Banken akkoord over beveiliging bij internetbankieren

[Vistaus]

Moedige beslissing. 

Tja... als iedereen maar dit beleid gaat volgen terwijl ze er helemaal niet achterstaan, dan verandert er nooit wat. Een revolutie begint bij 1 persoon (in dit geval ik).

[Gandyman]

En welke Bank kan hardmaken dat ik geen virus scanner of anderzinds benodigde software op mijn pc had tijdens het bankieren ?

Gisteren juist mijn hele pc opnieuw geinstalleerd dus geen idee of er wel of geen virus opstond ? - volgens mij niet want dan had XX mij wel gewaarschuwd.


IIDGV gaat dit als het fout loopt een hele touwtrekkerij worden tussen client en de bank,
want ik kan nu ff een av installeren en zeggen dat het erop stond,
ik kan ook zeggen dat ik gisteren mijn pc opnieuw geinstalleerd heb.

En de banken ?
Die kunnen nooit bewijzen dat tijdens de hack van mijn pc waardoor al mijn spaarcentje verdwenen dezelfde pc niet voldeed aan hun eisen.

Het word tijd dat de banken eens een rpc maken die geheel versleuteld middels een vpn verbinding maakt, dan kan helemaal nix op de pc iets zien wat je doet, al zitten er 1000 virussen - malware of andere zooi op.

Feit is dat het de banken teveel geld en energie kost om dit bij de klanten te verplichten, en of de klanten gaan naar een andere bank waar het wel makkelijker is.....
En dus net als dat de magneetstrip 12 jaar later werd afgeschaft toz van andere landen, namen de banken al die honderden miljoenen CQ miljarden verlies gewoon op de koop toe.

Het hoeft ze ook nix te intereseren, want hun salaris en bonus van vele miljoenen krijgen ze toch wel, en raad eens wie dit allemaal betaald ?

JUIST  jij en ik.
Dus waarom zou een bank uberhaupt zoveel inspanning gaan verrichten als dezelfde klant die zich laat bestelen het uiteindelijk helemaal aan het einde van de rit toch zelf betaald

Als ik een bank had zou ik ook zeggen zoek het lekker uit ........

Dus alle mensen die op deze manier leven en denken :

Weet je wat? Ik ben er klaar mee. Ik ga mezelf niet indekken voor een stelletje nitwits die de schuldvraag graag naar de klant verplaatsen. Ik houd mijn systemen (AmigaOS, Antergos/Arch Linux en SailfishOS) voldoende veilig, ze krijgen alledrie tevens veiligheidsupdates via de update managers en ik doe geen rare dingen en de router-firewall staat aan. Het is hun probleem, niet het mijne, zo simpel is het

En er zijn honderd duizenden mensen die zo denken, omdat de maatschappij het aan het einde toch wel de rekening betaald.
Kijk maar naar dat windows OS, die voor alle problemen wereldwijd heeft gezorgd..

[testcees]

ik kan ook zeggen dat ik gisteren mijn pc opnieuw geinstalleerd heb.

Je bent de zoveelste in dit topic die voorstelt de waarheid maar te verzwijgen of te verdraaien. In de onvoorstelbare situatie dat er “spontaan” geld van een rekening is overgemaakt naar een vreemde (buitenlandse?) rekening verwacht ik dat er een onderzoekje plaats zal vinden.
Niet door een baliemedewerker maar door een zogenaamde expert.

De bank heeft het beste overzicht op wat er gebeurt, zij kunnen beveiligingsmaatregelen invoeren en zij kunnen typische fraudezaken vaak volautomatisch detecteren.

Het onderzoek naar de fraude tegenwerken door bewust onjuiste of halve antwoorden te geven is het laatste wat ik wil, dan gebruik ik nog liever Ubuntu zonder virusscanner (of stop desnoods helemaal met Ubuntu).

(openheid van zaken geeft de meeste kans dat de zogenaamde malware/fraude werkelijk kan worden aangepakt, wat ook leuk is voor andere (Ubuntu) gebruikers )
Nogmaals,

Bij een zeer geavanceerde Trojan helpt zelfs de beste virusscanner niet, dus om dan te zeggen "u had géén enkele virusscanner en daarom bent u volledig zelf aansprakelijk voor het verlies" gaat wat ver. De bankvoorwaarden moeten natuurlijk wel redelijk zijn (art. 6:233 BW).

Bron: Juridische vraag: wie is aansprakelijk voor fraude met internetbankieren?

[Gandyman]

ik kan ook zeggen dat ik gisteren mijn pc opnieuw geinstalleerd heb.

Je bent de zoveelste in dit topic die voorstelt de waarheid maar te verzwijgen of te verdraaien. In de onvoorstelbare situatie dat er “spontaan” geld van een rekening is overgemaakt naar een vreemde (buitenlandse?) rekening verwacht ik dat er een onderzoekje plaats zal vinden.
Niet door een baliemedewerker maar door een zogenaamde expert.

