De laatste maanden is phishing steeds meer aan de orde van de dag. Phishing is een methode waarbij internetcriminelen via willekeurige e-mails aan klanten van banken persoonsgegevens en inloggegevens proberen te ontfutselen. Dit heeft als doel om deze gegevens door te verkopen en/of hiermee vervolgens in te loggen in jouw bankomgeving. Zo kunnen de criminele frauduleuze transacties uitvoeren. Zoals banken vaker benadrukken, zal een bank nooit via email om de inloggegevens of TAN-codes van haar klanten vragen.

Mede door het probleem van phishing heeft AFAS Personal de Bijwerk Assistent geintroduceerd. Naast dat de Bijwerk Assistent een handige toevoeging is om transacties tussen de bank en je huishoudboekje te synchroniseren, is de plugin ook een hulpmiddel om te zien of je je daadwerkelijk op website van de bank bevindt. Wanneer je ingelogd bent bij internetbankieren, zal dit namelijk getoond worden in de AFAS Personal Bijwerk Assistent.

In Google Chrome:

Wanneer je niet bent ingelogd bij internetbankieren is het AFAS Personal logo grijs.

Wanneer je goed bent ingelogd bij je bank is het AFAS Personal logo gekleurd en met een sterretje weergegeven.

In Mozilla Firefox:

Wanneer je niet bent ingelogd bij internetbankieren zie je alleen het AFAS Personal logo.

Wanneer je goed bent ingelogd bij je bank zie je de tekst: “Verbonden met [naam van bank]“.

Als je dus niet op de échte site van je bank zit, kun je dit met de Bijwerk Assistent goed te weten komen. Op deze manier proberen we jou een handje te helpen bij dit type fraude.

Meer weten over de veiligheidsmaatregelen die AFAS Personal neemt? Klik hier voor een overzicht van andere Blog-artikelen over veiligheid.

De laatste maanden is phishing steeds meer aan de orde van de dag. Phishing is een methode waarbij internetcriminelen via willekeurige e-mails aan klanten van banken persoonsgegevens en inloggegevens proberen te ontfutselen. Dit heeft als doel om deze gegevens door te verkopen en/of hiermee vervolgens in te loggen in jouw bankomgeving. Zo kunnen de criminele frauduleuze transacties uitvoeren. Zoals banken vaker benadrukken, zal een bank nooit via email om de inloggegevens of TAN-codes van haar klanten vragen.

Mede door het probleem van phishing heeft Yunoo de Bijwerk Assistent geintroduceerd. Naast dat de Yunoo Bijwerk Assistent een handige toevoeging is om transacties tussen de bank en Yunoo te synchroniseren, is de plugin ook een hulpmiddel om te zien of je je daadwerkelijk op website van de bank bevindt. Wanneer je ingelogd bent bij internetbankieren, zal in de statusbalk van je browser de naam van jouw bank getoond worden:

Op deze manier probeert Yunoo jou een handje te helpen bij dit type fraude. Meer weten over de veiligheidsmaatregelen die Yunoo neemt? Klik hier voor een overzicht van andere Blog-artikelen over veiligheid.

Een paar maanden geleden hebben we de Yunoo Bijwerk Assistent voor Firefox geïntroduceerd, een Firefox extensie waarmee gebruikers direct hun Yunoo rekeningen kunnen bijwerken vanuit het internetbankieren. Vanwege het overweldigende succes (inmiddels is de plugin al meer dan 15.000 keer gebruikt) hebben we besloten om deze methode ook in Internet Explorer beschikbaar te maken. Hoewel dit technisch gezien een stuk ingewikkelder is te maken voor Internet Explorer, hebben we toch een mooie toevoeging aan Yunoo kunnen opleveren!

Deze Bijwerk Assistent simuleert de stappen die je eigenlijk zelf uit dient te voeren om transacties te exporteren en weer importeren in Yunoo. Doordat de data dus gedownload wordt naar je browser en weer geïmporteerd wordt in Yunoo wordt er altijd gebruik gemaakt van beveiligde verbindingen en maakt Yunoo geen contact met je bank.

Bekijk de installatie en gebruiksvideo hier:

[youtube=http://www.youtube.com/watch?v=bjQBIPXOqas&hd=1&rel=0]

Op onze helppagina wordt ook beschreven hoe het mogelijk is de Bijwerk Assistent te installeren en te gebruiken. Voortaan hoeven dus ook Internet Explorer gebruikers geen bestanden meer te exporteren en importeren in Yunoo!

Voor gebruikers van Google Chrome is er ook goed nieuws: we gaan deze week testers uitnodigen om de Chrome-versie te testen! Lees hier hoe je je hiervoor kunt inschrijven.

Deze week is het WisselWachtwoordWeek, een initiatief dat in het teken staat van het vernieuwen van wachtwoorden bij online services (zie ook het artikel ‘Helft gaat slordig om met wachtwoorden‘ op Nu.nl).

