Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 260 reacties
Submitter: analogworm

Volgens onderzoek van Kaspersky Lab hebben hackers honderden miljoenen dollars gestolen bij zo'n 100 banken en financiŽle instellingen door hun computers te infiltreren met malware. Het gaat mogelijk om de grootste digitale bankroof ooit. Ook Nederlandse banken zijn getroffen.

Een rapport over de hack moet op maandag worden gepubliceerd, maar Kaspersky Lab heeft The New York Times al inzicht gegeven in de bevindingen. Volgens de beveiligingsonderzoekers heeft een groep criminelen uit Rusland, China en een aantal niet nader genoemde Europese landen malware geïnstalleerd op computers van ongeveer 100 banken en financiële instellingen. Daarbij zouden ook Nederlandse banken zitten, maar het is onduidelijk om welke banken het precies gaat: Kaspersky maakte geen namen bekend.

Volgens Kaspersky Lab kwam de malware terecht op de computers door phishing-mailtjes waar bankpersoneel op klikte. Volgens Kaspersky Labs werd er onder andere een tool voor remote toegang geïnstalleerd waarmee de routines van het bankpersoneel konden worden bespioneerd. Vervolgens maakten de hackers geld over naar 'dummy'-accounts in meerdere landen. De transacties zouden niet zijn opgevallen. Op deze manier zou zeker 300 miljoen dollar, omgerekend 263 miljoen euro, zijn gestolen, maar mogelijk gaat het zelfs om het drievoudige. Daarmee is het mogelijk de grootste diefstal bij banken ooit.

In totaal zouden banken en financiële instellingen in meer dan 30 landen zijn getroffen. Vooral Russische banken zouden zijn bestolen. Opsporingsinstanties, waaronder de Nederlandse High Tech Crime Unit, zouden nog bezig zijn om de impact van de digitale roof te verifiëren en de daders op te sporen.

De onderzoekers kwamen de hackers al in 2013 op het spoor toen Kaspersky Lab werd gevraagd om te onderzoeken waarom een geldautomaat in Kiev schijnbaar op willekeurige momenten geld begon uit te geven. Uiteindelijk bleek het dus om een groot opgezette malwareaanval te gaan. Geen van de getroffen banken zou gemeld hebben slachtoffer te zijn geworden van een hack.

Update 13:58 uur: De Nederlandse Vereniging van Banken laat in een reactie aan RTL Nieuws weten dat het 'geen aanwijzingen heeft gevonden' dat er Nederlandse banken slachtoffer zijn geworden van de digitale roof. ABN Amro en ING bevestigen dat.

Moderatie-faq Wijzig weergave

Reacties (260)

"Volgens Kaspersky Lab kwam de malware terecht op de computers door phishing-mailtjes waar bankpersoneel op klikte."

Ik snap niet dat anno 2015 er nog mensen zijn dit trappen in dit soort mailtjes. Ja ik weet dat ze er heel echt uit kunnen zien ! maar als je goed oplet & nadenkt zie je snel genoeg dat het niet klopt.
Dat komt omdat ICT de samenleving overvallen heeft. Binnen 20 jaar is de samenleving fundamenteel op de schop gegaan. Niemand heeft de tijd gehad om zich aan te passen en iedereen is aan het aanrommelen geslagen.

Er is geen ICT opvoeding geweest. Wat doe je wel en niet, wat zijn online normen en waarden. Er was wel nettiquette, maar dat ging meer over omgangsvormen en niet over privacy, veiligheid en professioneel gedrag. Deze verandering is diepgaander dan de introductie van radio of televisie.

Mensen worden constant ingehaald door de feiten van criminaliteit. Jongeren van nu leren langzaamaan steeds meer over de gevaren en risico's, maar mensen die online gingen in de jaren 90 die hebben zelf de cultuuromslag moeten uitvinden toen hun baas ineens met het Grote Plan kwam on een computer aan een modem te hangen en een 'website' te maken. Niemand had het over risico's, alles was nieuwe en spannend. En er kon geld verdiend worden.

Dus nu zitten we nog steeds in een inhaalslag om dat aanrommelen achter ons te laten. Maar goed wachtwoordbeheer en werkplek normen en wat voor leuke namen je er aan kunt geven, dat is voor veel mensen iets wat ze nooit met de paplepel hebben ingegoten gekregen. Een kind van negen begrijpt mits de ouders zelf bijgeleerd hebben al beter wat de gevaren zijn van diverse internet-zaakjes dan iemand van 50.

Dus dat er mensen zijn die klakkeloos op mailtjes klikken...ik zou het raar vinden als het niet gebeurde.

Een tv was een ding waar je naar keek en daar was geen wachtwoord bij, of een manier van doen. Dat ontstond later wel, toen je huisraad zou werd opgesteld dat het gezin naar de tv kon kijken. Maar het was passief, je hoefde niet veel te doen dan aanzetten en kijken en luisteren. Maar ook daar was wel een gevaar bij.

Mensen zongen niet meer samen, gezellig oude liederen zingen en onthouden ging verloren. De cultuur veranderde door tv, net als nu met ICT.

Je vraagt je af... Niemand kon zich met een radio voorstellen dat er een radio met beelden kwam. En niemand kon zich goed voorstellen, op een enkeling na, soms een sci-fi schrijver of een futuroloog of een vago-denker of een antropoloog misschien dat er een 'internet' zou komen. En dus...wat komt hierna, waarop we niet voorbereid zijn? Wat is de lijn van papieren media naar radio, televisie, internet...en...wat?
Prachtig uiteengezet, klopt als een bus wat je zegt, maar we hebben het hier niet over Jan en alleman, we hebben het hier over bankmedewerkers, waarschijnlijk grotendeels vaste werkkrachten aangezien ze een mailadres van de bank gebruiken; als er Ūemand op de hoogte hoort te zijn van de risico's van klakkeloos een linkje in een mail aanklikken dan zijn zij dat wel toch? Ik vind het persoonlijk bijzonder kwalijk dat dergelijk onwetende mensen mijn geld kunnen beheren, en nog veel kwalijker dat geen van deze banken aangifte heeft gedaan van diefstal, of dat nou uit onwetendeheid of doofpotgedrag voortkomt.
De gemiddelde bankmedewerker is niet veel beter opgeleid dan bijvoorbeeld de kassiere bij de Aldi. Opleiding die ze gehad hebben zal zich focussen op geldzaken en niet op IT.

Van de andere kant, de gemiddelde IT afdelingsleider neemt in het weekend de werklaptop mee naar huis en laat er zijn 8 jarige dochters mee spelen. Dus zelfs mensen die beter zouden moeten weten zijn een makkelijk doelwit voor allerhande criminelen.

Confronteren werkt het best. Stuur gewoon zelf een phishing mail rond, en roep daarna het personeel bijeen en laat maar zien hoeveel idioten wel een leuk filmpje wilden zien ten koste van wat liquide middelen. Degenen in de zaal die geklikt hebben doen dat niet snel nog eens.
Ik ben opgegroeid met de PC en ik moet zeggen dat ik goed weet wat wel en niet echt is wanneer ik een mailtje krijg. Maar toch zie ook ik dat de mailtjes steeds echter lijken. Soms is het ook bijna niet meer te onderscheiden. Laatst een mailtje ontvangen van eBay omdat er een hack was geweest moest ik mijn wachtwoord aanpassen. Het is maar dat ik gelezen had dat het klopte. Maar anders had het net zo goed een phishing email kunnen zijn. Hackers worden steeds beter in het maken van geloofwaardige mails. Het heeft te maken met onkunde... Meer met het steeds kundiger worden van hackers
Ze worden beter en dat geeft zorgen. Maar doorgaans kun je al veel ontdekken als je je muis boven de link houdt. Als je een goed mailprogje hebt dan laat ie ergens de feitelijke link zien. En als dat een vaag gebrabbel is dan weet ik al genoeg.

