Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 94 reacties

De politie heeft afgelopen week vijf personen aangehouden op verdenking van phishing. De groep zou ongeveer een miljoen euro buitgemaakt hebben door gedupeerden op een link in e-mails die van banken afkomstig leken te laten klikken.

PhishingHet gaat om vier mannen en een vrouw die afgelopen maandag in Amsterdam en Hoogvliet zijn aangehouden. Bij de huiszoekingen zijn computers, mobiele telefoons en usb-sticks in beslag genomen en ook trof de politie instructies voor telefoongesprekken aan. In aanvulling op de phisingmails met links naar nep-banksites, belden de verdachten gedupeerden op met de vraag mee te werken aan het updaten van de gegevens. Op deze manier werden de inlog- en signeercodes verkregen.

De bende zou zich met name gericht hebben op rekeninghouders met hoge saldi. De phishing zou vanaf augustus 2014 hebben plaatsgevonden en de politie kreeg in die periode 63 aangiftes. Bij het onderzoek werken de politie, het Landelijk Parket van het Openbaar Ministerie en de banken samen onder de naam Electronic Crimes Taskforce. Van het buitgemaakte geld kochten de verdachten auto's, die ze weer doorverkochten.

Moderatie-faq Wijzig weergave

Reacties (94)

De bende zou zich met name gericht hebben op rekeninghouders met hoge saldi...

Hoe wisten zij dat ? Inside information ?
Deze criminelen hebben waarschijnlijk gewoon gebuik gemaakt van grootschalige phissing, en alleen de rekeningen uitgekozen waar ze flink wat konden halen. Elke transactie is natuurlijk een kans op ontdekking.

Je hebt naast algemene phissing ook nog specifieke phissing,
Waarbij een foute postbode en in beginsel je rekening afschrift een grote rol speelt.

Zoiets is ook in de straat bij m'n ouders gebeurd,
Bijna de hele straat kreeg de rekeningafschriften van verschillende banken niet. Daarna werden hebben ze rare mensen achter de deur gehad, rare telefoontjes.

In de straat hebben ze vanaf het begin meerdere keren geprobeerd een kacht te melden bij de post. Dat melden word op de postnl site op alle mogelijke manieren onmogelijk gemaakt. En daarna niet behandeld/niet serieus genomen.

Uiteindelijk weet ik van 3 buren dat de bank hen geÔnformeerd heeft dat derden misbruik probeerden te maken van hun account.

Ze zijn nog altijd boos in de buurt dat postnl zo nalatig was met het oppikken van signalen. edit, handleiding voor criminelen verwijderd:

[Reactie gewijzigd door nul07 op 19 juni 2015 15:00]

Gaan rekeningoverzichten anno 2015 nog met de post?
Met de digitalisering en toenemend aantal creatieve postbodes snap ik oprecht niet waarom je er bewust voor kiest extra risico te lopen. (maar dat is misschien een stukje generatiekloof)

[Reactie gewijzigd door eL_Jay op 19 juni 2015 13:18]

