Criminelen stelen 36 miljoen euro met mobiele malware
Een criminele groepering heeft met een aanval op bankklanten zeker 36 miljoen euro buitgemaakt. Ze gebruikten malware die tan-codes onderschepten. De aanvallers, die mogelijk uit Oekraïne afkomstig zijn, vielen ook Nederlandse internetbankierders aan.
Het botnet dat werd gebruikt om computers aan te vallen, werd ontdekt door beveiligingsbedrijf Versafe en werd in samenwerking met Check Point grotendeels offline gehaald. "We hebben alle domeinnamen waarvan we weten dat de malware er contact mee zocht, offline gehaald", zegt Tomer Teller van Check Point. Of het botnet kan herrijzen, is volgens Teller niet uit te sluiten, maar daar zullen de beheerders de nodige moeite voor moeten doen: ze zullen dan alle slachtoffers opnieuw moeten infecteren omdat de domeinnamen van de command-and-control-servers uit de lucht zijn gehaald.
In totaal is met de op de malware Zeus gebaseerde aanval, door de beveiligingsbedrijven Eurograbber genoemd, 36 miljoen euro buitgemaakt. Daarvan werden bankklanten in Italië, Duitsland, Spanje en Nederland de dupe. De schade in Nederland is het kleinst: de aanvallers maakten hier 1,2 miljoen euro buit. In Italië ging het om 16,4 miljoen euro en in Duitsland werd 12,7 miljoen euro ontfutseld. In totaal zijn 30.000 internetbankierders getroffen, waarvan 940 in Nederland. Gedupeerden verloren bedragen tussen de 500 en 250.000 euro; gemiddeld ging het om 1200 euro per persoon.
De malware was in staat om het systeem van tan-codes te omzeilen. In Nederland gebruikt ING tan-codes, voluit het transaction authentication number, om transacties beter te beveiligen: bij het overboeken van geld krijgt een gebruiker een tan-code per sms toegestuurd die hij moet invoeren om de transactie te bevestigen. Overigens kunnen de tan-codes desgewenst ook op een papieren lijst worden toegestuurd. Het is onbekend welke banken in Nederland zijn getroffen; of ING is getroffen, is niet duidelijk.
Eurograbber omzeilde het tan-verificatiesysteem door de gebruiker malware te laten installeren op de telefoon van de gebruiker. Bij het inloggen op de bankensite zorgde de malware ervoor dat er een mededeling werd getoond die er op aandrong om 'beveiligingssoftware' te installeren; in werkelijkheid onderschepte die software de tan-codes en stuurde ze door, zodat de aanvallers geld van de rekening konden stelen met de geldige tan-code. De mobiele malware was beschikbaar voor Android en BlackBerry OS.
Reacties (129)
Ben dan wel benieuwd hoe die malware op de telefoons terecht gekomen is.
Was het door gebruikt van custom-roms of door gebruik van illegaal verkregen apps?
Was het door gebruikt van custom-roms of door gebruik van illegaal verkregen apps?
Kan toch ook gewoon in een gratis app zitten?
ij het inloggen op de bankensite zorgde de malware ervoor dat er een mededeling werd getoond die er op aandrong om 'beveiligingssoftware' te installeren; in werkelijkheid onderschepte die software de tan-codes en stuurde ze door, zodat de aanvallers geld van de rekening konden stelen met de geldige tan-code. De mobiele malware was beschikbaar voor Android en BlackBerry OS.
Ja, dat heb ik gelezen, maar hoe komt die mededeling dan in beeld?
Zie de screenshots?
Ja, maar hoe krijg je die screenshot in beeld? Dan zul je toch of de site van de bank moeten hacken zodat die site je dat scherm voorschotelt (lijkt me sterk), of al een app op het toestel die er voor zorgt dat je op het moment dat je naar de site van je bank probeert te gaan een andere pagina te zien krijgt. Die app zou inderdaad in de vorm van een gratis appje (spelletje, gratis wallpaper, whatever) die de gebruiker zelf gedownload heeft op het toestel gekomen kunnen zijn en die heeft dan zelf geen of minder verdachte rechten nodig.
Vind het erg typisch dat alle mensen die naar mijn idee in de juiste richting denken omlaag gemod worden en de mensen die het volgens mij niet snappen omhoog. Los van het feit dat het modsysteem niet gebruikt zou moeten worden als eens/oneens systeem, ik zie helemaal geen off topic reacties hier.
edit @mhkool: Ik heb het woordje dat je gemist hebt even vet gemaakt voor je...
Vind het erg typisch dat alle mensen die naar mijn idee in de juiste richting denken omlaag gemod worden en de mensen die het volgens mij niet snappen omhoog. Los van het feit dat het modsysteem niet gebruikt zou moeten worden als eens/oneens systeem, ik zie helemaal geen off topic reacties hier.
edit @mhkool: Ik heb het woordje dat je gemist hebt even vet gemaakt voor je...
[Reactie gewijzigd door finraziel op donderdag 6 december 2012 14:40]
Als de browser gehackt is, hoef je de banksite niet meer te hacken. Dus: je gaat naar www.mijnbank.com en je browser modificeert de content een beetje en laat een melding verschijnen waarvan je denkt dat die van de bank is maar het dus niet is.
Dat is in dit geval, vaak zit het in gratis en "nutteloze" apps
Als je niet weet hoe de vork in de steel zit, reageer dan svp niet. Wat je in veel gratis en "nutteloze" apps vindt zijn libraries voor advertenties. Dat is geen malware, hoewel het daar in sommige vormen soms wel op lijkt.
Waar het in dit artikel om gaat is een app die door gebruikers zelf wordt geinstalleerd. Houd dat alsjeblieft in gedachten voordat je een van de mensen bent die blaat (zoals Microsoft) dat "Android" vol malware zou zitten.
Je bent bijna altijd zelf de persoon die de (echte) malware installeert. Buiten de Play Store om.
Waar het in dit artikel om gaat is een app die door gebruikers zelf wordt geinstalleerd. Houd dat alsjeblieft in gedachten voordat je een van de mensen bent die blaat (zoals Microsoft) dat "Android" vol malware zou zitten.
Je bent bijna altijd zelf de persoon die de (echte) malware installeert. Buiten de Play Store om.
En als jij iemand citeert, Microsoft in dit geval, doe het dan goed. Anders ben je namelijk zelf geen haar beter.
De letterlijke quote is:
Hij zegt dus letterlijk vatbaar voor malware, niet vol met malware. Nogal een verschil.
Dus voordat je mensen beschuldigd van blaten, check je facts.
Android is in die zin hetzelfde als windows. Je kan alles installeren, dus ook malware.
Dat is een duidelijk voordeel van het OS, maar dat kan ook tegen je werken.
De letterlijke quote is:
bronBallmer called the Android ecosystem “wild,” “uncontrolled” and susceptible to malware.
Hij zegt dus letterlijk vatbaar voor malware, niet vol met malware. Nogal een verschil.
Dus voordat je mensen beschuldigd van blaten, check je facts.
Android is in die zin hetzelfde als windows. Je kan alles installeren, dus ook malware.
Dat is een duidelijk voordeel van het OS, maar dat kan ook tegen je werken.
En als jij iemand citeert, neem dan niet zomaar iets aan 
Ik had het over Microsoft, het bedrijf, niet Steve Ballmer.
Dit bedrijf stuurde een paar dagen terug de volgende tweet de wereld in:
http://www.zdnet.com/micr...infully-wrong-7000008450/
En zo zijn er nog veel meer gevallen te vinden van een Microsoft die FUD verspreidt om een eigen platform aan de man te brengen.
Daarnaast mis je mijn punt over het installeren van malware via of buiten de Play Store om. Als je het via die laatste weg doet dan heb je het gewoon verdiend als je niet voorzichtig genoeg bent. Maar dat is zeker niet de schuld van het platform dat Android heet.
Ik had het over Microsoft, het bedrijf, niet Steve Ballmer.Dit bedrijf stuurde een paar dagen terug de volgende tweet de wereld in:
..met dit als resultaat:"Do you have an Adnroid malware horror story? Reply with #DroidRage with your best/worst story and we may have a get-well present for you."
http://www.zdnet.com/micr...infully-wrong-7000008450/
En zo zijn er nog veel meer gevallen te vinden van een Microsoft die FUD verspreidt om een eigen platform aan de man te brengen.
Daarnaast mis je mijn punt over het installeren van malware via of buiten de Play Store om. Als je het via die laatste weg doet dan heb je het gewoon verdiend als je niet voorzichtig genoeg bent. Maar dat is zeker niet de schuld van het platform dat Android heet.
Wat kan je dan nog wel geloven en waarom zou ik er dan voor kiezen om jou wel te geloven?En als jij iemand citeert, neem dan niet zomaar iets aan Ik had het over Microsoft, het bedrijf, niet Steve Ballmer.
Nog steeds heeft Microsoft niet gezegd dat Android "vol" met malware zit.
Ze bieden mensen met een slechte Android ervaring een kans om een andere telefoon te winnen. Zeggen ze daarmee dat Android "vol" met malware zoals jij stelt? Nee.
