[ABN AMRO] e.Identifiers geskimmed

Misschien meer iets voor een Nieuws submit voor de frontpage?

Dit zegt natuurlijk niets over de veiligheid van de e.readers, maar wel wat over het proces voor het uitreiken.

[ Voor 34% gewijzigd door gambieter op 27-04-2010 18:38 ]

Die kende ik nog niet, wel een inventieve oplossing. Ik ben benieuwd wat nu de exacte technische werking is; met alleen een chip in die identifiers krijg je de pasgegevens en pincode nog niet bij de skimmer lijkt me. Inbreken in de huizen lijkt me een optie, maar dat gaat misschien wel erg ver. Ondanks dat het natuurlijk crimineel is heb ik wel bewondering voor de inventiviteit van die lui.

Ik snap nog niet helemaal hoe ze dit gedaan hebben... Lijkt erop dat de eDentifiers geen self-destruct hebben als ze opengemaakt worden. Zie niet hoe een chip toevoegen aan een niet connected apparaat kan leiden tot het verkrijgen van vertrouwelijke gegevens.

Zouden ze de pincodes gekopieerd hebben en dan via de USB kabel die bij de eDentifier zit verstuurd hebben ofzo?

Wat ik me dan afvraag, hoe komt die data daarna in de handen van de criminelen? Zo'n identifier is niet echt groot en om mensen te gaan tracken zodat ze het als rfid of iets dergelijks kunnen gebruiken zie ik ook niet voor me.

Of hebben de nieuwe readers wat meer mogelijkheden qua communicatie?

[ Voor 13% gewijzigd door Raku op 27-04-2010 18:41 ]

Mogelijk dat het via zo'n USB model is gedaan, Rabobank heeft ook zo'n USB cardreader voor telebankieren. Al moet ik zeggen dat ik niet eens weet hoe die identifier eruit ziet.

Hoe ze het voor elkaar kregen (de chips erin) lijkt me nog makkelijk werk, de gegevens weten op te vissen, dat lijkt me best interessant.

Lampuhkap schreef op dinsdag 27 april 2010 @ 18:40:
ik vind t sowieso wel opmerkelijk, vooral ook dat het skimmen al zo ver gaat, dat zelfs zulke readers als niet meer veilig zijn.

die readers maken codes aan. als jij dus abn passen hebt, en al pincodes, is t nu met internetbankieren helemaal een eitje de boel leeg te halen. pinnen gaat maar tot een bepaald bedrag per keer, overmaken via internet volgens mij niet.

Aan het overmaken via internet zit meestal ook wel een limiet per dag. Dit zal uiteraard per bank verschillen maar ik meende dat het bij mij ergens rond de € 20.000 ligt, ik ben er in ieder geval wel eens tegenaan gelopen. Op verzoek kan dit dan meestal wel weer (tijdelijk) verhoogd/verlaagd worden.

Ik vind het nog steeds een opmerkelijk nieuwsbericht. De e.dentifiers zijn dus aangepast terwijl ze nog in bezit waren van de bank. Als dit zo gemakkelijk is dan moet de ABN toch ergens een flink beveiligingslek hebben?!

[ Voor 3% gewijzigd door Dick op 27-04-2010 18:50 ]

Lampuhkap schreef op dinsdag 27 april 2010 @ 18:52:
Dan zou er dus intern bij de ABN geskimmed worden!

Euh, beetje kort door de bocht...

Hij kan ook geskimmed zijn bij de fabrikant (ABN maakt ze immers niet zelf), of tijdens het transport/opslag.

Lijkt me logisch dat er ergens toch een callback wordt gedaan naar een server.

Anders heb je er echt niets aan totdat ze geretourneerd zouden worden ivm lege batterij bijv.

Lampuhkap schreef op dinsdag 27 april 2010 @ 18:56:
Dat kan ook. Dat is tenslotte ook al eens met pinautomaten gelukt. Vanaf fabriek al voorzien van skimapparatuur. Als ik me niet vergis, was dit ook niet al te lang geleden?

2008: http://webwereld.nl/nieuw...ten-al-in-de-fabriek.html

Verwijderd schreef op dinsdag 27 april 2010 @ 19:00:
Lijkt me logisch dat er ergens toch een callback wordt gedaan naar een server.

Anders heb je er echt niets aan totdat ze geretourneerd zouden worden ivm lege batterij bijv.

Bij de e.Identifier krijg je ook een USB-kabel. Mogelijk gaat de communicatie als je de e.Identifier aansluit op je PC, maar niet als je hem gewoon standalone gebruikt?

Wat valt er te USB-en aan zo'n apparaat? Heb zelf een random reader maar daar kun je geen usb-kabel in stoppen (nouja...als je t echt iets wilt )

Dick schreef op dinsdag 27 april 2010 @ 18:49:
[...]


Aan het overmaken via internet zit meestal ook wel een limiet per dag. Dit zal uiteraard per bank verschillen maar ik meende dat het bij mij ergens rond de € 20.000 ligt, ik ben er in ieder geval wel eens tegenaan gelopen.

Voor ABN Amro is dat 250.000,- voor binnenlandse overboekingen per transactie. Voor buitenland 50.000 per transactie. Er is geen limiet per dag.

http://www.abnamro.nl/nl/...en/productinformatie.html

Cartman! schreef op dinsdag 27 april 2010 @ 19:13:
Wat valt er te USB-en aan zo'n apparaat? Heb zelf een random reader maar daar kun je geen usb-kabel in stoppen (nouja...als je t echt iets wilt )

Van de ABN Amro?

Ik weet dat Telebankieren Extra van Rabobank een USB Cardreader gebruikt (die volgens windows met elke kaart kan werken om in te loggen ipv wachtwoord in te typen - handige bij-functie )

edit, ding heet een Telebankpaslezer, zie hier

[ Voor 21% gewijzigd door SinergyX op 27-04-2010 19:23 ]

SinergyX schreef op dinsdag 27 april 2010 @ 19:23:
Van de ABN Amro?

Ja, bij de ABN-AMRO kreeg ik een USB-kabel, kun je de lezer aansturen vanaf de computer ipv iets in te tikken op de lezer. Is optioneel, en inderdaad gewoon onhandig.

de identfier die ik hier heb is van het type geen verbinding met de pc dus dit moet dan gebeurt zijn met een nieuw type dat sindskort word gebruikt

gambieter schreef op dinsdag 27 april 2010 @ 19:32:
Ja, bij de ABN-AMRO kreeg ik een USB-kabel, kun je de lezer aansturen vanaf de computer ipv iets in te tikken op de lezer. Is optioneel, en inderdaad gewoon onhandig.

Dido schreef op dinsdag 27 april 2010 @ 20:03:

offtopic:
Ik had eigenlijk het idee dat je juist niet meer allerlei codes hoeft over te tikken, dus ook niet van je reader lezen en in je browser intikken. Dat lijkt me dan wel weer handig?

Dido schreef op dinsdag 27 april 2010 @ 20:03:
[...]
Ik had eigenlijk het idee dat je juist niet meer allerlei codes hoeft over te tikken, dus ook niet van je reader lezen en in je browser intikken. Dat lijkt me dan wel weer handig?

Inderdaad. Vind ik best handig. Maar jammer dat het compleet onveilig blijkt.

gambieter schreef op dinsdag 27 april 2010 @ 19:32:
[...]

Ja, bij de ABN-AMRO kreeg ik een USB-kabel, kun je de lezer aansturen vanaf de computer ipv iets in te tikken op de lezer. Is optioneel, en inderdaad gewoon onhandig.

Onhandig? Je installeert eenmaal de driver via abnamro.nl en als je gaat internetbankieren is het voldoende om je pin in te toetsen, 2x op OK te drukken en klaar. Niks moeilijks aan.

