Nieuws
image

ING: mobiel bankieren apps niet interessant voor crimineel

woensdag 10 juni 2015, 16:06 door Redactie, 16 reacties

Applicaties van banken voor mobiel bankieren zijn niet interessant voor criminelen, omdat de ontwikkeling van mobiele malware te duur is. Het zou dan ook goedkoper en efficiënter zijn om desktopgebruikers aan te vallen in plaats van mobiele klanten. Dat liet Jan Joris Vereijken, hoofd beveiliging bij ING, gisteren tijdens het CTIT-symposium op de Universiteit Twente weten.

Vereijken vertelde over het gebruik van malware door cybercriminelen om geld van klanten te stelen. Zo wordt er malware gebruikt die het rekeningoverzicht aanpast, waardoor het lijkt alsof er geld is bijgeschreven. Vervolgens wordt de klant gebeld door iemand die vertelt dat er per ongeluk geld is overgemaakt. De klant stort vervolgens het bedrag "terug", maar maakt in werkelijkheid zijn eigen geld naar de oplichter over.

Als het gaat om malware is de mobiele app volgens Vereijken zeer veilig, zo meldt UT Nieuws. "Bij de mobiele applicatie is geen authenticatie, enkel een simpele pincode van 5 cijfers en toch is er helemaal geen fraude te zien bij het gebruik van de applicatie." Volgens de ING-beveiliger is het te duur voor cybercriminelen om mobiele malware te maken, terwijl een Trojaans paard voor desktopgebruikers goedkoop is. De reden is dat een mobiele banking Trojan voor maar één bank is te gebruiken, aangezien de mobiel bankieren apps per bank verschillen. Daarnaast krijgen de apps zoveel updates, dat de mobiele malware "nooit lang meegaat", aldus de ING-beveiliger.

Reacties (16)
10-06-2015, 16:15 door Anoniem
Vijfcijferige pincode -> geen enkele fraude. Dus waarom zit er nog steeds een viercijferige pincode op mijn pas, hm?

Mischien omdat dat ene cijfertje toch net niet zo veel uitmaakt als de opmerking doet vermoeden wellicht?
10-06-2015, 17:00 door Anoniem
Kling klare onzin
10-06-2015, 17:16 door Bati - Bijgewerkt: 10-06-2015, 17:21
Door Anoniem: Kling klare onzin

Gaarne een onderbouwing van deze mening.

BTW: hoewel het mogelijk is om je kling (lemmet van een zwaard/sabel) klaar te hebben, bedoel je waarschijnlijk klinkklaar (klinkklare onzin).
10-06-2015, 17:19 door Anoniem
Door Anoniem: Vijfcijferige pincode -> geen enkele fraude. Dus waarom zit er nog steeds een viercijferige pincode op mijn pas, hm?

Mischien omdat dat ene cijfertje toch net niet zo veel uitmaakt als de opmerking doet vermoeden wellicht?

Beter leren lezen , het artikel zegt helemaal niet dat de afwezige fraude met een vijfcijferige pincode te maken heeft.

Het is niet de pincode die het 'm doet, het is een ing specifieke app die telkent geupdate wordt -> weinig rendement van het maken van malware, voor je weet is de investering van een trojan al weer waardeloos .
10-06-2015, 18:07 door Anoniem
Ik denk dat anoniem 2 reageert op anoniem 1. Er wordt niet gesteld dat een 5-cijferige code het hele verschil is. Waar het om gaat, is dat een economisch denkende cybercrimineel niet meer geld gaat uitgeven aan het maken van malware die werkt op alleen maar de mobiele app van één afzonderlijke bank, dan dit hem aan buit kan opleveren. Een trojan die een veelgebruikte browser aanvalt is voor een crimineel veel aantrekkelijker, want daarmee kan hij "alle" banken aanvallen. En hij kan vooral een willekeurige groep internetters besmetten, zonder vooraf al te moeten weten welke bank zij gebruiken, en of ze daar inderdaad bankieren via de mobiele app van die specifieke bank.
10-06-2015, 19:38 door Anoniem
Door de huidige situatie is het veiliger dan het internet aangezien de meeste mensen apps via een "betrouwbare" bron installeren bijv. Google Play, Microsoft Windows Store en Apple App Store.
10-06-2015, 20:09 door karma4
Het is juist die houding die de weg baant voor de criminelen. Ooit deze zelden uitspraak gehoord over de magneetstrip, simmen is veel te complex en duur. De zelfde ING die niet eens op de hoogte was van ddos terwijl ze onder vuur lagen. Die is opgenomen in het jaarverslag ing 2013 om te verbeteren. De zelfde ING waarbij eerder wat slordigheden maar geen openheid is vastgesteldvastgesteld https://www.security.nl/posting/35810/%22Beveiligingslek+ING+app+zwaar+overdreven%22
Laten we het maar op security by obscurity en wij van wc-eend adviseren ... houden.
10-06-2015, 20:48 door Anoniem
Wat dacht je van de Sandbox op mobiele telefoons?
10-06-2015, 23:02 door [Account Verwijderd] - Bijgewerkt: 10-06-2015, 23:02
[Verwijderd]
11-06-2015, 07:52 door Anoniem
Dergelijke uitspraken wekken natuurlijk vertrouwen bij de consument waardoor die denken dat de app 100% veilig is, waardoor het voor malware makers weer interessanter wordt om juist hiervoor malware te maken.
11-06-2015, 08:34 door Anoniem
LOL. En wat krijg ik vandaag binnen? (hoezo niet interesant? ik probeer liever niet uit wat ze willen instaleren ( of misschien probeer ik het later vandaag op mijn virtualbox android )

De link ( Klik HIER om in te loggen ) =
oonvmycejb3l.mcclellantechnology.com/ing/?

Deze site is al geraporteerd en geblokkeerd.


Geachte klant,

De abusedesk behandelt klachten over misbruik veroorzaakt door klanten van ING, Iedereen kan een klacht over misbruik indienen. Eeen medewerker van de Abusedesk beoordeelt de klacht op juistheid en volledigeheid. Bij voldoende bewijslast spreekt de Abusedesk de verantwoordelijke klant aan.

Waarom is mijn TAN-Functie geblokkeerd?

Wij hebben een meding ontvangen waaruit blijkt dat uw accunt buiten uw schuld, onrechtmatig wordt gebruikt. Om u te beschermen tegen mogelijk misbruik hebben wij uw TAN-functie tijdelijk geblokkeerd.

Wat kunt u doen om de blokkering op te heffen?

Zodra uw de instructie heeft begrepen kunt u hier klikken om in te loggen.

Zodra uw het heeft geinstalleerd op uw mobiel word dit automatische verwerkt door Abusedesk, wordt uw account uit de beveiligde omgegeving gehaald en kunt u weer volledig gebruik maken van uw TAN-Functie.

Met vriendelijke groet,

ING B.V
Afdeling Internetbeveiliging
ING Bank N.V
11-06-2015, 08:41 door Anoniem
@karma24 inderdaad ! in het kader van " ik heb niets te verbergen", "bij mij valt toch niks te halen". dus al mijn passworden zijn 1234
11-06-2015, 08:57 door Anoniem
Het is voor criminelen veel goedkoper en gemakkelijker om de SMS TAN code te onderscheppen. En daarna de bankrekening plunderen.
11-06-2015, 10:58 door PietdeVries - Bijgewerkt: 11-06-2015, 11:00
Deze man sprak ook tijdens het NCSC congres begin dit jaar. Zijn verhaal klonk erg aannemelijk en onderbouwd door goede argumenten:

- het ontwikkelplatform van de diverse bank apps zou verschillen per app. Het is dus lastig generieke malware te maken die meerdere apps tegelijk aanvalt. Een mobiele "Zeus" is dus lastig
- de mobiele apps kunnen heel snel worden geupdate en naar de clients worden gepushed. Zodra een app lek blijkt, kan een geupdate versie binnen een week naar alle clients worden geduwd. Probeer dat maar eens met PC/Mac apps.

Zijn verhaal ging in op het business model van de crimineel: het moet lucratief zijn om een bank via een zekere vector aan te vallen, want als een andere vector meer oplevert ben je een dief van je eigen portemonnee.
11-06-2015, 15:02 door Anoniem
SMS TAN code werkt ook niet voor elke bank. Rabobank heeft dat niet.

Ik snap wel dat het nog maar weinig gedaan word op mobiele telefoons.
De meeste mensen zullen toch ook nog hun geld zaken via de computer regelen en niet via hun mobiel.
En dan nog het aantal punten die hier boven word gezegd.

Maar er komt een dag dat dit veranderd.
Ze zeggen niet voor niks "Zeer veilig"

Wat je ook doet je bent nooit 100% gegarandeerd dat je veilig bent.
De beste beveiliging ben jezelf.
12-06-2015, 09:27 door Anoniem
Door Anoniem:
De meeste mensen zullen toch ook nog hun geld zaken via de computer regelen en niet via hun mobiel.
Nee hoor, niet bij de bank waar ik werk. Hier doen de particulieren inmiddels meer online betalingen via hun mobiel dan via de website.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure