Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Is de ING Bankieren app wel veilig?

26-07-2022, 23:35 door AppUser, 48 reacties
Je kunt in de app alles doen wat ook in Mijn ING kan, maar het is veel slechter beveiligd. Waarom kiest de bank hiervoor?

Online bankieren met Mijn ING is tenminste beveiligd met een username + password + extra bevestiging per telefoon voor het inloggen. Bovendien gebruik je Mijn ING thuis op de laptop en de kans dat daar iemand een password afkijkt en daarna misbruikt is nihil. De extra bevestiging per telefoon is ooit bedacht (terecht) omdat alleen een password niet veilig genoeg is om te bankieren.

Maar dan de app, deze is alleen beveiligd met een pincode (geen extra bevestiging via een ander device mogelijk) maar je kunt er ook al je bankzaken mee doen net als met Mijn ING. Bovendien neem je jouw telefoon en app overal mee naar toe. Dus als je buiten de deur iets betaalt via de bank app en iemand kijkt mee met de pincode dan weet hij meteen alles om de bank app te kunnen misbruiken. Na diefstal van jouw telefoon kan hij niet alleen bij je betaalrekening maar ook nog eens bij andere rekeningen voor sparen/beleggen waar normaliter veel grotere bedragen op staan.

Als nieuwe gebruiker van de ING Bankieren app vielen de volgende onveiligheden mij op, maar wellicht zijn er nog meer:

Onveiligheid 1 zit in de daglimiet van de app die je in de app zelf kunt aanpassen! Dat heeft als beveiliging dus geen zin, zelfs niet als er vertraging op limietwijzigingen zit. Dat zou alleen in Mijn ING ingesteld moeten kunnen worden.

Onveiligheid 2 zit in het feit dat je niet bepaalde rekeningen in Mijn ING kunt uitzetten voor de app. Je zou bijvoorbeeld moeten kunnen instellen op Mijn ING dat je wel je betaalrekening in de app gebruikt (dat is heel handig) maar dat je in de app niet bij de spaar- of beleggingsrekening kunt komen (want daar staan normaliter grotere bedragen op).

Onveiligheid 3 zit in een achterdeur (beveiligingslek) in de bank app waardoor je zonder extra inloggen vanuit de app naar Mijn ING kunt gaan en daar alle bankzaken kunt regelen zonder enige beperking. Dus die extra beveiliging van Mijn ING is heel mooi, maar via de bank app kun je ook Mijn ING openen zonder nog eens extra in te loggen met extra logincodes. Deze achterdeur zit in de app in het service menu via de optie Alle Mogelijkheden. De app meldt nog heel positief “Je gaat verder in Mijn ING. Inloggen gaat vanzelf.” En dat is nu net het probleem. De bank apps lijken volledig te gaan voor gebruiksgemak en verliezen security teveel uit het oog.

Bij eventueel misbruik van die ene pincode van de app zal de bank al snel aangeven dat het je eigen schuld was, want je had jouw pincode beter moeten beschermen. Schade is dus voor de klant. Maar waarom zorgt de bank niet voor beperking van mogelijke schade bij misbruik door bovenstaande problemen in de app op te lossen?
Reacties (48)
27-07-2022, 02:09 door Anoniem
Door AppUser:
Je kunt in de app..
....
... op te lossen?
Dit heb je ook één op één naar de ING gestuurd?
27-07-2022, 09:41 door Anoniem
Ik vrees dat je er met te weinig kennis naar kijkt. Als je dit mee neemt in de overweging, kom je op andere conclusies:
- het os van een mobiel of tablet is vele malen moderner en veiliger. Het os zorgt er bv voor dat apps niet elkaars data kunnen kijken. Windows is zo opgezet dat alles bij alles kan, inherent onveiliger daardoor.
- de beveiliging van de app zit vooral in de onboarding procedure die heel strikt is. De pincode kan hierdoor alleen op het device gebruikt worden waar de app op is geactiveerd. Dit is een veel sterkere methode dan een login via browser die vanaf de hele wereld mogelijk is via internet.
27-07-2022, 09:56 door ocraM
Ik heb ( eerst ) vingerafdruk nodig en dan ook pincode ingesteld.
Dus moeten ze ook één van mijn ( welke ) vingers meenemen.
27-07-2022, 10:20 door Anoniem
Ja, veilig hoor, zo'n "modern" OS dat na een of twee jaar niet meer bijgewerkt wordt.

Vingerafdrukscanners zij ook niet echt onfeilbaar.

Waarom kan ik niet kiezen voor het begrenzen van de mogelijkheden van de app (bijvoorbeeld alleen identiteitscontrole en/of betaalkaartfuncties)?
27-07-2022, 10:29 door majortom - Bijgewerkt: 27-07-2022, 10:35
Door Anoniem: Ik vrees dat je er met te weinig kennis naar kijkt. Als je dit mee neemt in de overweging, kom je op andere conclusies:
- het os van een mobiel of tablet is vele malen moderner en veiliger. Het os zorgt er bv voor dat apps niet elkaars data kunnen kijken. Windows is zo opgezet dat alles bij alles kan, inherent onveiliger daardoor.
Dat hangt er sterk vanaf op welk platform je bankiert. Ikzelf gebruik QubesOS met het bankieren in een eigen (disposable) Qube (VM) die alleen de noodzakelijke (firewall) rechten heeft om te kunnen bankieren bij de verschillende banken waar ik mee te maken heb. Ik denk dat dat die afscherming nog een stuk sterker is dan binnen het mobiele platform. Extra voordeel is dat er geen trackers meelopen zoals wel bij de meeste bankieren apps het geval is. De app op het mobiele platform gebruik ik niet en aangezien ik geen Android of IOS draai is dit voor mij ook niet echt een optie.
- de beveiliging van de app zit vooral in de onboarding procedure die heel strikt is. De pincode kan hierdoor alleen op het device gebruikt worden waar de app op is geactiveerd. Dit is een veel sterkere methode dan een login via browser die vanaf de hele wereld mogelijk is via internet.
Daarom heb je bij internetbankieren altijd een tweede factor nodig. Veelal in de vorm van een seperaat apparaat dat (al dan niet in combinatie met je bankpas) de response kan genereren op de challenge die vanuit de bank komt om de transactie te accorderen. Al met al veel veiliger dan die ene pincode (die, wanneer je je apparaat kwijtraakt de enige bescherming is, afgezien van de eventuele ontgrendeling van de telefoon), Niet voor niets hanteren nog veel banken hogere limieten via deze methode ten opzichte van bankieren via de mobiele app.
27-07-2022, 10:38 door Anoniem
Volgens mij mis je het huidige onboarding process van de app bij ING. Dit kan alleen nog door gebruik te maken van een ID bewijs. Hierdoor is klassiek Phishing met account takeover tot gevolg voor een groot deel een halt toe geroepen.

Het scenario wat jij nu beschrijft is alleen relevant indien: 1) je telefoon ontvreemd wordt 2) deze dief je telefoon kan unlocken 3) de dief ook je Pincode van je bankieren app kent.

Niet onmogelijk, maar ook niet heel aannemelijk dat dit lukt zonder dat je wel erg nalatig bent geweest (codes op je telefoon plakken etc.)
27-07-2022, 10:39 door Anoniem
Door ocraM: Ik heb ( eerst ) vingerafdruk nodig en dan ook pincode ingesteld.
Dus moeten ze ook één van mijn ( welke ) vingers meenemen.
Kijk uit: als de vingerafdruk niet lukt, dan kan er altijd nog via de pincode ingelogd worden.

Pincodes hebben sowieso al minimaal een kans 1 op 2000 om geraden te worden in vijf keer (als ze al perfect willekeurig en niet afgekeken zijn).
27-07-2022, 11:40 door AppUser
Door Anoniem: Ik vrees dat je er met te weinig kennis naar kijkt. Als je dit mee neemt in de overweging, kom je op andere conclusies:
- het os van een mobiel of tablet is vele malen moderner en veiliger. ...
- de beveiliging van de app zit vooral in de onboarding procedure die heel strikt is. ....

Mijn post gaat inderdaad niet over de techniek van de app beveiliging en de onbaording. Het gaat er juist om dat als het een keer misgaat met zo'n app pincode en vervolgens diefstal van de telefoon (want die neem je nu eenmaal overal mee naartoe) waarom het risico dan onnodig groot wordt gemaakt door de bank. Want ze hebben functionaliteit ingebouwd in de app die de potentiële schade voor de klant veel groter maakt dan noodzakelijk.
27-07-2022, 11:46 door AppUser - Bijgewerkt: 27-07-2022, 11:46

Daarom heb je bij internetbankieren altijd een tweede factor nodig. Veelal in de vorm van een seperaat apparaat dat (al dan niet in combinatie met je bankpas) de response kan genereren op de challenge die vanuit de bank komt om de transactie te accorderen. Al met al veel veiliger dan die ene pincode (die, wanneer je je apparaat kwijtraakt de enige bescherming is, afgezien van de eventuele ontgrendeling van de telefoon), Niet voor niets hanteren nog veel banken hogere limieten via deze methode ten opzichte van bankieren via de mobiele app.
Dat laatste sluit goed aan bij het punt dat ik probeer te maken. De app beveiliging met slechts 1 pincode is minder sterk dan de beveiliging van Mijn ING met 2 factors. Daarom zou de bank ook moeten kiezen voor beperktere functionaliteit in de app zodat de schade als het mis gaat beperkt wordt. Bijv. laat de daglimiet niet in de app zelf verhogen. En laat de klant de keuze om in de app alleen toegang te krijgen tot zijn betaalrekening maar niet tot de spaarrekening.
27-07-2022, 12:15 door Anoniem
Door AppUser:

Daarom heb je bij internetbankieren altijd een tweede factor nodig. Veelal in de vorm van een seperaat apparaat dat (al dan niet in combinatie met je bankpas) de response kan genereren op de challenge die vanuit de bank komt om de transactie te accorderen. Al met al veel veiliger dan die ene pincode (die, wanneer je je apparaat kwijtraakt de enige bescherming is, afgezien van de eventuele ontgrendeling van de telefoon), Niet voor niets hanteren nog veel banken hogere limieten via deze methode ten opzichte van bankieren via de mobiele app.
Dat laatste sluit goed aan bij het punt dat ik probeer te maken. De app beveiliging met slechts 1 pincode is minder sterk dan de beveiliging van Mijn ING met 2 factors. Daarom zou de bank ook moeten kiezen voor beperktere functionaliteit in de app zodat de schade als het mis gaat beperkt wordt. Bijv. laat de daglimiet niet in de app zelf verhogen. En laat de klant de keuze om in de app alleen toegang te krijgen tot zijn betaalrekening maar niet tot de spaarrekening.

