Computerbeveiliging - Hoe je bad guys buiten de deur houdt

RABO bank scanner

29-05-2015, 16:01 door Anoniem, 18 reacties
De RABO bank is de random reader aan het vervangen door een scanner. De scanner heeft IMHO hetzelfde veiligheidsgebrek als de random reader. Beide apparaatjes vragen: pinpas plus informatie op de pinpas (naam, pasnummer, bankrekeningnummer) en de 4-cijferige pincode van de pinpas.

Noch de random reader noch de scanner zijn gebonden aan een unieke bankrekening en/of unieke RABO bankcliënt. Als een dief eerst jouw pincode afkijkt en dan jouw pinpas steelt kan hij via internet bij jouw rekening(en). Dan kan hij (mits hij een willekeurige RABO random reader cq. scanner bezit) je totale saldo overmaken naar een katvanger in Wit Rusland (of wherever).

Of zie ik iets over het hoofd?
Reacties (18)
29-05-2015, 17:49 door Rolfieo
Is dat niet met bijna ieder systeem?

ING heeft zo zijn nadelen, Rabo heeft zo zijn nadelen, ABMAMRO heeft zo zijn nadelen. Ofwel geen enkele grote bank heeft de perfecte beveiliging.

Je 2 factor authenticatie hangt af van een aantal dingen. Men moet je pin code hebben en je bank pas. Als je hebt kan je inderdaad alles.
Maar al zou de random reader gekoppeld zijn aan iemand, dan steelt men toch ook gewoon de readom reader er bij? Kost dan niet echt heel veel meer extra moeite.
29-05-2015, 18:24 door Anoniem
En wat is het risico voor jou als klant als je gewoon direct als je pinpas gestolen is even een belletje doet naar ze?
Ik bedoel, als ze en je pinpas en pincode hebben ben je toch al het haasje.
29-05-2015, 18:57 door Anoniem
Door Rolfieo: I
Maar al zou de random reader gekoppeld zijn aan iemand, dan steelt men toch ook gewoon de readom reader er bij?.

Ik (topic starter) bedoelde natuurlijk dat je pinpas+pincode buitenshuis gestolen zou worden (in de supermarkt of iets dergelijks). Ik zelf neem mijn scanner/random reader meestal niet mee naar de supermarkt. Bij een inbraak thuis: ik heb mijn pincode niet op een briefje naast mijn pinpas.

Stel de scanner/random reader zou uniek zijn gekoppeld aan je rekeningnummer, dan moet iemand die je pinpas+pincode gerold heeft (bijvoorbeeld in de supermarkt), je adres achterhalen, en bij je inbreken om je scanner te stelen. Dat is alweer een stuk ingewikkelder en dus veiliger.
29-05-2015, 21:42 door Anoniem
Je pincode staat versleuteld op je bankpas. Het hebben van een bankpas is dus voldoende
30-05-2015, 04:07 door Anoniem
Door Anoniem: Je pincode staat versleuteld op je bankpas. Het hebben van een bankpas is dus voldoende

En dan haal je een PIN-code detector bij de Gamma. LOL
30-05-2015, 09:20 door Anoniem
Door Anoniem: Ik bedoel, als ze en je pinpas en pincode hebben ben je toch al het haasje.

Ja, je daglimiet voor het pinnen ben je sowieso kwijt, bij elke bank. Maar mijn (topic starter's) punt is dat je je hele saldo kwijt kan raken omdat de boef kan internetbankieren met scanner+pinpas+pincode. Mijn saldo is (vooral aan het begin van de maand) flink wat hoger dan mijn daglimiet. Dus als me dit zou overkomen ben ik niet het haasje maar de gigahaas.

Door Anoniem: Door Anoniem: Je pincode staat versleuteld op je bankpas. Het hebben van een bankpas is dus voldoende

Het is dus nog erger dan ik dacht, ze hoeven mijn pincode niet eens af te kijken, rollen van pas is genoeg? ROFLOL.
30-05-2015, 13:07 door Anoniem
Door Anoniem: Je pincode staat versleuteld op je bankpas. Het hebben van een bankpas is dus voldoende

Nee. Terug naar af, je mag niet naar de volgende ronde.

Lees maar eens een goed boek over public key infrastructures e.d., je pincode staar niet op de pas.
30-05-2015, 13:55 door [Account Verwijderd]
Een wachtwoord bij het inloggen erbij zou denk ik toch ook moeten kunnen in plaats van aan een rekening gekoppelde randomreader/ scanner. Is vermoed ik gemakkelijker te in te bouwen. Als iemand jouw pinpas heeft plus de pincode afkijkt, heeft ie het wachtwoord nog niet. Natuurlijk het wachtwoord niet op een briefje schrijven en bij de pinpas bewaren dan ;-)
30-05-2015, 14:40 door Anoniem
Volgens mij kun je alleen inloggen met de pas die je daartoe aanwijst - als je hier bang voor bent kun je een pas aanvragen die je alleen voor internet-bankieren gebruikt.
30-05-2015, 14:44 door Anoniem
Door _kraai__: Een wachtwoord bij het inloggen erbij zou denk ik toch ook moeten kunnen in plaats van aan een rekening gekoppelde randomreader/ scanner.

