Internetbankieren onvoldoende beveiligd

[Blue-Sky]

<img src="http://www.userbase.be/forum/images/portal/secure2.gif" border="0" align="left">Onderzoek wijst banken op risico’s van identiteitsfraude. Comsec Security Consulting, een internationale leverancier van beveiligingsadvies, heeft een internationaal onderzoek laten uitvoeren naar de veiligheid van internetbankieren. Daaruit blijkt dat banken deze service nog onvoldoende beveiligen.

Aangezien het gebruik van internetbankieren enorm is gestegen, zijn ook de risico’s van identiteitsfraude door onder andere phishing sterk toegenomen, zo waarschuwt Comsec Security Consulting.

Comsec heeft bestudeerd welke eisen banken wereldwijd stellen aan de identificatie van hun klanten bij het internetbankieren en hoe makkelijk het voor buitenstaanders is om deze beveiliging te omzeilen. Onder de ruim dertig banken die zijn onderzocht waren onder andere de Nederlandse Rabobank, ABN Amro, SNS Bank, ING, de Postbank en de Belgische Dexia Bank. Daarnaast zijn diverse andere Europese, Amerikaanse en Aziatische banken bekeken.

Allereerst stelt het onderzoek dat bankcliënten vertrouwen hebben in de e-banking service van hun bank. Toch concludeert het rapport dat het makkelijker is geworden om identiteitsfraude te plegen.

53 procent van de banken verstuurt de identificatie-informatie, die de klant nodig heeft om in te loggen, slechts over één kanaal in één gegevenspakketje. 42 procent van de aan het onderzoek deelnemende banken gebruikt voor het versturen meerdere kanalen zoals telefoon, e-mail en post. De overige 8 procent verstuurt de informatie wel over één kanaal, maar doet dit in verschillende pakketjes.

Ook het gebruik van identificatiemethoden voor e-banking verschilt van bank tot bank. Bij eenderde van de onderzochte banken zijn alleen een gebruikersnaam en wachtwoord voldoende om toegang tot het systeem te krijgen. Deze banken stellen hun klanten daardoor bloot aan de gevaren van diefstal van hun identiteit.

Banken zouden daarom volgens de onderzoekers meer tijd moeten investeren in de technische mogelijkheden om te kunnen verifiëren of degene die inlogt ook werkelijk de rekeninghouder is. Hierbij valt te denken aan een digitale handtekening of biometrische informatie.

Bron: VUNet.be van 23 juni 2005

[ubremoved_539]

Bij eenderde van de onderzochte banken zijn alleen een gebruikersnaam en wachtwoord voldoende om toegang tot het systeem te krijgen. Deze banken stellen hun klanten daardoor bloot aan de gevaren van diefstal van hun identiteit.

Ik begrijp niet dat dergelijke banken ooit door een audit geraken... tenzij men er gewoon geen laat doen.

[meon]

We hebben ook een bankrekening in Frankrijk, bij Credit Lyonnais.
Op https://interactif.creditlyonnais.fr kan je je bankzaken online regelen (da's een optie waar je trouwens 3,5 euro per maand voor betaalt).
Zoals je ziet moet je daar 3 waarden ingeven: Indicatif, Numero de compte en code personnel.
En nu komt het mooie: deze 3 dingen staan op ELK afschrift vermeld. Dus elke maand dat je afschriften ontvangt loop je de kans dat deze brief onderschept wordt en dat die gegevens gebruikt kunnen worden om geld over te schrijven!
Bij de Belgische banken waar ik ervaring mee heb (KBC, Argenta, Fortis) heb je overal een 3e "iets" nodig. Bij KBC is dat een gegenereerde keyfile die je op je pc bewaart, bij Argenta is dat een token, bij Fortis is dat de banxafe (en die laatste vind ik eigenlijk nog het meest gebruiksvriendelijke/bij het bankieren in de bank aansluitend).

[ubremoved_539]

Da's echt wel schandalig dat er dergelijke systemen zijn... zeker als je weet dat de oplossing helemaal niet duur hoeft te zijn. Een mooi voorbeeld is Argenta welke telkens 4 willekeurige karakters vraagt uit een totaal van 25 als alternatief voor een hardware token.

