Rabobank waarschuwt voor golf van phishingmails

De Rabobank heeft een waarschuwing online gezet waaruit blijkt dat criminelen sinds gisteren druk bezig zijn met het versturen van phishingmailtjes naar zijn klanten.

Rabobank-logoIn de e-mail wordt de gebruiker verzocht op een link te klikken en vervolgens in te loggen met de random reader. Als afzender wordt het adres 'onlineservice@rabobank.nl' gebruikt, maar de link leidt de gebruiker naar een pagina op een Russische website. Gebruikers die de nepinstructies al opgevolgd hebben, wordt geadviseerd contact op te nemen met de helpdesk van de Rabobank. Of alleen Rabobank-klanten de e-mails ontvangen, wordt niet vermeld. Hoewel het waarschijnlijker is dat het om een algemene spamrun gaat, bestaat de kans echter dat de criminelen misbruik gemaakt hebben van een lek op de website van de Rabobank. De financiële instelling benadrukt tot slot dat e-mail alleen gebruikt wordt voor het versturen van informatieve berichten, maar dat er nooit middels telefoon of e-mail naar persoonlijke gegevens gevraagd zal worden. Inmiddels lijkt het erop dat de pagina offline is gehaald, maar het is niet ondenkbaar dat de fraudeurs binnenkort een aangepaste versie van hun mail rondsturen.

Het feit dat de phishers expliciet vragen om in te loggen met de randomreader, lijkt overigens te insinueren dat het om een zogenaamde 'Man in the middle'-aanval kan gaan. De informatie van de Rabobank biedt echter weinig duidelijkheid over de aard van de aanval. Verder onderzoek wordt bovendien bemoeilijkt doordat de pagina inmiddels offline is gehaald.

Door Yoeri Lauwers

Eindredacteur

Feedback • 09-02-2007 14:20 84

09-02-2007 • 14:20

84

Bron: Rabobank

Lees meer

Rabobank kampt met storingen door ddos-aanvallen - update
Rabobank kampt met storingen door ddos-aanvallen - update Nieuws van 2 mei 2011
Phishers leggen zwakke beveiliging Bank van de Post bloot
Phishers leggen zwakke beveiliging Bank van de Post bloot Nieuws van 8 augustus 2007
Phishers richten pijlen op Apple-gebruikers
Phishers richten pijlen op Apple-gebruikers Nieuws van 3 augustus 2007
Lek in Google Desktop toont gevaar web-desktopintegratie
Lek in Google Desktop toont gevaar web-desktopintegratie Nieuws van 2 juni 2007
Vernieuwde Senderbase geeft beter inzicht in e-mailverkeer
Vernieuwde Senderbase geeft beter inzicht in e-mailverkeer Nieuws van 22 mei 2007
Spammer stapt over naar encrypted zip-bestanden
Spammer stapt over naar encrypted zip-bestanden Nieuws van 4 mei 2007
Spamgolf bereikt dit jaar nieuw hoogtepunt
Spamgolf bereikt dit jaar nieuw hoogtepunt Nieuws van 11 april 2007
Klanten ABN Amro bestookt met fraudemails - update
Klanten ABN Amro bestookt met fraudemails - update Nieuws van 22 maart 2007
'Veel websites kwetsbaar voor hackaanvallen'
'Veel websites kwetsbaar voor hackaanvallen' Nieuws van 14 februari 2007
Rabobank brengt bankieren per mobieltje
Rabobank brengt bankieren per mobieltje Nieuws van 15 november 2006
Rabobank voegt spraak aan website toe
Rabobank voegt spraak aan website toe Nieuws van 4 september 2006
Rabobank twijfelt over nut biometrie
Rabobank twijfelt over nut biometrie Nieuws van 26 juli 2006
Website Rabobank lekt e-mailadressen klanten - Update
Website Rabobank lekt e-mailadressen klanten - Update Nieuws van 25 april 2006
Rabobank waarschuwt voor phishingmailtjes
Rabobank waarschuwt voor phishingmailtjes Nieuws van 17 april 2006
Meer producten en artikelen
Bedrijfsnieuws

Reacties (84)

-Moderatie-faq
84
84
24
7
0
48
Wijzig sortering
TheCapK 9 februari 2007 14:25
Helaas zijn er altijd nog een hoop mensen die niet in de gaten hebben dat banekn nooit om gegevens van klanten vragen in e-mails. Misschien moeten ze dat eens duidelijker op al hun correspondentie zetten opdat de meeste mensen dan toch doorkrijgen dat ze niet op die phishing mails in moeten gaan!
SuperNull @TheCapK9 februari 2007 14:34
Dat doen de goede phishing mails ook niet.
Ze nodigen je uit om in te loggen met een neplink. Niet om hun je gegevens terug te mailen.