In het artikel waar jij naar linkt staat het volgende:
Dus het is een feit dat er malware is op Android, zoals op elk OS wel aanwezig zal zijn. Wellicht wordt het allemaal wat overdreven, maar het is een feit dat het er is.True, Android malware is a real problem. True, Google needs to do more about blocking malware applications from ever reaching users in the first place via the Google Play Store.
Zit het er vol mee? Nee.
Zegt Microsoft dat? Nee
Nee, ik mis je punt niet. Jij mist mijn punt welke in de laatste zin van mijn post stond:Daarnaast mis je mijn punt over het installeren van malware via of buiten de Play Store om. Als je het via die laatste weg doet dan heb je het gewoon verdiend als je niet voorzichtig genoeg bent. Maar dat is zeker niet de schuld van het platform dat Android heet.
Daarin zeg ik namelijk exact hetzelfde.Android is in die zin hetzelfde als windows. Je kan alles installeren, dus ook malware.
Dat is een duidelijk voordeel van het OS, maar dat kan ook tegen je werken.
[Reactie gewijzigd door Vexxon op vrijdag 7 december 2012 14:46]
Sorry, maar als je in dit soort grapjes trapt ben je het zelf schuld. Als je internetbankiert hoor je te weten je dat je bank je nooit persoonlijk om inloggegevens zal vragen.
Als je TAN codes gebruikt voor andere dingen dan voor daadwerkelijk inloggen / overboeken moet je achteraf ook niet gaan klagen dat er geld geskimmd wordt. Bij twijfel kun je altijd contact opnemen met je bank. Een telefoontje plegen kost praktisch niks en kan een hoop ellende besparen.
Als je TAN codes gebruikt voor andere dingen dan voor daadwerkelijk inloggen / overboeken moet je achteraf ook niet gaan klagen dat er geld geskimmd wordt. Bij twijfel kun je altijd contact opnemen met je bank. Een telefoontje plegen kost praktisch niks en kan een hoop ellende besparen.
De TAN codes werden niet gebruikt voor andere zaken. Er werd malware op de telefoon gezet waar de TAN codes op binnen kwamen. Deze malware verzond de betreffende SMSjes gewoon door naar een geinfecteerd systeem dat klaar stond om met de codes de rest van de man-in-the-middle aanval uit te voeren.
En dit is dus waarom two-factor authenticatie alleen zin heeft wanneer je tweede controle factor een extern en gesloten systeem gebruikt. Zo ongeveer de enige bank in heel Nederland die dat begrepen heeft is de Rabobank.
En dit is dus waarom two-factor authenticatie alleen zin heeft wanneer je tweede controle factor een extern en gesloten systeem gebruikt. Zo ongeveer de enige bank in heel Nederland die dat begrepen heeft is de Rabobank.
Wat heeft de Rabobank dan? ABN heeft een apparaatje waar je je PIN-pas in moet steken, PIN invoeren, dan code van de ABN-website invoeren, en je krijgt een code terug uit het apparaatje, die je moet overtikken in de website. Het apparaatje is op geen enkele manier met iets anders verbonden, dus dat is onhackbaar. Alleen een man in the middle kan werken. Is dat niet hetzelfde als wat de Rabo heeft?
Zelfde systeem idd.
Enige manier om dat te hacken is het apparaatje open slopen en uitzoeken wat de wiskundige functie is dat het uitvoert. Daarna kun je weer hetzelfde truukje doen als in het geval in dit nieuwsbericht.
Die apparaatjes schijnen echter zo ontworpen te zijn dat ze onherstelbaar kapot gaan als je ook maar iets aan bewerkingen doet aan de behuizing.
Afaik.
Enige manier om dat te hacken is het apparaatje open slopen en uitzoeken wat de wiskundige functie is dat het uitvoert. Daarna kun je weer hetzelfde truukje doen als in het geval in dit nieuwsbericht.
Die apparaatjes schijnen echter zo ontworpen te zijn dat ze onherstelbaar kapot gaan als je ook maar iets aan bewerkingen doet aan de behuizing.
Afaik.
Wat r4gnax volgens mij bedoelt, is dat alhoewel abn inderdaad een vergelijkbare cryptocalculator heeft als de rabobank, deze een mogelijkheid had om deze op een pc aan te sluiten zodat je geen 'lange getallenreeks' hoefde in te voeren. Een tijdje terug was er op tweakers bericht voorbij gekomen dat malware daar gebruik van maakte door de verkeerde code te laten signeren.
Overigens, voor zover ik weet maken alle kleinere banken ook gebruik van een systeem vergelijkbaar met de rabobank.
Overigens, voor zover ik weet maken alle kleinere banken ook gebruik van een systeem vergelijkbaar met de rabobank.
Het is niet helemaal hetzelfde systeem, de Rabobank heeft het naar mijn idee toch echt iets beter voor elkaar t.o.v. de ABN AMRO.
Ik heb beide banken en beide apparaten.
Bij de Rabo moet je des te groter het bedrag wordt meerdere verificaties doorlopen. Daarbij komt ook dat de Rabo nu als 1 van de verificaties stelt dat je de cijfers voor de komma van het bedrag dat je overmaakt laat intoetsen en een code laat genereren.
Dit is wel een hele simpele wijze om te zien of het bedrag dat overgemaakt wordt ook daadwerkelijk overeenkomt met hetgeen jij wilt overmaken.
@Engineer
Mijn ABN random reader heb ik al eens opengebroken en de batterij vervangen en deze werkt nog steeds goed
Ik heb beide banken en beide apparaten.
Bij de Rabo moet je des te groter het bedrag wordt meerdere verificaties doorlopen. Daarbij komt ook dat de Rabo nu als 1 van de verificaties stelt dat je de cijfers voor de komma van het bedrag dat je overmaakt laat intoetsen en een code laat genereren.
Dit is wel een hele simpele wijze om te zien of het bedrag dat overgemaakt wordt ook daadwerkelijk overeenkomt met hetgeen jij wilt overmaken.
@Engineer
Mijn ABN random reader heb ik al eens opengebroken en de batterij vervangen en deze werkt nog steeds goed
Jep, zoiets heeft de Rabobank ook. Bij een soortgelijke aanval van een tijd terug waren de ABN en Rabobank de twee banken met de minste slachtoffers. ING was de bank met de meeste slachtoffers en zo zal het ook wel blijven totdat die heren bij de ING eindelijk es een keer doorhebben dat hun systeem gewoonweg niet deugt.
Ja inderdaad, als je minder slim ben dan de gemiddelde tweaker dan is het je eigen schuld als criminelen je bankrekening plunderen 
Dit is een veelgehoord, maar onzinnig argument. Per definitie is minstens 20% van de mensheid niet zo slim. Dit betekent niet dat ze dan zelf schuld hebben als iemand misbruikt van ze maakt. Hetzelfde argument wordt veel toegepast bij verkrachtings- en oplichtingszaken: als je korte rokjes draagt dan vraag je er ook om.....
Ook al laat ik mijn autoportier open en heb ik zo een grote kans dat mijn laptop wordt gestolen, betekent nog niet dat de schuld bij de eigenaar ligt. Natuurlijk had ik meer kunnen doen om het te voorkomen, maar de schuld ligt altijd bij de dader. Als 10-20% van de mensen in Nederland niet genoeg technische kennis heeft om te weten hoe je dit soort oplichting kan voorkomen dan is het aan de banken om oplossingen te zoeken zodat alle lagen van de bevolking veiling kunnen internetbankieren.
Dit is een veelgehoord, maar onzinnig argument. Per definitie is minstens 20% van de mensheid niet zo slim. Dit betekent niet dat ze dan zelf schuld hebben als iemand misbruikt van ze maakt. Hetzelfde argument wordt veel toegepast bij verkrachtings- en oplichtingszaken: als je korte rokjes draagt dan vraag je er ook om.....
Ook al laat ik mijn autoportier open en heb ik zo een grote kans dat mijn laptop wordt gestolen, betekent nog niet dat de schuld bij de eigenaar ligt. Natuurlijk had ik meer kunnen doen om het te voorkomen, maar de schuld ligt altijd bij de dader. Als 10-20% van de mensen in Nederland niet genoeg technische kennis heeft om te weten hoe je dit soort oplichting kan voorkomen dan is het aan de banken om oplossingen te zoeken zodat alle lagen van de bevolking veiling kunnen internetbankieren.
@rput : Op zich heb je wel een punt. Echter vind ik het ook niet acceptabel dat de bank automatisch verantwoordelijk is als incompetente mensen zitten te internetbankieren.
Persoonlijk vind ik dat hele TAN-code verhaal niet handig. Ik kreeg vroeger bij de Sparkasse (Duitsland) ook zo'n blad met 100 TAN codes erop. Iedere code die ik had gebruikt moest ik doorstrepen. Nieuwe code's aanvragen duurde 2 weken. Je moest dus heel goed incalculeren wanneer je nieuwe codes aan moest vragen. Ik vind het bankieren d.m.v. de Random Reader (Rabobank) erg plezierig.
