Mijn bank (SNS) doet dit inmiddels ook (via het scannen van een bepaalde code). Sinds kort gebruik ik een soortelijke inlogmethode bij Digid. Ik houd de Token van de bank overigens nog wel apart voor het geval dat, zou ik maar zeggen.

Ik werk nu noodgedwongen met deze app en voor mij een rede om over te stappen naar een andere bank.
In korte tijd al tot 2 x toe gedwongen om een app te installeren, de eerste voor het uitvoeren van nieuwe identificatie bij Knab en nu om betalingen te bevestigen. Ik ben totaal niet overtuigd dat deze optie veiliger is. Eén verkeerde app installeren naast de Knab app en je bent net zo goed de klos.

Daar heb je dan overtuigend bewijs vas?

Ik lees er namelijk toch echt heel weinig over dat dit misbruikt is/wordt.

En terecht, het is niet vanzelfsprekend dat de app wél bescherming zou bieden tegen phishing. Vorig jaar heb ik dat wel eens bij de DigiD app geprobeerd en ook die was gewoon nog vatbaar voor phishing. Vuistregel: als er geen veilige verbinding is tussen de app op je telefoon en de desktop waarop je een betaling wilt versturen, dan voegt die app niks toe tegen phishing.

Los daarvan slaat het ook helemaal nergens op, er zijn namelijk genoeg open standaarden die wél bescherming bieden tegen phishing. Zoals bijvoorbeeld de FIDO2 standaard of de ouderwetse smartcard.

"De daglimiet voor overboekingen naar anderen is verlaagd naar 50.000 euro" Belachelijk hoog bedrag, hoe vaak komt het voor dat je zo'n bedrag prive moet overmaken?

Ik heb sterk de indruk dat KNAB in paniek is (ze doen dit zonder enige vorm van waarschuwing, waardoor veel mensen opeens geen toegang meer tot hun geld hebben) en probeert met een schijnoplossing een probleem aan te pakken. Het is uiteraard niet zo dat een app veiliger is dan een calculator. Iemand die gephisht wordt en daar intrapt zal niet vanwege een app opeens daardoor worden tegengehouden. Het is overigens bekend dat phishers apps gebruiken om hun criminele activiteiten te plegen.

Tot voor kort, sinds begin dit jaar, zat er een fout in hun systemen waardoor wachtwoorden eenmalig alleen werden geaccepteerd als ze werden gereset. Dus bij elke inlog moest een ellenlange "wachtwoord vergeten" procedure worden doorlopen. Dat kan wel lijken op criminele activiteit, maar als je beter kijkt is dat het gevolg van een ernstige fout in de inlogprocedure op hun server.

Betaald Knab dan ook de telefoon die nodig hebt om zo'n app te kunnen draaien? Niet iedereen heeft (of wil) een Apple of Android telefoon...

Het is niet zo dat SNS gebruik van een app verplicht. Op het inlogscherm van de bank krijg je de keuze uit 3 inlogmogelijkheden: Digipas, Digicode en QR-code. Als je kiest voor Digicode, dan kan je nog altijd inloggen met gebruikersnaam en wachtwoord. Ook voor betaalopdrachten is er geen app verplicht.

Dat zal niet vaak voorkomen, sterker nog, vrij zeldzaam, maar als je een hoger bedrag moet overmaken moet je dat natuurlijk wel kunnen doen. Als je bijv een auto koopt van 60K (wat je inderdaad niet dagelijks doet, maar wat geen raar bedrag is voor een nieuwe auto) dan wil je die wel kunnen betalen natuurlijk. Er zijn wel meer hele goede redenen om dat soort bedragen over te maken, bijv naar een aannemer voor een grote verbouwing. Als je bank dat soort transacties niet kan faciliteren dan is het geen geschikte bank voor juist het soort mensen die de bank graag als klant heeft. Ik vind zo'n limiet dan ook een rare maatregel. Iets als "bij bedragen hoger dan X bellen we u eerst op" of zo zou denk ik beter zijn, maar goed, ik ben geen bank.

