PSD2 verplicht tweefactorauthenticatie voor internetbankieren
Op 14 september wordt de Europese betaalrichtlijn PSD2 (Payment Service Directive 2) van kracht en moeten alle banken in de EU tweefactorauthenticatie voor internetbankieren gebruiken, zo meldt de Duitse overheid. Daarnaast is het gebruik van papieren TAN-codes niet meer toegestaan.
Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, zijn papieren TAN-codes in het verleden herhaaldelijk het doelwit van phishingaanvallen geweest en biedt het al meer dan tien jaar geen adequaat beveiligingsniveau. Ook het gebruik van TAN-codes die via sms worden verstuurd raadt het BSI al geruime tijd af, omdat criminelen deze codes bijvoorbeeld via sim-swapping kunnen onderscheppen.
Banken kunnen zelf kiezen welke authenticatiemethodes ze aanbieden. De Duitse overheidsinstantie adviseert dat banken de authenticatie fysiek scheiden. "Dit houdt in dat bijvoorbeeld het invoeren van het wachtwoord en verificatie van je vingerafdruk niet op hetzelfde toestel of smartphone plaatsvindt. Daarom wordt aangeraden om twee apparaten voor internetbankieren te gebruiken, zodat de beveiligingsfactoren onafhankelijk van elkaar zijn."
In het geval de huidige bank niet de gewenste beveiligingsmethode aanbiedt kunnen klanten naar de concurrent stappen, aldus het BSI.
Reacties (36)
In het geval de huidige bank niet de gewenste beveiligingsmethode aanbiedt kunnen klanten naar de concurrent stappen, aldus het BSI.
Hetgeen dus niet gaat gebeuren. Dat zien we al jaren. Een paar mensen stappen over bij het volgende bankschandaal, maar de rest blijft zitten waar ze zitten. Teveel gedoe, en de andere bank komt over een jaar wel weer in het nieuws vanwege een lek, hebberige managers of een witwasschandaal. Wat gaan we dan doen? Weer overstappen?
In het geval de huidige bank niet de gewenste beveiligingsmethode aanbiedt kunnen klanten naar de concurrent stappen, aldus het BSI.
De eerste bank waarbij ik met WebAuthn kan inloggen en gewoon kan pinnen met een bankpas heeft mijn steun. Echter toen ik de laatste keer de PSD2 wetgeving doornam leek het er erg op dat de bankensector graag extra barrieres opwerpt voor nieuwe banken en vast blijft zitten aan de bestaande inlogmethoden (zoals TAN codes etc.). Ik zie het niet gebeuren dat banken onder de nieuwe wetgeving gebruik kunnen maken van open standaarden om hun authenticatie in te richten. Tot zover dus het hele idee dat je dus maar even over kan stappen als je klant een veilige beveiligingsmethode wilt... papieren TAN-codes zijn in het verleden herhaaldelijk het doelwit van phishingaanvallen geweest
Dat is moeilijk te geloven. Wie gaat nou een A4-tje met tancodes inscannen en de gescande pdf als bijlage tezamen met zijn geheime gebruikersnaam en wachtwoord opsturen naar een phisher? Die handelingen vragen enige computerkennis van een gebruiker. Een gebruiker met die kennis zal een poging tot phishing zeker als zodanig te herkennen.Ik kan me nog wel een "man-in-the-middle" aanval voorstellen waarbij een bankier-sessie omgeleid wordt en één enkele tancode buitgemaakt wordt. Omdat tancodes eenmalig zijn, is die code verder niet interessant voor de heer/mevrouw Phisher.
Door Anoniem:
Hetgeen dus niet gaat gebeuren.
Tot het advies wordt omgezet in een verplichting. Ik weet niet of het zo ver gaat komen, maar dit is een stap in die richting, niet een stap ervandaan.In het geval de huidige bank niet de gewenste beveiligingsmethode aanbiedt kunnen klanten naar de concurrent stappen, aldus het BSI.
Hetgeen dus niet gaat gebeuren.
Banken zijn duidelijk wel bezig ervandaan te stappen, met hun hang naar smartphone-apps en het uitfaseren van dingen als de Raboscanner. Voor mij is het altijd evident geweest dat een goed beveiligd eindpunt voor de authenticatie van rekeninghouders en transacties een eindpunt is waar de gebruiker geen eigen software op kan installeren, een apart apparaatje dus dat door de bank wordt geleverd.
Door Anoniem:
Hetgeen dus niet gaat gebeuren. Dat zien we al jaren.
In het geval de huidige bank niet de gewenste beveiligingsmethode aanbiedt kunnen klanten naar de concurrent stappen, aldus het BSI.
Hetgeen dus niet gaat gebeuren. Dat zien we al jaren.
De toonval in het BSI bericht was ook net iets anders, met een negatievere klank. Er staat "als het niet aangeboden wordt, blijft er niets anders over dan over te stappen". Je kunt dus niet van je bank eisen dat zij jouw gewenste authenticatie gaan gebruiken.
Maar dat is niets nieuws. Het was altijd al zo dat als je bank iets niet bood wat je wilde hebben, je over moest overstappen naar een bank die dit wel deed.
21-08-2019, 10:45 door
Open source gebruiker
[Daarom wordt aangeraden om twee apparaten voor internetbankieren te gebruiken, zodat de beveiligingsfactoren onafhankelijk van elkaar zijn.]
Een laptop, desktop, waarop bankiert wordt,en een gsm/smartphone zijn toch twee onafhankelijke apparaten.
Een laptop, desktop, waarop bankiert wordt,en een gsm/smartphone zijn toch twee onafhankelijke apparaten.
Door Anoniem:
Ik kan me nog wel een "man-in-the-middle" aanval voorstellen waarbij een bankier-sessie omgeleid wordt en één enkele tancode buitgemaakt wordt. Omdat tancodes eenmalig zijn, is die code verder niet interessant voor de heer/mevrouw Phisher.
Misschien heb je onder een steen geleefd? papieren TAN-codes zijn in het verleden herhaaldelijk het doelwit van phishingaanvallen geweest
Dat is moeilijk te geloven. Wie gaat nou een A4-tje met tancodes inscannen en de gescande pdf als bijlage tezamen met zijn geheime gebruikersnaam en wachtwoord opsturen naar een phisher? Die handelingen vragen enige computerkennis van een gebruiker. Een gebruiker met die kennis zal een poging tot phishing zeker als zodanig te herkennen.Ik kan me nog wel een "man-in-the-middle" aanval voorstellen waarbij een bankier-sessie omgeleid wordt en één enkele tancode buitgemaakt wordt. Omdat tancodes eenmalig zijn, is die code verder niet interessant voor de heer/mevrouw Phisher.
Maar dit is in het verleden bij de ING met grote regelmaat gebeurd. Gelukkig nu de papieren TAN codes bijna niet meer gebruikt worden, is dit een stuk minder.
Maar gewoon een webformulier met 10 TAN codes, gebruikersnaam en wachtwoord opvragen. Gebruikers vullen dit gewoon in hoor als jij er om vraagt.
21-08-2019, 11:06 door
Whacko
Door Open source gebruiker: [Daarom wordt aangeraden om twee apparaten voor internetbankieren te gebruiken, zodat de beveiligingsfactoren onafhankelijk van elkaar zijn.]
Een laptop, desktop, waarop bankiert wordt,en een gsm/smartphone zijn toch twee onafhankelijke apparaten.
Tegenwoordig heeft elke grote bank ook een app waar je alles in kunt, dus voor sommige mensen die nog TAN-codes gebruikten via SMS, kwam dat op hetzelfde apparaat binnen.Een laptop, desktop, waarop bankiert wordt,en een gsm/smartphone zijn toch twee onafhankelijke apparaten.
@10:07: Ik begrijp uit de tweede Duitse link van dit item, dat het probleem met een papieren TAN is, dat een phisher die aan zijn eigen transactie kan koppelen.
Je denkt dus dat je 1 cent overmaakt, maar de phisher kaapt jouw TAN code als je die invoert en doet zijn eigen transactie met diezelfde TAN code.
Je denkt dus dat je 1 cent overmaakt, maar de phisher kaapt jouw TAN code als je die invoert en doet zijn eigen transactie met diezelfde TAN code.
Die Papierlisten haben für mich immer gut funktioniert. Warum darf ich sie nicht mehr verwenden?
Die iTAN-Listen werden durch elektronische TAN Verfahren abgelöst, da nur auf die TAN nur so bei jeder neuen Zahlung mit Zahlungsbetrag und Zahlungsempfänger verbunden werden kann. Der generierte Authentifizierungscode gilt speziell für den Zahlungsbetrag und den Zahlungsempfänger, denen der Zahler beim Auslösen des Vorgangs zugestimmt hat.
Die iTAN-Listen werden durch elektronische TAN Verfahren abgelöst, da nur auf die TAN nur so bei jeder neuen Zahlung mit Zahlungsbetrag und Zahlungsempfänger verbunden werden kann. Der generierte Authentifizierungscode gilt speziell für den Zahlungsbetrag und den Zahlungsempfänger, denen der Zahler beim Auslösen des Vorgangs zugestimmt hat.
21-08-2019, 11:46 door
john west
Twee factor authenticatie voor internetbankieren op 2 verschillend phone/smartphone /computer lijkt me geen overbodige luxe.
Wat I.N.G nu doet lijkt nu veilig genoeg,maar voor hoelang ?
Vooral als er slechte updates of geen updates plaats vinden bij de smartphone.
De laatste keer bij een over storting met QR hoefde ik alleen toestemming te geven met een vingerprint,
voorheen met een extra persoonlijke code.
Had ik geen goed gevoel bij.
Wat I.N.G nu doet lijkt nu veilig genoeg,maar voor hoelang ?
Vooral als er slechte updates of geen updates plaats vinden bij de smartphone.
De laatste keer bij een over storting met QR hoefde ik alleen toestemming te geven met een vingerprint,
voorheen met een extra persoonlijke code.
Had ik geen goed gevoel bij.
Door john west: Twee factor authenticatie voor internetbankieren op 2 verschillend phone/smartphone /computer lijkt me geen overbodige luxe.
Dit lijkt aanzienlijk veiliger. Maar als je even je saldo wilt checken, is het omslachtig. Banken hebben niet voor niets een app. Met de bankieren app omzeil je het omslachtige gedoe.
Hetzelfde geldt voor verzekeringsmaatschappijen. Inloggen met Digid plus SMS code. Toen ik laatst mijn eigen risico moest betalen, kreeg ik een mailtje met een link naar Ideal. Even de QR code gescand en betaalt met de app.
Je kunt wachten op de eerste fraudegevallen.
In het geval de huidige bank niet de gewenste beveiligingsmethode aanbiedt kunnen klanten naar de concurrent stappen, aldus het BSI.
Misschien in Duitsland? Hier is dat vakkundig onmogelijk gemaakt doordat de banken nummerportabiliteit hebben
geblokkeerd. Eerst door het gewoon niet te doen, daarna door te regelen dat de banknaam openlijk in het IBAN staat.
Dat de toezichthouder dat heeft gepikt zie ik als een van de vele faals van die autoriteit.
Dat had de OPTA indertijd beter geregeld, die dwong nummerportabiliteit bij telefonie gewoon af, ook toen de aanbieders
indertijd zeiden dat dat helemaal niet kon.
Er wordt echter ook met meerdere maten gemeten. 2nd factor per SMS is nu ineens niet veilig, terwijl mijn zorgverzekeraar
me dwingt om in plaats van de 2nd factor per mail die ze altijd gebruikten voor login (extra na login via DigiD) nu ineens
over te stappen naar DigiD met 2nd factor, per SMS, want "anders is het niet veilig genoeg". Dus DigiD met SMS is veilig,
maar inloggen bij de bank met user/password/SMS is niet veilig. Dat kan natuurlijk niet allebei waar zijn!
Door Anoniem:
papieren TAN-codes zijn in het verleden herhaaldelijk het doelwit van phishingaanvallen geweest
Dat is moeilijk te geloven. Wie gaat nou een A4-tje met tancodes inscannen en de gescande pdf als bijlage tezamen met zijn geheime gebruikersnaam en wachtwoord opsturen naar een phisher? Die handelingen vragen enige computerkennis van een gebruiker. Een gebruiker met die kennis zal een poging tot phishing zeker als zodanig te herkennen.Het is wel zo. Alleen de MO is niet dat je de papieren lijst in een envelop moest stoppen en opsturen naar de phisher.
De papieren TAN heeft geen koppeling met de transactie die geauthoriseerd wordt.
Als je op een phishing site bankiert , en de site vraagt om een TAN en geeft dan een paar keer een foutmelding 'mislukt' volgende TAN , verzamelt de phisher gewoon geldige tan codes , en kan die daarna zelf gebruiken.
Ook bij een trojaned endpoint authoriseer je met een papieren TAN de transactie die de trojan heeft ingelegd - niet de transactie die op je scherm te zien is.
En dan zijn/waren er nog de fysieke phishing van het uit de brievenbus hengelen van nieuw aangevraagde (evt door de phisher) TAN lijsten - bij hoogbouw complexen met een centrale brievenbus hal kan dat ook echt wel een probleem zijn.
Wat zo weinig mensen snappen is dat het doel van zo'n tweede factor _niet_ is om een persoon te authenticeren .
Het doel is (of moet zijn) om de *transactie* die *de bank ontvangen heeft* te _authoriseren_ - door de juiste persoon.
Daar is de papieren TAN allemaal ongeschikt voor.
Ik kan me nog wel een "man-in-the-middle" aanval voorstellen waarbij een bankier-sessie omgeleid wordt en één enkele tancode buitgemaakt wordt. Omdat tancodes eenmalig zijn, is die code verder niet interessant voor de heer/mevrouw Phisher.
Eenmalig de maximale overboeking doen kan echt wel interessant zijn hoor.
De nederlandse banken hebben niets te vertellen,
het word allemaal beslist door de europese unie EU.
Bedank brussel maar,en dat je nu Verplicht word
om zonder tan-codes je betalingen te moeten verrichten,
door middel van je smartphone of door middel van een ING-Scanner.
Willen wij dat als burgers,het is ook niet gevraagd,je moet en je zal.
NL-NU 2019
het word allemaal beslist door de europese unie EU.
Bedank brussel maar,en dat je nu Verplicht word
om zonder tan-codes je betalingen te moeten verrichten,
door middel van je smartphone of door middel van een ING-Scanner.
Willen wij dat als burgers,het is ook niet gevraagd,je moet en je zal.
NL-NU 2019
Door Anoniem:
Het is wel zo. Alleen de MO is niet dat je de papieren lijst in een envelop moest stoppen en opsturen naar de phisher.
De papieren TAN heeft geen koppeling met de transactie die geauthoriseerd wordt.
Als je op een phishing site bankiert , en de site vraagt om een TAN en geeft dan een paar keer een foutmelding 'mislukt' volgende TAN , verzamelt de phisher gewoon geldige tan codes , en kan die daarna zelf gebruiken.
Ook bij een trojaned endpoint authoriseer je met een papieren TAN de transactie die de trojan heeft ingelegd - niet de transactie die op je scherm te zien is.
En dan zijn/waren er nog de fysieke phishing van het uit de brievenbus hengelen van nieuw aangevraagde (evt door de phisher) TAN lijsten - bij hoogbouw complexen met een centrale brievenbus hal kan dat ook echt wel een probleem zijn.
Wat zo weinig mensen snappen is dat het doel van zo'n tweede factor _niet_ is om een persoon te authenticeren .
Het doel is (of moet zijn) om de *transactie* die *de bank ontvangen heeft* te _authoriseren_ - door de juiste persoon.
Daar is de papieren TAN allemaal ongeschikt voor.
Ik kan me nog wel een "man-in-the-middle" aanval voorstellen waarbij een bankier-sessie omgeleid wordt en één enkele tancode buitgemaakt wordt. Omdat tancodes eenmalig zijn, is die code verder niet interessant voor de heer/mevrouw Phisher.
Eenmalig de maximale overboeking doen kan echt wel interessant zijn hoor.
Een papieren Tancode is veiliger dan de smscode. Er wordt bij de transactie om een bepaalde Tancode gevraagd, alleen DIE is op dat moment geldig. Dat is dus een nummer van de honderd die op de lijst staat, die je NU bezit.Door Anoniem:
papieren TAN-codes zijn in het verleden herhaaldelijk het doelwit van phishingaanvallen geweest
Dat is moeilijk te geloven. Wie gaat nou een A4-tje met tancodes inscannen en de gescande pdf als bijlage tezamen met zijn geheime gebruikersnaam en wachtwoord opsturen naar een phisher? Die handelingen vragen enige computerkennis van een gebruiker. Een gebruiker met die kennis zal een poging tot phishing zeker als zodanig te herkennen.Het is wel zo. Alleen de MO is niet dat je de papieren lijst in een envelop moest stoppen en opsturen naar de phisher.
De papieren TAN heeft geen koppeling met de transactie die geauthoriseerd wordt.
Als je op een phishing site bankiert , en de site vraagt om een TAN en geeft dan een paar keer een foutmelding 'mislukt' volgende TAN , verzamelt de phisher gewoon geldige tan codes , en kan die daarna zelf gebruiken.
Ook bij een trojaned endpoint authoriseer je met een papieren TAN de transactie die de trojan heeft ingelegd - niet de transactie die op je scherm te zien is.
En dan zijn/waren er nog de fysieke phishing van het uit de brievenbus hengelen van nieuw aangevraagde (evt door de phisher) TAN lijsten - bij hoogbouw complexen met een centrale brievenbus hal kan dat ook echt wel een probleem zijn.
Wat zo weinig mensen snappen is dat het doel van zo'n tweede factor _niet_ is om een persoon te authenticeren .
Het doel is (of moet zijn) om de *transactie* die *de bank ontvangen heeft* te _authoriseren_ - door de juiste persoon.
Daar is de papieren TAN allemaal ongeschikt voor.
