Twee Nederlanders roofden bankrekeningen leeg via Tikkie-phishingsite

Twee Nederlanders van rond de achttien jaar uit Oosterhout (NB) hebben bankrekeningen leeggeroofd met behulp van een phishingsite, die exact leek op een pagina van betaaldienst Tikkie. Zij onderschepten inloggegevens door de link door te sturen via Marktplaats.

Vermoedelijk beschikten zij niet alleen over een nagemaakte Tikkie-site, maar ook over nagemaakte inlogsites voor banken. De tieners kwamen bij slachtoffers door advertenties te plaatsen via Marktplaats. Na WhatsApp-contact stuurden de oplichters een nagemaakte Tikkie-link om een eurocent over te maken, om vertrouwen te kweken. Toen de beoogde slachtoffers wilden inloggen bij hun bank, kregen ze foutmeldingen. De criminelen gebruikten de buitgemaakte inloggegevens van de slachtoffers om geld van de rekening te halen, meldt de politie.

Er zijn in totaal 42 aangiftes van slachtoffers. Zij hebben vermoedelijk een nagemaakte webpagina aangezien voor de app van hun bank; het contact verliep via WhatsApp en dus gebruikten de slachtoffers vermoedelijk een smartphone. De dienst Tikkie is in gebruik om betaalverzoeken te sturen naar andere mensen via WhatsApp.

De twee verdachten zijn aangehouden na een maandenlang onderzoek naar de zaak. Eerder vond al een inval plaats bij de oplichters om computers in beslag te nemen. De politie vermeldt niet precies hoe oud ze zijn, maar vermeldt dat ze beide zijn geboren in 1999.

IT-banen

Reacties (173)

We Are Borg Moderator Wonen & Mobiliteit / General Chat 25 oktober 2017 18:07

Na alles gelezen te hebben snap ik het proces nog steeds niet. Kan iemand het uitleggen? Stel Rabobank:

Inloggen met rekeningnummer, pascode en image challange (via random reader). Dat via de nep tikkie laten lopen snap ik. Hiermee kan de kaper inloggen. En dan? Geld overmaken vereist bij de Rabobank dat je opnieuw je random reader gebruikt, dus een tweede keer! Wellicht is dat zoals in het artikel wordt omschreven de “foutmeldingen” en ga je dus een tweede keer door het proces. Maar dan dan staat het bedrag in je reader wat je moet bevestigen. Daar lees je dan even overheen?

ING inloggen is eenvoudiger via de nep app. Maar voor de betaling is een sms nodig. En daarin staat het bedrag weer vermeld. Dus je voert die challenge code toch nooit in op de nep app?

[Reactie gewijzigd door We Are Borg op 23 juli 2024 05:13]

cruysen @We Are Borg • 25 oktober 2017 19:05

Het kan zijn dat de 'crimineel' de gegevens overneemt die jij op hun 'nepsite' invult.. De 'echte' site vraagt dan een een verificatiecode. Die vul jij dan weer in. Echter Jij komt niet verder, terwijl de 'crimineel' op dat moment ingelogd is en toegang heeft tot je account. Hij maakt een overboeking gereed. Dan komt er weer een bevestigingscode. Die wordt op de 'nepsite' als 2e inlog gegeven. Die vul je dan weer in om toch proberen in te loggen. En weg is je geld..

Zo eenvoudig zou het kunnen.

R4gnax @cruysen • 25 oktober 2017 19:49

Zo eenvoudig zou het kunnen.

Alleen als je bij een bankt zit met een slechte 2FA beveiliging.

De degelijke beveiligingen met losse kastjes zoals bijv. de Rabobank heeft, maken bijv. expliciet onderscheid tussen codes voor inloggen of ondertekenen van transacties.

Of ze tonen bij transacties eerst een tussenscherm met rekeningnummer en naam begunstigde; plus over te maken bedrag, wat expliciet bevestigd moet worden voordat een gebruiker de challenge response te zien krijgt.

Je moet echt flink dom zijn om dan nog gepakt te worden.

kftnl @R4gnax • 25 oktober 2017 22:47

Bij ING staat bij je SMS code precies wat het is, hoe veel en aan wie. Bij cardreaders staat de info er slechts cryptisch tussen en lees je er sneller overheen. In beide gevallen blijf je natuurlijk mensen houden die niet lezen en klakkeloos de code overtikken.

nils7 @kftnl • 26 oktober 2017 07:16

Bij de rabo komt altijd naar boven hoeveel en naar wie.

414524 @nils7 • 26 oktober 2017 08:18

sterker nog: als die buitmakende knaap met jouw 1 cent overschrijving image probeert om 10.000 te jatten dan werkt het niet: die code uit die image is gekoppeld aan bedrag, rekeningnummer, en jouw eigen gegevens.

Pinkys Brain @kftnl • 26 oktober 2017 09:21

De raboscanner is niet cryptisch meer te noemen, staat gewoon bedrag en rekening (of naam voor bedrijven) op het scherm.

Heeft wel lang geduurd voordat deze oplossing er was, voorgaande modellen waren inderdaad niet heel zinvol. En sms werkt ook prima (zolang je niet bankiert via dezelfde telefoon).

[Reactie gewijzigd door Pinkys Brain op 23 juli 2024 05:13]

Maarten21

@R4gnax • 25 oktober 2017 21:59

Bij ABN kan je je inloggen en een betaling goedkeuring dmv slechts een 5-cijferige code (zelfde die je voor mobiel bankieren gebruikt), zolang je onder een bepaald bedrag zit.

Best makkelijk dus om slechts die 5-cijferige code af te vangen dmv een phishing site (waarvan alleen de inlog pagina werkend hoeft te zijn).

logix147 @Maarten21 • 26 oktober 2017 08:08

Dat heb je dan ook zelf ingesteld aangezien ik alleen kan overmaken dan als ik eerder met kastje een overboeking gedaan heb. Dus mijn cijfercode mag je best weten ;-) buiten mijn saldo kom je niet ver.

mjz2cool @R4gnax • 26 oktober 2017 08:25

hoe goed 2fa ook is, als je op een nepsite komt die er betrouwbaar uitziet zullen de meesten al minder goed opletten. het enige wat zo'n site dan hoeft te doen is zorgen dat ze die 2 codes binnenkrijgen, zoals @cruysen al zegt.

R4gnax @mjz2cool • 28 oktober 2017 16:53

hoe goed 2fa ook is, als je op een nepsite komt die er betrouwbaar uitziet zullen de meesten al minder goed opletten. het enige wat zo'n site dan hoeft te doen is zorgen dat ze die 2 codes binnenkrijgen, zoals @cruysen al zegt.

Als gebruikers op dat moment eerder gegeven instructies voor het gebruik van het 2FA apparaatje naast zich neerleggen, of negeren dat het apparaatje aan hun laat zien dat ze bezig zijn een transactie voor X EUR naar rekening Y goed te keuren, dan maakt het niet uit wat je nog aan beveiliging toe gaat voegen.

Probleem daar is de gebruiker, niet de methode.

mjz2cool @R4gnax • 30 oktober 2017 08:16

dat is wat ik ook zeg, hoe goed de beveiliging ook is, als de gebruiker niet goed oplet heb je het zo voor elkaar

R4gnax @mjz2cool • 30 oktober 2017 19:18

dat is wat ik ook zeg, hoe goed de beveiliging ook is, als de gebruiker niet goed oplet heb je het zo voor elkaar

Dat heeft weinig meer met 'niet goed opletten' te maken.
Meer met 'totaal niet' opletten.

