ING SMS-TAN onveilig? - Privacy en beveiliging

zondag 25 december 2016 10:07

Acties:

0 Henk 'm!

Topicstarter

Een bitcoin miljonair is gehackt en al zijn bitcoins kwijt. http://www.rtlz.nl/tech/b...er-telefoonnummer-overnam.

ING maakt ook gebruik van een SMS-TAN code. Dus in theorie kan zoiets ook bij de ING gebeuren.
Stel dat iemand een ING rekening heeft en tevens ergens anders een online spaar en/of beleggingsrekening heeft. En stel dat op de pc van deze persoon een keylogger is geinstalleerd, dan zou dus in theorie de hacker overal in kunnen loggen. Daarnaast kan de hacker dan een nieuwe simkaart bestellen bij provider X en een aanvraag voor nummerbehoud van het huidige nummer (van de te hacken persoon) van provider Y.
Als hij dan inlogt bij provider Y kan hij online de simkaart opzeggen.
Hierna al het geld van de spaar en/of beleggingsrekening overboeken naar de ING rekening en vanuit de ING rekening ergens anders naar toe.....

[ Voor 9% gewijzigd door phantom09 op 25-12-2016 10:08 ]

zondag 25 december 2016 10:30

Acties:

0 Henk 'm!

Ernemmer

Klopt, maar je kan dan altijd naar de ING gaan en je verhaal doen en aangifte doen en zo je geld terugkrijgen.
Bij Bitcoins gaat dat allemaal iets moeilijker.

[ Voor 61% gewijzigd door Ernemmer op 25-12-2016 10:34 ]

zondag 25 december 2016 10:38

Acties:

0 Henk 'm!

TommieW

Numa numa.

De ING is langzaamaan ook aan het overgaan naar goedkeuren van betalingen via de app. Ik heb geen idee wat er gebeurt als je geen toegang hebt tot de app (mogelijk kan je dan weer terugvallen op SMS).

Persoonlijk heb ik een sterke voorkeur voor TAN codes in plaats van een onhandig kastje die je continu mee moet slepen.

Daarnaast is dit niet nieuw. Diverse YouTubers hebben de toegang tot hun accounts verloren ondanks dat ze two factor authentication aan hadden. Op een vergelijkbare manier is dit bij hun ook gebeurd.

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 13 Pro Max - Macbook Pro 16" M1 Pro

zondag 25 december 2016 10:40

Acties:

0 Henk 'm!

Thralas

In theorie kan dat ja.

ING houdt wel degelijk enigzins rekening met dit scenario: https://www.ing.nl/12uur

Vergeet niet, risicoinschattingen maken is ongeveer de core business van een bank

Ik mag hopen dat er wel een alarmbelletje afgaat als iemand eerst van SIM wisselt en vlak daarna z'n gehele banksaldo overmaakt naar een onbekende tegenrekening.

Stel dat het toch gebeurt, dan is de aansprakelijkheidsvraag wel interessant. Je PC was besmet met malware (eigen schuld), maar het verlies van je telefoonnummer is je lastiger aan te rekenen. Lijkt me dat het scenario dusdanig uniek is dat het gewoon uit het potje 'ingecalculeerd veiligheidsrisico' komt bij de ING

Desalniettemin een goede reminder dat als iemand het specifiek op jou gemunt heeft, al je online accounts al snel niet meer van jou zijn. Plan ahead, bijvoorbeeld door (in geval van je Bitcoins) deze offline te bewaren - niet 'in de cloud' (zoals het artikel suggereert).

zondag 25 december 2016 14:02

Acties:

0 Henk 'm!

jan99999

Ander manier van werken is misschien beter, als je maar op 1 plaats(pc/laptop) wilt internet bankieren.
Oude pc/laptop(of gebruikte kopen),
dan hd leegmaken, MBR wissen en formateren,
gratis linux installeren,
en je bent behoorlijk veilig.
Als je gaat internet bankieren,
dan eerst booten, software updaten(bij linux worden alle programma's geupdate tav veiligheid),
dan internet bankieren,
dan pc uitzetten.
Pc staat dus bijna nooit aan, lekker veilig.
Dus nooit andere websites bezoeken,
nooit andere software installeren,
dus kans dat er iets gebeurd is dus bijna 0,
en nog een voordeel voor mensen die niks weten van pc's, je hoeft alleen maar bovenstaande te doen en je bent veilig.

Windows pc waar van alles geïnstalleerd is, zeer veilig?
Wie doet, pc booten(windows) internet bankieren, en wie van windows gebruikers doet eerst handmatig updaten, niemand dus.
Veel websites bezoeken, is ook veilig.
Telefoons die niet geupdate zijn, en dan met een app internet bankieren, zeer leuk.
Kastje van abn om te internet bankieren, deze is voor iedereen hetzelfde, maar er bestaan ook kastjes die voor elke gebruiker anders zijn, waarom doen ze(bank) dit niet.
Etc.

Dus zoals boven uitgelegd, zeer eenvoudig en zeer veilig, dus voor iedereen geschikt.

