Beste forumleden.

Momenteel ben ik klant bij kbc en crelan. Het systeem van kbc bij het inloggen (kaartnummer,digipass en pin) vind ik hoegenaamd niet voldoende. Daarom staat het grootste deel van mijn geld bij crelan.

Als iemand mijn kaart steelt van crelan en ergens mijn pin code heeft zien ingeven (bijvoorbeeld in de supermarkt), dan kan men online niet inloggen omdat hun beveiligingssysteem los staat van de kaart en ben ik geen hoop geld kwijt.

Keytrade heeft eenzelfde soort systeem.
Zijn er in België nog banken die dergelijke beveiliging hebben, met liefst een modern online platform?

Bedankt alvast voor jullie input.

Itsme is veruit de veiligste methode imo. Dus alle banken die itsme gebruiken om in te loggen.
De sterkte zit hem in het feit dat de itsme app gelinkt is aan 1 persoon en 1 gsm toestel. Met andere woorden zelfs als men je itsme code te pakken krijgt (het werkt ook met fingerprint) men daar niets mee is zolang ze je gsm-toestel niet in handen hebben. Bovendien zie je in de itsme app zelf ook nog eens te zien waarvoor je je toestemming geeft. Je kan dus niet 'per ongeluk' 250 euro overschrijven ipv 2,5. Het risico op phishing via telefoontjes of mails van de zogezegde bank of andere vertrouwde partijen wordt hiermee dus enorm verkleind en is eigenlijk zo goed als 0.

Europabank werkt met of Itsme of/en via een gebruikersnaam en 'hardkey', pincode en nummergenerator. Keytrade gebruikt ook dat systeem. Al promoten die vooral inloggen via de app met een QR-code scanner.

NewB werk ook met een QR-code scanner. Hardwarematig of via hun app. MeDirect is met gebruikersnaam en dan code via SMS of via de app (geen wachtwoord, geen fan van). Allemaal zonder relatie met de bankkaart.

Giskart schreef: ↑31 augustus 2021, 16:25 Europabank werkt met of Itsme of/en via een gebruikersnaam en 'hardkey', pincode en nummergenerator. Keytrade gebruikt ook dat systeem. Al promoten die vooral inloggen via de app met een QR-code scanner.

Zolang ze naast itsme maar een alternatieve (en ook veilige) manier blijven voorzien en *niet* via "hun eigen" app.

Giskart schreef: ↑31 augustus 2021, 16:25 NewB werk ook met een QR-code scanner. Hardwarematig of via hun app. MeDirect is met gebruikersnaam en dan code via SMS of via de app (geen wachtwoord, geen fan van). Allemaal zonder relatie met de bankkaart.

Bij Medirect heb je wel wachtwoord nodig indien code via SMS (wat ik doe). Met app idd. enkel code van app.

Ik heb geen enkele app van geen enkele bank/broker en wil dat ook helemaal niet.

Bedankt voor jullie reacties.

relativity schreef: ↑3 september 2021, 21:10 Bedankt voor jullie reacties.

Graag gedaan

En wat heeft het je nu bijgebracht ?
Ben je van mening veranderd of niet ? Waarom ?

Dit doet mij bedenken dat er misschien een niche is voor een gespecialiseerde bank.

Stel u voor;
Safe Bank

Gehost op een server in een extra beveiligde datacenter in een bunker in Zwitserland. Die bestaan daar. Het bankplatform is enkel bereikbaar voor de klanten via een door de bank aangeboden persoonlijke VPN-verbinding. Inloggen doe je met een combinatie van offline inlogcodes. Zoals zo'n harwarematige nummergenerator. Misschien samen met eenmalige papieren codes. Overschrijvingen gaan maar een keer per dag naar buiten, om 23 uur, enkel op werkdagen.(zoals bij Argenta vroeger, dan heb je de kans iets tegen te houden)

Geen app. Geen betaalopdrachten via telefoon of wat dan ook. Geen betalingsmandaten. Enkel geld ontvangen en overschrijven.

Geen direct debit card. Wel een charge card, dus zoals de meeste visa/mastercard kaarten in Belgie. Met dus alleen een maandelijkse afrekening van de uitgaven. Zo blijven de rekeningbewegingen overzichtelijker.

Filosofie; het bankplatform zo veel mogelijk dicht timmeren ook al is dat ten koste van het gebruiksgemak.

aanvulling; niet om te lachen met de bezorgdheden van relativity. Vraag gaf mij enkel dit gedacht.

Ieder systeem heeft zijn kwetsbaarheid. Het effectief "kraken" van de systemen (kaartlezer / kaart, itsme, Cronto QR code van Keytrade,...) is bijzonder moeilijk tot onmogelijk.

Praktisch alle pogingen van fraudeurs zijn gericht op de gebruiker (= zwakke schakel). Bij de kaart en de lezer is dit de typische phishing mail gevolgd door een telefoontje waar men de response codes vraagt om "een nieuwe kaart" ofzo te bestellen.
Bij itsme (omdat het token ook gebruikt wordt voor Tax on web enz) ligt de fraude bij "je krijgt een mailtje van Tax on web of eBox", je drukt op de link, krijgt een fraude website van Tax on web te zien en kiest voor aanmelden met itsme. Je kijkt eigenlijk niet naar wat exact itsme precies vraagt en aanvaard blindelings de melding (waarin dus staat "aanmelden op KBC" of "activatie KBC smartphone app" of gelijkaardig en niet "Aanmelden op Tax on web" wat de gebruiker "denkt te doen").
In de achtergrond heb je net een fraudeur toegang gegeven tot je bankapplicatie.

Het blijft belangrijk als gebruiker om goed te lezen wat je ziet staan en daar knelt bij veel mensen het schoentje. Er zijn veel mensen (omdat ze minder goed met technologie overweg kunnen) die op automatische piloot staan als ze dingen als itsme gebruiken en eigenlijk niet naar hun scherm kijken.

Bij het doorgeven van je response codes van je kaartlezer is het dan weer meer gericht op vertrouwen scheppen bij de gebruiker. Eerst zoveel mogelijk informatie verzamelen van de gebruiker om die informatie uit te buiten om nadien een telefoontje te doen en met die informatie de gebruiker te misleiden.

Een ander kwetsbaarheid is natuurlijk virussen. Met een virus kan een fraudeur feitelijk toegang krijgen tot je systeem en mee zien wat je allemaal doet tot finaal het manipuleren van wat je ziet of wat je doet.
Daar dus opnieuw: kijk naar je scherm. De manieren van veiligheid die de BE banken hanteren is gebruikmaken van een ander "out of band" token (kaartlezer, itsme, Cronto QR code). Al gemerkt dat als je een betaling doet die je moet valideren met de kaartlezer dat je het rekeningnummer moet invoeren in de kaartlezer? Dit niet "zomaar" gedaan maar stelt de gebruiker in staat om te controleren of het rekeningnummer wel degelijk deze is waarnaar ze de betalingen willen doen. Ook itsme en de Cronto QR code van Keytrade toont het rekeningnummer: controleer dat!


Een systeem dat wel bewezen is gekraakt te zijn is de SMS codes. Het is bewezen dat SMS niet versleuteld wordt verzonden over het GSM netwerk, het is bewezen dat fraudeurs die boodschappen kunnen onderscheppen en het is bewezen dat je je op het GSM netwerk kan voordoen als "iemand anders".
Vandaar dat in de veiligheidsvoorschriften die NIST opstelt het gebruik van SMS "one-time-password" afgeraden wordt en systemen die er nog mee werken moeten vervangen worden.

Objectief gezien is er niet echt een probleem met de beveiliging van internetbankieren zoals courant in gebruik. Maar er zijn vele niet realistische problemen waar er toch oplossingen voor geboden worden omdat er toch een vraag naar is.

De zwakste schakel is zeker de eindgebruiker.

Gisteren nog;
Burger belde omdat zij een e-mail van Doccle had gevonden in de spams. Iets van een boete van een belasting waar een bericht over zou zitten in haar e-box.

Burger wist niet wat Doccle was, gebruikte dat niet. Wist niet wat de federale ebox was. Personenbelasting ging per briefpost.

