Een vraag voor Medirect of voor wie er al klant is..

Klopt het dat zowel alle uitgaande betalingen als ook overschrijvingen steeds met SMS code moeten worden bevestigd en kan die SMS functie al dan niet uitgeschakeld worden?

Indien men die SMS functie kan uitschakelen in de instellingen, moet dit dan ook nog eens met SMS code worden bevestigen voor de veiligheid?

Alvast bedankt voor wie dit kan verduidelijken.

Indien je de MeDirect app hebt kan je de handelingen via die weg goedkeuren. Wie de app niet heeft valt terug op SMS. Tijdens het login proces kan je ook aangeven dat je geen toegang hebt tot de app en dan gaat het via SMS (na het invoeren van je wachtwoord). Zover ik weet kan je SMS niet "uitzetten".

Weet dat SMS zo lek is als een zeef en eigenlijk sinds lange tijd sterk afgeraden wordt. In richtlijnen geschreven door NIST staat al enkele jaren dat SMS OTP niet meer geïmplementeerd mag worden voor bank applicaties en er een plan moet zijn voor banken om er vanaf te stappen.
Was voor mij een reden om MeDirect eigenlijk niet meer actief te gaan gebruiken. Zeker omdat ze zich meer en meer als bank voor dagelijks verkeer willen positioneren met hun debetkaarten. Daarnaast is de UI van MeDirect echt verschrikkelijk (maar is persoonlijk zeker).

Sommige andere banken (als Santander) gebruiken het ook nog, maar daar is het risico verwaarloosbaar. MeDirect laat overschrijvingen toe naar "eender welke rekening", Santander (of andere pure spaarbanken) werken met een vertrouwde rekening die niet zo eenvoudig te wijzigen is.

SMGGM schreef: ↑26 augustus 2024, 08:32 Indien je de MeDirect app hebt kan je de handelingen via die weg goedkeuren. Wie de app niet heeft valt terug op SMS. Tijdens het login proces kan je ook aangeven dat je geen toegang hebt tot de app en dan gaat het via SMS (na het invoeren van je wachtwoord). Zover ik weet kan je SMS niet "uitzetten".

Als je bankiert via PC, kan je dan ook de MeDirect app gebruiken ter verificatie in plaats van SMS of werkt die app alleen voor mobiele transacties?

SMGGM schreef: ↑26 augustus 2024, 08:32 Weet dat SMS zo lek is als een zeef en eigenlijk sinds lange tijd sterk afgeraden wordt. In richtlijnen geschreven door NIST staat al enkele jaren dat SMS OTP niet meer geïmplementeerd mag worden voor bank applicaties en er een plan moet zijn voor banken om er vanaf te stappen.
Was voor mij een reden om MeDirect eigenlijk niet meer actief te gaan gebruiken. Zeker omdat ze zich meer en meer als bank voor dagelijks verkeer willen positioneren met hun debetkaarten. Daarnaast is de UI van MeDirect echt verschrikkelijk (maar is persoonlijk zeker).

Als zo'n SMS code onderschept wordt zou er idd een risico zijn gezien die code onbeveiligd is. Als je echter alleen je home wifi gebruikt om bij medirect met SMS code te verifiëren, dus geen publieke wifi, is er dan niet weinig kans dat die SMS onderschept kan worden?

Gaat SMS overigens niet via het telefoonnetwerk dus dat die SMS alleen onderschept kan worden als iemand fysiek toegang heeft tot je kabelnetwerk?

Ik vond ook nog op tweakers ivm NIST (https://tweakers.net/nieuws/113979/nist ... catie.html) dat SMS via "VOIP diensten" onderschept kan worden maar als je gewoon de standaard sms functie op je smartphone gebruikt en dus niet één of andere app, kan je dat risico dan niet vermijden of gaat bij Telenet SMS sowieso ook via VOIP?

Nikki01 schreef: ↑26 augustus 2024, 14:48

SMGGM schreef: ↑26 augustus 2024, 08:32 Indien je de MeDirect app hebt kan je de handelingen via die weg goedkeuren. Wie de app niet heeft valt terug op SMS. Tijdens het login proces kan je ook aangeven dat je geen toegang hebt tot de app en dan gaat het via SMS (na het invoeren van je wachtwoord). Zover ik weet kan je SMS niet "uitzetten".

