Check alle Black Friday tech-deals. Smartphones Tablets Smartwatches Televisies Laptops Monitors Hoofdtelefoons Oordopjes Games Consoles Soundbars Robotstofzuigers
Check alle Black Friday tech-deals. Smartphones Tablets Smartwatches Televisies Laptops Monitors Hoofdtelefoons Oordopjes Games Consoles Soundbars Robotstofzuigers

dinsdag 21 februari 2012 13:32

Acties:
  • rolandverh
  • Registratie: Mei 2007
  • Laatst online: 02-02-2021

rolandverh

Topicstarter
Zojuist laat NIBC Direct (Internet spaarbank) per email weten dat ze een nieuw systeem introduceren. Op zich niets bijzonders maar;

In de mail staat onder andere:
....
"Het verbeterde internetsparen en onze nieuwe voorwaarden zijn per 27 februari van kracht. In het kort:
• TAN-codelijst verdwijnt. Transacties bevestigt u voortaan met uw wachtwoord. Ongewijzigd: U kunt alleen geld opnemen via uw geregistreerde tegenrekening!
• Wachtwoord vergeten? Regel snel online een nieuw wachtwoord
...."

Hoewel gebruik van TAN-code lijsten onhandig is, wordt beveiliging behoorlijk minder. Er is geen tweede verificatie meer. Verificatie van een betaalopdracht gaat met hetzelfde wachtwoord als het binnenkomen.
Via de website kan een nieuw wachtwoord aangevraagd worden (speciaal linkje), waarna een tijdelijk wachtwoord per email gestuurd wordt. (eenmalig kortdurend wachtwoord).

Eigenlijk hangt de beveiliging af van de beveiliging van mijn Email.

Het aanvragen van een nieuw wachtwoord gaat na verificatie van geboortedatum, postcode en gebruikersnaam van de rekeninghouder. Ik denk dat die gegevens allemaal eenvoudig te achterhalen zijn. Sterker, die gegevens staan gewoon in de email die mij gestuurd was bij het aanvragen van de rekening.
De procedure om de tegenrekening aan te (laten) passen is mij nog niet bekend, daarover heb al vragen gesteld bij de bank.

Volgens mij is deze methode een stuk minder veilig.

Reacties van forumleden als: "Dan moet je je email opruimen" en "Je wachtwoord van je email moet je niet te eenvoudig maken" zijn allemaal waar, maar bij 10.000 rekeninghouders is de kans op 'raak' al vrij groot.

dinsdag 21 februari 2012 13:48

Acties:
  • Woy
  • Registratie: April 2000
  • Niet online

Woy

Moderator Devschuur®
De belangrijkste beveiliging is natuurlijk dat je alleen naar de opgegeven tegenrekening kunt overschrijven, dus het is niet mogelijk om het geld op deze manier te stelen. Ik neem aan dat het wijzigen van de tegenrekening niet zomaar mogelijk is.

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”

dinsdag 21 februari 2012 14:24

Acties:
  • naitsoezn
  • Registratie: December 2002
  • Niet online

naitsoezn

Nait Soez'n!

Alleen geld kunnen overmaken naar een vastgelegde tegenrekening is m.i. veilig genoeg (mits de tegenrekening niet zomaar verandert kan worden natuurlijk). Welke veiligheidsrisico's zie je nu nog op de weg dan?

[ Voor 15% gewijzigd door naitsoezn op 21-02-2012 14:24 ]

't Het nog nooit, nog nooit zo donker west, of 't wer altied wel weer licht

dinsdag 21 februari 2012 14:36

Acties:
  • Sissors
  • Registratie: Mei 2005
  • Niet online

Sissors

Zowel ATB als LeasePlan hebben dat ook als enige beveiliging. Voor een normale rekening volstrekt onvoldoende (en nog steeds enige wat paypal heeft), maar voor een spaarrekening die enkel naar je eigen tegenrekening kan overboeken lijkt het mij goed genoeg. Uiteraard kan je je tegenrekening niet zomaar wijzigen.

