ING.com Veiligheid

Achtergrond

Met onderstaande algemene informatie hoopt ING eventuele zorgen over de veiligheid van internet, waaronder online-transacties, weg te nemen. Voor meer specifieke vragen kunt u contact opnemen met uw bank, tussenpersoon of ING-vertegenwoordiger.

ING stelt al het mogelijke in het werk om uw gegevens en transacties optimaal te beschermen. Bescherming van de gegevens van onze klanten is voor ons onderdeel van een goede bedrijfsvoering. Hoezeer wij ons ook inspannen, het internet brengt risico’s met zich mee. U kunt zelf een aantal maatregelen nemen om u te beschermen. Met onderstaande informatie hopen wij u daarbij van dienst te zijn.

Actuele veiligheidskwesties

We geven regelmatig nadere informatie over actuele veiligheidskwesties waarover wij van mening zijn dat u daarvan op de hoogte moet zijn. Dergelijke veiligheidsupdates vindt u terug op deze pagina.

Fraude met bankgaranties

Bij fraude met bankgaranties is er sprake van een zogenaamd beleggingsplan, waarbij wordt beloofd dat u in korte tijd zeer rijk kunt worden door bankgaranties te kopen van eersteklas banken als ING. De fraudeurs nodigen u uit mee te doen met hun plan, waarbij ze vertellen dat de bankgaranties met een korting worden gekocht en kort daarna met enorme winst weer doorverkocht worden.

Met ingewikkelde, officieel ogende, documenten doen de fraudeurs voorkomen alsof het beleggingsplan juridisch helemaal in orde is. Daarnaast vertellen ze onwaarheden, bijvoorbeeld dat de fondsen waarin u belegt, gedekt zijn door documentair krediet, een bankgarantie of andere garantiecertificaten afkomstig van de grootste banken ter wereld. Er wordt gesteld dat u een hoge winst kunt realiseren wanneer u een groot bedrag belegt. Maar zodra u het geld hebt overgemaakt, is het verdwenen, samen met de beleggingsmaatschappij.

Ga nooit in op dergelijke e-mails. Zij vormen onderdeel van fraudepraktijken en u zult nooit iets van het beloofde geld ontvangen.

Nepvacatures

Door middel van een nepvacature in een e-mailbericht, waarin oplichters zich uitgeven als vertegenwoordigers van bepaalde bedrijven, worden werkzoekenden uitgenodigd op een functie te solliciteren. Het blijkt hier echter om een vorm van witwassen te gaan. ING Groep is op geen enkele manier betrokken bij dergelijke wervingspraktijken.

Criminelen worden steeds geraffineerder, waardoor deze e-mails uw naam en andere persoonlijke gegevens kunnen bevatten. Hierdoor wordt het moeilijker vast te stellen dat het hier om fraude gaat.

Wanneer u dergelijke e-mails ontvangen, kunt u hier beter niet op reageren. Heeft u dat wel gedaan, dan kunt u overwegen dit te melden bij de politie.

“Phishing”

Phishing is een vorm van internetfraude waarbij officieel uitziende e-mailberichten worden verzonden die aan de hand van antwoordgegevens, links en logo lijken te zijn verzonden door banken, winkels, creditcardbedrijven etc. Dergelijke e-mails bevatten over het algemeen een link naar een nepwebsite, waar aan rekeninghouders wordt gevraagd hun naam en beveiligingsgegevens in te toetsen, onder het voorwendsel dat deze gegevens moeten worden geactualiseerd of gewijzigd. Zodra u deze gegevens hebt ingevoerd kunnen deze op legitieme websites worden gebruikt om geld van uw rekening af te schrijven.

Het is van groot belang dat u uiterst voorzichtig omgaat met e-mails waarin gevraagd wordt naar dergelijke informatie. Zie ‘Gang van zaken bij ING’ voor nadere informatie hierover.

Imitatie van ING-websites en Apps

ING zoekt het internet af naar namaak-websites en Apps, aangezien dit vaak de eerste stap is die door ‘phishers’ wordt gezet. Vervolgens werken wij samen met internationale instanties om deze websites zo snel mogelijk te laten afsluiten en Apps uit de App store te verwijderen – soms zelfs al dezelfde dag waarop we dergelijke websites of Apps vinden.

Om uw phishing aanval te melden stuurt u een email naar ons security team.

