ING gaat extra controleren bij internetbankieren
Vanaf begin december gaat de ING klanten in sommige gevallen vragen om een extra code bij het inloggen in Mijn ING. Deze PAC-code (Persoonlijke Authenticatie Code) is een extra veiligheidsmaatregel van de bank die kan worden gevraagd in bepaalde situaties, bijvoorbeeld als er vanaf een computer wordt ingelogd waarmee de klant anders nooit internetbankiert.
"Met de PAC-code kunnen we indien nodig extra verifiëren of de persoon die inlogt ook de persoon is die hij of zij zegt te zijn. Bekende social media platformen en online e-maildiensten maken al geruime tijd gebruik van een vergelijkbaar systeem. Zij vragen een extra code ter verificatie als klanten op een andere locatie inloggen. Ook maken meerdere banken in het buitenland hiervan gebruik", zegt Max Mouwen, Directeur Verkoop en Service Internet.
Systeem
Het systeem treedt alleen in werking als klanten anders inloggen dan gebruikelijk. Dit kan bijvoorbeeld zijn als zij internetbankieren op hun vakantieadres. Klanten die gebruik maken van sms TAN, zullen de PAC-code per sms op hun mobiele telefoon krijgen.
Klanten die gebruik maken van een TAN-lijst, zullen binnenkort een nieuwe lijst ontvangen. Dit wordt een lijst met nieuwe TAN-codes en PAC-codes. De PAC-code wordt voor zowel particuliere als zakelijke klanten ingevoerd. De maatregel moet voor extra veiligheid zorgen, toch is er ook malware die dit kan omzeilen door de frauduleuze transactie direct vanaf de computer van het slachtoffer uit te voeren.
Reacties (25)
Geen extra veiligheid dus, als je tan-codes al onderschept worden krijgen ze de pac-code er gratis bij
Ik ben benieuwd hoe ze dit gaan communiceren.
Ik hoop toch niet met een mailtje of op de website...
Je moet als bank de klanten er vooral niet aan wennen dat ze afwijkende aanwijzingen
die ze via de computer krijgen moeten opvolgen!
Ik hoop toch niet met een mailtje of op de website...
Je moet als bank de klanten er vooral niet aan wennen dat ze afwijkende aanwijzingen
die ze via de computer krijgen moeten opvolgen!
Ik begrijp niet hoe dit veiliger kan zijn dan alleen de TAN controle. Bovendien ga ik nu eerst de bank bellen, want dit lijkt verdacht veel op een phishing attempt. De hackers zijn nu blijkbaar al zo slim om hun activiteiten alvast aan te kondigen zodat het lijkt legitiem te zijn.
@ #1: Nee, geen enkele toegevoegde waarde, daarom gebruiken andere banken en grote platformen als Facebook het ook .... /sarcasme
Er staat zelfs in het artikel nog genoemd dat het niet altijd helpt, maar als het enige vorm van fraude voorkomt, is het altijd nog een stap vooruit. Nu maar hopen dat het systeem geen false-positives geeft ;)
Er staat zelfs in het artikel nog genoemd dat het niet altijd helpt, maar als het enige vorm van fraude voorkomt, is het altijd nog een stap vooruit. Nu maar hopen dat het systeem geen false-positives geeft ;)
20-11-2012, 11:33 door
john west
Als een TAN code niet goed functioneert ,dan zullen waarschijnlijk 2 code's ook niets uitmaken.
Ben benieuwd of dit met PAC-code goed functioneert.
Ik heb al diverse keren gevraagd of ik een persoonlijk limiet kon instellen,zodat er nooit teveel door anderen geld geroofd kan worden.
Helaas doen ze dit (nog)niet.
Ben benieuwd of dit met PAC-code goed functioneert.
Ik heb al diverse keren gevraagd of ik een persoonlijk limiet kon instellen,zodat er nooit teveel door anderen geld geroofd kan worden.
Helaas doen ze dit (nog)niet.
Volgens mij is dit Risk based authentication.
http://en.wikipedia.org/wiki/Risk-based_authentication
Forester heeft een intersant artikel hierover.
11686_The_Forrester_Wave_Risk-Based_Authentication.pdf
http://en.wikipedia.org/wiki/Risk-based_authentication
Forester heeft een intersant artikel hierover.
11686_The_Forrester_Wave_Risk-Based_Authentication.pdf
Door Anoniem: Twee factoren bij inloggen. Top!
Je had al twee factoren.Dit is dus een derde factor
De enige toegevoegde waarde hiervan is dat nu ook het inloggen middels two-factor authenticatie gebeurt, in plaats van alleen de transacties.
