Gepubliceerd: Woensdag 15 augustus 2007
Een handvol ABN Amro-klanten is getroffen door een virus waarmee criminelen ongemerkt overboekingen deden naar rekeningnummers van stromannen.
Toon volledig artikel
Ergens vind ik het wel vreemd dat de slachtoffers schadeloos worden gesteld. Het is nu lastig aan te tonen of een transactie "per ongeluk" of expres heeft plaatsgevonden. Daarnaast ligt de schuld hier zeker niet bij de banken; maar toch echt voor een groot deel bij de gebruikers thuis (al weten die vaak ook niet wat ze tegen spyware e.d. kunnen doen).
Natuurlijk is het wel weer een stukje "service" dat ze het geld teruggeven.
Daarnaast ligt de schuld hier zeker niet bij de banken; maar toch echt voor een groot deel bij de gebruikers thuis
Schuld of niet, dankzij de systemen van de bank hebben de overboekingen plaatsgevonden en niet dankzij de gebruikers thuis. Op grond van de Algemene Bankvoorwaarden, die ABN Amro ook hanteert, heeft de bank in de eerste plaats een plicht tot zorgvuldig handelen jegens de client (en 'spontaan' overboeken valt daar niet echt onder) en is de bank voor een 'spontane' overboeking aansprakelijk. Dit omdat er geen sprake is van een storing is in de programmatuur, verbindingen of apparatuur (zoals omschreven in art 31 van de Algemene Bankvoorwaarden). Wellicht geen schuld, maar mogelijk wel aansprakelijk.
Het is dus raadzaam om ALTIJD 'bij/afschrijvingen' in de gaten te houden. Transacties naar Derden-rekeningen worden ook niet direct uitgevoerd en kunnen alsnog worden geannuleerd. En dat heeft men het rekeningnummer van de katvanger.
Dat van een afzonderlijke inlogsessie en authorisatiesessie heeft ING ook en heb ik altijd als veilg ervaren.
Hmm, transacties naar rekeningen van derden worden helaas wel direct verwerkt. Er wordt geen check gedaan op de naam van de begunstigde in combinatie met het rekeningnummer. Die naam zie je pas als je het geld hebt overgemaakt, bij je overzicht van afschrijvingen.
Zo heb ik per ongeluk een keer een behoorlijk groot bedrag naar een verkeerde rekening over gemaakt (lang leve form autocompletion... not!), en ABN AMRO kon er niets meer aan doen. Gelukkig was de eigenaar van die rekening zo vriendelijk het geld direct terug te storten.
ABN AMRO zou er goed aan doen het rekeningnummer te verifiëren met de naam van de begunstigde, voordat een transactie definitief wordt verwerkt.
Bij alle banken anders dan de Postbank (die zijn altijd al eigenwijs geweest, ook met de Chipper ipv de Chipknip) zit er een fout-detectie in het rekeningnummer. En die is een stuk beter dan de beveiliging van de Postbank, waar je tegenwoordig automatisch de tenaamstelling krijgt als je een rekeningnummer ingeeft.
Bij bankrekeningen is het ook niet ongebruikelijk om meerdere tenaamstellingen te hanteren. Zowel prive (bijvoorbeeld penningmeester van een of andere vereniging of stichting) als zakelijk (meerdere bedrijfsonderdelen). Dat zou met een dergelijke check niet meer kunnen, en het wordt er ook niet veiliger op (zie Postbank).
Overigens zie je dus op je afschriften doorgaans de naam van de begunstigde zoals je die zelf hebt opgegeven, niet de naam waaronder de betreffende rekening geregistreerd staat. Hooguit bij je eigen bank, maar in ieder geval niet bij andere banken. Je krijgt alleen de naam van de rekeninghouder te zien als je geld ontvangt.
Toch is het vreemd dat als je je auto niet goed onderhoudt en daardoor een ongeluk veroorzaakt je daarvoor verantwoordelijk bent. Als je je computer niet goed onderhoudt dan is het ineens een soort "act of god" en word je schadeloos gesteld. Met het slappe excuus dat mensen niet genoeg van computers/malware weten. Dat is net zo'n slap excuus als de Nederlandse Wet niet kennen, je wordt gewoon geacht op de hoogte te zijn als volwassen mens van de consequenties van je acties.
Onzin. Het is de verantwoordelijkheid van de bank om een veilige methode aan te bieden voor transacties. En daarbij dient rekening gehouden te worden met dit soort praktijken.
Helemaal mee eens. De bank is verantwoordelijk voor de veiligheid. Dat is zorgplicht.
