Tja, en ik dat de mensen niet meer stelen, oorlog iets van het verleden is en we geen ruzie meer maken. Tot die tijd zullen we toch echt wat moeten doen. Dit waait niet over.

"Voor fraude via internetbankieren hoop ik dat we de komende jaren een afname zien."


Met hopen zullen de banken niet ver komen, wel met een betere maatregelen als er gaten in het proces worden ontdekt. De banken gaan daar wat laconiek om. Een recent artikel waarin dit duidelijk wordt:

http://www.nu.nl/internet/2768911/lek-in-mobiel-bankieren-app-ing.html

Waarom zou het aantal fraudegevallen opeens dalen? Ik heb ook een gevalletje banking trojan + internetbankieren = rekening leeg in de familie gehad 3 weken geleden, dus het lijkt me dat het aantal alleen maar zal stijgen nu banking trojans zo 'effectief' en 'lucratief' blijken voor criminelen.

Ze moeten dat internetbankieren helemaal opnieuw inrichten. Nu is het mogelijk op iedere computer waarmee van alles gedaan kan worden zoals porno,cracks en warez op kijken waarbij ondertussen allerlei scripting wordt uitgevoerd. Veel mensen drukken ook nog eens op ja om allerlei toolbars te installeren omdat ze er geen reet van snappen wat het eigenlijk is.

Ze moeten dus bijvoorbeeld virtuele omgevingen creëren voor de gebruikers waarop ze inloggen met een zodanige beveiliging dat pottenkijkers gedetecteerd en geblokkeerd kunnen worden. Lokaal op je eigen OS bankieren is niet veilig.

Dat internetbankieren vertrouw ik trouwens voor geen meter. Neem de Rabobank bijvoorbeeld. Als je een dag terug alvast een code genereert om in te loggen. Deze gebruik je de dag erna om in te loggen zonder de reader weer te gebruiken. Je komt gewoon binnen. Ook als je voor de gein tot 10x toe een nieuwe code aanmaakt en dan inloggen. Dat houdt in dat er dus al van te voren codes zijn gekoppeld aan je account. Geld ook voor betalen. Doe maar 4x overnieuw op je reader en je krijgt iedere keer een andere code maar hij werkt wel na de 4e keer(of meer). Waar heb je dan eigenlijk een pincode voor nodig? Beetje systeem weet deze combinatie wel te kraken welke reeks op jouw account zal gaan werken toch?

Of zie ik het verkeerd?

Ja, dat zie je verkeerd. Er zijn geen codes gekoppeld aan een bankrekening en die kunnen dus ook niet geraden worden door criminelen.

Die Random Readers hebben geen "ingebakken" codes of iets dergelijks, die berekenen een code aan de hand van een aantal variabelen (waaronder rekening- en pasnummer, maar het algoritme zelf is geheim). Als je die code invoert op de site van het internetbankieren, maakt de server van de Rabobank een (andere?) berekening om te controleren of de code die je invoert inderdaad geldig is voor de gebruikte combinatie van rekening- en pasnummer. Klopt die berekening, dan is de code afkomstig van een gebruiker die de pinpas heeft + pincode kent en krijg je dus toegang. De Random Reader voert de berekening namelijk niet uit als er een onjuiste pincode is ingevoerd.

Bij betalen werkt het vergelijkbaar. Bij grotere bedragen ( > 1.000 euro) wordt ook het totaalbedrag aan opdrachten op het scherm weergegeven. Deze moet je ook invoeren en wordt daarmee ook onderdeel van de berekening. Dit is tegelijk een controlemiddel voor de gebruiker, want als het totaalbedrag niet klopt, moet er dus iets fout zitten. Verder werkt het principe dan gelijk aan bij het inloggen, waarbij de signeercode natuurlijk ook input is voor de berekening van de Random Reader.