De waarchuwing zou eerder moeten luiden:
"Klik nooit op een link naar ons als u in wilt loggen! Tik altijd zelf het adres, www.[banknaam].nl, in uw browser in."
sHiKoRa @SuperNull9 februari 2007 14:37
"Klik nooit op een link naar ons als u in wilt loggen! Tik altijd zelf het adres, www.[banknaam].ru, in uw browser in." :+
LuitvD @SuperNull9 februari 2007 23:40
en het mooiste is nog wel dat er op de gekopieerde (phishing) pagina ook nog de phishing-waarschuwing staat:

"Ga alleen verder als de adresregel
begint met https ://bankieren.rabobank.nl/...
U bent er dan zeker van dat u communiceert met de Rabobank."
:Y)
Microwave_NL @SuperNull10 februari 2007 14:28
Dit gebruikt rabobank alwel bij het inloggen op je internetbankieren.
En het werkt, me moeder controleert altijd netjes de URL voordat ze iets intypt ;)
tes_shavon @Microwave_NL12 februari 2007 15:36
Je hebt haar ook al verteld dat ze regelmatig d'r hosts-file moet controleren op de aanwezigheid van onzin-toevoegingen?

-edit: hoezo overbodig? Als ik phisher was zou ik deze functionaliteit ook inbouwen op mijn fake-website en een schermpje te voorschijn toveren:

Controleer of in de adresbalk http://internetbankieren.rabobank.nl staat
iAR @TheCapK9 februari 2007 21:36
Hoe je het ook doet (k1n8fisher of SuperNull): als de bank iets van je wil weten gaat dit altijd nog via de post of binnen de online banking tool zelf nóóit via mail.
Voor de privacy is dat gewoon een feit. Ik snap dan inderdaad ook niet dat mensen zich bang laten maken door zo'n mailtje...
Ge Someone @iAR13 februari 2007 11:50
Klopt, daarom laten ze je hier toch ook "inloggen".
Anoniem: 177275 @TheCapK10 februari 2007 11:57
Misschien moeten ze dat eens duidelijker op al hun correspondentie zetten opdat de meeste mensen dan toch doorkrijgen dat ze niet op die phishing mails in moeten gaan!
Natuurlijk moeten ze dit zoveel mogelijk doen, maar reken er maar op dat er altijd mensen zijn die dat vergeten en het simpelweg logisch vinden dat de bank hen per e-mail benadert. Alles wordt meer en meer digitaal, zo denken ze, dus waarom dit niet?
intoxicated 9 februari 2007 19:11
Wat ik uitermate interessant vind, is dat Firefox 2.0.0.1 automatisch al m'n rekeningnummer suggereert in het invulvakje daarvoor, terwijl het toch echt een totaal andere domeinnaam is dan rabobank.nl ? :X
_eXistenZ_ @intoxicated9 februari 2007 20:14
Dat ligt aan het name attribuut van dat veld in de form.
Als formnaam en veldnaam hetzelfde zijn suggereerd Firefox dezelfde waarde.
ronny 9 februari 2007 14:54
Er valt toch helemaal geen eer mee te behalen.
In het ergeste geval kunnen de russen zien wat voor een saldo ik op de rekening heb staan.
Voor het overmaken van geld is een tweede code nodig welke niet statisch wordt bepaald.
Dus hier kan je helemaal niets mee.
Anoniem: 111020 @ronny9 februari 2007 15:17
Dat valt te bezien.
Na het inloggen op de Russische site vraagt deze site je iets waarvoor natuurlijk authorisatie nodig is.
Dus wordt ook de S(ignature) functionaliteit van de RandomReader gebruikt en de code ingetypt.

