image

PvdA: virusscanner niet voor internetbankieren verplichten

woensdag 10 september 2014, 14:13 door Redactie, 34 reacties

Banken moeten consumenten niet verplichten om een virusscanner te gebruiken die up-to-date is of dat ze regelmatig op hun rekening inloggen als ze eventuele schade bij internetbankieren vergoed willen krijgen. Daarvoor heeft PvdA-Kamerlid Henk Nijboer een initiatiefnota bij de Tweede Kamer ingediend.

De PvdA wil dat banken bij fraude, phishing en malware verantwoordelijk blijven voor het vergoeden van de schade. Daarnaast moet de bewijslast bij banken komen te liggen en moet het eigen risico voor schade die consumenten door fraude met internetbankieren ondervinden worden geschrapt. Volgens Nijboer mag de verantwoordelijkheid niet naar de consument verschuiven, maar hoort die bij de banken te liggen.

"Behalve als je aantoonbaar grof nalatig of frauduleus handelt, moet je ervan uit kunnen gaan dat je je geld terugkrijgt." Zzp'ers en het midden- en kleinbedrijf zouden daarnaast dezelfde bescherming tegen internetcriminelen moeten krijgen als consumenten. "Ook zij moeten erop kunnen vertrouwen dat hun geld in goede handen is." Verder zou schade door fraude met internetbankieren binnen een maand door de bank moeten zijn vergoed.

Bewijslast

Ook pleit Nijboer voor het omdraaien van de bewijslast. "De consument hoeft niet te bewijzen dat hij of zij niet met grove opzet of nalatig handelde. Als een bank denkt dat sprake is van grove opzet of nalatigheid, moet de bank dat bewijzen. Bovendien moet schade binnen een maand worden vergoed." Het niet controleren van de rekening of het net niet meer up-to-date hebben van de virusscanner kunnen volgens het voorstel geen reden zijn om in geval van schade deze niet te vergoeden.

Als het aan de PvdA ligt moet ook het eigen risico eraan geloven. "In de wet staat dat bij schade consumenten een eigen risico hebben van 150 euro. In de praktijk is dit een dode letter. De PvdA stelt voor dit eigen risico uit de wet te schrappen."

Privacy

Naast internetbankieren gaat de initiatiefnota ook over de privacy van bankklanten. Banken beschikken volgens Nijboer over veel informatie, zoals waar, wanneer en aan wie men welk bedrag heeft betaald voor diensten of producten. Hij wil niet dat deze informatie wordt verkocht of voor commerciële doeleinden wordt gebruikt. Het PvdA-lid stelt verder dat data van klanten zijn en niet van de banken. "Consumenten moeten hun bankrekeninggegevens makkelijk kunnen gebruiken voor online rekentools." Naar aanleiding van de nota zal Nijboer vandaag vragen aan Minister Dijsselbloem van Financiën stellen.

Reacties (34)
10-09-2014, 14:50 door Anoniem
Banken beschikken volgens Nijboer over veel informatie, zoals waar, wanneer en aan wie men welk bedrag heeft betaald voor diensten of producten.

Niet vergeten, de biometrische gegevens

Stemherkenning profiel
https://www.security.nl/posting/401507/ING+gaat+stemherkenning+aan+mobiel+bankieren+app+toevoegen

Aderpatronen
https://www.security.nl/posting/400991/Britse+Barclays+bank+zet+biometrie+in+tegen+bankfraude

Vingerafdrukken
https://www.security.nl/posting/35220/Bank+vervangt+pinpas+door+vingerafdruk

Iris Scan Technology
http://monkeetech.com/use-of-iris-scan-technology-to-curtail-banking-and-credit-card-fraud/

Banken verdienen geld om het geld verdienen, buiten marketingimago zonder oog voor politiek of moraal.
Dat kan met wapenhandel, hoe doet jouw bank het? Via speculaties op noodzakelijk basis ingedrienten voor voedsel als mais.
Uiteindelijk waarschijnlijk ook met essentiele persoonsdata, direct of via tussenpersonen verkocht aan de hoogste bieders wanneer de wet ervoor voldoende is opgerekt. Dat komt nog wel.

