@0 - nog meer superieur is gewoon de TAN lijst op papier. Valt er ook niets te onderscheppen (behalve door de postdiensten, en gerommel aan de envelop e.d. valt nogal op.
mTAN blijft inderdaad wel een stuk makkelijker dan dat gepriegel met USB apparaten of calculators.

Overigens valt het allemaal best mee. De daders moeten..
1. Je gebruikersnaam en wachtwoord te pakken krijgen
2. Je telefoon gegevens (IMEI e.d.) te pakken krijgen
3. Je SIM gegevens te pakken krijgen / dupliceren (bijna onmogelijk bij nieuwere SIMs, vooral de z.g.n. Ki code, voor het authenticeren op een netwerk, kom je niet 1-2-3 bij; die zit in je SIM chipje ingebakken zonder toegang van buitenaf)
4. In zien te loggen op het netwerk met die gekaapte telefoon+SIM.

Normaliter wordt er van zowel IMEI als SIM code maar één toegestaan op een netwerk. De 2e wordt gewoon niet toegelaten, en als blijkt dat het uit een andere regio komt dan de 1e, wordt er ook nog eens onderzocht wat daar aan de hand kan zijn.

Al met al is het dus vrij moeilijk om dit voor elkaar te krijgen. Dat het dan toch ergens, met een bepaald merk+type+serienummer reeks (uit 1 bepaalde fabriek) kan, doet me toch denken dat er iets meer aan de hand is; bijvoorbeeld ondersteuning voor verouderde protocollen, beveiligingsdiensten, etc.
De oplossing is even simpel als pijnlijk: de verouderde SIMs e.d. niet meer toelaten op het netwerk; de bestaande klanten met verouderde SIMs compenseren met nieuwe.

@1

je heb helemaal gelijk, maar het grootse probleem van beveiliging is de rekeninghouder, sommigen vullen zomaar hun gegevens in als erom gevraagd wordt.

en op die sukkels jagen de criminelen juist.

Zo'n papiere tanlijst is ook al gekraakt. Onderzoekers hebben aangetoond dat je met een gewone baksteen een ruit kan ingooien. Daarna is het een eitje om een huis binnen te komen een foto van de tanlijst te maken.

Die calculators zijn helemaal handig. Vooral als je op straat overvallen wordt en ze dwingen je je pincode te vertellen. Dat kunnen ze mbv zo'n calculator meteen checken, omdat die een foutcode geeft als je een vekeerde pincode invult. Ideaal!

Volgens mij is dit net zo moeilijk dan loginnaam + wachtwoord phishen en vervolgens de bankpas stelen van het slachtoffer. Zo'n digipass (je weet wel: die rekenmachine waar je je bankpas in moet steken) van de Rabobank heeft iedereen nog wel liggen.

Zoals ZeBoxx bij 1 als schreef: als ze inderdaad die IMEI code van je telefoon nodig hebben dan komt dan neer op het stelen van je telefoon + loginnaam + wachtwoord. Dan maakt het beveiligingssysteem niet meer uit. We zullen helaas allemaal zeer goed op onze bankpas, telefoon, pincode en inloggegevens moeten passen. En onmiddellijk de Bank bellen als je je portemonnee of mobieltje kwijt bent. En je password onmiddellijk veranderen.

@3

slaat helemaal nergens op.

dat is het zelfde als dat je een pistool op iemands hoofd zet en zijn pincode van zijn pinpas vraagt.

wedden dat je het vertelt.

Dit trucje is al maanden bekend. Niet voor niets kost een Nokia 1100 op Marktplaats honderden euro's.

Tsja,

Ik tweet me suf op Twitter, maar dit is toch echt een reloaded HOAX. Voor het ontvangen van SMS-berichten zal je wel aangemeld moeten zijn op een GSM netwerk. Als je met een 2de telefoon wilt aanmelden zal je toch altijd eerst de SIM-kaart van de bankrekeninghouder moeten klonen en dit is NIET mogelijk. In de begin jaren van GSM werd voor het versleutelen van de Ki code 128COMP-V1 als algoritme gebruikt, deze bleek relatief eenvoudig te regenereren en was het mogelijk de Ki code te achterhalen. Sinds 2001 wordt betere encryptie gebruikt in versie 2 en inmiddels wordt zelfs 128COMP-V3 gebruikt.

