Britse banken zouden klanten met onveilige pc's willen weren
Britse banken zouden aan een plan werken waarbij klanten met onveilige computers geen toegang meer tot internetbankieren krijgen en zelf voor de schade van gehackte bankrekeningen moeten opdraaien. Dat meldt de Financial Times. Volgens verschillende bankiers die bij de onderhandelingen betrokken zijn bestaat het plan uit verschillende fases die in de loop van de jaren moeten worden uitgerold.
In eerste instantie zullen bankklanten worden gewaarschuwd als de bank detecteert dat ze een verouderde browser of "ineffectieve anti-virussoftware" gebruiken. In de tweede fase krijgen klanten alleen toegang tot de meest basale online bankdiensten. De derde fase, waarbij ook internetproviders betrokken zouden zijn, krijgt een klant helemaal geen toegang meer tot de online bankomgeving. Als laatste kunnen banken in het geval een klant zijn digitale beveiliging niet op orde heeft besluiten om schade door fraude helemaal niet meer te vergoeden.
"Het lijkt redelijk dat klanten basale maatregelen moeten nemen om misdaad te voorkomen en dat banken alleen de klanten moeten vergoeden die dit hebben gedaan", zegt Adrian Leppard, voormalig hoofd van de City of London police en tegenwoordig directeur bij beveiligingsbedrijf Templar Executive. "Het helpt ook bij de noodzakelijke cultuuromslag die vereist dat de maatschappij dergelijke stappen neemt. Op dit moment is er weinig motivatie om te veranderen aangezien de banken toch alles vergoeden." Belangenorganisaties zijn echter tegen het plan, omdat vooral ouderen, kwetsbaren en laagopgeleiden de dupe zullen worden.
Reacties (26)
26-05-2016, 11:47 door
[Account Verwijderd]
[Verwijderd]
26-05-2016, 11:53 door
Korund
"ineffectieve anti-virussoftware": hoe willen ze dat gaan detecteren?
Door een virus op mijn systeem te installeren?
Door een virus op mijn systeem te installeren?
26-05-2016, 12:05 door
[Account Verwijderd]
[Verwijderd]
26-05-2016, 12:11 door
ph-cofi
Interessant, dit zou zover moeten gaan dat de betreffende bankklant PC info teruggeeft als Browserversie, browsersettings, browserplugin(s)versie(s), OS security update status, virusscanner versie en status, wat nog meer? Als een PC dit soort info kan ophoesten, is dat *juist* een beveiligingsrisico of zie ik iets over het hoofd? Ah, nee, de ISP gaat dit op verzoek bank aanleveren, gebaseerd op uitgevoerde updates en downloads.
De implementatie hiervan kent vast een hoop haken en ogen. Zou je met een XP pc een response geven dat je Edge gebruikt, 5 virusscanners aan hebt staan en alle KB's hebt gedraaid?
De implementatie hiervan kent vast een hoop haken en ogen. Zou je met een XP pc een response geven dat je Edge gebruikt, 5 virusscanners aan hebt staan en alle KB's hebt gedraaid?
26-05-2016, 12:35 door
cjkos
Britse banken, Nederlandse banken, ze willen het al sinds 2000, toch lukt het ze niet om het voor elkaar te krijgen.
" verschillende bankiers die bij de onderhandelingen betrokken zijn"
Misschien moeten ze een paar techneuten betrekken...
Misschien moeten ze een paar techneuten betrekken...
Nog een reden om tegen het plan te zijn: voor een aantal gegevens moeten ze een script op de pc draaien. De browser vertelt zelf wie hij is, maar niet al die andere gegevens.
"Britse banken zouden klanten met onveilige pc's willen weren" ... Wellicht wordt het eens tijd dat "Consumenten banken zouden willen weren met onveilige netwerken ?"
26-05-2016, 14:30 door
Ron625
Hier in Nederland geven de banken alleen aan, dat je een recent systeem moet gebruiken, met bijgewerkte software.
Nergens staat (nog) in de regels iets over antivirus software.
[Sarcasme]
Maar wat is recent en wat is bijgewerkt?
Mijn Windows 98SE is bijgewerkt met alle updates :-)
Daarbij is het grafisch en met een muis te bedienen, dan is het toch redelijk recent?
[/Sarcasme]
Nergens staat (nog) in de regels iets over antivirus software.
[Sarcasme]
Maar wat is recent en wat is bijgewerkt?