Het wordt dus een stuk moeilijker voor een aanvaller om in te loggen en rond te neuzen in je account (mogelijk ter voorbereiding op een verdere aanval). Vergeet ook niet dat sommige online betaalmethodes een kleine transactie doen en daarbij in de omschrijving een activatiecode of iets dergelijks plaatsen waarmee je dan online je account kan bevestigen.
Als een aanvaller dan met jouw bankgegevens een account aanmaakt heeft hij genoeg aan de mogelijkheid om in te loggen (geen TAN nodig) om de code uit die validatie-transactie te vissen.
Transacties an sich zijn hier verder niet echt beter mee beveiligd.
Het wordt dus een stuk moeilijker voor een aanvaller om in te loggen en rond te neuzen in je account (mogelijk ter voorbereiding op een verdere aanval). Vergeet ook niet dat sommige online betaalmethodes een kleine transactie doen en daarbij in de omschrijving een activatiecode of iets dergelijks plaatsen waarmee je dan online je account kan bevestigen.
Als een aanvaller dan met jouw bankgegevens een account aanmaakt heeft hij genoeg aan de mogelijkheid om in te loggen (geen TAN nodig) om de code uit die validatie-transactie te vissen.
Transacties an sich zijn hier verder niet echt beter mee beveiligd.
Lijkt mij best een aardig idee. Als iemand ineens vanuit rusland met jouw gebruikersnaam en tancode aanlogd op de ING site, dan is het best aardig om dan een random PAC code uit een lijst op te vragen. De fraudeur weet die code niet omdat het 1 van de vele op de lijst kan zijn, tenzij hij de hele lijst heeft natuurlijk.
In een artikel op tweakers.net waarin ditzelfde 'nieuws' wordt aangestipt, stelt de woordvoerder dat hij niet precies gaat vertellen hoe het werkt. En met het vermoed ik dat z/hij bedoelt het algoritme die bepaalt dat de inlog 'anders' is dan gebruikelijk. Hoezo security by obscurity.
Nou ik ben hier niet blij mee,nog moeilijker inloggen dat gezeur.
Ik ben zorgvuldig genoeg met alles,het is alleen bedoeld voor mensen die denken dat alles automatisch veilig is,en wel zomaar van alles vertrouwen.
Bij mij is het niet nodig dit extra gedoe,ik weet wat ik doe op mijn rekening,en ook hoe ik moet inloggen.
Ik ben zorgvuldig genoeg met alles,het is alleen bedoeld voor mensen die denken dat alles automatisch veilig is,en wel zomaar van alles vertrouwen.
Bij mij is het niet nodig dit extra gedoe,ik weet wat ik doe op mijn rekening,en ook hoe ik moet inloggen.
20-11-2012, 17:07 door
RichieB
Voor de man in the browser malware op je PC (of de PC op je vakantieadres) zal het echt niet uitmaken. Die injecteert gewoon het nieuwe rekeningnummer van de katvanger nadat je de PAC code hebt ingevuld. Phising sites zullen nu ook een PAC code gaan vragen zodat de aanvaller daarmee in kan loggen vanaf zijn eigen PC. In welk scenario help deze PAC code eigenlijk wel?
Door Anoniem:
Dit is dus een derde factor
Door Anoniem: Twee factoren bij inloggen. Top!
Je had al twee factoren.Dit is dus een derde factor
Volgens mij was het bij inloggen alleen iets wat je weet. (factor 1)
Nu komt daar een SMS-code of een code van een lijst bij. Iets wat je hebt dus... (factor 2)
De 2e factor was er al voor het authoriseren van opdrachten. Nu wordt deze geintroduceerd bij inloggen... dus top!
De vertrouwelijkheid van mijn betalingen wordt in ieder geval beter beschermd.
Het phishen via mail wordt zo volgens mij voor cybercriminelen minder interessant.
Zo dit gaat inderdaad totaal niet helpen tegen man-in-the-browser aanvallen, geeft mensen eerder een nog grotere illusie van veiligheid.
20-11-2012, 18:18 door
Goeroeboeroe
Dit lijkt mij toch wel een uitbreiding. Ik ben zo'n fossiel dat met een papieren tan-lijst werkt. (Ja, klopt, ik heb ook geen mobieltje. Althans: alleen voor het testen van sites, niet om te bellen. Heerlijk rustig.)
Als ik zo stom ben om vijf tan-codes op verzoek van de bank in een wildvreemde site in te voeren, dan hebben ze mijn pac-codes nog niet. Ik neem aan dat pas nadat de tan-code is ingevoerd wordt bepaald welke pac-code moet worden ingevoerd. Tenzij ik ook nog honderden pac-codes door ga geven, lijkt het me vrij lastig om de juiste combinatie in handen te krijgen.