Dit verhaal kan alleen opgaan als de bankrekeninghouder een duokaart heeft die door crimineel gestolen is. Tot voor kort moest dan één van je toestellen uitstaan maar met de nieuwe generatie duokaarten is ook dat niet meer nodig. Bewaak je duo SIM-kaart dus goed en wees alert op TAN-codes die ongevraagd op je GSM verschijnen!

Wat maar digitaal kan doe ik digitaal. Die tancodes echter heb en hou ik op papier. Veiliger kan het niet.

@3,

Ja en? Bij wijze van spreken mag iedereen een kopie van mijn tan-lijst hebben. Wat ik ze niet geef is mijn wachtwoord en gebruikersnaam. En daar komen ze nooit achter.

@3 het grote punt is dat een missend (gejat), verplaatst (voor kopie/foto), etc. stuk papier makkelijk te zien is. Jij kan echter -niet- zien of iemand jouw mTAN codes onderschept (mocht je slachtoffer worden van deze hack op één-of-andere manier); als je daar achter komt, ben je al te laat, zeg maar.

Overigens kan ik mensen met zo'n TAN lijst op papier wel 1 ding aanraden dat 'm nog veiliger maakt:
1. kopieer 'de originele lijst naar je computer (nooit opslaan, natuurlijk!)
2, verschuif de TAN codes tenopzichte van de TAN index met een bepaald getal. Onthoud dit getal!
3. druk het resultaat af.
4. Vernietig het origineel.

Heeft iemand nu toch op een manier een kopie kunnen maken, EN hebben ze je gebruikersnaam/wachtwoord ergens vandaan, dan proberen ze een transactie bij de bank, de bank vraagt om, zegge, index 12, zij vullen de TAN code naast 12 in en... nope, werkt niet. En tenzij -zij- weten hoeveel je het hebt verschuift (bijv. met 20), zullen zij er ook niet achter komen wat er nou mis gaat (namelijk dat ze eigenlijk de TAN code naast 32 hadden moeten hebben), en 1. geven ze het al snel op en 2. weet de bank dat er iemand wel heel vaak de TAN code fout heeft en de boel kan controleren.

@5 Yup - xkcd had daar een to-the-point strip van:
http://xkcd.com/538/

Maar op dat moment is er natuurlijk nooit een houden aan. Dan kan je wel bij de bank in persona ontboden moeten worden, maar dan zegt zo'n crimineel ook gewoon "ga naar de bank, presenteer je ID, zet je krabbel, en neem het geld mee - of je [vrouw|man|zoon|dochter|whatever] krijgt een kogel."

Dat wil nog niet zeggen dat je dan maar helemaal geen beveiliging moet gebruiken, natuurlijk :)

Belachelijk!
Met een hergeprogrammeerde Nokia 1100 lukte het de medewerkers van Ultrascan een mobiel nummer van iemand te kapen en een TAN-code van de Duitse Postbank te onderscheppen, liet het bedrijf weten.
Wel lullig dat we hier geen postbank meer hebben, en al helemaal geen Duitse.

#2 Dat is idd de kern van het probleem, want vaak zijn dat soort types die denken dat alles echt is en niet verder kijken dan hun neus lang is (om maar iets te noemen of een link met https begint), maar dit soort mensen blijf je helaas houden

UltraScan maakt wel meer dubieuze claims.
Feit is wel dat uit 2001 stammende Nokia 1100 veel geld waard is.

Misschien meer omdat je de IMEI code kunt resetten tot allemaal nullen, zodat bij afluisteren de telefoon niet meer aan een persoon gekoppeld kan worden.
Goed voor privacy.

Het is gewoon een SMS'je die ze hebben afgevangen waar niemand ook maar iets aan heeft. Ergo: Stom bericht.

contant geld en betalen is het best voor de vrije burger.die geen slaaf wil zijn

Er gaat niets boven een e-reader van de ABN AMRO. Een telefoon is handiger, maar je ziet het zelf het is niet veiliger. Ik moet nog het eerste bedrijf tegenkomen die de e-reader heeft gehackt.

PFFFFFFFFFFF oud nieuws..

