Verdachte dingen bij inloggen op mijn.ing.nl

vrijdag 5 augustus 2011 21:38

Acties:

0 Henk 'm!

Dit is nou precies waarom ik een hekel heb aan alles wat java is. JS is nog steeds het meest onveilige stuk rommel wat er is, en word door heel wat virusscanners domweg maar al te vaak gemist.
Heb al menig klant over de vloer gehad met zo'n fake virusscanner die er plotseling opstond bij opstarten van de pc, en elke keer was het een stuk JS wat door het openen van een site uitgevoerd werd. Deze klanten hadden overigens uiteenlopende AV/Internet-security-programma's van Norton, AVG, Bitdefender, G-data, Avira en Panda.
Ik heb het gelukkig niet nodig voor mn internet, dus het komt er bij mij ook niet op.

vrijdag 5 augustus 2011 21:49

Acties:

0 Henk 'm!

Matis

Rubber Rocket

vayana schreef op vrijdag 05 augustus 2011 @ 21:38:
Dit is nou precies waarom ik een hekel heb aan alles wat java is. JS is nog steeds het meest onveilige stuk rommel wat er is, en word door heel wat virusscanners domweg maar al te vaak gemist.
Heb al menig klant over de vloer gehad met zo'n fake virusscanner die er plotseling opstond bij opstarten van de pc, en elke keer was het een stuk JS wat door het openen van een site uitgevoerd werd. Deze klanten hadden overigens uiteenlopende AV/Internet-security-programma's van Norton, AVG, Bitdefender, G-data, Avira en Panda.
Ik heb het gelukkig niet nodig voor mn internet, dus het komt er bij mij ook niet op.

Java != javascript. Daarnaast ligt het niet aan javascript, maar aan de gebruikers die klakkeloos op Ja en Amen drukken.
Overigens is het niet mogelijk om geen javascript op je pc te hebben. Het zit standaard in elke browser op elk platform.

If money talks then I'm a mime
If time is money then I'm out of time

vrijdag 5 augustus 2011 21:55

Acties:

0 Henk 'm!

bitshape

japanse vechtvis

Bij Opera die ik gebruik heb ik standaard Javascript & iFrames uitgeschakeld. Pas als ik een site (domein) bezoek, pas ik de instellingen (sitevoorkeuren) voor het betreffende domein (bvb. mijn.ing.nl) permanent aan, ik zet dan een vinkje bij Inline Frames (iFrame) & Javascript om dit dan in te schakelen voor alleen dit domein. Het stukje code (iFrame of JS) waarnaar er gelinkt wordt op de pagina, zal dan niet worden uitgevoerd, daar het domein van dat betreffende script anders is (primebyte.net).

Bij Firefox moet je de NoScript-addon gebruiken om iFrames & Javascript van andere domeinen te blokkeren.

Ik snap wel dat bij Henk&Anita alles uitgevoerd wordt, daar veel gebruikers het gewoon niet snappen hoe je onnodige script's op webpagina's kan blokkeren. Ook is mijn ervaring dat Henk&Anita het gewoon lastig vinden (NoScript) en de betreffende add-on weer verwijderen.

[ Voor 4% gewijzigd door bitshape op 05-08-2011 22:07 ]

avatar redux
bit 2.0: i7-8700K - Z370 Apex - 32GB 3200c14 - Strix GTX1080 - Prime 850W - LSI 9207-8i - 22TB HDD - 5.5TB SSD

vrijdag 5 augustus 2011 21:56

Acties:

0 Henk 'm!

Thralas

Vinze schreef op vrijdag 05 augustus 2011 @ 21:12:
[...]

Ik gebruik daarvoor al jaren KeePass, doet het zelfde maar dan gratis.
Mooi bijkomend voordeel is dat er ook een Android versie is, dus icm Dropbox altijd toegang tot je wachtwoorden.

Inderdaad, Keepass is gratis en werkt prima. Momenteel gebruik ik Lastpass, dat is een Firefoxplugin (wachtwoorden worden remote, encrypted opgeslagen)..

[ Voor 5% gewijzigd door Thralas op 05-08-2011 21:56 ]

vrijdag 5 augustus 2011 22:11

Acties:

0 Henk 'm!

Matis

Rubber Rocket

Thralas schreef op vrijdag 05 augustus 2011 @ 21:56:
Inderdaad, Keepass is gratis en werkt prima. Momenteel gebruik ik Lastpass, dat is een Firefoxplugin (wachtwoorden worden remote, encrypted opgeslagen)..

Ik had eerst Xmarks, die had zowel bookmarks als password-synchronisatie. Maar na de overname van LastPass, heb ik nu twee plugins nodig.

If money talks then I'm a mime
If time is money then I'm out of time

zaterdag 6 augustus 2011 00:11

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

vayana schreef op vrijdag 05 augustus 2011 @ 21:38:
Dit is nou precies waarom ik een hekel heb aan alles wat java is. JS is nog steeds het meest onveilige stuk rommel wat er is, en word door heel wat virusscanners domweg maar al te vaak gemist.

Waar slaat dat dan op?

Ten eerste heeft Java idd helemaal niets met Javascript te maken.

Javascript is trouwens ook niet onveilig: Het is in principe even veilig als andere web-based client-side scripttalen zoals HTML.

Heb al menig klant over de vloer gehad met zo'n fake virusscanner die er plotseling opstond bij opstarten van de pc, en elke keer was het een stuk JS wat door het openen van een site uitgevoerd werd.

Dus omdat een virus bestaat uit een stuk Javascript is Javascript onveilig? Dat is de grootste onzin die ik ooit heb gehoord. Dus als ik een virus maak in C++ is C++ ook ineens onveilig?

Ik heb het gelukkig niet nodig voor mn internet

Jawel. Ik weet niet wat voor sites jij allemaal bezoekt (hoef ik ook niet te weten trouwens

), maar ik denk dat je wel anders piept als jij met een extension als NoScript wel anders piept als je helemaal geen Javascript meer kunt gebruiken. Dan ga je met veel (web 2.0) websites problemen ondervinden.

, dus het komt er bij mij ook niet op.

Kan niet idd, een Javascript-interpreter zit standaard in elke browser.

ontopic: Ik gebruik ook naar alle tevredenheid LastPass

Gewoon de gratis versie trouwens. Werkt prima, vooral het automatisch genereren van nieuwe passwords en dat het automatisch in al je sites inlogt werkt handig.

[ Voor 7% gewijzigd door Compizfox op 06-08-2011 00:18 ]

Gewoon een heel grote verzameling snoertjes

zaterdag 6 augustus 2011 01:16

Acties:

0 Henk 'm!

Onoffon

Matis schreef op vrijdag 05 augustus 2011 @ 21:49:
[...]

Java != javascript. Daarnaast ligt het niet aan javascript, maar aan de gebruikers die klakkeloos op Ja en Amen drukken.
Overigens is het niet mogelijk om geen javascript op je pc te hebben. Het zit standaard in elke browser op elk platform.

offtopic:
Je probeert door middel van een (javascript) operator aan te geven dat deze 2 niet hetzelfde zijn aan iemand die niet het verschil weet tussen java en javascript?

Just a simple thought....

zaterdag 6 augustus 2011 09:17

Acties:

0 Henk 'm!

Anoniem: 229864

Ik volg dit topic zo'n beetje, maar nu vraag ik me toch iets af:

Ik lees hier berichten dat sommige mensen direct een waarschuwing kregen toen die Javascript van ing.nl anders was dan normaal?

Wat voor tool hebben jullie hiervoor?

Ik heb zelf google Chrome en hier kan ik volgens mij Javascript nog niet eens uitschakelen.... Hoe doen anderen dat met google Chrome?

zaterdag 6 augustus 2011 09:27

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

Een virusscanner (of tegenwoordig "allesscanner"

) waarschijnlijk.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

zaterdag 6 augustus 2011 09:49

Acties:

0 Henk 'm!

Cave_Boy

Voutloos schreef op donderdag 04 augustus 2011 @ 22:01:
[...]
Voor dat leesteken dat je gebruikt moet je wel nog steeds shift indrukken he?

Zou wel wat vreemd zijn als het niet voor iedereen geldt. Zou het sinds kort case sensitive worden als je je pass wijzigt? Iemand die de site nog wel vertrouwt zou dat moeten testen.

Ik kom er echt niet in zonder mijn hoofdletters. Ik heb trouwens ook speciale tekens erin.

zaterdag 6 augustus 2011 11:00

Acties:

0 Henk 'm!

s.stok

Webdeveloper since 2003

Anoniem: 229864 schreef op zaterdag 06 augustus 2011 @ 09:17:
Ik volg dit topic zo'n beetje, maar nu vraag ik me toch iets af:

Ik lees hier berichten dat sommige mensen direct een waarschuwing kregen toen die Javascript van ing.nl anders was dan normaal?

Wat voor tool hebben jullie hiervoor?

Ik heb zelf google Chrome en hier kan ik volgens mij Javascript nog niet eens uitschakelen.... Hoe doen anderen dat met google Chrome?

Ik gebruik NoScript, ook beschikbaar voor Chrome alleen niet zo uitgebreid.

"fouten verifieer je niet met een "; DROP DATABASE" commando. " Arnoud Engelfriet (Security.nl)

zaterdag 6 augustus 2011 12:48

Acties:

0 Henk 'm!

itsalwaysme

Graast voor DB

Onoffon schreef op zaterdag 06 augustus 2011 @ 01:16:
[...]

offtopic:
Je probeert door middel van een (javascript) operator aan te geven dat deze 2 niet hetzelfde zijn aan iemand die niet het verschil weet tussen java en javascript?

offtopic:
Niet alleen een operator voor javascript, werd al gebruikt voordat javascript überhaupt bestond.

Graast voor Division Brabant
It's hardware that makes a machine. It's software that makes it work (most of the time).

zaterdag 6 augustus 2011 12:57

Acties:

0 Henk 'm!

Royeboi

Sorry, maar het is al lang bekend dat internetbankieren via ING nou niet echt betrouwbaar is.... Dus what's new?

XBL: x0royx | PSN: XRoy_X | Raptr: x0royx

zaterdag 6 augustus 2011 13:52

Acties:

0 Henk 'm!

Reptile209

- gers -

@Royeboi: die uitspraak heeft ook een lekkere baard inmiddels

. Aangezien de ING-site beslist geen kleintje is, komen ze er blijkbaar (nog steeds) mee weg:

quote: http://nl.wikipedia.org/wiki/ING_(bank)
De internetsite van de Mijn ING is de drukst bezochte internetsite van Nederland. (Als tweede staat de NS genoteerd.) Meer dan 5 miljoen rekeninghouders van de bank hebben internettoegang. Dat is bijna een derde van de Nederlandse bevolking. Het aantal bezoekers kan oplopen tot 1,1 miljoen per uur (In de maand mei, als het vakantiegeld en de eventuele winstdeling wordt uitgekeerd aan werkend Nederland). In deze maand verstuurde de bank (toen nog Postbank) op 1 dag 4,8 miljoen SMS-jes aan hun klanten die online boekingen hebben ingevoerd.