Naast wat hierboven staat kun je papieren afschriften nog lang nakijken, de online bankafschriften (iig bij ABN) zijn maar tot een paar jaar terug op te halen.
Dat is ook de reden dat ik nog papieren afschriften ontvang voor ing.
Lijkt me toch goedkoper voor de banken om heel je geschiedenis te behouden ipv alle papieren afschriften te versturen... al krijg ik de hele lijst van overschrijvingen per jaar, als ik het maar heb voor mijn administratie. Nu stapel ik de afschriften ook op om af en toe eens te ordenen...
Tot 11.5 jaar terug kun je ze downloaden.
Via Internet Bankieren kunt u de bij- en afschrijvingen van uw betaalrekening downloaden. Begin- en einddatum mogen maximaal 6 maanden uit elkaar liggen. De vroegst mogelijke begindatum is 01-01-2004. www.abnamro.nl
Ik was in de war met het downloaden van de mutaties.
De pdf afschriften waren de laatste keer plaatjes, dus niet doorzoekbaar. Het mutatieoverzicht is wel doorzoekbaar want tekst/csv/excel, maar die gaat korter terug.
Afschriften zijn gewoon doorzoekbaar. Ik voeg eind van elk jaar de gedownloade afschriften (PDF) in Acrobat Pro samen tot ťťn bestand. Dan kan je met zoeken heel gemakkelijk betalingen etc. terugvinden.
Omdat sommige mensen (ouderen, jongeren/kinderen?) niet op internet willen/kunnen. Bovendien vinden sommige mensen het makkelijker om het op papier te hebben ipv op het internet.
Sterker nog. Het is voor banken verplicht om kinderen onder 18 jaar bankafschriften te sturen.
Rabobank kan maar maximaal ff ruim 1 jaar terug daarna moet je schriftelijk of online aanvraag doen en dat kost 5 euro per kwartaal als ik het goed heb.
Beetje belachelijk.
Mijn hypotheekverstrekker accepteert alleen originele bankafschriften als betalingsbewijs in geval van onenigheid.
Ik zou die papieren zooi ook liever niet meer hebben maar ik moet wel (advies notaris).
Knikker ze ongelezen in een verhuisdoos op zolder en doe verder al 15 jaar niets meer met papier.
Niet alleen hypotheekverstrekkers. Vele bedrijven. Papieren afschriften zijn helaas nog gewoon nodig.
Je kan er voor kiezen om ze per post te krijgen (tegen een kleine vergoeding, bij ING afaik). Het kan natuurlijk fijn zijn om afschriften nog op papier binnen te krijgen, zeker voor ouderen.
Ja zakelijk sowieso meen ik (overigens betaal je daar gewoon voor). Prive kan je het kiezen volgens mij bij alle banken tegen een vergoeding. Voor kinder rekeningen is het volgens mij ook "verplicht".
WIj krijgen van Triodos (bedrijfsrekening) vrij weinig via de post (eigelijk alleen maar uitnodigingen en wijzigingen enzo)
Omdat papieren afschriften van hoger waarde zijn als de fiscus na 3 jaar gaat zeuren.
Omdat alles wat op je scherm staat, nep kan zijn. Juist bij dit soort werk doen ze er vanalles aan om niet ontdekt te worden. Dat kan inhouden dat je saldo en mutaties op jouw scherm worden veranderd. Is ook al gebeurd in het buitenland.

Verder vertrouw ik alleen de inlogmethode van de Rabobank. De rest gebruikt zoiets onbetrouwbaars als username/password dat gewoon kopieerbaar is.

[Reactie gewijzigd door cbravo2 op 20 juni 2015 09:01]

Als je ervoor betaalt wel.
Rekeningoverzichten gaan anno 2015 in onversleutelde PDF bestanden.
Ik kan me voorstellen dat mensen die nog papieren overzichten laten sturen ook minder technisch bekwaam zijn en ook in hun naÔviteit relatief veel geld op hun dagrekening laten staan.
Op zich wel een interessant verhaal, maar je verhaal gaat niet over phishing....

Het gaat in jouw verhaal over oplichters die papieren rekeningafschriften stelen. (wie krijgt die nog?). Vervolgens werden met deze papieren afschriften in de hand de mensen opgebeld.

Maar goed, on topic nu, wel een goede zaak dat er dan toch mensen worden opgepakt. Als ik zie hoeveel mails ik krijg (in mijn spam box) met "waarschuwingen" van banken dat "mijn" rekening is geblokkeerd met verwijzing naar hun phishing site, had ik wel eerder verwacht dat er arrestaties zouden komen.

Blijkbaar toch moeilijk te achterhalen, die lui.
Op zich wel een interessant verhaal, maar je verhaal gaat niet over phishing....

Het gaat in jouw verhaal over oplichters die papieren rekeningafschriften stelen. (wie krijgt die nog?).
Ik denk dat de meeste mensen met geld wat ouder zullen zijn, en daardoor ook ws minder bekend met de computer, dus dan nog papieren rekeningen.
Mogelijk een infiltrant of iemand waarmee een "handdrukje" voor strafvermindering is geregeld in ruil voor info. Het kan ook dat ze geholpen zijn of samengewerkt hebben door buitenlandse veiligheidsinstanties of INTERPOL, gezien de grensoverschrijdende aard van het internet. Zelf vermoed ik eigenlijk het laatste, het is anno 2015 niet ongebruikelijk om digitaal slachtoffers te maken in een ander land of zelfs een ander continent.
Wat bedoel je met 'slachtoffers' maken?
Ik bedoel dat een phisher niet gebonden is aan een fysieke locatie waarbinnen hij/zij kan opereren. Mails kunnen over de hele wereld versprijd worden. Stel, de phisher zit in Amsterdam en stuurt een mail naar een Nederlander, Amerikaan en AustraliŽr en de Nederlander en AustraliŽr openen de mail, loggen in en de phisher klapt in zijn handen. Dan heb je dus 2 personen die 'slachtoffer' zijn geworden omdat zij schade opgelopen hebben door een misdaad.
Er schijnt best veel informatie te koop te zijn, stel dat de email datbase van een instelling met veel rijke clienten is gekraakt zou ik me nog wel voor kunnen stellen dat daar interesse naar is op de zwarte markt.
KvK biedt tegen betaling jaarrekeningen van BV's en dergelijk aan. Ideaal voor marketing bedrijven die bedrijven zoeken met grote portefeuille.
Dat staat toch gewoon letterlijk in de bron:
Door middel van een phishingmail vroegen de criminelen diverse rekeninghouders in een (ogenschijnlijk van hun bank afkomstige) e-mail op een link te klikken en daar hun bankgegevens achter te laten. Aan de hand van deze gegevens, selecteerden de criminelen slachtoffers met rekeningen met hoge saldi.
Hoe wisten zij dat ? Inside information ?
Omdat het slachtoffer reageert op de email ťn zijn inlog gegevens weggeeft (bijvoorbeeld userid, wachtwoord en/of inlogcode), kun je zien wat het saldo is en of dit de moeite waard is. Dat is geen rocket science.
Als je "binnen bent" bij telebankieren dan is het ook makkelijk om even naar het saldo te kijken.
Uit het bericht van de politie valt op te maken dat er genoeg personen waren die in de phishing mails trapte en bankgegevens als rekeningnummer en saldo achterlieten op nep-banksites.
Dat hoeft niet eens.

Als je een keer naar de bank gaat dan weten de balie-medewerkers je saldo, ze zien dat op je scherm.

Schoonmakers zijn vrijwel nooit in dienst van de bank, en die maken in de regel schoon na sluiting en zonder al te veel moeite kun je aftappen. Na enkele weken heb je gruwelijk veel informatie en is het een kwestie van filteren.
Daarom hebben banken ook een clear desk policy, alle vertrouwelijke informatie moet opgeborgen worden.

Overigens vind ik het niet kunnen om bij voorbaat al naar de schoonmakers te wijzen als schuldigen.
Clear desk policies bestaan volgens mij bij veel bedrijven voornamelijk op papier.

Ik werk zelf in deze sector, en kan dit beamen.
Ik werkte een tijd geleden bij ING en kreeg toch echt een melding als ik zaken had achtergelaten. Teveel meldingen = gesprek.
Grote onzin, heb zelf bij twee grote Nederlandse banken gezeten en daar lopen (liepen toen, al weer 10 jaar geleden) zelfs mensen door de gang van het pand. Wanneer ze een Desktop niet gelocked zien zonder dat de eigenaar er voor zat dan kreeg je bij eerste keer een zogenaamde "gele" kaart en bij de tweede keer was het een "rode" kaart wat ontslag op staande voet inhield.

Het lijkt mij dat dit dus ook geldt voor de kantoren.

