Internetbankieren: websites banken onvoldoende beveiligd
Uitzending van 17 juli 2009
Veel websites van banken en overheid zijn onvoldoende beveiligd. Het zogeheten ‘slotje’ dat zou moeten garanderen dat een site veilig is, biedt geen garantie meer. Hackers zijn in staat om zulke websites te kraken en misbruik te maken van de gegevens die burgers invoeren. Bankrekeningen kunnen op die wijze worden geplunderd.
De Amsterdamse hostingprovider Byte brengt één en ander in Netwerk aan het licht. Het wordt onderschreven door professor Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen. Een aantal banken erkent het probleem en werkt aan oplossingen.
Sinds twee jaar bestaat al een verbeterde versie van het ‘slotje’. Maar banken, zoals ABN-Amro, Rabobank en DSB gebruiken die nog niet. En dat geldt ook voor een aantal sites van de overheid, zoals DigiD. De nieuwe gecertificeerde beveiligingsvorm is herkenbaar aan de groene adresbalk. Het kost een organisatie vanaf 500 euro om haar site te ‘upgraden’.
Professor Bart Jacobs: “Netwerk toont aan dat de beveiliging van DigiD niet werkt. Overheid en banken moeten hun sites snel aanpassen”. Desgevraagd geven banken aan Netwerk aan dat ze werken aan de verbeteringen.
Bekijk ook eerdere Netwerk-items over soortgelijke onderwerpen:
- Forse stijging skimming op stations
- Kinderlokkers werken steeds meer online
Als u wil weten of u veilig internetbankiert, ga dan naar de website 3xkloppen.nl van de Vereniging van Banken en check de procedures die daarop staan vermeld.
Bekijk hier de uitzending van vrijdag 17 juli.
De Amsterdamse hostingprovider Byte brengt één en ander in Netwerk aan het licht. Het wordt onderschreven door professor Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen. Een aantal banken erkent het probleem en werkt aan oplossingen.
Sinds twee jaar bestaat al een verbeterde versie van het ‘slotje’. Maar banken, zoals ABN-Amro, Rabobank en DSB gebruiken die nog niet. En dat geldt ook voor een aantal sites van de overheid, zoals DigiD. De nieuwe gecertificeerde beveiligingsvorm is herkenbaar aan de groene adresbalk. Het kost een organisatie vanaf 500 euro om haar site te ‘upgraden’.
Professor Bart Jacobs: “Netwerk toont aan dat de beveiliging van DigiD niet werkt. Overheid en banken moeten hun sites snel aanpassen”. Desgevraagd geven banken aan Netwerk aan dat ze werken aan de verbeteringen.
Bekijk ook eerdere Netwerk-items over soortgelijke onderwerpen:
- Forse stijging skimming op stations
- Kinderlokkers werken steeds meer online
Als u wil weten of u veilig internetbankiert, ga dan naar de website 3xkloppen.nl van de Vereniging van Banken en check de procedures die daarop staan vermeld.
Bekijk hier de uitzending van vrijdag 17 juli.
Reacties
De reactiemogelijkheid is afgesloten
Bedankt voor je bericht.
16 mei, 2010 - 17:23Bedankt voor je bericht.
Op de site van Byte kun je
22 juli, 2009 - 20:02Op de site van Byte kun je direct niet-encrypted inloggen via de http startpagina.... http://www.byte.nl/cms/
Geen EV te zien op
https://www.byte.nl/cms/
Nog wat zaakjes te regelen dus.
Geloof best dat ze met dit verhaal de juiste aandacht hebben getrokken en iedereen (niet alleen financiele instellingen) bewust te hebben gemaakt meer uniform gebruik te maken van nieuwe dingen op 'veiligheid' gebied. "waar moet je op letten als je identiteits gegevens invult", maar dan moet iedere website het wel toepassen.
Als ik vandaag naar webmail van Planet, sorry KPN(!) ga, krijg ik de volgende melding op https://webmail.planet.nl/mail/logon.asp
Er is een probleem met het beveiligingscertificaat van deze website.
Het beveiligingscertificaat dat door deze website wordt gebruikt, is verleend aan een adres voor een andere website.
Problemen met beveiligingscertificaten kunnen duiden op een poging om u informatie te ontfutselen of om informatie die u naar de server verzendt, te onderscheppen.
