Gepubliceerd: Dinsdag 2 september 2008
Door mobiele telefoonnummers te kapen, kunnen cybercriminelen de rekeningen van Postbankklanten plunderen. De Postbank heeft inmiddels maatregelen genomen.
Toon volledig artikel
Ben al jaren Postbank-klant en wist niet eens dat dit een mogelijkheid was. TAN ontvangen per SMS is ideal, geen gedoe met cardreaders etc.
Postbank heeft de veilige papieren TAN-lijst afgeschaft voor klanten die nu online bankieren aanvragen:
Van Postbank website:
"In het verleden konden klanten ook een papieren lijst ontvangen met 100 TAN-codes.
Zodra u Mijn Postbank.nl aanvraagt via Postbank.nl maakt u automatisch gebruik van TAN-code via mobiele telefoon."
"Is TAN-code via mobiele telefoon wel veilig?
Ja, het ontvangen van TAN-code via mobiele telefoon is de veiligste manier om je betaalopdrachten via Mijn Postbank.nl goed te keuren."
Dat is dus niet zo, aldus dit Webwereld onderzoek. En zwaar bezopen dat nieuwe klanten worden gedwongen om TAN-codes per SMS te ontvangen. Leuk als je geen zin hebt in een mobieltje, je mobieltje leeg is of wanneer je geen beltegoed meer hebt. Er zijn hele volksstammen die online bankieren prima vinden maar verder geen zin hebben om "met hun tijd mee te gaan". Dwingeland Postbank dwingt mensen zo alsnog een mobieltje aan te schaffen. En juist a-technische klanten worden momenteel gedwongen om op online bankieren over te stappen: papieren Postbank overschrijvingskaarten kosten 5 euro voor 20 stuks. Plus de jaarlijkse kaartbijdrage. Het verwerken van betalingen is daarbij voor Postbank drastisch goedkoper geworden. Waarbij de veiligheid te wensen overlaat.
Totdat je (net zoals ik) een prive rekening en een zakelijke rekening hebt. Die kunnen niet beiden gebruik maken van dezelfde mobiele telefoon, dus zit ik met een rekening toch weer met zo'n afschuwelijke papieren lijst....
Volgens de postbank site
Vraag:
Ik bankier zowel particulier als zakelijk en heb maar één mobiele telefoon. Kan ik mijn mobiele telefoonnummer voor beide Mijn Postbank.nl omgevingen invoeren?
Antwoord:
Ja, vanaf 1 september 2008 is het mogelijk één mobiel telefoonnummer voor meerdere Mijn Postbank.nl abonnementen op te voeren voor de ontvangst van TAN-codes.
Ik zou dus direct actie ondernemen :)
Ik vind persoonlijk die papieren lijst makkelijker en veiliger. Ik zie voor mijzelf geen reden in ieder geval om vanuit een andere plek dan thuis geld over te maken. Ik vind dat veiligheid en privacy voorop staan, en ik vertrouw alleen mijn thuiscomputer als het op veiligheid aankomt. Als ik mijn mobieltje ergens laat liggen of hij wordt gestolen heb je ook de poppen aan het dansen.
TAN-codesysteem Postbank eenvoudig te misleiden
De titel vind ik overigens ietwat misleidend.
"Is TAN-code via mobiele telefoon wel veilig?
Ja, het ontvangen van TAN-code via mobiele telefoon is de veiligste manier om je betaalopdrachten via Mijn Postbank.nl goed te keuren."
Dat is dus niet zo, aldus dit Webwereld onderzoek.
Het probleem zit hem niet in de TAN-sms berichten maar in de TAN-codelijn. Er is op zich niks mis met het TAN-sms systeem. Aan de TAN-code heeft men zelfs niks als men geen username/password combinatie heeft. Je moet dus al info 'gelekt' hebben wil men misbruik kunnen maken van de codes.
Natuurlijk is het fout dat de Postbank deze lijn in gebruik hield, terwijl ze van dit probleem wisten.
"In het verleden konden klanten ook een papieren lijst ontvangen met 100 TAN-codes.
Zodra u Mijn Postbank.nl aanvraagt via Postbank.nl maakt u automatisch gebruik van TAN-code via mobiele telefoon."
Ben ik nou de enige die valt over deze weinig subtiele dwang een mobiel nummer bij de PB bekend te maken?
