Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 328 reacties

De phishingaanval van vorige week tegen ING-klanten heeft tot nu toe 22 slachtoffers gemaakt. De klanten ontvingen een mail die uiteindelijk leidde tot het installeren van een malafide Android-app. In totaal hebben de cybercriminelen ongeveer 15.000 euro ontvreemd.

Dat liet de bank weten aan het beveiligingsblog Security.nl. De phishingsite waar ING-klanten naartoe gelokt werden door een phishingmail vroeg de gebruiker na het invullen van persoonsgegevens en het rekeningnummer een kwaadaardige Android-app te installeren. Volgens een tweet van Rik van Duijn, onderzoeker van het beveiligingsbedrijf DearBytes, bezochten minstens 14.000 mensen de phishingsite en vulden 3000 ook hun wachtwoord en mobiele nummer in. Deze aantallen konden achterhaald worden vanuit de logbestanden van de verschillende phishing-sites.

Om de phishing-app te installeren moesten gebruikers wel zelf toestemming geven op hun mobiele telefoon. Hoeveel mensen dit uiteindelijk gedaan hebben, is niet bekend. Om de app te kunnen installeren, moest ook toestemming gegeven worden voor het installeren vanuit externe bronnen. ING heeft aan Security.nl gemeld dat uiteindelijk 22 mensen zich gemeld hebben die de app installeerden en werden bestolen. De woordvoerder van de ING heeft bevestigd dat alle klanten hun geld hebben teruggekregen.

Update 14.56: Rik van Duijn gaf Tweakers nog wat meer informatie over de phishing-aanval. De volgorde is simpel: eerst komt de gebruiker via de mail terecht bij een site waar de gebruiker moet inloggen. De volgende stap is een vraag om rekeningnummer, pasnummer en telefoonnummer. De laatste stap laat zien hoe de malafide protect.apk te downloaden en te installeren is. Na het opstarten van de applicatie vraagt deze om activatie. Het is onbekend of de applicatie ook werkt als op 'Cancel' gedrukt wordt.

ING phishingING phishingING phishing

De werking van de applicatie kon achterhaald worden door broncode van de phishing-site: de broncode was als zip-bestand te downloaden. Hieruit bleek dat de logs openbaar op de server werden bewaard, iets wat volgens Van Duijn slordig is. Uit de logs blijkt onder andere wat de criminelen allemaal konden monitoren. Elke stap werd bijgehouden: ip-adres, datum, tijd en useragent. Van Duijn zegt dat het niet bekend is of ze zelf doorhadden dat de logs bereikbaar waren. Het idee om te zoeken naar de logs kwam door een zipbestand met de broncode van de phishing-webapplicatie. Het stukje php-code van de webpagina doet vermoeden dat het Nederlanders betreft, aangezien er de woorden 'fout' en 'pasnummer' instaan, iets wat natuurlijk toeval kan zijn. "Maar dat lijkt wel erg toevallig", aldus Van Duijn. De broncode van de Android-applicatie werd achterhaald door de app te decompilen met dex2jar en JD-GUI.

ING phishing appsING phishing apps

Moderatie-faq Wijzig weergave

Reacties (328)

Vraag me toch af in hoeverre mensen beschermen tegen de consequenties van hun eigen grove nalatigheid goed is. Ooit was het argument dat dit niet doen het vertrouwen in diensten als internetbankieren zou ondermijnen, maar zou haast denken dat het inmiddels ingeburgerd genoeg is dat je wat meer verantwoordelijkheid van consumenten zelf mag verwachten.

Maargoed, is misschien ook makkelijk praten voor mij/ons. Weet ook niet zeker of m'n moeder een dergelijke phishing-val zou weten te vermijden. Misschien is een soort 'eigen risico' bedrag een mooie tussenoplossing om mensen te activeren veiligheid serieus te nemen, zonder de digibeten al te hard slachtoffer te maken.
Zolang banken zelf hun klanten opvoeden om prive gegevens in te vullen voor het uitschrijven van iets simpel als een nieuwsbrief https://www.rabobank.nl/p...t_particulieren_formulier blijven het meerendeel van de mensen vatbaar voor dit soor phishing acties en zouden mijn ouders er zeker ook in kunnen trappen.

De banken zouden zelf het goede voorbeeld moeten geven door hun klanten niet meer te mailen en al informatie die ze je willen geven achter de login te zetten.

De rabobank mag hierin voorop met de idiote eis om je persoonsgegevens achter te laten wanneer je je in of uit schrijft voor een simpele nieuwsbrief

[Reactie gewijzigd door wrad op 29 juni 2015 13:49]

ik heb alle mails met het woord ING erin gewoon geblokkeerd, alle berichten worden namelijk gewoon op internetbankieren gezet. dus kan ik ook niet in een phishing mailtje trappen.
Tegenwoordig is dat nog onhandiger geworden, door de invoering van IBAN waarin de naam van de bank staat zullen veel meer legitieme mailtjes de tekst ING bevatten.
Het enige wat veilig is (volgens mij) is kijken naar welk domein je link gaat.
Het is niet zo moeilijk om een mail te versturen met als afzender ing <info@ing.nl>.
Het wordt verdacht als je link verwijst naar ing-verificatie.com.

Onlang een volkomen legale mail gehad van spotify, met de mededeling dat de verloopdatum van mijn betaalmiddel naderde. Ik heb niet op de link geclickt, maar ben gewoon naar spotify.nl gegaan en heb ingelogd. Gaat net zo goed, en is veel veiliger.
Dat is een heel eenvoudige, logische en goede oplossing. Maar leg dit maar eens uit aan die 22 slachtoffers..dat gaat je waarschijnlijk helaas niet lukken hoe hard je ook probeert.
Klopt. De meeste mensen die ik ken weten niet eens dat ze een internet url kunnen invullen in hun browser. Laat staan hoé. Die vullen ING in in Google en klikken daarna op een linkje.
Je bedoelt vast ING in het mail adres ?
want als je online een bestelling doet en je betaalt via ING is het wel handig als je een bevestiging krijg.
Dit geld ook als je via Ideal betaald.
Ik krijg geen bevestiging van ING als ik via iDEAL betaal volgens mij.
Maar wel van de webwinkel.
Daar staat toch wel in van welke en naar welke bank je betaalt ?
Nee, alleen dat er via iDEAL is betaald, niet via welke banken.
Wel waar, ik heb er net eentje bekeken en daar staat de ontvangende bank in en de afzender, in dit geval ING en Rabobank. Ik kreeg de bevestiging van de Rabobank zelf.
Maar is dat het mailtje van ideal of van het bedrijf/webshop? Bij ideal kan je aangeven dat je per mail een bevestiging wilt, daarin staat inderdaad de banknaam. Maar ik heb nog nooit een mailtje van een webshop gekregen waar ze mijn bank in laten zien.
Dat verschilt dan blijkbaar per webwinkel. :)
Per payment provider.
Daar moet je ook zelf een vinkje voor aanzetten elke keer (tenminste als je een browser gebruikt)
ik heb enkel de naam ING in mailadressen geblokkeerd. dus als je me gaat mailen met ING@tweakers.net dan komt die niet aan. maar wel een bericht van bijvoorbeeld zalando dat mijn bestelling gelukt is.
Let op dat dan alles met 'ing' geblokkeerd zal worden.
Woorden als storing en vesting, vestiging, marketing, en whatever, kunnen ook in een e-mail adres voorkomen.
Werkzaamheden krijg je als 'pb' in je ING dashboard en app.
dit dus, alle belangrijke dingen staan daar in. De rest is overbodig. als ze mij willen bereiken met minder belangrijke dingen doen ze dat maar via de post.
Je bent er INGetrapt(de phishing mails bedoel ik) :+

[Reactie gewijzigd door BJ_Berg op 29 juni 2015 17:09]

Dus als iemand jou een mailtje stuurt met ding of beloning of onding dan gaat ie de prullenbak in? :P

Wel bizar dat je zo'n maatregel moet nemen omdat je jezelf kennelijk niet vertrouwt of je erin zou trappen?
Dus als iemand jou een mailtje stuurt met ding of beloning of onding dan gaat ie de prullenbak in? :P
Lijkt me dat je dit dan instelt zonder variabelen voor of achter 'ING'?

Vraag mij af of ze dergelijke scams ook niet al lang in een soort loop constructie hebben lopen. Oftewel X aantal ING accounts verspreid die er allemaal in mee gaan omdat het geld toch wel retour komt. Dat die rekeningen dan onder beheer/controle zijn van de oplichters zelf (danwel medeplichtigen die een % krijgen) wordt volgens mij niet of nauwelijks gechecked.
Als dat al te checken is?

Het (vanzelfsprekend) vergoeden voor dergelijke nalatigheid is IMHO ook behoorlijk achterhaald.

Als je zonder enig eigen initiatief een 'uitnodiging' krijgt om gegevens in te vullen moet je lampje bovenin, anno 2015, op rood gaan staan.

Buiten je pincode afgeven als een vreemde erom vraagt doe je ook niet.
Ik geef de sleutels van mijn auto ook niet af als er iemand van de RDW aan de deur komt die zegt te willen controleren of mijn auto wel wil starten.

Schrijnende gevallen hou je helaas bij iedere vorm van oplichting :(

[Reactie gewijzigd door Double-X-L op 29 juni 2015 14:36]

Als je mij een email stuurt, mag je heel blij zijn als ik hem lees en nog niet verwijder heb.

De reflex om alle spam te deleten is zo groot en vlug, dat ik zowat alles verwijder dat ik niet binnen de 0,10 seconde herken. Vreemde taal, vreemde namen, vreemd onderwerp -> allemaal indicators dat het recht de vuilbak in gaat.

Ik moet je troep niet hebben en beloningen zonder dat ik er om vraag (zelfs dan) zijn fabeltjes...
Dat doen wij inderdaad, maar het is de kwetsbare groep waarbij het mis gaat, ik schat het op 70% ouderen, 25% onwetenden en 5% die beter weet maar niet op zit te letten.

Die ouderen schrikken bijna als ze ook maar iets met de naam van de bank krijgen en nemen zodoende vrijwel alles serieus. Ik zit zelf bij de Rabobank en krijg vrijwel nooit iets via email. Lijkt mij een prima stap in de goede richting, nooit iets via email van de bank alleen via post.
Ook daar kan het mis gaan, maar dan zijn er behoorlijk wat stappen extra nodig zoals het handmatig invoeren van een URL waarmee je een extra signaal hebt dat het mis is.
Ik zit ook bij de Rabobank maar krijg toch zeer regelmatig email van ze. Gooi ze meestal direct weg maar over het algemeen is het een soort van reclame en/of nieuwsbrief. Naar schatting toch wel minstens één email per maand.
Het zijn vooral ouderen en computeranalfabeten die erin trappen, moet je die dan straffen omdat ze dom zijn en hun geld niet teruggeven?

Bovendien als je dat doet staan ze daarna vervolgens 3x per week weer bij het loket en zal die groep nooit meer elektronisch bankieren. Vergeet niet dat de bank ook heel veel geld uitspaart met al die online diensten.
Ik begrijp dat dit een moeilijk punt is, en zal blijven.
Zodoende ben ik ook van mening dat er al een alternatief zou moeten zijn om de huidige generatie gevoelige mensen te beschermen.

De kostenbesparing/winst die banken maken op dit punt zou nu gebruikt moeten worden om een beter alternatief te vinden voor deze groep. Klinkt idealistisch indd, maar zolang het allemaal maar vergoed blijft worden blijft de motivatie om hier iets aan te doen relatief laag.
Kortom het lost in deze vorm weinig op IMHO.

Als er gevolgen aan zitten komt er wellicht ook meer initiatief vanuit familie of vrienden om hier beter mee om te gaan? Nu kan het door diezelfde omgeving afgedaan worden met 'owww betaald de bank wel terug' weinig motiverend om er iets mee te gaan doen dus. Heb het in mijn omgeving al eens exact zo meegemaakt.

Aan de andere kant zjn oudere bij alle financiele zaken extra gevoelig, beroving, pinnen, babbeltrucs aan de deur/telefoon enz enz. Aan de andere kant hou je een eigen verantwoordelijkheid bij dit soort zaken, zodra je dat niet meer zelf kunt zou je daar hulp bij moeten krijgen.

Een panklare oplossing heb ik in deze huidige situatie ook niet, maar klakkeloos vergoeden anno 2015 is het ook niet.
Probleem is dat banken al zo'n slechte naam hebben sinds de economische crisis begon in 2008 en het is nog steeds niet veel beter geworden. Je krijgt al amper rente, de top verrijkt zichzelf nog steeds en als ze dan ook nog fraude niet vergoeden is er bijna geen reden meer je geld op de bank te zetten.