Het is ook een lompe bug dat je inlogcode een betaling authoriseerd. Maar van ABN kun je zoiets verwachten. In de jaren 90 hadden ze voor de zakelijke markt een telebankier pakket waarbij je de bestanden in Excel kon openen en alle gegevens kon lezen, inclusief het wachtwoord voor het pakket. Kort erna gingen veel virus scanners over hun nek op de thuisversie van het pakket door slecht programmeren van de ABN. Invoering van de Euro voor de zakelijke markt was ABN de enige partij die na enige maanden nog steeds het verkeer in Euro's niet zonder problemen kon verwerken, etc. etc.
Hopelijk heeft de overnemende partij wel verstand van automatisering. Zoals het nu is blijf ik bij de ABN gewoon analoog bankieren.
Ze hadden voor het zakelijke telebankieren ook zo'n briljant idee om het FTP-protocol te gebruiken voor de communicatie, maar dan op poort 42 en 63 ipv 21. Wat dus prompt niet werkte als je achter een firewall zat (wel of niet masquerading, het werkte gewoon niet zonder aanpassingen aan de firewall). En andere poorten gebruiken maakte het er geen spat veiliger op.
Wat een onzin. Het feit dat je het slachtoffer bent en - ook al wordt je schadeloos gesteld - hierdoor in de penarie zit lijkt me al genoeg.
Mensen (criminelen) moeten gewoon van andermans spullen afblijven. Punt UIT. Geen discussie mogelijk. Daarnaast vind ik dat je als bank, als je een toch min of meer potentieel 'gevaarlijke' service als internet bankieren aanbiedt, ervoor zorgt dat deze 100% veilig is.
Zodra je de verantwoordelijkheid bij gebruikers gaat leggen is écht het eind zoek. Ten eerste durft niemand meer (zeker niet internet / virus / hack paranoia mensen als bijvoorbeeld mijn moeder) gebruik te maken van zo'n dienst, omdat ze er geen verstand van hebben. Bovendien kan je ook absoluut niet verplichten om mensen 'verstand' te laten hebben van computers (zoals mijn oma bijvoorbeeld, ach gut...) en zeker niet in een tijd waarin je bijna verplicht wordt om alles digitaal af te handelen.
Criminelen blijven altijd de schuldige. Als mijn oma d'r bankrekening geplunderd wordt omdat een slimme crimineel een manier weet om aan haar pas + pin te komen (door zo'n apparaatje op een pinautomaat te plaatsen, of weet ik veel wat voor trucjes ze hebben) dan is dat niet háár schuld. Nooit.
Maar de vergelijking lijkt toch wel op te gaan toch? Als je je auto niet goed onderhoudt en je veroorzaakt daardoor een ongeluk... Dan hoef je er niet van uit te gaan dat iemand jouw schade gaat vergoeden hoor!
De bank is verantwoordelijk voor de veiligheid van de transacties, maar dan wel maximaal strekkend tot zijn eigen systemen en vooral niet voor de veiligheid van de pc van de gebruiker, lijkt mij. Dat die gebruiker er niet van af weet dat er spyware aanwezig is op zijn computer maakt niet dat-ie daar niet voor verantwoordelijk is.
Als ik mijn voordeur niet goed onderhoud en er komt een inbreker binnen omdat het hout verrot is, hoef ik niet te verwachten iets terug te krijgen van de verzekering. Nog los van het feit dat het belachelijk is dat er mensen zijn die het blijkbaar normaal vinden mijn huis binnen te gaan of mijn geld af te pakken.
Ja en nee. Het gaat hier niet om onderhoud - het gaat erom dat iemand een bom in jouw auto plaatst zonder jou medeweten en jij dat niet ziet omdat je niet de motorkap open doet elke keer dat je gaat rijden. Vervolgens explodeert de bom op het moment dat jij het winkelcentrum in rijdt, en behalve dat je dood bent ben je dan ook nog eens een terrorist. Volgens jouw redenering dus.
Ok het is dan inderdaad de vraag of het om onderhoud gaat. Wat betreft die terrorist heb je inderdaad gelijk. Misschien zie ik het dan ook wel te zwart-wit. Voor mijn gevoel dien je gewoon ten volle bewust te zijn van wat apparaten voor je doen. Als je dat niet bent/niet kunt zijn moet je de apparaten eigenlijk niet gebruiken. Dat geldt voor wapens, dat geldt voor auto's, dat geldt voor bijna alles. Alleen bij computers lijkt het ineens ingewikkeld te zijn om probleemvrij te blijven.