Zit toch wel een nuance verschil.

djwice

@R4gnax • 28 oktober 2017 15:58

Even wat nagedacht. Als je al eerder geld overgemaakt hebt naar een bepaalde rekening wordt het risico profiel bij sommige banken verlaagt. Stel nu dat de eerste transactie een legitime is van €0,01 ...
Die gaat goed op de achtergrond maar laten ze als m.i.m. falen, de tweede betaling is dan meer vertrouwd en kan met de login-code van de app goedgekeurd worden.

R4gnax @djwice • 28 oktober 2017 16:51

Even wat nagedacht. Als je al eerder geld overgemaakt hebt naar een bepaalde rekening wordt het risico profiel bij sommige banken verlaagt. Stel nu dat de eerste transactie een legitime is van €0,01 ...
Die gaat goed op de achtergrond maar laten ze als m.i.m. falen, de tweede betaling is dan meer vertrouwd en kan met de login-code van de app goedgekeurd worden.

Dan zit je app dus gewoon fout in elkaar en maak je niet gebruik van een deugdelijke 2FA die het bedrag en rekeningnummer begunstigde in de challenge code voor de signeer-actie verwerkt.

djwice

@R4gnax • 28 oktober 2017 23:51

Zelfs als je dat doet, gaat zo'n m.i.m. nog op. Het gaat er om hoe definieer je Risk level gecombineerd met zo soepel mogelijk kunnen betalen. Dat laatste zorgt er voor dat geld waarde houd (gebruikt wordt in de economie).

Jasper Janssen @R4gnax • 29 oktober 2017 18:18

Dat tussenscherm zie je zelf niet, dat ziet & bevestigt de scammer. En ja, de challenge voor het overmaken van 5000 euro is anders dan voor het overmaken van 1 cent -- maar je wilt niet de mensen de kost geven die dat niet weten en/of er niet over nadenken.

Losse kastjes zijn niet een inherent betere beveiliging dan SMS codes.

R4gnax @Jasper Janssen • 30 oktober 2017 19:16

Dat tussenscherm zie je zelf niet, dat ziet & bevestigt de scammer. En ja, de challenge voor het overmaken van 5000 euro is anders dan voor het overmaken van 1 cent -- maar je wilt niet de mensen de kost geven die dat niet weten en/of er niet over nadenken.

Losse kastjes zijn niet een inherent betere beveiliging dan SMS codes.

Jij hebt een paar dingen verkeerd begrijpen en een paar andere dingen roep je veel te voorbarig iets over.

Dat tussenscherm zou op het losse kastje verschijnen waar jij je pas in moet steken en de challenge response op moet genereren. Bijv. de Random Scanner van de Rabobank doet dat.

En als je zo'n tussenscherm niet hebt, dan implementeer je de challenge juist wel anders. Door het over te maken bedrag onderdeel te maken van de invoer voor de challenge bijvoorbeeld. Dan werkt een code die opgezet wordt voor een transactie van 1 EUR dus niet voor 5000 EUR. Dat is iets wat bijv. de oude Random Reader van de Rabobank doet.

Verder zijn zulke losse kastjes inherent een veel; veel betere 2FA beveiliging dan SMS codes, aangezien SMS tegenwoordig een makkelijk te onderscheppen protocol is. Daarnaast is het zo dat SMSjes die binnenkomen op bijv. smartphones afgeluisterd kunnen worden als er malware op de smartphone aanwezig is. (En ja; er is specifiek banking trojan malware die naar dat soort SMSjes luistert.)

[Reactie gewijzigd door R4gnax op 23 juli 2024 05:13]

R4gnax @nieuwveen • 25 oktober 2017 21:11

Bij de vorige versie zonder kleuren code werkte deze methode nog bij de rabobank

Dat heb je dus fout.

De oudere Random Reader maakte expliciet onderscheid tussen inlog-codes en signeer-codes. Deze werden apart ingegeven via aparte toetsen op het apparaat en je kon het ene type code niet voor het andere doeleinde gebruiken.

Daarnaast stond in de handleiding voor gebruik van internetbankieren vermeld dat zaken zoals rekeningnummer begunstigde of over te maken bedrag als 2e en/of 3e controlegetal zouden kunnen dienen bij het signeren van transacties.

Je moest dus ook vroeger al als Rabobank gebruiker gewoon verdomd dom bezig zijn om hier de boot mee in te gaan.

[Reactie gewijzigd door R4gnax op 23 juli 2024 05:13]

batjes @R4gnax • 26 oktober 2017 00:03

Je hoeft niet dom te zijn, beetje jammer dat mensen zo afgezeken worden.

9/10 mensen zijn niet technisch onderlegd. Die zien het verschil niet tussen een nep link en een echte. Dit is sinds het begin van het internet een probleem en zal het altijd blijven.

Als mijn oma in dit soort geintjes trapt, ga ik haar niet dom noemen omdat ze moeite heeft met het snappen van de huidige technologie. IT en techniek is voor de meeste mensen iets magisch.

Daarnaast, zijn er nog steeds een boel mensen gewoon goedgelovig, wat niet per se een slechte eigenschap is. Als iedereen overal maar argwaan voor moet hebben, wordt de maatschappij echt niet beter van.

houseparty @batjes • 26 oktober 2017 07:11

Zo heel moeilijk is het niet om het ook aan een omaatje uit te leggen hoor:

Groen slotje? Ja = OK. Nee = wegwezen.

MaffeMaarten @houseparty • 26 oktober 2017 09:03

Groen slotje zegt helemaal niks meer tegenwoordig. Is eigenlijk ook stom geweest dat "we" dat ooit zo uitgelegd hebben, want nu wordt elke site vertrouwd omdat ze hun server goed kunnen configureren en een Let's Encrypt scriptje kunnen draaien.

Kurai Hoshi @MaffeMaarten • 26 oktober 2017 10:13

Of gewoon een groen slotje op de site zelf zetten, genoeg mensen die dan niet verder kijken omdat ze half hebben onthouden "groen slotje is vertrouwd" en dat dat dan in de adresbalk had horen te staan is te technisch voor ze..

JurGor @houseparty • 26 oktober 2017 14:06

Klopt. Zo moeilijk is het inderdaad niet. En daarom werkt phishing vooral op basis van de wet van de grote getallen. En niet zozeer op de intelligentie van de gebruiker. Des te groter de vijver waar je in vist, des te groter het aantal mensen dat er om velerlei redenen toch intrapt. Hoe onwaarschijnlijk soms ook.

Dus niet aankomen met omaatjes, dome mensen, leken, en weet ik wat allemaal. Het zijn gewoon internet gebruikers zoals jij, ik, je buren, je familie. Meestal trappen we hier niet in, maar soms hebben we een moment van onoplettendheid en is de misleiding op dat moment van zwakte net iets te goed.

Phishing is gewoon vissen met een net met heule, heule grote mazen. De vissen die erin blijven hangen zijn niet dom, ze hebben domweg pech. Des te groter de getallen des te beter, dan kan je zelfs met een net vissen waar een beetje visser de tranen van in de ogen zouden springen. Getuige de vele spelfaudten in phishingpogingen, knullige formuleringen, enz. Je prikt er zo doorheen. Tot die kwade dag dat je door samenloop van omstandigheden (het is zelden een ding op zichzelf) er toch in trapt.

Niets menselijks is ons vreemd.

batjes @houseparty • 26 oktober 2017 07:15

Ja dat is het wel.