Het systeem van KBC lijkt me ook niet echt veilig... men hoeft de file maar te kopieren van je PC, of zit er meer achter ?

[meon]

Het systeem van KBC lijkt me ook niet echt veilig... men hoeft de file maar te kopieren van je PC, of zit er meer achter ?

U bent correct.
Nu, na 3 (of 5) foutieve pogingen vervalt de keyfile wel en moet je een nieuwe aanvragen bij de bank.

Het systeem van Argenta is trouwens ook wel omslachtig als ge iets fout doet. Indien het na X aantal pogingen nog niet gelukt is, locked het uw account en moet je dat aan de bank melden. Je krijgt dan een nieuw stuk chain toegestuurd je moet ook iets aan de bank gaan afhalen.

[wem]

Het systeem van KBC lijkt me ook niet echt veilig... men hoeft de file maar te kopieren van je PC, of zit er meer achter ?

als de op je harde schijf bewaard wordt en je pc wordt gehackt en ze kennen je gebruikersnaam en paswoord, dan zitten ze bij je binnen ja.
KBC raad dan ook aan om je key op een draagbaar medium te zetten (bv. diskette, cdrom, USB-stick, ...) en deze dus enkel in te voegen als je effectief online wil gaan bankieren.
Dan kan enkel iemand die fysiek toegang heeft tot de pc er dus nog iets mee beginnen, indien hij username en paswoord kent ...
Ik weet niet hoe andere banken het exact doen, maar dit lijkt me toch redelijk veilig...

[wem]

Nu, na 3 (of 5) foutieve pogingen vervalt de keyfile wel en moet je een nieuwe aanvragen bij de bank.

het is slechts 3 keer dat je mag proberen bij KBC
(moeder heeft het onlangs voorgehad, pas na de derde keer zag ze dat shift-lock aanstond...)

[MRC101]

Fortis en rabobank lijken mij zeer veilig, beiden gebruiken ze een digipas waarmee na het intoetsen van een pincode (die na 3x blokeerd) een unieke code genereert die je on-line moet ingeven (waar je eveneens 3x mag proberen). Bij fortis moet ge naast uw gebruikersnummer sinds kort ook het serienummer van de digipas invullen.
Fortis heeft ook een tweede manier die hierboven al vermeld staat namelijk met de banxafe kaartlezer waar ge gewoon uw bankkaart invooert en de pin ingeeft.

[Arrigi]

Het systeem van KBC lijkt me ook niet echt veilig... men hoeft de file maar te kopieren van je PC, of zit er meer achter ?

als de op je harde schijf bewaard wordt en je pc wordt gehackt en ze kennen je gebruikersnaam en paswoord, dan zitten ze bij je binnen ja.
KBC raad dan ook aan om je key op een draagbaar medium te zetten (bv. diskette, cdrom, USB-stick, ...) en deze dus enkel in te voegen als je effectief online wil gaan bankieren.
Dan kan enkel iemand die fysiek toegang heeft tot de pc er dus nog iets mee beginnen, indien hij username en paswoord kent ...
Ik weet niet hoe andere banken het exact doen, maar dit lijkt me toch redelijk veilig...

Tis wat je redelijk veilig noemt. Die diskette zit hier ALTIJD in de computer, en wordt er eventjes uitgehaald als hij moet rebooten (anders boot ie niet ).

[meon]

als de op je harde schijf bewaard wordt en je pc wordt gehackt en ze kennen je gebruikersnaam en paswoord, dan zitten ze bij je binnen ja.
KBC raad dan ook aan om je key op een draagbaar medium te zetten (bv. diskette, cdrom, USB-stick, ...) en deze dus enkel in te voegen als je effectief online wil gaan bankieren.

Ik bewaar m'n keyfile in een EFS-systeem en heb qua security alles vrij goed dicht zitten.
Een diskette neem ik zo mee, en kan dat gewoon lezen, zonder wachtwoord of gebruikersnaam, moet niet eens de pc aanzetten. Het is maar wat je veilig noemt ...

[AureliuS]

Het systeem van KBC lijkt me ook niet echt veilig... men hoeft de file maar te kopieren van je PC, of zit er meer achter ?

als de op je harde schijf bewaard wordt en je pc wordt gehackt en ze kennen je gebruikersnaam en paswoord, dan zitten ze bij je binnen ja.
KBC raad dan ook aan om je key op een draagbaar medium te zetten (bv. diskette, cdrom, USB-stick, ...) en deze dus enkel in te voegen als je effectief online wil gaan bankieren.
Dan kan enkel iemand die fysiek toegang heeft tot de pc er dus nog iets mee beginnen, indien hij username en paswoord kent ...
Ik weet niet hoe andere banken het exact doen, maar dit lijkt me toch redelijk veilig...

Tis wat je redelijk veilig noemt. Die diskette zit hier ALTIJD in de computer, en wordt er eventjes uitgehaald als hij moet rebooten (anders boot ie niet ).

de veiligheid van je gegevens staat of valt toch altijd met hoe je er mee omgaat. Je laat je bankkaarten toch ook niet overal rondslingeren met de code er vanvoor opgeschreven ?
En wie geeft er zomaar z'n logingegevens door aan de eerste de beste pipo die een meeltje stuurt met de vraag of je per kerende de gevraagde user en paswoord wil opsturen?

Het rapport haalt imho mooi aan dat er bij een aantal bedrijven te weinig aandacht gaat naar het sensibiliseren van hun gebruikers en te veel naar de "web-presence".
't is natuurlijk zo dat je met een simpel "user+paswoord"-trukje snel een gevoel van veiligheid creeert. Wat er te veel vergeten blijft, is dat degene die misbruik wil maken van het systeem, meestal beter (en sneller) op de hoogte is van wat er allemaal mogelijk is.

Allee, iig een artikel dat weer eens aantoont dat investeren in beveiliging van gegevens en goeie identificatiemethodes absoluut nodig zijn

[ubremoved_539]

de veiligheid van je gegevens staat of valt toch altijd met hoe je er mee omgaat. Je laat je bankkaarten toch ook niet overal rondslingeren met de code er vanvoor opgeschreven ?
En wie geeft er zomaar z'n logingegevens door aan de eerste de beste pipo die een meeltje stuurt met de vraag of je per kerende de gevraagde user en paswoord wil opsturen?

Maar je bankkaart kan men niet lezen, inclusief je pincode zonder dat je er iets van weet... een Trojan kan dat nochtans zonder de minste problemen op je PC (inclusief de keyfile van KBC op je removable media).

Het staat en valt inderdaad hoe je ermee omgaat...

[Ken]

Bij Dexia moet je een contract tekenen en terug opsturen of bij je agent deposeren. Daarna krijg je een 2de brief met een certificeer code die je moet intikken bij het starten van Netbanking. Daarbij kan je je eigen persoonlijke code intikken + de abonnementscode. Dan kan je kiezen tussen een diskette en je harde schijf om je persoonlijke gegevens op te slaan. Wanneer je die kwijt bent moet je een nieuw abonnement aavragen (25,00 EUR/jaar dacht ik) of afsluiten. Werkt perfect in Firefox alleen moet je JAVA installeren. Er zal wellicht wel een nieuwe versie komen waarbij het gebruik van een memorystick zal kunnen.

[deej]

Naar mijn mening is voorlopig het systeem van Fortis het beste. De token is in geen enkele manier verbonden met je PC en genereert wachtwoorden op basis van een Hardware Secret ingebakken in de token en enkel gekend door de server van Fortis.

Maar wees gerust, binnen dit en 5 jaar kunnen we allemaal aanloggen met de EID. En voor wie vreest dat hij geen kaartlezer zal hebben, er wordt door o.a. Certipost en FedICT zwaar gelobbyed bij de manufacturers om zo'n lezers in de nieuwe PCs standaard te integreren.

Bovendien, zo'n USB lezertje kost tegenwoordig nog een 20€, verwacht maar dat binnen dit en 2 jaar de banken ze gratis gaan uitdelen.

