Beantwoord

Kan ik mijn betaal- en spaarrekeningen scheiden achter verschillende accounts?


Naar aanleiding wat een kennis recent is overkomen bij de triodos bank: rekening geplunderd door geld eerst van spaar naar betaalrekening over te sluizen dan vervolgens weg te sluizen, de volgende vraag.
M.i. kun je een redelijke grote barrière opwerpen door de spaarrekeningen met veel geld achter een apart internet-banier-account te plaatsen. Ongenode gasten kunnen dan alleen naar je tegenrekening overboeken of geld van je lopende rekening halen. Bij de SNS met rente op de betaalrekening heb je zelfs geen klein-buffer-spaarrekening nodig binnen je betaalrekening-account.

Mijn vraag is nu kan de SNS dit aan en hoe wenselijk is dit?
icon

Beste antwoord door Stefan 15 januari 2016, 22:42

Dit klinkt als een redelijk geavanceerde aanval. Aan de andere kant weet ik uit ervaring dat dit inderdaad mogelijk is. Vanuit mijn vorige functie als security architect heb ik soortgelijke scenario's al een paar keer uitgetest om te zien welke tegenmaatregelen je kunt nemen.

Overigens is de 'challenge' die SNS/ASN gebruikt voor een autorisatie via de digipas ook met een MITM aanval af te vangen. Toegegeven: het is een hoop extra werk voor de namaak website, maar onmogelijk is het zeker niet. Maar hackers zullen gaan voor de weg van de minste weerstand en kennelijk is de beveiliging bij Triodos het meest kwetsbaar voor dit soort praktijken.

Het tweede verhaal van eRik19 lezend, word ik gesterkt in mijn advies dat je het beste af bent door de spaar en betaalrekening bij verschillende banken onder te brengen. Immers met een MITM aanval moeten de criminelen een werkende namaak site hebben van 2 banken i.p.v. 1. Een apart account bij dezelfde bank helpt in dit geval niet, omdat je met beide accounts via dezelfde MITM website inlogt en dus je inlog gegevens laat afluisteren.

Bekijk origineel

18 Reacties

De meest makkelijke manier is om een dergelijke spaarrekening aan te houden bij een andere bank. Maar tegelijk bedenk ik me dat (in het algemeen) internetspaarrekeningen slechts zijn beveiligd met een gebruikersnaam + wachtwoord (SNS: digicode) en/of een mobiele pincode. Als argument voor deze zwakkere beveiliging wordt vaak genoemd dat je alleen maar kunt overmaken naar een vaste tegenrekening (betaalrekening).

Echter, als een hacker in staat is om jouw 2-staps verificatie te ontfutselen (SNS digipas, ING TAN-code, RaboReader, etc.) behorende bij jouw betaalrekening, dan is deze hacker ongetwijfeld ook in staat om de gebruikersnaam + wachtwoord van je spaarrekening te ontfutselen. Netto levert dan het aanhouden van een aparte spaarrekening met een aparte authenticatie niet zo veel extra beveiliging op lijkt me.
Nou valt het bij SNS nog mee, aangezien je ook het persoonlijke digipasje + 5 cijferige pincode of de pinpas+ 4 cijferige pincode moet hebben om geld weg te sluizen cq op te nemen. Die digipas neem je niet mee als je boodschappen gaat doen.
Bij Rabo en ABN is het veel erger: Als iemand je betaalpas ontfutseld en je pincode afkijkt, dan kan de crimineel met zijn eigen randomreader je spaarrekening plunderen. Daar is geen tweede veiligheidsstap aanwezig. Betaalpas+pincode, die je overal mee naar toe neemt, geeft toegang tot je hele hebben en houwen.
Ja je hebt ook mensen die alles opsturen naar een postbusadres als een phishing mail daarom vraagt. Bij SNS moet men dan Betaalpas+pincode + digipas+pincode liefst ook gebruikersnaam+wachtwoord opsturen. Dat is veel. En tegen zoveel domheid is geen kruid tegen gewassen.
Bij ING zou je ook nog je mobiele foon of simkaart moeten opsturen. Naast je gebruikersnaam + wachtwoord + pas + pincode.
Hoi Erik,