Met medewerking van schijnheilige zogenaamd belangenbehartigende partijen die, als het puntje bij paaltje komt, altijd weer met droge ogen alles politiek uitruilen om er zelf met zichtbaar blosje van geluk op de kaak weer een peilingpuntje beter van te worden.
10-09-2014, 15:14 door golem

Daarnaast moet de bewijslast bij banken komen te liggen
Dat is toch al zo ?
10-09-2014, 15:24 door Anoniem
Door golem:

Daarnaast moet de bewijslast bij banken komen te liggen
Dat is toch al zo ?

Als het nu al zo is, dan kan het geen kwaad om het in een wet vast te leggen. Daar hebben dan zowel de banken als de klanten geen last van.
Maar blijkbaar zijn de banken tegen dit voorstel. (zie Webwereld)
En als alles wat er in het voorstel staat nu al de werkelijkheid is, waarom zouden ze dan tegen zijn???


Verder zijn de banken weldegelijk bezig om die bewijslast af te schuiven naar de consument.
Dus een extra bescherming van de klant door de wet is alleen maar extra welkom.
10-09-2014, 15:25 door Zipper
Een goed anti-virusprogramma , die up-to-date, is toch wel het minste wat je mag je mag verwachten van mensen die internet bankieren.
10-09-2014, 15:30 door Anoniem
Dus gaan banken het standaard op nalatigheid gooien. Dan wordt er gelogd met welke browser je inlogd etc... zodat dit later tegen je gebruikt kan worden als je geld weg is.
10-09-2014, 15:34 door Anoniem
Bij een IOS device kun je wel internetbankieren maar is er geen antivirus programma. Hoe gaan de banken daar dan mee om.
10-09-2014, 15:38 door Anoniem
Door golem:
Daarnaast moet de bewijslast bij banken komen te liggen
Dat is toch al zo ?
De ingediende nota legt het uit. De bewijslast ligt bij de banken, maar de wet laat zich niet uit over wat grove nalatigheid is. Het effect daarvan is dat Kifid sterk op de algemene voorwaarden van banken leunt en de banken dus in wezen voorschrijven wat grof nalatig is en wat niet. Dit leidt, zegt de nota, tot ongewenste uitholling van de zware bewijslast die aan banken is toegekend.
10-09-2014, 15:43 door Briolet
Datzelfde moet dan ook voor de Nederlandse Bank gaan gelden met betrekking tot papiergeld. Zij moeten dan aantonen dat ik onzorgvuldig gehandeld heb als er geld ontvreemd is. Als mijn achterdeur dan opengebroken is, of ik in een babbeltruuk trap, moeten zij de schade van mijn gestolen geld vergoeden.
Vreemde voorstellen doet de pvda hier.
10-09-2014, 15:46 door Anoniem
Door Zipper: Een goed anti-virusprogramma , die up-to-date, is toch wel het minste wat je mag je mag verwachten van mensen die internet bankieren.

