Ze concureren in het geheel niet, dan is die stap van onderhandse gegevensuitwisseling een makkelijke stap.
Als ze dit nu wel doen en 2-3 jaar terug niet konden/wilden, wat is er dan sindsdien veranderd?
Waarom als ze dit zo goed kunnen, nog steeds als het even kan als eerste de schuld bij de klant/gebruiker zien te leggen?
Gaan nu ook de kosten en de winstmarges (hypotheken) omlaag omdat er voldoende geld binnen is?
Meer vragen dan antwoorden.

Zo, hebben ze toch mooi een excuus voor hun "klantje profileren"-verslaving gevonden. Dit was natuurlijk ook veel leuker speelwerk en sneller achteraf nog tegen hun systemen aan te gooien dan van het begin af aan een solide systeem te ontwerpen waar zonder datagraaien ook veilig mee betaald kan worden. Zo is goedkoop uiteindelijk toch weer duurkoop, maar de rekening wordt toch wel afgewenteld op de klant. Zo kennen we de banken weer.

Ik zie dat je wat moeite hebt het grote plaatje te bevatten... De vraag die je stelt bevat het antwoord namelijk al! Als banken cybercriminaliteit inderdaad goed kunnen opsporen aan hun kant, dan moet het probleem dus wel bij de klant liggen! En - to be fair - is dat meestal ook het geval. Ik heb nog geen documented cases gezien waarin de systemen van de bank gehacked zijn en waardoor klanten geld kwijt raakten. Wel veel cases van man-in-the-browser aanvallen, malware op pc's en social engineering waardoor klanten zich geld laten aftroggelen.
Banken zullen - net zoals alle commerciële bedrijven - niet zo snel openheid van zaken geven hoe ze fraudeurs opsporen. Maar als je af en toe eens een security conferentie bezoekt en daar met security mensen van een groot-bank praat, dan weet je dat er meer gebeurt achter de schermen dan alleen maar klanten de schuld geven. En man van ING had 't onlangs over het timen van transacties. Het invullen van een overboekingsscherm kost 20 seconden. Kan jij dat in 3, dan is de kans groot dat je een script bent en dus geen klant. Je transactie wordt geblokkeerd. Schreeuw je dat van de daken, dan zet de beheerder van Zeus of SpyEye er bij de volgende release een timer in zodat zijn transacties ook 20 seconden duren. Openheid werkt dus niet altijd...
En ja - antwoorden op vragen zijn vaak te vinden als je gewoon zoekt...

The greatest heist of the century: hackers stole $1 bln: http://blog.kaspersky.com/billion-dollar-apt-carbanak/

Dit is een broodje aap, niet meer dan dat. Geen letter bewijs, zelfs niet iets wat er misschien eventueel op zou kunnen lijken. Kortom, een sprookjesverhaal.

Piet, ik ken de denkwijze en cultuur. He het van zeer nabij mogen meemaken.
Daarom is mijn houding wat kritischer dan de hosanna wat zijn we goed uitingen op een conferentie. Dat ze geen openheid moeten geven over wat ze precies controleren, daar zijn we het over eens. Als je ING noemt dan heb je meteen de koploper in storingen.

De NVB ken ik nog dat ze de veiligheid van internet thuisgebruikers met regels uitdroegen. Verwoord": als uw computer niet aan onze eisen voldoet dan is het uw schuld en vergoeden we niets.

Ook een MIT aanval zou met juiste validering (niet misleiding) afgevangen moeten zijn. Ze (ING) geven nu met de SMS ook het bedrag waar het over gaat, dat was vroeger niet zo. Kleine moeite, maar een wereld van verschil.

Praat eens met de security risk-management mensen. Vraag eens naar de opgestelde policies en krijg eens de kans om te kijken hoe die ingevuld worden. Verbaas je dan niet over de implementaties die alleen draaien bij het bestaan van waivers dan wel niet vertellen hoe het echt zit. Ik heb heel vreemde dingen op dat vlak gezien. Nee dat zul je niet vinden, ook al zoek je goed. Het is in een dark-deel van internet en geklassificeerd as restricted confidential secret (intranet).

Je voorbeeld met timing is er een dat volgt uit gezond verstand, analyse normaal gebruik. Je hebt er geen big-data of analytics voor nodig. Er is ook geen uitwisseling van IP-adressen voor nodig, niets van dat alles.
Het big-data gebeuren bij ING is gericht op klantgedrag niet op het herkennen van normale patronen er uitfilteren voor herkenning mogelijke fraude. Die focus klantgedrag heeft het nieuws gehaald dat ze het als een verdienmodel wilden verkopen naar derden. Nog steeds zouden ze dat willen.

Hoe belangrijk klanten zijn voor banken? (sorry wat geheugenflitsen)
- Ooit lang geleden (ca 2006) zo'n hoge manager horen zeggen dat retailbanken (consumenten) niets opbracht. Het grote en goede voorbeeld was Lehman Brothers.
- Tilmant heeft nog gedreigd Nederland te verlaten wegens ongunstige vestigingsregels. En in 2008...
- Ook fraai beleggingspolissen, een uitspraak opgevangen dat 40% kosten een prima verdienmodel zijn.
Vooral niet aan de klant vertellen want het zijn van die prachtige winstmakers. Huidige aanduiding woekerpolissen.

Vergeet de spiegel niet.

Carbarnak geeft verdacht veel hits. Een paar anderen
- http://www.reuters.com/article/2013/05/09/net-us-usa-crime-cybercrime-idUSBRE9480PZ20130509
- http://krebsonsecurity.com/2014/12/gang-hacked-atms-from-inside-banks/
- http://www.theguardian.com/technology/2012/jun/25/how-natwest-it-meltdown als meltdown niet echt een hack.
Het slechte nieuws zal zo goed mogelijk verwijderd worden (imagoschade) het goede zo veel mogelijk naar de voorgrond.
Het is de werking van de propaganda / media /marketing. De kunst is om door al die gevallen heen te kijken en wat aan waarheidsgehalte check te doen. Er is te veel rook. Natwest is dan wel geen hack maar 2 weken onaangekondig geheel plat liggen is net zo goed onacceptabel. ABN/Amro had ook zo'n akkefietje, maar die bleef doorlopen naar de gebruikers / klanten (saldo-s klopten langere tijd niet). Ze hebben het waarschijnlijk snel losgekoppeld en zijn gaan inhalen.