image

Consumentenbond: geen zorgen over internetbankieren ING

dinsdag 30 juni 2015, 12:31 door Redactie, 16 reacties

De Consumentenbond heeft geen zorgen over de veiligheid van internetbankieren bij ING. Dat laat de organisatie weten naar aanleiding van een artikel in het Parool. Een woordvoerder van de Consumentenbond stelt tegenover de krant dat vanwege het versturen van Tan-codes via sms de "scoringskans" voor cybercriminelen bij ING groter is dan bij andere banken. "Ook omdat ING de grootste bank is. Maar andere methodes zijn veiliger."

Aanleiding voor de opmerking was de Android-malware waar afgelopen week 22 ING-klanten slachtoffer van werden. De malware werd via een phishingaanval verspreid en wist bij de 22 slachtoffers in totaal zo'n 15.000 euro te stelen. Andere Nederlandse banken maken geen gebruik van sms-codes. "Voor ons is belangrijk dat er alternatieven zijn. De klant heeft de keuze. Als je de beveiliging bij ING niet vertrouwt, ga dan naar een andere bank", laat de woordvoerder verder weten.

In een reactie op het artikel stelt de Consumentenbond dat het zich geen zorgen maakt over de veiligheid van internetbankieren bij ING. "De Consumentenbond vindt dat een bank luid en duidelijk moet waarschuwen voor schadelijke praktijken als phishing en moet compenseren als consumenten buiten hun schuld gedupeerd zijn. Consumenten die willen overstappen moeten een keuze hebben voor een andere aanbieder. Omdat deze zaken in orde zijn, ziet de Consumentenbond geen reden tot actie." Ook het gebruik van sms-codes voldoet volgens de organisatie aan de huidige veiligheidseisen.

Reacties (16)
30-06-2015, 12:54 door Anoniem
'Een woordvoerder van de Consumentenbond stelt tegenover de krant dat vanwege het versturen van Tan-codes via sms de "scoringskans" voor cybercriminelen bij ING groter is dan bij andere banken.'

Bij deze specifieke vorm van aanvallen ja. Maar in het algemeen kun je stellen dat het ING systeem veiliger is dan
bijvoorbeeld dat van ABN-AMRO en RABO, omdat daar met uitsluitend pas en pincode ook internetbankieren transacties
gedaan kunnen worden. Bij ING kan dat niet.
Dus als bijvoorbeeld je pinpas gerold wordt nadat men de code heeft afgekeken bij een kassa (een heel wat waarschijnlijker
scenario) dan ben je bij ING beter af.
30-06-2015, 13:34 door jwillemse
Wat mij wel zorgen baart is dat je met de pincode van de ING app niet alleen toegang hebt tot de bankgegevens, maar ook de limiet-per-dag voor de app flink omhoog kunt zetten. (Tot EUR 5000)
Iemand die dus je telefoon heeft en je pincode weet (afgekeken?) kan dus de limiet omhoog gooien en een flink bedrag overboeken.
Het verhogen van de limiet had ik liever alleen gezien vanuit de internetbankieren pagina's en dat je dat dan moet bevestigen dmv een tancode.
30-06-2015, 14:29 door Anoniem
Door jwillemse: Wat mij wel zorgen baart is dat je met de pincode van de ING app niet alleen toegang hebt tot de bankgegevens, maar ook de limiet-per-dag voor de app flink omhoog kunt zetten. (Tot EUR 5000)
Klopt NIET!
Dat is wel zo bij ABN maar niet bij ING. Daar heb je voor die handeling niet je pincode nodig maar een TAN code.
30-06-2015, 14:49 door Anoniem

Dus als bijvoorbeeld je pinpas gerold wordt nadat men de code heeft afgekeken bij een kassa (een heel wat waarschijnlijker
scenario) dan ben je bij ING beter af.
Nee hoor, helemaal niet zo waarschijnlijk - en al helemaal niet als je de handel een beetje afschermt. Het wordt nog onwaarschijnlijker als je een aparte pas gebruikt voor internetbankieren. Daarnaast kan de ING methode gewoon op afstand, terwijl voor het afkijken van pincodes en het rollen van passen een zekere fysieke vaardigheid en nabijheid vereist is - die ook nog eens prima toegepast kunnen worden op het ING systeem. Dus, nee, het ING systeem is zeker niet veiliger.
30-06-2015, 16:24 door karma4
Ooit de woordvoerder van de consumentenbond voor financiële zaken bij naam gevonden en nagelopen. Bleek een voormalige functie als ledinggevende bij het ING betalingsverkeer gehad te hebben. Lijkt me een lastige situatie voor onpartijdige oordeelsvorming.

Belangrijkste eis voor een financiële instelling lijkt me betrouwbaarheid. Dat is waar ze gefaald hebben. ING staatssteun nodig fortis an amo failliet SNS failliet. Er blijft weinig over het moest immers groter en geprivitiseerd worden.