Ik ben het volledig met je eens dat een aantal zaken stom niet slim opgezet zijn, maar het gebruiksgemak is groot en blijkbaar wordt er niet (op grote schaal) misbruik van gemaakt. Wat is het probleem dan nog als een bank bereid is om dan een beperkt risico te lopen, ten voordele van haar klanten? Ik weet niet welke afwegingen er daar achter de schermen gemaakt worden, maar helemaal amateuristisch kan het niet zijn, anders was er allang iemand met 300 miljoen vandoor gegaan. Is geen excuus om met bad practices door te gaan, maar in de praktijk is het blijkbaar 'good enough'.

Zo scherp als een voetbal!

zaterdag 6 augustus 2011 15:47

Acties:

0 Henk 'm!

zacht

Wat is het toch dat mensen het niet veilig vinden bij de ING? Ik log in met naam en wachtwoord, maak een overschrijving aan, en krijg een smsje met een code die ik in moet voeren om dat te bevestigen. Geen code die ik via een SMS krijg = geen overschrijving.

zaterdag 6 augustus 2011 16:30

Acties:

0 Henk 'm!

Roytoch

Nietes

zacht schreef op zaterdag 06 augustus 2011 @ 15:47:
Wat is het toch dat mensen het niet veilig vinden bij de ING? Ik log in met naam en wachtwoord, maak een overschrijving aan, en krijg een smsje met een code die ik in moet voeren om dat te bevestigen. Geen code die ik via een SMS krijg = geen overschrijving.

Als ik je naam en wachtwoord heb kan ik paypal koppelen aan je account en daarmee betalen. Is al veel over gezegd volgens mij, ook in dit topic

@hieronder weer: wat Brad Pitt zegt. Als dat scriptje je gebruikersnaamwachtwoord af zou vangen, dan zou je dus vatbaar zijn voor die paypalmethode.

[ Voor 12% gewijzigd door Roytoch op 06-08-2011 16:55 ]

Welles

zaterdag 6 augustus 2011 16:48

Acties:

0 Henk 'm!

zacht

Maar die heb je niet, en ik zie ook niet in hoe je die zou moeten krijgen, het is slecht visweer hier. En als het toch gebeurd kan ik het laten terugboeken door ING.

zaterdag 6 augustus 2011 16:52

Acties:

0 Henk 'm!

Brad Pitt

zacht schreef op zaterdag 06 augustus 2011 @ 16:48:
Maar die heb je niet, en ik zie ook niet in hoe je die zou moeten krijgen

Misschien dat daarom notabene dit hele topic is gestart omdat er een dubieus scriptje draaide en zo?

Nickname does not reflect reality

zaterdag 6 augustus 2011 18:17

Acties:

0 Henk 'm!

pingkiller

roy.ahuis schreef op zaterdag 06 augustus 2011 @ 16:30:
[...]

Als ik je naam en wachtwoord heb kan ik paypal koppelen aan je account en daarmee betalen. Is al veel over gezegd volgens mij, ook in dit topic

Het is zeer dubieus dat paypal deze dienst aanbied en dat ING dat toelaat. Hoewel het wel handig is en ik het zelf ook heb gebruikt, heb ik de koppeling tusen mijn ING rekening en paypal verbroken omdat ik het veel te onveilig vond.

Ik vind dit echter geen reden om het authenticatie systeem van de ING in twijfel de trekken. Geen geneuzel met vervelende wachtwoord regels en tan codes via mobiel is gewoon geweldig gebruikersvriendelijk.

CSS snippet om users te blokkeren: https://tweakers.net/instellingen/customcss/snippets/bekijk/2618/

zaterdag 6 augustus 2011 18:20

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

pingkiller schreef op zaterdag 06 augustus 2011 @ 18:17:
[...]

Het is zeer dubieus dat paypal deze dienst aanbied en dat ING dat toelaat. Hoewel het wel handig is en ik het zelf ook heb gebruikt, heb ik de koppeling tusen mijn ING rekening en paypal verbroken omdat ik het veel te onveilig vond.

Ik vind dit echter geen reden om het authenticatie systeem van de ING in twijfel de trekken. Geen geneuzel met vervelende wachtwoord regels en tan codes via mobiel is gewoon geweldig gebruikersvriendelijk.

Ik heb die regeling, verbroken, weer een keer gemaakt en weer verbroken en betwijfel of hij echt verbroken wordt. Die centen ter autorisatie krijg je namelijk alleen de eerste keer, als je daarna opnieuw dezelfde bankrekening koppelt is dat niet meer nodig.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

zaterdag 6 augustus 2011 18:29

Acties:

0 Henk 'm!

Elvis56686

pingkiller schreef op zaterdag 06 augustus 2011 @ 18:17:
[...]

Het is zeer dubieus dat paypal deze dienst aanbied en dat ING dat toelaat. Hoewel het wel handig is en ik het zelf ook heb gebruikt, heb ik de koppeling tusen mijn ING rekening en paypal verbroken omdat ik het veel te onveilig vond.

Ik vind dit echter geen reden om het authenticatie systeem van de ING in twijfel de trekken. Geen geneuzel met vervelende wachtwoord regels en tan codes via mobiel is gewoon geweldig gebruikersvriendelijk.

Toevallig vanmiddag iemand met zo'n random reader en overboeking zien doen, wat werkt dat omslachtig zeg.

Maar goed, nou is nog steeds niet bekend waarom het script op de site stond, als het een test was waarom is dat op deze manier uitgevoerd en waarom is het script inmiddels verdwenen.

zaterdag 6 augustus 2011 18:50

Acties:

0 Henk 'm!

TD-er

zacht schreef op zaterdag 06 augustus 2011 @ 16:48:
Maar die heb je niet, en ik zie ook niet in hoe je die zou moeten krijgen, het is slecht visweer hier. En als het toch gebeurd kan ik het laten terugboeken door ING.

En als je pas en rekening een keer door je bank geblokkeerd wordt en het blijkt door slordigheid van je bank te zijn gebeurd, zou je je bank dan nog vertrouwen?

Vergeet niet dat een bank maar 1 ding verkoopt en dat is vertrouwen. Toevallig komt daar nog wat geld bij kijken, maar het belangrijkste deel van hun product is toch echt vertrouwen.
Als dat vertrouwen er niet is, heb je geen reden om bij die bank te zitten.

En als de bank erg slordig is, is het product wat ze verkopen ook waardeloos.

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

zaterdag 6 augustus 2011 21:04

Acties:

0 Henk 'm!

zacht

Precies, en ik vertrouw de ING. Worst-case-scenario is dat er iemand mijn inlognaam en wachtwoord te pakken krijgt door phishing of een script op de pagina, en met die gegevens via Paypal geld van mijn rekening haalt. Bij phishing kan ik alleen maar mezelf aankijken, en ik vertrouw er op dat de ING zijn website voldoende beveiligd. Stel dat het alsnog mis gaat, dan krijg ik mijn geld terug van de ING. Ik ben erg tevreden over ze.

zaterdag 6 augustus 2011 22:11

Acties:

0 Henk 'm!

Raven

Marion Raven fan

pingkiller schreef op zaterdag 06 augustus 2011 @ 18:17:
[...]

Het is zeer dubieus dat paypal deze dienst aanbied en dat ING dat toelaat. Hoewel het wel handig is en ik het zelf ook heb gebruikt, heb ik de koppeling tusen mijn ING rekening en paypal verbroken omdat ik het veel te onveilig vond.

Ik vind dit echter geen reden om het authenticatie systeem van de ING in twijfel de trekken. Geen geneuzel met vervelende wachtwoord regels en tan codes via mobiel is gewoon geweldig gebruikersvriendelijk.

Net zoals je bij PayPal icm een ABN Amro rekening ook zomaar betalingen kan doen zonder e.dentifier?
Ik zou bij zoiets verwachten dat je een iDeal pagina voor je neus krijgt, maar dat is niet het geval, gelijk zonder bevestiging van een ABN Amro iDeal pagina en e.dentifier wordt het overgeschreven.

Komt dat ooit wel?

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde

zaterdag 6 augustus 2011 22:29

Acties:

0 Henk 'm!

TD-er

zacht schreef op zaterdag 06 augustus 2011 @ 21:04:
Precies, en ik vertrouw de ING. Worst-case-scenario is dat er iemand mijn inlognaam en wachtwoord te pakken krijgt door phishing of een script op de pagina, en met die gegevens via Paypal geld van mijn rekening haalt. Bij phishing kan ik alleen maar mezelf aankijken, en ik vertrouw er op dat de ING zijn website voldoende beveiligd. Stel dat het alsnog mis gaat, dan krijg ik mijn geld terug van de ING. Ik ben erg tevreden over ze.

Je moet toch kunnen toegeven dat de ING hier duidelijk alle regels aan de laars lapt over hoe je de boel beveiligt. En ook als je kijkt naar waar dit topic over gaat, dan zie je dat ze duidelijk al hun eigen veiligheidsvoorschriften compleet negeren.
Het enige wat nog ontbreekt is een mailtje naar de klanten om de login-gegevens te verifieren op een site.

Trouwens dat de bank nu nog stommiteiten van klanten vergoed zal ook niet lang zo blijven als de kosten daarvan te hoog oplopen en dan ben ik toch wel blij als een bank een paar foutjes nog zelf tegen zal houden.

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

zaterdag 6 augustus 2011 22:58

Acties:

0 Henk 'm!

Erkens

Fotograaf

roy.ahuis schreef op zaterdag 06 augustus 2011 @ 16:30:
Als ik je naam en wachtwoord heb kan ik paypal koppelen aan je account en daarmee betalen. Is al veel over gezegd volgens mij, ook in dit topic

In principe kan paypal dat ook gewoon koppelen zonder die overschrijving, immers machtigingen van bedrijven worden nooit gecontroleerd, ze kunnen dus afschrijven wat ze willen. Vooral eenmalige incasso's vormen hier een probleem, want die kan je niet storneren.

@hieronder weer: wat Brad Pitt zegt. Als dat scriptje je gebruikersnaamwachtwoord af zou vangen, dan zou je dus vatbaar zijn voor die paypalmethode.

Als er bij bank X (die zo'n wazige inlogprocedure heeft met externe apparaatjes etc) kan inloggen en daar draait ook zo'n scriptje dan kunnen ze precies hetzelfde, dat probleem ligt meer bij paypal (en in het grotere geheel aan het machtigingensysteem).

Ik ben in ieder geval blij dat ze bij ING in eerste instantie denken aan gebruiksgemak. De veiligheid van wachtwoorden en inlognamen staat en valt toch bij de gebruiker.

Afgezien een eventuele hack bij de bank zelf, welke kans enorm klein is, ligt het vrijwel altijd aan de eindgebruiker, hoe dom of slim deze is (o.a. phising of wachtwoorden en pin-codes op briefjes schrijven).

zaterdag 6 augustus 2011 23:36

Acties:

0 Henk 'm!

bitshape

japanse vechtvis

Wel toevallig dat ongeveer op eenzelfde manier code op ing.nl gebruikt werd (maar dan met andere domeinen en zonder malware-infectie) als de recente massale voortdurende aanval op miljoenen websites wereldwijd:

Donderdag 4 Augustus 2011:
Security.nl: Grootschalige aanval treft 6 miljoen webpagina's

Woensdag 3 Augustus 2011 update / Maandag 25 Juli 2011:
Armorize Malware Blog: willysy.com Mass Injection ongoing, over 6 million infected pages, targets osCommerce sites

Maandag 1 Augustus 2011:
Security.nl: Miljoenen open source webwinkel pagina's gehackt

Zondag 31 Juli 2011:
Dslreports.com: willysy .com Mass Injection - 1 million infected sites

Wel erg toevallig allemaal, zelfde manieren, andere code, andere domeinen die ook kort daarvoor anoniem aangemaakt zijn. Het zaakje stinkt behoorlijk als je het mij vraagt. Niemand gaat dit toch voor een dag op z'n productieomgeving zetten en doorlinken naar de Good Old USA met z'n Patriot Act.
[andere code: geen malwarebesmetting veroorzaken bij gebruikers, maar webpagina-inhoud opvangen en doorsturen naar...]

Wat ik echt denk: mogelijk toch een soort Anonymous/Lulzec actie, en heeft ING er aller belang bij de hack/code injectie op hun site stil te houden in opdracht van het KLPD cybercrimeteam. Gewoon doen alsof het een test was en dat doorcommuniceren naar de PR en helpdesken.

avatar redux
bit 2.0: i7-8700K - Z370 Apex - 32GB 3200c14 - Strix GTX1080 - Prime 850W - LSI 9207-8i - 22TB HDD - 5.5TB SSD

zaterdag 6 augustus 2011 23:46

Acties:

0 Henk 'm!

Mektheb

bitshape schreef op zaterdag 06 augustus 2011 @ 23:36:
Wel toevallig dat ongeveer op eenzelfde manier code op ing.nl gebruikt werd (maar dan met andere domeinen en zonder malware-infectie) als de recente massale voortdurende aanval op miljoenen websites wereldwijd:

Donderdag 4 Augustus 2011:
Security.nl: Grootschalige aanval treft 6 miljoen webpagina's

Woensdag 3 Augustus 2011 update / Maandag 25 Juli 2011:
Armorize Malware Blog: willysy.com Mass Injection ongoing, over 6 million infected pages, targets osCommerce sites

Maandag 1 Augustus 2011:
Security.nl: Miljoenen open source webwinkel pagina's gehackt

Zondag 31 Juli 2011:
Dslreports.com: willysy .com Mass Injection - 1 million infected sites

Wel erg toevallig allemaal, zelfde manieren, andere code, andere domeinen die ook kort daarvoor anoniem aangemaakt zijn. Het zaakje stinkt behoorlijk als je het mij vraagt. Niemand gaat dit toch voor een dag op z'n productieomgeving zetten en doorlinken naar de Good Old USA met z'n Patriot Act.
[andere code: geen malwarebesmetting veroorzaken bij gebruikers, maar webpagina-inhoud opvangen en doorsturen naar...]

Wat ik echt denk: mogelijk toch een soort Anonymous/Lulzec actie, en heeft ING er aller belang bij de hack/code injectie op hun site stil te houden in opdracht van het KLPD cybercrimeteam. Gewoon doen alsof het een test was en dat doorcommuniceren naar de PR en helpdesken.

zoals iedereen al bijna gezegt heeft het zaakje stinkt.
Helemaal het exact na 24uur weg was.

zondag 7 augustus 2011 10:00

Acties:

0 Henk 'm!

Brad Pitt

bitshape schreef op zaterdag 06 augustus 2011 @ 23:36:
Wat ik echt denk: mogelijk toch een soort Anonymous/Lulzec actie

Dan zou je toch wel ergens moeten kunnen lezen dat iemand/een hackgroep er credit voor neemt?

Nickname does not reflect reality

zondag 7 augustus 2011 10:03

Acties:

0 Henk 'm!

TD-er

Brad Pitt schreef op zondag 07 augustus 2011 @ 10:00:
[...]

Dan zou je toch wel ergens moeten kunnen lezen dat iemand/een hackgroep er credit voor neemt?

Vaak gaan die massale inbraak-acties met een script en op hosts die meerdere domeinen hosten.
De script-kid-in-charge moet dan nog wel doorhebben welke sites ze gehackt hebben.
Even aangenomen dat dat script op de ING-site er op zo'n manier op gekomen is, dan nog moet degene die het gedaan heeft wel doorhebben dat het eigenlijk best wel nieuwswaardig is dat hij de site van een bank te pakken heeft.

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

zondag 7 augustus 2011 14:39

Acties:

0 Henk 'm!

Herko_ter_Horst

Erkens schreef op zaterdag 06 augustus 2011 @ 22:58:
Ik ben in ieder geval blij dat ze bij ING in eerste instantie denken aan gebruiksgemak. De veiligheid van wachtwoorden en inlognamen staat en valt toch bij de gebruiker.

Ik ben juist zeer on-blij dat ING in eerste instantie aan gebruikersgemak denkt. ING moet in eerste instantie aan de veiligheid en betrouwbaarheid van het systeem denken!

"Any sufficiently advanced technology is indistinguishable from magic."

zondag 7 augustus 2011 15:07

Acties:

0 Henk 'm!

linkforsoad

Herko_ter_Horst schreef op zondag 07 augustus 2011 @ 14:39:
[...]

Ik ben juist zeer on-blij dat ING in eerste instantie aan gebruikersgemak denkt. ING moet in eerste instantie aan de veiligheid en betrouwbaarheid van het systeem denken!

Er moet inderdaad wel een goede balans tussen veiligheid en gebruiksvriendelijkheid zijn, en de ING gaat meer richting de gebruiksvriendelijkheid. Ik ben zowel Rabobank als ING klant en vindt het systeem van de Rabobank zo verkeerd nog niet. Je moet inderdaad altijd je pasje/reader bij je hebben, maar ik heb gewoon een tweede aangevraagd. Altijd eentje in de tas, en verder alles via de iPhone App en Paypal voor het buitenland.

N.a.v. deze actie die je in China nog kunt ruiken, zo hard stinkt het, meteen de helpdesk maar gebeld en zowel prive als voor de toko maar nieuwe code's aangevraagd.

maandag 8 augustus 2011 01:09

Acties:

0 Henk 'm!

Roytoch

Nietes

Als ik bij de ING zat had ik mijn rekening opgezegd... dan maar wat minder gebruiksgemak. Vage code die ofwel een hack impliceert, ofwel een connectie van ING naar een VS domein, met inderdaad, wetten die heel anders zijn dan hier. Daarbij de vreemde reacties (geen of heel weinig) van ING zelf. En zoals al vaker gezegd, al die phishing-mails gaan over de ING, nooit over ABN/Rabo etc... dat lijkt me ook al genoeg zeggen eerlijk gezegd.

Welles

maandag 8 augustus 2011 10:07

Acties:

0 Henk 'm!

TD-er

roy.ahuis schreef op maandag 08 augustus 2011 @ 01:09:
[...] En zoals al vaker gezegd, al die phishing-mails gaan over de ING, nooit over ABN/Rabo etc... dat lijkt me ook al genoeg zeggen eerlijk gezegd.

We krijgen genoeg van die phishing mails zogenaamd van de ABN en volgens mij heb ik 'm ook al eens voorbij zien komen voor de Rabobank en genoeg andere banken.
Dus het is zeker niet beperkt tot de ING/Postbank.

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

maandag 8 augustus 2011 10:17

Acties:

0 Henk 'm!

Erkens

Fotograaf

Herko_ter_Horst schreef op zondag 07 augustus 2011 @ 14:39:
[...]

Ik ben juist zeer on-blij dat ING in eerste instantie aan gebruikersgemak denkt. ING moet in eerste instantie aan de veiligheid en betrouwbaarheid van het systeem denken!

Er is anders weinig mis met de veiligheid en betrouwbaarheid bij ING. Natuurlijk staat veiligheid bij de ING ook op de eerste plek, maar gelukkig ook gebruiksgemak!
Ik moet er niet aan denken om altijd zo'n apparaatje mee te moeten zeulen en bij iedere betaling ook mijn pinpas op te moeten zoeken. Zoals met bijvoorbeeld iDeal-betalingen, erg makkelijk, snel en veilig

Als ik soms mijn collega's moeilijk zie doen met zo'n kastje (eerst zoeken of een andere collega toevallig zo'n ding heeft etc etc).

Die vage code van afgelopen week is wellicht raar, maar het is natuurlijk wel een prima test om te zien hoe alert de klanten zijn

roy.ahuis schreef op maandag 08 augustus 2011 @ 01:09:
En zoals al vaker gezegd, al die phishing-mails gaan over de ING, nooit over ABN/Rabo etc... dat lijkt me ook al genoeg zeggen eerlijk gezegd.

Wellicht omdat het bij ING-klanten lastiger is om geld afhandig te maken dan de andere banken

Nee, serieus, ik zie dergelijke mailtjes van allerlei banken evenvaak in het spamfilter.

maandag 8 augustus 2011 10:29

Acties:

0 Henk 'm!

bonzz.netninja

Niente baffi

Erkens schreef op maandag 08 augustus 2011 @ 10:17:
[...]

Er is anders weinig mis met de veiligheid en betrouwbaarheid bij ING. Natuurlijk staat veiligheid bij de ING ook op de eerste plek, maar gelukkig ook gebruiksgemak!
Ik moet er niet aan denken om altijd zo'n apparaatje mee te moeten zeulen en bij iedere betaling ook mijn pinpas op te moeten zoeken. Zoals met bijvoorbeeld iDeal-betalingen, erg makkelijk, snel en veilig Als ik soms mijn collega's moeilijk zie doen met zo'n kastje (eerst zoeken of een andere collega toevallig zo'n ding heeft etc etc).

Die vage code van afgelopen week is wellicht raar, maar het is natuurlijk wel een prima test om te zien hoe alert de klanten zijn

[...]

Wellicht omdat het bij ING-klanten lastiger is om geld afhandig te maken dan de andere banken
Nee, serieus, ik zie dergelijke mailtjes van allerlei banken evenvaak in het spamfilter.

Je zou je trouwens kunnen afvragen waarom gebruikersgemak boven veiligheid staat bij de ING. Het betreft namelijk wel gewoon een serieuze handeling waar je, vind ik, best wel moeite voor mag doen en verwachten.

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

maandag 8 augustus 2011 10:35

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

Mja ben ik het wel mee eens hoor. Als ik op mijn werk ben en ik moet 'plotseling' op mijn rekening kijken en ik heb mijn reader niet bij me; dan heb ik gewoon pech. Jammer dan. Mocht ik het erg vaak hebben dan installeer ik wel de Rabo app op mijn telefoon, maar dan wéét ik dat ik meer risico ga lopen. Een keuze dus, maar eentje die ik zelf kan (en niet zal) maken.

Gebruikersgemak is zeker belangrijk, maar wat mij betreft mag het op geen enkel punt ten koste van veiligheid gaan. En feit blijft, inloggen met uitsluitend een gebruikersnaam en wachtwoord, is minder veilig dan inloggen met token verificatie.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

maandag 8 augustus 2011 10:38

Acties:

0 Henk 'm!

Erkens

Fotograaf

bonzz.netninja schreef op maandag 08 augustus 2011 @ 10:29:
[...]