Had laatst iets van de Rabo...over een of ander apparaatje dat je kon bestellen als klant. Weet nog steeds niet of dat legitiem was, maar bij de Rabo zit ik niet :-)
...een slimme hacker leest hetzelfde nieuws, en maakt pijlsnel een nep-e-mail van Ebay waarmee je je wachtwoord moet "aanpassen". Met zulke timing trappen er extra veel mensen in...

Ik denk dat je altijd de link heel goed moet checken, en het slotje in je browser. En liefst Noscript, Request Policy, etc. installeren.
Het was vast een gemakkelijk, voor de hand liggend password; zo'n soort mail kreeg ik ook van PayPal, zag er heel echt uit behalve de URL en wijselijk heb ik ook daar NIET op gereageerd.
Je kunt gerust stellen dat ze lager niveau bezitten mbt de jeugd.
Ik vind het ook raar dat er geen waterdichte, fysieke barriŤre is tussen de essentiŽle banksystemen en computers waar mensen op kunnen e-mailen en browsen. Ze hebben genoeg geld om echte experts een goed systeem te laten opzetten, zoals de mensen van Kaspersky of Foxit of zo. Misschien leren die banken nu hun lesje...

[Reactie gewijzigd door Cerberus_tm op 15 februari 2015 15:20]

Dat ze het geld hebben wil niet zeggen dat ze het uit willen geven. Kosten versus baten is een rekenso. Waar banken extreem bedreven in zijn.
Ik ben bang dat dat inderdaad is hoe het werkt. Uiteindelijk is een miljard verdeeld over 100 banken waarschijnlijk apenootjes voor de meeste daarvan.
Ik kan je uit eerste hand ervaring vertellen dat de grootste digibeten mensen zijn van financiele instellinen. Het is verschrikkelijk. De mensen snappen werkelijkwaar niet hoe een computer werkt. Sommigen raken al in paniek als ze met een standaard Casio fx-82MS moeten werken ipv een rekenmachine met hele grote knoppen waar je alleen +, -, /, * en een % toets op hebt zitten.

Syntax error is ook iets wat ik vaak bij ze zie. Dan krijg ik een rekenmachine terug met de opmerking 'het ding is stuk'. Wat proberen ze te doen?
Je moet de getallen 5, 8 en 12 bij elkaar optellen. Dit voeren ze in als:
'5+8+12+', gek he dat je dan een error krijgt als je na de + niets hebt staan. 5+8+12 plus wat?

Ik denk dat je een veel te hoge hoed op hebt van financiele mensen. Ze weten hoe ze iets in een programma moeten invoeren en van sommige dingen wat theorie. Maar het zijn gewoon domme robots die wat data invoeren en wachten tot er weer data op het scherm komt. Wat ze invoeren en wat er met de gegevens gedaan wordt weten ze niet eens.

Ze moeten tegenwoordig WFT examens doen (Wet Financieel Toezicht) van de overheid ipv examens gemaakt door de bank zelf waar men zo doorheen gejast wordt (gevalletje, ik ben 100% betrouwbaar want ik ben RadioKiesCertified). Wat ik van ze hoor is dat ze letterlijk zeggen: hoe moet ik weten hoe dit werkt? Normaal voer ik wat in het programma in en komen de gegevens tevoorschijn. Oftewel, de mensen weten niet eens waar ze mee bezig zijn! En maar klagen dat het slagingspercentage onder de 50% is... terwijl de studenten en mensen van hogeraf het wel in 1 keer weten te halen.

Er is imo iets mis met de financiele wereld. Mensen die voor ons geld moeten zorgen en ons moeten adviseren als leken snappen/weten er zelf geen fuck van. Ik snap heel goed dat men bij de DSB vroeger met een schoon geweten woekerpolissen e.d. konden verstrekken. Ze wisten het volgensmij werkelijk niet.

tl;dr, als men niet eens weet wat ze eigenlijk doen voor werk en vrijwel geen basiskennis hebben hoe een computer te gebruiken, hoe kun je dan van ze verwachten veilig om te gaan met o.a. e-mail.
Off-topic
familielid werk bijde politie,zou kaarten kopen voor andre rieu eerste de beste.link van de gesponsorde malafide kaartenverkoop geklikt bij Google.

Dus wonderen zijn de wereld niet uit ;(

Je vraagt je dus af hoever mensen ook zelf nadenken.
Ontopic
Op mijn werk krijg ik toch 1 /2 eens in de 3 maanden zo'n vaag mailtje rabo/ing.
Stuur ze braaf naar valseemail@...
En blokkeer het adres vraag e af of andere Łberhaupt niet klikken op de mail.

Heb standaard ook previeuw weergave email uitstaan.
Als je weet hoe een bank met hun personeel omgaat denk je daar wel anders over...
Niemand had het over risico's, alles was nieuwe en spannend.
Oh, ja wel hoor... die geluiden waren er wel zeer zeker!

Maar ja, dat werd afgedaan als gezeur.

En niet alleen managers zijn schuldig hoor, hoewel die wel de drijfende veer zijn erachter.

Kijk maar eens in de archieven van got, ellelange discussie over de nut van WO of HBO voor programmeurs. En wat bleek (blijkt, want die discussies zijn er nog steeds); de meeste "programmeurs" vinden opleidingen en regels maar onzin. Die willen gewoon code eruit rammen. Zie deze: [Alg] Nut van WO Informatica als software developer *

Leuke quote uit OP:
Ik ben er van overtuigd dat opleidings nivo helemaal niet zo relavant is voor een goede carriere in de ICT.

Sterker nog als je na een MBO of HBO een hogere opleiding gaat doen dan plaats je jezelf op een flinke achterstand. De ontwikkelingen gaan best snel voor de meeste ICT werknemers, een paar jaar school is dus niets anders dan een flinke vertraging.
En ja, dan krijg je langzamerhand laag op laag van crap, want iedereen denkt dat bestaande regels onzin zijn en het zelf wel even beter te weten. En dat stort de boel wel eens in. En klaarblijkelijk steeds vaker ook nog.
Aan de andere kant, opleiding zegt totaal niets over de "domheid" van mensen met betrekking tot Internet gebruik. Hoe veel zeer "slimme" opgeleide mensen klikken er niet klakkeloos op een link in een e-mail, hoe veel "slimme" hoog opgeleide mensen laten zich financieel uitkleden door Nigeriaanse bendes.

Gezond verstand en inzicht heeft weinig te maken met opleidingen. De beslissers over security bij bedrijven zijn vaak hoog opgeleid, maar denken alleen maar vanuit een financieel oogpunt.

Bij een financiŽle instelling meegemaakt dat men bespaarde op bepaalde maatregelen omdat het een te hoge investering was. Uiteindelijk ging het fout en was de schade hoger dan de investering.
Aan de andere kant, opleiding zegt totaal niets over de "domheid" van mensen met betrekking tot Internet gebruik.
Misschien, maar mijn opmerking ging over de andere kant van het mes, de aanleg van IT systemen ;)

GP Vendar leek het over 2 dingen te hebben: het bewustzijn van de gebruikers (jan en alleman die met Internet omgaan) en de organisaties die als paddenstoelen IT systemen gingen opzetten (en nog steeds aan het opzetten zijn).
Natuurlijk is dit slechts ťťn kant van de zaak. Laatst was ik bij mijn mondhygiŽniste die mij een mooi formulier voorschotelde met vragen als BSN en email adres, "want het zo lekker makkelijk invoeren in de computer".
Toen ik haar naar computer beveiliging vroeg, veranderde de toon van het gesprek:
"Geen formulier, geen behandeling."

Ik heb mijn heil elders gezocht.
Een man naar mijn hart! Helaas kan ik geen +10.000 geven op je bericht.

Hoe veel mensen zouden zonder terughoudendheid de informatie geven? Ik heb dit al wel eens genoemd, maar als je voor behandeling komt in het UMCG staan er tegenwoordig bij alle balies camera's waarmee ze een foto van je willen voor je dossier 'voor je eigen bestwil' is de redenering, want '...dan kan de dokter controleren dat ie de juiste persoon voor zich heeft.' Of u maar even op die op de grond getekende 'voetjes' wilt gaan staan.

