Martijn Lievaart <m> wrote:
> [1] Maar dan moet de TAN wel een cryptografische hash zijn van de
> rekening, tegenrekening en het bedrag. Ik geloof niet dat er een bank is
> die dat doet, maar dan wordt het vrijwel onmogelijk om een succesvolle
> MITM te doen.

De ING geeft in de TAN SMS ook een deel van het tegenrekening nummer en
het bedrag terug. Als je dat controleert dan is er geen MITM mogelijk.

On 2010-02-03, Rob <nomail> wrote:

> De ING geeft in de TAN SMS ook een deel van het tegenrekening nummer en
> het bedrag terug. Als je dat controleert dan is er geen MITM mogelijk.

Alleen van het rekeningnummer waar het hoogste bedrag heengaat. Als de
evilware er een betaling tussenstopt die 1 euro minder is dan het hoogste
bedrag, dan zie je dat pas terug als het te laat is.

"Jurjen Oskam" <jurjen> schreef in bericht
news:rjen
> On 2010-02-03, Rob <nomail> wrote:
>
> > De ING geeft in de TAN SMS ook een deel van het tegenrekening nummer en
> > het bedrag terug. Als je dat controleert dan is er geen MITM mogelijk.
>
> Alleen van het rekeningnummer waar het hoogste bedrag heengaat. Als de
> evilware er een betaling tussenstopt die 1 euro minder is dan het hoogste
> bedrag, dan zie je dat pas terug als het te laat is.
>>
Ik krijg om te beginnen het totaal bedrag van de verzonden overboekingen te
zien, gevolgd door het hoogste bedrag met de laatste(3) cijfers van de
tegenrekening en een doorlopend volgnummer van het SMS bericht.
Een "tussengestopte" betaling is dus direct te zien door vergelijking van
het totaalbedrag van de verzonden opdrachten (verzendlijst) met de SMS

"bestweter" <bestweter> wrote in news:hkbn8s$2v1d$1@nl-
news.euro.net:

>
> "Willem-Jan Markerink" <w.j.markerink> schreef in bericht
> news:a1nl
>> Theo <nomail> wrote in news:4b6696c7$0$22944
>> $e4fe514c:
>>
>> > Op 30-01-2010 08:08, Willem-Jan Markerink schreef:
>> >
>> >>
>> >> Het kwam hier toch recent aan de orde, als zijnde dat SMS niet de
enige
> nog
> bedoelt,
> je
>> Zijn die dingen nog in gebruik?
> Zo ja, bij welke banken?
>>

Die oude (niet-bankkaart-chip-lezende/pincode-vereisende) calculator wordt
bij ABN-AMRO nog steeds bij het oude zakelijke Telebanken gebruikt
(hetzelfde ding als vroeger bij het ABN-AMRO Homebanking (dus ook een
individuele calculator, voor elke klant anders))

"Willem-Jan Markerink" <w.j.markerink> wrote in
news:Xns9D14E83683F4Cwjmarkerinka1nl:

> "bestweter" <bestweter> wrote in news:hkbn8sv1d@nl-
> news.euro.net:
>
> enige
>
> Die oude (niet-bankkaart-chip-lezende/pincode-vereisende) calculator
> wordt bij ABN-AMRO nog steeds bij het oude zakelijke Telebanken gebruikt
> (hetzelfde ding als vroeger bij het ABN-AMRO Homebanking (dus ook een
> individuele calculator, voor elke klant anders))
>

In dezelfde context nog een nieuwe, nogal hilarische aanzet:

http://tweakers.net/nieuws/65348/fra...-internet.html

"Willem-Jan Markerink" <w.j.markerink> wrote in
news:Xns9D1525DE7AAE0wjmarkerinka1nl:

> "Willem-Jan Markerink" <w.j.markerink> wrote in
> news:Xns9D14E83683F4Cwjmarkerinka1nl:
>> In dezelfde context nog een nieuwe, nogal hilarische aanzet:
>
> [..]
> en-op-internet.html
>>

Franse overheid wil einde aan wachtwoorden op internet

Door Joost Schellevis, woensdag 3 februari 2010 17:43
Submitter: Foamy, views: 19.542

De Franse overheid wil het gebruik van wachtwoorden op het internet
overbodig maken, door gebruikers hun identiteit te laten bevestigen met een
certificaat in de vorm van een smartcard of usb-stick. Beveiligingsbedrijf
Trend Micro is kritisch.

Door internetters hun identiteit te laten bevestigen met een fysiek
apparaat, zou het moeilijker worden om identiteitsfraude te plegen.
Bovendien hoeven gebruikers niet meer 'duizend verschillende wachtwoorden
te onthouden', stelt Nathalie Kosciusko-Morizet, de Franse minister voor
Digitalisering, aldus het Franse 20Minutes. Met het digitale certificaat
zouden gebruikers zonder in te loggen bijvoorbeeld bankzaken kunnen doen,
kunnen winkelen en bepaalde overheidsdiensten kunnen gebruiken. Ook zouden
bepaalde digitale formulieren automatisch ingevuld kunnen worden.

Twintig organisaties, waaronder de Franse vereniging van banken, die van
verzekeringsbedrijven en het postbedrijf, hebben toegezegd deel te willen
nemen in het project. Het is op dit moment echter nog niet bekend hoe het
certificaat, IdéNum geheten, precies zal worden uitgevoerd. Zo is nog
onduidelijk op wat voor medium het certificaat zal worden opgeslagen, of
het de gebruikers geld gaat kosten en hoe het precies zal worden beveiligd.
In de tweede helft van dit jaar moet er een prototype zijn ontwikkeld,
gevolgd door een uitrol in 2011.

Het beveiligingsbedrijf Trend Micro reageert op zijn weblog kritisch over
het IdéNum-project. Woordvoerder Rik Ferguson van Trend Micro schrijft dat
de beveiliging van een dergelijk apparaat erg ingewikkeld kan worden. Zelfs
als het certificaat wordt beveiligd met een pin-code, blijven hackers in
staat om een sessie te kapen, aldus Ferguson. Ook diefstal is een risico.
De Trend Micro-woordvoerder vindt dat elke belangrijke actie door de
gebruiker moet worden bevestigd, bijvoorbeeld door een aan de actie
gerelateerde veiligheidscode op het IdéNum-apparaat in te voeren.

On Thu, 4 Feb 2010 03:43:27 +0100, Willem-Jan Markerink wrote
(in article <Xns9D1525DE7AAE0wjmarkerinka1nl>):

> In dezelfde context nog een nieuwe, nogal hilarische aanzet:
>[..]
op
> -internet.html

Fransen denken altijd dat de rest van de wereld zich wel aan hun idioterieën
zal aanpassen.

On 2010-02-03, bestweter <bestweter> wrote:

>> Alleen van het rekeningnummer waar het hoogste bedrag heengaat. Als de
>> evilware er een betaling tussenstopt die 1 euro minder is dan het hoogste
>> bedrag, dan zie je dat pas terug als het te laat is.
> Ik krijg om te beginnen het totaal bedrag van de verzonden overboekingen te
> zien, gevolgd door het hoogste bedrag met de laatste(3) cijfers van de

Da's waar, dat was me ontschoten. Voor de aanval maakt het echter niet veel
uit: in plaats van dat er een betaling toegevoegd wordt naar een
rekeningnummer van criminelen, vervang je als aanvaller gewoon alle
rekeningnummers (behalve die van de hoogste betaling) door een rekeningnummer
naar keuze.

"Jurjen Oskam" <jurjen> schreef in bericht
news:rjen
> On 2010-02-03, bestweter <bestweter> wrote:
>
> >> Alleen van het rekeningnummer waar het hoogste bedrag heengaat. Als de
> >> evilware er een betaling tussenstopt die 1 euro minder is dan het
hoogste
> >> bedrag, dan zie je dat pas terug als het te laat is.
> > Ik krijg om te beginnen het totaal bedrag van de verzonden overboekingen
te
> > zien, gevolgd door het hoogste bedrag met de laatste(3) cijfers van de
>
> Da's waar, dat was me ontschoten. Voor de aanval maakt het echter niet
veel
> uit: in plaats van dat er een betaling toegevoegd wordt naar een
> rekeningnummer van criminelen, vervang je als aanvaller gewoon alle
> rekeningnummers (behalve die van de hoogste betaling) door een
rekeningnummer
> naar keuze.
>
Ben benieuwd wat er dan binnen enkele seconden na verzenden van de TAN op
het statusoverzicht komt te staan.

On 2010-02-04, bestweter <bestweter> wrote:

>> Da's waar, dat was me ontschoten. Voor de aanval maakt het echter niet
> veel
>> uit: in plaats van dat er een betaling toegevoegd wordt naar een
>> rekeningnummer van criminelen, vervang je als aanvaller gewoon alle
>> rekeningnummers (behalve die van de hoogste betaling) door een
> rekeningnummer
>> naar keuze.
>
> Ben benieuwd wat er dan binnen enkele seconden na verzenden van de TAN op
> het statusoverzicht komt te staan.

Als de aanvaller een beetje goed is, toont hij daar gewoon de originele
rekeningnummers. Dan zie je pas wat er echt gebeurd is als je je rekening
bekijkt vanaf een schone PC.