Ik (TS) ben het helemaal met _kraai__ eens. Ik had een aan-rekening-gekoppelde scanner alleen maar genoemd als mogelijke oplossing. Een wachtwoord zou mijn probleem ook wegnemen. Blijft mijn oorspronkelijke vraag: zie ik iets over het hoofd dat de Rabobank wel ziet?
30-05-2015, 17:12 door Anoniem
Door Anoniem:
Door _kraai__: Een wachtwoord bij het inloggen erbij zou denk ik toch ook moeten kunnen in plaats van aan een rekening gekoppelde randomreader/ scanner.

Ik (TS) ben het helemaal met _kraai__ eens. Ik had een aan-rekening-gekoppelde scanner alleen maar genoemd als mogelijke oplossing. Een wachtwoord zou mijn probleem ook wegnemen. Blijft mijn oorspronkelijke vraag: zie ik iets over het hoofd dat de Rabobank wel ziet?

Ja, wat de banken allemaal wel zien is dat het superstrak authenticeren dat je een eigenaar van een pas+ pincode hebt geen complete oplossing is voor security problemen.
Dat is 2005 security, zeg maar.

Phishing bewijst dat, daar klopt alle security voor wat betreft het linken van de rekeninghouder aan een transactie, het is alleen geen transactie die de rekeninghouder wilde .

De bank doet/moet dus ook en vooral de transactie controleren, en niet alleen maar de persoon die 'm inlegt.
En dat is behoorlijk succesvol, heel veel phishing loopt vast op de moeilijkheid om het geld echt in handen te krijgen.

En gerolde pinpas+code wordt in heel korte tijd maximaal leeggepind, en daarna er (ook) nog mee internetbankieren om de rest van het saldo te krijgen is zelden of nooit een probleem.
Een poging daartoe, als het al niet vast loopt op de blokkering omdat de eigenaar de pas vermist meldde heeft dan goede kans om te stranden in dezelfde transactie filtering die voor phishing noodzakelijk is.

Verder willen klanten ook en vooral makkelijk bankieren, en gepersonaliseerde apparaatjes zijn dat niet.
Ik zie veel mensen op kantoor , of op vakantie internet bankieren, vaak met geleende devices (rabo, abn). Een erg gepersonaliseerde versie is daarvoor onhandig, en vereist ook een heel verlies/vervang/aanvraag proces bij de bank.

Kortom - een derde factor (pas+persoonlijk device+pin) draagt weinig bij aan banking security.
30-05-2015, 21:55 door Anoniem
Blijft mijn oorspronkelijke vraag: zie ik iets over het hoofd dat de Rabobank wel ziet?

Misschien denk ik te simpel, maar waarom vraag je het ze niet? Daar hebben ze toch een klantenservice voor?
31-05-2015, 10:22 door Anoniem
Door Anoniem: Misschien denk ik te simpel, maar waarom vraag je het ze niet? Daar hebben ze toch een klantenservice voor?
Goed punt, heb ik (topic starter) een paar jaar geleden gedaan, per e-mail. Ik werd op een zondagochtend teruggebeld door een vriendelijke mevrouw die erkende dat diefstal van pin+code een probleem zou kunnen zijn. Zij zou het aankaarten en ik zou er nog van horen. Ik dacht aanvankelijk dat de scanner het antwoord was waar ik nog steeds op wachtte, niet dus. Daarom heb ik deze discussie maar weer eens aangezwengeld.

Door Anoniem: Ja, wat de banken allemaal wel zien is dat het superstrak authenticeren dat je een eigenaar van een pas+ pincode hebt geen complete oplossing is voor security problemen.
Ik begrijp dat de banken veiligheid moeten afwegen tegen gebruiksgemak en dat veiligheid daarom soms niet optimaal kan zijn. Dat is in het echte leven ook zo: mijn ramen hebben geen tralies en ik loop niet in een kogelvrij vest.

En dat is behoorlijk succesvol, heel veel phishing loopt vast op de moeilijkheid om het geld echt in handen te krijgen.
Misschien maak ik me onterecht zorgen en zou mijn saldo onderweg "naar een katvanger in Wit Rusland" wel in het voortreffelijke phishing filter van de Rabobank blijven steken. Maar toch, ik zou me veiliger voelen als de Rabobank zelf me uit zou leggen waarom ik spoken zie. Tot dat gebeurt gebruiken wij onze Rabopas niet buitenshuis en pinnen we met onze ING-passen.
31-05-2015, 15:29 door Anoniem
De scanner lost in ieder geval 1 probleem op: telefonische phishing.

