Dit is het failliet van het bestaansrecht van banken. De goede verstaander heeft dit reeds jaren geleden in de tekenen aan de wand gelezen, maar het mag best nog eens een keertje gezegd worden; dit is weer eens een mooie illustratie. Dat bestaansrecht was namelijk altijd dat je ze vertrouwen kan, dat ze lastige en risicovolle zaken als het omgaan met (grote hoeveelheden) geld vergemakkelijken.

Daar hoort bij dat ze goed opletten wat ze doen en dus ook dat ze opletten of de opdrachten die binnenkomen niet stiekem door anderen gemanipuleerd worden -- zij het chequevervalsers, zij het pinpasskimmers, zij het browserpaginavervalsers.

Nu zijn bankiers een soort financieële nerds en ongeveer compleet ongeschikt voor het maken van deugdelijke technische keuzes, waar ze dan maar heel erg geheimzinnig over doen ("vertrouwenskwestie, m'neer") en de schade vergoeden mocht er toch iets misgaan.

Nou werd dit plaatje langzaamaan al steeds rafeliger --en allerlei klantvolg- en klantverklikverplichtingen door (internationale) overheden aan banken opgelegd hielpen ook niet-- dus ergens is het niet gek dat ze afwillen van dat aloude altijd maar de portemonnee moeten trekken voor dingen waarvan ze vinden er eigenlijk geen schuld aan te hebben.

Maar het betekt wel dat de klant berooid en vooral ook machteloos achterblijft. Wat zeg maar precies niet is waar banken om begonnen zijn. Maar het zal de banken worst wezen, want ondertussen kan je niet meer zonder.

Dit betekent dat we, op laag niveau de technische aard, maar op hoog niveau van organisatorische en vooral ook politieke aard, het fenomeen "bank" nog maar eens moeten overdenken. Minstens betere, wel betrouwbare techniek, danwel minder afhankelijkheid van het fenomeen "bank". En dan bedoel ik niet zozeer "nummerportabiliteit" zodat je makkelijk van de regen naar de drup en terug kan wisselen, maar minder afhankelijkheid van het bankwezen als geheel.

Ik zeg zowel betere techiek als minder afhankelijkheid van het bankwezen, maar de politiek kennende zal het uitdraaien op geen van beiden.

Het klopt dat dit tijdens de uitzending verteld werd, maar dit kan nooit kloppen. Ze moet de hele tijd ingelogd geweest zijn. Om geld over te maken moet je minimaal 2x je code invoeren en als ze tussendoor uitgelogd was, was die teller bij de volgende inlog weer bij 1 begonnen. In de uitzending beweert de dame dat ze steeds heel zorgvuldig geweest is, maar toch is ze niet direct uitgelogd toen ze iets geks merkte na de eerste inlog. Ik merk ook wel eens iets ongebruikelijks en log dan direct uit. En af en toe bel ik dan zelfs de bank om opheldering te vragen. Dus dat 'helemaal zorgvuldig' wat de dame beweert klopt al niet.

Ik heb hier altijd gemengde gevoelens over en vind eigenlijk niet dat de bank dit moet vergoeden. Uiteindelijk berekent de bank deze kosten door aan hun klanten. b.v. via een lagere rentevergoeding voor zo'n rekening. En waarom zouden de mensen die wel zorgvuldig omgaan met hun computer hier nu aan mee moeten betalen. Ze heeft blijkbaar via de computer van haar werkgever ingelogd. Die is dus ook schuldig, evenals haar collega's die de besmetting op die computer hebben laten ontstaan. Laat haar daar de schade verhalen.

Je kunt niet de schuld eenzijdig bij de banken leggen. De bank kan niets doen als de klant zelf zo nonchalant met zijn betalingen omgaat. Ik doe ook internet betalingen bij amrobank en op je identifiër zie je altijd het bedrag en het rekeningnummer waar de overboeking heen gaat. Als je dan OK klikt zonder te kijken, ben je zelf schuld. De mensen gaan gewoon te makkelijk om met betalingen omdat ze er van uit gaan dat de bank de schade wel vergoed als ze het een keer fout doen.

Voor inloggen worden toch andere codes gebruikt dan voor het verzenden van een betaling? In het menu van de edentifier staan de opties "Inloggen" en "Verzend opdr.", lijkt me toch vrij duidelijk. Daarnaast kun je de edentifier ook aansluiten op de pc via een usb-kabeltje, dan kun je in het schermpje zien wat je verstuurt.

Heel erg zorgvuldig kan deze dame dus niet zijn geweest, ze heeft meerdere kansen gehad om te zien dat ze geld aan het overboeken was. Het lijkt mij dan ook terecht dat de andere klanten van de bank niet opdraaien voor deze verliezen, banken drukken het geld tenslotte niet zelf, ze beheren het geld van anderen.

Let er even op dat we (computeraars in het algemeen, een zekere softwarefabrikant in het groot, als in hun grootste marketeeringpunt) ingezet hebben op "intuitief" computeren, dat je niet hoefde te weten waar je mee bezig was want de machine deed het denken voor jou. Als je ziet wat we normaal vinden om niet van "gebruikers" te kunnen verwachten, zeg maar enig equivalent van lagere schoolniveau geletterdheid, dan kun je ook niet van deze "gebruikers" verwachten dat ze het verschil weten tussen "ingelogd blijven (maar app/website/watdanook zakt naar de achtergrond)" en "uitloggen".

Daarbij kan het natuurlijk ook nog eens zo zijn dat "de" malware wel doet of je uitlogt maar het stiekem toch niet doet.

Heb dat ook wel eens geprobeerd. Werd gelijk ongevraagd naar een 0900 doorgezet die vervolgens niets kon vertellen.

Zij gelooft dat ze dat geweest is. Hoe weet jij het beter?

Ze maken genoeg winst (wat er overblijft na alle kosten) dat die rente al lang weer een flink stuk omhoog had kunnen gaan. Gebeurt dat? Nee natuurlijk niet. Maar de bonii, die worden doorbetaald zelfs al moet de staat met belastinggeld bijspringen om een privaat bankbedrijf niet ten onder te laten gaan!

Kleine ondernemers zijn nou net degenen die relatief het meeste aan dat soort gratisgeldgein meebetalen, want hoe groter het bedrijf, hoe beter het zijn geld kan inzetten om toch maar geen belasting te betalen. Hoe was het ook alweer? Oh ja, "too big to fail". Geeft te denken, niet?


Ik zou een casus kunnen maken dat als jij een zeker besturingssysteem gebruikt, dat veelgebruikte sappige makkelijk stuk te maken en dus ook veelvuldig stuk gemaakte systeem, vol met breedbekende lekken, dat dit zou vallen onder "onzorgvuldig". Maar aangezien zelfs banken dat besturingssysteem gebruiken... mag dat dan weer niet gezegd worden.

"Hoezo 'hypocriet'? En dat 'monocultuur', gebruik toch niet zulke moeilijke woorden, zeg!"


Ik heb geen bijbehordende televeeuitzending gezien, maar wellicht vergeet je hier een saillaint detail: "Eigenaar van een dansschool".

Maar zelfs als, dan nog is het lastig te zien waarom niet alle software- en zelfs de hardwarefabrikanten er niet ook met de haren bijgesleept worden. Waar was die machine nou eigenlijk voor, en waar werd hij voor gebruikt? Was er onderhoud en was het toegespitst op waar'ie voor bedoeld was of waar'ie voor gebruikt werd? Al die collegas, hadden die "beheer" in hun takenpakket? En zo verder.

Je wijst net zo goed met je vingertje schuldigen aan tussen partijen die dat ook doen, maar jij doet het vanwege jouw belang; wat heb jij er nou helemaal mee te maken?

