[ archief ] ING stopt met TAN-codes en mijn mobiel is te oud voor app

[GJS]

Dat soort mails zie ik dagelijks in verschillende spamboxen, blijkbaar trappen er nog steeds mensen in anders zou dat wel een keer stoppen.

Het is een terecht punt, maar geen man in the middle attack. Andere vraag: hoe voorkomt zo'n calculator deze aanval?

Een calculator voorkomt geen "man in the middele attack" dat doet de HTTPS verbinding die je met de bank hebt.

Niet als je via een malafide website inlogt en niet ziet dat of kijkt of je wel echt verbinding met je bank hebt.
Man in de middle wil niet perse zeggen dat je directe verbinding met de bank wordt onderschept, het is iemand die ertussen zit en dat kan op verschillende manieren.

Eén van de banken die ik gebruik geeft bij hoge(re) bedragen een extra code die je in die calculator in moet voeren, aan die code kan je zien of het ingevoerde bedrag klopt.
Maar je hebt i.d.d. wel gelijk als het bedrag hetzelfde blijft zie je het niet, bij kleinere bedragen ook niet, maar wel als de man-in-the-middle het bedrag flink verhoogd heeft.
En als andere banken met zo'n calculator zo'n extra check er niet in hebben zal het dan ook niet voorkomen worden.

[sylvesterb]

Het is een terecht punt, maar geen man in the middle attack. Andere vraag: hoe voorkomt zo'n calculator deze aanval?

Een calculator voorkomt geen "man in the middele attack" dat doet de HTTPS verbinding die je met de bank hebt.

Niet als je via een malafide website inlogt en niet ziet dat of kijkt of je wel echt verbinding met je bank hebt.
Man in de middle wil niet perse zeggen dat je directe verbinding met de bank wordt onderschept, het is iemand die ertussen zit en dat kan op verschillende manieren.

Wat je noemt is geen man in the middle attack. Zoals je zelf al zegt log je in op een verkeerde website. Bij een man in the middle attack zit iemand tussen jouw en de bank als je naar de echte link gaat.

[GJS]

Wat je noemt is geen man in the middle attack. Zoals je zelf al zegt log je in op een verkeerde website. Bij een man in the middle attack zit iemand tussen jouw en de bank als je naar de echte link gaat.

Dat is mij ooit zo verteld en het klinkt gewoon logisch dat dit ook onder man in the middle valt omdat er onderweg ook data gemanipuleerd wordt.
Ik heb het opgezocht en je hebt i.d.d. gelijk dat dat niet zo is, dit valt dan waarschijnlijk onder URL-spoofing.

[witte angora]

Het betalingsverkeer verandert snel. Ik ben benieuwd naar de gadget die ING gaat presenteren om dit tancodeprobleem te ondervangen.

Het zou me niks verbazen als de gadget bestaat uit: 'gaat u maar naar uw bankfiliaal, daar kunnen ze u helpen met het apparaat dat daar klaar staat.

[Fiesiekus]

M'n vorige Samsung had een te lage Android die niet meer werd geüpdatet. Voordat de bank dat doorhad was ik bijna afgesloten en kon ik niet meer handelen op de beurs. Uit ellende maar een nieuwe Samsung gekocht.

Maar TS heeft wel een terecht punt: je wordt gedwongen een nieuwe telefoon te nemen.

[reggie2]

Maar TS heeft wel een terecht punt: je wordt gedwongen een nieuwe telefoon te nemen.

Nee hoor, ze komen met een alternatief.

[ingwebcareteam]

Hoi,

Ik zag toevallig je berichtje.

Wat vervelend dat je op kantoor dit bericht hebt gekregen. We zorgen zeker voor een alternatief voor de mensen die geen gebruik maken van de Mobiel Bankieren app. Wat dit alternatief voor de TAN-codes inhoudt is nog niet bekend, we zijn nog druk bezig met dit alternatief te ontwikkelen. We zullen je tzt hier zeker over informeren.

Vriendelijke groet,

Roos
Webcare ING

[witte angora]

M'n vorige Samsung had een te lage Android die niet meer werd geüpdatet. Voordat de bank dat doorhad was ik bijna afgesloten en kon ik niet meer handelen op de beurs. Uit ellende maar een nieuwe Samsung gekocht.

Maar TS heeft wel een terecht punt: je wordt gedwongen een nieuwe telefoon te nemen.

Je kunt ook naar een andere bank stappen. Niet dat ze er bij de ING van onder de indruk van zullen zijn, maar ok.

[marnix]

Ik wacht rustig af wat ze gaan doen, ben ouderwets, ze zullen heus op tijd met een oplossing komen.
Ze geven nu zoveel bekendheid aan het feit met de codes te gaan stoppen dat er vast weinig mensen overblijven voor de nieuwe oplossing.
Zou me niets verbazen als ze dan beslissen voor die paar ouderwetschen de codes gewoon door te laten gaan.

[Radar]

Meerdere off-topic reacties verwijderd door Moderator. Graag on-topic blijven.

[olaf79]

Iemand kan de invoer van de gebruiker afvangen, het rekeningnummer en bedrag aanpassen en het dan doorsturen naar de bank, met een tan-code wordt die transactie gewoon doorgevoerd.