Als je niet clever genoeg bent moet je er niet aan beginnen. Je kunt je bankzaken tenslotte ook nog steeds via de ouderwetse "analoge" manier uitvoeren. Beetje onzin om anderen op kosten te jagen omdat je persé wilt internetbankieren en vanwege het gebrek aan ervaring hiermee de mist in gaat.
Persoonlijk vind ik dat hele TAN-code verhaal niet handig. Ik kreeg vroeger bij de Sparkasse (Duitsland) ook zo'n blad met 100 TAN codes erop. Iedere code die ik had gebruikt moest ik doorstrepen. Nieuwe code's aanvragen duurde 2 weken. Je moest dus heel goed incalculeren wanneer je nieuwe codes aan moest vragen. Ik vind het bankieren d.m.v. de Random Reader (Rabobank) erg plezierig.
Als je niet clever genoeg bent moet je er niet aan beginnen. Je kunt je bankzaken tenslotte ook nog steeds via de ouderwetse "analoge" manier uitvoeren. Beetje onzin om anderen op kosten te jagen omdat je persé wilt internetbankieren en vanwege het gebrek aan ervaring hiermee de mist in gaat.
[Reactie gewijzigd door Titan_Fox op woensdag 5 december 2012 22:34]
Je jaagt banken net zo goed op kosten wanneer je het via de ouderwetse "analoge" manier wilt uitvoeren omdat de bank hier dan de voorzieningen voor in stand moet houden. Ondanks dat de bank geld kwijt is door diefstal via de moderen "digitale" manier is het goed mogelijk dat ze toch nog altijd minder kwijt zijn dan wanneer ze extra moeten inzetten om de "analoge" manier voor genoeg "niet clevere" mensen in stand te houden.
Daar zeg je het zelf al. Hoe zouden deze mensen aan ervaring moeten komen wanneer ze niet internetbankieren. Ik vind het een beetje een taak van de overheid worden om burgers hierover goed te informeren.
Hier op Tweakers neemt het af en toe een beetje het niveau aan van "wij tweakers zijn de meest intelligente, almachtige personen op aarde", maar gebruikers die hiermee de mist ingaan kunnen ook binnen hele andere vakgebieden actief, zelfs zeer bekwaam, zijn en daardoor/daarom niet zo bekend zijn met het internet an sich (zoals bijvoorbeeld ambachtslieden (en politici, dan minder bekwaam ) ).
Ik ben bijvoorbeeld op medisch gebied allesbehalve een expert. Zou een huisarts dan ook zeggen dat ik maar niet aan sporten moet beginnen zonder volledige kennis van mijn lichaam op het gebied van spieren, gewrichten, etc te hebben?
Je weet vaak pas wanneer het fout gaat op het moment dat dat al gebeurd is, en kunt dit meestal alleen door goede voorlichting voorkomen.
Hier op Tweakers neemt het af en toe een beetje het niveau aan van "wij tweakers zijn de meest intelligente, almachtige personen op aarde", maar gebruikers die hiermee de mist ingaan kunnen ook binnen hele andere vakgebieden actief, zelfs zeer bekwaam, zijn en daardoor/daarom niet zo bekend zijn met het internet an sich (zoals bijvoorbeeld ambachtslieden (en politici
, dan minder bekwaam ) ).Ik ben bijvoorbeeld op medisch gebied allesbehalve een expert. Zou een huisarts dan ook zeggen dat ik maar niet aan sporten moet beginnen zonder volledige kennis van mijn lichaam op het gebied van spieren, gewrichten, etc te hebben?
Je weet vaak pas wanneer het fout gaat op het moment dat dat al gebeurd is, en kunt dit meestal alleen door goede voorlichting voorkomen.
daar is hier geen spraken van. de tan codes worden onderschept terwijl de gebruiker gewoon een transactie doet op zijn banksite. er word dus niet om codes gevraagd buiten het normaal gebruik van de codes om
Feit is, hier vroeg de bank helemaal niet om je TAN code of inloggegevens. Er werd grvraagd om een soort programma te installeren om ervoor te zorgen dat je beter beveiligd bent, maar dat had niets met inloggen te maken. De browser vroeg je om iets te installeren waarna achteraf jouw gegevens gestolen werden buiten jouw weten om. Ok, je hebt wel bedenkingen bij anti-virus/malware programma's, maar blijkbaar trappen mensen dus daar in.
Een mooie reden om voor bankzaken een dumb-phone uit de kast te pakken.
Ontopic:
Zelf heb ik de voorkeur voor een los kastje waar je de codes genereert (zie SNS bank) Deze van SNS is met een eigen 5-cijferig pin beveiligd.
Overigens vraag ik me wel af of alle banken met tan-codes (internationaal) deze fraude vergoeden, ik begreep laatst dat de Rabo nogal eens schade door PC-malware steekt op onzorgvuldigheid van de klant.
Ontopic:
Zelf heb ik de voorkeur voor een los kastje waar je de codes genereert (zie SNS bank) Deze van SNS is met een eigen 5-cijferig pin beveiligd.
Overigens vraag ik me wel af of alle banken met tan-codes (internationaal) deze fraude vergoeden, ik begreep laatst dat de Rabo nogal eens schade door PC-malware steekt op onzorgvuldigheid van de klant.
Het is interessant om te vermelden dat deze methode gebruikt maakt van zowel een geinfecteerde computer als van een geinfecteerde telefoon.
In eerste instantie wordt de computer van de gebruiker geinfecteerd bv door middel van een phishingmail. Er wordt dan een trojan geinstalleerd die de eerstvolgende keer actief wordt als de gebruiker gaat internetbankieren. Op dat moment krijg je het eerste scherm hierboven voor je neus en wordt je gevraagd wat je smartphone OS is en je mobiele nummer. Omdat je net bent ingelogd denk je dat deze melding van de bank komt. Op het nummer dat je opgeeft krijg je dan een smsje met de link naar de 'security software', de malware dus. Als je dat installeert is ook je telefoon besmet met malware. Je computer vraagt dan om een activatiecode om te bevestigen dat de installatie goed is gegaan. De malware op je telefoon geeft die code aan jou en als je die invoert weten de criminelen dat je klaar bent om geplukt te worden.
Zodra je nu op je computer weer gaat internetbankieren wordt er een transactie klaargezet en naar de bank gestuurd. Je ziet er niets van omdat de malware op de computer dit afschermt. De bank stuurt dan een sms met de tan-code naar de telefoon. Maar omdat die ook is besmet wordt deze sms niet aan jou getoond en direct doorgestuurd naar een server. De malware op je computer kan dit ophalen en de transactie bevestigen. Zonder dat je het weet is nu geld van je rekening afgehaald. En dit gebeurt elke keer dat je inlogt zolang je er niets aan doet.
Een behoorlijk ingenieuze methode, waarbij twee malware programma's op twee platforms met elkaar samenwerken. En de nieuwe beveiligingslaag van de ING, de PAC code voor inloggen vanaf een onbekende computer, zou niet hebben geholpen in dit geval. De transactie wordt namelijk gewoon verstuurd vanaf je eigen 'vertrouwde' computer.
In eerste instantie wordt de computer van de gebruiker geinfecteerd bv door middel van een phishingmail. Er wordt dan een trojan geinstalleerd die de eerstvolgende keer actief wordt als de gebruiker gaat internetbankieren. Op dat moment krijg je het eerste scherm hierboven voor je neus en wordt je gevraagd wat je smartphone OS is en je mobiele nummer. Omdat je net bent ingelogd denk je dat deze melding van de bank komt. Op het nummer dat je opgeeft krijg je dan een smsje met de link naar de 'security software', de malware dus. Als je dat installeert is ook je telefoon besmet met malware. Je computer vraagt dan om een activatiecode om te bevestigen dat de installatie goed is gegaan. De malware op je telefoon geeft die code aan jou en als je die invoert weten de criminelen dat je klaar bent om geplukt te worden.
Zodra je nu op je computer weer gaat internetbankieren wordt er een transactie klaargezet en naar de bank gestuurd. Je ziet er niets van omdat de malware op de computer dit afschermt. De bank stuurt dan een sms met de tan-code naar de telefoon. Maar omdat die ook is besmet wordt deze sms niet aan jou getoond en direct doorgestuurd naar een server. De malware op je computer kan dit ophalen en de transactie bevestigen. Zonder dat je het weet is nu geld van je rekening afgehaald. En dit gebeurt elke keer dat je inlogt zolang je er niets aan doet.
Een behoorlijk ingenieuze methode, waarbij twee malware programma's op twee platforms met elkaar samenwerken. En de nieuwe beveiligingslaag van de ING, de PAC code voor inloggen vanaf een onbekende computer, zou niet hebben geholpen in dit geval. De transactie wordt namelijk gewoon verstuurd vanaf je eigen 'vertrouwde' computer.
[Reactie gewijzigd door jona op woensdag 5 december 2012 14:47]
Inderdaad ingenieus! Eigenlijk zou elke computer en telefoon verplicht met anti-malware, anti-virus enz moeten komen die automatisch update zodra er een interneverbinding is, behalve bij roaming.
Elke telefoon moet verplicht 1x per week een scan doen, als je het snachts in de lader hebt.