Tja, in theorie zou dat inderdaad ideaal zijn.. maar hoe ver wil je daarin gaan? Tot op het punt dat de gebruiker van een pinpas moet kunnen weten als een pinautomaat in een winkel gerigged is (zie recente nieuwsberichten over dit onderwerp) als hij die gebruikt om te pinnen? Het is gewoon niet realistisch.. al niet eens voor mensen met een bovengemiddelde intelligentie, laat staan voor de gewone man/vrouw op leeftijd die probeert 'met de tijd' mee te gaan.
Nou ja, op heel veel gebieden zijn mensen verplicht volledig onder controle te zijn van hetgeen ze bedienen. Denk aan auto's, fietsen, vliegtuigen, koffiezetapparaten, etc. Elke burger is verplicht de geldende wetten te kennen. In de praktijk komt het er op neer dat niemand ze kent.
Voor mankementen aan de auto ben je in principe zelf verantwoordelijk. Maar als het om computers gaat, gaat deze regel "ineens" niet meer op?
Ik snap jullie redenaties wel hoor, en jullie hebben ook gelijk, maar de vraag blijft voor mij: waarom geldt deze "regel" alleen niet voor computers?
Hmm.. ik denk niet dat de computer het enige is wat je volledig moet beheersen. Het is wel zo dat het een opmerkelijke uitzondering is. Maar een volledige beheersing eisen is onmogelijk. Dan zou iedere computergebruiker een IT-expert moeten worden, en zelfs dan lijkt het me sterk dat die van alle mogelijke problemen op de hoogte kan zijn.
Ten tweede is het natuurlijk zo dat de meeste computers die in een zakelijke omgeving gebruikt worden door speciaal aangestelde mensen worden beheerd en beveiligd (en ik denk in veel gevallen dat dit verplicht is) en in de persoonlijke omgeving er geen direct gevaar voor de veiligheid van mensen is, wat bij een auto, fiets, e.d. wel het geval is.
Ik heb een typ machine, hier gaat het papier in.
Als ik op die knopjes druk dan verschijnen er letters op het papier.
Als ik die hendel naar rechts druk en doorduw dan gaan de letters terug naar het begin en heb ik een nieuwe regel om te typen.
Als ik aan die knop draai dan gaat het papier eruit.
Ik hoef geen fijnmechanikus, metaalbewerker of de complete geschiedenis van typmachines te weten om er een te gebruiken. :)
Als je je auto niet onderhoudt, dan merk je dat als bestuurder. In je dashboard gaan lampjes aan dat je je oliepeil moet controleren, er gaat een lampje branden dat je onmiddelijk moet stoppen omdat je remschijven op punt staan om te begeven, je hoort rare geluiden als je rijdt, je merkt als je een lekke band hebt, etcetera etcetera.
Als het hout van je deur zó verrot is dat een inbreker zo makkelijk je huis binnenkomt, dan heb je dat zelf ook kunnen zien (los van het feit of dat een vrijkaartje is voor mensen om zomaar je huis binnen te breken). Bovendien vraag ik me af of je verzekering niet uitkeert. Als ze door een open raampje naar binnen klimmen via je balkon als je eventjes boodschappen doet dan krijg je volgens mij ook nog steeds uitgekeerd van de verzekering.
Mijn oma ziet helemaal niéts aan haar computer als deze niet up-to-date is (overigens, ik ook niet hoor, als ik 'gewoon' achter mijn computer werk). Dat de pc dan besmet kan worden met virussen van criminelen die daarmee bankrekeningen plunderen, kan haar óf mij dus niet verweten worden.
Als ik met een pc ga werken die 'onveilig' is, dan kunnen ze mijn pc misschien wel hacken, en wellicht mijn creditcard info of andere gevoelige informatie uitlezen die ik op een text bestandje op de pc opgeslagen heb, documenten inlezen, mn schijf formatteren, noem het maar op, en dát is misschien lekker mijn schuld. Maar, ze mogen nóóit mijn rekening kunnen plunderen via een service van derden. Dat moet een bank ten alle tijde goed beveiligd hebben.
Het probleem is dat niemand zijn/haar PC 100% van de tijd 100% spyware vrij kan houden. Makers van anti-spyware lopen namelijk altijd achter de feiten aan. Je kunt tenslotte pas maatregelen tegen een stukje spyware nemen als dat stukje spyware gemaakt en in omloop is. Dat betekent dat het altijd mogelijk is dat je voor een bepaalde tijd besmet bent met spyware zonder dat je er vanaf weet omdat je anti-spyware software nog niet voorzien is van tegenmaatregelen, simpelweg omdat deze tegenmaatregelen nog in de maak zijn. Een bank dient daar rekening mee te houden wanneer het de mogelijkheid biedt om Internet transacties uit te voeren en er dus voor te zorgen dat deze mogelijkheid ten alle tijden veilig is, ongeacht wat voor spywaretroep er ook op de PC van de gebruiker rondzwerft. Blijkbaar is de methode die ABN Amro gebruikt wat dat betreft niet waterdicht.
