Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 100, views: 67.491 •

Enkele dagen geleden stuurde de Rabobank een waarschuwing de wereld in met betrekking tot een phishingmail die verstuurd werd. Het was toen nog niet geheel duidelijk of enkel Rabobank-klanten de mail ontvangen hadden, of dat de phishers op goed geluk willekeurige internetters hadden aangeschreven als Rabobank-klant. Een anonieme bron wist ons echter te melden dat het niet ondenkbaar is dat de fraudeurs over een database met e-mailadressen van Rabobank-rekeninghouders beschikken. Begin deze maand stelde hij de Rabobank namelijk op de hoogte van een lek in hun website, waarmee het mogelijk is om deze e-mailadressen te achterhalen.

Rabo beeldmerkAls men een rekening opent bij deze bank, krijgt men namelijk de mogelijkheid zijn e-mailadres op te geven en wordt men standaard aangemeld voor de nieuwsbrief. Het is mogelijk om zich daarvoor af te melden, wat overigens wel via een beveiligde verbinding gebeurt, maar daarvoor is geen wachtwoord of andere vorm van bevestiging nodig. Dit is echter nog niet het grootste veiligheidsprobleem, aangezien het aan- en afmelden van andere personen op een nieuwsbrief niet meteen als 'kritiek lek' bestempeld zal worden. In ditzelfde nieuwsbriefsysteem is echter nog een tweede fout aanwezig zodat het mogelijk is de e-mailadressen van andere klanten te achterhalen. Om voor de hand liggende redenen zullen we het lek hier niet uit de doeken doen, maar we konden de werkwijze wel uittesten.

Voor een handige programmeur blijkt het een koud kunstje om een systeem te bouwen dat deze e-mailadressen automatisch bij elkaar sprokkelt en in een database opslaat. Wanneer deze database in handen komt van malafide personen, zijn de gevolgen van een goed opgezette phishingactie dan ook niet meteen te overzien. Hoewel het met behulp van dit lek onmogelijk is toegang te krijgen tot rekeninggegevens of transacties uit te voeren in naam van iemand anders, lijkt het toch weinig vertrouwen te wekken in de beveiliging van het online bankgebeuren.

Rabobank Online

Gepubliceerd op 19-04-06, 10:43

Update 25-04-06, 15:30: Inmiddels heeft de Rabobank ons laten weten dat de fout verholpen is en het lek dus niet meer aanwezig is. Kwaadwilligen die e-mailadressen van Rabobank-klanten willen harvesten zullen dan ook geen succes meer hebben op de nieuwsbriefpagina. Het probleem situeerde zich in de parameters in de url van de pagina waar men zich kon aan- en afmelden voor de nieuwsbrief. Op die beheerpagina werd het e-mailadres van de ontvanger weergegeven, maar door enkele karakters uit een code in de url te wijzigen, kreeg men het e-mailadres van andere abonnees te zien.

Reacties (100)

Reactiefilter:-1100097+179+219+37
en ik blijf erbij dat het voor het grootste deel aan de kennis van de persoon ligt, want veel van deze ongein kun je voorkomen door een klein beetje je verstand te gebruiken..
hmmm en mogen domme mensen dan dus maar geen bankrekening meer openen?
Het probleem is niet zozeer dat mensen "hun verstand" zouden moeten gebruiken, maar dat het internet nog niet een systeem is dat veilig genoeg is om je bankzaken aan toe te vertrouwen.En dat het de vraag is of het dat ooit wel zal worden.
Banken hebben zich vrolijk op internetbankieren gesort omdat dat uiteraard veel goedkoper is voor hen, en ondanks dat het redelijk veilig is, is het niet hetzelfde als de "ouderwetse" inbelsystemen.
Ik hou het voorlopig nog bij Girotel met een telefoonlijn.
Het probleem is niet zozeer dat mensen "hun verstand" zouden moeten gebruiken, maar dat het internet nog niet een systeem is dat veilig genoeg is om je bankzaken aan toe te vertrouwen.En dat het de vraag is of het dat ooit wel zal worden.
De slachtoffers van deze phishing actie zijn er gewoon in getrapt, daar helpt geen enkele beveiliging tegen. Als jou iemand ongevraagd opbelt die zegt dat ie namens je bank belt zonder verdere identificatie, ga je hem dan ook al je gegevens doorgeven? Natuurlijk is het via internet wat makkelijker, met alle mogelijkheden om je als iemand voor te doen die je eigenlijk niet bent, maar het principe blijft hetzelfde.

