'Banken minder gul bij oude virusscanner'
Banken zouden steeds vaker de verantwoordelijkheid voor fraude met internetbankieren bij de consument leggen, waarbij een verouderde virusscanner al reden kan zijn om de schade niet te vergoeden. Deze week werd bekend dat vorig jaar 11.000 Nederlanders slachtoffer van phishing en malware werden waarbij er geld van hun rekening werd gehaald.
De schade bedroeg over heel 2012 genomen 34,8 miljoen euro. Slechts 200.000 euro minder dan in 2011, toen cybercriminelen 35 miljoen euro buitmaakten. Volgens de Nederlandse Vereniging van Banken is er een verschuiving zichtbaar van phishing naar malware, waarbij rekeningen steeds vaker via zogeheten 'banking Trojans' worden geleegd.
Eisen
"Wat je ziet is dat er wordt gevraagd naar het up-to-date houden van je computer, door Windows updates en dat soort zaken te draaien en de laatste updates van je anti-virus geïnstalleerd te hebben. Dat zie je vaker voordat ze overgaan tot betalen", zegt cybercrime-expert Vincent van Kooten tegenover De Telegraaf. Hij laat echter niet weten om welke banken het gaat.
En niet alleen een virusscanner is vereist, ook moet er regelmatig worden ingelogd. "Wat maar weinig mensen weten, is dat elke bank in de voorwaarden heeft opgenomen dat klanten met een bepaalde regelmaat moeten inloggen om te kijken of de transacties kloppen", zegt Sybren Visser, woordvoerder van de Consumentenbond.
De verplichte inlogfrequentie zou per bank verschillen. "Doe je dit niet en het gaat mis, dan kunnen banken op hun strepen staan en draai je zelf op voor de schade", stelt Visser tegenover het Dagblad van het Noorden.
Voorwaarden ABN Amro
ABN Amro stelt het gebruik van een virusscanner verplicht in de algemene voorwaarden van Internet Betaalproducten. Het gaat dan om bedrijven die bij de bank één of meer betaalproducten afnemen, zoals het betaalmiddel iDEAL en de digitale kassa’s iDEAL EASY, iDEAL Only en de Internetkassa.
Ook in de voorwaarden van een Jongerenrekening komt het gebruik van anti-virus terug: "De cliënt zal zorgvuldig en veilig omgaan met Communicaties en Communicatiekanalen (met inbegrip van het Elektronisch Klantdomein), alsmede bij Communicatie via het Elektronisch Klantdomein en bij overige elektronische Communicatie alleen gebruikmaken van geschikte, veilige apparatuur en programmatuur met toepassing van de meest actuele veiligheidsmaatregelen, antivirusprogrammatuur en firewall(s), tegen virussen, spyware, phishing en ander misbruik."
In de voorwaarden voor Internetbankieren komt het woord virusscanner of anti-virus geen enkele keer voor en wordt er vooral in brede zin over de beveiliging gesproken.
"Cliënt is verantwoordelijk voor de beveiliging van alle Toegangsmiddelen en andere middelen die hij of andere houders gebruiken of onder hun beheer hebben en die benut kunnen worden voor het gebruik van een Toegangsmiddel namens Cliënt."
Voorwaarden Rabobank
In de Algemene voorwaarden 'betaalrekeningen en betaaldiensten 2013' van de Rabobank wordt het gebruik van beveiligingssoftware duidelijk verplicht gesteld.
Het is aan de klant om de beveiligingscodes geheim te houden, zo wordt duidelijk uit de voorwaarden. "U moet alle redelijke maatregelen nemen die nodig zijn om kennisname en gebruik door een ander te voorkomen. Het is afhankelijk van de omstandigheden, welke maatregelen redelijk zijn."