Mijn Windows 98SE is bijgewerkt met alle updates :-)
Daarbij is het grafisch en met een muis te bedienen, dan is het toch redelijk recent?
[/Sarcasme]
En als ze mijn versie van antivirus ineffectief vinden, maar ik daar anders over denk, omdat ik er én voor betaal én niets merk van virussen/malware op mijn PC? Gaan ze me dan voor hun kosten voorzien van een licentie van een wél effectieve antivirus? Want ik zie niet in, waarom ik voor iets anders moet opdraaien, wanneer mijn oplossing blijkt te voldoen.
26-05-2016, 15:09 door
devias
Gaan ze bij banken en ISPs dan ook eindelijk eens aan veilige email doen? DMARC wordt alleen bij XS4all gecontroleerd. En nog lang niet alle financiele instellingen hebben het ingesteld (met een effectief beleid).
Op zich niet een alleen maar slechte ontwikkeling, bewustwording is bij "gewone" mensen immers nog steeds een probleem.
Gedeeltelijk doen nederlandse banken ook al zoiets. Als bekend is dat er een banking trojan actief is op de aansluiting wordt krijg je ook netjes te horen dat je eerst de PC moet opschonen.
Gedeeltelijk doen nederlandse banken ook al zoiets. Als bekend is dat er een banking trojan actief is op de aansluiting wordt krijg je ook netjes te horen dat je eerst de PC moet opschonen.
Vind het schromelijk overdreven.
Laat banken eerst hun banking website maar eens "javascript-vrij" maken (of in elk geval de optie bieden dat het zonder javascript ook nog werkt) omdat het gebruik van javascript namelijk (ook) veel aanvallen faciliteert.
En laat ze alle onnodig aanwezige reclame en tracking flauwekul ook meteen van hun banking website afmieteren.
Onjuist. Eerder dit:
"Het lijkt me redelijk dat banken die dagelijks zoveel geld verdienen doordat klanten zelf hun overboekingen verzorgen,
dat die paar mensen die er een keer de mist mee ingaan hun schade van de bank vergoed krijgen, en dat bepaalde banken nu niet onder het aluhoedje van "veel veiliger voor u" de kans krijgen om nóg meer te gaan spioneren op de computers van hun klanten."
Laat banken eerst hun banking website maar eens "javascript-vrij" maken (of in elk geval de optie bieden dat het zonder javascript ook nog werkt) omdat het gebruik van javascript namelijk (ook) veel aanvallen faciliteert.
En laat ze alle onnodig aanwezige reclame en tracking flauwekul ook meteen van hun banking website afmieteren.
"Het lijkt redelijk dat klanten basale maatregelen moeten nemen om misdaad te voorkomen en dat banken alleen de klanten moeten vergoeden die dit hebben gedaan", zegt Adrian Leppard, voormalig hoofd van de City of London police en tegenwoordig directeur bij beveiligingsbedrijf Templar Executive.
Onjuist. Eerder dit:
"Het lijkt me redelijk dat banken die dagelijks zoveel geld verdienen doordat klanten zelf hun overboekingen verzorgen,
dat die paar mensen die er een keer de mist mee ingaan hun schade van de bank vergoed krijgen, en dat bepaalde banken nu niet onder het aluhoedje van "veel veiliger voor u" de kans krijgen om nóg meer te gaan spioneren op de computers van hun klanten."
Overduidelijk kan dit meer false-positives opleveren dan daadwerkelijk oplossing bieden... Waarom uberhaupt bankiers betrekken op het moment dat je het over security wilt hebben? Houd het alsjeblieft bij de IT'ers om plannen in de eerste fasen op te werpen, dan hoeft later niet iemand met kennis te vertellen dat andere mensen bergen tijd hebben verspillen voor iets wat inherent onmogelijk is (zoals hier) zonder grotere/verstrekkendere nadelen/gevolgen
Om maar een voorbeeld aan te geven:
De bank wil schuld afschuiven met behulp van statistieken die niet 100% zeker (kunnen) zijn?
Om maar een voorbeeld aan te geven:
De bank wil schuld afschuiven met behulp van statistieken die niet 100% zeker (kunnen) zijn?
En mensen met NoScript of ScriptSafe kunnen dan ook meteen niet meer internet-bankieren.
Lijkt de belastingdienst wel: leuker kunnen we het niet maken, maar wel lastiger...
Lijkt de belastingdienst wel: leuker kunnen we het niet maken, maar wel lastiger...