Het slachtoffer gaat niet nonchalant om met de betaling. De klant boekt niet zelf dat geld over, dat doet de malware. Je kunt als slachtoffer niet zien dat het geld ergens anders naar toe gaat - de malware manipuleert de informatie op het scherm.

Het gaat niet om schuld, maar om het afvangen van het risico. We betalen met z'n allen de bank voor het gebruik van pinpassen, voor internetbankieren, voor het doen van overboekingen en voor het afvangen van risico's en het beveiligen van ons geld. We doen dit gedeeltelijk met direct doorberekende kosten zoals de kosten voor een pinpas en gedeeltelijk door rente te betalen als we rood staan en minder of geen rente te krijgen als we in de plus staan.

Vroeger kreeg je een leuk rentepercentage als je in de plus stond en was alles verder "gratis". Tegenwoordig is het percentage veel lager en zitten overal bijkomende kosten aan. Tot de crisis maakten banken steeds grotere winsten en nadat de overheid ze uit de problemen heeft gekocht, maken ze ook weer miljardenwinst. Het is echt niet zo dat we niet zelf betalen voor het afvangen van deze risico's.

Banken kiezen bij het nemen van beveiligingsmaatregelen voor een kosten/batenmodel. Dat betekent dat ze best betere beveiligingen op bijvoorbeeld internetbankieren kunnen zetten, maar de kosten daarvan zijn hoger dan de baten. Als ze nu de kosten voor fraude gaan afwenden op de gebruikers, moeten de baten ook naar de gebruikers terug. Oftewel, hogere rentepercentages en geen kosten meer voor het gebruik van internetbankieren. Zolang ze dat niet doen, zijn ze moreel verplicht om dit soort fraudes te vergoeden. Zakelijk gezien zitten ze nu ook een precedent te scheppen wat ze een boel klanten kan kosten als de andere banken dit niet ook gaan doen.

Er zijn meer voorbeelden van risico's die banken bewust lopen. Nieuwe pasjes zit nog steeds een werkende magneetstrip op, ook al zijn die in Nederland niet nodig. Pinnen in het buitenland staat tegenwoordig bijna overal uit, maar dat is ook pas sinds kort. Banken hebben jarenlang het bekende risico gelopen dat pasjes geskimd werden en er in het buitenland met een kopie geld werd opgenomen. Om dat op te lossen kostte meer dan dan de schade van de skimfraude was, dus het werd gewoon geaccepteerd. Pas toen het echt duur begon te worden hebben ze er voor gekozen om geld uit te geven en de mogelijkheid om pintransacties uit het buitenland te blocken in hun software in te bouwen.

Als ze de identifier2 heeft gebruikt, was ze al ingelogd op de ABN internetbankieren website, anders kan je geen geld overmaken. Dat, of het was een iDeal boeking. ABN amro gebruikt andere codes voor inloggen dan voor geld overmaken. Voor inloggen moet je op de identifier2 alleen maar je pincode in te voeren, voor geld boeken moet je een challenge invoeren nadat je je pin hebt gegeven. Dit verhaal is alleen mogelijk met de identifier1.

ABN laat nog steeds boekingen met de identifier1 toe. Dit is een risico waar ze zelf mee bekend zijn en het is hun keuze om het nog steeds te doen. Als bovenstaand verhaal klopt en er is dus een identifier1 gebruikt, is het een afgewogen risico wat door de bank genomen is. Ze zouden dan dus moeten vergoeden, ongeacht of het een zakelijke klant is of niet.

Als het verhaal niet helemaal klopt en ze was al ingelogd en een identifier2 gebruikt, dan zijn er nog steeds risico's die de bank bewust loopt. Zo zou je in de challenge die je op de identifier invoert ook het bedrag in centen en de laatste 4 cijfers van het rekeningnummer kunnen toevoegen. Op die manier wordt het onmogelijk om een challenge voor een "verborgen" rekeningnummer of bedrag te genereren door de trojan die deze mevrouw op haar computer had staan. Je ziet immers dat je bedrag X voor een rekeningnummer wat eindigd op Y aan het overboeken bent als je de challenge invoert op de identifier. Banken weten dit, maar ze kiezen er voor om het niet te doen. Klanten moeten dan namelijk ongemakkelijk veel cijfertjes invoeren op de identifier en ze kunnen niet voor meerdere boekingen een enkele keer een response genereren. Dit gaat dus om gebruiksgemak voor klanten, wat voorrang heeft boven security. Ook dat is een bewuste keuze van de bank en zal dus gewoon ten koste van de bank moeten gaan.

Maar jij legt zo te zien wel de schuld eenzijdig bij de klant en wie je er zo verder nog met de haren bij kan trekken.

Het punt is dat de banken zich voor dat "opletten" goed laten betalen (hoort bij de dienstverlening, is in zekere zin een soort verzekering) en daar vervolgens onderuit proberen te komen. De klant betaalt, en zou dus koning moeten zijn.


Hoezo "zo nonchalant"? Wellicht heeft ze gewoon de kennis niet in huis om in te zien dat wat ze doet niet goed genoeg is. En er is haar aan alle kanten verzekerd dat dat ook niet hoefde. Nou moet je niet stiekem de boel omdraaien en zeggen "lekker puh!", want dat is gewoon niet redelijk--niet in de context van "dit is goed genoeg"... "oh nee, toch niet" en dan "wist je niet, maar toch eigen schuld!".


Altijd gezellig, de mensen die zo zeker zijn van hun zaak dat ze zonder verdere kennis van zaken accurate oordelen weten te vellen.

Wat ik heb willen aanstippen is dat je als klant nog minder de macht danwel de middelen hebt de situatie te verbeteren of tenminste de kennis in huis te halen "verantwoordelijk" met een onverantwoorde situatie om te gaan dan de banken.

Plus dat banken naast die macht en middelen, ook nog een een belofte aan de klant hebben uitstaan "er wel voor te zullen zorgen". Dat jij dat uit misplaatst eigenbelang niet wil zien verandert daar niets aan.

Goh wat ben jij goed zeg!
Maar dan snap je misschien ook wel dat als een dame een website bezoekt en die is een beetje traag, dat ze dan
niet meteen gaat denken "er zal wel malware op de computer zitten, gauw uitloggen!". Al helemaal niet omdat het
hier een computer van haar werk betrof (Strukton) die zogenaamd professioneel beheerd werd. Je mag als dame
toch aannemen dat de beveiliging van de computer dan goed voor elkaar is he?
Bovendien is het een paar keer voorgekomen dat bankensites door DDOS aanvallen traag waren, dus dat de site
alleen maar traag is dat laat echt geen alarmbellen rinkelen bij de gemiddelde klant.

Ik vind dan ook dat dit een probleem is wat de bank moet oplossen. Die moet zorgen dat de boel veilig is, ook als
er malware op de computer van de gebruiker zit. Daar nemen ze maar maatregelen voor, en anders gaan ze maar
terug naar een kantorennetwerk wat wel veilig was.
Zolang ze hun zaakjes nog niet voor elkaar hebben moeten ze ofwel de schade vergoeden, ofwel zorgen dat transacties
terug gedraaid kunnen worden nadat ontdekt is dat ze malafide zijn.
Bedenk dat wij als klant geen invloed hebben op de beveiligingsbeslissingen die de bank neemt. Wij krijgen de
internet betalen site of app gewoon in onze mik geschoven en meestal kunnen we niet eens allerlei "handige
nieuwe mogelijkheden" zoals bijvoorbeeld de mogelijkheid om je password op te vragen per SMS door de bank
laten uitschakelen. Dus zijn wij ook niet verantwoordelijk voor de veiligheid, dat is de bank en enkel en alleen de bank.