En ik weet niet of het klakkeloos vergoeden is, ik neem aan dat ze wel onderzoek doen. Of iig redelijk aannemelijk kunnen maken dat de klant echt onwetend was en dus niets te verwijten viel. Volgens mij zijn er ook al gevallen bekend waarbij de klant niets terugkreeg.
Je krijgt al amper rente, de top verrijkt zichzelf nog steeds en als ze dan ook nog fraude niet vergoeden is er bijna geen reden meer je geld op de bank te zetten.

En ik weet niet of het klakkeloos vergoeden is, ik neem aan dat ze wel onderzoek doen.
Onderzoek doen is er niet bij, alleen datgene wat zij op afstand kunnen doen/zien. Volgens mij is er nog nooit iemand op bezoek geweest bij een slachtoffer om zijn/haar PC te gaan bekijken.
Althans niet in de gevallen die ik voorbij heb horen komen.

True that, het is weer wachten op de volgende chaos.
Het blijft 1 grote gokmachine die de ware kern van het bankieren heel ver achter zich hebben gelaten. De innovatie van het betalingsverkeer (pinnen, I-bankieren) zijn de laatste sporen waarvan ik kan zeggen dat het in dienst van de mensen is. Nu het geld voor hun letterlijk gratis is bij de ECB, zitten die banken niet te wachten op het gewone volk en blijven zij IMHO een neerbuigende instantie.

Volgens mij wordt er momenteel dan ook gruwelijk gegokt met gratis geld. Niets zo mooi als speculeren op een aantrekkende/groeiende markt. Daarbij al lang 'vergeten' dat de 'reset' is betaald door iedereen behalve de mensen waarvan wordt gedacht/gezegd dat zij heel veel verantwoordelijkheid dragen :(

En iedereen die roept dat kritiek hebben op dat megalomane loon/bonus beleid iets met jaloezie te maken heeft, is het bewijs dat het probleem zal blijven en de volgende graai-eratie klaar staat.
Zoals ik laatst een mooi voorbeeld las van iemand.
Als wij nu nog ruilhandel hadden zou het er als volgt uitzien: stratenmaker vs bankier, 3km straat aanleggen vs 1 uur vergaderen 8)7 En dan nog stellen dat die bankier hard moet werken. Anders werken, psychisch werken, veel uren werken, je kunt het veel noemen maar hard werken is IMHO iets anders.
Aardig van je om ouderen en mensen die wat minder handig met computers zijn als dom te bestempelen. :/
Het niet vanzelfsprekend vergoeden zou naar mijn mening erger zijn, voor de bank is het simplistisch gezegd maar een cijfertje in een database aanpassen. Terwijl de persoon die opgelicht is hier waarschijnlijk wel vele uren voor heeft moeten werken en hier echt mee in de problemen kan komen.

Overigens word het geld meestal naar moneymules gestuurd, die halen het geld af en sturen het via bv Western Union naar de oplichters. De bank haalt wanneer de slachtoffers hun geld terugkrijgen gewoon het geld van de moneymules hun rekening. De moneymule is dus uiteindelijk het echte slachtoffer want die krijgt uiteindelijk de hele rekening gepresenteerd.

Mochten ze op 1 of andere manier zonder moneymule het geld weten te verzilveren hoort de bank naar mijn mening nog gewoon het geld aan het slachtoffer te vergoeden. Ons geld heeft geen intrinsieke onderliggende waarde, dus het blijft voor de bank nog altijd gewoon wat cijfertjes in een database terwijl het voor het slachtoffer grote gevolgen kan hebben om het niet terug te geven.
Ik zou er ook zonder niet intrappen maar ik hoef geen spam mails in me inbox te hebben. houdt me inbox graag schoon. en dit scheelt me weer verwijderen. Had er een keer 10 op één dag, dat ging me toch iets te ver.
Zijn we nou zo lui geworden dat een klik op een emailtje(delete) dat je eens in de [noem tijd] krijgt niet persoonlijk kunt/wilt verwijderen, maar ongecontroleerd maar automatisch moet verwijderen? :)

Ik krijg Viagra(of andere woorden) emails, maar een 'bericht regel' deze te verplaatsen is wel zo handig. Wat nou als een bekende van je een typefout maakt en er "ing" van maakt :P
even ter info, als ik je een mail zou sturen "pff, heb veel te veel ringglings gegeten, ben er mottig van!"
gaat mijn mail dan rechtstreeks naar de spam? (al dan niet terecht :p)
nee jouw mailtje komt dan gewoon aan het is enkel als je mailt via ing ergens in het domein of voor de @

zoals ing@tweakers.net (gaat weg)
zoals info@ing.nl (gaat weg)

maar als je bijvoorbeeld ing typt in het onderwerp of het bericht dan komt hij gewoon aan.
Wat een onzin, hier wordt enkel gevraagd on je b.nr. en naam. Daar kan je niets mee. das wel iets anders dan je paswoord in vullen. Mensen moeten gewoon is leren om naar de url te kijken voor dat ze verder gaan. Ook het certificaat bekijken kan geen kwaad. Ook afzender van de mail helpt soms. Nog bovendien heeft ING al honderde keren aangegeven zulke informatie niet op te vragen. Bovendien krijg ik van de ING nooit mail. en als het doen staat daar nooit een link in. Jij wel dan ?

[Reactie gewijzigd door trisje op 29 juni 2015 17:10]

Je bent op de hoogte dat bedrijven niet verplicht meer zijn te checken of bankrekening nr aan persoon X toebehoort?

Je ergens aanmelden met random rekening nr is genoeg. Ik ben erg zuinig op mijn rekening nr.
Ja en wat kan er dan gebeuren. ??? Met je nr. Ze kunnen er geld naar over maken.

Dus de dief kan net zo goed rondom bankrekening nr. Invoeren. Zeg je.
Nee, je kan andermans rekening nummer opgeven bij diensten. Providers doen er bv totaal niet moeilijk over(weet ik uit ervaring van meerdere providers, veel andere diensten doen het ook niet, maar geen persoonlijke ervaring mee) en nemen de moeite niet te checken of naam + rekening nr klopt oid. (Kost meer zo'n check en is niet verplicht).

[Reactie gewijzigd door batjes op 30 juni 2015 17:18]

Ja maar dan kan je toch ook een willekeurig ander nr opgeven, bovendien krijg je je geld terug als het niet blijkt te kloppen, dus er is geen gevaar. Bank nr geheim houden is totale onzin. Hee veel organisaties hebben je nr. Ook iedere betaling die je doet is je nr bekend.
14.000 mensen dachten daar blijkbaar anders over dus blijkbaar is het niet zo heel raar.
Nou volgens mij hebben daar van er 11000 alsnog wel opgelet. Hoeveel mensen zullen die mail hebben gehad. Dus een heel klein percentage slaapt nog steeds.
Als je het achter een login zet heb je er alsnog niet zoveel aan, want dan krijg je een mailtje 'Er staat een bericht voor u klaar' en wordt je naar een formulier toegeleid. Dan logt men in en zijn de gegevens direct doorgesluisd.

Dan zou je een MITM kunnen uitvoeren en de gebruiker nog een keer vragen om in te loggen en daarmee dan een transactie uitvoeren.
Eens, daarom moeten ze niet mailen.
Banken moeten zich bezig houden met eerlijk bankieren (dat vinden ze geloof ik al lastig genoeg) en niet met marketing. De meeste berichten die ik van de rabobank kreeg (ik ben inmiddels geen klant meer) was reclame. Wanneer het echt belangrijk is dan sturen ze het maar per post.
en niet met marketing.
Het zijn commerciele bedrijven, wat denk je zelf?
Sinds wanneer moeten wij dan bedrijven overeind houden als ze omvallen. Banken moeten geen commerciele bedrijven zijn. Net zoals zorg verzekeringen.
Banken zijn dan wel commerciele bedrijven, maar ook van cruciaal belang voor de werking van onze samenleving. Zoek voor de gein eens op wat systeembanken zijn. De gemiddelde bank kan prima vallen (neem ASN, Triodos of Knab), maar zeer, zeer grote banken als ING en ABN kunnen dat niet, dat zou het financiele stelsel te veel ontregelen.
En daarom dat die niet commercieel zouden moeten zijn.
Op dit moment is een bankrekening noodzaak. Maar er is geen overheidsbank (iig niet voor het gewone volk) om als alternatief naartoe te kunnen. Die"systeembanken" zouden dus opgesplitst moeten worden, zodat bij de volgende crash we ze niet meer hoeven uitkopen om ons verdiende geld te houden, terwijl de crash veroorzaakt wordt door de "business activiteiten" die in de goede tijden veel geld voor de bank verdienen, maar waarvan wij geen cent zien.
Zolang er "too big to fail" banken zijn, kan deze crisis dus nog een keer gebeuren.
Ik denk dat het wel goed is dat we dit doen. Dit stimuleert banken om mensen te beschermen en dit soort dingen minder makkelijk te maken. Het zou een groot probleem worden als enkele tienduizenden mensen per jaar hun geld zouden kwijt raken.

Alleen in dit geval waren er al 14.000 mensen die de website bezochten, waarvan 3000 hun wachtwoord gaven. We kunnen er dus vanuit gaan dat er heel veel mensen zijn die onvoldoende kennis hebben om zichzelf hiervoor te beschermen. En dat is dus in een situatie waarin banken mensen zoveel mogelijk proberen te beschermen.

Zonder bescherming zou waarschijnlijk het vertrouwen in internetbankieren alsnog snel verdwijnen.
Als je de betreffende pagina bij Google meld, wordt deze geblokkeerd in Chrome en Intetnet Explorer (recente versies). Op deze manier wordt een groot deel van de "doelgroep" van deze criminelen bewust gemaakt dat ze op een verkeerde link hebben gedrukt.
Het is zelfs groter dan dat. Banken drijven op vertrouwen. Als jij een bank niet vertrouwt dan ga je met je geld naar een andere bank en neem je er ook geen hypotheek. Als het vertrouwen in een bank wegvalt is het snel gedaan (Griekenland laat momenteel zien hoe hard dat kan gaan). Banken hebben er dus veel belang aan om hun image te beschermen en mensen een veilig gevoel te geven.
Niet als ze toch niet failliet kunnen gaan gezien ze hier in Nedeland altijd beschermd worden door de overheid...
Ja zeg dat tegen de klanten van dsb
Vraag me toch af in hoeverre mensen beschermen tegen de consequenties van hun eigen grove nalatigheid goed is. Ooit was het argument dat dit niet doen het vertrouwen in diensten als internetbankieren zou ondermijnen, maar zou haast denken dat het inmiddels ingeburgerd genoeg is dat je wat meer verantwoordelijkheid van consumenten zelf mag verwachten.

Maargoed, is misschien ook makkelijk praten voor mij/ons. Weet ook niet zeker of m'n moeder een dergelijke phishing-val zou weten te vermijden. Misschien is een soort 'eigen risico' bedrag een mooie tussenoplossing om mensen te activeren veiligheid serieus te nemen, zonder de digibeten al te hard slachtoffer te maken.
"Assumption is the mother of all fuck ups." Or so they say. Wat voor jou en mij vanzelfsprekend is omdat wij er nog wel eens mee omgaan of mee in aanraking komen of over lezen (zoals hier op Tweakers) wil helaas nog niet zeggen dat iedereen er van op de hoogte is. Ik vraag mij dan ook af in welke leeftijds-categorie deze mensen vallen. Niet om per se met vingers te gaan wijzen, maar om te zien welk groep hier in trapt...

Wat betreft het 'eigen risico'-bedrag. Dit vind ik een zéér interessante stelling. Maar hoe kan je dit juridisch ook hard maken? Een eigen risico bij je zorgverzekering is er ook, maar onder welk mom is dit ooit opgesteld?
Daarnaast denk ik niet dat je zoiets zomaar in kan voeren zonder er eerst een grootschalige campagne tegenaan te gooien. Mensen bewust maken van de digitale gevaren tegenwoordig gaat nog behoorlijk moeilijk worden..
Eigen risico is ooit ingevoerd om mensen bewust van te laten worden dat zorg niet gratis is. Alleen gaat dat momenteel totaal zijn doel voorbij. En dan vind ik een eigen risico in de vorm van een verplichte cursus beter.
Ja iedereen moet en verplichte cursus volgen en betalen. Anders mag je niet bij de bank. Het moet niet gekker worden. 8)7
Nee dat zeg ik niet. Ik zeg wil je al je spaar geld terug zien je dan een cursus moet doen. En anders zal de bank het geld niet vergoeden.
Ik denk toch, Cursus helpt niet , omdat mensen totaal niet willen zien dat het hun fout was. Want de bank moet er maar voor zorgen dat de mail niet wordt gestuurd. En de bank betaald alles terug, dus het ligt aan de bank, anders betalen ze natuurlijk niet alles terug. Mensen hebben en meestal een logica die alles naar hun voordeel redeneert.
Ik denk dat een soort van eigen risico inderdaad een goede oplossing is. Immers zolang de banken voor dit soort zaken op moeten draaien, betalen wij indirect hier allemaal aan mee. Daarnaast, is een stukje eigen verantwoordelijkheid wel goed. Ik bedoel op de site van de banken, in brieven e.d. zeggen ze altijd dat je niet zomaar je code's en dergelijke moet geven. Steeds blijven mensen er in trappen. Laatst ook een keer een tante van me. Dan denk ik, eigenlijk zou je gewoon (een deel van) het geld kwijt moeten zijn, want nu heeft ze alles terug gehad. Ze leert er niet van en legt de verantwoordelijkheid nog steeds bij de bank. Snapt niet dat ze zelf misschien wel heel erg dom heeft gehandeld.
Ja maar bedrijven kunnen ook "domme" dingen doen. Postnl mail gekregen(met spelfout) over dat we niet zomaar op linkjes moeten klikken bla bla bla. En ver volgens neer zetten "voor meer informatie klik hier".