Je hebt ook nog sata switch waar je 4 hd's in een pc kunt hangen,
om bijv
1. internet bankieren apart te houden
2. aandelen handelen op aparte hd
3. gewoon pc gebruik.
4. betalingen doen voor winkels
5. bitcoin apart.

Lekker alles apart.
En alles apart, geld zeer zeker voor bitcoin,
als je dit doet op een pc waar je alles op doet dan ben je niet normaal

zondag 25 december 2016 15:02

Acties:

0 Henk 'm!

Rukapul

Bij een standaard ING rekening is de digitale dief wel even bezig want er geldt een dag maximum van 50k per dag.

Maar inderdaad is de effectieve veiligheid bij banken best beroerd. Bij ING kunnen TAN codes via SMS op de smartphone nauwelijks nog als out-of-band worden beschouwd en dat is nog los van de onveilige procedure voor een wachtwoordreset. Bij Rabo zit je er mee dat het geheim en token dat voor kleine transacties gebruikt wordt (pinbetalingen) ook voldoende zijn voor grote transacties.

De echte veiligheid berust inmiddels op het onderscheppen en compenseren door de banken zelf. Dat laatste gaat echter verre van vrijwillig zoals de skimmingepisode begin deze eeuw maar ook de 2-staps plundering het afgelopen jaar van iemands Rabo spaarrekening waarbij de bank ondanks het evidente systeemrisico niet wilde terugbetalen hebben aangetoond.

Je doet er altijd goed aan om enige mate van defense in depth toe te passen door spreiding, vaste tegenrekeningen, etc.

zondag 25 december 2016 16:08

Acties:

0 Henk 'm!

phantom09

Topicstarter

Thralas schreef op zondag 25 december 2016 @ 10:40:

ING houdt wel degelijk enigzins rekening met dit scenario: https://www.ing.nl/12uur

Vergeet niet, risicoinschattingen maken is ongeveer de core business van een bank

Ik mag hopen dat er wel een alarmbelletje afgaat als iemand eerst van SIM wisselt en vlak daarna z'n gehele banksaldo overmaakt naar een onbekende tegenrekening.

Stel dat het toch gebeurt, dan is de aansprakelijkheidsvraag wel interessant. Je PC was besmet met malware (eigen schuld), maar het verlies van je telefoonnummer is je lastiger aan te rekenen. Lijkt me dat het scenario dusdanig uniek is dat het gewoon uit het potje 'ingecalculeerd veiligheidsrisico' komt bij de ING

Ik vraag mij af hoe de ING bank weet dat ik een nieuw mobiel gebruik (overzetten sim van mobiel 1 naar mobiel 2). En ook wanneer ik een andere simkaart heb. Hoe ziet de ING dat technisch?
Vroeger zat ik bij de Postbank en hier kreeg ik dacht ik 100 TAN codes op een brief. Achteraf gezien is dit dus veiliger dan via SMS. De dief zal niet alleen een keylogger op mijn pc moeten installeren maar ook fysiek de brief moeten zien te bemachtigen.

In het fictieve voorbeeld wil de hacker inloggen op mijn online spaarrekening van Bank B en dit overboeken naar de ING (zelfde tegenrekening). Vanuit ING gaat hij het dan overboeken naar een externe rekening (van de hacker zelf of een andere constructie waarbij vele rekeningen worden gebruikt).

Wat banken betreft, als het goed ik krijg ik het vergoed. Maar je weet nooit 100% zeker hoe ze reageren.
Ik ben geen miljonair, maar stel dat ik veel geld had en ze alles naar mijn ING rekening zouden overboeken. En hierna dagelijks 50.000 naar een andere rekening voor een paar weken (stel ik ben op vakantie).
Ik ben bang dat ze niet makkelijk zijn om even een miljoen euro of meer te vergoeden.
Zouden ze een speciaal systeem hebben waarbij verdachte overboeking naar een controlkamer gaan?
Zoals dagelijks overboeking van grote bedragen of heel veel keine bedragen?

zondag 25 december 2016 16:17

Acties:

0 Henk 'm!

phantom09

Topicstarter

jan99999 schreef op zondag 25 december 2016 @ 14:02:
Ander manier van werken is misschien beter, als je maar op 1 plaats(pc/laptop) wilt internet bankieren.
Oude pc/laptop(of gebruikte kopen),
dan hd leegmaken, MBR wissen en formateren,
gratis linux installeren,
en je bent behoorlijk veilig.

Bedankt voor het idee. Ik ben echter een beetje lui en heb geen zin om linux op een pc te installeren.
Daarnaast wil ik de pc gewoon gebruiken met windows (en 1 harddisk). Ook daar is een mogelijkheid om rommel te voorkomen. Er zijn diverse live-bootcd's met linux erop. Standaard schone media (CDRW). Kans op infectie nihil gezien virussen voornamelijk voor MS software gemaakt is. Kans dat de CDRW aangepast wordt lijkt mij ook nihil.