Voorwaarden ING
Bij ING zijn er voorwaarden voor Internetbankieren (Mijn ING) en Electronic Banking. In het geval van de eerste moet de klant ervoor zorgen dat: "de software die u op uw computer heeft geïnstalleerd, altijd uptodate is." en "Uw computer is beveiligd met antivirussoftware." Vervolgens worden klanten die zo veilig mogelijk willen internetbankieren naar ING.nl/internetbankieren verwezen.
Zakelijke klanten die iDEAL bij de ING afnemen moeten over 'recente anti-virussoftware, anti-spywaresoftware, firewallsoftware dan wel andere adequate beveiligingsinstrumenten' beschikken. En ook bij Electronic Banking wordt gesteld dat de abonnementhouder verplicht is om recente beveiligingssoftware te gebruiken en regelmatig updates te installeren.
Hoewel de eisen die de banken stellen verschillen, is duidelijk dat de verantwoordelijkheid voor de eigen beveiliging bij de klant wordt gelegd.
En hoe gaan ze nou aantonen dat je onveilig bent als je een live-CD gebruikt voor internet bankieren? Tot op heden denk ik een van de meest veilige methoden, maar bijna per definitie 'verouderd' en zelden voorzien van een antivirus tool (laat staan een recente).
Hoe staat het met de bitcoins? Kunnen we al buiten de banken om? Lijkt me een strak plan.
Banken weten heus wel hoe ze er voor moeten zorgen dat de meeste fraude zoals die nu wordt gepleegd niet meer mogelijk is. Het kost ze alleen veel meer geld en/of klanten om dat af te dwingen dan ze aan schade lijden. Daarom kiezen ze er zelf voor om het makkelijker voor de klant te maken en het risico te lopen dat er misbruik wordt gemaakt. Dat is een bewuste keuze en ze zijn wat mij betreft dan ook zelf aansprakelijk als er bekende zwakheden in hun eigen procedures worden misbruikt om geld van rekeningen van hun klanten te stelen. Die verantwoordelijkheid bij de klant leggen vind ik dan ook misplaatst. Ze weten voordat ze een relatie met een klant aan gaan dat 99% van hun klanten geen verstand heeft van IT. De verantwoordelijkheid voor hun eigen zwakke beveiliging bij de klant leggen lijkt me dan ook niet wettelijk haalbaar.
Geen hotspots dus?
Verder kan een internetbank afdwingen dat je bepaalde recente plugins gebruikt. Lijkt mij veel effectiever dan achteraf fraude te constateren!
Volgens mij snappen de banken er zelf geen fluit van. Welke nitwit heeft deze voorwaarden opgesteld?
Laat ik eens beginnen met een Solaris 10 x86 t.o.v. een volledig gepatched en up to date virusscanner XP systeem.
Ach ja, banken en arrogantie maar ik wil zo'n gevalletje wel eens voor een rechtbank uitvechten.
Geen hotspots dus?
'Beveiligen' is niet gelijk aan het niet gebruiken van hotspots. Met een openvpn kom je een heel eind op welk open netwerk dan ook.
Stellen de banken ook voorwaarden wat voor security software je gebruikt ?
Of dit ook geldt als er ander illegale software opstaat ?
En dit is alleen de vaste netwerkverbinding.
Helaas zijn de banken amateurs op gebied van veiligheid,hoewel het steeds beter wordt.
De laatste DDos aanval 03-04-2013 t/m 05-04-2013 op de banken getuigd niet in hun voordeel.
En het verhaal dat er niets is geroofd ,lijkt me niet geloofwaardig,denk aan naam,adres en inlogcode,telefoonnummer
kortom alle persoonlijke gegevens.
En regelmatig controleren banksaldo is van financieel levensbelang.
En regelmatig de inlogcode veranderen.
Domheid is er van 2 zijden ,de banken en van sommige gebruikers die ongelooflijk naïef zijn.
Op deze manier wordt de verantwoordelijkheid van het up-to-date houden van je eigen pc en het gebruiken van AV's en FW's gestimuleerd. Op zich een logische ontwikkeling, je inboedelverzekering betaald ook niet uit wanneer je de deur op laat staan...