Jeetje, wat een nare situatie zeg. Heeft je kennis via Triodos of via de politie nog iets teruggezien van het geld? Ik denk dat Stefan een goed punt heeft; als hackers in staat zijn om de 2-staps verificatie te ontfutselen, dan zal een gebruikersnaam en wachtwoord ook geen probleem zijn. Heb je trouwens dit topic over 2-staps verificatie gelezen?
Heren (en meelezende dames),

Het zit wat ingewikkelder in elkaar. Kennis is in de val gelokt via verkeerde website (niet via e-mail, misschien een DNS hack op de slecht beveiligde routers?) en vandaar uit man-in-the-middle constructie (ja, ja dan ook heb je een slotje etc). Door naar wat NAW gegevens te vragen een bank-app kunnen installeren van triodos. Het lijkt erop dat je die gewoon via standaard login procedure kunt activeren. Tridos gebruikt een zwakke vorm van digi code, genoemd Identifier, je hoeft alleen je code op de achter kant in te vullen op de website, dan je pin op het apparaat en het nummer dat dan verschijnt type in op de web-site. Dus er is geen extra handshaking zoals bij SNS en ASN. Ik vermoed dat deze zwakte is gebruikt om door te kunnen loggen en vervolgens ook de App te installeren. Je kunt dat gelijkt per dat tot 750,- rond pompen geen extra verificaties voor je eerste betaling. (Oh ja, je krijgt een e-mail dat je de App hebt geïnstalleerd en dat je direct moet reageren als je dat niet gedaan zou hebben, i.p.v. dat je via e-mail je app aanmelding extra zou moeten valideren; dit is geheel in de context van een App-concept "keep it stupid and simple", maar het gaat hier niet over het OV of het weer!)

Deze kennis heeft het gemiddelde niveau van Nederlandse computer gebruiker en na komt pas weer na 7 dagen online, waarna het kwaad is geschied (750 van spaar naar giraal en 750 giraal naar verschillende katvangers per dag, dus vandaar mijn vraag naar scheiding van spaar en giraal.)

Netjes aangifte gedaan en eerlijk geweest. Maar dan lijkt de Triodos bank zich 'te kunnen voorstellen' dat deze persoon onzorgvuldig is geweest en op basis van deze overwegingen wordt een verzoek tot vergoeding af gewezen. Dit is pure omkering van bewijslast waar Kasse etc ook al over geklaagd hebben.

Je bent met zo'n aso opstelling verschrikkelijk veel tijd kwijt om een bezwaarschrift te schrijven en misschien uiteindelijk via een gerechtelijke procedure je recht te halen. Eigenlijk zou de bank dubbel moeten uitkeren als ze bakzijl moeten halen na een afwijzing.

De internetcriminaliteit heeft de gewone gebruiker al dik verloren, de aanwijzingen van de bank zijn voor veilig gebruik zijn niet meer dan doekjes voor het bloeden. Geef mij maar de oude methode van de Postbank (GiroTel): een fat-client en dan gewoon met je modem inbellen (kan ook internet zijn), maar sluit een aantal belangrijke hack-mogelijkheden uit, die er nu wel zijn via browsers.
Dit klinkt als een redelijk geavanceerde aanval. Aan de andere kant weet ik uit ervaring dat dit inderdaad mogelijk is. Vanuit mijn vorige functie als security architect heb ik soortgelijke scenario's al een paar keer uitgetest om te zien welke tegenmaatregelen je kunt nemen.

Overigens is de 'challenge' die SNS/ASN gebruikt voor een autorisatie via de digipas ook met een MITM aanval af te vangen. Toegegeven: het is een hoop extra werk voor de namaak website, maar onmogelijk is het zeker niet. Maar hackers zullen gaan voor de weg van de minste weerstand en kennelijk is de beveiliging bij Triodos het meest kwetsbaar voor dit soort praktijken.

