image

'Banken minder gul bij oude virusscanner'

vrijdag 5 april 2013, 17:04 door Redactie, 23 reacties

Banken zouden steeds vaker de verantwoordelijkheid voor fraude met internetbankieren bij de consument leggen, waarbij een verouderde virusscanner al reden kan zijn om de schade niet te vergoeden. Deze week werd bekend dat vorig jaar 11.000 Nederlanders slachtoffer van phishing en malware werden waarbij er geld van hun rekening werd gehaald.

De schade bedroeg over heel 2012 genomen 34,8 miljoen euro. Slechts 200.000 euro minder dan in 2011, toen cybercriminelen 35 miljoen euro buitmaakten. Volgens de Nederlandse Vereniging van Banken is er een verschuiving zichtbaar van phishing naar malware, waarbij rekeningen steeds vaker via zogeheten 'banking Trojans' worden geleegd.

Eisen
"Wat je ziet is dat er wordt gevraagd naar het up-to-date houden van je computer, door Windows updates en dat soort zaken te draaien en de laatste updates van je anti-virus geïnstalleerd te hebben. Dat zie je vaker voordat ze overgaan tot betalen", zegt cybercrime-expert Vincent van Kooten tegenover De Telegraaf. Hij laat echter niet weten om welke banken het gaat.

En niet alleen een virusscanner is vereist, ook moet er regelmatig worden ingelogd. "Wat maar weinig mensen weten, is dat elke bank in de voorwaarden heeft opgenomen dat klanten met een bepaalde regelmaat moeten inloggen om te kijken of de transacties kloppen", zegt Sybren Visser, woordvoerder van de Consumentenbond.

De verplichte inlogfrequentie zou per bank verschillen. "Doe je dit niet en het gaat mis, dan kunnen banken op hun strepen staan en draai je zelf op voor de schade", stelt Visser tegenover het Dagblad van het Noorden.

Voorwaarden ABN Amro
ABN Amro stelt het gebruik van een virusscanner verplicht in de algemene voorwaarden van Internet Betaalproducten. Het gaat dan om bedrijven die bij de bank één of meer betaalproducten afnemen, zoals het betaalmiddel iDEAL en de digitale kassa’s iDEAL EASY, iDEAL Only en de Internetkassa.


Ook in de voorwaarden van een Jongerenrekening komt het gebruik van anti-virus terug: "De cliënt zal zorgvuldig en veilig omgaan met Communicaties en Communicatiekanalen (met inbegrip van het Elektronisch Klantdomein), alsmede bij Communicatie via het Elektronisch Klantdomein en bij overige elektronische Communicatie alleen gebruikmaken van geschikte, veilige apparatuur en programmatuur met toepassing van de meest actuele veiligheidsmaatregelen, antivirusprogrammatuur en firewall(s), tegen virussen, spyware, phishing en ander misbruik."

In de voorwaarden voor Internetbankieren komt het woord virusscanner of anti-virus geen enkele keer voor en wordt er vooral in brede zin over de beveiliging gesproken.

"Cliënt is verantwoordelijk voor de beveiliging van alle Toegangsmiddelen en andere middelen die hij of andere houders gebruiken of onder hun beheer hebben en die benut kunnen worden voor het gebruik van een Toegangsmiddel namens Cliënt."

Voorwaarden Rabobank
In de Algemene voorwaarden 'betaalrekeningen en betaaldiensten 2013' van de Rabobank wordt het gebruik van beveiligingssoftware duidelijk verplicht gesteld.


Het is aan de klant om de beveiligingscodes geheim te houden, zo wordt duidelijk uit de voorwaarden. "U moet alle redelijke maatregelen nemen die nodig zijn om kennisname en gebruik door een ander te voorkomen. Het is afhankelijk van de omstandigheden, welke maatregelen redelijk zijn."

Voorwaarden ING
Bij ING zijn er voorwaarden voor Internetbankieren (Mijn ING) en Electronic Banking. In het geval van de eerste moet de klant ervoor zorgen dat: "de software die u op uw computer heeft geïnstalleerd, altijd up­to­date is." en "Uw computer is beveiligd met anti­virussoftware." Vervolgens worden klanten die zo veilig mogelijk willen internetbankieren naar ING.nl/internetbankieren verwezen.

Zakelijke klanten die iDEAL bij de ING afnemen moeten over 'recente anti-virussoftware, anti-spywaresoftware, firewallsoftware dan wel andere adequate beveiligingsinstrumenten' beschikken. En ook bij Electronic Banking wordt gesteld dat de abonnementhouder verplicht is om recente beveiligingssoftware te gebruiken en regelmatig updates te installeren.

Hoewel de eisen die de banken stellen verschillen, is duidelijk dat de verantwoordelijkheid voor de eigen beveiliging bij de klant wordt gelegd.

Reacties (23)
05-04-2013, 17:12 door Anoniem
Geldt dat voor alle virusscanners, want straks gaan ze nog zeggen dat het alleen geldt voor betaalde scanners of van een bepaald merk. Als ze willen dat iedereen internet bankiert ook veilig is dan moeten ze zelf de software beschikbaar stellen of op z'n minst links naar software die hun geschikt achten.
05-04-2013, 17:41 door Anoniem
Dus eerst moet iedereen aan het internetbankieren. Want het zou zo veilig zijn. Dan blijkt het toch brak te zijn en dan is het opeens het probleem van de klant.
En hoe gaan ze nou aantonen dat je onveilig bent als je een live-CD gebruikt voor internet bankieren? Tot op heden denk ik een van de meest veilige methoden, maar bijna per definitie 'verouderd' en zelden voorzien van een antivirus tool (laat staan een recente).

Hoe staat het met de bitcoins? Kunnen we al buiten de banken om? Lijkt me een strak plan.
05-04-2013, 18:07 door WhizzMan
Ik kan me toch een heleboel situaties bedenken waarbij de door de banken genoemde eisen totaal niet relevant of zelfs onmogelijk uit te voeren zijn. Een firewall gaat er niet voor zorgen dat je zelf wel bij de bank kan komen vanaf je computer, maar een trojan dat niet kan, om eens een voorbeeld te noemen. Generaliserende termen als "adequate beveilgingsinstrumenten" zin in de praktijk echt niet te gebruiken om te stellen of iemand nou wel of niet genoeg beveilging heeft gehad, want er worden geen objectieve, meetbare normen gesteld.

Banken weten heus wel hoe ze er voor moeten zorgen dat de meeste fraude zoals die nu wordt gepleegd niet meer mogelijk is. Het kost ze alleen veel meer geld en/of klanten om dat af te dwingen dan ze aan schade lijden. Daarom kiezen ze er zelf voor om het makkelijker voor de klant te maken en het risico te lopen dat er misbruik wordt gemaakt. Dat is een bewuste keuze en ze zijn wat mij betreft dan ook zelf aansprakelijk als er bekende zwakheden in hun eigen procedures worden misbruikt om geld van rekeningen van hun klanten te stelen. Die verantwoordelijkheid bij de klant leggen vind ik dan ook misplaatst. Ze weten voordat ze een relatie met een klant aan gaan dat 99% van hun klanten geen verstand heeft van IT. De verantwoordelijkheid voor hun eigen zwakke beveiliging bij de klant leggen lijkt me dan ook niet wettelijk haalbaar.
05-04-2013, 19:13 door Anoniem
Zouden de banken ook anti-virussoftware verlangen als je Linux gebruikt? Ik heb alleen een on-demand-scanner van ClamTK.
05-04-2013, 19:41 door Fwiffo
@Rabobank: "Ook een draadloze verbinding met internet moet u beveiligen".
Geen hotspots dus?

Verder kan een internetbank afdwingen dat je bepaalde recente plugins gebruikt. Lijkt mij veel effectiever dan achteraf fraude te constateren!
05-04-2013, 20:00 door [Account Verwijderd]
[Verwijderd]
05-04-2013, 20:06 door [Account Verwijderd]
[Verwijderd]
05-04-2013, 20:21 door Ghajes
Door Windmolentje:
"Wat maar weinig mensen weten, is dat elke bank in de voorwaarden heeft opgenomen dat klanten met een bepaalde regelmaat moeten inloggen om te kijken of de transacties kloppen",
Maar..als je niet regelmatig inlogt, dan loop je toch ook minder risico op een banking-trojan binnen te krijgen?
Volgens mij snappen de banken er zelf geen fluit van. Welke nitwit heeft deze voorwaarden opgesteld?
Ik denk dat het er meer om gaat dat ze eronderuit te kunnen komen om te betalen als je geskimmed bent...
05-04-2013, 20:30 door Anoniem
Ik ken systemen / OS'en die vele malen veiliger zijn ZONDER virusscanner dan sommige andere MET virusscanner.