Met dit soort ingenieuze methodes, kunnen er heel veel slachtoffers ontstaan. Mensen gaan niet goed om met hun computers en al helemaal niet goed om met hun telefoons qua software!
Elke telefoon moet verplicht 1x per week een scan doen, als je het snachts in de lader hebt.
Met dit soort ingenieuze methodes, kunnen er heel veel slachtoffers ontstaan. Mensen gaan niet goed om met hun computers en al helemaal niet goed om met hun telefoons qua software!
Dit zorgt alleen maar voor schijn veiligheid. Zelfs met een up-to-date virus scanner kan je nog met een phising email of met een zero-day vulnerability aangevallen worden. Wat nodig is, is dat de gebruikers worden opgevoed. Dat zal de enige manier zijn om dit soort dingen te voorkomen.
En dat is juist moeilijk. Slachtoffers zijn vaak niet technisch en hebben geen idee hoe dingen in elkaar zitten. Bij de tijd dat ze stap 2 hebben geleerd, zijn de criminelen bij stap 15.
Tan-codes via SMS lijken mij minder veilig dan een card-reader. Naar mijn mening zijn de banken ook niet goed bezig.
Tan-codes via SMS lijken mij minder veilig dan een card-reader. Naar mijn mening zijn de banken ook niet goed bezig.
Beiden fout.Dit zorgt alleen maar voor schijn veiligheid. ... Wat nodig is, is dat de gebruikers worden opgevoed. Dat zal de enige manier zijn om dit soort dingen te voorkomen.
Het enige wat helpt om dit soort dingen te voorkomen, zijn veilige OS'sen.
Een malwarescanner is niks anders dan symptoonbestrijding. En gebruikers opvoeden is complete onzin, aangezien ook specialisten zoals systeembeheerders in dit soort zaken trappen zoals is aangetoond bij tests. Laat staan leken!
De mallware is er eerder dan de cure en de cure komt voor veel slachtoffers te laat.Eigenlijk zou elke computer en telefoon verplicht met anti-malware, anti-virus enz moeten komen die automatisch update zodra er een interneverbinding is, behalve bij roaming.
Slimme mallware wordt niet meteen actief maar wacht een paar maanden om zich zo ongehinderd door mallwarescanners te kunnen verspreiden.
Criminelen kun dan in een paar weken hun slag slaan, tegen de tijd dat de malwarescanners zijn begewerkt zijn de criminelen bezig met de volgende versie van de mallware.
Ik zie het nog gebeuren dat je straks alleen nog maar kunt bankieren middels een door de bank verstrekt apparaat.
[Reactie gewijzigd door Carbon op woensdag 5 december 2012 15:29]
Dat is toch al zo. Bij ABN, SNS en Rabo heb je een card-reader nodig. Die allemaal geleverd worden door vasco.com
De Zeus trojan heeft aangetoond dat zo'n token + card-reader niet afdoende is!Dat is toch al zo. Bij ABN, SNS en Rabo heb je een card-reader nodig.
Bankrekening-plunderende Zeus-trojan keert verbeterd terug
? Mag je mij uitleggen hoe het artikel waarnaar je refereert dit beschrijft. Dat gaat namelijk over malware wat zich simpelweg heel goed weet te verstoppen... Niks over hoe het trojan het gebruik van cardreader weet te omzeilen.
Het artikel gaat inderdaad niet in op de werking van de mallware.? Mag je mij uitleggen hoe het artikel waarnaar je refereert dit beschrijft.
Maar als je even had gegoogled dan was je erachter gekomen dat het gaat om een MITM (Man in the middle) aanval welke slachtoffers heeft gemaakt bij o.a. de Rabobank.
De mallware wijzigde het bedrag en het rekeningnummer maar toonde de oorspronkelijke transactie gegevens aan de gebruiker.
Naar aanleiding hiervan heeft de Rabobank de authorisatie procedure wat aangepast zodat het bedrag niet meer stiekem gewijzigd kan worden.
Echter het is nog steeds mogelijk om onder water een ander bankrekeningnummer te gebruiken!
Waar Carbon op doelt, is denk ik meer iets wat ik hier verder op in het artikel voorstel http://tweakers.net/react...ting&ParentID=5956498.
36miljoen zonder ook maar 1 stap in een bank te zetten 
helden !
helden ![Reactie gewijzigd door himlims_ op woensdag 5 december 2012 15:46]
Blijft toch raar he... Is het niet simpelweg op te lossen door een zwarte lijst te maken van banken die niet te vertrouwen zijn? Ik begrijp er maar weinig van. Om een bankrekening te hebben moet je toch staan ingeschreven staan en gelegitimeerd hebben. Mogelijk is dat in Oekraine allemaal minder goed nageleefd, maar dan maar gewoon geen geld meer overmaken of in ieder geval eerst een check doen voor dat de transactie wordt voltooid!
Nederlandse criminelen maken veelal gebruik van katvangers en pinnen vervolgens het geld, maw je kunt meteen alle Nederlandse banken op die zwarte lijst zetten.Ik begrijp er maar weinig van. Om een bankrekening te hebben moet je toch staan ingeschreven staan en gelegitimeerd hebben.
Bedankt voor de zeer duidelijke uitleg!
Dit lijkt alleen te werken als je virusscanner niet up to date is op je Windows systeem en als je (bewust) installaties van derden toe laat op je Android (instellingen->beveiliging->onbekende bronnen/installaties van andere apps dan Market-apps toestaan(vinkje aan/uit)).
Wat dat betreft zijn dus eigenlijk alleen mensen met een bewust geroot toestel kwetsbaar, mensen met een 2e hands toestel die door de vorige eigenaar is geroot of mensen met een out of de box geroot toestel zoals bij een aantal Chinese merken het geval is.
Een virusscanner op je toestel kan wel wat uitmaken, maar ik denk dat het de huidige toestellen trager maakt en over het algemeen is maar een heel klein percentage apps in de diverse stores kwetsbaar. Gezond boeren verstand is bij mobieltjes nog steeds belangrijk.
Dit lijkt alleen te werken als je virusscanner niet up to date is op je Windows systeem en als je (bewust) installaties van derden toe laat op je Android (instellingen->beveiliging->onbekende bronnen/installaties van andere apps dan Market-apps toestaan(vinkje aan/uit)).
Wat dat betreft zijn dus eigenlijk alleen mensen met een bewust geroot toestel kwetsbaar, mensen met een 2e hands toestel die door de vorige eigenaar is geroot of mensen met een out of de box geroot toestel zoals bij een aantal Chinese merken het geval is.
Een virusscanner op je toestel kan wel wat uitmaken, maar ik denk dat het de huidige toestellen trager maakt en over het algemeen is maar een heel klein percentage apps in de diverse stores kwetsbaar. Gezond boeren verstand is bij mobieltjes nog steeds belangrijk.
Onzin, je moet helemaal niet geroot te zijn om apk's te installeren.
Dat neemt natuurlijk niet weg dat het een enorm ingenieuze werkwijze is.
Dat neemt natuurlijk niet weg dat het een enorm ingenieuze werkwijze is.
In dat geval geldt dit:
&en als je (bewust) installaties van derden toe laat op je Android (instellingen->beveiliging->onbekende bronnen/installaties van andere apps dan Market-apps toestaan(vinkje aan/uit))
Gezond boeren verstand is bij mobieltjes nog steeds belangrijk.
Ja bijzonder ingenieus deze diefstal.
Bovendien ook enorm link - er staan lange gevangenisstraffen op.
Geheid MIVD-ers van 't land in kwestie die meezitten in 't complot.
Je voert dit niet zo maar eventjes uit zonder 100% zekerheid te hebben hoe en wat internet is en hoe en wat de bank wel en niet aan beveiligingssystemen heeft om je actie voortijdig te stoppen.
Nu is natuurlijk de vraag: Ukraine of Rusland?
Bovendien ook enorm link - er staan lange gevangenisstraffen op.
Geheid MIVD-ers van 't land in kwestie die meezitten in 't complot.
Je voert dit niet zo maar eventjes uit zonder 100% zekerheid te hebben hoe en wat internet is en hoe en wat de bank wel en niet aan beveiligingssystemen heeft om je actie voortijdig te stoppen.
Nu is natuurlijk de vraag: Ukraine of Rusland?
Nou denk het niet. Mijn bank vraagt nooit zomaar om mijn mobiele nummer. Als dat gebeurt dan moet er toch wel een lampje bij je gaan branden dat er iets goed fout zitEr wordt dan een trojan geinstalleerd die de eerstvolgende keer actief wordt als de gebruiker gaat internetbankieren. Op dat moment krijg je het eerste scherm hierboven voor je neus en wordt je gevraagd wat je smartphone OS is en je mobiele nummer. Omdat je net bent ingelogd denk je dat deze melding van de bank komt.
Mijn bank ook niet, maar gmail bijvoorbeeld weer wel. Krijg wel vaker de vraag om mijn telefoonnummer achter te laten voor als ik ooit mijn wachtwoord zou vergeten.
Probleem daarmee is dus dat er mensen zijn die niet raar opkijken als er om een telefoonnummer wordt gevraagd.
