De nieuwe veiligheidsregels van de banken

bank-inloggen.pngEen lezer vroeg me:

De banken hebben nieuwe regels voor internetbankieren opgesteld waar klanten aan moeten voldoen als ze in het geval van fraude hun geld terug willen krijgen. Zo mag er geen illegale software zijn geïnstalleerd, moet de computer up-to-date zijn en moet de rekening regelmatig worden gecontroleerd. Als ik het goed begrijp, dan ben ik aansprakelijk voor fraude als ik die regels overtreed. Mag dat zomaar?

Deze nieuwe veiligheidsregels zijn door de banken opgesteld (in overleg met de Consumentenbond) maar ze kunnen natuurlijk de wet niet wijzigen. Hoofdregel bij fraude met betaalmiddelen is dat de bank het risico draagt (art. 7:529 BW). De bank heeft het beste overzicht op wat er gebeurt, zij kunnen beveiligingsmaatregelen invoeren en zij kunnen typische fraudezaken vaak volautomatisch detecteren. De bank mag de klant een eigen risico geven van €150 bij bij verlies en diefstal (tot het moment van melding) en bij ongeautoriseerd gebruik wanneer de klant de veiligheidsmaatregelen heeft verwaarloosd.

Lid 2 van art. 7:529 BW bepaalt dat bij fraude, opzet en grove nalatigheid van de klant deze zelf het risico moet dragen. Bij fraude en opzet is dat logisch: wie dat soort dingen doet, kan toch niet verwachten dat de gevolgen vergoed gaan worden. Maar bij “grove nalatigheid” is dat toch moeilijker. Wanneer is iemand nalatig? Wanneer is dat grof?

Uit de (schaarse) rechtspraak blijkt dat grove nalatigheid bepaald moet worden aan de hand van alle omstandigheden van het geval. Er zijn geen algemene regels zoals “als je dagelijks controleert of je je pas nog hebt, is het nooit nalatig” of juist “stop je je creditcard in je tas dan is dat altijd nalatig”. Zo achtte het Gerechtshof Arnhem het niet grof nalatig dat een klant na een vermoeden van zakkenrollen wél naging of zij haar portemonnee nog had, maar niet of de pinpas daar nog in zat. Dit maakt het moeilijk om op voorhand te zeggen of in een concrete situatie sprake is van grove nalatigheid.

De bewijslast dat sprake is van grove nalatigheid (of opzet/fraude) ligt bij de bank. En die bewijslast houdt meer in dan zeggen “er is gepind met de pas van klant dùs is sprake van grove nalatigheid.” Er moeten feiten of omstandigheden worden aangedragen door de bank waaruit blijkt dat de klant meer dan normaal slordig was.

Veiligheidsvoorwaarden staan apart in de wet genoemd. Er staat expliciet dat je verplicht bent als klant deze voorwaarden op te volgen (art. 7:524 BW). Doe je dat niet, dan kan de rechter (art. 7:529 lid 3 BW) besluiten dat je een groter eigen risico draagt dan de normaal geldende 150 euro bij frauduleuze transacties. Hij kan ook besluiten dat het eigen risico toch gewoon geldt, of zelfs het eigen risico omlaag doen, afhankelijk van de aard van het misbruikte beveiligingsprobleem. Bij een zeer geavanceerde Trojan helpt zelfs de beste virusscanner niet, dus om dan te zeggen “u had géén enkele virusscanner en daarom bent u volledig zelf aansprakelijk voor het verlies” gaat wat ver. De bankvoorwaarden moeten natuurlijk wel redelijk zijn (art. 6:233 BW).

Wat de banken met deze nieuwe regels proberen te doen, is allereerst de regels gelijktrekken, wat op zich prima is. Maar het lijkt óók een poging om eerder te kunnen zeggen “u overtrad de veiligheidsvoorwaarden dús u bent grof nalatig”. Bij de rechter is dat echter geen automatisme, hoewel je met deze nieuwe regels denk ik wel meer uit te leggen hebt.

Een punt hierbij is in ieder geval wel dat er een link moet zijn tussen de overtreding en de fraude. Zo is er een regel die installeren van illegale software verbiedt. Maar het enkele feit dat ik een gekraakte Photoshop op mijn Windowslaptop heb, betekent niet dat schade door een Android-trojan automatisch voor mijn rekening moet komen. Echter, kwam een Windowstrojan mee met die gekraakte Photoshop, dan ga ik wél voor de bijl. De discussie wordt leuk bij een geplunderd Windows-systeem mét illegale software. Wie moet nu bewijzen dat die illegale software wel of niet een trojan meegeleverd heeft? En trouwens, hoe gaat men überhaupt bewijzen dat er iets illegaals op mijn laptop stond?

Omgekeerd staat er echter ook dat als je je aan alle gestelde regels houdt, je per definitie niet grof nalatig was. Dat is immers wat men bedoelt met “weten [consumenten] dan zeker dat de bank de schade vergoedt.”

Arnoud

74 reacties

  1. Ben benieuwd wat dit gaat betekenen voor mensen die met bijvoorbeeld Windows XP blijven werken en wél een virusscanner hebben geïnstalleerd. Kunnen zij straks, bij diefstal, nalatigheid verweten worden omdat Microsoft heeft aangekondigd te stoppen met het verstrekken van veiligheidsupdates?

    1. Om het scenario nog smeuïger te maken: stel dat de computer niet krachtig genoeg is om meer recente windows-versies op te draaien?

      Zou je dan de hardware moeten upgraden of moeten overstappen op Linux, om volgens de bank niet “grof nalatig” te zijn op het gebied van veiligheidsupdates?

      1. Linux? Linux is een open-source product en als gebruiker draag je je eigen risico voor alles wat binnen Linux mis gaat. De bank zou zelfs kunnen proberen om jou nalatigheid te verwijten als je Linux-PC wordt gehackt simpelweg wegens het gebruik van een OS zonder bedrijf erachter dat de veiligheid ervan dient te garanderen. Of ze verwijten jou het gebruik van illegale software op je Linux-systeem omdat je geen aankoopbonnetjes kunt tonen en niet kunt aantonen dat jouw software van de originele bronnen afkomstig is. Toon maar even aan dat alles op je systeem legaal is.

        1. Eh, mag ik even zeggen: wat een bullshit? Excusez le mot. Zoals gezegd ligt de bewijslast bij de bank, dus ik hoef helemaal geen bonnetjes te tonen. En er is niks illegaals aan Open Source software. Er zijn hele heilige oorlogen te voeren over het onderwerp op Open Source software nou juist veiliger of onveiliger is, dus daar waag ik me niet aan, maar voor grove nalatigheid heb je wel even wat meer nodig.

      2. Als je computer niet krachtig genoeg is om een veilig OS te draaien, dan moet je daar niet mee internetbankieren. Ik zou er zelfs voor zijn om die PC’s te verbieden nog op internet aangesloten te zijn. Een auto moet toch ook een APK keuring ondergaan om de weg op te mogen? Lukt dat niet omdat je auto te brak is, dan moet je er nieuwe onderdelen in doen of er niet meer mee rijden.

        1. Maar voor Internet-bankieren zou je in principe voldoende moeten hebben aan een computer met een webbrowser erop. Veel krachtiger hoeft het niet te zijn. Mijn Chrome OS laptop van 2 jaar oud zou over 5 jaar nog steeds moeten voldoen voor Internet-bankieren. De bank kan mij niet dwingen om steeds weer mijn hardware te moeten vernieuwen omdat de nieuwste OS dit vereist.

