Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Rabobank de weg kwijt? Betalen zonder Random Reader.

04-12-2013, 14:03 door Above, 10 reacties
Laatst bijgewerkt: 04-12-2013, 14:05
Vandaag per e-mail binnen gekregen. Betalen zonder Random Reader. Oké, nu wordt het nog makkelijker om rekeningen te plunderen. Lees en huiver:

Wanneer overboeken zonder Random Reader?
Via de Rabo Bankieren App en m.rabobank.nl kunt u overboekingen doen zonder Random Reader. In sommige gevallen heeft u de Random Reader wél nodig. In onderstaande tabel staat aangegeven wanneer en tot welk bedrag u zonder Random Reader kunt overboeken. Het onderstaande is ook van toepassing op betalingen die u met iDEAL doet via de Rabo Bankieren App.

Soort rekening Zonder Random Reader overboeken
Eigen rekening
(rekening die in uw overeenkomst is opgenomen) Tot maximaal € 50.000 per betaalopdracht.
Bekende rekening
(rekening waarnaar u in de laatste 15 maanden geld heeft overgeboekt met Random Reader) Tot maximaal € 1.000 per week. Daarboven heeft u de Random Reader nodig.
Onbekende rekening
(rekening waarnaar u nog niet eerder geld heeft overgeboekt met Random Reader) Alleen in de Rabo Bankieren App: tot maximaal € 250 per week (indien u dit heeft ingesteld). Daarboven heeft u de Random Reader nodig.
Instellen: zonder Random Reader overboeken
Wilt u via de Rabo Bankieren App zonder Random Reader kunnen overboeken naar onbekende rekeningen? Ga dan in de app naar Meer, Instellingen, Betalen zonder Random Reader en stel het bedrag in. Het maximumbedrag is € 250 per week.

Rabobank Internetbankieren Professional
Gebruikt u 'Rabobank Internetbankieren Professional'? Dan is een rekening pas een bekende rekening als u sinds 16 mei 2013 minimaal één keer via Rabo Internetbankieren een overboeking hebt gedaan naar dat rekeningnummer.

Nou, het moge duidelijk zijn dat virusschrijvers het nu wel heel makkelijk krijgen om een betaalopdracht van 250 euro naar een onbekende rekening uit te voeren.
Bron
http://www.rabobank.nl/particulieren/klantenservice/bankieren_via_internet_en_mobiele_telefoon/bankieren_via_mobiele_telefoon/rabo_mobielbankieren/wanneer_overboeken_zonder_random_reader?utm_medium=email&utm_content=betalen_zonder_random_reader&utm_source=mailmoment_pa.201312&utm_campaign=pa-klantenservice-random_reader
Reacties (10)
04-12-2013, 15:25 door Anoniem
"Nou, het moge duidelijk zijn dat virusschrijvers het nu wel heel makkelijk krijgen om een betaalopdracht van 250 euro naar een onbekende rekening uit te voeren."

Lekker boeiend, ik zet die optie niet aan en ben dus ook niet kwetsbaar voor dit risico.
04-12-2013, 16:52 door Briolet
Nou, het moge duidelijk zijn dat virusschrijvers het nu wel heel makkelijk krijgen om een betaalopdracht van 250 euro naar een onbekende rekening uit te voeren.

Eerst goed lezen: Om geld naar een onbekende rekening over te maken, moet je wel eerst de instellingen veranderen. Standaard staat hij waarschijnlijk op nul en die 250 euro is alleen de maximum instelling. Dus je hebt zelf de keus om dit mogelijk te maken.

ABN-Amro heeft het zelfde systeem. Inloggen met een 5 cijferige pincode. Daarna kun je alleen geld overmaken naar bekende rekeningen waar je al eerder geld naar toe overgemaakt hebt. Daar kun je echter nooit geld aan nieuw rekeningen overmaken.
04-12-2013, 17:34 door Anoniem
Door Anoniem: "Nou, het moge duidelijk zijn dat virusschrijvers het nu wel heel makkelijk krijgen om een betaalopdracht van 250 euro naar een onbekende rekening uit te voeren."