Probleem daarmee is dus dat er mensen zijn die niet raar opkijken als er om een telefoonnummer wordt gevraagd.
TAN codes per SMS versturen is waarschijnlijk bedacht toen smartphones nog niet bestonden of gangbaar waren. Wat het idee nu dus totaal achterhaald maakt. Want: je kunt immers op je smartphone de hele transactie doen, via de browser, en vervolgens de TAN code uit het SMS bericht kopieren en plakken in de webpagina van de bank. Terwijl de bedoeling juist was veiligheid te creëren door 2 onafhankelijke platforms te gebruiken.
Het geeft meer liquiditeit als je iets sneller kunt overboeken.
De financiele sector is natuurlijk heel blij met grotere liquiditeit.
De financiele sector is natuurlijk heel blij met grotere liquiditeit.
Als je zelf weet hoe het werkt, zoals ik bijv trap je daar natuurlijk niet in. Nooit hoef ik mijn 06 nummer te geven en dat zal ik ook zeker niet zomaar ff doen. Als ik zie dat de betaling/verificatie anders is dan normaal, zorg ik er eerst voor dat ik zekerheid krijg dat dit ook idd een actie van de bank is; ik ga ze bellen of zoek de info online, op de echte site uiteraard.
Zouden meer mensen moeten doen ipv. klakkeloos elke wijziging zomaar volgen en afwerken, dat zou een hoop ellende schelen.
Zouden meer mensen moeten doen ipv. klakkeloos elke wijziging zomaar volgen en afwerken, dat zou een hoop ellende schelen.
ik herinner me een professor die zei over iemand die genaaid was door een bepaald bedrijf die valsspeelde waardoor hun product ergens er beter uitkwam: "wat een oen dat hij daar intrapt, zo'n simpel foefje".
Paar jaar later was de wereld te klein toen software van de professor in kwestie aan de beurt was.
Als je kijkt naar de uitvoering van deze roof, het internationale gebeuren eraan, en het feit dat men gewoon niet weet wie het nu precies gedaan heeft - daar zaten MIVD-ers in het complot van het land in kwestie.
Niemand is slimmer dan de NSA.
Die verzinnen wel wat om je te naaien.
Deze actie was een hoog complexe operatie. Niet iets wat je 'eventjes' doet.
Paar jaar later was de wereld te klein toen software van de professor in kwestie aan de beurt was.
Als je kijkt naar de uitvoering van deze roof, het internationale gebeuren eraan, en het feit dat men gewoon niet weet wie het nu precies gedaan heeft - daar zaten MIVD-ers in het complot van het land in kwestie.
Niemand is slimmer dan de NSA.
Die verzinnen wel wat om je te naaien.
Deze actie was een hoog complexe operatie. Niet iets wat je 'eventjes' doet.
[Reactie gewijzigd door hardwareaddict op donderdag 6 december 2012 15:47]
Leuk verhaal maar gewoon irrelevant. Voor deze hack moet de gebruiker handelingen verrichten die je normaliter niet doet. Het is zo klaar als een klontje.
Moet je dingen doen die je normaliter niet doet, zeker bij financieele transacties is oplettendheid geboden.
Is dat zo moeilijk ?
Moet je dingen doen die je normaliter niet doet, zeker bij financieele transacties is oplettendheid geboden.
Is dat zo moeilijk ?
Wat ik niet begrijp ik dat er daadwerkelijk mensen zijn die zulke links zomaar aanklikken. Bij de banken in Nederland wordt overal expliciet duidelijk gemaakt dat een bank nooit zomaar gegevens zal opvragen of dat er "verplicht "software moet worden geïnstalleerd.
Het is heel sneu voor de mensen dat ze zulke bedragen verliezen, maar wordt er niet overal zo gewaarschuwd dat je goed moet opletten bij bankzaken?
Het is heel sneu voor de mensen dat ze zulke bedragen verliezen, maar wordt er niet overal zo gewaarschuwd dat je goed moet opletten bij bankzaken?
Dat begrijp ik ook nog steeds niet. Maar ik begrijp ook nog steeds niet waarom banken zomaar de schade blijft vergoeden.
Als ik een junk, de sleutel van mijn huis geef, of ik leg de sleutel onder de deurmat, dan krijg ik toch ook niets van de verzekering als mijn huis leeg gehaald is?
Als ik een junk, de sleutel van mijn huis geef, of ik leg de sleutel onder de deurmat, dan krijg ik toch ook niets van de verzekering als mijn huis leeg gehaald is?
Ik denk om vooral van gezeur af te zijn met klanten en publiciteit zoveel mogelijk te mijden, hier gaat namelijk veel meer geld mee gemoeid als wij met zijn allen weten. Dit soort dingen komen ook veel vaker voor als dat in het nieuws komt. Als het iedere keer in het nieuws komt dan worden alle bankklanten nog veel zenuwachtiger..... Net als dat gedoe met skimmen komt ook véél meer voor als dat wat je er in het nieuws van hoort.
Omdat internet bankieren veel goedkoper is voor een bank dan via de post (waar ook gewoon fraude mogelijk is), ze willen geen negatief nieuws over internet bankieren, dus lossen ze het snel op zodat het niet zo snel in de media komt...Dat begrijp ik ook nog steeds niet. Maar ik begrijp ook nog steeds niet waarom banken zomaar de schade blijft vergoeden.
Omdat de banken willen dat je vertrouwen blijft houden in mobiel/internet bankieren. Als je weet dat je een risico hebt dat je je geld niet terug krijgt bij een hack dan gebruikt je bijvoorbeeld niet meer iDeal ofzo.
En niet iedereen heeft een ICT knobbel in zijn hoofd, ken genoeg mensen die echt heel erg voorzichtig proberen te doen op het internet maar dan toch niet weten wat ze moeten doen bij deze mededelingen. Want soms zijn ze echt niet te onderscheiden van de echte websites.
En niet iedereen heeft een ICT knobbel in zijn hoofd, ken genoeg mensen die echt heel erg voorzichtig proberen te doen op het internet maar dan toch niet weten wat ze moeten doen bij deze mededelingen. Want soms zijn ze echt niet te onderscheiden van de echte websites.
Ze zijn verzekerd tegen diefstal dus tuurlijk vergoeden ze je.
Hoezo zouden de banken er voor verzekerd zijn? Zouden ze niet "gewoon" voor de schade opdraaien?
Ze zijn verzekerd tegen diefstal dus tuurlijk vergoeden ze je.
Dat maakt niet zoveel uit; ofwel de schade, ofwel de verzekeringspremie wordt gewoon verwerkt in de bankkosten die jij betaalt om diensten van de bank af te nemen, dus in feite draaien de klanten er uiteindelijk voor op.Zouden ze niet "gewoon" voor de schade opdraaien?
Het zou je maar overkomen. Ik denk dat iedereen, dus ook goede it-ers tegen dit probleem aan zouden kunnen lopen. Malware wordt steeds gerafineerder en gaat steeds sneller in omloop.
Ik denk dat je gewoon altijd alert moet blijven en altijd maar blij bent als het je weer wordt vergoed. Zou wat zijn. 1200 euro van je rekening, jij geen idee hoe het komt. Altijd al virusscanner/malware scanner erop gehad, voorzichtig te werk en TOCH gepakt. Blijkt na enige tijd dat de virusscanner nog niet het virus kende en daardoor tijdje ongemerkt te werk kon gaan. Maargoed, jij bent 1200 euro kwijt, wordt wantrouwig in alles en voelt je persoonlijk gepakt...
Ik denk dat je gewoon altijd alert moet blijven en altijd maar blij bent als het je weer wordt vergoed. Zou wat zijn. 1200 euro van je rekening, jij geen idee hoe het komt. Altijd al virusscanner/malware scanner erop gehad, voorzichtig te werk en TOCH gepakt. Blijkt na enige tijd dat de virusscanner nog niet het virus kende en daardoor tijdje ongemerkt te werk kon gaan. Maargoed, jij bent 1200 euro kwijt, wordt wantrouwig in alles en voelt je persoonlijk gepakt...
tot het jou overkomt!!!
ik ben altijd uiterst voorzichtig met pinnen, maar ben toch gescimd blijkbaar want er was ruim 800 euro in ameria opgenomen.
dan ben je blij dat de bank je geld terug geeft. ook nie tmeer dan logisch.
ik ben altijd uiterst voorzichtig met pinnen, maar ben toch gescimd blijkbaar want er was ruim 800 euro in ameria opgenomen.
dan ben je blij dat de bank je geld terug geeft. ook nie tmeer dan logisch.