Als je bankiert via PC, kan je dan ook de MeDirect app gebruiken ter verificatie in plaats van SMS of werkt die app alleen voor mobiele transacties?

Correct. Als je de app hebt geactiveerd en je bent op je laptop bezig, dan gaat die vragen om de app te openen en daar te bevestigen.
Tamelijk gelijkaardig als itsme ofzo.

Maar, zelf al heb je de app geactiveerd, je zal ook de optie hebben om te zeggen "ik heb de app niet" en dus terugvallen op SMS met wachtwoord.

Nikki01 schreef: ↑26 augustus 2024, 14:48

SMGGM schreef: ↑26 augustus 2024, 08:32 Weet dat SMS zo lek is als een zeef en eigenlijk sinds lange tijd sterk afgeraden wordt. In richtlijnen geschreven door NIST staat al enkele jaren dat SMS OTP niet meer geïmplementeerd mag worden voor bank applicaties en er een plan moet zijn voor banken om er vanaf te stappen.
Was voor mij een reden om MeDirect eigenlijk niet meer actief te gaan gebruiken. Zeker omdat ze zich meer en meer als bank voor dagelijks verkeer willen positioneren met hun debetkaarten. Daarnaast is de UI van MeDirect echt verschrikkelijk (maar is persoonlijk zeker).

Als zo'n SMS code onderschept wordt zou er idd een risico zijn gezien die code onbeveiligd is. Als je echter alleen je home wifi gebruikt om bij medirect met SMS code te verifiëren, dus geen publieke wifi, is er dan niet weinig kans dat die SMS onderschept kan worden?

Gaat SMS overigens niet via het telefoonnetwerk dus dat die SMS alleen onderschept kan worden als iemand fysiek toegang heeft tot je kabelnetwerk?

Ik vond ook nog op tweakers ivm NIST (https://tweakers.net/nieuws/113979/nist ... catie.html) dat SMS via "VOIP diensten" onderschept kan worden maar als je gewoon de standaard sms functie op je smartphone gebruikt en dus niet één of andere app, kan je dat risico dan niet vermijden of gaat bij Telenet SMS sowieso ook via VOIP?

De reden waarom het door NIST afgeraden wordt is omdat iemand zich op het telefoonnet kan voordoen als jouw nummer (https://en.wikipedia.org/wiki/SIM_swap_scam). Zij krijgen dan die SMSsen. Alternatief is ook gewoon de telefoon van je slachtoffer bemachtigen (wie schakelt immers notificaties uit wanneer je smartphone vergrendeld is waardoor je gewoon de SMS kan lezen).
Om niet te paniekerig te doen, de kwaadwillige moet al veel weten om je account dus te kraken, namelijk je gebruikersnaam, wachtwoord en telefoonnummer (voor SIM hijcking mogelijk te maken).

Maar het volstaat vaak dat iemand je email account heeft kunnen bemachtigen (is niet het moeilijkste als je het wachtwoord beleid van veel mensen kent).
Je gebruikersnaam zal wel ergens in je mails staan, je wachtwoord is vermoedelijk hetzelfde als dat van je email account en je telefoonnummer zal wel eenvoudig te vinden zijn als je al in de mailbox zit.

Vandaar dat NIST het als "not done" aanziet om nog te gebruiken. SMS is niet geëncrypteerd, notificaties vaak ingeschakeld, gevoelig voor SIM hijacking... Kortom: niet meer goed genoeg ter beveiliging van bankzaken.

NIST is een vrij strikt adviesorgaan. Als iets bewezen is als lek (en zeker als het slachtoffer niet eens een actie moet uitoefenen), dan zullen ze typisch adviseren om het niet meer te gebruiken. Een zeer gerichte aanval op iemand die SMS gebruikt als beveiliging heeft een tamelijk hoge kans om te slagen. In de keuze van beveiliging hoort een bank hier rekening mee te houden, zij moeten hun gebruikers beschermen tegen zo'n dingen.