Als persoon "X" geen virusscanner bezit, kan persoon "X" voor schade voor zowel zichzelf als de bank zorgen en de overige klanten kunnen dat natuurlijk weer ophoesten.
Daarnaast is ook klant "X" verantwoordelijk voor veilig internet bankieren.
Je kan een website wel zo veilig maken, HTTPS etc. maar als klant "X" niet veilig werkt, heeft zelfs HTTPS geen nut.
https://www.belfius.be/info/NL/Media/FOXE_3836_2_1206_tcm_11-29981.pdf
zijn o.a. de verantwoordelijkheden van de klant terug te vinden, maar vziw is in België de bank nog altijd verantwoordelijk. Zelfs als het te wijten is aan de nalatigheid van de klant. Benieuwd hoe lang dat nog zal duren...
Wie gaat er als eerste roepen, dat de bank ook verantwoordelijk is wanneer er bij je ingebroken wordt en je PIN pas en PIN-code gejat wordt en je rekening leeg gehaald is?
Uit je reactie kan ik zien dat je windows gebruikt? Een virusscanner is een tussenoplossing en loopt achter de feiten aan. Je kan het zien als pleisters op elkaar. Er komen telkens nieuwe virussen bij die niet herkent worden.
De beste beveiliging voor software zijn snelle updates. Ook het gebruik van opensource programma's helpt bij de beveiliging.
Gelukkig is de kans op een dergelijk systeem velen malen kleiner dan op een gewone Windows. Vraag is dus wil je de kans lopen op diefstal maar wel vergoed worden of een vele malen kleinere kans lopen maar dan niet vergoed worden. Ja dat zijn de kansen van het leven.
Nu is het risico vrij laag dat je met een Live-CD last hebt van plunderende malware, maar mocht het gebeuren dan ben je inderdaad volgens deze voorwaarden de spreekwoordelijke Sjaak.
Laat ik eens beginnen met een Solaris 10 x86 t.o.v. een volledig gepatched en up to date virusscanner XP systeem.
Ach ja, banken en arrogantie maar ik wil zo'n gevalletje wel eens voor een rechtbank uitvechten.
Geen hotspots dus?
Banken weten heus wel hoe ze er voor moeten zorgen dat de meeste fraude zoals die nu wordt gepleegd niet meer mogelijk is. Het kost ze alleen veel meer geld en/of klanten om dat af te dwingen dan ze aan schade lijden.
Als jij denkt dat banken niks aan het doen zijn dan heb je het mis. De PC is gewoon een "compromised system" en de taak is aan de bank om proberen het veilig te maken, zover mogelijk. Eigenlijk een niet-te-doen opdracht, want gebruikers blijven dom. En zo lang gebruikers dom blijven is het probleem niet helemaal op te lossen.
Aan 65-plussers worden niet dezelfde eisen gesteld als een 21-er werkend in de ICT. Slimme malware waar de gebruiker niks merkt wordt anders behandeld dan eentje waar de klant wordt opgebeld en om codes gevraagd. Maar verwachten dat de bank in alle situaties alles vergoeden is gewoon niet meer van deze tijd.
Oh ja, de ideeën om een LiveCD te gebruiken gaat niet werken. De gemiddelde gebruiker gaat dat echt niet doen.
Beveiligde verbindingen middels https zijn maar een stukje van de beveiliging die nodig is.
https voorkomt 'meeluisteren' met de verbinding tussen jouw computer en die vd bank, maar kan niet voorkomen dat je computer gehackt wordt omdat jouw draadloze internetverbinding binnenshuis onvoldoende beveiligd is.
Zo'n hacker kan dan jouw computer beheersen en of je wel of geen https verbinding met de bank hebt maakt dan niet meer uit. 't Is vergelijkbaar met een goed voordeurslot hebben maar je raam open laten staan.
Een hacker die 'meelift' op jouw internetverbinding kan veel makkelijker je computer hacken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