Het is denk ik niet zozeer een kwestie van beveliging, maar meer van voorlichting. Na de phishing toestanden van een tijd terug (rondom de postbank iirc) had je zo'n proactieve voorlichting eigenlijk wel van de grote banken mogen verwachten. In die zin is het misschien ook wel ten dele aan de bank te wijten.
Daarbij zijn er ook "domme" mensen ...zoals eerder genoemd....die voor het eerst internet zien
laat staan er ook mee omgaan

Beetje kortzichtig om gelijk te roepen dat ze maar hun verstand moeten gaan gebruiken..
hmmm en mogen domme mensen dan dus maar geen bankrekening meer openen?
Nee, domme mensen mogen geen (adresseringen van) nieuwsbrieven meer schrijven...
Bankieren via het internet is niet absoluut veilig, maar dat zijn de andere vormen van bankieren ook niet.
Je kan ook een overschrijvingsenvelope uit de brievenbus vissen en informatie aanpassen of iemand die met zijn geld uit de bank komt lopen hem dat afpakken en noem maar op.

Slachtoffers van internetfraude worden daarbij vaak door banken gecompenseerd. Met name wanneer je niet onzorgvuldig ben geweest. Of deze variant door ook onder valt, weet ik niet.
Banken hebben zich vrolijk op internetbankieren gesort omdat dat uiteraard veel goedkoper is voor hen, en ondanks dat het redelijk veilig is, is het niet hetzelfde als de "ouderwetse" inbelsystemen.
Ik ben het met je eens dat dat laatste veiliger is, echter gebruik ik gewoon het internetbankieren van de Rabobank. Dat is toch behoorlijk veilig omdat phishers, anders dan bij de Postbank, toch eerst aan mijn pasje en pincode moeten komen al geef ik ze mijn gegevens..

Wat dat mailadres betreft, dat heeft niets te maken met het internetbankieren. Dat hoef je alleen op te geven als je iets via internet bij hen besteld. Heb ik ook gedaan, maar op dat mailadres nog geen phishing mail gezien. Ook niet op andere mailadressen trouwens. Dus óf hij moet nog komen, óf we moeten het verhaal dat deze uit een db van de Rabo zelf zijn getrokken naar het land der fabelen verwijzen.

Wat me overigens sowieso niet duidelijk wordt is hoe men het doet. Logisch dat TN geen tutorial plaatst, maar men kan toch wel vertellen of bijvoorbeeld de db wagenwijd openstaat. Of dat je het alleen bij nieuwe klanten vanaf het moment dat je iets laat draaien (lokaal?) kan zien. Of dat het met een soort dictionary gaat, gewoon alle mailadressen proberen en kijken of je kan aan- danwel afmelden om zo te checken of een mailadres al in de db van de Rabo staat.. Toch handig om te weten.
Bij de Postbank heb je per transactie een TAN-code nodig. Ik krijg deze per keer via SMS opgestuurd. Een kwaadwillende zal dus ook mijn mobieltje moeten hebben wil hij/zij iets overmaken.
Banken waarschuwen er ook voor dat ze je NOOIT om je pincode zullen vragen, en je het dus ook NOOIT aan iets anders dan een pinautomaat moet geven.

Deze phishing actie vereistte dat een klant zijn pincode aan de bank moest doorgeven, als ze dat ondanks waarschuwingen tóch doen dan kan de bank daar verder ook weinig tegen doen.