Das ook niet heel slim en erg verwarrend voor mensen.
Als PostNL dan een neppe phishing site achter die link gooit maken ze er wel mooi een punt mee :P
Yep. Maar dat was niet de bedoeling. Was gewoon een stomme fout....
Mijn moeder, die net weet hoe ze een computer aan moet zetten, ontdekte nadat ze de link had geopend dat het geen domein van ING was en geen SSL beveiliging had. Omdat ik haar dat ooit eens heb uitgelegd.

Helemaal trots want ze geloofde bijna dat ze haar gebruikersnaam en wachtwoord tegelijkertijd moest veranderen, vanwege "verdachte" acties o.i.d..

Blijft toch raar dat ouderen zo makkelijker vatbaar zijn voor phishing. Ze weet dat wachtwoorden enkel via de post worden gestuurd maar toch geloven ze de mail en website omdat het een ING logo heeft.
Niet alleen ouderen.... ik zie in de praktijk tal van hoog opgeleiden jongeren ook gewoon dit soort dingen doen.
En spelfouten maken hoog opgeleide jongeren ook :)

Maar je hebt wel gelijk, totaal gebrek aan enig gevoel voor veiligheid is niet gebonden aan leeftijd of opleiding. Zo nam de baas van de IT afdeling zijn laptop vol met bedrijfsgegevens mee naar huis om zijn dochtertjes mee te laten spelen.
Jij had het er uit gelegd. En wat als niemand het had kunnen uitgelegd? En lekker makkelijk roepen mijn moeder is er niet voor gevallen dus zou de rest dat ook niet moeten. Als mensen die het is overkomen nu eens een cursus geven. Zodat ze niet nog eens slachtoffer worden.
Naar dat het is overkomen hebben ze die cursus echt niet meer nodig hoor. En wat moet je nu w vermelden in die cursus, gebruik je hersen en let op.
De browser weet ook niet of je aan het internetbankieren bent, of dat je op het digitale forum ter bevordering van het uitwisselen van breipatronen wil inloggen.
't Zou best toegevoegde waarde hebben als je een aparte handeling moet doen om de browser van en naar internetbankier mode te brengen. Of zelfs maar een soort stoplicht in beeld, dan "oranje" staat voor een HTTPS site, en pas op "groen" als je op je eigen vertrouwde bank bent. Je zou dan handmatig sites aan de "groene" zone kunnen toevoegen, zodat je bij een oranje stoplicht al weet dat je niet je bankpassword moet gaan invullen.

Tot die tijd hanteren mijn ouders gewoon het systeem "het antwoord op elke vraag die niet in het Nederlands gesteld wordt is altijd het kruisje rechtsboven van het venster en het antwoord op elke vraag die op beveiliging van toepassing is, is 'nee'."
Met dat systeem werken ze nu al jaren virusvrij op hun Windows XP machine zonder virusscanner en alleen de built-in firewall.
Nou van dat stoplicht dat is al zo hoor. Of vind je de certificaat beoordeling van de browser niet voldoet. En die antwoorden op die vragen zou iedereen moeten geven. Want dat zijn de enige juiste antwoorden.
Daar heb je geen cursus voor nodig.
Het probleem is een beetje dat alle banken de mensen aan het internetbankieren willen hebben. Op die manier kunnen ze filialen sluiten en geld besparen. Die paar euries die ze in NL dan nog kwijt zijn aan phishing is volgens mij rendabel. Stoppen ze met vergoeden dan gaan meer mensen stoppen met internetbankieren, want het risico wordt te groot.
Ja het is stom. Maar voor andere niet. Zo zal jij ook wel eens wat stoms hebben gedaan in de ogen van andere.

Mijn stiefvader wist niet eens dat het kon.
Volgens mij wordt precies jouw tussenoplossing al toegepast. Was eens bij Kassa toen de banken de nieuwe regels invoerde met de eisen rondom internetbankieren. (Software up-to-date, virusscanner, firewall etc) en dat ze per geval zouden kijken in hoeverre de consument verantwoordelijk is. Omdat je dit wel kan verwachten van "de nieuwe generatie" maar niet van de oudjes.
precies, het zijn vooral de 55+'ers die vaak geen enkele affiniteit hebben met computers en geen verschil zien tussen een phishing mail en een echte mail.
Dat zal altijd een probleem blijven tot ze uitsterven.
Echter, ook de jongere generaties zal in de toekomst nog de pineut zijn, aangezien de bad guys steeds inventiever en professioneler worden.
...maar zou haast denken dat het inmiddels ingeburgerd genoeg is dat je wat meer verantwoordelijkheid van consumenten zelf mag verwachten.
Maargoed, is misschien ook makkelijk praten voor mij/ons.
Ingeburgerd? Onder wie? Hooguit alleen onder 'tweakers' - een klein deel van de bevolkingsgroep.
Je vergeet dat er steeds consumenten bijkomen (jongeren) die nog niet eerder met telebankieren te maken hebben gehad, je vergeet ouderen die niet met ICT zijn opgegroeid, je vergeet dat 95% van de bevolking niet in de werking van ICT is geïnteresseerd, je vergeet dat zelfs ICT'ers in bepaalde gevallen verkeerde zaken doen, etc.
Dit laat meteen weer zien waar de zwakste schakel zit in beveiliging. Tegen onwetendheid/onbereidwilligheid/stupiditeit van gebruikers kun je met geen security app tegenop. Of zoals Kevin Mitnick het zo mooi verwoord:
"Companies spend millions of dollars on firewalls, encryption and secure access devices... and it is money wasted, because none of these measures address the weakest link in the security chain: people. Information security is not a department, it is everyone's job."
Ik vraag me af of dat ooit nog zal veranderen (en zo ja, hoe).
Layer 8 OSI error.

Het grootste lek blijft inderdaad de gebruiker.

Het zijn de mensen van middelbare leeftijd die hier massaal in tuinen. Hoevaak ik, als ex-ING'er, mensen wel niet doorverbonden heb met de fraudeafdeling omdat ze weer allemaal rare dingen hadden beantwoord.

Het detectiesysteem van ING zit goed in elkaar hoor.
Het systeem werd dag en nacht bijgehouden en gecontroleerd. Bij twijfel werd er geblokkeerd.
Geografische berekeningen qua inlog, blacklist op IP's, overboekingen naar rekening in buitenland, overboekingen naar rekeningnummers op blacklist, ongewenste activiteit binnen de browser (keyloggers etc), maar ook de installatie van een malafide app op je telefoon werd gedetecteerd.

Tanfunctie werd dan direct geblokkeerd.

Ik heb dit wel eens bijgehouden zo voor mijzelf en aangezien ik verplicht was om een klantverificatie te doen weet ik ook de geboortedatum van die klant. Deze cijfers verbazen mij dan ook allerzins. Neemt niet weg dat elke er 1 teveel is.
De ouderen zijn, volkomen terecht, wantrouwend omdat ze er in zijn geheel niet mee zijn opgegroeid. De middelbare mannen en vrouwen denken te weten waar ze mee bezig zijn omdat ze op het werk ook regelmatig een muis in de handen hebben. Dat vertrouwen wat ze hebben doet ze keer op keer de das om. Denken het wel te weten. Tegendeel echter te vaak bewezen.

Ondanks dat de banken op technisch vlak vaak negatief in het nieuws zijn toch petje af voor het continu bijstellen van die filters die ze hebben en het vaak zo snel kunnen implementeren van nieuwe detectiemethoden op nieuwe aanvallen van criminelen.

[Reactie gewijzigd door Dograver op 29 juni 2015 13:53]

Het detectiesysteem van ING zit goed in elkaar hoor.
Soms een beetje te goed. Mijn account is al eens geblokkeerd omdat de redirect na het inloggen op de website te lang duurde.
In verband met andere vervelende websites had ik de browser zo geconfigureerd eerst toestemming te vragen voor een redirect. Dat duurde te lang naar de zin van ING's.
Is een keuze: af en toe een klein ongemak zoals jij hierboven beschrijft, of het risico nemen dat er misschien toch iets aan de hand is en een paar honderd euro kwijt zijn.

Soms moet je gewoon dat ongemak voor lief nemen. Je fiets op slot zetten en met een extra kabel aan een paal vastmaken is ook gedoe, maar we nemen dat voor lief omdat we hem liever niet kwijt zijn.
Er heeft op dat moment afwijkend gedrag plaatsgevonden, in jouw geval een redirect.
Kans is groot dat dit er uit gefilterd wordt ja.
Er is een externe factor die de redirect blokkeert. Genoeg redenen om gelijk de boel op slot te gooien. Had ook iets anders kunnen zijn wat de bank betreft.
Gebruikers zijn ook dom gehouden als het om beveiliging aankomt. Cursussen rondom de gevaren in IT worden amper serieus genomen. Daarnaast zie je dat de gebruiker nog weinig beseft wat de gevaren zijn.
Het is deels de arrogantie van technici die ervoor gezorgd heeft dat de gebruiker nooit goed is opgevoed, want de aanname is altijd geweest dat techniek de heilige graal is in de informatiebeveiliging. Als je vervolgens de gebruiker links laat liggen, dan roep je het eigenlijk over jezelf af.

Men had dus iets eerder naar Mitnick moeten luisteren.
Het is de arrogantie van de gebruiker, niet van die van technici. Snap ook totaal niet waarom je dat vindt. Waar heeft de technici schuld aan het zo veilig en vooral makkelijk mogelijk houden van de applicaties.

Niets led de gebruiker zich zelf te informeren hoe het wel werkt en op internet is gratis heel veel informatie te vinden. Ook zijn er genoeg cursus te vinden. Het probleem is echter dat niemand er zijn in het om het ik maar te lezen.
de mens moet is de schuld bij zich zelf durven leggen.
Dit is een voorbeeld van de arrogantie die echte beveiliging onmogelijk maakt.
Uitgaan van specifieke kennis bij de gebruikers om iets veilig te houden werkt alleen bij specifieke groepen gebruikers. Bij algemene gebruikers is het vragen om moeilijkheden.
Jij gebruikt je arrogantie alleen maar om te klagen, maar met een oplossing,komen doe je niet. Is ook heel normaal want er is geen eenduidige oplossing die voor iedereen goed werkt. Dat zegt u zelf ook al. Wat er dan overblijft is schreeuwen en klagen en roep toeteren, want zo arrogant zijn we wel.
Ik constateer slechts dat de technische oplossing niet aansluit bij de gebruikers. Is dat arrogantie?
Ik ben juist niet zo arrogant om te denken dat ik de oplossing heb op een gebied waar ik niet voor opgeleid ben.
Kan je ook vertellen waar het de techniek zich niet goed aansluit bij de gebruiker.? Wat is er nu werkelijk mis.?
Het is namelijk flink arrogant om dat te vinden, terwijl je niet kunt aangeven wat er nu werkelijk mis is.
Ik constateer dat de techniek bepaalde zaken van gebruikers verwacht, waar een deel van de gebruikers niet aan kan voldoen. Dat kan zijn het herkennen van een geraffineerde vorm van fishing in dit geval. Maar in een ander geval bv. het onthouden van complexe wachtwoorden voor websites (en het gebruiken/ installeren/ configureren van wachtwoordkluizen waarmee websites zowel op een tablet, smartphone als PC te benaderen zijn).
In plaats van dat de techniek kijkt naar een oplossing die zorgt dat iedereen veilig van internet en internetbankieren gebruik kan maken (en het voor iedereen makkelijk en eenvoudig te maken), krijgt de groep waarvoor de bestaande techniek te ingewikkeld is, de schuld van het probleem. Dat technici/ programmeurs/ systeembouwers gebruikers voor wie het te ingewikkeld is wegzetten als onwetend, onbereidwillig en stupide (zoals LankHoar doet aan het begin van deze thread) is arrogant en zorgt ervoor dat het probleem blijft bestaan.
Ja, maar denkt u niet als er weer een andere techniek wordt verzonnen, want ja de technici en andere denken wel degelijk over het probleem na. Dat de phishing boefjes daarin niet op zullen inspelen. En jij dan weer begint te roepen dat de bedenkers en makers arrogant zijn.
De meeste gebruikers zitten ook niet te wachten op een verhaal van IT. Een deel van de groep kan het echt niet boeien want het is toch niet hun eigen computer, een andere deel van de groep heeft er geen tijd voor (of denkt dat in ieder geval) en weer een ander deel vind het veel te ingewikkeld.