Bij Yunoo ondersteunen we dit initiatief van harte, omdat een sterk wachtwoord leidt tot betere beveiliging van je account bij Yunoo. De veiligheidsmaatregelen die Yunoo treft (de veiligheidspagina is nog maar het topje van de ijsberg) zorgen er bij het invoeren van een wachtwoord al voor dat er een advies wordt gegeven om een sterk wachtwoord te gebruiken. Een te zwak wachtwoord wordt overigens niet geaccepteerd. Daarnaast werkt Yunoo met tijdelijke blokkade’s. Wanneer een gebruiker driemaal een verkeerd wachtwoord invoert wordt er om een verificatie gevraagd bij het herstellen hiervan. Echter voelt Yunoo het ook als zijn verantwoordelijkheid om de gevaren van zwakke wachtwoorden te benadrukken en de gebruikers te wijzen op deze gevaren. Daarom hieronder enkele tips:

Een nieuw wachtwoord kiezen

Een aantal zaken die belangrijk zijn bij het kiezen van een sterk wachtwoord:

• Variatie: Het is belangrijk om verschillende wachtwoorden te gebruiken bij de verschillende (online) services of programma’s die je gebruikt. Omdat de combinatie van een e-mailadres en een wachtwoord vaak toegang verschaffen, is het belangrijk dat je bij verschillende programma’s en services verschillende wachtwoorden kiest. Op deze manier wordt de toegang van een dienst zoals bijvoorbeeld Yunoo niet afhankelijk van de toegang tot een andere dienst.
• Sterkte: Een belangrijke tip bij het kiezen van een sterk wachtwoord is te bedenken hoe computerhackers hierbij te werk gaan. Vaak wordt er bij het ‘gokken’ van wachtwoorden namelijk gebruik gemaakt van lijsten waarin bestaande woorden staan. Op deze manier is bijvoorbeeld een wachtwoord ‘secret’ veel onveiliger dan ‘s3cr3t’.

Hulpprogramma’s

De volgende programma’s kunnen helpen bij het kiezen van een nieuw wachtwoord:

• WisselJeWachtwoord: Op de site van Wissel Je Wachtwoord kun je aan de hand van een aantal vragen een nieuw wachtwoord genereren.
• PasswordMeter: Bij het ingeven van een nieuw wachtwoord kun je de sterkte meten. Hierbij wordt rekeningen gehouden met bijvoorbeeld cijfers en speciale tekens.
• KeePass: Wanneer je het lastig vindt om nieuwe wachtwoorden te onthouden kun je deze tool gebruiken om je wachtwoorden op je eigen computer op te slaan. Houdt hierbij wel rekening met het feit dat het hoofdwachtwoord dan toegang biedt tot al je wachtwoorden (!)

Zoals bij alle persoonlijke gegevens is het altijd belangrijk om te bedenken hoe je hier mee om wil gaan. Met bewustwording kom je al een heel eind. Met bovenstaande tips hopen we jou meegeholpen te hebben om het gebruik van internet zo veilig mogelijk te houden.

Vandaag werd bekend dat de website Kasboek.nl, van het bedrijf Invers BV, transactiebestanden van gebruikers heeft opgeslagen op een plek die publiek toegankelijk was (zie: Tweakers.net). We betreuren dat een website waar mensen hun persoonlijke financiën beheren, niet voldoende beveiligd was om deze transacties ook 100% persoonlijk te houden. Daarnaast vinden we dit slecht voor het beeld dat er kan ontstaan over online huishoudboekjes, waartoe ook Yunoo behoort.

Yunoo heeft als grootste online huishoudboekje van Nederland (meer dan 100.000 geregistreerde accounts) een belangrijke taak om de veiligheid en privacy van haar gebruikers  te garanderen. Yunoo treft de allerstrengste maatregelen op het gebied van de veiligheid. Een ‘lek’ zoals daarover wordt bericht in het geval van Kasboek.nl is daarom bij Yunoo volstrekt onmogelijk. Om alle veiligheidsmaatregelen bij Yunoo uit te leggen hebben we een webpagina beschikbaar waar alle maatregelen worden toegelicht. Deze webpagina vind je hier: http://www.yunoo.nl/veiligheid.html.

Heb je vragen over de veiligheid van Yunoo, dan nodigen we je graag uit om deze te stellen via support@yunoo.nl. We zullen je vraag dan zo snel mogelijk beantwoorden.

Veel gebruikers vragen ons naar de veiligheid van Yunoo. En of wij net zo veilig zijn als hun bank. Een terechte vraag, want persoonlijke financiën moeten persoonlijk blijven. Daarom blijven wij bij Yunoo onze uiterste best doen om de veiligheid van jouw gegevens te waarborgen. Lees daarom ook eens ook blogposts over veiligheid en de pagina op onze website.

Één onderdeel van de veiligheid voor onze gebruikers is het zogenaamde SSL-certificaat. Een SSL-certificaat wordt afgegeven wanneer jouw data wordt versleuteld tijdens de interactie met een website. Er bestaan verschillende soorten SSL-certificaten, die verschillen in veiligheid. Sinds maart 2009 beschikken we over een zeer streng SSL-certificaat dat gevalideerd is door Verisign, waarmee de verbinding met Yunoo zeker zo veilig versleuteld is als bij je bank.

Bij Yunoo houden we regelmatig in de gaten of het mogelijk is om onze veiligheid te verhogen en hoe we presteren ten opzichte van andere websites die te maken hebben persoonlijke financiën. De website SSLLabs.com biedt hiervoor een tool die de diverse elementen van het SSL-certificaat test en daar een totaalscore aan hangt op een schaal van 0 tot 100. Hieronder de resultaten van een test die we op 7 juli uitvoerden met Yunoo in een vergelijking met andere financiële instellingen:

* UPDATE 30 juli 2010:
Leaseplanbank heeft inmiddels in een reactie naar Yunoo laten weten dat ze haar SSL-certificaat heeft aangepast, waardoor de beveiligde omgeving van Leaseplanbank inmiddels ook 88 punten scoort in deze vergelijking.

De nieuwe overheidssite veiliginternetten.nl is een nieuw initiatief om de Nederlandse internetgebruiker attend te maken op de gevaren van het internet en hoe men veilig met gevoelige informatie om kan gaan:

“We doen steeds meer online: van netwerken tot onze bankzaken. Helaas heeft dat ook risico’s. Virussen kunnen voor ongewenste reclame zorgen, of je wachtwoord kan gestolen worden. En er zijn nog veel meer manieren waarop kwaadwillenden je gegevens kunnen achterhalen. Want veel van wat je onbeveiligd op internet zet, is openbaar. Gelukkig kun je met een aantal maatregelen je gegevens goed beschermen tegen cybercrime, zoals deze criminaliteit op internet ook wel genoemd wordt. “

Yunoo sluit zich volledig aan bij dit initiatief en doet, zoals al eerder geschreven in andere posts, er alles aan om de privacy van de gebruiker te waarborgen en raadt iedereen dan ook aan om deze site eens door te nemen.

Vanaf de start zijn we bij Yunoo intensief bezig met de beveiliging van het product. Op verschillende niveau’s zorgen we ervoor dat de veiligheid en de privacy van onze gebruikers en haar gegevens gewaarborgd worden. Eerder berichtten we omtrent de veiligheid over de SSL validatie en de dagelijkse scan door McAfee.

Wachtwoord herstellen
We doen er dan ook alles aan om deze veiligheid steeds verder te verbeteren en de gebruikersgegevens zo optimaal mogelijk te beschermen. Een recente aanpassing die hier betrekking op heeft is de verificatie bij het herstellen van het Yunoo wachtwoord. In het verleden was verificatie per email voldoende. Echter, om te voorkomen dat een persoon onrechtmatig toegang krijgt tot de gegevens van de gebruiker, is het nu noodzakelijk dat (na een bevestigingsemail) het bedrag van een willekeurige transactie wordt ingegeven om het wachtwoord te herstellen. Op deze manier gebruiken we de toegang tot het internetbankieren als extra veiligheidscheck.

Security audit
Daarnaast heeft iBuildings een complete security-audit op ons systeem uitgevoerd, waarover nu een klantencase is verschenen. Klik hier om deze klantencase te lezen.

Sinds vandaag beschikt Yunoo over een uitgebreid SSL certificaat. Dit betekent dat we naast de beveiligde SSL verbinding die we al hadden, nu ook als organisatie erkend worden door een externe partij. Dit is terug te zien in de adresbalk van de browser die je gebruikt.

Het internationale bedrijf Thawte heeft Yunoo gevalideerd op basis van identiteit. Er zijn wereldwijd weinig bedrijven die deze uitgebreide certificaten mogen uitgeven. Voor het verkrijgen van het certificaat moet je als organisatie aan hoge eisen voldoen. In Nederland zijn er een aantal partijen die beschikken over een uitgebreid SSL certificaat.

‘Thawte’s SSL Web Server Certificate with EV offers corporations and government entities the highest industry standard for identity authentication as well as 256-, 128-, 56- or 40-bit encryption.’

Meer informatie

Wat houdt dit in voor de gebruiker?
Dit betekent dat je als gebruiker een verbinding maakt met de servers van Yunoo die zeer veilig en betrouwbaar is.

Hoe ziet dit eruit?

In Internet Explorer 7 is de gehele adresbalk groen gekleurd:

In Firefox is er een extra groen gekleurd vak voor de adresbalk:

In andere browsers, zoals Safari, Chrome of Opera is dit op een soortgelijke manier te zien. Wanneer dit niet het geval is, neem dan contact op met support’at’yunoo.nl.

Na een uitgebreide security audit afgelopen december/januari wordt Qash nu ook dagelijks getest door McAfee Secure (voorheen Hackersafe). De scan zorgt ervoor dat de Qash servers elke dag worden onderworpen aan de laatste veiligheidslekken. Met deze service tillen we de veiligheid van Qash naar een hoger niveau.

Import update
Daarnaast hebben we ook de import van de Fortis Bank geoptimaliseerd. Het TAB gescheiden exportformaat van de Fortis Bank was namelijk iets gewijzigd, maar gelukkig hebben we het probleem snel verholpen.