Rabobank: veilig internetbankieren ook taak consument
Veilig internetbankieren is ook een taak van consumenten, aldus de Rabobank in een inmiddels verwijderd bericht op de banksite. De bank reageerde wederom op een artikel dat eind februari in ochtendkrant Spits verscheen. "Naar aanleiding van het krantenartikel in Spits laten wij u nogmaals weten dat de Rabobank er alles aan doet om u veilig te kunnen laten internetbankieren", zo meldt de Rabobank Alblasserwaard Noord en Oost.
Opletten
De bank ziet ook een taak voor klanten weggelegd. "Voor veilig internetbankieren hebben we u ook nodig." Daarbij wordt opgemerkt dat de bank maatregelen neemt, maar dat ook consumenten hun steetje kunnen bijdragen. Wie tijdens het inloggen of het verzenden van betaalopdrachten iets afwijkends ziet, krijgt het advies om te stoppen en de helpdesk te bellen.
Het artikel van vorige week staat niet meer online, maar is nog wel in de cache van Google te vinden.
Eigen risico
Onlangs speelde nog de discussie over een mogelijk eigen risico voor het gebruik van internetbankieren. De banken stelden dat het invoeren van zo'n maatregel op dit moment nog niet opportuun is.
Reacties (16)
16-03-2012, 16:48 door
Bitwiper
Als ik afgelopen woensdag tussen 11:30 en 12:30 op http://www.nu.nl/ gekeken heb, kan ik dan nog veilig internetbankieren?
16-03-2012, 16:58 door
Eerde
Laten we eerst zeggen dat de Rabo het beste systeem heeft !
Kan enkel nog aan toegevoegd worden dat het over te maken bedrag in de challenge zit.
Dat maakt het toch wel heel lastig als de gebruiker accoord geeft op € 102,51 en 'de bank' (Rabo) meer laat afschrijven.
Dan zit het bij de bank, niet de gebruikert.
Stelliger dan is het een 'flag' voor de bank dat er een 'man-in-the-middle' aanwezig is.
Wel moeten mensen zorgen dat hun PC in orde is.... oeps dat gaat niet lukken.... 80%+ draait nog steeds windhoos, niemand gebruikt een 'live-CD' om te internetbankieren en het plebs kan je toch niet wijzer maken.
Blijft dus de optie van 'eigen risico', maar welk risico dan ?
Men kan een klant niet het beveiligingsrisico opdringen, dat zijn immers 'muppets' ;)
Dan maar weer terug naar papieren overschrijvingen en een filiaal op iedere hoek van de straat... ?
Kan enkel nog aan toegevoegd worden dat het over te maken bedrag in de challenge zit.
Dat maakt het toch wel heel lastig als de gebruiker accoord geeft op € 102,51 en 'de bank' (Rabo) meer laat afschrijven.
Dan zit het bij de bank, niet de gebruikert.
Stelliger dan is het een 'flag' voor de bank dat er een 'man-in-the-middle' aanwezig is.
Wel moeten mensen zorgen dat hun PC in orde is.... oeps dat gaat niet lukken.... 80%+ draait nog steeds windhoos, niemand gebruikt een 'live-CD' om te internetbankieren en het plebs kan je toch niet wijzer maken.
Blijft dus de optie van 'eigen risico', maar welk risico dan ?
Men kan een klant niet het beveiligingsrisico opdringen, dat zijn immers 'muppets' ;)
Dan maar weer terug naar papieren overschrijvingen en een filiaal op iedere hoek van de straat... ?
Ik geef de Rabobank hierin gelijk. De gebruiker moet bewust omgaan met internet bankieren. Het moet echter niet zo zijn dat de Rabobank de gebruiker aansprakelijk stelt als niet aan de voorwaarden is voldaan (Bedrag controleren en certificaat controle bijv.). Ik geloof best dat er ook mensen zijn die hier misbruik van maken of dat er mensen zijn die het weinig interesseert hoe veilig ze het internet opgaan. Een Live-CD booten is een goed idee maar niet makkelijk (eerst weer booten) en overigens niet voor iedereen even makkelijk. Dat 80% nog steeds op Windows draait heeft hier niet mee te maken, zouden we OSX gaan gebruiken komen daar de problemen wel. Ik denk dat beide kampen de boel op orde moeten hebben. Rabobank kan bijv. software/handleidingen/informatie verstrekken om te zorgen dat het veilig gebeurd.