Wanneer is een programma "goed"? En wanneer is het "up-to-date"? Mag ik vertrouwen op de automatische updates, of moet ik vlak voor het internetbankieren toch nog even handmatig kijken of er updates zijn? Ondanks de schijn van duidelijkheid is er sprake van uiterst vage begrippen.
10-09-2014, 15:49 door Anoniem
Door Zipper: Een goed anti-virusprogramma , die up-to-date, is toch wel het minste wat je mag je mag verwachten van mensen die internet bankieren.
echt? En waarom dan wel?
Wat dan met linux systemen? Macs?
Ik hoef echt geen bloatware op mijn windows-bak. Een up-to-date systeem + noscript + EMET + a decent cup of common sense is genoeg voor mij.
10-09-2014, 15:55 door Anoniem
Wat is volgens Henk dan wel nalatig ? Dat wordt namelijk volstrekt niet duidelijk.
10-09-2014, 15:56 door Profeet
Het gaat inderdaad wat ver. Ik vind het wel goed dat ze banken op dit gaan aanpakken. Want als je niet uitkijkt duiken die straks iedere verantwoordelijkheid.
Wat betreft geen virus scanner, dat vind ik toch wel een beetje ver gaan. Maar misschien moeten banken zelf ook is gaan nadenken over dit soort zaken. Hoe moeilijk is het om een dichtgetimmerde sandbox/vm/liveos ter beschikking te stellen die mensen alleen kunnen gebruiken voor telebankieren? Je zou mensen zelfs kunnen verplichten het via deze systemen te doen. Kan je ook meteen een heleboel test werk voor allerlij verschillende systemen uit je kosten schrappen, en heb je zelf de controlle over de veiligheid. Nou ja, meer dan nu in ieder geval ;).
10-09-2014, 15:58 door ton64
beste lezers, ik ben het met het voorstel eens. Banken verdienen veel geld met internetbankieren (duizenden medewerkers zijn ontslagen en filialen zijn gesloten) edoch eisen veel. Steeds schuiven ze hun belangen naar voren en die slappe consumentenbond alsmede 2e kamer vinden alles goed. Een voorbeeld is bijvoorbeeld IE11. Je mag je beveiliging en/of privacy niet hoog instelellen (lees max veiligheid) omdat o.a. java-script wordt onderdrukt en ze minder reclame kunnen verkopen aan grote bedrijven. Ja, ik misschien zijn noodzakelijke cookies wellicht nuttig kunnen zijn. Maar als ik geld pin waar ook ter wereld hebben ze ook geen noodzakelijke cookies nodig. Daarnaast moet je bij ABNAMRO ook activeX filtering uitzetten enz enz. Dus enerzijds eisen ze de hemd van je lijf en andere zijde eisen ze lage veiligheid om commerciele redenen en analyse. Ik heb geen enkele moeite met een 2 dubbele inlog controle via een of meer apparaten enz. Ook niet indien ik banktransacties wil doen is een card reader/identifier nuttig. heb ik geen moeite mee. Een bedrijf die zich redelijker opstelt is Knab bank (voor zolang het duurt). Waarom krijg ik niet een BANK-USB met daarop speciale onafhankelijke software waarmee ik kan internet bankieren? Nee, er moet steeds meer risico verlegt worden naar de klant die niet inmiddels geen andere keus meer heeft. Service van ABNAMRO/RABO/ING enz. hoe maar. Klanten zijn slechts onbenullen die helaas niet buiten de banken omkunnen. Banken verdienen onmetelijk veel aan internetbankieren, het wordt tijd dat ze een veilig product gaan leveren. Ja, klanten die willens en wetens er een rotzooi van maken (geldezels-uitdelen van hun id-data enz) mogen banken hard aanpakken. LET OP: de correcte klant betaald voor die geldezels enz.
10-09-2014, 15:58 door Anoniem
"Bij een IOS device kun je wel internetbankieren maar is er geen antivirus programma. Hoe gaan de banken daar dan mee om."

Dat jij er voor kiest om geen antivirus programma te gebruiken, wil niet zeggen dat deze niet bestaan.

Free Antivirus for iOS Devices
http://www.avira.com/en/free-antivirus-ios

iPhone 5: Top 5 Antivirus Apps
http://apple.answers.com/iphone/iphone-5-top-5-antivirus-apps

Etc...
10-09-2014, 16:00 door Anoniem
"Wat dan met linux systemen? Macs?"

Wat met Linux en Macs ? Voor die platformen bestaat ook malware, alsmede virusscanners om je daartegen te beschermen.
10-09-2014, 16:20 door Anoniem
Cookies moeten gewoon afgeschaft worden.

Ik heb er nog steeds geen boodschap aan, die dingen.

Banken dienen eerst zelf een veilige omgeving te creëren en dan pas is het aan de klant wat die nog extra op zijn pc zet van 'security software' en daar hebben ze geen zaken mee wat de mensen zelf installeren of blokkeren.

Meestal legt men 'cookies' uit als ...

Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt 'onze site' gebruik van cookies.

Wat voor onzin is dat toch.

Al die medewerkers die de sites moeten onderhouden en nakijken, verfraaien, die zitten te slapen op hun werk dus?

