Tiny Url's,bitcoin...qr-codes,allemaal vage sh#t.

ICS Cards heeft juist recent een wijziging doorgevoerd waardoor je hun app nog maar op één mobiel device kunt gebruiken, vermoedelijk ook om dit soort fraude tegen te gaan. Misschien is de QR-code niet het geschikte middel om dergelijke toegangsrechten te geven en te beheren.

Als dit het probleem is, dan kan de politie toch veel beter waarschuwen tegen het installeren van de ING app?
Niet alleen is dat een veel meer to-the-point waarschuwing, ook zal het probleem dan in een paar dagen zijn opgelost.
Reken maar dat ING, die meldingen van klanten op dit gebied staalhard negeert, meteen in actie komt als de politie waarschuwt voor gebruik van hun app!

Ik heb toevallig vorige week de ING app naar mijn nieuwe telefoon over gezet via deze QR code.
De app geeft duidelijk aan dat je een andere telefoon toegang geeft tot jouw rekeningen. Er komt zelf nog een additionele melding met de vraag of je door andere gevraagd bent om toegang te geven. Als je op beide keren op 'Ja' drukt, dan pas krijgt het andere toestel toegang.

Dit is niet zozeer een probleem met QR codes, maar een probleem van het niet (willen) snappen wat er op je scherm staat. Hoewel de ING bank waarschijnlijk het geld vergoed, ben je ook zelf verantwoordelijk. Als iemand je een Tikkie stuurd, check je toch ook van wie het af komt en of het bedrag klopt.

Het is goed dat de politie dit kenbaar maakt, maar denk wel dat mensen zelf beter moeten opletten. Je kunt niet zomaar zeggen dat de problemen bij de techniek (QR codes) of leverancier (ING Bank) liggen.

Het scannen van een QR code zou, an sich, niet tot dit soort fratsen moeten leiden. Het artikel blijft erg vaag over wat er precies gebeurt op de telefoon die de code scant. Met 1 x scannen verdwijnt toch niet 200 euro? Als je met de QR code de app kan activeren op een andere telefoon, dan is die app alleen toch niet voldoende om geld af te schrijven?

Maar het is toch raar dat je dit hele proces initialiseert vanaf een ongeauthoriseerd apparaat? Als ik een ander apparaat zou willen koppelen zou ik verwachten dat ik de code genereer op een apparaat dat ik al heb vertrouwd, met een knop die meteen al zegt "koppel 2e apparaat". Het feit dat ze al die controlevragen moeten stellen geeft ook wel aan dat ze het zelf eigenlijk een k*tidee vonden om het op deze manier te doen. De door ING gekozen manier is lui of bewust onbekwaam. Beide zijn kwalijk.

Een QR code is een data drager, net zoals een USB Stick. Een gevonden USB stick doe je ook niet direct in je telefoon/pc, dus moet je ook voorzichtig zijn met de data die van een QR code af komt voordat je er wat mee doet. Kan je niet controleren wat er in de QR code staat? Neem dan een andere scanner.

En maar roepen dat contant zo onveilig is. Daar raak ik maximaal kwijt wat ik bij me heb. Met je smartphone, en ook je pinpas, is je hele rekening doelwit.

Wrang-grappig dat banken oorspronkelijk op jouw geld pasten omdat met grote zakken goudgeld over straat gaan (wat handelaren anders moesten doen) gewoon onveilig is, maar ondertussen is een kleine hoeveelheid contant bij je hebben toch echt veiliger voor jou dan met je smartphone met bankier-app.


Lijkt me een strak plan om die hele functionaliteit uit te schakelen. Is niet iets wat je dagelijks nodig hebt dus doe het maar niet. Pas als er iets overgezet moet worden... weet je, doe maar niet vanaf de smartphone maar hooguit vanaf een QR-code op een introductiebrief die je normaliter bij je belangrijke papieren bewaart.

Nou, als het de eerste keer "niet werkt" en iemand anders even "hulpvaardig" jouw telefoon ter hand neemt en snel even klik-klik-klik alle popups wegpoetst, kun jij dan achteraf nog zien wat er zonet even gebeurd is?

Dit is een babbeltruuk, en truukbabbelaars zijn handig en bedreven in dit soort babbelen en truukjes. Ik denk dus dat je wat te makkelijk bent met het veroordelen van het slachtoffer.

Het fundamentele probleem met de QR-code is dat je afhankelijk bent van software die er "iets mee doet", wat dat ook moge zijn. En weet jij veel, mischien is die QR-code wel geprepareerd en zorgt'ie voor een buffer overflow of iets in die trant, en komt daardoor de "waarschuwende" popup niet op het scherm. En als daarmee de enige(!) beveiliging van "twee keer klikken" uitgeschakeld wordt... tsja.

En dan hebben we het nog helemaal niet gehad over het fenomeen dat gebruikers door jarenlang dagelijks met grote hoeveelheden nietszeggende popups bestookt te zijn goed getraind zijn in blind doorklikken zonder te lezen wat er staat. Want vrijwel altijd is zo'n popup toch nutteloos. Denk allerlei windows-waarschuwingen over mogelijk-potentieel-eventuele gevaren en als het echt dreigt mis te gaan zegt'ie niets, maar de koekjeswet-popups (dank u feestelijk, domme eurocommissars) net zo goed.

Dus ik denk dat "de gebruikers" gewoon doen wat er blijkens van ze verwacht wordt en dat oplichters makkelijk misbruik kunnen maken van de door managers, marketeers, techneuten, en bankiers geschapen situatie.

Dit blijft een "niet op die email klikken!"-type argument.

Mijn keuze zou zijn om niet te bankieren op de smartphone maar dat gewoon lekker thuis in de werkkamer te doen, op de werkcomputer. Daar schrijf ik de briefjes, daar doe ik de administratie, daar doe ik de overschrijvingen, en elders, ach, ik heb contant bij me en als dat op is dan is het feest over, tijd om naar huis te gaan. Vinden banken niet leuk want ik hou strakke controle over wat ik uitgeef, maar is wel goed voor mij.

Een waarschuwing wat de QR code precies doet zou duidelijker zijn.

Nou in ieder geval staat het als een paal boven water dat QR codes er nul niks nada noppes mee te maken hebben
en dat de schuld ligt bij de ING app en dan is het een beetje raar om te waarschuwen voor QR codes ipv voor de ING app.

Deze fraude is al een paar keer besproken.

zie https://opgelicht.avrotros.nl/hulp/vraag-antwoord/artikel/fraude-met-qr-codes-wat-is-het-en-wat-kun-je-ertegen-doen/
(ok, staat niet hoe het werkt - wel de bekende M.O.)

Het slachtoffer wordt gevraagd om een QR code te scannen om een betaling (van een parkeerplaats o.i.d.) te bevestigen.
De dader betaalt het slachtoffer dat bedrag meteen contant terug (met de smoes van pin pas vergeten o.i.d.) .

De QR scan leidt naar een valse bank-betaal site, die zich presenteert als een betaalverzoek voor een paar euro, maar onder water de actie "koppel een tweede device aan de bankrekening" doet .
Het slachtoffer authoriseert de "betaling" (met al z'n credentials) maar authoriseert in werkelijkheid het koppelen van een tweede device (in bezit bij de dader/handlanger van de dader) aan de rekening

Met een geauthoriseerde app op een (ander) device bij de daders is het natuurlijk prima mogelijk om geld weg te pompen : overboeken naar rekeningen van katvangers, of gewoon betalingen mee doen voor dure/verhandelbare spullen.

" Tiny Url's,bitcoin...qr-codes,allemaal vage sh#t. "

Oeps correctie hoor maar dit artikel heeft helemaal niets met Bitcoin te maken.
ING is een bank geen bitcoin provider.

Jack Jones

De QR code is slechts een middel om de telefoon-met-bankapp van het slachtoffer naar een phishing site te laten gaan die zich voordoet als kleine betaaltransactie (dus slachtoffer verwacht bank-app authorisaties te moeten doen), maar onder water een tweede device koppelt.

Het _is_ wel een heel fraaie manier van machine-readable data overdracht .
Een transactie bedrag plus rekeningnummer + bank URL overtikken echt niet lekker als je in de kroeg de rekening even wilt verdelen.

ICS doet dacht ik alleen creditcards - dan is een policy van '1 device' net wat makkelijker - maar nog steeds onhandig, als je thuis met je tablet werkt maar onderweg met je telefoon.

Banken hebben het product "en/of rekening" , een gedeelde rekening voor echtparen - dan is de mogelijkheid van meerdere devices met de app (net zoals meerdere pinpassen) gewoon een harde eis.

Ach het is zo simpel, het activeren van een mobiel apparaat vanaf een ander mobiel apparaat moet gewoon onmogelijk zijn. Lekker alleen via de browser en oline bankieren. Dan klik je bewust op mobiel bankieren activeren en kan je de op het scherm getoonde QRcode gebruiken voor autorisatie.

Dit soort schjinveiligheid heeft er ook voor gezorgd dat ik 2 rekeningen heb bij verschllende banken. Een voor me vaste lasten. Niet op de mobiel en geen pinpas. En een voor het wekeljkse pin gebeuren, staat maar een paar honderd max op tenzij ik een grote aankoop ga doen.

+1

Precies, een babbeltruuk. En dat heeft dus helemaal niets met beveiliging te maken, want is nu net datgene wat dankzij de babbeltruuk wordt omzeilt. Al dan niet met medewerking van het slachtoffer, want die heeft dankzij de babbels helemaal niet door wat nu precies het doel is van de babbelaars.

Ik ben toch blij dat ik gewoon nog steeds alles cash betaal.
Dit en heel veel andere problemen doen de slachtoffers zichzelf aan. En met welk doel?

Wel raar dat je dan niet even toestemming moet geven op je eigen telefoon om een ander apparaat toe te voegen. Kan toch makkelijk dat er bij het toevoegen vanaf beide apparaten gescand moet worden lijkt me?

Geld moet rollen. Liefst zoveel mogelijk electronisch ende digitaal. Anders verdient de bank niets.

Er wordt gescand door jouw telefoon. Door jou . Jij denkt voor een parkeerplaats (of een tikkie betaling 1 cent of wat voor kulverhaal dan ook).
En je geeft toestemming op jouw telefoon.
Alleen de toestemming is voor wat anders dan je denkt.

Het probleem is dat men een onnodige functionaliteit heeft ingebouwd, de mogelijkheid om het het ene mobiele device
het andere device the autoriseren, die de mogelijkheid voor een babbeltruuk opent. Men moet die functionaliteit er gewoon
uithalen dan is het opgelost. Alleen de bank neemt dat niet aan van klanten.
Ik denk dat ze het wel aannemen van de politie. Dus als de politie nou even publiceert dat die ING app niet gebruikt moet
worden vanwege een belangrijk defect, dan gaat ING dat defect er wel uithalen.

En mensen die op straat van hun contante geld worden beroofd doen dit zichzelf zeker aan?

Ik doe eigenlijk alles digitaal zonder enige problemen.
Maar cash of digitaal betalen staat los van het QR code probleem.

Hangt er even vanaf hoe je dit bedoelt. Er zit gene doel achter voor de slachtoffers.

Of je moet met doel digitaal bankieren bedoelen? Ik zou er niet meer aan moeten denken aan 30 jaar geleden met alle overschrijvingen per post of inbellen per modem, bankcheques.
Ik kan mijn geld nu overboeken in een paar seconden, heel snel betalingen in de winkel doen. Dat heet vooruitging.
Maar er zitten ook nadelen aan deze vooruitgang. Maar we hadden vroeger ook nadelen.

Misschien gewoon een extra authenticatie via SMS/mail? "Op 6-3 om 9.40 gaf u aan toestel X te willen toevoegen aan de aan uw bankrekening gekoppelde toestellen. Indien dit correct is, ga dan naar uw de site van uw bank om dit te authoriseren. Indien u twijfels heeft, meld dit dan aan uw bank"
Iets in die richting?

ING is willens en wetens al hun functionaliteit in 1 app aan het stoppen. Als gebruiker heb je (bijna) geen keus.