Je telt de factoren verkeerd.

Bezit van de telefoon
Unlock van de telefoon zelf - (pin of biometrisch)
Unlock van de app - pin of vingerafdruk.

Een telefoon of tablet is gewoon een heel erg veilig platform, itt tot de desktop.
27-07-2022, 12:21 door Anoniem
Door Anoniem:
Door AppUser:
Je kunt in de app..
....
... op te lossen?
Dit heb je ook één op één naar de ING gestuurd?
Weleens zelf naar contactgegevens van ING gezocht?
27-07-2022, 12:41 door majortom - Bijgewerkt: 27-07-2022, 12:47
Door Anoniem: Volgens mij mis je het huidige onboarding process van de app bij ING. Dit kan alleen nog door gebruik te maken van een ID bewijs. Hierdoor is klassiek Phishing met account takeover tot gevolg voor een groot deel een halt toe geroepen.

Het scenario wat jij nu beschrijft is alleen relevant indien: 1) je telefoon ontvreemd wordt 2) deze dief je telefoon kan unlocken 3) de dief ook je Pincode van je bankieren app kent.

Niet onmogelijk, maar ook niet heel aannemelijk dat dit lukt zonder dat je wel erg nalatig bent geweest (codes op je telefoon plakken etc.)
Zo goed is die onboarding nu ook weer niet (een foto van een ID bewijs is voldoende). Er is bijvoorbeeld geen live controle of het ID bewijs in eigen bezit is, of het echte ID bewijs wel wordt gebruikt etc.

Blijft staan dat daarna eea alleen is beveiligd met de (5-cijferige) pin code. Eventueel samen met de beveiliging van het toestel. Je zult ze de kost niet moeten geven die beide pin codes gelijk (of bijna gelijk) hebben (lekker gemakkelijk). Een beetje shoulder surfing is overigens genoeg om de pins in handen te krijgen.
27-07-2022, 13:00 door Anoniem
Door Anoniem:
Door Anoniem:
Door AppUser:
Je kunt in de app..
....
... op te lossen?
Dit heb je ook één op één naar de ING gestuurd?
Weleens zelf naar contactgegevens van ING gezocht?

Het snelst en het makkelijkst bel je vanuit je app. Dan weten we wie je bent en hebben we je gegevens bij de hand. :-)

https://www.ing.nl/particulier/klantenservice/telefoonnummers.html
27-07-2022, 13:28 door Anoniem
Door majortom:
Door Anoniem: Volgens mij mis je het huidige onboarding process van de app bij ING. Dit kan alleen nog door gebruik te maken van een ID bewijs. Hierdoor is klassiek Phishing met account takeover tot gevolg voor een groot deel een halt toe geroepen.

Het scenario wat jij nu beschrijft is alleen relevant indien: 1) je telefoon ontvreemd wordt 2) deze dief je telefoon kan unlocken 3) de dief ook je Pincode van je bankieren app kent.

Niet onmogelijk, maar ook niet heel aannemelijk dat dit lukt zonder dat je wel erg nalatig bent geweest (codes op je telefoon plakken etc.)
Zo goed is die onboarding nu ook weer niet (een foto van een ID bewijs is voldoende). Er is bijvoorbeeld geen live controle of het ID bewijs in eigen bezit is, of het echte ID bewijs wel wordt gebruikt etc.

Oh ? Ik heb vrij recent de app aangevraagd(rekening had ik al) , en stond toch echt met paspoort in een ING kantoor.
27-07-2022, 13:52 door Anoniem
Door Anoniem:
Door AppUser:

Daarom heb je bij internetbankieren altijd een tweede factor nodig. Veelal in de vorm van een seperaat apparaat dat (al dan niet in combinatie met je bankpas) de response kan genereren op de challenge die vanuit de bank komt om de transactie te accorderen. Al met al veel veiliger dan die ene pincode (die, wanneer je je apparaat kwijtraakt de enige bescherming is, afgezien van de eventuele ontgrendeling van de telefoon), Niet voor niets hanteren nog veel banken hogere limieten via deze methode ten opzichte van bankieren via de mobiele app.
Dat laatste sluit goed aan bij het punt dat ik probeer te maken. De app beveiliging met slechts 1 pincode is minder sterk dan de beveiliging van Mijn ING met 2 factors. Daarom zou de bank ook moeten kiezen voor beperktere functionaliteit in de app zodat de schade als het mis gaat beperkt wordt. Bijv. laat de daglimiet niet in de app zelf verhogen. En laat de klant de keuze om in de app alleen toegang te krijgen tot zijn betaalrekening maar niet tot de spaarrekening.

Je telt de factoren verkeerd.

Bezit van de telefoon
Unlock van de telefoon zelf - (pin of biometrisch)
Unlock van de app - pin of vingerafdruk.

Een telefoon of tablet is gewoon een heel erg veilig platform, itt tot de desktop.


Ehm. dat vraag ik me af.

Iedereen laat zijn telefoon wel eens ergens liggen. Ik ben er niet mee vergroeid in ieder geval.
Unlocken is altijd dezelfde handeling. En kan dus afgekeken worden. (schoudersurfen)
Vwb vingerafdrukken: bekijk alles wat je aanraakt eens. Allemaal vingerafdrukken die je achter laat. ook op het toestel zelf.
Dan de ING-app: 1 code voor alles. Zowel het unlocken, als het bevestigen van transacties, als het aanpassen van instellingen. Ook toegang tot internetbankieren is geregeld via die app.
Weet iemand de app in te komen (niet onmogelijk), dan ligt de hele wereld voor ze open. Dan kunnen ze alles. En jij bijna niets meer.

Dan het oude internetbankieren:
Tan-codes (of sms ): 1 code per transactie (batch).
En pas nadat je met totaal een andere code ingelogd was.

En als dan hele volksstammen hun ING-app op oude ongepatchte android-OS versies gebruiken (met dank aan Google, de telco's en de hardwaremakers), dan vraag ik me echt af wat veiliger was/is.

Zelf heb ik de software in een extra kluis op de telefoon gestopt. Je moet dus nog (2) lagen beveiliging extra door bij mij.
En bankieren doe ik alleen thuis, zonder pottenkijkers die schoudersurfen.

Blijft alleen een gehackt toestel als risico over.
27-07-2022, 14:22 door Erik van Straten - Bijgewerkt: 27-07-2022, 14:33
Door AppUser: Je kunt in de app alles doen wat ook in Mijn ING kan, maar het is veel slechter beveiligd. Waarom kiest de bank hiervoor?
Omdat, er vanuit gaande dat je de echte ING-app gebruikt, phishing dan zo goed als onmogelijk is. Met phishing bedoel ik hier dat je, met jouw browser, inlogt op een site die als twee druppels water op mijn.ing.nl lijkt en waarbij een slotje getoond wordt.

Door AppUser: Online bankieren met Mijn ING is tenminste beveiligd met een username + password + extra bevestiging per telefoon voor het inloggen.
Zelfs die tweede factor helpt voor geen meter; zodra je jouw user-ID, wachtwoord en 2FA-code (2FA = Tweede Factor Authenticatie, ook bekend als MFA = Multi-...) invoert op de nepsite, logt de aanvaller daar direct mee in op de mijn.ing.nl site.

Ook als de aanvaller dan niet meteen geld over kan maken, weet zij/hij wel jouw saldo. Als hij/zij jouw telefoonnummer niet weet, kan hij/zij de inlogpagina aanpassen en daarin iets vragen als:
Er zijn cybercriminelen actief. Voer ter bevestiging dat u het bent, uw telefoonnummer in (d.w.z. het nummer waar normaal gesproken de bevestigingscode naar toe wordt gestuurd).
Na het inloggen kan de aanvaller jou een verontrustende melding laten zien, en/of de gebruikelijke bankpagina met fake overschrijvingen en een veel lager saldo dan verwacht, en even later de verbinding verbreken op een manier dat het erop lijkt dat jij eruit gegooid wordt.

Kort daarna kan de aanvaller jou bellen en zich voordoen als bankmedewerker, en jou vertellen dat er vreemde overschrijvingen hebben plaatsgevonden, wat jouw saldo was en nu is. Veel mensen geloven echt dat het een bankmedewerker is die hen belt (en zijn voldoende in paniek) waarna zij alles doen wat de bankmedewerker zegt dat zij moeten doen. Waaronder een RAT (Remote Access Tool, zoals Teamviewer, Dameware (diverse), AnyDesk, Zoho Assist, Cisco WebEx Remote Access, ISL Online, LogMeIn, Micogo etc. etc.) installeren en spaargeld "veiligstellen" bij een geldezel.

De ING-app is min of meer 2FA omdat een aanvaller jouw device (tablet/smartphone) in handen moet hebben en jouw inlogcode kennen (of jouw vingerafdruk kunnen nabootsen).

