Waarom ik niet internetbankier

Hierin kan alles wat te maken heeft met beveiliging op het Internet. Bijvoorbeeld het beveiligd versturen van emails of het voorkomen van adware, spyware en andere ongewenste software.
Manuel
Berichten: 2539
Lid geworden op: 21 december 2004, 20:16
Locatie: Alkmaar, Nederland
    unknown unknown

Waarom ik niet internetbankier

Bericht door Manuel »

'Belgische rekeningen online massaal geplunderd'

In België worden op grote schaal bankrekeningen van internetters geplunderd, vermoedelijk door de Russische maffia. De criminelen zijn erin geslaagd de systemen voor internetbankieren te kraken van drie banken, waaronder die van twee strengbeveiligde grote instellingen.
Lees verder via nu.nl...
Gebruikersavatar
nirwana
Beheerder
Berichten: 11528
Lid geworden op: 19 september 2003, 5:09
    unknown unknown
Contacteer:

Bericht door nirwana »

Het wordt tijd dat men daar in Rusland echt aan het werk gaat. Blijkbaar verveelt men zich en dan gaan ze dit soort dingen uitpluizen. Ben benieuwd of zoiets in NLD ook mogelijk zou zijn of dat Internetbankieren bij ons somehow veiliger werkt.
Met vriendelijke groet,

Martijn
[ Mede-oprichter + webmaster MozBrowser | beheerder Startpagina's over freeware, GIMP, Mozilla en OpenOffice.org / LibreOffice, Ubuntu
Gebruikersavatar
nirwana
Beheerder
Berichten: 11528
Lid geworden op: 19 september 2003, 5:09
    unknown unknown
Contacteer:

Bericht door nirwana »

Uit de update van Tweakers blijkt dat het om een oud probleem gaat. In juni j.l. zijn hiertegen aanpassingen gemaakt aan het internetbankieren van de banken. Sindsdien zijn er geen fraudegevallen meer bekend geworden.
http://tweakers.net/nieuws/49687/russis ... pdate.html
http://www.vrtnieuws.net/cm/vrtnieuws.n ... d/1.190649
Laatst gewijzigd door nirwana op 7 oktober 2007, 20:31, 1 keer totaal gewijzigd.
Met vriendelijke groet,

Martijn
[ Mede-oprichter + webmaster MozBrowser | beheerder Startpagina's over freeware, GIMP, Mozilla en OpenOffice.org / LibreOffice, Ubuntu
Manuel
Berichten: 2539
Lid geworden op: 21 december 2004, 20:16
Locatie: Alkmaar, Nederland
    unknown unknown

Bericht door Manuel »

nirwana schreef:Uit de update van Tweakers blijkt dat het om een oud probleem gaat. In juni j.l. zijn hiertegen aanpassingen gemaakt aan het internetbankieren van de banken. Sindsdien zijn er geen fraudegevallen meer bekend geworden.
http://tweakers.net/nieuws/49687/russis ... pdate.html
http://www.vrtnieuws.net/cm/vrtnieuws.n ... tbankieren
Wel stom dan dat dat als nieuw nieuws gebracht wordt...

Maar doet niets af aan wat ik denk/vind: ouderwets bankieren is, en blijft, per definitie veiliger dan internetbankieren.

Bij bankieren met papier moet een dief fysiek toegang hebben tot de bank, of tot de post.

Internet staat open voor de hele wereld, en je moet eens zien hoeveel bedrijven hun beveiliging niet serieus nemen. Wat wel goed beveiligd is, of wordt geacht, is vaak met veel werk wel te hacken. Maar altijd nog veel eenvoudiger dan fysieke toegang tot een bank of poststroom krijgen.