Ik kan me nog wel een "man-in-the-middle" aanval voorstellen waarbij een bankier-sessie omgeleid wordt en één enkele tancode buitgemaakt wordt. Omdat tancodes eenmalig zijn, is die code verder niet interessant voor de heer/mevrouw Phisher.
Eenmalig de maximale overboeking doen kan echt wel interessant zijn hoor.
Door Anoniem:Dus DigiD met SMS is veilig,
maar inloggen bij de bank met user/password/SMS is niet veilig. Dat kan natuurlijk niet allebei waar zijn!
maar inloggen bij de bank met user/password/SMS is niet veilig. Dat kan natuurlijk niet allebei waar zijn!
Wel waar.
Veiligheid heeft alles te maken met het afwegen van risicos. Daarom rijden F1 coureurs met een helm op en jij niet.
Door Open source gebruiker:Een laptop, desktop, waarop bankiert wordt,en een gsm/smartphone zijn toch twee onafhankelijke apparaten.
Voor webshops doe ik dat. Ik bezoek de shop op de laptop, de laptop toont een QR code en de telefoon op de app leest die (nadat ik ben ingelogd met mijn vingerafdruk). En voor het bevestigen van de overboeking gebruik ik een pincode.
Eigenlijk is dat dus 3FA: Wat ik heb, wie ik ben, wat ik weet.
Peter
Door john west: Twee factor authenticatie voor internetbankieren op 2 verschillend phone/smartphone /computer lijkt me geen overbodige luxe.
Wat I.N.G nu doet lijkt nu veilig genoeg,maar voor hoelang ?
Vooral als er slechte updates of geen updates plaats vinden bij de smartphone.
De laatste keer bij een over storting met QR hoefde ik alleen toestemming te geven met een vingerprint,
voorheen met een extra persoonlijke code.
Had ik geen goed gevoel bij.
Wat I.N.G nu doet lijkt nu veilig genoeg,maar voor hoelang ?
Vooral als er slechte updates of geen updates plaats vinden bij de smartphone.
De laatste keer bij een over storting met QR hoefde ik alleen toestemming te geven met een vingerprint,
voorheen met een extra persoonlijke code.
Had ik geen goed gevoel bij.
Hoe bedoel je "Wat ING nu doet lijkt nu veilig"? ING promoot het gebruik van de ING Bankieren App op de smartphone. (ja, je kan eventueel ook zo'n kastje bestellen als je geen smartphone hebt, maar dat wordt bepaald niet aangemoedigd.) Wanneer ik een website op mijn mobiel benader, daar iets bestel en een iDeal betaling probeer, popt mijn app meteen op, die ik ontgrendel met mijn vingerscan en vervolgens de overschrijving bevestig met mijn zelf gekozen pincode.
allemaal op één en het zelfde device; mijn smartphone. Wat in het artikel gesteld wordt, "fysieke scheiding" komt geenszins overeen met de door ING gepropageerde oplossing.
Ik heb mijn bank expliciet verboden enige biometrische data op te slaan, na te kijken of te gebruiken om mijn bankverrichtingen te beveiligen. Gewoon omdat biometrische data daar niet toe dienen. Als eigenaar van die data kan ik dat - als men 2FA wil - zal men dus naar andere methodes moeten teruggrijpen - zoals vb. Fido2-sticks en kaartlezers... (wat we nu al hebben eigenlijk in België).
Door Anoniem:
Door Anoniem:
Het is wel zo. Alleen de MO is niet dat je de papieren lijst in een envelop moest stoppen en opsturen naar de phisher.
De papieren TAN heeft geen koppeling met de transactie die geauthoriseerd wordt.
Als je op een phishing site bankiert , en de site vraagt om een TAN en geeft dan een paar keer een foutmelding 'mislukt' volgende TAN , verzamelt de phisher gewoon geldige tan codes , en kan die daarna zelf gebruiken.
Ook bij een trojaned endpoint authoriseer je met een papieren TAN de transactie die de trojan heeft ingelegd - niet de transactie die op je scherm te zien is.
En dan zijn/waren er nog de fysieke phishing van het uit de brievenbus hengelen van nieuw aangevraagde (evt door de phisher) TAN lijsten - bij hoogbouw complexen met een centrale brievenbus hal kan dat ook echt wel een probleem zijn.
Wat zo weinig mensen snappen is dat het doel van zo'n tweede factor _niet_ is om een persoon te authenticeren .
Het doel is (of moet zijn) om de *transactie* die *de bank ontvangen heeft* te _authoriseren_ - door de juiste persoon.
Daar is de papieren TAN allemaal ongeschikt voor.
Ik kan me nog wel een "man-in-the-middle" aanval voorstellen waarbij een bankier-sessie omgeleid wordt en één enkele tancode buitgemaakt wordt. Omdat tancodes eenmalig zijn, is die code verder niet interessant voor de heer/mevrouw Phisher.
Eenmalig de maximale overboeking doen kan echt wel interessant zijn hoor.
Een papieren Tancode is veiliger dan de smscode. Er wordt bij de transactie om een bepaalde Tancode gevraagd, alleen DIE is op dat moment geldig. Dat is dus een nummer van de honderd die op de lijst staat, die je NU bezit.Door Anoniem:
papieren TAN-codes zijn in het verleden herhaaldelijk het doelwit van phishingaanvallen geweest
Dat is moeilijk te geloven. Wie gaat nou een A4-tje met tancodes inscannen en de gescande pdf als bijlage tezamen met zijn geheime gebruikersnaam en wachtwoord opsturen naar een phisher? Die handelingen vragen enige computerkennis van een gebruiker. Een gebruiker met die kennis zal een poging tot phishing zeker als zodanig te herkennen.Het is wel zo. Alleen de MO is niet dat je de papieren lijst in een envelop moest stoppen en opsturen naar de phisher.
De papieren TAN heeft geen koppeling met de transactie die geauthoriseerd wordt.
Als je op een phishing site bankiert , en de site vraagt om een TAN en geeft dan een paar keer een foutmelding 'mislukt' volgende TAN , verzamelt de phisher gewoon geldige tan codes , en kan die daarna zelf gebruiken.
Ook bij een trojaned endpoint authoriseer je met een papieren TAN de transactie die de trojan heeft ingelegd - niet de transactie die op je scherm te zien is.
En dan zijn/waren er nog de fysieke phishing van het uit de brievenbus hengelen van nieuw aangevraagde (evt door de phisher) TAN lijsten - bij hoogbouw complexen met een centrale brievenbus hal kan dat ook echt wel een probleem zijn.
Wat zo weinig mensen snappen is dat het doel van zo'n tweede factor _niet_ is om een persoon te authenticeren .
Het doel is (of moet zijn) om de *transactie* die *de bank ontvangen heeft* te _authoriseren_ - door de juiste persoon.
Daar is de papieren TAN allemaal ongeschikt voor.
Ik kan me nog wel een "man-in-the-middle" aanval voorstellen waarbij een bankier-sessie omgeleid wordt en één enkele tancode buitgemaakt wordt. Omdat tancodes eenmalig zijn, is die code verder niet interessant voor de heer/mevrouw Phisher.
Eenmalig de maximale overboeking doen kan echt wel interessant zijn hoor.
Heb ik alles uitgelegd, snap je het NOG niet.
De phishing site legt een maximale overboeking in naar een katvanger, maar laat jou het betalen van je telefoonabo zien. wat je zat in te kloppen.
De bank vraagt om "de" transactie te bevestigen, en je pakt je papier, en stuurt de gevraagde tancode .
Kassa.
Dat jij een heel andere transactie authoriseert dan je denkt weet je niet - want de papieren TAN koppelt niks terug.
(en wat je ziet op je compu is wat de phishing site of banking trojan je laat zien - heel anders dan wat de bank aan opdracht gekregen heeft)
Zo werkt(e) dat - ruim voldoende langs geweest in de security media.
Een offline attack met geoogste TANs is dan misschien wat lastiger - maar alleen als de bank de boel stevig dicht gooit als er teveel verkeerde TANs geprobeerd worden.
Anders is het simpelweg proberen totdat je gevraagd wordt om het nummer van een TAN dat je geoogst had.
21-08-2019, 20:27 door
karma4
Door Anoniem: Ik heb mijn bank expliciet verboden enige biometrische data op te slaan, na te kijken of te gebruiken om mijn bankverrichtingen te beveiligen. Gewoon omdat biometrische data daar niet toe dienen. Als eigenaar van die data kan ik dat - als men 2FA wil - zal men dus naar andere methodes moeten teruggrijpen - zoals vb. Fido2-sticks en kaartlezers... (wat we nu al hebben eigenlijk in België).
De bank is verplicht een kopie van je pas te beweren... Je bent met je voorstel/eis onwettelijk bezig. https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf
Dat ze beweren dat met een kopie paspoort dan wel BSN fraude mogelijk is tegen het wettelijk verplichte gebruik van het bsn.
Dat ding is bedoeld om geen chaotische niet te volgen administraties te laten blijven bestaan. Die wanorde is een vaak een behoorlijke privacy schending in de gevolgen.
Door Anoniem: Er wordt echter ook met meerdere maten gemeten. 2nd factor per SMS is nu ineens niet veilig, terwijl mijn zorgverzekeraar
me dwingt om in plaats van de 2nd factor per mail die ze altijd gebruikten voor login (extra na login via DigiD) nu ineens
over te stappen naar DigiD met 2nd factor, per SMS, want "anders is het niet veilig genoeg". Dus DigiD met SMS is veilig,
maar inloggen bij de bank met user/password/SMS is niet veilig. Dat kan natuurlijk niet allebei waar zijn!
Heel erg veel wat moet doorgaan voor beveiliging is paniekvoetbal en klantje pesten omdat dat een "veilig gevoel" moet geven. Zie ook: Airport "security" op heel veel vliegvelden wereldwijd, in het bijzonder alles wat de TSA doet.me dwingt om in plaats van de 2nd factor per mail die ze altijd gebruikten voor login (extra na login via DigiD) nu ineens
over te stappen naar DigiD met 2nd factor, per SMS, want "anders is het niet veilig genoeg". Dus DigiD met SMS is veilig,
maar inloggen bij de bank met user/password/SMS is niet veilig. Dat kan natuurlijk niet allebei waar zijn!
Persoonlijk doe ik helemaal niets met digid en sturen ze maar een briefje. Als dat niet veilig genoeg is, pech, had je de posterijen maar niet moeten privatiseren. Bankieren doe ik overigens ook alleen per post, en zo min mogelijk. Dat de bank het liever niet heeft, nou, ik had de bank ook liever niet gehad, want dienstverlenen vinden ze maar wat vervelend. In dat opzicht gaan ze ook steeds meer op de overheid lijken. Inclusief het opgeheven vingertje, onder de "anti-witwas"-noemer je klanten maarvast op "mogelijke indicatoren van eventuele criminaliteit" doorlichten. Pfft, ze zijn zelf de grootste criminelen. Nouja, na de overheid zelf mischien dan.
Door Anoniem: Heb ik alles uitgelegd, snap je het NOG niet.
De phishing site legt een maximale overboeking in naar een katvanger, maar laat jou het betalen van je telefoonabo zien. wat je zat in te kloppen.
De bank vraagt om "de" transactie te bevestigen, en je pakt je papier, en stuurt de gevraagde tancode .
Kassa.
De phishing site legt een maximale overboeking in naar een katvanger, maar laat jou het betalen van je telefoonabo zien. wat je zat in te kloppen.
De bank vraagt om "de" transactie te bevestigen, en je pakt je papier, en stuurt de gevraagde tancode .
Kassa.
Het beste wat tegen een phishing site helpt, blijft natuurlijk de domeinnaam en het hangslotje controleren bij elk bezoek aan de bank.
Zo lijkt de raboscanner mij zeer veilig, maar bij het inloggen staat 'inloggen' op het schermpje van de raboscanner. De kleuren QR-code hiervoor kan dus direct van de echte pagina gekopieerd worden door een phishing pagina.
Daarna kunnen alle afschriften van de afgelopen 18 maanden gedownload worden, wat tot spearphishing kan leiden.
Dus altijd, controleer of u op de goede site zit!
