Gaat dat zogemakelijk, maar ja dat gemak willen wij blijkbaar "allemaal", tenminste als je die banken moet geloven.
En dat veiligheid boven gemak komt te staan zal niet gebeuren, dus geen medelijden met de slachtoffers.

Hoewel de initiele koppeling tussen twee apparaten lastig blijft, lijkt mij dat het in dit geval volledig te vermijden valt. Inloggen met WebAuthn (de open webstandaard) vereist namelijk dat je middels NFC, USB of Bluetooth verbinding maakt met je authenticator. Niks met QR codes die mensen aan de andere kant van het land kunnen genereren dus, altijd iemand die naast je staat.

Als ik slachtoffer zou worden van een dergelijke aanval zou ik de bank aanklagen voor het weggeven van mijn prive gegevens aan een derde partij. Mogen zij eens aantonen dat dit soort QR codes nog acceptabele beveiligingsmaatregelen zijn, wetende dat er open standaarden zijn waarbij dit niet mogelijk is.

Toch lekker veilig, die bankieren-apps op de smart-phone.
En als het aan de banken (en vooral de ING) ligt moeten we allemaal voor bankieren aan zo'n rotding.

Ik vind het toch al bespottelijk dat alles tegenwoordig via apps gaat.
Laatst was ik in een dhz bedrijf: de enige manier iom de geldende kortingsactie te gebruiken was via een app.
Nou doei, dan maar niet, ik heb nog steeds alleen een dom mobieltje.

En als ik dat zo lees is het maar beter zo.

Kan iemand mij uitleggen hoe een crimineel precies toegang tot de rekening krijgt?
Als ze het scan systeem van de app gebruiken moet je toch je pincode intoetsen? dat doe je toch niet als je juist geld van iemand krijgt?

Kijk eens op https://opgelicht.avrotros.nl/hulp/vraag-antwoord/artikel/fraude-met-qr-codes-wat-is-het-en-wat-kun-je-ertegen-doen/

Daar wordt het uitgelegd.

Dat klopt niet, na het scannen moet je nog akkoord gaan (bovenin staat dat het gaat om het toevoegen van een extra toestel en daarna moet je je pin-code geven te bevestiging. Dus het zit wat complexer in elkaar dan hier wordt voorgesteld.

Volgens mij staat dat zo ongeveer in de bovenste link.

Waarschijnlijk hangt daar het verhaal '1 cent betaling' aan - zogenaamd om jouw rekening nummer door te geven.

Die mensen zijn zo dom om ook de pincode in te tikken, zonder te lezen waarvoor ze dat doen.

Bij de parkeerfraude staat de dader bij een parkeerautomaat waar je alleen via pin kunt betalen. De dader zegt dat zijn rekening rood staat en of jij hem een x bedrag kunt overmaken. Hij betaalt het bedrag dan contant aan jou.
Om jou te "helpen" het goede rekeningnummer in te tikken, laat hij je die QR code scannen. Daarna is het social engineering om te voorkomen dat je ook echt gaat lezen wat er op het scherm staat.

De mensen gebruiken het nonchalant, DUS krijgt de app de schuld. Helaas tegenwoordig normaal, geen eigen verantwoordelijkheid accepteren.

Kortom, zo 1-2-3 gaat het ook weer niet. Wie is zo dom een telefoon van een vreemde toe te voegen aan je betaal profiel.

Als je daar intrapt ben je wel aardig naïef...

Mitnick, social engineering dus, de meest succesvolle methode ever.
Je staat erbij en kijkt ernaar, net als met balletje balletje en je bent de klos.

Nog altijd actueel: https://brandongaille.com/40-mind-blowing-kevin-mitnick-quotes/
bron: Quotes - Brandon Gaille

J.O.

Heropen de loketten in een bank gebouw waar de burgers
in een beschermde omgeving geld kunnen opnemen en of storten,
zonder bang te hoeven zijn dat er over hun schouder word meegekeken
bij de vaak onveilige atm's op straat.

Bankpersoneel weer keurig achter de loketten,
papiertje met pen handtekening en klaar,wat een heerlijke tijd.

Ook geen smartphone ellende,apps een onveilige privacyschending en lekke devices en noem het maar op.

Klaas

Of het dom is? Achteraf ja, maar op het moment dat het gebeurt, ga je uit van goed vertrouwen. Bovendien is het nieuw voor heel veel mensen, terwijl de oplichter van de hoed en de rand weet.