De procedure om je tegenrekening te wijzigen staat ook gewoon op hun site:
https://www.nibcdirect.nl...ig-ik-mijn-tegenrekening/

dinsdag 21 februari 2012 16:45

Acties:
  • Macros
  • Registratie: Februari 2000
  • Laatst online: 29-10 20:56

Macros

I'm watching...

Een kopie van een schermafbeelding is natuurlijk zeer makkelijk te vervalsen. Kopie van een identifactiebewijs is ook wel te regelen, maar een iets moeilijker, zeker als ze al een kopie van je hebben.

"Beauty is the ultimate defence against complexity." David Gelernter

dinsdag 21 februari 2012 17:21

Acties:
  • naitsoezn
  • Registratie: December 2002
  • Niet online

naitsoezn

Nait Soez'n!

Macros schreef op dinsdag 21 februari 2012 @ 16:45:
Een kopie van een schermafbeelding is natuurlijk zeer makkelijk te vervalsen. Kopie van een identifactiebewijs is ook wel te regelen, maar een iets moeilijker, zeker als ze al een kopie van je hebben.
Maar jah, met een kopie identiteitsbewijs zijn de TAN-codes ook niet meer veilig... Eigenlijk ben je dan gewoon de sjaak, als kwaadwillenden je identiteitsbewijs hebben, daar is geen elektronisch systeem tegen opgewassen. :z

't Het nog nooit, nog nooit zo donker west, of 't wer altied wel weer licht

dinsdag 21 februari 2012 22:53

Acties:
  • xxxMaverick
  • Registratie: December 1999
  • Laatst online: 17-11 08:01

xxxMaverick

Ik zie het probleem niet. Rekeningnummer van tegenrekening is belangrijkste beveiliging....

Natuurlijke is fraude altijd mogelijk maar dat was het vroeger ook met overschrijvingsformulieren en vervalsen handtekening

woensdag 22 februari 2012 11:34

Acties:
  • rolandverh
  • Registratie: Mei 2007
  • Laatst online: 02-02-2021

rolandverh

Topicstarter
Het risico;
Ik skim het bankpasje van mijn slachtoffer (wordt aan de lopende band gedaan)
Achterhaal de gegevens van betreffende spaarrekening
Pas het wachtwoord aan via de bestaande procedure
Stort een flink bedrag terug op de 'eigen' betaalrekening
Zorg dat het heel snel opgenomen wordt via de gescimde pas

Mijn zorg;
Er is een belangrijke tweede validatie weg gehaald
Hoewel mijn geld alleen naar een vaste tegenrekening kan worden gestort, kan dat wel gestolen worden
Als iemand mijn gewone betaalrekening weet leeg te roven, is het risico beperkt tot het bedrag dat er op staat
Als iemand ook mijn spaarrekening weet leeg te halen, heb ik een veel groter verlies

De 'mogelijke winst' is voor 'dieven' veel groter, dus zullen ze meer moeite doen om het te bereiken.

Ik heb de procedure voor het aanpassen van de tegenrekening nog een keer gelezen, maar dat is dus allemaal wel te vervalsen;
schermafdruk: geen probleem
TAN-code: komt te vervallen
Handtekening: geen probleem

[ Voor 12% gewijzigd door rolandverh op 22-02-2012 11:38 ]

woensdag 22 februari 2012 11:53

Acties:
  • naitsoezn
  • Registratie: December 2002
  • Niet online

naitsoezn

Nait Soez'n!