Daarnaast was het ook niet mogelijk om even een laptop of ander device aan te sluiten. End to end was het allemaal met 802.1x en IPSec waarbij er gelijk een signaal af ging als er iets geks gebeurde, zelfs op vestigingen.
Schoonmakers hebben geen inlog.
Schoonmakers hebben geen inlog.
Dat is ook helemaal niet nodig. Je kunt bijvoorbeeld een kleine camera ophangen om de boel af te kijken, maar je zou ook een micro usb stick aan de achterkant van de computer kunnen stoppen die vervolgens gegevens verzameld als er door de medewerker ingelogd wordt. Zoiets wordt waarschijnljk niet of nauwelijks ontdekt en dan is het vaak al te laat. Dit zijn zomaar een tweetal ideeŽn die bij me naar boven komen. Een beetje kwaadwillend persoon zal nog veel meer ideeŽn hebben, je kunt het zo gek niet bedenken.
Bij mijn bank gebruiken ze een (rsa) pas/dongle om in te loggen. Heb je niks aan een camera.

Security step 1: who You are, what You know, what You have.
E.g. username, passcode, security device.
Bij mijn bank gebruiken ze een (rsa) pas/dongle om in te loggen. Heb je niks aan een camera.

Security step 1: who You are, what You know, what You have.
E.g. username, passcode, security device.
Zoek maar eens op wat 'Bad USB' is.

Physieke toegang tot een systeem heb je al door achter in een desktop PC verborgen een USB apparaatje weg te stoppen wat zich voordoet als human interface device en voorgeprogrammeerd is een bepaalde reeks keyboardaanslagen uit te voeren wanneer een bepaalde trigger plaatsvindt.

Jij kunt dan gewoon commando's uitvoeren als de huidig ingelogde gebruiker, die zich met dongle en al geauthenticeerd heeft en geen haan die er naar kraait.

[Reactie gewijzigd door R4gnax op 20 juni 2015 17:16]

8)7 ook geen vishengel, het gaat over phising

[Reactie gewijzigd door Kees de Jong op 19 juni 2015 23:01]

Schoonmakers zijn vrijwel nooit in dienst van de bank, en die maken in de regel schoon na sluiting en zonder al te veel moeite kun je aftappen. Na enkele weken heb je gruwelijk veel informatie en is het een kwestie van filteren.
Leg eens uit hoe een schoonmaker 'gruwelijk' veel kan aftappen? Ik zie alleen mogelijkheden om als die kunnen inloggen in een terminal en voor zover ik kan nagaan (en zie) zijn bankmedewerkers daar van nature voorzichtig mee.
Schoonmakers zijn een mogelijkheid, niet bij voorbaat schuldig.

http://www.spyemporium.co...grabber-for-vga/hdmi/dvi/
Is wat ze noemen een frame-grabber. Op een dag neem je zo heel veel informatie mee.

Heb je dan alles, absoluut niet want je kunt nog steeds geen boekingen maken. Maar wel gruwelijk veel informatie.
Misschien het monitoren van het overschrijven van grote bedragen. Dan hoef je nog niet een saldo te weten, maar je hebt gelijk een goede indicatie.
Hoe zou je ooit kunnen monitoren welke bedragen er tussen rekeningnummers worden overgemaakt? Niet echt informatie die je even kan googlen lijkt me
Malware die op een pc gezet wordt, en bij internetbankieren de bedragen monitort. Dit is niet zo moeilijk in malware te plaatsen. Zodra er "interessante bedragen" ingevoerd worden, kunnen ze daar aan het werk gaan.
Malware die op een pc gezet wordt, en bij internetbankieren de bedragen monitort. Dit is niet zo moeilijk in malware te plaatsen. Zodra er "interessante bedragen" ingevoerd worden, kunnen ze daar aan het werk gaan.
Lol maar waarom ga je daar eerst voor phishen dan?
Beetje langs dure wijken lopen, beetje naar binnen kinken mits niemand thuis is, huisnummerbordje+naam in telefoonboek opzoeken, done.
Ze komen niet zomaar in actie :P
Dat is best mogelijk, iedere balie medewerken bij ING kan zien hoeveel geld er bv. op jouw rekening staat, het geen ik heel onwenselijk vind, het gaat de persoon namelijk geen bal aan hoeveel erop mijn of jouw rekening staat, het systeem zou enkel ja of neen moeten zeggen indien ik grotere bedragen wil opnemen, dus inside information best mogelijk.
Trail and error?
Er vallen veel lezers hier over het feit dat mensen hier kennelijk intrappen.
Eerder deze week kreeg ik ook weer een mail van een partij waar ik toevallig in het geheel geen zaken mee doe, maar heel veel Nederlanders wel. Deze mail zag er bedrieglijk echt uit, en ook alle gegevens zoals website, KvK-gegevens, namen van contactpersonen en telefoonnummers in de mail klopten.
Het enige wat niet juist was (naast dat ik geen klant ben) was de betaallink waarmee ik mijn achterstallige betaling kon rechtbreien; deze ging er ongetwijfeld voor zorgen dat ik geld zou gaan overmaken naar een andere partij.

