De aanname, dat iedereen z'n schouders ophaalt als z'n rekening geplunderd is en daar vervolgens geen enkele overlast van zou ondervinden, is ronduit belachelijk.

De meeste mensen zullen het verschrikkelijk vinden als er iets kwaadaardigs op hun PC gebeurt dat onzichtbaar voor ze is en waar ze geen grip op hebben. Zeker als ze vervolgens op Internet gaan zoeken naar oplossingen, en dan verhalen vinden van o.a. Dorifel en andere malware die bestanden versleutelt of zelfs verwijdert. Thuisgebruikers maken zelden of nooit backups en hebben vaak stapels baby/kinder/vakantiefoto's op hun PC staan.

En de opmerking is des te vreemder, omdat een via USB (of op andere wijze) gekoppeld device, mits goed geïmplementeerd, "authoritative" kan zijn. D.w.z. de gegevens van de overboeking op dat device zelf toont, en na akkoord van de gebruiker, digtitaal ondertekent of versleutelt en ten slotte naar de bank verstuurt. Dan maakt het geen barst uit of je PC (en/of netwerk) gecompromitteerd is c.q. je wel of geen (echt) slotje in je webbrowser ziet. Zie ook mijn 1e bijdrage in http://www.security.nl/artikel/42722/1/%22Internetbankieren_vanaf_besmette_pc_altijd_onveilig%22.html.

M.a.w. er zijn wel degelijk systemen denkbaar waarmee je veilig kan internetbankieren, en die het dus voor cybercriminelen veel minder interessant maken om PC's pwnen.

Over internetbankieren in het algemeen: gebruikers die geheel conform http://www.3xkloppen.nl/nl/ en http://www.veiligbankieren.nl/scrivo/asset.php?id=952694 (PDF) internetbankieren en toch beroofd worden, zullen zich voorgelogen voelen. Immers al doe je je best en volg je die instructies, dan heb je nog steeds geen enkele garantie dat je niet digitaal beroofd wordt. Virusscanners en firewalls houden de huidige generatie malware echt niet tegen, en met MITB malware zegt een slotje in je browser helemaal niets meer.

Ook die (digitaal beroofde) mensen zullen dan inzien dat multi-purpose PC's gewoon te onveilig zijn voor internetbankieren. Een fenomeen dat banken ons door slimme marketing en het sluiten van wijkkantoren door de strot hebben gedrukt. Fantastisch dat Nederland het land is met de meeste internetbankiers. En ook zeer aantrekkelijk voor cybercrimelen (hoe zou dat nou toch komen).

Conclusie: het kan de BANKEN (en hun aandeelhouders) geen ruk schelen dat gebruikers worden beroofd. Daarom investeren ze niet in veiliger methodes en apparatuur, maar kopen crap van Gemalto of poeieren je af met een SMSje. De banken besparen zoveel op personeel en de wijkkantoren die ze sluiten, dat de kosten van cybercrime verhoudingsgewijs nog steeds een lachertje zijn. Sterker, ze vinden nog steeds dat contant geld moet worden uitgebannen omdat zij daarmee nog meer risico's naar hun klanten kunnen verschuiven (die ze de afgelopen jaren al heel veel poten hebben uitgedraaid). Oh ja, en denk niet dat ze voor 100% voor de risico's van internetbankieren zullen blijven opdraaien (zie http://www.security.nl/artikel/40507/1/Banken_willen_eigen_risico_voor_internetbankieren.html). Terwijl de economische crisis welig tiert en ze onze pensioenen hebben laten verdampen, exploderen de winsten van banken nog steeds en rijden de werknemers in steeds dikkere auto's (ter vergelijking zie http://www.security.nl/artikel/42730/1/Utrechtse_politie_zoekt_crimefighter_in_cyberspace.html).

Ouderen en jongere mensen die (deels na een digitale beroving) niet (meer) durven te internetbankieren (en die steeds langer moeten wachten op hun bankafschrift en ver moeten reizen naar een bankkantoor) zijn de dupe van deze "vooruitgang".

Die onderzoekers zijn waarschijnlijk geschrokken van alle commotie en beweren nu iets anders dan ze aan Nieuwsuur hebben uitgelegd.

Ze zeggen nu:
Maar het originele paper heeft als titel: Designed to Fail: A USB-Connected Reader for Online Banking. Zie hier http://www.cs.ru.nl/~erikpoll/papers/nordsec2012.pdf

Als met en zonder USB het even onveilig is, dan zou je het paper toch een andere titel meegeven.

Draaikonterij??

ABN AMRO Bank is nu een staatsbank, dus als je wilt dat het veranderd dan moet je naar de politiek gaan.

@Bitwiper 17-08 16:57
Ik vind dat je veel goede argumenten aanvoert, maar in je conclusie een beetje doorslaat. Jammer, wat dat kan wat geloofwaardigheid van je verhaal wegnemen, terwijl je goede punten hebt.

Ik denk dat het personeel bij banken zich niet prettig voelt bij dit soort issues. Probleem is natuurlijk dat die banken meestal heel grote bedrijven zijn, waar dus ook heel veel mensen iets over moeten roepen over de te nemen maatregelen. Dat betekent automatisch dat er altijd compromissen zijn verwerkt in de uiteindelijke maatregelen, en dus dat niet alle maatregelen optimaal zijn.
Maar de opmerking dat het ze niets kan schelen, is gewoon niet waar. Er zal heus wel iemand in een bank te vinden zijn die het weinig kan schelen, maar dat geldt zeker niet voor het bankpersoneel in het algemeen.

Wél is het waar dat er een kosten/baten analyse plaatsvindt, vóórdat nieuwe maatregelen worden ingevoerd. En dat betekent daardoor ook wel eens dat voorgestelde maatregelen helaas niet dóór zullen gaan. Maar geloof mij, dat gebeurt overal, in elk bedrijf. En dat moet ook wel, omdat die bedrijven anders failliet gaan, en dan hebben we met z'n allen helemaal geen geld meer. Ook niet optimaal, lijkt mij.

Het vergoeden van de schade bij "geplunderde rekeningen" is natuurlijk niet helemaal optimaal, zoals je al zegt, maar het betekent wel dat je daardoor toch minimale negatieve effecten overhoudt. En inderdaad, toch is de geplunderde er vast niet blij mee, maar je weet net zo goed als ik dat totale veiligheid niet bestaat, dus je komt altijd met "het best mogelijke".

En vervolgens moet je dan kijken hoe je het optimale beveiligingsniveau kan bereiken. Ik weet zeker dat er betere maatregelen mogelijk zijn dan banken nu hebben geïmplementeerd, en dat zal op de duur ook moeten gebeuren, maar dat betekent nog niet dat banken dit zelf ook niet zouden willen.
Maar de ultieme maatregel is nog niet gevonden, denk ik, en dus is iedere maatregel op dit moment nog een "deel-maatregel", en dus moet je goed nagaan, of de maatregel z'n geld wel waard is. En tot die tijd is het "vergoeden van geplunderde rekeningen" volgens mij niet zo'n heel slecht alternatief.

Het personeel op de werkvloer zal zich inderdaad absoluut niet prettig voelen, klopt. Net zoals dat ik denk dat heel veel medewerkers van Dirk Scheringa het beste met de klanten van DSB voorhadden. Alleen de top van DSB had dat niet.

Oneens. Mogelijk zullen heel veel mensen roepen, maar het zijn er altijd maar een paar die de besluiten nemen! En juist zij voelen niet alleen enige druk van de onderkant, maar vooral de zware druk van de aandeelhouders. En ze moeten natuurlijk hun kortetermijnbonus zien binnen te slepen!

Oh ja, gisteravond meldde RTL4 nieuws dat er per dag 25 banen in de bankensector verloren gaan (zie ook http://www.rtl.nl/components/financien/rtlz/nieuws/2012/33/bij-banken-en-verzekeraars-verdwijnen-14000-banen.xml). Wat ze er niet bij vertellen is dat dit voornamelijk aan de onderkant van de organisaties gebeurt, o.a. door wijkkantoren te sluiten (precies de mensen met meer gevoel dan hebzucht). Ik ben benieuwd hoeveel het gemiddelde salaris (van de zittenblijvers) stijgt na elke in de WW gedumpte medewerker...

Wat wellicht onderbelicht bleef in mijn reactie is dat internetbankieren werkt als een magneet op cybercriminelen. De malware die ze planten haalt veel meer rottigheid uit dan alleen je bankrekening plunderen (wat, door diverse maatregelen, niet altijd lukt). Met andere woorden, het fenomeen internetbankieren heeft cybercrime aangewakkerd en doet dat nog steeds.

Als notabene ik wel een goede maatregel kan bedenken (zie m'n 1e bijdrage bovenaan deze pagina), waarom kunnen de banken met hun dure consultants dat dan niet, c.q. het wel bedenken, maar kennelijk niet fatsoenlijk implementeren c.q. testen?

Ik gebruik al jaren een virtuele machine met Linux die onder Vista draait en deze is vrij lastig te hacken.
Gewoon iedereen een voorgebakken configuratie leveren als bank en de beveiliging zit goed!

Heeft iemand een link naar de video die de Radboud universiteit van de hack heeft gemaakt ? Volgens mij is de hack redelijk zichtbaar voor de klant ...