Ik ben zelf best goed op de hoogte van alle phising bullshit op het web, maar het is mij ook een paar keer bijna voorgekomen.

Er hoeft maar 1 moment te zijn dat je niet oplet, en je bent de sjaak. Iedereen maakt fouten, om ze daarom dom te noemen gaat mij wat te ver. Je bent pas dom als je dezelfde fouten opnieuw maakt.

houseparty @batjes • 26 oktober 2017 07:40

Nou, nee?

In dit geval vullen mensen dus weer eens gegevens in op een nep site. Aangezien 9 van de 10 phishing websites geen TLS certificaat hebben is zo'n site dus meestal gemakkelijk te identificeren. Ook mensen die digibeet zijn kun je gemakkelijk leren dat de site van hun betaaldienst voorzien is van een "groen slotje".

https://www.seniorweb.nl/tip/tip-herken-een-veilige-website
https://veiliginternetten...otje-en-groene-adresbalk/

Het gaat inderdaad wat te ver om iedereen die in dit soort phishing trapt dom te noemen. Maar anderzijds is het natuurlijk wel zo dat je ook iets van mensen mag verwachten. Ze zijn immers ook in staat om zelf hun voordeur op slot te doen, en dat hebben ze ook ooit eens aangeleerd. Als je ze een paar basis feitjes leert, dingen waar ze op moeten letten, dan moeten ze prima in staat zijn om "veilig" hun zaakjes online af te handelen.

batjes @houseparty • 26 oktober 2017 07:53

Dan niet joh.

Ik ben best security bewust, maar op een lamme dag ook een keer bijna op een fake mijn.ing.nl ingelogd, zag nog net op tijd (voor het invullen van login) dat de groene balk in de urlbar ontbrak. Gewoon omdat ik lui was, ik verwachtte een mailtje van de ING, kreeg dezelfde dag ook een scam email wat er iets te veel op leek en BAM, ik was bijna de pineut.

Je hoeft maar 1 keer, even niet op te letten. En je bent de sjaak. Dat overkomt genoeg doorwinterde Tweakers zelfs, laat staan de oma's en opa's voor wie IT een stukje magie is.

De voordeur op slot doen, slechte vergelijking. De meeste mensen doen hun voordeur niet op slot. Ik niet, mijn hele straat niet.

mphilipp @batjes • 26 oktober 2017 11:12

Misschien je policy aanpassen. Ik gooi standaard elk mailtje van de bank weg en ga zelf naar de site. Belangrijke mededelingen staan daar. Reklame is nooit interessant, dus die kan ik zo wegkiepen. Gewoon NOOIT, NOOIT en NOOIT op een link in een mail klikken die naar je (any) bank gaat. Simpel.

batjes @mphilipp • 26 oktober 2017 11:17

Ik verwachtte een mail van de ING, ik had wat aangevraagd. Dat scam mailtje kwam dezelfde dag binnen. Ik klik ook niet zomaar op links in mailtjes, tenzij ik ze verwacht. Zoals registeren enzo, als ik dan erna een mailtje binnen krijg, als de afzender klopt, ram ik gewoon op de link hoor en ga ik het echt niet overtikken.

ING stuurt verder geen random mailtjes of nieuwsbrieven, normalitair krijg ik dus ook geen post van de ING.

batjes @houseparty • 26 oktober 2017 08:13

Je begrijpt het niet.

iedereen heeft zulke niet oplettende moment, de 1 wat meer dan de ander, maar ook jij hebt dat. Niemand is veilig voor phising, we hebben allemaal onze zwaktes.

Het slot op de voordeur is juist wel een correcte analogie. Mensen hebben ooit geleerd waarvoor het dient: als je er niet bent dan sluit je dat slot zodat je weet dat jan en alleman niet zomaar naar binnen kan wandelen.

Het weten, en de uitvoering hiervan zijn 2 verschillende zaken.

Ik ken eigenlijk niemand die zijn deur op slot draait als deze zijn woning verlaat, tenzij die voor een week of meer op vakantie gaat. Mensen doen het niet want "ze gaan er vanuit dat het wel goed zit".

Hetzelfde geld voor inloggen op een website. Men gaat er -te- makkelijk vanuit "Ziet er betrouwbaar uit, zal wel goed zitten". Al informeer je iedereen nog zo goed, tot ze het kunnen dromen, er zullen mensen in trappen. Gewoon omdat we mensen zijn, we maken fouten, letten wel eens niet op, doen domme dingen....Daarom is social engineering al sinds dag 1 van de hackers scene, de manier om ergens binnen te komen.

R4gnax @batjes • 26 oktober 2017 19:49

Ik ken eigenlijk niemand die zijn deur op slot draait als deze zijn woning verlaat, tenzij die voor een week of meer op vakantie gaat. Mensen doen het niet want "ze gaan er vanuit dat het wel goed zit".

Echt iedereen die ik ken draait z'n deur op slot, tenzij het voor zoiets korts is als even het vuil aan de straat te zetten. Zelfs kennissen die in appartementen-complexen achter een extra gesloten voordeur van het pand zelf wonen, draaien alsnog hun eigen voordeur op slot.

Is mijn kennisenkring dan de vreemde uitzondering, of de jouwe?

batjes @R4gnax • 26 oktober 2017 20:27

Gokje, randstad?

R4gnax @batjes • 26 oktober 2017 20:30

Gokje, randstad?

Nee; heel ver van die criminele beerput verwijderd.

batjes @R4gnax • 26 oktober 2017 20:58

Ik woon er ook ver buiten, in het centrum van een gemiddelde stad ~50k inwoners. Vrijwel niemand bij mij in de straat draait de deur op slot bij het verlaten van het huis, familie leden en vrienden ook niet, zitten er zelfs tussen die de achterdeur niet eens op slot doen. Huizen met kinderen die touwtjes uit de brievenbus laten hangen (ook als paps en mams aan het werk zijn).

Tijdje in de randstad gewoond en daar viel het me juist enorm op dat de meeste mensen bij het als laatste naar buiten stappen, de deur op slot draaien.

t link @houseparty • 26 oktober 2017 14:38

domme dingen doen en dom zijn is anders. Het groene slotje is overigens echt totaaaal geen goed idee om als vertrouwd vs niet vertrouwd te bestempelen, het verzekert je enkel dat het verkeer tussen de server en jou niet onderschept kan worden zonder geldige sleutel, niet dat de server is wie die zegt dat ie is.

R4gnax @batjes • 26 oktober 2017 19:37

Je hoeft niet dom te zijn, beetje jammer dat mensen zo afgezeken worden.

9/10 mensen zijn niet technisch onderlegd. Die zien het verschil niet tussen een nep link en een echte. Dit is sinds het begin van het internet een probleem en zal het altijd blijven.

Ten eerste: dom bezig zijn is niet hetzelfde als in zijn algemeenheid dom zijn.

Ten tweede: heeft dit niets te maken met nep links en echte links uit elkaar kunnen houden, maar heeft dit alles te maken met de handleiding van je Random reader niet gelezen te hebben.

Via dat materiaal werd je in duidelijk begrijpbare taal voorgelicht over de aard van de in te voeren kengetallen, incl. de oorsprong van 2e en 3e kengetal. En er werd duidelijk verschil gemaakt tussen de (i) knop voor inloggen en de (s) knop voor het signeren van transacties.

Als een site je gaat vragen om met de (s) knop in te gaan loggen (en deze de verder in te voeren kengetallen daarbij laat maskeren als gefaalde inlogpogingen met de vraag het opnieuw te proberen); en jij op dat moment toch die duidelijke instructies van de bank over het gebruik van de reader moedwillig naast je naarlegt; tja, ---

dan ben je in oer-simpel Nederlands gesteld: gewoon dom bezig.

[Reactie gewijzigd door R4gnax op 23 juli 2024 05:13]

Kain_niaK @cruysen • 26 oktober 2017 04:28

Ja met een man in the middle attack kun je erg veel. Daarom dat random reader systemen normaal ook vragen om het bedrag in te typen (vanaf een zeker hoogte). Dan werkt de man in the middle attack niet meer en kunnen ze alleen een klein bedrag stelen.

SinergyX @We Are Borg • 25 oktober 2017 18:11

Daarom denk ik dat het selecte banken zijn, voor hun een trial&error, ze zullen er altijd eentje vinden waar het wel goed gaat.

Aftansert @We Are Borg • 25 oktober 2017 21:29

Ik zat hier, los van dit verhaal, laatst ook over na te denken. Zou je niet het adresboek met bekende rekeningen hier voor kunnen misbruiken? Je kijkt of het slachtoffer elke maand handmatig een grote betaling doet zoals huur, en daarvan verander je het rekeningnummer in het adresboek. Zolang het adresboek elk rekeningnummer bij elke naam accepteert (dat was tot voor kort zo), voert het slachtoffer zelf de 2FA stap uit met een correct bedrag.

Meer richting dit verhaal zou het kunnen zijn dat de twee dieven de persoonlijke informatie in het rekeningoverzicht hebben gebruikt voor verdere phishing-aanvallen.

[Reactie gewijzigd door Aftansert op 23 juli 2024 05:13]

killzonex @We Are Borg • 25 oktober 2017 21:54

Waarom is ing makkelijker? Krijg nog steeds een sms met een code voor betalingen...

njitter 25 oktober 2017 17:40

Hier wat voorbeelden van hoe zo'n gesprek verloopt:

https://www.fraudehelpdes...ikkie-misbruikt-phishing/

nieuwveen @njitter • 25 oktober 2017 21:03

in het voorbeeld zie je dat er wordt gevraagd naar ABN, laat ABN bij het betalen niet duidelijk zien hoeveel je betaald?

mjz2cool @nieuwveen • 26 oktober 2017 08:29

dat doen de meeste banken denk ik, maar als je daar niet op let (als je een website vertrouwd) trap je er zo in.

Andyk125 @njitter • 26 oktober 2017 09:21

Misschien iets wat Tweakers ook even kan toevoegen aan het artikel voor diegene die het niet begrijpen of bekend zijn met de app.

Toch wordt het tijd dat dit soort mensen keihard gestraft worden! Tegenwoordig is het gewoon een lachertje wat mensen krijgen voor het oplichten van hun medemensen, als ze überhaupt gepakt worden. Want de meeste oplichtingszaken worden helemaal niet opgepakt door de politie.

Ik schrik bij dit artikel vooral van de leeftijd eerlijk gezegd. Als men op die leeftijd al door heeft dat men makkelijker geld kan verdienen door mensen op te lichten bied dit weinig goeds voor de toekomst. Ben ook zeer benieuwd om hoeveel geld het in totaal gaat, het is namelijk zo dat ze de rekeningen hebben geplunderd. Ook vraag ik mij af hoeveel mensen de jongens nog tijdens het maandenlange onderzoek hebben opgelicht, en of men het geld ook daadwerkelijk terug krijgt en hoe snel.

Ik snap dat de politie onderzoek doet en een zaak tegen de jongens wil starten, maar als ze al maanden weten dat ze dit doen is het dan niet zo dan men snel moet ingrijpen voordat er meer slachtoffers vallen, bij 20 mensen moet men toch al wel genoeg weten? Dit is weer een probleem van ons rechtssysteem en daarom mogen de straffen voor dit soort praktijken veel en veel zwaarder. Ook is het niet verkeerd dat de politie op scholen of zo jongeren beter informatie verschaft over wat de consequenties kunnen zijn als men gepakt wordt voor fraude en oplichting en wat dit kan doen met hun toekomst.

[Reactie gewijzigd door Andyk125 op 23 juli 2024 05:13]

Finwe 25 oktober 2017 17:32

Zijn er serieus nog banken die geen 2FA gebruiken voor dingen als geld overmaken?

Edit nav aantal reacties hieronder: ik nam aan dat alle banken het bedrag van de transactie wel aangeven bij de 2FA, zodat je kan doorhebben dat je wordt opgelicht: immers staat in de 2FA bevestiging (SMS, app) het *echte* bedrag, en niet de 1 cent. Als er echter banken zijn waar de 2FA niet het bedrag laat zien, dan is het inderdaad makkelijk om hierin te trappen.

[Reactie gewijzigd door Finwe op 23 juli 2024 05:13]

hiostu @Finwe • 25 oktober 2017 17:38

Jawel, maar ze laten de gebruikers dus op de nep site het rekeningnummer en pasnummer invullen. Die vullen ze zelf in bij een verzoek naar de echte bank website. Zij krijgen een challenge code, sturen die challenge code door op de fake website naar de gebruiker. Die voert de code in op de random reader of iets dergelijks en krijgt een response code. Deze respons code wordt vervolgens door het systeem in de echte transactie ingevoerd om het uit te voeren.

Althans, ik vermoed dat er zoiets is gedaan. Het is een vrij simpele man-in-the-middle aanval waarbij de verkeerde informatie getoond wordt aan de gebruiker en het echte vraag-en-antwoord spelletje wordt doorgesluisd naar de legitieme website die de nep site zelf benaderd.

Finwe @hiostu • 25 oktober 2017 17:40

Ah ok, ik ben het systeem van ING gewend waarbij in de 2FA altijd het bedrag vermeld staat (ofwel in de SMS, ofwel in de app). Als dat niet zo is is het lastiger te ontdekken inderdaad.

Sfynx @Finwe • 25 oktober 2017 17:51

Bij de Rabobank staat het bedrag en de ontvanger ook op je scanner wanneer je de authenticatiecode krijgt, als je dat dan vervolgens gewoon negeert moet de verantwoordelijkheid van de bank m.i. ophouden.

MsG @Sfynx • 25 oktober 2017 18:21

Het ging hier om 1 cent om betrouwbaarheid te garanderen, vandaar dat het eenvoudig te misbruiken was.

Sfynx @MsG • 25 oktober 2017 18:59

Ok, dan ben je 1 cent kwijt, maar de transacties erna moet je ook gewoon weer autoriseren?

j1b2c3 @Sfynx • 25 oktober 2017 20:15

ABN AMRO gebruikt een 5 cijferige pincode die je dan voor alles kunt gebruiken niks 2 traps autorisatie zo wel voor de website als voor de app....

ASS-Ware @j1b2c3 • 25 oktober 2017 20:30

ABN AMRO gebruikt een 5 cijferige pincode die je dan voor alles kunt gebruiken niks 2 traps autorisatie zo wel voor de website als voor de app....

ABN Amro vraagt of je de app wil starten en die geeft duidelijk aan hoeveel je overmaakt voor je je pincode of vingerafdruk geeft.

logix147 @j1b2c3 • 26 oktober 2017 08:14

Wederom stel JIJ dit als gebruiker van ABN dit zelf in... dus dan zorg je echt zelf voor een slechtere beveiliging ;-) ik kan met mijn vinger/5 cijfer code alleen geld overboeken naar mensen die in mijn adresboek staan. Mensen in mijn adresboek toevoegen kan alleen met pin+kastje.