          1. De bank kan je nergens toe dwingen. De bank kan het product internetbankieren wel voor je beeindigen wanneer je niet aan de veiligheidseisen wil of kan voldoen. Het zal bijvoorbeeld ook lastig zijn om een verzekeraar te vinden die je inboedel wil verzekeren, wanneer je altijd je voordeur open hebt staan, alleen maar omdat jij dit altijd gewend was.

  2. Bij “illegale software” denk ik elke keer weer aan verboden ont- en versleutelingsalgoritmen, CD/DVD-kopie-software, zelfgebouwde keyloggers en dergelijke. Is daar eigenlijk ergens een zinvolle definitie voor (bijvoorbeeld gebaseerd op CoE 185, Art. 6)?

    1. Ze leggen hun eigen begrip “illegale software” verder niet uit, dus het is discutabel wat er kan worden bedoeld. Persoonlijk zou ik een onderscheid maken tussen sofware gedownload uit illegale bron en illegale software. Maar er zullen vast mensen zijn die software die niet via de officiële wegen worden verspreid ook als illegaal bestempelen. Ik heb het trouwens niet over of het downloaden illegaal is of niet, want software valt natuurlijk niet onder de ’thuiskopie’. Maar het lijkt mij niet dat het downloaden uit illegale bron ook automatisch de software zelf illegaal maakt. Ik denk dat Arnoud daarom het in zijn blogpost het expliciet heeft over een gekraakte versie. Je zou kunnen zeggen dat een keygenerator illegale software is. De vraag is alleen dat als je daarmee jouw kopie activeert, dit te software ook illegaal maakt. Of dat je in feite de keygenerator kan verwijderen en dat er dan niets meer illegaal is.

      Ik denk dat het in de praktijk weinig uit zal maken. Zoals Arnoud ook al zegt: de bank moet het causaal verband aantonen tussen de ‘illegale software’ en de fraude. Afgezien van het feit dat dat al een groot probleem zal gaan vormen, is het daarnaast natuurlijk ook lastig te bewijzen dat jij ten tijde van de fraude illegale software op je PC had staan. Ik denk persoonlijk niet dat de bank moeite daarvoor gaat doen en dat dit meer is gedaan om de klanten wat bewuster te maken (ik geloof trouwens niet dat zoiets daarvoor werkt, maar goed).

      1. Creatief maar een redelijke uitleg van “illegale software” komt neer op “software welke zonder rechtsgeldig verkregen licentie wordt gebruikt, met name uit bronnen die volgens algemene ervaringsregels ook als bronnen van malware beschouwd kunnen worden”. Download eens een Photoshop van Usenet, TPB of vage Russische site. Tien tegen een dat je een paar gezellige stukjes software extra krijgt.

  3. Hmm tsja dan zal ik altijd het haasje zijn volgens de bank…heb mijn android met een custom rom draaien en is geroot. Ik bankier er wel niet niet mee maar toch. Gebruik verder alleen Linux op mijn laptop en daar draait geen virusscanner op, want ik zie het nu daar niet van daar die toch alleen maar windows gebaseerde virussen kent vermoed ik. En zoals al gemeld is een virusscanner hebben draaien ook niet zaligmakend…zeker niet als die AV leverancier met een update wel eens systemen op slot weet te krijgen. Stel dat ik nu helemaal niet internet bankier? Ben ik dan nog de klos vanwege bovenstaande?

    Overigens..als men dan zo gehaaid is op veiligheid….waarom maakt de ABN AMRO dan gebruik van omniture (Adobe) trackers? Die is nu niet echt de 1e waar je aan denk als het om veiligheid gaat. Laat ze daar dan eens mee stoppen. Ik kan dat met ghostery er niet eens uitfilteren, want dan werkt het internetbankieren niet meer.

      1. Ja en nee. Ik draai namelijk Android op een laptop. Okay, het scherm kan losgemaakt worden van het toetsenbord en dan is het een tablet, maar in beginsel is de combinatie een laptop. Android is alleen erg geschikt voor mobiele apparaten, wat de installatie op een desktop-systeem niet zo handig maakt, maar ook dat kan prima. Maar dan heb je vaak het probleem dat de desktop bepaalde sensoren en andere hardware mist die in mobiele apparaten ingebakken zit. Android is eigenlijk niet veel meer dan de Linux kernel met daarbovenop een grafische schil die door Google is ontworpen. Dus als je Android op je desktop wilt hebben, volg dan deze instructies.

  4. Wat ik me afvraag is of die hele clausule over de software op je computer echt serieus gecontroleerd gaat worden, of dat het gewoon als een soort catch-all bedoeld is. Met dat laatste bedoel ik dat als de klant overduidelijk een zooitje heeft gemaakt van zijn computer, ze nu alleen maar naar de voorwaarden hoeven te verwijzen om de aansprakelijkheid voor de schade bij hem te leggen. Gewoon zichzelf indekken voor de rechter zeg maar. Want dan is dit alles eigenlijk meer een storm in een glas water. Als je als klant daarentegen straks bewijs moet overleggen dat al je software legaal was en je een up-to-date virusscanner draaide, dan gaat mij dat als klant echt te ver.

  5. Ik ben eens met wat bekenden door deze regels heen gelopen, en in de praktijk bleken de meesten wel ergens de regels te overtreden.

    Ik zie wel vooruitgang in het feit dat ze de regel “je mag geen draadloos netwerk gebruiken voor internetbankieren” hebben geschrapt; daar staat tegenover dat ze wel wat strenger zouden mogen zijn met regels voor het bewaken van de integriteit van de HTTPS-verbinding. Ik neem op dat punt veel meer maatregelen dan door deze regels worden voorgeschreven.

    1. Ik zie wel vooruitgang in het feit dat ze de regel “je mag geen draadloos netwerk gebruiken voor internetbankieren” hebben geschrapt

      Hoe viel zo’n regel ueberhaupt te verenigen met het aanbieden van een Internet Bankieren app voor mobiele apparaten die per definitie via een draadloos netwerk verbonden zijn?

      1. Volgens mij hadden ze zo’n regel in een tijd dat er al wel internetbankieren, maar nog geen mobiele apps waren.

        Nu ik er over nadenk: misschien was de regel ook wel dat je wifi goed beveiligd moest zijn, en niet per sé dat je geen wifi mocht gebruiken. Volgens mij staat er nu helemaal niets meer over wifi in de regels.

        In ieder geval is zo’n regel niet echt geschikt: zelfs als je wifi goed is beveiligd gaat je verkeer vervolgens over het publieke internet. Je moet je beveiliging dus niet op datalink-niveau oplossen, maar endpoint-to-endpoint. In het geval van internetbankieren wordt dat met het HTTPS-protocol gedaan. DAT deel van de beveiliging is dus echt belangrijk.

  6. Dan ben ik erg benieuwd hoe een bank dit denkt te checken als ze services gaan invoeren zoals pinnen met je mobiel en geld overmaken zonder card reader (rabobank). Daarnaast is er nog een ander issue, dat een trojan zich vaak hecht aan excutables. En hoe toon je aan dat de trojan niet aan de illegale photshop zat maar dat die via een vage website naar binnen kwam via een zero day exploit. Dan hebben we nog rootkits die veel ingewikkelder zijn en onherleidbaar naar hun herkomst. Een verkeerde usb stick van een collega/buurman kan al genoeg zijn.

  7. Ik ben vooral benieuwd naar de procedure wanneer er geld wordt overgemaakt met een mobiel device en er sprake is van fraude. Op Windows RT na, heeft geen enkel platform een virus / malware scanner. Alleen Android heeft zogenaamde apps die virussen moeten tegenhouden, maar die werken voor geen meter.

    Laten we voor het gemak uitgaan bij illegale software van: Software die normaal aangeschaft moet worden, maar die op jou pc staat zonder dat iemand daar voor betaald heeft. Hoe gaat een bank dat controleren? Moet je al je pc’s en laptops afleveren bij de bank?

  8. Medewerker Bank:

    Sorry meneer Janssen, maar ik zie dat u een illegale versie heeft van het programma WINRAR. Heeft u dan niet bij elke actie van dit programma de melding gezien dat u na 40 dagen een licentie moet nemen of de software van uw PC moet verwijderen?

  9. Ik kan eerlijk gezegt zo boos worden om deze regels. De banken hebben keer op keer bewezen dat zij zelf hun beveiliging niet goed op orde hebben, terwijl zij het geld en de mogelijkheden hebben om de juiste kennis daar voor binnen te halen. Tegelijkertijd maken ze bewust hun diensten minder veilig dmv bijvoorbeeld mobiele apps waar je geen pas en pincode of andere aan je bankrekening/pas gerelateerde beveiliging, zodat het lekker makkelijk in gebruik is voor de klant. En tegelijkertijd willen ze de verantwoordelijkheid bij misbruik feitelijk geheel bij de klant leggen (ondanks dat dit niet mag volgens de wet), door allerlei irrelevante voorwaarden te stellen waardoor je bijna gedwongen wordt om bij misbruik naar de rechter te stappen.

    1. Sorry, maar mijn bankrekening is nog nooit van binnen uit (door een aanval op de banksystemen zelf) geplunderd (ook niet door mijn eigen toedoen, dat terzijde). Maar ik vind het nogal een statement dat de bank zijn veiligheid niet op orde heeft terwijl alle schade gevallen die ik als ICT’er heb meegemaakt veroorzaakt zijn door Phishing websites, keyloggers en andere malware die de gebruikers zelf hebben aangeklikt en/of uitgevoerd. Veel mensen zijn gewoon te laks met hun (financiele) gegevens, zie bijv. laatst het Kassa artikel over Windows XP, hoe duidelijk mensen ook werden gemaakt dat het nu niet veilig meer is, en vanaf april eigenlijk helemaal niet meer bruikbaar voor een consument qua veiligheid, iets van 40% dacht er niet aan om over te stappen om dat het geld kos, tja als mensen dat soort basale verwantwoordelijkheid niet meer willen nemen dan snap ik volledig dat een bank tot zulke regels moet overgaan.

      Ik zou echter liever zelf een soort van NAP (of een variant erop) constructie zien waarbij de bank kan afdwingen dat een systeem aan bepaalde voorwaarden voldoet voordat connectie gemaakt kan worden. Ik weet helaas niet of dit al met websites kan, maar bijv. binnen bedrijfsnetwerken kan je de beveiliging zo inrichten dat er alleen verbonden kan worden worden wanneer aan voorwaarde x,y,z voldaan is.

      Voorbeeld van voorwaarden:

      NAP kan de gezondheid van een computersysteem testen aan de hand van de volgende gegevens: 1.Is het besturingssysteem voorzien van de laatste updates? 2.Is er een firewall actief? 3.Is er antivirus-software actief? 4.Is de antivirus-software voorzien van de laatste updates? 5.Is er antispyware-software actief? 6.Is de antispyware-software voorzien van de laatste updates? 7.Eventuele toevoegingen van een derde partij

      1. Dat klinkt sympathiek maar in de praktijk zal dat bijzonder lastig zijn. Waarschijnlijk gaan we dan naar een systeem toe waarbij weer alleen Windows en Mac toegestaan zijn. Alle 8nix varianten zullen bij voorbaat al uitgesloten worden omdat het erg gewoon te veel (releases) zijn om dat in een lijst bij te houden of het goed is.

        Wat ga je doen met browser plugins? Ook een lijst van toegestane plugins? Of mogen ze allemaal? Ik denk dat een methode van alles mag, tenzij beter werkt.

      2. Ik weet dat diverse banken voor Android en iPad al speciale apps hebben ontwikkeld om via Internet te bankieren. Omdat deze software van de bank komt ligt hier, naar mijn mening, de complete zorg qua beveiliging bij de bank en niet bij de gebruiker. Enige irritante hierbij is dat als een boef mijn iPad, wachtwoord voor de iPad en 5-cijferige pincode voor deze app weet, hij hiermee al mijn geld kan jatten van mijn rekening. Dat vind ik dan weer wat minder. (Temeer omdat veel mensen hun tablet gebruiken zonder steeds te moeten inloggen.) Wat ik echter belangrijk vind is dat er meer van dit soort apps komen, maar dan voor Linux, Windows en MacOS. Met behulp van C++ en een verzameling standaard-libraries zou dit goed te doen zijn maar heeft natuurlijk als nadeel dat deze apps niet automatisch worden bijgewerkt, tenzij de apps daar zelf een controle voor bevatten en/of via een app-store bijgewerkt kunnen worden. De ING heeft al een app voor Windows 8 die via de Microsoft appstore geinstalleerd wordt, en dus ook (bijna) automatisch wordt bijgewerkt. Je kunt je dan ook afvragen waarom banken dan nog browser-based oplossingen gebruiken, aangezien die niet al te veilig zijn. (Ten minste, het vereist dat de gebruiker de beveiliging beheert.) Een speciale app kan extra controles uitvoeren, instellingen controleren en dienst weigeren als er iets verdachts aan de hand lijkt te zijn op het systeem van de klant. Het grootste nadeel van browser-toepassingen is dat er zoveel variatie bestaat in de browsers, er veel plug-ins kunnen zijn die de browser onveilig maken en lang niet iedereen updates installeert of een virusscanner gebruikt, waardoor de browser-omgeving eigenlijk te onveilig is voor dit soort zaken. Ik zou er geen traan om laten als banken deze browser-based oplossingen laten vallen en in plaats daarvan speciale apps uitbrengen die bepaalde minimum-vereisten stellen en de klant daarmee min of meer dwingen om veiliger te werk te gaan. Maar ja, dan krijg je troep waarbij je met alleen een 5-cijferige pincode (ING en ABN-AMRO!) onbeperkt geld mee kunt overmaken. Dat is veel te zwak!

        1. Mensen die hun eigen systeem niet correct beheren (installeren van een veilig en recent OS, updates bijwerken, browsers bijwerken, AV/Antimalware installeren en bijhouden een regelmatig scannen) daar kan ik geen medelijden mee hebben, ik zou dan ook graag zien dat deze mensen zelf de rekening gepresenteerd krijgen, dan het collectief (dat zijn zaakjes hopelijk wel op orde heeft) er voor op moet draaien, want linksom of rechtsom zal de rekening uiteindelijk bij de consument komen te liggen, en dit is dan typisch zo’n geval waar voor mij de goeden niet onder de “kwaden” zouden moeten lijden.

          Met betrekking tot Apps ben ik het zeker met je eens, de huidige generatie lijkt mij niet veilig genoeg (alleen pincode, daarom gebruik ik de apps ook nog niet), maar wanneer ze hier ook minimaal 2 factor authenticatie op gaan toepassen kan zit zeker veiliger zijn dan een website. Zo zouden er ook extra beveiligingen ingebouwd kunnen worden, o.a. zakelijke E-mail accounts kunnen vanaf de serverkant al eisen bij het gebruik van zo’n account dat de aan de client kant (tablet of telefoon) bijv. het lockscreen ingeschakeld moet zijn (met een pincode of een swipe beveiliging). Zoiets zou bij een bank App denk ik ook makkelijk geimplementeerd kunnen worden. Dit soort eisen gecombineerd met een 2 factor authenticatie binnen de App zelf kunnen mobiel bankieren een stuk veiliger maken.