Grote risico's voor bankierapps zijn:

- Je gebruikt een nep-app;

- Je hebt een kwaadaardige app geïnstalleerd die je veel te veel privileges (permissies) hebt gegeven (voorbeelden: https://www.bleepingcomputer.com/news/security/new-android-malware-apps-installed-10-million-times-from-google-play/) - maar dit risico geldt ook voor browsers;

- Het besturingssysteem van je draagbare apparaat is verouderd (er worden geen upgrades/updates meer voor uitgebracht of je installeert ze niet) waardoor apps zichzelf, zonder dat jij het merkt, vergaande privileges (permissies) kunnen geven;

- Je gebruikt geen of zwakke schermvergrendeling en/of flutcodes, en jouw draagbare apparaat wordt gestolen (dat zou een groter risico kunnen zijn dan geldt voor browsers, vooral als je de 2FA code altijd op een ander device ontvangt dan waarmee je internetbankiert).

TIP: stel jouw draagbare apparaat zo in dat er zo min mogelijk informatie op het locked screen (vergrendelde scherm) getoond wordt, zeker geen SMSjes (waarin 2FA codes kunnen staan). Maar ook allerlei andere getoonde informatie kan zeer waardevol zijn voor kwaadwillenden die niet schromen om aanvallen op jou én/of op jouw contacten uit te voeren.

Op een PC (Windows, MacOS en meestal: Linux, *BSD) moet je, naast het besturingssysteem, alle geïnstalleerde software kunnen vertrouwen (tenzij er sprake is van sterke compartimentering tussen software-"pakketten").

Kort gezegd: in een bankapp zit een hardcoded URL, zo'n app kan van "public key pinning" gebruik maken om AitM's (Attacker in the Middle, ook bekend als MitM - Man in the Middle) uit te sluiten, bankapps ondersteunen geen (potentiëel kwaadaardige) browser-plug-ins (extensions) en besturingssystemen als iOS, iPadOS en Android bieden betere scheiding aan tussen software-"pakketten" (zoals andere apps). Door te klikken in een link in een mail (of een link naar een fake iDEAL pagina vanuit een kwaadaardige of gehackte webshop, kun je eenvoudig (met jouw browser) op een phishing site uitkomen. LET OP: als je normaal gesproken "open in app" ziet, en op een bepaalde site niet, is het bijna altijd foute boel.

Slecht vind ik van de ING-app dat voor sommige transacties (zoals extra aflossen op je hypotheek) een browsersessie start, waardoor mensen het minder goed kunnen begrijpen dat er iets mis is als ze ineens via de browser moeten bankieren/betalen.
27-07-2022, 14:50 door Anoniem
Door Erik van Straten:

...

Alleen even zeggen dat ik je geduld om vaak zo'n uitgebreide en prima uitleg te schrijven bewonder . Al te vaak parels voor de zwijnen, maar applaus dat je het doet.
27-07-2022, 18:42 door Anoniem
Door Erik van Straten:
Door AppUser: Je kunt in de app alles doen wat ook in Mijn ING kan, maar het is veel slechter beveiligd. Waarom kiest de bank hiervoor?
Omdat, er vanuit gaande dat je de echte ING-app gebruikt, phishing dan zo goed als onmogelijk is. Met phishing bedoel ik hier dat je, met jouw browser, inlogt op een site die als twee druppels water op mijn.ing.nl lijkt en waarbij een slotje getoond wordt.

Door AppUser: Online bankieren met Mijn ING is tenminste beveiligd met een username + password + extra bevestiging per telefoon voor het inloggen.
Zelfs die tweede factor helpt voor geen meter; zodra je jouw user-ID, wachtwoord en 2FA-code (2FA = Tweede Factor Authenticatie, ook bekend als MFA = Multi-...) invoert op de nepsite, logt de aanvaller daar direct mee in op de mijn.ing.nl site.

Ook als de aanvaller dan niet meteen geld over kan maken, weet zij/hij wel jouw saldo. Als hij/zij jouw telefoonnummer niet weet, kan hij/zij de inlogpagina aanpassen en daarin iets vragen als:
Er zijn cybercriminelen actief. Voer ter bevestiging dat u het bent, uw telefoonnummer in (d.w.z. het nummer waar normaal gesproken de bevestigingscode naar toe wordt gestuurd).
Na het inloggen kan de aanvaller jou een verontrustende melding laten zien, en/of de gebruikelijke bankpagina met fake overschrijvingen en een veel lager saldo dan verwacht, en even later de verbinding verbreken op een manier dat het erop lijkt dat jij eruit gegooid wordt.

Kort daarna kan de aanvaller jou bellen en zich voordoen als bankmedewerker, en jou vertellen dat er vreemde overschrijvingen hebben plaatsgevonden, wat jouw saldo was en nu is. Veel mensen geloven echt dat het een bankmedewerker is die hen belt (en zijn voldoende in paniek) waarna zij alles doen wat de bankmedewerker zegt dat zij moeten doen. Waaronder een RAT (Remote Access Tool, zoals Teamviewer, Dameware (diverse), AnyDesk, Zoho Assist, Cisco WebEx Remote Access, ISL Online, LogMeIn, Micogo etc. etc.) installeren en spaargeld "veiligstellen" bij een geldezel.

De ING-app is min of meer 2FA omdat een aanvaller jouw device (tablet/smartphone) in handen moet hebben en jouw inlogcode kennen (of jouw vingerafdruk kunnen nabootsen).

Grote risico's voor bankierapps zijn:

- Je gebruikt een nep-app;

- Je hebt een kwaadaardige app geïnstalleerd die je veel te veel privileges (permissies) hebt gegeven (voorbeelden: https://www.bleepingcomputer.com/news/security/new-android-malware-apps-installed-10-million-times-from-google-play/) - maar dit risico geldt ook voor browsers;

- Het besturingssysteem van je draagbare apparaat is verouderd (er worden geen upgrades/updates meer voor uitgebracht of je installeert ze niet) waardoor apps zichzelf, zonder dat jij het merkt, vergaande privileges (permissies) kunnen geven;

- Je gebruikt geen of zwakke schermvergrendeling en/of flutcodes, en jouw draagbare apparaat wordt gestolen (dat zou een groter risico kunnen zijn dan geldt voor browsers, vooral als je de 2FA code altijd op een ander device ontvangt dan waarmee je internetbankiert).

TIP: stel jouw draagbare apparaat zo in dat er zo min mogelijk informatie op het locked screen (vergrendelde scherm) getoond wordt, zeker geen SMSjes (waarin 2FA codes kunnen staan). Maar ook allerlei andere getoonde informatie kan zeer waardevol zijn voor kwaadwillenden die niet schromen om aanvallen op jou én/of op jouw contacten uit te voeren.

Op een PC (Windows, MacOS en meestal: Linux, *BSD) moet je, naast het besturingssysteem, alle geïnstalleerde software kunnen vertrouwen (tenzij er sprake is van sterke compartimentering tussen software-"pakketten").

Kort gezegd: in een bankapp zit een hardcoded URL, zo'n app kan van "public key pinning" gebruik maken om AitM's (Attacker in the Middle, ook bekend als MitM - Man in the Middle) uit te sluiten, bankapps ondersteunen geen (potentiëel kwaadaardige) browser-plug-ins (extensions) en besturingssystemen als iOS, iPadOS en Android bieden betere scheiding aan tussen software-"pakketten" (zoals andere apps). Door te klikken in een link in een mail (of een link naar een fake iDEAL pagina vanuit een kwaadaardige of gehackte webshop, kun je eenvoudig (met jouw browser) op een phishing site uitkomen. LET OP: als je normaal gesproken "open in app" ziet, en op een bepaalde site niet, is het bijna altijd foute boel.

Slecht vind ik van de ING-app dat voor sommige transacties (zoals extra aflossen op je hypotheek) een browsersessie start, waardoor mensen het minder goed kunnen begrijpen dat er iets mis is als ze ineens via de browser moeten bankieren/betalen.

Toch blijf ik het een zwakte bod vinden dat de ING-app alles valideert met dezelfde 5 cijferige pincode.
ING had dan beter een aparte/gescheiden validatie kunnen invoeren met een aparte nummer-generator (hardware) icm de bankpas. Dus los van de ING-app op de telefoon. Dat zou ik veiliger vinden. Elke keer een andere code om mee te valideren.
28-07-2022, 00:12 door Erik van Straten
Door Anoniem @14:50: Alleen even zeggen dat ik je geduld om vaak zo'n uitgebreide en prima uitleg te schrijven bewonder . Al te vaak parels voor de zwijnen, maar applaus dat je het doet.
Dank! Het is overigens ook een stukje eigenbelang, ik hou mezelf scherp en al schrijvende kom ik soms tot verrassende inzichten (o.a. voor security awareness).

Door Anoniem @18:42: Toch blijf ik het een zwakte bod vinden dat de ING-app alles valideert met dezelfde 5 cijferige pincode.
Kun je dat niet sterker instellen? (zelf zit ik niet bij ING).

ING had dan beter een aparte/gescheiden validatie kunnen invoeren met een aparte nummer-generator (hardware) icm de bankpas. Dus los van de ING-app op de telefoon. Dat zou ik veiliger vinden. Elke keer een andere code om mee te valideren.
Ik heb zo'n kastje bij m'n Triodos rekening, maar ik kan me voorstellen dat veel mensen geen zin hebben om dat ding mee te nemen om buitenshuis (o.a. op vakantie) geld over te kunnen maken of het banksaldo te kunnen bekijken. En zo'n kastje is leuk, maar bij internetbankieren met browser helpt het niet tegen phishing.

Zorg in er elk geval voor dat het scherm meteen "op slot" gaat als je het apparaat op standby zet, en gebruik een vingerafdruk (met als fallback) een lang, niet te raden, wachtwoord. Niet alleen om internetbankieren te beveiligen; bijvoorbeeld e-mail is meestal toegankelijk zonder dat je daarop moet inloggen, en dat is een paradijs als aanvallers wachtwoord-resets kunnen uitvoeren op jouw accounts waar ze jouw wachtwoord niet van kennen.
28-07-2022, 00:51 door Anoniem
Bij een storing ben je helaas soms wel vijf werkdagen kwijt eer je weer normaal kan inloggen.
Veilig dat wel, maar het kan sneller als je een meewerkende IT-er treft, die je zo weer 'open' kan zetten.
We worden te afhankelijk van onze eigen digitale avatar, die straks ons helemaal gaat overrulen.
Je leven wordt dan meer een "computerspelletje", maar dan in het echie.

Dus een in-depth discussie over deze voortgaande ontkoppeling van analoog en flappentap en cash heeft wel degelijk zin.
Alleen zit de districtsdirecteur van de bank tussen de middag niet meer te gokken op de ticker te A'dam.
In de laat jaren zestig gebeurde dat nog volop. We zijn wellicht nu transparanter bezig.
Ik wens u allen een flinke bonus en app ze safe & secure.
28-07-2022, 07:24 door Anoniem
Toen ik jaren geleden de ING app ging gebruiken, toen moest ik twee verschillende codes aanmaken.
De eerste code was voor het inloggen en de tweede code voor het accorderen van wijzingen.(betalingen, aanpassen limiet etc.)
Je zal de limiet van de app bijvoorbeeld op 50,00 kunnen zetten.
Wanneer je je telefoon dan kwijt bent kunnen ze maximaal 50,00 kunnen overboeken.
Willen ze meer overschrijven dan moeten ze eerst 4 uur wachten voordat het limiet is verhoogd.
Wanner we en dagje weg gaan maak ik vaak foto's met mijn telefoon daarom zal ik dan ook wel merken dat hij weg is voordat deze 4 uur om zijn. (dit kan voor anderen anders zijn).
Om de app extra te beveiligen zal je het zo kunnen instellen via een andere app dat deze ing app alleen is te openen wanneer je de wachtwoord van de andere app invoert. (voor mijn gevoel is dat veiliger maar ben geen icter dus ik weet niet of dit ook werkelijk zo is)
Wanneer je het zo instelt zal de persoon die iets met de app wil doen wat niet de bedoeling is de volgende stappen moeten doorlopen. (wachtwoord/pin is voor mij het zelfde. zoals gezegd ben ik geen icter en zal er technisch en veiligheid technisch vast en verschil zijn)
1. wachtwoord telefoon
2. wachtwoord om de app te kunnen openen,
3. wachtwoord om in te loggen bij de ing
4. wachtwoord om te bevestigen van een betaling/aanpassingen in de ing app.

M.v.g.
M..D.
28-07-2022, 09:39 door majortom
Door Erik van Straten:
ING had dan beter een aparte/gescheiden validatie kunnen invoeren met een aparte nummer-generator (hardware) icm de bankpas. Dus los van de ING-app op de telefoon. Dat zou ik veiliger vinden. Elke keer een andere code om mee te valideren.
Ik heb zo'n kastje bij m'n Triodos rekening, maar ik kan me voorstellen dat veel mensen geen zin hebben om dat ding mee te nemen om buitenshuis (o.a. op vakantie) geld over te kunnen maken of het banksaldo te kunnen bekijken. En zo'n kastje is leuk, maar bij internetbankieren met browser helpt het niet tegen phishing.
Op het apparaat van de Rabobank komt ook het bedrag en rekeningnummer te staan waar de overboeking heen gaat. Dat in combinatie met standaard niet klikken op linkjes in emails e.d. lijkt me een adequate beveiliging tegen phishing.

Ik vertrouw gewoon het mobiele OS niet. Er is bijvoorbeeld geen adequate anti malware, waardoor een rogue app snel is geinstalleerd, ook uit de "vertrouwde" app stores. En die scheiding tussen applicaties biedt mijn OS al, dus dat heeft in mijn geval geen toegevoegde waarde. En daarbij vind ik het geen prettig idee dat partijen als Apple, Microsoft en Google teveel inzicht in mijn gedrag krijgen, dus doe ik zo min mogelijk met devices/diensten die deze partijen leveren.

Ikzelf heb niet de behoefte om tijdens mijn vakantie te bankieren, saldo te checken e.,d. dat doe ik alleen vanuit huis, dus verkies ik de veiligheid van het externe device boven het gemak(?) van de app. Daarbij zal ik altijd een deel vanaf mijn computer moeten doen in het kader van mijn administratie (zoals uitprinten rekeningoverzichten), dat gaat niet lekker werken vanuit een app op een mobiel device.

Zorg in er elk geval voor dat het scherm meteen "op slot" gaat als je het apparaat op standby zet, en gebruik een vingerafdruk (met als fallback) een lang, niet te raden, wachtwoord. Niet alleen om internetbankieren te beveiligen; bijvoorbeeld e-mail is meestal toegankelijk zonder dat je daarop moet inloggen, en dat is een paradijs als aanvallers wachtwoord-resets kunnen uitvoeren op jouw accounts waar ze jouw wachtwoord niet van kennen.
Op zich goede tips, maar als de vingerafdruk een wachtwoord als backup heeft dan vergroot je in principe wel de aanvalsvector: je hoeft maar 1 van de 2 te compromitteren. En heb niet teveel vertrouwen in de kwaliteit van de biometrische authenticatie op deze devices. Ik heb ooit een test gedaan met het toestel van mijn zoon die hij met zijn vingerafdruk had beveiligd: mijn vingerafdruk bleek ook te werken om deze te ontgrendelen (Android, OnePlus 8T). En met face recognition kon mijn ene zoon het device van de ander unlocken (Apple, en nee het is geen tweeling). Ikzelf heb een broertje dood aan biometrische authenticatie, daar kleven wat mij betreft teveel nadelen aan.
28-07-2022, 10:39 door Anoniem
Door Anoniem:
Toch blijf ik het een zwakte bod vinden dat de ING-app alles valideert met dezelfde 5 cijferige pincode.
ING had dan beter een aparte/gescheiden validatie kunnen invoeren met een aparte nummer-generator (hardware) icm de bankpas. Dus los van de ING-app op de telefoon. Dat zou ik veiliger vinden. Elke keer een andere code om mee te valideren.
Zo'n systeem met een "calculator" icm de bankpas dat is helemaal slecht! (ABN,RABO)
Al je authenticatie wordt dan uiteindelijk gehangen aan pas+pincode. Als je pincode wordt afgekeken en je pas gerold
dan ligt je hele bankrekening open! ALLES kunnen ze dan doen, inclusief het veranderen van de opnamelimiet van
de pas en de overboeklimiet naar externe rekeningen. Nee DAAR is pas goed over nagedacht (NOT).
Afkijken pincode en kwijtraken pas is een behoorlijk risico omdat je die de hele dag bij je hebt.

Zelf heb ik bij ING zo'n "scanner", dat is een persoonlijk apparaat waarmee je je transacties in de webomgeving moet
valideren. Als iemand mijn usernaam+wachtwoord weet (en die is uiteraard al anders dan pas+pincode) dan nog moet
die MIJN scanner erbij hebben en niet een willekeurige calculator+pas+pincode zoals bij die andere banken.
En op de scanner zit ook nog eens een pincode dus met dat ding stelen ben je er ook niet.
28-07-2022, 10:48 door Anoniem
Als zo'n bankapp gehackt wordt is dat groot nieuws. Maar vreemd genoeg zie je dat niet mbt Nederlandse banken. Als er geld gestolen wordt zijn er eigenlijk maar een paar opties. Stommiteit, bij voorbeeld de pincode op de pas schrijven of iets dergelijks. Geweld, je wordt gedwongen een bedrag over te schrijven of je pas/code af te geven. Fraude en oplichting, als de klant het zelf overschrijft is er weinig wat de bank er aan kan doen.
28-07-2022, 10:58 door Anoniem
Door majortom: [
Ik vertrouw gewoon het mobiele OS niet. Er is bijvoorbeeld geen adequate anti malware, waardoor een rogue app snel is geinstalleerd, ook uit de "vertrouwde" app stores. En die scheiding tussen applicaties biedt mijn OS al, dus dat heeft in mijn geval geen toegevoegde waarde.

Je mobiele OS doet de scheiding ontzettend veel beter dan ieder desktop OS.
Je moet echt HEEL VEEL uit de de kast halen voordat je - ook een goede Linux - tot hetzelfde niveau van scheiding gebouwd hebt .


Ikzelf heb niet de behoefte om tijdens mijn vakantie te bankieren, saldo te checken e.,d. dat doe ik alleen vanuit huis, dus verkies ik de veiligheid van het externe device boven het gemak(?) van de app.

Tip : "dankzij" Europa MOETEN tegenwoordig betalingen - ook met creditcard - met een sterke authenticatie geauthoriseerd worden.

Het hangt van je vakantiestijl af , maar als je onderweg op de een of andere manier iets moet betalen via Internet zou je - tegenwoordig ook bij een CC - dus moeten authoriseren met app (of andere reader).
Denk aan je volgende hotel betalen, ticket (om)boeken . Hetzelfde natuurlijk met iDEAL .

Zolang je voor een fysieke CC terminal staat werkt dat ook met PINcode , maar in de situatie dat je vanaf je verblijf iets zit te regelen of boeken is alleen CC nummer + code die achterop staat niet meer voldoende.

Met de oplaadbare auto op vakantie gaan is trouwens, naar ik hoor , weer een klassiek avontuur om laadpalen te zoeken, en het oerwoud van tokens . Ook die dingen kunnen trouwens dan een reden zijn om 'via internet' iets te moeten kopen - laad-saldo . Dan sta je heel onthand als je authorisator thuis ligt .