Met deze twee codes kan dan een bedrag tot €5000,- overgemaakt worden.
Ik weet niet of je dat kan missen en/of je dat een eer zou vinden voor de phishers....?? ;)
magic_nl @Anoniem: 1110209 februari 2007 15:26
Dat werkt ook niet.... De code die je met S genereert heeft 'n beperkte geldigheid...
Als dat niet binnen x sec. gebruikt wordt, dan kun je er niets meer mee.
Anoniem: 203983 @Anoniem: 1110209 februari 2007 18:18
Die code kan echter niet zonder meer worden gebruikt, er zit een tijdsversleutelig in, als je een minuutje wacht en dan pas de code van je random reader invult, dan kom je toch echt niet binnen.
rvm @ronny9 februari 2007 16:16
Je creditcardnummer (als je die hebt) is ook te vinden als je ingelogd bent, daarvoor is die tweede berekening niet nodig.
Anoniem: 65371 @rvm9 februari 2007 16:46
Op de creditcard zelf staat nog een 2e zogenaamde CVV/CVC code. Die code staat alleen op de card zelf, en dus kunnen ze daar via de site onmogelijk achterkomen.
Rex @Anoniem: 653719 februari 2007 18:07
Die CVV code is niet altijd nodig.
SkyFlyer @Anoniem: 653719 februari 2007 19:19
Toch wel, zoniet klopt de betalingsmethode ook niet. Op elke willekeurige bon van b.v. mediamarkt staat gewoon het volledige nummer van de creditcard. Even bij de kassa rondhangen en je hebt zo meerdere creditcard nummers. Maar gelukkig is het niet zo simpel
kodak
@ronny9 februari 2007 20:14
Het zal jou misschien weinig kunnen schelen dat bankgegevens kunnen worden ingezien. Maar alleen al een informatie lek naar ongeoorloofde personen valt onder schending van de vertrouwelijkheid en dus breuk in beveiliging en vertrouwen.
Dunrob 9 februari 2007 14:25
Zal zo eens kijken of me geld er nog op staat....
TD-er @Dunrob9 februari 2007 14:29
Voor de zekerheid zal ik je dan even de link geven ;)
(Kleine lettertjes:
komt van de rabobank-site, gelieve alleen te gebruiken om je phishing-filter in IE7 te testen)
Rinzwind @TD-er9 februari 2007 14:31
pagina niet gevonden?
Tees @TD-er9 februari 2007 14:32
Ik krijg een 404 error?
\edit:spuit11
iAR @TD-er9 februari 2007 21:38
Firefox 2.0.0.1 zegt niks als die pagina laadt... dit valt me wel enorm tegen van Firefox!
Anoniem: 39505 @iAR9 februari 2007 23:14
Ik krijg de site anders keurig in beeld met SwiftFox 2.0.0.1
guido09 @TD-er9 februari 2007 23:05
krijg dit van mcafee:

"mashandling.ru

Wij hebben deze website getest en geen noemenswaardige problemen gevonden.
"

Lekker dan...
BTB @TD-er11 februari 2007 16:26
Pagina ziet er voor mij keurig uit, behalve natuurlijk de location bar. Waarom halen ze die lui niet uit de lucht?
rtgo @TD-er11 februari 2007 22:16
De phisingfilter van MS is uit de lucht. Daar heb je dus ook helemaal niets aan.
W.Wonderland 9 februari 2007 16:11
Wat dacht je van de actie 1: vraag om code mbv random reader.
russische site gebruikt deze gegevens om in te loggen bij de rabobank.
Op de achtergrond wordt er een transactie uitgevoerd (waarvoor de klant een getal moet invoeren op zijn random reader)
Actie 2) De klant wordt gevraagd om het controle getal in te voeren ivm een extra veiligheidscheck. en het antwoord in te vullen.

Zou me niet verbazen indien er mensen intrappen.
HoppyF @W.Wonderland9 februari 2007 17:06
Lijkt me een onwaarschijnlijk scenario.
Dat is ook het voordeel van het gebruik maken van codes die a-la-minute gegeneerd moeten worden en na verloop van tijd waardeloos zijn.

Een adres en/of bankrekening nummer is dus niet nuttig als je er (als crimineel) verder niets mee kunt doen.