Die hele phishing actie heeft niks te maken met technologie, internet of hacker; ze hadden net zo goed op kunnen bellen en vragen om de gegevens en dezelfde mensen zouden er net zo hard intrappen.
@Therebell:
Ben ik slechts deels met je eens:

Van de gemiddelde tweaker mag je inderdaad verwachten dat ze doorzien dat het om een phising actie gaat. Wij zijn immers opgegroeid/grootgebracht/geschoold met computers en het internet.

Aan de andere kant zal het grootste deel van het klantenbestand van (online bankieren van) Rabo/Postbank/ING/e.d. bestaan uit de 'gewone consument'. Die zijn immers allemaal 'gepushed' door de banken om toch maar van de internet diensten gebruik te gaan maken (hetgeen kostentechnisch ook logisch is!). Ik denk dat je er vanuit mag/moet gaan dat een groot deel van de consument dan wel tot de ouderen behoort, of voor ons tweakers gezien in de categorie 'Dell-gebruiker' valt. Deze mensen hebben dus niet meer verstand van de computer dan de aan/uitknop, dat 'e'-tje is internet en dat envelopje is e-mail.
Als die mensen lezen dat ze van hun bank dit en dat moeten doen, dan is de kans groot dat het volgende geluid van achter die pc 'klik' is. Zeker nu de fake-bank-sites nagenoeg exacte kopieen zijn van de originele sites, is het die mensen niet (100%) aan te rekenen dat ze de fout ingaan.

Overigens wil ik hiermee niet zeggen dat het dan de banken toe te rekenen is. Het lek zoals nu bij Rabo gevonden uiteraard wel, maar phising is misdaad en dat is het slachtoffer (zowel de klant als de bank) niet toe te rekenen (tenzij de bank het natuurlijk zo makkelijk maakt, maar laten we daar maar niet vanuit gaan!)
en ik blijf erbij dat het voor het grootste deel aan de kennis van de persoon ligt, want veel van deze ongein kun je voorkomen door een klein beetje je verstand te gebruiken..
En ik blijf erbij dat een computer een werktuig is om een mens meer te laten doen dan hij normaliter kan. Net als een hamer. Met een vuist slaat een normaal iemand niet een spijker in een plank, met een hamer wel.

Een computer is dus een werktuig. En een werktuig dat door veel simpele mensen gebruikt kan worden is beter dan een ingewikkeld werktuig waar maar een paar mensen wat aan hebben.

Een computer wordt dus meer waard als werktuig, naarmate de software door simpeler zielen gebruikt kan worden.

De conclusie is dus ook dat het een dooddoener is als je stelt dat de gebruiker beter had moeten weten. In feite zeg je daar mee dat het werktuig niet voor simpele zielen is, dwz. dat de computer alleen voorbehouden moet zijn aan intelligente mensen. En daarmee stel je dus dat de computer maar een beperkt nut mag hebben.

En daar ben ik het dus absoluut niet mee eens. :)

De computer is er JUIST voor de simpele zielen. Al was het maar zodat de intelligente mensen niet telkens lastig gevallen worden met stomme vragen :+. Als je programma niet door simpele zielen te gebruiken is, dan heb je keihard gefaald als softwarebouwer. Sim-pel.
de makers van autocad hebben inderdaad zwaar gefaald O+

voor de rest vind ik echter wel dat je gelijk hebt hoor, daar niet van.
Nee, hij bedoelt dat het programma begrijpbaar moet zijn voor de domste gebruiker die de software gebruikt(de gemiddelde domme gebruiker weet niks van autocad)
Beetje jammer dat je strooit met woorden als 'intelligent' en 'simpele zielen'. Intelligentie heeft hier natuurlijk geen zak mee te maken, maar kennis van zaken hebben wel, en die twee dingen hebben zijn natuurlijk ongerelateerd aan elkaar (een dom iemand kan best verstand hebben van computers, net als dat een intelligent iemand zich er geen raad mee kan weten).
Een slim iemand doorziet de strekking van mijn verhaal en gaat niet zeuren over komma's en punten.
Niet helemaal waar

Je kan nooit voorbereid zijn op het onverwachte
Een hack...komt zoals gewoonlijk altijd onverwacht...
Eigenlijk zeg jij
Ze weten niet wat ze doen daar?