Ik vertelde haar dat dit gewoon een poging tot oplichting was. Niet echt. Er geen element dat zelfs maar de suggestie geeft dat het echt zou kunnen zijn. Burger bleef ongerust.

Ze dacht dat het misschien over onroerende voorheffing zou kunnen gaan omdat ze dat aanslagbiljet nog niet had ontvangen.

Ik vroeg haar of die aanslagbiljetten tot nu steeds per briefpost kwamen. Ja, vertelde ze. - Ik vertelde haar dat er nog steeds geen reden was om te denken dat het toch echt was. Burger was nog steeds ongerust. - Ik schakelde ze dan maar door naar VLABEL, onroerende voorheffing.

Belgacom heeft zo mijn grootmoeder eens erg ongerust gemaakt door automatisch, steeds maar weer, 'phonemail basic' te activeren op haar telefoonlijn. Als je dan (toen?) een boodschap achterliet ging de computer van Belgacom de klant steeds maar opbellen om te zeggen dat er een nieuw bericht was. Dat maakte haar erg ongerust, bang. En dan kon ik bellen naar Belgacom om dat te laten uitschakelen. Tot het een paar maanden later terug actief was.

SMGGM schreef: ↑4 september 2021, 07:59

Een systeem dat wel bewezen is gekraakt te zijn is de SMS codes. Het is bewezen dat SMS niet versleuteld wordt verzonden over het GSM netwerk, het is bewezen dat fraudeurs die boodschappen kunnen onderscheppen en het is bewezen dat je je op het GSM netwerk kan voordoen als "iemand anders".
Vandaar dat in de veiligheidsvoorschriften die NIST opstelt het gebruik van SMS "one-time-password" afgeraden wordt en systemen die er nog mee werken moeten vervangen worden.

MeDirect werkt met een sms code. Dat is niet veilig dan eigenlijk?

Ik zou het eerder niet ideaal noemen. Er is nog steeds een gebruikersnaam en wachtwoord.

Maar het is waar, MeDirect zou dat niet mogen toestaan eigenlijk. Toch niet omdat het mogelijk is via MeDirect een overschrijving te doen naar een rekeningnummer naar keuze. Als het nu enkel was naar een vaste tegenrekening zou ik daar geen probleem in zien.

Sebastiaan1985 schreef: ↑4 september 2021, 18:15 MeDirect werkt met een sms code. Dat is niet veilig dan eigenlijk?

Als je weet wat je doet, zou dat veilig genoeg moeten zijn.
- nagaan of je op de juiste website zit en certificaat in orde is (slotje)
- sterk wachtwoord enkel voor Medirect gebruiken en uiteraard nooit aan iemand geven

Sebastiaan1985 schreef: ↑4 september 2021, 18:15 MeDirect werkt met een sms code. Dat is niet veilig dan eigenlijk?

Volgens de voorschriften van NIST is het advies om geen nieuwe systemen te maken op basis van SMS one-time-passwords en als je er nog hebt, een plan te hebben om deze uit te faseren.
Ik praat hier uiteraard wel over dingen nood hebben aan een hogere beveiliging. Om toegang te krijgen tot een of ander forum ofzo kan je natuurlijk het veiligheidsrisico opwegen tov de kost om iets anders te implementeren.

Feit is natuurlijk dat SMS bewezen is dat het lek is en ook actief wordt misbruikt. Het is natuurlijk niet iets dat Jan en alleman kan (je dient toch wel wat kennis te hebben en over de nodige hardware te beschikken om zoiets te doen slagen) maar vooral omdat het lek in het SMS-protocol op zich niet op te lossen valt zal het enkel maar eenvoudiger worden om het te kraken. Het wordt meer bekend (YouTube video's worden gemaakt), er komen tools voor beschikbaar,... waardoor het advies dan is om het volledig uit te faseren. De bron die ik hieronder vermeld spreekt dat SMS OTP al in 2007 gekraakt is.

Je kan SMS one-time-password natuurlijk meer beveiligen (zoals MeDirect doet) door nog een wachtwoord te vragen of zoals vele banken (waarbij je bij de activatie van hun bank app, nadat je met de kaartlezer al hebt bevestigd, nog een SMS code moet bevestigen). Hierdoor moet de aanvaller dus niet enkel de SMS kunnen onderscheppen maar ook nog eens iets anders weten / zijn / hebben.
In MeDirect zijn geval is dit een wachtwoord "weten". Natuurlijk echt "veilig" noem ik dit persoonlijk niet. Het volstaan om een goed virus of keylogger op je computer te hebben dat je wachtwoord gaat phishen. Je telefoonnummer verkrijgen is verder niet bepaald complex (staat al vaak op facebook en als het virus al toegang heeft tot je computer dan zal je telefoonnummer ergens hierop terugvinden kinderspel zijn).

Een beetje lectuur:
https://www.onespan.com/blog/nist-softe ... entication
https://pages.nist.gov/800-63-3/sp800-63b.html

An out of band secret sent via SMS is received by an attacker who has convinced the mobile operator to redirect the victim’s mobile phone to the attacker.
A malicious app on the endpoint reads an out-of-band secret sent via SMS and the attacker uses the secret to authenticate.

Zoals overigens al aangegeven, sommige banken (zoals Santander) gebruik ook nog SMS OPT, maar op zich is hier niets mis mee. Het risico is dat de aanvaller je rekeninginformatie kan inlezen en betalingen kan doen naar "vertrouwde" rekeningen. Veel schade is dit niet (tenzij wat imago schade natuurlijk).
MeDirect heeft een alternatief nl hun app dat custom codes aanmaakt. Je kan echter als gebruiker (zelf al heb je dit geactiveerd) nog steeds kiezen om te gaan voor de SMS OTP wat maakt dat alle klanten van MeDirect nog steeds kwetsbaar zijn.

Ongetwijfeld staat dit bij MeDirect als "risico" open, maar het heeft natuurlijk een kostprijs om hier vanaf te stappen. Keytrade (had vroeger ook SMS OPT) heeft die kost wel gedaan en biedt gebruikers aan via hun app aan te melden of via een hardware token (hun hardkey). Dit kost natuurlijk wel geld (al zal de Keytrade hardkey in China in massa aan €5 / stuk ofzo aangekocht worden).
Met de richting van Keytrade (om zich ook te positioneren als bank voor dagelijks bankieren) was dit wel een noodzakelijke stap. Als je dagelijks gaat bankieren zijn de begunstigden die je gebruikt veel ruimer en is het profielen maken van je gebruikers moeilijker.

Het kan natuurlijk zijn dat MeDirect dit ook op andere manieren kan mitigeren. Ze kunnen extra controles uitvoeren op de begunstigde (werken met vertrouwde rekeningnummers, extra fraude analyse doen,...) om zo die zwakte ergens anders op te vangen. Ik ken de interne werking niet van hen dus kan niet zeggen hoe erg ze zich blootstellen.
Wat veel banken doen is een profiel aanmaken van "wat normaal" is voor een gebruiker. Gezien MeDirect primair toch een beleggingsbank is (en je dus typisch enkel zal overschrijven naar eigen rekeningen) zal het tamelijk eenvoudig zijn voor MeDirect om een lijst op te zetten van "vertrouwde" rekeningen. Zodra er eens een andere rekening gebruikt wordt kunnen ze die transactie blokkeren voor verdere controle.


Finaal om terug te komen op je vraag: moest je slachtoffer worden van zo'n aanval en het is bewezen dat dit de manier van aanval was, dan is natuurlijk MeDirect de schuldige want zij hebben de klant niet voldoende beschermd.
Ik ben overigens ook MeDirect klant. Ik gebruik wel uitsluitend hun app voor authenticatie / tekenen en nooit hun SMS OTP.

SMGGM schreef: ↑4 september 2021, 21:16

Finaal om terug te komen op je vraag: moest je slachtoffer worden van zo'n aanval en het is bewezen dat dit de manier van aanval was, dan is natuurlijk MeDirect de schuldige want zij hebben de klant niet voldoende beschermd.
Ik ben overigens ook MeDirect klant. Ik gebruik wel uitsluitend hun app voor authenticatie / tekenen en nooit hun SMS OTP.

Blijkbaar is via de app inloggen op pc nog niet tot bij sommigen geraakt.
Oude onveilige gewoontes blijft men gebruiken.