Veilig internet bankieren op open wifi

Een fatsoenlijke bank app of site zou inderdaad netjes moeten werken. Dan moet je daar dan wel van uit gaan.

Probleem is dat als je www.rabobank.nl intypt op vakantie-wifi, een niet goed oplettende klant niet door heeft dat je dan op http://www.rabobank.nl (onversleuteld, ander IP via faudte DNS) komt die doorstuurt naar https://www.rab0bank.nl met mooi versleutel-slotje. Heel goed opletten is het devies: juiste domein? Juiste certificaat? Juiste uitgever? En dat gaat schoontante niet doen.

Als geen (vertrouwde) VPN, gebruik dan alleen de (echte) bank-app. Bij puur gebruik van de app zou je wellicht minder risico hebben, aangenomen dat de apps zelf checken of de servercertificaten kloppen. Maar ik zou het nooit proberen. Kans 1% dat je op faudt wifi zit en even later je al je geld kwijt bent maar dat vindt ik een te grote kans.

Als je binnen de EU blijft, kun je beter Wifi uitzetten en via roaming je bankzaken doen.
Voor een publieke Wifi hotspot kun je het beste een VPN verbinding gebruiken. Niet alleen voor bescherming van je bankgegevens.

Gebruik de app van je bank, en download die in Nederland alvast via de App Store of Play Store, gebruik liever géén website, ivm DNS spoofing of typosquatting en gebruik (indien je een wifi netwerk gebruikt) een VPN.

Een bank app is vaak veiliger dan een bank website op een PC, omdat er voor mobiele devices veel minder virussen/malware zijn en hiervan de (internet)configuratie en certificaten altijd wel op orde zijn

[ Voor 6% gewijzigd door ImNotnoa op 21-02-2020 12:26 ]

F_J_K schreef op vrijdag 21 februari 2020 @ 12:14:
Een fatsoenlijke bank app of site zou inderdaad netjes moeten werken. Dan moet je daar dan wel van uit gaan.

Probleem is dat als je www.rabobank.nl intypt op vakantie-wifi, een niet goed oplettende klant niet door heeft dat je dan op http://www.rabobank.nl (onversleuteld, ander IP via faudte DNS) komt die doorstuurt naar https://www.rab0bank.nl met mooi versleutel-slotje. Heel goed opletten is het devies: juiste domein? Juiste certificaat? Juiste uitgever? En dat gaat schoontante niet doen.

Als geen (vertrouwde) VPN, gebruik dan alleen de (echte) bank-app. Bij puur gebruik van de app zou je wellicht minder risico hebben, aangenomen dat de apps zelf checken of de servercertificaten kloppen. Maar ik zou het nooit proberen. Kans 1% dat je op faudt wifi zit en even later je al je geld kwijt bent maar dat vindt ik een te grote kans.

Dit is eigenlijk onmogelijk met HSTS. Alleen als je een browser gebruikt waarop je voor het eerst rabobank.nl intypt. Maar op je eigen telefoon/tablet/laptop zal HSTS ervoor zorgen dat rabobank.nl éérst naar https://rabobank.nl gaat voordat er uberhaupt een request naar buiten gaat. Dus je krijgt een certificate error nog vòòrdat je geredirect wordt. En hier kan je niet op doorklikken vanwege actieve HSTS.

Ik zie dat rabobank.nl alleen HSTS heeft, geen HSTS preloading. preloading had ervoor zou zorgen dat zelfs als je nooit eerder rabobank.nl zou intypen je zelfs dan eerst naar https://rabobank.nl zou gaan.

Typosquatting is een probleem, maar daar helpt een VPN niet tegen.

YannikE schreef op vrijdag 21 februari 2020 @ 12:06:
Hallo allemaal, vanmiddag kreeg ik de vraag van m'n schoontante als bankieren onderweg op je telefoon wel veilig genoeg is. Natuurlijk kan het prima via je data, maar je hoort ook altijd van die horror verhalen in VPN reclames dat "criminelen" je gegevens kunnen stelen als je het via openbare WiFi doet. Maar het lijkt me sterk dat de bank-app alle data niet encrypted doorstuurd. Is dat echt zo gevaarlijk om in je hotel of trein je bankgegevens te checken?

Ik zou nooit openbaar WiFi gebruiken. Je hebt vaak al 4G mobiele Data en dat werkt prima.

OnTracK schreef op vrijdag 21 februari 2020 @ 12:27:
[...]
Dit is eigenlijk onmogelijk met HSTS. Alleen als je een browser gebruikt waarop je voor het eerst rabobank.nl intypt. Maar op je eigen telefoon/tablet/laptop zal HSTS ervoor zorgen dat rabobank.nl éérst naar https://rabobank.nl gaat voordat er uberhaupt een request naar buiten gaat.

https://hstspreload.org/?domain=rabobank.nl (zonder www) zegt dat daar geen HSTS header is. Helpt dan niet bij malafide DNS (dus je komt nooit op 23.2.220.221). Ook heeft het een max age. (Van bijv ene halfjaar, maar toch). Voor tante-op-vakantie die normaliter vanaf de laptop of PC bankiert zou ik er dus niet van uit gaan dat het veilig is. Nog los van typosquatting.

Hackus schreef op vrijdag 21 februari 2020 @ 12:35:
[...]

Ik zou nooit openbaar WiFi gebruiken. Je hebt vaak al 4G mobiele Data en dat werkt prima.

Beetje duur buiten Europa. €2,50/MB telt aan. (Edit waarbij ik in buitenland dus een lokale sim neem, maar ook dat zal voor tante vast te hoog gegrepen zijn).

[ Voor 19% gewijzigd door F_J_K op 21-02-2020 12:45 ]

F_J_K schreef op vrijdag 21 februari 2020 @ 12:42:
[...]

https://hstspreload.org/?domain=rabobank.nl (zonder www) zegt dat daar geen HSTS header is. Helpt dan niet bij malafide DNS (dus je komt nooit op 23.2.220.221). Ook heeft het een max age. (Van bijv ene halfjaar, maar toch). Voor tante-op-vakantie die normaliter vanaf de laptop of PC bankiert zou ik er dus niet van uit gaan dat het veilig is. Nog los van typosquatting.

[...]

Beetje duur buiten Europa. €2,50/MB telt aan. (Edit waarbij ik in buitenland dus een lokale sim neem, maar ook dat zal voor tante vast te hoog gegrepen zijn).

Er is geen sprake van dit gebruik.

F_J_K schreef op vrijdag 21 februari 2020 @ 12:42:
[...]

https://hstspreload.org/?domain=rabobank.nl (zonder www) zegt dat daar geen HSTS header is. Helpt dan niet bij malafide DNS (dus je komt nooit op 23.2.220.221). Ook heeft het een max age. (Van bijv ene halfjaar, maar toch). Voor tante-op-vakantie die normaliter vanaf de laptop of PC bankiert zou ik er dus niet van uit gaan dat het veilig is. Nog los van typosquatting.

[...]

Beetje duur buiten Europa. €2,50/MB telt aan. (Edit waarbij ik in buitenland dus een lokale sim neem, maar ook dat zal voor tante vast te hoog gegrepen zijn).

Wow inderdaad, wat een kansloze bank is de Rabobank dan. Een half jaar max-age is vrij normaal. Maar banken horen gewoon verplicht HSTS en HSTS preloading op hun main domain te hebben.

Alles minder dan 1.5 jaar resulteert in geen-garantie voor de incidentele gebruiker. En dan nog niet. Ik blijf bij advies alleen de app te gebruiken.

En kansloos is iets overdreven Staat wel op www.

Waar iedereen aan voorbij lijkt te schieten: als ze de mobiel bankieren app gebruikt is het per definitie veiliger. Natuurlijk gaat die data versleuteld over de lijn (TLS), echter heeft mobiel bankieren een voordeel wat de browser niet heeft: certificate pinning.