MsG @Sfynx • 25 oktober 2017 19:45

Ik zou zeggen, lees het artikel eens. Juist bij het overmaken van die 1 cent logde het slachtoffer in op een phishing-tikkiepagina. Hierdoor hadden de oplichters daarna vrij spel omdat ze de log in hadden van de slachtoffers. Weet alleen niet hoe ze precies de 2FA of anders de autorisatie met zo'n rabo-scanner eenzijdig konden intrekken.

Kubie90 @MsG • 26 oktober 2017 07:44

Die domeinnamen worden dus gewoon verhandeld, zie
https://undeveloped.com/n...pen/.online/tikkie.online

Dezelfde verkoper verkoopt ook DigiD.online...

borft @Finwe • 25 oktober 2017 17:46

zo werkt het bij de rabo ook, je krijgt in beeld het bedrag van de transactie en ook de naam van de ontvanger

supersnathan94

@Finwe • 25 oktober 2017 17:52

Rabo doet dit ook. In de QR code worden allerlei gegevens opgelsagen waarmee je de transactie kunt checken (zoals bedrag rekekeningnummer en naam)

Lednov @Finwe • 25 oktober 2017 17:37

Mensen blijven nonchalant overal maar op klikken zonder 2 seconden na te denken. Dus wat je als beveiliging er als bank in stopt maakt niets meer uit dan.
De eind gebruiker doet roekeloos en gaat dan bij de bank uithuilen.

Ampix @Lednov • 25 oktober 2017 17:48

Met 2FA is het toch onmogelijk voor de oplichter om geld over te maken zonder dat jij bevestingssmsjes naar ze doorstuurt?

Hoe dit bij mij zou gaan (ASN):

1. Oplichter jat m'n inloggegevens.
2. Oplichter logt in en probeert geld over te maken.
3. Oplichter heeft m'n 2FA apparaat nodig om over te maken.
4. Oplichter stuurt me een bericht om een code uit m'n 2FA apparaat te krijgen.
5. Ik gebruik m'n 2FA om een code te maken, en stuur deze naar de oplichter.
6. Oplichter plundert m'n rekening.

Het moge toch duidelijk zijn dat stap 4-6 nooit zouden gebeuren? Zelfs niet bij de grootste idioot?

Edit: ach het wordt hieronder al netjes uitgelegd. De 2FA codes worden gelijk al gekaapt en de rekening wordt onmiddellijk geplunderd.

[Reactie gewijzigd door Ampix op 23 juli 2024 05:13]

mjz2cool @Ampix • 26 oktober 2017 08:32

die sms code moet je toch invullen op de pagina voor het inloggen/betalen? dus als je een nepsite hebt, die er precies zo uitziet als de echte zul je die code invullen, en dan heeft de oplichter je code.
het enige wat de oplichter hoeft te doen is de inlogpagina en de betalingspagina goed namaken. de rest doet het slachtoffer zelf

lighting_ @Lednov • 25 oktober 2017 18:32

Je krijgt een link en die klik je aan.
Ik snap wel dat sommigen erin trappen.
Het zal wel goed gekopieerd zijn en je bent niet de hele dag 100% bij de les.

Finwe @Lednov • 25 oktober 2017 17:38

Misschien is dat zo, maar ik mag hopen dat als de gemiddelde persoon een SMS van zijn bank krijgt die zegt: Betalingen van 200 euro aan XXX, hier is je code, dat er dan wel wat alarmbellen gaan rinkelen?

Cerberus_tm

@Finwe • 25 oktober 2017 17:43

Zoals gezegd gaat het om een betaling van 1 cent aan een verkoper van Marktplaats. Dan is er een legitieme reden om te verwachten dat je naar de site van een bank wordt geleid en geld moet overmaken. Ik kan me wel voorstellen dat mensen daar dan intrappen.

supersnathan94

@Cerberus_tm • 25 oktober 2017 17:49

...Via whatsapp naar een pagina die een normale ideal transactie opstart ja. Geen doorverwijzing naar een neppa bank site, maar gewoon via je bank app.

Cerberus_tm

@supersnathan94 • 25 oktober 2017 17:58

Maar dat is makkelijk over het hoofd te zien, als die site er precies hetzelfde uitziet als die van je bank.

supersnathan94

@Cerberus_tm • 25 oktober 2017 21:43

Klopt. Dus nooit op mobiel via de website inloggen maar altijd via de app. Kan het ook niet per ongeluk fout gaan mijn telefoon vragt altijd expliciet voor het openen van de “Rabo bankieren” app.

Cerberus_tm

@supersnathan94 • 25 oktober 2017 23:46

Op zich mee eens, maar werkt Tikkie dan nog wel?

supersnathan94

@Cerberus_tm • 26 oktober 2017 09:50

Jahoor. Iedere ideal betaling gaat via de app. Tikkie faciliteert alleen de ideal betaling en het overboeken naar jouw kant. De ontvangende partij doet een normale betaling zoals dat ook bij webshops gebeurt.

Cerberus_tm

@supersnathan94 • 26 oktober 2017 11:43

Ik weet niet wat je met "De app" bedoelt, maar de ene keer dat ik op een Tikkie gedrukt heb, kwam ik op een website terecht, ofwel van mijn bank ofwel van Tikkie, waar ik gegevens moest invullen op een iDEAL-pagina.

supersnathan94

@Cerberus_tm • 26 oktober 2017 12:36

Ja okee. Je hebt die landing page waar je je bank moet selecteren. Daarna zal die pagina je doorleiden naar de bankapplicatie.

[Reactie gewijzigd door supersnathan94 op 23 juli 2024 05:13]

Cerberus_tm

@supersnathan94 • 26 oktober 2017 12:42

Dat gebeurde bij mij niet; gebeurt denk ik alleen als je bank-app op de juiste manier gekoppeld is via het OS (wat bij mij denk ik niet het geval was). En als je de bank-app niet geïnstalleerd hebt, gebeurt dat sowieso ook niet. En daarnaast, als mensen Tikkie niet vaak gebruiken, weten ze niet zeker wat ze kunnen verwachten.

supersnathan94

@Cerberus_tm • 26 oktober 2017 14:32

Heet niets met tikkie te maken per se. Het gaat om de ideal transactie. Die is altijd of gelinkt naar bank app of altijd niet waarbij dat eerste veiliger is.

Cerberus_tm

@supersnathan94 • 26 oktober 2017 20:41

Desniettemin is een link die zogenaamd van Tikkie komt, een extra slimme manier, waar mensen eerder intrappen.

mjz2cool @supersnathan94 • 26 oktober 2017 08:34

als je gewoon de sms of je raboscanner of wat dan ook checkt zie je gewoon het bedrag, en als je daar op let kan het ook niet fout gaan, maar dit moet het slachtoffer zelf bedenken, net als het gebruiken van de app.

Cerberus_tm

@mjz2cool • 26 oktober 2017 11:44

Bij ABN zie je geen bedrag op de Edentifier: die werkt geheel offline.

supersnathan94

@Cerberus_tm • 26 oktober 2017 14:33

De rabo scanner werkt ook offline maar in de code zitten wel enkele velden verstopt met info die die scanner uitleest.