Die laatste groep heeft ook wel een beetje gelijk want er is best veel dat je moet weten of fishers van lijf te houden. De meeste mensen hebben niet genoeg IT achtergrond om echt te doorzien hoe het werkt en weten niet waar je op moet letten bij het controleren van een URL of e-mail-adres.

Daarnaast heb je ook een zekere achterdocht nodig, je moet voortdurend op je hoeden zijn bij iedere link waar je op klikt.

IT'ers roepen dan al snel "je moet noooit je wachtwoord afgeven" maar in praktijk moeten de meeste mensen hun wachtwoord dagelijks invullen op allerlei sites en formpjes die ze niet echt begrijpen.

Na een anti-fishing-training zij een dame ooit "nu durf ik helemaal niks meer". Ze zal niet de enige zijn die er zo over denkt. Er zijn ontzettend veel dingen die misbruikt kunnen worden en zonder gedegen IT-achtergrond kun je nooit alles weten. Gebruikers krijgen het gevoel dat ze toch kansloos zijn maar ze moeten wel hun werk gedaan krijgen. Dan kiezen ze maar voor het minste kwaad en nemen de gok maar.

Zelfs in de simpele gevallen gaat het mis omdat niet iedereen altijd alert is. Mensen slapen wel eens slecht of zitten met hun gedachte bij andere zaken. Een door de wol geverfde IT'er zal puur op instinct de fish herkennen maar anderen niet. Het kan honderd keer goed gaan maar die ene keer dat ze zitten te suffen kan het te laat zijn.
Men had dus iets eerder naar Mitnick moeten luisteren.
Onzin. Als we naar mitnick hadden geluisterd dan waren computersystemen (inclusief bediening) zo star en onpraktisch dat we de afgelopen 20 jaar aan ontwikkeling nooit hadden meegemaakt.
Waar mitnick op doelt is social engineering en als je dat helemaal dichttimmert dan zal blijken dat je in een nare en koude wereld terechtkomt. Het is een wereld waar je per definitie niemand kunt vertrouwen en waar paranoia de boventoon voert. Mocht het ooit zover moeten komen dan denk ik dat de meeste mensen dan kiezen om maar geen computers te gebruiken.
Nou, eerlijk gezegd vind ik 22 mensen niet echt veel.
Dit soort phishing is bulk-werk en er zijn dus blijkbaar een hele hoop mensen die er niet in getrapt zijn. Je zou zelfs kunnen stellen dat er best wel weinig slachtoffers zijn. Want natuurlijk zitten er altijd wat mensen tussen die onkundig genoeg zijn om er in te trappen. Maar jij laat het lijken alsof dit een enorm drama is ofzo. :/
Ik denk ook dat er de afgelopen tijd veel meer mensen in heel andere scams zijn getrapt en die daarbij veel meer geld verloren zijn dan bij deze phishing actie.
Volgens een tweet van Rik van Duijn, onderzoeker van het beveiligingsbedrijf DearBytes, bezochten minstens 14.000 mensen de phisingsite en vulden 3000 ook hun wachtwoord en mobiele nummer in.
22 mensen hebben daadwerkelijk gemeld dat ze beroofd zijn, echter hebben 14.000 mensen de site bezocht, en 3.000 mensen hun gegevens ingevuld. Je kunt dus wel spreken van 'veel' (hoewel dat natuurlijk relatief is), en ik vind dat inderdaad wel een drama.

Het zou mij niet verbazen dat er nog meer slachtoffers zijn, die simpelweg nog niet hun bankrekening gecheckt hebben, of gewoon nog niets gemeld hebben.
Ongetwijfeld, maar die phishingmails worden er met miljoenen tegelijk uitgepoept. Het gaat dan waarschijnlijk alsnog om minder dan een procent slachtoffers. Dat vind ik op zich nog erg meevallen. Wat ik wel vind is dat banken e.d. veel coulanter om moeten gaan met dit soort voorvallen en de mensen gewoon moeten compenseren. Er zullen immers altijd een aantal mensen zijn die slachtoffer worden van misbruik van vertrouwen. En zoals ik al aangaf, in de echte wereld gaat het om veel meer slachtoffers en veel grotere bedragen. Dus in dat opzicht vind ik dit nog meevallen. Er zijn bijvoorbeeld ook mensen die voor 2 ton een huis kopen dat helemaal niet bestaat.
ING heeft momenteel 8,1 miljoen rekeninghouders (bron). Dus:

14.000 / 8.100.000 * 100 ~ 0.17%. van alle rekeninghouders heeft op de link geklikt, 3.000 / 8.100.000 * 100 ~ 0.04% van alle rekeninghouders heeft daadwerkelijk gegevens ingevuld, en om het rijtje nog even af te maken:
22 / 8.100.000 * 100 ~0.0003% is daadwerkelijk geld kwijt.

Stel er zijn daadwerkelijk zoveel mails uit gegaan, dan is het inderdaad nog wel te relativeren. Anderzijds zou ik het ook nog steeds gek vinden als dit percentage van de Nederlandse bevolking systematisch een auto nooit op slot doet..

Edit: typo

[Reactie gewijzigd door LankHoar op 29 juni 2015 15:16]

Anderzijds zou ik het ook nog steeds gek vinden als dit percentage van de Nederlandse bevolking systematisch een auto nooit op slot doet..
Een doorslaggevend verschil daarin is dat je auto op slot doen iets triviaals is dat je eigenlijk alleen hoeft te onthouden Een computer of telefoon schoonhouden (uberhaupt weten waar je moet beginnen) is een heel ander verhaal.

Het is dus inderdaad een appels met peren vergelijking.

[Reactie gewijzigd door koelpasta op 29 juni 2015 17:28]

Dit gaat niet om een computer of telefoon schoonhouden, maar enkel om het niet zo ver ingaan op dergelijke pishing berichten. Ook niet moeilijk te onthouden lijkt me.
Dit gaat niet om een computer of telefoon schoonhouden, maar enkel om het niet zo ver ingaan op dergelijke pishing berichten. Ook niet moeilijk te onthouden lijkt me.
Nee joh, daar gaat het helemaal niet om. Het gaat om vertrouwen. Het zijn allemaal zogenaamde 'confidence tricks' die erop gericht zijn mensen te misleiden. Je kunt het zo gek maken als je wilt en op zich ook een expert redelijk goed voor de gek houden. Het is maar net op welk nivo van onwetendheid (en niemand weet alles) de aanvaller zich richt. Ook jij en ik kunnen met de juiste informatie misleidt worden.
Het is natuurlijk wel wenselijk dat mensen altijd de juiste beslissingen nemen en de juiste dingen wantrouwen, maar mensen zijn geen voorgeprogrammeerde machines en dus is er altijd een deel van de populatie die misleidt kan worden.
Je moet wel appelen met appelen vergelijken. Het gaat bij de auto op slot doen om het percentage gebruikers van auto's dat af en toe de auto niet op slot doet. Ik vermoed dat dit zeker 0,1% is..... De mensen die hier een fout hebben gemaakt, zullen het waarschijnlijk in andere gevallen niet fout doen.

Maar statistiek laat zien, alles wat fout kan gaan, gaat een keer fout. Daarom is een fysieke sleutel altijd te prefereren....
Ik denk niet dat ik appels met peren vergelijk. Ik denk dat de mensen die in dit soort pishing berichten trappen, dat niet eemalig doen (hoewel ze hopelijk nu toch iets geleerd hebben). Ik denk dat dat ook de mensen zijn die 19 toolbars hebben, 50 nieuwsbrieven per dag krijgen en 33 'PC verbeter' applicaties geïnstalleerd hebben. Op die manier denk ik dat er consistentie zit, en daarom vergelijk ik het met systematisch je auto niet op slot doen.

Overigens betwist ik je stelling dat een fysieke sleutel altijd te prefereren is. Die kun je kwijt raken, die kan gestolen worden, etc. Dat zijn ook heuse problemen. Ik denk dat er op dit moment geen waterdicht versleutelings-principe is, en ik vraag me af of die er ooit komt.
Er zijn inderdaad mensen die hun auto systematisch niet op slot doen. Bijvoorbeeld in risicogebieden. Ze laten dan ook niets van waarde in hun auto achter, dus niet helemaal te vergelijken.
3000 is inderdaad heel veel. te veel en laat dus zien dat de mens de zwakste schakel is en blijft.

Zelf wil ik niets eens bankieren op mijn telefoon, te veel risico.
Het eneige waarvoor ik de telefoon gebruik is voor de dubbele controle bij het inloggen.
Alleen wat ik jammer vind is dat je er op tweakers wel over leest. Maar was niets over op het nieuws. Laat een paar dra.a families op tv hun "verhaal" doen hoe ze zo diep in de put zitten bla bla bla. Misschien dat het gros dan wel begrijpt dat het een probleem is.
Qua aantal wel, maar hoeveel mensen gebruiken de app in totaal? 30.000? 300.000?
3000 op 300.000 is 1%. Dat is al veel, te veel.
Niet als je dat afzet tegen de kosten van schadeloosstelling.

In een ideale wereld heb je natuurlijk gewoon gelijk, maar die bestaat niet, de meeste ondernemingen zijn veel pragmatischer, daar wordt een ijskoude kosten/baten analyse gemaakt, en daar kan best wel eens uitkomen dat het goedkoper is om je verlies te nemen middels schadeloosstelling dan om het probleem op te lossen.
beroofd zijn, ze hebben zelf onbekende bronnen aangevinkt, hebben zelf hun gegevens ingevuld, dus tja beroofd vindt ik wat kort door de bocht.
Dat je uiteindelijk geld kwijt bent is niet geinig natuurlijk maar een beetje eigen schuld is het wel.
Je bent als nog berooft van je geld. Anders kan ik ook bij iemand "inbreken" waar het raam nog van open staat. Of de sleutel onder de bloempot. Ze hebben immers zelf de deur open laten staan.
Beroofd, afgenomen.. Geld is weg, en daar gaat het om. En dat is precies mijn punt, dat het hun eigen schuld is. En ik snap simpelweg gewoon niet hoe dat nog steeds kan. Je zou verwachten dat mensen verstandiger worden, maar het lijkt er absoluut niet op, helaas.
Maar de banken schreeuwen maandelijks dat jij altijd zaken moet doen met https://www.banknaam.nl en op het groene slotje moet letten.
Hierbij moet je ook bedenken dat ze waarschijnlijk pas boekingen doen wanneer het saldo hoog genoeg is. Mensen met een (op dat moment) laag saldo, kunnen slachtoffer zijn geweest zonder dat ze het weten (immers zijn geen geld verloren). Dat verklaart ook waarom er staat dat circa 3000 mensen gegevens ingevuld hebben. 22 t.o.v. deze 3000 is laag. Maar hoe rustiger de cybercriminelen transacties uitvoeren, hoe langer het duurt voordat ze tegen de lamp aan lopen.....
Ja, mee eens. Onder de radar blijven is ongetwijfeld een succesvolle strategie.
De strategieen hebben tegenwoordig ook veel weg van parasiteren. Hier en daar een beetje bloed wegzuigen zodat niemand echt boos genoeg wordt om actie te ondernemen.
Mja.. de ING heeft 1 heel groot probleem.. je mobiel is ook de authenticator. Je krijgt namelijk je TAN code via een SMS. Dus in dit geval ligt het probleem toch echt bij de ING, die kiezen voor een ongebruikelijk authenticatie systeem.
En je denkt dat als ze om een andere vorm van authenticatie hadden gevraagd deze 22 personen dit niet gedaan zouden hebben?
14000 mensen waren zo stom om de link te klikken
3000 daarvan stom genoeg om wachtwoord en nummer in te tikken
x aantal was gelukkig te stom om op de mobiel de externe apps toegang instelling aan te zetten
22 personen zouden alles hebben gedaan waarom gevraagd werd..
correctie, 22 hebben meding gemaakt bij de ING, sommigen zullen zich zo erg schamen over hoe stom ze zijn geweest, dat ze het stil houden. Die pakken zeg maar het verlies. Verder zal niet iedereen er direct achter komen. Genoeg situaties waarin EEN persoon uit het huishouden slechts het volledige financieel overzicht heeft, en de ander zich er nauwelijks mee bemoeit. Die gevallen zijn vaak weer gevoeliger, omdat persoon A (die dus geen overzicht heeft) klakkeloos dingen uitvoert ('het zal wel kloppen') en persoon B er pas achter komt als hij/zij de maand na gaat lopen... ("Hé Truus waar heb jij bedrag X aan uitgegeven?")
TAN per SMS is een prima oplossing maar als users absoluut onwetend zijn en blijven kan het een schakel zijn ja. Maar met een beetje knap social engineering krijg je mensen ook wel zo ver authenticator codes te overhandigen.
Er is ook een hele tijd zo'n ding geweest dat mensen opgelicht werden door ze een duplicaat " mijn ing" omgeving voor te schotelen en zo login data los te peuteren en transacties uit te voeren.
Dat mensen vervolgens die tan-bevestingen niet lezen waar o.a. gewoon een bedrag in staan als ze een overboeking doen... tjah...
De app zal vermoedelijk een sideloader zijn die de gegevens van sms forward.
Je kan de TAN codes nog altijd op papier krijgen. Het hoeft niet per sms.
Het TAN systeem is juist perfect veilig (op punten veiliger dan andere systemen en sowieso gebruiksvriendelijker), zo lang je maar niet je telefoon gebruikt zowel om mee te bankieren als om je TAN-codes op te ontvangen.