Het probleem is dat dit soort mails steeds professioneler opgezet worden en daardoor nauwelijks meer van echt te onderscheiden zijn. Aangevuld met de info die de oplichters hebben komt e.e.a. dus steeds betrouwbaarder over, waardoor er in trappen steeds makkelijker wordt.

Ik vraag me af hoe lang het duurt voordat we een technische oplossing in moeten gaan voeren om gegarandeerd met de juiste partij te handelen om elektronisch betalingsverkeer mogelijk te blijven houden; het zou me niet verbazen als het gemak waarmee bijvoorbeeld overschrijvingen nu via iDeal verlopen gaat verdwijnen.
Ik vraag me af hoe lang het duurt voordat we een technische oplossing in moeten gaan voeren om gegarandeerd met de juiste partij te handelen om elektronisch betalingsverkeer mogelijk te blijven houden; het zou me niet verbazen als het gemak waarmee bijvoorbeeld overschrijvingen nu via iDeal verlopen gaat verdwijnen.
Die technische oplossing is er al. Ga maar naar de website van je bank en controleer de adresbalk. Als alles in orde is zal je een groen slotje zien met de naam van je bank erin.

Misschien letten er niet veel mensen op, maar ik controleer het altijd voordat ik inlog of via iDeal geld overmaak.
Wat je hiermee niet oplost is dat er door malafide websites/mail een iDeal venster/sessie wordt geopend. Deze sessie komt van de gebruikte iDeal aanbieder en is dus valide, inclusief (terecht) groene balk.
Het geld gaat echter naar een rekening van de oplichter(s), die het vervolgens wegsluizen.
Klopt, maar je moet natuurlijk ook wel opletten naar wie je iets gaat overmaken. Op het moment van het invullen van de TAN code is er een beveiligde sessie met je bank zelf inclusief de naam en rekening waar het heen gaat. Je weet dus zeker dat er niet gerommeld is met de naam en rekeningnummer.

Natuurlijk moet je wel weten op dat moment wat de juiste naam is. Bij sommige webshops is de rekeningnaam heel anders dan de daadwerkelijke webshop naam door bijvoorbeeld een zuster bedrijf. Dat is nog de enige valkuil.
Sowiso geen links openen vanuit een e-mail. Kreeg 1,5 week geleden een email van ING op mijn zakelijke e-mail adres. Dat maakte het sowiso al verdacht. Moest zelf wel 4 a 5 keer kijken of het inderdaad geen fake was. Zag er dus echt goed uit.

Maar er waren 2 zaken alarmerend:
1. Email op mijn zakelijke e-mail adres
2. Een link naar verificatie van mijn bank gegevens, wat ING nooit zal doen

Bij nadere inspectie van het bericht bleek het dus ook een Phishing te zijn. Bij hoveren over de link (plaatje) stond er doodleuk https://signin.<bank>.com.eu maar wanneer je dus in de source van het bericht keek stond er doodleuk een alt="...." tag bij het plaatje met daarin een valide link maar de href="..." wees naar een tinyurl link, de site achter die link zag er verdomd goed uit.

Dat is het enge er aan. Het lijkt allemaal valide, maar je moet heel goed nadenken. Daarom 1 gouden regel:
NOOIT KLIKKEN OP EEN LINK IN EEN EMAIL
Er is niets simpeler in deze wereld dan een pishing e-mail van een echte e-mail van jouw bank te onderscheiden.