Cerberus_tm

@supersnathan94 • 26 oktober 2017 20:42

O, aha, dat is op zich wel goed.

mjz2cool @Cerberus_tm • 27 oktober 2017 13:03

hmm, dan is abn wel gevoeliger voor dit soort praktijken

Cerberus_tm

@mjz2cool • 27 oktober 2017 13:06

Ja, hopelijk heeft ABN dat wel bij de nieuwste versie van zijn apparaatje (het mijne is denk ik 10 jaar oud).

mjz2cool @Cerberus_tm • 27 oktober 2017 13:08

zou je haast wel verwachten, anders is er geen manier om zeker te zijn dat het klopt (behalve https, maar ik denk niet dat veel mensen het certificaat ook echt checken)

Cerberus_tm

@mjz2cool • 27 oktober 2017 13:13

Eens. Zelf ga ik alleen naar ABN via een bladwijzer op mijn computer, opdat ik zeker weet dat de url klopt.

[Reactie gewijzigd door Cerberus_tm op 23 juli 2024 05:13]

mjz2cool @Cerberus_tm • 27 oktober 2017 13:14

maar als je via een webwinkel iets besteld dan? dan kom je toch via een externe link op de site terecht

Cerberus_tm

@mjz2cool • 27 oktober 2017 13:17

Dat is waar, via Ideal. In dat geval check ik dan maar het slotje met het groene balkje en de naam "ABN Amro".

mrwolf @Finwe • 25 oktober 2017 17:43

Think again, de meeste mensen checken dit helaas niet.

fantafriday @Finwe • 25 oktober 2017 17:37

Nou noem eens een grote bank in Nederland die dit standaard doet?

teek2

@fantafriday • 25 oktober 2017 17:40

Rabobank, iig naar onbekende rekeningen (de eerste keer dus).

Johan9711 @fantafriday • 25 oktober 2017 17:41

Bijna alle banken. Ik moet bij Rabobank vanaf xx euro (xx Kan ik zelf aanpassen) een Rabo scanner gebruiken. Bij ING heb je de sms code.

mrwolf @Finwe • 25 oktober 2017 17:37

Als je heel snel bent kan het wel denk ik: inloggegevens vang je af en je logt daarmee ook meteen zelf in. De bank vraagt de koper om een 2e code omdat jij ook inlogt. De koper vult die in, jij vangt hem af en voert hem ook in...

supersnathan94

@mrwolf • 25 oktober 2017 17:50

Kan niet. De server ziet dan dat er twee inlogpogingen zijn rn zal dus twee keer het smsje versturen. Daarnaast kan je dat smsje niet zomaar even afvangen.

.SnifraM @supersnathan94 • 25 oktober 2017 19:13

Kan wel. De server ziet geen 2 inlogpogingen want het slachtoffer probeert op de valse server in te loggen. Op de achtergrond kan de oplichter op de echte site van de bank inloggen waarna het slachtoffer een SMS code van zijn bank ontvangt. Deze probeert hij in de voeren op de valse website en zo heeft de dader een werkende code terwijl het slachtoffer foutmelding krijgt en er niks meer van snapt.

[Reactie gewijzigd door .SnifraM op 23 juli 2024 05:13]

supersnathan94

@.SnifraM • 25 oktober 2017 21:37

En hoe wil je dan transacties gaan doen? Meeste banken hebben een extra code nodig om betalingen te accorderen (met random reader unit) of kunnen dat zinder code alleen naar bekende rekeningen.

mjz2cool @supersnathan94 • 26 oktober 2017 08:35

op dezelfde manier, gewoon hopen dat het slachtoffer niet goed oplet, en dus niet op het bedrag let wat in beeld komt op de raboscanner of sms van een andere bank (geen ervaring met andere banken verder)

Blokker_1999

Politiek en recht
Nederland

@Finwe • 25 oktober 2017 17:39

Niet noodzakelijk, maar ze kunnen terwijl jij op de valse site zit wel communiceren met de echte en zo direct de juiste codes ingeven.

Zoijar 25 oktober 2017 17:52

"De politie vermeldt niet precies hoe oud ze zijn, maar vermeldt dat ze beide zijn geboren in 1999."

Prachtige uitspraak. Ook zeker geen melding over geslacht, maar het waren geen vrouwen?

Vihaio @Zoijar • 25 oktober 2017 18:04

In dit geval kan het wel wat uitmaken. Er is nu ongeveer 1/6e kans dat ze minderjarig zijn.

Edit:

Ook zeker geen melding over geslacht, maar het waren geen vrouwen?

Het grappige hiervan is dat er niks over in staat in het bericht van de politie, maar de verdachten in het Tweakers-artikel ineens jonges zijn. Ook het feit dat ze Nederlanders zijn staat niet in het politiebericht. (Hoewel dat wel aannemelijk is)

[Reactie gewijzigd door Vihaio op 23 juli 2024 05:13]

ATS @Vihaio • 25 oktober 2017 19:26

In dit geval kan het wel wat uitmaken. Er is nu ongeveer 1/6e kans dat ze minderjarig zijn.

Reken er maar op dat dat het geval was. Het onderzoek loopt al een tijdje, en de feiten zijn nog daarvoor gepleegd. Die gasten waren dus zeer, zeer waarschijnlijk minderjarig, tenzij ze in januari jarig zijn of zoiets.

lifeguard @Zoijar • 25 oktober 2017 18:00

Dus? dan weet je het nog niet precies.

NotSoSteady @Zoijar • 25 oktober 2017 17:58

Toevallig afgelopen dinsdag Opsporing Verzocht gekeken, heb daardoor een goed idee wat voor figuren dit zijn.

poor Leno @Zoijar • 25 oktober 2017 18:04

Hoohoo, niet zo snel. Als t geen vrouwen zijn, kunnen t altijd nog een van de andere 83 genders zijn

mjz2cool @poor Leno • 26 oktober 2017 08:36

en dan nog genderneutraal, dan is het geen van alle genders

Goldstrike91 25 oktober 2017 17:35

Goede tip van de politie website: De Tikkie-app is bedoeld voor kleine betalingen onder bekenden. Reageer nooit op een betaling verzoek van een onbekende persoon!

supersnathan94

@Goldstrike91 • 25 oktober 2017 17:48

Onzin tip. Ik gebruik het juist vaak bij onbekenden met handelen omdat je dan direct bevestiging hebt van een bank dat het daadwerkelijk is betaald.

Je moet alleen nooit inloggen via een site anders dan die van je bank. Op mobiel dus altijd via de bank app de betaling doen. Dan kunnen ze de gegevens niet krijgen en weet je zeker dat het goed gaat.

Bitmaster @supersnathan94 • 25 oktober 2017 17:54

Nee, jouw tip om alleen bij je bank in te loggen is nuttig. Dat is nu precies waar mensen erin stinken en het verschil niet snel genoeg zien.

MrFax @Bitmaster • 25 oktober 2017 18:35

de URL en de certificaat controleren is te veel gevraagd?

Kontsnorretje @MrFax • 25 oktober 2017 18:57

Voor Tweakers niet, maar voor een huis tuin en keuken gebruikers misschien wel?

mcDavid @Kontsnorretje • 25 oktober 2017 19:18

Als je dit niet kunt, dan is er echt geen enkele manier om veilig online te kunnen bankieren.

Of ja, misschien alleen bij bunq gezien die überhaupt alleen via hun app bereikbaar zijn.

firest0rm @mcDavid • 25 oktober 2017 21:04

Die is er ook niet en zal er ook nooit zijn
Je leeft altijd met risico's die ga je nooit helemaal weg halen.

en ja er zijn VEEL meer mensen die niks weten van certificaten op websites etc.
het enige wat ze begrijpen is dat een slotje groen is en dat goed moet zijn.

dat slotje kan ook naar een malafide certificaat verwijzen waar je niks aan hebt en nog steeds groen zijn....

supersnathan94

@mcDavid • 25 oktober 2017 21:39

Opzich ook wel logisch dat sommigen dit niet kunnen. Op mobiel kun je de certificaten niet inzien. Je ziet alleen een slotje meer niet. Bij banken (met EV cert) is het dan ook nog groen soms. Ligt een beetje aan welk OS je draait.

deadlock2k @Kontsnorretje • 25 oktober 2017 21:15

Helemaal nu dit in een van de meestgebruikte browsers (Chrome) niet meer met één klik kan maar je moet er F12 voor drukken en dan naar Security zoeken en dáár kan je pas het certificaat goed inspecteren. En in Edge is het er ook allemaal niet duidelijker op geworden.

Kontsnorretje @deadlock2k • 25 oktober 2017 23:24

Ach, als ik alleen al kijk naar m'n schoonfamilie... Die hebben totaal geen verstand van techniek. Vraag ze niks over certificaten, SSL of https, ze kijken je met grote vragende ogen aan.

Bitmaster @MrFax • 25 oktober 2017 19:55

Blijkbaar wel, kijk maar naar de gegeven voorbeelden waar mensen door zijn opgelicht.

[Reactie gewijzigd door Bitmaster op 23 juli 2024 05:13]

BCC @MrFax • 25 oktober 2017 22:49

Op je telefoon?

NLKornolio @MrFax • 25 oktober 2017 23:10

Groen slotje en de meeste oudjes gaan al overstag. Oooh dat is zo'n beveiligde verbinding zal wel goed zitten.

MrFax @NLKornolio • 26 oktober 2017 07:54

Ik dacht dat een groen slotje alleen zichtbaar was als ook de identiteit is bevestigd, zoals bij banken, op Chrome at least.

[Reactie gewijzigd door MrFax op 23 juli 2024 05:13]

mschol @MrFax • 29 oktober 2017 00:09

Ik dacht dat een groen slotje alleen zichtbaar was als ook de identiteit is bevestigd, zoals bij banken, op Chrome at least.

een groen slotje is Extended Validation, anders is hij grijs/geel

MrFax @mschol • 29 oktober 2017 13:01

Misschien zou Mozilla HTTPS slotjes niet meer groen moeten maken behalve als er ook een Extended Validation op zit, en HTTP gewoon volledig uitfaseren(niet veilig/rood). Bij Firefox is het slotje ook gewoon groen zonder Extended Validation, wat dus weer zo'n mooie actie van Mozilla is

[Reactie gewijzigd door MrFax op 23 juli 2024 05:13]

Paultje3181 @MrFax • 26 oktober 2017 00:26

Tikkie.com staat te koop. Zet hier een fake login site neer met een Lets encrypt certificaat.

En kijk dan nog eens hoeveel Tweakers ook de mist in gaan...

Alex3 @Bitmaster • 25 oktober 2017 18:54

Mijn wachtwoordbeheerder vult de gegevens niet in als de url afwijkt. Het valt dus direct op.

oezie @Alex3 • 25 oktober 2017 19:03

Niet iedere huis, tuin en keuken gebruiker gebruikt een wachtwoordbeheerder

Jasper Janssen @oezie • 29 oktober 2017 18:19

Well There's Your Problem </Adam Savage>

nieuwveen @Bitmaster • 25 oktober 2017 20:56

daarom altijd de app gebruiken

supersnathan94

@Bitmaster • 25 oktober 2017 21:41

Als een betaling via je bank app loopt kan je hoogstens een leuk bedragje kwijtraken doordat je een verkeerde transactie doet. Als je op mobiel zit MOET je nooit inloggen via een webpagina. Je kan namelijk niet controleren wie er acter die pagina zit doordat je het certificaat niet kan zien.

Tikkie niet gebruiken is symptoonbestrijding. Volgende keer doen ze het via een andere app of bankapp (want daarmee kan je ook een betaalverzoek sturen).

mschol @supersnathan94 • 29 oktober 2017 00:12

Als een betaling via je bank app loopt kan je hoogstens een leuk bedragje kwijtraken doordat je een verkeerde transactie doet. Als je op mobiel zit MOET je nooit inloggen via een webpagina. Je kan namelijk niet controleren wie er acter die pagina zit doordat je het certificaat niet kan zien.

ik kan op chrome mobiel prima het certificaat inzien, sterker nog: daar kan ik met 2 klikken de volledige certificaat details zien, op een desktop is dit onmogelijk zonder dieper in chrome te duiken..

SkyStreaker @supersnathan94 • 25 oktober 2017 18:40

Gaat dat tegenwoordig niet vrijwel realtime? Dat je het meteen kan zien? Bovendien kan je een gestort resultaat ook screenshotten/delen, vziw.

mcDavid @SkyStreaker • 25 oktober 2017 18:52

Ligt eraan. De originele betaalverzoeken van bunq zijn idd realtime. Maar met tikkie duurt het alsnog een dag voordat je het geld op je rekening hebt.

edit: in dit geval lijkt dat trouwens niet relevant, de aanval is gewoon ordinaire phishing/MITM. Dit kun je met iedere nagemaakte iDeal pagina flikken.

[Reactie gewijzigd door mcDavid op 23 juli 2024 05:13]

D3F @supersnathan94 • 25 oktober 2017 17:57

Oftewel anders gezegd is het advies:

Voor niet-techneuten en mensen die niets van techniek begrijpen, lekker binnen je vriendenkring houden. Voor techneuten en millenials die wel wat van techniek begrijpen, prima te gebruiken buiten je vriendenkring.

Het is makkelijk zeggen dat je alleen via de app moet betalen, maar als die phisingwebsite je ook doorstuurt naar een namaaksite die lijkt op de app van bijvoorbeeld de ING, is het logisch dat mensen die geen Tweaker zijn dat soort kleine dingen over het hoofd zien.

[Reactie gewijzigd door D3F op 23 juli 2024 05:13]

GMJansen

@Goldstrike91 • 25 oktober 2017 22:16

Vreemd hoor!

Ik heb ING.
als ze mijn inlogcode van de site 'afluisteren' kunnen ze mijn mutaties en saldo zien.

Als ze wat overmaken krijg kan ik dat goedkeuren via de app of tan code per sms.

Dat eerste kan niet: hun gsm nr is niet aan de app gekoppeld.

Dat 2e kan ook niet: in de sms staat voor wie het is + het bedrag.

batjes @GMJansen • 26 oktober 2017 00:05

Het eerste punt kan gebypassed worden door naar mijn.ing.nl te surfen.

Gomez12 @Goldstrike91 • 25 oktober 2017 23:36

Tja en als je alle tips van de politie zou opvolgen zou je praktisch nooit meer iets kunnen kopen.

Want geld kan vals zijn, pin-automaten kunnen opzet-stukjes bevatten, inloggen op iemand anders zijn wifi kan onderschept worden, 3G/4G kan met een femtocell ook MitM worden.

Feitelijk is het enige 99% veilige dat je eerst naar huis gaat na het controleren van de aankoop (zonder dat je uiteraard het te kopen waar uit je oog verliest, want anders kan het weer omgewisseld worden als je even niet kijkt) om thuis op je eigen computer en je eigen vaste internet verbinding de overboeking te doen.

Waarna de verkoper uiteraard de complete tijd van een transactie (dat met een beetje pech een week of langer kan duren) moet uitzitten samen met de koper waarbij ze alletwee het gekochte waar goed in de gaten houden waarna de verkoper op zijn eigen vaste internetverbinding weer kan inloggen op zijn bankrekening en als het geld dan daar is dan kan het goed van handen wisselen.

