Online banking via je smartphone.

squeek · september 25, 2011, 08:24:44

Steeds meer banken brengen apps uit voor smartphones om te kunnen bankieren, rekeningen nakijken en overschrijvingen te doen. Men eigen bank heeft dit onlangs ook gedaan en ik vind de optie best wel handig, je hoeft geen pc rechtstreeks bij de hand te hebben of naar de bank te wandelen om je saldo op te vragen.

Maar hoe zit het met de veiligheid van die apps? Je hebt je hele hebben en houden in je handpalm in feite en deze is makkelijk te stelen. Toch heb je clientnummers, wachtwoorden etc om te beveiligen. Hoe reëel is de kans dat zo'n app gekraakt wordt op afstand, zolang je de phone zelf bij hebt. En in hoeverre als ze de telefoon zelf te pakken hebben?

Ben ik wel eens benieuwd naar.

greetz

skank1 · september 25, 2011, 08:47:34

ik heb onlangs hier ook een topic over geopend!! ff zoeken
kort gezegd: niet doen! hoe aantrekkelijk het ook is

skank1 · september 25, 2011, 08:48:31

http://www.htforum.nl/yabbse/index.php?topic=92885.75

vanaf net voorbij het midden

squeek · september 25, 2011, 09:03:06

ja, dat had ik al gelezen dat stukje. Maar het geeft enkel een indicatie weer van Ing mobile banking.

Ik zoek meer algemene voorbeelden, Is het mogelijk om in te breken vanop een afstand in je smartphone, bestaan er virussen die op je telefoon werken? etc.

Ikzelf gebruik nu Kbc mobile banking en heb zoveel mogelijk men telefoon beveiligd. Dit volgens de tips die op de bank website terug te vinden zijn.

greetz

skank1 · september 25, 2011, 09:08:51

ik vrees van wel dat dat bestaat...
Ik durf er mij in elk geval niet aan wagen.. als je je gsm ooit verliest, en het komt net in een kenner zijn handen..

squeek · september 25, 2011, 09:13:06

Citaat van: skank1 op september 25, 2011, 09:08:51
ik vrees van wel dat dat bestaat...
Ik durf er mij in elk geval niet aan wagen.. als je je gsm ooit verliest, en het komt net in een kenner zijn handen..

Maar dan moet die persoon de pincode van je gsm weten, toevallig mijn clientnummer van negen cijfers en het wachtwoord.

jowi · september 25, 2011, 09:16:24

ABN Amro heeft een app voor iphone/ipad. Je kunt daarmee maximaal 750 euro per dag mee overmaken, zonder de e-dentifier te gebruiken. De app is 'beveiligd' met een extra instelbaar 5 cijferige wachtwoord, meer is er niet nodig. Ik moet zeggen het is superhandig om snel je saldo te checken zonder elke keer maar weer je pas en kaartlezer te moeten gebruiken, maar de veiligheid ben ik ook wel een beetje bang voor. Nu kun je niet zomaar bij de storage, maar voor een hacker met een jailnbreak is het een klein klusje natuurlijk. Dan maar hopen dat het wachtwoord encrypted in de storage staat... nu zal het bij mij wel meevallen want de ipad verlaat het huis niet, die zal ik dus niet zo snel verliezen, maar dit kun je ook op de iphone draaien.

Beter had geweest als ze de app alleen gebruikten om je rekening in te zien, en zodra je ook maar iets over wilt maken, toch die pas/lezer gebruiken. Ik zal ze er eens een email over sturen.

squeek · september 25, 2011, 09:48:03

Citaat van: jowi op september 25, 2011, 09:16:24
ABN Amro heeft een app voor iphone/ipad. Je kunt daarmee maximaal 750 euro per dag mee overmaken, zonder de e-dentifier te gebruiken. De app is 'beveiligd' met een extra instelbaar 5 cijferige wachtwoord, meer is er niet nodig. Ik moet zeggen het is superhandig om snel je saldo te checken zonder elke keer maar weer je pas en kaartlezer te moeten gebruiken, maar de veiligheid ben ik ook wel een beetje bang voor. Nu kun je niet zomaar bij de storage, maar voor een hacker met een jailnbreak is het een klein klusje natuurlijk. Dan maar hopen dat het wachtwoord encrypted in de storage staat... nu zal het bij mij wel meevallen want de ipad verlaat het huis niet, die zal ik dus niet zo snel verliezen, maar dit kun je ook op de iphone draaien.

Beter had geweest als ze de app alleen gebruikten om je rekening in te zien, en zodra je ook maar iets over wilt maken, toch die pas/lezer gebruiken. Ik zal ze er eens een email over sturen.