Je zou je trouwens kunnen afvragen waarom gebruikersgemak boven veiligheid staat bij de ING. Het betreft namelijk wel gewoon een serieuze handeling waar je, vind ik, best wel moeite voor mag doen en verwachten.

Wie zegt dat gebruiksgemak boven de veiligheid staat? Die twee gaan hand-in-hand.

Een transactie van een paar euro moet gewoon niet moeilijk zijn vind ik, nu ook met dat "nieuwe" pinnen, het duurt allemaal langer terwijl ze eerst iedereen van het contant betalen wilde afhelpen (klein bedrag->pinnen mag) maar ondertussen is het contant betalen wel weer sneller dan pinnen bij de meeste winkels. (afgezien het feit dat veel mensen gewoon niet snappen hoe het werkt). Dit allemaal natuurlijk in het kader van de veiligheid. Zo ook met online betalen, eerst was het nog eenvoudig en makkelijk om met je creditcard te betalen, nu komen er allerlei popups waarin je wachtwoorden moet invullen.

maandag 8 augustus 2011 10:39

Acties:

0 Henk 'm!

mrc4nl

Procrastinatie expert

Cloud schreef op maandag 08 augustus 2011 @ 10:35:
Mja ben ik het wel mee eens hoor. Als ik op mijn werk ben en ik moet 'plotseling' op mijn rekening kijken en ik heb mijn reader niet bij me; dan heb ik gewoon pech. Jammer dan. Mocht ik het erg vaak hebben dan installeer ik wel de Rabo app op mijn telefoon, maar dan wéét ik dat ik meer risico ga lopen. Een keuze dus, maar eentje die ik zelf kan (en niet zal) maken.

Gebruikersgemak is zeker belangrijk, maar wat mij betreft mag het op geen enkel punt ten koste van veiligheid gaan. En feit blijft, inloggen met uitsluitend een gebruikersnaam en wachtwoord, is minder veilig dan inloggen met token verificatie.

Vergeet niet dat je met inloggen alleen er nog niet bent, om geld over te maken word een smsje gestuurd met tan code.die heb je vaker bij je dan zo'n reader

hoe dat zit als je je mobiel kwijt raakt weet ik niet.

ora et labora

maandag 8 augustus 2011 10:39

Acties:

0 Henk 'm!

Erkens

Fotograaf

mrc4nl schreef op maandag 08 augustus 2011 @ 10:39:

hoe dat zit als je je mobiel kwijt raakt weet ik niet.

Dan log je in op mijn.ing.nl en geeft daar aan dat je je mobiel kwijt bent, simpeler kan het niet. (je kan overigens ook bellen, maar als je je mobiel kwijt bent....)

maandag 8 augustus 2011 10:40

Acties:

0 Henk 'm!

_Apache_

For life.

mrc4nl schreef op maandag 08 augustus 2011 @ 10:39:
[...]

Vergeet niet dat je met inloggen alleen er nog niet bent, om geld over te maken word een smsje gestuurd met tan code.die heb je vaker bij je dan zo'n reader

hoe dat zit als je je mobiel kwijt raakt weet ik niet.

TAN codes zijn maar beperkt actief, en met een (vaste?!

) telefoontje naar de ING worden alle tan-codes die actief zouden kunnen zijn uitgeschakeld, plus je 06-nummer word (tot nader order) niet meer geaccepteerd.

Been there, done that.

Zero SR/S 17.3kWh / 2700WP PV / HRSolar zonneboiler

maandag 8 augustus 2011 10:41

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

@mrc4nl
Natuurlijk, maar zoals al vaker gezegd kun je wél een Paypal-verificatie voltooien zonder ooit een TAN-code nodig te hebben. Sowieso gaat het er mij niet om wat er wel of niet mogelijk is, het is gewoon een tandje minder beveiliging ten behoeve van gebruikersgemak. Dat was alles wat ik duidelijk wilde maken

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

maandag 8 augustus 2011 10:49

Acties:

0 Henk 'm!

Flard

Ik wil wel achter Erkens gaan staan. Alle veiligheid staat of valt met de gebruiker en hoe die daarmee om gaat. Het PayPal verhaal daargelaten denk ik dat er in beide gevallen een goede two-factor authenticatie/authorisatie is. Of je nu een PIN code en een random reader of je wachtwoord en je GSM nodig hebt. een PIN is maar vier digits, terwijl mijn wachtwoord uit veel meer karakters kan bestaan. De afweging Random Reader vs. GSM vind ik ook triviaal. Voor beide zijn voor/nadelen, waarbij ik het zelf als voordeel vind dat ik mijn gsm altijd bij me heb. Ja, dat is "gebruikersgemak", maar mijn GSM kan ik wederom beveiligen zoals ik wil (unlock beveiliging, pincode op de sim), zodat deze eigen zelfs bij diefstal niet te gebruiken is. (buiten het feit dat men dan ook nog m'n wachtwoord zou moeten weten). Een random reader is niet zo moeilijk om aan te komen (behalve op de momenten dat je hem nodig hebt ;-) )...

Blijft inderdaad het PayPal verhaal over. Ik ben inderdaad van mening dat die beveiliging een stuk beter kan, maar zoals al gezegd ligt dat ook meer bij PayPal. En ook daar geldt: als iemand je MSN wachtwoord achterhaalt (meestal niet gigantisch moeilijk, en ik gok gemiddeld genomen minder 'veilig' als het wachtwoord wat mensen voor internetbankieren instellen), kan men ook via Yvette die omschrijving krijgen. Wat dat betreft zou PayPal beter kunnen vragen om via iDeal 1 cent over te maken naar PayPal. Te meer omdat je dan altijd de two factor authorisatie aanspreekt en controleert of de gebruiker wel gemachtigd is om betalingen uit te voeren.

De afweging veiligheid vs. gebruikersgemak blijft altijd, maar ik vind zeker niet dat ING daar een compromis in heeft gemaakt, ze hebben een ándere oplossing die zijn eigen voor- en nadelen heeft. In mijn geval heb ik er meer controle over dan bij de Rabo, en vind ik het prettiger.

maandag 8 augustus 2011 11:32

Acties:

0 Henk 'm!

Brad Pitt

Wat grappig, log net in om mijn wachtwoord maar even te veranderen. Heel toevallig had de ING hetzelfde idee, je moét nu je wachtwoord veranderen dus. En het was allemaal maar een test hè, ja sure

Nickname does not reflect reality

maandag 8 augustus 2011 11:43

Acties:

0 Henk 'm!

Erkens

Fotograaf

Brad Pitt schreef op maandag 08 augustus 2011 @ 11:32:
Wat grappig, log net in om mijn wachtwoord maar even te veranderen. Heel toevallig had de ING hetzelfde idee, je moét nu je wachtwoord veranderen dus. En het was allemaal maar een test hè, ja sure

Ehm, die meldingen krijg je wel vaker, dat is echt niet nu voor het eerst

maandag 8 augustus 2011 11:43

Acties:

0 Henk 'm!

Flard

Brad Pitt schreef op maandag 08 augustus 2011 @ 11:32:
Wat grappig, log net in om mijn wachtwoord maar even te veranderen. Heel toevallig had de ING hetzelfde idee, je moét nu je wachtwoord veranderen dus. En het was allemaal maar een test hè, ja sure

Ik hoef mijn wachtwoord niet aan te passen als ik inlog.
Is het bij jou niet toevallig al een jaar geleden? Bij ING moet je jaarlijks je wachtwoord aanpassen.

maandag 8 augustus 2011 11:58

Acties:

0 Henk 'm!

Brad Pitt

Flard schreef op maandag 08 augustus 2011 @ 11:43:
Ik hoef mijn wachtwoord niet aan te passen als ik inlog.
Is het bij jou niet toevallig al een jaar geleden? Bij ING moet je jaarlijks je wachtwoord aanpassen.

Okay, dan is de timing even geniaal als de tijd dat het test scriptje er op heeft gestaan, is mogelijk

Nickname does not reflect reality

maandag 8 augustus 2011 12:42

Acties:

0 Henk 'm!

Thralas

Ik ben erachter welke partij achter de mysterieuze javascript zit, en wat ING bedoelde met "We testen software die ons in staat stelt bepaalde vormen van fraude en phishing op te sporen".

Wat Googlen leerde dat mensen eerder eenzelfde script ontdekten bij andere banken, en dat in deze gevallen andere (schimmige) domeinen werden gebruikt. Een overzichtje:

code:

primebyte.net
vsonicw.com
polycache.com
gate-logic.com
analytics-control.com
advanced-web-analytics.com

Het laatstgenoemde domein komt nog steeds voor in onlinebankinginterfaces van andere banken. Een erg interessant voorbeeld is Santander UK. In de source vinden we een script include:

code:

1	https://www.advanced-web-analytics.com/83179/splash.js

Je kunt dit script zelf even beautifien, meteen valt een gelijkenis op met het script dat afgelopen donderdag op mijn.ing.nl te vinden was.

Interesting snippets:

code:

1
2
3

var b = "rapport_info";
var an = S + "://trusteer.s3.amazonaws.com/img";
var X = "http://download.trusteer.com/Xby7sRh2E/" + n() + "?x-src=splash_santanderuk";

Dit is dus een script dat de gebruiker prompt om Trusteer Rapport te downloaden en installeren.

quote: http://www.trusteer.com/product/trusteer-rapport
Rapport implements a completely new approach to protecting customers and employees. By locking down customer browsers and creating a tunnel for safe communication with the online website, Rapport prevents Man-in-the-Browser malware and Man-in-the-Middle attacks. Rapport also prevents phishing via website authentication to ensure that account credentials are passed to genuine sources only.

Pakken we de quote van ING er nogmaals bij:

We testen software die ons in staat stelt bepaalde vormen van fraude en phishing op te sporen

Het lijkt er dus op dat men een van de producten van Trusteer evalueert. Misschien is dat inderdaad Trusteer Rapport, misschien een ander product.

Aangenomen dat bovenstaande klopt, een paar open vragen..

ING
• Waarom voert men tests uit op een productieomgeving? Ik zie niet in waarom de klant betrokken zou moeten worden bij de 'test' met de primebyte-include.
• Waarom is de klant niet vooraf geinformeerd (in de vorm van een simpel linkje met verklaring). De gemiddelde gebruiker valt de 'test' inderdaad niet op, iemand met NoScript of RequestPolicy mogelijk wel..
• Waarom doet de afdeling PR zo geheimzinnig over de 'test'? Mogelijk werd het product enkel geevalueerd, maar dan nog verwacht ik enige vorm van transparantie van een bank..
• Toch wel benieuwd naar de risicoanalyse van het includen van een scriptje op een externe server (een VPS notabene, in een heel ander land). Misschien dat een implementatie van Rapport ING geld bespaart, maar dit voegt desalniettemin een interessante attack vector toe, als je 't mij vraagt..

Trusteer
• Wat voor tests voeren jullie uberhaupt uit? Het scriptje was geen splashscreen-script zoals bij Santander, maar zag er wel extreem dubieus uit.
• Waarom verstoppen jullie deze scripts achter verschillende, even dubieuze domeinnamen met WHOIS-guard?
• Waarom host je dat op een VPS, gezien het feit dat meerdere inlogportals van banken een script includen vanaf de VPS is dit een erg interessante attack vector voor criminelen. Een hack betekent dat je meerdere banken probleemloos kunt phishen/mitm'en..

Zo.

maandag 8 augustus 2011 12:50

Acties:

0 Henk 'm!

Elvis56686

Thralas schreef op maandag 08 augustus 2011 @ 12:42:
Ik ben erachter welke partij achter de mysterieuze javascript zit, en wat ING bedoelde met "We testen software die ons in staat stelt bepaalde vormen van fraude en phishing op te sporen".<KNIPPERDEKNIP>
Zo.

Goede duidelijke post maar ik heb niet het idee dat ooit precies duidelijk gaat worden wat nou het idee was achter de "test". Het is niet echt groot in het nieuws geweest, ING laat al helemaal niks meer weten en nieuwssites zitten er niet echt achteraan lijkt het.

maandag 8 augustus 2011 14:16

Acties:

0 Henk 'm!

Erkens

Fotograaf

Ze reageren in ieder geval wel snel op e-mail die ik donderdagmiddag had verstuurd...

Geachte heer Erkens,

In uw e-mail geeft u aan dat op de inlogpagina een aantal requests worden gedaan naar primebyte.net. U wilt weten of dit wel veilig is. Graag informeren wij u hierover.

Op het moment dat u Mijn ING bezocht waren wij bezig met het testen van nieuwe software. Wij kunnen hiermee de veiligheid van onze website waarborgen. Wij begrijpen dat dit voor verwarring heeft gezorgd.

De website is niet gehacked en u kunt Mijn ING veilig benaderen.

Met vriendelijke groet,

<<naam medewerker>>>
Medewerker Klantenservice
ING Bank N.V.

Een dergelijk standaard antwoord hadden ze vrijdag ook kunnen sturen, jammer dat de mail pas na het weekend is behandeld, ik vraag me dus af of dit ook zo was geweest als ik de enige was geweest die een dergelijk probleem had gemeld

maandag 8 augustus 2011 14:23

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

Thralas schreef op maandag 08 augustus 2011 @ 12:42:
[...]

ING
• Waarom is de klant niet vooraf geinformeerd (in de vorm van een simpel linkje met verklaring). De gemiddelde gebruiker valt de 'test' inderdaad niet op, iemand met NoScript of RequestPolicy mogelijk wel..

Niet alleen mensen met NoScript. Er zijn ook mensen waarbij McAfee's Siteadvisor terecht de melding gaf dat er iets mis was omdat er ineens content van een derde partij gebruikt werd. Volgens mij gaf Opera (de browser) een soortgelijke melding, dus ik vermoed nog wel meer software. En mensen met NoScript weten dit nog wel op waarde te schatten, maar Jan Modaal die even wat geld over wil maken schrikt natuurlijk wel. Het verbaast me daarom ook dat ze het ondanks de berichtgeving in de media, gewoon nog tot halverwege de volgende dag online hebben laten staan.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

maandag 8 augustus 2011 14:28

Acties:

0 Henk 'm!

Henk007

Door het 24 uur te laten staan wekken ze de indruk volledige controle te hebben en te weten waar ze mee bezig zijn. Psychologisch.

maandag 8 augustus 2011 14:33

Acties:

0 Henk 'm!

tweakict

Erkens schreef op maandag 08 augustus 2011 @ 10:39:
[...]

Dan log je in op mijn.ing.nl en geeft daar aan dat je je mobiel kwijt bent, simpeler kan het niet. (je kan overigens ook bellen, maar als je je mobiel kwijt bent....)

Tja wat je handig simpel noemt...

Vanaf het moment dat je dit moet doen (ander telefoonnummer en of verlief van telefoon) krijg je binnen 5 werkdagen een brief opgestuurd, dat je de code kan afhalen bij het dichtstbijzijnde ING kantoor van je woonadres.

Stel je werkt gewoon 40u per week op locatie buiten je woonplaats...je kunt enkel op een koopavond en of in het weekend je brief ophalen.....In de tussentijd kun je niet betalen..HANDIG!

Oja en voor een spoed betaling in een ING kantoor, betaal je 8 EURO......

Ik ben inmiddels overgestapt naar de Rabo. Oh u bent uw reader kwijt, hier hebt u een nieuwe...SERVICE.

[ Voor 4% gewijzigd door tweakict op 08-08-2011 14:35 ]

maandag 8 augustus 2011 14:49

Acties:

0 Henk 'm!

Erkens

Fotograaf

tweakict schreef op maandag 08 augustus 2011 @ 14:33:
Vanaf het moment dat je dit moet doen (ander telefoonnummer en of verlief van telefoon) krijg je binnen 5 werkdagen een brief opgestuurd, dat je de code kan afhalen bij het dichtstbijzijnde ING kantoor van je woonadres.

Wil je dan dat ze die code zo versturen? Over veilig gesproken

Stel je werkt gewoon 40u per week op locatie buiten je woonplaats...je kunt enkel op een koopavond en of in het weekend je brief ophalen.....In de tussentijd kun je niet betalen..HANDIG!

Gelukkig zijn de ING kantoren dan ook 6 dagen in de week open en vaak tot 18:00-19:00 uur open

Oja en voor een spoed betaling in een ING kantoor, betaal je 8 EURO......

Waarom zou je dat willen? Via onlinebetalen is het ook direct op de rekening van de tegenpartij, het heeft weinig meerwaarde, maar is een extra stukje service. Gezien de andere kosten van de ING valt dit dus wel mee

maandag 8 augustus 2011 14:56

Acties:

0 Henk 'm!

Herko_ter_Horst

Erkens schreef op maandag 08 augustus 2011 @ 10:17:
[...]

Er is anders weinig mis met de veiligheid en betrouwbaarheid bij ING. Natuurlijk staat veiligheid bij de ING ook op de eerste plek, maar gelukkig ook gebruiksgemak!

Niet waar, gebruikersgemak gaat aantoonbaar boven veiligheid bij ING. Het feit dat je je wachtwoord op kan vragen via de telefoon waar je ook je TAN-codes mee krijgt, heeft niets met veiligheid en alles met gebruiksvriendelijkheid te maken.

Ondanks dat ING daar van diverse kanten op gewezen is, heeft men dit onder het mom van "we krijgen vaak klachten over de bestaande procedure" toch doorgevoerd.

"Any sufficiently advanced technology is indistinguishable from magic."

maandag 8 augustus 2011 14:58

Acties:

0 Henk 'm!

Rukapul

Herko_ter_Horst schreef op maandag 08 augustus 2011 @ 14:56:
[...]

Niet waar, gebruikersgemak gaat aantoonbaar boven veiligheid bij ING. Het feit dat je je wachtwoord op kan vragen via de telefoon waar je ook je TAN-codes mee krijgt, heeft niets met veiligheid en alles met gebruiksvriendelijkheid te maken.

Ondanks dat ING daar van diverse kanten op gewezen is, heeft men dit onder het mom van "we krijgen vaak klachten over de bestaande procedure" toch doorgevoerd.

Ik wacht eigenlijk tot op de dag van vandaag dat de ING daarmee nat gaat.

Dat is namelijk het moment waarop ik de bevestigingsmail van de DNB betreffende melding daaromtrent zal doorsturen naar de relevante media

maandag 8 augustus 2011 18:24

Acties:

0 Henk 'm!

Aubergine

Waar de AEX vandaag 4% heeft verloren, had ING ruim 8,3% verloren, zou dit een van de oorzaken zijn?

Misschien is het bij de aandeelhouders wel bekend of het nou of wel geen hack was.

maandag 8 augustus 2011 19:48

Acties:

0 Henk 'm!

EdwinG

Herko_ter_Horst schreef op maandag 08 augustus 2011 @ 14:56:
Niet waar, gebruikersgemak gaat aantoonbaar boven veiligheid bij ING. Het feit dat je je wachtwoord op kan vragen via de telefoon waar je ook je TAN-codes mee krijgt, heeft niets met veiligheid en alles met gebruiksvriendelijkheid te maken.

Als ik het zo lees, bedoel je dat je je huidige wachtwoord opnieuw opgestuurd krijgt. Dat is gelukkig niet het geval, je krijgt een nieuw (tijdelijk) wachtwoord. Anders zou er wel meer mis zijn met het systeem.

Zorgelijker is het volgende stukje van ING zelf in hun FAQ:

quote: http://www.ing.nl/particu...d/toegangscode/index.aspx
Stel dat mijn telefoon en portemonnee met Betaalpas gestolen wordt. Kan iemand anders dan namens mij een wachtwoord voor Mijn ING aanvragen?
Nee, om een aanvraag te doen van uw wachtwoord moet ook de gebruikersnaam bekend zijn. Zonder uw gebruikersnaam kan een fraudeur niets beginnen. Daarnaast is bij het aanvragen van een nieuw wachtwoord de geboortedatum, het mobiele nummer, het rekening- en pasnummer, expiratie datum en de gebruikersnaam nodig. Kies daarom om altijd een gebruikersnaam die door anderen moeilijk te raden is. En bewaar uw gebruikersnaam nooit in uw tas of portemonnee. U kunt uw gebruikersnaam zelf wijzigen.

Zijn uw telefoon en Betaalpas gestolen, bel dan zo snel mogelijk de ING: 058 212 2600. Uw pas wordt dan direct geblokkeerd. Er kan dan geen nieuw wachtwoord aangevraagd worden. Daarnaast kunt u in Mijn ING zelf uw TAN-functie blokkeren. Na inloggen kiest u links in het menu voor ‘Service en instellingen’. Bij ‘TAN-functie blokkeren/activeren’ kiest u voor ‘Blokkeren TAN-functie / activeringscode aanvragen’. Vergeet niet ook bij uw provider te melden dat uw mobiele telefoon gestolen is zodat uw SIM-kaart geblokkeerd kan worden.

Voor het aanvragen van een nieuw wachtwoord: Tijd om het lijstje door te lopen?

geboortedatum: Uitgaande van een gestolen portomonee is deze vast wel te vinden (ID-kaart)
mobiel nummer: Pak de telefoon (als dief), bel jezelf en kijk naar het nummer van de beller
rekeningnummer: Staat op de bankpas
passnummer: Staat op de bankpas
vervaldatum: Staat op de bankpas
gebruikersnaam: ehhh.... voorletter.achternaam? voornaam.achternaam?

Blijkt dus dat de gebruikersnaam het enige onbekende is, hoewel die meestal wel een voorspelbaar formaat heeft, of je Nickname op internet (snel te vinden met Google + Echte naam, En je volledige naam is weer te vinden op je ID-kaart, of je ov-chipkaart, of je lidmaatschapskaart van <club>). De rest is eenvoudig te lezen voor de bezitter van de telefoon en de bankkaart. Waarom al die dingen dan noemen? Waarschijnlijk om de lezer het gevoel te geven dat er wel aan veiligheid is gedacht. Mij geeft het eerder het gevoel dat ze zelf niet weten waar ze mee bezig zijn. (of ze weten het wel, maar dat maakt het nog erger)

Voor eigenaren van een smartphone kan het wachtwoord om te ontgrendelen je nog redden. (tenzij je geen PIN op je simkaart hebt, dan plaatsen ze die eenvoudig in een ander toestel)

Het enige dat me vanaf de kant van de bank nog kan redden in zo'n situatie, is de bescherming (als die al aanwezig is) tegen het gokken van de gebruikersnaam bij de 'wachtwoord vergeten'-pagina. Hopelijk blokkeren ze het account als ik 3x tevergeefs heb geprobeerd een wachtwoord voor Bankrekening X met pas Y op te vragen. Maar 3x betekend dat ik nog steeds <voorletter>.<achternaam>, <voornaam>.<achternaam> en <nickname> kan proberen, hoeveel procent van de gebruikers heb ik daarmee te pakken?

[ Voor 0% gewijzigd door EdwinG op 08-08-2011 19:49 . Reden: lijst gerepareerd ]

Bezoek eens een willekeurige pagina

maandag 8 augustus 2011 19:52

Acties:

0 Henk 'm!

Herko_ter_Horst

De gebruikersnaam als "geheim" beschouwen, is hoe dan ook een fail eerste klas, helemaal als ING zelf aanbiedt deze te onthouden via een vinkje op de inlogpagina...

"Any sufficiently advanced technology is indistinguishable from magic."

maandag 8 augustus 2011 19:53

Acties:

0 Henk 'm!

Elvis56686

Ik weet niet hoe het sinds de overgang naar ING is maar mijn postbank tijd gebruikersnaam is een compleet random string van cijfers en letters.

maandag 8 augustus 2011 20:27

Acties:

0 Henk 'm!

MrDirect

Ik heb toen dat script erop stond niet ingelogd of zelfs op ing.nl geweest, maar zou OpenDNS mij beschermd hebben hiertegen? Weet iemand dat? Of heb je echt speciale anti-virus achtige software nodig?

maandag 8 augustus 2011 20:28

Acties:

0 Henk 'm!

Thralas

Nee, OpenDNS helpt hier niet tegen. Er zijn eerder een aantal browseraddons genoemd, alsmede een aantal antivirus/securityproducten die ook een waarschuwing gaven.

maandag 8 augustus 2011 20:38

Acties:

0 Henk 'm!

Bastien

Probleemeigenaar

EdwinG schreef op maandag 08 augustus 2011 @ 19:48:
[...]

Voor het aanvragen van een nieuw wachtwoord: Tijd om het lijstje door te lopen?
geboortedatum: Uitgaande van een gestolen portomonee is deze vast wel te vinden (ID-kaart)
mobiel nummer: Pak de telefoon (als dief), bel jezelf en kijk naar het nummer van de beller
rekeningnummer: Staat op de bankpas
passnummer: Staat op de bankpas
vervaldatum: Staat op de bankpas
gebruikersnaam: ehhh.... voorletter.achternaam? voornaam.achternaam?

Welke vragen had je dan willen hebben, en dan wel even denken aan de gegevens die ING (of elke willekeurige andere bank) van je heeft en van je (bij wet) mag hebben? Als ze het redelijk failsafe willen doen zullen ze iedereen moeten verplichten bij de balie langs te komen met een geldige legitimatie (en ja, ook die zijn niet failsafe). En dat is nu net wat niemand in dit o zo leuke vanuit-de-luie-stoel-tijdperk wil doen.

Het is toch inmiddels ook wel bewezen dat die zogenaamde vragen als met wie je als eerste in je leven speeksel hebt uitgewisseld, de achternaam van je mammie of weet ik veel wat zo lek is als een vergiet.

Zolang er mensen zijn zal de wereld nooit duurzaam worden.
Zijn er wel genoeg kliffen op de wereld waar 8 miljard mensen zich als lemmingen vanaf kunnen storten?

maandag 8 augustus 2011 23:29

Acties:

0 Henk 'm!

EdwinG

Bastien schreef op maandag 08 augustus 2011 @ 20:38:
Welke vragen had je dan willen hebben, en dan wel even denken aan de gegevens die ING (of elke willekeurige andere bank) van je heeft en van je (bij wet) mag hebben?

Wel, volgens mij kunnen geldautomaten meer dan alleen geld verstrekken. (bijvoorbeeld, klanten de mogelijkheid bieden om zelf hun pincode te wijzigen). Dan kunnen ze vast ook wel worden ingezet om gebruikers een nieuw wachtwoord te geven. (Die dan bijvoorbeeld alsnog naar het bijbehorende mobiele nummer wordt gestuurd). Makkelijker dan naar een kantoor gaan (een automaat is vaak dichterbij), beter bereikbaar (24 uur per dag, in plaats van openingstijden), en veiliger dan de huidige oplossing (de PIN-code is immers ook nog nodig).

Nu heb ik dit direct even bedacht, en er niet veel tijd aan besteed. Misschien zie ik nog iets over het hoofd waardoor dit niet wenselijk/veilig is, maar zo op het eerste gezicht lijkt het me al iets beter dan direct een SMS sturen.

Als ze het redelijk failsafe willen doen zullen ze iedereen moeten verplichten bij de balie langs te komen met een geldige legitimatie (en ja, ook die zijn niet failsafe). En dat is nu net wat niemand in dit o zo leuke vanuit-de-luie-stoel-tijdperk wil doen.

Een legitimatie is inderdaad niet failsafe, maar zowel Pinpas + code als ID-kaart, de combinatie die nodig is om je gebruikersnaam op de halen (of je ww na blokkade) is een goede combinatie.

En in dit 'vanuit-de-luie-stoel-tijdperk' wil ik nog steeds mijn geld (bezittingen in het algemeen) veilig houden. Mensen die dat te veel moeite vinden, vinden het vast ook veel moeite om hun wachtwoord te onthouden, en plaatsen deze dus in een password-manager, of zelfs in de browser. Als je dit onveilig vind in verband met virussen, plaats je ze in misschien wel in een geldkistje of spaarpot/bloempot. Ook niet de meest veilige optie, maar de kans op bezoek van een inbreker is veel kleiner dan de kans op het passeren van een zakkenroller. Bovendien heeft een inbreker veel meer kans om zo'n briefje over het hoofd te zien, dan een zakkenroller/tasjesdief op het missen van je telefoonnummer en pinpas.

Van passwordmanagers en kladblaadjes is bekend dat ze niet snel iets vergeten, dus heb je ook niet snel een nieuw wachtwoord nodig.

[ Voor 2% gewijzigd door EdwinG op 08-08-2011 23:33 . Reden: +laatste zin ]

Bezoek eens een willekeurige pagina

dinsdag 9 augustus 2011 08:14

Acties:

0 Henk 'm!

Erkens

Fotograaf

Elvis56686 schreef op maandag 08 augustus 2011 @ 19:53:
Ik weet niet hoe het sinds de overgang naar ING is maar mijn postbank tijd gebruikersnaam is een compleet random string van cijfers en letters.

En die kan je zelf aanpassen, wat niet onverstandig is om regelmatig te doen, net zoals het wachtwoord

woensdag 10 augustus 2011 21:59

Acties:

0 Henk 'm!

xxxneoxxx

tweakict schreef op maandag 08 augustus 2011 @ 14:33:
[...]

Tja wat je handig simpel noemt...

Vanaf het moment dat je dit moet doen (ander telefoonnummer en of verlief van telefoon) krijg je binnen 5 werkdagen een brief opgestuurd, dat je de code kan afhalen bij het dichtstbijzijnde ING kantoor van je woonadres.

Stel je werkt gewoon 40u per week op locatie buiten je woonplaats...je kunt enkel op een koopavond en of in het weekend je brief ophalen.....In de tussentijd kun je niet betalen..HANDIG!

Oja en voor een spoed betaling in een ING kantoor, betaal je 8 EURO......

Ik ben inmiddels overgestapt naar de Rabo. Oh u bent uw reader kwijt, hier hebt u een nieuwe...SERVICE.

Is dom banken bashen tegenwoordig hip of werk je allicht bij de rabobank..?

Ik ben inmiddels overgestapt naar de Rabo. Oh u bent uw reader kwijt, hier hebt u een nieuwe...SERVICE.

"..Maar die dient u wel op te komen halen bij de bank. Welke alleen open is tijdens dezelfde tijden als ING filialen."

...

Daar gaat je hele rant, evenals je geloofwaardigheid, down the drain.

En nee, geen ING fanboy, zit bij beide banken nml.

donderdag 11 augustus 2011 09:09

Acties:

0 Henk 'm!

zacht

Wat ik me ondertussen af vraag: zijn er hier mensen die daadwerkelijk via online bankieren bestolen zijn?

donderdag 11 augustus 2011 09:16

Acties:

0 Henk 'm!

jfeelders

Kwaliteit voor kwantiteit...

Een collega van me wilde inloggen ten tijde van deze problemen en kreeg een vreemde melding op zijn scherm over het verstrekken van TAN-codes. Hij heeft toen meteen zijn verbinding verbroken. even later kreeg hij een SMS-je met de TAN-code voor een overschrijving van €5400. Dit heeft hij natuurlijk meteen bij de ING gemeld.
Ik weet niet of deze 2 zaken iets met elkaar te maken hadden maar toevallig is het wel...

donderdag 18 augustus 2011 13:30

Acties:

0 Henk 'm!

Elvis56686

jfeelders schreef op donderdag 11 augustus 2011 @ 09:16:
Een collega van me wilde inloggen ten tijde van deze problemen en kreeg een vreemde melding op zijn scherm over het verstrekken van TAN-codes. Hij heeft toen meteen zijn verbinding verbroken. even later kreeg hij een SMS-je met de TAN-code voor een overschrijving van €5400. Dit heeft hij natuurlijk meteen bij de ING gemeld.
Ik weet niet of deze 2 zaken iets met elkaar te maken hadden maar toevallig is het wel...

Wellicht hieraan gerelateerd? nieuws: 'Hackers plunderen bankrekeningen ING met virus' - update

donderdag 18 augustus 2011 13:36

Acties:

0 Henk 'm!

Sherlock

No Shit

xxxneoxxx schreef op woensdag 10 augustus 2011 @ 21:59:
[...]

"..Maar die dient u wel op te komen halen bij de bank. Welke alleen open is tijdens dezelfde tijden als ING filialen."

offtopic:
die wordt ook gewoon thuisgestuurd hoor

And if you don't expect too much from me, you might not be let down.

zaterdag 20 augustus 2011 09:34

Acties:

0 Henk 'm!

YouKnow

Elvis56686 schreef op donderdag 18 augustus 2011 @ 13:30:
[...]

Wellicht hieraan gerelateerd? nieuws: 'Hackers plunderen bankrekeningen ING met virus' - update

Dit nieuwsbericht over DeBank lijkt mij hieraan gerelateerd. Het is een sniffing tool voor SpyEye, Zeus, CarBerp, Gozi en Patcher, ontwikkeld door het Finse Fitsec.

http://www.betanews.com/a...ns-with-DeBank/1313680410
http://news.hitb.org/cont...all-major-banking-trojans
http://www.theregister.co..._online_banking_concerns/

De sourcecode van SpyEye is gelekt en dus vrij verkrijgbaar, wat zou kunnen leiden tot een explosieve groei van het gebruik van deze trojans.

Ik ken het Finse Fitsec echter niet en ben daarom een beetje terughoudend in het gebruik van deze tool. Wat denken jullie?

zaterdag 20 augustus 2011 15:11

Acties:

0 Henk 'm!

xxxneoxxx

Sherlock schreef op donderdag 18 augustus 2011 @ 13:36:
[...]

offtopic:
die wordt ook gewoon thuisgestuurd hoor

Niet naar mijn ervaring.

En dan is mijn rabobank schijnbaar nogal soepel, ik hoorde laatst van een collega dat hij, toen hij een extra reader wilde voor op het werk/onderweg, hij te horen kreeg dat de rabo daar niet zomaar aan kon beginnen, die zaken allemaal weggeven elke keer.

Ja, inderdaad, vrij klantvriendelijk.
Maar goed, da's volgens mij inmiddels bank-eigen. Mijn ervaring bij tot nu toe elke bank: als klant ben je goed genoeg om je geld er naartoe weg te brengen, een miezerig rentepercentage te mogen ontvangen (waarvan men verwacht dat je er ook nog eens verheugd over dient te zijn), terwijl massaal allerlei personeel bij de banken weggesaneerd wordt. Wil je dan als klant normaal bij je eigen geld kunnen, dan is de wereld te klein.. Wil je geld lenen/een hypotheek, dan is het rentepercentage, iit spaarrentes, monsterlijk hoog.

Maar als de banken een bail out nodig hebben is ons belastinggeld uiteraard wel goed genoeg. Figures.. .

zaterdag 20 augustus 2011 17:35

Acties:

0 Henk 'm!

Uberprutser

In mijn ogen heb je aan 1 reader ook genoeg dus ik vind het niet vreemd dat ze weigeren een tweede voor gratis en voor niks (buitengelaten dat je elk kwartaal betaald voor je betaalrekening(en)) weggeven.

Zou dan wel fijn zijn als je een 2e voor zeg 5 euro zou kunnen aanschaffen; kon namelijk wel ten tijde van de DigiPas

As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.

zaterdag 20 augustus 2011 17:48

Acties:

0 Henk 'm!

xxxneoxxx

Ballebek schreef op zaterdag 20 augustus 2011 @ 17:35:
In mijn ogen heb je aan 1 reader ook genoeg dus ik vind het niet vreemd dat ze weigeren een tweede voor gratis en voor niks (buitengelaten dat je elk kwartaal betaald voor je betaalrekening(en)) weggeven.

Zou dan wel fijn zijn als je een 2e voor zeg 5 euro zou kunnen aanschaffen; kon namelijk wel ten tijde van de DigiPas

We gaan allicht offtopic, maar goed..

Je zou zo in het straatje van het bankwezen passen met die opvatting.

Ik kom nog uit een tijd dat je daadwerkelijk bij een bank binnen kon stappen om bankzaken te regelen. In veel dorpskernen zijn echter kantoren vervangen door een geldautomaat. Personeel op straat gezet, allemaal in het kader van 'efficiency' en besparingen. Intussen klagen banken wel sinds jaar en dag steen en been dat zij 'diensten' hier aan bieden tegen een vriendenprijsje; de 'kosten' voor een bankrekening welke klanten betalen liggen in Nederland schijnbaar lager dan bij banken in omliggende landen. Waar men dan overheen stapt is het feit dat zij, de Nederlandse banken, jaren lang blijven vasthouden aan een goedkope, niet beveiligde magneetstrip, inferieure kwaliteit bankpasjes (goedkoopste van het goedkoopste op de markt) en een hypotheekrente welke niet aangepast wordt aan Europees renteniveau, itt banken in omliggende landen. Laat staan over hoeveel men bespaart aan loonkosten vanwege het op straat zetten van mensen door de jaren heen. Over het hypotheekrenteniveau loopt zelfs een rechtszaak tegen de rabobank..

Er wordt echt af en toe gedaan of die gasten een vriendendienst bewijzen aan het volk. Het is echter zo dat je niet anders kan, ik denk dat veel mensen net zo lief geld in een ouwe sok o.i.d. zou bewaren. Voor spaarrentes hoef je het ook al een jaar of 15 niet meer te doen. Aangezien we gebruik MOETEN maken van elektronische betaalmiddelen, en je dus echt niet meer om een rekning heen kan, en we betalen om dit te gebruiken, kunnen we toch ook wel de tools krijgen om het te doen?

zaterdag 20 augustus 2011 18:02

Acties:

0 Henk 'm!

YouKnow

YouKnow schreef op zaterdag 20 augustus 2011 @ 09:34:
[...]

Dit nieuwsbericht over DeBank lijkt mij hieraan gerelateerd. Het is een sniffing tool voor SpyEye, Zeus, CarBerp, Gozi en Patcher, ontwikkeld door het Finse Fitsec.

http://www.betanews.com/a...ns-with-DeBank/1313680410
http://news.hitb.org/cont...all-major-banking-trojans
http://www.theregister.co..._online_banking_concerns/

De sourcecode van SpyEye is gelekt en dus vrij verkrijgbaar, wat zou kunnen leiden tot een explosieve groei van het gebruik van deze trojans.

Ik ken het Finse Fitsec echter niet en ben daarom een beetje terughoudend in het gebruik van deze tool. Wat denken jullie?
[/quote]

Ik heb het even gechecked, en mijn Comodo Defense+ gaf het volgende resultaat.

COMODO Firewall - Log Viewer Logs
Table: Defense+ Events
Date Created: 2011-08-20 16:55:41
Records count:10

Date Application Action Target
2011-08-20 16:52:13 C:\Users\UserName\Downloads\DeBank.exe Sandboxed As Partially Limited
2011-08-20 16:52:18 C:\Users\UserName\Downloads\DeBank.exe Access COM Interface LocalSecurityAuthority.Debug
2011-08-20 16:52:20 C:\Users\UserName\Downloads\DeBank.exe Scanned Online and Found Malicious
2011-08-20 16:52:25 C:\Users\UserName\Downloads\DeBank.exe Scanned Online and Found Malicious
2011-08-20 16:52:26 C:\Users\UserName\Downloads\DeBank.exe Scanned Online and Found Malicious
End of The Report

Ik zou dus nog even terughoudend zijn in het gebruik van deze tool.

De Kasperky-scanner kon niks vinden. F-Secure heeft de file geanalyseerd en inmiddels verklaard dat de file gewoon schoon & betrouwbaar is. Moet dus gewoon gebruikt kunnen worden!

[ Voor 7% gewijzigd door YouKnow op 21-08-2011 18:53 . Reden: Conclusie erbij schrijven + update geven. ]

vrijdag 14 oktober 2011 01:11

Acties:

0 Henk 'm!

Peter.Verberne

De site van de ING is nog steeds zo lek als een mandje! Mijn vriendin werd afgelopen zaterdag gebeld door de afdeling fraude dat men had geprobeerd haar volledige spaarrekening te plunderen op internet. De schurken bezitten usernames, passwords, e-mailadressen en 06-nummers!

Vervolgens werd ze maandag notabene door een antilliaan gebeld die haar wel even wou helpen om haar rekening weer opnieuw te activeren. Toen mijn vriendin vroeg of ze hem ook terug kon bellen, werd deze persoon kwaad. Een beetje vreemd en heel beangstigend....

Vreemd dat een bank met zoveel middelen zo weinig aandacht heeft voor haar eigen beveiliging en zonder enige daadkracht optreedt en alles maar in de doofpot stopt om paniek te voorkomen!

vrijdag 14 oktober 2011 01:19

Acties:

0 Henk 'm!

Herko_ter_Horst

Lullig voor je vriendin, maar wat heeft dit met het onderwerp te maken?

Klinkt alsof je vriendin slachtoffer is geworden van phishing via de telefoon. Hoe relateer jij dat aan een lekke site? Ik neem aan dat ze geen gegevens heeft doorgegeven?

"Any sufficiently advanced technology is indistinguishable from magic."

vrijdag 14 oktober 2011 13:03

Acties:

0 Henk 'm!

Anoniem: 316512

Herko_ter_Horst schreef op vrijdag 14 oktober 2011 @ 01:19:
Lullig voor je vriendin, maar wat heeft dit met het onderwerp te maken?

Klinkt alsof je vriendin slachtoffer is geworden van phishing via de telefoon. Hoe relateer jij dat aan een lekke site? Ik neem aan dat ze geen gegevens heeft doorgegeven?

Inderdaad. Denk daarnaast ook aan de talloze phising mailtjes die in naam van ING verstuurd worden. Ik kom in de spamfilter van de domeinen die ik beheer dagelijks enorm veel van die e-mails tegen.

maandag 14 november 2011 16:34

Acties:

0 Henk 'm!

Nico Klus

Na het inloggen op mijn.ing.nl blijf ik hangen met de melding dat ik wordt doorgelinkt naar mijn ing, even geduld aub.

Na een tijdje wachten kom ik er niet in. Niet met FF, niet met IE. Als ik verkeerde account info ingeef, wordt dat wel gedetecteerd. Net of er na het inloggen iets fout gaat.
Nu zag ik dat bij de melding even wachten er een mooi plaatje getoond wordt, zo'n soort circel van streepje dat je ook wel eens ziet als java loading is.
Echter dit plaatje komt van https://nl.ibloxs.com/files/images/loading2.gif
en dat ibloxs.com domain heeft geen bekende eigenaar. Wel een Sponsoring Registrar: KEY-SYSTEMS GMBH (KEY-SYSTEMS GMBH), maar verder is alles unknown.

Ik vind het raar dat een plaatje van een niet ING domain komt en dat daar het inloggen op blijft hangen. OF ben ik paranoide

Aan dit bericht kunnen geen rechten ontleend worden.

maandag 14 november 2011 16:47

Acties:

0 Henk 'm!

kishan4uall

kiesjan mag ook

Ik heb net even een paar keer in- en uitgelogd, echter kan ik nergens een verwijzing vinden naar dat plaatje van jou Nico... Als ik inlog staat er nergens even wachten..

Alle plaatjes bij het inloggen komen bij mij gewoon vanuit ing.nl

desktop, laptop

maandag 14 november 2011 16:52

Acties:

0 Henk 'm!

Biersteker

@ Nico, kijk even goed of je wel baas van je netwerk bent. Doe een tracert op een willekeurige site, als je niet in stap 1 verbinding maakt met je router, dan heb je waarschijnlijk een gast in je netwerk die aan het arp poisen is. En het is echt geen kunst om dan je DNS te spoofen en je door te sturen naar een ander adres, en dan is je wachtwoord en session afgevangen. Als je zeker weet dat dit niet het geval is. (dus door even een tracert te doen) (Misschien zelfs even je hostfiles) checken.

Originally, a hacker was someone who makes furniture with an axe.

maandag 14 november 2011 16:55

Acties:

0 Henk 'm!

Nico Klus

kishan4uall schreef op maandag 14 november 2011 @ 16:47:
Ik heb net even een paar keer in- en uitgelogd, echter kan ik nergens een verwijzing vinden naar dat plaatje van jou Nico... Als ik inlog staat er nergens even wachten..

Alle plaatjes bij het inloggen komen bij mij gewoon vanuit ing.nl

vreemd.
Ik heb het domain even in mijn host file naar 0.0.0.0 gezet.
Als ik nu inlog ktijg ik geen plaatje meer te zien alleen de tekst "U wordt doorgelinkt naar Mijn ING, even geduld aub... U wordt doorgelinkt naar Mijn ING, even geduld aub...
'); "
en dan verder niets meer. Ik kan alleen nog uitloggen.
ook die laatste karakters vind ik vreemd. Ik ga eens een andere PC proberen.

Aan dit bericht kunnen geen rechten ontleend worden.

maandag 14 november 2011 16:59

Acties:

0 Henk 'm!

kishan4uall

kiesjan mag ook

Ook net even gekeken naar de SSL traffic als ik in- en uitlog... in de inlogprocedure wordt bij mij de pagina met het plaatje niet opgehaald, alle traffic blijft bij de ing (145.221.*.*) -> mij

Zet anders even wireshark aan en kijk waar je heengestuurd wordt als je probeert in te loggen op mijn.ing.nl

desktop, laptop

maandag 14 november 2011 17:19

Acties:

0 Henk 'm!

Nico Klus

bedankt voor de tips. Net even van mijn andere PC geprobeerd en daar werkt het naar behoren. Krijg beetje raar gevoel over deze PC.
Ik zal nog even wat testjes doen (na het eten:) ) en anders een schone install er op.

Aan dit bericht kunnen geen rechten ontleend worden.

maandag 14 november 2011 17:23

Acties:

0 Henk 'm!

bitshape

japanse vechtvis

Nico Klus schreef op maandag 14 november 2011 @ 17:19:
bedankt voor de tips. Net even van mijn andere PC geprobeerd en daar werkt het naar behoren. Krijg beetje raar gevoel over deze PC.
Ik zal nog even wat testjes doen (na het eten:) ) en anders een schone install er op.

Verander iig zsm je wachtwoord van ING met de PC die wel goed werkt, je hebt waarschijnlijk Malware op je andere PC die je naar een Phising-site stuurt.

avatar redux
bit 2.0: i7-8700K - Z370 Apex - 32GB 3200c14 - Strix GTX1080 - Prime 850W - LSI 9207-8i - 22TB HDD - 5.5TB SSD

maandag 14 november 2011 20:28

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

En check ook even je proxy-instellingen. D'r is malware die een proxy instelt in je browser; alle sites worden gewoon geproxied, behalve ING. Die wordt onderschept om je inloggegevens en je TAN codes te bemachtigen

QnJhaGlld2FoaWV3YQ==

maandag 14 november 2011 23:26

Acties:

0 Henk 'm!

Jejking

It's teatime, doctor!

Biersteker schreef op maandag 14 november 2011 @ 16:52:
@ Nico, kijk even goed of je wel baas van je netwerk bent. Doe een tracert op een willekeurige site, als je niet in stap 1 verbinding maakt met je router, dan heb je waarschijnlijk een gast in je netwerk die aan het arp poisen is. En het is echt geen kunst om dan je DNS te spoofen en je door te sturen naar een ander adres, en dan is je wachtwoord en session afgevangen. Als je zeker weet dat dit niet het geval is. (dus door even een tracert te doen) (Misschien zelfs even je hostfiles) checken.

Zou je een paar stappen neer kunnen zetten om te beschrijven wat je moet doen, in lekentaal? Stel dat er meer zijn met dergelijke problemen, dan weten ze wat ze moeten doen

dinsdag 15 november 2011 09:51

Acties:

0 Henk 'm!

Anoniem: 432030

Hm.. Ik heb precies hetzelfde probleem als Nico Klus.
Bij mij gaat die ook niet verder en heb precies het zelfde plaatje en tekst

dinsdag 15 november 2011 14:08

Acties:

0 Henk 'm!

Anoniem: 158323

Ik had het vanmorgen ook. Even geduld....en de tijd aflopend vanaf 6.30

Heb dit wel afgebroken, dus niet gewacht tot een plaatje.

Heb een systeemherstel gedaan op de 13de en kan nu eer inloggen, heb wel gelijk wachtwoord gewijzigd.

Misschien werkt dit ook bij iemand anders

[ Voor 23% gewijzigd door Anoniem: 158323 op 15-11-2011 14:10 ]

dinsdag 15 november 2011 14:22

Acties:

0 Henk 'm!

bitshape

japanse vechtvis

Net ook even ingelogd, en het werkt bij mij gewoon normaal zoals het hoort te werken.

Dus check je PC op Malware, DNS instellingen van PC en Router & de evt ingestelde Proxy's.

avatar redux
bit 2.0: i7-8700K - Z370 Apex - 32GB 3200c14 - Strix GTX1080 - Prime 850W - LSI 9207-8i - 22TB HDD - 5.5TB SSD

dinsdag 15 november 2011 15:12

Acties:

0 Henk 'm!

denheer

Ook ik had hier vandaag last van, dat je eindeloos leek te wachten met een plaatje van https://nl.ibloxs.com/files/images/loading2.gif.

Bij nader onderzoek bleek er malware op mijn PC te staan:
C:\Documents and Settings\<windows gebruikernaam>\Application Data\Baune\hapy.exe

Via FCleaner van de ING (eigenlijk Fox-IT) heb ik deze verwijderd: https://www.ing.nl/partic...kieren/cleaner/index.aspx

Ik heb daarnaast ook via een andere PC mijn wachtwoord voor de ING veranderd (wat overigens niet werkte in Chrome waardoor ik IE moest gebruiken!

)

EDIT: Extra loginfo van FCleaner:
[15-11-2011 15:01:23] FCleaner v1.5.0.0 Loading...
[15-11-2011 15:01:24] Zeus Infection Found: C:\Documents and Settings\<windows gebruikernaam>\Application Data\Baune
[15-11-2011 15:01:24] FCleaner has detected malware on your system!
[15-11-2011 15:01:24] Please press the "Clean" button to remove the malware
[15-11-2011 15:01:44] Component marked for removal: C:\Documents and Settings\<windows gebruikernaam>\Application Data\Baune\hapy.exe
[15-11-2011 15:01:44] Component marked for removal: C:\Documents and Settings\<windows gebruikernaam>\Application Data\Baune
-------------------------------
C:\Documents and Settings\dennis.heeringa\Application Data\Baune\hapy.exe (Hash: 720F46F4D703DEF0AF014921DB2896C9)
-------------------------------
HKEY_CURRENT_USER\Software\Microsoft\Geleqy (Hash: 059A2DA386498FFE33FE0D47FC33CE53)
-------------------------------

EDIT2: Trend Micro OfficeScan 10.5.1083 herkende het hapy.exe bestand niet als malware!

[ Voor 50% gewijzigd door denheer op 15-11-2011 15:21 ]

dinsdag 15 november 2011 15:54

Acties:

0 Henk 'm!

KoenAlberts

Hi!

Vandaag heb ik ingelogd op mijn.ing (https:// / Verisigned certificaat actief). Eenmaal ingelod kreeg ik een melding dat er een profiel van mijn computer werd opgesteld i.v.m. het verbeteren van veiligheid etc. Vervolgens werd er mij om een bevestiging gevraagd d.m.v. een TAN-code. Alle alarmbellen gingen gelijk aan bij mij. Tevens stond er een bedrag van maar liefst enkele honderden euro's op het scherm van mijn telefoon (onder de tan-code). Gelijk contact opgenomen met ING, zij vertelde mij dat het een Trojan was en dat ik al was gedetecteerd door ING met een trojan/virus infectie?!?

Ik ben nog nooit zo'n "goede" trojan tegengekomen, weet iemand hier meer van?

Gr. Koen

dinsdag 15 november 2011 17:56

Acties:

0 Henk 'm!

Anoniem: 198824

Bij inloggen op ING via een iPad, vroeg hij om pasnummer, geldigheidsduur en geboortedatum, nog nooit eerder gehad. De website leek ok met slotje. Afgesloten en niet verder gegaan met de transactie.

dinsdag 15 november 2011 19:50

Acties:

0 Henk 'm!

Anoniem: 55140

Is dat met de ING app of met Safari?

dinsdag 15 november 2011 20:02

Acties:

0 Henk 'm!

Herko_ter_Horst

En niet onbelangrijk: jailbroken?

"Any sufficiently advanced technology is indistinguishable from magic."

dinsdag 15 november 2011 20:04

Acties:

0 Henk 'm!

CyBeR

💩

Toevallig met de mobiele ING app gespeeld? Dat is namelijk exact de informatie die je aan ING moet geven om die app te activeren.

Wat dus ook meteen in kan houden dat iemand die info probeert te krijgen om dat te doen maar dan met jouw rekening. Eenmaal geactiveerd (die gegevens + tan-code nodig) kun je namelijk zonder tan-code betalingen uitvoeren. Wel met een pincode voor de app natuurlijk. (TAN-code zou vrij kansloos zijn aangezien die 90% van de tijd naar hetzelfde apparaat gestuurd zou worden.)

[ Voor 34% gewijzigd door CyBeR op 15-11-2011 20:08 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 16 november 2011 21:02

Acties:

0 Henk 'm!

Anoniem: 198824

Dit was gewoon met Safari en de iPad is NIET jailbroken...

zaterdag 19 november 2011 15:29

Acties:

0 Henk 'm!

Anoniem: 340068

PCLinuxOS met firefox 8, geen vreemde dingen..
Werken wel nog steeds met CaseUnsensitive paswoorden

zaterdag 19 november 2011 15:33

Acties:

0 Henk 'm!

RaZ

Funky Cold Medina

Ik moest vorie week m'n wachtwoord bij ING weer eens wijzigen. En dat is gewoon wel CaseSensitive.. Ik gebruik namelijk hoofdletters en kleine letters, en als ik de hoofdletters in lowercase tik, kan ik niet inloggen. Dus is gewoon wel hoofdletter-gevoelig.

Denk dat het misschien pas na een wachtwoord-wijziging werkt..

Ey!! Macarena \o/

zaterdag 19 november 2011 20:03

Acties:

0 Henk 'm!

Anoniem: 340068

RaZ schreef op zaterdag 19 november 2011 @ 15:33:
Ik moest vorie week m'n wachtwoord bij ING weer eens wijzigen. En dat is gewoon wel CaseSensitive.. Ik gebruik namelijk hoofdletters en kleine letters, en als ik de hoofdletters in lowercase tik, kan ik niet inloggen. Dus is gewoon wel hoofdletter-gevoelig.

Denk dat het misschien pas na een wachtwoord-wijziging werkt..

TY zal het gelijk proberen.. SUPER!

edit: Je hebt gelijk! dank je wel nog.. !

[ Voor 4% gewijzigd door Anoniem: 340068 op 19-11-2011 20:05 ]

Onderwerpen