Het hangt van je vakantie stijl af of je online betaliingen nodig hebt, of de nodig zou kunnen hebben , maar sinds ca vorig jaar is dus ook je creditcard niet meer online bruikbaar zonder een authorisator (zoals de bank app)
28-07-2022, 11:21 door Anoniem
Door Anoniem: Toen ik jaren geleden de ING app ging gebruiken, toen moest ik twee verschillende codes aanmaken.
De eerste code was voor het inloggen en de tweede code voor het accorderen van wijzingen.(betalingen, aanpassen limiet etc.)
Je zal de limiet van de app bijvoorbeeld op 50,00 kunnen zetten.
Wanneer je je telefoon dan kwijt bent kunnen ze maximaal 50,00 kunnen overboeken.
Willen ze meer overschrijven dan moeten ze eerst 4 uur wachten voordat het limiet is verhoogd.
Wanner we en dagje weg gaan maak ik vaak foto's met mijn telefoon daarom zal ik dan ook wel merken dat hij weg is voordat deze 4 uur om zijn. (dit kan voor anderen anders zijn).
Om de app extra te beveiligen zal je het zo kunnen instellen via een andere app dat deze ing app alleen is te openen wanneer je de wachtwoord van de andere app invoert. (voor mijn gevoel is dat veiliger maar ben geen icter dus ik weet niet of dit ook werkelijk zo is)
Wanneer je het zo instelt zal de persoon die iets met de app wil doen wat niet de bedoeling is de volgende stappen moeten doorlopen. (wachtwoord/pin is voor mij het zelfde. zoals gezegd ben ik geen icter en zal er technisch en veiligheid technisch vast en verschil zijn)
1. wachtwoord telefoon
2. wachtwoord om de app te kunnen openen,
3. wachtwoord om in te loggen bij de ing
4. wachtwoord om te bevestigen van een betaling/aanpassingen in de ing app.

M.v.g.
M..D.

Alleen werkt die ING-app zo niet.
28-07-2022, 11:28 door Anoniem
Door Anoniem: Als zo'n bankapp gehackt wordt is dat groot nieuws. Maar vreemd genoeg zie je dat niet mbt Nederlandse banken. Als er geld gestolen wordt zijn er eigenlijk maar een paar opties. Stommiteit, bij voorbeeld de pincode op de pas schrijven of iets dergelijks. Geweld, je wordt gedwongen een bedrag over te schrijven of je pas/code af te geven. Fraude en oplichting, als de klant het zelf overschrijft is er weinig wat de bank er aan kan doen.
Of "bank die het allemaal nog weer handiger wilde maken en kwetsbaarheden ging inbouwen".
Bijvoorbeeld in geval van die bankapp was een tijd een zwak punt dat je die wel "gemakkelijk naar je nieuwe telefoon
moest kunnen overzetten" bijvoorbeeld door een QR code op de oude telefoon te tonen en op die nieuwe te scannen.
Door dat soort denkfouten bij de bank word je als klant dan kwetsbaar gemaakt, en je hebt helaas niet de mogelijkheid
om in je beveiligde omgeving ZELF in te stellen welke "handige features" je wel en niet wilt enablen op je rekening.
Je moet dan afwachten tot het zover uit de hand loopt dat de bank het voor iedereen uit zet.
En dit komt meer voor hoor. Ooit kreeg ik ook ineens een bericht van de bank dat het vanaf nu geen probleem meer zou
zijn als ik mijn wachtwoord vergeten was want dat zouden ze dan gewoon even per SMS naar mijn telefoon sturen.
Aan de bank gevraagd: maar dat betekent dan toch dat als ik mijn telefoon kwijt ben, de dief gewoon mijn wachtwoord
kan opvragen? Nee, zei de bank, dan moeten ze nog wel uw gebruikersnaam weten. En die moet u geheim houden.
Aha. Maar die wordt wel gewoon getoond als je inlogt en er is nooit eerder verteld dat je je gebruikersnaam geheim
moest houden, alleen codes en wachtwoorden. Dus gevraagd om deze functie uit te schakelen op mijn rekening.
Kon niet. Dan moest ik maar naar een andere bank gaan.
28-07-2022, 11:41 door Anoniem
Als je in de app naar de website gaat en je wilt je login (van de website) veranderen laat hij je gebruikersnaam zien en je kunt je wachtwoord aanpassen zonder het oude eerst in te voeren. Geen enkele bescherming.
28-07-2022, 12:04 door Anoniem
Je mobiele OS doet de scheiding ontzettend veel beter dan ieder desktop OS.
Je moet echt HEEL VEEL uit de de kast halen voordat je - ook een goede Linux - tot hetzelfde niveau van scheiding gebouwd hebt .
Dat mag dan waar zijn, als ik op deze site lees hoevaak er troep op vooral Android staat ga ik toch nadenken en gewoon
de pc gebruiken. Van die app heb je volgens mij een zekerheid, en dat is dat je mag aannemen dat je op de juiste site
bent. Maar ik moet ook eerlijk bekennen dat ik niets met die smartphone's heb en me er ook niet in heb verdiept.

Trouwens heb altijd gedacht dat Android rechtstreeks van Linux of Unix OS kwam.

Ikzelf gebruik QubesOS met het bankieren in een eigen (disposable) Qube (VM) die alleen de noodzakelijke (firewall) rechten heeft om te kunnen bankieren bij de verschillende banken waar ik mee te maken heb. Ik denk dat dat die afscherming nog een stuk sterker is dan binnen het mobiele platform. Extra voordeel is dat er geen trackers meelopen zoals wel bij de meeste bankieren apps het geval is
De manier van hoe marjotom zijn computer beveiligd staat mij meer aan, ik heb liever de regie zoveel mogelijk in
eigen hand. En trouwens er moet een reden zijn waarom banken ons op de smartphone willen en dat om dat de
smartphone een betere keus voor veel mensen betreffend beveiliging is kan ik me voorstellen.
28-07-2022, 12:23 door majortom
Door Anoniem:
Door majortom: [
Ik vertrouw gewoon het mobiele OS niet. Er is bijvoorbeeld geen adequate anti malware, waardoor een rogue app snel is geinstalleerd, ook uit de "vertrouwde" app stores. En die scheiding tussen applicaties biedt mijn OS al, dus dat heeft in mijn geval geen toegevoegde waarde.

Je mobiele OS doet de scheiding ontzettend veel beter dan ieder desktop OS.
Je moet echt HEEL VEEL uit de de kast halen voordat je - ook een goede Linux - tot hetzelfde niveau van scheiding gebouwd hebt .
Eens, de meeste OS-en ondersteunen dat niet. Ik gebruik QubesOS met daarin een aparte (disposable) Qube voor bankzaken.


Ikzelf heb niet de behoefte om tijdens mijn vakantie te bankieren, saldo te checken e.,d. dat doe ik alleen vanuit huis, dus verkies ik de veiligheid van het externe device boven het gemak(?) van de app.

Tip : "dankzij" Europa MOETEN tegenwoordig betalingen - ook met creditcard - met een sterke authenticatie geauthoriseerd worden.

Het hangt van je vakantiestijl af , maar als je onderweg op de een of andere manier iets moet betalen via Internet zou je - tegenwoordig ook bij een CC - dus moeten authoriseren met app (of andere reader).
Denk aan je volgende hotel betalen, ticket (om)boeken . Hetzelfde natuurlijk met iDEAL.

Zolang je voor een fysieke CC terminal staat werkt dat ook met PINcode , maar in de situatie dat je vanaf je verblijf iets zit te regelen of boeken is alleen CC nummer + code die achterop staat niet meer voldoende.

Met de oplaadbare auto op vakantie gaan is trouwens, naar ik hoor , weer een klassiek avontuur om laadpalen te zoeken, en het oerwoud van tokens . Ook die dingen kunnen trouwens dan een reden zijn om 'via internet' iets te moeten kopen - laad-saldo . Dan sta je heel onthand als je authorisator thuis ligt .

Het hangt van je vakantie stijl af of je online betaliingen nodig hebt, of de nodig zou kunnen hebben , maar sinds ca vorig jaar is dus ook je creditcard niet meer online bruikbaar zonder een authorisator (zoals de bank app)
Klopt, via internet heb ik al lang geleden ingesteld dat ik een extra authenticatie moet geven (wachtwoord) en krijg ik een code via SMS die ik ook moet geven. CC via internet gebruiken doe ik alleen vanaf de thuissituatie. Op vakantie kan ik gewoon fysiek de CC presenteren + pin, echter gebruik ik deze optie slechts als noodscenario, wanneer ik niet genoeg cash voorhanden heb.
28-07-2022, 15:53 door Anoniem
Onveiligheid 3 zit in een achterdeur (beveiligingslek) in de bank app waardoor je zonder extra inloggen vanuit de app naar Mijn ING kunt gaan en daar alle bankzaken kunt regelen zonder enige beperking. Dus die extra beveiliging van Mijn ING is heel mooi, maar via de bank app kun je ook Mijn ING openen zonder nog eens extra in te loggen met extra logincodes. Deze achterdeur zit in de app in het service menu via de optie Alle Mogelijkheden. De app meldt nog heel positief “Je gaat verder in Mijn ING. Inloggen gaat vanzelf.” [/quote]
Dat is dus geen achterdeur of beveiligingslek, maar een bewuste functionaliteit.
28-07-2022, 16:14 door Anoniem
Door Anoniem:
Je mobiele OS doet de scheiding ontzettend veel beter dan ieder desktop OS.
Je moet echt HEEL VEEL uit de de kast halen voordat je - ook een goede Linux - tot hetzelfde niveau van scheiding gebouwd hebt .
Dat mag dan waar zijn, als ik op deze site lees hoevaak er troep op vooral Android staat ga ik toch nadenken en gewoon
de pc gebruiken. Van die app heb je volgens mij een zekerheid, en dat is dat je mag aannemen dat je op de juiste site
bent. Maar ik moet ook eerlijk bekennen dat ik niets met die smartphone's heb en me er ook niet in heb verdiept.

Trouwens heb altijd gedacht dat Android rechtstreeks van Linux of Unix OS kwam.

Maar dat klopt niet! Android gebruikt wel de Linux kernel, maar daarop draait een virtualisatielaag waarin de apps
in gescheiden containers draaien. Deze laag definieert ook een virtuele instructieset die geinterpreteerd wordt door
de werkelijke processor, waardoor allerlei fabrikanten verschillende processoren in hun Android spullen kunnen zetten
en er toch maar 1 versie app nodig is. Dit lijkt sterk op Java (maar is het niet).