Voor een windows pc kan je echter wel een aantal maatregelen nemen om de kans op besmetting/rommel zo klein mogelijk te maken:

-Gebruiker alleen gast rechten geven
-Antivirus installeren
-updates uitvoeren
-browser sandboxen (rommel blijft in de sandbox zitten en is weg na afsluiten browser)

Of je doet het nog beter en gebruikt APPlocker, RES powerfuse of wat anders. Alle niet gewhiteliste programma's (zoals een stiekeme keylogger) worden dan geblokkeerd.

zondag 25 december 2016 23:21

Acties:

0 Henk 'm!

Thralas

phantom09 schreef op zondag 25 december 2016 @ 16:08:
Ik vraag mij af hoe de ING bank weet dat ik een nieuw mobiel gebruik (overzetten sim van mobiel 1 naar mobiel 2). En ook wanneer ik een andere simkaart heb. Hoe ziet de ING dat technisch?

Die mutaties krijgen ze door van de providers. Dealtje gesloten.

Vroeger zat ik bij de Postbank en hier kreeg ik dacht ik 100 TAN codes op een brief. Achteraf gezien is dit dus veiliger dan via SMS. De dief zal niet alleen een keylogger op mijn pc moeten installeren maar ook fysiek de brief moeten zien te bemachtigen.

Dat valt ook te betwisten. ING heeft het niet voor niets afgeschaft; een willekeurig iemand via de telefoon overtuigen om z'n TAN-codes af te geven is vele malen gemakkelijker dan een mobiele telefoon infecteren met malware.

Bovendien kan men met telefonische TANs codes slechts een beperkte geldigheidsduur geven en informatie over de tegenrekening en het bedrag verstrekken. In het algemeen maakt dat het een stuk sterkere 2e factor dan een lijstje codes op papier.

Met papieren TANs duurt het allemaal enkel wat langer, maar de eerste de beste transactie die je doet gaat alsnog naar de crimineel. Alles dat je computer liet zien was niet te vertrouwen, en je tweede factor geeft geen informatie over de transactie ansich...

Internetbankieren is allemaal prima geregeld, of dat nu bij de ING (TAN) of andere bank is. Eenieder die anders beweert moet eens nagaan hoe de fraude tegenwoordig meestal plaatsvindt: mensen aardig vragen om hun pincode in te vullen en de bankpas op de post te doen is vele malen makkelijker dan aanklooien met malware die je op een Russisch forum gekocht hebt.

Ik ben overigens wel benieuwd naar harde cijfers, maar ik vermoed dat alleen de banken zelf daar een goed beeld van hebben.

maandag 26 december 2016 08:53

Acties:

0 Henk 'm!

Rukapul

Thralas schreef op zondag 25 december 2016 @ 23:21:
Internetbankieren is allemaal prima geregeld, of dat nu bij de ING (TAN) of andere bank is.

Nee hoor. Er zijn heel veel (rand)gevallen die helemaal niet prima zijn geregeld en waarbij zowel de technische maatregelen niet afdoende zijn en ook het residurisico rucksichtlos naar de klant verschoven wordt (tot de pijn in de media groot wordt en de 'coulance' stap volgt en als de pijn aanhoudt de regeling wordt aangepast.

Ook vandaag de dag kun je slachtoffer worden van http://www.at5.nl/artikel...t-slechts-een-kwart-terug . Je bent dus een idioot als je een fors bedrag op een Rabo betaal- of spaarrekening aanhoudt, want pas + PIN bemachtigen is voor geoefende criminelen appeltje-eitje.

Als je kijkt naar het verleden verloopt dit telkens volgens hetzelfde patroon. Dat is inclusief personen op fora die de geruststellende woorden en bezweringen van banken napraten (als je slachtoffer was van skimming dan was je toch wel erg dom en lag het aan je zelf, etc.) terwijl enige tijd daarop zowel de techniek als de schadeverdeling (max klein eigen risico) werd aangepast.

De reden dat systemen in elkaar zitten zoals het in elkaar zit is om kosten te minimaliseren en om het simpel te houden bij een redelijke mate van veiligheid. Het resterende risico wordt echter bij voorkeur bij de klant gelegd tenzij dat echt onvermijdelijk is waarbij die vermijdbaarheid typisch bepaald wordt door de perceptie en of men er weg mee kan komen.

E.e.a. is ook heel simpel te illustreren: bij elke bank moet de klant verplicht dagelijks/wekelijks/tweewekelijks inloggen om transacties te controleren als onderdeel van het securityproces. Onredelijk van begin tot eind.

[ Voor 36% gewijzigd door Rukapul op 26-12-2016 09:01 ]

maandag 26 december 2016 11:00

Acties:

0 Henk 'm!

phantom09

Topicstarter

Rukapul schreef op maandag 26 december 2016 @ 08:53:
[...]

E.e.a. is ook heel simpel te illustreren: bij elke bank moet de klant verplicht dagelijks/wekelijks/tweewekelijks inloggen om transacties te controleren als onderdeel van het securityproces. Onredelijk van begin tot eind.