Een aantal dingen zijn heel gemakkelijk. De QR code is een mooi systeem. Ik heb er enkele keren gebruik van gemaakt als ik via Ideal moest betalen. Het is enorm gemakkelijk en de ontvanger kan de betaling onmiddellijk verwerken in het systeem. De bankieren app, QR code, etc. zijn duidelijke verbeteringen. Het is jammer dat oplichters er relatief gemakkelijk misbruik van kunnen maken. De banken zijn wel zo slim om de schuld bij de klant te leggen. Je moet controleren voordat je een code intoetst. De controle mogelijkheid is nu prominenter geworden, zowel in de app als via de scanner. Het is even wennen. Als de opdrachten klaar voor verzenden waren, toetste je de tan code in zonder te controleren. Het aankweken van de nieuwe gewoonte om de betaling opnieuw te controleren, kost enige tijd.

Ja makkelijk voor straatrovers, iedereen die de bank uitkomt heeft potentieel een aardig bedrag op zak.

Ik ben wel benieuwd via welk besturingssysteem je dit berichtje hebt geplaatst...

Ik vind:

De qr-code alleen gebruiken om te bevestigen van de huidige betaling. Geen qr-code rechten toekennen om betalingen te doen. Het kan toch niet zo zijn dat met het scannen de scammer mijn rekening kan beheren of betalingen kan maken..
De app moet alleen ING codes scannen toestaan en alleen voor de betaling die huidig is.
Waarom via de qr de API volledig toegang verleend (of hoe dat ook werkt)
Ing moet gewoon qr weigeren als dit niet van eigen server komt..
Maar ja gemak dient de mens en je dient als mens je gemak wel te waarborgen. Je moet wel weten wat je doet.. Er zijn nog steeds mensen die pincodes op de pas schrijven.. dan houd het toch echt op!

Niet iedereen is een IT specialist (met al dan niet) jaren kennis en ervaring.
Enig inlevingsgevoel met de "gewone" mensen die dit soort apparaten gebruiken zonder de techniek erachter te snappen is ook wel op zijn plaatst.
De bank maakt en promoot QR-codes (die veirkantjes met zwart-witte klokjes erin), nou dan zal het wel goed zijn.
ING heeft e.e.a. makkelijker gemaakt, en daarbij veiligheid achtergesteld.
Maar schuift nu wel de schuld op de slachtoffers, omdat ze niet goed gelezen zouden hebben / dan wel makkelijk afgeleid zouden zijn door de daders.
Dat het zo makkelijk is om de app op een tweede toestel de koppelen aan iemands bankrekening, is gewoon een (bewuste?) ontwerpfout van de bank. Wel makkelijk, maar niet veilig.
Hier had op zijn minst!!! een aparte autheticatie in de MijnING pagina moeten plaatsvinden met een andere authenicatiecode/middel dan dat van de app zelf.



Dus is het niet echt een verbetering qua beveiliging.

De app kent maar 1 beveiligingsmaatregel: de 5 ciferige pincode of als alternatief de vingerafdruk.
Als je alleen al kijkt hoeveel vingerafdrukken je op je toestel achterlaat, is dat laatste dus geen beveiliging.
Vwb de 5 cijferige code. Dit is de code waarmee je zowel de app opent, als betalingen goedkeurt en andere activiteiten (zoals een tweede toestel koppelen) bevestigd.
Voorheen was dit een 6 cijferige random tancode die maar 1 keer gebruikt kon worden. (of van een papieren lijst of via sms). Nu dus een 5 cijferige code die nooit verandert.
Ja, dit is makkelijker (ING zegt dit zelf, want hun argiment is dat een deel van de klanten een 6 cijefrige code niet kan onthouden) maar niet veiliger.

De app is zowel goedkeurder van betalingen als initial=tor van betalingen. Je hoeft niets meer te doen in MijnING als je niet wilt. Daarmee is de scheiding tussen opdrcaht en goedkeuring (MijnING en tan-code) verdwenen. \
Lukt het je in de app te komen, of deze op een ander toestel geactiveerd te krijgen 9met zijn eigen 5 cijferige pincode), dan ligt de hele bankrekening aan je voeten.
De betaallimiet van de app zelf, wordt ook ingesteld (ja, je raad het al) in de app zelf. Met alleen deze zelfde ene beveiliging.

Dus allemaal heeeeeel erg veilig. NOT!

ING was er laatst in de krant (NRC geloof ik) nog trots op dat het geen bankiers meer had maar voornamelijk IT-ers.
Maar dit jonge grut heeft van goed beveiligen nog maar weinig kaas gegeten, lijkt het.

Linux, iOS, pen en papier, fax. Oid.

Tot hier ga je goed, maar dan:
...Waarom? Waarom?? Leedvermaak? Ben je zo ongelukkig dat je anderen ook maar ellende toewenst?
Ga in therapie man!

Plan9 natuurlijk.