Voor een goede ICT zijn er richtlijnen vanuit de DNB overheid. Ook hier gaat er het nodige mis. ING is de bank waar het falen rond Ddos ( richtlijn 2005) in 2013 in hun jaarverslag staat.
30-06-2015, 16:43 door Anoniem
Door Anoniem:

Dus als bijvoorbeeld je pinpas gerold wordt nadat men de code heeft afgekeken bij een kassa (een heel wat waarschijnlijker
scenario) dan ben je bij ING beter af.
Nee hoor, helemaal niet zo waarschijnlijk - en al helemaal niet als je de handel een beetje afschermt. Het wordt nog onwaarschijnlijker als je een aparte pas gebruikt voor internetbankieren. Daarnaast kan de ING methode gewoon op afstand, terwijl voor het afkijken van pincodes en het rollen van passen een zekere fysieke vaardigheid en nabijheid vereist is - die ook nog eens prima toegepast kunnen worden op het ING systeem. Dus, nee, het ING systeem is zeker niet veiliger.

Bij ING (in ieder geval particuliere klanten) gebruik je geen pas bij het internetbankieren. Daar gaat het juist om.
Daarom klopt dat praatje niet dat je met de pas zelf de limiet op de pas kunt verhogen.
Dat is bij ABN en RABO wel het geval.
30-06-2015, 17:47 door Anoniem
Alle bovenstaande reacties samenvattend: Als de consumentenbond roept dat men zich geen zorgen over internetbankieren ING moet maken dan moet je extra bezorgd en extra alert zijn.
30-06-2015, 17:51 door Anoniem
De consumentenbond is geen deskundige en geloofwaardige partij m.b.t. phishing.

De consumentenbond heeft zogenaamd met banken afgesproken dat slachtoffers van phishing alleen iets vergoed krijgen als ze aan een aantal strenge voorwaarden hebben voldaan. Echter, dat is een afspraak zonder consequenties. Wat de banken moeten doen staat in de wet! Daar hebben de consumentbond en banken (gelukkig, zo blijkt) niets over te zeggen.

Wat hieruit blijkt is hoe oppervlakkig het kennisniveau van de consumentbond is. Het was al dom van ze om zo'n overleg te hebben en dan ook nog eens de rechten die rekeninghouders wettelijk hebben weg te willen geven. Dat is niet in het belang van de consument.
30-06-2015, 21:29 door Anoniem
Die 22 gebruikers hebben tegen beter weten in de instellingen van Android aangepast om zo Apps uit niet officiele bronnen te kunnen installeren. Als je zo'n besluit neemt moet je ook beseffen wat de gevolgen zijn. Tis een beetje als je kat drogen in de magnetron, het kan wel maar is gewoon niet slim en de redenen ervoor zijn waarschijnlijk ook dubieus (lees illegale kopieen van Apps) En toch besluit ING hun schade te vergoeden (zie eerder nieuwsbericht)

T.a.v. eBanking: bij Rabo zit bij het overboeken met de calculator inmiddels het bedrag dan wel een gedeelte van het bedrag verwerkt. Bij ABN is dit niet het geval. Bij ING zit bij de TAN SMS het bedrag en volgnummer. Die moet je controleren tegen evt Man-in-the-Browser-Attacks. Dat is in mij optiek behoorlijk veilig zeker omdat je een tweede alternatief pad gebruikt. Bij zowel Rabo als ABN is dit niet het geval. Bij ABN ben je daar dus op dit moment nog wel ontvankelijk voor omdat je simpelweg niet kan garanderen dat de validatiecode voor het juiste bedrag is.
Bij ING heb je iemands gegevens + zijn telefoon (of TAN lijst) nodig. Bij Rabo/ABN alleen pas en PIN. Bij alle drie nog wel moet je ook nog inloggegevens stelen natuurlijk.
30-06-2015, 22:19 door Anoniem
https://www.ing.nl/de-ing/de-ing-en-cookies/index.html

"Met de instelling ‘Persoonlijk’ hoeft u niet elke keer uw gegevens in te voeren, want cookies onthouden bijvoorbeeld uw gebruikersnaam als u dat invult."

Cookies kunnen al sinds het begin van het internet kinderlijk eenvoudig gejat worden.Als een wachtwoord en gebruikersnaam feitenlijk je enige bescherming zijn ben je al gauw de Sjaak.

Bankieren als particulier bij de ING in het buitenland is wellicht nog riskanter.Er hoeft maar een keylogger geinstalleerd te zijn en je bent het haasje.

De consumentenbond is eerder 'Jack of all trades and master of none' zoals zo velen.
30-06-2015, 22:21 door [Account Verwijderd] - Bijgewerkt: 30-06-2015, 22:25
[Verwijderd]
30-06-2015, 22:36 door Anoniem
Door jwillemse: Wat mij wel zorgen baart is dat je met de pincode van de ING app niet alleen toegang hebt tot de bankgegevens, maar ook de limiet-per-dag voor de app flink omhoog kunt zetten. (Tot EUR 5000)
Iemand die dus je telefoon heeft en je pincode weet (afgekeken?) kan dus de limiet omhoog gooien en een flink bedrag overboeken.
Het verhogen van de limiet had ik liever alleen gezien vanuit de internetbankieren pagina's en dat je dat dan moet bevestigen dmv een tancode.