Zolang die virtualisatielaag geen onderlinge data uitwisseling tussen apps toelaat (je mag hopen dat er geen bugs in
zitten) doet het er niet toe wat er voor operating system onder zit. Het is dan ook wel te verwachten dat Linux hier op
een gegeven moment onderuit gehaald zal worden.
28-07-2022, 16:19 door Anoniem
Door Anoniem:
Tip : "dankzij" Europa MOETEN tegenwoordig betalingen - ook met creditcard - met een sterke authenticatie geauthoriseerd worden.

Het hangt van je vakantiestijl af , maar als je onderweg op de een of andere manier iets moet betalen via Internet zou je - tegenwoordig ook bij een CC - dus moeten authoriseren met app (of andere reader).
Denk aan je volgende hotel betalen, ticket (om)boeken . Hetzelfde natuurlijk met iDEAL .

Zolang je voor een fysieke CC terminal staat werkt dat ook met PINcode , maar in de situatie dat je vanaf je verblijf iets zit te regelen of boeken is alleen CC nummer + code die achterop staat niet meer voldoende.

Dit is kennelijk allemaal nog optioneel. Ik betaal nog wel eens met credit card bij bestellen en in verreweg de meeste
gevallen is carnumber, holder name, expiration date en evv code voldoende. Het is me hooguit een of twee keer gebeurd
dat ik werd gedirect naar de banksite, zoals bij iDEAL altijd gebeurt. En dat was dan nog bij bestellingen in China, in
Nederland is me dat nog nooit gebeurd (terwijl je zou verwachten dat de Nederlandse betaalproviders dit als eerste
zouden invoeren). Dat zou zeker een goede zaak zijn want die 4 info items zijn overanderlijk (gedurende de geldigheid
van de card, meerdere jaren dus), terwijl die extra validatie natuurlijk maar 1 keer werkt en dus "info lekken" nutteloos
zou maken.
28-07-2022, 18:03 door Anoniem
Door Anoniem:
Door Anoniem:
Toch blijf ik het een zwakte bod vinden dat de ING-app alles valideert met dezelfde 5 cijferige pincode.
ING had dan beter een aparte/gescheiden validatie kunnen invoeren met een aparte nummer-generator (hardware) icm de bankpas. Dus los van de ING-app op de telefoon. Dat zou ik veiliger vinden. Elke keer een andere code om mee te valideren.
Zo'n systeem met een "calculator" icm de bankpas dat is helemaal slecht! (ABN,RABO)
Al je authenticatie wordt dan uiteindelijk gehangen aan pas+pincode. Als je pincode wordt afgekeken en je pas gerold
dan ligt je hele bankrekening open! ALLES kunnen ze dan doen, inclusief het veranderen van de opnamelimiet van
de pas en de overboeklimiet naar externe rekeningen. Nee DAAR is pas goed over nagedacht (NOT).
Het idee hierachter is juist dat het behoorlijk veilig is zolang als je zelf het pasje hebt.
Pas kwijt? Bank bellen en de boel blokkeren.
28-07-2022, 20:13 door Anoniem
Door Anoniem:
Door Anoniem:
Door AppUser:
Je kunt in de app..
....
... op te lossen?
Dit heb je ook één op één naar de ING gestuurd?
Weleens zelf naar contactgegevens van ING gezocht?
Kan je gelijk klagen over hun onbereikbaarheid en als je ze toch aan de lijn hebt kan je gelijk al je rekeningen bij hun opzeggen.
28-07-2022, 20:28 door Anoniem
.
Maar dat klopt niet! Android gebruikt wel de Linux kernel, maar daarop draait een virtualisatielaag waarin de apps
in gescheiden containers draaien. Deze laag definieert ook een virtuele instructieset die geinterpreteerd wordt door
de werkelijke processor, waardoor allerlei fabrikanten verschillende processoren in hun Android spullen kunnen zetten
en er toch maar 1 versie app nodig is. Dit lijkt sterk op Java (maar is het niet).

Zolang die virtualisatielaag geen onderlinge data uitwisseling tussen apps toelaat (je mag hopen dat er geen bugs in
zitten) doet het er niet toe wat er voor operating system onder zit. Het is dan ook wel te verwachten dat Linux hier op
een gegeven moment onderuit gehaald zal worden.
Dank voor je antwoord, dit wist ik niet heb weer wat bijgeleerd het maakt mij wel nieuwsgierig.
28-07-2022, 21:05 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Toch blijf ik het een zwakte bod vinden dat de ING-app alles valideert met dezelfde 5 cijferige pincode.
ING had dan beter een aparte/gescheiden validatie kunnen invoeren met een aparte nummer-generator (hardware) icm de bankpas. Dus los van de ING-app op de telefoon. Dat zou ik veiliger vinden. Elke keer een andere code om mee te valideren.
Zo'n systeem met een "calculator" icm de bankpas dat is helemaal slecht! (ABN,RABO)
Al je authenticatie wordt dan uiteindelijk gehangen aan pas+pincode. Als je pincode wordt afgekeken en je pas gerold
dan ligt je hele bankrekening open! ALLES kunnen ze dan doen, inclusief het veranderen van de opnamelimiet van
de pas en de overboeklimiet naar externe rekeningen. Nee DAAR is pas goed over nagedacht (NOT).
Het idee hierachter is juist dat het behoorlijk veilig is zolang als je zelf het pasje hebt.
Pas kwijt? Bank bellen en de boel blokkeren.
Dat zeg ik juist: dat is een onveilig uitgangspunt. Je pas moet alleen zijn voor kleine betalingen en geldopnames in
winkels en bij automaten, met een door de klant zelf ingestelde limiet.

Op het moment dat diezelfde pas ook gebruikt wordt voor authenticatie van een telebankieren site en daarmee zelfs
voor het instellen van de limieten op die pas, is het geheel een stuk onveiliger.
28-07-2022, 23:41 door Anoniem
Door Anoniem:
Door Anoniem:
Tip : "dankzij" Europa MOETEN tegenwoordig betalingen - ook met creditcard - met een sterke authenticatie geauthoriseerd worden.

Het hangt van je vakantiestijl af , maar als je onderweg op de een of andere manier iets moet betalen via Internet zou je - tegenwoordig ook bij een CC - dus moeten authoriseren met app (of andere reader).
Denk aan je volgende hotel betalen, ticket (om)boeken . Hetzelfde natuurlijk met iDEAL .

Zolang je voor een fysieke CC terminal staat werkt dat ook met PINcode , maar in de situatie dat je vanaf je verblijf iets zit te regelen of boeken is alleen CC nummer + code die achterop staat niet meer voldoende.

Dit is kennelijk allemaal nog optioneel. Ik betaal nog wel eens met credit card bij bestellen en in verreweg de meeste
gevallen is carnumber, holder name, expiration date en evv code voldoende. Het is me hooguit een of twee keer gebeurd
dat ik werd gedirect naar de banksite, zoals bij iDEAL altijd gebeurt. En dat was dan nog bij bestellingen in China, in
Nederland is me dat nog nooit gebeurd (terwijl je zou verwachten dat de Nederlandse betaalproviders dit als eerste
zouden invoeren).

Het is formeel al verplicht maar men zit (?zat ,tot vorig jaar ) nog in de overgangsfase . Het is met name de gebruikte payment-processor van de site gebruikt die het verschil maakt of het (al) afgedwongen wordt of niet .

Ik lees trouwens dat het bij lage bedragen en vertrouwde tegenpartijen dan niet verplicht zou zijn :
https://www.dnb.nl/nieuws-voor-de-sector/2021/tweefactorauthenticatie-aankopen-met-credit-card/

Misschien dat dat het verschil is in je ervaring .

In elk geval goed om te weten dat je authenticator vereist kan/moet zijn , ook bij een CC .
29-07-2022, 09:58 door Anoniem
Door Anoniem:
Het is formeel al verplicht maar men zit (?zat ,tot vorig jaar ) nog in de overgangsfase . Het is met name de gebruikte payment-processor van de site gebruikt die het verschil maakt of het (al) afgedwongen wordt of niet .

Ik lees trouwens dat het bij lage bedragen en vertrouwde tegenpartijen dan niet verplicht zou zijn :
https://www.dnb.nl/nieuws-voor-de-sector/2021/tweefactorauthenticatie-aankopen-met-credit-card/

Ja een beetje een vaag verhaal is dat. "het kan zijn dat ie 2e factor vraagt maar misschien ook wel niet, bekijk het maar".
Ik zie nu dat in mijn betaling overzicht de betaalprovider (payment-processor) niet meer genoemd wordt, alleen de
uiteindelijke begunstigde. Zal wel weer een privacy wet geweest zijn die daar achter zit ofzo. Ik heb onlangs een
betaling van 50 euro in Nederland gedaan bij een bedrijf waar ik nog niet eerder per CC betaald had (wel via iDeal)
en daarbij werd geen validatie gedaan. Maarja onder welke "soms wel soms niet" regel dat valt en of dit via China
of de USA loopt of gewoon via Mollie, dat weten we nu natuurlijk niet.
29-07-2022, 12:01 door Anoniem
Door Anoniem:
Door Anoniem:
Het is formeel al verplicht maar men zit (?zat ,tot vorig jaar ) nog in de overgangsfase . Het is met name de gebruikte payment-processor van de site gebruikt die het verschil maakt of het (al) afgedwongen wordt of niet .

Ik lees trouwens dat het bij lage bedragen en vertrouwde tegenpartijen dan niet verplicht zou zijn :
https://www.dnb.nl/nieuws-voor-de-sector/2021/tweefactorauthenticatie-aankopen-met-credit-card/

Ja een beetje een vaag verhaal is dat. "het kan zijn dat ie 2e factor vraagt maar misschien ook wel niet, bekijk het maar".
Ik zie nu dat in mijn betaling overzicht de betaalprovider (payment-processor) niet meer genoemd wordt, alleen de
uiteindelijke begunstigde. Zal wel weer een privacy wet geweest zijn die daar achter zit ofzo.

privacy snap ik niet - als klant is er weinig privaats aan het weten dat je via een bepaalde payment processoir verwerkt bent.
En andersom - noodzakelijkerwijs (en dus AVG OK) ziet de payment processor de kaart en de begunstigde .
Verder is de payment processor verstoppen in het overzicht vanwege klant privacy een soort van " ik doe mijn ogen dicht dan zie JIJ mij niet ".