Als je nee zegt kijken ze je heel raar aan. Als je doorvraagt over de beveiliging dan doen ze alsof ze IT experts zijn en garanderen ze je dat alles goed geregeld is, alsof een baliemedewerker daar inzicht in heeft.

Of...bij winkels vragen ze je soms naar je postcode :-) Altijd nee zeggen. Kijken ze ook raar. Wat is dat toch met mensen dat ze zo onbewust leven? Gewoon maar doen wat iedereen doet...geen ophef maken.

Laatst in de apotheek. De apotheker leest iets en zegt tegen de mevrouw 'Oh leuk, als u dit invult kunt u nog wat terug krijgen van de prijs!' Zonder schroom of nadenken vult de vrouw dat papiertje in. Voor een paar euro staat ze nu ingeschreven bij het bedrijf van dat middel.

Ik wil dan altijd eigenlijk die mensen even waarschuwen, maar ik denk niet dat me dat in dank wordt afgenomen. Dan wil ik zeggen 'Je hoeft dit niet te doen hoor...' Je hoeft geen postcode te geven, email te geven... en er zijn risico's en nadelen verbonden aan de informatie die je prijs geeft. Ze hebben niet in de gaten dat ze informatie verkopen voor een schamele prijs.

Het beeld dat bij mij opkomt zijn de veewagons vol Joden. Die vergelijking mag je niet maken, want Godwin, maar toch. Mensen zijn soms te meegaand, slaafs... Iedereen gaat de wagon in, dus ik ook maar. Iedereen wordt uit huis gehaald en in de vrachtauto gezet, de buren...dus ik ook maar. Iedereen krijgt een leuke ster op de jas, dus ik ook maar.
Kan het grotendeels met je eens zijn.

Helaas vul je dit aan met de laatste alinea. Denk na. De vergelijking met informatiehonger bij de balie en wagonladingen mensen uit WO2 gaat mank en is in dit verband totaal misplaatst. Ik neem aan dat je de situatie momenteel in Syrie in dit verband ook loskoppelt van bankcriminaliteit. Keep on topic!
Het is UITERST op zijn plaats want het gaat over de slaafse, volgzame mens die niet nadenkt tot het te laat is. Dat heet leren van het verleden / historisch besef.
Helaas leven we nu in een wereld waar dat ongewenst is. Je mag herdenken straks op 4 Mei. De rest van het jaar mag je geen vergelijkingen maken.
Mijn kanttekening is voor de goede verstaander duidelijk. Ik heb geen zin om daar verder in discussie over te gaan
Ja okay, maar dat was MIJN opinie. Niet de jouwe, het is MIJN bijdrage aan de discussie. En die bepaal ik mede. Sorry als jij de link niet ziet of te ver vind gaan.

Ik vind de link tussen hoe mensen zijn, volgzaam, meegaand, kritiekloos wel relevant omdat het zich niet alleen uit op het moment dat een Jood zich gelaten als vee laat behandelen, maar ook als het gaat om hoe wij NU reageren op de schending van onze mensenrechten, zoals privacy. En hoe onze instelling daar NU mee om gaan. Door daar niet transparant over te zijn.

Wat mensen niet snappen is dat er een directe link bestaat tussen die Joden in WO II (wij burgers die privacy willen maar door bedrijven, overheid en andere organisaties gedatamined worden en geprofileerd en aldus een ster opgenaaid krijgen: mogelijk verdacht, daardoor bespied) , de niet-Joden die langs de straat stonden toen Duitsers hen in een vrachtwagen duwden (zij die zeggen: 'Ik heb niets te verbergen/Het boeit me niet/wat kan ik er nou aan doen?') de ambtenaar in 1930 die het normaal vindt om te registreren in de gemeentelijke basisadministratie op een kaartje dat iemand Joods is (de bank medewerkers die blijkbaar onze privacy en veiligheid niet garanderen of serieus nemen).

Als de discussie over privacy, internet-veiligheid voor burgers, in dit geval op financieel gebied, niet over gaat of over mag gaan, waar gaat het dan wel over?

Veel mensen hier zijn bijzonder goed ingelicht over privacy en ICT. En hebben kritiek op hoe dingen nu gaan. Maar de link leggen met het verleden is 'not done'?

Hoe is het dan dat politici, zoals burgermeester op 4 Mei de woorden uitspreken dat '...dit nooit meer mag gebeuren...'? Waaraan refereren ze? Aan WO II en de Jodenvervolging. Die zo goed verliep door registratiedwang van zinloze gegevens, dus de privacy van mensen ondermijnden op het moment dat het cruciaal was dat een vijand bepaalde informatie niet zou moeten hebben. Toen moesten verzetsstrijders in actie komen en gemeentelijke administraties verbranden.

Jij snapt dit zelf ook. Ik ben geen Jood, maar als ik een Jood was, zou ik me mogelijk druk moeten maken over het feit dat ik als zelfbewuste trotse Jood bij diverse Joodse organisaties ingeschreven sta, die gehackt kunnen worden, waardoor er gerichte aanslagen gepleegd kunnen worden op mij en mijn familie.

Het probleem met deze banken is dat IEDERE burger een bankrekening heeft. Zonder bankrekening KUN je niet eens leven. Er zijn namelijk geen 'loonzakjes' meer. Een uitkering MOET op een bankrekening overgemaakt worden. Net als je loon en je kunt niet eens meer aan contant geld komen zonder een bank.

In die zin zijn we als burger ALLEMAAL Joden geworden. Ieder van ons staat gemiddeld in wel 2000 databases. We hebben meer Davidsterren dan je denkt.

Onlangs stond op sciendedaily het bericht dat je geÔdentificeerd kunt worden met slechts 4 parameters.

http://www.sciencedaily.c.../2015/01/150129160856.htm

"Just four fairly vague pieces of information -- the dates and locations of four purchases -- are enough to identify 90 percent of the people in a data set recording three months of credit-card transactions by 1.1 million users. "

http://www.sciencedaily.c.../2015/02/150210083803.htm

"Security gaps found in 39,890 online databases containing customer data"

Als wij stelselmatig alleen 'lip service' betalen aan het idee dat we 'lessen leren' uit het verleden (terwijl op 4 Mei er checkpoints zijn van de politie) maar tegelijkertijd er alles aan doen om vergelijkingen met WO II of Jodenvervolging te vermijden, dan hebben we een probleem!

Hoe kun je praten over mensenrechten, zoals privacy en de moraliteit van een Panopticum-samenleving vol ICT, als je niet bereid bent parallellen te zien? Is soms het Joodse leed te erg om als vergelijking te dienen voor onze eigen situatie? Toen ging het alleen om Joden, Zigeuners, verstandelijk gehandicapten en, homoseksuelen en psychiatrisch gestoorde mensen. Nu gaat het om ons allen.

Hoe is het dat een stukkie karton in een kaartenbak leidde tot het boek van Anne Frank? Raar idee hm?

In amerika sloten ze als voorzorg alle Jappanners op in concentratiekampen. Dat zou nu een 'FEMA-kamp' heten. Een Japanner kun je goed herkennen vanwege uiterlijke kenmerken. Maar een bank-database helpt tegenwoordig iedereen te identificeren, als de overheid of een hacker er in kijkt.

Zoek de verschillen? We zijn als nooit tevoren in staat mensen te identificeren. Iedereen kan nu gecategoriseerd worden en ingedeeld in allerlei subgroepen.

Hoe is het mogelijk om gťťn vergelijking te maken met het verleden?