Veiligheidswinst is nog wel te boeken op de telefoon zelf (taak voor de fabrikant van het OS) door de toegang van apps tot je SMS-verkeer kritischer te bewaken.

[Reactie gewijzigd door mae-t.net op 29 juni 2015 15:47]

Heel veel banken gebruiken dit systeem niks bijzonders aan. Hier gebruikende zelf een soort van verificatie systeem dat in je sim zit. Gekoppeld aan je telefoon nr. Eerst inloggen dan een melding met verificatie op je en pagina p mobiel ok. Dan wachtwoord in type op mobiel. Bevestigen en je logt in op je webpagina op je computer. Werkt echt super. Natuurlijk kan het ook lekker ouderwetse met een code kaartje alla ing. Maar als je die kwijt raakt. Pff... Wat een ellende.
Ik heb ook ING... en daarom controleer ik steevast altijd even het TAN-volgnummer voor ik die intik... als die afwijkt, stop ik de overdracht en bel mijn bank voor hoe of wat!
Dat is de enige controle die je hebt bij SMS-TAN.
Vroegah had ik Girotel van de Postbank en had ik een velletje met TAN-codes op papier van de Postbank... zo kon je ook telebankieren, een stuk veiliger mijns inziens.
Inloggen via een 54k Dial-up Full-duplex modem... damn dat was snel... toen!

[Reactie gewijzigd door qbig1970 op 29 juni 2015 13:53]

Dat 'velletje met TAN-codes' is er nog steeds....
Destijds belde je zelf op en was een telefoonnumer niet zo makkelijk te spoofen. Zou nu ook niet meer zo veilig zijn. Banken hebben zelf de weg naar IP en browser gekozen, dar was vroegah inderdaad veel beter! Door op hetzelfde apparaat authenticatie ontvangst toe te staan als waar de sessie op loopt, is nogmaals vragen om problemen.
Ik werk nog met zo'n velletje. Gescand in een encrypted KeePass filetje, voor in het buitenland. KeePass wist RAM na raadplegen, dus redelijk goed. Ik hoop dat ING nog een tijdje met papieren TAN door gaat.
Daarom die app: die vangt het sms met TAN code op een voert die dus zelf in.
De gebruiker merkt dus niet dat hij een betaling deed.
Wat heeft het voor zin om Tan codes te controleren als ze onderschept worden door een App?
We gooien hier lekker twee dingen door elkaar: my bad!
De app gebruik ik zelden om betalingen te doen... eigenlijk alleen om mijn saldo te checken en sporadisch geld op een andere rekening over te schrijven.. Betalingen via iDeal bijvoorbeeld via browsers daarentegen.... dan check ik echt wel die TAN-volgnummers.
Misschien is het nu wel wat duidelijker.
het is maar hoe je het bekijkt... Je kunt ook stellen dat juist een losse calculator weer een 'ongebruikelijk' authenticatie systeem is.. Overigens hoef je geen gebruik te maken van TAN-codes via SMS, via de gewone brief kan ook nog steeds (het is wel het 1 of het ander, niet door elkaar)..
Tja, het voordeel van TAN-codes is juist dat je niet zo'n achterlijke losse calculator oid nodig hebt...
Ik moet niet aan denken om telkens zo'n domme randomreader te moeten gebruiken, over onhandig gesproken zeg, vind juist dan de TAN methode vele malen beter..
Op mn iPhone kan ik gewoon zonder zon domme randomreader geld betalen en overmaken. En geen applicatie die ik kan downloaden die vervolgens er met mn geld vandoor kan gaan.

Het is SMS in combinatie met Android wat compleet onveilig is.
*mits je een app buiten de store download.

Wat in 99% van de gevallen niet standaard kan.
Beetje een domme en kortzichtige opmerking om dat op Android te schuiven.
Wat, op Android kunnen apps (zonder root oid) bij de SMSjes. Dat is het onveilige. Bij iOS en WP is dit niet mogelijk.
En waarom zou dat bij jou dan niet kunnen en bij deze slachtoffers wel?
Omdat hij een iPhone heeft. Deze methode van phishing is inherent aan het open karakter van Android en maakt daar misbruik van. Bij iOS is dit niet mogelijk omdat andere apps (zelfs buiten de App Store om) geen smsjes kunnen inzien.
een code per SMS is geen ongebruikelijk authenticatie systeem, sterker nog, heel veel 2-staps verificatie systemen gebruiken dit..
en is ook veilig zat t.o.v. gebruikersvriendelijkheid, 100% waterdicht kan het toch nooit zijn
Je opmerking over mobiel zonder randomreader (of ander authenticatie apparaat; bij de Rabobank de scanner) is natuurlijk onzin. Dit is optioneel en dien je via 'opt-in' zelf aan te zetten. Standaard kun je niet zomer zonder authenticatie geld overmaken. Je kunt er voor kiezen om dit alleen voor bekende rekeningen toe te staan, of juist voor alles maar tot een bepaald maximum. Je weet dan ook gelijk voor welk bedrag je zelf risico loopt als je dit aan zet.
Je opmerking over mobiel zonder randomreader (of ander authenticatie apparaat; bij de Rabobank de scanner) is natuurlijk onzin. Dit is optioneel en dien je via 'opt-in' zelf aan te zetten. Standaard kun je niet zomer zonder authenticatie geld overmaken. Je kunt er voor kiezen om dit alleen voor bekende rekeningen toe te staan, of juist voor alles maar tot een bepaald maximum. Je weet dan ook gelijk voor welk bedrag je zelf risico loopt als je dit aan zet.
Dat is helemaal gene onzin, er zijn veel mensen die geen verstand van beveiliging hebben deze optie aanzetten omdat het gemakkelijker is.
Wat op zich te begrijpen is. Daarom zouden de banken dat niet mogelijk moeten maken.

Tevens zouden banken naar buiten moeten brengen hoeveel geld ze verbrassen door klanten te compenseren voor hun eigen gebrekkige beveiliging c.q. waarom ik minder rente krijg/meer rente betaal/hogere kosten heb.

Dit geld komt uiteindelijk ergens vandaan.
Je zegt het zelf al, ze zetten het zelf aan, op dat moment wordt je gewezen op het RISICO, je kiest vervolgens het maximum bedrag.... MEN WEET DUS EXACT WELK RISICO hierbij hoort... dus ik blijf bij mijn punt dat het compleet onzin is wat je zegt. Daarbij... Offtopic, Irrelevant, leve moderatiesysteem!
Als bedrijf zoek je een balans tussen veiligheid en gebruiksgemak. Daar gaat in vooronderzoek al meer tijd en geld aan vooraf dan je denkt.

Reclamecampagne vergeten waarbij al die vissers op het dak staan met hengels.
Doe eens een gokje wat dat geintje kost?

TAN-via SMS is daarom een prima optie hoor. Zeker aangezien het complete gedeelte van de betaling in de sms vermeldt staat. Dat de slachtoffers door hun eigen toedoen en onwetendheid een sideloader op hun telefoon installeren... Als je als gebruiker 4 tot 5 stappen ingaat op een phishing aanval, waar ligt dan die verantwoordelijkheid? Wiens schuld is het dan?

Die van de bank? Terwijl het bij miljoenen transacties wel goed gaat?

Bij de Rabo/ABN/SNS gaat men ook massaal het schip in, ook met readers.

[Reactie gewijzigd door Dograver op 29 juni 2015 14:16]

Als bedrijf zoek je een balans tussen veiligheid en gebruiksgemak. Daar gaat in vooronderzoek al meer tijd en geld aan vooraf dan je denkt.

Reclamecampagne vergeten waarbij al die vissers op het dak staan met hengels.
Doe eens een gokje wat dat geintje kost?

TAN-via SMS is daarom een prima optie hoor. Zeker aangezien het complete gedeelte van de betaling in de sms vermeldt staat. Dat de slachtoffers door hun eigen toedoen en onwetendheid een sideloader op hun telefoon installeren... Als je als gebruiker 4 tot 5 stappen ingaat op een phishing aanval, waar ligt dan die verantwoordelijkheid? Wiens schuld is het dan?
Nog steeds van de bank. Ze hebben de mensen gedwongen om internet bankieren te gaan gebruiken teven zijn ze degene die over de beveiliging beslissen.

Het probleem is dat de banken geen binding meer met iets hebben, ze hebben naar hun gevoel de god status bereikt. Zie bijvoorbeeld de uitspraken bij de enquêtecommissie banken. Waar ze hun bonus systeem blieven verdedigen terwijl een groot aantal van deze banken omgevallen zouden zijn zonder staatssteun.
Die van de bank? Terwijl het bij miljoenen transacties wel goed gaat?

Bij de Rabo/ABN/SNS gaat men ook massaal het schip in, ook met readers.
Minder snel omdat hun beveiliging meer op orde is.
Alsof een reader niet te kraken valt qua algoritme?
En met welke cijfers kun je dat onderbouwen?
Waarom zou

Ik bedoel hier mee aan te geven dat men ZELF verantwoordelijk is voor de acties die je uitvoert.

Ander voorbeeld misschien: Microsoft scam.

Iemand belt je op zogenaamd vanuit Microsoft.
Je geeft ze via Ammyy Admin toegang tot je PC.
Deze leiden je naar de eventviewer om aan te geven dat er errors zijn(duh) en je moet dan geld overmaken om hun softwarepakket te kopen.
Vervolgens maak je geld over maar je bent je geld kwijt.
Wie is er dan verantwoordelijk?

[Reactie gewijzigd door Dograver op 29 juni 2015 15:30]

Voor zulke mensen zou iOS een oplossing kunnen zijn, daar kun je niet sideloaden.
Zelf ben ik helemaal geen iOS fan omdat het voor mij te dicht zit, maar voor zulke mensen is dat wel handig....
Al blijf ik dit enorm dom vinden, ook van Android gebruikers. Sideloaden staat standaard uit en ook al staat het aan moet je nog toestemming geven.

[Reactie gewijzigd door skatebiker op 29 juni 2015 13:41]

nieuws: Popcorn Time op iOS is nu ook met OS X te installeren

Ook bij ios kan je via een omweg troep installeren. Maar dat makkelijk sideload gebeuren is ook een van de reden dat ze zo groot zijn geworden.
Zo'n applicatie kan nog steeds nergens bij, en al helemaal niet bij je sms-jes. Dus op iOS alsnog geen probleem.
Kan. Maar als nog lukt het sideloaden wel. En via man in the middle attack kan het nog steeds je rekening plunderen.
Hoe ga je precies een MitM attack uitvoeren door te sideloaden op iOS? Als je niks kan onderscheppen.
Dus ik kan geen sideload app maken die een gebruikersnaam en pincode. En later de tan code kan versturen naar mij en ing? Vraag mij echt af hoe popcorn time dan werkt. Die moeten immers ook gegeven naar de popcorn time server sturen.
en van zodra je bij een firma werkt die MDM gebruik van Mobile Iron bijvoorbeeld ben je verplicht het installeren van externe toepassingen toe te staan...
Ik ben toch benieuwd hoe de 'hackers' het hadden gedaan als er een sms verificatie in zat.
Het is een zwakte in de Android beveiliging. Het is eveneens een pluspunt voor mensen die controle over hun eigen device willen hebben, hiervoor moet je echter wel beschikken over enige kennis van zaken. De hier gevolgde modus operandi is onmogelijk toe te passen bij iOS en Windows Phone. Aangezien het (nagenoeg) onmogelijk is om apps uit externe bronnen te installeren zonder een complex proces te volgen, te weten Jailbreak in het geval van Apple iOS. Dit laat echter onverlet een nog wat geraffineerdere wijze. Namelijk het plaatsen van nep apps in de betreffende appstore. Bij Windows Phone is het al eens voorgekomen dat er een onofficiële Telfort app in de appstore stond die vervolgens mensen hun gegevens kon stelen. Ik zou dit bij Android ook zien gebeuren gelet op de hoeveelheid vreemde apps die te vinden is in de Play Store. Denk aan goed gelijkende icoons en gelijkende namen van bekende apps aangeboden door een onbekende aanbieder.

[Reactie gewijzigd door ChicaneBT op 29 juni 2015 14:03]

SMS + Android is hier toch echt de zwakste schakel. Als je als bank vertrouwd op gegevens die te onderscheppen zijn ben je gewoon niet slim bezig. De gebruiker heeft hier weinig mee te maken.

Pas als een gebruiker akkoord geeft op "Betaal x bedrag naar oplichter y" dan heb je een punt.
Ten eerste hebben banken geen zin om 'dure' bankkantoren open te houden voor eenvoudige transacties. Ten tweede is iedereen vatbaar voor oplichting en bedrog. Dat weten oplichters maar al te goed.
En als het risico relatief laag is, zijn banken vaak goedkoper uit als ze de het diegenen die het is overkomen schadeloos stellen.
En nog goedkoper uit als ze op enig moment hun regels zo bijstellen dat de klant aansprakelijk is.
Ik denk als ze dat konden doen dat ze het al lang zouden hebben gedaan, ik heb niet zoveel vertrouwen in Banken wat dat betreft
Daar hebben ze inderdaad al een beginnetje mee gemaakt, want ze snappen ook wel dat je zoiets niet in 1 keer volledig kunt doorvoeren zonder dat het te erg opvalt. Vandaar dat ik het 'op enig moment' noem.

Nog niet zo lang geleden is er nog iets ten nadele van de klant veranderd in de regels van coulance bij pinpasfraude. Ik zal zien of ik dat terug kan vinden.
Ik zou eerst eens gaan bekijken wat een iq test inhoud. Iemand met een super hoog iq kan totaal geen verstand hebben van computers en er makkelijk intrappen.
De enige manier om hier iets aan te doen is een EQ test voordat je technici een systeem laat bedenken dat voor het grote publiek toegankelijk moet zijn. Zolang technici uitgaan van zaken die zijzelf vanzelfsprekend vinden, zal het nooit wat worden met beveiliging.
zucht
there is no cure against human stupidity
Wanneer leren mensen eens dat ze zoiets niet moeten doen?
Voor ons Tweakers is het klaar als een klontje dat je dit niet moet doen. Maar het zal je echt verbazen hoe weinig de gemiddelde gebruiker snapt van mobiele telefoons en dat soort shit. Als je dr een beetje goed verhaal omheen verzint, krijg je best wel wat mensen mee (zo blijkt maar weer eens te meer).
Ik heb het meer over je gegevens op een site invullen omdat erom gevraagd wordt in een mail.
Hoe vaak moet daar nog voor gewaarschuwd worden voor het in die domme koppen door dringt?

Dit is btw een duidelijk voorbeeld van user error.
1) Gegevens op een site invullen
2) App downloaden buiten de store om
3) Explisiet de beveiligingen uitzetten ondanks de waarschuwingen die je te zien krijgt
4) App installeren.

Ik hoop personlijk dat ze niks/niet alles terug krijgen. Welllicht passen ze dan de volgende keer beter op.
Er is hier geen duidelijke fout.
ad 1). Er zijn genoeg instanties die je een mail sturen met een link en je verzoeken je gegevens up te daten. Het worden er wel steeds minder. Wanneer je in een mail gevraagd wordt iets te doen, wordt er steeds vaker verwacht dat je zelf je weg weet te vinden naar de site. De enige 'fout' is dus vergeten dat de bank je nooit een mail stuur met een link om in te loggen. Dat vergeten maakt de bank weer een stuk makkelijker, doordat ze je wel 'dood-spammen' met aanbiedingen foor allerlei financiële producten, met links naar de website voor meer informatie.
ad 2), 3) en 4) Dat heb ik vorige week nog moeten doen om beveiligde bedrijfs-apps op mijn telefoon te installeren, om mijn bedrijfsagenda en -mail te raadplegen en het bedrijfsintranet te benaderen.
Just when you thought you made something foolproof, they keep making better fools... ;-)
Stupidity, maar als je dat doortrekt zijn de banken net zo goed hardstikke dom bezig. Extra gebruiksgemak in ruil voor het inleveren van veiligheid. Het veiligste is nog altijd om twee afzonderlijke devices in je betaling te betrekken, dus niet een telebank app en bevestiging van de transactie via een smsje dat op dezelfde telefoon binnenkomt en dus door malware afgevangen kan worden (ik veronderstel even dat het zo ging).

Andere stupidity van de banken: Mensen die al die dingen niet willen, bijvoorbeeld om veiligheidsredenen of omdat ze zichzelf niet met de technologie vertrouwen, het toch opdringen door vermindering van de traditionele dienstverlening. Recent voorbeeld bij de ING: als je gewend bent om aan de balie geld op te nemen met een pas waarop pinnen geblokkeerd is, kan dat binnenkort niet meer.

Kortom, je bent als gebruiker van het betalingsverkeer (dus vrijwel iedereen) overgeleverd aan een onfrisse oligopolische bankenmarkt, waar jij zelf nog maar heel beperkt bepaalt wat je met je geld kunt doen en hoe je dat doet. Zelfs de simpelste vorm van concurrentie op de bankenmarkt is in Nederland "stuk": je betaalt eigenlijk altijd bankkosten. Ga je maar 1 land zuidelijk dan er zijn zelfs banken te vinden die je geld toe geven omdat ze blij zijn dat ze over jouw saldo kunnen beschikken en zijn andere banken veelal 'gratis' of in elk geval goedkoper dan in Nederland. In Nederland investeert de overheid in bonussen en gratis handelsgeld voor banken; zo wordt die markt nooit van z'n leven gezond. Mogelijke oplossingen op dat niveau zouden kunnen zijn: er komt een staatsbank die zijn diensten tegen kostprijs aanbiedt, of er komen strenge regels die banken aan banden leggen, of een ongezonde bank mag omvallen en juridisch vervolgd worden.

[Reactie gewijzigd door mae-t.net op 29 juni 2015 15:41]

Ja want jij heb nog niets is stoms gedaan in ogen van andere?

Als het je vak gebied niet is kan het best lastig zijn. Omdat er zoveel manieren zijn.
Heeft niks met niet je vakgebied te maken.
Er wordt al vele jaren gewaarschuwd dit niet te doen.

Daarnaast moet je explisiet beveiligingen van de mobiel uitzetten. Waarschuwing na waarschuwing en dan nog gaat geen lampje bij je branden of het wel klopt.
Eén waarschuwing, dat je de beveiliging alleen uit moet schakelen wanneer je weet dat de app veilig is. Tegen de tijd dat die melding in beeld komt, is de gebruiker er van overtuigd dat de app van zijn bank is, en dus veilig. Zodra er op de mail ingegaan wordt, zijn alle volgende waarschuwingen nutteloos.
Het is niet per se human stupidity. Het is human stupidity in combinatie met het relatief onveilige Android.
Ik lees hier veel reactie's hoe mensen er in kunnen trappen. Die beste mensen vergeten blijkbaar dat er ook veel ouderen (en niet tweakers) gebruik maken van internet bankieren. Deze mensen hebben doorgaans minder verstand van het hele technische verhaal, en doen gewoon wat ze gevraagd wordt...daar helpt geen reclame spotje tegen.
Niet iedereen is een tweaker, hé ;)
Maar hoeveel ouderen en niet tweakers weten hoe ze een apk van onbekende bronnen kunnen laten installeren. Beetje dubbel lijkt me. Daarom schrok ik ook wel van deze aantallen van dit bericht. Mensen die weten hoe ze dit moeten doen, lijken mij ook in staat te moeten zijn deze fraude direct te doorzien. Maar ja, zal wel aan mij liggen ;)
Waarschijnlijk krijgen ze een mooie info pagina voor hun neus die zegt...voor dit, of dit, model moet u zus en zo doen...met mooie plaatjes er bij, natuurlijk. Als jij bij je oma zit, kan je haar ook via plaatjes met wat tekst wat laten doen...als je het via de telefoon uitlegt (of reclame spotje) gaat het wat minder, of zijn ze het zo weer kwijt.
Sterker nog, in recente versies van Android staat gewoon (naar mijn mening te duidelijk) beschreven dat de apk niet wil installeren omdat het van onbekende bron komt, met meteen een korte uitleg welke instelling je moet veranderen, en een knop om direct naar de developer options (lees; betreffende instelling) te gaan.
Ja maar die ouderen en niet-tweakers haken dan meestal wel af bij het installeren van dingen, omdat ze gewoon niet weten hoe het moet. Mijn ouders kunnen dat niet in elk geval, helemaal niet als je ergens anders een vinkje uit moet zetten.
Zie post boven je...info pagina met uitleg ;)
Ik snap je nu al niet meer. Dus ik haak af. :)
Sorry hoor, in officiële emails en op de officiële websites van dit soort diensten wordt vaak genoeg gezegd dat deze diensten nooit om je gegevens vragen en staat er hoe je phishing kan herkennen. Daarnaast mag je toch wel verwachten dat als het om bankzaken gaat dat men altijd wel sceptisch moet zijn als er gegevens worden gevraagd dat zijn ze namelijk ook offline mag ik hopen. "Ze hebben er niet veel verstand van" vind ik dan niet een goed genoeg excuus. Dan is juist voorzichtigheid geboden. Iedereen weet nu inmiddels wel wat er mogelijk is met computers en internet, ze doen immers bankzaken via een app. Als ze dit dan gebruiken dan mag je ook verwachten dat men zich er ten minste iets in verdiept. Als ze deze moeite niet willen nemen en er gebeurt zoiets als dit dan moeten ze zelf ook wel weten dat het eigen schuld is. De informatie over phishing herkennen is er en wordt hen zelfs gegeven.
Dat klinkt allemaal leuk en aardig. Je gaat alleen voorbij aan het feit dat banken dit massaal aan de man brengen, om zo hun kosten te drukken. Het zal hun een zorg zijn of jij als gebruiker er iets van snapt, of niet. Voor de keer dat het fout gaat, boeken ze (hopelijk) het bedrag terug. Er zullen altijd groepen blijven die er geen kaas van hebben gegeten, en makkelijk te verleiden zijn, die er de pineut van worden.
Er zijn hier ook genoeg slimme tweakers die een virus, malware enzo oplopen...sommige tuinen er ook in...illegaal films kijken en noem maar op. En die weten ook alles van regels en voorwaarden ;)
Niet iedereen is Tweaker maar wel iedereen (die een telefoon of tablet heeft) kan lezen. Als je inlogt bij welke bank dan ook, word je altijd in het begin gebombardeerd met WAARSCHUWING: kijk naar de afzender van een mail, zoek het telefoonnummer online, wij vragen niet naar tan-codes, enz.

Dan mag je wel niet zo technisch zijn als de gemiddelde nederlandse nerd, maar als je die waarschuwingen gewoon serieus neemt dan gebeurd je vrij weinig. Een kwestie van verantwoordelijkheid lijkt me.
Ach ja,...op schoonmaak artikelen staat ook de waarschuwing, buiten bereik van kinderen houden. Hoeveel mensen denk je doen dat ? Mensen worden op den duur blind voor al die waarschuwingen...to much input.
Dus je trapt eerst in de mail, dan moet je nog een app installeren en dan ook nog een als APK?

Pfff.
In veel custom ROMS staat bij default aan dat onbekende bronnen (dus een APK buiten de officiele appstore) geïnstalleerd mogen worden. Ben echter bang dat deze mensen zonder nadenken dit vinkje zelf hebben aangezet en vervolgens de app hebben geïnstalleerd. (Echter, Ik acht de kans niet zo groot dat deze doelgroep custom ROMS draaien).

[Reactie gewijzigd door FREAKJAM op 29 juni 2015 13:46]

Dit vinkje staat onder developer mode en die is al sinds 4.2 standaard verborgen dus onwetend kan je dit niet aanzetten.
veel mensen weten niet eens hoe je developer mode aan moet zetten.
en zelfs met dit vinkje aan moet je alsnog toestemming geven voor de installatie.
Dit vinkje staat ook gewoon onder instellingen - beveiliging, dus zo goed verborgen staat het niet. (Op mijn Nexus 5 met Android 5.1.1 in ieder geval).
Het vinkje staat onder beveiliging... Dan zou je al onder je neus moeten wrijven en afvragen wat je aan het doen bent....
Met de juiste instructie krijgen leken dat prima voor elkaar.
plus daar komt nog bij dat er nog genoeg oudere versies van android in omloop zijn.
Nieuw toestel voor opa/oma. Kleinzoon komt langs en zal de boel wel even instellen.... coole emoticons voor in de FB app natuurlijk moeten erop, helaas alleen via Baidu te vinden.. En daar gaat kleinzoon aan de slag... wel even de developer instelling veranderen want Baidu is geen Google Play.

