ING.com Veiligheid

Achtergrond

Met onderstaande algemene informatie hoopt ING eventuele zorgen over de veiligheid van internet, waaronder online-transacties, weg te nemen. Voor meer specifieke vragen kunt u contact opnemen met uw bank, tussenpersoon of ING-vertegenwoordiger.

ING stelt al het mogelijke in het werk om uw gegevens en transacties optimaal te beschermen. Bescherming van de gegevens van onze klanten is voor ons onderdeel van een goede bedrijfsvoering. Hoezeer wij ons ook inspannen, het internet brengt risico’s met zich mee. U kunt zelf een aantal maatregelen nemen om u te beschermen. Met onderstaande informatie hopen wij u daarbij van dienst te zijn.

Actuele veiligheidskwesties

We geven regelmatig nadere informatie over actuele veiligheidskwesties waarover wij van mening zijn dat u daarvan op de hoogte moet zijn. Dergelijke veiligheidsupdates vindt u terug op deze pagina.

Fraude met bankgaranties

Bij fraude met bankgaranties is er sprake van een zogenaamd beleggingsplan, waarbij wordt beloofd dat u in korte tijd zeer rijk kunt worden door bankgaranties te kopen van eersteklas banken als ING. De fraudeurs nodigen u uit mee te doen met hun plan, waarbij ze vertellen dat de bankgaranties met een korting worden gekocht en kort daarna met enorme winst weer doorverkocht worden.

Met ingewikkelde, officieel ogende, documenten doen de fraudeurs voorkomen alsof het beleggingsplan juridisch helemaal in orde is. Daarnaast vertellen ze onwaarheden, bijvoorbeeld dat de fondsen waarin u belegt, gedekt zijn door documentair krediet, een bankgarantie of andere garantiecertificaten afkomstig van de grootste banken ter wereld. Er wordt gesteld dat u een hoge winst kunt realiseren wanneer u een groot bedrag belegt. Maar zodra u het geld hebt overgemaakt, is het verdwenen, samen met de beleggingsmaatschappij.

Ga nooit in op dergelijke e-mails. Zij vormen onderdeel van fraudepraktijken en u zult nooit iets van het beloofde geld ontvangen.

Nepvacatures

Door middel van een nepvacature in een e-mailbericht, waarin oplichters zich uitgeven als vertegenwoordigers van bepaalde bedrijven, worden werkzoekenden uitgenodigd op een functie te solliciteren. Het blijkt hier echter om een vorm van witwassen te gaan. ING Groep is op geen enkele manier betrokken bij dergelijke wervingspraktijken.

Criminelen worden steeds geraffineerder, waardoor deze e-mails uw naam en andere persoonlijke gegevens kunnen bevatten. Hierdoor wordt het moeilijker vast te stellen dat het hier om fraude gaat.

Wanneer u dergelijke e-mails ontvangen, kunt u hier beter niet op reageren. Heeft u dat wel gedaan, dan kunt u overwegen dit te melden bij de politie.

“Phishing”

Phishing is een vorm van internetfraude waarbij officieel uitziende e-mailberichten worden verzonden die aan de hand van antwoordgegevens, links en logo lijken te zijn verzonden door banken, winkels, creditcardbedrijven etc. Dergelijke e-mails bevatten over het algemeen een link naar een nepwebsite, waar aan rekeninghouders wordt gevraagd hun naam en beveiligingsgegevens in te toetsen, onder het voorwendsel dat deze gegevens moeten worden geactualiseerd of gewijzigd. Zodra u deze gegevens hebt ingevoerd kunnen deze op legitieme websites worden gebruikt om geld van uw rekening af te schrijven.

Het is van groot belang dat u uiterst voorzichtig omgaat met e-mails waarin gevraagd wordt naar dergelijke informatie. Zie ‘Gang van zaken bij ING’ voor nadere informatie hierover.

Imitatie van ING-websites en Apps

ING zoekt het internet af naar namaak-websites en Apps, aangezien dit vaak de eerste stap is die door ‘phishers’ wordt gezet. Vervolgens werken wij samen met internationale instanties om deze websites zo snel mogelijk te laten afsluiten en Apps uit de App store te verwijderen – soms zelfs al dezelfde dag waarop we dergelijke websites of Apps vinden.