Geen idee waar jij het over hebt,
Maar ik heb het over de bank die de bewijslast en verantwoording bij de client legt indien er geld gestolen is van zijn/haar rekening.

Zij moeten dan mijn PC in beslag nemen om vervolgens te gaan bewijzen dat ik verzaakt heb mijn pc afdoende te beveiligen.

Zelfs als ik met een brakke pc bankzaken doe en mijn geld word gestolen kan ik als client er altijd onderuit komen door ff snel mijn PC opnieuw te installeren.
Waarmee ik wil aantonen dat de banken continu op een hellend vlak staan en dus nooit zomaar hard kunnen bewijzen dat een client verzaakt heeft.

Dit volledig naast het feit of ik dit wel of niet OK vind .....
En omdat je het zo graag wilt weten.. :
Nee ik vind het niet OK, want door al die lamlendige eigenwijze gemakzuchtige figuren betaal ik me te pletter aan mijn bankrekeningen.
Dus wat mij betreft mogen ze beginnen 1 ieder die dit overkomt zijn rekening 1 jaar te bannen en onder curatele te stellen, zodat alleen die persoon rekeningen kan overmaken of anderzinds.

[Soul-Sing]

Voor mij is het duidelijk........liever dan maar een antivirus proggie installeren, (die je toch niet op je nek zit en weinig ruimte in beslag neemt) dan dingen verzwijgen of te verdraaien. Dat doen de grote graaiers, en de dames en heren in de politiek al wel. En daar behoor ik liever niet bij.

Precies, gewoon voldoen aan de eisen. On demand scanners van goede kwaliteit installeren kost je geen energie, geen geld, en vergen niets van je linux systeem.
Better be safe. Toch? Ik bedoel in de zin van de regeltjes volgen die in de jan. 2014 richtlijnen staan voor veilig internetbankieren.
(Oh, vergeet apparmor niet, sandboxen van browsers is echt niet verkeerd.)

[testcees]

Tros Radar
Veilig internetbankieren
https://forum.www.trosradar.nl/viewtopic.php?f=133&t=143675
 

Vanaf een minuut of 10. Het interview gaat over XP-computers, daar laat een Ubuntu gebruiker zich toch niet bang door maken?
De zogenaamde expert Maarten vraagt zich af hoe iemand kan weten of er geen illegale software is geïnstalleerd en of de computer wel up-to-date is. Zelf meen ik zeker te weten dat mijn Ubuntu computer geen illegale software bevat en helemaal up-to-date is.
De stelling is dat je jezelf niet kan beveiligen en deze over 5 minuten automagisch kan zijn besmet. Als Ubuntu gebruiker durf ik dat wel te betwijfelen (100% veiligheid bestaat niet maar overdrijven kan ook).
De expert kan met zijn virusscanner “meer dan 100 varianten van malware” vinden. Boeiend maar dat kan ik door met ClamAV op Potentieel Ongewenste Programma’s PUA’s te scannen. Ik weet het niet, de website van deze expert geeft ook tips om XP langer te blijven gebruiken… Nee, dan voldoe je niet aan de regels

[Vistaus]

Voor mij is het duidelijk........liever dan maar een antivirus proggie installeren, (die je toch niet op je nek zit en weinig ruimte in beslag neemt) dan dingen verzwijgen of te verdraaien. Dat doen de grote graaiers, en de dames en heren in de politiek al wel. En daar behoor ik liever niet bij.

Precies, gewoon voldoen aan de eisen. On demand scanners van goede kwaliteit installeren kost je geen energie, geen geld, en vergen niets van je linux systeem.
Better be safe. Toch? Ik bedoel in de zin van de regeltjes volgen die in de jan. 2014 richtlijnen staan voor veilig internetbankieren.
(Oh, vergeet apparmor niet, sandboxen van browsers is echt niet verkeerd.)

Ja, maar als je een OS hebt waar geen virusscanner voor beschikbaar is maar wel updates krijgt, dan kun je er al niet aan voldoen. Afijn: ik zal niet weer die discussie openen, mijn laatste standpunt aangaande virusscanners was duidelijk genoeg

De stelling is dat je jezelf niet kan beveiligen en deze over 5 minuten automagisch kan zijn besmet. Als Ubuntu gebruiker durf ik dat wel te betwijfelen (100% veiligheid bestaat niet maar overdrijven kan ook).

Het is een beetje overdreven in het algemeen, dat is waar, maar zelfs met Ubuntu *zou* het in theorie binnen 5 minuten kunnen. Denk maar aan JavaScript-exploits, Flash Player-exploits of Java-exploits bijv.

[Gandyman]

Voor welk OS is er eigenlijk GEEN antivirus software in de handel? 