Niet helemaal dus. Ik begrijp dat de crimineel in dit geval met de QR-code direct kan inloggen in jouw bankomgeving. Máár....dan gaat hij vanuit daar een betaling doen en dan moet ik alsnog de betaling met mijn tel of met een reader bevestigen. Een nieuw telefoonnummer toevoegen aan de bankomgeving kan niet zonder te legitimeren bij de bank, dus dat kan men niet zomaar overzetten. Ik snap dus nog steeds niet hoe die laatste stap werkt, waarbij men geld wegsluist van de rekening van het slachtoffer.

Daar ga jij dan weer een beetje te kort door de bocht. Die 'app' is gemaakt op 'gemak' en wordt zo gepusht. Je kan aan een QR-code als mens niet 1-2-3 zien wat het doet en daar wordt dan via een babbeltruuk handig misbruik van gemaakt. Dus 'digitally transformed' aloude oplichting. Wil je van alle oplichting ook beweren dat samen te vatten is als 'geen eigen verantwoordelijkheid accepteren'?

Zijn enige correcte antwoord kan zijn os is: "neo-human" na een rode pil.

Zelf bankier ik al ruim 30 jaar bij ING en zijn voorgangers en ben begonnen met girotel. In de app kun je opdrachten aanmaken, daar heb je MijnING niet altijd voor nodig. Als je de opdracht hebt aangemaakt en je je goedkeuring hebt gegeven, moet je je goedkeuring nog weer geven. Je moet de te verwerken opdracht controleren en pas dan je pincode in toetsen. Dat laatste is nieuw en dat is even wennen. In MijnING had je deze mogelijkheid niet. De scanner werkt via hetzelfde systeem: je toetst je pincode in en de opdracht verschijnt op de scanner. Als je de code intoetst, heb je de opdracht gecontroleerd en is ING gevrijwaard van misbruik, zal het idee erachter zijn.

Er komen steeds meer regels en de banken en andere instellingen hebben daaraan te voldoen. Voor mijn ziektekostenverzekering log ik in m.b.v. digid. Daar is nu een SMS code bijgekomen. Als je inlogt, weet de maatschappij zeker dat jij het bent. Maar de maatschappijen omzeilen die extra beveiligingsmaatregel. Zo kreeg ik ruim 2 weken geleden een mailtje waarin stond dat ik mijn eigen risico moest voldoen. In dat mailtje stond een link naar Ideal. Toen ik erop drukte, kwam bij het inloggen de QR code. Die heb ik gescand en na controle de pincode ingetoest. Het wordt je supergemakkelijk gemaakt door de eigen veiligheidsregels te omzeilen. Je kunt er natuurlijk op wachten: zodra oplichters dit door hebben, krijg je fishingmails met fake QR codes.

Je hebt het niet helemaal goed begrepen.

De crimineel voegt de ING app *op zijn eigen telefoon/tablet* toe aan _jouw_ bankrekening als 'beheer app' .
Op moment dat een app goed gekoppeld is aan een rekening kan de gebruiker van die app gewoon alles betalen en bevestigen.
Het is dus niet 'alleen maar inloggen' waarna de rekeninghouder nog steeds bevestigen.

Het is dus cruciaal dat "gebruiker van de app" en "eigenaar van de rekening" hetzelfde zijn.

Er is geen sprake van het toevoegen van een nieuw telefoonnummer, want je gebruikt geen SMS/TAN.

Dat toevoegen van een tweede app aan de rekening wordt gestart met die QR scan , en een 'reden' waarom de echte eigenaar z'n bevestiging in zijn (eerste) app moet geven - en genoeg mensen geven die bevesting, maar hebben niet door dat ze bevestigen dat een tweede app aan de rekening gekoppeld wordt.

De feature dat je een paar apps aan je rekening kunt koppelen is niet vreemd - meerdere telefoons, telefoon + tablet, een en/of rekening waarbij natuurlijk beide eigenaren kunnen betalen etc etc.

Hoe je bij leekvermaak komt zal ik wel nooit begrijpen, waar mij het om gaat is dat alles heel eenvoudig moet
en met beveiliging is zowat niemand mee bezig, dan vraag je er zelf ook om.
Dit interseert mij allemaal niet maar het gevolg is dat ik hier ook aan mee moet doen als ik wil of niet, het
is een kwestie van tijd.

Bedankt voor je "neem ik aan" goede bedoeling, maar denk niet dat dit nodig is.
Het kan natuurlijk ook weer zo'n opmerking zijn die we hier de laatste tijd meer zien.