Klein citaat. :)
Telkens als Herschberg en de zijnen een firma op de hoogte brachten van een beveiligingsprobleem, stuitten zij evenwel op een ijzeren wetmatigheid die dichten van lekke systemen aanzienlijk bemoeilijkt. En die is niet zozeer technisch van aard, als wel psychisch en organisatorisch. Herschberg, veelbetekenend: ,,Eerst krijg je de ontkenning, net als bij iemand die hoort dat hij kanker heeft. Dat overkomt mij niet, klinkt het dan.'' In de volgende fasen komt het bedrijf via bagatellisering en langdurig uitstel, tot een oplossing van het probleem. ,,Het bedrijf huurt hiervoor twee studenten in die dit even als vakantiebaan doen. Het volgende tragische punt is dat de verbetering geen verbetering is. In een muur vol gaatjes is er één gaatje gedicht.''
,,Het ergste is nog dat het de gebruikers eigenlijk niets kan schelen. Het levert hun immers schade op als ze een systeem een tijd niet kunnen gebruiken. En zo sukkelen we voort met lekke systemen.''
Herschberg meent dat de komst van Internet het probleem alleen maar heeft verergerd. ,,Ook zonder trucs is Internet al een open systeem dat is gericht op onderlinge communicatie. Het is dus opzettelijkontworpen om lek te zijn. Internetexperts kunnen met bepaalde technieken schadelijke handelingen verrichten zonder dat ooit te achterhalen is wie de dader is, en waar hij zich bevindt. De informatie ligt op straat.'' Waterdichte beveiliging van het wereldwijde informatienetwerk lijkt Herschberg ondoenlijk. ,,Van een vergiet kun je nu eenmaal geen hogedrukpan maken. En dan doe ik het vergiet nog tekort, want daarvan weet je precies waar de gaatjes zitten. Maar goed, zo staan onze zaken ''
www.delta.tudel...f/j30/n02/18470
Ja, het ontvangen van TAN-code via mobiele telefoon is de veiligste manier om je betaalopdrachten via Mijn Postbank.nl goed te keuren."
Dat is dus niet zo, aldus dit Webwereld onderzoek.
Volgens het artikel is de TANlijn niet veilig, de terug-bel-functie wel... dus de sms ook!
En juist a-technische klanten worden momenteel gedwongen om op online bankieren over te stappen: papieren Postbank overschrijvingskaarten kosten 5 euro voor 20 stuks.
Wij leveren goederen aan veel ouderen die geen computer hebben, die vinden een overschrijving al veel moeite. Die laten het de kinderen doen, of een acceptgiro insturen (die dan vervolgens met internet wordt overgemaakt, waarschijnlijk ook door kinderen)
Aangezien er in Nederland meer mobieltjes dan mensen wonen kan de postbank er waarschijnlijk van uit gaan dat meer dan 90% van zijn klanten een mobiel heeft en weet te gebruiken.
je mobieltje leeg is of wanneer je geen beltegoed meer hebt
Tevens iets wat ik niet zeker weet... de sms ontvangen is gratis?!
Mobieltje leeg... ja dan doe je hem in het stopcontact... er zijn denk ook legio mensen die hun papieren TAN codes weer moeten zoeken, omdat ze niet iedere dag iets overboeken.
gebruikersnaam, wachtwoord én 06-nummer
Als je de gebruikersnaam en het wachtwoord hebt kun je toch het o6-nummer uit de settings van de postbank account lezen ?
Vaak is het ook een kostenoverwegeging. Wat kost het risico van een kraak tegen het nu terug moeten bellen van de klant.
Een creditcard is ook onveilig toch worden ze gebruikt en het risico van misbruik word middels software beperkt.
Iets hooeft niet 100% veilig te zijn om bruikbaar te zijn (zijn auto's ook niet)
Tan via SMS werkt ook niet wanneer de ene keer jij en de andere keer je partner overschrijvingen doet.
Als mijn vrouw geld overmaakt, maar mijn 06 erin staat, krijg ik een sms met een tan en moet ik die weer doorzetten. Of andersom. Als er ergens thuis een tanlijst ligt heb je dit probleem niet en kan je beide, onafhankelijk van elkaar (maar ja, wel alleen maar thuis) overboekingen doen.
Gemak dient de mens en de misbruikende medemens. En oh ja, postgiro,dat is gemakkelijk.