Dit helpt natuurlijk niet tegen élke vorm van fraude, maar wel voor de sukkels die zo vriendelijk zijn Poetin hun tan-codes te geven, lijkt mij.
Ik denk trouwens dat er bij elke bank mensen werken die toch wel enig verstand van beveiliging hebben, stomweg omdat het anders te veel gaat kosten. Ze zullen dit niet invoeren als het geen enkele toegevoegde waarde heeft.
Edit: ik lees net dat de pac-code na het inloggen wordt gevraagd, niet bij betalingen en zo. Blijft staan dat meneer Oekraïne mijn tan-code niet kan gebruiken, als hij niet ook de pac-code heeft. En ik mag hopen dat, als die pac-code wordt gevraagd, er een groot rood doodshoofd met rollende ogen verschijnt dat gruwelijk loeit en vervolgens zegt: klopt dit wel? Of 'n andere subtiele melding.
Als ik zo stom ben om vijf tan-codes op verzoek van de bank in een wildvreemde site in te voeren, dan hebben ze mijn pac-codes nog niet. Ik neem aan dat pas nadat de tan-code is ingevoerd wordt bepaald welke pac-code moet worden ingevoerd. Tenzij ik ook nog honderden pac-codes door ga geven, lijkt het me vrij lastig om de juiste combinatie in handen te krijgen.
Dit helpt natuurlijk niet tegen élke vorm van fraude, maar wel voor de sukkels die zo vriendelijk zijn Poetin hun tan-codes te geven, lijkt mij.
Ik denk trouwens dat er bij elke bank mensen werken die toch wel enig verstand van beveiliging hebben, stomweg omdat het anders te veel gaat kosten. Ze zullen dit niet invoeren als het geen enkele toegevoegde waarde heeft.
Edit: ik lees net dat de pac-code na het inloggen wordt gevraagd, niet bij betalingen en zo. Blijft staan dat meneer Oekraïne mijn tan-code niet kan gebruiken, als hij niet ook de pac-code heeft. En ik mag hopen dat, als die pac-code wordt gevraagd, er een groot rood doodshoofd met rollende ogen verschijnt dat gruwelijk loeit en vervolgens zegt: klopt dit wel? Of 'n andere subtiele melding.
Hoe denkt ING te gaan detecteren dat ik nu 'vanaf een andere computer' inlog. Cookies? (alsof die niet default naar /dev/null gedumpt worden bij een browser close...)
Door Anoniem: De enige toegevoegde waarde hiervan is dat nu ook het inloggen middels two-factor authenticatie gebeurt, in plaats van alleen de transacties.
Het wordt dus een stuk moeilijker voor een aanvaller om in te loggen en rond te neuzen in je account (mogelijk ter voorbereiding op een verdere aanval). Vergeet ook niet dat sommige online betaalmethodes een kleine transactie doen en daarbij in de omschrijving een activatiecode of iets dergelijks plaatsen waarmee je dan online je account kan bevestigen.
Als een aanvaller dan met jouw bankgegevens een account aanmaakt heeft hij genoeg aan de mogelijkheid om in te loggen (geen TAN nodig) om de code uit die validatie-transactie te vissen.
Transacties an sich zijn hier verder niet echt beter mee beveiligd.
Het wordt dus een stuk moeilijker voor een aanvaller om in te loggen en rond te neuzen in je account (mogelijk ter voorbereiding op een verdere aanval). Vergeet ook niet dat sommige online betaalmethodes een kleine transactie doen en daarbij in de omschrijving een activatiecode of iets dergelijks plaatsen waarmee je dan online je account kan bevestigen.
Als een aanvaller dan met jouw bankgegevens een account aanmaakt heeft hij genoeg aan de mogelijkheid om in te loggen (geen TAN nodig) om de code uit die validatie-transactie te vissen.
Transacties an sich zijn hier verder niet echt beter mee beveiligd.
Daar had ik nou nog nooit bij stilgestaan. Ik vroeg me altijd al af wat een hacker alleen aan inloggegevens had.
21-11-2012, 09:44 door
S-q.
"....Ik denk trouwens dat er bij elke bank mensen werken die toch wel enig verstand van beveiliging hebben..."
Bron: Tubantia van dinsdag 20 november 2012;
"Zo loopt 80% van de finaciele transactie's wereldwijd via Thales-encryptie."
Dit defensie-artikelen bedrijf zit al jaren diep in internet security.
"Thales Nederland heeft een nieuwe businessunit cybersecurity opgericht die publieke en partikuliere instellingen wil gaan beschermen tegen cyber aanvallen"
Niet helemaal een cowboy dus, dat Thales.
Bron: Tubantia van dinsdag 20 november 2012;
"Zo loopt 80% van de finaciele transactie's wereldwijd via Thales-encryptie."
Dit defensie-artikelen bedrijf zit al jaren diep in internet security.
"Thales Nederland heeft een nieuwe businessunit cybersecurity opgericht die publieke en partikuliere instellingen wil gaan beschermen tegen cyber aanvallen"
Niet helemaal een cowboy dus, dat Thales.
Door Anoniem: Hoe denkt ING te gaan detecteren dat ik nu 'vanaf een andere computer' inlog. Cookies? (alsof die niet default naar /dev/null gedumpt worden bij een browser close...)
Tijdens je sessie wordt er een fingerprint van je systeem gemaakt. Heel basaal kan dat neerkomen op IP en aanverwante gegevens. Verder kan er javascript code worden uitgevoerd die weer allerlei data op kan leveren om jouw device te identificeren.Er zijn zelfs online diensten die databases bijhouden van hoe devices aan elkaar gelinkt zijn.
Hoe kom je aan die nieuwe lijsten als je aan het overwinteren bent? ING weigert ze naar je tijdelijke adres op te sturen in het buitenland.
Gevolg: je kunt niet meer internetbankieren tijdens je overwintering!!!!!
Gevolg: je kunt niet meer internetbankieren tijdens je overwintering!!!!!
Ja, beetje late reactie... Maar net pas geconfronteerd met de beruchte PAC code...
Ik zit hier namelijk midden in de jungle van London... dus ben omringt door allerlei gespuis wat op mijn geld uit is...
De beloofde SMS van de ING is niet aangekomen, dus maar laten bellen... Is de lijn zo onduidelijk dat ik er qua letters niks van kan maken.... De P, D of T klinkt allemaal hetzelfde, maar is het dus niet....
9 jaar defensie... Kan het NATO spellings alfabet dromen... Kan de ING daar niks mee? Nu is m'n toegang voor 3 uur geblokkeerd.. En dat terwijl ik alleen maar even wilde kijken of er al een bepaald bedrag gestort was. En hoe raar ook... via de iOS app kon ik nog gewoon inloggen.... Fijn zo... Vanmorgen al geen geld uit de muur kunnen halen met de ING creditcard, of zelfs met de bankpas, terwijl dit wel zo staat ingesteld....
Geen fijne ervaring dus.....
Ik zit hier namelijk midden in de jungle van London... dus ben omringt door allerlei gespuis wat op mijn geld uit is...
De beloofde SMS van de ING is niet aangekomen, dus maar laten bellen... Is de lijn zo onduidelijk dat ik er qua letters niks van kan maken.... De P, D of T klinkt allemaal hetzelfde, maar is het dus niet....
9 jaar defensie... Kan het NATO spellings alfabet dromen... Kan de ING daar niks mee? Nu is m'n toegang voor 3 uur geblokkeerd.. En dat terwijl ik alleen maar even wilde kijken of er al een bepaald bedrag gestort was. En hoe raar ook... via de iOS app kon ik nog gewoon inloggen.... Fijn zo... Vanmorgen al geen geld uit de muur kunnen halen met de ING creditcard, of zelfs met de bankpas, terwijl dit wel zo staat ingesteld....
Geen fijne ervaring dus.....
pac codes ik walg er van
Volgens de ing kan deze code soms gevraagt worden als je van een andere computer inlogt
In mijn geval wordt deze code elke keer gevraagt als ik inlog met mijn eigen computer mijn computer is up to date
maar elke keer wordt deze code gevraagt ik heb hier over geklaagt bij de ING het heeft geen zin je kunt net zo goed tegen de muur klagen
Als de ing niet de veiligheid van internet bankieren kan garanderen kan de ING beter stoppen
niet hun problemen bij de klant neer liggen
We hebben al genoeg problemen met het gesjoemel van de banken banken zijn geen gemak maar ongemak '
Volgens de ing kan deze code soms gevraagt worden als je van een andere computer inlogt
In mijn geval wordt deze code elke keer gevraagt als ik inlog met mijn eigen computer mijn computer is up to date
maar elke keer wordt deze code gevraagt ik heb hier over geklaagt bij de ING het heeft geen zin je kunt net zo goed tegen de muur klagen
Als de ing niet de veiligheid van internet bankieren kan garanderen kan de ING beter stoppen
niet hun problemen bij de klant neer liggen
We hebben al genoeg problemen met het gesjoemel van de banken banken zijn geen gemak maar ongemak '
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
