"Einde bankafschrift goed nieuws voor malware"
Het verdwijnen van het papieren bankafschrift is goed nieuws voor virusschrijvers, dat zegt Righard Zwienenberg van anti-virusbedrijf Norman tegenover Security.nl. Zo verstuurt de ING Bank per 1 september geen rekeningafschriften meer naar klanten die internetbankieren. Door de komst van internet zouden klanten minder behoefte aan papieren rekeningafschriften hebben. De bank noemt het een "mooi streven" als het papieren bankafschrift helemaal verdwijnt.
Volgens een woordvoerder van de SNS Bank worden papieren bankafschriften nauwelijks gebruikt. ''Het is mosterd na de maaltijd als je elke dag via internet het rekeningoverzicht kunt bekijken." Het probleem is echter dat er verschillende Trojaanse paarden actief zijn die de op het scherm weergegeven informatie kunnen manipuleren, ook al is men via SSL ingelogd. De lokaal weergegeven informatie wordt namelijk lokaal aangepast.
"We moeten beseffen dat Trojaanse paarden alles op je scherm en in je verkeer kunnen manipuleren", zo waarschuwde Roel Schouwenberg van Kaspersky eerder dit jaar. Hij krijgt bijval van Zwienenberg. "Als het lokaal wordt weergegeven en je bent lokaal geïnfecteerd, dan is dat een probleem."
Evolutie
Consumenten die zich zorgen maken kunnen volgens de virusbestrijder beter via twee systeem internetbankieren, zodat ze vanaf aparte computers kunnen controleren of de weergegeven informatie op het scherm klopt. Zelf gebruikt Zwienenberg een apart 'image' dat hij voor elke internetbankieren-sessie start en na afloop weer verwijdert. "Je kunt standaard een man-in-the-middle aanval hebben die netjes alles afvangt, maar een aanval op het systeem is waarschijnlijker. Dat is eigenlijk ook een man-in-the-middle, maar dan op je eigen systeem. Daar weten ze ook wat ze veranderd hebben en kunnen ze dat real-time bijhouden."
Wat betreft het verdwijnen van het papieren afschrift is dat volgens Zwienenberg de evolutie van de technologie. "We sturen ook steeds minder brieven en doen alles via e-mail. Dat is gewoon gewenning."
Twee-factor
Het wordt niet alleen goed opletten voor consumenten, ook voor de banken zou het een extra reden moeten zijn om hun systemen veiliger te maken, aldus de virusbestrijder. "Het is vaak genoeg aangetoond dat twee-factor authenticatie te omzeilen is." Hij noemt als mogelijke oplossing dat banken een sms versturen zodra mensen iets via internetbankieren of met hun pinpas betalen, waarin de details van de transactie staan. In het geval van misbruik zouden consumenten zo eerder actie kunnen ondernemen.
Moet je straks 'live' in de rechtszaal inloggen op je bankaccount, of bij de Gemeente of bij instantie xyz ??
Hij noemt als mogelijke oplossing dat banken een sms versturen zodra mensen iets via internetbankieren of met hun pinpas betalen, waarin de details van de transactie staan. In het geval van misbruik zouden consumenten zo eerder actie kunnen ondernemen.
@Eerde en unbalanced
Bij de Rabobank kun je de afschriften die je vroeger per post thuisgestuurd kreeg, downloaden als pdf. Die kun je dan nog uitprinten en dan heb je hetzelfde effect als met de afschriften van voorheen. En als malware ook die PDF kan aanpassen (weet uit mn hoofd even niet of die ondertekend is of niet), dan heb je wel een probleem. Maar dan heb je wel heel goede malware nodig, zeker als het bestand normaalgesproken ondertekend is en die handtekening dan dus ongeldig is.
Disclaimer:
Nee, ik heb geen aandelen in/ledencertificaten van de Rabobank, maar maak gebruik van hun internetbankieren :)
En een .pdf zou ik niet kunnen bewerken ? Onder GNU/Linux heb is dat een stuk eenvoudiger dan bij die andere makert van een falend OS ;)
Als ik Okular gebruik krijg ik een keur aan aanpassing mogelijkheden en 'tools'.
Hoe zie je die ondertekening ? Als een MD5 checksum ? (http://en.wikipedia.org/wiki/MD5)
Retorische vraag: Is de NL rechtspraak al zover dat dat geaccepteerd wordt ?
PS ik ben ook een Rabo klant en gebruik al hun mogelijkheden ten volle :)
Hoe zie je die ondertekening ? Als een MD5 checksum ? (http://en.wikipedia.org/wiki/MD5)
Retorische vraag: Is de NL rechtspraak al zover dat dat geaccepteerd wordt ?
En ik snap ook wel dat een PDF aangepast kan worden, maar een malware die de Rabobank PDF's on-the-fly aanpast zodat bepaalde transacties onzichtbaar worden, schaar ik zeker onder geavanceerd.
Moet je straks 'live' in de rechtszaal inloggen op je bankaccount, of bij de Gemeente of bij instantie xyz ??
Het moet niet zo moeilijk zijn een service te maken waarbij je bank op verzoek eem uitdraai maakt van relefante betalingen, bv "alle transacties in maart 2009" of alle betalingen aan UPC". Maar dan nog is een bankafschrift niet zo moeilijk vervalsen, we hebben het niet over zwaar beveiligd drukwerk zoals bankbiljetten of paspoorten.
Het is natuurlijk wel makkelijk de techniek van tegenwoordig maar wordt er wel eens maar de mens gekeken?
Ouderen die geen computer hebben kunnen nooit meer zien wat zij op hun rekening hebben staan.
Die ouderen zijn meestal het slachtoffer van criminelen aktiviteiten, door geen afschriften te krijgen kunnen zij ook niet zien of zij geript zijn.Ik ben geen voorstander hier voor.
1) het is lastiger te realiseren
2) het is gemakkelijk te detecteren als de bank het pdf-bestand heeft voorzien van een digitale handtekening omdat je PDF-lezer dan aangeeft dat het bestand is aangepast nadat de digitale handtekening is gezet.
Moet je straks 'live' in de rechtszaal inloggen op je bankaccount, of bij de Gemeente of bij instantie xyz ??
dat wordt erg moeilijk, data van langer als 6 maanden geleden is niet meer toegankelijk ....
En een .pdf zou ik niet kunnen bewerken ? Onder GNU/Linux heb is dat een stuk eenvoudiger dan bij die andere makert van een falend OS ;)
Moet je straks 'live' in de rechtszaal inloggen op je bankaccount, of bij de Gemeente of bij instantie xyz ??
dat wordt erg moeilijk, data van langer als 6 maanden geleden is niet meer toegankelijk ....
Interessant voor bedrijven. Hoe gaat de belasting dat doen als ze 5 jaar controle of bij een vermoeden van fraude 10 jaar terug willen snuffelen ?
Worden we verplicht om een pdf te downloaden in Januari ? Wat is de sanctie als je het niet doet (zal wel €160 + € 6 administratiekosten zijn + 15% binnenkort).
Ik moet ieder jaar kopijen van de rekening uittreksels doorgeven aan de dienst studietoelagen zodat die kunnen berekenen hoeveel mijn totale inkomsten zijn
Hoe moet ik dit dan gaan doen?
Interessant voor bedrijven. Hoe gaat de belasting dat doen als ze 5 jaar controle of bij een vermoeden van fraude 10 jaar terug willen snuffelen ?
Worden we verplicht om een pdf te downloaden in Januari ? Wat is de sanctie als je het niet doet (zal wel €160 + € 6 administratiekosten zijn + 15% binnenkort).
Interessant voor bedrijven. Hoe gaat de belasting dat doen als ze 5 jaar controle of bij een vermoeden van fraude 10 jaar terug willen snuffelen ?
Worden we verplicht om een pdf te downloaden in Januari ? Wat is de sanctie als je het niet doet (zal wel €160 + € 6 administratiekosten zijn + 15% binnenkort).
Overigens is een belastingfraude van 10 jaar terug vermoedelijk verjaard. Sowieso kan de belastingdienst dat alleen maar opbrengen als ze een _nieuw feit_ hebben, anders hadden ze dat in die tijd maar moeten zien. Voor particulieren is de grens al 5 jaar... Langer dan 5 jaar hoef je je administratie niet te bewaren.
EJ
Papieren afschriften kunnen over het algemeen vrij eenvoudig uit de gemiddelde brievenbus worden gehengeld. En postbodes zijn ook soms bereid de post af te geven aan iemand die zich voordoet als de bewoner van een pand.
1) het is lastiger te realiseren
2) het is gemakkelijk te detecteren als de bank het pdf-bestand heeft voorzien van een digitale handtekening omdat je PDF-lezer dan aangeeft dat het bestand is aangepast nadat de digitale handtekening is gezet.
hoe passen ze de website voor de gebruiker aan.Is dit gewoon een soort memory hook op bepaalde data in een bepaald windows bestand of worden de packets gewoon onderschept en gemanipuleerd ?. Ik ben daar wel nieuwsgierig na want dat geeft tevens de moeilijkheid aan van dit proces en dus hoe groot de kans is dat dit daadwerkelijk veel in praktijk gebeurd. Weet iemand hier meer van en zou diegene hier wat meer duidelijk informatie over kunnen geven ipv dat het moeilijk is.
Want als ik ervan uitga dat de packets worden onderschept, gemanipuleerd en doorverzonden(mitma. Zou dus dit proces in mijn ogen net zo simpel omgedraait kunnen worden waardoor de download request aangepast wordt en een gemanipuleerde PDF van een andere locatie gedownload.
Maar of veel (niet IT security) mensen dat daadwerkelijk gaan doen?
Ja, dat is een goed idee: msn gebruiken. MSN is namelijk zoooooooo veilig, er zijn nooit wormen en trojans, en alle verkeer is encrypted...
@Anoniem 11:22: Het antwoord staat gewoon in de tekst.
@H.King: er vindt een MITM, opf eigenlijk MITB (man in the browser) aanval plaats. Dus je browser vertoont iets anders dan wat de bank verstuurt. De packets worden dus onderschept in de browser, na de ssl decoding. Hiervoor zijn exploits in omloop.
het enige wat ik verstuur (en de ABN) is de laatste 4 cijfers van mijn rekening nummer.
Het enig wat ik (en dus een ander kan doen/zien) krijg is mijn saldo (in mijn geval lekker belangrijk ;)
Geen mogelijkheid om transacties te starten dus ja is veilig
En natuurlijk zou er een bad guy kunnen komen die mijn thuis pc hacked en geld jat zonder het aan mij te laten zien en die ook nog mijn android telefoon hacked en mijn msn client hacked om ook daar het saldo te onderscheppen maar voorlopig heb ik een 2 controlle middel om makkelijk mijn slado te checken (naar de slado check bij de abn pin automaat.
En ja als abn gehacked wordt dan werkt dat allemaal niet meer
Ik doe niet aan internetbankieren gewoon weg omdat het niet veilig genoeg is.
Wel heb ik de Rabofoon wel eens gebruikt voor een overboeking of om te luisteren naar afschrijvingen.
Maar je hoort en leest nog zo vaak dat het weer raak is bij een of andere bank door middel van een phisingsite etc..
Nou schijnt internet bankieren bij de Rabobank wel èèn van de veiligste te zijn.
Maar toch zo lang ik het kan ontlopen doe ik het.
Het zelfde met de OV chippas[kaart] en ook betaal ik bijna alles contant zoveel mogelijk.
Mijn schoonmoeder, waarschijnlijk een stuk jonger dan uw oma, heeft geen computer en heeft ook geen plannen daarvoor. Ik heb haar nog nooit over problemen met betalen of het krijgen van afschriften gehoord. Wat ze wel doet is enkele malen per week, als ze weet of vermoed dat er iets wordt afgeschreven, de saldolijn (of hoe het voor haar bank ook heet) bellen.
Ik vind wel dat je voor bijvoorbeeld een maandelijks afschrift niet zou moeten hoeven te betalen.
Uw oma en mijn schoonmoeder hebben in elk geval geen last van computerhackers, dat wil zeggen voor wat telebankieren betreft.
Het risico wordt belegd bij de klant.
De winst bij de bank, denken ze maar die zijn zo handig om alles met verzekeringen af te dekken.
Terwijl de bank dankbaar moet zijn dat we ons geld daar laten storten.
Van het percentage rente moeten ze makkelijk alles kunnen betalen.
In feite gaat het bij de bank alleen maar om meer en meer.
Even wakker worden dus.
Is dit nu zo moeilijk om zoiets te maken, niet meer via een browser maar een speciaal appart programma.
En alle banken werken met net zo'n reken machine wat de rabo gebruikt.
--
probleem is alleen, Veel instanties, nemen niet eens de moeite om de mail te lezen.
en pleuren die weg.
moeten wij eens doen...
Ik lees op Security.NL dat ING per 1 september stopt met uitgeven van rekeningafschriften aan internetbankierders.
http://security.nl/artikel/34362/1/%22Einde_bankafschrift_goed_nieuws_voor_malware%22.html
Graag wil ik weten of dit inderdaad zo is of dat ik nog steeds 1 afschrift per maand toegezonden kan krijgen voor beide mijn rekeningen.
Antwoord van ING:
Het bericht klopt. U kunt wel afschriften blijven ontvangen als u dit graag wilt.
Wilt u weer afschriften ontvangen, dan activeert u de toezending van uw afschriften via Mijn ING. Dit kunt u als volgt doen:
- log in op Mijn ING;
- kies voor ‘Service en instellingen';
- ga naar 'Aanvragen en opzeggen';
- klik op 'Stopzetten afschriften';
- vink achter uw rekening(en) het hokje 'Maandelijks afschriften' aan;
- klik op 'Bevestigen'.
Het ontvangen van maandelijkse afschriften blijft gratis.
Met vriendelijke groet,
ING Klantenservice
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.