Ben niet zo happy dat men die papieren lijsten af wil schaffen. Voor Nederlanders in het buitenland is dat de sleutel voor lekker internetbankieren. Nu heb ik zelf wel zo'n lijst, maar ik begrijp dat nieuwe klanten die niet meer kunnen krijgen. Dat is raar. Goede klantenservice vereist een zekere flexibiliteit. Op minst zou je op verzoek een lijst moeten kunnen krijgen.
Mijn maatregel, ik ben ondertussen naar een ander bank overgestapt waar ze gebruik maken van elektronische Token.
Leuk, dat is dus de genoemde twee weg authenticatie: misschien goed om dan ook te lezen waar daar de kwetsbaarheden liggen ;)
De Beveiliging is Prima Werkt al jaren goed voldoet aan de eisen van stnadaard beveiliging en Ik als ict er ben al jaren bij deze bank.Hartstikke tevreden en ik denk dat het kift is van anderen omdat ze niet zo'n grote cashflow hebben en zich zo groot voor willen doen. De Postbankg heeft een goed systeem wat gratis aan de klant aanboden wordt, transacties worden direct verwerkt, je hoeft geen dagen te wachten, zijn niet uit de hoogte en rekenen niet iedere cent rekent.De Postbank is mijn bank !!
Willem Herman de Raadt
Ik doe het heel anders: zowel mijn vrouw als ik maken gebruik van Mijn Postbank.nl, dus is het per SMS ontvangen van de TAN-code niet praktisch. Ik krijg een papieren lijst, scan deze in en schrijf hem weg als 256-bits versleuteld PDF-bestand met een solide password. Dit bestand zet ik op mijn (afgeschermde) webspace. Zodoende heb ik te allen tijde, overal ter wereld dit bestand, én dus de TAN-codes, tot mijn beschikking. Ook op mijn mobiel bewaar ik een kopie. De originele papieren lijst gaat door de shredder. Elk systeem heeft zijn zwakheden, maar dit lijkt me aardig veilig.
Ik doe het heel anders: zowel mijn vrouw als ik maken gebruik van Mijn Postbank.nl, dus is het per SMS ontvangen van de TAN-code niet praktisch
Waarom niet ?
Als je elk je eigen account hebt is dat toch geen probleem ?
Het probleem van deze methode is dat het mogelijk is om in 1 keer al je TAN codes op straat te hebben liggen (keylogger en cached files). Ik doen zelf ongeveer het zelfde, maar omzeil keyloggers door gebruik te maken van one time passwords voor ssh logins van niet trusted machines en grep alleen de benodigde TAN code uit de gpg encrypted tekst file.
Een en ander is natuurlijk nooit los te zien van een deugdelijke beveiliging van je PC, in mijn geval met Kaspersky Internet Security 2009.
@Bob Schurkjens: Dat is dus wel zo. Alleen in geval je een code niet hebt ontvangen is het "heropvragen" van je code niet veilig. Verder heb je geen beltegoed nodig om SMSjes te ontvangen. Een lege telefoon is inderdaad onhandig, maar je apparaatje of je blaatje met codes vergeten (alternative systemen) evenmin. Verder kun je ook SMS ontvangen op je vaste lijn. Weet alleen niet zo snel of dergelijke nummers ook geaccepteerd worden in het Postbank systeem.
@DukeMan, je kunt een SMSje ook even doorsturen. Hetzelfde is nodig als jij je cardreader bij je hebt en je partner wil overschrijven. Een andere optie is je overboekingen inplannen, uitloggen en de ander ze door te laten voeren.
Je denkt in problemen, terwijl oplossingen veel handiger zijn ;-)
@Nappy, niets is 100% veilig, al zou je het wel willen en al zou het moeten!....
@Polar Monk, je kunt de en/of rekening in elkaars (dus die van jou én die van haar) mijn.postbank opnemen. Werkt prima :-)
Ook voor jou: Je denkt in problemen, terwijl oplossingen veel handiger zijn ;-)
Niets is veilig, maar in de regel is de mens de meest zwakke schakel. Laat de mens nu ook de reden zijn waarom we beveiliging nodig hebben. :-P
Wij hebben één Mijn Postbank.nl met daarin beide rekeningen, dat vind ik pratischer dan twee. Bij mijn weten is het slechts mogelijk om één mobiel nummer op te geven, waarop de TAN-codes worden ontvangen, terwijl we beiden een mobiel hebben. Tenzij ik iets over het hoofd zie, natuurlijk. In dat geval hoor ik dat graag.
