image

Professor: mensen weerloos tegen fraude met internetbankieren

dinsdag 29 maart 2016, 10:38 door Redactie, 22 reacties

De meeste mensen zijn weerloos tegen fraude met internetbankieren via malware, zo reageert een professor op het plan van een Britse politiechef om fraudeslachtoffers niet te vergoeden. Vorige week stelde politietopman Sir Bernard Hogan-Howe dat het vergoeden van slachtoffers slecht gedrag beloont.

Als banken fraudeslachtoffers niet meer vergoeden, zouden ze mogelijk hun gedrag gaan veranderen, aldus de politietopman. Volgens Ross Anderson, professor Security Engineering aan de Universiteit van Cambridge, worden slachtoffers door dit soort plannen opnieuw slachtoffer. "Dertig jaar geleden had een politiechef kunnen zeggen dat verkrachtigingsslachtoffers, als ze er leuk uitzagen, het over henzelf afriepen. Als dat tegenwoordig wordt gezegd zou er ontslag volgen. De opvatting van Hogan-Howe over bankfraude is net zo ongeïnformeerd, en net zo beledigend voor de slachtoffers."

Anderson merkt op dat dat 5% van de computers met Windows door malware is geïnfecteerd en veelvoorkomende banking Trojans zoals Zeus het mogelijk maken om banktransacties aan te passen. Een gebruiker denkt dat hij zijn energierekening betaalt, maar in werkelijkheid wordt er een veel groter bedrag naar het buitenland overgemaakt. "De doorsnee persoon is hier machteloos tegen; alles lijkt normaal en anti-virusproducten detecteren de malware pas achteraf."

Volgens de professor ligt een groot deel van de schuld bij banken, die gebruikers met besmette computers grote betalingen laten uitvoeren, in plaats van dat hier een periode overheen gaat, zoals voorheen het geval was. "Ze kunnen dit risico nemen, omdat toezichthouders ze toestaan een groot deel van de fraudekosten op hun klanten te verhalen." In plaats van de schuld bij slachtoffers neer te leggen moet de Britse politie beter werk leveren en is er behoefte aan betere bankregels, aldus Anderson.

Reacties (22)
29-03-2016, 11:17 door bollie
In plaats van de schuld bij slachtoffers neer te leggen moet de Britse politie beter werk leveren en is er behoefte aan betere bankregels, aldus Anderson.

Applaus!!
29-03-2016, 11:25 door Anoniem
Eens met dit artikel, en sluit volgens mij ook aan bij de uitkomst van het RADAR onderzoek dat 85% van de bevolking wil dat er een staatsbank dient te zijn die het betalingsverkeer beheert. Dus niet meer iedere bank afzonderlijk zijn eigen betalingsverkeer applicaties e.d., maar dat dit vanuit overheidswegen gecentraliseerd en beheerd wordt. Dat wil dan nog niet zeggen dat dan veiligheid geen issue meer is, maar zorgt in ieder geval dat er een scheiding komt tussen commerciele bankwezen en het betalingsverkeer.
29-03-2016, 11:27 door potshot
90% van alle mensen WIL gewoon niet even wat tijd uitrekken om de pc veilig te houden.
hoe vaak ik al niet laptops heb moeten schoon maken en herinstalleren van kennissen en familie is niet meer te tellen.
ik legde ze het in het begin nog wel uit wat ze moeten doen maar heeft geen enkele zijn want ze zijn het 1 minuut later al weer vergeten en vinden dat dan ook nog grappig.
als je te achterlijk bent om veilig te bankieren waarom doe je het dan vraag ik me af.
29-03-2016, 11:30 door [Account Verwijderd] - Bijgewerkt: 29-03-2016, 11:31
[Verwijderd]
29-03-2016, 11:52 door Reinder
Door potshot: 90% van alle mensen WIL gewoon niet even wat tijd uitrekken om de pc veilig te houden.
hoe vaak ik al niet laptops heb moeten schoon maken en herinstalleren van kennissen en familie is niet meer te tellen.
ik legde ze het in het begin nog wel uit wat ze moeten doen maar heeft geen enkele zijn want ze zijn het 1 minuut later al weer vergeten en vinden dat dan ook nog grappig.
als je te achterlijk bent om veilig te bankieren waarom doe je het dan vraag ik me af.