Het probleem is dat niemand zijn/haar PC 100% van de tijd 100% spyware vrij kan houden. Makers van anti-spyware lopen namelijk altijd achter de feiten aan. Je kunt tenslotte pas maatregelen tegen een stukje spyware nemen als dat stukje spyware gemaakt en in omloop is.
Ik had jaren terug de zogenaamde Sub-seven trojan op mijn computer en ja, mijn antivirus programma was upto date met de laatste antivirus datafiles.
Helaas was deze trojan nog niet bekend bij de makers van Norton anti virus. Uiteindelijk werdt dit beestje na een update alsnog herkend en verwijderd.
Als je je auto niet onderhoudt, dan merk je dat als bestuurder. In je dashboard gaan lampjes aan dat je je oliepeil moet controleren, er gaat een lampje branden dat je onmiddelijk moet stoppen omdat je remschijven op punt staan om te begeven, je hoort rare geluiden als je rijdt, je merkt als je een lekke band hebt, etcetera etcetera.
Trojans zijn ontworpen om onzichtbaar te blijven voor de gebruiker, zoals Fridrik Skulason (Schrijver van F-Prot) ooit in een interview zij: The defence of a virus is like that of a mouse, you don't know that it is there, if you knew it you would kill it or get a kat, simple."
Het laatste deel van je reactie rukt de post van Razzie nogal uit zijn verband, vind ik. Beetje jammer, want het was wel een leuke quote.
"Het zou hierbij gaan om versies vóór Windows XP, zonder recente updates"
Het gaat hier dus om mensen die echt hun computer zwaar verwaarloosden. Waarom zijn die dan niet aansprakelijk? Dat was mijn punt.
Sorry hoor, maar niemand is verplicht om te updaten naar de nieuwste versie van Windows. Sterker nog, als je een beetje een oude PC hebt met weinig geheugen kun je niet eens Windows XP installeren. En veel mensen doen zo weinig met een PC dat Windows 98 voor hen nog meer dan voldoet. Dat heeft helemaal niets te maken met het verwaarlozen van je PC.
Maar hoe kun je in hemelsnaam met een Windows 98 PC gaan zitten internet bankieren? Daar kun je nooit tegenop beveiligen als bank. Maar eigenlijk moet een bank een OS check doen bij aanloggen en dat soort mensen geen toegang geven, die verantwoording hebben ze wel. Je moet mensen wel tegen zichzelf beschermen.
Ik denk dat jij het punt een beetje mist. De afhandeling van transacties is bij de ABN Amro blijkaar op een dusdanige manier geregeld dat iemand daar misbruik van kan maken. Of dat nu door spyware komt of door een andere mogelijkheid, het mag gewoon niet.
Bij de Rabobank werk je bijvoorbeeld met een cardreader. Op het moment dat jij een transactie bevestigt krijg je een nummer voorgeschoteld die je in je cardreader in moet voeren. Daarop krijg je een code terug die je weer in de webpagina in moet voeren. Er zijn dus meerdere handelingen nodig die alleen door de gebruiker uitgevoerd kunnen worden en waarbij twee media gebruik worden, een internet pagina en een persoonlijke cardreader (en dat dus nog eens in combinatie met je bankpasje/pincode). Ik weet niet precies hoe Internetbankieren bij ABM Amro werkt (ik zit dus bij een andere bank), maar heb wel het gevoel dat de methode van de Rabobank veel fraudebestendiger is, hoewel je misschien wat extra handelingen moet verrichten en extra hardware nodig hebt.
Maareuhm.. niet om het een of t ander, maar het zou niet geheel onmogelijk moeten zijn om de pc zo aan te passen dat de gebruiker denkt dat hij geld overmaakt naar het nummer dat-ie zelf invult maar in feite het geld overmaakt naar iemand anders.
klant opent website rabobank
logt in met de random reader
ziet zijn eigen gegevens
denkt een transactie klaar te maken voor zijn verhuurder (2039.48372), maar zet (achter de schermen, in een door de programmeur gemaakt tooltje) in feite een transactie klaar voor meneer C. Rimineel.