Dat je der maximum 750 euro mee kunt overschrijven per dag vindt ik wel een goeie, ga ik eens checken bij men eigen bank hoe dat zit.

EDIT : heb net gekeken op de site en bij kbc is de limiet zelfs op 250 euro per dag gesteld. Is wel erg laag maar blijft wel veilig denk ik dan. Saldo consultatie is toch het meest gebruikelijke aan de app denk ik.

EJ · september 25, 2011, 09:52:38

Het is absoluut onveilig. Zeker als er geen 2factor (maar alleen een wachtwoord) aan te pas komt. Er is malware bedacht en gevonden die een en ander probeert te manipuleren... Niet doen dus.

mjveenma · september 25, 2011, 09:55:49

Dit lijkt mij ook absoluut niet veilig!

Hopjesvla · september 25, 2011, 09:59:49

Volgens mij is de setup van ABN-AMRO wel veilig; tot 750 kun je overmaken naar rekeningen die in je adresboek staan. Alles daarboven & naar 'vreemde' rekeningen moet je alsnog je e-dentifier voor gebruiken. En ook voor wijzigingen in het adresboek.

Ik vind het top in ieder geval. Makkelijk geld naar de spaarrekening, credit-card-account en in mijn geval gezamelijke rekening storten, zonder gedoe

En voor 'normale' overschrijvingen moet je alsnog gewoon de veilige e-dentifier + pas combo gebruiken.

EJ · september 25, 2011, 10:52:19

Nee, ook de setup van abnamro is niet veilig. Sowieso is er kritiek op de setup van de edentifier: 1 manier van inloggen en op dezelfde manier authoriseren: daar is al fraude mee gepleegd. Op een phising site laat je de eerste authenticatie 'mislukken' (oftewel de phiser is ingelogd) en de tweede 'lukt' (oftewel de phiser heeft overgemaakt).

Veiligheid is in dit geval ondergeschikt aan gemak, voor mij een verkeerde insteek bij bancaire zaken.

squeek · september 25, 2011, 10:55:33

Citaat van: EJ op september 25, 2011, 10:52:19
Nee, ook de setup van abnamro is niet veilig. Sowieso is er kritiek op de setup van de edentifier: 1 manier van inloggen en op dezelfde manier authoriseren: daar is al fraude mee gepleegd. Op een phising site laat je de eerste authenticatie 'mislukken' (oftewel de phiser is ingelogd) en de tweede 'lukt' (oftewel de phiser heeft overgemaakt).

Veiligheid is in dit geval ondergeschikt aan gemak, voor mij een verkeerde insteek bij bancaire zaken.

Is het enkel mobile banking dat je niet veilig vindt of gewoon elke vorm van online banking?

SpeedyAndré · september 25, 2011, 11:18:50

Leg eens uit met die phishing site, de app zal toch maar één site kunnen/willen benaderen die 24/7 in de lucht is met z'n eigen authorisatie?
Phishing is iets wat meestal via email geprobeerd wordt, daar kan je elk linkje in mee sturen.
Bij Abnamro kan je de limiet voor overschrijvingen trouwens zo laag zetten als je wilt, ook op 0.
Ook herinner ik me dat er specifieke info van m'n gsm nodig is om in te loggen, dus als het al zou gebeuren dan moet de app gestart zijn.
Achteraf laat de app bovendien zien wanneer je voor het laatst ingelogd was.
Theoretisch is het misschien mogelijk maar de kans dat mijn app precies als ik hem gebruik een phishing site benadert lijkt me erg klein.
Als het al zou gebeuren dan kan er slechts één keer per dag tot de limiet overgeschreven worden en dan nog naar de bekenden in de adreslijst.
Je moet wel heel erg veel manipuleren in de korte tijd dat iemand de app gebruikt om ongezien misbruik te kunnen maken ...
Blijft wel staan dat het niet geheel waterdicht werkt natuurlijk.

André

EJ · september 25, 2011, 13:51:27

Citaat van: squeek op september 25, 2011, 10:55:33
Is het enkel mobile banking dat je niet veilig vindt of gewoon elke vorm van online banking?

Mobile online banking is het toppunt van onveiligheid. Zonder de juiste voorzorgen kan iedere vorm van online (en zelfs offline banking, denk aan het brievenbus vissen van vroeger) banking onveilig zijn.

@SpeedyAndre: doe vooral wat je fijn vindt. Ik zal niet, nooit internet bankieren vanaf mijn mobiel. Misschien heb ik wat meer zicht op wat er mis kan gaan.

Met allerlei soorten manipulaties kun je op de verkeerde site terecht komen (denk bijvoorbeeld aan dns). Phising is niet voorbehouden aan mail, dat schrijf je zelf al. MitB, MitM zijn enkele methodes, mobieltjes zijn daar zeker en absoluut niet onkwetsbaar voor. Tevens is er zeer recent een geslaagde aanval op ssl (het protocol) gedaan om maar iets te noemen.

jasjenl · september 25, 2011, 22:55:34

Wat een paranoia weer hier.. Ik gebruik de rabo mobiel app en ik zie niet in wat daar onveiliger aan is dan bijv. pinnen in de winkel of bankieren via de gewone website. Ik heb het idee dat sommmige mensen alle techniek per definitie wantrouwen. Stop je geld dan in een oude sok of zo...

EJ · september 25, 2011, 23:22:08

Paranoia? Misschien weet ik iets meer dan jij?

Edit: en dan niet vervelend bedoeld dat meer weten, maar dit is mijn vakgebied...

Erik · september 26, 2011, 00:59:43

Er is pas nog tegen gewaarschuwd dat bankieren op je mobiel erg onveilig was, onveiliger dan welke vorm dan ook. Zal vast nog wel ergens terug te vinden zijn dat artikel.

Former member 78 · september 26, 2011, 02:18:33

@ Jowi,

Ik heb de zelfde app op mijn iPhone.
Je kunt het zo instellen, dat je zelfs voor 1 cent in
Moet loggen

jowi · september 26, 2011, 08:51:27

Citaat van: ArjanR1 op september 26, 2011, 02:18:33
Ik heb de zelfde app op mijn iPhone. Je kunt het zo instellen, dat je zelfs voor 1 cent in Moet loggen

Dat wist ik niet. Zal er eens naar zoeken.

angel1978 · september 26, 2011, 09:04:08

ik gebruik de rabo-app.
niets onveilig aan.

Je moet eerst in mijn mobiel zien te komen ( en dus mijn pincode kennen + beveiligingscode ).

Dan in mijn rabo-app ( en daar het wachtwoord van hebben achterhaald )

En dan nog kun je alleen maar geld oversluizen van mijn ene rekening naar de andere.. ( be my guest als je dat leuk vindt om te doen

Wil je geld overboeken naar een 'vreemde' rekening, dan wordt er toch weer naar de e-dentifier gevraagd ( en moet je dus die ook nog in je bezit hebben en de codes van kennen + mijn bankkaart ).

Knappe jongen die dat allemaal gelukt is zonder dat ik inmiddels de bank ingelicht heb dat er iets niet goed is

Gaeje · september 26, 2011, 11:36:47

Tja dat is toch allemaal verzekerd ook? Als je ineens 'iets kwijt bent' gaat de bank dat wel compenseren. Die willen hun goeie reputatie toch niet kwijt. Kijk naar visa, die hebben toch ook een kei goeie payback policy, en een heel leger detectives wereldwijd voor kwaadwillenden te 'pakken'

Pos · september 26, 2011, 12:57:19

Citaat van: EJ op september 25, 2011, 13:51:27
Mobile online banking is het toppunt van onveiligheid. Zonder de juiste voorzorgen kan iedere vorm van online (en zelfs offline banking, denk aan het brievenbus vissen van vroeger) banking onveilig zijn.

@SpeedyAndre: doe vooral wat je fijn vindt. Ik zal niet, nooit internet bankieren vanaf mijn mobiel. Misschien heb ik wat meer zicht op wat er mis kan gaan.
Met allerlei soorten manipulaties kun je op de verkeerde site terecht komen (denk bijvoorbeeld aan dns). Phising is niet voorbehouden aan mail, dat schrijf je zelf al. MitB, MitM zijn enkele methodes, mobieltjes zijn daar zeker en absoluut niet onkwetsbaar voor. Tevens is er zeer recent een geslaagde aanval op ssl (het protocol) gedaan om maar iets te noemen.

Kom je binnen een app (zoals die van de rabobank) ook op een andere site? Of kunnen andere programma's uit de market ook gegevens "zien" en doorsturen?

EJ · september 26, 2011, 12:59:50

Citaat van: Pos op september 26, 2011, 12:57:19
Kom je binnen een app (zoals die van de rabobank) ook op een andere site? Of kunnen andere programma's uit de market ook gegevens "zien" en doorsturen?

Met kwaardaardige apps kan dat dus inderdaad gebeuren.

Het grootste probleem zit hem vooral in het lakse patchen van de telefoon door de meeste telefoonmaatschappijen. Waar overal inmiddels (zelfs bij apple!) DigiNotar is uitgezet staat dit op elke telefoon nog gewoon aan. 't Is maar een voorbeeld...

Nieuws:

Online banking via je smartphone.

angel1978