P.S. De laatste link: http://www.vrtnieuws.net/cm/vrtnieuws.n ... tbankieren werkt niet meer:
Page not found
De pagina die u zoekt kan niet gevonden worden, mogelijk bestaat ze niet meer. Indien nodig dient u uw favorieten (of bookmarks) bij te werken.
Gebruikersavatar
nirwana
Beheerder
Berichten: 11528
Lid geworden op: 19 september 2003, 5:09
    unknown unknown
Contacteer:

Bericht door nirwana »

Manuel schreef:Maar doet niets af aan wat ik denk/vind: ouderwets bankieren is, en blijft, per definitie veiliger dan internetbankieren.

Bij bankieren met papier moet een dief fysiek toegang hebben tot de bank, of tot de post.
Daarop valt niets af te dingen. Maar Internetbankieren zou uiteindelijk eenvoudiger (en daardoor goedkoper) moeten zijn voor zowel consument als bank.
Manuel schreef:P.S. De laatste link: http://www.vrtnieuws.net/cm/vrtnieuws.n ... tbankieren werkt niet meer
Dan doen we het anders: http://www.vrtnieuws.net/cm/vrtnieuws.n ... d/1.190649
Met vriendelijke groet,

Martijn
[ Mede-oprichter + webmaster MozBrowser | beheerder Startpagina's over freeware, GIMP, Mozilla en OpenOffice.org / LibreOffice, Ubuntu
Gebruikersavatar
adri
Moderator
Berichten: 11541
Lid geworden op: 5 maart 2005, 14:00
Locatie: Diessen
    unknown unknown

Bericht door adri »

Het is ook goedkoper.

Wat ik ervan begrijp is dat er wel verschillen zijn in de manier hoe banken e.e.a. geïmplementeerd hebben en dat dat nogal van invloed is op het al dan niet veilig zijn van die dienst.

Bij de RABO (maar nu praat ik anderen maar een beetje na) schijnen ze dat toch redelijk goed voor elkaar te hebben, i.t.t. sommige andere banken (en niet de kleinsten!).
Afbeelding
rebil
Berichten: 505
Lid geworden op: 25 april 2006, 20:07
    unknown unknown
Contacteer:

Bericht door rebil »

Bij Argenta krijg je een abonnementsnummer, een inlognummer en een wachtwoord. Om in te loggen geef je in het eerste scherm je abonnementsnummer en je wachtwoord, Daarna moet je in het tweede scherm een aantal cijfers van het inlognummer ingeven. De posities daarvan zijn bij elke inlogbeurt willekeurig gekozen.

Bij ABM AMRO krijg je een kastje waar je je kaart in moet steken en je pincode moet intikken. Bij elke transactie tik je dan een gegeven nummer in op het kastje en het nummer dat daarop als antwoord komt geef je dan weer in in je browser.

Ik denk dat de tweede aanpak een stuk veiliger is dan de eerste. Bij de eerste heb je eigenlijk gewoon 1 lang statisch wachtwoord dat in drie gesplitst wordt. Een man in the middle die een paar keer meeluistert heeft na een tijdje alle gegevens die hij nodig heeft om in te loggen. De tweede werkt met een challenge-response-systeem waarbij de verificatiecodes elke keer anders zijn. Een aanvaller moet dan al je kaar en je pincode hebben om iets te kunnen beginnen (of een zwakheid vinden in het algoritme).

Maar het risico van de eerste werkwijze moet ook niet overdreven worden: als de browser geen meldingen geeft over ongeldige certificaten mag je er van uit gaan dat er niemand meeluistert. Internetbankieren is over het algemeen wel vrij veilig, denk ik. Vijftien mensen (of 50 gevallen op 3 jaar) is tenslotte ook geen grote hoop, hé. Ik durf er voor te wedden dat met traditioneel bankieren minstens evenveel fraude gepleegd wordt. In beide gevallen is fraude meestal niet te wijten aan een zwakheid in het systeem, maar wordt er vertrouwelijke informatie bekomen door social engineering.
Manuel
Berichten: 2539
Lid geworden op: 21 december 2004, 20:16
Locatie: Alkmaar, Nederland
    unknown unknown

Bericht door Manuel »

nirwana schreef:
Manuel schreef:Maar doet niets af aan wat ik denk/vind: ouderwets bankieren is, en blijft, per definitie veiliger dan internetbankieren.