De zogenaamde bankmedewerker die een goed van vertrouwen rekeninghouder aan de lijn heeft en vertelt "pak nu uw reader, toets uw pincode - nee niet hardop zeggen alleen intoetsen - en vervolgens deze code en vertel mij het resultaat..." wordt het nu flink lastiger gemaakt. Een goede stap voorwaarts van de bank, mijns insziens.

Ik ben het ermee eens dat pas+pincode te gevoelig, c.q. makkelijk is. Voor internetbankieren zou je OOK nog iets als een wachtwoord willen laten opgeven, iets wat je bij het pinnen niet kunt laten meekijken dus.

En mocht een argument van de Rabobank zijn dat dit "te ingewikkeld" voor een gebruiker zou zijn, laat de gebruiker dan kiezen of ze hiervan gebruik willen maken en verlaag daarmee het eigen risico of verhoog de rente op de spaarrekening o.i.d.
Ik hoop dat er iemand van de Rabobank meeleest. ;-)

Jan
31-05-2015, 16:33 door Anoniem
Door Anoniem:

[..]
En dat is behoorlijk succesvol, heel veel phishing loopt vast op de moeilijkheid om het geld echt in handen te krijgen.
Misschien maak ik me onterecht zorgen en zou mijn saldo onderweg "naar een katvanger in Wit Rusland" wel in het voortreffelijke phishing filter van de Rabobank blijven steken. Maar toch, ik zou me veiliger voelen als de Rabobank zelf me uit zou leggen waarom ik spoken zie. Tot dat gebeurt gebruiken wij onze Rabopas niet buitenshuis en pinnen we met onze ING-passen.

Ik voorspel dat je geen formeel antwoord gaat krijgen van de security architectuur ,de gekozen afwegingen daarin of de fraude/risico cijfers op grond waarvan de keuzes gemaakt worden.

Misschien krijg je een bericht dat "het door u gevreesde scenario naar onze ervaring weinig of niet is voorgekomen en wij u verzekeren dat wij er alles aan doen om internet bankieren zo goed mogelijk te beveiligen" .
Zou dat je gerust stellen ?

De bank bereikt met een gedetailleerde uitleg vrijwel niets, vertelt daarmee ook kwaadwillenden (phishers) waar ze op letten en loopt een enorm risico op negatieve publiciteit . Ik zeg overigens niet dat jij kwaadwillend bent, maar een formeel antwoord naar 'buiten' moet je gewoon beschouwen als een publicatie die ook bekend raakt buiten de ontvanger.

De wereld zit vol met nono's, kamerleden en domme journalisten die niet willen weten dat er risico's zijn en eisen "dat alles gedaan moet worden" . Ook al zijn ze daarna ontevreden met het resultaat als ook "alles" gedaan wordt, laat staan als de klant de rekening ervoor krijgt.

Als je zelf bereid bent ongemak te nemen kun je inderdaad een stukje security toevoegen door een pas waarmee 'veel geld' toegankelijk is thuis te laten, en kleine transacties met een andere pas te doen.
Je kunt je pin veel minder rondstrooien door pin-loze transacties (chip/ contactloos) te doen. Dat beperkt je maximale verlies . Maar zelfs op een security forum als hier barst het van de mensen die uit zorg voor een radio-skimmer liever overal hun pin intikken , zo blijkt telkens als dat onderwerp opduikt.

Ik werk overigens niet bij een bank.
31-05-2015, 20:05 door Anoniem
Tot dat gebeurt, gebruiken wij onze RABO pas niet buitenshuis en pinnen we met onze ING-passen.

Ik doe precies het zelfde, als ze je bankpasje van de Rabobank stelen; en dat kan ook B.V. bij een parkeerautomaat gebeuren, en ze hebben je pincode kunnen ze volgens mij je helen rekening leeghalen.

Ik weet niet of dat met skimmen ook kan, want ze hebben je pasnummer nodig.
Daarom zie ik liever een wachtwoord er bij om in te loggen, dit mag al een eenvoudig wachtwoord zijn.

Daarom liever twee bankpasjes.
31-05-2015, 21:25 door Anoniem
Ik ben geen expert, dus als ik iets doms zeg vraag ik om vergeving. Maar kijk ook eens naar Triodos, die bank heeft een heel ander systeem...
01-06-2015, 01:48 door Ralvo
Door Anoniem: Ik ben geen expert, dus als ik iets doms zeg vraag ik om vergeving. Maar kijk ook eens naar Triodos, die bank heeft een heel ander systeem...
Ondanks dat Triodos als bank een vrij sympathieke indruk maakt, heb ik nog niet ontdekt welk ander systeem zij hanteren. Wellicht heb je meer info of een linkje daarnaar?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.