ING wil gebruiker nog meer veiligheid bieden??

Mac Software mac-apps-overige
#1

Een vriend van mij die nu sinds een jaar met een imac werkt voor zijn winkel en bij de ING zit met zijn bankzaken, kreeg dit toegestuurd.

[img]/uploads/community/5fb10f0bb1b357f6ad7585a5c3971c9f50cea9f6_0.png[/img]

Kort daarvoor hadden we het over mac en veiligheid, hacken, malware, enz. Ik heb hem toen uitgelegd, dat als, hij zijn gezonde verstand gebruikt hij daar verder zich niet heel druk over hoefde te maken bij een mac, en dat ik bij alle macs die ik gehad heb tot nu toe, nog nooit een anti-virus programma heb geïnstalleerd. En zeker niet dingen als mackeeper of aanverwante moet gaan installeren.

Hij vroeg zich nu toch af of hij bovenstaande moest gaan installeren.

Nou zit ik zelf al heel lang niet meer bij de ING, dus ik kan niet eens controleren of het wel van de bank afkomstig is, of dat het van een partij is die tussen de klant en de bank gaat zitten.

Is er iemand die dit herkent en kan zeggen of het werkelijk van de ING afkomstig is, en is het noodzakelijk om het te installeren?

#2

Het is van de ING, maar het voegt inderdaad niks toe als je gewoon normaal met je computer werkt, en al helemaal als je hem voor werk gebruikt. Als je alles weigert, behalve Apple-updates en programma's die je voor het werk gebruikt, zit je goed.

Waarom zit je dan goed? Twee redenen:

- Je kan er van uit gaan dat als je de programma's niet wijzigt, en ze niet van buiten af benaderbaar zijn, er niks naars gebeurt

- Als programma's die je voor je werk nodig hebt toch nare dingen gaan doen, dan heb je sowieso een probleem om dat je je werk niet meer kan doen.

Dus qua beveiliging zit je goed als je gewoon geen verkeerde dingen doet.

#3

Ik zou er (standaard) maar van uitgaan dat dit soort berichten [i]phishing[/i] is. Voor je het weet zit je als slachtoffer op de tribune bij Radar of Kassa.

#4

Het is [b]geen phising[/b]. Bovenstaande afbeelding komt echt van de ING af, staat op hun website. Het beste is dan ook om daar naartoe te gaan. Als je de Mac-versie download, haal je Trusteer Rapport.dmg binnen. Op de gewone manier installeren. Er zit ook een uninstaller bij.
Ik heb het zelf niet geïnstalleerd overigens.

#5

Persoonlijk zou ik dit soort software [b][u]NOOIT[/u][/b] via de mail installeren, hoe legaal het ook lijkt. Ga zelf naar de website toe en download het daar als je het echt wilt installeren.

Zoals john ook al zegt, als je geen rare dingen doet op het internet zit je prima met je beveiliging.

#6

[quote=nickybbb url=http://www.onemorething.nl/community/topic/ing-wil-gebruiker-nog-meer-veiligheid-bieden#post-2498654 time=1355215593]...als je geen rare dingen doet op het internet zit je prima met je beveiliging.[/quote]

En een besmetting oplopen als je nu.nl bezoekt? Dat is toch heel normaal internet gebruik.

De houding van totale immuniteit van de Apple community wordt nog eens de doodsteek voor velen. Er wordt continu van uitgegaan dat een Apple gebruiker onschendbaar is, terwijl er toch echt ook kwetsbaarheden in Safari en MacOS zitten (en enkelen daarvan al lange tijd).

De software die ING aanbiedt zorgt ervoor dat transactie die je uitvoert legitiem zijn en controleert bijvoorbeeld of er een overboeking gaat plaatsvinden naar rekeningnummers die je niet zelf ingevoerd hebt. Dat is erg waardevol. Dat er op dit moment geen trojan is (denk ik) die dit in Safari voor elkaar krijgt wil niet zeggen dat die trojan over een kwartier niet ergens in het Oostblok gemaakt wordt. Er maar vanuit gaan dat Apple heilig is en dat ook zal blijven is kijken in een kristallen bol. En per definitie is de toekomst onzeker... dus?

#7

Ok. Heren,

Dank voor de informatie, ik zal alles doorgeven en zeggen dat hij het hier na kan lezen...

#8

GrannySmith, het gaat niet over Apple specifiek, maar over computergebruik. Als je een computer niet als general-purpose desktop machine gebruikt, maar om je werk mee te doen, dan mag je er toch wel van uit gaan dat je behalve onderhoud, toch echt niks anders dan je werk gaat doen.

En als je op nu.nl een drive-by-exploit over je heen krijgt, dan gaat Trusteer daar echt niet bij helpen.
Dit heeft ook weer niks met Apple te maken, maar gewoon met computergebruik. Geen enkel antivirus/malware programma gaat je beschermen tegen dingen die nog niet herkend worden. Heuristic-based detection heel hoog zetten kan natuurlijk, maar dan krijg je dus ook meteen over alles meldingen dat het onbekend is maar iets zou kunnen zijn.

Tot dat er een digitaal immuun systeem is kan je hier gewoon niks aan doen.

#9

Stuur die weblink naar ING en je antwoordt krijg je snel!

succes ermee

#10

Wat Haike meestuurt is een screenshot van de [url=https://www.ing.nl/de-ing/veilig-bankieren/veilig-internetbankieren/ing-trusteer-rapport/index.aspx?bid=0034_Rest_Internetbankieren_Veilig_bankieren_Trusteer_VB_BB_link]de website van ING[/url], en niet van de mailing.
Maar, inderdaad heeft ING onlangs in een mailing aan alle klanten aandacht besteed aan phishing, met daarbij een link naar deze pagina. Die vriend heeft dus blijkbaar al op de link in die mailing geklikt.

Klikken op links in mailtjes die je niet vertrouwt is in het algemeen geen goed idee...

#11

ing kan beter de authenticatie van triodos overnemen, de enige bank met een echt slimme 'randomreader'. Tancodes zijn diametraal het tegenovergestelde: defective by design. Je kunt met een tancode een willekeurige transactie accorderen, en dan is het maar de vraag of wat jij ziet ook is wat er gebeurt. En krijg je dus dit soort lapmiddelen

#12

De 'randomreader' (wat een onzin naam, het is gewoon een challenge-response) is niet nieuw, en ook niet zo veel veiliger dan de challenge-response van de ING. Daarnaast is Triodos niet de enige bank die dit gebruikt, zo heb je de Rabobank, ABN Amro, ASN Bank, SNS.. enz. Allemaal dezelfde hardware.

Een TAN-code is trouwens ook helemaal niet geschikt voor een willekeurige transactie, als je SMS-TAN gebruikt heb je bijvoorbeeld dat de transactie, inclusief bedrag, in het bericht staat, met een willekeurige TAN-code. Als je de papieren TAN-lijst gebruikt met volgnummers dan is het natuurlijk vooraf bekend welke TAN-codes er zijn, maar nog steeds veilig genoeg om dat het niet bekend is bij een 'aanvaller'.

Daarnaast hebben de hardware challenge-response implementaties allemaal geen ondersteuning voor transactie-details, en werk je in principe alleen met een digitale handtekening voor de transactie op zich.

Daarbovenop heeft ING ook gewoon een hardware versie van het TAN-systeem, hoewel die voor particulieren dacht ik niet beschikbaar is.

TAN-codes zijn misschien iets korter dan een signeercode van een hardware challenge-response opstelling, maar bij een TAN-code moet je we bedenken dat je hem maar 1x kan proberen. "Gokken" is er dus niet bij, om dat je dan in principe voor elke gok weer alle mogelijke TAN-codes moet proberen, en je kan er maar een per transactie 'testen'.

Dus, TAN-onveilig? Nee, niet perse.. het komt er gewoon op neer dat je als gebruiker moet opletten dat je geen valse transacties ondertekent, want dat is de enige manier om met de huidige challenge-response autorisatie van transacties nog geld te 'stelen'.

#13

[quote=Hansi2124 url=http://www.onemorething.nl/community/topic/ing-wil-gebruiker-nog-meer-veiligheid-bieden#post-2498635 time=1355212547]Het is [b]geen phising[/b]. Bovenstaande afbeelding komt echt van de ING af, staat op hun website.[/quote]
Dat is helaas geen bewijs dat het dan geen phishing is Hans. Er zijn tegenwoordig nep sites die zeer sterk op het origineel lijken. De URL goed controleren is dan beter maar juist daar kijkt men niet naar.

#14

[quote=janvanes url=http://www.onemorething.nl/community/topic/ing-wil-gebruiker-nog-meer-veiligheid-bieden#post-2498794 time=1355238595]Wat Haike meestuurt is een screenshot van de [url=https://www.ing.nl/de-ing/veilig-bankieren/veilig-internetbankieren/ing-trusteer-rapport/index.aspx?bid=0034_Rest_Internetbankieren_Veilig_bankieren_Trusteer_VB_BB_link]de website van ING[/url], en niet van de mailing.[/quote]

Juist, ik kreeg een screenshot en heb die hier geplaatst.

[quote]Maar, inderdaad heeft ING onlangs in een mailing aan alle klanten aandacht besteed aan phishing, met daarbij een link naar deze pagina. Die vriend heeft dus blijkbaar al op de link in die mailing geklikt.[/quote]

Nee hoor,... dat heeft-ie mooi niet gedaan, alleen maar dat shot gemaakt en toen aan mij doorgestuurd om te vragen wat ik er van vond, en vervolgens heb ik hier de vraag gesteld...

[quote]Klikken op links in mailtjes die je niet vertrouwt is in het algemeen geen goed idee...[/quote]

Das solliciteren naar/om moeilijkheden, zo gek is-ie niet... :wink:

#15

[quote=johnkeates url=http://www.onemorething.nl/community/topic/ing-wil-gebruiker-nog-meer-veiligheid-bieden#post-2498825 time=1355243927]

De \'randomreader\' (wat een onzin naam, het is gewoon een challenge-response) is niet nieuw, en ook niet zo veel veiliger dan de challenge-response van de ING. Daarnaast is Triodos niet de enige bank die dit gebruikt, zo heb je de Rabobank, ABN Amro, ASN Bank, SNS.. enz. Allemaal dezelfde hardware.[/quote]

Nou zit ik zelf ook bij Triodos en ken ook wat mensen binnen de bank, en weet dat ze daar met mac werken... :wink:

#16

[quote=hendrik ijzerbroot url=http://www.onemorething.nl/community/topic/ing-wil-gebruiker-nog-meer-veiligheid-bieden#post-2498835 time=1355245869][quote=Hansi2124 url=http://www.onemorething.nl/community/topic/ing-wil-gebruiker-nog-meer-veiligheid-bieden#post-2498635 time=1355212547]Het is [b]geen phising[/b]. Bovenstaande afbeelding komt echt van de ING af, staat op hun website.[/quote]

Dat is helaas geen bewijs dat het dan geen phishing is Hans.[/quote]
Wél als die link gewoon als bookmark bij mij staat. Al jaren.
Dus die is veilig!

Anders zou ik dat niet zeggen natuurlijk……

#17

[quote=johnkeates url=http://www.onemorething.nl/community/topic/ing-wil-gebruiker-nog-meer-veiligheid-bieden#post-2498825 time=1355243927]De \'randomreader\' (wat een onzin naam, het is gewoon een challenge-response) is niet nieuw, en ook niet zo veel veiliger dan de challenge-response van de ING. Daarnaast is Triodos niet de enige bank die dit gebruikt, zo heb je de Rabobank, ABN Amro, ASN Bank, SNS.. enz. Allemaal dezelfde hardware.[/quote]

Dat is niet waar:
Rabo: met paslezer en pincode
SNS/ASN zo'n minifrutding met 5-cijfer pincode en 1 getal heen, 1 terug
Triodos is de enige die ook het bedrag als input heeft. Dit maakt het wel degelijk extra veilig. Je kunt dus nooit met een accoord van 11 euro op een gehackede site op de achtergrond 1000 euro naar polen overmaken. Met ING/RABO/SNS etc kan dat wel.

#18

[quote=johnkeates url=http://www.onemorething.nl/community/topic/ing-wil-gebruiker-nog-meer-veiligheid-bieden#post-2498825 time=1355243927]De \\\'randomreader\\\' (wat een onzin naam, het is gewoon een challenge-response) is niet nieuw, en ook niet zo veel veiliger dan de challenge-response van de ING. Daarnaast is Triodos niet de enige bank die dit gebruikt, zo heb je de Rabobank, ABN Amro, ASN Bank, SNS.. enz. Allemaal dezelfde hardware.[/quote]

Dat is niet waar:
Dat het allemaal Vasco is ok, maar er zijn duidelijk verschillen.
Rabo: met paslezer en pincode

SNS/ASN zo\'n minifrutding met 5-cijfer pincode en 1 getal heen, 1 terug

Triodos is de enige die ook het bedrag als input heeft. Dit maakt het wel degelijk extra veilig. Je kunt dus nooit met een accoord van 11 euro op een gehackede site op de achtergrond 1000 euro naar polen overmaken. Met ING/RABO/SNS etc kan dat wel.[/quote]

[quote=johnkeates url=http://www.onemorething.nl/community/topic/ing-wil-gebruiker-nog-meer-veiligheid-bieden#post-2498825 time=1355243927]Dus, TAN-onveilig? Nee, niet perse.. het komt er gewoon op neer dat je als gebruiker moet opletten dat je geen valse transacties ondertekent, want dat is de enige manier om met de huidige challenge-response autorisatie van transacties nog geld te \'stelen\'.[/quote]

Doe dat maar eens. Je hebt geen idee wat Javascript op de achtergrond allemaal kan uitspoken. Je kunt prima een site van de bank nabootsen terwijl de echte bank iets heel anders verwerkt. ING is niet voor niks de bank met procentueel de meeste hacks op elektronisch betalen.

#19

Nou ben ik wel benieuwd naar de cijfers dat ING de meeste hacks op electronisch betalen heeft.
Kom maar op!

#20

[quote=computer space url=http://www.onemorething.nl/community/topic/ing-wil-gebruiker-nog-meer-veiligheid-bieden#post-2498914 time=1355254966]
Dat is niet waar:

*knip*

[/quote]

Dat is wel waar, het is allemaal exact hetzelfde: een challenge-response systeem.

Dat je als eindgebruiker een ander merkje ziet, of een ander aantal of soort variabelen hebt, dat maakt geen zak uit, ook niet voor het onderliggende algoritme.

[quote=computer space url=http://www.onemorething.nl/community/topic/ing-wil-gebruiker-nog-meer-veiligheid-bieden#post-2498914 time=1355254966]
Je hebt geen idee wat Javascript op de achtergrond allemaal kan uitspoken. Je kunt prima een site van de bank nabootsen terwijl de echte bank iets heel anders verwerkt. ING is niet voor niks de bank met procentueel de meeste hacks op elektronisch betalen.[/quote]

Oei, gevaarlijke aanname en suggestie!

Ten eerste om dat je helemaal geen idee hebt van mijn opleidingsniveau en type, en ten tweede om dat je niet weet wat ik doe.

Ten tweede, om dat de ING een SMS stuurt, met daarin het bedrag. Dat gaat allemaal server-side, daar komt echt geen JavaScript bij kijken. In dat SMSje staat o.a. het bedrag, volgnummer en TAN-code.

Misschien probeer je heel hard je standpunt, productkeuze of vooroordeel te verdedigen, maar het lukt niet echt...

Daarnaast: dingen als 'minifrutding' gebruiken om een stukje cryptografische hardware aan te duiden is niet heel erg hoog niveau.. ik vraag me af hoe veel je van dit onderwerp afweet. Daarbij heb je ook nog dat een kortere code niet perse minder veilig is dan een lange code. Sure, stel dat je alle gegevens zou hebben, maar de code nog moet brute-forcen, dan is dat sneller te doen als het aantal mogelijke waardes beperkt is, maar dat is hier helemaal niet aan de orde, het maakt geen zak uit.