Om uw phishing aanval te melden stuurt u een email naar ons security team.

Advanced Fee Fraud

U hebt wellicht al gehoord over “advanced fee fraud”, waarbij u via de e-mail grote sommen geld krijgt aangeboden en waarbij gevraagd wordt om een kleine vergoeding voor juridische kosten, om een rekening te openen of om douanerechten te betalen. Soms wordt gesteld dat het aangeboden geld afkomstig is van een loterij waar u nooit aan hebt mee gedaan. Soms ook wordt gezegd dat het geld op een overzeese rekening staat waar de rekeninghouder niet bij kan, en wordt u een percentage van het geld beloofd voor uw hulp. In alle gevallen wordt u verzocht een bepaalde vergoeding te betalen.

Ga nooit in op dergelijke e-mails. Zij vormen onderdeel van fraudepraktijken en u zult nooit iets van het beloofde geld ontvangen.

Wij waarschuwen u hiervoor omdat dergelijke criminelen soms ook de naam van ING of van dochterondernemingen van ING gebruiken als onderdeel van hun zwendelpraktijken.

Gang van zaken bij ING

Van tijd tot tijd communiceert ING met haar klanten via de e-mail. Hoe kunt u weten of deze mails echt van ons afkomstig zijn of dat het hier om fraude gaat?

  • E-mails van ING zijn altijd op naam gesteld.
  • ING zal u nooit via een e-mail doorverwijzen naar een website waar u beveiligde informatie moet invoeren.
  • ING zal u nooit vragen om via e-mail persoonlijke gegevens te bevestigen.
  • ING maakt gebruik van moderne encryptie-technologie en legalisatiesystematiek waarmee transacties worden beveiligd. Deze verschillen per land, dus vraag uw ING kantoor van welke processen gebruikt wordt gemaakt.
  • ING zal U nooit via mail laten weten dat uw rekening zal worden beëindigd als u uw persoonlijke gegevens niet bevestigt, controleert of verifieert.
  • ING zal nooit vragen om uw persoonlijke gegevens te controleren als gevolg van een systeem upgrade of verbetering in de beveiliging.

Wanneer klanten twijfelen over bepaalde e-mails die zij (ogenschijnlijk) van ING hebben ontvangen, dienen zij met hun bank contact op te nemen.

Controle van websites

Klanten moeten zeker weten dat de website die zij bezoeken daadwerkelijk van ING is en dat dit een beveiligde site is.

Controleer of de website veilig is:

  • De URL begint met https://
    OF
  • Het applicatiescherm laat een SSL (Secure Sockets Layer) Library zien.
Veilige website

Bij https verschijnt er in de browser een icoon met een gesloten hangslotje zoals hieronder getoond.

Veilige website
Veilige website

Wanneer u klikt op het icoontje met het hangslot dan verschijnt er een beveiligingscertificaat. Dit certificaat laat zien wie de eigenaar van de website is; hier moet de naam van uw bank staat. Controleer of de gegevens en de rechtsgeldigheid kloppen.

Wij werken samen met bekende certificeringinstituten, zoals Verisign, GlobalSign en Thawte.

Wanneer klanten twijfelen over een website, dan dienen zij contact op te nemen met hun bank.

Wat kunt u doen om uzelf te beschermen tegen frauduleuze apps voor smartphones?

Het enkele feit dat een App in een App Store is opgenomen, betekent niet dat het een legitieme app is. App store eigenaars verwijderen voortdurend frauduleuze apps uit de app stores, zoals nep-antivirus, browsers, en spelletjes.

Cyber-oplichters proberen ook om ING producten imiteren. Zij proberen met alle mogelijke middelen om u te verleiden tot het installeren van een nep-app. Criminelen gebruiken e-mails en SMS-berichten die lijken afkomstig te zijn van een vertrouwd merk, bv ING, om u te verleiden tot het downloaden van toepassingen die de vertrouwelijkheid van uw gegevens in het gedrang brengt. Soms zullen fake apps zich voordoen als beveiligingsupdates, en vragen u te klikken op de links, hetgeen kan leiden tot gegevendiefstal.