Controle door de banken is heel simpel of je aan hun voorwaarden voldoet doordat de bank je verplicht om een controle programma te installeren welke de benodigde info doorstuurt naar de bank.
Keuze is makkelijk, doei.
Keuze is makkelijk, doei.
26-05-2016, 20:43 door
karma4
Door Anoniem: Keuze is makkelijk, doei.
Met een NVB (Nederlandse Vereniging va Banken) en een systeemafhankelijkheid is de je keuzevrijheid zeer beperkt.Als dan ook nog een consumentenbond er meer instemt gedragen door de argumentatie van een aldaar werkzame person(en) afkomstig uit de bankwereld dan wordt de weerstand tegen die banken zwak. Welke uitwijkmogelijkheden blijven er?
Tsja, op zich is er iets voor te zeggen dat mensen verantwoordelijk zijn voor de vei9ligheid van hun eigen systeem.
Maar omdat de overgrote meerderheid van het publiek daartoe niet in staat is, ben ik bang dat er een soort
"vendor-lockin" gaat plaatsvinden.
Een soort "certificaat van veiligheid". Ofwel: je systeem is "veilig" wanneer het OS Windows of Mac is (voor mobieltjes de allerlaatste Android of Iphone) en een virusscanner van een van de grote namen. Kan worden gepresenteerd als "vooruitgang" en "verbetering" en zal ongetwijfeld door Apple, Google (die beiden hun eigen betaalsystemen snel zullen laten voldoen) en bedrijven als "Sophos, Kaspersy enz worden gesteund. Mischien zelfs ook wel door de ISP's. Bij een probleem met mijn internet heb ik nu vaak al moeite om de klantenservice ervan te overtuigen dat er bij hen iets mis is omdat ze hun op Apple of windows gebaseerde "script" moeten volgen.
De mensen die dan met een "hardened" Linux of BSD willen bankieren vallen dan buiten de boot (<1% van de markt).
Daarnaast worden vooral mensen getroffen die niet genoeg geld hebben om steeds HARDWARE want zowel bij Iphone als Android kun je alleen bijblijven met de software wanneer je steeds nieuwe apparaten aanschaft.
Maar omdat de overgrote meerderheid van het publiek daartoe niet in staat is, ben ik bang dat er een soort
"vendor-lockin" gaat plaatsvinden.
Een soort "certificaat van veiligheid". Ofwel: je systeem is "veilig" wanneer het OS Windows of Mac is (voor mobieltjes de allerlaatste Android of Iphone) en een virusscanner van een van de grote namen. Kan worden gepresenteerd als "vooruitgang" en "verbetering" en zal ongetwijfeld door Apple, Google (die beiden hun eigen betaalsystemen snel zullen laten voldoen) en bedrijven als "Sophos, Kaspersy enz worden gesteund. Mischien zelfs ook wel door de ISP's. Bij een probleem met mijn internet heb ik nu vaak al moeite om de klantenservice ervan te overtuigen dat er bij hen iets mis is omdat ze hun op Apple of windows gebaseerde "script" moeten volgen.
De mensen die dan met een "hardened" Linux of BSD willen bankieren vallen dan buiten de boot (<1% van de markt).
Daarnaast worden vooral mensen getroffen die niet genoeg geld hebben om steeds HARDWARE want zowel bij Iphone als Android kun je alleen bijblijven met de software wanneer je steeds nieuwe apparaten aanschaft.
Wat is de 'juiste' definitie van een onveilige PC voor hen?
Of is het weer maar eens een manier om: Wij willen alles van u weten?
[sarcasme]Oh! u blokkeerde uw cookies, dat mag niet!!![/sarcasme]
Als de banken dat allemaal moeten gaan controleren/in het oog houden dan is dat al bijna een vorm van cracking/hacking.
Stel ik mij de vraag wat die mensen gaan doen, die bepaalde systemen gebruiken, waar ze 'geen' toegang meer met kunnen krijgen tot het bankprogramma omdat de bankinstelling het als 'onveilig' catalogeerde?
In de meeste gevallen doet u tegenwoordig, met uw bankprogramma, het werk van een bankbediende thuis. (gratis)
Dat is dan weer best eigenaardig want als ik van thuis uit met mijn 'onveilige systeem' de bank niet meer kan bereiken moet ik er wel naartoe kunnen lopen om mijn verrichtingen aldaar te kunnen doen en daar staan de meeste banken tegenwoordig niet echt meer op ingesteld want u doet alles.