Je bent niet de enige. De skimmers zijn slim. In de rij bij de supermarkt word je er aan herinnerd dat je de code moet afdekken maar als je alleen bij de pomp staat dan zullen vele er niet altijd aan denken. Ik ben blij met een programma zoals Zembla:
http://zembla.vara.nl/Afl...2b423ee7151ef0d157d5a05a3
De mensen die deze site lezen geven geen objectieve weergave van de ICT kennis van de gemiddelede persoon en dat mag je ook niet van ze vragen. Zoals eerder al is aangegeven de banken pushen het internetbankieren. Wil je overschrijfkaarten de ING brengt hier nu een extra bedrag voor in rekening wil je 2 keer per maand een overzicht de ING brengt hier een extra bedrag voor in rekening. Bij elkaar wordt gewoon bankieren aardig wat duurder dan internetbankieren.
http://zembla.vara.nl/Afl...2b423ee7151ef0d157d5a05a3
De mensen die deze site lezen geven geen objectieve weergave van de ICT kennis van de gemiddelede persoon en dat mag je ook niet van ze vragen. Zoals eerder al is aangegeven de banken pushen het internetbankieren. Wil je overschrijfkaarten de ING brengt hier nu een extra bedrag voor in rekening wil je 2 keer per maand een overzicht de ING brengt hier een extra bedrag voor in rekening. Bij elkaar wordt gewoon bankieren aardig wat duurder dan internetbankieren.
Dat doen ze ook niet. Tegenwoordig wordt er door de bank steeds vaker nul op rekest gegeven bij dit soort claims. Daar waren laatst nog enkele berichten/uitzendingen van Kassa! aan gewijd.
http://kassa.vara.nl/tv/a...tie-bij-phishing/speel/1/
http://kassa.vara.nl/tv/a...geen-compensatie/speel/1/
http://kassa.vara.nl/actu...toffer-internetbankieren/
Ik weet uit eigen ervaring dat hoe voorzichtig je ook bent, er toch een mogelijkheid is dat je geskimd wordt. Zelfs toen deed de Rabobank erg moeilijk en wilden ze het eerst niet vergoeden ivm nalatig handelen.
Uiteindelijk schandalig als ze dit niet vergoeden in mijn ogen, creditcardmaatschappijen werken al jaren op deze manier en hebben daar geweldig goede detectiemanieren voor ontwikkeld. Het is gewoon een feit dat de gebruikers, banken en andere instanties achter blijven lopen bij de makers van malware e.d.
http://kassa.vara.nl/tv/a...tie-bij-phishing/speel/1/
http://kassa.vara.nl/tv/a...geen-compensatie/speel/1/
http://kassa.vara.nl/actu...toffer-internetbankieren/
Ik weet uit eigen ervaring dat hoe voorzichtig je ook bent, er toch een mogelijkheid is dat je geskimd wordt. Zelfs toen deed de Rabobank erg moeilijk en wilden ze het eerst niet vergoeden ivm nalatig handelen.
Uiteindelijk schandalig als ze dit niet vergoeden in mijn ogen, creditcardmaatschappijen werken al jaren op deze manier en hebben daar geweldig goede detectiemanieren voor ontwikkeld. Het is gewoon een feit dat de gebruikers, banken en andere instanties achter blijven lopen bij de makers van malware e.d.
[Reactie gewijzigd door SidewalkSuper op woensdag 5 december 2012 14:50]
Op zichzelf heb je gelijk dat banken achterlopen op fraudeurs. Echter is dat ook bijna onvermijdelijk. Kijk bijvoorbeeld naar de gewone betaalpassen. Daar zit een magneetstrip op. Super onveilig. Echter heb je die magneetstrip in bijvoorbeeld de VS nog nodig. Dus kunnen de banken de magneetstrip er niet zomaar vanaf halen.
De fraudeurs hoeven helemaal geen wereldwijd werkend systeem aan te bieden. Als je ergens een gat ontdekken, ge(mis)bruiken ze het.
De fraudeurs hoeven helemaal geen wereldwijd werkend systeem aan te bieden. Als je ergens een gat ontdekken, ge(mis)bruiken ze het.
Maar wel wanneer de junk je de sleutel op slinkse wijze afhandig maakt zonder dat je dit zelf door hebt.
De banken vergoeden dit vanwege het behoud van vetrouwen in het systeem. Dit is precies hetzelfde als het vergoeden van fraude in het geval van credit cards, een systeem dat nog veel meer haken en ogen bevat, maar voor de credit card maatschappijen nog steeds lucratief is zolang de consument er het volste vertrouwen in heeft.
De banken vergoeden dit vanwege het behoud van vetrouwen in het systeem. Dit is precies hetzelfde als het vergoeden van fraude in het geval van credit cards, een systeem dat nog veel meer haken en ogen bevat, maar voor de credit card maatschappijen nog steeds lucratief is zolang de consument er het volste vertrouwen in heeft.
Dat valt ook wel mee volgens mijn met het waarschuwen van hun klanten, staat bij sns wat in rode tekst, maar weten allemaal dat rode tekst niet altijd gelezen word, valt dus nog hoop te verbeteren en is geen tijd om achterover te gaan zitten als bank, want meldingen werken schijnbaar nog niet goed genoeg, want zijn nog veel te veel mensen die niet goed zijn ingelicht, hoe dat komt maakt even niks uit feit is dat er nog bosjes mensen rond lopen die niet genoeg kennis hebben.Wat ik niet begrijp ik dat er daadwerkelijk mensen zijn die zulke links zomaar aanklikken. Bij de banken in Nederland wordt overal expliciet duidelijk gemaakt dat een bank nooit zomaar gegevens zal opvragen of dat er "verplicht "software moet worden geïnstalleerd.
Zal dus iets beters moeten bedenken dan wat rode tekst van paar regels boven het inloggen, ik vind dat taak van de bank om er meer actief achteraan te zitten. Geregeld verplichte meldingen laten lezen, mensen vragen laten beantwoorden over de risico's voordat ze verder kunnen zou al behoorlijk vooruitgang zijn op het redelijke passieve houding van bepaalde banken.
De ING stuurt niet alleen TAN codes per sms, maar ook het nieuwe wachtwoord van je internetbankieren.
edit: voor degene die dit niet geloven staat hieronder de uitleg op de ING site
Hoe kan ik mijn wachtwoord per sms ontvangen?
Bent u uw wachtwoord voor Mijn ING (internetbankieren) vergeten? Dan hoeft u niet meer te wachten op een nieuw wachtwoord. U vult online enkele gegevens in en ontvangt vervolgens direct een sms-bericht met een tijdelijk wachtwoord. Met dit wachtwoord en uw gebruikersnaam kunt u meteen inloggen op Mijn ING (internetbankieren). Onder andere voor uw veiligheid is het tijdelijke wachtwoord slechts 30 minuten geldig. Het is dus belangrijk dat u het wachtwoord direct wijzigt.
edit: voor degene die dit niet geloven staat hieronder de uitleg op de ING site
Hoe kan ik mijn wachtwoord per sms ontvangen?
Bent u uw wachtwoord voor Mijn ING (internetbankieren) vergeten? Dan hoeft u niet meer te wachten op een nieuw wachtwoord. U vult online enkele gegevens in en ontvangt vervolgens direct een sms-bericht met een tijdelijk wachtwoord. Met dit wachtwoord en uw gebruikersnaam kunt u meteen inloggen op Mijn ING (internetbankieren). Onder andere voor uw veiligheid is het tijdelijke wachtwoord slechts 30 minuten geldig. Het is dus belangrijk dat u het wachtwoord direct wijzigt.
[Reactie gewijzigd door ignitem op woensdag 5 december 2012 14:21]
Volgens mij niet, laatste keer - ongeveer een half jaar geleden - dat het mij overkwam werd mijn wachtwoord per post opgestuurd.
Dan hoop ik voor je dat bij Post.nl niet teveel van die oekrainers werken..
Volgens mij moet je nieuwe wachtwoorden persoonlijk bij een postkantoortje in de buurt gaan afhalen!
Volgens mij moet je nieuwe wachtwoorden persoonlijk bij een postkantoortje in de buurt gaan afhalen!
Inderdaad met legitimatie...
Ja, want het zijn altijd 'die buitenlanders' die crimineel zijn....
edit
[Reactie gewijzigd door ignitem op woensdag 5 december 2012 14:29]
Dit is niet juist, het wachtwoord wordt OF opgestuurd OF met vertoon van ID bewijs af te halen in het ING kantoor.
Onjuist, zie tekst van de ING site in het bericht van mij hierboven.
Ik geloof niet dat er andere banken zijn die het gebruiken naast ING...In Nederland gebruikt ING tan-codes, voluit het transaction authentication number, om transacties beter te beveiligen: bij het overboeken van geld krijgt een gebruiker een tan-code per sms toegestuurd die hij moet invoeren om de transactie te bevestigen. Overigens kunnen de tan-codes desgewenst ook op een papieren lijst worden toegestuurd. Het is onbekend welke banken in Nederland zijn getroffen.
Oh en by the way: Dit is toch wel een van de nadelen van een 'open' smartphone OS. Ik ga niet zeggen dat het met iOS helemaal niet zou kunnen, maar het zou wel een stuk lastiger worden om het voor elkaar te krijgen bij non-jailbroken iPhones...
Er is een verschil tussen TAN codes gebruiken en getroffen zijn door deze bende.
Als BB os "kwetsbaar" is dan zal iOS echt niet veel minder risico lopen (en "open" maakt dus helemaal niets uit).
Verder moet je hier zelf malware op je telefoon voor installeren + malware op je (windows) pc, ik ben benieuwd hoe ze mensen zo ver gekregen hebben om uit onbekende bron een app te installeren op hun telefoon..