Lekker boeiend, ik zet die optie niet aan en ben dus ook niet kwetsbaar voor dit risico.

Als ik het goed lees zit de optie om dit aan/uit te zetten in de app. Een aanval op de app kan dus ook de instelling beinvloeden, zonder dat hiervoor de reader (what you have) benodigd is.

Daarmee is er m.i. dus zeker een risico op ongeautoriseerde betalingen tot 250 euro naar onbekende rekeningen per week..
04-12-2013, 18:21 door Anoniem
Door Anoniem:
Door Anoniem: "Nou, het moge duidelijk zijn dat virusschrijvers het nu wel heel makkelijk krijgen om een betaalopdracht van 250 euro naar een onbekende rekening uit te voeren."

Lekker boeiend, ik zet die optie niet aan en ben dus ook niet kwetsbaar voor dit risico.

Als ik het goed lees zit de optie om dit aan/uit te zetten in de app. Een aanval op de app kan dus ook de instelling beinvloeden, zonder dat hiervoor de reader (what you have) benodigd is.

Daarmee is er m.i. dus zeker een risico op ongeautoriseerde betalingen tot 250 euro naar onbekende rekeningen per week..
Je gaat er vanuit dat je deze instelling zonder Random Reader in te stellen is. Je weet wat de engelsen zeggen; "When you assume, you make an ASS out of U and ME".

Het lijkt mij sterk dat je deze instelling zonder Random Reader kan aanpassen. Dit is alsof je een systeem met een wachtwoord beveiligd, maar het wijzigen van dit wachtwoord zonder authenticatie laat gebeuren.

Mijn suggestie: test eens of de misbruikssituatie die je schetst, in werkelijkheid voor kan komen, voordat je de veiligheid ervan in twijfel trekt.
04-12-2013, 18:32 door Anoniem
Voor het aanzetten van deze optie is ook de Random Reader reader nodig. Dus nee, dat risico is er niet.
05-12-2013, 08:36 door Above
Door Anoniem: Voor het aanzetten van deze optie is ook de Random Reader reader nodig. Dus nee, dat risico is er niet.

Risico is er wel. Er zijn zat mensen die dit gaan aanzetten. Hoe makkelijk wordt het dan voor een app om iedere week betalingen uit te voeren zonder tussenkomst van een reader? Maar de mens vraagt hier zelf om schijnbaar omdat ze gebruikersgemak willen. Moeten ze ook niet zeuren als ze geript worden. Android is nog verre van veilig.
05-12-2013, 08:50 door Orion84 - Bijgewerkt: 05-12-2013, 08:55
Door Above:
Door Anoniem: Voor het aanzetten van deze optie is ook de Random Reader reader nodig. Dus nee, dat risico is er niet.

Risico is er wel. Er zijn zat mensen die dit gaan aanzetten. Hoe makkelijk wordt het dan voor een app om iedere week betalingen uit te voeren zonder tussenkomst van een reader? Maar de mens vraagt hier zelf om schijnbaar omdat ze gebruikersgemak willen. Moeten ze ook niet zeuren als ze geript worden. Android is nog verre van veilig.
Ik weet niet hoe gaar de interne beveiligingsmaatregelen van Android precies zijn, maar volgens mij zijn zowel Android als iOS juist in de kern zo opgezet dat apps elkaar niet kunnen beïnvloeden, behalve via vooraf gedefinieerde interfaces (waar je dan vaak als gebruiker ook nog toestemming voor moet geven). Een kwaadaardige app kan helemaal niet "makkelijk ... iedere week betalingen uitvoeren". Als je van mening bent dat dat wel zo is, dan ben ik wel benieuwd naar de onderbouwing daarvan. Op basis van onderbuikgevoelens moord en brand schreeuwen is makkelijk, maar daar schiet niemand wat mee op.