Ipv dat de politie/politiek nu eens de banken gaan aanmoedigen om eens te gaan werken aan een snel/betrouwbaar/veilig systeem gaan we elke poging daartoe maar afkraken en zeggen dat het alleen voor kleine bedragen onder bekenden is.

SinergyX 25 oktober 2017 17:52

Hoe kunnen zijn die link 'neppen' in WA? Althans, ik heb WM10, maar als ik een link krijg, is dat gewoon een 'link' en niet heel die titel erboven.

Edit.. dom.. Het is tikkie.me, niet tikkie.online

Er zijn diverse diensten waarvan de naam 'vaag' bekend is, maar de precieze website dus niet (.me ipv online), hebben ze dan wel weer slim aangepakt. Maar het zal wel een trial&error zijn geweest, Rabo moet je verplicht scanner gebruiken boven grote bedragen, neem aan dat diverse 2FA hebben aan staan bij hun bank, net zolang doorgaan tot ze er weer eentje hebben.

supersnathan94

@SinergyX • 25 oktober 2017 17:55

Ik snap alleen niet dat mensen gaan inloggen op een “mobiele website” van hin bank op hun telefoon als ze ook de app hebben. Iedere link met ideal geeft een betalingslink die specifiek voor jouw geselecteerde bank is. Hierdoor wordt deze geopened met je bankieren app op je telefoon.

Als je dus moet inloggen via een site moeten direct alle alarmbellen af gaan.

SinergyX @supersnathan94 • 25 oktober 2017 18:10

We praten over jan modaal met ondermodale kennis van telefoons, apps en sites, tuurlijk prikken er aantal doorheen, maar voor datzelfde aantal trappen er ook mensen gewoon in.

Accretion @supersnathan94 • 25 oktober 2017 22:05

"Doorgaan naar app"

En dan gewoon fullscreen pagina, met mooi laadbalkje zoals in de app.
Dan heb je het ooknog drukdruk, en klik je even snel door.

supersnathan94

@Accretion • 29 oktober 2017 22:49

De meeste bank apps loggen in met een pincode. Op het moment dat er om reguliere gegevens wordt gevraagd dan klopt er dus iets totaal niet.
Zodoende accepteer ik alleen een betaling via ideal als deze met touchid ondertekent kan worden. Dan weet ik 100% zeker dat het geen malafide spul is.

Jasper Janssen @supersnathan94 • 29 oktober 2017 19:42

Iedereen die dit soort dingen max 1 a 2 keer per jaar doet herkent niet het verschil met regulier.

Anoniem: 896479 25 oktober 2017 18:10

Het bestaan van deze app verrast me niet, een soortgelijke actie is uitgevoerd met een bank app die nep bleek te zijn. https://www.rtvutrecht.nl...lse-bankapp-opgepakt.html

[Reactie gewijzigd door Anoniem: 896479 op 23 juli 2024 05:13]

mcDavid @Anoniem: 896479 • 25 oktober 2017 19:10

Die aanval was echt compleet anders, de enige overeenkomst is dat het een stukje social engineering omtrent bankapps is.

Betaalverzoeken lossen juist het probleem op wat in de door jouw gelinkte aanval misbruikt wordt, namelijk dat "normale" overboekingen niet real-time zijn. De aanval hier betreft een ordinaire phishing/mitm aanval. Daar valt echt vrij weinig tegen te doen, als je daar intrapt heb je wel héél slecht op zitten letten bij het doen van je betaling (niet de URL/het certificaat van je bank checken, niet de 2FA gegevens checken, etc)

Anoniem: 896479 @mcDavid • 25 oktober 2017 19:43

Beide manieren gaven de gebruiker het idee gebruik te maken van een officiële applicatie/omgeving, in plaats van een nepper.

Of het nou een vervalste app is of een vervalste site, dat maakt niet uit.

mcDavid @Anoniem: 896479 • 25 oktober 2017 19:46

Dat zeg ik. De gebruikte aanval is alleen compleet anders (een heuse mitm aanval vs een slim vormgegeven babbeltruc)

Empo 25 oktober 2017 17:38

Ik vraag me af hoe ze dan in de bankrekeningen komen. Er zijn blijkbaar banken die met inloggegevens werkt en geen verificatie doet bij betalingen? Zoals pincode of sms...

Johan9711 @Empo • 25 oktober 2017 17:44

Tenzij ze die informatie mee hebben genomen met de phishing. Dat kan eenvoudig door je systeem te laten communiceren met dat van de bank. Daardoor komt de 2fa ook netjes bij jou terecht. Een CAPTCHA zou eventueel kunnen voorkomen dat dit te automatiseren is.

mcDavid @Johan9711 • 25 oktober 2017 18:58

Als je al de moeite hebt genomen een compleet inlogsysteem incl 2FA te proxyen, kun je die captcha ook wel doorproxyen naar je slachtoffer. Die verwacht hem toch al. Dat zou dus helemaal niets oplossen.

Jasper Janssen @Johan9711 • 29 oktober 2017 19:41

Uh, nee. 2FA is *tweede factor*. Dat betekent dus *per definitie* dat die niet bij jou terecht komt als je de primaire manier van identificatie/authenticatie (user/pass, meestal) ondergraaft.

Bij de meeste banken is de tweede factor een SMS of een fysiek code apparaatje, al dan niet in communicatie met je bankpas.

mocean 25 oktober 2017 18:05

Normaal wordt het risico op dit soort scamming nogal laag ingeschat, omdat je makkelijk vindbaar bent met geld overboeken. Het geld moet toch naar een rekening die je moet leeghalen...

Alex3 @mocean • 25 oktober 2017 18:57

Daar gebruiken ze katvangers voor.

Accretion @Alex3 • 25 oktober 2017 22:14

Of ze betalen een andere verkoper met de oplichting van de een.

Ik koop van jou een MacBook, laat de persoon die ik oplicht het geld naar jou overmaken.
Jij krijgt betaald, ik krijg de MacBook en verkoop die door.

Uiteindelijk krijg jij (misschien) de politie op de stoep, maar blijkt dat die vage persoon die de MacBook kwam ophalen niet echt "Karel" te heten en kwam het geld dus van de persoon die opgelicht is.

Anoniem: 454358 25 oktober 2017 18:37

In Nederland wordt ik inmiddels raar aangekeken als ik zeg dat ik betalingen liever contant heb. De kans op nepgeld is volgens mij minder erg dan nep apps, nep screenshots, etc etc. En vrijwel 0 tracking door derden.

Accretion @Anoniem: 454358 • 25 oktober 2017 22:27

Ik was bij het verkopen van mijn laptop op marktplaats, vooraf bij het politiebureau geweest om te vragen of ze zo'n stift hadden om geld te testen.

Ze keken me heel erg vragend aan en hadden er geen, ik heb mij altijd afgevraagd of dat nou zo'n rare vraag was.
Nuja, bij de boekhandel hadden ze zo'n stiften wel.

Het geld was overigens wel echt, maar toch fijn om te weten.

mjl @Accretion • 25 oktober 2017 23:05

Volgende keer de app van de Nederlandse bank gebruiken, daarmee kun je met je camera papiergeld (euro’s) checken.

Op dit item kan niet meer gereageerd worden.

Twee Nederlanders roofden bankrekeningen leeg via Tikkie-phishingsite

Lees meer

IT-banen

Reacties (173)

Sorteer op:

Weergave: