Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Betalen met iDEAL via website webwinkel naar website bank ...

04-07-2017, 23:01 door Anoniem, 24 reacties
Vroeger vond ik het niks. Maar ik ben er aan gewend geraakt. Luiheid ...
Ooit was internetbankieren iets dat zich beperkte tot de website van de bank zelf.

Maar is het werkelijk veilig ? (wel 2 factor authenticatie met SMS)
Reacties (24)
05-07-2017, 09:54 door Anoniem
De bank zegt dat het veilig is. Dat weten ze want ze hebben het zelf gemaakt. Daar moet je het mee doen.

"Security by fiat" is zeg maar de kern van wat banken doen. Dit was altijd al zo, en is nu niet anders.

Wil je meer weten, zul je in de materie moeten duiken. Te beginnen met "wat is veilig?", andersgezegd, wat is het bedreigingsmodel waartegen ze verdedigen? Een van de vragen die je dan probeert te beantwoorden is "Is het systeem 'acceptabel veilig' te noemen onder dat model?" (En dus ook "wat is acceptabel veilig?") Maar vergeet ook niet "Is het model adequaat voor wat ik met het systeem wil en de dreigingen die daarbij mogelijk zijn?" -- als je dat nalaat te vragen dan kun je volhouden een prima veilig systeem te hebben wat in de praktijk links en rechts ingehaald kan worden door de realiteit.

Maargoed, zulke vragen zijn vrij specialistisch, en als je het aan je bank vraagt weet je nu al dat je niet meer gaat horen dan de gebruikelijke platitudes en verzekeringen dat het "veilig" is. Wat dat betekent? Dat de verliezen en problemen van het systeem voor de bank acceptabel zijn. Of het voor jou ook acceptabel is merk je pas als er iets misgaat en je verhaal gaat proberen te halen.

Een andere manier is om de vraagstelling te wijzigen. Vraag "vertel eens wat er zoal misgegaan is, hoe dat heeft kunnen gebeuren, en wat jullie ertegen gedaan hebben." Maargoed, dat zal de bank jou als consument nooit vertellen, want "fiatveilig".
05-07-2017, 10:56 door [Account Verwijderd] - Bijgewerkt: 05-07-2017, 10:58
[Verwijderd]
05-07-2017, 13:51 door Anoniem
Door Anoniem:
Ooit was internetbankieren iets dat zich beperkte tot de website van de bank zelf.

Bij ideal kom je nog steeds altijd op de website van de bank. Dat zeggen ze ook dat je moet controleren als je het token dat je gebruikt invoert (edentifier, raboscanner, tan-code, digipass, etc.). Als je niet op de (echte) site van je bank komt, bel dan vooral je bank eens op, dan klopt het niet.
05-07-2017, 14:27 door Anoniem
Door Neb Poorten: Tja... Ik denk dat gevallen van misbruik hiervan al snel heel breed zouden worden uitgemeten in de media, wat flinke reputatieschade van de betrokken banken tot gevolg zou hebben.
Ik denk dat dat heel erg vies tegenvalt.

Het zal dus wel veilig (genoeg) zijn.
Voor de bank, qua kostenplaatje. Het is ze er dus ook aan gelegen om slachtoffers zoveel mogelijk stil te houden. Die wellicht zelf ook geen zin hebben om hun financieele problemen aan de grote klok te hangen.

Zie ook: Voorgestelde "internetbankier"regels, waar je om de twee weken in moet loggen en als je dat niet doet, of onterechte transacties dan niet gelijk opmerkt en meldt, alle problemen je eigen schuld zijn en niet van de bank. Je moet even weten hoe ze daar denken, bij de bank.
05-07-2017, 17:36 door karma4
Door Neb Poorten:
Tja... Ik denk dat gevallen van misbruik hiervan al snel heel breed zouden worden uitgemeten in de media, wat flinke reputatieschade van de betrokken banken tot gevolg zou hebben. Het zal dus wel veilig (genoeg) zijn.

Dat moet je echt snel vergeten. Het is simpel risico management. Aantal gevallen misbruik laag genoeg om het uit een potje te vergoeden dan blijft iedereen stil.
ING had het gevoelige verplicht veranderen ook daar actief staan. Tijdsdruk geen mogelijkheid om dubbel te checken alle kenmerken van mogelijk misbruik. Toch vonden ze het geen enkel probleem. Risico voor de klant toch. Meteen de klant als dom en onkundig wegzetten helpt dat ze niet protesteren.
Gewoon foute overboekingen omdat naam nummer controle ontbreekt. Day is een inmiddels bekend risico.
05-07-2017, 18:02 door Anoniem
Door Anoniem: Vroeger vond ik het niks. Maar ik ben er aan gewend geraakt. Luiheid ...
Ooit was internetbankieren iets dat zich beperkte tot de website van de bank zelf.

Maar is het werkelijk veilig ? (wel 2 factor authenticatie met SMS)
Hoe vaak heb jij gehoord dat er gefraudeerd is vanwege gebruik van IDEAL?
IDEAL op zich is volgens mij veilig.

Wat ik mij wel afvraag is: als een keer (met toestemming) geld overgeboekt is naar een bepaalde rekening,
kunnen ze dan de volgende keer nog steeds zomaar per incasso geld van je rekening afschrijven, eventueel onder toesturing van een vervolgzending met een ongevraagd prul.
In dat geval zit je er dus wel aan vast om frauduleuze incasso's bij de bank op tijd terug te laten boeken en het bedrijf te attenderen dat je hier niet van gediend bent e.d..
(*** maar ik dacht dat banken aan deze ongein wat zouden doen. Is er op dat front al iets gebeurd??? ***)

Alleen dit heeft niets te maken met de betrouwbaarheid van IDEAL maar met de betrouwbaarheid van de rekeninghouder
waarnaar je geld overboekt.
05-07-2017, 19:36 door karma4
Door Anoniem: ....
Wat ik mij wel afvraag is: als een keer (met toestemming) geld overgeboekt is naar een bepaalde rekening,
kunnen ze dan de volgende keer nog steeds zomaar per incasso geld van je rekening afschrijven, eventueel onder toesturing van een vervolgzending met een ongevraagd prul.
In dat geval zit je er dus wel aan vast om frauduleuze incasso's bij de bank op tijd terug te laten boeken en het bedrijf te attenderen dat je hier niet van gediend bent e.d..
(*** maar ik dacht dat banken aan deze ongein wat zouden doen. Is er op dat front al iets gebeurd??? ***)

Alleen dit heeft niets te maken met de betrouwbaarheid van IDEAL maar met de betrouwbaarheid van de rekeninghouder
waarnaar je geld overboekt.
Elke persoon instantie die van de bank incasso mag doen kan zoiets uithalen. Er is door de bank geen enkele controle op correctheid. De mogelijkheid tot terugboeken wilde ds banken maar op een paar weken hebben. Dan is hun risico minimaal. Het is veel langer gesteld tot vele maanden of met onder oude redenen nog langer. Je zult er wel moeite voor moeten doen dat is jouw risico en die kosten moeite worden niet vergoed. Maar vergeet een betaling en ze komen wel met allemaal kosten.
05-07-2017, 21:58 door Anoniem
iDeal is handig maar flut met NoScript vanwege de heen en weer vliegende cross domain doorverwijzingen.
Het is altijd weer spannend of het lukt.

Ja alle scripts toestaan vooraf is een optie die geen optie is, het idee van NoScript is nou juist om je te beschermen tegen ongewenste javascripts. Dat kan je niet vooraf beoordelen als je niet weet waar je uitkomt.

In die zin is iDeal onveilig, je wordt automatisch doorverwezen en hoeft ook na betaling helemaal niet uit te komen op het punt waarvan je vertrok, ook daarom is het raadzaam die NoScript erop te houden.

Maar iDeal is bijvoorbeeld weer beter voor je privacy als je bijvoorbeeld een bank gebruikt die Adobe tracking toepast tijdens de inlogsessie. Dat doet ze niet bij transacties met iDeal. Wat dat betreft zou je met sommige banken dus juist weer alles met iDeal willen betalen omdat iDeal geen witte pagina's geeft als je Adobe tracking blokkeert.

Compliment iDeal!
Mits jullie geen klantbetalingen opslaan en net zoals ING in de toekomst voor vette vis wil gaan verkopen aan de advertentie industrie


https://en.wikipedia.org/wiki/Noscript
05-07-2017, 23:04 door Anoniem
TS: Wel, een voorbeeld.

Je begint op de website van een webwinkel, waar je wat koopt. Vervolgens word je (schijnbaar) naar de website van de bank omgeleid, voor de betaling. Is dat venstertje echt ? Draaide er op de website van de webwinkel geen script dat je even volgt, en misschien niet rechtstreeks invloed kan uitoefenen op de betaling, maar wel gegevens kan lezen ? Het echt passeren van de twee factor authenticatie lijkt mij moeilijk , maar andere zaken ?
06-07-2017, 09:01 door Anoniem
Blijkbaar heb je nog niet gehoord van PSD2. Dankzij de politiek worden banken verplicht om iedereen binnen de EU toegang te geven tot jouw rekening die zich voordoet als jou. Ze mogen NIET controleren of jij het ook echt bent, dat is al gedaan door het bedrijf die jou niet kent. 2 factor authenticatie wordt dan 0 factor...
06-07-2017, 09:18 door Anoniem
Wat is er mis met cash geld?
06-07-2017, 11:14 door Anoniem
Door Anoniem: Wat is er mis met cash geld?

Niks maar het betaalt alleen zo lastig online bij een webshop.
Opsturen in een envelop vindt de PTT niet leuk.
06-07-2017, 11:20 door Anoniem
Door Anoniem: Vroeger vond ik het niks. Maar ik ben er aan gewend geraakt. Luiheid ...
Ooit was internetbankieren iets dat zich beperkte tot de website van de bank zelf.

Ideal hoeft niet direct bij een bank gehost te worden. Je hebt heel wat 3de partij leveranciers die ideal betalingen uitvoeren. Deze zijn vaak goedkoper en bieden veel meer mogelijkheden voor de verkoper.

Maar is het werkelijk veilig ? (wel 2 factor authenticatie met SMS)
En wat is veilig vs onvelig? ING is de enige die een SMS authenticatie heeft. Maar je moet inloggen met een UserID / Wachtwoord. Is dit veilig of niet? Persoonlijk ben ik hier geen voorstander van. Aangezien je met een UserID en wachtwoord al binnen bent om alles te bekijken. Alleen voor transacties heb je nog een TAN code nodig, welke of op papier staat of over je telefoon binnen komt.
Ander alternatief is een reader, welke in verschillende uitvoeringen zijn. Waarbij ieder uitvoering ook weer voor en nadelen heeft.

Door Anoniem: Wat is er mis met cash geld?
Erg lastig online te gebruiken.
Lastiger mee te nemen naar een winkel.
En zo zijn er nog vele voor en nadelen te bedenken.....
06-07-2017, 11:53 door Anoniem
Door Anoniem: Blijkbaar heb je nog niet gehoord van PSD2. Dankzij de politiek worden banken verplicht om iedereen binnen de EU toegang te geven tot jouw rekening die zich voordoet als jou. Ze mogen NIET controleren of jij het ook echt bent, dat is al gedaan door het bedrijf die jou niet kent. 2 factor authenticatie wordt dan 0 factor...

Ik zou zeggen:bestudeer PSD2 eens opnieuw. Je slaat de plank volledig mis.

Je bent als gebruiker volledig in control. Niemand heeft toegang zonder jouw uitdrukkelijke toestemming. Gewoon 2fa.

Ik weet niet waar je deze onzin vandaan haalt, je doet aan stemmingmakerij. PSD2 schudt wel het banken landschap op, dat klopt. De meerwaarde van traditionele banken verdwijnt.
06-07-2017, 11:55 door Anoniem
Ideal is heel veilig. Voor banken wel te verstaan. Ze hebben zekerheid dat er betaald wordt.
06-07-2017, 12:13 door [Account Verwijderd]
[Verwijderd]
06-07-2017, 14:07 door Anoniem
Door Neb Poorten:
Door Anoniem: Wat is er mis met cash geld?
Milieuvervuilend zoals alle fysieke betaalmiddelen en andere fysieke media (kranten, tijdschriften, boeken van papier).
Want electronen zijn per definitie schoon en alle apparaten waar ze doorheen schieten ook.
06-07-2017, 15:56 door karma4
Door Neb Poorten:
Milieuvervuilend zoals alle fysieke betaalmiddelen en andere fysieke media (kranten, tijdschriften, boeken van papier).
Het grote mileudrama van energieslurpende datacenters en al die electronische gadgets is je niet bekend?
06-07-2017, 16:59 door [Account Verwijderd]
[Verwijderd]
06-07-2017, 19:13 door Anoniem
Door Neb Poorten:
Door karma4:
Door Neb Poorten:
Milieuvervuilend zoals alle fysieke betaalmiddelen en andere fysieke media (kranten, tijdschriften, boeken van papier).
Het grote mileudrama van energieslurpende datacenters en al die electronische gadgets is je niet bekend?

Jawel maar het aandeel van elektronische betaalmiddelen daarin is gerommel in de marge.
En het aandeel papieren betaalmiddelen in de totale papierstroom is dat niet?

Bankbiljetten (en muntjes ook) zijn juist het toonbeeld van recycling. Ze worden keer op keer opnieuw gebruikt.
06-07-2017, 22:50 door Anoniem
Door Anoniem: TS: Wel, een voorbeeld.

Je begint op de website van een webwinkel, waar je wat koopt. Vervolgens word je (schijnbaar) naar de website van de bank omgeleid, voor de betaling. Is dat venstertje echt ?


Je zit dan op https://ideal.....bank.nl/ met een geldig certificaat van die bank als het goed is. Als het fout is niet, en dat valt je dat dus meteen op. (en de bank ook wel zodra er fraude is uitgevoerd in een webshop gok ik zo).

Door Anoniem: Draaide er op de website van de webwinkel geen script dat je even volgt, en misschien niet rechtstreeks invloed kan uitoefenen op de betaling, maar wel gegevens kan lezen ?

Technisch onmogelijk. Daar zorgt je browser wel voor. Je zit op een ander domein, dan werken scripts niet meer van eerdere pagina's (anders had je wel andere problemen online gehad nu :)). Vandaar ook dat die 'ideal' pagina niet 'in' die website zit, maar echt los geladen moet worden.
06-07-2017, 22:54 door Anoniem
Door Anoniem:
Door Neb Poorten: Tja... Ik denk dat gevallen van misbruik hiervan al snel heel breed zouden worden uitgemeten in de media, wat flinke reputatieschade van de betrokken banken tot gevolg zou hebben.
Ik denk dat dat heel erg vies tegenvalt.

Het zal dus wel veilig (genoeg) zijn.

Die getallen staan toch gewoon openbaar op bijvoorbeeld https://www.nvb.nl/thema-s/veiligheid-fraude/586/fraude.html...?
07-07-2017, 09:50 door karma4 - Bijgewerkt: 07-07-2017, 09:50
Door Anoniem:
Die getallen staan toch gewoon openbaar op bijvoorbeeld https://www.nvb.nl/thema-s/veiligheid-fraude/586/fraude.html...?
Resultaten uit het verleden zijn geen garantie voor de toekomst.

Als je de winkel website vertrouwd en je vertrouwt je bank dan is ideal vermoedelijk een veilige optie. Met een creditcard koop je iets meer garantie op de financiële betrouwbaarheid. Dat zijn keuzes.
Een webwinkels website kan gehackt zijn een fake winkel of dat er iets verkocht wordt wat er niet is (oplichting). Er zijn veel meer controles op betrouwbaarheid nodig dan enkel zo'n ideal pictogrammetje.
07-07-2017, 12:48 door Anoniem
Door karma4:
Een webwinkels website kan gehackt zijn een fake winkel of dat er iets verkocht wordt wat er niet is (oplichting). Er zijn veel meer controles op betrouwbaarheid nodig dan enkel zo'n ideal pictogrammetje.

Fake winkels: ik kijk altijd eerst op https://www.thuiswinkel.org. Als het te mooi is om waar te zijn is het dat vaak ook.
Gehackte winkels: lijk me dat de winkel dan best wel aansprakelijk is?! Tijdens ideal transactie zie je welk bedrag je gaat overmaken en naar wie, dat is natuurlijk niet voor niets.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.