rolandverh schreef op woensdag 22 februari 2012 @ 11:34:
Het risico;
Ik skim het bankpasje van mijn slachtoffer (wordt aan de lopende band gedaan)
Achterhaal de gegevens van betreffende spaarrekening
Pas het wachtwoord aan via de bestaande procedure
Stort een flink bedrag terug op de 'eigen' betaalrekening
Zorg dat het heel snel opgenomen wordt via de gescimde pas
Ik mis even de stap van geskimde bankpas naar username/password/e-mail (die zijn normaal gesproken niet op een triviale manier met elkaar te linken)? Je gaat er wel erg makkelijk vanuit dat deze gegevens gewoon op straat liggen...
Mijn zorg;
Er is een belangrijke tweede validatie weg gehaald
Nee, er is een derde / vierde (overbodig) laag weggehaald. Normaal gesproken zijn je internet-account en je bankpas strikt gescheiden. Dit zijn al twee lagen. Daarnaast heb je als skimmer dus niet alleen de inlog-naam van de spaarrekening te achterhalen (naast de vraag of er er überhaupt een spaarrekening gekoppeld is aan de geskimde bankpas), maar ook het wachtwoord (moet je het email-adres weer gaan achterhalen enzo). En dit moet je allemaal doen zonder getraceerd te worden...
Ik heb de procedure voor het aanpassen van de tegenrekening nog een keer gelezen, maar dat is dus allemaal wel te vervalsen;
schermafdruk: geen probleem
TAN-code: komt te vervallen
Handtekening: geen probleem
Je hebt handtekening en een identiteitsbewijs nodig. Op het moment dat kwaadwillenden jouw identiteitsbewijs hebben, heb je een veel groter probleem. Dan hebben ze echt geen TANcodes meer nodig om geld te verdienen op jou kosten hoor....

't Het nog nooit, nog nooit zo donker west, of 't wer altied wel weer licht

woensdag 22 februari 2012 11:55

Acties:
  • Sissors
  • Registratie: Mei 2005
  • Niet online

Sissors

En een kopie van je ID vergeet je nu maar gewoon voor het gemak?

Maar behalve dat skimmen niet bepaald aan de lopende band gebeurd tegenwoordig, hoe precies verwacht je dat ze de gegevens van je spaarrekening achterhalen? Dan moeten ze je skimmen, en een behoorlijk virus op je computer hebben, en de connectie leggen tussen de twee. En zelfs als ze dat hebben zit je alsnog aan je opname limiet (en wordt het normaal door banken vergoed).

En gezien dat er een opname limiet is, plus dat heel veel mensen op zijn minst met normale bereik van hun betaalrekening al dicht bij dat limiet kunnen komen (hetzij doordat ze 1000+ op hun betaalrekening hebben staan, of omdat ze 1000 euro rood kunnen staan), schiet het helemaal niks voor ze op.

En ja met ID + handtekening + rekeningnummers kunnen ze tegenrekening wijzigen. Met die gegevens kunnen ze ook elke niet-internet spaarrekening direct plunderen.

woensdag 22 februari 2012 12:23

Acties:
  • rolandverh
  • Registratie: Mei 2007
  • Laatst online: 02-02-2021

rolandverh

Topicstarter
Zoals ik in de aanhef van deze post aangeef;
De email is dan al lang 'open', daar beginnen we mee.
Mijn slachtoffer heeft in zijn email nog steeds de validatie berichten van de bank staan en die gegevens zijn dan te achterhalen.
Vervolgens maak ik een nieuw wachtwoord volgens de procedure voor het aanvragen van een wachtwoord. Dat is bij mijn slachtoffer niet zichtbaar totdat hij een keer aanmeldt. En ik zorg dat uit die gekraakte email meteen dat wachtwoord weer weg haal.
Dan pas ik de tegenrekening aan; in principe is het niet moeilijk om een kopie van een id te maken, danwel een vervalst id te maken.Ik hoef namelijk alleen maar een schermafdruk en een kopie op te sturen. Echtheidskenmerken gaan in een kopie verloren.

Natuurlijk is het allemaal niet eenvoudig en moet je een aantal stappen doorlopen om het gedaan te krijgen, maar het is te doen.
Het enige wat ik echt nodig heb, is het wachtwoord van de email van mijn slachtoffer. De rest staat daar allemaal in, of valt te vervalsen.