Bij de Postbank heb je TAN codes nodig anders kun je geen overboeking doen. De phisher mag best mijn rekeningnummer hebben maar hij kan nog geen euro overschrijven want de TAN code ontbreekt.
Knappe jongen die die TAN codes die via SMS verstuurd worden, kan afvangen.
MaZeS @HoppyF9 februari 2007 21:43
Hoezo onwaarschijnlijk?
Degene achter die Russische website kan de ingevoerd codes toch "realtime" en geautomatiseerd doorkoppelen naar de op de server geopende rabobank website?
Get!em @HoppyF9 februari 2007 19:38
Je kunt ook een lijst met Tan codes thuisgestuurd krijgen, dus die kun je wel afvangen!
Ernie @Get!em9 februari 2007 20:38
Als ze dit gaan afvangen kunnen er nauwelijks slachtoffers gemaakt worden. Ten eerste is het vreselijk moeilijk om de juiste brieven te onderscheppen. Er worden er duizenden per dag verstuurd door de postbank denk ik. Het lijk mij sterk Dat de postbank die via de brievenbus verstuurt dus dan moet de phisher een medeplichtige hebben in het postkantoor die ongezien de juiste brieven uitzoekt.
Als ze dan een lijst met codes hebben moeten ze eerst nog de klant zo ver krijgen dat die zijn gegevens vrijgeeft.
Kortom de kans van slagen is zo vreselijk klein dat het voor phishers niet de moeite is om op deze manier te werk te gaan.

Als de klant TAN codes ontvangt via SMS is het al helemaal moeilijk om deze te pakken te krijgen. Ik denk niet dat je ze van het mobiele netwerk af kunt halen en als je telefoon gestolen is ga je die niet gebruiken om te internetbankieren.
Wat ze nog kunnen proberen is eerst je gegevens stelen en vervolgens het telefoonnummer vervangen. Ik weet alleen niet of je deze verandering direct doorgevoerd wordt (ik denk het niet)
friend @HoppyF12 februari 2007 16:22
Dat is precies wat hier met 'Man in the middle'-aanval bedoeld wordt. En dit is al meedere malen toegepast, dus zo onwaarschijnlijk is het zeker niet.
Om deze mailing successvol te laten zijn is dit eigenlijk de enige manier om het te laten slagen. En ze zullen niet zoveel moeite doen als ze er geen geld aan kunnen verdienen...
Maranello 9 februari 2007 15:04
Toevallig net die mail ook gelezen. Staat vol met grammaticale (vertaal)fouten, met deze als toppunt:
"Wij hebben nieuwe SSL servers..." "... welke frauduleuze activiteiten bevorderd om onze klanten beter te dienen" :+

Doe dan als phisher nog de moeite, dat maakte het echt ongeloofwaardig
JCG @Maranello9 februari 2007 19:47
Dan ga je je toch afvragen welke klanten ze hebben :+
SuperNull 9 februari 2007 15:46
Ik begrijp het niet helemaal.
De codes die gegenereerd worden om toegang te krijgen tot de site zijn tijdsgebonden en je moet zoiezo een 2de code invoeren om transacties te bevestigen.
Met een simpele inlog kunnen phishers n.m.w. niets uithalen.
-------------
Toevallig net die mail ook gelezen. Staat vol met grammaticale (vertaal)fouten, met deze als toppunt:
"Wij hebben nieuwe SSL servers..." "... welke frauduleuze activiteiten bevorderd om onze klanten beter te dienen"
-------------
Het zijn prutsers dus. Wees blij zou ik zeggen. Een goed doordachte en goed uitgevoerde actie had waarchijndelijk nogal wat slachtoffers gemaakt.
duderuud 9 februari 2007 18:27
Phishing pagina is (weer) online..
Anoniem: 65371 @duderuud9 februari 2007 22:21
Ik heb net even wat rommel gegevens ingevoerd. Zodra je op versturen drukt kom je gewoon op de echte Rabobankpagina uit. Maargoed, waarschijnlijk zijn dan je gegevens al ergens opgeslagen.
Anoniem: 158639 10 februari 2007 00:52
Ze proberen ook al paypal inloggegevens te verzamelen: http://www.mashandling.ru/paypal_2007/
Ze hebben de site gewoon heel snel gehackt via file inclusion en zijn toen hun oplichtingspraktijken gestart. Black hats.... :(
RRX 10 februari 2007 01:28
Hehe, ik kreeg gisteravond die spam binnen, ik heb het gelijk doorgestuurd naar de Rabobank. Ze hebben vandaag gelijk netjes gereageerd naar mij en de melding op de website gezet, toch wel netjes!

Geachte heer ...,

Hartelijk dank voor uw reactie en opmerkzaamheid.

Het volgende staat sinds deze ochtend op onze website vermeld:
het verhaaltje

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq