moeten kunnen. Ik zou ook meteen de handel direct teruggeven met aangetekende brief dat ik er geen gebruik van wilde en wil maken totdat ik dat zelf aanvraag!
Beetje apart.
Je snapt wel dat ik de app direct weer verwijderd heb.
In uw e-mail geeft u aan dat u wilt weten hoe u uw mobiele pincode wijzigt.
*Mobiele pincode wijzigen
U wijzigt de code door drie keer een verkeerde mobiele pincode in te toetsen. Hierdoor wordt uw Mobiel Bankieren App geblokkeerd. U meldt zich vervolgens opnieuw aan in de app. Na het invoeren van de bevestigingscode en het accepteren van de voorwaarden, kunt een nieuwe mobiele pincode instellen. U meldt u als volgt opnieuw aan voor de Mobiele Bankieren App; - start de App op uw mobiele telefoon; - druk op ‘Aanmelden' en vul uw gegevens in; - ga naar een computer en log in op Mijn ING; - ga naar ‘Aanmelden Mobiel Bankieren' en volg de stappen om een bevestigingscode aan te vragen; - ga naar de App op uw mobiele telefoon en vul de bevestigingscode in; - lees de Voorwaarden Mobiel Bankieren en accepteer deze; - maak een persoonlijke mobiele pincode aan en bevestig deze code. Daarna kunt u de Mobiel Bankieren App weer gebruiken. Heeft u nog vragen? Kijk op ING.nl/mobiel. Of bel ons op 0900 1958 (10 cent per minuut). U kunt ons bereiken van maandag tot en met vrijdag van 8.00 tot 21.00 uur en op zaterdag van 9.00 tot 17.00 uur. Wij helpen u graag.
Beetje apart.
Je snapt wel dat ik de app direct weer verwijderd heb.
In uw e-mail geeft u aan dat u wilt weten hoe u uw mobiele pincode wijzigt.
*Mobiele pincode wijzigen
U wijzigt de code door drie keer een verkeerde mobiele pincode in te toetsen. Hierdoor wordt uw Mobiel Bankieren App geblokkeerd. U meldt zich vervolgens opnieuw aan in de app. Na het invoeren van de bevestigingscode en het accepteren van de voorwaarden, kunt een nieuwe mobiele pincode instellen. U meldt u als volgt opnieuw aan voor de Mobiele Bankieren App; - start de App op uw mobiele telefoon; - druk op ‘Aanmelden' en vul uw gegevens in; - ga naar een computer en log in op Mijn ING; - ga naar ‘Aanmelden Mobiel Bankieren' en volg de stappen om een bevestigingscode aan te vragen; - ga naar de App op uw mobiele telefoon en vul de bevestigingscode in; - lees de Voorwaarden Mobiel Bankieren en accepteer deze; - maak een persoonlijke mobiele pincode aan en bevestig deze code. Daarna kunt u de Mobiel Bankieren App weer gebruiken. Heeft u nog vragen? Kijk op ING.nl/mobiel. Of bel ons op 0900 1958 (10 cent per minuut). U kunt ons bereiken van maandag tot en met vrijdag van 8.00 tot 21.00 uur en op zaterdag van 9.00 tot 17.00 uur. Wij helpen u graag.
Op de dag van het plaatsen van dit voorgaande bericht over het wijzigen van de pincode in de Mobiel Bankieren App van ING is er een update gelanceerd.
Naast het opnemen van het online adresboek van Mijn ING is het nu (na updaten van de App) mogelijk op iPhone, iPad en Android toestellen om de mobiele pincode te wijzigen.
Voor alle toekomstige wijzigingen en updates houden wij een speciale pagina op onze website bij. Zie hiervoor http://www.ing.nl/particulier/mobiel/verbeterde-mobiel-bankieren-app/index.aspx.
Vriendelijke groeten,
Roy
ING Webcare Team
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
