Ik neem aan dat dit er ook de oorzaak van is dat SiteAdvisor mij pas toelaat tot ing.nl na een waarschuwing dat die site mijn informatie kan proberen te stelen?

gutje.
niet te spreken over die 500 add boeren, en andere trackers.

Beide sites (www.primebyte.net en www.vsonicw.com) waar via SSL scripts vandaan gehaald worden, ondersteunen nog SSL2.0 en zwakke cyphers (score "C" met 52/100 punten), zie
https://www.ssllabs.com/ssldb/analyze.html?d=www.primebyte.net (173.255.252.11 is getest)
https://www.ssllabs.com/ssldb/analyze.html?d=www.vsonicw.com (173.255.252.109 is getest)

Dat betekent dat MITM aanvallen mogelijk zijn waardoor een aanvaller zeker kwaadaardige code kan injecteren (voor zover de er nu al geen sprake is van kwaadaardige code). Als ing.nl niet gehacked is, is dit een stompzinnige actie die gebruikers nodeloos in gevaar brengt.

Overigens meldt Networking4All met vergelijkbare resultaten (minder details en geen IP-adressen):
http://www.networking4all.com/en/support/tools/site+check/report/?fqdn=www.vsonicw.com&protocol=https
http://www.networking4all.com/en/support/tools/site+check/report/?fqdn=www.primebyte.net&protocol=https

Of dit ook voor de andere IP-adressen geldt waaronder deze servers momenteel te bereiken zijn weet ik niet (vermoedelijk wel); zelf zie ik die adressen niet voorkomen in nslookups die ik doe (ik zie dezelfde adressen als in http://gathering.tweakers.net/forum/list_message/36519037#36519037, aangevuld met 1 extra:
www.primebyte.net: 178.79.150.4, 178.79.159.118, 178.79.160.63 en 178.79.159.123;
www.vsonicw.com: 178.79.159.124, 178.79.160.80, 178.79.159.121 en 178.79.160.51.

http://network-tools.com/default.asp?prog=dnsrec&host=www.primebyte.net meldt:

DNS servers
ns1.p30.dynect.net
ns3.p30.dynect.net
ns2.p30.dynect.net
ns4.p30.dynect.net

Answer records
www.primebyte.net		A	178.79.150.4	150s
www.primebyte.net		A	178.79.159.118	150s
www.primebyte.net		A	178.79.159.123	150s
www.primebyte.net		A	178.79.160.63	150s
www.primebyte.net		A	178.79.160.70	150s
www.primebyte.net		A	66.228.38.57	150s
www.primebyte.net		A	173.255.252.11	150s

Authority records
primebyte.net		NS	ns3.p30.dynect.net	86400s
primebyte.net		NS	ns1.p30.dynect.net	86400s
primebyte.net		NS	ns2.p30.dynect.net	86400s
primebyte.net		NS	ns4.p30.dynect.net	86400s

en http://network-tools.com/default.asp?prog=dnsrec&host=www.vsonicw.com meldt (DNS servers en Authority records zelfde als boven):

Answer records
www.vsonicw.com		A	178.79.159.124   	150s
www.vsonicw.com		A	178.79.160.51    	150s
www.vsonicw.com		A	178.79.160.76    	150s
www.vsonicw.com		A	178.79.160.80    	150s
www.vsonicw.com		A	66.228.38.58      	150s
www.vsonicw.com		A	173.255.252.109	150s
www.vsonicw.com		A	178.79.159.121  	150s

De site "retailingnl.112.2o7.net" (waar tevens tijdens de sessie met https://mijn.ing.nl/internetbankieren/SesamLoginServlet mee gecommuniceerd wordt, zo te zien door obfuscated code in https://mijn.ing.nl/internetbankieren/js/s_code.js), lijkt haar zaakjes qua SSL een stuk beter voor elkaar te hebben, zie https://www.ssllabs.com/ssldb/analyze.html?d=retailingnl.112.2o7.net, want elk van de 20 IP-adressen die aan de betrokken hostname gekoppeld zijn behalen dezelfde score als mijn.ing.nl zelf, nl. A (88) (zie https://www.ssllabs.com/ssldb/analyze.html?d=mijn.ing.nl).

De beveiliging en jongens en meisjes security officers bij ING staan bij mij bekend als belabberd. Ze zitten daar meer op de centen dan dat ze een serieuze discussie over veiligheid en risico's aan willen gaan. En dat is niet sinds pas maar al heel lang. Helaas blijkt ook vandaag weer dat het amateurs zijn. Dat ze niets willen zeggen over hun blunder heeft niets met veiligheid te maken, meer dat ze domweg niet weten waar ze mee bezig zijn en zich totaal niet bewust zijn van de inhoud van die zogenaamde test en de gevolgen. Het is diep treurig om dit bij zo'n grote bank tegen te komen. Nog erger, dat daar kennelijk de cultuur hangt om niets te willen leren en te veranderen.

Aanvulling: als je http://www.co-operativebank.co.uk/ opent, wordt eveneens met primebyte en vsonicw gecommuniceerd.

Eerst wordt http://www.primebyte.net/84401/papi.js opgehaald en daarna http://www.vsonicw.com/v4.0/84401/s0?em=http%3A//www.co-operativebank.co.uk&1=&2=0&A=ebc_ebc1961/ebc1961.asp/* (* is een boel crap met herkenbare maar incomplete hostnames van diverse banken), gevolgd door een POST naar http://www.vsonicw.com/v4.0/84401/s1.

Als je het te link vindt om hiermee te experimenteren kun je ook hier kijken: http://httparchive.org/viewsite.php?pageid=290467.

Ik hoop dat ING snapt dat de klagers niet doelen op de -deels- obfuscated code in https://mijn.ing.nl/internetbankieren/js/s_code.js en de communicatie met https://retailingnl.112.2o7.net/ (Omniture) en er zo langs elkaar heen gepraat is -- en mijn.ing.nl alsnog gekraakt blijkt...

Snap niet dat ze software op de originele server testen en niet op een test server.
Blijkbaar werken er amateurs.
Hoe kun je zo meteen nog zien of het daad werkelijk de ing site is, of een goed gekopieerde nep ing site.
Mensen denken dadelijk ach ze testen weer wat.
Nee doe mij maar de amro.

Ik snap de verbazing niet helemaal. Internetbankieren is niet veilig en zal niet veiliger worden dan nu het geval is. Zolang de banken de beveiliging zelf niet serieus nemen hoeven we als klant ook niet meer veiligheid te verwachten.

Iemand enig idee welk bedrijf hiervoor ingehuurd wordt? Kan me namelijk niet voorstellen dat ze dit allemaal zelf doen...

lol een beveiligingstest op de productieomgeving, zo te zien heeft ING nog nooit gehoord van OTAP, testen worden dan uitgevoerd in de T-omgeving

Fox-IT ondersteunt ING op het gebied van security.

Van wat ik gisteren op http://gathering.tweakers.net/forum/list_messages/1467684 heb gelezen, stuurt de .js file je inlog pagina naar een ip adres in Amerika. Dit gebeurt zodra je op de 'inlog button' drukt (je inlog gegevens worden niet verstuurd). Verder zegt ING dat ze iets tegen fraude en phishing doen hiermee.

Ik trek dan de conclusie dat de inlog pagina bij ING van iedere computer hier, in Amerika wordt vergeleken met andere inlog pagina's om zo te ontdekken welke klanten gephished zijn, en hoe de ING site er voor hen uit ziet.

Misschien werken ze samen met andere banken, omdat je dit maar een keer kan doen voor het bekend is dat dit gebeurt.
Misschien slaan ze ook alles forensisch op als bewijs materiaal tegen phishers.

Wel jammer dat dit een hoop onrust veroorzaakt op tweakers.net. Het zou mij ook niet lekker zitten als ik ING klant zou zijn geweest.

Laat ze lekker experimenteren..
Als je slachtoffer wordt of bent van datgeen waardoor ze deze test doen, krijg je je geld sneller terug dan je een pagina kunt refreshen.

Geen zorgen, laat ze maar proberen geld te besparen. Het is tenslotte een bank?
Hoe meer ze sparen hoe gunstiger.

Soms moet ook alles maar afgekraakt worden om simpelweg maar afgekraakt te worden.

In https://mijn.ing.nl/internetbankieren/SesamLoginServlet is het volgende stuk code verwijderd, waarmee er geen contact meer wordt gezocht met www.primebyte.net, en dus ook niet meer met www.vsonicw.com:

<script type="text/javascript">(function() {var snippetID = '33271',host = 'www.primebyte.net',
sn = document.createElement('script');sn.setAttribute('async', true);sn.setAttribute('type',
'text/javascript');sn.setAttribute('src', (document.location.protocol == 'https:' ? 'https:' : 'http:') +
'//' + host + '/' + snippetID + '/' + 'papi.js');var s =document.getElementsByTagName('script')[0];
s.parentNode.insertBefore(sn, s);})();</script>

Dit is hersenloos gedrag van ING:
- Klik in https://mijn.ing.nl/internetbankieren/SesamLoginServlet op "5 augustus - Veiligheidsnieuws Mijn ING"
- Klik linksonder op "Naar de website Veilig bankieren "
- Klik bovenaan op het menu "Internetbankieren" en dan "Werwijze crimineel" (http://www.veiligbankieren.nl/index.php?p=561830). Daar staat ondermeer: "doorgelinkt naar een andere site dan die van uw bank" - dat is precies wat hier gebeurde.

niet helemaal. de bank kan meerdere sites hebben. dat het niet eindigt op ing.nl wil niet zeggen dat het niet van de bank is.
de sites waar op gedoeld wordt zijn de sites met andere bedoelingen dan jouw een betaling of transactie laten doen naar en van de bedoelde bronnen. (want dat transacties doet wordt als je naar de boefers gaat is een van de redenen dat ze (de boefers) het doen.)

Het is net als met veel andere bronnen denk ik gewoon noodzakelijk om meerdere servers te benaderen om transacties veilig rond te krijgen. het is het totaalplaatje waar je op moet letten. Denk aan de DigiD uitspraken die de belasting deed. "gebruik het DigiD van je buurman." tuurlijk. Het maakt dan bijna niet meer uit hoe veilig je het maakt. als er een dodo tussenzit (die niet is uitgestorven) die het makkelijk vind om alles openbaar te maken of alle wachtwoorden op een lijstje te zetten of een prutsgroep te gebruiken voor beveiliging.... tja... dan ben je de klos. (maar ik geloof dat ik van het onderwerp afdwaal. LOL

Voor mij zijn deze zaken vrij simpel: ik link niets en klik ook niet op de ING site op andere links. Ze sturen eerst maar een brief, zodat ik weet dat het legaal is. Er wordt uit naam van banken al zoveel geprobeerd, daar doe ik dus niet aan mee.
Dick

Geldt dit bijvoorbeeld ook voor http://www.ing.nl/particulier/internetbankieren/internetbankieren/mijn-ing/ of alleen https://mijn.ing.nl/internetbankieren/SesamLoginServlet?

Mijn.ING is slachtoffer van een geinsert Iframe dat om een Tan-code vraagt.
Het Iframe venster opent gewoon in de pagina van ING en heeft als titel

"Bevestig uw unieke digitale handtekening"
Het proces van de gegevensverzameling voor het opmaken van de unieke digitale handtekening, is voltooid.
Voor de installatie en het gebruik van de UDH, moet je de TAN opgeven. De volgende aanmelding bij het on-line banking zle met UDH verricht worden.

Bij het opgeven van uw TAN let goed op: na drie mislukte opgaven wordt het account geblokkeerd.

invul veld voor Tan-code *verplicht veld

Knop doorgaan

Via een Zeus infectie is het de hackers mogelijk gemaakt om de pagina aan te passen.

Op de ING pagina zelf wordt je nog niet gewaarschuwd voor dit bedriegelijke scherm, maar er is wel een programma te downloaden dat de infectie van je pc kan halen en waardoor het dialoog niet meer getoond wordt.

Op verschillende fora wordt al gewaarschuwd voor "unieke digitale hanteking met de hulp van TAN" en zijn er ook al slacht offers bekend waar bedragen zijn afgeschreven.