SMS-TAN is ook onveilig. Volgens Bruce Schneier: https://www.schneier.com/blog/archives/2017/05/criminals_are_n.html.
"Criminals are Now Exploiting SS7 Flaws to Hack Smartphone Two-Factor Authentication Systems".

Dan zou je dus de App van ING nog kunnen gebruiken. Mits je smartphone die ondersteunt en je smartphone nog updates krijgt van de fabrikant..

Internet bankieren is inherent onveilig. Of je nou een TAN per SMS of van een lijst hebt...
Maar ja, we moesten zo nodig want het is makkelijke he?

"maar als klanten codes gaan delen en vreemden toegang geven tot de bankieromgeving"
Moet je dat maar net weten, natuurlijk. Voor hetzelfde geld zit er iemand in real time mee te kijken naar je toetsaanslagen, oid.

Beide systemen werken volgens hetzelfde principe: klik op verzenden en vul de TAN in. Iemand die het mobieltje van de SMS-gebruikende rekeninghouder in handen heeft, heeft dan exact dezelfde mogeijkheden als de papieren lijst biedt voor de lijst-gebruikende.

Ik begrijp niet waar de consumentenbond deze onzin vandaan haalt.

Er is geen enkel verschil tussen een papieren TANcode en een SMS-Tancode op het moment dat de opdracht verstuurd wordt.
Indien op dat moment het rekeningnummer van de begunstigde nog gewijzigd zou kunnen worden, zal dat met een SMS TANcode net zo goed lukken.

Verder zou er dan een flinke bug in de systemen van de ING zitten, want hoe zou je de al door ING geregistreerde rekeningnummers nog kunnen wijzigen na het vfersturen van de code?

Ik zou wel eens wat bewijzen hiervoor willen zien, consumentenbond!

Of zijn ze in een val van de ING getrapt? Een of andere hoax met het doel iedereen van de papieren TANcode af te krijgen en te pushen naar mobiel bankieren?

Geprojecteerd op 40 jaar terug zou de huidige 'gevaarlijke' actie, volgens de bond van- en voor bezorgde consumenten, inhouden dat ik een toevallige voorbijganger op straat (mijn computer) een betaalkaart (betaalopdracht) zonder ingevuld bedrag maar mét mijn handtekening én mijn giropasje (TAN-code) zou overhandigen met de vraag: "zou u zou vriendelijk willen zijn voor mij Fl 50,00 op te gaan nemen bij het postkantoor."

De Consumentenbond prikkelt dus de lachspieren. Advies: zij moet zich onledig houden met waar zij wel goed in is: vergelijkende smaaktesten van voorgekookte bami bijvoorbeeld.

Breaking. Papier is onveilig.
Snel over naar de laatste smartphone app.
Zucht.
Zodra je dingen gaat delen is dat sowieso een risico. Dat is toch met alles zo.

En die insert van een sneaky betaalopdracht voor het invoeren van de TAN had je ook met Rabobank tele bankieren (yes, oud) op de pc, met calculator...

Heb je eigenlijk wel gelezen wat de Consumentenbond heeft geschreven voor je reageerde? Het punt is dat de TAN geen relatie heeft met het overgeboekte bedrag en als de boosdoeners (ze noemen Microsoft-oplichters als voorbeeld) toegang tot je systeem hebben verkregen kunnen ze overboekingen aanpassen zonder dat die worden geblokkeerd.

Mijn advies aan jou: lees even wat er staat en laat het tot je doordringen voor je reageert.

Bij inbraak kunnen de TAN codes worden gefotografeerd samen met login naam en wachtwoord. Dat kan in principe zonder sporen achter te laten, dus zonder dat het slachtoffer het weet. Dat werkt niet met een codegenerator, als die wordt vermist valt dat op. TAN codes zijn een cheapo beveiliging.

Aanpassen van bedragen en rekeningnummers kan ook op de computer zelf bij een besmetting, maar het verschil is klein met gegenereerde codes.

De consumentenbond heeft zich gediskwalificeerd door de belachelijke afspraak die zij destijds hebben gemaakt met banken die nadelig is voor consumenten. De wetgeving is duidelijk: de bank dient aan te tonen dat de gebruiker ernstig onvoorzichtig is geweest vooraleer ze kunnen overwegen om niet te vergoeden. De bewijslast ligt bij de bank. Als de bank die informatie niet heeft kunnen ze niets: vertel ze dus niets. Ook niet bijvoorbeeld dat een familielid de pincode weet, want dan aarzelen ze niet die zonder verder bewijs schuldig te verklaren bij een geval van skimming op een pinautomaat.

Het is logisch dat banken verantwoordelijk zijn voor de veiligheid, want zij stellen de procedures en middelen vast. De klant mag alleen ja en amen zeggen.

Laten we het maar niet te lang hebben over bankieren via een app op de mobiele telefoon, dat biedt geen privacy, is niet veilig en voor gebruikers niet controleerbaar. Het maakt niet uit hoeveel stromannen ING gebruikt om hier de publieke opinie te beinvloeden. Gebruik geen apps.

Het is een al vele jaren terugkerende discussie op security fora: hieruit komt vaak naar voren dat de papieren tancode uiterst gevoelig blijkt voor social engineering en domweg meer risico's met zich meebrengt dan twee factor authenticatie. Als je hiertegen in wilt gaan moet je wel erg goede argumenten hebben. Ik kan ze hier niet vinden.

Volgens mij is deze bewerging van de consumentenbond eerder onjuist. In het artikel van de consumentenbond staat nergens uitgelegd wat de bewering over de werkwijze is en waarom die een stuk onveiliger is.

Ing heeft dus nooit tegen klanten gezegd dat de papieren tan-codes niet gekoppeld zijn aan de inhoud van de betalingen? Zulke risico's van beveiligingsmiddelen niet aan de klanten vertellen hoort voor een consument niet uit te maken. Of wil de consumentenbond beweren dat die slachtoffers het aan de tan-codes van ing te danken hebben dat ze door de nep-medewerkers van microsoft zijn opgelicht?

Misschien valt een bank als ing te verwijten dat die papieren tan-codes andere risico's hebben dan digitale tan-codes. Maar wees dan ook zo realistisch om te zeggen dat een consument die een onbekende volledige rechten op zijn computer geeft zelf verantwoordelijk voor is voor de mogelijkheden die het die onbekende geeft. Nu is er nog de mogelijkheid om bij ing aan te vechten dat het niet alle risico's bekend waren, maar als je als consument kon weten wat het risico was dan kan valt er moeilijker de schuld af te schuiven op de bank.

De consumentenbond leeft van verhaaltjes om verwijten naar bedrijven te maken en niet kritisch te zijn over hun betalende lezers, de consumenten. Het geld stelen van persoonlijke bankrekeningen is vaak het gevolg van eerder onredelijk handelen van het slachtoffer. Consumenten die hun computer niet beveiligen, geen updates toepassen, onbekenden toegang geven tot hun computer, handelingen in opdracht van een onbekende uitvoeren, beveiligingswaarschuwingen negeren, onbetrouwbare software op hun computer installeren. Maar dat schrijft de consumentenbond er niet bij.

Het zelfde geld voor de oude trage lastige dure papieren versies. Overschrijvingen konden ook gemakkelijk vervalst worden.

Papieren TAN codes zijn van te voren al bekend, dus gemakkelijk meerdere TAN codes via social engineering te onderscheppen. Foto't van maken bij het inbreken?

Is geen bug, maar gewoon mogelijk. Als je de computer van de gebruikers met malware geïnfecteerd hebt.

Nog nooit van banking trojans gehoord? gebruikt je favoriete zoek machine eens op internet en gebruik "banking trojans" eens als zoekfunctie.

Nee het is gewoon een realistische aanval, en voorbeelden genoeg.

Hmm, laten we deze eens vanuit het inbrekers perspectief bekijken. Inbrekers hebben aan één ding een groot gebrek en dat is tijd. Dus relaxed de kasten en laden doorzoeken en dan ook nog eens foto's maken van een TAN lijst zal vanwege de tijdsdruk niet plaats vinden. Maar stel, een inbreker vindt een TAN lijst en maakt daar een foto van, maar dan? Wat kan deze inbreker dan? Hij zal nog altijd de gebruikersnaam en wachtwoord van het slachtoffer moeten hebben. Dat betekend dat de inbreker ook nog eens in de te stelen pc/laptop moet gaan zoeken of daar iets van gegevens terug te vinden zijn. En stel dat deze daar achterkomt, dan zal deze direct inloggen en geld gaan overschrijven waardoor het spel direct gespeeld is omdat het slachtoffer dat zal gaan zien. Want naar tijdsgebrek hebben inbrekers ook nog eens geen geduld. Overigens is er voor bovenstaande methode iets meer hersencellen nodig dan de gemiddelde inbreker heeft en degene met die hersencellen zal zich niet met klein grut bezig houden, die pakt het grotere werk wel.
Een kwestie van een goede risico analyse erop los laten en je ziet dat de kans dat het gebeurd bizar klein is dus waarom maatregelen nemen?