Het is blijkbaar emotioneel moeilijk om dat te doen. De vraag is waarom.
Vendar! Een link leggen kunnen we hier allemaal wel hoor. Iemand aanspreken op een misplaatste link ook, en precies dat deed ik. Maar jij gaat stug door, als een kuddedier, ziende blind

[Reactie gewijzigd door Cundo op 18 februari 2015 19:48]

Zelfs mensen die goed weten waar ze mee bezig zijn trappen er soms in. De zwakste schakel in de beveiliging zal altijd de mens zijn en met behulp van social engineering is het echt niet moeilijk om mensen zo ver te krijgen dat ze iets openen wat ze niet mogen openen.
Misschien zouden ze alle mails door meerdere mensen kunnen laten "scannen" en deze mail dan "approved to use" maken. Maar hiervoor is veel tijd nodig en dus meer personeel. +Dan gaan wij het ook niet leuk vinden als onze banken duurder worden.
Dat is een van de problemen. Consumentisme heeft er voor gezorgd dat mensen het idee hebben dat alles zo goedkoop mogelijk moet zijn, liefst gratis. Daarom wil de politiek zo graag marktwerking.

Nu weet ik niet of natuurkunde hierop van toepassing is, de wet van het behoud van energie, maar je iet wel hoe dat van toepassing is. Geld is arbeid, arbeid is energie. De prijs van gratis wordt niet betaald met geld, maar de energie moet dus ergens anders weg komen. Soms is dat het stukje van de prijs dat niet wordt mee berekend, de offers in milieu, natuur en klimaat. Dat is geen standaard onderdeel van een prijsopbouw.

De prijs die we nu betalen is privacy en betrouwbaarheid van banken. Veiliger banken kost meer geld. Consumenten willen dat niet betalen, dus de energie of geld of arbeid, om het even op welke manier je het uitdrukt, moet ergens vandaan komen. We betalen dus in veiligheid, of liever, de opoffering daarvan.

Nu is het vaak zo dat wij als consumenten wantrouwend zijn. Stel dat een bank in al haar producten een percentage of een bedrag inbrengt in de prijsopbouw voor veiligheid? Pikt niemand, wel, we pikten ook het betalen voor de pinpas...

Wij gaan er van uit dat die beveiliging optimaal moet zijn. En dat dat kosten zijn die een bank of instelling daarvoor zelf moet dragen. We betalen toch ook geen eigen bijdrage voor een zware, dure kluis? Maar uiteindelijk betaal je er wel voor, al wordt dat als zodanig niet in de prijsopbouw expliciet genoemd. De bank moet winst maken en de kosten van de kluis staan hoe dan ook op een of andere manier in de boekhouding.

De wet van het behoud van de doorberekening van kosten. :-)
Wat je zegt is correct, maar volledig off topic, begrijp je +1 status niet..

Mijn reactie gaat over de beveiliging van banken en het opsporen van phishing mails. Als dit digitaal niet goed werkt, moet men de MENING van meerdere mensen in acht nemen voor je kan oordelen of een mail echt is of niet.
Je had het er over dat banken duurder worden. Ofwel bankieren wordt duurder. De reden die je noemt is meer personeel. Als dat personeel nodig is om de beveiliging op orde te krijgen, dan is dat net als een kluis voor een bank. Een bank is geen bank als ie jouw geld niet veilig opbergt.

Die kluis kost geld, net als personeel. De vraag is, willen wij meer betalen voor ons bankieren? Of vinden we dat beveiliging zo inherent hoort bij een bank, net als een kluis, dat je niet meer hoeft te betalen dan nu. De bank berekent de kluis officieel niet door aan de klant, maar aan de andere kant wel, gewoon door alle kosten op te tellen voor het runnen van een bank en dan de baten bij elkaar op te tellen en dan zorgen ze er voor dat het saldo positief is voor hen (en de aandeelhouders.)

Het komt zelden voor dat een commerciŽle organisatie bepaalde kosten niet doorberekent aan de klant.

Dus jouw phishing mails zorgen voor extra kosten. Jij praat over duurder wordende banken.

Dat is gewoon on topic dus.
Compleet akkoord! Ik zeg al jaren dat mensen wel een rijbewijs nodig hebben om rond te mogen rijden met een voertuig, maar iedereen mag zomaar online zonder eerst een cursus te hebben gevolgd. (en daarom moet ik nu elke keer 20 codes invullen via een card reader voor ik m'n online banking kan checken :/)
Het zijn vooral de jongeren en kids die op de achteloos op de links klikken. De veertigers van nu snappen het nu beter dan de jeugd dat er iets niet klopt.
Inderdaad want er werken kinderen bij de bank. 8)7 Dit heeft echt niets met leeftijd te maken.

Ik ben benieuwd wat de daadwerkelijke schade zal zijn en wie er achter zitten. En of er Łberhaupt iemand voor opgepakt gaat worden. Als ik 300.000.000 euro zou hebben gestolen, geloof mij dan vind je me niet meer terug.
zucht, Ik heb het over het algemeen klikken op links van gebruikers van de banken.
Niet over het personeel dat naar website wordt gelokt. Het is vrij eenvoudig iemand te vinden als je die zoekt.zeker voor de gene die daar in gespecialiseerd zijn. Je kan je tegenwoordig niet meer zomaar verdwijnen. dan zou je letterlijk van de aardbol moeten verdwijnen.

[Reactie gewijzigd door trisje op 15 februari 2015 19:51]

Genoeg manieren om iemand met zo een bedrag te vinden. Je bewaart het niet in een koffer ;)
VR/AR wordt in mijn ogen de volgende revolutie. Met mensen die sochtends na het opstaan hun VR/AR bril opzetten om er vervolgens de hele dag mee rond te lopen... En dat binnen 5 jaar.
Check de film Surrogate (2009)
Excact wat ik bedoel
hoezo!? Lees jij dan nooit de mails van je collega's, HR of OR? zit het prima allemaal in verborgen.
Volgens mij is dat interne mail ? en ook die screen je of het niet te vaag is.
Dat screenen gaat natuurlijk qua beveiliging allemaal automatscih - en daar gaat ook weleens wat mis.

Bovendien, zoals hierboven ook aangegeven, kan het ook van een gehackte server van een vertrouwde partij afkomstig zijn.
Het zal vast geen email zijn geweest dat ze een miljoen hadden gewonnen of dat hun Paypal account was geblokkeerd. Ik weet zeker dat deze e-mails er zo professioneel uitzagen dat jij of ik er misschien ook waren ingetrapt.
Dat ze er goed uit hebben gezien dat geloof ik graag, ze stekken veel tijd en moeite erin om het zo echt mogelijk te laten lijken. Echter ben ik toch van mening dat als je een externe mail krijg (er vanuit gaan dit deze mailtjes van externe bronne komen) je deze checkt (mail adres, moet een rare actie doen (bijvoorbeeld een PDF downloaden van een vage site?)
Ja klopt, ik vraag me ook af hoe het kan dat het bij zoveel verschillende banken is gelukt. Dat het bij een enkele lukt kan mazzel zijn, maar bij 100 banken heb ik stiekem toch wel respect voor.
Is echt niet zo moeilijk om in te beelden hoor. Als jij ergens toegang weet te krijgen tot een mailserver van een bedrijf dat met veel banken communiceerd kan je kijken wat voor correspendentie daar tussen loopt en ben je in staat om een mail op te stellen en te versturen die er authentiek uitziet, van een vertrouwde bron komt en dus een mooie payload kan afleveren.
Eerder iets in de trant: 'Congratulations, you have won another bail-out'.
Aangezien dat nogal vaak voorkomt niet heel onlogisch dat ze erop klikken :+
Wellicht snappen heel veel mensen niet dat jij dat niet snapt. Bijvoorbeeld als die mensen die kennelijk toch in die praktijken trappen.

Een groot probleem is dat mensen het risico voor zichzelf niet zien en het dus 'vergeten'. Onbewust en bewust risico voor jezelf en anderen nemen zijn menselijke eigenschappen. Kijk maar in het verkeer. Je kan ook blijven roepen je het niet snapt dat anno 2015 er nog steeds honderdduizenden hardrijders en alcoholisten zijn waarvan een deel ongelukken veroorzaken. Mensen zijn eigenwijs en egoÔstisch, zeker als het gaat om het risico voor een ander.
Het is heel simpel.. Stuur een malware mailtje met een enigszins redelijk kloppende subject en inhoud en 90% zal gewoon op een linkje in de mail klikken. En als het een zelf geschreven malware is, zal geen virusscanner het detecteren. Het emailtje kan misschien niet helemaal kloppen, maar in de haast van de dag, is het verleidelijk om snel even door te klikken om te zien. Mensen zijn immers nieuwsgierig. En wie gaat vervolgens melden, dat ze op een 'fout' email-linkje hebben geklikt?

Het zal nog wel even duren, voordat dit soort uitwassen uitgebannen zijn. Momenteel is er geen houden aan.

[Reactie gewijzigd door Noeandee op 16 februari 2015 00:40]

Ik kreeg een week of 3 - 4 geleden een mail van een creditcardmaatschappij waar ik zakelijk contact mee heb
Alles klopte. Sterk staaltje van social engineering. Maar 1 gouden regel heeft mij behoed en dat is dat ik nooit op dergelijke links klik maar handmatig naar de site ga en inlog. Daar kon ik niks terugvinden van het probleem. Was dus phissing . Doorgezet naar de CC maatschappij .
Dat niet alleen, maar dat er een directe verbinding is met internet is heel erg fout en iets dat ik niet snap. Je hoort intern en extern te scheiden, zeker bij een bedrijf als een bank.
Hoe wil je dan bijv. aan internetbankieren gaan doen? Iemand bij de bank die elke transactie van internetbankieren gaat overtypen? Met het risico op fouten erbij?
Dat systeem hoort achter een firewall te liggen, als apart systeem. Malware op een werkstation hoort daar niet bij te kunnen. Sterker nog, de malware op je werkstation hoort onbereikbaar te zijn vanaf internet, dus geen commando's kunnen ontvangen.
Het is in onze geinformatiseerde wereld een utopie om de banksystemen volledig gescheiden te houden van systemen die met het internet verbonden te zijn. Men moet er alles aan doen om het zo goed mogelijk te beveiligen, maar geen enkele beveiliging is onfeilbaar.

En zoals we met bijv. stuxnet hebben gezien zijn zelfs systemen die helemaal niet aan het internet hangen kwetsbaar voor virussen.
De essentiŽle systemen hoeven niet volledig gescheiden te zijn van het Internet, maar ze moeten wel 100% gescheiden zijn van computers waarop iemand zou kunnen e-mailen of browsen. En alles moet achter zeer strenge vuurmuren met witte lijsten (geen zwarte lijsten). En er moet een fysiek slot zijn op eventuŽle USB-poorten in die essentiŽle systemen, alleen te openen als drie hooggeplaatste, computerwijze mensen tegelijk een fysieke sleutel omdraaien. Etc. Het kan echt beter; ze moeten gewoon goed advies vragen bij het ontwerpen van het systeem aan Kaspersky en Foxit of zo.

[Reactie gewijzigd door Cerberus_tm op 15 februari 2015 15:26]

O ja, dat was een beetje jammer. Maar misschien wordt de anti-virussoftware door een andere, slechtere afdeling gemaakt? Er is wel vaker wat aan te merken op anti-virussoftware...
Er zijn firewalls. En er zijn aparte systemen. De administratie staat op het mainframe. De medewerkers kunnen niet overal komen op het internet, maar een mail komt (uiteraard) wel aan.

Alleen bepaalde medewerkers kunnen programmatuur installeren (al heb ik daartussen ook de nodige kneuzen gezien).

De meest kritieke administratie's staan op het mainframe zonder verbinding naar buiten (voor de gewone medewerkers). Toegang tot USB op een mainframe of een server, is uitgesloten. Die dingen staan in een afgesloten ruimte waar slecht een zeer select gedeelte van de medewerkers toegang heeft.

Maar als de hacker middels malware toegang krijgt tot de inloggegevens van de medewerkers dan hou je het als systeembeheerder nauwelijks droog. De beste beveiliging faalt zodra men de sleutel in handen heeft.
Maar stel dat Anne in moet loggen op de essentiŽle systemen van de bank om af en toe wat te doen, met haar paswoord Anne4eva en haar 2-factor-dingetje en nog wat. Zij doet dat vanaf een bepaalde computer die verbinding maakt met de essentiŽle system; maar waarom zou die computer Łberhaupt contact moeten kunnen maken met het Internet? En, al zou dat al moeten, waarom moet zijn e-mailen op diezelfde computer? Dat kan ze toch doen op een andere computer? Aangezien ze haar wachtwoord Anne4eva niet op die e-mailcomputer gebruikt, kan niemand daar ooit achterkomen, ook al wordt haar e-mailcomputer keihard gehackt. Ik snap ook wel dat ze niet perfect kan zijn, dus moet de mogelijkheid gewoon weggenomen worden.
Dat systeem hoort achter een firewall te liggen, als apart systeem

Dat is ook zo, maar het punt is nu net dat email gewoon bij een workstation uitkomt. En die workstation heeft vaak wel internet toegang. En via een besmette workstation komt men in het afgeschermde intranet inclusief de niet aan het internet hangende servers. Soms zelfs via verschillende hops.

Let wel, het gaat hier immers over speciaal geschreven malware, specifiek geconfigureerd en aangepast voor het netwerk in kwestie. Dit is niet de huis tuin en keuken consumenten malware.
Maar waarom moeten die servers en de e-mailcomputer op enige wijze verbonden zijn? Waarom geen twee gescheiden intranetten? Als er echt, echt informatie van het essentiŽle intranet naar het e-mailintranet moet of vice versa, dan kan dat op andere, extreem goed gescreende manieren.
Maar waarom moeten die servers en de e-mailcomputer op enige wijze verbonden zijn?

Dat hoeft niet, maar dan moeten jouw werknemers wel twee computers op hun bureau hebben. De meeste bedrijven zullen die stap niet snel nemen ...
Tja, ik denk dat dat het inderdaad is. En, zolang die hacks minder kosten dan hun voorkoming...
Yep, network segmentatie en encryptie sleutels hanteren op basis van een goed doordachte matrix voorkomt al erg veel.
Bij een beetje beveiligd bedrijf hebben de gebruikers alleen toegang tot gewhiteliste sites (bijvoorbeeld een lijst met een paar duizend sites).
Dus wel nu.nl of buienradar.nl of ns.nl maar bijvoorbeeld niet dropbox, OneDrive of google docs.
Dat is echt simpel in te richten en maakt dat je voor dit soort aanvallen waarbij iemand van buiten af contact heeft met malware binnen je bedrijf totaal niet kwetsbaar bent.
Ook die gewhiteliste sites zijn te hacken en kunnen zo malware serveren dat is dus geen 100% garantie maar het zal zeker helpen.

Ik zat zelf meer te denken aan een gescheiden omgeving. Dus mail en internet geisoleerd draaien met bijv vmware of citrix.
Ik wil jou wel even zien als jij op je werk alleen maar naar whitelist website kan gaan. Beetje noord korea gevoel krijg ik daarbij. Tevens kun je dan niks meer opzoeken.
Heb jij zelf ook het whitelist systeem voor je eigen werk PC ? gewoon vraagje.
Ja, ik kan op mijn werk sites als nu.nl, gpupdate, NHL.com, tweakers, enzovoorts, enzovoorts niet bezoeken. Als ik al iets moet opzoeken kan ik het intikken op Google en moet daarna toch eerst de ICT afdeling om toestemming vragen om naar de site te gaan waar ik de benodigde info kan vinden. Andere zaken doe ik op mijn mobiel, in pauzes. Zoals het hoort, ik ben op mijn werk tenslotte.
Het is gewoon een hele grote whitelist dus ik kan er prima mee leven. In het begin was het ff wennen maar nog slechts 1 of 2 keer in de maand kom ik een melding tegen van de proxyserver dat de site geblokkeerd wordt.
Wij werken zelf met een blacklist in plaats van een whitelist. En ja ook ik kom af en toe wel eens websites tegen waar ik niet kan komen. Soms wel irritant als je zeker weet dat daar iets te zoeken valt. :)
Noord-Koreanen zouden willen dat hun grootste probleem een whitelist van websites is, laat staan dat het alleen op hun werk is zoals hier wordt geopperd. Overigens volkomen terecht: niet-werk sites bezoeken doe je maar in je eigen tijd.
Wat zijn dat dan niet werk sites. En als je pauze hebt mag je zeker ook niet even internetten. Nou fijne werkdag alles zwaar gereguleerd, echt daar wordt de produktie in het bedrijf niet beter op. Mensen lopen snel weg naar een ander. Bij jullie is het vrije werken ook diep onder de grond begraven neem ik aan.
Bovendien maakt het je bedrijf in het geheel niet onkwetsbaar.
Voetbal International?
En internetten mag je gerust op je eigen smartphone of tablet doen.

[Reactie gewijzigd door Pyrone89 op 15 februari 2015 14:01]

Als een systeembeheerder zo flauw is wordt ik als medewerker ook heel flauw: dan werk ik wel op mijn prive laptop met een 4G verbinding naar buiten.

Laat die werk-PC dan maar lekker stofhappen.

Het ligt ook een beetje aan het soort bedrijf en werkzaamheden van werknemers, maar als je bijvoorbeeld dictator-systeembeheerder gaat inzetten in een R&D omgeving dan wens ik je als bedrijf veel succes met het vinden van werknemers :)
Als dit een voorwaarde is voor mensen om er te gaan werken dan zijn ze sowieso niet op zoek naar die mensen.

Wat medewerkers wel mogen verwachten is een mooie en fijne werkomgeving, goed salaris, auto, wederzijds respect (overwerken moet soms, maar dan ook niet moeilijk doen als een werknemer een keer een baaldag heeft en een paar uur eerder weggaat), winst delen met de medewerkers (en bij eventuele salarisoffers levert de directie eenzelfde % in), geen HRM miepjes die techneuten de les lezen over 'sociale vaardigheden' etc, gezond voedsel op de zaak, 10% van de tijd besteden aan eigen project (nee, niet Voetbal International).

Het is dus niet een centenkwestie maar een afleidingskwestie. Zo zou het ook heel tof zijn om allemaal lingeriemodellen de hele dag door het gebouw te laten lopen maar kan ik je garanderen dat er niks gebeurt die dag, inclusief door ondergetekende.
Ja dat zijn de nieuwe Managers die zo denken, je komt hier alleen maar om te doen wat ik zeg, en als je dat niet bevalt hoepel je maar op.
Lekkere fijne werksfeer creŽren ze, Toch gek dat je dit alleen maar ziet bij de kleine bedrijfjes waar inderdaad een dictator systeem beheerder alles dicht gooit, maar voor zich zelf alles heeft open staan samen met de manager zelf natuurlijk.
Al lijkt me de voorwaarde wel reŽel die je opnoemt. Alleen frons ik me wenkbrauwen met het woord salarisoffers (meer fout). Aan eigen projecten werken, 10 % mmm. betekend dat dat je baas je succes volle project kan inlijven als zijn eigendom? als het hem uit komt. Kijk die auto krijg je bijna overal wel en is min of meer deel van je salaris (lees minder netto geld) Boven dien denk ik als je mensen gewoon goed betaald en een opdracht geef dat dat werk gewoon gedaan wordt met of zonder internet of andere afleidingen. Zoals regelmatig koffie halen in de koffie hoek:-), of roken in het rook hok.
Ik snap ook niet waarom mensen steeds een flashplayer.exe die ze voorgeschoteld krijgen van elke willekeurige website installeren. Maar toch zijn er legio sukkels die het doen.
Hm misschien ben ik wel zo'n sukkel. Ik heb daar nooit over nagedacht eigenlijk. Goede tip. Thx
Respect dat je het toegeeft. Success ;)
Die flashplayer komt van de servers van Adobe vandaan als het goed is. Dat kun je gewoon zien doordat je naar Adobe wordt doorgestuurd. Een beter voorbeeld zouden al die "download managers" zijn die veel file hosting sites zo graag bij je willen installeren.
Email headers en inhoud is te faken, zo kan je een html link maken met de tekst 'http://www.adobe.com/bla' terwijl de href wijst naar 'http://www.adobe-systems.co/bla'
Of registry cleaners.
Flauwekul software.
Ook al omdat de registry in het geheugen effectief een soort database vormt die helemaal niet performancegevoelig is voor wat vervuiling.

[Reactie gewijzigd door 80466 op 15 februari 2015 11:34]

Goh, keys die refereren naar onbestaande files vertragen het systeem niet, maar de programma's die die keys gebruiken lopen wel trager als ze veel onbestaande koppelingen moeten verwerken.
Het kan zeker geen kwaad om je register eens op te schonen met legit software als CCleaner, maar het is correct dat veel van die cleantooltjes je PC alleen maar trager maken en/of gewoon malware bevatten.
Ik snap niet dat anno 2015 er nog mensen zijn dit trappen in dit soort mailtjes.

En zeker bankpersoneel zelf! Schaamtevol.
Het is volgens mij veel eenvoudiger.

Zolang het verlies als gevolg van fraude, hacking, etc kleiner is als de kosten van de security dan doen banken dat gewoon niet. Het interesseert hun niet.

Er zijn nu nog Nederlandse banken waar je zonder one time password, gewoon aan je overschrijvingen kan. Idioot gewoon.

Gelukkig is het lastig voor de banken om het op de individuele rekening houders af te schuiven, anders was dat de eerste optie die ze zouden nastreven. Nu wordt het over alle klanten verdeelt as "kosten".

Teveel tweakers denken dat daar waar geld zit ook goed na wordt gedacht over security, maar bij de banken en ook de verzekeringen draait het alleen om geld.
De daar uit voortvloeiende ongemakken moet de marketing maar weer rechtbreien.
Volgens mij zit je hier compleet naast.

Banken moeten voldoen aan bepaalde secuirty eisen (ISO cetificeringen etc) welke elke periode "getest" worden door auditers. Tevens huren ze security bedrijven in om de beveiliging van binnen en buitenaf te testen. Ook word er gewerkt aan awareness, medewerkers op de hoogte stellen en op de hoogte houden van wat er speelt in de digitale wereld, welke risico's er zijn, goed nadenken op welke mailtjes te klikken en welke niet.

Het doel is uiteindelijk om de criminelen voor te zijn door een zo goed en actief mogelijke security te hebben. Niemand zit te wachten op schade zoals deze.

Er zijn zelfs medewerkers bij banken die alleen als titel security officer in IT hebben. Ik denk persoonlijk dat security steeds belangrijker word en banken en bedrijven ook steeds meer in gaan zien dat het belangrijker word. Ik denk dat een bank over een paar jaar naast een hepldesk/systeem/netwerk-beheer afdeling ook een (grotere) security afdeling zal krijgen.

[Reactie gewijzigd door Sluuut op 16 februari 2015 13:15]

Ik geloof dat de bank daar precies doet wat ze moet, om niet "in gebreke" gesteld te worden.
En geen draad meer.
En ISO certificatie, wil niet meer zeggen dan dat men volgens de procedures werkt.
Of die procedures nog op iets trekken is een andere vraag.

Maar je hebt een punt dat niet alleen geld een rol speelt.
Een bank zal ook proberen om een "in gebreke" stelling te vermijden. (Mijn inziens omdat dit echt veel geld kan kosten)

De enige in het bankenwereldje die zijn zaakjes redelijk op orde heeft is onze klant swift, en dat is geen bank.

[Reactie gewijzigd door papa_san op 16 februari 2015 19:51]

Teveel tweakers denken dat daar waar geld zit ook goed na wordt gedacht over security, maar bij de banken en ook de verzekeringen draait het alleen om geld.
Het primaire doel van commerciele bedrijven is zoveel mogelijk geld verdienen. Wie moet voorzien in zijn eigen levensonderhoud met alle bijkomende risico's zoals recessies, kan niet anders dan streven naar een zo hoog mogelijke winst.
Wat voor andere opties hebben die banken en verzekeringsmaatschappijen?
1. Niet meer groeien: stilstand is achteruitgang, en dus funest voor het bedrijf.
2. Verdienmodel baseren op donaties: met alle onzekerheden van dien (zie WikiPedia).
3. Geld vragen aan de overheid (meen je dat?)
Security is iets wat onzichtbaar is en zal daardoor per definitie als minder belangrijk worden geacht. Een commercieel bedrijf kan het zich niet veroorloven om geld uit te geven aan iets onzichtbaars (security) terwijl ze er niet direct iets voor terugkrijgt (zou eigenlijk wel moeten). Je ervaart dit zelf ook op de werkvloer: jij wil een opdracht op de officiele/nette manier afronden met wat meer aandacht voor security, maar de manager zegt "kappe nou, het werkt, we kunnen er geld mee verdienen, dus jij gaat nu beginnen aan volgend project".
Neem aan dat de fishing mails automatisch geblokkeerd worden zodra er gezien wordt dat het een fishing mails is?
Nou, nee... In Nederland is de anti-phishing techniek DMARC bijv. bijna nergens doorgevoerd (controle op & vereisen van). Dat betekent dat je bij vrijwel alle banken een phishing mail kan laten aankomen (die verder heel legitiem lijkt). Dan moet de phishing mail wel met zorg worden gemaakt (en voor spear-phishing, want daar hebben we het hier over, doen ze dat). Makkelijk: nee, mogelijk: ja.

Banken zijn gewoon traag. Ik sprak er laatst een mbt het doorvoeren van DMARC: 'Budget voor IT is op voor dit jaar'. Dan komt security gewoon wat later.
DMARC werkt ook alleen goed als je de rest goed inplementeerd.

DKIM wat al jaren bestaad en ook al een redelijke check is, word niet vaak genoeg (in mijn mening) gebruikt. En dat is O.A. Deel van een DMARC inplementatie.
Het is echt heel makkelijk, maar net als met auto's repareren of behangen: Je moet het een keer gedaan hebben. Verder is het een simpel klusje.
Door wie of wat?

Er zijn black lists, maar een nieuw mailadres staat daar niet meteen op.
Tja, je kon er natuurljjk op wachten tot er zoiets zou gebeuren. Als hacker hoef je geen fysiek transport te regelen en met phishing kan je alles op afstand doen. Dus die bedragen verbazen ne niet heel erg.
Wat ik wel graag wil weten is hoe dat bedrag verdeeld is over de getroffen landen en banken.
Als hacker hoef je geen fysiek transport te regelen en met phishing kan je alles op afstand doen. Dus die bedragen verbazen ne niet heel erg.
Ik ben toch benieuwd hoe ze dat regelen. Dat geld moet je wel witwassen. Je kunt het niet op een bankrekening laten staan die traceerbaar is. En je kunt ook niet zo gemakkelijk eventjes tientallen of zelfs honderden miljoenen gaan "pinnen". Het is dus best nog een ingewikkelde operatie om zo'n hoeveelheid geld weg te sluizen en te witten zodat je het ook daadwerkelijk uit kunt geven. Het zal dus vooral via schimmige landen met corrupte justitie moeten gaan. Helaas zijn die er genoeg.
Je spreekt alsof dit via het buitenland moet lopen, maar via Nederland is dit net zo gemakkelijk, zeker aangezien het digitaal is en de AFM nu niet echt de capaciteiten heeft voor dit soort zaken. De AFM is meer gericht op regelgeving etc.

In Amerika daarentegen hebben ze ook vanwege de terrorisme geldstromen daar wat meer in geÔnvesteerd, waardoor het als het goed is lastiger om dit weg te sluizen.
De Nederlandse banken hebben wel degelijk systemen in werking die voor alle transacties risicoanalyses uitvoeren. Als jij bij de AH betaalt merkt niemand dat op, maar als er ineens sommen geld worden bijgeschreven en direct daarna overgemaakt naar donker Afrika reken dan maar dat er alarmbellen afgaan.
En bij nog veel meer patronen in betalingsverkeer...
[...]
Dat geld moet je wel witwassen. Je kunt het niet op een bankrekening laten staan die traceerbaar is. En je kunt ook niet zo gemakkelijk eventjes tientallen of zelfs honderden miljoenen gaan "pinnen". Het is dus best nog een ingewikkelde operatie om zo'n hoeveelheid geld weg te sluizen en te witten zodat je het ook daadwerkelijk uit kunt geven.
[...]
Die witwas operaties bestaan vanuit het criminele circuit al, ik wil niet zeggen dat het makkelijk is maar de infrastructuur is er. Ik neem aan dat hier een grotere organisatie achter zit die daar ervaring mee heeft. In dat geval is het gwn een extra geldstroom die gewassen moet worden.
Wat mij voor hen gevaarlijker lijkt is dat caspersky ze op de hielen zat en er met deze publicatie zat publiciteit komt. Dan gaan mensen extra hun best doen om dit soort zaken te ontwarren. Ik ben benieuwd wat voor problemen er bovenkomen zodra de onderzoekers dit konijnenhol induiken.
Je leest in het artikel dat ze de routines van bankmedewerkers bestudeerde om deze aanval mogelijk te maken. Blijkbaar zijn die routines dus niet veilig genoeg? We zullen het op zijn tijd vast allemaal gedeeltelijk horen
Triest dat banken het zelf niet eens gemeld hebben....
En zo de schijn ophouden dat de consument zijn geld veilig is.
Daarin tegen als het de consument overkomt dan wordt je negen van de tien keer wel als dom versleten en sta je vaak zelf voor het verlies.....hun verlies wordt wel weer verrekend met het geld van de consument.
Hoe zit het eigenlijk met de meldingsplicht van dergelijke instellingen.......
Ik snap je reactie niet.
Ze hebben zelf wel reactie gegeven.
Update 13:58 uur: De Nederlandse Vereniging van Banken laat in een reactie aan RTL Nieuws weten†dat het 'geen aanwijzingen heeft gevonden' dat er Nederlandse banken slachtoffer zijn geworden van de digitale roof. ABN Amro en ING bevestigen dat.
Hierom........

De onderzoekers kwamen de hackers al in 2013 op het spoor toen Kaspersky Lab werd gevraagd om te onderzoeken waarom een geldautomaat in Kiev schijnbaar op willekeurige momenten geld begon uit te geven. Uiteindelijk bleek het dus om een groot opgezette malwareaanval te gaan. Geen van de getroffen banken zou gemeld hebben slachtoffer te zijn geworden van een hack.
Geef eens een definitie van 'getroffen' dan. Want de banken in Nederland beweren dat ze niet getroffen zijn. Waarom zou je melding maken als je geen slachtoffer bent? Waaruit maakt kaspersky eigenlijk op dat ze zelf het grote gelijk hebben en de banken getroffen zijn? Kaspersky levert geen bewijs, die zegt dat ze contact opgenomen hebben met de politie. Maar op basis waarvan en of dat allemaal klopt blijkt uit niets. iedereen kan van elkaar beweren dat die slachtoffer is van een misdrijf en dan naar de politie stappen, maar dat zegt niets over het bewijs dat je daarvoor hebt of dat het vermoeden dat je hebt klopt.
En welke banken bevestigen dit niet? Ik ken een bank die de laatste maand zijn mail infra heeft gewijzigd en mails sneller markeert als phishing.
Naast het eergevoel dat een firma of bank heeft om te melden bedenk dat ze met een veiligheidsprobleem hebben ontdekt. Ze wisten het niet en zijn tot scha en schande erop uitgekomen. Niemand binnen het bedrijf of bank zal kunnen bevestigen dat na actie het probleem is opgelost dus om in de wijde wereld te zeggen we hadden een probleem is hetzefde als slapende honden wakker te maken en te zeggen van wij zijn kwetsbaar dus mogelijks nogmaals kanshebber.
Bovendien, als er een grote gecoordineerde opsporingsactie bezig is dan wil je deze hack natuurlijk sowieso niet aan de grote klok hangen. Zodra de daders doorhebben dat het opgevallen is wordt het ineens een heel stuk lastiger opsporen. Liever laat je ze nog even in de waan dat het niet ontdekt is...
Nou dat is dan aardig mislukt bij deze. Ik mag toch aannemen dat er wel degelijk een grondig onderzoek is afgerond en Kaspersky meer weet dan: "Ja ze komen dus uit Rusland en ook China, maar ook uit europa dus feitelijk gezien hebben we zo'n 3 biljoen mogelijke daders".
Hoezo is dat mislukt? Ze zijn hier al sinds 2013 mee bezig, ze hebben het dus aardig stil kunnen houden. Pas nu het onderzoek is afgerond komt het naar buiten.
Jammer dat IPS systemen met deep packet inspectie dit verkeer niet kunnen herkennen. Schrijven die hackers dan telkens hun eigen software waarvan het patroon niet bekend is? Is er nooit een standaard dat altijd terug moet komen?
Je kunt informatie in een foto stoppen zonder dat er een pixel veranderd. Wat extra data aan verkeer hangen in de packets wat van het interne netwerk naar een -zoals ze denken- legitiem -maar dus ook gekraakt- extern systeem gestuurd word, is al niet zo moeilijk en enorm lastig te detecteren.
Het vinden van verborgen informatie is verre van simpel. Patronen zijn lastig te vinden en wie zegt dat ze steeds dezelfde manier gebruikten. Voor hetzelfde geld werden de instructies via een PDF of DOCX bestand verstuurd, ga dat maar tegenhouden.

