image

Banken bewust van risico's mobiel bankieren

dinsdag 28 februari 2012, 12:32 door Redactie, 17 reacties

Bij computervereniging HCC heerst grote twijfel over de veiligheid van mobiel bankieren apps, maar de banken zeggen dat ze zich van de risico's bewust zijn. Dat werd duidelijk tijdens een discussie over het onderwerp in de Amsterdamse Bazel, waar ook Security.nl aanwezig was. Mobiel bankieren apps worden inmiddels door honderdduizenden consumenten gebruikt. Volgens Michael Samson, adviseur informatica bij de Nederlandse Vereniging van Banken (NVB), zijn de huidige apps niet te vergeleken met internetbankieren op de pc. "Ten eerste is op mobiel de beveiliging lager. De functionaliteit is over het algemeen ook lager." Het gaat dan om het bedrag van de transacties en de rekeningen waar het geld naar over is te maken. "Zo heeft iedereen wel wat aan beveiliging er om heen gebouwd."

Samson benadrukt dat er op de smartphone veel minder malware is, omdat de telefoon nog niet voor transactieverkeer wordt gebruikt. "Dat begint nu hard op te lopen." De huidige oplossingen zouden volgens hem dan ook voldoen. "Je moet het wel in de gaten houden."

Onveilig
Bij de HCC, de grootste computerhobby-vereniging van Nederland, is men niet overtuigd van de veiligheid van de apps. "Je kijkt over de schouders van iemand mee en je hebt de hele wereld", zegt Arda Gerkens, directeur van de HCC. "Hoe kan het in deze tijd dat banken dit soort zaken toestaan." Gerkens zou van leden signalen krijgen dat ze het mobiel bankieren onveilig vinden en de app vaak weer verwijderen.

Samson merkt op dat de NVB niet over de veiligheid van bankieren apps gaat, maar stelt dat als het echt de spuigaten uit zou lopen, De Nederlandsche Bank of interne auditors bij de bank in kwestie wel op zullen treden. "Het onderwerp staat ook bij banken op de agenda", gaat Samson verder. "Het gebruik van mobiel gaat heel hard." Consumenten zouden veel vaker hun saldo via een smartphone app controleren dan via hun computer. "Op dit moment is er nog geen schade."

Twee-factor authenticatie
Sommige critici vinden het storend dat de smartphone apps geen twee-factor authenticatie gebruiken. Een extra apparaatje om een code te genereren om vervolgens op de smartphone in te voeren, is volgens Samson niet erg praktisch en gebruiksvriendelijk. De schade die potentieel met de huidige banking apps kan worden aangericht valt volgens hem mee en zou een maatregel zijn om grootschalige fraude tegen te gaan. "Het lukt me niet als ik iemands telefoon jat om zijn volledige saldo in ene naar Rusland over te maken."

Samson merkt op dat ook banken tegenstrijdige belangen hebben. "Er zijn commerciële mensen en er zijn beveiligingsmannen. Je moet uitkijken dat er niet onder een veel lager beveiligingsniveau alle functionaliteit van internetbankieren plotseling ook mobiel kan. Dat iemand mijn hele spaarrekening naar een privérekening kan leegtrekken, en vervolgens naar een willekeurig adres in Nederland kan overboeken met alleen een wachtwoord. Dat is niet de bedoeling en ik denk ook niet dat dat gaat gebeuren."

Keuze
Volgens Gerkens moeten consumenten de keuze krijgen. "Ik denk dat het voor de consument prettig is als die zelf voor de meest of veilige optie of minder veilige optie kan kiezen, dan dat er dingen door zijn strot worden geduwd." Samson vindt dat banken al hun verantwoordelijkheid nemen, maar dat het laten instellen van klanten hoeveel ze willen kunnen overmaken geen echte oplossing is.

"Ik wil als klant überhaupt de keuze hebben of ik geld naar een andere rekening kan overboeken. Ik zou zeggen dat je dat nooit zou moeten willen op een mobiel. Je zou nooit moeten willen dat je mobiel geld kunt overboeken naar een andere rekening dan je eigen rekening", stelt Gerkens.

Eddy Willems van G Data denkt dat er uiteindelijk toch iets van multi-factor authenticatie zal komen. "Dan zitten we iets beter. Ik zeg niet dat we veilig zitten, dat is een andere zaak." Wat betreft de veiligheid van smartphones zijn anti-virusbedrijven op dit moment machteloos, merkt Willems op. Zowel Google als Apple zouden de noodzakelijke API's niet vrijgeven, waardoor een virusscanner niet op hetzelfde niveau kan werken als op een normale computer.

Toekomst
Wat betreft de toekomst houden banken de veiligheid van het mobiele platform en bankieren apps in de gaten. "Laat ik eerlijk zijn, er zit wel een risico aan voor de toekomst", laat de NVB-adviseur weten. Steeds meer consumenten zouden echter via hun mobiel willen bankieren, "waardoor banken gewoon moeten", aldus Samson. "Als de een het doet, doet de ander het ook. Je moet alleen zien hoe de veiligheid van de mobiel zich ontwikkelt en ook hoe de commerciële druk zich ontwikkelt."

Het donkerste scenario dat Samson zich voor kan stellen is dat straks alles kan op de mobiele telefoon, waardoor fraude groeit. Maar banken zouden de beveiliging niet verder kunnen laten gaan dan alleen een gebruikersnaam en wachtwoord. "Dat is een onwerkbare situatie dan gaat de fraude echt oplopen. Dat scenario zal niet gebeuren." Als oplossing kunnen banken volgens de adviseur kiezen om het transactiebedrag te beperken of wachten totdat mobiele telefoons veel veiliger worden.

Reacties (17)
28-02-2012, 12:36 door Anoniem
Banken zijn zich wel degelijk bewust van risico's mobiel bankieren, daarom willen ze ook zo graag het eigen risico invoeren.
28-02-2012, 13:08 door Rasalom
Ik vind het persoonlijk wel prettig dat ik mijn saldo en historie bij Rabo kan checken, maar het zou prettig zijn als ik zou kunnen instellen dat ik geen betalingen kan verrichten. Dat zou bijvoorbeeld heel eenvoudig kunnen via bijvoorbeeld een instellingen-scherm op de gewone web interface, die alleen te bereiken is *met* de random reader.

Volgens Gerkens moeten consumenten de keuze krijgen.
Inderdaad. Wat mij betreft alles standaard uit. En dan mogen ze van mij best een eigen risico instellen als je het toch aan zet.
28-02-2012, 13:26 door martijno
"Er zijn commerciële mensen en er zijn beveiligingsmannen"
Beveiliging is niet voor vrouwen (volgens de NVB).
28-02-2012, 14:06 door [Account Verwijderd]
[Verwijderd]
28-02-2012, 14:38 door Anoniem
Zie ook http://www.security.nl/artikel/40526/1/Ernstig_lek_in_alle_Android-telefoons_onthuld_.html :)
28-02-2012, 14:39 door Anoniem
"Volgens Gerkens moeten consumenten de keuze krijgen." : gaan ze dan ook de keuze krijgen of ze zelf opdraaien voor potentiële fraude of niet?
28-02-2012, 17:24 door Anoniem
Normaal google basher, maar het klopt in ieder geval niet dat google de api's niet vrijgeeft. Das open source linux + android op een heel erg beperkt deel na dat niets met security maar met commerciele belangen te maken heeft. Daarom is het ook een HOBBY cc en geen platform voor professionals.
28-02-2012, 18:37 door Anoniem
Straks bestaat het onderscheid tussen smart phones, tablets en PCs niet meer. Consumenten willen niet gedifferentieerd bankieren, maar gewoon overal alles kunnen. Ik zie het al voor mij: thuis op de bank met mijn iPad kan ik maar 30 Euro overboeken, en voor een grote rekening moet ik de laptop erbij pakken...er handig. Uiteindelijk zal niemand dat meer accepteren. End point security t.b.v online banking is overleden, mede door de vereiste mobiliteit door de consumenten. Banken zullen moeten investeren in superieure fraudedetectie.
28-02-2012, 19:35 door Anoniem
Ik sluit me aan bij Rasalom, maar dan nog wat uitgebreider.
Zoals hij voorstelt een dashboard op de website *met* Random Reader waarin je bijvoorbeeld ook een limiet aan aantal en omvang van mobiele transacties kan instellen, een keuze om transacties al dan niet te beperken tot transacties naar bekende nummers (uit het adresboek), etc.
Ik vind kunnen het overmaken van bedragen via mobiel erg handig, maar dat is tientjes werk. Ik ga geen auto kopen via m'n mobiel.

Overigens is het bij de Rabo app - voor zover ik weet - zo dat je voor transacties naar onbekende rekeningnummers ook bij de mobiele app je Random Reader nodig hebt. Alleen als rekeningnummers in je adresboek voorkomen dan kan je er zonder Random Reader geld naar over maken (mogelijk alleen kleine bedragen, met grote bedragen geen ervaring).
28-02-2012, 20:03 door Anoniem
Wat we vaak vergeten is dat een Mobile device eigen gewoon een PC.
Al je maatregelen voor veilig internet bankieren geld dus ook voor je mobiele device.

-Secure connection.
-Strong authentication of dual authentication.
-Login and password dienen extra encrypted te zijn binnen https
-No jailbreak phones.
-Secure cookies (deze opties wordt amper gebruik op phones)
-secure programming guidlines (MAC and Mobiele apps zijn vele niet veilig geprogrammeerd)
-uitgebreid testen em pentesten.
29-02-2012, 10:16 door Anoniem
Door Anoniem: Normaal google basher, maar het klopt in ieder geval niet dat google de api's niet vrijgeeft. Das open source linux + android op een heel erg beperkt deel na dat niets met security maar met commerciele belangen te maken heeft. Daarom is het ook een HOBBY cc en geen platform voor professionals.

Linux niet voor professionals?

Android applicaties (in Java) draaien in user-modus, de antivirus moet bij de Kernel laag (C taal) kunnen komen om echt effectief te zijn. En dat staat Google niet toe, vanwege de veiligheid.

Als antivirus echt mogelijk moet worden, dan moet de leverancier dit zelf installeren.
Installeren via een marketplace is gewoon niet veilig genoeg voor dit soort root-applicaties.
Als je dit voor één apps toestaat, kunnen andere dat ook gebruiken. En als mensen iets willen, al is het maar een spelletje (met adware) dan drukken ze gewoon op oke en kijken veelal niet verder naar het risico.

Als een bank dit echt veilig wilt aanbieden, moet dat op een apart toestel welke alleen de banking app draait en met two-factor authenticatie. Anders blijf je altijd een risico lopen!
29-02-2012, 10:29 door Anoniem
De kritiek van HCC lijkt me meer dan terecht. Veel mensen zullen immers denken dat mobiel bankieren wel veilig zal zijn als ze dat door een bank aangeboden krijgen.

De Rabobank stuurde mij, zonder dat ik daar om had gevraagd, op een gegeven moment een compleet mobiel bankieren pakket inclusief autorisatie codes etc.

Omdat ik me er maar al te goed bewust van ben dat android zo lek is als een mandje, heb ik onmiddellijk de Rabobank gebeld om dat mobiele pakket te laten deactiveren. En om er zeker van te zijn dat de Rabobank geen verhaal op me heeft, mocht er om een of andere reden daar toch nog iets fout mee gaan heb ik Rabobank verzocht schriftelijk aan mij te bevestigen dat dat mobiel bankieren volledig is ge-deactiveerd. Wat Rabobank trouwens ook keurig netjes heeft gedaan.

Ik ben zeer tevreden over Rabo elektronisch bankieren, mede omdat het beschikt over two factor authentication. Maar ik vindt het volstrekt onbegrijpelijk dat de Rabobank mij tegelijkertijd ongevraagd een een mobiel betaalsysteem door de strot probeert te duwen dat potentieel zo lek is als de pest, ook al gaat het om relatief lage bedragen.
29-02-2012, 23:10 door cowboysec
Door Anoniem: Banken zijn zich wel degelijk bewust van risico's mobiel bankieren, daarom willen ze ook zo graag het eigen risico invoeren.

Banken: direct Eigen Risico dan maar invoeren en dan wel een percentage van het bedrag van de transactie zodat ook de rijkeren onder ons naar rato schuld moeten betalen. Ben ik sterk voorstander van; de rest werkt nog niet
Vaste bedragen duperen de armen onder ons teveel en zijn een schijntje voor de rijkeren.
29-02-2012, 23:22 door cowboysec
Door Anoniem: Wat we vaak vergeten is dat een Mobile device eigen gewoon een PC.
Al je maatregelen voor veilig internet bankieren geld dus ook voor je mobiele device.

-Secure connection.
-Strong authentication of dual authentication.
-Login and password dienen extra encrypted te zijn binnen https
-No jailbreak phones.
-Secure cookies (deze opties wordt amper gebruik op phones)
-secure programming guidlines (MAC and Mobiele apps zijn vele niet veilig geprogrammeerd)
-uitgebreid testen em pentesten.


Helemaal mee eens, echter:
0) Smartphones zijn wel intrensiek beter qua basisbeveiliging dan PC's schat ik zo in maar de apps etc. en additionele maatregelen lopen nog uit de pas
1) de beveilingsmatregelen van smartdevices zijn volgens mij nog lang niet op PC-niveau en ik verwacht dat dit jaar nog niet tot Android 5.0 komt
2) en als je al goede beveilings apps toepast dan heb je voor een goede performance al snel een quad core processor nodig
3) ook jaibraken en rooten willen velen juist wel doen. je kunt dat niet selectief even uit-aanzetten (dacht ik) zoals admin bij Windows of root bij Linux
4) ja wie heeft allemaal veilige apps?
5) pentesten en testen doen maar weinigen, dus.

Samengevat:de smartdevices zitten komend jaar nog lang niet op PC-niveau qua beveiliging.
Dan te bedenken dat PC-gebruikers het al allemaal niet meer snappen en onveilig werken; maak je borst maar nat met Internet bankieren op Smartdevices.

Ik doe het vooralsnog niet en wil geen early victim zijn.
29-02-2012, 23:26 door cowboysec
Ik was met e-bankieren ook niet een van de eersten en doe het anno 2012 nog uiterst voorzichtig, maar via een Smartdevice wil ik dat voorlopig nog zeker niet doen; no way.

Mooi dat HCC stelling neemt. Ook als zijn het hobbyisten. Juist die vertrwouw ik beter dan banken en hun auditors. Hobbyisten zijn 100% onafhankelijk en banken(auditors) zijn dat zeker niet.

Dat RABO zo'n app-pakket ongevraagd stuurt zou niet moeten kunnen. Ik zou ook meteen de handel direct teruggeven met aangetekende brief dat ik er geen gebruik van wilde en wil maken totdat ik dat zelf aanvraag!
01-03-2012, 10:53 door Anoniem
Zie hier de reactie van ING dat er in hun app geen mogelijkheid is om de pincode te wijzigen.
Beetje apart.

Je snapt wel dat ik de app direct weer verwijderd heb.

Geachte heer/mevrouw,
In uw e-mail geeft u aan dat u wilt weten hoe u uw mobiele pincode wijzigt.

*Mobiele pincode wijzigen
U wijzigt de code door drie keer een verkeerde mobiele pincode in te toetsen. Hierdoor wordt uw Mobiel Bankieren App geblokkeerd. U meldt zich vervolgens opnieuw aan in de app. Na het invoeren van de bevestigingscode en het accepteren van de voorwaarden, kunt een nieuwe mobiele pincode instellen. U meldt u als volgt opnieuw aan voor de Mobiele Bankieren App; - start de App op uw mobiele telefoon; - druk op ‘Aanmelden' en vul uw gegevens in; - ga naar een computer en log in op Mijn ING; - ga naar ‘Aanmelden Mobiel Bankieren' en volg de stappen om een bevestigingscode aan te vragen; - ga naar de App op uw mobiele telefoon en vul de bevestigingscode in; - lees de Voorwaarden Mobiel Bankieren en accepteer deze; - maak een persoonlijke mobiele pincode aan en bevestig deze code. Daarna kunt u de Mobiel Bankieren App weer gebruiken. Heeft u nog vragen? Kijk op ING.nl/mobiel. Of bel ons op 0900 1958 (10 cent per minuut). U kunt ons bereiken van maandag tot en met vrijdag van 8.00 tot 21.00 uur en op zaterdag van 9.00 tot 17.00 uur. Wij helpen u graag.

05-03-2012, 13:58 door ING Webcare Team
Door Anoniem: Zie hier de reactie van ING dat er in hun app geen mogelijkheid is om de pincode te wijzigen.
Beetje apart.

Je snapt wel dat ik de app direct weer verwijderd heb.

Geachte heer/mevrouw,
In uw e-mail geeft u aan dat u wilt weten hoe u uw mobiele pincode wijzigt.

*Mobiele pincode wijzigen
U wijzigt de code door drie keer een verkeerde mobiele pincode in te toetsen. Hierdoor wordt uw Mobiel Bankieren App geblokkeerd. U meldt zich vervolgens opnieuw aan in de app. Na het invoeren van de bevestigingscode en het accepteren van de voorwaarden, kunt een nieuwe mobiele pincode instellen. U meldt u als volgt opnieuw aan voor de Mobiele Bankieren App; - start de App op uw mobiele telefoon; - druk op ‘Aanmelden' en vul uw gegevens in; - ga naar een computer en log in op Mijn ING; - ga naar ‘Aanmelden Mobiel Bankieren' en volg de stappen om een bevestigingscode aan te vragen; - ga naar de App op uw mobiele telefoon en vul de bevestigingscode in; - lees de Voorwaarden Mobiel Bankieren en accepteer deze; - maak een persoonlijke mobiele pincode aan en bevestig deze code. Daarna kunt u de Mobiel Bankieren App weer gebruiken. Heeft u nog vragen? Kijk op ING.nl/mobiel. Of bel ons op 0900 1958 (10 cent per minuut). U kunt ons bereiken van maandag tot en met vrijdag van 8.00 tot 21.00 uur en op zaterdag van 9.00 tot 17.00 uur. Wij helpen u graag.

Op de dag van het plaatsen van dit voorgaande bericht over het wijzigen van de pincode in de Mobiel Bankieren App van ING is er een update gelanceerd.

Naast het opnemen van het online adresboek van Mijn ING is het nu (na updaten van de App) mogelijk op iPhone, iPad en Android toestellen om de mobiele pincode te wijzigen.

Voor alle toekomstige wijzigingen en updates houden wij een speciale pagina op onze website bij. Zie hiervoor http://www.ing.nl/particulier/mobiel/verbeterde-mobiel-bankieren-app/index.aspx.

Vriendelijke groeten,

Roy
ING Webcare Team
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.