'cookies' is gegevens stelen.

http://nl.wikipedia.org/wiki/Cookie_(internet)
10-09-2014, 16:25 door Anoniem
banken willen dat we naar internet gaan zodat ze hun massaontslagen van de afgelopen 20 jaar goed kunnen praten in hun excel sheets.
maarja, internet is een boze enge speeltuin.
banken kiezen ervoor om dat probleem bij de consument te leggen.
Wel de voordelen plukken maar het risico niet accepteren.

oplossing #1 hun apps en internetbankieren moet zodanig ontwikkeld zijn dat de beste virussen trojans gewoonweg geen vat hebben op de internetbakier omgeving.

oplossing #2 breng de kantoren weer terug met openingstijden waarbij de rest van WERKEND nederland nog gebruik kan maken van diensten.
10-09-2014, 17:37 door Nietsnut
Door Anoniem: "Wat dan met linux systemen? Macs?"

Wat met Linux en Macs ? Voor die platformen bestaat ook malware, alsmede virusscanners om je daartegen te beschermen.

Lol ik moest lachen we hebben er weer 1 een welbekende TROL
10-09-2014, 18:15 door Anoniem
Door Briolet: Datzelfde moet dan ook voor de Nederlandse Bank gaan gelden met betrekking tot papiergeld. Zij moeten dan aantonen dat ik onzorgvuldig gehandeld heb als er geld ontvreemd is. Als mijn achterdeur dan opengebroken is, of ik in een babbeltruuk trap, moeten zij de schade van mijn gestolen geld vergoeden.
Vreemde voorstellen doet de pvda hier.
De vergelijking die je hier maakt, is niet zuiver.
Als het niets uit zou moeten maken, dan kun je je geld net zo goed in huis bewaren.
Maar banken moeten juist een "veilige haven" zijn om daar je geld onder te brengen. Dat is hun taak.
In ruil voor het verschaffen van extra veiligheid doen ze zaken met jouw geld, om daar zelf aan te verdienen.

Mijn idee is dat de consumentenbond veel te naïef met de banken heeft onderhandeld. Het is toch te zot voor woorden
dat je nu verplicht elke twee weken je rekeningen moet bekijken om recht op schadevergoeding te hebben? Waanzin.
Als je met papieren bankafschriften werkt, dan krijg je immers ook niet elke twee weken een afschrift!!!
Je kunt nu eigenlijk nooit langer dan twee weken weg zijn van huis, of je moet af en toe een openbare (minder veilige) internetpoint gebruiken. En iedere inlog bij de bank is immers weer een risico dat malware het overneemt...
10-09-2014, 19:45 door Anoniem
Privatiseren van de winsten, macht en (alleen)rechten, socialiseren van de kosten, lasten, belastingen, heffingen, premies, toeslagen, investeringen, research, risico's, plichten, calamiteiten, bewijsplicht en whatever else dat niet tot keiharde winst leidt voor de top. Dat is de BV Nederland in een notendop.

De belastingdruk op bedrijven (zeker multinationals) is de afgelopen jaren alleen maar afgenomen. Nog is het niet genoeg. Die voor burgers is toegenomen. Want ja, het geld moet toch ergens vandaan komen om al die politieke hobbies te blijven financieren. Hoeveel daarvan is vooral (indirect) eigenbelang, en veel minder maatschappelijk belang?

Export van winsten naar overzeese gebieden neemt toe. Je hoeft geen wiskundige, of economist, te zijn om te zien dat de trendlijn uiteindelijk diep de zwarte cijfers in duikt.