@Above: ik heb niet geprobeerd om de dag erna met een inlogcode binnen te komen maar hoop toch wel dat ABN-AMro dat beter voor elkaar heeft. Ik ben overigens niet blij met ING die je toegang geeft met alleen gebruikersnaam en een wachtwoord.

Pff, mooi onzin verhaal.
Even geprobeerd door niet een dag, maar een half uur wachten en dan werkt het al niet meer.

Lijkt me erg plausibel, ik heb al eens zo een Random Reader moeten vervangen omdat het batterijtje bijna leeg was. Daardoor liep de klok blijkbaar langzamer en kreeg ik telkens de foutmelding dat ik de tijdsinstellingen moest controleren voordat ik kon inloggen. Dus er zal zeker een tijd meegenomen worden als variabele in de berekening.

Edit: jouw reactie lijkt me dus plausibel en komt overeen met mijn ervaring, niet de post van Above.

Had ik zeker een gelukstreffer?
Ik maak zelfs mee dat soms de code precies hetzelfde is als een maand geleden.
Maar er van uitgaande dat het dus wel veilig is dan zou een virtuele omgeving een oplossing kunnen zijn voor de gebruikers welke de banken aanbieden om op in te loggen.

banken liegen gewoon keihard en ondanks dat hun leugens met regelmaat door hun woordvoering staan afgedrukt maakt ze dat niets uit. Ik heb eens gekeken , elk half jaar zo rond de zomer komt de woordvoerder van Currence (eigenaar van PIN) met een mooi verhaal dat het beter gaat en elk jaar komen de Nederlandse Vereniging van Banken en Currence met een sorry we hadden een verbetering verwacht, maar de criminelen lopen nog steeds ietsje voor op ons. Gedurende die keiharde leugens sinds 2007 hebben criminelen en ICT hobbyisten een paar honderd miljoen gratis opgehaald in Nederland.

Waarom denk je dat een externe virtuele omgeving iets oplost ?
Een trojan kan heel makkelijk die RDP of Citrix of VNC of whatever sessie redirecten naar een virtuele omgeving van de phisher .

Ik wilde uit veiligheidsoverwegingen internetbankieren op een kantoor van de ING, op de computer van de ING. Maar daar bleek dat ik wel betalingen kan doen, en geld overmaken naar mijn spaar- of betaalrekening bij bank XYZ, maar dat ik bij de ING niet mijn spaargeld kan terugboeken van XYZ naar mijn rekening bij de ING. "Nee meneer, onze computers zijn alleen voor ING-rekeningen...." Dit is een gigantische tekortkoming en totaal gebrek aan inzicht en service. Met zo'n opstelling van de bank schiet je geen meter op, en zo ben je gedwongen om op je eigen computer maar wat rond te vogelen. Maar zolang je geen ict-er bent, dan kan je dat veel en veel beter dus helemaal niet doen. Nooit.

Hopen mag altijd maar als ik alle nieuwsberichten zo lees zijn ze verwikkeld in een wapenwedloop en de dupe worden toch uiteindelijk de klanten die het links of rechtsom toch wel de schade gaan betalen.

Het ING filiaal is duidelijk geen internet café. Duh.
En ik kan dat erg goed begrijpen : Mensen die in een bankfiliaal internetbankieren, verwachten (terecht) dat die computer betrouwbaar is.
Dat is nog redelijk haalbaar door zo'n semi-publieke terminal gewoon *alleen* toegang tot de eigen website te geven, misschien zelfs via een aparte intranet ingang, in plaats van 'buitenom'.

Als je dat open zet voor "internet" is het schoon houden onbegonnen werk, juist omdat het een prima fuik is waar iemand die 'm besmet de garantie heeft een hoop internet bankier zaken te kunnen oogsten.

Bij een ABN filiaal is het voorgekomen dat de bankpas-readers die er lagen vervangen waren door 'aangepaste' exemplaren....

Extra check met nieuwe browsers: Controleer of de url-balk groen wordt!

Ik kende hem nog niet.