Als je met een live cd opstart kun je de keyloggers omzeilen lijkt mij. Is het dan wel veilig? Zonder gebruikersnaam/wachtwoord kunnen de criminelen niet bij je gebruikersnaam/wachtwoord komen via keyloggers. Pfisching mails is de beveiliging achter het toetsenbord en blijft een gevaar. het is wel omslachtig, maar ik heb wel eens gelezen dat dit ook bij andere banken toegepast wordt en redelijk veilig wordt geacht.
Dit is nu precies de reden dat ik deze dienst toendertijd niet heb geactiveerd. Het is al zolang bekend dat gsm-verkeer zo gemakkelijk is op te pikken. Met bankzaken ben ik extra voorzichtig...
Ik ben van mening dat banken veel beter hun tijd en energie kunnen steken in het zo veilig mogelijk maken van hun product dan nieuwe 'high-tech' snufjes inbouwen. Ik ben Postbank-klant en denk dat zij veel beter kunnen richten op een stabiele omgeving...
Ik neem toch aan dat banken super-specialisten in dienst hebben die gespecialiseerd zijn in beveliging en de nieuwste trends op de voet volgen...? Of ben ik nu naief? Ik ben bang van wel... Dit zijn weer van die zaken waarbij banken veel meer met elkaar zouden moeten samenwerken. Scheelt in de kosten en je bundelt veel meer knowhow bij elkaar...
Banken zullen zich toch wel realiseren dat ze altijd in de schijnwerpers zijn bij 'criminele organistaties' en dito hackers? Of ben ik nu weer naief? Ik ben bang van wel...
Mja, ik hed het dus wel gedaan en er nu geen weg meer terug naar papieren TAN codes zoals ik hier boven lees. Het leek mij dus wel veilig en gemakkelijk omdat je er overal mee kunt werken. Weer een illusie armer dus. Het overstappen is ook niet zo'n aantrekkelijk idee, moet je alles weer veranderen.
Misschien kunnen ze overstappen op het (partner) ING systeem, met behoud van rekening nummer, of is dat ook onveilig?
Lukt het iemand om met een voipbuster account een nummer te spoofen? Mij lukt het niet zowel met een account met een nl netnummer als zonder, dat levert altijd resp. het gekoppelde netnummer en geen callerid op. Dat zou toch een verdomd handige feature zijn :)
Overigens als je echt callerids kan spoofen zijn er nog wel meer doelen die op en bloot liggen, voicemail boxen bv.
Ik krijg werkelijk een staart van dat gezeik van Webwereld op de Postbank. Ongetwijfeld is er hier en daar iets mis, maar dat geldt ook voor andere instanties. Webwereld, minimaal één redacteur, lijkt wel met een persoonlijke vendetta bezig. En dat komt de geloofwaardigheid van Webwereld zeer zeker niet ten goede.
Ik ben meer geintereseerd in de techniek, Zover ik weet is het al lange tijd niet meer mogelijk (ergens sinds 2005/6) om dit soort dingen te doen.
Zeker het voorbeeld van voipbuster is 100% onwaar.
In voipbuster (en alle betamax clonen) kun je alleen een geverifieerd nummer meegeven.
Het hele verhaal lijkt me dan ook ver gezocht.
Als ik er zo over nadenk en met de kennis die ik heb, denk ik dat het Caller-ID spoofing alleen maar mogelijk is bij niet-mobiele nummers dus denk ik dat het potentiële lek niet eens zo groot is. Alleen maar bij mensen die de TAN-sms op hun vast nummer ontvangen.
Bij GSM meldt je mobiele telefoon zich namelijk aan op het dichtsbijzijnde base-station (zendmast) welke vervolgens jouw SIM-code en IMEI-code registreert op de HLR (Home Location Register) of VLR (Visitor Location Register) als je roaming bent. Hier wordt in de database gezocht naar het corresponderende abonneenummer.
Omgekeerd gaat hetzelfde: het nummer wat gebeld wordt, wordt opgezocht in het HLR en gekeken op welk BS de bijbehorende IMEI/SIM code is aangemeld en daar wordt de call naar toegezet. Lijkt mij dus moeilijk om caller-ID en IMEI/SIM codes te spoofen want die weet je over het algemeen niet van je slachtoffer.
Met ISDN en VoIP kan dit dus wel en daar zat het lek.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
