Waarom ik niet internetbankier

[Manuel]

'Belgische rekeningen online massaal geplunderd'

In België worden op grote schaal bankrekeningen van internetters geplunderd, vermoedelijk door de Russische maffia. De criminelen zijn erin geslaagd de systemen voor internetbankieren te kraken van drie banken, waaronder die van twee strengbeveiligde grote instellingen.

Lees verder via nu.nl...

[nirwana]

Het wordt tijd dat men daar in Rusland echt aan het werk gaat. Blijkbaar verveelt men zich en dan gaan ze dit soort dingen uitpluizen. Ben benieuwd of zoiets in NLD ook mogelijk zou zijn of dat Internetbankieren bij ons somehow veiliger werkt.

[nirwana]

Uit de update van Tweakers blijkt dat het om een oud probleem gaat. In juni j.l. zijn hiertegen aanpassingen gemaakt aan het internetbankieren van de banken. Sindsdien zijn er geen fraudegevallen meer bekend geworden.
http://tweakers.net/nieuws/49687/russis ... pdate.html
http://www.vrtnieuws.net/cm/vrtnieuws.n ... d/1.190649

[Manuel]

Uit de update van Tweakers blijkt dat het om een oud probleem gaat. In juni j.l. zijn hiertegen aanpassingen gemaakt aan het internetbankieren van de banken. Sindsdien zijn er geen fraudegevallen meer bekend geworden.
http://tweakers.net/nieuws/49687/russis ... pdate.html
http://www.vrtnieuws.net/cm/vrtnieuws.n ... tbankieren

Wel stom dan dat dat als nieuw nieuws gebracht wordt...

Maar doet niets af aan wat ik denk/vind: ouderwets bankieren is, en blijft, per definitie veiliger dan internetbankieren.

Bij bankieren met papier moet een dief fysiek toegang hebben tot de bank, of tot de post.

Internet staat open voor de hele wereld, en je moet eens zien hoeveel bedrijven hun beveiliging niet serieus nemen. Wat wel goed beveiligd is, of wordt geacht, is vaak met veel werk wel te hacken. Maar altijd nog veel eenvoudiger dan fysieke toegang tot een bank of poststroom krijgen.

P.S. De laatste link: http://www.vrtnieuws.net/cm/vrtnieuws.n ... tbankieren werkt niet meer:

Page not found
De pagina die u zoekt kan niet gevonden worden, mogelijk bestaat ze niet meer. Indien nodig dient u uw favorieten (of bookmarks) bij te werken.

[nirwana]

Maar doet niets af aan wat ik denk/vind: ouderwets bankieren is, en blijft, per definitie veiliger dan internetbankieren.

Bij bankieren met papier moet een dief fysiek toegang hebben tot de bank, of tot de post.

Daarop valt niets af te dingen. Maar Internetbankieren zou uiteindelijk eenvoudiger (en daardoor goedkoper) moeten zijn voor zowel consument als bank.

P.S. De laatste link: http://www.vrtnieuws.net/cm/vrtnieuws.n ... tbankieren werkt niet meer

Dan doen we het anders: http://www.vrtnieuws.net/cm/vrtnieuws.n ... d/1.190649

[adri]

Het is ook goedkoper.

Wat ik ervan begrijp is dat er wel verschillen zijn in de manier hoe banken e.e.a. geïmplementeerd hebben en dat dat nogal van invloed is op het al dan niet veilig zijn van die dienst.

Bij de RABO (maar nu praat ik anderen maar een beetje na) schijnen ze dat toch redelijk goed voor elkaar te hebben, i.t.t. sommige andere banken (en niet de kleinsten!).

[rebil]

Bij Argenta krijg je een abonnementsnummer, een inlognummer en een wachtwoord. Om in te loggen geef je in het eerste scherm je abonnementsnummer en je wachtwoord, Daarna moet je in het tweede scherm een aantal cijfers van het inlognummer ingeven. De posities daarvan zijn bij elke inlogbeurt willekeurig gekozen.