Beetje kortzichtig.....hackers/crackers....whatever
Blijven het een uitdaging vinden om "ergens" in te komen...

|:( |:(
want veel van deze ongein kun je voorkomen door een klein beetje je verstand te gebruiken..
Yep. Maar omdat het onmogelijk is om van ALLES verstand te hebben, hebben we al vele duizenden jaren geleden iets uitgevonden. Namelijk het vertrouwen. En dat is nu nogal geschaadt. En samen met de andere beschadigingen die het vertrouwen de laatste paar jaar te verwerken heeft gekregen, zie je nu dat het een effect op de economie begint te krijgen.

Dat belooft nog wat. In Nederland blijft de economie op dit moment wat achter, voornamelijk omdat er geen vertrouwen is in de economie. Wij zijn zo ongeveer het verst vooruit m.b.t. informatietechnologie. De andere Europese landen lopen achter ons aan (behalve misschien Frankrijk).

Wat gaat er gebeuren met de economie van Europa wanneer bij die andere landen ook de schellen van de ogen van de bevolking af vallen?
Ja vervelend, maar ook online komt er zoveel bij beveiliging kijken dat er best een kans is dat er lekken zijn. Het is en blijft software.
En is het probleem wel al gefixed?
Maar ik snap nog steeds niet dat er een phishing-actie is ondernomen, wat stond er dan in die email? Want zonder het pasje en het kastje kun je echt helemaal niks. Ik vat het niet :? Of waren die criminelen zo dom ;)
De enige actie voor de rabobank is nu om open kaart te spelen en direct een (papieren) mailing de deur uit te doen die meteen duidelijk maakt dat de Rabobank nooit via email zal vragen om persoonsgegevens en dat ook bij papieren mail goed gekeken moet worden of de boel van de Rabobank afkomstig is.

Als ze dit niet doen zal er binnen no-time een wel goed opgezette phishing actie komen en die kost niet alleen geld, maar nog veel belangrijker, het vertrouwen van de klant.
Dat vertrouwen is het enige bestaansrecht van banken en dat moeten ze dus niet verspelen.
Geen goed nieuws voor de Rabobank, gelukkig zit ik bij de Postbank.

Echt alles gaat daar beveiligd.
wanneer je 2 keer je inloggevens verkeerd invult en je doet het de derde keer weer ( altijd vervelend die Caps )
dan kan je weer een week wachten op twee brieven met nieuwe gebruikersnaam en wachtwoord
( die je overigens wel weer kan aanpassen )

Dit is me nu al 3 keer gebeurd en af en toe vloek ik als dat weer gebeurd waarom is die beveiliging zo streng nou om dit soort dingen te voorkomen lijkt me.1-0 voor de Postbank.
Gelukkig zit jij bij de Postbank...waar het volgende week ook kan gebeuren...ligt niet aan de bank. Ieder bedrijf kan foutjes in haar software hebben.
bij de postbank kan ik nog steeds op een speciaal nr inbellen om mn bankzaken te regelen. Daarmee voorkom je in elk geval dat onderweg gegevens worden onderschept.
Dit draait bij mij bovendien op een stand alone pc zonder Inet verbinding.
Goede morgen. Daar hebben we https voor.
Encryptie kan gekraakt worden. Maar dan moet je wel eerst de data onderscheppen.

Daarom is een medium dat minder makkelijk afgetapt kan worden veiliger.