Bij de ING moet je dacht ik minimaal 1 keer per 2 weken je bankrekening checken. Dat heeft trouwens geen zin, zelfs dagelijks niet. Het enige wat je voorkomt (als je het dagelijks checkt) is dat maximaal €50.000,- overgeboekt kan worden en je op tijd je rekening kan blokkeren voordat er nog meer geld weggeboekt wordt (als je meer geld hebt).

Ik heb het artikel gelezen over het meisje dat 50.000 euro kwijt is geraakt. Vele mensen bankieren bij 1 en dezelfde bank, c.q. hebben een bankrekening met hierbij een spaarrekening. Bij sommige banken kan je m.b.v je pinpas tevens geld van de spaarrekening halen (bij de ING dacht ik niet).
Spaargeld kan je het beste bij een andere (online) bank zetten. Zo maak je het dieven moeilijker om het geld te bemachtigen. Daarnaast is het bij de ING mogelijk om een limiet op je pinpas te zetten, bijvoorbeeld maximaal 100 euro bij de pinautomaat en in de winkel. Zo voorkom je dat dieven snel je rekening leegplunderen. Verder kan je contacloos betalen bij de ING ook blokkeren.
Om uitlezen van je pinpas te voorkomen kan je een speciale hoes kopen van metaal. Uitlezen is dan niet mogelijk.

Hier onder een gedeelte van de voorwaarden van de ING:

Aansprakelijkheid
• Als u veilig bankiert, vergoeden wij de schade volledig die
u lijdt door misbruik van Mijn ING. Wel mogen wij u bij
schade volgens de wet altijd een eigen risico tot
maximaal € 150,- in rekening brengen.
• Als de schade is ontstaan door fraude, opzet of grove
nalatigheid van uw kant, vergoeden wij de schade niet.

Banken zijn groot en hebben zekers een jurist in dienst. Als de ING (of een andere bank) vind dat jij niet correct gehandeld hebt, dan is de kans groot dat je het juridisch gevecht gaat verliezen.
Had dacht ik ooit iets op radar op tv gezien. Hier had een man die een bedrijf had zijn pc laten beveiligen door een kennis die een IT-bedrijf had. Ondanks dat dus een IT professional zijn systeem beveiligt heeft (geen idee meer hoe en wat hij heeft beveiligd) was de bank van mening dat hij niks vergoed kreeg.

[ Voor 19% gewijzigd door phantom09 op 26-12-2016 11:08 ]

maandag 26 december 2016 13:58

Acties:

0 Henk 'm!

jeanj

F5 keeps me alive

ten codes zijn zo veilig als de distributie en bewaar methode. Kennen jullie deze nog. Ik geloof er niet meer in.

Bij de rabo en knab kan je ook bij je spaargeld, vanuit je internet bankieren. Toch maar eens naar een andere bankrekening kijken

Everything is better with Bluetooth

maandag 26 december 2016 21:46

Acties:

0 Henk 'm!

Thralas

Rukapul schreef op maandag 26 december 2016 @ 08:53:
Ook vandaag de dag kun je slachtoffer worden van http://www.at5.nl/artikel...t-slechts-een-kwart-terug . Je bent dus een idioot als je een fors bedrag op een Rabo betaal- of spaarrekening aanhoudt, want pas + PIN bemachtigen is voor geoefende criminelen appeltje-eitje.

Ouch. Die had ik eigenlijk helemaal niet in acht genomen. Immers, bij de ING heb je een set credentials die je enkel online gebruikt.

Valt er misschien nog voor te ageren dat het probleem niet bij internetbankieren ansich ligt, maar het feit dat je gedwongen wordt dezelfde authenticatiemiddelen ook op straat te gebruiken. En dan ook nog eens zonder onderscheid tussen een parkeerkaartje (€ 2,40) of de gehele inhoud van je spaarrekening.

Je voorbeeld werkt dus eigenlijk ook nog eens in het voordeel van ING. Al die theoretische risico's van malware op een telefoon wegen niet echt op tegen het gemak waarmee je een pasje met pincode 'regelt', of dat nu via phishing+post gaat of bij een parkeerautomaat..

E.e.a. is ook heel simpel te illustreren: bij elke bank moet de klant verplicht dagelijks/wekelijks/tweewekelijks inloggen om transacties te controleren als onderdeel van het securityproces. Onredelijk van begin tot eind.

Regelmatig inloggen vind ik opzich niet eens zo'n heel gekke gedachte (in het algemeen), zij het niet dat je er niets mee opschiet qua preventie.

phantom09 schreef op maandag 26 december 2016 @ 11:00:
Verder kan je contacloos betalen bij de ING ook blokkeren.
Om uitlezen van je pinpas te voorkomen kan je een speciale hoes kopen van metaal. Uitlezen is dan niet mogelijk.