Bij bankieren met papier moet een dief fysiek toegang hebben tot de bank, of tot de post.
Daarop valt niets af te dingen. Maar Internetbankieren zou uiteindelijk eenvoudiger (en daardoor goedkoper) moeten zijn voor zowel consument als bank.
En daar zit hem nu net de kneep: het kan, en het is zo lekker makkelijk, dus we doen het. Los van de banken wordt er steeds meer aan Internet gekoppeld, alweer omdat het zo lekker makkelijk is... De waan van de dag.

Je kunt er op wachten dat dat een keer (goed) fout gaat. Dus niet of het fout gaat, maar wanneer.
nirwana schreef:
Manuel schreef:P.S. De laatste link: http://www.vrtnieuws.net/cm/vrtnieuws.n ... tbankieren werkt niet meer
Dan doen we het anders: http://www.vrtnieuws.net/cm/vrtnieuws.n ... d/1.190649
Dank! Wat mij met name in dat bericht opvalt is:
Het is nog niet duidelijk hoe dat gebeurde en hoeveel geld er verdwenen is.
Nog steeds niet duidelijk dus. Zou ik internetbankieren, dan zou ik op z'n minst licht verontrust zijn.
Manuel
Berichten: 2539
Lid geworden op: 21 december 2004, 20:16
Locatie: Alkmaar, Nederland
    unknown unknown

Bericht door Manuel »

adri schreef:Het is ook goedkoper.

Wat ik ervan begrijp is dat er wel verschillen zijn in de manier hoe banken e.e.a. geïmplementeerd hebben en dat dat nogal van invloed is op het al dan niet veilig zijn van die dienst.

Bij de RABO (maar nu praat ik anderen maar een beetje na) schijnen ze dat toch redelijk goed voor elkaar te hebben, i.t.t. sommige andere banken (en niet de kleinsten!).
Ja, RABO komt er steeds postief uit, dacht ik, en over (sommige) andere banken heb ik in de loop van de tijd wel 1 en ander gelezen...

RABO is misschien voldoende veilig (100% veilig bestaat niet) in combinatie met een ècht besturingssysteem (Linux/Unix/BSD) en een gebruiker die weet wat hij doet.

In alle andere gevallen raad ik internetbankieren af. Maar ja, wie ben ik nu helemaal :)
Manuel
Berichten: 2539
Lid geworden op: 21 december 2004, 20:16
Locatie: Alkmaar, Nederland
    unknown unknown

Bericht door Manuel »

rebil schreef:Maar het risico van de eerste werkwijze moet ook niet overdreven worden: als de browser geen meldingen geeft over ongeldige certificaten mag je er van uit gaan dat er niemand meeluistert. Internetbankieren is over het algemeen wel vrij veilig, denk ik. Vijftien mensen (of 50 gevallen op 3 jaar) is tenslotte ook geen grote hoop, hé. Ik durf er voor te wedden dat met traditioneel bankieren minstens evenveel fraude gepleegd wordt. In beide gevallen is fraude meestal niet te wijten aan een zwakheid in het systeem, maar wordt er vertrouwelijke informatie bekomen door social engineering.
Maar dan nog, natuurlijk wordt er ook op de 'ouderwetse' manier fraude gepleegd en 50 gevallen op 3 jaar is niet veel, maar software is zo complex, met nog zoveel onbekende lekken, dat het me makkelijker lijkt om dat uit te buiten (evt. in combinatie met social enginering en/of brakke browsers) dan papieren fraude te plegen.

De internetfraude is ook interessanter voor de dief: als je het goed kun je snel veel geld verdienen.