De link die verwijst naar de website van "jouw" bank is volkomen onjuist, de eigenschappen van de link tonen een volkomen onjuist www adres wat niet van jouw bank is.

Ik vul ze soms voor de lol in met een fout rekening nummer en wachtwoord: ga werken dan wordt je rijk.

Daarbij vraag jouw bank je nooit om al je gegevens online bloot te geven, het enige wat na een bepaalde tijd gebeurt is dat bij inloggen je gevraagd kan worden je wachtwoord te wijzigen inzake veiligheid.

[Reactie gewijzigd door Kees de Jong op 19 juni 2015 23:12]

Er is niets simpeler in deze wereld dan een pishing e-mail van een echte e-mail van jouw bank te onderscheiden.

De link die verwijst naar de website van "jouw" bank is volkomen onjuist, de eigenschappen
van de link tonen een volkomen onjuist www adres wat niet van jouw bank is.
Was het maar zo makkelijk, laatst een mail van een bank waarbij het voor een leek zelfs lijkt of de URL klopt. Zie eerdere post.
Ik krijg wekelijk een aantal van deze mailings en sinds jaren was het heel simpel voor mij om te zien dat deze www link totaal niet klopte, dus voor mij is het zo makkelijk.

Daarbij vergeet je ook dat je bank je NOOIT een dergelijke mail zal sturen, zoals ook duidelijk te vinden is op de website van jouw bank.
Ik krijg ze 1 of 2 keer per jaar, maar ze zijn zo slim heb ik gezien. De laatste die ik van "die bank" kreeg zag je doodleuk een foute URL als je over de link heen hoverde. Deze laatste echter gaf bij een hover een juiste URL alleen was dat dus een optisch bedrog doordat ze gewoon een alt="..." hadden gebruikt met daarin een valide link.

Daarom, nooit een link openen vanuit een e-mail. Consequent, dus niet van banken en niet van andere sites. Dat leer ik ook iedereen aan en het werkt zeker.

Het is misschien wat meer werk. Selecteren, kopieeren, plakken, zeker op een mobiel device. Daarom zou ik gaarne zien dat ze uit ieder mail programma gewoon deze functionaliteit er gewoon uit slopen. Dat je niet eens op links kan klikken.
Zodra je de link opent is het nog simpeler het www adres klopt immers van geen kant, zij het wel dat dit opvalt als je iemand bent met oog voor detail.
Ik heb die ING mail ook gehad, en als je oplet zitten er ook wat spelfouten in. En sommige zinnen zijn krom geformuleerd.

Dit zal een hoop mensen niet opvallen, want meeste mensen kunnen tegenwoordig zelf al niet spellen :')
Dit zal een hoop mensen niet opvallen, want meeste mensen kunnen tegenwoordig zelf al niet spellen :')
Lol, ja dat is ook al helemaal waar. Wanneer ik deze mail op mijn prive adres had gehad dat ik minder argwanend was geweest. Maar ik zie een trend dat ze steeds en steeds beter worden in het verhullen. Ik ben benieuwd wat het volgende is waar ze mee komen.
Het probleem is dat dit soort mails steeds professioneler opgezet worden en daardoor nauwelijks meer van echt te onderscheiden zijn.
Komt het er nog steeds op neer dat mensen veel te goed van vertrouwen zijn en klakkeloos klikken. Criminelen kunnen die phishingmails zo mooi maken als ze willen, maar in de meeste gevallen zijn het links naar domeinnamen die duidelijk niet van het echte bedrijf zijn, geen correcte https hebben en informatie vragen die je gewoonlijk niet zou hoeven geven. Het ligt dus niet aan de mooie woorden maar aan het te makkelijk vertrouwen. Mensen zijn laks, goedgelovig en lui als het om veiligheid gaat, tenzij ze duidelijk doorhebben dat hun leven er vanaf hangt.
Banken waarschuwen constant dat zij zelf iig nooit mails sturen met een betaallink e.d.. Krijg je een mail van je bank die dat wel heeft dan zou je in principe imiddels toch echt moeten weten dat er iets niet klopt.
'Van het buitgemaakte geld kochten de verdachten auto's, die ze weer doorverkochten.'