Heb een gelijksoortige trojan een keer onder Windows gehad. Normaal doe ik bankzaken onder Linux maar was toen bij mijn ouders en wou alleen maar iets controleren.

De grap is dat ik juist regelmatig de computer van mijn ouders controleer op ongewilde software en zorg ik ervoor dat hun antivirus (AVG) altijd up to date is. Dit had ik die dag al gedaan. Daarnaast hebben ze alleen essentiele software geinstalleerd staan en controleer ik ook met sysinternals of er niks onbekends bezig is.

Wat ik had gedaan:
- Ik open Firefox.
- Ik typ in www.abnamro.nl
- Controleer of slotje zichtbaar en er Abn Amro Bank N.V. staat
- Log in met E-identifier
- Opeens wordt browser heel traag waarop ik dacht. "Mn ouders moeten nieuwe computer hebben."
- Dan staat er dat inloggen niet is gelukt (briolet: dus hoezo uitloggen als er staat dat je niet ingelogt bent).
- Slotje is nog steeds groen en er staat nog steeds www.abnamro.nl (lijkt erop dat de trojan hele rendering van pagina overneemt terwijl adresbalk gewoon blijft kloppen)
- Log opnieuw in met E-identifier
- Saldo op rekening klopt en er zijn geen extra afschrijvingen (de trojan maskeerd het)

Volgende dag kreeg ik telefoontje van het fraude team of het klopt dat er een groot bedrag van mijn rekening is afgeschreven. Vervolgens na aangegeven te hebben dat dit niet klopt sturen ze mij een mail met:

- Aangifte doen bij politie
- Met aangifte naar de bank
- Nooit links openen uit emails altijd zelf web adres intypen.
- Controleren of slotje aanwezig is.

Helaas gaan de meeste mensen er standaard vanuit dat je niet aan de laatste 2 punten hebt voldaan. Want je moet vast iets verkeerds gedaan hebben.
Uiteraard voelde ik mij dom omdat mijn werk juist het beveiligen van systemen is, maar dan Unix/Linux systemen.

Omdat ik nieuwsgierig was heb ik onderzoek gedaan naar de trojan. Waarbij de volgende resultaten:

- De 6 meest populaire virusscanners herkennen deze trojan niet. Zelfs een half jaar later deden ze dat niet (heb namelijk kopie ervan gemaakt op een USB flashdrive).
- Heb 2 bestanden gevonden. 1 uitvoerbaar en een geencrypte data bestand. Gekeken naar assembly van het uitvoerbare bestand. Bij het uitvoeren ervan download deze een zgn. payload. Zet deze op disk neer en voert deze uit. Geen code voor deencryptie. Denk dat het uitvoeren tot de uiteindelijke trojan in meerdere stappen gebeurd. Na de actie wist deze alle sporen of wordt deel vanuit geheugen uitgevoerd.
- Gekeken naar creation date. Ben erachter gekomen dat een uur voordat ik inlogte bij de bank 1 van mijn ouders een bekende nieuwssite had bezocht. Exact dezelfde tijd als de "creation date" van de trojan. Ik vermoed dus dat deze via advertenties binnengekomen is.

Als ik zo die aflevering van Kassa bekijk lijkt het erop dat deze trojan ook nog eens cross-platform is en ook onder MacOSX werkt. Tegenwoordig bankier ik alleen nog maar via Linux live-cds. Enigste probleem met deze is dat software op live-cds vaak niet up-to-date is.

Ondanks dat deze geavanceerdere trojan bekend is bij Abn Amro heb ik nog geen officiele melding van hun hierover gelezen en komen ze nog steeds met het standaard advies:

- Virus scanner up to date
- Controleren of slotje aanwezig is
- Webadres zelf intypen en niet links openen vanuit mails

Dat is dus blijkbaar niet meer voldoende.

Zojuist de uitzending bekeken en op hetgeen uitgezonden is, kan op geen enkele wijze worden gesteld dat de klant nalatig of zelfs grof nalatig is geweest. Dubbel inloggen of een trage website negeren zijn geen vormen van nalatig zijn.

Jouw verhaal in in elk geval betrouwbaarder dan dat van Kassa. Beide hebben het over 2x je code intikken.

Het probleem wat ik er mee had is dat ik zelf nooit geld kan overmaken door maar 2x mijn code in te voeren. Het zijn bij mij altijd minimaal 3x.
- 1x voor het inloggen
- 1x voor het aanmaken van een betaalopdracht als het rekeningnummer niet in mijn adresboek staat
- 1x om alle betalingen te verzenden.

Verder kan ik bij jou en bij Kassa niet zien of de identifier wel/niet met kabel verbonden was.

- Is hij niet met kabel verbonden dan moet je op de identifier altijd een '1' toetsen voor inloggen en een '2' om een betaling te doen. De desbetreffende info staat er ook in tekst achter. Dus als je een responsecode voor een betaling genereert terwijl je aan het inloggen bent, dan moet je eigenlijk weten dat er iets niet klopt.

Volgens de waarschuwing op de abm-amro site is dit ook wat er bij de malware gebeurd. Je krijgt de melding dat inloggen mislukt is en het verzoek om het nog eens te proberen. Je krijgt dan een instructie voorgeschoteld om dit met de code '2' te doen, maar op de identifier zie je dan dat je een response code voor een betaling genereert. Dat noem ik dus nalatig, vooral omdat het een tweede poging betreft waar je toch extra alertheid mag verwachten.

- Is de identifier wel met kabel verbonden, dan heb je die opties van inlogcode/betaalcode niet, maar elke keer als de identifier automatisch een responsecode voor betaling moet genereren, dan staat het bedrag met volledig rekeningnummer in beeld als je OK klikt (Twee keer zelfs, bij het aanmaken van de opdracht en ook bij verzenden moet je per betaling met OK op de identifier bevestigen) En ik kan me niet voorstellen dat het rekeningnummer niet in de responsecode verwerk is. Dus dat malware niet in staat is om ook dit op de identifier te manipuleren. (Zo ja, dan is inderdaad de beveiliging van de bank niet in orde)

Nu begreep ik dat er ook nog de identifier1 in omloop is. Ik kan me dat ding bijna niet meer herinneren. Ik ben het er wel mee eens dat het een fout van de bank is dat ze die nu nog steeds toestaan als die echt minder veilig is. Volgens mij gebruiken we de identifier2 al bij de vorige betaalcomputer en dat moet dus al meer dan 6 jaar zijn.

Als virusscanners het niet doen, hoe zit het dan met b.v. HitmanPro Alert, G Data Bankguard, EMET Notifier (3 of 4)? Ook de scanner van HitmanPro niet?

Wonderlijk verhaal, opmerkelijke aannames & hieronder een andere nadere analyse op basis van beeldinfo uitzending

(ook 'vrij' lange reactie ;-)


1) Hardware en configuratie computer

- Computer betreft een MacBook Air, type onbekend, introductiedatum 2008 minimaal OS X 10.5, dat OS X is niet meer Supported, latere OS X-en krijgen wel Security Support van Apple (moet je die wel binnenhalen, vraag is of dat ook gebeurd is).

- Browser betreft Safari 6 versie, die draait niet onder OS X 10.5 of 10.6, het OS X moet dan van later datum zijn, namelijk OS X 10.7 of OS X10.8.
Visuele referentie is de "Cloud" button (in alle versies van Safari 6 aanwezig? Of kan nog een later OS X vastgesteld worden?)

- OS X 10.7 en 10.8 hebben beschikking over de XProtect functie van de Mac en daarmee al een goed basis filter voor bekende virussen en malware voor de Mac (naast de virusscanner). Daarnaast is er nog GateKeeper die een beetje extra helpt voorkomen bij het per ongeluk installeren van Social Engineering gebaseerde Mac apps.