Een (illegaal geïnstalleerde) keylogger moet niet alleen al je toetsaanslagen uitlezen en en een groepje van 6 cijfers interpreteren als een tan, maar moet ook nog op het moment suprême (de korte tijd tussen de invoer van je tan en het indrukken van de verzendknop) het rekeningnummer van de begunstigde op de webpagina overschrijven met het rekeningnummer van een katvanger. En volgens de consumentenbond kan de keylogger ook nog het ingevulde bedrag aanpassen met een bedrag onder jouw maximum . Dat noem ik nog eens artificial intelligence.

Ik ben bijzonder geïnteresseerd in een bankier model dat inherent veilig is .
Kun je dat eens beschrijven ?

De consumentenbond legt het prima uit, en met een voorbeeld. Waar het om gaat is dit:
een SMS-TAN heeft een relatie met de overschrijving. Papieren TAN heeft die relatie totaal niet.

Daarom kan het onzichtbaar wijzigen (bijv. door banking malware) van bedrag of rekeningnummer bij de bank onmiddellijk worden opgemerkt en tegengehouden aan de hand van de SMSTAN-code.
Maar dit kan niet bij papieren TAN-codes, want die zijn voorbedrukt. Daarom kunnen ze geen enkele relatie hebben met bankrekeningnummer of bedrag waar je geld naar overmaakt.

Hoe erg is dit?
Want dan zijn bijv. ASNbank en SNSbank ook onveilig, want die gebruiken een digipas, waar voor zover ik weet ook een code uitrolt die geen enkele relatie heeft met over te maken bedrag of bankrekening.
ABNAMRO en RABO weet ik niet zeker.

Ik denk dat het er van moet afhangen hoe en wanneer je de papieren TAN-code vraagt. Bijvoorbeeld:
stap 1: je overschrijvingen worden naar de bank verzonden
stap 2: de ontvangen overschrijvingen worden ter bevestiging teruggestuurd voor controle en verschijnen op je scherm met vraag om TAN-code.
stap 3: de bank stuurt akkoord en stuurt nog eens welke overschrijvingen ze hebben uitgevoerd of "in de wacht" gezet.

Bij stap 2 komt fraude meestal wel aan het licht als je daar standaard even heel goed oplet, en pas je code intikken als alles klopt.
Terwijl stap 3 is nog een extra gelegenheid is om goed te zien wat je werkelijk hebt overgeschreven.

Bankingmalware kan meestal velden achteraf wijzigen die je invult (bedragen, rekeningnummers en overschrijvingsdata)
Het lijkt me veel moeilijker om bankingmalware ook de bevestingingen van de bank (stap2 en 3) te laten wijzigen.

En verder hoort een AV-bescherming bij de bankregels, en zouden sommige mensen niet niets zo snel in scams en fishing moeten trappen.

Mijn advies aan jou: leer eens beeldend lezen.

Het lijkt steeds vaker een ernstig gebrek te worden waar veel (jonge) mensen last van hebben. Waarschijnlijk is dat de reden waarom er zo vaak geklaagd wordt over het Nederlandse examen de laatste jaren. Lees eens wat meer goede proza i.p.v. de hele avond naar het scherm van de computer of het schermpje van de smartphone zitten te staren.

Terug naar het onderwerp:

Natuurlijk houdt die TAN code geen enkel verband met het bedrag. Tsjonge jonge Wie heeft daar nu écht de CB voor nodig om dat tot ons door te laten dringen? Dat ís het bal dansé waar het om draait!
Misschien hovaardig: maar als deze basiskennis al een probleem vormt bij het uitvoeren van financiële transacties, hetzij digitaal, of voor mijn part nog per enveloppe is het raadzaam beter... géén bankzaken te doen.
Heel cru: Als ik even van mijn computer wegloop en in de tussentijd komt een willekeurige gemaskerde Jan Klaas in een van de ingevoerde opdrachten een door mij ingevoerd bedrag veranderen en ik let nadien niet op gaat het fout.
Realistischer: Ik loop mee/geef gevolg aan een of andere vorm van social engineering die toegespitst is op het onderwerp.

Zwaartepunt: Wat stelt de ING in de tweede zin, eerste alinea van zo'n lijst met TAN en PAC-codes?


Misschien kan de ING wat helderder, uitvoeriger of vooral frequenter een verband leggen tussen de kwetsbaarheid van PIN en TAN en inlog credentials. Voor mij persoonlijk hoeft dat niet want de hierboven geciteerde waarschuwing snijdt m.i. al voldoende hout!

Verder verwijs ik nog graag naar de reactie van Anoniem, 13:45 uur: Die snijdt nog meer hout.

Vreemden toegang geven tot de bankieromgeving doet natuurlijk geen eerlijk mens opzettelijk, maar malware op PC's komt nou eenmaal voor. Dat geen enkel middel dan nog veilig is, is ook onjuist.

Bijv. met het kastje van Triodos moet je een aantal getallen invoeren waaronder het over te boeken bedrag (afgerond op gehele Euro's) en, vermoed ik, een afgeleide van het rekeningnummer van de ontvanger. In combinatie met jouw pincode wordt daar een soort hash over berekend die je in je webbrowser moet invoeren en die door Triodos, met de door hen berekende hash, wordt vergeleken. Alleen als die overeenkomen vindt overboeking plaats. Evt. malware in je browser kan daarna bedrag en/of rekeningnummer wijzigen, maar omdat die malware niet bij dit kastje kan en jouw pincode voor het kastje niet kent, kan die malware de hash niet aanpassen - waardoor ongewenste overboekingen niet mogelijk zijn (voor zover ik weet, en ervan uitgaande dat het kastje geen voorspelbare dingen doet onafhankelijk van de pincode).

Dit is dan nog steeds via een twee-weg controle vanuit de bank te controleren. Voorbeeld met ideal:
ideal vraagt die-en-die wil bedrag-zus-en-zo overmaken naar -iemand-
ING stuurt het nummer voor de tan.
Dit is wat ING MOET doen, voor de veiligheid van de consument:
- koppel gegeven code aan de vraag van Ideal: die-en-die wil bedrag-zus-en-zo overmaken naar -iemand-
Consument voert tan code in.
ING voert de extra controle (zoals die bij SMS-TAN bestaat) uit en voert de betaling uit.

En op dat moment is het net zo veilig als een TAN-code via SMS.

Nee hoor meester Aha, het draait om het verschil tussen TAN-codes per SMS, en TAN-codes op papier.
Lees nog maar eens goed.

Misschien begint u toch een beetje last van ouderdomsverschijnselen te krijgen meester Aha?

In vertwijfeling geef Ik het hier op,
sommigen hebben een bord voor hun ...

Onopzettelijk blind in de goedheid van anderen geloven heeft niets met eerlijkheid te maken. Het gaat om verantwoordelijkheid. Als je een dienst aan gaat heb je bij die overeenkomst rechten en plichten. De consumentenbond doet een poging om de verantwoordelijkheid naar de bank af te schuiven, terwijl de consument in eerste instantie niet aan de plicht heeft voldaan om de persoonlijke bankgegevens geheim te houden door een wildvreemde beller te geloven en ook nog toegang te geven tot de prive computer. Als die consumenten echt zo eerlijk zijn geven ze ook eerlijk toe dat ze niet genoeg verstand hebben om te snappen dat je niet iedereen moet geloven en hoe een computer werkt. Maar bij die eerlijke bekentenis zien ze waarschijnlijk hun geld helemaal niet meer terug.

Of je bekijkt gewoon de video van de consumentenbond (zie topic) aan het einde van hun bericht.
Doe je TAN met SMS, dan krijg je op je smartphone ook betaalgegevens te zien die je kan controleren.
Met papieren TAN kan dat niet.
Dat is het hele eiereten.

Cashgeld maakt onafhankelijk en zorgt ervoor dat de ING én de NL-Staat je niet onder controle krijgen. Betaal dus zoveel mogelijk cash.

Beeldend lezen? Ik weet niet wat dat is, maar het moet iets anders zijn dan begrijpend lezen zijn, want het punt dat ik maakte staat gewoon helder uitgelegd in het artikel van de Consumentenbond.

Ik ben 50+.

Als het daarom draait, waarom werkt het dan op de lachspieren als de Consumentenbond daarop wijst? Jij en ik hoeven er niet op gewezen te worden, maar er lopen hele volksstammen rond die volkomen a-technisch zijn voor wie dit soort dingen niet evident zijn.

Vind je? Die had het over fysieke inbraken:
Ik heb een keer de gevolgen van een inbraak bij een goede vriend van dichtbij gezien en het was duidelijk dat alle kasten en laden in het hele huis waren doorzocht, en wat ze interessant vonden was ook meegenomen, inclusief sommige papieren. En alles wees erop dat dat een jeugdbende is geweest die in de buurt van die vriend actief was. Tieners. Een TAN-lijst hadden ze gevonden als die er geweest was. Hij was alleen niet gefotografeerd maar meegenomen. Anoniem 13:45 heeft ook niet per se gelijk dat ze daarmee nog geen aanloggegevens kennen. Inbrekers nemen nogal eens laptops mee, en met een beetje geluk treffen ze een slachtoffer dat inloggegevens laat opslaan door de browser zonder een master-wachtwoord in te stellen. Lang niet iedereen snapt dat dat onveilig is.

De Consumentenbond heeft het over mensen die digitaal je computer weten over te nemen. Dat is een ander scenario. Het is realistisch om te denken dat iemand die je computer heeft overgenomen in een positie is om transacties te veranderen terwijl je ze doet, en TAN-codes bieden daar geen bescherming tegen. Wat de Consumentenbond schrijft snijdt hout.

Het bord voor de kop is dat een TAN of het nu van een lijst gehaald wort of per SMS verstuurd wordt in beide gevallen geen relatie met het over te maken bedrag heeft. Een TAN is ontworpen als een random nummer.
Bij de SNS digipass is er ook geen relatie met het bedrag.
De Rabo had een tijdje dat je nummers moest invoeren waarbij je soms delen uit het bedrag moest opnemen, de enige keer dat ik zeker wist dat het bedrag een rol speelde.

Het SMS bericht komt met de tekst door van bedrag en TAN. Als je de SMS kan onderscheppen dan kan je ook de tekst aanpassen, en dan? http://www.sueddeutsche.de/digital/it-sicherheit-schwachstelle-im-mobilfunknetz-kriminelle-hacker-raeumen-konten-leer-1.3486504 Het omleiden van een SMS staat open kan geblokkeerd worden

Dan hoeven ze alleen nog je usernaam en wachtwoord te achterhalen en kunnen ze je rekening plunderen. Daarna zal de ING zeggen dat hun SMS-TAN onfeilbaar is en de schuld bij de klant leggen.

Ik zie overigens niet waarom ze de tekst aan zouden passen of doorsturen. Met de TAN code erbij hebben ze genoeg factoren om oneindig overschrijvingen te genereren.

Dat klopt. Maar daarom draait het nog wel om het verschil tussen TAN-codes per SMS, en TAN-codes op papier.
Alleen op een andere manier dan 15:32 Anoniem suggereerde.

"Het omleiden van een SMS staat open kan geblokkeerd worden".
Beetje rare zinsconstructie niet? Hoe heet prins Bernhard, zo niet waarom...
Whatever: voor die aanval heeft de crimineel eerst je inlogcredentials van de bank en mobiele nummer nodig waarop je de SMS ontvangt. D.m.v. fishing probeert men dat te achterhalen. Deze waarschuwing mis ik bij je opmerking.

En het moge duidelijk zijn:
het punt van de consumentenbond is dat banking malware of "microsoft scammers" e.d. bedragen en rekeningnummers onzichtbaar kunnen wijzigen vlak voordat het naar de bank wordt gestuurd. Met een bevestigings-SMS van de bank krijg je nog eens het ware bedrag bij de TAN-code te zien. Als dit niet klopt, kan je de overboeking nog op tijd afbreken.
Maar bij papieren SMS krijg je deze controle en afbreekmogelijkheid dus niet.

De consumentenbond roept maar wat maar waar zijn de cijfers?
Hoeveel mensen gebruiken nog TAN codes en hoeveel daarvan zijn er eigenlijk opgelicht?
Als het een probleem zou zijn voor de ING dan denk ik dat de ING allang wat eraan gedaan had voordat de consumentenbond maar wat roept.

In verhouding tot data di digitaal getransporteerd wordt?

Klopt het grote gevaar zit bij dat vertrouwen in die scammed. Natuurlijk maakt hij zich niet zo bekend oplichters werken zo dat ze op basis van vertrouwen hun duistere zaakjes doen.
Laat het daarbij als advies waarschuwing.

Het aanbieden van technische oplossingen om oplichters te slim af te willen zijn werken tegengesteld.
Dat het ss7 protocol open staat voor omleiden naar andere nummers wist ik niet. Zie de mogelijkheden voor fraude.
Waar ik ook niet wist is dat elke telco dat omleiden kan blokkeren,. Dat lijkt me een veiligheidsmaatregel die onterecht nagelaten wordt.