Bij een phishing poging werd het geld drect overgemaakt naar en andere rekening die niet van de verdachten was. Het geld werd overgemaakt naar een garagehouder of autoverkoper voor de aanschaf van een auto. Deze auto's verkochten ze vervolgens voor een aantrekkelijke lagere prijs om alsnog het geld in handen te krijgen.

Tijdens de phishing pogingen stonden ze al klaar bij een dealer om een auto aan te schaffen en direct mee te nemen. (en te verkopen).

Wat mij opvalt is dat ze dus niet het geld naar een rekening doorsluizen, maar zorgen dat het direct gebruikt werd.
Naar rekeningen doorsluizen is een probleem.
Binnen een bank, kan de uiteindelijke rekening altijd bevroren worden.

Overboekingen tussen banken, hebben een langere verwerkingstijd, en als het gaat om fraude werken banken ook heel goed samen.
Wat mij opvalt is dat ze dus niet het geld naar een rekening doorsluizen, maar zorgen dat het direct gebruikt werd.
Dat valt veel minder op, heel veel mensen kopen een auto en dat is altijd een vrij groot bedrag.
Toch is het best wel erg dat er zoveel mensen nog steeds intrappen. Als ik mijn spamfolder nakijk zie ik er ook iedere keer weer mails zogenaamd van de ING instaan met het verzoek of ik even mijn gegevens wil bevestigen/bijwerken.

Gelukkig vallen die mails heel erg gemakkelijk op, gezien ik niet bij de ING zit ;)
Security through obscurity: je kan maar beter een rekening openen bij een bank die niet ING, ABN of RABO is, daar gaat het merendeel van de phishing in mijn spambox over...

[edit]
Excuseer: ik vergat :+

[Reactie gewijzigd door jeroen_loeffen op 19 juni 2015 15:44]

Mwa, ik zou mijn keuze bank niet door een derde partij als phishingmails laten bepalen. Sowieso nooit van de mails uitgaan en altijd handmatig naar de website van de bank gaan wanneer een mail binnen komt. Of je nu wel of niet twijfelt.
Het onderzoek is lopende, geen voorbarige conclusies nemen.
Sorry hoor maar als iemand van de bank mij belt met de vraag of ik mijn pincode of iets dergelijks even wil doorgeven dan vraag ik of die niet lekker is 8)7
Snap werkelijk waar niet waarom mensen nog steeds in dit soort scam trappen
Is hier geen oplossing voor?

Ik schud nu gewoon even wat uit mijn mouw dus dont be to hard.

Wat nu als je email clients uit zou rusten met een link verificatie plugin? Dus wanneer je een link krijgt aangeboden in je email en je klikt erop dat die plugin dus die link gaat valideren? Dus nagaat of de link wel overeenkomt met eventuele certificaten?

Het lijkt me namelijk makkelijk genoeg om een website na te maken maar om nu ook een certificaat die verbonden is aan een bank om die na te bootsen.
Die plugin zou ook gemanipuleerd kunnen worden denk ik zo
Ja waarom? Als jij een email client zoals MS Outlook gebruikt of operamail lijkt het me eigenlijk niet zo makkelijk om een plugin te manipuleren.
Alles is onmogelijk totdat iemand het doet ;). Je ziet dat alles en iedereen wordt gekraakt en ja, soms is het wat moeilijker en dan wat makkelijker. Ook kun je als je googled dan vindt je genoeg voorbeelden van gehackte plugins
Email is te gemakkelijk te manipuleren. Het enige bestaansrecht dat het nog heeft, is dat het zo universeel is.

Je zou een authenticatie willen doen? Op basis van wat zou je dat dan willen implementeren? Een unieke code in het bericht die geverifieerd kan worden op de website? Dan kan de fisher dat net zo goed laten verifiŽren op zijn website.