Download alleen apps uit officiële bronnen. Voor het downloaden van elke app, is het goed wat onderzoek te doen. Hoe vaak de app is gedownload? Een populaire app is een kenmerk van een legitieme app. Lees app reviews, kijk naar de ontwikkelaar, en doe een zoekopdracht online.

Als u een onverwachte SMS, een vreemde waarschuwing of kennisgeving, of ongebruikelijke verzoeken van ING of andere bekende merken ontvangt, let dan op: criminelen kunnen proberen om een frauduleuze app te installeren. Wees voorzichtig met een link aan u geleverd en lees altijd eerst het bericht. In plaats van gebruik te maken van de in het bericht meegeleverde koppeling, gaat u beter direct naar de website of app-winkel die u normaal gebruikt en logt u in op uw account zoals u dat normaal zou doen.

Beschermingsmaatregelen

Bescherm uw persoonlijke informatie

Uw rekeningnummer, klantnummer, PIN-code (wachtwoord), belangrijke data en identificatienummer kunnen toegang geven tot uw rekening. Schrijf deze gegevens nooit op in notitieboekjes en dergelijke, geef ze niet af aan anderen en noem ze niet in een e-mail. Vernietig documenten die persoonlijke informatie bevatten en ga zeer voorzichtig om met het invoeren van persoonlijke informatie op sociale netwerk sites op internet. Criminelen kunnen dergelijke informatie gebruiken om fraude te plegen. Vergeet niet dat bescherming van klantnummer, PIN-code, wachtwoorden, en beveiligingsgegevens uw verantwoordelijkheid is.

Bescherm uw computer

  • Installeer steeds de laatste software en patches om te voorkomen dat hackers of virussen uw computer kunnen binnendringen;
  • Installeer antivirus-software op uw computer en actualiseer deze regelmatig om uw computer te beschermen tegen virussen en om te voorkomen dat hackers Trojan-virussen op uw computer installeren.
  • Installeer en actualiseer anti-spyware software
  • Installeer en actualiseer persoonlijke firewalls
  • Maak alleen gebruik van programma’s van bekende, betrouwbare leveranciers.

Pas op voor spam

  • Gebruik een spam-filter om te voorkomen dat u dergelijke berichten ziet.
  • Beantwoord nooit een spam-bericht. Dat weet men dat uw e-mailadres gebruikt wordt en neemt de hoeveelheid spam alleen maar toe.
  • Wanneer u spam-berichten leest, realiseer u dan: wanneer een aanbieding te mooi lijkt om waar te zijn, dan is het dat waarschijnlijk ook.

Meldpunt kwetsbaarheden

Als ING beschouwen we de veiligheid van internetbankieren en de continuïteit van onze online-diensten als onze topprioriteiten. Elke dag en nacht werken onze specialisten aan het optimaliseren van onze systemen en processen. Ondanks alle effort die we in de beveiliging van onze systemen steken, kunnen er nog steeds kwetsbaarheden in onze systemen aanwezig zijn.

Heeft u de juiste vaardigheden en zwakke plekken in onze systemen kunnen ontdekken? U kunt ons helpen door deze problemen ons het melden. Op die manier kunnen we de veiligheid en betrouwbaarheid van onze systemen verbeteren.

Een team van security experts zal uw bevinding(en) onderzoeken. Binnen twee werkdagen ontvangt u een e-mail met een eerste reactie. Het is echter mogelijk dat er een vertraging ontstaat bij het beantwoorden van uw bevinding(en) als gevolg van werkdruk, feestdagen of vakantie.

Let op: Maak het probleem niet publiek voordat we het opgelost hebben anders wordt u uitgesloten en van de beloning. In plaats daarvan, praat met onze experts en geef hen de tijd het probleem op te lossen

Waar is dit programma NIET voor bedoeld?

Meldpunt kwetsbaarheden programmaregels

Respecteer de volgende programmaregels voor het melden van een kwetsbaarheid:

  • Zorg ervoor dat u tijdens het onderzoeken van de gevonden kwetsbaarheid geen schade aanricht.
  • Maak geen gebruik van social engineering om toegang te krijgen tot een systeem.
  • In geen geval mag uw onderzoek leiden tot onderbreking van onze online dienstverlening.
  • In geen geval mag uw onderzoek leiden tot openbaarmaking van bank- of klantgegevens.
  • Plaats geen backdoor in een systeem. Ook niet om de kwetsbaarheid aan te tonen. Door het plaatsen van een backdoor in een systeem, wordt dat systeem nog onveiliger.
  • Wijzig of verwijder geen gegevens in het systeem. Is het voor het onderzoek nodig om gegevens uit het systeem te kopiëren? Kopieer dan nooit meer gegevens dan nodig. Als 1 record voldoende is voor uw onderzoek, ga dan niet verder.
  • Breng geen systeemveranderingen aan.
  • Probeer niet vaker dan nodig een systeem binnen te dringen. Als het lukt om een systeem binnen te dringen, deel de toegang dan niet met anderen.
  • Gebruik geen bruteforce-technieken (herhaaldelijk proberen van wachtwoorden) om toegang tot systemen te krijgen.
  • Gebruik geen technieken die de beschikbaarheid van onze online diensten kunnen beïnvloeden.
  • In het geval dat uw gemelde kwetsbaarheden zijn opgelost of hebben geleid tot een verandering in onze diensten, komt u in aanmerking voor een beloning.
  • Kwetsbaarheden ontdekt door ING-medewerkers of voormalige werknemers van ING worden uitgesloten van beloning.
  • Een beloning zal alleen worden toegekend aan de eerste melder van de kwetsbaarheid.
  • Meerdere meldingen voor eenzelfde soort kwetsbaarheid met minimale verschillen zullen als één verslag worden behandeld (slechts één melding wordt beloond).
  • In het geval dat u in aanmerking komt voor een beloning, zullen wij uw persoonlijke gegevens nodig hebben om de betaling uit te kunnen voeren.

Internationaal recht en regelgeving

Regelgeving met betrekking tot het melden van kwetsbaarheden kunnen per land verschillen. Wij raden u ten zeerste aan met deze regelgeving rekening te houden. Het kan heel goed mogelijk zijn dat uw onderzoek van onze IT-systemen als crimineel wordt beschouwd door lokale of internationale wet en u strafrechtelijke vervolging riskeert. Heeft u kwetsbaarheden gevonden in een van onze ING-pagina's, dan moet u zich realiseren dat de plaatselijke wetgeving prevaleert boven de genoemde regels van ING. Niettemin, als u te goeder trouw en volgens de genoemde regels van ING handelt, zullen we uw acties niet melden bij de autoriteiten, tenzij het verplicht is door de wet.

Uw privacy

We gebruiken uw persoonsgegevens alleen om actie te ondernemen op uw melding. We geven uw persoonsgegevens niet zonder uw toestemming aan anderen, tenzij wij op grond van de wet uw gegevens moeten afstaan. Of als we een ander bedrijf inschakelen om uw melding verder te onderzoeken. In dat geval zullen we er altijd voor zorgen dat ook zij op hun beurt op dezelfde manier als wij uw gegevens geheim houden.

Rapporteren van een kwetsbaarheid

U kunt een kwetsbaarheid melden door een e-mail te sturen naar responsible-disclosure@ing.com. Een voorwaarde voor het sturen van een e-mail naar bovengenoemd e-mailadres is dat u de openbare public PGP key (zip) gebruikt om het bericht te versleutelen.
Schrijf uw rapport op een duidelijke en beknopte manier. In het bijzonder:

  • De stappen die u ondernam
  • De volledige URL
  • Wat de eventueel betrokken objecten zijn (bijvoorbeeld welke invoervelden of filters)
  • Bewijs / hoe te reproduceren (video, schermafdruk indien mogelijk)
  • Het risico of mogelijkheid tot uitvoering
  • Het aanbieden van een oplossing wordt sterk aangemoedigd, maar niet verplicht

Onze specialisten lezen uw melding en gaan gelijk aan de slag.

Wat kunt u melden?

Voorbeeld van kwetsbaarheden die gemeld kunnen worden:

  • Remote Code execution
  • Cross Site Scripting (XSS)-kwetsbaarheden
  • Cross Site Request Forgery (CSRF) kwetsbaarheden
  • SQL injectiekwetsbaarheden
  • Kwetsbaarheden met betrekking tot encryptie
  • Ongeautoriseerde toegang tot gegevens

Uitgesloten is het melden van:

  • Alle meldingen zonder een duidelijk rapport met het bewijs van mogelijke exploitatie
  • Kwetsbaarheden gevonden op sites van organisaties die niet langer deel uitmaken van ING (voormalige business units)
  • Ons beleid ten aanzien van de aanwezigheid of afwezigheid van SPF / DKIM / DMARC records
  • Cross Site Request Forgery (CSRF) kwetsbaarheden on statische pagina’s (alleen op pagina’s na inloggen)
  • Redirection van HTTP naar HTTPS
  • HTML does not specify charset
  • HTML uses unrecognized charset
  • Cookie zonder HttpOnly vlag
  • Geen gebruik van HTTP Strict Transport Security (HSTS)
  • Clickjacking of de afwezigheid van X-Frame-Options op niet inlog pagina’s
  • Opgeslagen pagina HTTPS antwoord pagina’s op websites waar geen online betaaltransacties aanwezig zijn
  • User enumeration op websites waar geen online betaaltransacties aanwezig zijn
  • Mogelijk verouderde server- of applicatie versies (van externe partijen) zonder bewijs dat deze versies kwetsbaar zijn en bewijs van exploitatie.
  • Rapporten van onveilige SSL / TLS protocollen en andere misconfiguraties
  • Generieke kwetsbaarheden gerelateerd aan software of protocollen die niet onder controle van ING vallen
  • Distributed Denial of Service (DDoS) aanvallen
  • Spam of Social Engineering technieken
  • Rapporten van reguliere scans zoals poortscanners

De spelregels

Bij het onderzoek zou u mogelijk handelingen kunnen verrichten die strafbaar zijn. Als u te goeder trouw, zorgvuldig en volgens de aangegeven spelregels handelt, is er voor de bank geen aanleiding om aangifte te doen. Volgt u daarom de regels zoals opgenomen in deze responsible disclosure regeling en handel daarnaast niet op onevenredige wijze:

  • Zorg ervoor dat u tijdens het onderzoeken van de gevonden kwetsbaarheid geen schade aanricht.
  • Maak geen gebruik van social engineering om toegang te krijgen tot een systeem.
  • In geen geval mag uw onderzoek leiden tot onderbreking van onze dienstverlening.
  • In geen geval mag uw onderzoek leiden tot openbaarmaking van bank- of klantgegevens.
  • Plaats geen backdoor in een systeem. Ook niet om de kwetsbaarheid aan te tonen. Door het plaatsen van een backdoor in een systeem, wordt dat systeem nog onveiliger.
  • Wijzig of verwijder geen gegevens in het systeem. Is het voor het onderzoek nodig om gegevens uit het systeem te kopiëren? Kopieer dan nooit meer gegevens dan nodig. Als 1 record voldoende is voor uw onderzoek, ga dan niet verder.
  • Breng geen systeemveranderingen aan.
  • Probeer niet vaker dan nodig een systeem binnen te dringen. Als het lukt om een systeem binnen te dringen, deel de toegang dan niet met anderen.
  • Gebruik geen bruteforce-technieken (herhaaldelijk proberen van wachtwoorden) om toegang tot systemen te krijgen.
  • Gebruik geen technieken die de beschikbaarheid van onze diensten kunnen beïnvloeden.

Beloning

We stimuleren u om gevonden kwetsbaarheden aan ons te rapporteren. Zoals aangegeven kunt u mogelijk een beloning hiervoor ontvangen. Het uit te keren bedrag is afhankelijk van de ernst van het probleem, soort website (statische informatieve websites versus online bankieren sites) het betreft en de kwaliteit van het ontvangen rapport.

Als het rapport van grote waarde voor de continuïteit en betrouwbaarheid van de bank is, zal de beloning aanzienlijk hoger zijn.

Beloningen worden niet toegekend indien blijkt dat er sprake is van misbruik.

Nadere informatie

  • De US Federal Trade Commission geeft informatie hoe phishing-praktijken kunnen worden tegengegaan
  • De Anti-Phishing Working Group geeft statistische informatie over phishing en adviseert particulieren en bedrijven.
Terug naar boven