Bij ABM AMRO krijg je een kastje waar je je kaart in moet steken en je pincode moet intikken. Bij elke transactie tik je dan een gegeven nummer in op het kastje en het nummer dat daarop als antwoord komt geef je dan weer in in je browser.

Ik denk dat de tweede aanpak een stuk veiliger is dan de eerste. Bij de eerste heb je eigenlijk gewoon 1 lang statisch wachtwoord dat in drie gesplitst wordt. Een man in the middle die een paar keer meeluistert heeft na een tijdje alle gegevens die hij nodig heeft om in te loggen. De tweede werkt met een challenge-response-systeem waarbij de verificatiecodes elke keer anders zijn. Een aanvaller moet dan al je kaar en je pincode hebben om iets te kunnen beginnen (of een zwakheid vinden in het algoritme).

Maar het risico van de eerste werkwijze moet ook niet overdreven worden: als de browser geen meldingen geeft over ongeldige certificaten mag je er van uit gaan dat er niemand meeluistert. Internetbankieren is over het algemeen wel vrij veilig, denk ik. Vijftien mensen (of 50 gevallen op 3 jaar) is tenslotte ook geen grote hoop, hé. Ik durf er voor te wedden dat met traditioneel bankieren minstens evenveel fraude gepleegd wordt. In beide gevallen is fraude meestal niet te wijten aan een zwakheid in het systeem, maar wordt er vertrouwelijke informatie bekomen door social engineering.

[Manuel]

Maar doet niets af aan wat ik denk/vind: ouderwets bankieren is, en blijft, per definitie veiliger dan internetbankieren.

Bij bankieren met papier moet een dief fysiek toegang hebben tot de bank, of tot de post.

Daarop valt niets af te dingen. Maar Internetbankieren zou uiteindelijk eenvoudiger (en daardoor goedkoper) moeten zijn voor zowel consument als bank.

En daar zit hem nu net de kneep: het kan, en het is zo lekker makkelijk, dus we doen het. Los van de banken wordt er steeds meer aan Internet gekoppeld, alweer omdat het zo lekker makkelijk is... De waan van de dag.

Je kunt er op wachten dat dat een keer (goed) fout gaat. Dus niet of het fout gaat, maar wanneer.

P.S. De laatste link: http://www.vrtnieuws.net/cm/vrtnieuws.n ... tbankieren werkt niet meer

Dan doen we het anders: http://www.vrtnieuws.net/cm/vrtnieuws.n ... d/1.190649

Dank! Wat mij met name in dat bericht opvalt is:

Het is nog niet duidelijk hoe dat gebeurde en hoeveel geld er verdwenen is.

Nog steeds niet duidelijk dus. Zou ik internetbankieren, dan zou ik op z'n minst licht verontrust zijn.

[Manuel]

Het is ook goedkoper.

Wat ik ervan begrijp is dat er wel verschillen zijn in de manier hoe banken e.e.a. geïmplementeerd hebben en dat dat nogal van invloed is op het al dan niet veilig zijn van die dienst.

Bij de RABO (maar nu praat ik anderen maar een beetje na) schijnen ze dat toch redelijk goed voor elkaar te hebben, i.t.t. sommige andere banken (en niet de kleinsten!).

Ja, RABO komt er steeds postief uit, dacht ik, en over (sommige) andere banken heb ik in de loop van de tijd wel 1 en ander gelezen...

RABO is misschien voldoende veilig (100% veilig bestaat niet) in combinatie met een ècht besturingssysteem (Linux/Unix/BSD) en een gebruiker die weet wat hij doet.