Het tooltje achter de schermen vraagt bij rabobank de pagina aan voor het verwerken van de transactie, neemt de code over die je daar in moet vullen; en toont die code weer aan de frontend (die er overigens net zo uit ziet als het scherm van de rabobank).
Etc, de rest van het verhaal lijkt me duidelijk. Rabobank veiliger? Met spyware op je computer is geen enkele site meer veilig.
Je hebt helemaal gelijk wat mij betreft. In dit geval is de abn blijkbaar een iets zwakkere broeder dan de rabo. Maar een variant op wat bij de abn gebeurt is is evengoed ook bij de rabo mogelijk.
Maar als we de vergelijking met de auto's door blijven trekken, voor een auto de weg op mag moet hij een apk-keuring hebben. Ik denk als we hier willen dat banken altijd schade door dit soort aanvallen moeten vergoeden de banken dan ook wel als tegenprestatie mogen verwachten dat je een up to date systeem hebt met een up to date av-pakket erop. En klantvriendelijk is het natuurlijk niet maar ik zou het helemaal niet erg vinden als ze bijvoorbeeld geen transacties meer aan zouden nemen die van een win98 systeem komen. Voorkomen blijft altijd beter dan achteraf schadeloos stellen.
Bij de Rabobank werk je bijvoorbeeld met een cardreader. Op het moment dat jij een transactie bevestigt krijg je een nummer voorgeschoteld die je in je cardreader in moet voeren. Daarop krijg je een code terug die je weer in de webpagina in moet voeren. Er zijn dus meerdere handelingen nodig die alleen door de gebruiker uitgevoerd kunnen worden en waarbij twee media gebruik worden, een internet pagina en een persoonlijke cardreader (en dat dus nog eens in combinatie met je bankpasje/pincode).
Op dezelfde manier.
Login op de ABN-Amro site en vul daar je bankrekening nummer en het volgnummer van je pas in, (meestal 001) Je krijgt dan een 8 cijferige code die je moet intoetsen op je identifier, waarna je identifier je een zes cijfer code geeft die je moet invullen in het daarvoor bestemde vak. Om de identifier te gebruiken moet je de pin weten van de pas.
De zwakte van het ABN-Amro systeem in dit geval is dat de zelfde procedures worden gevolgd voor het inloggen als voor het verzenden van betaling's opdrachten.
De badware fakes een mislukte login terwijl de gebruiker al is ingelogd, er wordt een betalingsopdracht uitgevoerd die door de gebruiker wordt bevestigd omdat hij/zij denkt dat hij/zij inlogt terwijl in werkelijkheid buiten het zicht van de gebruiker een betaling's opdracht wordt bevestigd.
100% veiligheid valt niet te garanderem, nergens in en zeer niet in ICT. Zelfs niet als men Linux zou gebruiken. Maar ja probleem is erger, 90% gebruikt Windows en veelal een oude versie, die zijn niet 100% te beveiligen en daarmee dus ook niet een website. Een meekijkend virusje is makkelijk geimplementeerd
Banken zullen het voorbeeld van een Nieuw Zeelandse bank overnemen: indemnity verklaringen laten tekenen door gebruikers. Dan is het de verantwoording voor de gebruiker van internet bankieren om een schone en beveiligde pc te hebben. Enerzijds is dit vuil spel van banken, afwimpelen van verantwoordelijkheid. Maar doen de klanten niet hetzelfde als ze schdeloosgesteld willen worden? "Oh sorry, ik wist niet dat ik een virusscanner ook moest updaten!? Waar krijg ik nu m'n geld terug?"
Als de portomonee door ABN Amro is ontworpen en verplicht is en door een foutje makkelijk rolbaar blijkt dan zou dat wel moeten, ook al zit er een gat in je jas.
Bij internetbankieren heb je niet altijd keus. Er zijn zelfs nog banken die Windows + Explorer voorschrijven. Moet de gebruiker dan verandwoordelijk zijn voor alle problemen die daaruit voortkomen?
Als m'n portemonnee wordt gerold op straat, krijg ik dan m'n geld ook terug?
Als je aangifte doet bij de politie dan kan deze persoon worden veroordeeld tot het betalen van een boete bovenop een eventuele gevangenis straf nadat de persoon die jouw portemonnee heeft gerold is opgepakt
Een deel van deze boete wordt gebruikt als compensatie voor de slachtoffers, dit is een van de reden waarom mensen altijd aangifte moeten doen van diefstal of vernieling.
Het zou niet mogelijk mogen zijn... Je mag blij zijn dat ABN er zo makkelijk van af komt..
Ze hadden nooit Online mogen gaan.. btje jatten van Rabobank!!!
Rabobank is gwoon de beste op het gebied van beveiling met internetbankieren.
Zoals altijd is het een samenspel van factoren: er zit een exploit in Windows; mensen downloaden en klikken er op los en denken niet na (waarschijnlijk de belangrijkste factor!) en een bepaalde service kan DAARDOOR via een achterdeur worden gekraakt/misbruikt. Beveiliging is zo zwak als de zwakste schakel en dat is nog altijd de gebruiker zelf!!
Ik denk overigens niet dat de ABN Amro de enige bank is die hierdoor getroffen wordt. Als je op de site van Kaspersky leest, zie dat de trojan waarschijnlijk makkelijk kan worden aangepast voor andere banken. Ook Rabobank- en Postbankklanten (andere banken heb ik niet zo snel paraat) zijn in het verleden op verschillende wijzen benadeeld.
Vreemd eigenlijk dat ik verder niemand hoor foeteren op de ICT afdeling van de ABN Amro.
Als er een storinkje is bij de Postbank (waar WW altijd als de kippen bij is, maar dit nieuws is ondertussen al meer dan een dag oud - maar dat terzijde), dan zijn ze bij de Postbank achterlijk en deugt het systeem van geen kanten.
Toch heeft tot nu toe nog nooit iemand geld van mijn rekening weten te schrijven...
Overigens geeft dit ook wel aan dat het TAN code systeem van de Postbank zo gek nog niet is.
Dat hangt er maar net vanaf hoe je het bekijkt.
Je zou kunnen stellen dat zoiets gewoon niet voor zou mogen komen. Spyware of niet.
Dan moet je dus kankeren op degene die het abn-amro systeem heeft ontworpen. Maar omdat dit netjes is opgelost zal er niet gauw iemand gaan zeuren. En het is de eerste keer dat ik over problemen hoor met dit systeem, terwijl de postbank bijna vaker storing heeft dan dat het wel werkt.
terwijl de postbank bijna vaker storing heeft dan dat het wel werkt
En dat is dus het gelul van de bovenste plank wat WW je probeert wijs te maken.
Nee je leest toch echt over het punt heen :p. "Postbank bijna vaker storing" was enigszins ironisch bedoeld. Natuurlijk werkt de site van de Postbank vaker dan dat het niet werkt. Het punt is alleen dat elke storing breed wordt uitgemeten terwijl de ABN Amro zelfs bij dit ernstige probleem niet erg negatief in het nieuws komt. Omdat het probleem netjes verholpen is zal inderdaad niemand onderzoeken wat hier nu precies fout is gegaan.
De ironie zie ik nog steeds niet, dus dat zal ongetwijfeld aan mij liggen dan.
Maar wat je hier noemt is precies mijn grote frustratie: alles van de Postbank komt hier uitgebreid aan de orde, met koppen die je vaak doen denken dat je de Privé aan het lezen bent in plaats van een nieuwssite, waarbij inhoudelijk de boel vaak ook niet eens klopt.
En dan bij zo'n grove fout als deze van de ABN Amro hoor je het pas een dag later met een headline die niet veel voorstelt en zeurt er verder niemand.
Even voor de goede orde: ik heb verder niets met de Postbank of tegen ABN Amro, maar wel tegen het verkeerd of gekleurd brengen van nieuws.
Misschien een teken dat crisismanagement bij ABN-Amro net iets beter is geregeld dan bij de Postbank? De Postbank vertelde keer op keer dat de nieuwe storing niets te maken had met de vorige en dat de schade eigenlijk wel meeviel, men kon immers alleen geld van andermans rekening halen....
ABN-Amro lost dit resoluut op: zonder te twijfelen; zonder te controleren of ze hier wel verplicht toe zijn stellen ze de klant schadevrij. Klant blij, media blij, bezoekers van nieuwssites blij. Thats why. En tot zover het rijmen.
Ik zie eerlijk gezegd niet in wat dit met het crisismanagement te maken heeft.
men kon immers alleen geld van andermans rekening halen....
Met kon alleen geld van een rekening afhalen waarvoor men gemachtigd was.
Dat WebWereld het ongeverifieerd op een andere manier naar buiten bracht, is een ander verhaal.
Een foutje is menselijk. De manier waarop je vervolgens ermee omgaat, zeker in het geval als het een extern probleem is dat van buitenaf invloed uitoefend, maakt een hoop uit.