Het tweede verhaal van eRik19 lezend, word ik gesterkt in mijn advies dat je het beste af bent door de spaar en betaalrekening bij verschillende banken onder te brengen. Immers met een MITM aanval moeten de criminelen een werkende namaak site hebben van 2 banken i.p.v. 1. Een apart account bij dezelfde bank helpt in dit geval niet, omdat je met beide accounts via dezelfde MITM website inlogt en dus je inlog gegevens laat afluisteren.
Mijn tip; zet maximaal over te schrijven, te betalen, uit te keren (of wat dan ook) altijd zo laag mogelijk (niet te laag, zodat het werkzaam blijft). Zo kun je bijv. bij SNS een limiet instellen voor maximaal per dag te ondertekenen met je digipas. Standaard staat deze behoorlijk hoog (vind ik).
Groet,
Ben :cool:
Voor privé rekeningen is de tip van BigBen de goede. Heb ik zelf al langer gedaan, je koopt tenslotte niet elk jaar een nieuwe auto. ik controleer ook minstens 1x dagelijks m'n rekeningen. Voor zzp-ers en mkb-ers wordt dit afgrenzen toch wat lastiger
Jos de Boer schreef:

ik controleer ook minstens 1x dagelijks m'n rekeningen.


Dit is inderdaad ook een goede tip. Met de mobiele app wordt het je ook makkelijk gemaakt om dit frequent te doen!
BigBen schreef:

Mijn tip; zet maximaal over te schrijven, te betalen, uit te keren (of wat dan ook) altijd zo laag mogelijk (niet te laag, zodat het werkzaam blijft).


Zeker een goede tip. Alleen kun je dit ook weer vrij eenvoudig aanpassen met dezelfde digicode of digipas in Mijn SNS. Hackers dus ook...
Stefan schreef:

BigBen schreef:

Mijn tip; zet maximaal over te schrijven, te betalen, uit te keren (of wat dan ook) altijd zo laag mogelijk (niet te laag, zodat het werkzaam blijft).


Zeker een goede tip. Alleen kun je dit ook weer vrij eenvoudig aanpassen met dezelfde digicode of digipas in Mijn SNS. Hackers dus ook...


Is toch weer een stap meer die men moet nemen. Het zal eerst voor hen ontdekken zijn dat er een beperking is en dan ook voor hen zoeken zijn waarom er een beperking is en dan zoeken (eerst bedenken dat het kan) hoe het anders in te stellen. Alle kleine beetjes helpen denk ik dan maar.
Groet,
Ben :cool:
Eens, net als debeveiliging van je huis. Wanneer de boef er meer dan 2 minuten over moet doen om binnen te komen gaat ie naar de buren. Maaaaar wat je ook doet, waar een wil is is een weg.
Veel mensen vinden het handig als alle rekeningen onder één Mijn SNS account beheert kunnen worden in combinatie met de SNS App.

Iemands girale rekening is het meest kwetsbaar om gehackt te worden, omdat je die het meest gebruikt. Als bij zo'n hack nu ook toegang tot alle andere rekeningen (spaar, beleg) gekregen kan wordt is de kans groter dat de schade groter is.

Wat is zou willen is twee verschillende online accounts om de rekeningen daar onder te brengen. De enige optie die ik nu zie is om naar verschillende banken te gaan.
Interessante vraag. Maar stel een hacker is in staat om de beveiliging van SNS te doorbreken voor jouw account en kan daardoor bij je betaalrekening. In hoeverre is diezelfde hacker dan ook in staat om bij je tweede account te komen? De gebruikte methode zal immers niet wezenlijk anders zijn. Ook als je tweede account bij ASN zou zijn, is de beveiliging praktisch identiek. Dus welk risico wil je afdekken eRik19?

PS: in mijn voorbeeld is het dus altijd beter om inderdaad 2 totaal verschillende banken te nemen die tenminste een andere technische beveiliging gebruiken voor toegang tot je rekening.
Hoi Erik,

Een tijd geleden heb je een soortgelijk topic geopend, hier heb ik jouw vraag en de reactie van Stefan naartoe verplaatst.
Ik wacht nog op antwoord van SNS. Het beperkte voordeel van twee accounts bij één bank gaat uit van het verschil in gebruiksfrequentie van beide soort rekeningen en het vermoeden dat een hack nooit heel lang onopgemerkt blijft (ze willen immers snel cashen).
Hoi Erik,

Bedoel je de vraag waarin je wil weten of Mijn SNS te scheiden is in 2 aparte accounts? Ik vraag voor je na of dit op de planning staat, anders plaatsen we het op de wensenlijst.
Ja, dat is de vraag.
Hoi eRik,

Je wens staat niet op de planning voor 2017, maar we zetten het op onze wensenlijst.

Reageer

    • :D
    • :?
    • :cool:
    • :S
    • :(
    • :@
    • :$
    • :8
    • :)
    • :P
    • ;)