Aan de andere kant vertrouw je ook niet alleen op https. De TAN code is een veel belangrijker (en betere) beveiliging.
Je kan het nog zo goed beveiligt hebben, maar als klanten je 'vrijwillig' hun inloggegevens geven heb je er natuurlijk niks aan ;)
Dat is ook de weg die men tegenwoordig steeds meer in gaat: niet het systeem kraken maar de mensen die het systeem bedienen :)
Zakelijke Girotel online van de Postbank is dan weer niet goed beveiligt naar mijn mening... Je kan hier gewoon zovaak proberen als je wilt volgens mij. Na 6 keer proberen nog steeds geen blokkade oid...
En belletje is natuurlijk niet voldoende he, dan kan iedereen bellen.
Ook al bel je voor dat soort dingen dan zeggen ze netjes bij de Rabobank (en andere banken ook wel denk ik) dat dit soort dingen niet via de telefoon geregeld mogen worden.
En jij vindt een inlognaam en wachtwoord veilig? :Z
Lijkt me leuk als iemand anders voor jou de verkeerde gegevens invult. Dat is nog eens beveiliging waar ENORM misbruik van gemaakt kan worden.
altijd nog beter dan de beveiliging bij eneco B-)
enne @ frankmeussen het gaat om email adressen
niet om inloggegevens
stukken veiliger dan de postbank
Veiliger dan de postbank?
Zou je dat even willen onderbouwen.

Er is namelijk niets dat zo veilig is als die TAN codes.
Omdat je bij de Rabo nog altijd een Random Reader + pasje + pincode nodig hebt om alleen nog maar in te loggen.
Bij de postbank kan je al gelijk je transacties + saldi zien als je alleen maar inlogd met gebruikersnaam en wachtwoord.

Al heb je voor een transactie wel een TAN code nodig, denk ik dat henk_janse het heeft over het inloggen.
random reader regel je door rekening te openen met intwernetbankieren. Pincode heb je gefished. Adresgegevens heb je gefished. Inbreker erop en klaar.

Vergeet niet dat als je de bovenstaande dingen doet je flink wat rendement hebt, dwz een groot bedrag kan overmaken en dan is gericht werken rendabel en haalbaar voor een serieuze crimineel.
@niels88

zover ik het heb gezien op het nieuws werd er ook gevraagd naar je gegevens van je credidcaard je code er van pincode,wanneer hij verloop en dat soort onzin.daar kun je dan nog wel veel dingen mee doen als je wilt
Het lijkt me niet vreemd als dit verhaal echt is. De laatste tijd krijg ik op mijn hoofdadres opeens spam binnen, terwijl ik dat de afgelopen 4 jaar nog nooit heb gehad. Ik ben dan ook altijd heel voorzichtig geweest dit adres bekend te maken.
Het zal wel onmogelijk te zijn dit te bewijzen, maar toch krijg ik mijn twijfels...
Zoiets is natuurlijk alleen maar aan te tonen wanneer je als adres iets als "wwwrabobank@jouwdomein" gebruikt en dan ook alleen maar bij de rabobank gebruikt.
Zelfs dan is het nog niet 100% zeker, omdat je server ook gehackt kan zijn en zo de mail-adressen vrij kan hebben gegeven, of door een virus.
Ghihi, daarom is het dus handig een eigen domein te draaien.

Gewoon een catch all adres gebruiken, wat natuurlijk wel een whitelist heeft van de adressen die je gebruikt hebt. De rest gewoon bouncen.

Anders krijg je een lading spam over je heen:
Jantje01@example.com totaan Jantje[tot in het oneindige]@example.com
Of gebruik een service als spamgourmet.com.

Je kunt dan gewoon adressen als rabobank.20.jouwnaam@spamgourmet.com gebruiken en dan zal de rabobank maximaal 20 mailtjes kunnen sturen (en die teller kun je uiteraard resetten).