Zo, damage done.
In veel custom ROMS staat bij default aan dat onbekende bronnen (dus een APK buiten de officiele appstore) geïnstalleerd mogen worden. Ben echter bang dat deze mensen zonder nadenken dit vinkje zelf hebben aangezet en vervolgens de app hebben geïnstalleerd. (Ik acht de kans niet zo groot dat deze doelgroep custom ROMS draaien).
Mensen die hier in trappen hebben echt niet een custom ROM draaien op hun telefoon of tablet. Als mensen wel een custom ROM zouden hebben draaien dan zouden ze namelijk ook (beter) op de hoogte zijn van phishing e.d.
Ik snap dan ook niet dat er bij de slachtoffers geen lampje ging branden toen ze zelf aan moesten vinken dat apps van 'Onbekende bronnen' geïnstalleerd mogen worden... :F
vergis je niet in de hoeveelhedi mensen die een custom ROM erop hebben laten zetten door iemand anders... Ik krijg met regelmaat ook vrienden/familie/kennissen die dan zeuren over een trage toestel waarbij het switchen van ROM echt een enorme uitkomst is ! Die mensen snappen er de ballen van hoe en wat, alleen dat ze even moeten wennen aan de nieiwe looks en dat het toestel opeens wel snel is...
Daar heb je een punt. Maar staat het 'toestaan van apps installeren vanuit onbekende bron' vaak al aangevinkt in ROM's dan? Dit zou ik dan een kwalijk punt vinden vanuit de makers van de ROM.

Maar zoals al aangegeven hier: tegen de naïviteit en stommiteit van sommige mensen kan je gewoon niet opboksen...
nou om eerlijk te zeggen weet ik niet precies of dat zo is bij elke custom ROM, maar als je bijvoorbeeld alle geinstalleerde apk's heb gebackupped naar je sd-kaart om ze vervolgens meteen weer te herrinstalleren heb je deze functionaliteit wel nodig !
En in hoeverre vind je het kwalijk te noemen ? Een boel custom ROMS komen ook geroot wat ook niet altijd als veilig gezien kan worden :P

[Reactie gewijzigd door TIGER79 op 29 juni 2015 13:40]

Ik snap dan ook niet dat er bij de slachtoffers geen lampje ging branden toen ze zelf aan moesten vinken dat apps van 'Onbekende bronnen' geïnstalleerd mogen worden
De meeste mensen lezen die tekst niet eens maar klikken direct op "ok" of "doorgaan", als het knopje groen is is het toch goed?
Het is alleen geen simpel op oké drukken, je moet zelf naar het instellingenmenu om deze optie aan te zetten.
Het is heel simpel. Wanneer een website probeert een APK te installeren, popt meteen het juiste deel van het instellingenmenu op waar je je akkoord kunt geven.

Veel bedrijven hebben een eigen 'app-store' waar bedrijfs-apps gedownload kunnen worden (bv. voor agenda, rooster of bedrijfsemail). Ook daarvoor moet je toestemming geven om installeren uit onbekende bronnen toe te staan. En eenmaal toestemming gegeven, blijft die mogelijkheid ook in de toekomst bestaan. (Of blijft nodig om de bedrijfs-apps te kunnen updaten.)
Ik ken er genoeg die ontbekende bronnen hebben aanstaan omdat ze dan Popcorn of een niet in de store staande of gekraakte app konden gebruiken. Vaak ingesteld door een ander.

Tja.
Hoe trap je in deze shit... :/
Vergeet niet dat er ook een hoop mensen zijn die slecht Nederlands spreken, zelden bankieren via internet, sowieso niet vaak op internet komen of gewend zijn om alles maar te accepteren omdat het dan tenminste werkt.
Iedereen moet tegenwoordig wel weten dat de bank je niet om dit soort gegevens vraagt via de mail! dat wordt nu al jaren gemeld via diverse media bronnen.
Ik snap dan nu, anno 2015, ook niet dat er nog mensen zijn die er in trappen
Ze vragen het ook niet via de mail maar via een website. De mail is alleen om mensen naar de website te sturen. Ik krijg van allerlei instanties mailtjes waarin staat dat ik hun website moet bezoeken, inclusief een link naar de website.
Mijn werkgever stuurt ook dat soort mailtjes. We proberen dat zo veel mogelijk zonder links te doen maar dan zijn er steevast mensen die de servicedesk bellen om vragen wat ze nu moeten doen. Zolang er talloze instanties zijn die wel linkjes per mail sturen zullen mensen er op blijven klikken.

Geen links per mail sturen is ook geen echte oplossing. Spammers blijven het toch wel doen en het is gewoon hardstikke handig. Hoe moet ik anders links doorgeven aan mensen?

In een ideale wereld zouden mensen leren om voor ze klikken eerst de link te bestuderen maar eigenlijk moet dat met iedere link op internet. Dat is ook geen manier van doen. Daarbij mist de meerderheid de achtergrond om een geode inschatting te maken. Ze moeten dus iedere keer lang nadenken en maken dan nog fouten, om het maar niet te hebben over mensen die even afgeleid zijn of zitten te suffen, die blijf je houden.
Ik heb ook zon phising mail van de IGN gehad van afgelopen keer.
Niet via website dus.
En ik ben niet eens klant bij ING

[Reactie gewijzigd door Dutch_CroniC op 30 juni 2015 10:21]

... gewend zijn om alles maar te accepteren omdat het dan tenminste werkt.
Dat is vooral het gevaar bij dit soort dingen inderdaad, dat de gemiddelde computer gebruiker zichzelf heeft aangeleerd overal vooral zo snel mogelijk doorheen te klikken.

Mogen ze wat mij betreft ook wel zo'n Postbus51 campagne voor doen, hoewel de "Hang op, Klik weg, Bel je bank" waar we 2 jaar mee doodgegooid zijn dus blijkbaar ook niet heel veel heeft geholpen.
Sommige mensen trappen overal in en kijken nergens na, die emails zijn al zo makkelijk te herkennen.
Ja je heb soms hele nette emails maar dan nog je kijkt naar de link, en dan staat er weblog.ing.abracadabra.com of iets en nog klikken mensen erop.
En jij denkt echt dat een bejaard persoon die net een nieuw android device is aangesmeerd dat gaat zien? Lekker makkelijk om vanuit je torentje het beter te weten...
Een bejaard persoon zal in de regel niet de optie "Installeren vanuit externe bronnen toestaan" aanvinken. Dit is vereist om de malafide app te installeren.
maar oma wil mischien wel wat leuke software hebben en laat dat kleinzoon erop zetten...
schuld van kleinzoon dus, niet van oma.
Alsof alleen bejaarden hier in trappen. Je moest eens weten hoeveel jonge mensen hier domweg in trappen. Het zijn niet enkel de ouderen die belazerd worden. Ook genoeg voorbeelden buiten de IT-wereld om waarin jongere mensen belazerd worden zonder dat ze het doorhebben.
Alsof alleen bejaarden hier in trappen.
Helemaal gelijk. Ik gebruik bejaarden alleen als een voorbeeld van een groep die duidelijk (gerechtvaardigd?) een probleem kan hebben met moderne automatisering. Daarmee wil ik niet zeggen dat andere bevolkingsgroepen altijd beter zijn. :)
De email ziet er behoorlijk legitiem uit. Vergis je niet dat mensen die er weinig verstand van hebben de email nog geloven ook. Zij weten niet waar je precies naar moet kijken om dit te verkomen.
Ja oké, maar deze mensen beschikken tevens over een Android device, wat aangeeft dat ze enigszins verstand hebben van apparatuur, in ieder geval beperkte kennis.
Verkoper: "Ja meneer, deze Samsung kan alles."
En dan hebben ze Android, zonder ook maar iets van een mobiel OS af te weten. Dus geen sprake van verstand van apparatuur. Gewoon goed verkooppraatje. Of gewoon omdat de buurman er ook een heeft, en dat is goed mogelijk want Samsung is het meest verkochte merk in Nederland.

Dus alle kans dat ze klikken op mailtjes en ga zo maar door.
De app werd gedownload vanaf een onbekende bron, zover ik weet moet je dit toestaan in de beveiligingsinstellingen van Android, zonder dit weigert hij hem te installeren.
De app werd gedownload vanaf een onbekende bron, zover ik weet moet je dit toestaan in de beveiligingsinstellingen van Android, zonder dit weigert hij hem te installeren.
Probleem is dat als die optie één keer is omgeschakeld, dat hij altijd is omgeschakeld tenzij de gebruiker hem zelf weer terug heeft gezet. Dat laatste is onwaarschijnlijk, omdat de gebruiker hier nooit toe gedwongen wordt.
wanneer je een onbekende app probeert te installeren dan krijg je een melding dat je settings moet aanpassen om hem te kunnen installeren, ik neem aan dat dat voldoende is voor de gemiddelde mens om dan te stoppen, maar nee, blijkbaar trapt 20% van de mensen hier in.
Dan kun je wel heel verwijtend reageren op deze situatie maar is dat eerlijk met de naïeve aanname dat men alles maar leest en begrijpt.
dan is er dus ook geen rede om medelijden met deze mensen te hebben, een contract teken je meestal ook niet zonder te lezen, al met al, zeer dom dat mensen er anno 2015 nog intrappen.

[Reactie gewijzigd door AHappyKoalaBear op 29 juni 2015 15:49]

Dat altijd omgeschakeld geld niet voor alle toestellen bijvoorbeeld mijn asus tablet blijft hij uitgeschakeld maar mijn Samsung telefoon niet.
ja maar als je dat bericht te zien krijgt op Samsung devices, staat er een link die direct naar dit vinkje lijdt en zo kan je je deze beveiliging vrij gemakkelijk uitschakelen.

dus daar heeft Samsung dus echt niet over na gedacht,

en net of een huis tuin en keuken gebruiker weet wat onbekende bron betekent, en wat de gevaren van onbekende bronnen zijn.
dus daar heeft Samsung dus echt niet over na gedacht
Juist heerlijk, ipv omslachtig helemaal moet stoppen met iets installeren door naar settings te gaan, en dan te zoeken waar het staat...
en net of een huis tuin en keuken gebruiker weet wat onbekende bron betekent, en wat de gevaren van onbekende bronnen zijn.
Nee maar er wordt wel kenbaar gemaakt dat het gevaarlijk kan zijn als je niet weet waar je mee bezig zijn. Voordat het vinkje daadwerkelijk om gaat moet je eerst nog een waarschuwing lezen over de gevaren :P

Sorry maar ik kan echt geen medelijden hebben met mensen die hier in trappen, ING blijkbaar wel, maar die zijn alleen maar van voor hun eigen naam :)

[Reactie gewijzigd door watercoolertje op 29 juni 2015 14:04]

Dat vinkje is niet gemaakt voor developers, en andere technici.. Maar juist om de gebruiker te beschermen. En een link naar dat vinkje toe helpt niet. En de tekst van deze waarschuwing is dus ook niet effectief.
En de tekst van deze waarschuwing is dus ook niet effectief.
Dat ben ik met je eens, maar moet Samsung dan maar oppas spelen? Nee mensen moeten is na gaan denken imho :)
oke, hier was ik niet bekend mee, dus zal het merendeel van de slachtoffers een samsung hebben :+
dat is met een paar keer op ja klikken ook opgelost.
zeker als je als app vooraf groot meld dat er een melding komt waar je op ja moet klikken.
mensen lezen geen waarschuwingen. die klikken op alles waar ja of ok op staat.
het liefst ook nog knipperend.
maar deze mensen beschikken tevens over een Android device, wat aangeeft dat ze enigszins verstand hebben van apparatuur, in ieder geval beperkte kennis.
Das natuurlijk onzin. Android is veruit het grootste mobile platform. De meeste gewone mensen hebben dus android, omdat het het goedkoopst is. En gewone mensen hebben over het algemeen niet echt verstand van apparatuur.
voor het installeren van apps met onbekende bronnen is een instelling vereist die aangepast dient te worden.
Dus? Gebruikers die weinig van het platform weten hebben meestal ook niet veel controle over hun device. Ze zijn allang blij dat de phoneshop om de hoek een paar 'gratis' apps heeft geinstalleerd zonder zich te beseffen dat er een belangrijke security setting uit is gezet. De meeste gebruikers weten echt helemaal niks over computers. Die zien zo'n ding gewoon als een appliance. En zo worden die dingen ook gemarket. Je ziet nooit bij een telefoonreclame dat je wel even om je securitysettings moet denken omdat anders het device virtueel geraped kan worden. Dat komt pas bij tros radar of boodschappen van algemeen nut aan bod.
Rare veralgemening. Ik zie niet in waarom een Android gebruiker meer kennis zou hebben van apparatuur dan een niet-Android gebruiker. Android phones (net als andere) gaan over de toonbank voor 6 tot 106 jarigen (bij wijze van spreken). Ze hebben er eens van gehoord, of zagen het Android icoontje op tv bij een app op een of andere affiche en kopen er een, enige kennis van iets heeft daar eigenlijk zeer weinig mee te maken. Die toestellen zijn ook kinderlijk eenvoudig in te stellen.

