Internetbankieren: kan het (nog) veiliger?

@Verwijderd naast ouderen zijn ook jongeren de pineut hoor.
Lees maar eens over die 18 jarige die door twee personen is opgelicht door een ING QR code te scannen...

Kan bankieren veilig? Ja dat kan.
Wil men dat? Nee, zelfs pincode is nog te lastig...

Het probleem is visueel. Als je €1000 in je portomonnee hebt, ben je bewust.
Dat pasje/mobiel ziet er niet uit alsof je een rol met elastiekje a €20.000 in je broek hebt.
Hoe ga je dat oplossen?

Kijk eens in dit recente topic: Schuren jullie het pasnummer op je Rabobank pinpas eraf?

Daar komt al aardig wat discussie langs over wat er beter kan / hoe de verschillende systemen verschillen / wat je zelf nog aan preventie kan doen.

Verwijderd schreef op vrijdag 6 maart 2020 @ 21:04:
[...]

Zou kunnen. Maar ik denk dat veel eigenaren van een bankrekening wel ongeveer weten wat het saldo zou moeten zijn.

Nee. Lees een wat andere topics op GoT? Mensen die de limiet van hun creditcard hebben gehaald. Of vinden dat bij een koophuis (zeg even 2 ton) een 'normaal' spaarsaldo minder dan 2000 Euro hoeft te zijn? Of andersom zich niet realiseren dat een dure smartphone 'leasen' ervoor zorgt dat ze dat huis van 2 ton niet kunnen kopen.

Het is niet een probleem omtrent internetbankieren; het is een probleem dat veel mensen eenvoudigweg gewoon niet met geld om kunnen gaan. Als je dat al niet kan, dan maakt het niet uit of je 3 pincodes nodig hebt, 2 cardreaders, een retina-scan. Men snapt het niet. Men leent het uit. Men trapt overal maar in.


De banken zijn ook klaar met dit soort mensen; er is gewoon een "noodfonds" onder het mom van scammen. Maar je kan ook aanspraak maken op volledige vergoeding van je verlies als je maar tijdig aangifte doet en tijdig laat weten dat je bankpas & pincode en/of internet-login "weg" is. En ja, veel zaken hoef je niet eens te beargumenteren (politie doet er namelijk geen klap mee); er gaat wat tijd overheen maar je schade wordt gewoon vergoed via jouw bank omdat je een aangifte-nummertje hebt.


Er zijn andersom zat banken die er ook een potje van maken. Voorbeeld van mezelf: ik wilde een groot bedrag uitgeven via internetbankieren. 5 dagen (!!!) van te voren gebeld en situatie uitgelegd. "Nee meneer, doe niet zo raar; tuuuuuurlijk mag je via internetbankieren bedrag X overschrijven; het is toch uw geld?"

Uhuh. Zit je dan met je goede gedrag, pas, cardreader, "groen slotje in je browser". En je betaling krijgt "security status". Voel je je best opgelaten bij de verkoper aan tafel ondanks de bak koffie. Goed, ik bellen met de bank. En zonder "unieke vragen / antwoorden" uit te wisselen, was na een kwartier alsnog de betaling vrijgegeven en overgeschreven. Goed lezen zonder unieke vragen / antwoorden!. Ik had dus alsnog degene kunnen zijn die mijn gejatte pas & pin had en op basis van gegevens in bijna elke portomoneee, zo even mijn rekening leeggetrokken.


Draag ik wat bij aan je initiele vraagstelling? Nee, niet echt, denk ik zo. Maar het systeem is best lek. En het is niet nieuw. Zonder heel diep op de materie in te gaan; een goede tijd geleden gingen bepaalde betalingen nog via een (ja, nu schrik je) plain-text bestanden die dan een bepaalde extensie hadden en via een FTP (zonder certificaat) werden uitgewisseld en automagisch het SWIFT-traject in gingen en zonder verdere controle uitgevoerd.

@Verwijderd Misschien iets wat niet ter zaken doet, maar: Mag ik je vragen waarom je juist déze gebruikersnaam gekozen hebt?

Als je als gebruikersnaam 'Check Point' of 'F5' gekozen had dan had ik nu exact dezelfde vraag gesteld, als je wilt weten waarom ik de vraag zó stel

@Verwijderd welke problemen waardoor fraude/oplichting bestaan zijn er volgens jou? Want misschien geeft je dat een beter idee over waar je precies een oplossing voor zoekt.

Een preventiemaatregel tegen phishing/social engineering persoon van online bankieren account is een device lock en/of een IP lock, d.w.z. inloggen met de juist credentials en hulp van het slachtoffer op een andere device is niet mogelijk zonder het opnieuw autoriseren van het device. ISP's zouden hier aan mee kunnen werken. Hieraan moet een zeker vertraging zitten voor het geëffectueerd wordt.

Een preventiemaatregel tegen het overmaken van geld naar een rekening van een phishing/social engineering persoon is het introduceren van een wachtperiode bij het overmaken van geld boven een bepaald bedrag naar rekeningen die een lage reputatie hebben en waar nog nooit geld naar is overgemaakt. D.w.z. je kan wel duizend euro direct overmaken naar een bekende webshop, maar een hetzelfde bedrag naar een katvanger komt in een wachtstatus terrecht.

Met een wachtperiode los je het uiteindelijke probleem nog niet op, want daarvoor moet de bank zelf ook proactief optreden en verdachte transacties die in wachtstatus staan beoordelen, al dan niet met algoritmes.

Uiteindelijk is het probleem met bankrekening nummers dat er op zichzelf geen reputatie en identiteit aan vast zit, dat is alleen te herleiden aan de hand van de context. Reputatie en identiteit management is een algemeen probleem op het internet en veel problemen zijn daartoe te herleiden.

defiant schreef op vrijdag 6 maart 2020 @ 23:16:
Een preventiemaatregel tegen phishing/social engineering persoon van online bankieren account is een device lock en/of een IP lock, d.w.z. inloggen met de juist credentials en hulp van het slachtoffer op een andere device is niet mogelijk zonder het opnieuw autoriseren van het device. ISP's zouden hier aan mee kunnen werken. Hieraan moet een zeker vertraging zitten voor het geëffectueerd wordt.

Een preventiemaatregel tegen het overmaken van geld naar een rekening van een phishing/social engineering persoon is het introduceren van een wachtperiode bij het overmaken van geld boven een bepaald bedrag naar rekeningen die een lage reputatie hebben en waar nog nooit geld naar is overgemaakt. D.w.z. je kan wel duizend euro direct overmaken naar een bekende webshop, maar een hetzelfde bedrag naar een katvanger komt in een wachtstatus terrecht.

Met een wachtperiode los je het uiteindelijke probleem nog niet op, want daarvoor moet de bank zelf ook proactief optreden en verdachte transacties die in wachtstatus staan beoordelen, al dan niet met algoritmes.

Uiteindelijk is het probleem met bankrekening nummers dat er op zichzelf geen reputatie en identiteit aan vast zit, dat is alleen te herleiden aan de hand van de context. Reputatie en identiteit management is een algemeen probleem op het internet en veel problemen zijn daartoe te herleiden.

Even héél kort door de bocht: Je maakt van een financieel (bancair) probleem nú een simpel ISP probleem? Als ik m'n geld toevertrouw aan een bank dan is die bank toch niet verantwoordelijk te stellen voor 'mijn' domme fouten op het moment dat ik 'derden' toegang verschaf tot m'n account? Waarom zou een ISP dan ineens wél verantwoordelijk moeten zijn voor die zelfde fout(en)?

Will_M schreef op vrijdag 6 maart 2020 @ 23:22:
Even héél kort door de bocht: Je maakt van een financieel (bancair) probleem nú een simpel ISP probleem? Als ik m'n geld toevertrouw aan een bank dan is die bank toch niet verantwoordelijk te stellen voor 'mijn' domme fouten op het moment dat ik 'derden' toegang verschaf tot m'n account?

Waarom zou een ISP dan ineens wél verantwoordelijk moeten zijn voor die zelfde fout(en)?

Waar zeg ik dat de ISP verantwoordelijk wordt? Ik zeg alleen dat ze hier aan mee kunnen werken, d.w.z. met het uitdelen van vast IP's zodat een IP lock makkelijker wordt.

defiant schreef op vrijdag 6 maart 2020 @ 23:24:
[...]

Waar zeg ik dat de ISP verantwoordelijk wordt? Ik zeg alleen dat ze hier aan mee kunnen werken, d.w.z. met het uitdelen van vast IP's zodat een IP lock makkelijker wordt.

Ik denk dat we een andere discussie gaan krijgen als een ISP zich daar écht mee gaat bemoeien (en já, een ISP ziet véél als dat MOET). Ik kan me bijvoorbeeld iets herinneren van XS4ALL klanten welke niet onder een standaard KPN dienstverlening willen gaan vallen....

Goed willen doen, je doet 't nóóit goed

Misschien dan toch maar eens een keer op IPv6 overstappen zodat 'iedereen' z'n eigen 'Fixed' adres kan krijgen én dus simpel te traceren is?

defiant schreef op vrijdag 6 maart 2020 @ 23:24:
[...]

Waar zeg ik dat de ISP verantwoordelijk wordt? Ik zeg alleen dat ze hier aan mee kunnen werken, d.w.z. met het uitdelen van vast IP's zodat een IP lock makkelijker wordt.

Met 90% meer praktijkproblemen dan dat het enige vorm van oplossing geeft voor een probleem.

Dit is geen 'een probleem', dit is een perfecte vorm van evolutie van internet, van criminaliteit. Werkt de phising sms niet meer? Phising link niet meer? Social engineering niet meer? Vinden ze wel weer wat anders. Oplichting is geen 'een probleem', het is een beweging die met dezelfde snelheid meegroeit als men veiligheid probeert te maken.

IP lock? Gaan we weer op wifi-stealing, ip-spoofing, remote desktop (die blijven leuk), of we hacken gewoon de telefoon zelf met een leuk virus/trojan. Kijk het nieuws maar met hoe ziekelijk veel devices er onbeveiligd aan het internet hangen.. .leuk een vast IP (zeker makkelijk te doen met IPV6), maar hoe bescherm je het slachtoffer van de slachtoffers? Of het ene lek tegen het andere?

Want er zijn aardige systemen geweest die redelijk 'veilig' waren, maar hoor mensen nu eens over losse rekenmachines en scanners? Nee, het moet mobiel, vingerprint en zo simpel en makkelijk mogelijk. Oja, voorkeur, laat die URL ook maar achterwege, het groene slotje betekent safe (jup, letterlijk iemand horen zeggen op een overbekende phising van ABN).

Veiligheid op internet in z'n geheel is een afweging van veiligheid, praktisch en toegankelijkheid. Als we zelfs MP of V&A niet eens 'waterdicht' (wat nooit kan, maargoed, poging tot is leuk) krijgen, welk idee denk je te hebben om geldzaken in z'n geheel veilig te krijgen? Streven is leuk, maar er altijd iemand ergens weer in trap, altijd weer iemand die wat nieuws bedenkt, altijd weer iets nieuws te vinden om verder te gaan met oplichting.

Verwijderd schreef op vrijdag 6 maart 2020 @ 21:04:
[...]


Dat gaat uit van een lastig ontwerp en een consument die weet wat veilig is. En hoewel veiligheid en gebruiksgemak elkaar nogal eens in de wielen rijden hoeft dat niet.

Ik durf wel te stellen dat het zelfs een gegeven is dat ze elkaar in de wielen rijden. Ben heel benieuwd waarom jij denkt dat dat niet hoeft?

Vind je stopcontacten lastig? Die bevatten (ondertussen) veel security-by-design.

Sommigen wel ja. Vooral die met ingebouwde kinderbeveiliging die vervolgens weigert te openen bij bepaalde diktes van de pennen of dit structureel gaat doen als een en ander wat ouder wordt. Ik koop het liefste zonder die ellende of sloop het meteen er uit.

Zou kunnen. Maar ik denk dat veel eigenaren van een bankrekening wel ongeveer weten wat het saldo zou moeten zijn.

Stel dat er iets beter valt te visualiseren aan het saldo, hoe zou dat de veiligheid veranderen?

Ik denk juist dat heel veel eigenaren geen flauw idee hebben van hun saldo en dat blijkt ook regelmatig uit allerlei topics die hier voorbij komen en wat ik regelmatig hoor in mijn omgeving. Ik weet het bij benadering en zit er dan max 100 tot 200 naast maar velen kijken mij glazig aan als ik dat zeg. Dat zijn ook de mensen voor je bij de kassa die spullen achter moeten laten omdat het saldo niet toereikend is of meerder passen moeten proberen om er eentje te vinden waar het wel op staat of een combinatie van passen.

Of betere visualisatie veiligheid verandert betwijfel ik, het maakt het wel mogelijk om veel sneller te acteren als er iets gebeurt wat niet in de haak is.

PS
Niet dat ik de vraag stelde maar zoek eens op Palo Alto Networks

Grootste probleem is dat vandaag de dag alles maar "makkelijk" moet zijn.
Meeste mensen zijn niet meer in staat tot enigszins logisch nadenken. Door het allemaal maar makkelijk te maken, maak je het dus ook makkelijker voor misbruikers. Omdat dingen "te makkelijk" worden hoeven de eindgebruikers niet meer op te letten wat ze doen,dus doen ze dat automatisch steeds minder.

Voordat je gaat nadenken over oplossingen zou je eerst eens moeten bepalen welke fraudes er worden gepleegd, wat de achterliggende oorzaken zijn en wat de meeste gevolgschade heeft. Anders ben je misschien aan het schieten met een kanon op een mug.
Banken hebben die informatie maar geven die niet prijs.
Als het echt een heel groot probleem is, dan gaan banken zelf wel nadenken over aanvullende maatregelen. Zie bijvoorbeeld de ontwikkeling met de geldopnameapparaten.

En het valt buiten de scope van het topic, maar ik ben er zeker van dat menselijk falen de grootste rol speelt, zoals bij vrijwel alle andere veiligheidsvraagstukken.

Edit: IP-lock gaat niet werken. Ik krijg van tijd tot tijd een ander IP-adres op mijn internetaansluiting.

[ Voor 7% gewijzigd door JukeboxBill op 07-03-2020 09:25 ]

Ik snap het verhaal van die fraude met QR codes nog niet helemaal, een willekeurige QR code scanner veroorzaakt toch geen bank transactie?

Je moet dit dus doen vanuit je bankapp, vervolgens vraagt je bankapp toch om bevestiging ?

ook dit: https://www.ad.nl/tech/ni...or-qr-code-truc~a4b0a9d8/

Ken geen enkele app,die zomaar qrcodes omzet in daadwerkelijke banktransacties zonder user interactie, er wordt altijd om bevestiging gevraagd (althans bij mij 3 verschillende bankapps, rabo, triodos & knab).


zou wel eens willen weten, hoe die mensen nu daadwerkelijk zijn opgelicht want het verhaal hoe het is gegaan is niet 100% compleet.

[ Voor 8% gewijzigd door mvrhrln op 07-03-2020 09:31 ]

Will_M schreef op vrijdag 6 maart 2020 @ 23:38:
Misschien dan toch maar eens een keer op IPv6 overstappen zodat 'iedereen' z'n eigen 'Fixed' adres kan krijgen én dus simpel te traceren is?

Dat werkt alleen goed als iedereen altijd op elk device 10000% zeker weet dat dat ding niet "gehackt" is of anderszins niet meer volledig onder controle van de eigenaar van dat device is. En dit is ervanuitgaande dat je elk device een publiek IPv6 wil geven.

En toen had je precies 2 achilleshielen: als iedereen wel zijn device op orde heeft, dan is dus elk device "uniek" en kan je met social phishing / engineering alsnog iemand geld afhandig maken. Of, als iemand slim is en niet in social engineering / phishing trapt, heb je als "hacker" oneindig te tijd om een device te hacken want het IP is altijd hetzelfde en (dus mogelijk) niet voorzien van de allerbeste beveiliging.

Systemen zijn steeds meer in gebruik als werktuigen met knopjes waarvoor je kunstjes moet kennen. Je hoeft bijna nooit te bewijzen of je geschikt bent om de systemen te gebruiken. Je bent al geschikt als je een of meer kunstjes kan die het systeem bedienen. Als het dan wel mis gaat, bijvoorbeeld omdat je niet door hebt waar de kunstjes voor dienen en wat er gebeurt als je die op de verkeerde plek uitvoert of te makkelijk nieuwe kunstjes leert, dan hoort er niets mis te gaan of kan je meestal terug vallen op hulp.

In gecontroleerde omgevingen worden de risico's bijvoorbeeld afgedekt door die inhoudelijke kennis en controles waarvan je weet waarvoor ze dienen. in minder gecontroleerde omgevingen is er minder tot geen kennis en controle. Het is niet specifiek voor consumenten systemen. Wat je hier als probleem beschrijft is een gevolg bij een specifiek financiële consumenten systemen. Maar het probleem doet zich net zo goed voor in professionele omgevingen voor geheel andere gebieden zoals medische wereld en industrie.

Zolang de makers, eigenaren en gebruikers in dit soort omgevingen geen probleem zien omdat ze zich bijvoorbeeld afgedekt voelen of wanen en meer waarde hechten aan het kunnen mee doen dan aan het hebben van voldoende kennis dan is de vraag of wat je wil dus wel een oplossing is of slechts een lapmiddel.

Verwijderd schreef op zaterdag 7 maart 2020 @ 09:00:
[...]


Er daarmee neem jij zelf naar ik aanneem bewust een risico, omdat je vindt dat jij dat risico niet voldoende loopt. Veel mensen met jonge kinderen zullen dat niet doen.

Maar uiteindelijk hoop ik dat je het ontwerp niet zo aanpast dat een van de twee pennen bloot kan komen te liggen na insteken van een stekker. Er werden vroeger driewegstekkers verkocht die dat wel toestonden, en die zijn ondertussen gelukkig verboden.

https://nl.wikipedia.org/...estand:Driewegstekker.jpg

Ik neem een risico omdat ik het niet voldoende loop? Waar heb je het in hemelsnaam over en weet je eigenlijk wel wat ik bedoelde met de kinderbeveiliging?
De kinderbeveiliging die ik bedoel heeft helemaal niets te maken met blootliggende pennen en die komen ook niet bloot te liggen na mijn aanpassingen. De kinderbeveiliging zorgt er voor dat een kind niets in de gaten van een WCD kan steken zodat een kind bijv niet die twee gaatjes kan gebruiken om een mooie tekening op te hangen voor papa en mama met twee spijkers of een ijzerdraadje.
Na het wegbreken van die beveiliging heb ik gewoon een WCD die tot op de dag van vandaag te koop is bij iedere winkel die WCD's verkoopt, niks bijzonders de aanpassing die ik doe.
Als ik zelf jonge kinderen zou hebben zou ik overigens hetzelfde doen als mijn ouders in het verleden hebben gedaan, plaatjes in de WCD plakken en deze weghalen als de kinderen ouder zijn.
Je had het overigens over WCD's die tegenwoordig security by design zouden zijn en stelde de vraag of dat lastig is, daar heb ik je een antwoord opgegeven en de driewegstekker komt nu ineens uit de lucht gevallen.
Als de WCD je genoemde voorbeeld is dan is het imho een slecht voorbeeld omdat daar weldegelijk sprake is van zaken die elkaar in de wielen rijden.

Voor eventuele nieuwe reacties: ik heb inclusief de verwijzing naar het andere topic nog maar weinig toepasbare suggesties gezien. De meeste reacties vallen in de categorie “kan niet” of “goed opletten” of “men wil niet” en daar vraag ik niet om.

Als je geen constructieve ideeën hebt, laat je reactie dan s.v.p. achterwege. Hou ook in het achterhoofd dat eventuele verbeteringen die je zelf niet kan bedenken, niet betekent dat de gebruikte methodes daarmee nu voldoende zijn. Met dat soort gedachtes reden we nu nog steeds met paard en wagen en waren de hedendaagse smart phones niet van de grond gekomen denk ik.