Transacties vinden plaats middels https. Hoe kan er dan nog een dergelijke aanval worden uitgevoerd?

https is geen (afdoende) beveiliging tegen mitma. Https versleuteld alleen het verkeer tussen browser en webserver. Wat er op de webserver of op de computer van de gebruiker gebeurd is niet beveiligd.

[sjohie]

Dat soort mails zie ik dagelijks in verschillende spamboxen, blijkbaar trappen er nog steeds mensen in anders zou dat wel een keer stoppen.

Het is een terecht punt, maar geen man in the middle attack. Andere vraag: hoe voorkomt zo'n calculator deze aanval?

Sommige van die calculators, beter bekend als random readers, kan je voor het gemak met een USB kabel aan je PC hangen. Dat zou ik met die van mijn ABN-AMRO rekening kunnen doen bijvoorbeeld, die heeft een USB aansluiting, en op hun site kan je er software voor downloaden. Juist de fysieke "knip" tussen de reader en de pc waar ik op telebankier vind ik veilig, dus ik zal het nooit doen, maar een gekoppelde reader aan een gehackte/geïnfecteerde pc, zou erg gevoelig zijn voor zo'n man in the middle attack.

[Zombiemaster]

Zeg eens die befaamde random reader is die universeel of persoonsgebonden? Kun je dus wel of niet gebruik maken van die van de overbuurman op je eigen computer met je eigen rekening en je eigen bankpas als jouw eigen reader kapot is bijvoorbeeld?

[bprosman]

https is geen (afdoende) beveiliging tegen mitma

Hoe maak jij een mitma met een HTTPS verbinding en een valide certificaat op de server van de bank?
Zeker als je gebruikt maakt van Perfect Forward Secrecy en / of HTTP Strict Transport Security.

[Lady1234]

Zeg eens die befaamde random reader is die universeel of persoonsgebonden? Kun je dus wel of niet gebruik maken van die van de overbuurman op je eigen computer met je eigen rekening en je eigen bankpas als jouw eigen reader kapot is bijvoorbeeld?

Volgens mij zijn die dingen universeel, waardoor je, als je iemands pas en pincode hebt, die bijvoorbeeld al op de parkeerplaats bij de winkel kunt misbruiken,

[Brainless]

Gebeld worden!! Door wie zou ik bijna willen vragen .
Er zal vast en zeker geen medewerker van ING gaan bellen om u uw code in uw oor te fluisteren.
Of bedoeld u misschien dat ING aan u een SMS verstuurd met de TAN-code, maar dat doen ze al jaren en ook daar gaat ING mee stoppen.

Je kan ook zeker (nu nog) kiezen om gebeld te worden.
Dan krijg je een computer aan de telefoon die de TANcode doorgeeft.

[alfatrion]

https is geen (afdoende) beveiliging tegen mitma. Https versleuteld alleen het verkeer tussen browser en webserver. Wat er op de webserver of op de computer van de gebruiker gebeurd is niet beveiligd.

De aanvaller zit alleen niet op de server of de client, maar juist daar tussen, daarom heet het de aanval ook Man in the middle attack.

Een voorbeeld van een MITM aanval. Stel jij koopt een Belkin wireless network router in 2003 en je bezoekt het Radar forum via WIFI. Op een gegeven moment krijg je de Radar pagina niet meer te zien, maar een advertentie voor een Belkin product. Nadat je wat onderzoek doet kom je er achter dat de Belkin wireless network router eens in de zoveel tijd jouw HTTP GET verzoek niet doorstuurt, maar net doet alsof hij de Radar server is en geeft jou de advertentie terug.

[bprosman]

maar net doet alsof hij de Radar server is

Hoe komt hij dan aan het certificaat van de radar server ?

[renewouters]

M'n vorige Samsung had een te lage Android die niet meer werd geüpdatet. Voordat de bank dat doorhad was ik bijna afgesloten en kon ik niet meer handelen op de beurs. Uit ellende maar een nieuwe Samsung gekocht.

Maar TS heeft wel een terecht punt: je wordt gedwongen een nieuwe telefoon te nemen.

Je moet je ook afvragen of je ZELF überhaupt wel een verouderde telefoon wilt gebruiken. Niet alleen bankieren wordt onveiliger, maar alles wat je doet als je een lek OS hebt wordt onveiliger. En je kunt ook niet verwachten dat nieuwere OS-en blijven werken op oude hardware. Op een gegeven moment wordt dat gewoon te zwaar. Je werkt nu ongetwijfeld ook niet meer op de PC met een 80386 CPU.

[Zombiemaster]

Zeg eens die befaamde random reader is die universeel of persoonsgebonden? Kun je dus wel of niet gebruik maken van die van de overbuurman op je eigen computer met je eigen rekening en je eigen bankpas als jouw eigen reader kapot is bijvoorbeeld?

Volgens mij zijn die dingen universeel, waardoor je, als je iemands pas en pincode hebt, die bijvoorbeeld al op de parkeerplaats bij de winkel kunt misbruiken,

Net 2 minuten geleden bij "Opgelicht" op NPO1: Pincode afgekeken, bankpasje gestolen: en de hele rekening + spaarrekening van de Rabo rekening leeggetrokken. Meer is niet nodig. Het is (bijna) altijd de Rabo bank, de meest onveilige bank (qua internet bankieren) van Nederland. Dus alsjeblieft voer nooit zo'n RABO apparaatje in als alternatief. TAN codes via SMS, desnoods via papieren lijst, zijn zoveel veiliger.