Oplichters proberen klanten Postbank te bedriegen

En nog vervelender: pas in de middag een waarschuwing op de site gezet. Het zijn niet echt professionele internetters daar.

Sterker nog ik heb nog steeds niets van ze gehoord, ik denk dat ik een van de 1e was die het gemeld heeft, maar geen reactie.

Sterker nog: het abuse@postbank.nl adres bounced gewoon

't Zijn ook gewoon maar (ex)ambtenaren...

Je hebt niets aan 1 tan-code omdat niet bekend is wat de volgende TAN-code moet zijn.
Per transactie heb je een nieuwe TAN-code nodig.

Dat maakt niet uit. Als de nepsite een beetje goed in mekaar zit dan laadt het de Postbank site en sluist de gegevens exact door, op het moment dat de echte site om een code vraagt sluist het ook de verificatie code exact door, gebruiker vult eigen code in, nepsite sluist dat door en fungeert dus als een proxy. Vanaf dat moment kan de nepsite alles doen als de gebruiker nog een transactie doet, de nepsite kan de volgende nieuwe code voor eigen doeleinden misbruiken, b.v. al het geld op de rekening overschrijven naar een andere.

Als de makers een beetje moeite hebben gedaan dan kunnen ze ook de transactie verhullen door gegevens te genereren die de door de gebruiker gedane transactie(s) weerspiegelen, niet de door de nepsite gedane. Ze zouden dit zelfs over een langere periode kunnen doen door een database met echte/neptransacties bij te houden op de nepsite, een soort dubbele boekhouding. De gebruiker merkt dat er iets mis is pas op het moment als hij anders dan via de nepsite toegang heeft op zijn rekening gegevens, b.v. een afschrift, of een derde die zich meldt dat er geen geld is binnengekomen, maar daar kan genoeg tijd over heen gaan om grote schade aan te richten.

Dit heet een man in the middle attack en de enige manier waarop de echte site dit kan verhinderen is door toetsingscodes zo te genereren dat ze alleen de transactie kunnen autoriseren die de gebruiker echt denkt te maken, niet transacties die een derde ervoor in de plaats zou kunnen stellen. Voor zover ik weet gebeurt dat niet, maar aan de andere kant het is vrij onwaarschijnlijk dat er genoeg werk wordt gestoken in zo'n nep-proxy om al het bovengenoemde verhullen te doen.

De gebruiksvoorwaarden van de meeste banken zeggen dat je je codes geheim moet houden, het is bij dit soort misbruik dan ook maar de vraag of de klant gelijk krijgt, in het uiterste geval kan hij de schade alleen nog proberen op Microsoft te verhalen.

Hoe dan ook, wat er met een simpele proxy mogelijk is qua gegevens verzamelen is al op zich een zwaar genoeg inbreuk op de privacy.

Tenzij ze natuurlijk stiekum de database van de Postbank waar alle TAN codes in staatn hebben gehacked.

Wel degelijk slecht. Dan ligt de verantwoordelijkheid nl bij de gebruikers en heeft MS er alles aan gedaan om het te beperken. Ze weten daar al langer dat er al meerdere keren misbruik van de bug is gemaakt. Alsof ze zitten te wachten op de volgende misbruik.
En wat dat niet geholpen hebben betreft: iets is beter dan niets. Er zijn ook genoeg gebruikers die de updates automatisch laten ophalen en installeren of in iedergeval laten controleren of er updates zijn. Beetje kort door de bocht dus veldmuis.

briljante oplossing trouwens:
"U kunt zich het beste beveiligen tegen hyperlinks naar misleidende websites door niet op hyperlinks te klikken."

Volgens mij gaan de tan codes niet op volgorde, of wel?

Leuk, maar ze vragen jou niet om je volgende TAN code in te voeren, ze vragen je om TAN nr xxx in te voeren. De nepsite zal dus ook nog moeten weten om welke TAN code gevraagd moet worden...

Achja, ik vind het maar dom van mensen die hier voor vallen. Ieder bedrijf zegt je honderdduizend keer dat ze NOOIT om je geheime gegevens zullen vragen, maar bel mensen op, stuur ze naar zo'n site en plots zijn ze het allemaal vergeten en vullen ze het in... Mensen moeten eens leren dat geheimen alleen geheim blijven als je ze niet zomaar vrijgeeft. Eigenlijk zorgen dit soort "hackers" dus voor een stuk maatschappelijke opvoeding. Hela, Bakellende, heb je niet nog ergens een subsidiepotje voor deze goede burgers?

En je kan met die gegevens die ingevuld zijn al de saldo en overzichten van de overschrijvingen bekijken. Lijkt mij al rede genoeg afgezien van het feit dat je daarna dus met een tancode ook nog wat kan overschrijven.

De eerste weergave van de link is verkeerd in de statusbar, maar als ie eenmaal aangeklikt is en er wordt naar die pagina gesurft, dan staat de echte URL wel bovenaan in beeld.