[meon]

Bovendien, zo'n USB lezertje kost tegenwoordig nog een 20€, verwacht maar dat binnen dit en 2 jaar de banken ze gratis gaan uitdelen.

Ik vind het ergens erg dat ik destijds een banxafe heb gekocht voor vrij veel centjes, terwijl ik het amper kon gebruiken. (enkel tickets bij kinepolis).
Waarom kan die lezer niet om met eID?

[Ken]

Kan ie er totaal niet mee om? Tjah, als je de software van de eID niet installeert dan zal het natuurlijk niet werken.

[MRC101]

Kan ie er totaal niet mee om? Tjah, als je de software van de eID niet installeert dan zal het natuurlijk niet werken.

Hier werkt het niet met de lezer van banxafe maar wel met een simpele lezer van towitoko.

[Ken]

'k had 4 maanden geleden een Acer Travelmate 8300 LMi (zoiets) en die lezer die erin zat werkte perfect met de software voor de eID en m'n bankkaart ook :O ik was echt verwonderd maar nu heb ik geen kaartlezer niemeer.

[Frigobox]

We hebben ook een bankrekening in Frankrijk, bij Credit Lyonnais.
Op https://interactif.creditlyonnais.fr kan je je bankzaken online regelen (da's een optie waar je trouwens 3,5 euro per maand voor betaalt).
Zoals je ziet moet je daar 3 waarden ingeven: Indicatif, Numero de compte en code personnel.
En nu komt het mooie: deze 3 dingen staan op ELK afschrift vermeld. Dus elke maand dat je afschriften ontvangt loop je de kans dat deze brief onderschept wordt en dat die gegevens gebruikt kunnen worden om geld over te schrijven!
Bij de Belgische banken waar ik ervaring mee heb (KBC, Argenta, Fortis) heb je overal een 3e "iets" nodig. Bij KBC is dat een gegenereerde keyfile die je op je pc bewaart, bij Argenta is dat een token, bij Fortis is dat de banxafe (en die laatste vind ik eigenlijk nog het meest gebruiksvriendelijke/bij het bankieren in de bank aansluitend).

Juist. Ik zat een jaar in Marseille en had dat probleem ook. In frankrijk kan je zelfs met je Belgische maestro kaart in een doodgewone Carrefour betalen ZONDER je geheime code. Bovendien zijn franse rekeningen superduur. Haar geld af met een Credit Lyonnais kaart uit een Societe Generale automaat en je hebt 1€aan je broek ... Ik haalde altijd cash af via mijn fortis kaart en betaalde niks :s:s

Kheb nu gezien dat ze bij Fortis wel meer veiligheid inbouwen. Naast de username en de code gegenereerd door de Digipass na een geheime code, moet je nu ook het nummer dat op de achterkant van de digipass staat invoegen Begint wel moeilijk te worden om dit te kraken

[AureliuS]

Maar je bankkaart kan men niet lezen, inclusief je pincode zonder dat je er iets van weet...

euh... wie zou je bankaart willen "lezen"?
als je pin er op geschreven staat is die wat mij betreft bruikbaar genoeg

een Trojan kan dat nochtans zonder de minste problemen op je PC (inclusief de keyfile van KBC op je removable media).

So?
die Trojan kan met die keyfile evenmin iets aanvangen zonder de PIN-code.
een keylogger erbij is mss iets, maar dan kan je je evengoed zorgen maken over minicamera's die je PIN registreren wanneer je je bankkaart gebruikt, waarna iemand je kaart pikt ....

[deej]

als ik dat zo lees mis ik toch de dagen van de ruilhandel weer. met 2 kippen kocht je toen nog een zwart-wit TV.

[meon]

als ik dat zo lees mis ik toch de dagen van de ruilhandel weer. met 2 kippen kocht je toen nog een zwart-wit TV.

Als je in Diest woont, had je 3 gratis kippen kunnen krijgen. Toch al goed voor een kleine kleuren-tv
(sorry, ben beetje betrokken geweest bij dat project - 'beroepsmisvorming' zeg maar )