In alle andere gevallen raad ik internetbankieren af. Maar ja, wie ben ik nu helemaal

[Manuel]

Maar het risico van de eerste werkwijze moet ook niet overdreven worden: als de browser geen meldingen geeft over ongeldige certificaten mag je er van uit gaan dat er niemand meeluistert. Internetbankieren is over het algemeen wel vrij veilig, denk ik. Vijftien mensen (of 50 gevallen op 3 jaar) is tenslotte ook geen grote hoop, hé. Ik durf er voor te wedden dat met traditioneel bankieren minstens evenveel fraude gepleegd wordt. In beide gevallen is fraude meestal niet te wijten aan een zwakheid in het systeem, maar wordt er vertrouwelijke informatie bekomen door social engineering.

Maar dan nog, natuurlijk wordt er ook op de 'ouderwetse' manier fraude gepleegd en 50 gevallen op 3 jaar is niet veel, maar software is zo complex, met nog zoveel onbekende lekken, dat het me makkelijker lijkt om dat uit te buiten (evt. in combinatie met social enginering en/of brakke browsers) dan papieren fraude te plegen.

De internetfraude is ook interessanter voor de dief: als je het goed kun je snel veel geld verdienen.

Nog wat: wanneet iemand mijn handtekening vervalsen zou, dan zou ik dat aan moeten kunnen tonen. Wanneer iemand aan wachtwoorden en logins komt, dan wordt dat eventueel veel moeilijker.

[e4ea]

Ik vraag me hierbij ook af hoe het zit met onveilige draadloze verbindingen.

Stel dat iemand inderdaad bij de Rabobank zit, of nee, bij een 'onveilige' bank als ABN-AMRO, Argenta etc.... en hij of zij maakt bijvoorbeeld gebruik van WEP voor zijn of haar draadloze internetaansluiting.

Is het dan mogelijk dat de gegevens van de beveiligde verbinding onderschept worden en dat deze worden gebruikt?

Wanneer dit het geval is, dan denk ik dat het gevaar veel groter is dan men zich realiseert, aangezien een groot percentage van de internetgebruikers helaas tot deze groep behoort...

Enig idee?

Jan

[nirwana]

Jan,

Ik denk dat dat meevalt, aangezien alle banken in elk geval via https werken. Daarmee worden de gegevens versleuteld en dan kan alleen de bedoelde ontvanger van de gegevens (de bank in dit geval) er iets mee.

Dan heb je misschien via WEP (of WPA) het netwerkverkeer onderschept, maar daarmee heb je nog niet de gegevens zelf. Dan heb je alleen maar een hoop versleutelde meuk waar je niets mee kunt.

Je kunt op die manier eigenlijk alleen niet-beveiligde protocollen onderscheppen (zoals email, gewoon websurfen en FTP).

[e4ea]

Hmm... okay..

Ik vroeg het me af omdat met name wanneer het verhaal over Argenta zou kloppen, en het dus mogelijk is door gegevens te verzamelen, wachtwoord en toegangscode te achterhalen, een niet beveiligde draadloze verbinding hier mogelijk wel eens een lek in de 'tunnel' zou kunnen zijn.

Maar als ik het goed begrijp zijn de versleutelde gegevens van een https verbinding niet te achterhalen, ook niet wanneer ze worden onderschept en achteraf worden bekeken?

[nirwana]

Maar als ik het goed begrijp zijn de versleutelde gegevens van een https verbinding niet te achterhalen, ook niet wanneer ze worden onderschept en achteraf worden bekeken?

Alles is uiteindelijk te ontsleutelen, maar met beveiligde gegevens is dat even wat lastiger. Het is het verschil tussen een gewoon document en een document dat met een wachtwoord is beveiligd. De eerste kun je zo openen en voor de tweede heb je toch wat meer gegevens nodig.

[Frederik]

Statistisch gezien is de kans groter om op straat gerold te worden, dan dat je bankrekening on line geplunderd wordt. Ik heb dat laatste in ieder geval nog niet meegemaakt en velen met mij.
De ongelukkige die dat wel overkomt is overigens verzekerd.