Nog wat: wanneet iemand mijn handtekening vervalsen zou, dan zou ik dat aan moeten kunnen tonen. Wanneer iemand aan wachtwoorden en logins komt, dan wordt dat eventueel veel moeilijker.
e4ea
Berichten: 135
Lid geworden op: 25 juni 2007, 16:59
    unknown unknown

Bericht door e4ea »

Ik vraag me hierbij ook af hoe het zit met onveilige draadloze verbindingen.

Stel dat iemand inderdaad bij de Rabobank zit, of nee, bij een 'onveilige' bank als ABN-AMRO, Argenta etc.... en hij of zij maakt bijvoorbeeld gebruik van WEP voor zijn of haar draadloze internetaansluiting.

Is het dan mogelijk dat de gegevens van de beveiligde verbinding onderschept worden en dat deze worden gebruikt?

Wanneer dit het geval is, dan denk ik dat het gevaar veel groter is dan men zich realiseert, aangezien een groot percentage van de internetgebruikers helaas tot deze groep behoort...

Enig idee?

Jan
Gebruikersavatar
nirwana
Beheerder
Berichten: 11528
Lid geworden op: 19 september 2003, 5:09
    unknown unknown
Contacteer:

Bericht door nirwana »

Jan,

Ik denk dat dat meevalt, aangezien alle banken in elk geval via https werken. Daarmee worden de gegevens versleuteld en dan kan alleen de bedoelde ontvanger van de gegevens (de bank in dit geval) er iets mee.

Dan heb je misschien via WEP (of WPA) het netwerkverkeer onderschept, maar daarmee heb je nog niet de gegevens zelf. Dan heb je alleen maar een hoop versleutelde meuk waar je niets mee kunt.

Je kunt op die manier eigenlijk alleen niet-beveiligde protocollen onderscheppen (zoals email, gewoon websurfen en FTP).
Met vriendelijke groet,

Martijn
[ Mede-oprichter + webmaster MozBrowser | beheerder Startpagina's over freeware, GIMP, Mozilla en OpenOffice.org / LibreOffice, Ubuntu
e4ea
Berichten: 135
Lid geworden op: 25 juni 2007, 16:59
    unknown unknown

Bericht door e4ea »

Hmm... okay..

Ik vroeg het me af omdat met name wanneer het verhaal over Argenta zou kloppen, en het dus mogelijk is door gegevens te verzamelen, wachtwoord en toegangscode te achterhalen, een niet beveiligde draadloze verbinding hier mogelijk wel eens een lek in de 'tunnel' zou kunnen zijn.

Maar als ik het goed begrijp zijn de versleutelde gegevens van een https verbinding niet te achterhalen, ook niet wanneer ze worden onderschept en achteraf worden bekeken?
Gebruikersavatar
nirwana
Beheerder
Berichten: 11528
Lid geworden op: 19 september 2003, 5:09
    unknown unknown
Contacteer:

Bericht door nirwana »

e4ea schreef:Maar als ik het goed begrijp zijn de versleutelde gegevens van een https verbinding niet te achterhalen, ook niet wanneer ze worden onderschept en achteraf worden bekeken?
Alles is uiteindelijk te ontsleutelen, maar met beveiligde gegevens is dat even wat lastiger. Het is het verschil tussen een gewoon document en een document dat met een wachtwoord is beveiligd. De eerste kun je zo openen en voor de tweede heb je toch wat meer gegevens nodig.
Met vriendelijke groet,

Martijn
[ Mede-oprichter + webmaster MozBrowser | beheerder Startpagina's over freeware, GIMP, Mozilla en OpenOffice.org / LibreOffice, Ubuntu
Gebruikersavatar
Frederik
Moderator
Berichten: 4263
Lid geworden op: 1 juli 2004, 16:16
Locatie: Vriescheloo
    unknown unknown

Bericht door Frederik »

Statistisch gezien is de kans groter om op straat gerold te worden, dan dat je bankrekening on line geplunderd wordt. Ik heb dat laatste in ieder geval nog niet meegemaakt en velen met mij.
De ongelukkige die dat wel overkomt is overigens verzekerd.
Plaats reactie