Veiligheid is nooit 100%, zelfs gescheiden en offline systemen zijn te bereiken als er genoeg wilskracht is.
Geen van de getroffen banken zou gemeld hebben slachtoffer te zijn geworden van een hack.
Logisch toch? Dat is negatieve reclame.
To heck with reclame (no disrespect trouwens. Hand op hart). Eerlijkheid, dat is belangrijk.
To heck with reclame (no disrespect trouwens. Hand op hart). Eerlijkheid, dat is belangrijk.
Eerlijkheid, daar kun je geen kapitalistische economie mee runnen want kapitalisme is gebaseerd op hebberigheid (en voedt de hebberigheid). Een kapitalisme waarin alleen vrijwilligers voorkomen is derhalve een utopie.
Maar ook deels op vertrouwen. Ben je slachtoffer maar verhul je dat, dan kun je serieus vertrouwen verliezen. Alle klanten weg omdat het vertrouwen weg is kan simpelweg faillisement betekenen. Eerlijkheid kan dus economisch voordeel danwel noodzaak hebben.
Maar ook deels op vertrouwen. Ben je slachtoffer maar verhul je dat, dan kun je serieus vertrouwen verliezen. Alle klanten weg omdat het vertrouwen weg is kan simpelweg faillisement betekenen. Eerlijkheid kan dus economisch voordeel danwel noodzaak hebben.
Er is een verschil tussen eerlijkheid en "iemand het gevoel geven dat je eerlijk bent". In een kapitalistische samenleving zoals de onze is het duidelijk dat laatstgenoemde van toepassing is. Bijvoorbeeld:
  • de foto's in de reclame zien er vaak veel beter uit dan het echte product. Door het zien van de reclame krijgt de klant het gevoel dat het om een eerlijk product gaat en wordt het commercieel vertrouwen van de klant gewonnen.
  • een product verhoogd sterk het risico op longkanker, maar dit wordt verzwegen (sigaretten). Ondertussen wordt wel alles gedaan om de klant het gevoel te geven dat het product niet schadelijk is, bijvoorbeeld door reclame te maken met stoere cowboys, door geruchten te ontkrachten middels (reclame)campagnes, en door wetenschappers om te kopen.
  • wij kopen direct of indirect allerlei "eerlijke" of "groene" producten uit landen waar onderdrukking en dictatuur heerst. Als je biologische nootmuskaat uit Indonesie koopt, dan sta je er niet bij stil dat de elektriciteit uit Indonesie wellicht geproduceerd wordt met olie uit Saoedie-Arabie. Het eindproduct wordt wel "eerlijk" verkocht en het vertrouwen van de consument wordt gewonnen, maar de machines die de nootmuskaat verwerken, met welke olie wordt hun elektriciteit opgewekt?
  • op een pakje frambozendrankje staat 1% framboos (wettelijke meldingsplicht). Je zou van een frambozendrankje verwachten dat er meer framboos in zit. Over het algemeen is 1% iets wat niet of nauwelijks waarneembaar is (bijv: 1% verhoging van je salaris zul je niet/nauwelijks merken), dus waar komt die smaak vandaan. Als klant krijg je meer vertrouwen in het product als het pakje rood is, als er grote frambozen erop worden afgebeeld etc, en de meeste mensen lezen niet de kleine lettertjes op de achterkant.
  • op de logo van een product is een lachende kip te zien, terwijl het maar zeer de vraag is of de echte legbatterijkippen zo blij zijn. Het zien van een lachende kip geeft wel meer vertrouwen in het product.
Je hebt gelijk wanneer je zegt dat er ook deels sprake moet zijn van vertrouwen, maar dat vertrouwen heet "commercieel vertrouwen" en is dus gefingeerd vertrouwen. Een reden voor het maken van reclame is om commercieel vertrouwen te wekken. Het bestaan van een consumentenbond is het bewijs dat klanten wel degelijk afgescheept worden ondanks dat ze met goed vertrouwen een product hebben gekocht. En dit gebeurt op grote schaal, want de consumentenbond zou niet opgericht worden vanwege slechts 2 ontevreden klanten per 100 jaar.
Daar heb je helemaal gelijk in. Ik heb zeker niet de illusie dat bedrijven een moraal hebben en aan andere dingen dan winst denken. Soms is een illusie van moraal nodig om (meer) winst te maken.
Ik begrijp wat je bedoelt, maar de samenleving is gebaseerd op individuelen die als een collectief horen samen te werken. Als men niet goed samenwerkt krijg je waar jij het over had. Een oneerlijke wereld, waarin men elkaar probeert de ogen uit te steken voor een paar centen. Maar omdat we individuelen zijn kunnen we individueel handelen. Omdat de hele samenleving verrot is, wil niet zeggen dat jij, ik of de buurman verrot moeten zijn.
Ik verbaas me over het hoge gehalte "ze krijgen hun verdiende loon".
Ja, ik heb wel bewondering voor de manier waarop ze dit voor elkaar hebben gekregen. En ja, ik verbaas me er ook over dat dit zo lang kon doorgaan, zelfs toe bekend werd dat er "iets" aan de hand was. En dat mensen blijkbaar toch nog steeds goed van vertrouwen zijn qua mails.
Maar nee, ik keur dit verder af want het is gewoon stelen. Dat wij als consument dit uiteindelijk betalen is ook niets nieuws; wie betaald de inbraakschade bij anderen?
Het betalen voor zulke schade is pas niet meer nodig als mensen ophouden te stelen van anderen. Maar dat is natuurlijk een utopie.
Het probleem met dit soort nieuws is altijd dat een bedrijf dat marketing nodig heeft voor winst de media zoekt met claims, maar dat je zelf de claims niet kunt controleren. Als lezer ben je dus afhankelijk van hoe journalisten een verhaal schrijven, op basis van wat ze zelf kunnen snappen. Maar de rapporten van Kaspersky blinken de afgelopen jaren niet bepaald uit van goede onderbouwing. Het verhaal stinkt behoorlijk naar een advertorial (marketing) voor Kaspersky in plaats van een goed stuk journalistiek.

De update van 2 uur vanmiddag lijkt ook maar weer te bevestigen dat journalisten zich in eerste instantie erg makkelijk laten leiden door mediaberichten. De meeste journalisten vonden het blijkbaar belangrijker om het nieuws van de New York Times voor kaspersky eerst klakkeloos over te nemen. Is RTL Nieuws de enige die wel na gaat of dat soort aandacht wel klopt?

[Reactie gewijzigd door kodak op 15 februari 2015 16:05]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True