          1. Mensen die hun eigen systeem niet correct beheren [edit] daar kan ik geen medelijden mee hebben
            Probleem is dat veel mensen gewoon niet de kennis hebben om hun computer goed te beheren, maar door de huidige maatschappij wel gedwongen worden om alles en nog wat via de computer te regelen. Niet iedereen is een ervaren ICTer. De meeste mensen hebben totaal geen verstand van computers en hebben dat voor hun dagelijkse bezigheden niet eens nodig. Maar b.v. rekeningen declareren bij je verzekering of je bankrekening beheren bij de bank is iets wat steeds vaker alleen nog maar digitaal kan. Veel bank-kantoren zijn gesloten waardoor mensen steeds minder makkelijk bij de bank hun geldzaken kunnen regelen. En verzekeringen maken het steeds lastiger om je declaraties gewoon per post te versturen. Zelfs de overheid maakt steeds meer gebruik van digitale loketten en hebben steeds minder klanten die fysiek bij hen langs moeten. Dit betekent dus dat vrijwel iedereen gewoon gedwongen wordt om een computer of tablet te gebruiken, inclusief die mensen die er geen bal verstand van hebben. En dat is gewoon het grootste probleem. Teveel “domme mensen” op het Internet, die dus veel te eenvoudige doelwitten vormen voor hackers. De kwaden zijn feitelijk de ICT-experts zoals jij en ik, die de rest dwingen om ook meet met ICT bezig te gaan, ook al snappen ze er totaal niets van. Veel mensen die misschien niet eens in staat zijn geweest om hun MAVO-diploma te behalen en nooit hebben geleerd om computers te gebruiken moeten nu opeens ‘iets’ doen met computers. Veel mensen van oudere generaties zoals mijn ouders, ooms en tantes, zitten ook in problemen omdat ze het gewoon niet snappen. Maar ze hebben geen keuze, want de alternatieven verdwijnen behoorlijk snel.

            Dus ik ben van mening dat wij, de ‘experts’ gewoon rekening moeten houden met deze domme gebruikers en hen moeten begeleiden in het beter beveiligen van hun systemen. En dat gaat beter met speciale apps dan met standaard browser-toepassingen.

            Daarnaast vind ik het te zot voor woorden dat mensen die normaal gesproken geeneens computers nodig hebben voor hun dagelijkse werk gewoon gedwongen worden om steeds maar weer geld uit te moeten geven voor nieuwe hardware en upgrades van hun besturings-systemen, simpelweg omdat wij ICT’ers dit vereisen. Zo gebruikt mijn moeder van 71 gelukkig Windows 7 op haar laptop maar ik durf het niet aan om haar een upgrade naar Windows 8 te geven, simpelweg omdat er zoveel is veranderd in Windows. Ze snapt nu al 75% niet meer en weet niet eens het verschil tussen de webbrowser en email. Maar Windows 8 zou haar nog verder verwarren. (Dat weet ik zeker, omdat ik Windows 8 op mijn laptop gebruik en zij dat al helemaal niet meer snapt.) En haar broers en zusters hebben vergelijkbare problemen, met nog oudere systemen. En ja, daar zitten enkele Windows XP gebruikers tussen met een computer waar Windows 8 niet eens op wil draaien! (Want maar 256 GB RAM zonder uitbreidingsmogelijkheden.) Maar een nieuwe computer aanschaffen is voor hen met hun kleine pensioentjes ook niet op te brengen. En ik kan ze niet allemaal een computer cadeau doen…

            Kortom, ik vind dat je zeker rekening moet houden met al deze mensen die feitelijk tegen hun wil gedwongen worden tot het gebruik van computers…

            1. 256GB RAM is in de enterprise UNIX wereld inderdaad een lachertje, maar voor een gemiddelde computer thuis toch alleszins bruikbaar (maar dat is mijn persoonlijke mening). Overigens denk ik dat het grootste gevaar zit in mensen die van zichzelf vinden dat ze het wel begrijpen en kunnen, maar eigenlijk geen idee hebben van hoe alles precies werkt. Mijn ouders geven gewoon toe dat ze zich ongemakkelijk voelen met Internetbankieren en doen dat dus ook niet en inderdaad dat wordt steeds moeilijker om vol te houden, maar dat heb ik nog altijd liever dan dat ze overal maar op gaan zitten klikken totdat het wel werkt (of ongewenste “nieuwe functionaliteit” geactiveerd is). De digitale wereld ontwikkelt gewoon te snel, teveel onverwachte mogelijkheden en geeft kwaadwillenden legio mogelijkheden om andere mensen een loer te draaien.

              1. Ik bedoelde 256 MB, niet GB. 🙂 En in mijn eigen familie, waar er toch veel eigenlijk weinig computerkennis hebben, merk ik dat ze allemaal wel een risicogroep vormen. Het grootste risico voor hen zijn twee dingen: email en websites. Omdat ze hun emailadres soms te makkelijk delen met anderen komt het voor dat ze spam ontvangen met daarin “foute” links. Maar goed, zolang ze online weinig doen is de kans klein dat hun adres naar spammers uitlekt. Toch blijkt dat diverse sites gewoon lek zijn en deze adresgegevens van de betreffende sites worden gestolen. Of erger, websites die deze adressen met anderen delen. Zelf maak ik voor iedere site een aparte alias aan zodat ik vanzelf merk als een bepaalde website mijn emailadres heeft gelekt, maar veel leken weten niet hoe ze dat het beste kunnen doen. Een ander probleem zijn zaken zoals Facebook en andere sociale media, die voor leken zeer interessant zijn want ze zijn eenvoudig in gebruik en brengen je in contact met familie en vrienden. Ik krijg geregeld uitnodigingen van mijn facebook familie om spel X of Y online te spelen, waarna ik meteen weer een app aan mijn block-lijst toevoeg. Maar veel leken weten niet hoe dat moet, of beseffen niet dat ze met het spel meteen hun privacy weggeven aan de makers van die app. Ten slotte weten vele leken wel hoe ze Google kunnen gebruiken om te zoeken en gebruiken ze mogelijk ook alternatieven zoals Startpagina. Maar ook nu.nl is bij veel leken goed bekend. Maar al deze sites kunnen gebruikers doorverwijzen naar sites met malware. Zeker als ze daarbij bewust op zoek gaan naar b.v. de nieuwste single van J. Bieber (EWWWW!) of iets anders om (illegaal?) te downloaden. Bij mijn zus zag ik diverse spelletjes die door haar zoon waren geinstalleerd vanaf illegaal gekopieerde DVD’s, inclusief crack-tools vol malware. En dat is ook een risico en veel ouders vergeten dat ze hun kinderen niet als administrators op hun PC toegang moeten geven. Daar zijn veel risico’s aan verbonden en toch gebeurt ook dat regelmatig. Mijn moeder had laatst moeite met het declareren van een factuur bij haar zorgverzekeraar. Wilde ze over het Internet gaan doen. De verzekeraar bood haar echter twee inlog-opties aan: DigiD en hun eigen login. Mijn moeder vulde dus vervolgens haar DigiD gegevens in bij de normale login-optie en werd flink gefrustreerd doordat ze er maar niet in kwam… Tja, begrijpelijke fout. Maar zo ging wel haar DigiD informatie over de lijn. Daarna moest ze uitzoeken hoe ze de rekening kon inscannen, uploaden en aanvullende gegevens toevoegen. Bij elkaar is ze ruim een uur bezig geweest, met mijn hulp. (Ik wilde haar zoveel mogelijk zelf laten doen, anders mag ik het in de toekomst blijven doen.) En als je zo naast een wat oudere vrouw zit en alles moet uitleggen dan besef je vanzelf hoe lastig het Internet voor sommige mensen kan zijn. Zeker indien de interface van een website niet al te duidelijk is. Gelukkig is mijn moeder zeer voorzichtig met wat ze op Internet doet en heb ik ervoor gezorgd dat haar systeem goed beveiligd is. En als het nodig is kan ze mij altijd snel roepen en dan help ik haar verder. Da’s best handig als je moeder bij je inwoont, omdat ze anders maar zo alleen op zichzelf zou zijn. 🙂

        2. Enige irritante hierbij is dat als een boef mijn iPad, wachtwoord voor de iPad en 5-cijferige pincode voor deze app weet, hij hiermee al mijn geld kan jatten van mijn rekening.

          Dus de boef moet eerst je wachtwoord voor je iPad zien te krijgen, dan de 5-cijferige code voor de bank app en dan je iPad jatten. Daarna kan hij alleen nog maar geld overmaken naar rekeningen waar al eerder geld naar is overgemaakt en met een (zelf!) ingesteld maximum (bij mij EUR 100).

          Ik denk dat het verkrijgen van een pincode+bankpas makkelijker is.

          Al met al klinkt het mij redelijk veilig, zeker gezien de mogelijke schade.

          1. Tja, de grap is dat ik voor mijn iPad een pincode heb ingesteld, naast het wachtwoord. Deze 4-cijferige pincode is genoeg om in te loggen, mits de iPad in slaapstand stond. Daarmee is mijn iPad al iets kwetsbaarder, maar er zijn genoeg mensen die zelfs dat niet instellen, zodat de iPad automatisch is ingelogd als je hem uit de slaapstand haalt. Idem met mobiele telefoons, waarbij veel gebruikers vergeten om minimaal een pincode in te stellen. Daarnaast hebben we het over leken en leken zullen niet weten dat het mogelijk is om een limiet in te stellen. Of hoe ze de beveiliging moeten opschroeven. Bij mijn ABN-AMRO rekening heb ik overigens niets gemerkt van een beperking bij het overmaken van geld. Integendeel, ik heb een half jaar geleden een nieuwe laptop gekocht, maar had als probleem dat ik alleen een spaarrekening bij de AMRO had. (Al sinds de vorige eeuw.) Dus online een betaalrekening aangevraagd op mijn naam en geld overgemaakt van mijn eigen spaarrekening naar mijn eigen bankrekening. Vervolgens dit geld overgemaakt naar mijn ING rekening en vandaar via iDeal naar Dell, waar ik uiteindelijk mee heb betaald. Daar deze laptop ruim 4.000 euro waard was verbaast het mij nog steeds hoe gemakkelijk dat ging. En dat in enkele dagen tijd. Zonder een bezoekje aan de bank te hoeven brengen. Dus qua beveiliging heb ik niet al te veel vertrouwen in de ABN-AMRO, maar ik ben daarentegen wel redelijk voorzichtig. Ik had voor dit alles natuurlijk wel mijn spaarpas nodig met e-dentifier maar nadat ik de betaalrekening had aangemaakt kon ik al meteen inloggen via mijn spaarpas en geld overmaken, nog voor ik de betaalpas had ontvangen! En nee, zonder limiet, dus…

            1. Tja, de grap is dat ik voor mijn iPad een pincode heb ingesteld, naast het wachtwoord. Deze 4-cijferige pincode is genoeg om in te loggen, mits de iPad in slaapstand stond.

              De ABN AMRO app voor iOS heeft een eigen (5-cijferige) PIN-code. Na gebruik van de app kun je uitloggen waarna een eventuele onverlaat zonder code niets kan beginnen.

              Dus online een betaalrekening aangevraagd op mijn naam en geld overgemaakt van mijn eigen spaarrekening naar mijn eigen bankrekening. Vervolgens dit geld overgemaakt naar mijn ING rekening en vandaar via iDeal naar Dell, waar ik uiteindelijk mee heb betaald.

              Kennelijk had je al eerder een bedrag overgemaakt naar je betaal- en ING-rekeningen en kon je daarom zonder edentifier ook deze bedragen via de app overboeken. De rekening van genoemde onverlaat zal niet aan dit criterium voldoen, en hier kan dus zonder edentifier (oftewel je pas en PIN) geen geld naar worden overgeboekt.

              Ergo: ik zie het beveiligingsrisico niet.

              1. De ABN AMRO app voor iOS heeft een eigen (5-cijferige) PIN-code. Na gebruik van de app kun je uitloggen waarna een eventuele onverlaat zonder code niets kan beginnen.
                De ING ook. Hoeveel gebruikers zullen overigens voor beide apps dezelfde pincode gebruiken? De iPad zelf heeft een 4-cijferige pincode, net als mobiele telefoons dat hebben. Die is normaal ook nodig om de simkaart mee te benaderen, maar mijn iPad heeft alleen Wifi en desondanks is de pincode voldoende. (Mits hij in slaapstand staat.) Sowieso sluit ik na gebruik altijd de apps af op mijn tablets. Een extra stap die veel mensen overigens vergeten. Als je dan eenmaal toegang hebt tot het fysieke apparaat kun je zo dus heel wat prive-zaken doorsnuffelen. Ook belangrijk: tablets hebben meestal een touchscreen en het is maar de vraag of de vingerafdrukken op het scherm het makkelijker maken voor dieven om de pincode te gokken. Omdat gebruikers ook een “swipe” wachtwoord kunnen hebben zouden strepen op het scherm dus de swipe bewegingen kunnen tonen.
                Kennelijk had je al eerder een bedrag overgemaakt naar je betaal- en ING-rekeningen en kon je daarom zonder edentifier ook deze bedragen via de app overboeken.
                Aangezien de betaalrekening net was aangemaakt is dat niet het geval geweest. Maar goed, voor het aanmaken daarvan had ik dus wel een pasje en e-dentifier nodig. Ik vond het zelf best wel makkelijk aangezien het best snel ging, zonder zelfs maar even hoeven te bellen. Ik zit nog wel even te denken of ik de eerste betaling naar de ING misschien alsnog via diezelfde e-dentifier had gedaan, maar erg waarschijnlijk is het niet. De app vind ik namelijk handiger, ondanks het extra risico…
                Ergo: ik zie het beveiligingsrisico niet.
                Eigenlijk is het enige risico de snelheid waarmee ik een nieuwe rekening kon openen met eigenlijk alleen de bankpas, pincode en e-dentifier. Een manier waarop je dus iemand met een spaarrekening vrij snel mee zou kunnen beroven. De pincode voor de app zou eigenlijk alleen maar een extra gegeven zijn, die ik hierbij niet nodig gehad zou hebben. Het risico ontstaat doordat het geld via katvangers verdeeld kan worden over meerdere rekeningen, waarbij men vanaf al die rekeningen het geld contant opneemt vlak nadat het is overgemaakt. De vraag is alleen hoe lang het duurt voordat de diefstal van een spaarpas ontdekt wordt en of de dief er ook meteen de pincode bij weet te jatten.

                1. leken zullen niet weten dat het mogelijk is om een limiet in te stellen….. … en of de dief er ook meteen de pincode bij weet te jatten….

                  De limiet staat er standaard in, je kan het alleen zelf verhogen of verlagen. Wat het standaard limiet is weet ik eigenlijk niet.

                  Als een dief een bankpas en pincode pikt, kan je toch moeilijk zeggen dat de bank apps dan onveilig zijn. 100% veilig bestaat nu eenmaal niet maar in de huidige opzet zijn er gecalculeerde risico’s.

                  1. Wat het standaard limiet is weet ik eigenlijk niet.
                    Even opgezocht bij ABN-AMRO. De daglimiet voor de eigen identificatiecode (5-cijferige pin) is 750 euro, tenzij je naar je eigen bankrekeningen bij de AMRO overmaakt want dan is het een kwart miljoen euro. Da’s net iets meer dan ik op mijn spaarrekening heb staan dus die is dan 100% plunderbaar. Maar ik kijk even naar mijn bij- en afschrijvingen. In Augustus heb ik een betaalrekening aangevraagd, gekregen en vrijwel direct gebruikt om 4000 euro van mijn spaarrekening over te sturen naar de betaalrekening, en van daar weer door naar mijn ING rekening. Alles op dezelfde datum, nog voor enige andere betaling met die rekening. Ofwel, die limiet is minimaal 4000 euro, met e-dentifier. Of via pincode, want die heeft dezelfde limiet… Waar het mij eigenlijk om gaat is dat ik eerst alleen maar een spaarrekening had. En bij de AMRO kun je niet vanaf je spaarrekening geld overmaken naar een rekening bij een andere bank. Het ontbreken van die betaalrekening bood mij extra veiligheid omdat ik dan wel eerst bij de bank langs moest om het geld over te maken naar mijn ING rekening. Alleen, ik besloot voordat ik de bank wilde bezoeken om te kijken of ik gewoon online een betaalrekening kon aanmaken. Dat lukte zonder enige problemen en alleen via het Internet. Vervolgens kon ik dus een groot bedrag van mijn spaarrekening via de betaalrekening overmaken naar een totaal andere rekening. En dat is toch best schokkend, maar ik vond het wel handig. En dat met alleen een spaarpas en pincode… Normaal zou een dief toch echt eerst bij een bank langs moeten gaan, maar deze methode maakt het ook voor dieven redelijk eenvoudig. Maar ja, hoe ze aan mijn pincode voor mijn spaarpas komen? Weinig kans. Aan de andere kant, een spaarpas wordt nauwelijks gebruikt en er zullen vast mensen zijn die deze in een kistje met andere papieren bewaren, zoals b.v.een papiertje met de bijbehorende pincode. Jat het kistje en de dief is al een heel eind. En ik maar denken dat mijn spaargeld veilig is omdat het zonder betaalrekening niet te benaderen is. Plus natuurlijk het probleem dat ik met mijn spaarpas tegenwoordig ook meteen inlog op mijn betaalrekening. Op zich wel handig, maar wel een extra risico. Nogmaals, een spaarpas wordt weinig gebruikt en als deze onopgemerkt gejat wordt dan is een rekening snel te plunderen.

                    Maar goed, dit zijn risico’s voor als een dief een spaarpas plus code weet te bemachtigen. De risico’s van alleen de app zijn wel iets kleiner. Je kunt de app ook niet zomaar op een andere ipad installeren en de gegevens overnemen op het nieuwe apparaat zonder e-dentifier. De app is daardoor veiliger dan de browser-oplossing.

                    Het is vooral een probleem dat gemak en beveiliging elkaar behoorlijk in de weg zitten. Maak het makkelijker voor een klant en het wordt ook makkelijker voor een dief. Dat zie je bij alle beveiligings-methodes. Een deur met 20 sloten is zo veilig als het aantal sloten dat daadwerkelijk op slot zitten. Als er maar 1 op slot is, is het weinig werk om binnen te komen…

                      1. Tja, dan had ik het ook niet op mijn blog moeten vertellen. Of op facebook. Niet dat het een groot geheim is, overigens. Ja, het zal vast wel potentiele criminelen op ideeen brengen maar je kunt niet in angst hiervoor blijven leven. Het is sowieso bekend dat ik een ICT’er ben en dan best wel wat interessante hardware thuis kan hebben liggen. Mobiele telefoons, tablets en andere, kleine apparaten zijn handig door te verhandelen maar een laptop uit deze prijsklasse? Ja, waardevol maar je mag blij zijn als je hem voor 500 euro kunt verkopen indien je hem net hebt gejat. Tablets en iPads laten zich veel makkelijker verhandelen. Het is sowieso risico-voller als je online gaat aankondigen dat je op vakantie gaat dan dat je aankondigt dat je iets nieuws hebt gekocht. Sowieso zit ik voorlopig even aan huis gebonden dankzij rugklachten dus vakantie zit er niet in. Ze zullen dus die beroving moeten uitvoeren met mij (en een wandelstok) thuis. Voor het dievengilde toch een onnodig risico nu er rond de kerstdagen toch meer dan genoeg gezinnen wel even bij elkaar op visite gaan of buiten vuurwerk gaan afsteken en dus hun woning onbeheerd achterlaten. Er zijn genoeg makkelijkere doelwitten die zaken hebben die eenvoudiger door te verkopen/helen zijn.

    1. Dat klinkt echt heel slecht. Een pincode heeft vier cijfers; er zijn dus 10000 mogelijke codes. Zelfs als je het uitproberen van al die codes NIET automatiseert, dan is het nog haalbaar om gewoon alle combinaties uit te proberen: als elke poging 10 seconde duurt, dan ben je na maximaal 28 man-uur klaar (gemiddeld is de helft genoeg, dus 14 man-uur). Het is een rotklus (tenzij je het automatiseert natuurlijk), maar als je veel geld verwacht aan te treffen op een rekening, dan kan het al snel lonend worden.

      Is het echt zo dat ze geen extra beveiliging hebben, zoals wachtwoorden of TAN-codes?

    2. de Postbank (nu ING) doet dat beter, met gebruikersnaam, wachtwoord en TAN-codes via SMS.

      Toevallig een stukje vandaag op Tweakers : ‘Banktransacties verifiëren via sms is zeer onveilig’

      Overigens is de reactie van de ING tekenend hoe banken zelf met de beveiliging omgaan

      ING-woordvoerder Ronald van Buuren laat weten dat de bank ‘kennis heeft genomen van het rapport’, maar geen aanleiding ziet om te stoppen met het versturen van tancodes per sms. “We nemen maatregelen tegen dit soort aanvallen”, zegt Van Buuren, die niet uit de boeken wil doen wat de bank precies doet, om aanvallers niet te veel aanwijzingen te geven. “We monitoren en detecteren of er verdachte transacties plaatsvinden of klanten zijn geïnfecteerd met malware”, aldus de ING-woordvoerder. Hij benadrukt bovendien dat bankfraude ook bij andere banken voorkomt.
      Je wordt als gebruiker verplicht om onveilige methodes te gebruiken (niet telebankieren is nauwelijks een optie meer nu de meeste banken weigeren om bijvoorbeeld kashandelingen te doen) en de bank komt niet verder dan detecteren of er bij de klant malware zou kunnen zitten. Want die ‘maatregelen tegen dit soort aanvallen’ die de bank zou nemen neem ik met een grote korrel zout.

      1. Ik vind “zeer onveilig” echt overdreven. Om dit te misbruiken moet één en dezelfde hacker op zowel je android als op je computer inbreken. Alleen als je je android-toestel zowel gebruikt voor de TAN-code als voor de internetbankier-interface hoeft er maar één apparaat gehackt te worden; dat kun je dan ook maar beter niet doen.

        Als je gewoon redelijk goed de beveiliging van je apparaten bijhoudt, dan is de kans al vrij klein dat je überhaupt gehackt wordt (afgezien van de NSA). De kans dat twee van je apparaten door de zelfde hacker gehackt worden lijkt me vrijwel uitgesloten.

      2. De vraag is alleen of dat veiligheids-probleem veroorzaakt wordt door de ING of door Android. Immers, Android is sowieso een gebruikers-risico omdat kwaadwillende apps nog net iets te makkelijk in de Google App Store terecht kunnen komen. Zelf zie ik het probleem niet zo, want ik heb een Windows Phone. 🙂 Maar goed, als je oplet met wat je installeert en goed oplet dan valt het in het algemeen wel mee. Android is maar een deel van het aantal mobiele systemen die mensen kunnen gebruiken voor internet-bankieren. Er zijn ook nog de systemen van Apple en Blackberry plus de vele “antieke” (senioren) mobieltjes die eigenlijk alleen maar kunnen bellen en SMS’jes ontvangen. Daarnaast gaat het om malware op Android die moet samenwerken met software op je PC. Beiden moeten dus geinfecteerd zijn. Dat is niet zo eenvoudig als het klint en ik denk dat de infectie dan vanuit de PC moet gebeuren zodra de telefoon ermee gekoppeld wordt. Maar het fysiek koppelen van Android aan je PC is eigenlijk niet nodig. Alles kan gewoon via het Internet. Overigens is het een onderzoek door NSS Labs, die bekend staat om hun vele gekleurde rapporten die Microsoft lijken te steunen. En Microsoft is maar al te graag Android aan het bashen, mede omdat Google een grotere bedreiging is dan Apple.

      3. ==

        ABN Amro en Rabobank gebruiken geen tan-codes per sms, maar een random reader, die de codes genereert die bij het overboeken moeten worden ingevuld.

        Ja, challenge en respons. Op zich goed, maar als de aanvaller pas EN pincode heeft en het algoritme werkt op pasdata, dan is de beveiliging ervan dus weg.

  10. Wat ik vooral interessant vind zijn de apps die banken zelf produceren voor de iPad en Android. (En soms voor Windows 8.) Zo heb ik van de ING apps op Android, IOS, Windows Phone en Windows 8 want dat is lekker handig. Kan ik internet-bankieren waar en wanneer ik maar wil. De iPad app heeft bovendien ook nog toegang tot mijn creditcard-gegevens. Alleen, dat zijn dus 5 apparaten met ING apps die via een pincode volledige toegang geven tot mijn bankgegevens en waarmee betalingen verricht kunnen worden. (Ja, 5. Android-tablet, iPad, Windows Phone, Windows 8.1 desktop en Windows 8.1 laptop.) Wie dus toegang heeft tot een van deze apparaten en mij wel eens mijn pincode heeft zien invoeren op mijn iPad, die kan dus zo mijn bankrekening plunderen… De ABN-AMRO is gelukkig beperkter. Die heeft -voor zover ik weet- alleen maar een iPad applicatie. Maar ook hier weer volledige toegang tot mijn rekeningen via een vijf-cijferige pincode. Jat dus mijn iPad, bemachtig mijn pincodes en je kunt mijn beide banken plunderen… En dan verlangen ze van mij dat ik de boel veilig hou? GVD! Zorg er gewoon voor dat ik zelfs met deze apps een tweevoudige authenticatie moet uitvoeren! Alleen een pincode is nimmer veilig genoeg…

    1. Wie dus toegang heeft tot een van deze apparaten en mij wel eens mijn pincode heeft zien invoeren op mijn iPad, die kan dus zo mijn bankrekening plunderen…

      Misschien bij ING, maar bij ABN AMRO lukt dit zeker niet. Je kunt daar namelijk als je met je PIN-code inlogt alleen geld overboeken naar rekeningen waarnaar al eerder een transactie heeft plaatsgevonden. Nieuwe rekeningen moeten eerst eenmalig gevalideerd worden middels de bankpas/PIN/calculator-combo en de kans dat jouw PIN-spieder deze alle drie heeft is erg klein.

      1. Tja, maar zoals ik al aangaf heb ik zowel de app voor de ING als de ABN-AMRO op mijn iPad. Je maakt dus van de ABN AMRO geld over naar mijn ING rekening en vanaf daar naar je eigen rekening. 🙂 Overigens, ik vraag mij af of je het systeem voor de gek kunt houden door eerst van jouw rekening geld over te maken naar mijn rekening. Zeg, 5 euro. Dan heb je dus een eerdere transactie en kun je vervolgens in de andere richting transacties uitvoeren. Via social engineering zijn er misschien zelfs andere truken te bedenken. Maar goed, de ABN-AMRO is relatief veiliger domweg omdat ze voor minder systemen apps produceren. Toch ben ik geen fan van deze authenticatie-via-pincode. Het zijn maar 5 cijfers en veel mensen zullen geneigd zijn om overal dezelfde pincode te gebruiken. Mogelijk gerelateerd aan de pincode van hun bankpasje of een belangrijke datum. Zelf ben ik geniaal in het onthouden van willekeurige cijferreeksen, maar lang niet iedereen is in staat om 20 verschillende codes te onthouden…

        1. Overigens, ik vraag mij af of je het systeem voor de gek kunt houden door eerst van jouw rekening geld over te maken naar mijn rekening. Zeg, 5 euro. Dan heb je dus een eerdere transactie en kun je vervolgens in de andere richting transacties uitvoeren.

          Voor zover mij bekend moet de eerste transactie worden geïnitieerd door degene die daarna middels de PIN-route opeenvolgende transacties naar dezelfde rekening wil kunnen plegen. Anders zou die verificatiestap immers ook geen enkele toegevoegde waarde hebben.

  11. Ik moet opeens denken aan de situatie in Zuid-Korea waar men gewoon gedwongen werd om Internet Explorer te gebruiken voor het kopen via webwinkels. Ze zijn daar goed bekend met de problemen die deze browser veroorzaakt maar door domme regelgeving kunnen ze daar verder weinig tegen doen. Dit is een situatie die je niet moet willen. Je wilt niet dat een organisatie gaat voorschrijven wat je wel en niet mag gebruiken om je internet-betalingen mee te doen. Zuid-Korea is gelukkig een vrij extreem voorbeeld maar wel eentje die aantoont dat het wel eens enorm extreem kan gaan worden als banken hun zin krijgen…

    1. Ja, dat is best een extreme situatie, vooral omdat windows XP binnenkort geen beveiligingsupdates krijgt, in IE6 niet zo goed schijnt te werken op nieuwere windowzen.

      Maar wat is het voor ongein daar dat ze niets zouden kunnen doen aan hun eigen domme regelgeving? Is het net zoals hier(*) een probleem om bij de politiek duidelijk te krijgen dat dit probleem prioriteit moet krijgen?

      (*) niet dit probleem misschien, maar wij hebben dan wel weer andere problemen die op politiek niveau aangepakt moeten worden.

      1. Ze kunnen en willen de regelgeving wel aanpassen en is zelfs al aangepast (volgens Reddit), maar de vele website eigenaren zijn niet bereid om hun webwinkels dan ook aan te passen. Dat kost immers geld. Het probleem is overigens gerelateerd aan het gebruik van ActiveX componenten binnen de browser, en IE is de enige die ActiveX ondersteunt.

  12. http://tweakers.net/nieuws/93156/banktransacties-verifieren-via-sms-is-zeer-onveilig.html

    Hoewel het mogelijk is om die van een vel met honderd tan-codes af te lezen, is het ook mogelijk om de codes per sms te ontvangen.

    Het papieren systeem is al jaren geleden afgeschaft, hoogstens nog ondersteund voor wie het altijd al had en niet wil omschakelen.

    Mijn gloednieuwe mobieltje van 20 euro (bij de Saturn, Alcatel) ter vervanging van een modelletje van 12 jaar oud dat kuren kreeg, kan alleen GSM en SMS. (En FM-radio, hoera!). Verder helemaal niks. Dus vast ook geen Android, dat past er niet in of op en dat kan de batterij niet aan.

    ==

    Malware op Android-telefoons kan de code uitlezen en zelf bevestigen. Daarvoor moet wel worden samengewerkt met malware op een Windows-pc.