Waar staat het certificaat op? Op webmail.KPN.nl
Lekker dan...
Het is nogal wat
20 juli, 2009 - 07:56We moeten ons realiseren dat alles te hacken is. Ook pinautomaten.. Je maakt de site na, die op een andere URL staat en je gaat in nederland alle particulere adsl routers af met een standaard wachtwoord, je moet dan wel eerst het type router weten met daaraan gekoppeld het standaard wachtwoord. Dan moet de router per type ingesteld worden zodat hij bij www.digid.nl naar www.hackdigid.nl gaat...
Is er wel eens onderzocht hoeveel ADSL routers het standaard wachtwoord hebben?, en of dit wel bij elk type mogelijk is?
Heb je ook een groene balk bij andere browsers, bijv firefox? Dat zijn opensource browsers en kun je dus altijd wel een balkje groen krijgen dmv een script..
Als het verhaal echt klopt is mijn conclusie dat burgers meer ondersteuning moeten hebben bij het beveiligen van het computernetwerk en niet dat we weer een ander certificaat moeten nemen, die ongetwijfelt ook te hacken valt... Ik vond Netwerk al niet zo'n sterk programma, misschien kan de 'formule' verkocht worden aan SBS6... Ik vind dit zonde van mijn belastinggeld.
internetbankieren
17 juli, 2009 - 18:39Voor meer informatie: www.driekeerkloppen.nl
Risico
18 juli, 2009 - 13:11Ik vind het jammer dat een uitzending als deze ook mensen bereikt die weinig verstand hebben van internetbeveiliging en de risico's niet kunnen inschatten, waardoor zij niet meer durven internetbankieren. Het internetbankier-systeem is nog altijd 100x veiliger dan bijv. betalen met creditcard, waarbij je maar moet hopen dat de andere partij zorgvuldig met je creditcardgegevens omgaat. Natuurlijk zijn er een paar zwakke schakels: het uitgifteproces van het certificaat en de gebruiker zelf. Ik denk wel dat de banken er goed aan doen om EV-certficaten aan te schaffen, al was het maar om gebruikers gewend te laten raken aan het groene balkje. En ook dan houd je risico's over, maar inderdaad heb je die bij contant betalen ook. Ik heb wat dit betreft aanzienlijk minder vertrouwen in het systeem van automatische incasso's, waarbij je soms zelfs geen handtekening hoeft te zetten om iemand te machtigen geld af te schrijven.
Internetbankieren..net zoveel risico als geld op zak hebben
18 juli, 2009 - 04:57Met stijgende verbazing dit item gezien en het gedurende de nachturen nogmaals een paar keer voorbij laten komen....komkommer berichtgeving, iets anders kan ik er van maken.....
A: Om een certificaat aan te vragen hoef je geen internetprovider te zijn, iedere domeineigenaar kan er eentje kopen met SSL versleuteling plus bijbehorende betaalopties ( via godaddy.com 99 dollar per jaar )
B: Het betreffende certificaat kan alleen op de eigen site komen dus nooit op rabobank.nl of digid.nl, ik noem maar iets, die domeinen staan immers op een andermans naam, in de uitzending nam men als voorbeeld digid, echter niet www.digid kreeg dit certificaat maar as.digid.nl, anders gezegd, ik kan nooit voor rabobank.nl een certificaat verkrijgen maar voor, bijvoorbeeld rabobankbankieren.nl, kan dit, hier komt echter de rabo zelf om de hoek, die accepteert het niet als iemand een gelijkende naam reserveert.
C: het inbreken op kabel- of DSL modems kan alleen als het eenc draadloos modem betreft en dan nog alleen als dit modem niet is voorzien van een unieke pass ( dit moet een gebruiker zelf doen en is in feite niets meer of minder als het voorzien van je virtuele voordeur van een slot )
Is internetbankieren dan 100 procent veilig? Ja en nee.
Niet alleen 3 keer kloppen maar ook de bank haar applicatie zelf, zo heeft de postbank..sorry ING, nog steeds voor de postbankklanten een systeem dat te hacken is omdat men de klant voorziet van gefixeerde codes. Staan deze gegevens ergens op een niet beveiligde pc en een hakkertje komt binnen via een trojan horse, dan zijn de poppen aan het dansen.