Met het risico dat ik nogmaals gecorrigeeerd word - dat vind ik dan weer een overtrokken risico. Contactloos 'uitlezen' levert je alleen het rekeningnummer op, geen kloon van de kaart. En een 'legitieme' betaalterminal regelen levert weinig op tov. de paper trail die het oplevert...

Het ironische van het contactloos betalen is juist dat het een soort van onderscheid maakt tussen 'laag' en 'hoog' risico betalingen. Bijkomend voordeel is dat je je pasje vasthoudt tijdens een contactloze betaling; de reden dat de truuk die Rukapul beschrijft juist vaak bij een parkeerautomaat plaatsvindt lijkt me omdat je het pasje daar makkelijker kunt omwisselen dan bij een geldautomaat..

Natuurlijk lost dat het geschetste probleem bij lange na niet op, maar het zou het afhandig maken van pasje+pincode door diefstal weer net iets lastiger maken.

zondag 10 juni 2018 01:48

Acties:

0 Henk 'm!

Mafketel

Blijf de tan codes via sms en bankieren op een ander apparaat veiliger vinden dan een app.....

Maar ja de ING gaat de tan codes afschaffen want

"81% vindt het direct makkelijk in gebruik en wil niet meer anders"

.... Ja dat is een goede reden om het maar onveiliger te maken....

zondag 10 juni 2018 02:33

Acties:

+1 Henk 'm!

Wannial

Mafketel schreef op zondag 10 juni 2018 @ 01:48:
Blijf de tan codes via sms en bankieren op een ander apparaat veiliger vinden dan een app.....

Maar ja de ING gaat de tan codes afschaffen want

[...]

.... Ja dat is een goede reden om het maar onveiliger te maken....

De ING is lekker bezig ja. Heel de online bankieren interface ook al op de schop genomen.
Ik kan niet zeggen dat ik er vrolijk van wordt...

zondag 10 juni 2018 08:35

Acties:

0 Henk 'm!

jeanj

F5 keeps me alive

Het nadeel van tan of 2fa op je telefoon, is dat het een connected devices is. Het kan op afstand worden gemanipuleerd.

Tan codes, een one time pad, is veilig, alleen de methode om ze te distribueren is onveilig.
De rabobank wil ook hun idetifier vervangen door een app
aan de ene kant goed, want sinds de random reader en de rabo scanner is de beveilig van je bankrekening geheel rond de pinpas en pincide gebaseerd (Dus als je die hebt, plus een genriek apparaat, plunder je zo de bankrekening leeg), aan de andere kant zie ik mijn telefoon als een onveilig apparaat. Ik laat hem wel een op het bureau liggen, plug hem in willekeure usb aansluitingen (om te laden), ik heb geen idee of de beveiliging op orde is, er staan diverse apps op, die zichzelf updaten (dus als is de initeel niet kwaadaardig, wie weet wat de toekomst brengt)

Nee, een los device, not connectd zou beter zijn, met een wachtwoord dat je alleen daarop gebruikt....

Everything is better with Bluetooth

zondag 10 juni 2018 08:42

Acties:

0 Henk 'm!

TommieW

Numa numa.

Mafketel schreef op zondag 10 juni 2018 @ 01:48:
Blijf de tan codes via sms en bankieren op een ander apparaat veiliger vinden dan een app.....

Zou je dit kunnen onderbouwen? Waarom denk je dit? Waarom zou een SMS veiliger zijn dan een app (uitgaande van hetzelfde toestel)?

Andere apps kunnen rechten krijgen om je SMS'jes te lezen. Bij een Android app zijn app is er meer afscherming, zo mogen er geen screenshots van gemaakt worden, wordt er gebruikgemakt van certificate pinning, etc. Gewoon blaten iets onveilig is zonder enige vorm van onderbouwing moet je niet doen.

En anders kan je altijd nog een oud mobieltje gebruiken als "dedicated ING apparaat". Dus alleen de ING app an niets meer.

offtopic:
Waarom kick je een topic van een half jaar oud?

[ Voor 8% gewijzigd door TommieW op 10-06-2018 08:42 ]

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 13 Pro Max - Macbook Pro 16" M1 Pro

zondag 10 juni 2018 08:43

Acties:

0 Henk 'm!

Ernemmer

jeanj schreef op zondag 10 juni 2018 @ 08:35:
Het nadeel van tan of 2fa op je telefoon, is dat het een connected devices is. Het kan op afstand worden gemanipuleerd.

Tan codes, een one time pad, is veilig, alleen de methode om ze te distribueren is onveilig.
De rabobank wil ook hun idetifier vervangen door een app
aan de ene kant goed, want sinds de random reader en de rabo scanner is de beveilig van je bankrekening geheel rond de pinpas en pincide gebaseerd (Dus als je die hebt, plus een genriek apparaat, plunder je zo de bankrekening leeg), aan de andere kant zie ik mijn telefoon als een onveilig apparaat. Ik laat hem wel een op het bureau liggen, plug hem in willekeure usb aansluitingen (om te laden), ik heb geen idee of de beveiliging op orde is, er staan diverse apps op, die zichzelf updaten (dus als is de initeel niet kwaadaardig, wie weet wat de toekomst brengt)

Nee, een los device, not connectd zou beter zijn, met een wachtwoord dat je alleen daarop gebruikt....