Een tikje hinderlijk voor dit soort nerd vragen - maar inderdaad zie ik de payment processor ook niet (meer) in de transactie..
Het waarom snap ik alleen niet.
Uiteindelijk wil ik vooral de begunstigde weten voor de administratie, maar een stukje metadata eronder "via deze PP" had er van mij bij mogen blijven.


Ik heb onlangs een
betaling van 50 euro in Nederland gedaan bij een bedrijf waar ik nog niet eerder per CC betaald had (wel via iDeal)
en daarbij werd geen validatie gedaan. Maarja onder welke "soms wel soms niet" regel dat valt en of dit via China
of de USA loopt of gewoon via Mollie, dat weten we nu natuurlijk niet.

Je ziet de PP meestal wel bij de redirect voor de betaling . (dan moet je ook niet vastlopen in je eigen script-blocking keuzes...) .

Het verplicht (worden) van authenticatie heb ik een jaartje geleden ontdekt toen ik mysterie-foutmeldingen kreeg bij online CC betalingen (en geen transactie , want ik had destijds geen bankier app .
Uiteindelijk via de helpdesk dus geleerd dat het noodzaak ging worden .
01-12-2022, 15:35 door Anoniem
Terugkomend op de extra veiligheid die scanners bieden: volgens mij genereert de bank een versleuteld bericht dat uniek is voor de overboeking die je wilt doen, met oa banknummer, bedrag en tijdstip. De respons die de scanner genereert is ook uniek voor de betreffende overboeking en ook versleuteld. Als dit zo is, en banken zijn niet scheutig met info, dan lijkt mij de discussie over de veiligheid van besturingssystemen van en afscherming van apps/programma’s op mobieltjes en pc’s iets minder relevant. Zelfs als deze versleutelde berichten onderschept worden heb je er niets aan zolang de encryptie voldoende sterk is gegeven de tijd waarbinnen de bank de response verwacht. Bovendien moet je dan ook nog de response genereren met de frauduleuze betaaldata die de bank dan moet herkennen als authentiek. Dit lijkt me nagenoeg onmogelijk.

Het phishing scenario waarbij ook de 2FA dmv een sms code kan worden afgevangen via een nepsite lijkt me doenbaar. Als voor een betaalopdracht wederom een sms code nodig is moet je een goede babbel hebben om ook die te bemachtigen maar het kan. Met een scanner lijkt me dit ook nagenoeg onmogelijk, omdat de scanner, zoals eerder opgemerkt, je bevestiging vraagt voor het op de scanner getoonde bedrag en rekeningnummer. Ik zie dit bv op de raboscanner.

Aangezien ik weinig vertrouwen heb in de beveiliging van pc’s en mobieltjes ben ik blij met dit soort scanners omdat die volgens mij heel veel technische onvolkomenheden van mijn eigen computer/telefoon omzeilen en phishing via nepsites veel moeilijker maken.

Het is waar dat dit system afhankelijk is van het in bezit houden van je bankpas en geheimhouden van je pin. De ing scanner is gepersonaliseerd dus moet die ook gestolen worden om te frauderen. Lijkt mij ook sterker. Maar deze bank communiceerde bij de afschaffing van de tancodes beroerd en wilde iedereen aan de bank app, met toen nog slechtere algemene voorwaarden waarbij je als klant al snel aan de verkeerde kant staat. Op mijn gemotiveerde bezwaren en vragen naar alternatieven werd niet gereageerd. Dus al mijn rekeningen opgezegd. Pas daarna kwamen ze met de nieuwe scanner.

Dus mijn conclusie is voorlopig dat een scanner veel extra beveiliging biedt en betwijfel of een bank app hetzelfde niveau kan halen. Graag jullie reactie.
HM
01-12-2022, 16:42 door Anoniem
Door Anoniem: Terugkomend op de extra veiligheid die scanners bieden: volgens mij genereert de bank een versleuteld bericht dat uniek is voor de overboeking die je wilt doen, met oa banknummer, bedrag en tijdstip. De respons die de scanner genereert is ook uniek voor de betreffende overboeking en ook versleuteld. Als dit zo is, en banken zijn niet scheutig met info, dan lijkt mij de discussie over de veiligheid van besturingssystemen van en afscherming van apps/programma’s op mobieltjes en pc’s iets minder relevant. Zelfs als deze versleutelde berichten onderschept worden heb je er niets aan zolang de encryptie voldoende sterk is gegeven de tijd waarbinnen de bank de response verwacht. Bovendien moet je dan ook nog de response genereren met de frauduleuze betaaldata die de bank dan moet herkennen als authentiek. Dit lijkt me nagenoeg onmogelijk.

Het phishing scenario waarbij ook de 2FA dmv een sms code kan worden afgevangen via een nepsite lijkt me doenbaar. Als voor een betaalopdracht wederom een sms code nodig is moet je een goede babbel hebben om ook die te bemachtigen maar het kan. Met een scanner lijkt me dit ook nagenoeg onmogelijk, omdat de scanner, zoals eerder opgemerkt, je bevestiging vraagt voor het op de scanner getoonde bedrag en rekeningnummer. Ik zie dit bv op de raboscanner.

Aangezien ik weinig vertrouwen heb in de beveiliging van pc’s en mobieltjes ben ik blij met dit soort scanners omdat die volgens mij heel veel technische onvolkomenheden van mijn eigen computer/telefoon omzeilen en phishing via nepsites veel moeilijker maken.

Het is waar dat dit system afhankelijk is van het in bezit houden van je bankpas en geheimhouden van je pin. De ing scanner is gepersonaliseerd dus moet die ook gestolen worden om te frauderen. Lijkt mij ook sterker. Maar deze bank communiceerde bij de afschaffing van de tancodes beroerd en wilde iedereen aan de bank app, met toen nog slechtere algemene voorwaarden waarbij je als klant al snel aan de verkeerde kant staat. Op mijn gemotiveerde bezwaren en vragen naar alternatieven werd niet gereageerd. Dus al mijn rekeningen opgezegd. Pas daarna kwamen ze met de nieuwe scanner.

Dus mijn conclusie is voorlopig dat een scanner veel extra beveiliging biedt en betwijfel of een bank app hetzelfde niveau kan halen. Graag jullie reactie.
HM

Zoals zoveel techneuten kijk je ontzettend naar een technische aanval.

De scanner is - feitelijk - een hele hoop voodoo met nummers overtikken .

Afgezien van super techneuten - geen hond leest dat of snapt dat , mensen tikken gewoon de zaak over .
De scanner heeft dubbelfunctie bij inloggen op de bank site en overboekingen bevestigen .

Ik speculeer (wel vrij gefundeerd) dat het merendeel van de klanten wanneer de aanvaller met een phishing site werkt en eventueel interactieve "support" levert [probleem met de scanner ? chat hier ] alles gedaan krijgt .

De combinatie "matig betrouwbare webomgeving (std desktop) plus scanner" verliest het m.i. van "bankier app" omdat de app omgeving gewoon vrijwel altijd veel betrouwbaarder is.

En dat heeft helemaal niks te maken met super duper encryptie .
Bedenk - banken zitten erom om het "voor de hele populatie" zo goed als bruikbaar kan te doen .

Dat is heel wat anders dan een "bros" design dat technisch misschien net iets beter is *maar alleen* met de randvoorwaarden dat de gebruiker z'n omgeving super goed in elkaar zit, de gebruiker goed reageert op SSL warnings, en de gebruiker exact snapt hoe de scanner werkt en alle berichten leest en correct reageert .
En als die randvoorwaarden NIET aanwezig zijn - gebruiker negeert warnings, tikt blindelings alle codes in alle webforms - dan heb je ook niks .
Dat is gewoon een slecht design - iets dat totaal faalt als een aantal lastige randvoorwaarden niet aanwezig zijn.
Je kunt alleen (als designer of techneut) zo lekker de schuld afschuiven op de gebruiker.


Maar goed, als jij je lekker voelt met een scanner dan vraag je die toch gewoon aan ?
02-12-2022, 10:31 door Anoniem
Door Anoniem:
Door ocraM: Ik heb ( eerst ) vingerafdruk nodig en dan ook pincode ingesteld.
Dus moeten ze ook één van mijn ( welke ) vingers meenemen.
Kijk uit: als de vingerafdruk niet lukt, dan kan er altijd nog via de pincode ingelogd worden.

Pincodes hebben sowieso al minimaal een kans 1 op 2000 om geraden te worden in vijf keer (als ze al perfect willekeurig en niet afgekeken zijn).

Misschien ben ik niet zo slim en, maar met mijn 1e klas middelbare school hoofdrekenkennis kan ik dit niet rijmen.
a) mijn ing-pincode heeft 5 cijfers en volgens mij heb je dan 10^5 mogelijke combo's (want decimaal)
b) na de eerste poging weet je van 1 van de 100 000 combo's dat deze niet werkt. Nu is het probleem dus gereduceerd tot 99 999 combo's. Ik denk dat de kans dat je die raadt zo ongeveer 1 op 99 999 zal zijn. Als ik aan mijn 5e poging begin dan zijn er volgens mij nog 99 996 mogelijkheden over en ik ben erg benieuwd hoe jij de kans om die te raden weet te reduceren naar 1 op 2000.
02-12-2022, 11:38 door Erik van Straten
M.b.t. pincodes: die zijn dusdanig kort dat als de toegang niet wordt geblokkeerd na een (klein) aantal pogingen, het risico op onrechtmatige toegang veel te groot is.