Verder moet je hier zelf malware op je telefoon voor installeren + malware op je (windows) pc, ik ben benieuwd hoe ze mensen zo ver gekregen hebben om uit onbekende bron een app te installeren op hun telefoon..
[Reactie gewijzigd door blouweKip op woensdag 5 december 2012 14:07]
Je kan bij iOS geen apps buiten de marketplace om installeren (that is non jailbroken).
Bij Blackberry & android wel...
Dus het maakt wel uit hoe open het is in dit opzicht.
Een app met malware zal minder makkelijk in de app store te krijgen zijn en moet geobfusceerd worden en moelijk worden gedaan zodat apple niet ruikt wat er gebeurt.
En waarom zou je ook op je windows pc iets moeten installeren?
Dat staat compleet buiten keif. Ja als je ook nog je bankzaken wil laten bespieden die je op je PC doet moet je idd ook daar meuk op installeren maar voor wat in dit artikel wordt besproken niet...
Bij Blackberry & android wel...
Dus het maakt wel uit hoe open het is in dit opzicht.
Een app met malware zal minder makkelijk in de app store te krijgen zijn en moet geobfusceerd worden en moelijk worden gedaan zodat apple niet ruikt wat er gebeurt.
En waarom zou je ook op je windows pc iets moeten installeren?
Dat staat compleet buiten keif. Ja als je ook nog je bankzaken wil laten bespieden die je op je PC doet moet je idd ook daar meuk op installeren maar voor wat in dit artikel wordt besproken niet...
[Reactie gewijzigd door jozuf op woensdag 5 december 2012 14:40]
Ook biij android is het standaard niet mogelijk om externe software te installeren, je zult daarvoor zelf een instelling moeten aanpassen, gezien sommige van de untethered jailbreaks is het overigens best mogelijk dat er iets geinstalleerd kan worden op iOS door een speciaal geprepareerde website/file.
Sterker nog, de link naar de telefoon malware wordt via een geinfecteerde windows pc (na input van de gebruiker: die moet zijn gegegevens doorgeven) naar de telefoon doorgezet via sms: waar dan een onbekende link moet worden geopend en je de malware zelf moet installeren...op android nadat je de beveiliging hebt uitgezet.
Als je logisch nadenkt (en het artikel leest) dan snap je dat dit niet alleen van een telefoon mogelijk is bij normaal internet bankieren (aangezien dat vanaf een computer gedaan wordt, zie ook de link)En waarom zou je ook op je windows pc iets moeten installeren?
Dat staat compleet buiten keif. Ja als je ook nog je bankzaken wil laten bespieden die je op je PC doet moet je idd ook daar meuk op installeren maar voor wat in dit artikel wordt besproken niet...
Sterker nog, de link naar de telefoon malware wordt via een geinfecteerde windows pc (na input van de gebruiker: die moet zijn gegegevens doorgeven) naar de telefoon doorgezet via sms: waar dan een onbekende link moet worden geopend en je de malware zelf moet installeren...op android nadat je de beveiliging hebt uitgezet.
Ok zal allemaal prima kunnen.
Ik was er vanuit gegaan dat het een probleem was ergens in een online bankieren app.
Dit staat niet echt in het artikel zo duidelijk als jij het neer zet iig.
Ik heb geen ING dus dat weet ik niet.
Ik was er vanuit gegaan dat het een probleem was ergens in een online bankieren app.
Dit staat niet echt in het artikel zo duidelijk als jij het neer zet iig.
Ik heb geen ING dus dat weet ik niet.
[Reactie gewijzigd door jozuf op woensdag 5 december 2012 15:01]
Met een business iOS developer account zou je het kunnen doen, maar dan weten ze je wel te vinden denk ik zo. En dan zou je nog een kernel exploit moeten vinden ook.
BB gesloten <> iOS gesloten!Als BB os "kwetsbaar" is dan zal iOS echt niet veel minder risico lopen (en "open" maakt dus helemaal niets uit).
De gebruiker van een unmanaged BB toestel kan net als bij Android OTA apps installeren van een willekeurige bron, een feature waarvan dankbaar gebruik is gemaakt door deze criminelen.
iOS (zonder jailbreak) gebruikers kunnen alleen maar software installeren van de iTunes AppStore.
[Reactie gewijzigd door Carbon op woensdag 5 december 2012 14:47]
BB als OS is natuurlijk ook zo lek als een mandje, dat in schril contrast met de beveiliging van hun services. Dat heeft er natuurlijk mee te maken, niet zozeer het open vs gesloten verhaal.
iOS is het veiligste mainstream mobiele OS wat er is, dat bewijst zich in dit soort dingen heel goed.
Zodra een jailbreak mogelijk is, verandert dat natuurlijk, afhankelijk van de manier waarop de jailbreak mogelijk gemaakt is. Een userland jailbreak is bijvoorbeeld heel gevaarlijk en malware zou daarmee heel makkelijk kans kunnen krijgen.
De meeste jailbreaks vereisen echter real life interactie in de vorm van kabeltje aan de computer en DFU mode.
Daarom zal Apple ook nooit virusscanners en dergelijke toestaan in de App Store, het is gewoon niet nodig door het gesloten systeem, de sandboxing en de goede beveiliging (ASLR/KASLR/DEP etc) waarmee iOS devices zijn dichtgetimmerd.
iOS is het veiligste mainstream mobiele OS wat er is, dat bewijst zich in dit soort dingen heel goed.
Zodra een jailbreak mogelijk is, verandert dat natuurlijk, afhankelijk van de manier waarop de jailbreak mogelijk gemaakt is. Een userland jailbreak is bijvoorbeeld heel gevaarlijk en malware zou daarmee heel makkelijk kans kunnen krijgen.
De meeste jailbreaks vereisen echter real life interactie in de vorm van kabeltje aan de computer en DFU mode.
Daarom zal Apple ook nooit virusscanners en dergelijke toestaan in de App Store, het is gewoon niet nodig door het gesloten systeem, de sandboxing en de goede beveiliging (ASLR/KASLR/DEP etc) waarmee iOS devices zijn dichtgetimmerd.
[Reactie gewijzigd door SidewalkSuper op woensdag 5 december 2012 15:18]
Op non-jailbroken iOS apparaten is het NIET mogelijk om applicaties te installeren uit een andere bron dan Apple's eigen App Store.
De techniek die deze hackers toepassen door te werken met .apk voor Android en .jad voor BlackBerry OS gaat dus sowieso niet werken op iOS.
Zelfs een jailbroken iOS device weet standaard niet wat hij met een .ipa archief moet doen.
Kortom deze hackers moeten in ieder geval NOG creatiever te werk gaan dan ze al doen als ze bij het geld van de iOS gebruikers willen komen.
Ik ben wel onder de indruk hoe ze 36 miljoen hebben weten buit te maken door eerst iemands PC te infecteren en ook nog eens hun smartphone met behulp van de gebruiker zelf.
De techniek die deze hackers toepassen door te werken met .apk voor Android en .jad voor BlackBerry OS gaat dus sowieso niet werken op iOS.
Zelfs een jailbroken iOS device weet standaard niet wat hij met een .ipa archief moet doen.
Kortom deze hackers moeten in ieder geval NOG creatiever te werk gaan dan ze al doen als ze bij het geld van de iOS gebruikers willen komen.
Ik ben wel onder de indruk hoe ze 36 miljoen hebben weten buit te maken door eerst iemands PC te infecteren en ook nog eens hun smartphone met behulp van de gebruiker zelf.
Eigenlijk hoeft het niet zo heel moeilijk te zijn.
1; link naar site die de iPhone jailbreakt (volgtens mij kan dit nog steeds via een site)
2; als de site de jailbreak kan uitvoeren met de hack, dan kan diezelfde hack vast ook gebruikt worden voor het installeren van malware
1; link naar site die de iPhone jailbreakt (volgtens mij kan dit nog steeds via een site)
2; als de site de jailbreak kan uitvoeren met de hack, dan kan diezelfde hack vast ook gebruikt worden voor het installeren van malware
Het gat welke een 'drive-by' jailbreak mogelijk maakte is in juli gepatched1; link naar site die de iPhone jailbreakt (volgtens mij kan dit nog steeds via een site)
BB is gesloten maar daar is het wel mogelijk, Android is open en is het mogelijk...Oh en by the way: Dit is toch wel een van de nadelen van een 'open' smartphone OS.
Dus 2 OSen waarvan de ene gesloten is en de ander open, en dan kan jij de conclusie trekken dat het een nadeel is van een open OS?
Had dit niet gebeurd als de Android source niet beschikbaar was denk je?
[Reactie gewijzigd door watercoolertje op woensdag 5 december 2012 14:21]
Natuurlijk is dit een nadeel van een open OS. Zodra de eindgebruiker op een niet zo zuivere link klikt gaat het al mis. De argeloze gebruiker dient tegen zichzelf in bescherming genomen te worden door bepaalde onderdelen van het OS dicht te timmeren. De echte Tweaker dient natuurlijk wel de mogelijkheid te krijgen het OS weer open te maken, zodat hij kan pielen wat 'ie wil.