Klinkt een beetje alsof je iets naar binnen gooit en vervolgens wachtend achterover gaat hangen tot andere met suggesties komen die in je straatje passen? Waar is je eigen inbreng qua toepasbare suggesties?

Verwijderd schreef op zaterdag 7 maart 2020 @ 14:20:
[...]


Dat schrijf ik ook niet. Enkel dat ik hoop dat je met de aanpassing (“slopen”) niet dusdanig ver gaat dat de bestaande (andere) beveiliging niet komt te vervallen.

Werkelijk?
Zoek gewoon eens wat plaatjes op zodat je weet waar ik het over heb want dat schijnt er nogal aan te mankeren.
Ik zal het je zelfs makkelijk maken:
Standaard uitvoering, zonder beveiliging:
https://www.sandervunderi...gelwit_20_euc-214-503.jpg
Niet standaard uitvoering, met beveiliging:
https://www.sandervunderi...t_20_eucrks-214-503_1.jpg
De beveiliging kun je er aan de binnenkant/achterkant met weinig tot geen moeite slopen/weghalen en dan komt er verder helemaal niets te vervallen. Je hebt dan gewoon weer een standaard WCD zoals je die in miljoenen huizen kunt terug vinden en nog steeds als standaard verkocht wordt. De WCD met beveiliging is duurder, niet standaard en werkt in de praktijk niet altijd prettig. Meer security, lastiger in het gebruik en daar ging het toch om?

[...]

Maar een standaard WCD heeft dus security-by-design, die de oude en nu verboden 3-wegstekker niet had. Daar doelde ik op. Het feit dat je de WCD “gewoon” noemt bewijst mij, dat je die ingebouwde veiligheid van het ontwerp in de dagelijkse praktijk niet als bezwaarlijk ervaart.

Een stopcontact/WCD is geen stekker en andersom ook niet. Waarom begin je steeds over een stekker terwijl het eerst over een stopcontact ging?
Voor wat betreft je bewijs, ik kan je eerlijk gezegd niet volgen maar dat kan ook komen omdat je een voorbeeld over stekkers gebruikt om je punt over een stopcontact/WCD duidelijk te maken.

[...]


Je ging in je voorbeeld dus enkel uit van extra “security-by-design” (de kinderbeveiliging), maar voorbij aan de bestaande beveiliging (die de verboden 3-wegstekker niet had).

Kom op zeg, je begint over een stopcontact en gebruikt een stekker om aan te tonen dat je gelijk hebt over het design van een stopcontact? Je weet toch hopelijk wel dat een stopcontact iets anders is dan een stekker?

[...]


In de praktijk valt dit volgens mij wel mee, maar er zijn vast mensen die de 3-wegstekker terugwillen. Dat lijkt mij geen goed idee.

Dan heb ik slecht nieuws voor je, drieweg stekkers zijn gewoon te koop maar dan in een iets andere uitvoering.
https://www.intratuin.nl/...-stekker-plat-3x-wit.html
https://www.cityplants.nl/driewegstekker-met-schakelaar
Alleen het specifieke type waar jouw focus op ligt is formeel niet meer te koop maar zal nog in duizenden zo niet tien danwel honderdduizenden laatjes te vinden zijn en ook nog volop in gebruik zijn, denk dat ze hier in huis ook nog wel rondslingeren.

[...]


Dat voorbeeld staat beschreven, maar wellicht heb daar overheen gelezen. Maar ik ben het gezien de uitgebreide OP en mijn reacties niet eens met je mening dat ik “achterover leun”. Als ik zelf eerst de boel zou volschrijven met voorbeelden, zouden een aantal ideeën wellicht niet zijn genoemd, ontstaat er waarschijnlijk discussie over mijn suggesties en zou ik vooral impliciet stellen wel even te begrijpen hoe het zit. Dat is en was niet de bedoeling van de vraag.

Als je geen discussie wenst (over je voorbeelden) kun je misschien beter geen topic starten? De opmerking over niet constructie ideeën is imho nogal ongepast en helemaal als je zelf met een opmerking komt over paard en wagen die absoluut niet constructief is.