M.a.w., geen apps gebruiken/bankieren per smartphone !

Allerlei gegevens die je op je eigen (desktop?) computer bewaart kunnen misbruikt worden. Inlogcode/wachtwoord. Niet doen dus, of afschermen.

Pincode ? Die heeft betrekking op de bankpas.

Het fenomeen van TAN codes per telefoon bij de ING is relatief veilig als je oplet. Kijken of je de betaling (bedrag) wilt doen, of de TAN code en het volgnummer kloppen. Wat wil je nog meer ? Natuurlijk kan het altijd veiliger.
Ik heb overigens geen smartphone.

Niet dat ik deze bank wil verdedigen, er mankeert een hoop aan dit bedrijf.
30-06-2015, 23:04 door Anoniem
De ING tan codes heb ik op papier, moet gerold worden . In sommige landen komt die SMS niet binnen.
Vandaar dat ik het nooit veranderd heb.
Dan nog de gebruikersnaam en het wachtwoord stelen.
Trend micro op je telefoon en computer , rustig slapen.
30-06-2015, 23:35 door johanw
Door Anoniem:T.a.v. eBanking: bij Rabo zit bij het overboeken met de calculator inmiddels het bedrag dan wel een gedeelte van het bedrag verwerkt. Bij ABN is dit niet het geval.
Ovwerigens laat de ABN AMRO calculator die gegevens wel zien als hij met een mini USB kabel aan de computer vastzit.
01-07-2015, 09:31 door Anoniem
Door pe0mot:
Door Anoniem: ..............bij Rabo zit bij het overboeken met de calculator inmiddels het bedrag dan wel een gedeelte van het bedrag verwerkt. Bij ABN is dit niet het geval. Bij ING zit bij de TAN SMS het bedrag en volgnummer. Die moet je controleren tegen evt Man-in-the-Browser-Attacks. Dat is in mij optiek behoorlijk veilig zeker omdat je een tweede alternatief pad gebruikt............
Welk pad beste anoniempje, SMS maar die is toch lek?
BTW het principe is duaal: bezit en kennis. Ik zie wel verschil tussen pas/pin en telefoon/TAN. Het eerste zit in je hoofd, het tweede (ING) kun je stelen. Ik kies nog voor Rabo, maar hoor graag de argumenten.

Hmm, ik denk dat het qua lek bijzonder meevalt. Laten we eens kijken hoe ING Internetbankieren via de pc werkt. Een gebruiker heeft een gebruikersnaam + sterk wachtwoord, check. Een gebruiker heeft een 06 nummer opgegeven of maakt gebruik van de papieren TAN lijst, check. NB. dat 06 nummer is niet geheel te zien in Mijn ING dus iemand die de inlog gegevens weet te achterhalen kan daarmee niets. Alle overboekingen of aanpassingen in Mijn ING vereisen een Tan code, via SMS zie je idd het volgnummer en de inhoud van de wijziging. Voor het aanpassen van de daglimiet geldt zelfs een wachttijd voordat is doorgevoerd. Maar voor elke wijziging is een TAN noodzakelijk. Het wijzigingen van het mobiele nummer kan tegenwoordig niet meer online maar daarvoor moet de klant naar een ING service punt waarbij deze zich dient te legitimeren en met de pinpas de wijziging moet bevestigen.
Aanvals vectoren: een crimi beschikt over de login codes, oke niet grappig maar geld overboeken is niet mogelijk zonder TAN. De crimi moet het slachtoffer kennen en de telefoon of de fysieke tan code stelen. Dat is de meest succesvolle aanval maar hoezo zijn de ander banken dan veiliger? Als ik de login gegevens van een rabo klant weet en ik steel zijn calculator is ie ook het bokje. Om een SMS te kunnen onderscheppen moet je wel iets meer kennis en apparatuur hebben en ook nog eens de juiste mast hebben. Op Youtube lijkt het allemaal eenvoudig maar in de praktijk is het onderscheppen van SMS verkeer dat zeker niet.
Alles is te kraken maar wat voor effort en kennis moet je meebrengen omdat succesvol te kunnen doen? Bij alle banken is de mens de zwakste schakel, maar zolang deze niet in phishing trapt en login gegevens veilig houdt maar ook de calculator en telefoon beschermt dan lijkt het me bijzonder lastig voor een crimi om slachtoffers te maken.
01-07-2015, 10:06 door Anoniem
@21:29 door Anoniem

Natuurlijk besluit ING te vergoeden. Dit is in het nieuws. ING had net zelf gezegd dat er geen phishingprobleem is op Android.

Er zijn zeer goede redenen om zelf apk's te installeren, zoals privacy en niet afhankelijk willen zijn van Google en de telefoonleverancier die beiden niets goeds voor hebben met de privacy van hun klanten. Grote delen van de app industrie draaien om het verkopen van gegevens (met ID's dus persoonlijk). Uiteraard moet je wel installeren vanaf een goede bron, de "ING" mail is voor de meeste gebruikers een goede bron. Je moet bedenken dat ze er al in waren getrapt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.