Wat je zegt klopt natuurlijk, maar van de andere kant is het zo dat de IT-industrie moderne OS'en en applicaties juist zo relatief eenvoudig en gebruiksvriendelijk heeft gemaakt dat ook de spreekwoordelijke digibete tante het ding kan gebruiken. Die kennisen en familie willen helemaal niet weten hoe het werkt, want ze zijn alleen geintereseerd in het gebruik ervan. Ze willen ook niet weten hoe hun magnetron, auto, televisie, wasmachine of wekkerradio technisch werkt, ze willen consument zijn, geen beheerder. Jij bent de facto hun onbezoldigde computer-monteur, als je dat niet wilt doen is het het beste dat simpelweg te zeggen. Het enige verschil tussen die apparaten en een computer is dat die eerste (nog) niet aan het internet hangen. Over een aantal jaar zal het nog erger worden, en zullen Internet of things devices zoals wekkerradio's en wasmachines zonder dat de gebruiker het door heeft op Internet kunnen, met alle bijbehorende problematiek. Tot een tiental jaar geleden kon je nog zeggen dat die digibeteren dan maar geen computer moesten nemen, maar tegenwoordig gaat dat niet meer op, de maatschappij en de overheid verwachten van mensen dat ze op het Internet kunnen,een groter wordende groep dingen kunnen niet eens meer op een andere manier.
29-03-2016, 12:19 door spatieman
een van de grotere problemen is ook dat JUIST mensen zich blind staren op beveiligingssoftware en op het OS.
ik hoor van veel mensen, wow W10, fantastisch, het blokeerd alle virussen en mallware, wow ik heb ik een betaalde virusscanner, dus ik kan op ALLES klikken wat ik onder mijn muis krijg.
29-03-2016, 12:38 door Anoniem
als je te achterlijk bent om veilig te bankieren waarom doe je het dan vraag ik me af.

En, zijn jouw opa en oma ook ''achterlijk'', om maar een gemakkelijk voorbeeld te pakken. Het is zo gemakkelijk kort door de bocht anderen als ''achterlijk'' te bestempelen, alsof iedereen deze materie moet kunnen snappen, en verstand moet hebben van malware, it beveiliging en dergelijke. Ik vind je reactie wat dat betreft ''debiel'' - om mij maar even naar hetzelfde niveau te verlagen.
29-03-2016, 12:40 door Anoniem
En, hoe zou deze commissaris dat dan zien met een locked-down desktop welke mensen gebruiken op het werk. Als ze daar internet bankieren, wil hij dan de systeembeheerder verantwoordelijk stellen ? ;)
29-03-2016, 12:45 door Anoniem
Zou de heer Sir Bernard Hogan-Howe ook maar een seconde stilstaan bij het feit dat virus definities altijd achter de feiten aanlopen, en dat het bij een besmetting met een banking trojan zeer wel mogelijk is dat de virusscanner deze nog niet detecteert ? Waarbij mogelijk ook nog eens de aanwezige antivirus software wordt gesaboteerd, om te zorgen dat deze niet langer correct detecteert, of geen updates meer binnenhaalt ?

Leuk van die mensen die dit soort zaken roepen, zonder kennis van zaken, en zonder zich in het onderwerp te verdiepen.....
29-03-2016, 12:51 door Anoniem
Misschien moeten vrouwen, die 's nachts op straat lopen, en worden aangerand, ook niet langer meer worden geholpen. Immers zal dat hen misschien leren dat het onverstandig is om zo laat alleen op straat te lopen. Niet helpen kan tot gevolg hebben dat ze hun gedrag aanpassen, en zo minder risico lopen.

Ongeveer even kort door de bocht als de suggestie van deze politie commissaris ?
29-03-2016, 14:56 door Joep Lunaar
Door potshot: 90% van alle mensen WIL gewoon niet even wat tijd uitrekken om de pc veilig te houden.
Waar, maar ook al zouden ze het willen, kunnen ze het niet. Onwil is niet het probleem.

hoe vaak ik al niet laptops heb moeten schoon maken en herinstalleren van kennissen en familie is niet meer te tellen.
ik legde ze het in het begin nog wel uit wat ze moeten doen maar heeft geen enkele zijn want ze zijn het 1 minuut later al weer vergeten en vinden dat dan ook nog grappig. als je te achterlijk bent om veilig te bankieren waarom doe je het dan vraag ik me af.
Waar, maar ook voor de meeste gebruikers die denken dat ze in staat zijn hun computers veilig te houden geldt dat het erg lastig is, gewoon te moeilijk voor een individuele gebruiker. Onwil is niet het probleem.