Ja het heeft inderdaad alles te maken met crisismanagement. Door de open reactie van de ABN Amro waarbij de gedupeerden schadeloos worden gesteld zal niemand denken dat het een stelletje sukkels zijn bij de ABN. Daarnaast zal niemand dieper onderzoek doen naar de praktijken bij deze bank omdat het niet loont; je hebt immers je geld al terug, dus waar zou je nog over zeuren?
Het op tijd reageren bij een "ramp" als deze bepaalt de algemene opinie over je bedrijf. De "contactgestoorden" bij postbank hebben daarin gefaald. Overigens weet ik dat het bericht destijds door webwereld was opgeleukt, maar ook daar kun je stellen dat webwereld de informatie beter had kunnen vermelden als de postbank bereikbaar was geweest (ze waren namelijk aanvankelijk niet beschikbaar voor commentaar; iets wat je als voorlichter absoluut niet kunt maken)
Het gaat erom dat het internetbankieren van de ABNAMRO onveiliger is als van die van de Rabobank. Dat ABNAMRO dit vergoedt is coulant te noemen, hoewel het eigenlijk wel de schuld is van de gebruiker.
"De aanval was onder meer mogelijk doordat er bij ABN Amro geen verschil zat tussen de codes om in te loggen en een transactie te bevestigen."
Dit is dus een grove fout in het systeemontwerp. Je kan de gebruiker niet van alles de schuld geven. Het kan toch niet waar zijn dat een malware zo maar een transactie kan klaarzetten die automatisch wordt bevestigd zonder tussenkomst van de gebruiker. Ik weet niet waar de ABN hun technologie vandaan hebben gehaald, maar het lijkt mij toch een blunder van de eerste order dat de ICT-specialisten van de ABN zomaar deze inlog -en betaalmethode hebben toegelaten.
[quote=pidi]Overigens geeft dit ook wel aan dat het TAN code systeem van de Postbank zo gek nog niet is.[/quote]
Dit kan de postbank net zo goed overkomen, alleen geven die TAN codes ook nog andere veiligheids risico's.
En zoals in het bericht gemeld werd kan dit waarschijnlijk met een kleine aanpassing voor elke bank gebruikt worden.
Toevallig is ABN Amro in Nederland de grootste bank dus ook het interessants om het bij te proberen.
Het lijkt mij niet dat met deze zelfde truuk, een gebruiker van de bijvoorbeeld de postbank of rabobank getroffen kan worden.
Het is namelijk niet mogelijk om de gebruiker een luur te leggen om deze opnieuw in te laten loggen.
Inderdaad als ze mijn pc aftappen hebben ze in mijn geval mijn inloggegevens om bij mijn bankrekening van de postbank te komen. Hierna kunnen ze niets, tenzij ze ook nog mij telefoon jatten (of tan lijst voor anderen).
Bij de rabobank is voor een transactie de login niet hetzelfde als een transactie check. Hiervoor moeten de hackers een hele andere truuk uithalen om de gebruiker over te halen deze andere aktie te doen.
Wat wel zou kunnen is een extra overboeking tijdens het versturen. Een extra overboeking zou dan wel opvallen tussen al reeds bestaanden boekingen, mits de gebruiker dit wel controleert zelf.
Wat wel zou kunnen is een extra overboeking tijdens het versturen. Een extra overboeking zou dan wel opvallen tussen al reeds bestaanden boekingen, mits de gebruiker dit wel controleert zelf.
Wanneer de Postbank je TAN code naar je telefoon verstuurt, wordt daarbij ook gelijk het totale bedrag getoond wat overgemaakt gaat worden. Dus ALS ze dat al zou lukken, dan zie je het snel genoeg.
"Slachtoffers kregen een foutmelding te zien als ze inlogden op de internetbankiersite."
Dat is dan wel meteen een hele zwakke plek. Want je krijgt heel vaak foutmeldingen bij ABNAMRO internetbankieren. Je moet dan weer opnieuw inloggen. Vooral 's nachts gebeurt dat nog regelmatig. Ik ken de zin: "Wilt u deze actieve sessie beëindigen?" die ABNAMRO je dan stelt inmiddels uit mijn hoofd.
Geen wonder dat gedupeerden dan niets vermoeden.
Wat ook zou kunnen is dat het risico beken was bij ABN maar dat ze het lekker hebben laten zitten.
Vaak zijn de kosten van 100% beveiliging duurder dan zeg 95% beveiliging plus "verzekering".
En zeggen je mag er niet in met windows < XP kost ook meer dan het het risco want dan moeten ze weer mensen achter de balie gaan zetten of raken ze klanten kwijt.