Advanced Fee Fraud

U hebt wellicht al gehoord over “advanced fee fraud”, waarbij u via de e-mail grote sommen geld krijgt aangeboden en waarbij gevraagd wordt om een kleine vergoeding voor juridische kosten, om een rekening te openen of om douanerechten te betalen. Soms wordt gesteld dat het aangeboden geld afkomstig is van een loterij waar u nooit aan hebt mee gedaan. Soms ook wordt gezegd dat het geld op een overzeese rekening staat waar de rekeninghouder niet bij kan, en wordt u een percentage van het geld beloofd voor uw hulp. In alle gevallen wordt u verzocht een bepaalde vergoeding te betalen.

Ga nooit in op dergelijke e-mails. Zij vormen onderdeel van fraudepraktijken en u zult nooit iets van het beloofde geld ontvangen.

Wij waarschuwen u hiervoor omdat dergelijke criminelen soms ook de naam van ING of van dochterondernemingen van ING gebruiken als onderdeel van hun zwendelpraktijken.

Gang van zaken bij ING

Van tijd tot tijd communiceert ING met haar klanten via de e-mail. Hoe kunt u weten of deze mails echt van ons afkomstig zijn of dat het hier om fraude gaat?

  • E-mails van ING zijn altijd op naam gesteld.
  • ING zal u nooit via een e-mail doorverwijzen naar een website waar u beveiligde informatie moet invoeren.
  • ING zal u nooit vragen om via e-mail persoonlijke gegevens te bevestigen.
  • ING maakt gebruik van moderne encryptie-technologie en legalisatiesystematiek waarmee transacties worden beveiligd. Deze verschillen per land, dus vraag uw ING kantoor van welke processen gebruikt wordt gemaakt.
  • ING zal U nooit via mail laten weten dat uw rekening zal worden beëindigd als u uw persoonlijke gegevens niet bevestigt, controleert of verifieert.
  • ING zal nooit vragen om uw persoonlijke gegevens te controleren als gevolg van een systeem upgrade of verbetering in de beveiliging.

Wanneer klanten twijfelen over bepaalde e-mails die zij (ogenschijnlijk) van ING hebben ontvangen, dienen zij met hun bank contact op te nemen.

Controle van websites

Klanten moeten zeker weten dat de website die zij bezoeken daadwerkelijk van ING is en dat dit een beveiligde site is.

Controleer of de website veilig is:

  • De URL begint met https://
    OF
  • Het applicatiescherm laat een SSL (Secure Sockets Layer) Library zien.

Bij https verschijnt er in de browser een icoon met een gesloten hangslotje zoals hieronder getoond.

Wanneer u klikt op het icoontje met het hangslot dan verschijnt er een beveiligingscertificaat. Dit certificaat laat zien wie de eigenaar van de website is; hier moet de naam van uw bank staat. Controleer of de gegevens en de rechtsgeldigheid kloppen.

Wij werken samen met bekende certificeringinstituten, zoals Verisign, GlobalSign en Thawte.

Wanneer klanten twijfelen over een website, dan dienen zij contact op te nemen met hun bank.

Wat kunt u doen om uzelf te beschermen tegen frauduleuze apps voor smartphones?

Het enkele feit dat een App in een App Store is opgenomen, betekent niet dat het een legitieme app is. App store eigenaars verwijderen voortdurend frauduleuze apps uit de app stores, zoals nep-antivirus, browsers, en spelletjes. Cyber-oplichters proberen ook om ING producten imiteren. Zij proberen met alle mogelijke middelen om u te verleiden tot het installeren van een nep-app. Criminelen gebruiken e-mails en SMS-berichten die lijken afkomstig te zijn van een vertrouwd merk, bv ING, om u te verleiden tot het downloaden van toepassingen die de vertrouwelijkheid van uw gegevens in het gedrang brengt. Soms zullen fake apps zich voordoen als beveiligingsupdates, en vragen u te klikken op de links, hetgeen kan leiden tot gegevendiefstal.

Download alleen apps uit officiële bronnen. Voor het downloaden van elke app, is het goed wat onderzoek te doen. Hoe vaak de app is gedownload? Een populaire app is een kenmerk van een legitieme app. Lees app reviews, kijk naar de ontwikkelaar, en doe een zoekopdracht online.

Als u een onverwachte SMS, een vreemde waarschuwing of kennisgeving, of ongebruikelijke verzoeken van ING of andere bekende merken ontvangt, let dan op: criminelen kunnen proberen om een frauduleuze app te installeren. Wees voorzichtig met een link aan u geleverd en lees altijd eerst het bericht. In plaats van gebruik te maken van de in het bericht meegeleverde koppeling, gaat u beter direct naar de website of app-winkel die u normaal gebruikt en logt u in op uw account zoals u dat normaal zou doen.

Beschermingsmaatregelen

Bescherm uw persoonlijke informatie

Uw rekeningnummer, klantnummer, PIN-code (wachtwoord), belangrijke data en identificatienummer kunnen toegang geven tot uw rekening. Schrijf deze gegevens nooit op in notitieboekjes en dergelijke, geef ze niet af aan anderen en noem ze niet in een e-mail. Vernietig documenten die persoonlijke informatie bevatten en ga zeer voorzichtig om met het invoeren van persoonlijke informatie op sociale netwerk sites op internet. Criminelen kunnen dergelijke informatie gebruiken om fraude te plegen. Vergeet niet dat bescherming van klantnummer, PIN-code, wachtwoorden, en beveiligingsgegevens uw verantwoordelijkheid is.

Bescherm uw computer

  • Installeer steeds de laatste software en patches om te voorkomen dat hackers of virussen uw computer kunnen binnendringen;
  • Installeer antivirus-software op uw computer en actualiseer deze regelmatig om uw computer te beschermen tegen virussen en om te voorkomen dat hackers Trojan-virussen op uw computer installeren.
  • Installeer en actualiseer anti-spyware software
  • Installeer en actualiseer persoonlijke firewalls
  • Maak alleen gebruik van programma’s van bekende, betrouwbare leveranciers.

Pas op voor spam

  • Gebruik een spam-filter om te voorkomen dat u dergelijke berichten ziet.
  • Beantwoord nooit een spam-bericht. Dat weet men dat uw e-mailadres gebruikt wordt en neemt de hoeveelheid spam alleen maar toe.
  • Wanneer u spam-berichten leest, realiseer u dan: wanneer een aanbieding te mooi lijkt om waar te zijn, dan is het dat waarschijnlijk ook.

Meldpunt kwetsbaarheden

Responsible disclosure

Bent u deskundig en ontdekt u een kwetsbaarheid in onze systemen? Help ons dan door deze kwetsbaarheid te melden. Zo kunnen we samen de veiligheid en betrouwbaarheid van onze systemen verbeteren.

ING en veiligheid

Als ING vinden wij het belangrijk dat onze klanten veilig kunnen bankieren en altijd gebruik kunnen maken van onze online dienstverlening. Elke dag (en nacht) werken specialisten aan het optimaliseren van de systemen en processen. Toch kunnen kwetsbaarheden ook in onze systemen voorkomen.

Wat kunt u melden?

U kunt problemen melden die betrekking hebben op de veiligheid van diensten die ING aanbiedt via internet. Mocht u een probleem of zwakke plek gevonden hebben, meld dit ons dan zo snel mogelijk. Voorbeeld van kwetsbaarheden die gemeld kunnen worden:

  • Cross Site Scripting (XSS)-kwetsbaarheden
  • SQL injectiekwetsbaarheden
  • Encryptiezwakheden

Problemen bij voormalige ING-onderdelen kunt u niet bij ons melden.

Waar is responsible-disclosure@ing.com niet voor bedoeld?

Hoe kunt u een melding doen?

U kunt uw melding per e-mail doorgeven via responsible-disclosure@ing.com. Gebruik hiervoor de public PGP key (zip). Maak in uw e-mail kort en bondig duidelijk welke kwetsbaarheid u heeft gevonden, met name:

  • Welke stappen u heeft doorlopen
  • Wat de volledige URL is
  • Wat de eventueel betrokken objecten zijn (bijvoorbeeld welke invoervelden of filters)
  • Schermprinten zijn welkom

Onze specialisten lezen uw melding en gaan gelijk aan de slag. Ziet u een zwakke plek in onze IT-systemen? Neem dan altijd zo snel mogelijk met ons contact op. Wacht niet.

Kan ik een beloning krijgen voor mijn onderzoek?

Wij waarderen het als u ons helpt om onze systemen en processen te optimaliseren. Voor gemelde kwetsbaarheden die daadwerkelijk door ons zijn verholpen of tot verandering van de dienstverlening hebben geleid, zult u als dank een vergoeding ontvangen.

Kan ik een zwakke plek ook anoniem melden?

Ja, u hoeft uw naam en contactgegevens niet door te geven als u een melding doet. Bedenk wel dat wij dan niet met u kunnen overleggen over de vervolgstappen. Bijvoorbeeld over wat we met uw melding doen, verdere samenwerking, uw credits zoals naamsvermelding of een eventuele beloning.

Uw privacy

We gebruiken uw persoonsgegevens alleen om actie te ondernemen op uw melding. We geven uw persoonsgegevens niet zonder uw toestemming aan anderen, tenzij wij op grond van de wet uw gegevens moeten afstaan. Of als we een ander bedrijf inschakelen om uw melding verder te onderzoeken. In dat geval zullen we er altijd voor zorgen dat ook zij op hun beurt op dezelfde manier als wij uw gegevens geheim houden. Wij blijven ook dan verantwoordelijk voor uw gegevens.

Wat doen we met uw melding?

Een team van beveiligingsexperts onderzoekt uw melding en geeft binnen 2 werkdagen een eerste reactie. Maak het probleem niet publiek, maar praat met onze experts en geef hen de tijd het probleem op te lossen. Wij laten u weten wat we van uw melding vinden, of we een oplossing gaan toepassen en wanneer we dat plannen te doen.

De spelregels

Bij het onderzoek zou u mogelijk handelingen kunnen verrichten die strafbaar zijn. Als u te goeder trouw, zorgvuldig en volgens de aangegeven spelregels handelt, is er voor de bank geen aanleiding om aangifte te doen. Volgt u daarom de regels zoals opgenomen in deze responsible disclosure regeling en handel daarnaast niet op onevenredige wijze:

  • Zorg ervoor dat u tijdens het onderzoeken van de gevonden kwetsbaarheid geen schade aanricht.
  • Maak geen gebruik van social engineering om toegang te krijgen tot een systeem.
  • In geen geval mag uw onderzoek leiden tot onderbreking van onze dienstverlening.
  • In geen geval mag uw onderzoek leiden tot openbaarmaking van bank- of klantgegevens.
  • Plaats geen backdoor in een systeem. Ook niet om de kwetsbaarheid aan te tonen. Door het plaatsen van een backdoor in een systeem, wordt dat systeem nog onveiliger.
  • Wijzig of verwijder geen gegevens in het systeem. Is het voor het onderzoek nodig om gegevens uit het systeem te kopiëren? Kopieer dan nooit meer gegevens dan nodig. Als 1 record voldoende is voor uw onderzoek, ga dan niet verder.
  • Breng geen systeemveranderingen aan.
  • Probeer niet vaker dan nodig een systeem binnen te dringen. Als het lukt om een systeem binnen te dringen, deel de toegang dan niet met anderen.
  • Gebruik geen bruteforce-technieken (herhaaldelijk proberen van wachtwoorden) om toegang tot systemen te krijgen.
  • Gebruik geen technieken die de beschikbaarheid van onze diensten kunnen beïnvloeden.

Overige voorwaarden

Wij kunnen alleen meldingen aannemen die in het Nederlands of Engels opgesteld zijn. Voor de uitkering van beloningen hebben wij uw persoonsgegevens nodig. Mochten meerdere melders tegelijk dezelfde bevinding melden, dan is de vergoeding voor de eerste melder.

Responsible Disclosure regeling

Over het melden van zwakke plekken in IT-systemen heeft het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie een leidraad gemaakt. Onze regels zijn op die leidraad gebaseerd. Meer lezen over de Leidraad om te komen tot een praktijk van Responsible Disclosure? Kijk op de website van het Nationaal Cyber Security Centrum.

Afwijkende internationale regelgeving

Wij willen u er op attenderen dat momenteel alleen kwetsbaarheden welke gevonden zijn op het nl domein eventueel tot een vergoeding kunnen leiden. Mocht u toch een lek vinden op een ander domein, dan kunt u deze natuurlijk altijd rapporteren.

Daarnaast adviseren wij u rekening te houden met land specifieke wetgeving. Bent u woonachtig in het buitenland en mocht u een kwetsbaarheid vinden op één van de ING pagina’s, realiseert u zich dan wel dat het Responsible Disclosure beleid niet in elk land is toegestaan. Zo kunt u dus als nog met justitie in aanraking komen, ondanks dat ING de eventueel gemelde kwetsbaarheid niet rapporteert aan justitie.

Nadere informatie

  • De US Federal Trade Commission geeft informatie hoe phishing-praktijken kunnen worden tegengegaan
  • De Anti-Phishing Working Group geeft statistische informatie over phishing en adviseert particulieren en bedrijven.
Terug naar boven