image

"ING verzwakt beveiliging internetbankieren"

dinsdag 26 januari 2010, 13:33 door Redactie, 22 reacties

Het nieuwe beveiligingsbeleid van ING voor internetbankieren maakt klanten kwetsbaarder voor aanvallers, aldus beveiligingsexpert Hans van de Looy. Vanaf 15 maart zijn zowel wachtwoord als gebruikersnaam voor online banking via sms op te vragen. Voorheen moesten klanten naar een kantoor toe en zich daar legitimeren voordat ze de gegevens kregen. De bank zou het klanten vooral makkelijker willen maken, maar dat lijkt ook voor misbruik te gelden. Hans van de Looy van beveiligingsbedrijf Madison Gurkha heeft zijn bedenkingen over het nieuwe beleid. "Op dit moment heb je de controle over twee kanalen nodig om betalingen te kunnen doen", zo laat hij tegenover Tweakers.net weten.

De tan-code waarmee klanten een betaling bevestigen wordt vaak via sms verstuurd. Het wachtwoord moet men fysiek ergens ophalen. Als straks beide gegevens via de telefoon zijn te bemachtigen komt dat de beveiliging niet ten goede, aldus Van de Looy: "Een van de twee kanalen valt gewoon weg. Gebruikers worden hierdoor aanzienlijk kwetsbaarder." De ING zegt een goede afweging tussen klantvriendelijkheid en beveiliging te hebben gemaakt. Daarnaast acht de bank de kans op fraude 'zeer onwaarschijnlijk'.

Reacties (22)
26-01-2010, 13:47 door Anoniem
De ING zegt een goede afweging tussen klantvriendelijkheid en beveiliging te hebben gemaakt. Daarnaast acht de bank de kans op fraude 'zeer onwaarschijnlijk'.
Met andere woorden: hoe verhogen we onze winst zonder (direct) de klant zich benadeeld te laten voelen.

Maar goed, veel klanten zullen wel klagen dat ze hun codes niet per telefoon op kunnen vragen (gemak(zucht) dient de mens). Als een klant geen security wil... Doet me denken aan dat betoog van laatst, dat de 'moderne' gebruiker geen privacy wil gezien de opkomst van Hyves en Facebook. Dit lijkt er wel wat op.
26-01-2010, 14:21 door Anoniem
Dit is zeker interessant wanneer je dit bericht met het bericht dat je GSM binnenkort waarschijnlijk met eenvoudige hardware kunt afluisteren..

Free money :)
26-01-2010, 14:34 door Anoniem
Risico nemen voor bank taboe; aldus Wouter Bush

http://www.telegraaf.nl/binnenland/stelling_van_de_dag/5860475/__Stelling_van_de_dag__.html?p=23,1
26-01-2010, 14:49 door Skizmo
Ben nog steeds blij met mijn 'calculator' van de AbnAmro.
26-01-2010, 14:52 door Anoniem
De ING zegt een goede afweging tussen klantvriendelijkheid en beveiliging te hebben gemaakt. Daarnaast acht de bank de kans op fraude 'zeer onwaarschijnlijk'.

Waarom niet over op een ander systeem met een calculator? Krijgt nu iemand de telefoon in handen of anderszins toegang tot de gegevens daarop, dan is het systeem overwonnen. Dit is niet meer denkbeeldig, omdat er steeds meer smartphones zijn, die dus kwetsbaarder zijn dan de oude "simpele" exemplaren.
26-01-2010, 15:08 door Anoniem
Door Anoniem:
De ING zegt een goede afweging tussen klantvriendelijkheid en beveiliging te hebben gemaakt. Daarnaast acht de bank de kans op fraude 'zeer onwaarschijnlijk'.
Met andere woorden: hoe verhogen we onze winst zonder (direct) de klant zich benadeeld te laten voelen.

Maar goed, veel klanten zullen wel klagen dat ze hun codes niet per telefoon op kunnen vragen (gemak(zucht) dient de mens). Als een klant geen security wil... Doet me denken aan dat betoog van laatst, dat de 'moderne' gebruiker geen privacy wil gezien de opkomst van Hyves en Facebook. Dit lijkt er wel wat op.

Privacy is wat anders als je geld laten jatten, als je straks een kluisje leegrooft en mobiele telefoon + pinpas hebt kan je iemands geld jatten. Lijkt me iets te eenvoudig de username password via tancode opvragen.
Ik accepteer het in elk geval niet.
26-01-2010, 15:08 door Anoniem
Door Anoniem:
De ING zegt een goede afweging tussen klantvriendelijkheid en beveiliging te hebben gemaakt. Daarnaast acht de bank de kans op fraude 'zeer onwaarschijnlijk'.

Waarom niet over op een ander systeem met een calculator? Krijgt nu iemand de telefoon in handen of anderszins toegang tot de gegevens daarop, dan is het systeem overwonnen. Dit is niet meer denkbeeldig, omdat er steeds meer smartphones zijn, die dus kwetsbaarder zijn dan de oude "simpele" exemplaren.


Omdat ze dan al die honderduizenden ex-Postbank klanten een calculator moeten gaan geven en dat vinden ze teveel geld kosten...
Toen per 1 januari verleden jaar de Postbank (het merk, was al van ING) bij ING werd gevoegd, hebben ze die beslissing gemaakt om hun oude klanten naar het minder veilige TAN systeem over te laten stappen dan andersom, dat scheelt hun een hoop geld...
26-01-2010, 15:25 door Anoniem
De ING zegt een goede afweging tussen klantvriendelijkheid en beveiliging te hebben gemaakt.

Ofwel: ze geven zelf aan er gecompromiseerd is op de beveiliging. Lijkt me zeer onverstandig!!!
26-01-2010, 15:33 door Preddie
ik ga vanmiddag nog mijn rekening bij de ING opzeggen .....

Eerst die overgang van postbank naar ING, heb te veel nare dingen bij de ING meegemaakt en de postbank had die naar randjes niet (raar maar waar, ook al is het de zelfde organisatie) Vervolgens wordt je dus min of meer gedwongen naar de ING te gaan en ik moet zeggen dat ik daar nog niet zoveel klacht over had. behalve dat ik geen rekening afschriften meer kreeg (werden gewoon naar het verkeerde adres gestuurd) dat ik vervolgens 4 keer een adres wijziging moest door geven (postbank ook nooit geproblemen mee gehad) en ik had in eens 3 rekening nummers ipv 1, dat scheen ook een "foutje" te zijn.

Nu maar even kijken welke andere bank ook met een soort gelijk systeem als TAN-over-SMS werkt (ik vond dat wel fijn, hoef je niet dag en nacht zoon reader mee te slepen zoals bij de Rabo, terwijl ik hun systeem wel veilig acht)

iemand anders een bank met een TAN-over-SMS systeem want ik zeg: Dag Dag ING .....
26-01-2010, 16:01 door Anoniem
Wat een stupiditeit. Maar niet verbazend van ING, gezien de rest van hun wanprestaties.
26-01-2010, 19:34 door Anoniem
Beveiliging is het afwegen van risico. Voor een bedrijf, dus ook bij ING, gaat het om de kosten tegenover de winst. Maar nog belangrijker voor een bank: het imago van betrouwbaarheid. Vraag is dan als eerste wat een risico voor de betrouwbaarheid is.

Net als bij PIN-betalingen en Automatische incasso doen banken bij internetbankieren alsof compenseren het wegnemen van risico is bij de klanten. Banken verkopen hun diensten en zichzelf als betrouwbaar wanneer ze klanten tonen dat ze gestolen geld op rekeningen vergoeden. Wat de klanten niet door hebben is dat de banken bewust zitten te slapen terwijl ze eigenlijk het geld van de klant hadden moeten beheren.

Wanneer er met de goedkeuring van de bank ongewild bij de bank is weggenomen van een rekening is in feiten niet de rekeninghouder maar de bank beroofd. De bank schrijft echter blind in de administratie geld van rekeningen weg omdat ze niet hebben gezorgd dat ze met zeer grote zekerheid kunnen zeggen dat opdracht ook uit naam van de rekeninghouder is. Zodra een crimineel de juiste gegevens laat zien geloven banken het wel en voeren acties al uit omdat iedere actie meer geld oplevert.

Zolang klanten massaal accepteren dat banken weigeren te zorgen voor een degelijke beveiliging en controle is en blijft er flink risico voor de klanten en zullen ze ook voor het onnodige misbruik blijven opdraaien.
26-01-2010, 23:10 door Anoniem
Daarnaast acht de bank de kans op fraude 'zeer onwaarschijnlijk'.

famous last words.
26-01-2010, 23:11 door Anoniem
Door Predjuh:
iemand anders een bank met een TAN-over-SMS systeem want ik zeg: Dag Dag ING .....
Volgens mij is ING de enige bank in Nederland die werkt met Tan via SMS.
De rest van de banken gebruiken een random reader.
Tan via SMS is ook 1 van de redenen dat ik bij de ING blijf.
27-01-2010, 00:10 door Anoniem
Dus als je nu beroofd wordt van je portemonnee en je telefoon, kan ook meteen je bankrekening worden geplunderd...
27-01-2010, 07:01 door Anoniem
Mooi dat ze dit doen, eindelijk af van die belachelijke rit naar het postkantoortje 20 km verderop alleen maar voor een wachtwoord.
Een hele verbetering en wat betreft de username, gewoon een goede kiezen die niet uit woorden maar uit letters cijfers en vreemde tekens bestaat.
De kans dat die geraden wordt is niet zo groot.
Nog beter zou het zijn als men het TAN systeem verlaat en gewoon overgaat op een calculator, of een combinatie van beide waarbij je een calculator nodig hebt om in te loggen en de TAN om te kunnen overboeken.
27-01-2010, 09:15 door Anoniem
Door Anoniem:
De ING zegt een goede afweging tussen klantvriendelijkheid en beveiliging te hebben gemaakt. Daarnaast acht de bank de kans op fraude 'zeer onwaarschijnlijk'.
Met andere woorden: hoe verhogen we onze winst zonder (direct) de klant zich benadeeld te laten voelen.

Maar goed, veel klanten zullen wel klagen dat ze hun codes niet per telefoon op kunnen vragen (gemak(zucht) dient de mens). Als een klant geen security wil... Doet me denken aan dat betoog van laatst, dat de 'moderne' gebruiker geen privacy wil gezien de opkomst van Hyves en Facebook. Dit lijkt er wel wat op.

De klant is helemaal niet met beveiliging bezig. Dat is voor IT'ers. Klanten willen gemak en bescherming. Ik vind het niet verbazingwekkend. Banken en verzekeraars denken soms intern nog dat het niveau omhoog moet gezien de bedreigingen die spelen maar klanten denken daar heel anders over. Daar zie je juist een beweging die naar een lager niveau gaat. Inderdaad speelt daar ook mee dat mensen sneller geneigd zijn informatie op internet te plaatsen die best wel privacygevoelig is. Als ik dit zo lees is de GEMIDDELDE Nederlander hier helemaal niet mee bezig.

En waarom zou je dan miljoenen investeren als bank? Kwestie van risico afweging. Dat is al jaren zo met credit cards: daar wordt gewoon een percentage misbruik en fraude gecalculeerd en wellicht zelfs verrekend in de prijs die je voor het gebruik van zo'n kaart betaald. De toenmalige postbank gaf al geen rente meer op de gewone lopende rekening om zo de kosten van gebruik van kaarten te neutraliseren. Blijkbaar is de schade (niet alleen geld maar ook reputatie en imago) die banken nu oplopen door bijvoorbeeld skimming varianten groter omdat DAAR wel een nieuwe bankpas geintroduceerd is.
27-01-2010, 09:21 door Anoniem
Door Anoniem:
De ING zegt een goede afweging tussen klantvriendelijkheid en beveiliging te hebben gemaakt.

Ofwel: ze geven zelf aan er gecompromiseerd is op de beveiliging. Lijkt me zeer onverstandig!!!

Hoezo onverstandig? Motiveer! Het is toch gewoon een kwestie van kosten-baten? Klanten vragen ook helemaal niet om een token. Die zijn uberhaupt helemaal niet met beveiliging bezig.
27-01-2010, 09:28 door Anoniem
Door Predjuh: ik ga vanmiddag nog mijn rekening bij de ING opzeggen .....

iemand anders een bank met een TAN-over-SMS systeem want ik zeg: Dag Dag ING .....


Ik kan niet over je persoonlijke ervaringen oordelen dus die laat ik in de reactie buiten beschouwing maar de rest vind ik zo'n enorme stemmingmakerij en onzin. Gewoon nergens op gebaseerd. Wat een gelul. De tendens is gewoon dat het beveiligingsniveau juist daalt. Dat heeft nu juist met de klanten te maken. Aantal verstoringen, klachten etc etc. Als er enorm misbruik zou zijn van de methode, zou er reden zijn om over te stappen. Maar denk je nou echt dat de ING dat dan zou invoeren. Als het goed is hebben die echt wel een kosten-baten analyse gemaakt en daar zit de schade als gevolg van fraude echt wel in. Blijkbaar valt dat dus wel mee en is de BELEVING anders maar statistieken winnen. Dat is het probleem van IT'ers: die bekijken dit vanuit een heel andere hoek dan eindgebruikers. Bovendien: wat is de strategie van ING op de langere termijn? Aansluiting bij OpenID / Consumer ID?
27-01-2010, 09:31 door Anoniem
Er is overigens alweer een update gegeven:

Update, 15:48: ING laat in een reactie weten dat de gebruikersnaam níet per sms-bericht kan worden opgevraagd, zoals een ING-medewerkster eerder liet weten. Hiermee is het nieuwe beveiligingsbeleid dus 'iets minder onveilig' dan gedacht, zegt beveiligingsexpert Hans van de Looy. "Het maakt het wel wat lastiger", zegt hij. "Maar dan zou ING klanten wel moeten adviseren hun gebruikersnaam te wijzigen in iets wat moeilijk te raden is." Een combinatie van een voorletter en een achternaam, zoals ING die standaard voor nieuwe klanten instelt, is volgens Van de Looy veel te makkelijk te raden. ING-woordvoerster Monique Bouwmeester zegt dat gebruikers hun username inderdaad beter kunnen veranderen naar iets wat niet voor de hand ligt. "Het is nooit slim om je voorletter en achternaam in te stellen als gebruikersnaam", zegt ze.


Dus....
27-01-2010, 17:20 door Anoniem
Volgens mij zit er een medewerker van de ING hier de beslissing te verdedigen!

Het is absoluut onaanvaardbaar dat als je telefoon + portomonnee gestolen wordt, je eenvoudig de hele bankrekening kunt overboeken op een (buitenlandse) rekening!

Het ING Webcare Team meldt in de reacties op Tweakers.net:
Nieuw proces
ING richt vanaf maart 2010 een nieuw proces in waarbij SMS Tan klanten het wachtwoord per SMS kunnen ontvangen. De klant moet hiervoor geboortedatum, rekeningnummer, pasnummer en expiratiedatum, gebruikersnaam en het mobiele nummer opgeven dat geregistreerd staat in Mijn ING. Per SMS wordt vervolgens een nieuw wachtwoord toegezonden.

De vereiste gegevens heeft de dief / naaste:
- Geboortedatum: Staat op de verplicht bij je te hebben ID-kaart, rijbewijs of ponskaart
- Rekeningnummer: Staat op de bankpas
- Pasnummer: Staat op de bankpas
- Expiratiedatum: Staat op de bankpas
- Gebruikernaam: Raden aan de hand van voor/achternaam, of meekijken op het scherm/cookies uitlezen
- Mobiele nummer: Gewoon een andere gsm bellen, en daar verschijnt het mobiele nummer

Vervolgens laat je een nieuw wachtwoord toesturen via de site naar de mobiele telefoon, je logt in en maakt al het geld over naar een buitenlandse rekening. Je krijgt ook de TAN-code op de gestolen gsm.

Een gebruikersnaam kan nooit als geheime sleutel dienen. A) Je kunt deze zien op het scherm en B) Je kunt deze uitlezen via de cookies en C) Het is vaak simpel te raden
27-01-2010, 20:05 door Anoniem
Door Anoniem: Volgens mij zit er een medewerker van de ING hier de beslissing te verdedigen!

Het is absoluut onaanvaardbaar dat als je telefoon + portomonnee gestolen wordt, je eenvoudig de hele bankrekening kunt overboeken op een (buitenlandse) rekening!

Het ING Webcare Team meldt in de reacties op Tweakers.net:
Nieuw proces
ING richt vanaf maart 2010 een nieuw proces in waarbij SMS Tan klanten het wachtwoord per SMS kunnen ontvangen. De klant moet hiervoor geboortedatum, rekeningnummer, pasnummer en expiratiedatum, gebruikersnaam en het mobiele nummer opgeven dat geregistreerd staat in Mijn ING. Per SMS wordt vervolgens een nieuw wachtwoord toegezonden.

De vereiste gegevens heeft de dief / naaste:
- Geboortedatum: Staat op de verplicht bij je te hebben ID-kaart, rijbewijs of ponskaart
- Rekeningnummer: Staat op de bankpas
- Pasnummer: Staat op de bankpas
- Expiratiedatum: Staat op de bankpas
- Gebruikernaam: Raden aan de hand van voor/achternaam, of meekijken op het scherm/cookies uitlezen
- Mobiele nummer: Gewoon een andere gsm bellen, en daar verschijnt het mobiele nummer

Vervolgens laat je een nieuw wachtwoord toesturen via de site naar de mobiele telefoon, je logt in en maakt al het geld over naar een buitenlandse rekening. Je krijgt ook de TAN-code op de gestolen gsm.

Een gebruikersnaam kan nooit als geheime sleutel dienen. A) Je kunt deze zien op het scherm en B) Je kunt deze uitlezen via de cookies en C) Het is vaak simpel te raden
ophouden met zeiken het scenario dat een random cyber crimineel Je telefoon +portomonee steelt +je gebruikersnaam steelt is erg onwaarschijnlijk.
29-01-2010, 11:17 door Anoniem
"ophouden met zeiken het scenario dat een random cyber crimineel Je telefoon +portomonee steelt +je gebruikersnaam steelt is erg onwaarschijnlijk. "

Onwaarschijnlijk? Ja
Onmogelijk? NEE!

Dat ze de schade vergoeden is een goed punt.
MAAR IK HEB GOD HIER EN ME DAAR GEEN ZIN OP EEN HART AANVAL TE KRIJGEN NAAR DUUR 0900 NUMMER TE BELLEN DAT ZE ME REKENING HEBBEN GEPLUNDERD ALLEEN OMDAT TE BALATVELD WAREN OM DE LAGE SCHOOL AF TE MAKEN... en nu mijn geld voor enige tijd kwijt ben.

Als je het kan voorkomen, doe dat dan!
"Voorkomen is beter dan genezen". Dat verschillende mensen hier een 'probleem' mee hebben maakt mij niets uit. Ik wil die onzin niet, als ze het optioneel hadden gemaakt was ik nog mild MAAR DIT WORD GEWOON JE STROT GERAMD !!

Het is verdome een bank die door de Nederlandse staat overeind wordt gehouden, met onze belastinggeld. Als ze straks al dat gestolen geld moeten vergoeden. DAN KOST HET PAS GELD. En dan waren een paar 1000 van die readers een stuk minder duur.

In Amerika heb je ook zo'n achterlijk, gebruikersnaam/wachtwoord enkel systeem.
Dan heb je geen TAN codes of iets, en als je hoort wat daar aan klachten over zijn. En nu wil de ING om 'kosten' besparen dit systeem gaan invoeren? Het is 2010. We leven niet meer in de tijd va een 56k modem dat alles wat je op internet doet nog veilig is.


Een nieuwe goede slogan zijn: Dat is nu de domme kracht van de ING (Postbank).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.