Ik denk bekend/gecalculeerd risico en nu het gebeurt lossen ze het op.
Ik snap het probleem niet zo goed.
Er wordt hier ongeoorloofd geld overgemaakt naar een bankrekening. Die rekening staat geregistreerd op een naam. Identiteit van de dief of "stroman" is dus bekend.
Als het om een stroman gaat, wordt het geld verder getransporteerd naar een andere rekening. ook dit gebeurt dan weer naar een rekening waarvan de identiteit van de eigenaar bekend is, lijkt me.
Het lijkt me dus niet zo moeilijk om dit soort misdaden op te lossen, of zie ik iets over het hoofd?
hselling 15-08-2007 17:01
Ik snap het probleem niet zo goed.
Er wordt hier ongeoorloofd geld overgemaakt naar een bankrekening. Die rekening staat geregistreerd op een naam. Identiteit van de dief of "stroman" is dus bekend.
Als het om een stroman gaat, wordt het geld verder getransporteerd naar een andere rekening. ook dit gebeurt dan weer naar een rekening waarvan de identiteit van de eigenaar bekend is, lijkt me.
Het lijkt me dus niet zo moeilijk om dit soort misdaden op te lossen, of zie ik iets over het hoofd?
Wat dacht je van een valse identiteit opgeven m.b.v een vals paspoort/indentiteitsbewijs?
Geef een zwerver of zo een bepaald bedrag om een rekening te openen. Stort daarop een hoop geld en laat dat direct weer door de zwerver contant opnemen.
Trek het daarna nog maar eens na, het is dan gewoon verdwenen. En schade verhalen zit er dan ook niet meer bij.
Het enige wat je moet weten zijn de drempelwaarden waarboven belletjes gaan rinkelen en wanneer extra controle plaats gaat vinden.
Volgens ABN-AMRO zou de trojaan alleen maar geïnteresseerd zijn in verouderde versies van Windows. Hè? Al meer dan een week is een Braziliaanse mail in omloop met 2 links erin. Bij opening van de mail wordt het adresboek (van Outlook Express) gekaapt. En als er vervolgens ook nog eens op die links geklikt wordt, wordt er een z.g. 'banker trojan' op je pc geplaatst die uit is op je financiële gegevens. Lees het forum van ComputerTotaal er maar op na. Wij thuis worden continu bestookt met zulk soort mails. Onze Windows is niet verouderd hoor. Wij werken met Windows XP !
Even mijn twee porties vis... Zit het probleem niet gewoon in hoe de zaken voorgeschoteld worden?
Zelfde code hoeft geen probleem te zijn als je maar weet waarvoor je tekent!
Las dat het probleem inmiddels getackeled is, dus maak je niet zo druk WW, als je schade hebt word je schadeloos gesteld.
Zie het probleem door dit bos van onzin al helemaal niet meer ;-)
Ach dat Fortis en dergelijke, maar snel jullie bank opkoopt.
Iets wat betere Belgische beveiliging van online bankieren zou wat goed doen.
Kijk maar bij ons, KBC en dochterondernemingen voor in te loggen. Krijg je een code, moet jeje kaart invoeren in calculator achtig machien. Deze vraagt de code, dan je pin en geeft dan een nieuwe code.
Je kan inloggen.
Je maakt je verrichting.
Deze wordt opgeslagen en bijgehouden.
Verrichting wordt pas actief en uitgevoerd als je je opnieuw het hele code proces doorloopt.
Het inloggen staat inderdaad wel vast aan de nummer van je bankkaart.
Zeer handig, je inlog code verandert continue en is nooit dezelfde, geldt ook voor transacties.
Daarbij wat maakt het uit of je nu een up to date OS hebt draaien zoals Vista
of een 98 versie.
Heb dit jaar een nieuwe computer gemaakt met Vista voor mensen die voorheen een Windows XP hadden en die was ver van up to date.
Wel die mensen deden ook aan online banking en hebben nooit een probleem gehad.
Ik leg hierbij de schuld dus volledig aan de bank een haar inlogsysteem die niet feilloos is.
Ofwel is ABN gewoon ronduit gierig geweest op vlak van IT, waren de ontwerpers achterlijk of hebben ze ABN goed in hun zak gezet.
Allesinds ga ik er vanuit dat de hackers goed hun geld hebben verdient en dat dit misschien al aanwezig is op andere banken in Nederland, maar dat deze er nog niet mee uitkomen of niet durven uitkomen.
Hoeveel banken worden er niet jaarlijks gehacked en leeggepompt en dat ze niets laten weten.
Veel banken.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