De ING gaat naast de app ook een andere manier geven voor bevestigen, ik ben benieuwd wat dat gaat worden. Voor mij mogen dat gewoon TAN codes via SMS blijven, volgens mij is dat best een veilig systeem.

zondag 10 juni 2018 15:29

Acties:

0 Henk 'm!

Gurd

Wat ik uit ervaring weet is dat als je een nieuwe simkaart in gebruik neemt voor het nummer dat je voor ING gebruikt je twee dagen geen betalingen kunt bevestigen.

Ik heb het mee gemaakt bij een overstap met nummerbehoud en bij een nieuwe simkaart bij het verlengen van m'n abonnement.

Tijdelijke blokkade TAN-functie bij simwissel

De ING en de telecomproviders hebben besloten samen te werken om
identiteitsfraude met simwissels te voorkomen.

Om te voorkomen dat criminelen kunnen frauderen met het ontvangen van
TAN-codes via SMS, informeren telecomproviders de ING als er een
simwissel heeft plaatsgevonden op een bepaald mobiel nummer. De
telecomproviders verstrekken aan de ING uitsluitend het ‘kale’ mobiele
nummer en het moment van de simwissel zonder overige informatie. De
juridische basis voor het verstrekken van de informatie is artikel 8 sub
f van de Wet Bescherming Persoonsgegevens.

Doordat de telecomproviders de ING informeren over simwissels, kan de
ING het voor deze klanten gedurende 48 uur onmogelijk maken om TAN-codes
te ontvangen. Op deze manier wordt mogelijk misbruik en schade als
gevolg daarvan voorkomen. Deze procedure is enkele maanden geleden in
gang gezet op verzoek van de ING. De ING gebruikt de informatie
uitsluitend voor het voorkomen van fraude en dus niet voor commerciële
doeleinden of anderszins. Op deze manier willen de telecomproviders en
de ING samen een bijdrage leveren aan het voorkomen van
identiteitsfraude via mobiele telefoons.

[ Voor 69% gewijzigd door Gurd op 10-06-2018 15:32 ]

zondag 10 juni 2018 17:10

Acties:

0 Henk 'm!

Mafketel

TommieW schreef op zondag 10 juni 2018 @ 08:42:
[...]

Zou je dit kunnen onderbouwen? Waarom denk je dit? Waarom zou een SMS veiliger zijn dan een app (uitgaande van hetzelfde toestel)?

de onderbouwing is simpel, separatie van fysieke data laag en apparaat. betekent meer lagen die gecomprimeerd moeten zijn voordat het een probleem wordt.
Vergeet niet dat de ing website om een opdracht te geven zeer lastig op een telefoon draait.

Op de computer(in ieder geval een ander apparaat dan de telefoon waar de sms op komt) geef je een opdracht aan de ing bank computer.
Deze verzend dan op een ander medium (sms) een code plus verificatie in de form van transactie nummer en bedrag naar je telefoon.

Je moet dus niet alleen de data in pc veranderen maar ook de sms onderscheppen veranderen en opnieuw versturen.
Een nieuwe sms sturen is niet zo moeilijk, het originele bericht ontvangen is niet heel erg moeilijk maar om het originele bericht niet op de telefoon van de opdrachtgever te laten verschijnen is erg lastig.

De app en de pc waar je de opdracht op maakt zijn via ip verbonden en meestal via hetzelfde netwerk dat geeft meer mogelijkheden voor onderschepping

Andere apps kunnen rechten krijgen om je SMS'jes te lezen.

de sms is niet vertrouwelijk maar een controle

dat de ing server het over dezelfde transactie heeft als de klant
een extra controle dat de opdrachtgever is wie zegt dat hij is.

Bij een Android app zijn app is er meer afscherming, zo mogen er geen screenshots van gemaakt worden, wordt er gebruikgemakt van certificate pinning, etc. Gewoon blaten iets onveilig is zonder enige vorm van onderbouwing moet je niet doen.

2 stappen verificatie op 2 verschillende apparaten over 2 verschillende communicatie kanalen is niet blaten, dat is redelijk geaccepteerd als veiliger dan alles op 1 apparaat over 1 medium.
En bedankt voor het compliment dat ik een schaap nadoe

dat had iets subtieler gekund.

En anders kan je altijd nog een oud mobieltje gebruiken als "dedicated ING apparaat". Dus alleen de ING app an niets meer.

ik zie niet waarom dit veiliger is. Het gaat erom dat er scheiding is. p.s. een dedicated ing apparaat is een gewillig object om gehackt te worden.

offtopic:
Waarom kick je een topic van een half jaar oud?

omdat het een een antwoord is op de vraag of sms-tan onveilig is en twee omdat dit een nieuwe stap van de ing is die het minder veilig maakt.

maandag 10 september 2018 08:12

Acties:

+2 Henk 'm!

dj.verhulst

ik kreeg een brief dat ik toch maar eens over moest gaan naar de app.

maar dat wil ik helemaal niet,, TAN is juist veilig omdat het los van internet is.
en android vaak te snel met update stopt, dat is pas onveilig ,,, nu weet ik wel dat men er meer aan doet dan 2 jaar geleden.

maar als mijn vrouw 4 maanden geleden een nieuw S7 koopt omdat die betaalbaar is en ze niet perse de nieuwste S9 wil die meer dan 2 x zo duur is en maar een beetje beter is in een aantal zaken..
maar Samsung kan zo maar over enkele maanden stoppen omdat het 2 generatie oud ding en ik van mening ben dat ze minstens 5 jaar na de laatste toestel verkocht is pas kunnen stoppen en nieuwe versie van android niet uitrollen terwijl ze best een hogere versie aan kunnen .

ik vraag me af wat dat alternatief zou zijn van ING,, want als het slecht is wil ik dat op tijd weten want dan wil ik een andere bank.

maar welke bank gebruikt nog TAN of een ander off van internet systeem met een app ??

niet gehindert door enige vorm van inzicht

maandag 10 september 2018 08:14

Acties:

0 Henk 'm!

Hahn

dj.verhulst schreef op maandag 10 september 2018 @ 08:12:
ik kreeg een brief dat ik toch maar eens over moest gaan naar de app.

maar dat wil ik helemaal niet,, TAN is juist veilig omdat het los van internet is.
en android vaak te snel met update stopt, dat is pas onveilig ,,, nu weet ik wel dat men er meer aan doet dan 2 jaar geleden.

maar als mijn vrouw 4 maanden geleden een nieuw S7 koopt omdat die betaalbaar is en ze niet perse de nieuwste S9 wil die meer dan 2 x zo duur is en maar een beetje beter is in een aantal zaken..
maar Samsung kan zo maar over enkele maanden stoppen omdat het 2 generatie oud ding en ik van mening ben dat ze minstens 5 jaar na de laatste toestel verkocht is pas kunnen stoppen en nieuwe versie van android niet uitrollen terwijl ze best een hogere versie aan kunnen .

ik vraag me af wat dat alternatief zou zijn van ING,, want als het slecht is wil ik dat op tijd weten want dan wil ik een andere bank.

maar welke bank gebruikt nog TAN of een ander off van internet systeem met een app ??

Waarom is TAN juist veilig 'omdat het los van het internet is'?

The devil is in the details.

maandag 10 september 2018 08:20

Acties:

0 Henk 'm!

jeroen3

De Rabobank gebruikt nu nog de Raboscanner.
nieuws: Rabobank begint dit jaar met uitfasering van Rabo Scanner

Het is onvermijdelijk dat je smartphone ooit betrokken raakt bij het internetbankieren, en het is aan de gebruiker om een up-to-date smartphone te bezitten.

Als je graag een telefoon wil die lang updates krijgt kun je naar Apple kijken, of een Tough-phone.
nieuws: Google begint keurmerk voor stevige smartphones die vijf jaar updates...

maandag 10 september 2018 08:24

Acties:

+1 Henk 'm!

OgWok

U.N.C.L.E.

Heb net een nieuwe TAN lijst op papier binnen. En daar wil ik ook mee doorgaan en niet afhankelijk zijn van een GSM. ING heeft ook voorzichtig aangegeven een oplossing te bedenken voor de klanten die geen GSM hebben.

MacPro Core i5 750, Mac Mini, hier en daar een verdwaalde pc.....

maandag 10 september 2018 08:30

Acties:

0 Henk 'm!

dj.verhulst

jeroen3 schreef op maandag 10 september 2018 @ 08:20:
De Rabobank gebruikt nu nog de Raboscanner.
nieuws: Rabobank begint dit jaar met uitfasering van Rabo Scanner

Het is onvermijdelijk dat je smartphone ooit betrokken raakt bij het internetbankieren, en het is aan de gebruiker om een up-to-date smartphone te bezitten.

Als je graag een telefoon wil die lang updates krijgt kun je naar Apple kijken, of een Tough-phone.
nieuws: Google begint keurmerk voor stevige smartphones die vijf jaar updates...

ik wil geen apple ,, die zijn veel te duur ,,, de voorwaarden staan me niet aan, en zij denken voor je , dat kan ik zelf veel beter ...

die rough dingen ,, hebben niet de hoge kwaliteit camera die ik graag wil ,

ze hebben besloten ,, heb net bij een online banken vergelijker gekeken maar vaak staat er niet bij hoe je online moet betalen ,, vaak alleen met een app.

ik gebruik met regelmaat Ideal ,,, vind dat acceptabel veilig ,, vind het gewoon een smerige klote streek dat omdat ze het allemaal lijken te doen je gewoon geen keuze heb... .

niet gehindert door enige vorm van inzicht

maandag 10 september 2018 08:35

Acties:

+1 Henk 'm!