Het nieuwe beleid van Knab, hangt waarschijnlijk samen met de mythe dat een smartphone veiliger is als een desktop of een laptop.

Waarschijnlijk is, dat iemand die niet met een desktop om kan gaan, dit ook niet kan met een smartphone.

Voor mij geeft het alleen maar de onkunde van de bank aan, ik denk eerder dat een cardreader veiliger is dan
een app. Deze codes kunnen normaal door niemand worden gelezen, en dat een smartphone zo veilig is lees
ik hier meerderen malen dat dit niet hoeft te zijn.

Het kan ook zo zijn dat ze met een app extra inkomsten krijgen door data te verkopen aan die Amerikaanse
bedrijven, maar dat kan ik helaas niet met zekerheid zeggen.

Maar de meerderheid zal wel doen wat hun wordt opgedragen, en braaf in het gelid lopen en niet voor een
andere bank kiezen, en dan volgt de rest van de banken wel en dan hebben wij geen keus meer.

Is het niet zo dat mensen met een desktop meer van computers afweten, en met een smartphone alleen maar icoontjes
klikkers zijn. Je hebt geen idee wat er allemaal in dat ding afspeelt en er maar van uitgaan dat alles goed komt.

Kom eerst eens met bewijzen voor jouw aannames! Complottheorieën krijgen we hier genoeg!

Dan kan je altijd nog tijdelijk je limiet laten verhogen. vT@mT&

Proficiat je hebt me verrast, dat hier onzinnige reactie's op kwamen dat had ik wel verwacht. Maar meer in de richting
van iets over mobieltjes, maar zoiets als complottheorieën dat zeker niet. En hoe kom je aan aannames, die heb ik
nergens gebruikt.

Misschien moet je meer moeite doen om te schrijven wat je bedoelt dan kan ik een antwoord geven, maar eerst
beter lezen dan begrijp je dat ik alleen iets suggereer. De betekenis van suggereren is op internet overal te vinden.

Ik ga niet afwachten op overtuigend bewijs want dat zou dan kunnen betekenen dat mijn bankrekening al geplunderd is. Ik kies voor logisch nadenken en trek de daarbij behorende conclusies. Wil je het lezen, ga je gang: https://www.ic3.gov/Media/Y2020/PSA200610

Tja, als je nog een Nokia 3310 hebt, dan moet je zoeken naar een bank die nog eurocheque's accepteert.

Jouw aanname van onkunde van de bank b.v.
Jouw aanname dat de cardreader veiliger is
Jouw aanname dat een extra app extra verdiensten genereert

De reader zelf is wel veilig alleen het gebruik van de pas+pincode voor autorisatie van overboekingen en wijzigen van
instellingen, limieten e.d. dat deugt niet. De pincode kan worden afgekeken in een winkel en de pas vervolgens gerold
of geroofd. Het feit dat alle readers gelijk zijn en geen extra code vereisen die je niet dag in dag uit overal intoetst breekt
je dan op.

Wat er in staat , is dat je niet zomaar willekeurige App's moet laden, maar uit een betrouwbare bron. Net zoals bij een pc! Niet meer en niets minder, dat jij jouw gevolgtrekking maakt is jouw goed recht, maar overtrokken!

Mag hieruit concluderen dat jij weet hoe deze apps in mekaar zitten en dus weet hoe ze werken, is dat niet zo
dan doe jij het zelfde waar je mij van beschuldigd.

En die bankdirecteuren vertrouw ik ook helemaal niet meer, het gaat alleen nog maar om grote winsten en
mensen tellen niet meer mee. Hoe jij dat ziet is voor jou, ik ben de ing nog steeds niet vergeten.

Ik zelf geloof dat wij allemaal een smartphone moeten hebben zo dat ze ons helemaal onder controle hebben, en
ja dat weet ik niet zeker en daarom gebruik ik het woord,geloven.

En ik mag overal in geloven zelfs in goden, maar wat jij schrijft over dat ik complottheorieën hier aan het verkondigen
ben is zeker niet waar.

Dus als je bij knab wilt bankieren dan moet je een smartfoon hebben en hun app installeren. Ik wil beiden niet. Dus bankier ik niet (meer) bij knab.

Cash in een oude sok. Mag ik zelf bepalen in welke sok. Waar ik die sok neer leg. En wie ik in mijn sok laat kijken.

Een aparte hardware oplossing als een cardreader is natuurlijk veel veiliger dan een app. In een cardreader moet je je pasje steken (neem ik aan ook bij Knab) en je pincode invoeren (?). Vergelijk dat met een app, die leunt op de beveiliging van je telefoon (patroon, pincode, vingerafdruk, facial recognition, e.d.), en evt. een aparte code op de app. Geen fysiek pasje, geen hardware apparaatje, geen pincode. Duh, dat kan nooit even veilig zijn. De echte reden lijkt me dat een app véél goedkoper is dan een cardreader. De hardware zelf kost wat, de logistiek voor de distributie, etc. Pecunia.

Welcome to the future.

Daarom moet je dit ook een specialisten overlaten. die hebben er meer verstand van.

Valt heel erg mee. Sterker nog, In de app kunnen ze veel meer beveiligingen inbouwen dan de website.

"wel" maar we betere.

Maar heel slecht beheersbaar.

Ook de meeste klant onvriendelijke mogelijkheid.

We mogen het weer zelf opzoeken bedoel je?

Hij had gewoon een heel goed punt.

Leuk stukje... Maar zegt ook niet zoveel. Je hebt het ook gelezen? Het is namelijk een heel hoog over stukje wat heel globaal is en niet specifiek op bankings apps gaat.
Men spreekt trouwens ook over een vermoeden.

Zeker in Amerika heb je heel veel banken. Vele hebben gewoon niet de kennis en kunde om veilig apps of websites te ontwikkelen. Zo zijn er genoeg, waarmee je gewoon met een userid/wachtwoord kan inloggen. Iets waar dit artikel ook op in gaat, door sterke wachtwoorden te gebruiken.
En waar gebruiken we gebruikersnamen wachtwoorden, exact voor? Voornamelijk op websites en niet op Apps. In ieder geval niet bij banken waar ik zit.
Ik zit wel bij diverse banken of grote organisaties waar ik moet inloggen op websites. 2FA is bij vele niet mogelijk trouwens.

Niet echt sterk bewijs.... Sterker nog, dit is geen bewijs.

Heb jij ook al bewijs dat ergens de banking apps gehacked zijn?

Weet je anoniem @20:46 vroeger konden slimme mensen beslissen of ze wel of niet meededen, nu beslissen de
dommen voor hun.

Bedank voor je reactie Toje Fos, ik denk dit ook en zeker bij het systeem van de ing.

Na elke opdracht dat naar knab's inzien afwijkingen vertoont van jouw patroon moet je je dus opnieuw identificeren via de app. Volgens mij was dat met een selfie o.i.d. Ze hebben blijkbaar problemen om vast te stellen of het om de echte klant gaat of phishers.

Met de app kunnen zij een beter profiel maken op basis van user agent en andere fingerprint data en bij twijfel een verzoek om opnieuw te identificeren. (denk ik)

Waar vind momenteel echter de meeste fraude mee?

Bankpas + pincode diefstal.
Whatsapp fraude (Toevoegen van App).
Fake Apps die nep betalingen/overschrijvingen laten zien.

Maar ik heb nog heel heel weinig echte App hacks gezien.

Dit ben ik met je eens, ik heb het hier jaren terug met een bankmedewerker overgehad en vroeg mij toen om een
oplossing, voor mij heel simpel, gewoon een aparte pincode maar dat is te omslachtig om in te loggen. Er werd
toen wel beweert dat dit systeem heel veilig is. Voor de rest sluit ik mij aan bij de reactie van Toje Fos.

De ing heeft dit volgens mij beter opgelost.

Lees je reactie eens goed door, je stelt zelf, dat ze iedereen onder controle willen hebben. DAT is een complottheorie, helaas snap je dat zelf niet.

Inderdaad is het bij ING beter opgelost, of in ieder geval er IS een betere oplossing beschikbaar. ING zit in een traject
van vervangen van de TAN oplossing en daardoor zie je hier mensen links en rechts door elkaar roepen dat het bij ING
slecht is en bij de andere grote banken beter, terwijl het juist net andersom is: de autorisatie van de website is bij ING
als je die scanner gebruikt veel beter dan bij andere banken die een cardreader gebruiken.

Blijft alleen over het probleem van het toevoegen van extra APP's (telefoons) aan het account. Er verschijnen wel
meldingen maar dat werkt zo niet. Daar moeten ze iets aan verbeteren, desnoods maar via een ouderwetse brief
ofzo. Dit is wel "makkelijk" maar het risico is gewoon te groot.

Voor het geval, dat je het nog niet weet, het artikel gaat over Knab, niet over de ING!

Waarom in vredesnaam denkt iedereen toch altijd "geen Apple of Android telefoon = ouderwets GSM"? Er zijn diverse mogelijkheden om een smartphone te hebben zonder Apple of Android (of in elk geval zonder Google) - en er zijn ook hele goede redenen om dat te doen. Vandaar dat ik een hekel heb aan bedrijven die proberen me te dwingen om een van die twee te "moeten" gebruiken.

Het is niet zo dat een telefoon veiliger is dan een desktop, maar dat de gebruikte applicatie dat is. Op de desktop gebruik je gewoon de standaard browser met vanalles en nog wat er in of naast geinstalleerd. Op de telefoon gebruik je de app van de bank. Die heeft (hopelijk) extra voorzieningen om bijvoorbeeld te controleren dat de code die je scant ook echt overeenstemt met wat wordt verwacht.


Ik heb Knab, maar kan me niet herinneren ooit twee apps te hebben moeten installeren. Ik heb 1 app geinstalleerd toen ik klant werd en die is gewoon steeds automatisch geupdate.

Peter

Hebben die ook een banking app? Dus geen probleem.

Zie onderstaande link, als jij vindt dat ik in complottheorieën denk dat mag jij dat van mij, ik zelf zie het anders.

https://mediawijs.be/dossiers/dossier-media-en-radicalisering/wat-zijn-complottheorie%C3%ABn

Er zijn een paar facetten .
Ik durf wel te stellen dat als gemiddeld platform een telefoon/tablet veiliger is dan een desktop.
Als in : het percentage telefoons waarop malware draait is kleiner dan het percentage desktops waarop dat het geval is.

Met name iOS is zowel technisch als qua ecosysteem gewoon _erg_ goed om malware te weren, en de mogelijkheden voor malware om iets te bereiken tegen andere apps zijn veel verder dan op de typische desktop .
Maar ook Android doet heel veel op dat vlak.
het is een enorm verschil met de pool aan desktops waarop internet bankieren gedaan wordt.

Voor zo ver ik weet zijn er geen 'man-in-the-browser' attacks geweest tegen banking apps zoals die er ruimschoots zijn/waren tegen desktops - en dat heeft een hoop te maken met het verschil in platform landschap.

Als voorbeeld, hoe kan dan dat Kees van der Spek die oplichters pakt zonder die smartphone te manipuleren?

Is het niet zo dat wat zij kunnen criminelen ook kunnen en deze spelletjes zullen steeds steeds verder gaan. Ik zal
hier maar niet verder op in gaan want dan ben ik de idioot, de tijd zal het wel uitwijzen.

https://www.broadcastmagazine.nl/radio-televisie/televisie/kees-van-der-spek-betrapt-whatsapp-fraudeurs-op-heterdaad/

Kijken naar scripted reality en denken dat je naar reality kijkt is een probleem.

Meest logische lijkt me dat de oplichters gephished zijn - bijvoorbeeld met de belofte een update/betere spy trojan te installeren, en dat ze dat ook doen.
Mocht het niet lukken -, dan probeert ie de volgende andere oplichter want er moet wel succes gefilmd worden - en er is geen tekort een kandidaten.
Dat het oplichters zijn maakt ze niet echt veel beter in hun eigen operationele veiligheid - net zo goed als je allerlei nigeriaanse prinsen in rare poses kunt vinden die terug-gescamd werden en hun eigen truken niet herkenden.

Gemiddeld _is_ een smartphone veiliger - en kost het veel meer werk (of veel meer medewerking van de gebruiker) om er malware op te krijgen.



Je bent geen expert .

@Anoniem 17: 19 Ik ben inderdaad geen expert, maar wel nieuwsgierig hoe zij dat doen, volgens mij niet
zoals jij beschrijft. Misschien weet iemand anders hoe het wel werkt.

Stel je doet een transactie bij Knab via de site of de app. Dan is bevestiging via een cardreader een onafhankelijke 2FA. Nu vervangen ze de bevestiging met de reader door een in de app. Als je dan je transactie via de site doet, is dit nog steeds 2FA. Maar een transactie in de app bevestigen via de app? Heb je dan nog wel een onafhankelijke tweede factor? Volgens mij niet. Am I right?

Jij bent geen expert. Het is tamelijk duidelijk dat phishing niet gaat over malware. En jij verwardt die twee.

Is het dan zo dat je via de app van je smartphone kunt inloggen op je pc, en gaat dit ook bij inloggen overheid.

Voor de reacties voor te zijn van die vinden dat dit niet bij dit topic hoort, hou ze alstublieft voor je, er zijn nog genoeg
mensen die iemand willen helpen, en ik dit weet dit echt niet en ben daarom blij als iemand mij hier uitsluitsel over kan
geven, Ik heb helemaal niets met smartphone's.

Dank voor je reactie, ja wat hij schreef was echt niet samenhangend.

Dat de reader onveilig is bij diefstal en afkijken van de pincode, erken ik. Het probleem is dat de app slecht geschreven is en er van uitgaat dat de telefoon over NFC beschikt. Onlangs heb ik de app opnieuw moeten koppelen. De app crashed op android 5 en 10 en vermeld pas aan het eind van de procedure dat NFC vereist is. Uiteindelijk heb ik na contact met knab de cardreader moeten gebruiken. Ik vermoed dat die nog lang actief blijft voor dit soort zaken. Van de programmeurs van knab heb ik geen hoge dunk. De app gedraagt zich al jaren vreemd op mijn Android 6 toestel.

En wat nu als je smartphone gestolen wordt of je verliest hem met de Knab app erop geïnstalleerd, onderweg ergens midden in het buitenland bijvoorbeeld, geen andere telefoon in de directe omgeving, heeft iemand daar al eens bij stil gestaan?

Als je met een cardreader je betalingen moet accorderen dan is er niets aan de hand maar nu ligt dat toch iets anders.

Je mag hopen dat ze je toestel niet kunnen ontgrendelen maar ja, een lekker gevoel heb je er vast niet bij want je weet natuurlijk of ze hebben kunnen meekijken in een onbewaakt ogenblik en even snel met je bank bellen is niet meer mogelijk.

Ik blijf erbij je moet die hele handel gescheiden houden want het gaat niet enkel om hoe veilig een app of hoe veilig een smartphone is maar het gaat er ook om om niet alles op één en hetzelfde apparaat te installeren.