16-03-2012, 19:21 door
tegenlicht
Misschien is het een idee om een dichtgetimmerde tablet voor het internetbankieren te leveren. Die dingen kosten maar weinig (Bij massaproductie zit je op 30 euro per stuk) en je zorgt er voor dat de bankier applicatie het enige is wat er op zit.
Maar even serieus, De rijkste bedrijven (lees banken) kunnen toch wel de koppen bij elkaar steken en een goede beveiliging bedenken? Ze laten vooral kleine steekjes vallen. Een mooi voorbeeld is het tan code systeem per sms van ING. Daarin staat de tan code en het bedrag. Voeg er ook een begunstigde rekeningnr aan toe en een man in the middle wordt praktisch onmogelijk. Zo zou ABN amro ook bijvoorbeeld net voor het versturen van een transactie een sms kunnen sturen met die gegevens er in.
Maar even serieus, De rijkste bedrijven (lees banken) kunnen toch wel de koppen bij elkaar steken en een goede beveiliging bedenken? Ze laten vooral kleine steekjes vallen. Een mooi voorbeeld is het tan code systeem per sms van ING. Daarin staat de tan code en het bedrag. Voeg er ook een begunstigde rekeningnr aan toe en een man in the middle wordt praktisch onmogelijk. Zo zou ABN amro ook bijvoorbeeld net voor het versturen van een transactie een sms kunnen sturen met die gegevens er in.
16-03-2012, 21:25 door
Zipper306
Door tegenlicht: Zo zou ABN amro ook bijvoorbeeld net voor het versturen van een transactie een sms kunnen sturen met die gegevens er in.
Dit is nu echt iets waarop criminelen op zetten te wachten. Een SMSje sturen via de de lekke providers die voor je mobile verbinden zorgen.
16-03-2012, 21:34 door
tegenlicht
Door Zipper306:
Dit is nu echt iets waarop criminelen op zetten te wachten. Een SMSje sturen via de de lekke providers die voor je mobile verbinden zorgen.
Door tegenlicht: Zo zou ABN amro ook bijvoorbeeld net voor het versturen van een transactie een sms kunnen sturen met die gegevens er in.
Dit is nu echt iets waarop criminelen op zetten te wachten. Een SMSje sturen via de de lekke providers die voor je mobile verbinden zorgen.
Het is gewoon een extra (Persoonlijk) onderdeel die je aan het proces toevoegd.
Er staat hier verderop nog een artikel "stappenplan voor nu.nl bezoekers": wat te doen als je na het bezoeken van nu.nl je pc wilt schonen van eventuele malware.
Nou, hoeveel mensen lezen dit artikel eigenlijk? Hoeveel mensen kunnen het lezen? Hoeveel mensen kunnen begrijpen wat ze daar allemaal te lezen krijgen in artikel en reacties? Hoeveel mensen weten dan hoe ze maatregelen moeten nemen? Hoeveel mensen nemen daadwerkelijk maatregelen? Je komt uiteindelijk bij promillages uit.
Ik weet in elk geval dat ik geen ene moer begrijp van dat artikel en de reacties. Ik weet ook dat ik een academisch niveau heb, maar geen enkel talent voor itc. Ik weet dat dit normaal, d.w.z. algemeen voorkomend is.
In zulke omstandigheden moet de Rabobank inbinden, en niet zo'n beetje ook! Alle andere banken eveneens. De onveiligheid van internet mag niet en nooit op de consument worden afgewenteld.
Nou, hoeveel mensen lezen dit artikel eigenlijk? Hoeveel mensen kunnen het lezen? Hoeveel mensen kunnen begrijpen wat ze daar allemaal te lezen krijgen in artikel en reacties? Hoeveel mensen weten dan hoe ze maatregelen moeten nemen? Hoeveel mensen nemen daadwerkelijk maatregelen? Je komt uiteindelijk bij promillages uit.
Ik weet in elk geval dat ik geen ene moer begrijp van dat artikel en de reacties. Ik weet ook dat ik een academisch niveau heb, maar geen enkel talent voor itc. Ik weet dat dit normaal, d.w.z. algemeen voorkomend is.
In zulke omstandigheden moet de Rabobank inbinden, en niet zo'n beetje ook! Alle andere banken eveneens. De onveiligheid van internet mag niet en nooit op de consument worden afgewenteld.
