image

Banken: niet internetbankieren via open wifi-netwerk

zondag 25 mei 2014, 12:58 door Redactie, 16 reacties

De Nederlandse Vereniging van Banken (NVB) waarschuwt consumenten om open en onbekende wifi-netwerken niet voor internetbankieren te gebruiken. De waarschuwing volgt na een uitzending van het televisieprogramma Kassa waarin een aanval op internetbankieren werd gedemonstreerd.

De aanval liet zien hoe consumenten via een kwaadaardig wifi-hotspot naar een onbeveiligde versie van de bankpagina worden doorgestuurd. Als de consument dit niet opmerkt en zijn gegevens invult kan er vervolgens een frauduleuze transactie plaatsvinden. Volgens de NVB zijn er in Nederland geen geslaagde pogingen bekend om met deze methode te frauderen.

Advies

De NVB adviseert mensen die via een gewone browser internetbankieren om alleen verbinding met een vertrouwde en beveiligde wifi-hotspot te maken en onbekende hotspots te vermijden. "Dat zijn hotspots waarvan niet bekend is wie de eigenaar is en die niet om een veilig wachtwoord vragen. Vooral bij hotspots in openbare ruimten die voor iedereen toegankelijk zijn, moeten gebruikers op hun hoede zijn."

Betaalvereniging Nederland stelt dat de getoonde aanval betrekking op internetbankieren via een normale webbrowser heeft. "Veel banken bieden voor smartphones en tablets een zogenoemde app aan waarmee men mobiel kan bankieren. Bankieren via zo’n app biedt bij de gedemonstreerde aanval meer veiligheid dan via een standaard webbrowser", aldus de organisatie. Verder wordt ook het advies herhaald om de adresbalk en het SSL-certificaat te controleren.

Reacties (16)
25-05-2014, 15:54 door Fwiffo
Nog niet zo lang geleden op de site van de consumentenbond:
"Ook zijn verouderde regels geschrapt, zoals het verbod op internet- en/of mobielbankieren via onbeveiligde draadloze netwerken."

http://www.consumentenbond.nl/test/geld-verzekering/betalen-en-sparen/betaalrekeningen/nieuws/2013/toelichting-uniforme-bankvoorwaarden/
25-05-2014, 16:34 door Anoniem
@fwiffo:
"verbod" v.s. "advies" is groot verschil natuurlijk
25-05-2014, 17:11 door ben987
wat nou als je in het buitenland afhankelijk bent van hotel-wifi e.d. en je moet voor zaken internetbankieren ?

wat is dan het minst risicovol in zo een situatie ? (ik maak dan al gebruik van een live cd ubuntu voor internetbankieren).
25-05-2014, 17:16 door Anoniem
Ik heb nog geen brief gehad van de bank, laat staan een mailtje, of een melding bij het openen van de website van de bank.

Wat mij doet vermoeden dat dat advies alleen voor de security minded gebruikers geldt en niet voor de overige 99% van de gebruikers.

Er moet nog een hoop gebeuren.
25-05-2014, 17:21 door Provo
Door ben987: wat nou als je in het buitenland afhankelijk bent van hotel-wifi e.d. en je moet voor zaken internetbankieren ?

wat is dan het minst risicovol in zo een situatie ? (ik maak dan al gebruik van een live cd ubuntu voor internetbankieren).
Ik zou gaan voor een VPN oplossing.
25-05-2014, 17:31 door Nietsnut
via een kwaadaardig wifi-hotspot naar een onbeveiligde versie van de bankpagina worden doorgestuurd

Dus even het webadres en certificaat checken en er kan je weinig gebeuren ben zelf bij de ING de enige extra maatregel die ik neem is mijn firewall op openbaar zetten in Ubuntu.
Voor de rest is gewoon opletten noodzakelijk en een groot voordeel is dat ik met Ubuntu verlost ben van al het digitaal gespuis dus het risico van misbruik is zo wie zo veel kleiner al moet ik wel zeggen dat bij deze aanval alleen opletten geholpen zou hebben
25-05-2014, 19:46 door Anoniem
Door ben987: wat nou als je in het buitenland afhankelijk bent van hotel-wifi e.d. en je moet voor zaken internetbankieren ?

wat is dan het minst risicovol in zo een situatie ? (ik maak dan al gebruik van een live cd ubuntu voor internetbankieren).

Ik gebruik dan mijn GSM-verbinding. Duurder maar veiliger. Maar ik vraag mij eerst af of bankieren nu meteen echt nodig is - of dat het mijn eigen ongeduld is waarom ik dat wil. Als toerist bankier ik helemaal niet. Ik neem voldoende contant geld mee en ga eventueel nog naar een geldautomaat in een bankgebouw. De rest komt thuis wel. Daar blijft bankieren het veiligst.
25-05-2014, 22:10 door Anoniem
niet via wifi, nogal duh, maar wel contactloos betalen pushen? je kan geen kaart zonder aanvragen, heb laatst zo'n ding opgedrongen gekregen. Is echt wel veilig meneer.. i call BS
25-05-2014, 22:37 door NumesSanguis
Je moest toch ook elke 2 weken je bankrekening checken?
Wat doe je dan als je 3 weken op vakantie gaat? want openbare WiFi wordt toch afgeraden?
26-05-2014, 01:06 door Anoniem
Daaag, wij zijn van de bank. Wij komen u in 2014 waarschuwen voor een probleem dat al sinds de vorige eeuw bekend is als onveilig. Maar daar heeft u ons niet over gehoord. Ons hoort u pas waarschuwen als iemand in het nieuws komt met een kunstje dat de criminelen al een jaartje of 15 weten te misbruiken.