Door Anoniem:
Hoe bedoel je "Wat ING nu doet lijkt nu veilig"? ING promoot het gebruik van de ING Bankieren App op de smartphone. (ja, je kan eventueel ook zo'n kastje bestellen als je geen smartphone hebt, maar dat wordt bepaald niet aangemoedigd.) Wanneer ik een website op mijn mobiel benader, daar iets bestel en een iDeal betaling probeer, popt mijn app meteen op, die ik ontgrendel met mijn vingerscan en vervolgens de overschrijving bevestig met mijn zelf gekozen pincode.
allemaal op één en het zelfde device; mijn smartphone. Wat in het artikel gesteld wordt, "fysieke scheiding" komt geenszins overeen met de door ING gepropageerde oplossing.
Jij kiest er zelf voor om de website op je mobiil te benaderen.Door john west: Twee factor authenticatie voor internetbankieren op 2 verschillend phone/smartphone /computer lijkt me geen overbodige luxe.
Wat I.N.G nu doet lijkt nu veilig genoeg,maar voor hoelang ?
Vooral als er slechte updates of geen updates plaats vinden bij de smartphone.
De laatste keer bij een over storting met QR hoefde ik alleen toestemming te geven met een vingerprint,
voorheen met een extra persoonlijke code.
Had ik geen goed gevoel bij.
Wat I.N.G nu doet lijkt nu veilig genoeg,maar voor hoelang ?
Vooral als er slechte updates of geen updates plaats vinden bij de smartphone.
De laatste keer bij een over storting met QR hoefde ik alleen toestemming te geven met een vingerprint,
voorheen met een extra persoonlijke code.
Had ik geen goed gevoel bij.
Hoe bedoel je "Wat ING nu doet lijkt nu veilig"? ING promoot het gebruik van de ING Bankieren App op de smartphone. (ja, je kan eventueel ook zo'n kastje bestellen als je geen smartphone hebt, maar dat wordt bepaald niet aangemoedigd.) Wanneer ik een website op mijn mobiel benader, daar iets bestel en een iDeal betaling probeer, popt mijn app meteen op, die ik ontgrendel met mijn vingerscan en vervolgens de overschrijving bevestig met mijn zelf gekozen pincode.
allemaal op één en het zelfde device; mijn smartphone. Wat in het artikel gesteld wordt, "fysieke scheiding" komt geenszins overeen met de door ING gepropageerde oplossing.
Als je de website op je desktop/laptop/ander mobile device benaderd dan is er wel degelijk fysieke scheiding.
niet klagen als je zelf er voor kiest om op 1 device te werken
Misschien in Duitsland? Hier is dat vakkundig onmogelijk gemaakt doordat de banken nummerportabiliteit hebben
geblokkeerd.
geblokkeerd.
Het is maar wat je verstaat onder 'onmogelijk'. Het belet mij niet om, indien ik dat wil, over te stappen naar een andere bank. Ongemakkelijk, dat is een ander verhaal.
Jij kiest er zelf voor om de website op je mobiil te benaderen.
Als je de website op je desktop/laptop/ander mobile device benaderd dan is er wel degelijk fysieke scheiding.
niet klagen als je zelf er voor kiest om op 1 device te werken
Als je de website op je desktop/laptop/ander mobile device benaderd dan is er wel degelijk fysieke scheiding.
niet klagen als je zelf er voor kiest om op 1 device te werken
De veiligheids eisen voor de banken gelden, ongeacht op welk device. Niet veilig op je desktop, onveilig via een andere oplossing.
Door Anoniem:
De veiligheids eisen voor de banken gelden, ongeacht op welk device. Niet veilig op je desktop, onveilig via een andere oplossing.
ING bied een scheiding aan . Dat iemand zelf deze scheiding omzeilt betekend niet dat deze niet bestaat.Jij kiest er zelf voor om de website op je mobiil te benaderen.
Als je de website op je desktop/laptop/ander mobile device benaderd dan is er wel degelijk fysieke scheiding.
niet klagen als je zelf er voor kiest om op 1 device te werken
Als je de website op je desktop/laptop/ander mobile device benaderd dan is er wel degelijk fysieke scheiding.
niet klagen als je zelf er voor kiest om op 1 device te werken
De veiligheids eisen voor de banken gelden, ongeacht op welk device. Niet veilig op je desktop, onveilig via een andere oplossing.
Er is ook zoiets als eigen verantwoordelijkheid
In zweden hebben we BankID. PKI instantie welke zelfde doet als digid maar dan voor alles. Het is een certificaat of app op mobiel/pc. Werkt goed en intrekbaar. Daarnaast hebben we doosjes (hw-tokens) gekoppeld per account/individu. Geen doosje geen toegang.
Echter is psd2/openbanking hier nog maar in zn kinderschoenen en is adoptie erg achter. Het is om te schrikken hoe slecht het is geïmplementeerd....
Echter is psd2/openbanking hier nog maar in zn kinderschoenen en is adoptie erg achter. Het is om te schrikken hoe slecht het is geïmplementeerd....
Door karma4:
Nee hoor, nergens in de wet staat dat je die eisen niet mag stellen. Dat de bank er niet aan mag voldoen verandert dat niet.Door Anoniem: Ik heb mijn bank expliciet verboden enige biometrische data op te slaan, na te kijken of te gebruiken om mijn bankverrichtingen te beveiligen. Gewoon omdat biometrische data daar niet toe dienen. Als eigenaar van die data kan ik dat - als men 2FA wil - zal men dus naar andere methodes moeten teruggrijpen - zoals vb. Fido2-sticks en kaartlezers... (wat we nu al hebben eigenlijk in België).
De bank is verplicht een kopie van je pas te beweren... Je bent met je voorstel/eis onwettelijk bezig. Dat ondertussen de bank meer tot taak heeft jou te bespioneren dan aan jou diensten te verlenen is wel een duidelijk probleem, en een probleem dat linksom of rechtsom opgelost zal moeten worden. Maar het is nog niet verboden dat te zeggen.