Ik begrijp dat Rabobank dit vindt, maar wees dan eerlijk. Het is vandaag de dag vrijwel onmogelijk geworden uit te leggen hoe een veilige pc voor telebankieren er eigenlijk uitziet. De huidige infrastructuur met pc's, windows en https is gewoon niet geschikt voor echt veilig telebankieren. Voor experts is het zelfs al zeer lastig een veilige en 100% virus-vrije pc te onderhouden, laat staan dat jan met de pet er nog iets van begrijpt.
Ik denk dat banken zich nu echt moeten gaan beraden over de volgende stap. Zeer waarschijnlijk een stap die het veel en veel minder gebruiksvriendelijk zal maken, maar waar ze uiteindelijk toch niet aan gaan ontkomen: het afdwingen van een veilige eindgebruiker pc omgeving als een verbinding wordt opgebouwd naar de bank. Dat zal de privacy van de eindgebruiker niet ten goede komen, maar ik zie geen andere oplossing.
Ik denk dat banken zich nu echt moeten gaan beraden over de volgende stap. Zeer waarschijnlijk een stap die het veel en veel minder gebruiksvriendelijk zal maken, maar waar ze uiteindelijk toch niet aan gaan ontkomen: het afdwingen van een veilige eindgebruiker pc omgeving als een verbinding wordt opgebouwd naar de bank. Dat zal de privacy van de eindgebruiker niet ten goede komen, maar ik zie geen andere oplossing.
There is a an infectiontest URL available:
http://sijmen.ruwhof.net/js/nu.nl-infectietest/
It will report whether your computer is/was vulnerable for this attack (Assuming you have NOT updated Java and/or Adobe Reader AFTER March 14th 13:42).
http://sijmen.ruwhof.net/js/nu.nl-infectietest/
It will report whether your computer is/was vulnerable for this attack (Assuming you have NOT updated Java and/or Adobe Reader AFTER March 14th 13:42).
Door Anoniem: [/i
De onveiligheid van internet mag niet en nooit op de consument worden afgewenteld.
[/quote]
Volledig mee eens, vergeet niet dat de banken hun "klanten"internetbankieren door hun strot hebben geduwd. In het hele land zijn de filialen dicht gegaan en voor alle handelingen op de bank worden middelen gebruikt om dit zo maximaal mogelijk te demotiveren.
Denk aan bejaarden.. wacht.. denk aan 90% van de de gebruikers die net weten waar de aan en uit knop zit op de computer.
Die snappen net zoals de poster hiervoor geen ene bal van certificaten, https add-on als no-script, pishing enz enz.
Indien de banken doorgaan op deze wijze zullen ze met een alternatief moeten komen indien ze meer beveiliging willen dan haalbaar is. Aan de andere kant laten we zeggen dat er per jaar voor 1.000.000 euro gestolen wordt door fraude met internetbankieren dan is dit nog steeds goedkoper voor de bank dan terug naar de oude situatie waarbij je weer filialen krijgt.
Kortom het is een kosten plaatje. Het enige , en dat trekken banken zich zeker aan, is dat de consument onder geen enkele voorwaarde het vertrouwen in internetbankieren mag verliezen. Dat de consument het gevoel krijg dat haar geld op straat ligt en dat ze er alleen voor staan als iemand dat geld meeneemt,als dat gevoel er komt dan zullen consumentenorganisaties zeker aan de bel gaan trekken bij de banken en zou internetbankieren wel eens kunnen sneuvelen.
Overigens vind ik het idee van een tablet niet eens zo slecht...maar ja dan heb je weer te maken met een draadloze internetverbinding met web encryptie.. :) dus dan maar via het 3G netwerk kun je ten alle tijden bij je geld. :)
De onveiligheid van internet mag niet en nooit op de consument worden afgewenteld.
[/quote]
Volledig mee eens, vergeet niet dat de banken hun "klanten"internetbankieren door hun strot hebben geduwd. In het hele land zijn de filialen dicht gegaan en voor alle handelingen op de bank worden middelen gebruikt om dit zo maximaal mogelijk te demotiveren.
Denk aan bejaarden.. wacht.. denk aan 90% van de de gebruikers die net weten waar de aan en uit knop zit op de computer.
Die snappen net zoals de poster hiervoor geen ene bal van certificaten, https add-on als no-script, pishing enz enz.
Indien de banken doorgaan op deze wijze zullen ze met een alternatief moeten komen indien ze meer beveiliging willen dan haalbaar is. Aan de andere kant laten we zeggen dat er per jaar voor 1.000.000 euro gestolen wordt door fraude met internetbankieren dan is dit nog steeds goedkoper voor de bank dan terug naar de oude situatie waarbij je weer filialen krijgt.