Het blijft me wel verbazen hoeveel mensen in dergelijke mails trappen. Moest het nu een app zijn recht in de Play Store die enorm op die van ING lijkt, maar het gaat hier zelfs over het bewust inschakelen van installeren uit onbekende bron en dat moet toch wel een weggever zijn. Bij mails van de bank en je weet het echt niet is het nog steeds veiliger om ze even te bellen ter verificatie. Minder moeite dan achteraf je geld terugkrijgen en goedkoper voor de bank ook.
Het blijft me wel verbazen hoeveel mensen in dergelijke mails trappen. Moest het nu een app zijn recht in de Play Store die enorm op die van ING lijkt, maar het gaat hier zelfs over het bewust inschakelen van installeren uit onbekende bron en dat moet toch wel een weggever zijn.
dit dus, een app van een bekende bank zul je nooit buiten de app store vinden, het verbaasd me dat mensen anno 2015 hier nog intrappen, het is een zeer achterhaald trucje wat blijkbaar gewoon nog prima blijkt te werken bij een groot aantal mensen.
Het verbaast je omdat je de aanname doet dat anderen net als jij weten/begrijpen dat dergelijke apps nooit buiten een app store te vinden zijn. Praktijk is echter dat er maar een paar regeltjes nodig zijn in een email waarin "de bank" uitlegt dat vanwege beveiliging de app juist niet daar te vinden is maar op een speciale eigen veilige locatie.
Voor veel mensen zal dat juist geloofwaardig klinken en al helemaal als de mail inclusief logo's en dergelijke naar hun idee daadwerkelijk van de bank is.
Ik denk dat er een hoop mensen die geen idee hebben wat er precies op hun telefoon gebeurd en allerlei onzin downloaden en op dingen klikken zonder stil te staan bij de risico's. Denk dat heel veel mensen niet eens stilstaan dat het bij hun telefoon kan gebeuren.
als het om bankzaken gaat dan lees de mail toch minstens 2 keer? En als ze je een onbekende app van een onbekende bron laten downloaden dan gaat er toch een belletje rinkelen? schijnt toch dat veel mensen hun app permissies uit hebben staan bij het downloaden van onbekende bronnen, als je deze functie weet te vinden op je telefoon dan schijn je er toch een beetje verstand van te hebben.
Hier ben ik het niet met je eens:
je stelt dat mensen met een Android Device (beperkte) kennis van apparatuur zouden hebben....

Nee.. Veel mensen willen een telefoon die voldoet aan de volgende eisen:
1. Je moet er mee op internet kunnnen
2. Je moet er candy crush op kunnen spelen
3. Hij mag niet te duur zijn

Apple is vaak al te duur dus kom je snel op een Android phone uit, wat ja, Windows telefoons heb je ook zo weinig keuze in......
Het betekent niet meer dan dat ze ¤10 per maand kunnen betalen voor een telefoonabonnement.
Heel Nederland heeft een mobiele telefoon, dat zijn ech tneit allemaal techneuten. Hordes mensen die hun telefoon vooral gebruiken om te bellen en één of twee apps draaien maar er verder niet veel van snappen.
Veel mensen zijn gewoon naïef, banken kunnen blijven roepen, maar nog......

Banken sturen NOOIT maar dan ook NOOIT e-mails met een verzoek tot het invullen van je mobielnummer of wachtwoord. Zodra er ook maar een van deze vragen in staat zal er al een alarmbel moeten rinkelen.

Banken informeren, maar horen niet om gegevens per e-mail te vragen.
Vragen ze wel om gegevens:

1. Controleer dan de afzender (is dit afzender@jouwbank.nl
2. Controleer of de tekst in correct NL is geschreven
3. Bel je bank ter verificatie (en haal het telefoonnummer van de website van je bank af!)
Kijk of de link waarop je moet klikken naar https://www.jouwbank.nl gaat of in elk geval op jouwbank.nl eindigt.
Kijk of de link waarop je moet klikken naar https://www.jouwbank.nl gaat of in elk geval op jouwbank.nl eindigt.
"ditiseenlinknaarjouwbank.nl"

En ja, er zijn voorbeelden van domeinen die voor de gemiddelde internetgebruiker bedrieglijk echt lijken.

De oplossing voor banken: gebruik geen email (zero tolerance beleid, screw de marketingafdeling) en adverteer dit ook naar buiten. Als er toch digitaal gecommuniceerd moet worden, dan laat je de communicatie verlopen via de veilige bankomgeving.
Dat is dus niet jouwbank.nl, dus niet op klikken.

Maar goed, alle communicatie over je account gaat ook alleen per post. Email is alleen marketing ja.
Juist, want in bijna alle mailtjes van tegenwoordig wordt er dan zo'n short url gebruikt waarbij je al niet kunt zien waar het werkelijk naar toe verwijst, en IMHO ga ik er van uit dat een bank nooit zo'n shorturl zal gebruiken...
Moet ie er zo uit zien?
rabobank.nl

[Reactie gewijzigd door watercoolertje op 29 juni 2015 14:06]

Dan weet je zeker dat ie niet klopt ja. Ga er met de muis overheen en je ziet het...
Mensen leren dat ze nooit op deze wijze moeten communiceren is nuttiger. Als het echt belangrijk is krijg je briefpost.
vaak hebben ze het email adres omgedraaid bijvoorbeeld ING@nieuwsbriefemail.nl
en voila veel mensen denken dat het een valide email adres is.
Ik had de mail ook gekregen.. echter een belletje naar de ing en ik wist voldoende...
Snap niet dat mensen in geval van twijfel niet gewoon contact opnemen met de bank ipv maar je gegevens invullen ...
Er is nog een hoop te leren voor de mens die niet veel van ict kent...
Dat je ze nog gaat bellen ook... ;)
Dat belletje was meer om de ing in te lichten dat er wat aan zat te komen voor hun...
Aha okee. Tsja, ik weet niet of die callcenter miep het uberhaupt begrijpt en doorgeeft, maar ik denk het niet. Maar sowieso aardig van je. :)
Vergeet ook niet hoe eigenwijs mensen kunnen zijn - ik had laatst nog een discussie met zo iemand over phishing, en mijn instructie was "Het is heel simpel: NOOIT op een link in een email klikken", waarna een hele batterij aan redenen volgde waarom ze het soms toch deed.

Zonder enige kennis van zaken, en met hele simpele en duidelijke instructies toch eigenwijs zijn. Dan verdien je het wat mij betreft ook.
Wat is de relatie tussen een Android device en kennis hebben van apparatuur?

Was laatst nog bij een dokter op bezoek en die moest even een verzekeringsinstantie bellen, ze wist niet eens hoe ze het toetsenbord te voorschijn moest halen om het keuzemenu door te gaan. En zo heeft mijn moeder ook een Android toetsel (en tablet) maar ik heb toch wel 10x moeten uitleggen dat wifi in het buitenland geen extra kosten met zich meebrengt (op betaalde hotspots na dan natuurlijk).

Binnen het bedrijf waar ik werk is een tijd geleden een phishing test gedaan om de mensen te testen. Toch nog een paar duizend man/vrouw die leuk op de link klikken en gegevens achterlaten en dat in een bedrijf dat enkel technische diensten verkoopt.
Makkelijk praten hoor, een hoop mensen weet weinig tot niets van het hoe, wat en waarom van de moderne technieken, net zoals de meesten hier geen open hartchirurgie (succesvol) kunnen uitvoeren.

Dit is een probleem dat de banken moeten oplossen, Men wil zo graag alles via internet zodat ze op personeel kunne bezuinigen. dat zorg ook maar dat het veilig is en dit soort zaken niet een schadepost voor de klanten zijn.
Makkelijk praten hoor, een hoop mensen weet weinig tot niets van het hoe, wat en waarom van de moderne technieken, net zoals de meesten hier geen open hartchirurgie (succesvol) kunnen uitvoeren.
Nee, maar zoiets basaals als niet je wachtwoord invullen als daarom gevraagd wordt in een mailtje zou iedereen toch moeten kunnen bedenken. Klinkt misschien hard, maar ik kan niet heel veel medeleven tonen met mensen die zich zo op laten lichten.
Misschien moet je het bericht eerst eens lezen? Als mensen een illegale installatie van Windows gebruiken met RAT erin dan zijn zij zelf verantwoordelijk. Als mensen Custom ROM's gebruiken waarbij je niet kunt overzien welke code er uitgevoerd kan worden door externe partijen dan zijn zij zelf verantwoordelijk. Als zij een functie aanzetten voor het toestaan van de installatie van apps uit onbekende bronnen dan zijn zij zelf verantwoordelijk. Dit zijn functies voor specialisten en niet voor iedereen om zo maar mee te rommelen. Dit staat dan ook duidelijk aangegeven bij de optie wanneer je deze wilt aanvinken.
Ja maar het was toch een mail van de bank, die zeiden dat ik dat moest doen..... 8)7

In alle communicatie van de bank staat dat ze je nooit om tan-codes ed. vragen. Maar toch trappen er altijd weer mensen in...

mensen snappen schijnbaar ook niet dat je kunt zien van wie de mail afkomstig is.
en INGbank@illtakeyrmoney.ru is natuurlijk een heel veilig e-mail adres......

[Reactie gewijzigd door 2bmws op 29 juni 2015 13:22]

mensen snappen schijnbaar ook niet dat je kunt zien van wie de mail afkomstig is.
en INGbank@illtakeyrmoney.ru is natuurlijk een heel veilig e-mail adres......
Dat is niet waar. Ik kan prima mailtjes verzenden namens 'mail@ing.nl' ook al ben ik het niet.
De mails die ik heb gezien (ING, Rabobank en ABNAmro) daar was de moeite niet eens genomen om een afzender adres te spoofen...
Dat zou bijna een filter kunnen zijn: wie toch nog doorklikt heeft klaarblijkelijk geen virusscanner, spamfilter etcetera EN is dus onbedachtzaam genoeg om target te zijn? Scheelt ze een boel bandbreedte en aandacht van te oplettende mensen...
Ja en nee, gelukkig zijn veel mailservers vandaag de dag wel een beetje beveiligd, zeker zulke mail servers (banken, grote firma's etc)

Daar komt vervolgens bij dat partijen als Google (Gmail) en Microsoft (Outlook, destijds nog MSN/Hotmail) al lange tijd kijken of de mailserver wel match'd met de bekende ip's ofzo, want als je bijvoorbeeld een mailtje via bill@microsoft.com stuurt werd ie 5 jaar geleden al meteen geflagged als spam in die 2 mail diensten (en waarschijnlijk bij nog een stuk meer mail providers)

[Reactie gewijzigd door olivierh op 29 juni 2015 14:13]

Ja dat klopt wel, maar alleen om aan te duiden dat de afzender van het mailadres dus niets zegt over de afkomst van de mail.

En al staat er een spam-vlag bij een mailtje. Als er als afzender 'info@ing.nl' staat met als onderwerp 'uw creditcard dient geactiveerd te worden' weet ik zeker dat er genoeg mensen zijn die erin tuinen.
De enige manier om dit op te lossen is dat de banken er (zelf) voor zorgen dat "het niet fout kan gaan".
Opvoeden van gebruikers is gedoemd. De meeste gebruikers zijn gewoon naief en/of niet zo slim.

Als/wanneer jij een uniek en (technisch en financieel) uitvoerbaar idee hebt dat "waterproof" is, dan willen banken (of Google) daar echt wel voor betalen.

Het zou mij niet verbazen als banken bijvoorbeeld aan het kijken zijn of zijde nieuwe NFC "enabled" bankkaarten kun koppelen aan de gebruikers hun eigen smart phone. (Als aanvulling op de 5 cijferige PIN code.
Alleen ziit NFC alleen nog maar in de duurdere smart phones. En heeft NFC zijn eigen risico's.
De enige manier om dit op te lossen is dat de banken er (zelf) voor zorgen dat "het niet fout kan gaan".
Dat kan alleen door inloggen niet meer toe te staan. Hoe goed je de beveiliging ook maakt, mensen vinden altijd wel een manier om het te omzeilen om toch onveilige handelingen uit te voeren.
Jij hebt helemaal gelijk. Daarom ook tussen qoutjes "dat het niet fout kan gaan".
Ik wil alleen maar aangeven dat het nu wel erg makkelijk is of lijkt te zijn.
En dat een up-to-date anti-virus (die altijd gedateerd is) e.d. van de klant eisen niet "de oplossing" is.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True