Maar alle banken die met een separate cardreader toegang verschaffen ( eentje die dus niet middels een kabeltje met de pc verbonden is ) zijn vrij veilig qua internet bankieren.
Vrij veilig? Ja, op het moment dat een bankkaart is geskimmed in een shop en de skimmer plundert de bij de geskimde kaart niet via een pinautomaat in het buitenland maar logt regelmatig in met de geskimde kaart op de rekening van de niets vermoedende bankklant dan kan de skimmer straffeloos geld overmaken van de klant zijn/haar rekening naar een, niet traceerbare, buitenlandse bankrekening. De skimmer moet in dit geval in het bezit zijn van een cardreader die bij de bank hoort van de geskimde kaart.
Oplossing:
Deze is zeer eenvoudig, voorzie een internetbankiersite van een extra log in code, eentje die de klant zelf bedenkt.
Verder zou het de baas van ABN/AMRO, dhr Bos, thans tevens minister van financiën, sieren, om het alleenrecht dat deze bank heeft mbt de door de klant zelf te veranderen 4 cijferige pincode, vrij te geven voor gebruik door alle banken.
Als de klant dit regelmatig doet is ook de kans dat een skimmer misbruik kan maken van een geskimde kaart een stuk minder....
De groene url balk:
Nooit een groter nonsens verhaal gehoord mbt certificaten dat die een groene en dus veilige url garanderen.
De kleur groen krijgt een domein indien er op een site geen rare scripts staan of dat de site als kindveilig is bestempeld door een internetpanel ( o.a. AVG antivirus heeft deze extra tool ).
Kun je als internetbankier zelf ook iets ondernemen om fraude te voorkomen?
Ja, allereerst goed opletten of de pc bij het inloggen op de site van de bank niet ineens erg traag is, meestal is dit traag internet maar er is een kans dat u een lifter heeft die over de schouder meeloert.
Verder nooit klikken op een url die zgn door de bank is toegezonden, vaak zijn deze mails te herkennen aan slecht Nederlands of het aan: veld is leeg.
Met name paypal en Postbank zijn een geliefd item bij internet criminelen, al deze mails bevatten of een link naar een hackerssite of een programmaatje dat de verzender toegang verschaft tot de pc met alle gevolgen van dien.
Internetbankieren via een internetcafé: Uitsluitend als de pc is beveiligd
Internetbankieren via een hotspot: Alleen als de laptop of netbook voorzien is van voldoende beveiliging.
Internetbankieren is net zo veilig als betalen met cash geld maar je loopt altijd een risico op een tik op het hoofd door een rover, met cash geld in het echt en bij internet bankieren een virtuele, alert blijven is dus een pre!
Vandaag even bij de bank langsgegaan
18 juli, 2009 - 21:57Vandaag, 18 juni 2009, even bij de bank binnengegaan ( die van mij is open op zaterdag ), een en ander voorgelegd:
Het door mij hierboven beschreven verhaal klopt voor het grootste deel met 1 uitzondering, de heren skimmers zijn er nog steeds niet in geslaagd om de informatie die versleuteld in de cardchip zit te skimmen. In die versleutelde informatie zit ook hetgeen nodig is om met de cardreader te kunnen internet bankieren.
Ergo: Een skimmer kan ( op dit moment ) geen gebruik maken van een geskimde kaart bij internetbankieren.
"Het betreffende certificaat
18 juli, 2009 - 10:59"Het betreffende certificaat kan alleen op de eigen site komen dus nooit op rabobank.nl of digid.nl, ik noem maar iets, die domeinen staan immers op een andermans naam, in de uitzending nam men als voorbeeld digid, echter niet www.digid kreeg dit certificaat maar as.digid.nl"
Hier sla je de plank volledig mis. Een certificaat kan voor ieder willekeurig domein aangevraagd worden, hiervoor hoeft het domein niet in je eigen bezit te zijn. Het certificaat in de uitzending was voor as.digid.nl omdat dit simpelweg het subdomein is waar de digid login applicatie op staat. Maak je ooit gebruik van DigiD? Dan zul je zien dat je voor het inloggen altijd op https://as.digid.nl terecht komt.
"Nooit een groter nonsens verhaal gehoord mbt certificaten dat die een groene en dus veilige url garanderen. De kleur groen krijgt een domein indien er op een site geen rare scripts staan of dat de site als kindveilig is bestempeld door een internetpanel"
Ook hier heb je denk ik niet eerst even onderzocht of je bewering klopt. De groene balk waar in het programma over gesproken wordt, heeft wel degelijk te maken met het EV certificaat. Voor meer informatie: http://www.microsoft.com/windows/products/winfamily/ie/ev/default.mspx
Ik moet zeggen dat ik met verbazing een aantal maal jou reactie heb gelezen...
Beste Vincent
18 juli, 2009 - 22:38Ik ben eigenaar van 8 domeinen, allemaal geregistreerd via godaddy.com. Daar kan ik de betreffende " veiligheidscertificaten" leasen voor 99 dollar per jaar. Niemand controleert mij, ergo het groene balkje geeft een fake veiligheidsgevoel.
Dat groene balkje krijg je al op het moment dat AVG op de pc staat en de domein eigenaar een https pagina heeft geplaatst ( AVG controleert of er geen rare scripts op de https pagina staan en geeft dan groen licht ).
Het inbreken op een router is nodig om de internettende pc om de tuin te leiden en kan alleen als het een niet beveiligd draadloos exemplaar betreft. Met een eenvoudige TKIP en WPA2 beveiliging maak je het als internetter een crimineel moeilijk en zal hij/zij het na verloop van tijd opgeven.
Mijn stelling dat het een groot nonsens verhaal is blijft dus overeind en EV of andere certificaten dienen uitsluitend om de bedenkers er van een leuke vakantie te bezorgen.
Mensen moeten leren dat een internetverbinding niets meer of minder is als een open, virtueel, raam en daarbij de nodige voorzichtigheid in acht te nemen.
Dat betekent dus nooit blindelings een groene of gele adresbalk geloven, luisteren naar je pc, goed opletten of er geen vreemde omleidingsmededelingen op het scherm verschijnen en, zeker bij het gebruik van een draadloze router, de TKIP en WPA2 beveiliging inschakelen.
Verder, bij gebruik van Postbank internet, niet de gegeven codes op de pc opslaan, berg die maar ergens op in huis.
Bij het verlaten van de pc of het huis, de pc uitschakelen, als je boodschappen gaat doen sluit je toch ook alle ramen en deuren?
Als iedereen bovenstaand in acht neemt dan is internet bankieren net zo veilig of onveilig als cash afrekenen bij de kassa van de supermarkt.
Overigens, dat even terzijde, valt het mij op dat de media de laatste tijd geen gelegenheid overslaan om angst veroorzakende berichten de ether in te slingeren alsof men er een duivels genoegen in heeft om mensen in paniek te brengen. Daar erger ik mij groen en geel aan ( om even bij de " veilige " kleurenbalkjes te blijven ).
"Ik ben eigenaar van 8
19 juli, 2009 - 15:01"Ik ben eigenaar van 8 domeinen, allemaal geregistreerd via godaddy.com. Daar kan ik de betreffende " veiligheidscertificaten" leasen voor 99 dollar per jaar. Niemand controleert mij, ergo het groene balkje geeft een fake veiligheidsgevoel."
En dat is nu net het punt wat ze hier proberen te maken. Gewone SSL certificaten bieden geen garantie wie het certificaat aangevraagd heeft. Maar dat doen EV certificaten dus wel! Het groene balkje van AVG waar jij het steeds over hebt is heel iets anders dan het groene balkje van een EV certificaat. Ik raad je sterk aan om eens de link te bekijken die ik in mijn vorige bericht geplaatst heb. Ik weet 100% zeker dat bij de methode die ze hier gebruikten om je om te leiden, je niet door hebt dat dit gebeurd, hoe goed je ook naar je pc "luistert", het omleiden gebeurd volledig onderwater en je krijgt echt geen meldingen in beeld of iets dergelijks.
Verder gebruikt de ING (en voorheen de postbank ook al) een systeem waarbij je de TAN code gesmst krijgt, inclusief het bedrag en eventueel het rekeningnummer voor de transactie. Je hoeft dus niets zelf ergens op te slaan of lijsten te bewaren.