Banken: niet internetbankieren via open wifi-netwerk
De Nederlandse Vereniging van Banken (NVB) waarschuwt consumenten om open en onbekende wifi-netwerken niet voor internetbankieren te gebruiken. De waarschuwing volgt na een uitzending van het televisieprogramma Kassa waarin een aanval op internetbankieren werd gedemonstreerd.
De aanval liet zien hoe consumenten via een kwaadaardig wifi-hotspot naar een onbeveiligde versie van de bankpagina worden doorgestuurd. Als de consument dit niet opmerkt en zijn gegevens invult kan er vervolgens een frauduleuze transactie plaatsvinden. Volgens de NVB zijn er in Nederland geen geslaagde pogingen bekend om met deze methode te frauderen.
Advies
De NVB adviseert mensen die via een gewone browser internetbankieren om alleen verbinding met een vertrouwde en beveiligde wifi-hotspot te maken en onbekende hotspots te vermijden. "Dat zijn hotspots waarvan niet bekend is wie de eigenaar is en die niet om een veilig wachtwoord vragen. Vooral bij hotspots in openbare ruimten die voor iedereen toegankelijk zijn, moeten gebruikers op hun hoede zijn."
Betaalvereniging Nederland stelt dat de getoonde aanval betrekking op internetbankieren via een normale webbrowser heeft. "Veel banken bieden voor smartphones en tablets een zogenoemde app aan waarmee men mobiel kan bankieren. Bankieren via zo’n app biedt bij de gedemonstreerde aanval meer veiligheid dan via een standaard webbrowser", aldus de organisatie. Verder wordt ook het advies herhaald om de adresbalk en het SSL-certificaat te controleren.
"Ook zijn verouderde regels geschrapt, zoals het verbod op internet- en/of mobielbankieren via onbeveiligde draadloze netwerken."
http://www.consumentenbond.nl/test/geld-verzekering/betalen-en-sparen/betaalrekeningen/nieuws/2013/toelichting-uniforme-bankvoorwaarden/
wat is dan het minst risicovol in zo een situatie ? (ik maak dan al gebruik van een live cd ubuntu voor internetbankieren).
Wat mij doet vermoeden dat dat advies alleen voor de security minded gebruikers geldt en niet voor de overige 99% van de gebruikers.
Er moet nog een hoop gebeuren.
wat is dan het minst risicovol in zo een situatie ? (ik maak dan al gebruik van een live cd ubuntu voor internetbankieren).
Dus even het webadres en certificaat checken en er kan je weinig gebeuren ben zelf bij de ING de enige extra maatregel die ik neem is mijn firewall op openbaar zetten in Ubuntu.
Voor de rest is gewoon opletten noodzakelijk en een groot voordeel is dat ik met Ubuntu verlost ben van al het digitaal gespuis dus het risico van misbruik is zo wie zo veel kleiner al moet ik wel zeggen dat bij deze aanval alleen opletten geholpen zou hebben
wat is dan het minst risicovol in zo een situatie ? (ik maak dan al gebruik van een live cd ubuntu voor internetbankieren).
Ik gebruik dan mijn GSM-verbinding. Duurder maar veiliger. Maar ik vraag mij eerst af of bankieren nu meteen echt nodig is - of dat het mijn eigen ongeduld is waarom ik dat wil. Als toerist bankier ik helemaal niet. Ik neem voldoende contant geld mee en ga eventueel nog naar een geldautomaat in een bankgebouw. De rest komt thuis wel. Daar blijft bankieren het veiligst.
Wat doe je dan als je 3 weken op vakantie gaat? want openbare WiFi wordt toch afgeraden?
Een risico is geen risico omdat een paar personen in de media er nieuws van maken. Een risico is een onderkende zwakte met bijkomende gevolgen. Maar dat werkt bij de media en de banken even iets anders. Zolang je het er maar niet over hebt bestaat het niet, dan kan je het later altijd nog je kant op trekken om te laten zien hoe goed je bezig bent en mensen geen barst wijzer te maken.
Wat helpt is een browser gebruiken die HSTS ondersteunt, wanneer de bank dat ook doet. De app van de bank gebruiken in plaats van een browser schijnt ook te helpen.
Er moet nog een hoop gebeuren.
Nou dat is wel zeker ja!
Als de "security experts bij de banken" er collectief nog niet uit zichzelf toe zijn overgegaan om HSTS aan te zetten,
hoe mogen we deze experts dan verder inschatten?
Toen ik een jaartje geleden ergens een keer las over HSTS heb ik dat in korte tijd kunnen implementeren in de website
op het werk, even 2 regeltjes toevoegen aan de server configuratie en klaar. Ik heb het zelfs nog kunnen toevoegen op
een Citrix Access Gateway, hoewel die dat helemaal niet ondersteunde. Een headertje erbij prutsen dat lukt in vrijwel
alle omgevingen wel.
Dat de banken dit niet uit zichzelf gedaan hebben maar pas nadat Brenno er mee kwam aanzetten dat geeft toch wel
te denken. Kennelijk is daar niet iemand die een beetje volgt wat er in de wereld gebeurt en kijkt hoe dat ingezet kan
worden in de beveiliging. Dus inderdaad, er moet nog veel gebeuren.
wat is dan het minst risicovol in zo een situatie ? (ik maak dan al gebruik van een live cd ubuntu voor internetbankieren).
Ik gebruik dan mijn GSM-verbinding. Duurder maar veiliger. Maar ik vraag mij eerst af of bankieren nu meteen echt nodig is - of dat het mijn eigen ongeduld is waarom ik dat wil. Als toerist bankier ik helemaal niet. Ik neem voldoende contant geld mee en ga eventueel nog naar een geldautomaat in een bankgebouw. De rest komt thuis wel. Daar blijft bankieren het veiligst.
VPN dus.
Schattig, in 2014 toch nog iemand die denkt dat die oliedomme cyber-Snuf en Snuitje niet met Linux kunnen omgaan...
wat is dan het minst risicovol in zo een situatie ? (ik maak dan al gebruik van een live cd ubuntu voor internetbankieren).
Ik gebruik dan mijn GSM-verbinding. Duurder maar veiliger. Maar ik vraag mij eerst af of bankieren nu meteen echt nodig is - of dat het mijn eigen ongeduld is waarom ik dat wil. Als toerist bankier ik helemaal niet. Ik neem voldoende contant geld mee en ga eventueel nog naar een geldautomaat in een bankgebouw. De rest komt thuis wel. Daar blijft bankieren het veiligst.
VPN dus.
mooi "ik heb gehoord" verhaal, heb je nog een bron? en dus niet je buurman :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