Laat ik eens beginnen met een Solaris 10 x86 t.o.v. een volledig gepatched en up to date virusscanner XP systeem.

Ach ja, banken en arrogantie maar ik wil zo'n gevalletje wel eens voor een rechtbank uitvechten.
05-04-2013, 20:33 door Anoniem
Door Fwiffo: @Rabobank: "Ook een draadloze verbinding met internet moet u beveiligen".
Geen hotspots dus?

'Beveiligen' is niet gelijk aan het niet gebruiken van hotspots. Met een openvpn kom je een heel eind op welk open netwerk dan ook.
05-04-2013, 22:00 door john west
Dus bij illegale besturing software ,en het gaat mis dan ben je,je geld kwijt.
Stellen de banken ook voorwaarden wat voor security software je gebruikt ?
Of dit ook geldt als er ander illegale software opstaat ?
En dit is alleen de vaste netwerkverbinding.
Helaas zijn de banken amateurs op gebied van veiligheid,hoewel het steeds beter wordt.
De laatste DDos aanval 03-04-2013 t/m 05-04-2013 op de banken getuigd niet in hun voordeel.
En het verhaal dat er niets is geroofd ,lijkt me niet geloofwaardig,denk aan naam,adres en inlogcode,telefoonnummer
kortom alle persoonlijke gegevens.

En regelmatig controleren banksaldo is van financieel levensbelang.
En regelmatig de inlogcode veranderen.
Domheid is er van 2 zijden ,de banken en van sommige gebruikers die ongelooflijk naïef zijn.
06-04-2013, 15:04 door [Account Verwijderd]
Door john west: Helaas zijn de banken amateurs op gebied van veiligheid,hoewel het steeds beter wordt.
Jammer genoeg de meeste burgers ook.

Op deze manier wordt de verantwoordelijkheid van het up-to-date houden van je eigen pc en het gebruiken van AV's en FW's gestimuleerd. Op zich een logische ontwikkeling, je inboedelverzekering betaald ook niet uit wanneer je de deur op laat staan...
06-04-2013, 17:59 door donnerd
Ik ben een zeer voorstander voor deze maatregelen.
Als persoon "X" geen virusscanner bezit, kan persoon "X" voor schade voor zowel zichzelf als de bank zorgen en de overige klanten kunnen dat natuurlijk weer ophoesten.
Daarnaast is ook klant "X" verantwoordelijk voor veilig internet bankieren.
Je kan een website wel zo veilig maken, HTTPS etc. maar als klant "X" niet veilig werkt, heeft zelfs HTTPS geen nut.
06-04-2013, 18:23 door cyberpunk
In de voorwaarden van de Belgische Belfius bank

https://www.belfius.be/info/NL/Media/FOXE_3836_2_1206_tcm_11-29981.pdf

zijn o.a. de verantwoordelijkheden van de klant terug te vinden, maar vziw is in België de bank nog altijd verantwoordelijk. Zelfs als het te wijten is aan de nalatigheid van de klant. Benieuwd hoe lang dat nog zal duren...
06-04-2013, 19:05 door Anoniem
Ik meen me te herinneren dat de bewijslast bij de banken ligt dus de bank moet bewijzen dat de klant nalatig is geweest of word deze regel voor het gemak maar onder de vloerkleed geveegd.
06-04-2013, 20:26 door Anoniem
Leuke "discussie"...
Wie gaat er als eerste roepen, dat de bank ook verantwoordelijk is wanneer er bij je ingebroken wordt en je PIN pas en PIN-code gejat wordt en je rekening leeg gehaald is?
06-04-2013, 23:57 door Markcortbass
@Anoniem 20:36
Uit je reactie kan ik zien dat je windows gebruikt? Een virusscanner is een tussenoplossing en loopt achter de feiten aan. Je kan het zien als pleisters op elkaar. Er komen telkens nieuwe virussen bij die niet herkent worden.
De beste beveiliging voor software zijn snelle updates. Ook het gebruik van opensource programma's helpt bij de beveiliging.
07-04-2013, 20:00 door Duck-man
Door Anoniem: Zouden de banken ook anti-virussoftware verlangen als je Linux gebruikt? Ik heb alleen een on-demand-scanner van ClamTK.
Met Linux ben je dus de klos. Ook met een oude live CD kan je het wel schudden (eigenlijk elke live CD is al weer oud). Eigenlijk moet je Windows8 hebben met een norton virus scanner.
Gelukkig is de kans op een dergelijk systeem velen malen kleiner dan op een gewone Windows. Vraag is dus wil je de kans lopen op diefstal maar wel vergoed worden of een vele malen kleinere kans lopen maar dan niet vergoed worden. Ja dat zijn de kansen van het leven.
08-04-2013, 09:33 door Above
De banken kunnen niet verwachten dat de gemiddelde gebruiker ICT kennis in huis heeft om een systeem de illusie van veilig te geven. De banken moeten gewoon een ander product op de markt gaan brengen om het veiliger te maken. Bijvoorbeeld een virtuele omgeving voor iedere klant maar dan helemaal uitgekleed zodat je alleen de website van de bank kan bereiken en verder niets. De manier van nu gaat niet werken en ik snap niet waarom bankieren via je smartphone wel wordt doorgedrukt terwijl dat nog onveiliger is.
08-04-2013, 09:40 door Mysterio
Volgens mij is het punt niet dat je perse een virusscanner moet hebben, maar dat wanneer je rekening is geplunderd d.m.v. malware en je hebt een verouderde virusscanner, dat je dan de klos bent. Zo geredeneerd ben je ook de klos wanneer je rekening is geplunderd d.m.v. malware wanneer je Linux (of whatever) draait zonder virusscanner of met een verouderde scanner.