Dat velen niettemin denken dat zij wel in staat staat zijn een systeem veilig te houden maakt het probleem nog groter.
Kritische gebruikers zouden niet moeten accepteren dat MS Windows hen in dit opzicht zo in de steek laat.
En ja, de gerenommeerde Linux distributies ontlasten hun gebruikers in het opzicht van beveiliging veel beter. Alle programmatuur komt op veilige wijze uit een centraal beheerde repository. Daarom is malware vrijwel volledig afwezig op Linux desktops. Linux is voor de gebruikers niet moeilijker, maar juist makkelijker.
29-03-2016, 16:03 door Anoniem
Veel digibeten kopen bijvoorbeeld een PC met Windows 10. En krijgen dan van de marketing teams van Microsoft, of van de leverancier, te horen dat Windows 10 helemaal veilig is, en niet kwetsbaar is voor malware. Indien ze toch slachtoffer worden, kunnen ze de rekening dan naar genoemde bedrijven doorsturen ? ;)
29-03-2016, 16:05 door Anoniem
Linux is voor de gebruikers niet moeilijker, maar juist makkelijker.
Linux is ook niet de heilige graal. Issues met drivers spelen vandaag nog steeds (eigen ervaring). Maar buiten dat, genoeg repo's die achterlopen, bundeling van Flash met A/V codecs (Linux Mint) en een zeer moeilijk upgradeproces (ook Mint) maken dat Linux voor velen ook een doodlopende steeg is.
Wellicht zou het beter zijn als banken individuele native apps zouden bouwen, zodat alle browser exploits geen vat meer kunnen hebben. Die apps kunnen dan gedistribueerd worden via de Windows Store, Mac App Store en de Linux repo's. Binnen dergelijke apps kun je ook makkelijker een VPN tunnel inbouwen ter voorkoming van MitM aanvallen.
29-03-2016, 16:46 door Anoniem
geen idee hoe de bank sofware in de UK werkt. Maar als ik met ING geld overmaak dan krijg ik op mijn telefoon een SMS met daarin volgnummer voor de TAN code en het totaal bedrag.

Stel dat mijn computer besmet zou zijn en de transactie word veranderd in een veel groter bedrag naar een andere rekening, dan krijg ik dat te zien in de SMS en stop ik de boel.

Maar 99% negeert die simpele handeling om de boel veilig te laten verlopen. Ligt er dan werkelijk geen enkele verantwoordelijkheid bij de gebruiker als je dat niet doet?

De banken roepen al vele jaren dat ze nooit, nooit, NOOIT naar je pincode zullen vragen. Maar hele volkstammen vullen hun pincode meteen in als ze phishing mailtje vol met spelfouten ontvangen. Is dat ook iets dat je gebruikers niet kwalijk kan nemen?
(en dan heb ik het niet over demente bejaarden, maar mensen met een academische opleiding die de hele dag met een computer werken)

Tuurlijk zijn er zero day attacks waar mensen weinig aan kunnen doen. Maar in de meeste gevallen is de gebruikers wel degelijk wat te verwijten.
29-03-2016, 23:18 door Anoniem
Probleem is vooral dat iets wat veilig moet zijn over het onveilige internet moet.
Men zou een nieuw bekabeld en goed beveiligd netwerk moeten aanleggen speciaal voor bankieren en communicatie met de overheid (belastingzaken) en ook als veilig alternatief voor de huidige minder veilige online betalingsmethoden.
Let wel: Dit moet een volledig nieuw netwerk zijn dat op geen enkele manier via het internet (of draadloos) benaderbaar mag zijn, dus hackers en malware hebben dan geen enkele kans. Het apparaat dat op dit veilige netwerk aangesloten moet worden wordt dan geleverd door de bank waar u een rekening heeft en is niet vatbaar voor virussen en malware. (ROM)

Je hebt dan:
1) internet (onveilig draadloos en bedraad, niet meer gekoppeld aan bankrekening, dus toch redelijk zorgeloos surfen)
2) SecureNet (alleen bedraad, voor alles wat absoluut veilig moet zijn, zoals bankieren, betalingen, belasting etc.)