Dat is toch ook precies het geval bij Android: om software buiten de Play store te installeren moet je je instellingen expliciet veranderen om dit mogelijk te maken...
Daarom moet je zelf ook de beveiliging uitschakelen voordat je programma's van buiten de market kan installeren.
Laten we wel wezen, de beperkingen van iOS maken het moeilijker om deze truc te gebruiken, maar dat neemt niet weg dat er nog wel andere manieren zijn: uiteindelijk zal bij ieder systeem waarbij de gebruikers keuzevrijheid hebben een groter risico zijn voor lakse gebruikers maar dat neemt niet weg dat die andere platformen nog steeds via een andere vector aangevallen kunnen worden.
Volgens mij is het primaire probleem hier de gebruiker, lijkt me onwenselijk om een OS dicht te timmeren alleen maar om de bonnie st. claire's van deze wereld tegen zichzelf in bescherming te nemen.
Laten we wel wezen, de beperkingen van iOS maken het moeilijker om deze truc te gebruiken, maar dat neemt niet weg dat er nog wel andere manieren zijn: uiteindelijk zal bij ieder systeem waarbij de gebruikers keuzevrijheid hebben een groter risico zijn voor lakse gebruikers maar dat neemt niet weg dat die andere platformen nog steeds via een andere vector aangevallen kunnen worden.
Volgens mij is het primaire probleem hier de gebruiker, lijkt me onwenselijk om een OS dicht te timmeren alleen maar om de bonnie st. claire's van deze wereld tegen zichzelf in bescherming te nemen.
Laten we wel vaststellen eerst, dat het overgrote deel van de gebruikers een 'bonnie st. claire' is. Dat vergeet je snel, als je hier op Tweakers zit.. maar ik denk dat bij een voorzichtige schatting 95% van de gebruikers echt geen IT kennis heeft. Die mensen zijn wel op hun hoede, maar begrijpen simpelweg niet welke berichten wel/niet gevaarlijk zijn. Of ze letten niet op en klikken snel op iets, omdat ze door willen met hun bezigheid.
Dit is ook de reden waarom internet gerelateerde criminaliteit zo moeilijk te stoppen is. Als iemand quantum mechanische processen aan jou gaat dicteren, dan weet jij ook niet wat wel of niet echt is. Zo werkt het voor de meeste gebruikers ook.
Dit is ook de reden waarom internet gerelateerde criminaliteit zo moeilijk te stoppen is. Als iemand quantum mechanische processen aan jou gaat dicteren, dan weet jij ook niet wat wel of niet echt is. Zo werkt het voor de meeste gebruikers ook.
Het probleem zit hem niet alleen in apps buiten de store wel of niet kunnen installeren maar in de store zelf.
Aangezien je dmv rechten (die 99% goedkeurt) via een legale app bij de sms berichten kunt komen kan je zelfs via een remote play store deze apps op een device krijgen
Aangezien je dmv rechten (die 99% goedkeurt) via een legale app bij de sms berichten kunt komen kan je zelfs via een remote play store deze apps op een device krijgen
Mensen die hier nog steeds intrappen, zelfs al ben je een ouder persoon.. Dan leef je echt onder een steen naar mijn idee! (maar dan had je ook niet geinfecteerd kunnen worden)
Kijkend naar die plaatjes kun je mij niet wijsmaken dat er niet minimaal 1 keer in je leven tegen je verteld wordt dat banken geen software laten installeren of je gegevens opvragen tenzij je er ZELF bewust naar toe gaat..
Dit zou je zowat niet meer criminaliteit in verband brengen, maar eerder met giften van goedgelovige mensen!
Ik kan ook best begrijpen dat banken op een bepaald moment gaan zeggen: zelf ingetrapt, eigen schuld.
Kijkend naar die plaatjes kun je mij niet wijsmaken dat er niet minimaal 1 keer in je leven tegen je verteld wordt dat banken geen software laten installeren of je gegevens opvragen tenzij je er ZELF bewust naar toe gaat..
Dit zou je zowat niet meer criminaliteit in verband brengen, maar eerder met giften van goedgelovige mensen!
Ik kan ook best begrijpen dat banken op een bepaald moment gaan zeggen: zelf ingetrapt, eigen schuld.Helemaal mee eens, ik heb bij meerdere banken rekeningen en heb bij voortduring meldingen gekregen dat de bank NOOIT via een mail of op de inlog-site vraagt om een handeling te verrichten anders dan normaal in te loggen.
TV spots, programma's en geschreven media hebben hier vaak genoeg en nog aandacht aan besteed ergo, ergens is er ook een begin van eigen verantwoordelijkheid.
TV spots, programma's en geschreven media hebben hier vaak genoeg en nog aandacht aan besteed ergo, ergens is er ook een begin van eigen verantwoordelijkheid.
"De mobiele malware was beschikbaar voor Android en BlackBerry OS."
En dit is hetgene wat mij zo'n zorgen maakt. Éen OS welke super veilig zou moeten zijn en een OS wat veel gebruikt wordt.
Laten we hopen dat dit niet beschikbaar komt voor iOS en Windows Phone.
EDIT: Waarom wordt ik nou weer -1 gemod? Het is een FEIT dat het gebeurd is en ook een FEIT dat ik ten volste reageer op het nieuwsbericht en ook een FEIT dat ik HOOP dat dit niet met alle andere OS-en gebeurt..
En dit is hetgene wat mij zo'n zorgen maakt. Éen OS welke super veilig zou moeten zijn en een OS wat veel gebruikt wordt.
Laten we hopen dat dit niet beschikbaar komt voor iOS en Windows Phone.
EDIT: Waarom wordt ik nou weer -1 gemod? Het is een FEIT dat het gebeurd is en ook een FEIT dat ik ten volste reageer op het nieuwsbericht en ook een FEIT dat ik HOOP dat dit niet met alle andere OS-en gebeurt..
[Reactie gewijzigd door Game_overrr op woensdag 5 december 2012 14:12]
De Android fanboys houden er niet van als je je negatief uitlaat over de beveiliging van Android. Immers in hun ogen is _alles_ de schuld van de gebruiker. Android zelf is perfect (de ontelbare virussen en exploits ten spijt).
Ik heb je -1 gemod omdat je offtopic loopt te zeiken over het gemod.
Wat kunnen die tweakers hier slecht tegen kritiek, wat boeit het nou... Maak je ff druk om iets anders zoals hongersnood in Afrika ofzo...
Was dat een antwoord op je edit?
Wat kunnen die tweakers hier slecht tegen kritiek, wat boeit het nou... Maak je ff druk om iets anders zoals hongersnood in Afrika ofzo...
Was dat een antwoord op je edit?
[Reactie gewijzigd door jozuf op woensdag 5 december 2012 14:57]
Een van de redenen dat ik niet aan internetbankieren of dergelijks doe. Verbaasd me wel dat ze zoveel geld hebben buitgemaakt.
Maar hoe maak jij je geld dan over als aan bijvoorbeeld... een famillielid? Nog steeds met betaalopdrachten via de post?
Los van die vragen: deze geinfecteerde mensen hebben bewust deze links geopend...
Los van die vragen: deze geinfecteerde mensen hebben bewust deze links geopend...
Western union als het familieleden in het buitenland betreft ja.
Het feit dat alleen de ING TAN-codes gebruikt zou het toch wel duidelijk moeten maken dat zij ook getroffen zijn?De malware was in staat om het systeem van tan-codes te omzeilen. In Nederland gebruikt ING tan-codes, (...) Het is onbekend welke banken in Nederland zijn getroffen; of ING is getroffen, is niet duidelijk.
Ja maar dat mogen ze niet hardop roepen omdat de bank het ontkent of niet heeft bevestigd.
Harde cijfers zijn niet echt bekend, maar volgens ingewijden is de ING meer dan 2 x zo vaak betrokken bij internetfraude dan andere banken. Was paar maanden terug hele reportage over met anonieme figuren die vanuit de schaduw even uit de doeken deden.
Harde cijfers zijn niet echt bekend, maar volgens ingewijden is de ING meer dan 2 x zo vaak betrokken bij internetfraude dan andere banken. Was paar maanden terug hele reportage over met anonieme figuren die vanuit de schaduw even uit de doeken deden.
Als het bij mij was gebeurt hebben ze toch niet veel buit kunnen maken 
OT: Nee maar zeker rot voor de mensen die dit wel hebben meegemaakt
OT: Nee maar zeker rot voor de mensen die dit wel hebben meegemaakt
De ING is niet alleen in nederland operationeel. De vraag is alleen in welke andere landen ook TAN codes worden gebruikt of een andere vorm hiervan en welk percentage van de bevolking van dat land gebruik maakt van internetbankieren.In Nederland gebruikt ING tan-codes, voluit het transaction authentication number, om transacties beter te beveiligen: bij het overboeken van geld krijgt een gebruiker een tan-code per sms toegestuurd die hij moet invoeren om de transactie te bevestigen. Overigens kunnen de tan-codes desgewenst ook op een papieren lijst worden toegestuurd. Het is onbekend welke banken in Nederland zijn getroffen; of ING is getroffen, is niet duidelijk.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
