Dexia past internetbankieren niet aan na hack

Origineel bericht van Dino 15/12/2008
Dit lijkt me nogal logisch... waarom zou jij je programma moeten aanpassen als daar de fout niet ligt?
Iemand breekt binnen in je pc (al dan niet met behulp van worm/trojan), ziet dat jij inlogt op je dexia account,
die persoon voert ongemerkt een bankbewerking uit en vraag jou om de code die nodig is om die overschrijving te handtekenen.

Meer dan je klanten waarschuwen dat zij als bank nooit om een "security check" zullen vragen zoals bij deze gedupeerden kan je niet doen...
Dexia kan toch onmogelijk firewallsoftware beginnen leveren en onderhouden?
Dit zou al te gek zijn!

Origineel bericht van mutley dastardly 15/12/2008
Maar wel met internet, windows, mac-osX, linux...

Niks is veilig en zeker genoeg - dus wordt het hoogtijd dat dnssec verplicht wordt.

RFID daarentegen zou beter onmiddelijk verboden worden voor telebanking en credietkaarten enz... Wegens uitleesbaar van op afstand - idem voor identiteitsbewijzen allerhande.

Een veilige pc is een utopie - dus kan je beter maar met een sterk en goed beveiligde router werken - met vastgecodeerde ip-adressen (geen dhcp dus!) - vaste dns-domainnameserver en opstarten vanaf cd.

We laten in het midden of dat nu een XP, bartpe, PE2.1, vista, linux of andere bsd-variant, solaris, aix... moet zijn - da's aan elkeen de keuze.

Zelfs een memorystick is denk ik niet veilig genoeg - tenzij die schrijfbeveiligd zou zijn.

Het komt er op neer dat er samengewerkt dient te worden aan eenvoudigere systemen, die dan op hun beurt door de eenvoud waarmee ze werken, veiliger kunnen bediend worden.

Het is maw tijd dat de diaree van pseudo-standaarden gereguleerd wordt - het ISO-drama leert ons dat zelfregulering gewoon niet werkt - maw dat de politiek er zich moet mee moeien (en hou je dan vast).

Wie dus niet over de nodige kennis en kunde beschikt is gezien - wie een zoon/dochter in huis heeft die vollenbank download - filmpjes kijkt, op 't internet surft...

Maw ik denk dat de overheid best begint met prozac toe voegen aan 't drinkwater... Da's goedkoper?

Origineel bericht van Ivan 15/12/2008
enne, als er dan toch geld van je rekening gaat, dan legt Dexia dat toch bij, ..., uh, ik bedoel de belastingbetaler natuurlijk, want Dexia heeft toch een directe lijn met Yveke Leterme.
Ja ja, Dexia blinkt weer uit in gebrek aan tact en demonstreert hoe men nu net NIET moet communiceren naar de klant toe. Als het fout gaat, ligt de schuld bij de klant, als het goed gaat, dan vult de bank zijn zakken. Dat ze bij da bankske iedereen ontslaan en den boel opdoeken. Amateurs!

Origineel bericht van alfadude 16/12/2008
Wat is er onduidelijk.
Als je zelf geen overschrijving uitvoert zal nooit om de M2 verificatie gevraagd worden.
Gebeurt dat wel is er dus iets verdachts aan de hand.
Ook moet je bij de M2 methode ook nog het bedrag dat je overschrijft intikken. Dat is nog een extra controle.
Vind je dit nog niet veilig genoeg kan je nog booten van een linux CD voordat je online gaat bankieren. Dat is wel iets lastiger maar dan ben je wel zeker dat er geen malware tussen gaat zitten.
Vertrouw je het dan nog niet. Ga dan met je bankkaart in de aanslag naar een selfbanking automaat. Zorg echter wel dat er niemand achter je rug meekijkt om nadien een stuk hout in je nek te leggen.

Origineel bericht van ada 16/12/2008
een voorbeeld van hoe communicatie niet moet. het is ALTIJD makkelijker om de schuld bij een ander te leggen en het is onverantwoord om stevast de schuld bij de naive klant te leggen.

punt, de klant heeft er ook schuld aan maar dexia evenzeer. dat mallware fake requests can forgen is duidelijk dat men het onderliggende process voor een stuk ontrafeld heeft(al dan niet door sniffen, doet er niet toe). als je weet welke data je moet sturen naar de server op welk moment is het een koud kunstje om naar een andere bankrekening over te schrijven.

dexia is hier fout, er moet nix aan de login procedure veranderd worden, de verificatieprocedure moet veranderd worden.

Origineel bericht van Ivan 16/12/2008
Binnen de Dexia Direct Net sessie plaatsen zij een âÂ?Â?ongebruikelijkâÂ?Â? scherm, net alsof het een speciale boodschap van de bank is. Er wordt gevraagd om via de kaartlezer een aantal cijfers in te voeren en te bevestigen via de procedure van de M2 toets op de kaartlezer. Op die manier wordt er geld overgeschreven naar een andere rekening zonder dat de cliÃ?«nt het zelf beseft. Dit is mogelijk omdat er zich virussen op de PC van de gebruiker bevinden!
Wat kunt u doen ?
Bij ongewone boodschappen, schermen of enige twijfel, sluit uw Dexia Direct Net sessie af en contacteer ons onmiddellijk op 02 222 82 70.
Gebruik de M2 toets van de kaartlezer alleen om uw overschrijvingen te ondertekenen. De bank vraagt u in geen enkel ander geval om de M2 toets te gebruiken.
HOE KAN EEN KLANT IN HEMELSNAAM EEN 'ONGEBRUIKELIJK' SCHERM HERKENNEN ALS HET BINNEN DE SESSIE VERSCHIJNT? DE AANHALINGSTEKENS DUIDEN ER AL OP DAT DIT NIET VOOR DE HAND LIGT. DEXIA ZEGT BOVENDIEN DUBBELZINNIGHEDEN OVER HET GEBRUIK VAN DE M2-TOETS. IK ZOU ZEGGEN, BEL MORGEN ALLEMAAL NAAR HET NUMMER, DAN LIGT HUN SYSTEEM METEEN PLAT...

Origineel bericht van Ivan 16/12/2008
Dat is hem nu net: mensen gebruiken toch net online bankieren voor overschrijvingen? Wel, als je bezig bent met meerdere overschrijvingen, en plots verschijnt binnen de sessie een popup die vraagt naar de security code, dan ga je daar als klant op in. Immers, dan denk je "Aha, Dexia heeft een bijkomende beveiliging ingebouwd" terwijl het net een inbreuk is op de beveiliging. Feit is dat het 'meest veilige' systeem ter wereld gekraakt werd, en de banken WILLEN ER NIETS AAN DOEN!

Origineel bericht van mo6 Deurne 16/12/2008
Dexia heeft in deze zaak gelijk om de fout aan de gebruikers door te schuiven. Het is de taak van de klanten om hun pc van de laatste nieuwe updates, patches, virusscanner en firewall te voorzien en niet die van Dexia.

In dit geval heeft de hacker eerst op de pc ingebroken van de gebruiker en dan een 'nep-pagina' ingebouwd, zodat je je inloggegevens doorspeelt aan een hacker of kwaadaardig programma.

Wat ik ook wel 'fout' vind, is dat sommige banken durven beweren dat hun beveiliging waterdicht is. Een computer-programma kan nooit waterdicht zijn, zolang de zwakste schakel (de mens) invloeden heeft hierop !!! Dit durven ze natuurlijk niet publiek te verklaren.

Je kan dit geval vergelijken met autobouwers. Het is niet de taak van de fabrikant om in het onderhoud van de auto te voorzien, maar de taak van de klant.

Origineel bericht van Statler & Waldorf Diest 16/12/2008
Stoere praat. Heb je ooit al eens een gepensioneerde naar het internet geholpen. Die zijn supertevreden als ze kunnen mailen enzo. Maar ik durf wedden dat als de pc plots een paswoord vraagt dat ze het geven. Zijn ze daarom idioot? Idioot.

Origineel bericht van X.-man 16/12/2008
http://www.zdnet.be/news.cfm?id=95988

Origineel bericht van DareDevil nieverans les bains 16/12/2008
Mis ik iets??
http://www.zdnet.nl/news.cfm?id=95991

Origineel bericht van Johan Van den Bergh 19/12/2008
Dag, in vind het larie en apekool van Dexia dat zij niets willen doen aan de bescherming tegen hackers bij netbancing.
Ik vind dat de bank zelf een systeem moet aanbieden dat niet kan gehackt worden. Of de klant nu voldoende pcbescherming heeft op zijn/haar pc heeft hier niets te zien.
Zij doen WEER eens hnnne paraplu open, het zal niet lang meer duren dat ze ook mij kwijt zullen geraken als klant, kwestie van enkele weken,
vriendelijke groeten,
Johan Van den Bergh

Origineel bericht van tpm 19/12/2008
kijk, als jij je huis niet op slot doet, dan moet je niet komen janken dat er vroeg of laat een inbreker weg is met je spullen. Zo simpel is het. Doe gewoon je deur op slot, heb een goede virusscanner met de laatste virus data-files, en je zou dit niet hebben voorgehad.
Elk systeem is onveilig. Een slot op de deur ook. Maar als je de deur gewoon niet vastdoet, dan ben je een idioot, zo simpel als dat!

Origineel bericht van kristof beerse 19/12/2008
Idioot misschien niet, onverantwoord misschien wel. Je gaat ook niet rijden zonder een rijbewijs. Dus als je dan toch per se wil gaan surfen op het internet en daarbij ook je bankzaken doen, dan kan je best even een pc cursus volgen. Of moet Dexia nu elke gebruiker bij zijn handje gaan vasthouden, internetcursussen gaan organiseren en anti-virus paketten gaan uitdelen? We zullen dan allemaal onze bankkosten zien stijgen.

Origineel bericht van Kris 20/12/2008
Als ze willen dan geven ze je een kastje mee met drukknopjes (keyloggers buiten spel gezet) en aan te sluiten via usb. De encryptie dient te gebeuren in het kastje zelf. Als je gaat betalen aan een automaat, wordt net hetzelfde gedaan, je pincode ingepakt met een AES public key van 256bit richting de bank. Zou het ook dan graag zien met afzonderlijke aansluiting voor een firmware update door de bank (als encryptie achterhaald is).
En Quantum encryptie is nog veel beter, maar beetje duur nog :p

Groetjes,
Kris

Origineel bericht van john 21/12/2008
Het is altijd de schuld van de klanten volgens de banken als er iets misgaat.Als ze niet zo laks waren,met de zuur verdiende centen van hun klanten,zou er niets mislopen.

Origineel bericht van john 21/12/2008
100% veiligheid bestaat niet er is altijd de mens,en dat is de zwakke schakel,zowel aan gebruikerszijde die zijn systeem niet voldoende beveiligd als aan krakers zijde die altijd zal proberen een zwakke plek te vinden.Met een digipas veranderd de code telkens bij ieder gebruik en toch werd het gekraakt.