1- koop of regel zelf logins van postbank (makkelijk)
2- Zoek een vriend of kennis die bij een belcompany of iets derg. werkt
3- Geef hem 50euro om een "duplicate sim" aan te maken. Dit doen ze bv als je simcard is beschadigt of kwijt hebt geraakt
4- stuur een tan en ontvang dit op je dup. sim
5- maak het geld over


het is echt niet iets waar je het woord Hacker in kunt gebruiken.. mensen overschatten wat een "normaal"persoon kunt doen. je hoeft echt geen hacker te zijn..

~Met een gestolen mobiel telefoonnummer in combinatie met inlogcode en wachtwoord voor internetbankieren, zouden hackers rekeningen kunnen leegroven.

Dat is nogal een bult informatie, waaronder gegevens die alleen bij het eventuele slachtoffer bekend horen te zijn.

Punt blijft dat de zwakste schakel in alle beveiligingskwesties de mens (gewoontedier) is. PEBKAC noemen nerds dat volgens mij...

Ik blijf mijn via sms verstuurde TANcodes gewoon gebruiken

bs

http://www.portablegear.nl/nieuws/1/64/9546/Nok...

Dat postbank tancode gedoe is 2 factor authentication (iets wat ik heb [uniek nummer] en iets wat ik weet [wachtwoord]) uit het stenen tijdperk, en ze gebruiken het gewoon voor transacties alleen, niet eens voor inloggen.

Met een keylogger op je pc (meestal een virus) kunnen ze je complete hebben en houwen zien als je ook maar 1x inlogt op die besmette machine.

Daarom moeten ze daar (postbank, ing) heel snel een calculator systeempje introduceren. Het spel World of warcraft heeft ze zelfs, waarom een bank niet, haast schandalig.

@20
Wow heeft nog niet overal calculator, ik ook niet. Maar ik ben niet dom om overal in te trappen, en ik ben al meer ervaren over internet. Gegevens zoals IMEI en passwords ga ik niet lukraak rondstrooien. En ik negeer alle emails die me vragen om passwords en logins omdat er "problemen" zijn met de security van de bank.

Het probleem met de banken zijn de goedgelovige mensen. Vooral mensen die weinig ervaring hebben met de gevaren van email phishing, fake sites, niet goed bijwerken van scanners, en nog wel meer problemen. De mensen weten niet dat zulke dingen gevaarlijk zijn.

Banken moeten daarom hun klanten leren goed te kunnen zien wat goed en fout is, door middel van de brochures per post. Alleen zo kan men voorkomen dat klanten in de val lopen en daar hebben banken weer problemen mee.
Ze kunnen hen verplichten antivirus te laten installeren (b.v. cdrom aan hen geven met antiviruspakket) anders mogen ze niet onbeveiligd internet op. Het zijn goedbedoelde maatregelen om ellende te besparen, voor klanten en voor bank zelf.

Ik ben het roerend eens met MrDummy hierboven. De *klant* zelf is en blijft de aller zwakste schaken in het geheel.

Zodra er een keer een rekening leeggeroofd is met een gehackt mobieltje en de ING dat geld niet heeft teruggegeven moeten ze dat systeem maar aanpassen.

Tot die tijd blijf ik blij dat ik niet hoef te pielen met zo'n vervelende calculator. Ik vind dat gewoon erg irritant. En zo'n calculator heeft nog nooit kunnen voorkomen dat de rekening van een omaatje leeggeroofd wordt omdat ze haar pincode achterop haar bankpas heeft geschreven.

Uhm ,. oud nieuws...... van de ouderwetse Nokia 3110 versie is de
chipset ook te manipuleren als zijnde 'monitor mode'. Hierdoor was het in augustus 2007 al mogelijk om mogelijk SMS verkeer te onderscheppen in een omtrek van +/- 10 KM. Dit maakt dus duidelijk dat een toegezonde TAN code ook al onderschept kon worden in 2007. Eveneens zijn alle tel nummers te traceren via deze 'monitor' hack. In 2007 augustus was dit bewezen op de Hacker Gatherings te Duitsland. Ik snap dus niet waarom dit 'spuit 11 nieuws' nu pas bekend wordt gemaakt ......

Ja het kan altijd ghecker !

... waar studeert men nog journalistiek en waar leert men nog echt bronnen natrekken? Alles leidt wederom tot firma 'Ultrascan'. Heeft iemand van die nieuwe of oude media ooit deze firma nagetrokken? Nee? doe dat eens?

Het wordt tijd, dat Nokia een einde maakt aan dit broodje aap verhaal, immers 'broodje aap' is niet onbeperkt lang houdbaar.

"Nokia 1100 gemaakt in Duitsland uit 2001" ... Vraag: wanneer heeft Nokia voor het eerst een officieel persbericht uitgevaardigd om de lancering van dit toestel aan te kondigen? Nokia weet haarfijn wat er uit die fabriek gerold is (en vooral wanneer).



Om een IMEI code te wijzigen, hoef je geen 1100 te hebben. Dat kan met elk DCT4 toestel of... nog makkelijker, neem een DCT3 toestel, waarom niet?
Ergo, is weliswaar foei, maar niet baanbrekend. En dan SIM card clonen, ja... 'nu we toch bezig zijn'. Dutchframe heeft dat prima uitgelegd in #7, waarom dat nog steeds niet kan.

Kortom, we zijn rond. Een gerucht werd een hoax en de hoax verwijst weer terug naar het gerucht.

En kennelijk hebben voormalige scriptkids tegenwoordig een baan als webjournalist die mekaar 'waarheden' toeschuiven, net als vroeger.

Frits

Zoals wel meer mensen aangeven, het onderscheppen van sms-berichten is inderdaad al een paar jaar geleden gelukt met verschillende telefoons en niet alleen die 1100.

@dewaarheid7070:
Het zou wat zijn als een vriendje van de phonehouse zomaar even een sim kan kopieren. Want je hebt voor het maken van die kopie alsnog wat dingen essentiele informatie nodig, plus dat het geregistreerd wordt. Dus als de originele gebruiker erachter komt dat zijn sim gedupliceerd is, kan het vrij simpel achterhaald worden door wie.

@allesbeterweter
Dus jij zweert bij de digitale readers van banken? Readers waarbij je allerlei vitale informatie moet invullen op een website? (rekeningnummer, pasnummer, responsecodes) ABN Amro heeft een grote stap voorwaarts gemaakt met haar nieuwe Edentifier 2 overigens, waarbij minder data hoeft te worden ingevoerd op de pc maar toch blijft het ook daar een kwestie van een door alchoritme onstane code. En die code wordt op dezelfde wijze aangemaakt bij de ING. Het inloggen gaat misschien wat makkelijker omdat die stap met username/password werkt, maar hey wat willen ze dan nakijken? wat ik uitgeef maandelijks?
Ongeveer een jaar geleden kwam er ook zo'n halfgare professor van één of ander beveiligingsbedrijf die beweerde dat de creditcard-gegevens van de postbank simpel af te lezen zou vallen. Alleen de laatste 4 cijfers staan online!!!!!
En je mobiele nummer wijzigen? Bevestiging wordt verstuurd naar je oude nummer, heb je die niet meer? dan zul je eerst de betaalfunctie binnen IB moeten verwijderen en die opnieuw aanvragen en dat gaat per post met met handtekeningcontrole.

Wat vooral belangrijk is en dat heeft iedereen hier wel door; clienten van alle banken weten niet waar ze mee bezig zijn. Het is te erg voor woorden als je ziet wat ze allemaal vergeten en zomaar voor lief nemen. En het blijf niet alleen bij het inloggen dat ze klakkeloos op sites dingen invullen.
We zitten allemaal te vloeken op al die managers van banken die ons in de economische crisis hebben gestort, maar als je toch eens ziet hoe onzorgvuldig mensen met hun eigen geld omgaan dan moet je een gedeelte van die crisis toch ook bij jan en alleman leggen.

Leuk en als die bankrekening word geplunderd en er staat 100 euro op.
Schiet lekker op allemaal :D

Frits G (#24) en Dutchframe (#7) bedankt voor de uitleg en de klare taal. Jullie komen geloofwaardig over. Het nieuwsbericht niet. :-)

niemand die aan die bankgegevens kan komen ?? verkoop ofso??