Omdat de potentiële winst van een geslaagde 'roof' zo groot is, zal een fraudeur meer moeite doen.
Uiteraard lijkt het allemaal veilig, maar is sterk afhankelijk van de beveiliging van email en een paar documenten. Beveiliging van betaalsystemen moet niet afhankelijk zijn van de moeite die je moet doen om gegevens te achterhalen. 'De waarschijnlijkheid van ...' en 'als ze een id hebben dan heb je meer problemen' ... enz. is geen beveiliging maar slechts een vertraging.

woensdag 22 februari 2012 13:08

Acties:
  • Sissors
  • Registratie: Mei 2005
  • Niet online

Sissors

Het probleem is dat je twee dingen door elkaar aan het vertellen bent...


Nu hebben we het weer over tegenrekening wijzigen, het hele detail dat jij mist is dat als jij iemands handtekening + kopie ID hebt je al een hele hoop kan doen op niet-internet spaarrekeningen. Nu moet je ook nog het wachtwoord van je email adres hebben en dan kunnen ze het wachtwoord van je spaarrekening resetten, een kopie van je ID bewijs achterhalen, je handtekening achterhalen, en dan kunnen ze je spaarrekening leeghalen.

Maar bedenk nu eens wat je nodig hebt om een gewone rekening te plunderen? Exact, niks meer. Sterker nog, minder. ING spaarrekening kan je met enkel handtekening + alle nummers enzo opheffen, overschrijvingsformulier is enkel handtekening.

[ Voor 10% gewijzigd door Sissors op 22-02-2012 13:13 ]

woensdag 22 februari 2012 13:21

Acties:
  • naitsoezn
  • Registratie: December 2002
  • Niet online

naitsoezn

Nait Soez'n!

Volgens mij denk je ook echt te licht over een kopie ID. Voor het vervalsen heb je echt wel wat meer gegevens nodig dan geboortedatum en volledige namen hoor. Weet jij bijvoorbeeld het documentnummer van je potentiële slachtoffer? Of de datum waarop het document is aangevraagd / verloopt? En heb jij precies de juiste pasfoto die ook op het document staat wat bij de bank geregistreerd is?

Buiten dit alles: je kunt overal beren op de weg zien, maar feit is dat niets 100 procent veilig is. Schijnveiligheid is echter misschien nog wel gevaarlijker dan 98 ipv 99 procent veiligheid, en schijnveiligheid is wat je m.i. creëert wanneer je als bank krampachtig aan TANcodes zou vasthouden.

't Het nog nooit, nog nooit zo donker west, of 't wer altied wel weer licht

woensdag 22 februari 2012 13:44

Acties:
  • rolandverh
  • Registratie: Mei 2007
  • Laatst online: 02-02-2021

rolandverh

Topicstarter
@Naitsoezn; Je hebt gelijk, het is bijna net zo eenvoudig als het leeghalen van een betaalrekening, maar de winst bij het leeghalen van een spaarrekening is veel groter (dus ook het verlies).
Een ID kan na verloop van tijd vervangen zijn voor een nieuw, de bank heeft daar geen origineel/kopie van.
100 procent veilig is natuurlijk niet mogelijk, dat snappen we allemaal, maar tegenwoordig een hele valideringsstap weg halen en niet vervangen voor bijvoorbeeld SMS of zo, is m.i. niet slim.
De schijnveiligheid zit hem nu juist in de validering met een enkelvoudig wachtwoord en per email.

woensdag 22 februari 2012 13:56

Acties:
  • naitsoezn
  • Registratie: December 2002
  • Niet online

naitsoezn

Nait Soez'n!

Je documentnummer, je sofinummer en je handtekening veranderen niet als je een nieuw id-bewijs krijgt, en dat zijn stuk voor stuk gegevens waar een willekeurig iemand niet zomaar aan hoort te kunnen komen.

Nou ja, wordt een beetje zinloze discussie met herhaling van zetten zo. Feit is gewoon dat de bank kiest voor de huidige manier van beveiligen en er absoluut geen belang bij heeft dat klanten massaal geplunderd worden. Als dit je niet aanstaat, dan zoek je toch een andere bank?

't Het nog nooit, nog nooit zo donker west, of 't wer altied wel weer licht

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq