Forum SpaarInformatie | Sparen | SpaarRente | SpaarBanken | En meer
https://forum.spaarinformatie.nl/

SMS-TAN "kraakbaar"
https://forum.spaarinformatie.nl/ing-bank-f20/sms-tan-kraakbaar-t9392.html
Pagina 1 van 3

Auteur:  Piggy [ za 24 dec 2016 10:30 pm ]
Berichttitel:  SMS-TAN "kraakbaar"

Een bitcoin miljonair is bestolen door een SMS-"hack".

ING maakt ook gebruik van een SMS-TAN code. En ik vermoed dat het volgende gebeurd is bij de bestolen bitcoin milljonair. Hij had onbewust een keylogger gekregen welke op zijn pc is geinstalleerd. Hierdoor wist de hacker naar welke site hij ging en welke inlognamen en wachtwoorden hij hiervoor gebruikt. Echter het 06 nummer heeft hij nog niet. Dit heeft hij waarschijnlijk kunnen bemachtigen doordat de miljonair op de site van de provider heeft ingelogd. Hierdoor heeft de hacker bij een andere provider een nieuwe simkaart aangevraagt, de simkaart bij T-mobile opgezegt en bij de nieuwe provider van te voren aangevraagt om nummerbehoud.

Stel dat het hier niet om bitcoins gaat, maar om 1 of meerdere spaar/beleggingsrekeningen. En stel dat de hacker al het geld hiervan overmaakt op de tegenrekening en van hieruit naar een externe rekening. Valt er nog wat te doen gezien het mogelijk traceerbaar is (of misschien ontraceerbaar)?

Dit kan dus ook gebeuren bij de ING lijkt mij. Dan is de random reader of rabo scanner toch een stuk veiliger.
Of beter nog dat de ING een random reader als 3e verificatie methode erbij neemt.

Auteur:  BillGates [ za 24 dec 2016 11:12 pm ]
Berichttitel:  Re: SMS-TAN "kraakbaar"

Random Reader veiliger? Oh my god, hoe dom kun je zijn? Rabo is de meest onveilige bank ter wereld met hun Random Reader.
Pas+pincode gestolen is je volledige spaarrekening kwijt. Kijk maar eens naar de TV-uitzendingen over ontfutselde gelden vaak duizenden Euro's: het is altijd de Rabobank.

Ik denk zelfs dat ING de veiligste bank van NL is, met hun systeem van gescheiden codes / hardware.
En volgens mij moet je voor het overnemen van een Simkaart door een andere provider het nummer hebben dat op de oude simkaart staat gedrukt.

Auteur:  Piggy [ zo 25 dec 2016 10:23 am ]
Berichttitel:  Re: SMS-TAN "kraakbaar"

Rabobank werkt trouwens al een tijdje niet meer met de random reader maar een raboscanner.
Om misbruik te kunnen maken van de random reader of raboscanner moet je wel de pinpas en random reader/raboscanner fysiek stelen. En dat wordt lastig voor een hacker die niet fysiek bij mij gaat inbreken maar virtueel.
Hier de stappen voor nummerbehoud bij T-mobile. Ze willen de volgende gegevens van je hebben:

-e-mailadres
-je huidige 06-nr (bij b.v. provider KPN)
-je t-mobile nr
-je simkaartnr. (van de t-mobile kaart)

Als een hacker d.m.v. een keylogger de inloggegevens heeft van je ING bankrekening, dan weet hij/zij wat het telefoonnummer is.
En als de hacker daarnaast ook kan inloggen op de site van de provider van dit nummer kan hij je mobielenummer ook opzeggen.
En dus is het rond.

Auteur:  Ed [ zo 25 dec 2016 11:15 am ]
Berichttitel:  Re: SMS-TAN "kraakbaar"

Simkaart nummer heeft ie niet

Auteur:  BillGates [ zo 25 dec 2016 11:58 am ]
Berichttitel:  Re: SMS-TAN "kraakbaar"

Raboscanner en randomreader werken volgens hetzelfde onveilige principe. Alleen het overtypen van een code is vervangen door het scannen van een object, maar dat is geen wezenlijke verandering.
Als de pinpas+code wordt ontfutseld, en dat gebeurt op steeds meer manieren, van bij de pinautomaat tot mails die je vragen dit op te sturen naar de "bank", dan heeft de boef gewoon toegang tot je spaarrekening en kan alles overschrijven naar een katvanger.
Maar ja, het kan natuurlijk ook dat dommeriken hun Simkaart op sturen naar een "provider" als ze een phishingmail hebben gekregen. Maar die variant heb ik nog nooit gehoord in de media, maar het kan wel. En als de boeven dan tegelijkertijd de gebruikersnaam + paswoord weten, ja dan hang je bij alle banken wel.

Auteur:  JandeV [ zo 25 dec 2016 12:57 pm ]
Berichttitel:  Re: SMS-TAN "kraakbaar"

Ik hoorde laatst van iemand, die bericht van zijn bank had gekregen: zijn spaargeld moest op echtheid worden gecontroleerd. Of hij het allemaal maar even wilde opnemen en dan per post opsturen. Een postzegel was niet nodig, dus zit het wel goed.

Auteur:  henrid [ zo 25 dec 2016 1:10 pm ]
Berichttitel:  Re: SMS-TAN "kraakbaar"

LOL :lol: :lol: :lol:

Auteur:  Piggy [ ma 26 dec 2016 12:26 pm ]
Berichttitel:  Re: SMS-TAN "kraakbaar"

Ed schreef:
Simkaart nummer heeft ie niet


Correctie: simkaart nummer (dacht IC-nummer) is van de nieuw aangeschaft T-mobile kaart (en die heeft hij dus).

Auteur:  Piggy [ ma 26 dec 2016 3:16 pm ]
Berichttitel:  Re: SMS-TAN "kraakbaar"

Meisje is € 54.000,- euro kwijt bij Rabobank.

Auteur:  BillGates [ ma 26 dec 2016 6:35 pm ]
Berichttitel:  Re: SMS-TAN "kraakbaar"

Ja Piggy inderdaad: haar pinpas gestolen, waarna de dieven al haar spaargeld buit maakten. Het verbaast haar dat de dieven zo makkelijk bij haar spaarrekening konden komen.
Het is altijd de Rabobank. Heeft die bank nu zelf niet door, dat hun internetbankieren/sparen super onveilig is.

Eigenlijk vind ik dat de AFM en de DNB moet optreden en deze bank moet verplichten om hun internetbankieren binnen 3 maanden veilig te maken en onafhankelijk van de Pinpas maar met een andere, onafhankelijke, identificatie zoals bijv. ING. Op straffe van intrekken van de bankvergunning. Bovendien vind ik dat tot die tijd 110% van de schade vergoed moet worden.

Auteur:  Piggy [ di 27 dec 2016 9:55 am ]
Berichttitel:  Re: SMS-TAN "kraakbaar"

SMS-TAN is denk ik niet nodig voor de rabobank.
Op zich is de random reader en raboscanner niet verkeerd, maar dan moet het wel anders gebruikt worden.
Net zoals bij de ING moet men dan een inlognaam en wachtwoord krijgen en moet de random reader of raboscanner gebruikt worden wanneer men een transactie wil maken. Zo hebben criminelen alsnog niks aan een pinpas alleen.

Nog beter zou zijn dat banken verplicht een 3x authenticatiemethode gebruiken:

-inlognaam+wachtwoord (indien je inlognaam of wachtwoord niet weet mag het naar je mailbox verstuurd worden)
-SMS-code bij transacties
-scanner net zoals die van de raboscanner.

Helaas sluit je hiermee niet een man-in-the-middle-attack uit :(

Auteur:  Empire [ di 27 dec 2016 11:29 pm ]
Berichttitel:  Re: SMS-TAN "kraakbaar"

Voor een man-in-the-middle hoef je binnen het Rabobanksysteem niet bang te zijn.
Terecht wijst BillGates op een reële 'flaw' bij Rabobank.
Piggy beweerde: "Om misbruik te kunnen maken van de random reader of raboscanner moet je wel de pinpas en random reader/raboscanner fysiek stelen." Dat laatste is helaas niet waar. Er bestaan geen unieke Random Readers of Rabo scanners en bijgevolg hoef je die dus niet te stelen.
Een manier om de veiligheid te verhogen is het onleesbaar maken van het pasnummer op de Rabopas.


A penny saved is a penny earned.

Auteur:  BillGates [ di 27 dec 2016 11:47 pm ]
Berichttitel:  Re: SMS-TAN "kraakbaar"

Rabobank kan, als ze hun systeem veilig(er) willen maken binnen één week een extra, door de gebruiker te verzinnen, wachtwoord eisen bij het inloggen. Voor de rest hoeft het systeem niet per se te worden aangepast. Daarmee is het overboeken van een spaarrekening naar de betaalrekening en overboekingen naar een katvanger onmogelijk geworden als een boef de pinpas steelt en de pincode heeft afgekeken.
Zo'n wijziging in de website is voor een goede programmeur in 2 uurtjes te realiseren. Als ze er 84 programmeurs op zetten, kan het in een week tijd :D . En het kost vrijwel niets. Maar dat doen ze niet, want ze koesteren hun onveilige werkwijze om de een of andere reden... Daarom moet DNB dit eisen op straffe van een boete.

Auteur:  Empire [ wo 28 dec 2016 2:58 am ]
Berichttitel:  Re: SMS-TAN "kraakbaar"

Het invoeren van een wachtwoord bij het inloggen - zoals BillGates voorstelt - zal het Rabobanksysteem inderdaad veiliger maken. Daarmee is echter niet gezegd dat het nu onveilig is.
Rabobank zal zich in voorkomende gevallen op het standpunt stellen dat de cliënt artikel 21 van de Algemene Bankvoorwaarden heeft geschonden. Zij heeft daar (juridisch) een punt.
Artikel 21 (Bewaar- en geheimhoudingsplicht) luidt: (1) De cliënt moet aan hem ter beschikking gestelde middelen zoals formulieren, informatiedragers, communicatie- en beveiligingsmiddelen, passen, pin- en toegangscodes en wachtwoorden zorgvuldig bewaren en behandelen. De cliënt moet met persoonlijke pin- en toegangscodes en dergelijke zorgvuldig omgaan en deze geheim houden voor andere personen. De cliënt houdt zich aan de door de bank gegeven beveiligingsvoorschriften. (2) Als de cliënt weet of redelijkerwijs kan vermoeden dat door of namens de bank aan hem ter beschikking gestelde middelen in handen van een onbevoegde zijn geraakt of daarmee misbruik is of kan worden gemaakt of dat een onbevoegde zijn pin- en/of toegangscode(s) kent, moet hij daarvan terstond mededeling doen aan de bank.


A penny saved is a penny earned.

Auteur:  JandeV [ wo 28 dec 2016 12:54 pm ]
Berichttitel:  Re: SMS-TAN "kraakbaar"

Laat ik vooropstellen dat ik nooit iets met RABO te maken heb gehad, ik heb geen ervaring met de inlogprocedure e.d. Wat ik weet is van horen zeggen, misschien is de werkelijkheid nog net iets anders dan ik denk. Verder vind ik het een beetje lullig dat dit alles staat in een topic over ING.
Ik zou het systeem van RABO niet meteen onveilig willen noemen, net als "veilig" is voor mij "onveilig" een concreet begrip. Woorden als deze kennen wat mij betreft ook geen vergrotende of overtreffende trap, al weet ik dat het in het taalgebruik anders ligt.
Mijn voorkeur gaat uit naar "minder veilig" of "onvoldoende veilig".

Minder veilig
Zoals beschreven komt het systeem bij RABO op mij over als het minst veilige systeem dat ik op dit moment ken.
Het bevreemdt mij ook, dat je voor het inloggen niets meer nodig hebt dan om geld op te nemen bij een automaat. Bedragen bij geldopnames zijn immers beperkt, dat ligt bij internetbankieren wel anders.
Ik vraag me vooral af wat de meerwaarde is van zo'n Random Reader of scanner. Eén ding is duidelijk: het gebruik ervan bewijst dat degene die inlogt in het bezit is van de bijbehorende pas en pincode. Maar eenmaal "binnen" is het gebruik ervan totaal overbodig, vergelijk het met een gebouw waarbinnen op elke deur een slot zit dat exact gelijk is aan het slot op de buitendeur. De klant wordt in de waan gebracht bezig te zijn met een beveiliging terwijl hij alleen maar bezig gehouden wordt met het onnodig overtikken van cijfers. (Aan de kant van de bank ligt dit anders, die kan hiermee bewijzen dat alle individuele opdrachten door de klant zijn geverifieerd en de klant dus ook zelf verantwoordelijk is als bv een verkeerde IBAN is ingevoerd.)
Minimaal één extra beveiliging zou moeten worden ingevoerd, bv.:
- De scanner zou persoonlijk moeten zijn, m.a.w. niet het bankrekeningnummer maar het scannernummer moet op de webpagina worden ingevoerd.
- Inloggen geschiedt met een wachtwoord. Desnoods aangevuld met een code uit de scanner, al is dit m.i. overbodig.
- Bij het inloggen wordt een SMS-tan verzonden en ingevoerd. (om verschillende redenen zou deze optie niet mijn voorkeur hebben)

Onvoldoende veilig
Ik denk dat men ook niet moet overdrijven, ik ken inlogprocedures (vooral in het buitenland) die zo omslachtig zijn dat het inloggen niet zelden misgaat. Onnodig, want zoals gezegd: "veiliger" wordt het toch niet.
Voor mij is echter het systeem bij RABO onvoldoende veilig. Als ik al iets met deze instelling te maken zou hebben, zou dit een reden zijn om de relatie te beëindigen.

Pagina 1 van 3 Alle tijden zijn GMT + 1 uur [ Zomertijd ]
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/