Een extra toestel toevoegen aan de bankrekening zou vanuit de MijnING omgeving moeten gebeuren, met vervolgens een fiat vanaf de app. Niet beide via de app. Dat vraag (blijkbaar) om problemen (voor de klanten).

Idem vwb betaallimieten. Dit zou ingesteld moeten worden voor de app vanuit MijnING en niet vanuit de app zelf.
het is alsof de slager zijn eigen waar keurt.

Weet iemand je 5-cijferige pin voor de ING-app af te kijken (en kan tijdelijk ongemerkt bij je telefoon), dan kan die persoon alles. Dezelfde pin wordt voor alles gebruikt in de app. Zoveeel veiliger dan een steeds wisselende tan-code. [vanaf een lijst]
Weet iemand een tweede telefoon gekoppeld te krijgen aan de bankrekening, dan kan die persoon alles.

Het "grappige" is dan weer wel dat ING voor toegang tot MijnING, wel een verificatie vanuit de app vereist. Waarom, geen idee.
Andersom instellingen via/voor de app wijzigen vereist echter geen actie vanuit MijnING. Alleen de 5-cijferige pin.

Zoek de ontwerpfout van ING.
Iemand?

Hoezo ligt het aan de ING App??
Hoezo bijvoorbeeld niet aan de inrichting van ING server authenticatie?
Hoezo bijvoorbeeld niet aan of een deel van het data verkeer dat vanaf ING klant middel QR code naar de ING server gaat inherent dupliceerbaar en die geforkte data in een flits alsnog manipuleerbaar en inzetbaar voor bank-autorisatie opdrachten kan zijn?

Scherp.
Dat de daders kennelijk geen extra / 2e of 3e toestemming nodig hadden of dat dat onder omstandigheden omzeilbaar is, schuilt misschien ook de truc van de daders in.

Ik ken overigens wel meer IT omgevingen die zijn ingericht met specifieke technieken waar een eenmalig aangevraagd en verkregen seintje voldoende was om onder de motorkap van de software en het apparaat te kunnen.
Met als gevolg dat je toegang had met haast onbeperkte lees/schrijf rechten terwijl dat boven de motorkap netjes was afgeschermd en ingekapseld.
Inclusief admin handelingen zoals eventueel verplaatsen van bestanden naar diverse directories van niet ingelogde derde user accounts buiten de gebruikers groep.
Alleen gebruikers van andere server en super-admin handelingen waren daarbij niet benaderbaar.


Nou is het natuurlijk ook zo dat banken als ING ZELF met het "recentere" digitaal betalen allerlei shortcuts hebben geïntroduceerd.
Met als "doel" / suggestie volgens de PR van de banken dat je als client bank-opdrachten "makkelijker" kan laten autoriseren en verwerken.
Die introducties van toegevoegde betaalwijzen zijn in essentie gebaseerd op eliminatie van tussenstappen ten opzichte van de gebruikelijke betaalwijzen.
Zodat je i.p.v. bijvoorbeeld in plaats van 2x pin codes invoeren achter je computer je met de "makkelijkere" technieken slechts 1 invoer nodig hebt om de hele motor aan de gang te krijgen.
Dat is kennelijk ook dusdanig bij de ING gedaan dat je als "fixer" van de motor ook voldoende in gang kunt krijgen als je slechts op 1 plek de motorkap bij-boort.
Mogelijk heb je voor die handeling nog elders iets gedaan, dat cruciaal kan zijn om de truc te laten slagen maar mogelijk is het meer doorslaggevend dat als je "fixer"/dader verschillende gereedschappen bij de hand hebt dat je dan voldoende in staat kan zjin om op niet bedoelde wijze bank-transacties te kunnen voltooien.
En dat die fixers in dit geval bijkomend meteen ook geen/onvoldoende beperking(en) ondervonden van waarschijnlijk ingestelde plafond-bedragen die bij die "makkelijkere" en dus kwetsbaardere betaalwijzen zouden passen, je logischerwijs zou willen verwachten.