Kortom het is een kosten plaatje. Het enige , en dat trekken banken zich zeker aan, is dat de consument onder geen enkele voorwaarde het vertrouwen in internetbankieren mag verliezen. Dat de consument het gevoel krijg dat haar geld op straat ligt en dat ze er alleen voor staan als iemand dat geld meeneemt,als dat gevoel er komt dan zullen consumentenorganisaties zeker aan de bel gaan trekken bij de banken en zou internetbankieren wel eens kunnen sneuvelen.
Overigens vind ik het idee van een tablet niet eens zo slecht...maar ja dan heb je weer te maken met een draadloze internetverbinding met web encryptie.. :) dus dan maar via het 3G netwerk kun je ten alle tijden bij je geld. :)
18-03-2012, 09:56 door
[Account Verwijderd]
[Verwijderd]
Door LinuxGebruiker: de banken moet eisen dat gebruikers Linux gebruiken, anders gwoon weigeren, ben je van alle gezeik af
Tuurlijk en vervolgens gaat de bank failliet want alle klanten gaan weg... Puikplan! Blijkt maar weer dat intelligentie niet nodig islam voor Linux!Weer een stapje dichter bij wat ze uiteindelijk willen. Klanten volledig verantwoordelijk stellen.
18-03-2012, 20:16 door
tegenlicht
Door LinuxGebruiker: de banken moet eisen dat gebruikers Linux gebruiken, anders gwoon weigeren, ben je van alle gezeik af
Wat denk je dat er gaat gebeuren ls iedereen linux gebruikt voor internetbankieren? Dan gaan de mallware schrijvers een ander beroep kiezen? Denk het niet.. De aanvallen vinden dan gewoon plaats op Linux gebruikers. De hoeveelheid aanvallen op een bepaald OS is vrijwel volledig afhankelijk van het aantal gebruikers er van.
19-03-2012, 15:44 door
Rolfieo
Door Zipper306:
Dit is nu echt iets waarop criminelen op zetten te wachten. Een SMSje sturen via de de lekke providers die voor je mobile verbinden zorgen.
Door tegenlicht: Zo zou ABN amro ook bijvoorbeeld net voor het versturen van een transactie een sms kunnen sturen met die gegevens er in.
Dit is nu echt iets waarop criminelen op zetten te wachten. Een SMSje sturen via de de lekke providers die voor je mobile verbinden zorgen.
SMStjes, als je eenmaal weet wat je wel niet installeerd en toestemming geeft op de iphone en de andriods, dan wordt je echt niet blij van dit.
Daarbij hoe ga je er mee om, als er 6 transacties in staan? 2 nummers smssen?
TAN Codes zijn in mijn ogen het meest onveilige wat er maar is. Veel te gemakkelijk te onderscheppen.
19-03-2012, 16:57 door
tegenlicht
Door Rolfieo:
SMStjes, als je eenmaal weet wat je wel niet installeerd en toestemming geeft op de iphone en de andriods, dan wordt je echt niet blij van dit.
Daarbij hoe ga je er mee om, als er 6 transacties in staan? 2 nummers smssen?
TAN Codes zijn in mijn ogen het meest onveilige wat er maar is. Veel te gemakkelijk te onderscheppen.
Door Zipper306:
Dit is nu echt iets waarop criminelen op zetten te wachten. Een SMSje sturen via de de lekke providers die voor je mobile verbinden zorgen.
Door tegenlicht: Zo zou ABN amro ook bijvoorbeeld net voor het versturen van een transactie een sms kunnen sturen met die gegevens er in.
Dit is nu echt iets waarop criminelen op zetten te wachten. Een SMSje sturen via de de lekke providers die voor je mobile verbinden zorgen.
SMStjes, als je eenmaal weet wat je wel niet installeerd en toestemming geeft op de iphone en de andriods, dan wordt je echt niet blij van dit.
Daarbij hoe ga je er mee om, als er 6 transacties in staan? 2 nummers smssen?
TAN Codes zijn in mijn ogen het meest onveilige wat er maar is. Veel te gemakkelijk te onderscheppen.
TAN codes zijn inderdaad heel onveilig. Wat ik zelf belangrijk vind, is een bevestiging via SMS of telefoon wat de bank precies gaat doen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