- Virusscanner van Trend Micro geïnstalleerd ; "Titanium Internet Security for Mac" ?
http://www.trendmicro.com/us/home/products/titanium/free-trial-mac/

Onbekend welke virusscanner versie het betreft
System Requirements 2013 en 2014 versie : http://esupport.trendmicro.com/solution/en-US/1061006.aspx
* Titanium Internet Security for Mac 2014 ?
* Titanium Internet Security for Mac 2013 ?

System Requirements virusscanner : draait op alle OS X-en vanaf Leopard 10.5.

Kenmerken Mac versie (bron is Trend Micro zelf) , o.a.
* "Safeguards against email phishing scams with the best phishing detection rates, guarding against identity theft1"
* "Protects against spyware"
* "EXCLUSIVE! Manages your social networking privacy settings"
* "Protects Your Computer(s) and Data
Blocks viruses and dangerous links with the fastest protection against new web threats1"

- In de uitzending in beeld is te zien dat de klant een e.dentifier2 gebruikt zonder (!) Gebruik van de Usb-kabel connectie (waarvan ik vermoed dat dat zelfs veiliger is omdat de e.dentifier2 dan zelf niet gemanipuleerd kan worden).
Usb functie betreft geloof ik een soort autofill / inlog functie, scheelt een paar keer klikken denk ik, daarvan kan echter door de malware geen misbruik zijn gemaakt.

- Daarnaast gebruikt(e) de klant nog een mobiele telefoon met de relatief nieuwe banking app om nog eens in te loggen en haar saldo te controleren (Inclusief hier ook aan de orde gekomen Root permissies toevallig? Hoe veilig is dat? Mede i.v.m. mogelijke Privilege escalation. Onder wiens verantwoordelijkheid vallen 'mogelijk onveilige apps' eigenlijk) .


2) Geen literatuur/ juridische voorwaarden-studie, algemene opmerkingen.

In het afgelopen jaar is de verantwoordelijkheid van de klant bij internet-bankieren meermalen in het nieuws gekomen en hebben diverse banken hun policies (meerdere keren?) Aangepast.

In het algemeen kwamen toen een aantal punten wat betreft verantwoordelijkheden naar voren die bij de klant werden neergelegd.

- Gebruik van veilig geconfigureerde hardware / software.
* Up to date browser
* Up to date Systeem
* Gebruik van een virusscanner
* ... (opletten?)
* ...

Als ik dat zo eens bekijk, denk ik dat aan die voorwaarden redelijkerwijs is voldaan.

* Mac OS X 10.7 of 10.8 krijgt Security Support van Apple
* Safari 6 is een browser uit de laatste browserserie van Apple en wordt supported.
* De klant beschikt over en gebruikt een virusscanner die ook netjes wordt geüpdatet en eveneens op de nodige soorten threads scant. Al is het geen topper volgens sommige Mac virusscan tests (minimale scan performance door de bank waarschijnlijk niet opgegeven).

* Onder OS X 10.7 of 10.8 draait in principe geen Java, dat zal de klant zelf moeten installeren al heeft Java 7 geloof ik een eigen auto-update functie. Java is niet benodigd denk ik voor internetbankieren, of dat voor het zakelijk bankieren wel het geval is weet ik niet. De bank zou dan nog een ondergrens kunnen vereisen (minimaal de hoogste java6 voor de Mac versie of minimaal de hoogste Java 7 voor de Mac versie).

* Of andere programma's zijn geupdated op de Mac weet je niet en lijkt er niet toe te doen; behalve de Flashplayer of de Shockwave player, kan het nog zijn dat er op enig moment besmette advertenties te zien waren op de bank site?
Is dat al onderzocht of bekend(gemaakt)?

* Mac OS X is een relatief veilig systeem waarvoor weinig Malware in omloop is.
Laat staan banking Malware, Trojans.
En dat is het meest opmerkelijke aan dit verhaal, een Mac gebruiker die slachtoffer is van een Banking Trojan of Phishing malware?

Dat is nu juist wel een keer een alarmbel waard!
Wat is hier aan de hand geweest?
Dat is absoluut iets om uit te zoeken!

Als ik een bank was had ik gedacht, geld terugstorten in ruil voor een soort tegenprestatie in overleg.
Namelijk een samenkomst met wat security experts en de klant plus MacBook Air om erachter te komen wat hier aan de hand is geweest.
Dan ga je namelijk kijken welke malware dat was en probeer je dat voor alle klanten te voorkomen.
Gemiste (epic?) kans van dè bank dus om de rest van haar klanten tegen nog niet bekende malware (?) te beschermen!!!


3) Gedrag van de klant

Het ziet ernaar uit dat de klant geen rare dingen heeft gedaan en goed heeft opgelet

* Klant heeft het verbindingsslotje gecontroleerd
(maar wat zegt dat nou eigenlijk, eigenlijk zou je het certificaat zelf moeten controleren en kijken welke verbindingen openstaan over welke poorten op het moment van connectie met de bank. Veel te ingewikkeld voor de gemiddelde klant).

* De verbinding haperde bij bezoek en de klant krijgt een technische melding.
Dat kan gebeuren en het is (m.i.) een volstrekt niet verwijtbare aanname (noch nonchalance) van de klant dat hij / zij denkt dat het probleem op dat moment bij de beheerder van de site ligt (de bank zelf dus).
Of zelfs bij de provider, even een verminderde verbindingssnelheid, dat gebeurt af en toe.

* Als je bent ingelogd en het browser-window waarin je zit hapert even of reageert (even) niet meer is het een volstrekt normale reactie dat je even wacht, dat window afsluit of zelfs je hele browser afsluit.
(Geeft de bank nog een advies als mogelijke optie Safari te herstarten met een Safe boot + daarna een standaard boot? Of zelfs een nette reboot van het systeem daarna erbij?
Dat had de klant dan nog op advies van de bank inderdaad kunnen doen.)

N.b.,
Ik zou het overigens ook volstrekt normaal (wenselijk) vinden dat wanneer je je window tijdens het internet-bankieren sluit daarmee automatisch de banksessie is verlopen of is verbroken.
Als dat met webmail services kan / normaal is, waarom dan niet bij internet-bankieren?
Dat lijkt me een mogelijke onvolkomenheid van de bank. Als dat (beëindigen) wel al het geval is vervalt daarmee het argument van een niet afgesloten sessie en daarmee ook misbruik van de inlogsessie.
Het inloggen vereist elke keer weer (neem ik aan) invoer van een nieuwe code.

* Hoe kan het dat als bij internet-bankieren je je e.dentifier2 niet eens hebt aangesloten op je Mac, je alleen gebruik hebt gemaakt van een inlogcode en nadrukkelijk niet van een apart ingevoerde bevestigings opdrachtcode (maak ik uit het verhaal op), er toch een bedrag van je rekening wordt afgeschreven.?

Dat zou niet moeten kunnen want daar is nou juist die aparte bevestigingscode voor.
Als dat wel kan is dat een technische onvolkomenheid die bij de bank ligt, denk ik dan.

* Welke maatregelen neemt een bank eigenlijk tegen Man-in-the-Middle manipulaties?
Als je een verbinding hebt met de bank met tussenkomst van een andere partij in het midden van de verbinding is de vraag of je die controle wel bij de klant kan leggen.

De klant controleert op aanwijzing van de bank 'het slotje' en het webadres.
De klant kan onmogelijk de route die het gegevens verkeer naar de bank aflegt controleren.
De bank heeft een betaalservice georganiseerd waarvan een klant gebruik maakt, om fraude tegen te gaan is het in het belang van de bank te controleren of het binnenkomend betaal-opdracht-verkeer bij online-internet-banking wel van de klant in kwestie is.