Misschien omdat die plafond-bedragen niet op de juiste IT-laag van de betaal-wijze zijn ingeregeld.
Wellicht dat de ING dat op UI niveau i.p.v. netwerk/protocol niveau heeft ingeregeld, al weet ik niet of ze die ultieme flexibiliteit wilden kunnen benutten.
Die plafond-bedragen op de hoogste IT-laag van het betaal-wijze ingeregelen maakt natuurlijk dat de bank zo'n nieuwe betaal-wijze ook gelijk een stuk sneller kan introduceren.
Gedurende de lifecycle zijn aanpassingen als ING dan doorgaans ook makkelijker eenzijdig door te voeren zonder dat de bank vast zit aan protocol-en ontwerp-afspraken met andere banken en/of IT-netwerk clusters.
Kennelijk is de hardware en het netwerk verkeer die ING nu toepast voor dit soort makkelijke betaal-vormen zo generiek dat je buiten de casing, knoppen, display e.d. en minder fundamentelere IT-onderdelen er als "dader" gewoon mee uit de voeten kan om iemand te bestelen.
Hoe dichter je bij de essentiële onderdelen iets moet laten ontwerpen hoe eerder je natuurlijk ook aanloopt tegen afwijkende / niet-universeel inzetbare standaarden

Zolang de stroom het doet. En de overheid niet toevallig even krap bij kas zit ("Cyprus-template"). En zo verder.

Niet helemaal. Het is die digi-dwang die alelrlei mensen aan de smartphone-"app" "helpt" en daarmee allerlei mogelijkheden voor handige oplichters schept.

Dan denk je er maar niet aan. Ik ben blij dat de overschrijvingen per post het nog gewoon doen. Voorzover, dan, want ook daar probeert de ING je weg te pesten door bijvoorbeeld onaangekondigd allerlei bedragen te rekenen voor "diensten" die ze vervolgens regelmatig niet eens leveren, en klagen levert de intelligentiebeledigende "wij weten beter want u is maar consument"-standaardbriefjes op, overduidelijk zonder dat ze de inhoud van de klacht gelezen laat staan begrepen hebben. Maargoed, als de intertubes het (weer eens) niet doen kan ik nog steeds gewoon een envelop met wat opdrachten op de post doen en tegen de tijd dat ze hun omgevallen servers weer rechtop geduwt hebben is de post ook weer langs geweest. Ik hoef dus niet te gaan zitten wachten en nog eens te proberen en dan erachter te komen dat de overschrijving een, twee, of drie keer te vaak is uitgevoerd.

Het is gewoon best handig meerdere mogelijkheden te hebben en als automatiseerder gaat het niet aan dat je de klant maar op één manier wil bedienen, alleen de allerhipste allernieuwste manier, en iedere week iets nieuwers. "Want we moeten toch met de tijd mee", leuk man! ("Deze kassa is alleen voor mensen in een houthakkersshirt met een top knot op hun kop.")

Dat had jaren geleden al gekund, zoals te zien in verschillende buitenlanden, en dat het hier nu pas kan is echt op het konto van de verenigde banken zelf. Zeker ING heeft nog jarenlang een paar daagjes extra op de poen gezeten om wat centjes rente te vangen terwijl het geld "onderweg" was.

Ik zie eigenlijk niet dat het betalen zo heel veel sneller is dan met contant. De oudjes die vroeger met muntjes stonden te pielen staan nu met de kaart te pielen. De "soccer moms" die voorheen de kassiere lieten wachten terwijl ze alles inpakten en daarna hun portemonnee vanonder de diepvriespizzas onderin de tas moeten uitgraven doen dat nog steeds, of er nou briefjes of plastic uit hun extra grote portemonnee gevist wordt. Hooguit staan ze onderhand nog extra luid in hun telefoon te kleppen en letten ze nog minder op hun omgeving.

Als ik in de supermarkt sta te wachten tel ik even de muntjes en ik pas braaf bij zodat ik niet omkom in de muntjes en dat drukt ook weer de kleingeldkosten voor de winkel. Dat is nog steeds minstens net zo snel als pinnen of draadloos wapperen. Het vereist wel een beetje handigheid en het kan best dat je dat soort hoofdrekenen niet meer leert op de basisschool, want de juf en de meester kunnen zelf niet eens meer rekenen. Maar als je dat kan is het geen probleem en zelfs geen moeite.