Voor ieder embedded OS  is het in principe niet nodig 
Dit kan niet besmet raken omdat er niets weg geschreven kan worden.
In theorie kan je wel besmet raken door iets wat in het geheugen blijft werken, echter bij een reboot is het dan weer weg.....

[Vistaus]

Voor welk OS is er eigenlijk GEEN antivirus software in de handel? 

Even uit mijn hoofd (zal er vast nog een paar missen):

Desktop: AmigaOS, Haiku, SyllableOS, MorphOS, AROS en verschillende embedded OS's.
Smartphones/tablets: SailfishOS, Ubuntu Touch, Tizen, Windows Phone

[Vistaus]

Ik heb een tijdje SecuStore gebruikt, maar ik vind zo'n programma voor wachtwoordonthouding toch maar onhandig (ook al is het goed programma). Dus ik heb nu maar eens LastPass in gebruik genomen en op het eerste gezicht lijkt het goed en fijn te werken Wachtwoordencryptie staat ook aan. Toch weer een stukje extra beveiliging van mijn computer op deze manier. Nuja, alleen mijn laptop dan want dat is de enige van mijn apparaten waar LastPass voor beschikbaar is.

[Vistaus]

Beetje offtopic, maar ik moet wel zeggen dat ik nu de laatste paar dagen steeds meer meldingen krijg van Firefox dat een bepaalde website een malafide website zou zijn terwijl dat helemaal niet zo is en ook als goed bekend staat. Zeer irritant. FF mag wat minder overdreven doen...

[Vistaus]

http://www.nu.nl/algemeen/3783908/beveiligingslek-banken-maakt-manipulatie-transacties-mogelijk.html

[Ron]

http://www.nu.nl/algemeen/3783908/beveiligingslek-banken-maakt-manipulatie-transacties-mogelijk.html

Het tv programma KASSA had er een mooie uitleg bij, van o.a. Brenno de Winter.

[Vistaus]

"dat transacties van consumenten in verschillende browsers"

Dus eerst geen IE meer gebruiken aanraden, maar vervolgens gaat het om verschillende browsers? Beetje tegenspraak... Nuja, ik zal straks dat filmpje even bekijken voordat ik een verder oordeel vel.

[RikRik]

Gebruikers kunnen ook veel zelf doen. Ze kunnen om te beginnen vermijden om te internetbankieren via een onbekende en onbeveiligde WiFi-hotspot. Dat zijn hotspots waarvan niet bekend is wie de eigenaar is en die niet om een veilig wachtwoord vragen. Vooral bij hotspots in openbare ruimten die voor iedereen toegankelijk zijn, moeten gebruikers op hun hoede zijn. 

http://www.betaalvereniging.nl/nieuws/internetbankieren-via-wifi-hotspots./

Ik zou niet snel een wifihotspot gebruiken om te internetbankieren, gewoon thuis en bedraad is de beste tip volgens mij.

[Vistaus]

Een WiFi-hotspot gebruik ik nauwelijks. Alleen als mobiel internet weer eens ontieglijk traag is (maar dat is zéér sporadisch) en dan gebruik ik ook altijd een bekende hotspot (meestal die van Citymall Almere zelf, maar bij uitzondering eentje van een bekende winkel of instelling, bijv. De Nieuwe Bibliotheek, Bakker Bart of Burger King).

[Vistaus]

Ik heb het filmpje even bekeken. Dus meneer Boudewijn raadt aan geen IE meer te gebruiken, maar volgens het filmpje is elke browser kwetsbaar. Dus geen IE meer gebruiken zegt niet dat je dan veilig bent hiervoor. Ik ben geen fan van IE, maar ik vind het raar om IE af te raden als elke browser hiervoor kwetsbaar is.

Maarja, wel vernuftig zeg. 99 euro voor zo'n 'Pineapple', een klein beetje code verwerken in een stukje software en cashen maar. Bah.

[markba]

"dat transacties van consumenten in verschillende browsers"

Dus eerst geen IE meer gebruiken aanraden, maar vervolgens gaat het om verschillende browsers? Beetje tegenspraak... Nuja, ik zal straks dat filmpje even bekijken voordat ik een verder oordeel vel.

In het filmpje hoor ik niemand iets over een browser roepen (dat de een veiliger zou zijn dan de ander. Maar in de tekst van nu.nl staat wel zoiets.

De meeste banken ondersteunen HSTS inmiddels bij internetbankieren en de intentie is dat alle banken dat gaan doen.

Blijkbaar is dat HSTS de oplossing. Maar nog niet door iedere bank in gebruik.....
http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Nog niet iedere webbrowser ondersteunt echter HSTS. Zo verwacht Microsoft de ondersteuning pas in de volgende versie van zijn Internet Explorer voor elkaar te hebben. Wanneer dat beschikbaar is, kan of wil het bedrijf niet zeggen. Google's Chrome, Apple Safari en Mozilla Firefox ondersteunen het protocol wel.