Wat de bank niet controleert en wat de klant technisch onmogelijk kan controleren is aan wie de betaalopdracht en de hoogte van het bedrag uiteindelijk (onderweg) toegekend wordt.
Als de opdracht onderweg naar de bank gewijzigd wordt kan de klant daar niets aan doen. Wanneer de bank van mening is dat de klant dat wel kan en daarvoor ook moet oppassen zou het wel zo fair zijn dat expliciet tegen de klant te zeggen of te voorzien van een goed technisch advies hoe dat te doen (ben benieuwd).

"Beste klant, wij nemen geen verantwoordelijkheid voor man in te middle betalingswijzigingen. U dient zelf te controleren of de betaalopdracht die u heeft verzonden, overeenkomt met de betaalopdracht die wij binnenkrijgen ter verwerking".


4) Analyse van de Bank?

Wat is de analyse en onderbouwing van de bank nou eigenlijk precies?
Als je voorwaarden stelt en je bent van mening dat de klant niet voorzichtig is geweest of 'beter' had moeten opletten 'moet' je dat inzichtelijk onderbouwen (denk ik).

In de posts hier het afgelopen jaar is al eens opgemerkt dat de gestelde voorwaarden omtrent van eigen verantwoordelijkheid en veilige hard-software configuraties nogal vaag bleven omdat het vermoedelijk niet makkelijk is te definiëren wat precies veilig is danwel (on)zorgvuldig gedrag is.
En daar zijn we dan via een omweg dan toch beland : proberen te specificeren wat de onzorgvuldigheden van de klant in kwestie waren lijkt me iets waar de klant recht op heeft, anders kan je die voorwaarden net zo goed weg laten. Wat deed de klant niet goed?

In het cookie, tracking tijdperk weten de meeste banken immers meer dan genoeg over gebruikers.
Dus wat zeggen de verzamelde logs en andere door de bank verzamelde gegevens van de transactie van de bank eigenlijk?
Wordt daarmee ook eens inzichtelijk wat je bank over jou verzamelt tijdens die banksessie, inclusief vergaarde data van 2o7mniture s.v.p.

Goed denkbaar is dus dat de bank de over de volgende informatie zelf beschikt

- Exacte logs met tijden waarop met de diverse codes en apparaten is ingelogd en contact gemaakt
- Browser informatie (safari versie?, device informatie (OS X .., IOS ..), connectie met welke IP-adressen.
Zit daar toevallig een .ua, .su ,.. ,.. domeintje tussen?
En als pinnen buiten Europa is geblokkeerd dan ook eens overwegen bepaalde IP-ranges preventief blokkeren?
- Tijdstip , op welk tijdstip exact de opdracht tot afschrijving van de bedragen zin binnengekomen en daarmee ook bekend bij, na of tussen welke inlogsessie(s) dat gebeurd is.

Conclusie?
Op basis van die gegevens kan dan wel of niet gesteld worden dat de klant onzorgvuldig is geweest.
Op het oog lijkt het me niet dat de klant onzorgvuldig is geweest ; relatief nieuwe Mac computer, Supported OS X, Supported Virusscanner, Supported Browser, Supported Banking App.
Omdat er nog wat informatie mist, kan dat anders liggen, dat zal dan ook concreet onderbouwd moeten worden met gegevens over de configuratie van de Mac en de ..Phone, in combinatie met de gegevens van de bank.

Wonderlijk dat bovenstaande (hardware software config) niet meer specifiek door alle betrokken experts met naam en toenaam is bekeken, besproken en vergeleken met de exacte voorwaarden van de bank.

Als je niet exact weet wat er tijdens de transactie is gebeurd of dat niet exact analyseert kun je ook niet zeggen dat iemand verwijtbaar heeft gehandeld.
Meerdere keren proberen in te loggen (niet gelijk aan opdracht verzend code intoetsen!) is vrij normaal gedrag. Website storingen zijn (helaas) ook vrij normaal (regelmatig voorkomend) en is m.i. daarmee niet per definitie een malware signaal voor de klant.


5) Alarmerend : zit er een Banking Trojan voor de Mac onder de radar?

Alleen al daarom verdient het deze zaak dieper uit te zoeken.
In het belang van de bank zelf (tenzij je toch maar deels of niet uitkeert) en in het belang van al haar klanten.


6) Tip voor internet bankieren

- Maak een aparte account aan waaronder je internet-bankiert.
- Gebruik dit account alleen voor internet-bankieren, ga hier niet verder mee zitten internetten (andere sites bezoeken)
- Versleutel dit account (Mac = Filevault protection), kan het niet besmet worden door een ander account en gebruik ook voor dit account een goed password.
- Gebruik desnoods een aparte browser voor dit account, een browser die je verder niet gebruikt voor andere internet activiteiten.
Al is het zo dat omdat je in een apart account zit, de lokale voorkeuren van je browser relatief veilig zijn.
Het 'enige risico' dat je loopt is nog dat je hele browser geïnfecteerd raakt, die kans is wat kleiner (als je niet standaard werkt onder je Admin account! Maar nòg een standaard account hebt waaronder je standaard werkt).

Vraag je ook eens af of je eigenlijk moet internet-bankieren met een mobiele telefoon of een tablet.
Kijk in ieder geval wat je kan doen om de veiligheid van die apparaten te verhogen (wees net zo streng / kritisch als met je desktop).

Als gewone klant bij de AbnAmro bank heb ik een aantal beveiligingsprotocollen zelf aangescherpt.
Ten eerste gebruik ik Explorer 10 alleen maar voor internetbankieren, en voor het gewone werk gebruik ik
Firefox, met de nodige plug-ins voor maximale beveiliging.
Explorer wordt door mij alleen maar in de InPrivate optie gebruikt.
Als extra beveiliging heb ik het Microsoft gereedschap EMET geinstalleert, en de optie CertificateTrust een
Pin_Rule aangemaakt die controleert of Explorer wel het correcte Certificaat gebruikt.
Uiteraard heb ik dit getest met een onjuist certificaat, en dat levert bij het verbinden met de bank direct een zichtbare
reactie op die in de browser zichtbaar wordt.
Dit moet mijn inzien in combinatie met een virusscanner voldoende zijn, om zorgeloos te kunnen internetvbankieren.

Slechte reclame voor zakelijke klanten,die gaan massaal naar een andere bank.

Dat de malware dit kan is een teken dat de beveiligings-software niet deugt.
Zelf iemand met de nodige kennis kan hier in trappen,omdat dat dit zo plotseling gebeurt.
Een afschrijving van een vreemd IP adres,daar moet gelijk een alarm op afgaan.
Telefonische contact van de bank zou op ten minst moeten plaats vinden.
Overschrijvingen moeten gefixeerd worden op een vast IP adres.
Deze bank maakt het veel te ingewikkeld,de kans dat het fout gaat is zeer waarschijnlijk.
Ik vind dat de iedere bank dit moet compenseren.
Dit is trouwens discriminatie of je nu privé of zakelijke klant ben daar is voor mij geen verschil in.

Betalingen moet je doen met een computer of systeem waar je niet mee gaat surfen,geen download
mee doet,met alleen het allerbelangrijkste.
Zelf heb een harde schijf alleen daar voor.

Eens met Anoniem van Zondag 10:00 hierboven.

Het is slechts laksheid/slordigheid van cybercriminelen als phishingmails spelfouten bevatten en malware de computer en/of websitebezoek vertraagt. Alle symptomen van malware kunnen net zo goed (en in de praktijk is dat ook vaak zo) door legio andere bronnen worden veroorzaakt, niet zelden door de legitieme organisaties (zoals banken) zelf.