Het probleem met kleingeld is veel meer dat de banken het wegpesten door het steeds duurder te maken. En dat doen ze met alles. Je mag onderhand nauwlijks meer op je eigen rekening storten. De banken willen contant gebruiken echt zo onhandig mogelijk maken zodat jij maar aan het plastic gaat.

En dan is er de niet aflatende propaganda dat afhankelijk zijn van banken+pinapparaten+transactieverwerkers "makkelijk" is en precies weten hoeveel geld je op zak hebt niet. ("Wat maakt het uit, als je maar geloofd.")

Ik denk dat je best wel kritisch mag zijn over wat je inlevert en wat je ervoor terugkrijgt. En, hee, waarom zou die vooruitgang automatisch moeten betekenen dat alle klantjes méégetrokken moeten worden naar het meest hipste en nieuwste? Uiteindelijk gaat het om de dienstverlening, en automatisering zou dingen beter maken, niet alleen maar (iedere week iets) nieuw(s). Juist automatisering zou moeten betekenen dat meerdere opties aan de klant bieden simpel en goedkoop te implementeren en te onderhouden is. Mits goed opgezet, en dat is dan wel weer heel zeldzaam in automatiseringsland. Maar het kan wel. Je kan zelfs zeggen, dat moet, want zonder kan automatisering de beloften van beter veel minder nakomen. En ondertussen hebben de banken toch wel enige tientallen jaren ervaring met dat automatiseren, dus waarom laten ze hier zulke steken vallen? (Het voor de hand liggende antwoord is dat ze het niet voor de klant doen, maar voor zichzelf.)

Precies. In MijnING moet je het inloggen en overschrijven (en waarschijnlijk ook het wijzigen van de betaallimiet en het toevoegen van een extra toestel) bevestigen met de ING-app op je mobiel. Maar andersom hoeft dat niet en daardoor is de ING-app nu feitelijk onveiliger dan MijnING.Steeds meer mensen gebruiken helemaal geen PC meer en doen alles op hun mobiel. Wel zo gemakkelijk, maar dus minder veilig.

Toen ING ons vorig jaar dwong de ING-app te gaan gebruiken (of met een cardreader te gaan rondlopen), dacht ik nog: bevestigen met een app is veiliger dan bevestigen met een SMS, dus vooruit. Toen bleek dat je op de ING-app overal bij kunt, inclusief je ING-spaarrekening en creditcard. Die kun je verbergen (en weer te voorschijn halen) in de instellingen van de app, dus onveilig.

Veel veiliger is een ING-app waarmee je alleen kunt bevestigen wat je in MijnING wil doen. Daar lever ik graag het gebruiksgemak voor in om op elk moment via de app te kunnen overschrijven.

En dan lees je vandaag het volgende berichtje:

https://www.security.nl/posting/646882/"Miljard+Androidtoestellen+ontvangen+geen+updates+meer"?channel=rss

Wat zijn mobieltjes toch veilige apparaten om bankzaken mee te doen. Vooral als je er alles mee kan. Ebn alles met 1 pincode. Wel zo makkelijk. dan hoeft de gebruiker niet na te denken. En de dief/oplichter'/hacker ook niet.

Enige paranoia bij de ontwerpers en bouwers van de ING-app zou wenselijk zijn. Of in ieder geval een security mindset.

Is er eigenlijk nog een bank in Nederland waar dit wel goed geregeld is?

Nee. Alle banken, ook de nieuwelingen, zetten alleen nog maar in op achter de muziek der nieuwerwetsigheid aanlopen. Niet op de klant bedienen. Die moet gewoon in het sprookje geloven en dan komt alles goed, heus waar.

Het is vinden van de juiste balans tussen betalingsgemak en veiligheid.
Organisatorisch, technisch en procedureel is dit het goed te regelen.
Maar commercie gooit weer roet in het eten. Banken, managers,
Adverteerders en (witteboord) criminelen hebben andere belangen dan / (met het geld) van de cliënten en dat is al sinds geld / materieel goed bestaat. "Afloeksen" zeggen we ook wel in Limburg....

Die raken in elk geval maximaal kwijt wat ze bij zich hadden, en niet potentieel AL het geld van AL hun rekeningen