Blijkbaar is IE nog niet zo ver dat deze HSTS ondersteunt. Dus is het advies om IE niet te gebruiken vrij logisch. Je moet er dan wel vanuit gaan dat *jouw* bank dat protocol ondersteunt, anders heb je er niet zoveel aan.

[Vistaus]

Ik had het ook niet over het filmpje aangaande afraden IE (ik heb het filmpje bekeken!), ik had het over die meneer in dat artikel.

Maarja, zolang je bank nog geen HSTS ondersteund maakt het niet uit of je IE wel of niet gebruikt. Net als Heartbleed. Jou OpenSSL mag dan wel up-to-date zijn, maar zolang de OpenSSL van de site waar jij heensurft nog niet up-to-date is, maakt dat allemaal niks uit.

[markba]

Maarja, zolang je bank nog geen HSTS ondersteund maakt het niet uit of je IE wel of niet gebruikt.

Precies. Heb even (snel) gezocht welke banken HSTS dan wel (of niet) gebruiken, maar kan daar niets over vinden. Mogelijk dat deze info niet zo maar vrijgegeven wordt wegens het beveiligingsrisico?

Het enige verstandige advies is dit:

De Betaalvereniging Nederland, waarvan de meeste banken lid zijn, geeft in een reactie aan dat gebruikers openbare, onbekende wifi-hotspots beter kunnen vermijden als het gaat om internetbankieren en online aankopen.

Maar dit advies is al zo oud als de weg naar Kralingen..... Het verbaast me dat mensen dat toch nog blijven doen. Tenzij je aan tunneling doet (SSH/VPN), maar dat is voor de meesten te hoog gegerepen.

[Vistaus]

Offtopic, maar bedoel je niet de Weg naar Hamelen i.p.v. Kralingen?

Anyway: ja, dat mensen dat blijven doen snap ik ook niet. Waarschijnlijk puur vanuit het oogpunt "ik heb snel wat nodig en dat is het enige wat beschikbaar is". Niet om het goed te praten, maar ik vermoed dat dat de reden voor veel mensen is...

[markba]

Offtopic, maar bedoel je niet de Weg naar Hamelen i.p.v. Kralingen?

http://www.woorden.org/spreekwoord.php?woord=zo%20oud%20als%20de%20weg%20naar%20kralingen

[testcees]

Het tv programma KASSA had er een mooie uitleg bij,

Leuk voor de kijkcijfers maar niets “nieuws”. De EFF schreef hier begin vorige maand al over: Websites Must Use HSTS in Order to Be Secure

wel vernuftig zeg. 99 euro voor zo'n 'Pineapple'

Kan ook met een 'Pineapple Pi' van 35 euro: Raspberry Pi omgetoverd tot krachtige WiFi-hacker.

Heb even (snel) gezocht welke banken HSTS dan wel (of niet) gebruiken, maar kan daar niets over vinden. Mogelijk dat deze info niet zo maar vrijgegeven wordt wegens het beveiligingsrisico?

Of je bank (of andere site) HTTP Strict Transport Security (HSTS) gebruikt kan je controleren met een terminalvenster. Bijvoorbeeld:

Code: [Selecteer]

pi@raspberrypi ~ $ curl -s -D- https://www.abnamro.nl | grep Strict
Strict-Transport-Security: max-age=31536000


[markba]

Of je bank (of andere site) HTTP Strict Transport Security (HSTS) gebruikt kan je controleren met een terminalvenster. Bijvoorbeeld:

Code: [Selecteer]

pi@raspberrypi ~ $ curl -s -D- https://www.abnamro.nl | grep Strict
Strict-Transport-Security: max-age=31536000


Nice. Heb even wat banken gecontroleerd:

Code: [Selecteer]

mark@desktop:~$ curl -s -D- https://www.abnamro.nl | grep Strict
Strict-Transport-Security: max-age=31536000
mark@desktop:~$ curl -s -D- https://www.ing.nl | grep Strict
Strict-Transport-Security: max-age=17280000
mark@desktop:~$ curl -s -D- https://www.rabobank.nl | grep Strict
Strict-Transport-Security: max-age=31622400
mark@desktop:~$ curl -s -D- https://www.triodos.nl | grep Strict
Van die 4 banken ondersteunt alleen Triodos geen HSTS.

[VuurVosje]

Sneaky....

Nieuwe voorwaarden:

Gebruikt u Bank Online? Logt u dan minimaal één keer per maand in om de gegevens op uw rekening(en)
te controleren. Doet u dat niet? Dan loopt u het risico dat eventuele schade door bijvoorbeeld fraude voor uw
eigen rekening komt.