Weet iemand een betere naam voor SecureNet? ;)
Dit was zomaar een idee, voortkomend uit mijn onvrede met de huidige manier waarop ik mijn bankzaken moet doen. Het is altijd maar weer hopen dat het goed gaat... Het systeem zou gewoon waterdicht moeten zijn. Iemand aanvullingen en is het überhaupt haalbaar?
29-03-2016, 23:58 door Anoniem
Door Anoniem:
De banken roepen al vele jaren dat ze nooit, nooit, NOOIT naar je pincode zullen vragen. Maar hele volkstammen vullen hun pincode meteen in als ze phishing mailtje vol met spelfouten ontvangen. Is dat ook iets dat je gebruikers niet kwalijk kan nemen?
(en dan heb ik het niet over demente bejaarden, maar mensen met een academische opleiding die de hele dag met een computer werken)

Die academici zijn maar miniem; het zijn de mensen die de spelfouten niet herkennen (spammers gebruiken JUIST spelfouten tegenwoordig zodat ze de goede doelgroep treffen) die er in trappen. Vervelend, maar waar.
30-03-2016, 00:09 door Anoniem
De banken willen gewoon hun straatje schoongeveegd hebben, bij voorbaat gezuiverd zijn van welke blaam dan ook, voor de malware producenten dusdanige professionele producten op de wereld los laten dat zij het niet meer kunnen bolwerken binnen het budget wat zij er voor over hebben.

Dus sponsoren zij een Sir politiemannetje op wat te roepen. Om het risico van hun visie weer bij de maatschappij te leggen. Dat is immers goedkoper dan de investeringen te maken die nodig zijn. Is best wel duur namelijk. Dat beveiligen en bij de tijd blijven. Dat was geen onderdeel van de oorspronkelijke begroting waarin gesteld was dat een, bij wijze van spreken, 15de eeuw kasteeldeurslot afdoende zou zijn tegen inbrekers voor de komende tig jaar.

Vermoeiend. Die mannetjes die hun eigen bonus/subsidie verhogen door de risico's op de maatschappij af te wentelen.
In feite zijn dat de top uitkeringstrekkers. Maar omdat het indirect is telt het niet?

Altijd makkelijk om te roepen dat de eindgebruiker iets te verwijten valt. Men kan het ook omdraaien, wat is de organisatie te verwijten inzake het ontzorgen van de eindgebruiker zodat die zich volledig kan wijden aan wat de hoofdtaken zijn van die eindgebruiker? Zonder zich zorgen te hoeven maken over een sloot aan extra in de strot geduwde taken en verantwoordelijkheden, zonder de bijbehorende bevoegdheden, omdat iemand weer eens een afschuif memo heeft rondgestuurd?

Als eindgebruiker/consument betaal je de bank voor een financiele dienstverlening. Niet voor een zooi aan extra werkzaamheden en verantwoordelijkheden.

Als bank dien je je klant een pakket aan te bieden die verregaand bovengemiddeld gegarandeerd veilig is. Zonder al te veel rompslomp. En zolang je dat niet kan, niet wilt, frustreert, middels PR dubbele boodschappen aanbiedt, en zo meer, dien je als bank gewoon je volle verantwoordelijkheid te dragen.

Als je als bank je klanten daarin niet kan voorzien stel dan je doorbelaste kosten dusdanig naar beneden bij zodat de klant in kwestie een cybercrime verzekering kan afsluiten voor hetzelfde geld. Gegarandeerd dat die verzekering haarfijn duidelijk gaat maken wat daar (aan kosten) bij komt kijken. Mist die verzekering geen wassen neus blijkt te zijn. Het moet wel een verzekering zijn die echt dat dekt waar de bank dan in verzuimt.

Tot die tijd is een bank slechts maatschappelijk onverantwoord bezig risico's en kosten af te schuiven op minder machtige partijen. Uitermate zum kotzen.
30-03-2016, 10:30 door Anoniem
Viruses zijn voor de gemiddelde consument lastig te detecteren, zelfs virusscanners doen dit niet voor 100%. Maar phishing? Hou op zeg, dat is echt je eigen schuld en zou dan ook je eigen probleem moeten zijn. "Hallo, hier met je bank, kun je even wat veiligheidscodes doorgeven vanwege het volgende kletsverhaal?" Waarom moeten andere klanten voor de schade opdraaien? Want dat gebeurt, de banken verhogen de kosten voor alle klanten omdat iemand deze kosten moet betalen. Of dacht je dat dit wordt ingehouden op het salaris van de bankmedewerkers? Right....
30-03-2016, 10:38 door Anoniem
"Als banken fraudeslachtoffers niet meer vergoeden, zouden ze mogelijk hun gedrag gaan veranderen, aldus de politietopman."