Het enige dat ik kan bedenken is dat providers e-mail scannen op basis van afzender en bij afzender @bank.nl een betrouwbare verbinding eisen. Maar ook daarvan is de effectiviteit beperkt.

Het enige wat zou kunnen werken is alleen maar notificaties sturen en dat consequent in vermelden dat men zelf naar de bank moet surfen op het gekende adres en daar moet inloggen voor het feitelijke bericht en dat men nooit een mail van de bank met daarin een link niet vertrouwen.

Nadeel is dan wel weer dat men een extra drempel neerlegt. Als de bank dan teveel notificaties stuurt met alleen maar reclame voor hun producten in de berichtenhub dan zal men snel stoppen met die moeite te nemen.

Tevens kan men incidenteel een bericht sturen met daarin wel een link, waarbij de klant na het klikken erop te wijzen dat dit een test was een dat men op dat moment ook het slachtoffer van fishing zou kunnen zijn geweest.
Het is een illusie om te denken dat je middels technische oplossing dit soort zaken kunt voorkomen. Je kunt hoogstens een specifieke bedreiging voorkomen, maar uiteindelijk wint de creativiteit van de criminelen weer. Dat gebeurt als sinds er mensen zijn. Sloten die in de middeleeuwen op kastelen zaten werkten in het begin ook. Nu vinden we dat lachwekkend simpel.
een jaartje cel en daarna cashes in het beste geval. In het slechtste geval krijgen ze een taakstraf |:(
Ik ben ook wel benieuwd naar de straf. Ik hoop eerlijk gezegd op terugbetaling. Misdaad moet natuurlijk niet lonend zijn. Maar volgens mij is dat wel vaak erg lastig als het geld al is doorgesluisd.
Er is toch precies bekend voor welk bedrag en bij welke mensen geld is overgemaakt? Als ze schuldig worden bevonden dan zou ik levenslange schuldsanering tot tenminste de gedupeerden hun geld terug hebben gepast vinden.
Als je zo opzettelijk en geraffineerd te werk gaat dan ben je je ook bewust van dat dit niet ok is. Eigenlijk zijn het ordinaire dieven.
Waar baseert u dat op? In het verleden kregen veroordeelden in phishing-zaken elke keer een celstraf. Maar het is natuurlijk erg populair om op alles te stellen dat "ze er wel met een taakstraf afkomen" tegenwoordig.
Quote: De hoogste straf was voor de 34-jarige Furgel R. uit Diemen. Hij kreeg 32 maanden aan zijn broek. Zijn partner Virginia E. (34) uit Amsterdam kreeg eveneens 32 maanden cel, waarvan de helft voorwaardelijk. Ricardo G. uit Den Helder, die een kleinere rol speelde, kreeg 10 maanden cel.

Als je je goed gedraagt in de cel hoe je maar 1/3 uit te zitten dacht ik ;). Maar het ging niet zozeer om het wel of niet krijgen van een celstraf, maar om het feit dat misdaad in NL soms wel loont: http://www.volkskrant.nl/...-van-14-miljoen~a3291141/ 20 maanden voor oplichting van 1,4 miljoen!!
Na 2/3e pas, niet 1/3e. Wat ik eigenlijk maar raar vind gezien vooraf een andere straf bepaald is maar goed.

Overigens mag ik hopen dat die persoon uit je link dat geld niet mag houden? Die zal toch ook een schadevergoeding moeten betalen?
Ik vind dit een goede actie van Politie! Laten ze zich meer op dit soort dingen storten en minder op verkeersboetes voor 5km/u te hard en dergelijk.
Daar zijn allemaal aparte teams voor met ieder zijn/haar eigen taak.
Als ze geen boetes geven voor 5 km/h te snel dan rijdt iedereen wel 10 km/h te snel. Daarmee worden de risico's groter en daarmee zal het aantal (dodelijke) ongevallen toenemen. Het controleren op snelheid heeft dan ook vooral een preventieve functie en moet gewoon gedaan worden.
Waar zou jij dan de grens leggen bij de handhaving van de afgesproken maximale snelheid?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True