OgWok

U.N.C.L.E.

Daar ben ik het ook mee eens. De manier van veranderen die ING gebruikt is nogal dwingend.
Je krijgt een paard verder met een suikerklontje dan met een stok. En dat snappen ze maar niet.
In de tijd van Girotel (Postbank) ging dat al net zo. (Bij de Postbank heette het aanloggen en niet inloggen

bv.)
Maar ja, met de huidige wit-was-rel zullen ze (ING) wel weer wat nederiger worden en dat is hard nodig.

[ Voor 18% gewijzigd door OgWok op 10-09-2018 09:23 ]

MacPro Core i5 750, Mac Mini, hier en daar een verdwaalde pc.....

maandag 10 september 2018 08:54

Acties:

0 Henk 'm!

jeroen3

dj.verhulst schreef op maandag 10 september 2018 @ 08:30:
[...]
ik wil geen apple ,, die zijn veel te duur ,,, de voorwaarden staan me niet aan, en zij denken voor je , dat kan ik zelf veel beter ...

Het langdurig ondersteunen van toestellen kost geld. Daarom zullen voornamelijk de duurdere toestellen langer worden ondersteund. Je kunt natuurlijk ook jaarlijks een nieuw goedkoop toestel kopen.

Heeft iemand hier een fraaie tabel van, zoals de ios support matrix, maar dan voor android toestellen?

[ Voor 15% gewijzigd door jeroen3 op 10-09-2018 08:55 ]

maandag 10 september 2018 13:44

Acties:

0 Henk 'm!

dj.verhulst

jeroen3 schreef op maandag 10 september 2018 @ 08:54:
[...]

Het langdurig ondersteunen van toestellen kost geld. Daarom zullen voornamelijk de duurdere toestellen langer worden ondersteund. Je kunt natuurlijk ook jaarlijks een nieuw goedkoop toestel kopen.

Heeft iemand hier een fraaie tabel van, zoals de ios support matrix, maar dan voor android toestellen?

als die mensen van XPA geweldige customs roms kunnen maken met relatie weinig middelen , dan is dat peanuts voor toko's als Samsung en LG en Sony etc....

en als je iedere 2 jaar 350,- uit geeft kan je net zo goed die dure 650 die dan 4 a 5 jaar mee kan, maar niet meer gesupport word..

hoorde van iemand die kwaad naar de ING gebeld had dat het alternatief een kastje was waar je bankpas in moest,, lijkt op rabo die net daar weer vanaf willen....
als dat niet te veel kost en verder gewoon werkt zou ik ermee kunnen leven.

niet gehindert door enige vorm van inzicht

dinsdag 11 september 2018 07:17

Acties:

0 Henk 'm!

OgWok

U.N.C.L.E.

Snap ook niet goed waarom je weer een app moet installeren voor de TAN codes. Er wordt toch door ING een SMS gestuurd waar de TAN code in staat..... of heb ik het verkeerd begrepen?

MacPro Core i5 750, Mac Mini, hier en daar een verdwaalde pc.....

woensdag 12 september 2018 12:13

Acties:

0 Henk 'm!

jeanj

F5 keeps me alive

OgWok schreef op dinsdag 11 september 2018 @ 07:17:
Snap ook niet goed waarom je weer een app moet installeren voor de TAN codes. Er wordt toch door ING een SMS gestuurd waar de TAN code in staat..... of heb ik het verkeerd begrepen?

Omdat sms ook niet echt veilig is... Of een app beter is, dat is een andere vraag

Zoals ik al eerder zei

jeanj schreef op zondag 10 juni 2018 @ 08:35:
...
Tan codes, een one time pad, is veilig, alleen de methode om ze te distribueren is onveilig.
...

Everything is better with Bluetooth

woensdag 12 september 2018 14:01

Acties:

+1 Henk 'm!

OgWok

U.N.C.L.E.

jeanj schreef op woensdag 12 september 2018 @ 12:13:
[...]

Omdat sms ook niet echt veilig is... Of een app beter is, dat is een andere vraag

[...]

Heb ook het vermoeden, dat de app onderdeel is van een "verdienmodel"......

MacPro Core i5 750, Mac Mini, hier en daar een verdwaalde pc.....

donderdag 13 september 2018 10:55

Acties:

0 Henk 'm!

dj.verhulst

jeanj schreef op woensdag 12 september 2018 @ 12:13:
[...]

Omdat sms ook niet echt veilig is... Of een app beter is, dat is een andere vraag

Zoals ik al eerder zei

[...]

alles kan gekraakt worden , maar SMS gaat niet via data internet verkeer.
en met een encryptie functie is dat ook wel op te lossen ,, de provider weet immers de unieke code van de sim daar is echt wel iets mee te doen.

en die apps blijven kwetsbaar als je een verouderde telefoon heb OS, en de app zelf en omdat je via internet werkt of hij moet een exclusieve vpn gebruiken

niet gehindert door enige vorm van inzicht

Pagina: 1

Reageer