Dus wat? Omdat de banken de slachtoffers niet meer helpen, stoppen de criminelen met het bestelen van de slachtoffers?
Wie wordt hier nou eigenlijk mee geholpen? Zeker niet de slachtoffers.
30-03-2016, 10:44 door Anoniem
Door potshot: 90% van alle mensen WIL gewoon niet even wat tijd uitrekken om de pc veilig te houden.
hoe vaak ik al niet laptops heb moeten schoon maken en herinstalleren van kennissen en familie is niet meer te tellen.
ik legde ze het in het begin nog wel uit wat ze moeten doen maar heeft geen enkele zijn want ze zijn het 1 minuut later al weer vergeten en vinden dat dan ook nog grappig.
als je te achterlijk bent om veilig te bankieren waarom doe je het dan vraag ik me af.

grappig dat je onkunde en onvermogen van de eindgebruikers meteen toewijdt aan achterlijkheid.
niet iedereen heeft dezelfde instelling als het gaat om automatisering en computers.
bij veel mensen die ik help met het beveiligen of herstellen van hun computers en netwerken, is er gewoon geen gevoel met computers. voor hen zijn het gebruiksvoorwerpen net als een koffiezetapparaat. daar drukken ze ook gewoon de knop in en komt de koffie eruit. dat ze het water moeten bijvullen en de koffie erin moeten doen vinden ze prima, maar kom niet aan met extra handelingen zoals ontkalken.

meesten vertrouwen op hun virusscanner en denken dat ze daarmee veilig zijn. je moet al blij zijn als 50% van de gebruikers weet wat phishing inhoud.
30-03-2016, 10:58 door Anoniem
Je kan het ook omdraaien; mensen die een drugs gebruiken (maar geen ander delict plegen), worden in de UK gestraft en opgesloten; slecht gedrag wordt bestraft. Dat blijkt echter helemaal niet effectief ... dus de redenatie van meneer de politiechef gaat helemaal niet op in real-life !
04-04-2016, 09:11 door Anoniem
Door potshot: 90% van alle mensen WIL gewoon niet even wat tijd uitrekken om de pc veilig te houden.
hoe vaak ik al niet laptops heb moeten schoon maken en herinstalleren van kennissen en familie is niet meer te tellen.
ik legde ze het in het begin nog wel uit wat ze moeten doen maar heeft geen enkele zijn want ze zijn het 1 minuut later al weer vergeten en vinden dat dan ook nog grappig.
als je te achterlijk bent om veilig te bankieren waarom doe je het dan vraag ik me af.

Door Anoniem:
Door potshot: 90% van alle mensen WIL gewoon niet even wat tijd uitrekken om de pc veilig te houden.
hoe vaak ik al niet laptops heb moeten schoon maken en herinstalleren van kennissen en familie is niet meer te tellen.
ik legde ze het in het begin nog wel uit wat ze moeten doen maar heeft geen enkele zijn want ze zijn het 1 minuut later al weer vergeten en vinden dat dan ook nog grappig.
als je te achterlijk bent om veilig te bankieren waarom doe je het dan vraag ik me af.

grappig dat je onkunde en onvermogen van de eindgebruikers meteen toewijdt aan achterlijkheid.
niet iedereen heeft dezelfde instelling als het gaat om automatisering en computers.
bij veel mensen die ik help met het beveiligen of herstellen van hun computers en netwerken, is er gewoon geen gevoel met computers. voor hen zijn het gebruiksvoorwerpen net als een koffiezetapparaat. daar drukken ze ook gewoon de knop in en komt de koffie eruit. dat ze het water moeten bijvullen en de koffie erin moeten doen vinden ze prima, maar kom niet aan met extra handelingen zoals ontkalken.

meesten vertrouwen op hun virusscanner en denken dat ze daarmee veilig zijn. je moet al blij zijn als 50% van de gebruikers weet wat phishing inhoud.

100% mee eens, oppassen (waarop?) en een virusscanner help ook niet (altijd).
Ik heb een keer bijna een probleem gehad bij een betaling.
Wat bleek, software die ik al jaren gebruik had een update gehad en deze update bevatte schadelijke code.
Een hakker bleek een aantal weken bij het bedrijf gewerkt...
Potshot, weet jij wat al software doet, waar je ja tegen zegt bij een update? ik denk het niet?
Laatste was het ook raak bij een veel gebruikte Android app.
En bij Apple ben je niet veiliger hoor. Zoek maar eens op 'enterprise developercertificaat', ook die worden misbruikt.
Wat vandaag veilig is kan morgen onveilig zijn, en je kunt er als gebruiker helaas steeds minder zelf aan doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.