    Kijk, dat bedoel ik. Dat gaat niet lukken, want mijn computer weet niks over dat mobieltje en omgekeerd ook niet.

    1. Mijn moeder gebruikt van de ING nog steeds het papiertje met TAN codes, simpelweg omdat ze niet kan wennen aan het gebruik van een mobiele telefoon. (Maar ja, ze is al over de 70.) Ze heeft wel een mobieltje met prepaid-kaart en dat ding ligt al maanden in een lade. Een senioren-mobieltje, overigens, met alleen bellen, SMS en FM-Radio, inderdaad. En grote toetsen. En een ingebouwde camera om de een of andere vage reden.

      En verder, wie Android gaat gebruiken om te internetbankieren, die zal al snel de bank-app installeren die een 5-cijferige pincode gebruikt. Hoef je ook niet meer op een SMS’je te wachten. Alleen de betalingen via iDeal zijn dan nog steeds lastig want die gaan dan weer wel via SMS. Maar dat betekent dus dat webbrowser-malware moet samenwerken met SMS-malware. Zolang je niet je Android-tablet gebruikt om te browsen zal dat geen probleem zijn. Neemt niet weg dat er mensen hun mobieltje/tablet hier toch voor gebruiken en die zijn dan de slachtoffers. Dit risico is volgens mij hoger op de iPad omdat die vrij populair is als tablet/webbrowser. (En dan ben ik natuurlijk weer de mafkees die Google Chrome op zijn iPad heeft draaien. 🙂 )

    1. Diverse banken bieden ook een soort huishoudboekte-app voor klanten waarbij je alerts en andere zaken kunt instellen. Die zijn redelijk handig maar dit soort extra functionaliteit komt vaak met een prijskaartje. Afhankelijk van je bank en de software zou het mogelijk zijn om een dergelijk alert-systeem te hebben. Dit soort functionaliteit wordt vrijwel altijd door een third-party ontwikkeld en ik heb daar lang niet altijd evenveel vertrouwen in. Die third-party is vaak een bedrijf die het meeste belooft voor het laagste bedrag dat mogelijk is. Vaak net niet professioneel genoeg, helaas.

  13. Ik krijg steeds meer het gevoel dat de banken het systeem helemaal niet veiliger willen maken… Hutsefluts zei het ook al. Hoe moeilijk is het voor de banken om bij ongewone transacties of boven een bepaald bedrag(zelf bij de bank aan te geven) voor internetbankieren of pin een berichtje(sms, telefoon, email, rooksignalen, etc.) te sturen met een notificatie. En waarom kunnen we niet voor alle apps en internetbankieren (dag)limieten instellen(die niet zonder notificatie verandert kunnen worden). Dat zijn simpele dingen waardoor alles transparanter wordt en de schade beperkt blijft. (helemaal voorkomen kan niemand, dat weten we allemaal)

    Het ergst vind ik nog het bijschrijven van niet gedekte cheques, die ook een flink aantal slachtoffers heeft gemaakt in 2013. Hoe moeilijk is het voor de banken om het geld pas bij te schrijven als het echt zeker is. NIEMAND wil toch geld via een cheque op zijn rekening bijgeschreven zien als het niet 100% zeker is dat dat er ook zo weer door de bank afgehaald kan worden.

    En waarom is er bij de banken nog steeds geen NAAM- bankrekening nummer controle!? Ook zo iets.

    Dat geeft mij het gevoel dat de banken het helemaal niet veiliger willen maken. Wat ze nu doen is gewoon via regeltjes zoveel mogelijk van de verantwoording af te proberen schuiven. = Zwaktebod.

    Maar wat moet ik dan? Bitcoins geeft me ook niet genoeg vertrouwen. Kan er niet voor 1-2-2014 een Bank opgezet worden die zegt; Wij maken alle transacties 100% transparant naar u, met zelf in te stellen limieten. En als het dan nog mis gaat nemen wij de verantwoording. En uw pinpas, internet bankieren is bij ons gratis, want daardoor hebben helemaal geen balie personeel en kantoorruimte meer nodig. 😉 Nog zo iets…

    1. Ik krijg steeds meer het gevoel dat de banken het systeem helemaal niet veiliger willen maken…
      Dat zouden ze wel willen want ze verdienen beter als de beveiliging wel veilig is. Probleem is alleen dat banken een balans proberen te zoeken tussen de kosten van de beveiliging en de onkosten die door fraude en hacks ontstaat. Het draait namelijk volledig om alle baten/kosten en de veiligheid is daar ondergeschikt aan. Stel dat het 100 euro kost om een redelijk veilig systeem te hebben, maar het je dan 500 euro aan schade oplevert omdat het wordt gekraakt. Of je betaalt 1000 euro en dan ben je absoluut veilig. Dan is de eerste optie een stuk goedkoper en accepteren banken gewoon het risico. De schade die banken nu hebben weegt niet op tegen de extra onkosten die banken moeten maken om hun systeem beter te beveiligen. Dus dan maar minder veilig want dan is de winst hoger. En dat is best logisch.

    2. Kan er niet voor 1-2-2014 een Bank opgezet worden die zegt; Wij maken alle transacties 100% transparant naar u, met zelf in te stellen limieten. En als het dan nog mis gaat nemen wij de verantwoording. En uw pinpas, internet bankieren is bij ons gratis, want daardoor hebben helemaal geen balie personeel en kantoorruimte meer nodig. 😉 Nog zo iets…

      Hoe kan je nu vlak achter elkaar pleiten voor dat de banken alle schade zelf moeten dekken én dat het voor de klant nog gratis moet zijn ook?

      Als jij 100% aandeelhouder wordt dan richt ik voor 1-2-2014 een bank voor je op die helemaal gratis is én waarbij alle eventuele schade gewoon door de bank (lees aandeelhouders) betaald wordt.

  14. Zelf vind ik de regels waar zelfs de consumentenbond aan meegewerkt heeft te klantonvriendelijk. Ik heb slechte ervaringen met 2 banken die oude regels onjuist (danwel erg in hun voordeel) hebben toegepast en waarom zou dat niet met deze regels gebeuren?

    Om die reden denk ik er aan om gewoon te stoppen met internetbankieren. Voor mij persoonlijk niet echt een probleem. Mijn bank stuurt nog altijd 1x per maand gratis afschriften en in vind dat voldoende. Op de bankautomaat kan ik tussentijds mijn saldo inzien. Vrijwel alles verloopt via automatische incasso en ik log dan ook maar een paar keer per jaar bij de bank in. Ik heb begrepen dat de bank wil dat ik vaker inlog, maar voor mij hoeft het niet. Dus stoppen en hooguit 2x per jaar een overschrijfformulier in de brievenbus van de bank stoppen lijkt mij veel minder werk dan me druk te maken over het besturingssysteem van mijn PC.

    Ik vraag me af of niet veel meer mensen dit bedenken en de banken meer handwerk op zich af krijgen door figuren zoals ik.

    1. De reden dat banken graag willen dat je vaak je saldo-overzicht raadpleegt, is juist om fraude te voorkomen. Als jij een half jaar na dato erachter komt dat een of andere onverlaat je rekening heeft geplunderd, dan kan de bank daar waarschijnlijk weinig aan doen, maar krijgen ze wel een hoop gezeur. Om die reden moet je ofwel minstens 1x per maand een afschrift op papier ontvangen, of inloggen op het internetbankiersysteem. Een goede regel, als je het mij vraagt.

      1. Mensen die niet de headers van hun bank-email controleren of deze wel echt van de bank afkomstig is? O wacht… Delta Lloyd bank gebruikt een externe bulk-emailer voor haar officiële correspondentie. :-/

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.