Ik heb geen idee hoe het bij de ING werkt, maar bij de ABN hoef je de betaling alleen met een reader te bevestigen als de rekening waar het naar toe gaat niet in het adresbook staat. De daders laten je echter eerst een klein bedrag overboeken. Dan wordt het plots een vertrouwde rekening om later nog meer geld naar over te maken. Het kan zelfs zijn dat ze je hun rekening in het adresboek laten zetten.

Met de gekoppelde telefoon is vervolgens geen code meer nodig om geld naar die 'vertrouwde' rekening weg te sluizen.

Waarom zo moeilijk.
Als je eenmaal als crimineel de app op je eigen (burner) telefoon hebt geïnstalleerd, en een ING klant zover hebt gekregen dat hij die app aan zijn ING-rekening heeft gekoppeld, dan is de rest een fluitje van een cent.
1. De app (op de telefoon van de crimineel) een een eigen 5 cijferige pin code (die de crimineel zelf ingesteld heeft)
2. De crimineel maakt vanuit zijn app zelf betaalopdrachten aan (met een max van bv 2000 euro) naar een willekeurige rekening (hoeft niet in het adresboek te staan) en keurt die opdrachten/activiteiten allemaal direct via zijn eigen app (met zijn eigen pincode) goed. Omdat dit 1 vloeiende handeling is, merkt de eigenaar van de ING-rekening op diens eigen app daar niets of nauwelijks iets van. (Puur toeval als die persoon net in zijn ING-app kijkt)

De crimineel kan zo snel een rekening leeg plunderen. Het geld bv naar een rekening van een "ezel" sturen en dan of verder doorsluizen of contant opnemen. En weg is je geld.
De bank verbergt zich er vervolgen achter dat je:
1. zelf toestemming hebt gegeven voor de app op dat tweede toestel.
2. de overboekingen legaal gebeurd zijn, binnen een goedgekeurde app.
3. het geen automatische incasso's zijn, en dus niet terug gedraaid kunnen worden.

Met andere woorden: de crimineel is beschermd, en de bank is beschermd. Die draaien beide niet op voor de schade.

Ik gebruik geen mobiel bankieren en kende alleen de regels bij de ABN waar dat wel moest. Ik kijk nu bij de ABN en zij hebben deze beveiliging er ook uit gesloopt. Tot €5000.- per dag (standaard) kun je zonder e-dentifier geld overmaken naar een onbekende rekening. Belachelijk dat het gemak van de klanten boven beveiliging gaat. Klanten moet je tegen zichzelf in bescherming nemen.

https://www.abnamro.nl/nl/prive/internet-en-mobiel/overboeken-zonder-edentifier.html

Je kunt die € 5000.- daglimiet wel zelf verlagen. Zelfs tot nul zodat je weer altijd de e-dentifier nodig hebt. Maar wel belachelijk dat hij default op zo'n hoog bedrag gezet wordt.

Banken zijn verworden tot IT-bedrijven zoals Facebook.
De klant is geen klant meer, maar het product. En dat product moet vermarkt kunnen worden. (als de banken de kans krijgen)

Gebruiksgemak is belangrijker geworden dan veiligheid. Zo ook OPT-ins ipv OPT-outs.
En als er iets fout gaat dan wordt het op de klant afgeschoven, (Of de bank moet teveel in de kijkerd staan door negatieve publiciteit).


Misschien de optie van het loonzakje met contant geld maar weer introduceren voor die mensen die de banken niet meer vertrouwen. Of aan dit misselijkmakende systeem willen ontsnappen.


Of iedereen al zijn geld in contanten op laten nemen bij een bank. (een zogenaamde bank-run)
Zou met FB oid makkelijk te coordineren moeten zijn. :-)
Alleen maar fluisteren dat de bank grote problemen heeft, en zijn verplichtingen niet meer kan nakomen. Dat zou al voldoende moeten zijn.

Zelf vind ik het wel vreemd. Dit zou standaard niet mogelijk moeten zijn en als je het toch wilt moeten er veel meer
bevestigingsslagen in zitten en wellicht een brief of een wachttijd van 24 uur ofzo.

Het probleem is dat de banken de beveiligingsdrempels steeds verder verlagen en dat je daar als klant geen invloed
op hebt. De bank bepaalt hoe het veilig is en of dat voldoende veilig is, als klant moet je het iedere keer maar pikken
als er weer een nieuw gat in de beveiliging geschoten is. De enige optie die je hebt is weggaan bij die bank, en dat
hebben de banken met opzet heel moeilijk gemaakt door nummerportabiliteit te saboteren.

Ze laten je inloggen in de app, zogenaamd om b.v. een betaling van 1 cent te doen. Dan laten ze je de QR code scannen en hopen ofwel dat je niet leest en meteen op OK klikt of ze grissen de telefoon uit je hand en klikken zelf snel op OK

zoiets