Deze vind ik wel tot nadenken stemmen in deze. http://www.zerohedge.com/news/2014-09-08/how-empires-end
Kijk onder het kopje 'Present-Day Empires'.
10-09-2014, 19:52 door Anoniem
Wat een onzinnig voorstel van die PVDA kliek.
We weten toch al langer dat wij virusscanners nodig hebben?
Bovendien is dit niet alleen voor onszelf,maar bijv,. ook om samen botnets e.d. tegen te gaan.
Als wij ons geld in een sok zouden bewaren zorgen wij toch ook voor beveiliging?
Natuurlijk hebben banken ook hun plichten,maar we moeten het toch samen doen.
Nogmaals wat een slap gedoe van die partij.
Het lijkt er meer op dat ze leuk willen scoren naar de z.g.n. Onschuldige,onwetende consumenten!
10-09-2014, 20:21 door Anoniem
Kop van security.nl:
PvdA: virusscanner niet voor internetbankieren verplichten

Meteen zwakken de eerste regels van het bericht deze kop al behoorlijk af met:
"Banken moeten consumenten niet verplichten om een virusscanner te gebruiken die up-to-date is
of dat ze regelmatig op hun rekening inloggen als ze eventuele schade bij internetbankieren vergoed willen krijgen."


Anders gezegd: een virusscanner is dus nog steeds verplicht, alleen hij hoeft niet up-to-date te zijn.
En dat is al iets heel anders dan de koptekst aangeeft.

Ehmmm... en ik weet niet hoor, maar in de originele nota staat het zelfs nog minder radicaal:
Het niet controleren van je rekening of het net niet meer up-to-date hebben
van je virusscanner
kan geen reden zijn om in geval van schade deze niet te vergoeden.

Niets mis mee dacht ik zo.

Conclusie: loopt de redactie van security.nl hier niet wat te hard van stapel?...
10-09-2014, 20:31 door Reinder
Waarom bemoeit de PvdA zich hiermee? Is het noodzakelijk voor politieke partijen om een standpunt in te nemen over de virusscanner op de computer van een consument?
10-09-2014, 20:55 door Anoniem
Door Reinder: Waarom bemoeit de PvdA zich hiermee? Is het noodzakelijk voor politieke partijen om een standpunt in te nemen over de virusscanner op de computer van een consument?
Reinder, volgens mij heb je de originele initiatiefnota van de PvdA niet gelezen (omdat het van de PvdA is?...),
en vaar je blind op een kop van security.nl.
10-09-2014, 21:34 door Anoniem
Door Anoniem:
Door Briolet: Datzelfde moet dan ook voor de Nederlandse Bank gaan gelden met betrekking tot papiergeld. Zij moeten dan aantonen dat ik onzorgvuldig gehandeld heb als er geld ontvreemd is. Als mijn achterdeur dan opengebroken is, of ik in een babbeltruuk trap, moeten zij de schade van mijn gestolen geld vergoeden.
Vreemde voorstellen doet de pvda hier.
De vergelijking die je hier maakt, is niet zuiver.
(...) Het is toch te zot voor woorden dat je nu verplicht elke twee weken je rekeningen moet bekijken om recht op schadevergoeding te hebben? Waanzin. Als je met papieren bankafschriften werkt, dan krijg je immers ook niet elke twee weken een afschrift!!! (...) En iedere inlog bij de bank is immers weer een risico dat malware het overneemt...[/quote

Verkeerde argumenten wat mij betreft. Er zijn mensen (heel erg veel mensen, volgens mij) die kun je 85 keer uitleggen wat https betekent, en ze zullen het nooit onthouden of begrijpen. En dat is alleen nog https! Men verwacht maar van elke digibeet en z'n ouwe pa en moe dat ze meedoen in de vaart der volkeren en onbegrijpelijke apparaten gebruiken. Het is ontoelaatbaar om te eisen dat iedereen een hele of halve IT-er is. Het is ook buitensporig arrogant om ervan uit te gaan dat iedereen die in staat is om zich een begrip te vormen van een slot-met-sleutel zich ook "vanzelf" een adequaat begrip kan vormen van computers, internet, in-/uitloggen, virusscanners enzovoort. En dan nog. Bijna iedereen zal wel een virusscanner op zijn/haar computer hebben, maar slechts 5% of minder van die mensen heeft enig idee van wat je moet doen als die scanner inderdaad een virus zou vinden.
10-09-2014, 21:53 door Anoniem
Oh en nog wat. "Net niet meer up to date" is dat zoiets als "net niet meer zwanger"? Je bent up-to-date of je bent het niet.
11-09-2014, 01:20 door Anoniem
Door Anoniem: Oh en nog wat. "Net niet meer up to date" is dat zoiets als "net niet meer zwanger"? Je bent up-to-date of je bent het niet.
Onzin. Uiteraard is het altijd net wat beter om volledig up-to date te zijn.
Maar "net niet up-to-date" betekent dat je viruschecker nog altijd met gemak op een paar miljoen virussen controleert.
Het komt er op neer dat je met een net niet up-to-date virusscanner misschien voor 80% veilig bent.
En met een up-to-date virusscanner ben je misschien voor 80,0001% veilig...
Want een viruschecker biedt sowieso maar een beperkte bescherming, of je nu up-to-date bent of niet.
En virusscanners vergroten het aanvalsoppervlak voor een hacker. Wie zegt dat fraude niet juist daardoor is gebeurd?
(zie https://www.security.nl/posting/396770/Onderzoeker%3A+virusscanner+maakt+computer+kwetsbaarder)

Trouwens is de reactie van "Anoniem 21:34" ook van jou? Volgens mij is daar een misverstand.
Ik begrijp niet dat je opeens begint over mensen die geen verstand van computers hebben.
Ben het wel aardig eens met wat je zegt hoor, maar niemand had het daarover. Waar het over ging, is dat iemand met internetbankieren minstens 1x in de twee weken moet inloggen van de bank. Maar dat is voor sommige (of veel?) internetbankierders onnodig veel gedoe, terwijl het nauwelijks of niet veiliger is. Als voorbeeld geef ik aan dat de bank mensen die geen internetbankieren hebben toch ook niet standaard iedere twee weken een afschrift "ter controle" stuurt. Dus waarom moeten internetbankierders dan vaker hun rekening controleren dan niet-internetbankierders? Zottigheid...
11-09-2014, 02:19 door Anoniem
Door Anoniem: banken willen dat we naar internet gaan zodat ze hun massaontslagen van de afgelopen 20 jaar goed kunnen praten in hun excel sheets.
maarja, internet is een boze enge speeltuin.
banken kiezen ervoor om dat probleem bij de consument te leggen.
Wel de voordelen plukken maar het risico niet accepteren.

oplossing #1 hun apps en internetbankieren moet zodanig ontwikkeld zijn dat de beste virussen trojans gewoonweg geen vat hebben op de internetbakier omgeving.

oplossing #2 breng de kantoren weer terug met openingstijden waarbij de rest van WERKEND nederland nog gebruik kan maken van diensten.

a) kan niet. Wat gemaakt kan worden kan gebroken worden
b) tuurlijk; maar jij gaat daarvoor betalen.

extra: wat iedereen even vergeet is dat de hoeveelheid mensen die claims bij banken neerleggen omdat ze geskimmed/phissed/etc etc zijn.. G I G A N T I S C H waren. (of zijn; ik weet niet wat de huidige situatie is maar tot een jaar geleden waren de hoeveelheden niet op één hand te tellen per dag) Het is in ieders belang om die situatie terug te dringen. Om het practisch te houden: de kosten die banken maken door malware/phising/etc en het terugbetalen daarvoor, worden verhaald op ALLE klanten direct of over het groter geheel. Net zoals elk bedrijf wordt er een post 'risco' gecreeerd die gaat gewoon op de balans.
11-09-2014, 07:58 door SPlid
Door Briolet: Datzelfde moet dan ook voor de Nederlandse Bank gaan gelden met betrekking tot papiergeld. Zij moeten dan aantonen dat ik onzorgvuldig gehandeld heb als er geld ontvreemd is. Als mijn achterdeur dan opengebroken is, of ik in een babbeltruuk trap, moeten zij de schade van mijn gestolen geld vergoeden.
Vreemde voorstellen doet de pvda hier.

Grappige conclusie , als ik een slot koop mag ik verwachten dat het slot goed functioneert, als ik internetbankier met een door de bank geleverd programma, mag ik toch ook verwachten dat dit programma zodanig goed functioneert dat een hacker niet door de security heen kan breken ?

Daar ligt dan volgens mij wel de verantwoordelijkheid van de bank. Dus als ik via die weg geld kwijtraak is het de bank zijn verantwoording.

Banken verdienen veel geld en willen nog meer geld verdienen door mij zoveel mogelijk werk te laten doen. Dat is natuurlijk prima, maar dat maakt mij een soort werknemer van de bank.

En wie is verantwoordelijk voor de fouten van zijn werknemer gemaakt tijdens het uitvoeren van zijn functie ? Juist de werkgever, in geval dus de bank.

Ander verhaal is natuurlijk als ik mijn pinpas + code rond laat slingeren.
11-09-2014, 07:58 door SPlid
O ja, ik ben natuurlijk geen lid van de PvDA ;-)
11-09-2014, 10:01 door Anoniem
Door Anoniem: Oh en nog wat. "Net niet meer up to date" is dat zoiets als "net niet meer zwanger"? Je bent up-to-date of je bent het niet.
Daar ben ik het niet mee eens!

Zwanger ben je of dat ben je niet. Net zoals het licht aan is of uit en een deur open of dicht.

Net niet meer up-to-date kan wel degelijk!
Geloof me, maar er gaan straks discussies ontstaan over een virusupdate die om 17:00 uur is uitgekomen en jij om 17:05 op internetbankieren bent ingelogd waarbij iets gebeurt.
Daar gaan banken zich straks achter verschuilen!

Verder ben ik het eens met deze meneer (al is hij van de PvdA). Ik gebruik een Linux VM die iedere keer weer schoon opstart alleen voor internetbankieren en uiteraard heb ik daar geen antivirusprogramma op staan.
Is dat voldoende veilig? Wanneer er iets gebeurt gaat de bank zich verschuilen achter het feit dat ik geen scanner heb....
Te zot!
11-09-2014, 10:27 door Henk Bronk
All ,

Het gaat erom dat anti-virus dus niet helpt bij phishing en dat banken hun klanten dienen te beschermen.
Financiële Phishing (banken) is een achterhaald probleem dit hoeft niet meer een issue te zijn.

Dus dit kan opgelost worden door de banken zelf door middel van goede fraude detectie, waardoor het probleem er niet meer is en de klanten geen schade meer lopen.

Een beetje opletten op je gegevens is altijd een goed ding om te doen.
11-09-2014, 11:15 door Anoniem
Bla bla bla. Bijna allemaal ondoordachte reacties van "Suffe PvdA. Virusscanner moet, virusscanner doet je goed".

Maar heeft u er al eens bij stilgestaan hoe weinig nut een up-to-date virusscanner heeft bij mensen die hun systeem starten vanaf een live-CD op een stand-alone, dedicated, geïsoleerde computer waarmee men uitsluitend en alleen internetbankiert? En die daarnaast zelfs ook nog een onafhankelijke firewall hebben geïnstalleerd die alleen netwerkverkeer van en naar de internetbankierserver(s) van de bank toelaat?...
Vind je dan dat deze mensen, die wel degelijk de beveiliging aan hun kant meer dan redelijk op orde hadden, en waarvan duidelijk is dat eventuele fraude ergens anders vandaan moet zijn gekomen (bijv. een heartbleed-achtig iets) dan nul op het rekest moeten krijgen van de bank met als antwoord: "Jammer joh, maar u had geen up-to-date virusscanner..."
Terwijl dus duidelijk is dat een virusscanner waarschijnlijk de fraude ook niet had kunnen voorkomen?

En als een fraudeur een bank bezoekt en door de bank lousy op zijn identiteit wordt gecheckt en al jouw geld opneemt,
vind jij dan dat je op je brood moet krijgen: "Jammer joh, u hebt internetbankieren, en het is inmiddels drie weken geleden
dat u voor het laatst hebt ingelogd. U bent volgens onze algemene voorwaarden verplicht om minstens één keer in de twee weken in te loggen en al uw rekeningen te controleren. U bent dus nu te laat met het melden van deze fraude.
Dat wij als bank de identiteit van de persoon die uw geld opnam onvoldoende hebben gecontroleerd kunt u niet bewijzen.
En daarom is alle schade voor u. (lekker puh)"
11-09-2014, 11:55 door 12245761
Het internet bankfraude is geen makkelijk verhaal. De huidige richtlijnen van de banken vind ik teveel in het voordeel van de banken. Wat dat betreft verbaast het mij dat de Consumentenbond daar in is meegegaan.

Maar: om geen enkele verantwoordelijkheid bij de gebruiker te leggen, vind ik ook weer te ver gaan. Het is een gedeelde verantwoordelijkheid. Simpele maatregelen belonen en een poging doen om mensen te laten nadenken, vind ik een goed idee. Naar mijn smaak moet het doel zijn om de overlast en het aantal incidenten te verminderen. Dat kun je doen door de investering te vergroten die criminelen moeten doen om misbruik te maken van jouw bankrekening. Daarmee kun je ze afschrikken, of, een beetje cynisch, verjagen naar een buitenland waar makkelijkere prooien te vinden zijn.

Hoewel anti-virus erg veel moeite heeft met nagelnieuwe malware, is het best goed in het detecteren van malware die een paar dagen geleden gevonden is. Dat betekent dat criminelen structureel nieuwe versies moeten maken. Dat kan, helaas ook geautomatiseerd, maar ze moeten die moeite wel doen. En er is een kans dat de malware gedetecteerd wordt voordat je je bankrekening gebruikt. Het lijkt er op dat gratis AV ongeveer net zo effectief is als betaalde AV, dus ik zou zeggen, kies een gratis oplossing. Als je een vaag idee wil krijgen van de effectiviteit van die producten, zie http://av-comparatives.org en http://www.av-test.org/.

Er is maar weinig malware die zero-days gebruikt. Het up-to-date houden van je software is dus erg effectief om ellende te voorkomen. Je systeem up-to-date houden hoeft niet moeilijk te zijn. Microsoft helpt je met alle ingebouwde Windows software, je hoeft het alleen maar aan te zetten. Ook al is het fuck irritant dat-ie "even" updates gaat doen als je je computer afsluit. Moeilijk is het niet. Voor overige software kun je bijvoorbeeld Secunia PSI gebruiken, of PatchMyPC. Die houden de belangrijkste exploit targets (bijv. Java, Adobe producten) up-to-date.

Volgens mij doen Apple producten ook aan updates (en misschien werkt Secunia daar ook op?), en een gezonde Linux distro heeft snelle security updates. Android heeft updates. Windows Phone, of hoe dat tegenwoordig ook mag heten, vast ook wel. Crackberry heb ik geen idee van. Anyway, gebruik die dingen.


Wat betreft het leggen van de bewijslast bij de banken, daar ben ik helemaal voor. Van hen kun je immers verwachten dat zij de expertise in huis hebben om makkelijk incidenten te kunnen onderzoeken en zich te kunnen verweren. Van de gemiddelde consument kun je dat niet verlangen. Bovendien stimuleert bewijslast bij de banken hen om te investeren in detectie en preventie aan hun kant. Dat doen ze al, maar die prikkel mag op z'n minst wel blijven.


Wat betreft het eigen risico, misschien is dat wel te combineren met het nemen van simpele maatregelen. Dit is een idee, maar vooral een beginpunt van een discussie:
* Je begint zonder eigen risico.
* 10 Euro extra eigen risico als het zeker is dat je expliciet toestemming moest geven voor het uitvoeren van de exploit, of voor de escalatie van privileges.
* 10 Euro extra als blijkt dat je geen actieve, automatisch geupdate AV had.
* 10 Euro extra wanneer blijkt dat je geen automatisch update systeem voor je OS en andere software aan had staan.
* 10 Euro extra eigen risico als je geen aanvullende maatregelen gebruikt, zoals een aparte computer, telefoon, account, of browser speciaal alleen voor internet bankieren; rebooten naar een live CD voor alleen dat doel; ad blocker; noscript; je TAN codes gaan naar een ouderwetse telefoon zonder smart; etc.

Het gaat bij deze punten om een inspanningsverplichting, geen prestatieverplichting.

Mijn 2 Eurocent.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.