Onze moderne, super-gebruiksvriendelijke en multi-purpose, computers gecombineerd met dito webbrowsers zijn feitelijk helemaal niet geschikt om mee te i-bankieren of andere risicovolle transacties te verrichten. Van een Linux CD booten lost maar een deel van de problemen op, maar anderzijds maak je dan al snel gebruik van verouderde software. En hoe betrouwbaar is de bron van die Linux distro (en/of updates)?

Voor veilig internetbankieren zou je een single-purpose kastje (via USB o.i.d.) naast de PC moeten hebben dat bedrag en rekeningnummer op een eigen display toont, waarop je vervolgens een code invoert waarna de transactie op dat kastje wordt versleuteld en naar de bank wordt gestuurd (als je naar de prijs van smartphones kijkt - met veel meer technologie erin - zijn de kosten ervan geen argument meer). Uitgangspunt is wel dat zo'n kastje door slimme mensen is ontworpen (en dus niet bijv. klakkeloos firmware updates via USB uitvoert).

Dat kastje moet de gebruiker natuurlijk niet laten slingeren, want op het moment dat een kundige aanvaller er fysieke toegang toe krijgt (met name: heeft gehad) is de zaak gecompromitteerd. Het verlies van zo'n kastje zonder dat binnen een bepaalde periode te melden is wat mij betreft wel iets waar je een gebruiker op kunt aanspreken. Koop maar een kluisje waar je dat ding in bewaart, in elk geval een constructie die zichtbaar maakt dat een aanvaller er mogelijk bij heeft gekund.

Jij bent zeker geen zakelijke gebruiker? Die kan echt niet zomaar even naar een andere bank, hoor.
En een particulier ook niet trouwens. Niet alleen hebben banken je stevig in de greep met het rekeningnummer
(wat ze met opzet niet-portable gemaakt hebben wat technisch best zou kunnen, en deze actie hebben ze met
IBAN nog eens verstevigd), maar ook is er nauwelijks een afweging en keuze door de consument mogelijk.

Bij een enkele bank heb je invloed op de beveiliging en nooit weet je wat de volgende stap van de bank en de
criminelen zal zijn, dus je beslissing daarop baseren is niet mogelijk. Je kunt als consument wel kiezen waar
je je brood en kaas koopt, waar je je webwinkel orders doet, en wellicht nog waar je je stroom en gas koopt
(omdat dat toch alleen maar virtueel is), maar waar je bankiert of waar je woont of dat soort zaken dat kun je
niet laten afhangen van de waan van de dag en wie er nu slecht en wie goed zijn.

Ik heb zelf ook een rekening bij de ABN-amro en de e-identifier die we hier hebben heeft echt dezelfde handeling voor inloggen als voor bevestigen.
Kan zijn dat je voor een zakelijke rekening al wel de "nieuwe" versie moet hebben, maar particulieren kunnen (moeten?) nog steeds gebruik maken van de oude, minder veilige, identifier. Misschien dat dat voor sommige zakelijke rekeningen nog steeds ook mogelijk is.

ABN-amro is niet de enige bank. In de voorwaarden voor Mijn ING Zakelijk staat:

"25.1 Als u de gebruikersnaam en/of het wachtwoord en/of de activeringscode en/of TAN code en/of PAC
code bent verloren, deze bij u is ontvreemd of er is op andere wijze misbruik van gemaakt, dan draagt u zelf het risico voor
overboekingen die via Mijn ING Zakelijk zijn gedaan, tot het moment dat u het verlies, de ontvreemding of het
misbruik heeft gemeld aan de ING."

Het gaat er dus niet om of je wel of niet zorgvuldig gehandeld hebt, je bent aansprakelijk!

"of er is op andere wijze misbruik van gemaakt" Dus als bij ING wordt ingebroken en mijn codes worden gestolen en deze worden misbruikt, ben ik aansprakelijk??? Maar i.h.a. is deze clausule voor mij niet acceptabel.

Gevoelsmatig wel omdat je zonder kabel zeker weet dat niets de identifier kan manipuleren. Toch geeft de abn-amro aan dat het met kabel veiliger is. Waarschijnlijk omdat je met kabel veel meer info kunt presenteren op de identifier zelf. In de brower kan malware allerlei nagemaakte schermen tonen terwijl dit (nog) niet lukt op de identifier.

En dan wordt de mens de zwakke schakel. Zonder kabel moet je zoveel controle getallen over en weer intoetsen dat je blind alle instructies van het scherm overneemt en blijkbaar niet eens meer nadenkt wat je intoetst. Met kabel moet je alleen elke keer je pincode intoetsen waarna op het scherm mededelingen verschijnen die je met de OK button van de identifier kunt bevestigen. Dus bij inloggen krijg je het tijdstip van de laatste inlog in beeld, terwijl er bij een betaling het bedrag en rekeningnummer op de identifier2 verschijnen.

Met de identifier1 was er maar één regel. Te weinig voor aanvullende info. Dus in je browser stond de instruktie om '1' in te toetsen voor de inlog procedure en '2' voor de betaal procedure. Bij de inlog procedure moet je alleen een code van de identifier in de browser invullen. Bij de betaal procedure moet je een code vanuit de browser in de identifier ingeven. En vooral dit snap ik niet omdat je zeker dan toch moet merken dat je niet meer met een inlog procedure bezig bent.
(Op de volgende pagina staat een link naar een voorbeeldscherm van zulke malware:
https://www.abnamro.nl/nl/zakelijk/overabnamro/veiligheid/index.html
Bij de tweede inlog is de procedure geheel anders dan de echte inlog, dus zou je het eigenlijk moeten merken. Maar zo'n malware voorbeeld is goed zodat je nog alerter blijft op de verschillen)

Met de identifier2 zijn er 4 regels. Dit geeft de mogelijkheid meer info te presenteren. Dus nu kun je een menu tonen met de opties 1,2,3,4. 1 is dan inloggen en 2 is dan betalen. De bank heeft hier wel een ergonomische fout in de instructie gemaakt. Ze hadden bij de identifier2 nooit in de browser mogen schijven om '1' en '2' in te toetsen, maar ze hadden moeten schijven "inloggen' en 'betalen' dan had de gebruiker op zijn identifier2 die optie moeten opzoeken en zelf moeten beslissen om de 1 of 2 in te toetsen. Als de klant dat gewend is, valt het de klant veel sneller op dat de instructie nu plots nummers bevat i.p.v. de tekst.

Als je de identifier2 met usb kabel verbind, wordt je minder een 'invul jockey' en is er meer motivatie om na te denken bij wat je intoetst. Ook moet je op meer punten iets intoetsen omdat het eenvoudiger is. Zonder kabel hoef je b.v. kleine betalingen uit het adresboek niet te bevestigen. Met kabel moet elke aanmaak van een betaling bevestigd worden. En ook bij het uitvoeren van de betaling moet elke individuele betaling weer bevestigd worden. En de betaal info verschijnt elke keer op het identifier2 display i.p.v. in het browserscherm waar malware elke weergegeven info kan manipuleren.

Zonder kabel verschijnen alle instructies voor de identifier2 in de browsewr, waar malware de instructies kan manipuleren. Met kabel verschijnt er geen enkele instructie in de browser. Op het moment dat de identifier2 nodig is, 'bevriest' de browser, en gaat het identifier2 display aan met de melding om je pincode in te toetsen. En de pincode ken je uit je hoofd, dus daar zijn geen browser instructies voor nodig. Hierna wordt steeds duidelijke informatie vertoond die je met de OK button moet bevestigen. Pas als je klaar bent of Cancel gedrukt hebt, gaat de browser verder met zijn schermen.

Dus zolang malware de identifier nog niet kan manipuleren is het gebruik van een usb kabel toch veiliger. En de software die de identifier via usb kabel aanstuurt staat in de programma folder. En hier moet je (althans op de mac) administratie rechten hebben om iets aan te passen.

Is het vet gedrukte niet fout? Moet dat niet httpS://www.abnamro.nl zijn?

Wij, de klanten moesten van de banken gaan internet bankieren, want dat zou sneller en veiliger zijn.
De banken hebben vervolgens het niet sneller gemaakt, overschrijvingen naar andere banken doen er nog steeds DAGEN over, en het enige wat we gemerkt hebben is dat alle producten duurder zijn geworden, er geen rente meer gevangen wordt over de lopende rekeningen, er steeds meer balie personeel ontslagen is en de bonussen aan de top exorbitant hoog zijn geworden voor een beetje excel-sheet management. En dan nog behoorlijk waardeloze excel-sheet management ook nog.

Waar blijft het 'nu nog veiliger' gedeelte van internet bankieren?
Als het bekende virussen zijn, waarom vangt de software van de bank deze niet af?
Zo moeilijk kan het niet zijn.
Waarom is internetbankieren uberhaupt gevoelig voor virussen en trojans?
Waarom krijg ik geen geld meer over mijn betaalrekening? In het buitenland krijg je dat nog steeds en zijn de kosten voor bankieren ook nog veel goedkoper ook nog.

Internetbankieren is een probleem veroorzaakt door de banken, de banken moeten het maar oplossen.

Er bestaat toch al malware die wel werkt als je de identifier met kabel gebruikt en niet zonder die kabel?
Op het werk hebben we ook ABN en toen die nieuwe identifiers binnen kwamen was er vrij snel daarna een verhaal
over een hack van de situatie met kabel. Ik had de drivers toen nog niet geinstalleerd en dat heb ik ook nooit gedaan.

Je moet zeker met die "httpS://" beginnen. Als je dat weglaat krijg je welliswaar een redirect naar dat httpS:// adres (Ik kom zelfs automatisch op de zakelijke site), maar het geeft malware veel meer mogelijkheden via een 'man in the middle aanval', een schijnverbinding met een vals certificaat op te zetten.

Het klopt ook niet. In de oude identifier hoefde je alleen je pincode in te toetsen, de opgegeven code uit te browserscherm over te nemen en de resultaat code uit je identifier weer in te voeren in je browserscherm. Geen verschil tussen inlog functionaliteit of betaal functionaliteit.
Veiliger omdat dat wordt gezegd, door je bank. Nog veiliger om in het bankfiliaal zelf te internetbankieren.
Allemaal waarschijnlijkheden die we niet met feiten kunnen onderbouwen omdat niemand nog de moeite heeft genomen de software en het apparaatje eens te reverse engineeren en te bekijken hoe veilig de werking nu echt is.
Leuke test voor de consumentenbond? Welke bank heeft de veiligste vorm van internetbankieren en de beste garantievoorwaarden?
Ga eens een maandje om je heen kijken en vraag computergebruikers hoeveel accounts ze op hun pc mac linuxpc hebben. In het geval dat het om meer accounts gaat, vraag dan of ze zelf onder hun admin account werken en ook internetbankieren. Veilig hoor, die programma folder.
Trouwens, ging het wel om een Apple computer of heeft het camerateam besloten dat dat er wat mooier uit zou zien voor het nieuwsitem?

Ach, zo zorgvuldig zijn de banken niet. De meesten laten spyware als doublclick, omniture en weet ik wal allemaal meedraaien in hun websites. Als je dat meldt als mogelijk probleem stellen ze je gerust met mededelingen in de trant van "Onze relaties laten zich niet hacken".
Wat moeten wij dan?

Als ze zouden willen bij ABN AMRO dan zouden ze kunnen zorgen dat Firefox automatisch naar de https site
gaat als je dat intikt zonder https.
Even een Strict-Transport-Security "max-age=31536000" header toevoegen.
Maar dat willen ze kennelijk niet.
Of het kan ze niet schelen, dat kan ook. De klant is toch verantwoordelijk.

Wat dan te denken van de Nationale Nederlanden die op 24 juni 2013 nog het volgende adviseert: (na de overname van de Westland Utrecht bank)

"Inlogpagina wijzigt
Om in te loggen op uw SpaarOnline Rekening(en) en/of uw SpaarDeposito('s), maakt u gebruik van ‘mijnwestlandutrechtbank.nl’. VANAF 1 JULI doet u dit via: nn.nl/inloggen"

En natuurlijk staat ook de link actief in de email ......

Wat een geweldige discursie ;-)
Banken maken heel veel winst, veels te veel eigenlijk.
En als er dan wat mis gaat, wat enkel en alleen de schuld van de bank is, want die levert de software waarop ingebroken kan worden, dan zijn ze liever niet thuis en willen de schade niet betalen.
Kinderachtig.
Nederland was het land van de groot grutters maar nu meer het land van de groot graaiers. :-(

Er staat zo langzamerhand al veel nuttige zaken in deze reacties. Redactie kunnen we dat niet 'bij de banken' of bij Kassa krijgen?

Bravo! Jammer dat je jezelf niet bekend wil maken. Ik had het niet beter kunnen verwoorden. Gelukkig ben ik nu alleen nog particulier klant bij ABN. Het gekke is dat het eigenlijk ambtenaren zijn die de burgers niet als klanten wensen te zien....

Goed idee, Dick: Vandaag, 14:06 door Dick99999

"Bij particuliere klanten geldt dat schade door internetfraude wordt vergoed. Tenzij er sprake is van eigen schuld van de klant. Zakelijke klanten hebben meer eigen verantwoordelijkheden op het gebied van veilig online bankieren." De afspraken tussen zakelijke klanten en consumenten kunnen volgens de bank niet met elkaar vergeleken worden. Verder stelt ABN Amro dat deze zaak grondig is onderzocht en de bank "hele goede redenen" heeft om de schade niet te vergoeden.

Inderdaad
"De afspraken tussen zakelijke klanten en consumenten kunnen volgens de bank niet met elkaar vergeleken worden."

Immers, zakelijke klanten betalen meer, naar nu blijkt om fraude bij particuliere klanten te vergoeden. Zou een gemiddelde MKB'er aan deKleine kant, en ZZP'ers echt zoveel meer van Internet beveiliging MOETEN weten? Zou deze groep echt zoveel meer kosten voor de bank dan een particulier?

Dat komt natuurlijk omdat dit een onderwerp is dat iedereen persoonlijk raakt. Ik denk dat 80% van de lezers zelf ook via internet bankiert en een kwart van de lezers zal ook zelf bij de ABN-Amro zitten. Dan ga je jezelf afvragen of dit jezelf had kunnen overkomen. In mijn geval gebruik ik het zakelijk en ook 2 personeelsleden hebben toegang tot datzelfde zakelijke account, dus zal ik ook hen er nogmaals op wijzen waar je op moet letten. En dus ook de gehele browser te sluiten bij trage reacties of andere ongein. Dat gebeurde hier altijd al, maar herhaling van de instructie kan geen kwaad.

Nu is kassa een consumenten programma dat problemen heel éénzijdig belicht. Ze hadden dit onderwerp vorig jaar al met phishing waarbij mensen hun authenticatie code, die de identifier genereert, via de telefoon doorgaven. Vervolgens ging de uitzending erover hoe slecht de banken internetbankieren beveiligen. Geen woord in die uitzending hoe grof nalatig die mensen waren die de meest gevoelige code voor het verifiëren van een betaling aan derden doorgaven. Mensen die zo weinig gevoel voor veiligheid hebben moet gewoon geadviseerd worden om niet via de computer te bankieren en dat had Kassa ook moeten vertellen.