22-08-2019, 15:15 door
musiman
Door karma4:
https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf
Dat ze beweren dat met een kopie paspoort dan wel BSN fraude mogelijk is tegen het wettelijk verplichte gebruik van het bsn.
Dat ding is bedoeld om geen chaotische niet te volgen administraties te laten blijven bestaan. Die wanorde is een vaak een behoorlijke privacy schending in de gevolgen.
Door Anoniem: Ik heb mijn bank expliciet verboden enige biometrische data op te slaan, na te kijken of te gebruiken om mijn bankverrichtingen te beveiligen. Gewoon omdat biometrische data daar niet toe dienen. Als eigenaar van die data kan ik dat - als men 2FA wil - zal men dus naar andere methodes moeten teruggrijpen - zoals vb. Fido2-sticks en kaartlezers... (wat we nu al hebben eigenlijk in België).
De bank is verplicht een kopie van je pas te beweren... Je bent met je voorstel/eis onwettelijk bezig. https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf
Dat ze beweren dat met een kopie paspoort dan wel BSN fraude mogelijk is tegen het wettelijk verplichte gebruik van het bsn.
Dat ding is bedoeld om geen chaotische niet te volgen administraties te laten blijven bestaan. Die wanorde is een vaak een behoorlijke privacy schending in de gevolgen.
Uhh... hij had het over biometrische gegevens en niet over een gescande kopie van je ID bewijs...
Ja, de bank heeft verplicht een kopie van je ID nodig.
Nee, de bank hoeft geen biometrische informatie van jou op te slaan (vingerafdruk, irisscan, face recognition, whatever).
22-08-2019, 20:19 door
spatieman
Daarom wordt aangeraden om twee apparaten voor internetbankieren te gebruiken, zodat de beveiligingsfactoren onafhankelijk van elkaar zijn."
dus iedereen word dan verplicht om een 2e GSM met prepay of abo te hebben hier voor ,stelletjes gekken.
dus iedereen word dan verplicht om een 2e GSM met prepay of abo te hebben hier voor ,stelletjes gekken.
Nou nu vind ik het wel goed genoeg met mijn vingerafdruk scan en dan nog voor de transactie in plaats van een tan code zoals bij de ING met overschrijvingen.
Plus dat ik nog altijd vpn erbij gebruik met mijn internetverbindigen.
Plus dat ik nog altijd vpn erbij gebruik met mijn internetverbindigen.
Door musiman: [
Uhh... hij had het over biometrische gegevens en niet over een gescande kopie van je ID bewijs...
Ja, de bank heeft verplicht een kopie van je ID nodig.
Nee, de bank hoeft geen biometrische informatie van jou op te slaan (vingerafdruk, irisscan, face recognition, whatever).
Op dat kopie staat een afdruk pasfoto van je gezicht. Je gezicht gezichtsscan valt onder biometrieUhh... hij had het over biometrische gegevens en niet over een gescande kopie van je ID bewijs...
Ja, de bank heeft verplicht een kopie van je ID nodig.
Nee, de bank hoeft geen biometrische informatie van jou op te slaan (vingerafdruk, irisscan, face recognition, whatever).
Nee hoor, nergens in de wet staat dat je die eisen niet mag stellen. Dat de bank er niet aan mag voldoen verandert dat niet.
Nu gaat je ontkenning met je onwetendheid ten onder in het enkel willen afgeven, dat is een beetje jammer.
Door karma4:
Nee hoor, nergens in de wet staat dat je die eisen niet mag stellen. Dat de bank er niet aan mag voldoen verandert dat niet. De eerste link met de verwijzing naar wetten waar banken financiële dienstverleners aan moeten moeten voldoen. stond in mijn eerder post. JE moet wel wat meer moeite doen copy-paste.
Ten eerste is die laatste aanhaling geen copy/paste en ten tweede is het niet musiman die schreef waar je in het direct bovenstaande op reageert. Splinter, balk.Door musiman: [
Uhh... hij had het over biometrische gegevens en niet over een gescande kopie van je ID bewijs...
Ja, de bank heeft verplicht een kopie van je ID nodig.
Nee, de bank hoeft geen biometrische informatie van jou op te slaan (vingerafdruk, irisscan, face recognition, whatever).
Op dat kopie staat een afdruk pasfoto van je gezicht. Je gezicht gezichtsscan valt onder biometrieUhh... hij had het over biometrische gegevens en niet over een gescande kopie van je ID bewijs...
Ja, de bank heeft verplicht een kopie van je ID nodig.
Nee, de bank hoeft geen biometrische informatie van jou op te slaan (vingerafdruk, irisscan, face recognition, whatever).
Nee hoor, nergens in de wet staat dat je die eisen niet mag stellen. Dat de bank er niet aan mag voldoen verandert dat niet.
Nu gaat je ontkenning met je onwetendheid ten onder in het enkel willen afgeven, dat is een beetje jammer.
Nee hoor, jij claimt dat je "onwettig bezig bent" als je tegen je bank zegt dat je niet wil dat ze biometrische gegevens van je opslaan, en dat is niet waar want nergens in de wet staat dat je dat niet tegen je bank mag zeggen. Dat de bank vervolgens wel per wet verplicht is tot doen waar jij geen zin in hebt is een ander verhaal. Dat is precies wat er staat en dat is precies correct. Als jij vindt van niet moet je maar laten zien waarom dat niet zo zou zijn.
25-08-2019, 13:42 door
karma4
Door Anoniem:
Ten eerste is die laatste aanhaling geen copy/paste en ten tweede is het niet musiman die schreef waar je in het direct bovenstaande op reageert. Splinter, balk.
In een welles nietes puberaal spelletjes heb ik weinig trek. Je reageert als anoniem, daarmee heb je zelf alle rechten om herkenbaar te discussiëren bij voorbaat verspeeld. Zonder verder duidelijkheid ben je enkel uit op uit bashen.Ten eerste is die laatste aanhaling geen copy/paste en ten tweede is het niet musiman die schreef waar je in het direct bovenstaande op reageert. Splinter, balk.
.