Volgens mij kun je wachten op de eerste gevallen.

Mijn defecte iPhone is nu voor de derde keer opgestuurd voor reparatie dit in drie weken, dus drie weken
geen smartphone, en maar hopen dat als hij deze week terug komt het wel doet.

Ik heb mijn iPhone niet een keer moeten ontgrendelen, blijkbaar kunnen ze dat in dat bedrijf wel, hoe komt
het dan dat ze zo moeilijk doen dat deze dingen niet te ontgrendelen zijn.

Het gebruik van een app op een telefoon om bankafschrijvingen te doen is vanzelfsprekend veel onveiliger als een kaartlezer. Een telefoon kan spyware, keyloggers, screengrabbers, vingerafdrukonderscheppers bevatten die ongemerkt alles naar een kwaadwillende versturen via de internetverbinding. Daarnaast kan de app zelf gewijzigd zijn door veiligheidslekken in het besturingssysteem van de telefoon.

Een kaartlezer is niet verbonden met het internet. Het vervangen van de programmatuur van de kaartlezer is daarom niet mogelijk zonder fysieke toegang tot het apparaat. Ook kan het niet op afstand uitgelezen worden wegens het ontbreken van internetverbinding. Iemand zou de pincode kunnen afkijken. Echter moet je bij Knab ook inloggen met een gebruikersnaam/sterk wachtwoord alvorens je een overboeking kan doen. Ik acht deze methode enorm veel veiiger als het bevestigen van een betalingen met een telefoon.

Daarnaast integriteit: er is geen manier voor gebruikers om de integriteit van de app te toetsen middels checksum, of de versleuteling van de verbinding naar de bank te onderzoeken of welke DNS naar gebruikt wordt om te verbinden. Allemaal dingen die op een PC met een webbrowser veel zichtbaarder en makkelijker te achterhalen zijn.

De KNAB app geeft toegang tot een rekening met alleen een pincode en staat toe grote bedragen over te boeken met die zelfde pincode. Door geen meervoudige authenticaticatie te vereisen is dit zeer risicovol!

Dan ben je dus totaal niet op de hoogte hoe dit werkt. Een telefoon heeft een uniek ID en bij een transactie van en naar je bank of DigiD wordt dit ID gecontroleerd. Kom de ID niet overeen, dan wordt de transactie geblokkeerd.

Ik heb geen smarphone en wil al helemaal niet bankieren via een smartphone. Ik krijg al lezend een beetje het gevoel dat de ciritici toch wel een punt hebben dat een app zeker niet per definitie veiliger is dan een cartreader. En dat degenen die dit allemaal onzin vinden vooral in hun eigen straatje praten omdat ze bankieren via een smartphone nu eenmaal gemakkelijker vinden. Dat mag, maar het is de dwang die mij dwars zit.

Wat een onzin. Ik heb zo'n Nokia en ik doe verder gewoon al jaren aan Internetbankieren.En als velen een app handig vinden dan prima, maar ik vind de dwang vervelend. Maar zoals iemand nders hier ergens al schrijft: uiteindelijk zullen we wel moeten. tenzij iedereen zoals ik zijn KNAB rekening opzegt en elders gaat bankieren. Maar ik vrees dat dat niet zal gebeuren.

Als je het niet meet, kun je eindeloos volhouden dat het veilig is. Een voorbeeld is wat Facebook via WhatsApp wil bereiken: alle betaalgegevens inzien. Dit geldt, naar ik heb begrepen niet voor Europa, maar het is wachten op de eerste malafide app die deze gegevens wel gewoon van je mobiel haalt. Daarbij vraag ik mij toch steeds af hoe één pincode op een mobiel veiliger is dan een gebruikersnaam, een wachtwoord, een code, verificatie en nog een code. Volgens mij is het alleen nog goedkoper voor de bank en is 'veiliger' een goed verhaal om het te verkopen.