Ideaal voor bijvoorbeeld sites waar je via mail moet registreren maar waar je verder liever niet te veel mail van krijgt, of eerst de kat uit de boom wil zien.
De rest gewoon bouncen.
Jij bent lekker, dan krijgen alle ge fake te verzenders de bounces, en help je de spammers :( . Droppen die handel, anders niet.
bouncen.. als in error msg terugsturen.
Precies. Dit gebruik ik al jaren en dat bevalt prima. Ik doe dat met een 3th level domain.

Ik heb 1x spam van een andere partij op tweakers@mydomain.provider.nl gehad. Ik heb toen direct een mailtje naar tweakers gestuurd en daarna is het nooit meer gebeurd.
Iemand anders kan ook een mailtje van jou doorgestuurd hebben die in verkeerde handen terecht is gekomen. Of dat hij geinfecteerd is met spy- ad- of malware (cq windows/msie/msoe). Het komt ook voor dat spamverstuurders gewoon een reeks willekeurige adressen spamt en zodra hij niet gebounced wordt jouw email adres in zijn/haar database opneemt.

Een vriend van mij heeft zo'n leuk email adres bij hotmail met een getal achter z'n username. Als dezelfde username minus 1 in de to voor komt, is het altijd spam...

Ik betwijfel ten zeerste dat jouw spamprobleem te maken heeft met de Rabobank omdat er zoveel andere mogelijkheden zijn...
Je noemt nu dus de reden dat iedereen die mij op bepaalde adressen van die chain mail sturen helemaal de huid vol scheld.

Je kent ze wel, die mailtjes met dat leuke plaatje/filmpje. Trek je zo'n ding open, moet je eerst langs tientallen/honderden adressen scrollen voordat je bij het gegeven bent waar het nu juist om ging.

Leer BCC gebruiken zeg ik mensen dan altijd, maar omdat om de een of andere reden BSS standaard meestal niet aichtbaar is..... *zucht*
Ja, wat Freakertje heeft gehad heb ik dus nu ook.
En mijn hoofdmail adres gebruik ik zeker niet voor het aanvragen van informatie, dit doe ik via andere mail adres oplossingen.
Dus ondanks alle voorzieningen om spam te voorkomen, duikt het dan toch op, hoe je jezelf ook denkt te beschermen hiertegen.
Potdoeme, zelfde geldt voor mij!! En ik heb er in vijftien jaar internetten echt nog nooit last van gehad!!!!

hoor ik iemand groepsproces zeggen?
Doe wel mee.
Es kijken hoeveel we eruit kunnen slepen.
Die gasten hebben toch geld zat.

Hoeveel miljard winst hadden ze ook alweer gemaakt? En een beetje goed geteste beveiliging kan er dan niet af?
Wie niet horen wil moet maar dokken. :P
Rabobank online met de samenleving :+
lijkt het toch weinig vertrouwen te wekken in de beveiliging van het online bankgebeuren.
Gelukkig blijft het altijd nog veiliger dan accept giro's die ze uit de brievenbus kunnen halen.
Mensen die internet bankieren onveilig vinden en het liever nog naar de bank gaan snap ik ook niet.
Denk je dat elke bank een grote kluis heeft met vakjes waar jou geld dan in zit? Tuurlijk niet dat staat ook allemaal op computers.
Punt is wel dat de fraudeur daarvoor daadwerkelijk naar de brievenbus moet om te gaan vissen, wat nogal opvalt, en dus riskant is.
Terwijl je dit soort online gaten gewoon kunt exploiteren vanachter je bureau in Schurkistan, dat geen uitleveringsverdrag met Nederland heeft.
De vergelijking met online bankieren slaat eigenlijk nergens op in deze context. Als het nu een bedrijf is wat stofzuigers verkoopt en een mailinglist heeft, is het dan ook onveilig om zo'n stofzuiger te kopen?
ja, maar als daar een maitje van komt of je mischien het stof wil opsturen naar de fabrikant is het iets minder schadenlijk als duizenden euro's kwijd raken!

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneAsus

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013