Nu is het risico vrij laag dat je met een Live-CD last hebt van plunderende malware, maar mocht het gebeuren dan ben je inderdaad volgens deze voorwaarden de spreekwoordelijke Sjaak.
08-04-2013, 11:17 door lucb1e
Door Anoniem: Ik ken systemen / OS'en die vele malen veiliger zijn ZONDER virusscanner dan sommige andere MET virusscanner.

Laat ik eens beginnen met een Solaris 10 x86 t.o.v. een volledig gepatched en up to date virusscanner XP systeem.

Ach ja, banken en arrogantie maar ik wil zo'n gevalletje wel eens voor een rechtbank uitvechten.
Het jammere is dat we banken nodig hebben, banken dat weten, banken daardoor flink geld kunnen innen, en je dus al Bill Gates moet aanklagen voor je een gelijk niveau aan advocaten tegenover elkaar hebt staan. Daarnaast is het merendeel van de rechters ook niet zo technisch onderlegd.

Door Fwiffo: @Rabobank: "Ook een draadloze verbinding met internet moet u beveiligen".
Geen hotspots dus?
En ik maar denken dat https veilig was. Banken weten het blijkbaar beter jongens!
08-04-2013, 14:54 door Anoniem
Door WhizzMan:
Banken weten heus wel hoe ze er voor moeten zorgen dat de meeste fraude zoals die nu wordt gepleegd niet meer mogelijk is. Het kost ze alleen veel meer geld en/of klanten om dat af te dwingen dan ze aan schade lijden.

Als jij denkt dat banken niks aan het doen zijn dan heb je het mis. De PC is gewoon een "compromised system" en de taak is aan de bank om proberen het veilig te maken, zover mogelijk. Eigenlijk een niet-te-doen opdracht, want gebruikers blijven dom. En zo lang gebruikers dom blijven is het probleem niet helemaal op te lossen.

Aan 65-plussers worden niet dezelfde eisen gesteld als een 21-er werkend in de ICT. Slimme malware waar de gebruiker niks merkt wordt anders behandeld dan eentje waar de klant wordt opgebeld en om codes gevraagd. Maar verwachten dat de bank in alle situaties alles vergoeden is gewoon niet meer van deze tijd.

Oh ja, de ideeën om een LiveCD te gebruiken gaat niet werken. De gemiddelde gebruiker gaat dat echt niet doen.
08-04-2013, 20:06 door Anoniem
> En ik maar denken dat https veilig was. Banken weten het blijkbaar beter jongens!

Beveiligde verbindingen middels https zijn maar een stukje van de beveiliging die nodig is.
https voorkomt 'meeluisteren' met de verbinding tussen jouw computer en die vd bank, maar kan niet voorkomen dat je computer gehackt wordt omdat jouw draadloze internetverbinding binnenshuis onvoldoende beveiligd is.
Zo'n hacker kan dan jouw computer beheersen en of je wel of geen https verbinding met de bank hebt maakt dan niet meer uit. 't Is vergelijkbaar met een goed voordeurslot hebben maar je raam open laten staan.
Een hacker die 'meelift' op jouw internetverbinding kan veel makkelijker je computer hacken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.