Op de oude manier van betalen, is het de bank die de poort naar buiten bewaakt. Als je gaat internetbankieren, dan open je zelf een poort naar de buitenwereld waar de bank dan geen 100% controle over heeft. Maar mensen gaan hier gewoon te nonchalant mee om. Als ze 20 000 euro aan contanten in hun broekzak hebben en ze lopen over een drukke markt, dan is men plots heel alert of mijdt die markt zelfs. Als de toegang tot hun geld via de computer loopt, dan worden het plots getalletjes waar men zich niet meer verantwoordelijk voor voelt en gaat er vanuit dat de bank het wel oplost als er iets mis gaat. Maar de gebruikers zijn het zelf die de deur tussen hun rekening en de buitenwereld opent en moeten die ook zelf in de gaten houden.

In dit geval was het slachtoffer niet grof nalatig, maar had volgens mij wel genoeg kans om te merken dat er iets niet klopte. Er zijn twee spoedoverboekingen gedaan, dus moet ze meermaals de code voor betalen gebruikt hebben. En dat terwijl ze met een inlog procedure bezig was.

Ze had veel minder kans gehad om wat te merken als de scherm manipulatie tijdens een daadwerkelijke betaling was gebeurd. Voor de malware makers is dat waarschijnlijk lastiger omdat ze dan meer schermen moeten manipuleren. Bovendien zijn de slachtoffers blijkbaar minder alert als ze denken nog met het inloggen bezig te zijn.

Het is jammer dat kassa niet inging op de reden waarom ze slachtoffer werd en hoe ze dat had kunnen voorkomen. Daarmee worden de kijkers veel beter geholpen en als je weet waarop je moet letten zul je zelf ook minder snel een inlog met een betaalcode bevestigen. Maar goed, Kassa is primair amusement en geen voorlichtingsprogramma. Misschien goed ook, want bij een puur voorlichtingsprogramma zal het grootste deel van de kijkers het weg-zappen.

Anoniem 10:02 maakt een aardige analyse van het gebruikte systeem. Maar ik ben bang dat Kassa ons op dit punt misleidt. Er wordt verteld dat de dame in kwestie op de bedrijfs-laptop van Strukton inlogde en vervolgens zie je een beeld van de dame achter een MacBook met minimaal OSX 10.7 erop. Het is echter veel waarschijnlijker dat Kassa niet de moeite gedaan heeft om filmopnamen in het pand van Strukton te maken. Veel waarschijnlijker is het dat ze een netjes opgeruimd bureau uit de eigen redactie genomen hebben. En daar stond dan toevallig een MacBook. Er wordt ook nooit gezegd dat het een Mac betrof en journalisten beschouwen het tonen van foutieve beelden vaak niet als misleiding. (En dat terwijl Kassa juist bedrijven van zo iets beschuldigt als zij dat wel doen).

Veel interessanter is het om te weten of dit voorkomen had kunnen worden. En dan moet je ook juist de informatie halen uit dingen die niet verteld worden. (Dat doe ik altijd graag). De bank eist bij zakelijke klanten dat je een goede virusscanner gebruikt én dat je je software up-to-date houdt. De uitzending laat echter een brief van Strukton zien waarin ze verklaren welke virusscanner gebruikt is en wanneer de definities geupdate zijn. De TV kijker kan die brief niet lezen, maar als je het beeld stil zet is de bovenste helft goed leesbaar. Nergens gaat Strukton in op de eis dat de software up-to-date moet zijn. Als hun software wel up-to-date was, dan hadden ze dat zeker als ondersteunende argumenten gebruikt. Omdat deze informatie weggelaten is, mag je vermoeden dat b.v. Java of de flashplayer niet actueel was op het moment van besmetting. Dit vermoeden wordt ook ondersteunt uit onderzoek, dat we op deze site vaak lezen, waaruit blijkt dat Java, flashplayer, Silverlight etc bij veel bedrijven niet goed up-to-date gehouden wordt. En we weten allen dat dit vaak aanvalsvectoren zijn voor dergelijke malware.

Dus blijf ik bij mijn mening dat je de schuld, in dit specifieke geval, niet eenzijdig bij de bank kunt leggen, zoals Kassa doet. Wat ik me wel afvraag is of banken niet meer kunnen checken bij het inloggen. Het is b.v. mogelijk om te zien met welke Flashplayer of Java versie gewerkt wordt. Je kunt zelfs het inloggen weigeren als Java actief is op die browser zodat je ook onbekende lekken in Java buitensluit. Maar het probleem zal wel zijn dat deze versie nummers niet als een secure property geïmplementeerd zijn en malware waarschijnlijk de nummers kan aanpassen en net kan doen alsof er de nieuwste versies op staan.

Dat is geen garantie voor nuttige inzichten, gek genoeg.

Op dat eerste spreekt de poll je tegen. Dat laatste is wellicht leuk om eens te bekijken, maar wellicht niet heel relevant, behalve dan om ervan weg te lopen (naar een andere bank die natuurlijk hetzelfde doet).


Het is vergelijkbaar met je moeder die met haar vinger zwaait en roept "goed oppassen hoor!" Deed je dat altijd?

Persoonlijk zou ik hier een enkele computer voor opzetten (als het even kan zonder windows) die enkel en alleen daarvoor gebruikt mag worden, en van alle andere computers niet toestaan dat ermee gebankiert wordt. In zo'n kleine club moet dat te doen zijn. En daarnaast is "internetbankieren" zoals webmail: Leuk, en veelgebruikt, maar een klein beetje beperkt voor serieus gebruik.


Iets waar jij helemaal geen last van hebt, wel?

Dat is maar ten dele waar. Per post betalen is net zo goed afhankelijk van de posterijen, en dat ging ook wel eens mis--tegenwoordig relatief vaker omdat de posterijen niet langer door betrouwbaar te achten ambtenaren bevolkt worden. De via-het-interwebversie van dat opdrachtpad komt uit op de website van de bank. Dus zo gek veel veranderd is er niet.

Behalve dan dat het geheel veel complexer geworden is, waarbij dit als "maak je er maar niet druk om, is zo makkelijk dat je geen training nodig hebt hoor!" verkocht is. Alleen daarom al kun je de schuld niet zo eenzijdig bij de klant leggen als jij doet.

Waarbij je er nog steeds aanvoorbijgaat dat ook de banken het je niet druk hoeven maken als dienstverlening verkocht hebben. Zoiets heet ondernemersrisico--voor de bank. Die term ken je toch wel, of niet?


Gedachtenexperiment: Wat moet er gebeuren om alle manieren waarop het hele traject mis kan gaan danwel dicht te timmeren danwel transparant te maken voor de klant, liefst voorzover mogelijk beiden?

En oh ja, het geheel moet wel "gebruiksvriendelijk" blijven, en mag niet teveel kosten ook nog.


Je blijft dus ook het hele idee waarom we banken betalen, dat van risico afvangen voor de klant, terzijdeschuiven?

Waarom hebben we ze dan nog? Want dan betalen we ze teveel en kan het ook goedkoper. Of geef jij als ondernemer graag geld weg aan grootbedrijven?

Hoe weet je dat? Bij gestolen mobieltjes worden sim kaarten ook overgezet in de massa-dialers. Hoe? Normaal zou je zeggen: doordat de eigenaar z'n pincode heeft afgegeven. Maar na onderzoek blijken er toch ook andere methoden te zijn die de provider niet vertelt......
Het is jammer dat de bank geen openheid van zaken geeft. Ze zeggen goede redenen te hebben om de 2-de betaling niet te vergoeden. Maak die dan openbaar. Daarmee worden de kijkers veel beter geholpen en als je weet waarop je moet letten....
Juist, dat geldt ook voor de bank. En de bank eist. Kijk dan ook maar eens naar de Westland Utrecht/NN post over wat zij zelf doen en wat i.h.a. geadviseerd wordt om niet te doen (clicken op een email link bijvoorbeeld).