Nee hoor, jij claimt dat je "onwettig bezig bent" als je tegen je bank zegt dat je niet wil dat ze biometrische gegevens van je opslaan, en dat is niet waar want nergens in de wet staat dat je dat niet tegen je bank mag zeggen. Dat de bank vervolgens wel per wet verplicht is tot doen waar jij geen zin in hebt is een ander verhaal. Dat is precies wat er staat en dat is precies correct. Als jij vindt van niet moet je maar laten zien waarom dat niet zo zou zijn.
Door Anoniem:
Nee hoor, nergens in de wet staat dat je die eisen niet mag stellen. Dat de bank er niet aan mag voldoen verandert dat niet.
...
Dat ondertussen de bank meer tot taak heeft jou te bespioneren dan aan jou diensten te verlenen is wel een duidelijk probleem, en een probleem dat linksom of rechtsom opgelost zal moeten worden. Maar het is nog niet verboden dat te zeggen.
De anarchistische toon komt duidelijk terug. Nee hoor, nergens in de wet staat dat je die eisen niet mag stellen. Dat de bank er niet aan mag voldoen verandert dat niet.
...
Dat ondertussen de bank meer tot taak heeft jou te bespioneren dan aan jou diensten te verlenen is wel een duidelijk probleem, en een probleem dat linksom of rechtsom opgelost zal moeten worden. Maar het is nog niet verboden dat te zeggen.
Ik mis nog dat oplichting fraude en misdaad volgens jou een recht is, want privacy.
Door karma4:
Nu hoor ik alleen nog maar vooroordelen, voor welk gezellig samenzijn ik bedank.Door Anoniem:
Ten eerste is die laatste aanhaling geen copy/paste en ten tweede is het niet musiman die schreef waar je in het direct bovenstaande op reageert. Splinter, balk.
In een welles nietes puberaal spelletjes heb ik weinig trek. Je reageert als anoniem, daarmee heb je zelf alle rechten om herkenbaar te discussiëren bij voorbaat verspeeld. Zonder verder duidelijkheid ben je enkel uit op uit bashen.Ten eerste is die laatste aanhaling geen copy/paste en ten tweede is het niet musiman die schreef waar je in het direct bovenstaande op reageert. Splinter, balk.
Nee hoor, jij claimt dat je "onwettig bezig bent" als je tegen je bank zegt dat je niet wil dat ze biometrische gegevens van je opslaan, en dat is niet waar want nergens in de wet staat dat je dat niet tegen je bank mag zeggen. Dat de bank vervolgens wel per wet verplicht is tot doen waar jij geen zin in hebt is een ander verhaal. Dat is precies wat er staat en dat is precies correct. Als jij vindt van niet moet je maar laten zien waarom dat niet zo zou zijn.
Als bezig ben met enkel opruien is dat ook onwettig, voor welke onwettigheid kies je? Je mag ook voor beide gaan. En je hebt nog steeds niet laten zien wat er nou zo onwettig aan is.
Door Anoniem:
Nee hoor, nergens in de wet staat dat je die eisen niet mag stellen. Dat de bank er niet aan mag voldoen verandert dat niet.
...
Dat ondertussen de bank meer tot taak heeft jou te bespioneren dan aan jou diensten te verlenen is wel een duidelijk probleem, en een probleem dat linksom of rechtsom opgelost zal moeten worden. Maar het is nog niet verboden dat te zeggen.
De anarchistische toon komt duidelijk terug. Nee hoor, nergens in de wet staat dat je die eisen niet mag stellen. Dat de bank er niet aan mag voldoen verandert dat niet.
...
Dat ondertussen de bank meer tot taak heeft jou te bespioneren dan aan jou diensten te verlenen is wel een duidelijk probleem, en een probleem dat linksom of rechtsom opgelost zal moeten worden. Maar het is nog niet verboden dat te zeggen.
Ik mis nog dat oplichting fraude en misdaad volgens jou een recht is, want privacy.
Ik maak geen excuses voor het niet aan jouw vooroordelen voldoen.Door Anoniem:
Maar dit is in het verleden bij de ING met grote regelmaat gebeurd. Gelukkig nu de papieren TAN codes bijna niet meer gebruikt worden, is dit een stuk minder.
Maar gewoon een webformulier met 10 TAN codes, gebruikersnaam en wachtwoord opvragen. Gebruikers vullen dit gewoon in hoor als jij er om vraagt.
Bij microsoftscams was dit aan de orde van de dag, De scammers lazen de ingevoerde tancodes mee via spyware wanneer ze de slachtoffers om betalingen vroegen tegelijkertijd hadden ze gemodificeerde opdrachten klaar staan waarmee de rekeningen leeggeplunderd werden ook via malware waarmee ze de computer van het slachtoffers kennelijk konden aansturen. Uiterst geraffineerd maar wel leidend tot geschillen bij het KifidDoor Anoniem:
Ik kan me nog wel een "man-in-the-middle" aanval voorstellen waarbij een bankier-sessie omgeleid wordt en één enkele tancode buitgemaakt wordt. Omdat tancodes eenmalig zijn, is die code verder niet interessant voor de heer/mevrouw Phisher.
Misschien heb je onder een steen geleefd? papieren TAN-codes zijn in het verleden herhaaldelijk het doelwit van phishingaanvallen geweest
Dat is moeilijk te geloven. Wie gaat nou een A4-tje met tancodes inscannen en de gescande pdf als bijlage tezamen met zijn geheime gebruikersnaam en wachtwoord opsturen naar een phisher? Die handelingen vragen enige computerkennis van een gebruiker. Een gebruiker met die kennis zal een poging tot phishing zeker als zodanig te herkennen.Ik kan me nog wel een "man-in-the-middle" aanval voorstellen waarbij een bankier-sessie omgeleid wordt en één enkele tancode buitgemaakt wordt. Omdat tancodes eenmalig zijn, is die code verder niet interessant voor de heer/mevrouw Phisher.
Maar dit is in het verleden bij de ING met grote regelmaat gebeurd. Gelukkig nu de papieren TAN codes bijna niet meer gebruikt worden, is dit een stuk minder.
Maar gewoon een webformulier met 10 TAN codes, gebruikersnaam en wachtwoord opvragen. Gebruikers vullen dit gewoon in hoor als jij er om vraagt.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