Door Anoniem: De combinatie "matig betrouwbare webomgeving (std desktop) plus scanner" verliest het m.i. van "bankier app" omdat de app omgeving gewoon vrijwel altijd veel betrouwbaarder is.
Dat zou kunnen, maar het aantal aanvallen op mobiele apparaten neemt wel toe, onder meer via kwaadaardige apps die rechten opeisen bedoeld voor mensen met beperkingen, en zo kunnen meelezen en namens jou (onzichtbaar voor jou) gegevens kunnen "typen".

Uiterst zorgelijk vind ik dit bericht van gisteren:
Samsung, LG, Mediatek certificates compromised to sign Android malware
[...]
If apps, even malicious ones, are signed with the same platform certificate and assigned the highly privileged 'android.uid.system' user id, these apps will also gain system-level access to the Android device.
[...]
Bron: https://www.bleepingcomputer.com/news/security/samsung-lg-mediatek-certificates-compromised-to-sign-android-malware/.
02-12-2022, 18:28 door Anoniem
Ik ga toch nog maar even door over de techniek, hoewel niet iedereen daarvan gecharmeerd lijkt te zijn. Volgens mij is de kern van de scanner dat de techniek en de integriteit ervan niet kan worden gecompromitteerd door programmatuur op mijn pc of mobiel. Het hacken van pc’s is van alle tijden en dat geldt ook voor mobieltjes. Denk maar even aan Pegasus. Het is niet voor niets dat leveranciers continu met beveiligingsupdates komen, en die komen per definitie nadat een lek is ontdekt. Bovendien is de complexiteit van mobiele besturingssystemen inmiddels ook zo groot dat systeem upgrades bijna altijd gevolgd worden door beveiligingspatches. Dat geeft voor mij aan dat deze apparatuur inherent onveilig is en dus los van het feit dat ik al mijn systemen up-to-date houd. Bij een hack van mijn apparatuur zal een bank geen verantwoordelijkheid nemen. De bewijslast ligt bij mij (heb ik mijn apparatuur wel goed onderhouden). Als de scanner wordt gecompromitteerd dan is dat per definitie de verantwoordelijkheid van de bank. Bij het gebruik van de bank app moet je bij fraude aantonen dat je je vijfcijferige pin geheim hebt gehouden, of anders dat de bank app lek is. Ga er maar aan staan.

Ik weet bijna zeker dat de bank apps eveneens volledig afhankelijk zijn van versleutelingstechniek. Die zal end-to-end zijn en hopelijk net zoveel zekerheid geven als de scanner, maar weten doe ik dit niet. Ik heb ik een ver verleden wel de beveiligngsreviews van de eerste generatie bank apps in de VS gezien en die waren vernietigend. Recentere infor had ik gehoopt op deze site te vinden.
02-12-2022, 23:39 door Anoniem

Oh ? Ik heb vrij recent de app aangevraagd(rekening had ik al) , en stond toch echt met paspoort in een ING kantoor.

Zo hoort het ook. Ik heb al meegemaakt (steeds vaker recentelijk) dat instellingen en bedrijven niet echt om identificatie vragen; zelfs op het politiebureau nu.. Ik heb informatie aan hun systeem laten toevoegen zonder dat ze mijn id hebben gezien -zorgelijk.

Er gaat veel op vertrouwen, ook in de medische wereld , aan de achterkant, via de administratie van medicaties.

Bij de bank had ik een vertrouwelijk gesprek en de bankier had een Apple Watch om , zo eentje die een melding gaf over vloeken toen de (jonge ) medewerker per ongeluk een cuss woordje gebruikte tijdens het rommelen in hun banksysteem.

Dan vraag ik mij af; mag dat wel? Werk je bij een grote bank, zit je met je Apple Watch op internet en de microfoon staat aan terwijl je met klanten bezig bent... wie kan er nog meer meeluisteren?

Vaak ligt de smartphone op tafel maar dit was dus een horloge en die reageerde zonder spraakopdracht.
03-12-2022, 14:25 door Anoniem
Door Anoniem: Ik ga toch nog maar even door over de techniek, hoewel niet iedereen daarvan gecharmeerd lijkt te zijn. Volgens mij is de kern van de scanner dat de techniek en de integriteit ervan niet kan worden gecompromitteerd door programmatuur op mijn pc of mobiel. Het hacken van pc’s is van alle tijden en dat geldt ook voor mobieltjes. Denk maar even aan Pegasus. Het is niet voor niets dat leveranciers continu met beveiligingsupdates komen, en die komen per definitie nadat een lek is ontdekt.

Ik wil best gezellig meebabbelen over de strikt technische aspecten - alleen wat je je gewoon heel goed moet realiseren dat "security" uiteindelijk faalt op "het zwakste punt" . En dat kan heel goed een gebruiksproces zijn .

En - als we kijken naar een analoog equivalent - als je praat over huisbeveiliging is het niet alleen maar meters beton of enorme sloten met moeilijke security pinning en hoeveel jaar die bestand zijn tegen een aanvaller met een thermische lans, een pneumatische hamer , of een master lockpicker .
Nogal wat techneuten kijken alleen maar naar een technische aanvaller die frontaal de voordeur aanvalt , en baseren hun hele optimalisatie alleen daarop .

Aanbellen met een uniform "meteropnemer" , of "energie adviseur" , "bezorger" , pizza of 'vriendin van dochter mag ik binnen wachten' is óók een manier om binnen te komen .
En als je 'threat model' ook uit moet gaan van "Seal team 6 wordt gedropt op je huis" heb je een totaal andere uitdaging dan een gewone gebruiker.

Maar om de een of andere reden zitten hier mensen die denken dat zero day mobile OS hacks voor iedereen een enorm risico zijn - en gaan ze hun keuze of advies daarop afstemmen .

Wat *gemiddeld* het zwakke punt van de scanner is , is het gebruiks proces - dat precies snappen , en het feit dat je terminal gewoonlijk een reguliere PC is.

Gebruik je iets als tails of qubes OS, ben je permanent alert op alle warnings, en snap je exact hoe de scanner werkt kun je echt wel zeggen dat je technisch nog net wat veiliger zit .
Maar het is een _slecht_ design om tante Truus met windows 8 te vertellen dat ze "veiliger is met scanner"


Bovendien is de complexiteit van mobiele besturingssystemen inmiddels ook zo groot dat systeem upgrades bijna altijd gevolgd worden door beveiligingspatches. Dat geeft voor mij aan dat deze apparatuur inherent onveilig is en dus los van het feit dat ik al mijn systemen up-to-date houd. Bij een hack van mijn apparatuur zal een bank geen verantwoordelijkheid nemen. De bewijslast ligt bij mij (heb ik mijn apparatuur wel goed onderhouden). Als de scanner wordt gecompromitteerd dan is dat per definitie de verantwoordelijkheid van de bank. Bij het gebruik van de bank app moet je bij fraude aantonen dat je je vijfcijferige pin geheim hebt gehouden, of anders dat de bank app lek is. Ga er maar aan staan.

Wat geeft je het idee dat 'de scanner zelf wordt gehacked' je voornaamste risico is - en dat jij dat gaat kunnen aantonen ?
Als jij je laat vertellen (door een site, of online helpdesk) om de codes van de scanner in te toetsen waar je gewezen wordt - ga je nat.
Die alertheid wat dingen betekenen in het display'tje van de scanner moet puur tussen jouw oren zitten .

Het is een ervaringsfeit (van banken) dat mensen SMS TAN codes - ondanks de tekst welk bedrag waar naar toe ging - gewoon overtikten .
Dus totaal zonder te lezen/realiseren dat de bestemming anders was dan ze als overboeking gedaan wilden hebben.

Met dat feit in gedachten moet je niet zo veel vertrouwen hebben in een systeem waarbij veel afhangt van het lezen en snappen van een kort stukje tekst in het display van een scanner.

*technisch* voldoet het - procedureel is het zwak wanneer maar een klein deel van de gebruikers erdoor "beschermd" wordt.


Ik weet bijna zeker dat de bank apps eveneens volledig afhankelijk zijn van versleutelingstechniek. Die zal end-to-end zijn en hopelijk net zoveel zekerheid geven als de scanner, maar weten doe ik dit niet. Ik heb ik een ver verleden wel de beveiligngsreviews van de eerste generatie bank apps in de VS gezien en die waren vernietigend. Recentere infor had ik gehoopt op deze site te vinden.

Op een hoop manieren is de VS echt erg achterlijk, en ik ben niet verbaasd dat dat ook voor banking apps zal gelden.
Bouw een sniffer/proxy en ga kijken - ik ben fors zeker dat de app 'gewoon' TLS gebruikt voor de communicatie , met als grote voordeel certificate pinning .
03-12-2022, 21:32 door Anoniem
Dat beveiliging meer is dan enkel techniek lijkt me vanzelfsprekend. Dat is in de diverse reacties in deze draad reeds meermaals benadrukt. Dat laat onverlet dat sommige technieken beter kunnen zijn, al dan niet in combinatie met andere aanvullende procedures of maatregelen die door de gebruikers moeten worden gevolgd.
Mijn stelling is dat een scanner het specifieke bovengenoemde scenario waarbij je naar een nepsite wordt geleid, je inlogt met userid en password, de babbelaar daarna met deze gegevens zelf inlogt en een frauduleuze overboeking aanmaakt, en vervolgens met een babbeltruc de sms code afvangt, pffff, dat een scanner dit scenario dus effectief bestrijd. Ik kan me nog voorstellen dat een slimme fraudeur de qr code van de frauduleuze betaling op de nep site kan kopiëren. Maar als je die qr code dan scant zie je een ander rekeningnummer (en wellicht een ander bedrag). En ja, je moet dus wel blijven opletten.
Het in de vorige reactie gestelde scenario: “Als jij je laat vertellen (door een site, of online helpdesk) om de codes van de scanner in te toetsen waar je gewezen wordt - ga je nat.” begrijp ik niet zo goed. De enige geldige en dus bruikbare code vereist de bankpas die je in je scanner hebt gestoken. Hoe kan een babbelaar dan een geldige code voor zijn frauduleuze overboeking van mijn rekening doen. Dan heeft hij toch minimaal mijn pas en pin nodig?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.