Of is het weer maar eens een manier om: Wij willen alles van u weten?
[sarcasme]Oh! u blokkeerde uw cookies, dat mag niet!!![/sarcasme]
Als de banken dat allemaal moeten gaan controleren/in het oog houden dan is dat al bijna een vorm van cracking/hacking.
Stel ik mij de vraag wat die mensen gaan doen, die bepaalde systemen gebruiken, waar ze 'geen' toegang meer met kunnen krijgen tot het bankprogramma omdat de bankinstelling het als 'onveilig' catalogeerde?
In de meeste gevallen doet u tegenwoordig, met uw bankprogramma, het werk van een bankbediende thuis. (gratis)
Dat is dan weer best eigenaardig want als ik van thuis uit met mijn 'onveilige systeem' de bank niet meer kan bereiken moet ik er wel naartoe kunnen lopen om mijn verrichtingen aldaar te kunnen doen en daar staan de meeste banken tegenwoordig niet echt meer op ingesteld want u doet alles.
Advies geven mag, afdwingen niet. Als de bank dat dan perse wil, dan sturen ze mij maar een pc toe waar ik alleen maar op kan bankieren. #boeven
Advies geven mag, afdwingen niet. Als de bank dat dan perse wil, dan sturen ze mij maar een pc toe waar ik alleen maar op kan bankieren
Ze mogen niet alleen dit soort maatregelen nemen. Ze moeten dit ook doen, willen ze hun verantwoordelijkheid nemen. Overigens niets mee mis; ik kan ook niet verbinding met het corporate VPN van mijn werk, indien ik geen AV heb draaien, updates niet installeer, en dergelijke. Jij hebt liever dat ze geen verantwoordelijkheid nemen, en accepteren dat daardoor meer klanten gedupeerd worden door cybercriminaliteit ?
27-05-2016, 08:27 door
PietdeVries
Door Anoniem: Advies geven mag, afdwingen niet. Als de bank dat dan perse wil, dan sturen ze mij maar een pc toe waar ik alleen maar op kan bankieren. #boeven
Afdwingen wellicht niet, maar het staat elke bank vrij om verder geen zaken meer met jou te willen doen zolang je niet aan hun voorwaarden wilt voldoen. En dan kan je denken dat je je dikke vinger opsteekt en naar een andere bank gaat, maar zoals Karma4 al zegt: die keuze is zeer beperkt omdat alle banken deze eisen gaan stellen.
Dus ja, wellicht "#boeven", maar evengoed "#Ukuntgeenkantop" en "#Hiermetjegeld"...
Door Anoniem:Gedeeltelijk doen nederlandse banken ook al zoiets. Als bekend is dat er een banking trojan actief is op de aansluiting wordt krijg je ook netjes te horen dat je eerst de PC moet opschonen.
Noem eens een naam. Bij ABN Amro, ING, Rabobank en SNS wordt dit niet gedaan.Komt nog bij dat er in Nederland momenteel nauwelijks banking trojans actief zijn.
Door PietdeVries:
Afdwingen wellicht niet, maar het staat elke bank vrij om verder geen zaken meer met jou te willen doen zolang je niet aan hun voorwaarden wilt voldoen. En dan kan je denken dat je je dikke vinger opsteekt en naar een andere bank gaat, maar zoals Karma4 al zegt: die keuze is zeer beperkt omdat alle banken deze eisen gaan stellen.
Dus ja, wellicht "#boeven", maar evengoed "#Ukuntgeenkantop" en "#Hiermetjegeld"...
Door Anoniem: Advies geven mag, afdwingen niet. Als de bank dat dan perse wil, dan sturen ze mij maar een pc toe waar ik alleen maar op kan bankieren. #boeven
Afdwingen wellicht niet, maar het staat elke bank vrij om verder geen zaken meer met jou te willen doen zolang je niet aan hun voorwaarden wilt voldoen. En dan kan je denken dat je je dikke vinger opsteekt en naar een andere bank gaat, maar zoals Karma4 al zegt: die keuze is zeer beperkt omdat alle banken deze eisen gaan stellen.
Dus ja, wellicht "#boeven", maar evengoed "#Ukuntgeenkantop" en "#Hiermetjegeld"...
We kunnen een kant op, maar die is wel zeer drastisch (overschakelen naar digitale valuta.)
Go BTC ;)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