Een risico is geen risico omdat een paar personen in de media er nieuws van maken. Een risico is een onderkende zwakte met bijkomende gevolgen. Maar dat werkt bij de media en de banken even iets anders. Zolang je het er maar niet over hebt bestaat het niet, dan kan je het later altijd nog je kant op trekken om te laten zien hoe goed je bezig bent en mensen geen barst wijzer te maken.
26-05-2014, 09:28 door User2048
Ubuntu en/of een live-CD zal niet helpen tegen deze aanval. Deze aanval is namelijk niet gericht tegen het OS of applicaties. De aanval richt zich op het verkeer tussen je browser en de website van de bank.

Wat helpt is een browser gebruiken die HSTS ondersteunt, wanneer de bank dat ook doet. De app van de bank gebruiken in plaats van een browser schijnt ook te helpen.
26-05-2014, 10:41 door Anoniem
Beter om helemaal geen openbare wifi te gebruiken...
26-05-2014, 11:03 door Anoniem
Door Anoniem:
Er moet nog een hoop gebeuren.

Nou dat is wel zeker ja!
Als de "security experts bij de banken" er collectief nog niet uit zichzelf toe zijn overgegaan om HSTS aan te zetten,
hoe mogen we deze experts dan verder inschatten?

Toen ik een jaartje geleden ergens een keer las over HSTS heb ik dat in korte tijd kunnen implementeren in de website
op het werk, even 2 regeltjes toevoegen aan de server configuratie en klaar. Ik heb het zelfs nog kunnen toevoegen op
een Citrix Access Gateway, hoewel die dat helemaal niet ondersteunde. Een headertje erbij prutsen dat lukt in vrijwel
alle omgevingen wel.

Dat de banken dit niet uit zichzelf gedaan hebben maar pas nadat Brenno er mee kwam aanzetten dat geeft toch wel
te denken. Kennelijk is daar niet iemand die een beetje volgt wat er in de wereld gebeurt en kijkt hoe dat ingezet kan
worden in de beveiliging. Dus inderdaad, er moet nog veel gebeuren.
26-05-2014, 20:07 door Anoniem
Door Anoniem:
Door ben987: wat nou als je in het buitenland afhankelijk bent van hotel-wifi e.d. en je moet voor zaken internetbankieren ?

wat is dan het minst risicovol in zo een situatie ? (ik maak dan al gebruik van een live cd ubuntu voor internetbankieren).

Ik gebruik dan mijn GSM-verbinding. Duurder maar veiliger. Maar ik vraag mij eerst af of bankieren nu meteen echt nodig is - of dat het mijn eigen ongeduld is waarom ik dat wil. Als toerist bankier ik helemaal niet. Ik neem voldoende contant geld mee en ga eventueel nog naar een geldautomaat in een bankgebouw. De rest komt thuis wel. Daar blijft bankieren het veiligst.
Ja dat dacht ik ook, tot ik hoorde dat je verplicht één keer per week in moet loggen om je volledige transactie-historie te bekijken, anders ben je "verwijtbaar" als het fout gaat...

VPN dus.
27-05-2014, 10:46 door Anoniem
Door Nietsnut:
... een groot voordeel is dat ik met Ubuntu verlost ben van al het digitaal gespuis dus ...

Schattig, in 2014 toch nog iemand die denkt dat die oliedomme cyber-Snuf en Snuitje niet met Linux kunnen omgaan...
31-05-2014, 19:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door ben987: wat nou als je in het buitenland afhankelijk bent van hotel-wifi e.d. en je moet voor zaken internetbankieren ?

wat is dan het minst risicovol in zo een situatie ? (ik maak dan al gebruik van een live cd ubuntu voor internetbankieren).

Ik gebruik dan mijn GSM-verbinding. Duurder maar veiliger. Maar ik vraag mij eerst af of bankieren nu meteen echt nodig is - of dat het mijn eigen ongeduld is waarom ik dat wil. Als toerist bankier ik helemaal niet. Ik neem voldoende contant geld mee en ga eventueel nog naar een geldautomaat in een bankgebouw. De rest komt thuis wel. Daar blijft bankieren het veiligst.
Ja dat dacht ik ook, tot ik hoorde dat je verplicht één keer per week in moet loggen om je volledige transactie-historie te bekijken, anders ben je "verwijtbaar" als het fout gaat...

VPN dus.

mooi "ik heb gehoord" verhaal, heb je nog een bron? en dus niet je buurman :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.