Maar in wat voor mate is er sprake van skimming, de crimineel zou je code krijgen via het "corrupte" apparaat. Vervolgens staat die code daar nog maar. Tenzij je dus je PC beveiliging niet op orde hebt, of een geïnfecteerde driver heb geïnstalleerd (De driver voor de e.dentifier 2) dan zouden die gegevens dus naar de crimineel kunnen. Via de trojan in de driver? Zoiets zou ik dan kunnen bedenken.

Maar in wat voor mate je dan nog toegang krijgt tot de website? Ik weet vanuit mijn bijbaantje bij de Rabobank dat er van alles wordt gecontroleerd voordat je toegang krijgt. In die tijd veelvoudig mensen geholpen omdat ze door het hoofdsysteem werden geweerd wegens trojans op de PC.

Ik zou mij anders geen mogelijkheid kunnen bedenken,

[ Voor 16% gewijzigd door Verwijderd op 27-04-2010 21:28 ]

samo schreef op dinsdag 27 april 2010 @ 20:07:
[...]

Inderdaad. Vind ik best handig. Maar jammer dat het compleet onveilig blijkt.

Is het dan al duidelijk dat de verbinding met de pc gebruikt wordt om gegevens te achterhalen?

=> BV

Noork schreef op dinsdag 27 april 2010 @ 21:30:
[...]

Is het dan al duidelijk dat de verbinding met de pc onderdeel gebruikt wordt om gegevens te achterhalen?

Lijkt mij wel.
Ik merk wel dat er verbinding met een site wordt gemaakt nadat ik mn pincode intoets die niet abnamro.nl is. Morgen toch maar even bellen of dat klopt.

Welke site is dat dan? Nu ben ik wel benieuwd.

lordgandalf schreef op dinsdag 27 april 2010 @ 19:53:
de identfier die ik hier heb is van het type geen verbinding met de pc dus dit moet dan gebeurt zijn met een nieuw type

Klopt

dat sindskort word gebruikt

Nog maar een jaar of twee.

Visa Creditcard
Vraag nu een Visa creditcard aan en het eerste jaar is gratis. Kijk nu!

Als er op driverlevel ook nog een trojan wordt geinstalleerd die helemaal nog niet herkend wordt door menig virusscanner dan is het wel gevaarlijk. Zonder stukje software heb je niets aan lokaal opslaan van je skimmer.

Ik hoef sowieso geen reader met usb te hebben De kan je dan vast ook weer op afstand flashen met een nieuwe firmware...handig nieuwe opties, maar ondertussen maken een paar Russen er ook gebruik van.
Dag geld
Of de verbinding wordt afgeluisterd met een trojan ofzo..

Mr_gadget schreef op dinsdag 27 april 2010 @ 22:44:
Ik hoef sowieso geen reader met usb te hebben De kan je dan vast ook weer op afstand flashen met een nieuwe firmware...handig nieuwe opties, maar ondertussen maken een paar Russen er ook gebruik van.
Dag geld
Of de verbinding wordt afgeluisterd met een trojan ofzo..

Dat is wel erg kort door de bocht, want je moet voor elke transactie je pincode ingeven en het enige dat de USB verbinding doet is een code naar de PC sturen.
Al zouden ze die onderscheppen, is dat hetzelfde als dat je elke keer de code die je moet intypen bij een reader zonder USB, hardop voorleest in het internetcafe.
Daar heb je dus helemaal niks aan.

Tenzij er natuurlijk een andere chip in zit
Maar ik snap het nieuwsbericht ook niet zo, want om gegevens door te sturen zou je ook al andere software moeten hebben en die kan je alleen downloaden, dus daar kunnen ze weinig mee.
Vooral doordat er specifiek vermeld wordt dat het gaat om e.dentifiers die men mee krijg in een filiaal doet me dat toch denken aan intern werk...?
Beetje wazig, maar ze zijn nu al voor de rechter dus het moet al een tijdje geleden zijn gedaan, dus het zal waarschijnlijk wel een handmatige eenmalige actie zijn.

De banken denken economisch en kopen toch de goedkoopste e-identifiers, dus komen terecht bij dubieuze bedrijven. Is controle op productie uberhaupt een issue bij bestellingen van de e-identifiers? En hoe veilig is de ge-outsourcede bankadministratie in Verweggistan?

Als kassa en justititie meeleest, risico voor misbruik vanaf nu voor 100% bij de bank (bank kiest zelf bewust voor risico).

Goedkoop is duurkoop. Dat is niks nieuws. Maar niet ten koste van de klant. ABN, Rabo etc, vragen geld voor rekeningen, bankcards en e-identifiers. Dus die horen gewoon betrouwbaar te zijn. Pech voor hen.

Noork schreef op dinsdag 27 april 2010 @ 19:14:
[...]

Voor ABN Amro is dat 250.000,- voor binnenlandse overboekingen per transactie. Voor buitenland 50.000 per transactie. Er is geen limiet per dag.

http://www.abnamro.nl/nl/...en/productinformatie.html

Dan gaat dat toch echt met flinke bedragen, zeker de moeite waard voor de skimmers dus! Wat dat betreft ben ik dan toch blij dat mijn bank wel een dergelijk limiet heeft! Al kan het soms best lastig zijn.

In de krant las ik vanochtend dat het gaat om exemplaren die in filialen van de ABN worden gebruikt om daar klanten de mogelijkheid te bieden om te internetbankieren. Daarmee kunnen alle speculaties over geheime communicatiemogelijkheden in die readers ook gelijk ontkracht worden. Die skimmers leggen die readers daar neer en halen ze later op de dag gewoon weer op, voorzien van alle magneetstrip- en chip(!!!)informatie en uiteraard de pincodes....

Frank Martin schreef op woensdag 28 april 2010 @ 06:41:
In de krant las ik vanochtend dat het gaat om exemplaren die in filialen van de ABN worden gebruikt om daar klanten de mogelijkheid te bieden om te internetbankieren. Daarmee kunnen alle speculaties over geheime communicatiemogelijkheden in die readers ook gelijk ontkracht worden. Die skimmers leggen die readers daar neer en halen ze later op de dag gewoon weer op, voorzien van alle magneetstrip- en chip(!!!)informatie en uiteraard de pincodes....

Liggen die dingen dan niet standaard aan een ketting
Hier in het WTC in Amsterdam wel.

En ja, ik las hetzelfde bericht.

Frank Martin schreef op woensdag 28 april 2010 @ 06:41:
In de krant las ik vanochtend ... voorzien van alle magneetstrip- en chip(!!!)informatie en uiteraard de pincodes....

Ik had persoonlijk het idee dat je de chip alleen kon queryen zodat de geheime data nooit buiten de chip kon komen? Welke krant was dat dan?

Klippy schreef op dinsdag 27 april 2010 @ 22:58:
[...]

Dat is wel erg kort door de bocht, want je moet voor elke transactie je pincode ingeven en het enige dat de USB verbinding doet is een code naar de PC sturen.
Al zouden ze die onderscheppen, is dat hetzelfde als dat je elke keer de code die je moet intypen bij een reader zonder USB, hardop voorleest in het internetcafe.
Daar heb je dus helemaal niks aan.

Ja maar dan moet die crimineel naast me zitten (Mr_gadget kijkt altijd eerst om zich of er geen criminelen in de buurt zijn ) en die crimineel moet dan sneller de code intikken dan ik doe. Maar over usb kan de verbinding even worden vertraagd. Hoewel je met een gehackde pc ook natuurlijk de keyboard input kan afvangen..

DataGhost schreef op woensdag 28 april 2010 @ 08:53:
[...]

Ik had persoonlijk het idee dat je de chip alleen kon queryen zodat de geheime data nooit buiten de chip kon komen? Welke krant was dat dan?

Volgens mij berekend de chip inderdaad een hash en mag het systeem die vergelijken, dus pin verlaat het chip niet.

[ Voor 19% gewijzigd door Mr_gadget op 29-04-2010 12:34 ]