Zeker zo lang je je toestel niet jailbreakt, en apps installeert vanuit redelijk betrouwbare bronnen, acht ik de kans tamelijk miniem dat je last gaat krijgen van het scenario dat jij schetst. Maar wellicht zie ik wat over het hoofd, ik ben geen expert op het gebied van Android of iOS security (al weet ik er wel een paar dingen van). Dus overtuig me vooral van het tegendeel.

Overigens is deze functionaliteit al sinds september beschikbaar en tot zover heb ik nergens berichten gelezen dat er misbruik van gemaakt word. http://tweakers.net/nieuws/91380/rabobank-app-kan-nu-betalen-zonder-random-reader.html
05-12-2013, 09:58 door [Account Verwijderd]
Door Anoniem: Voor het aanzetten van deze optie is ook de Random Reader reader nodig. Dus nee, dat risico is er niet.

Tot dat de bank besluit dat het makkelijker is voor de klant dat die functie aan staat
en dan in een verse update dit bit omzet.

De hele beveiliging is er op gebaseerd dat wij niet weten welk bit omgezet moet worden.

De long track beveiliging, voor diskettes, was ook niet te kraken tot een idioot (me) zei:
op de C64 kon je de drive sneller laten lopen waarom kan dat niet meer op een PC.

Voor dat er sloten bestonden, verstopte je de pot met goud, als je die had, onder de grond.
Maar veel honden zijn nu eenmaal gek op graven. ;-)
05-12-2013, 10:34 door Orion84 - Bijgewerkt: 05-12-2013, 10:35
Wie zegt dat het (alleen) opgeslagen is in een bitje in de config van de app? Als ze er ook maar een klein beetje over hebben nagedacht (en voorlopig geef ik ze dat voordeel van de twijfel), dan is het (ook) aan de bankkant opgeslagen dat deze specifieke app/klant die optie heeft aangezet.

En nogmaals: ook al was het zo stompzinnig als een bitje dat moet worden omgezet: succes om in een recente Android / iOS versie (zonder jailbreak) een bitje in de config van een andere app te beïnvloeden vanuit een kwaadaardige app.

Er wordt hier in mijn ogen echt veel te makkelijk voorbij gegaan aan de verschillende lagen van beveiliging die aanwezig zijn (en waarvan we niet eens precies weten welke dat zijn, zeker binnen de app en aan serverzijde), maar er ondertussen wel moord en brand geschreeuwd wordt dat de boel zo lek als een mandje zou zijn.
05-12-2013, 10:59 door Briolet
Door Orion84: Ik weet niet hoe gaar de interne beveiligingsmaatregelen van Android precies zijn, maar volgens mij zijn zowel Android als iOS juist in de kern zo opgezet dat apps elkaar niet kunnen beïnvloeden, behalve via vooraf gedefinieerde interfaces (waar je dan vaak als gebruiker ook nog toestemming voor moet geven). Een kwaadaardige app kan helemaal niet "makkelijk ..... Op basis van onderbuikgevoelens moord en brand schreeuwen is makkelijk, maar daar schiet niemand wat mee op.

Ik denk dat het onveiligheidsgevoel bij Android of ios komt omdat zo'n smartphone klein is en een PC is heel veel groter. Op een of andere foute manier geeft de grootte van een pc een veilig gevoel bij sommigen. Men staat er helemaal niet bij stil dat zo'n smartphone regelmatig meer rekenkracht heeft dan een pc van een paar jaar oud.
Ook praat je bij een smartphone over een losstaand programma. Bij een PC werk je nog steeds met browsers om een bankverbinding te maken. Zo'n browser is gewoon een veiligheidsrisico omdat een browser toestaat allerlei externe code uit te voren die b.v. het scherm kan manipuleren. (Heel vaak gebruikt de malware bug in plugins zoals Java, flash etc om de browser te manipuleren)

Verder gaat deze inlogmethode niet alleen over smartphones, maar ook met gewone browser logins zonder de reader. Dat 'bitje' zal dus echt niet op de cliënt staan, maar op de banksite zelf.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.