Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Fraudehelpdesk laat phishingsite voor Tikkie-betaaldienst offline halen

De Fraudehelpdesk heeft op zijn website gewaarschuwd voor een inmiddels offline gehaalde phishingwebsite die erg leek op de officiŽle site van Tikkie. De nepwebsite maakte onder meer gebruik van de enigszins afwijkende url tlkkie.nl.

De phishingwebsite, die volgens de Fraudehelpdesk inmiddels offline is gehaald, heeft naast de overeenkomsten in de url dezelfde kenmerkende paarse achtergrondkleur, heeft een vergelijkbare opmaak en voert het officiŽle Tikkie-logo. De Fraudehelpdesk heeft niet gezegd of er daadwerkelijk bankrekeningen van nietsvermoedende gebruikers zijn leeggeroofd.

De makers van de phishingsite legden via Marktplaats contact met eventuele slachtoffers over de aankoop van een product, waarna ze voor de betaling naar de phishingsite werden doorverwezen. De fraudeurs stelden daarbij voor om alvast een cent over te maken naar de verkoper, zodat kon worden vastgesteld wie de koper is. De Tikkie-link voor deze betaling van een cent werd via WhatsApp verstuurd. Met deze valse link werd het bedrag van een cent niet overgemaakt, maar kreeg de fraudeur wel de betaalgegevens in handen.

Er wordt vaker geprobeerd fraude te plegen en geld te stelen via Tikkie-phishingsites. Zo werd in oktober vorig jaar bekend dat twee Nederlanders bankrekeningen hadden leeggeroofd via een phishingsite die exact leek op de pagina van de betaaldienst. Ook zij gebruikten de methode van het onderscheppen van de inloggegevens door via Marktplaats contact te leggen met de slachtoffers.

Door

Nieuwsredacteur

66 Linkedin Google+

Reacties (66)

Wijzig sortering
"Ook zij gebruikten de methode van het onderscheppen van de inloggegevens door via Marktplaats contact te leggen met de slachtoffers."

Ik zit dit nu een paar keer te lezen, maar snap nog steeds niet hoe dit dan werkt.
Hoe kan je hier de dupe van worden? Kan iemand dat duidelijker uitleggen?

*Edit

Bedankt voor alle (pogingen tot) uitleg iedereen! :)

[Reactie gewijzigd door dartbord op 16 januari 2018 17:26]

In deze situatie was het een man-in-the-middle aanval. Jij vraagt via marktplaats 1cent over te maken ter verificatie, je wordt doorgestuurd naar een nep site van Tikkie. Jij vult je gegevens in, maar achter die site zit de oplichter dezelfde gegevens in de echte site in te tikken.

Nu is het afhankelijk welke bank je hebt en hoe autorisatie werkt van betalingen.

Als jouw bank puur 'login -> akkoord' was (dus niet expliciet bedrag intikken of bevestiging), kom je in 2 situaties.
-1ste situatie (recent Knab) is dat de controle generiek is, en de oplichter dus elk bedrag kan ingeven (jij denkt 1ct op de phisingsite, hij typt 300 euro in de echte site - login heeft hij immers al).
-2de situatie (was op forums), er zit wel een kleine controle in en je zit niet op te letten. Je drukt blind op akkoord terwijl er snel in het scherm stond '300 euro naar XX van YY' omdat je in gedachte nog op die 1 ct zat. Als je bv mobiel verificatie heb, zie jij daar wel 300 euro langskomen, maar jij zit nog in gedachte op de phising site die nog steeds 1 cent zegt.

Uitzonderlijke situatie, bijvoorbeeld Rabobank oude rekenmachine, daar moest jij 2 'controlegetallen' intypen alvorens een challenge terug te krijgen. Was jij niet op de hoogte van die 2 getallen, de 2de is namelijk bedrag zonder centen, konden ze met beetje slimme meldingen dit dus ook naar willekeurig bedrag gooien. Deze werd tijdens de bekende bankpas-vervanging nog wel misbruikt.

Andere situatie: Bij bv ING zakelijk heb je een aparte knop voor Login en Sign, je kan niets betalen met knop Login en niet inloggen met de knop Sign. Echter, als je dit snel genoeg doet en je bent kundig met foutmeldingen, zou je in theorie dit zelfs kunnen doen. Wederom, de reader geeft geen bevestiging van bedrag, uitsluitend challenge/response, dus jij denkt 1cent te autoriseren, maar de persoon erachter zorgt ervoor dat dit 300 euro is.

Allemaal goed mogelijk met een goed opgezette phisingsite (of niet oplettende gebruiker).

Dit werkt lang niet bij elke bank (zoals Rabo nu met QR code, moet je echt blind zijn en afaik is die QR code nog niet gekraakt), of niet bij elke goed oplettende persoon. Maar doe dit vaak genoeg, weet je uiteindelijk wel iemand op te lichten. Zo zullen andere banken ook inmiddels betere controle hebben, of mensen slim genoeg om nooit een 'tikkie link' van iemand te open, maar bv gewoon vragen naar bankrekening en dit handmatig via eigen app/website overmaken (wat natuurlijk weer open staat voor andere oplichting, ander verhaal :P).

edit: wat leesbaarder gemaakt.
edit2: kleine correcties, hopelijk duidelijker :)

[Reactie gewijzigd door SinergyX op 16 januari 2018 17:33]

Duidelijk verhaal, alle phishers die nog niet goed wisten hoe ze een tikkie scam konden opzetten kunnen er nu mooi mee aan de slag :+ .
Andersom hoop ik ook dat mensen zien hoe het werkt en er niet zomaar meer intrappen ;)
Security through obscurity is toch niet erg secure, dus dat maakt niet uit.
Top, dat maakt een en ander een stuk duidelijker, bedankt! :)
Ik snap het nog steeds niet helemaal.
Om dit te doen moet er toch ook een overtuigende nep portal van Ideal zitten.
En daarachter weer overtuigende nep pagina's van iedere bank.
Of zat dit er ook in?
Maw blijft het zoals vanouds, gewoon simpelweg opletten wat je doet :
Niet zomaar via verzoeken van een onbekende je laten doorsturen naar een site.
Goed op je scherm kijken wat er staat voordat je ergens akkoord op geeft.
Als ik iets koop via MP dan vraag ik rekening gegevens en betaal ik zelf via mijn eigen bank app. En als ik op een andere manier betaal dan is dat op mijn eigen verzoek. Als iemand anders je vraagt om via een andere manier te betalen dan dat je verwacht (of sowieso al) dan moeten er al belletjes gaan rinkelen.
Dat is voor mij precies hetzelfde als de mailtjes om je gegevens in te voeren om te voorkomen dat je bankrekening geblokkeerd wordt.
Simpel eigenlijk als ik het zo lees.

Wij komen elkaar tegen op Marktplaats, waar mijn iPhone staat voor 200 euro.
Jij denkt "Wat een koopje!" en gaat er natuurlijk op in. (Natuurlijk met oplichting in het achterhoofd).

De verkoper zegt dat ie al graag een transactie zou willen om jou te kunnen identificeren.
Tikkie = gelinkt met bank, bank = gelinkt met jou.

Om je niet af te schrikken, zegt ie dat het gaat om 0.01 eurocent, en stuurt je de link door naar de valse TIkkie pagina.

Jij logt in (wat maakt het ook uit voor die ene cent, ik ben toch een vertrouwbare koper), en zij kunnen nu met jouw gegevens gaan inloggen die ze net onderschept hebben.


PS, als je niet hebt gezien dat ik hier ergens TIkkie ipv Tikkie heb gebruikt, had ook jij er kunnen intrappen :-)
Advertentie op MP maken en de koper vragen of deze een cent wil overmaken via tikkie omdat je wilt controleren of diegene de persoon van de advertentie is. Of andersom als koper reageren.

Hoe je hier in mee kan gaan is me dan wel weer een raadsel.
De fraudeurs stelden daarbij voor om alvast een cent over te maken naar de verkoper, zodat kon worden vastgesteld wie de koper is.

[Reactie gewijzigd door Axewi op 16 januari 2018 17:01]

Ok, stel dat ik reageer op jouw bogus advertentie. Jij stuurt mij die malafide link en ik maak 1 cent naar je over. Hoe kan iemand daar dan rijk van worden? Je krijgt met die nep-site dan toch niet toegang tot iemand zijn bank-rekening, of zie ik dat verkeerd? :?
Jij denkt 1 cent over te maken via jouw bank. Wat vul je in op de malafide website:

- bankrekening en pasnummer.
- het over te maken bedrag
- je (5?) cijferige code om je transactie goed te keuren.

^ natuurlijk geeft de website bij bovenstaande gelukt/akkoord.

Vervolgens gaan zij met bovenstaande je rekening echt leegtrekken.
Ik denk dit dan tenminste...
Dat kan in principe niet, wat ze wel kunnen doen is jouw een betaling laten doen voor een ander bedrag, dit krijg je echter altijd te zien op de betreffende ideal pagina. Als dit Łberhaupt afwijkt weet je al vrijwel zeker dat je wordt opgelicht.
Waarom kan dat dan niet? Wellicht forwarden ze van de pagina van de bank alleen de delen die jij mag zien naar jou toe via een soort proxy.
Dan ben je een ideal betaling aan het doen buiten jouw bankomgeving en dat is ook een vrij goed teken dat er iets goed mis is.
Moet je dat maar net door hebben. Wanneer een pagina bijv. Radobank.nl of lng.nl, of bumq.nl heet, kan je zelfs een geldig ssl certificaat hebben. Veel mensen lezen daaroverheen, zelfs als ze checken.
Zoals ik eerder ook al eens heb gezegd, moet je dergelijke betalingen dan ook via je je telefoon doen. Dan wordt je omgeleid naar je bank applicatie als de boel ook echt is. Zo niet dan betaal je gewoon niet.
Dan kan de boef je in plaats daarvan omleiden naar een website die heel erg op je app lijkt. Jij ziet dat dan misschien wel omdat je tweaker bent, maar je grootmoeder misschien niet!
Je ziet bij een wbeiste duidelijk het verschil. Zo wordt er op mijn toestel gevraagd of de Rabo bankieren app geopend mag worden die op mijn telefoon staat en zie ik duidelijk het verschil in de switch tussen en extra tabblad en een switch naar een andere applicatie. Doordat de linkjes eerst geopend worden in de browser en daarvandaan in de app zie ik die switch van App dus 2 keer en die switch naar een ander tabblad 1 keer. Het is dus zeker wel oppassen geblazen, maar als je niet op let, dan is dat natuurlijk jouw eigen verantwoordelijkheid. Ook mijn grootmoeder kan ik dat wijsmaken. Het is 1 wijziging in de workflow en je weet dat er iets niet klopt.
Ik denk dat veel mensen hier veel dommer in zijn dan je denkt. En/of achtelozer, in haast. Het is niet voor niks dat malafide websites al decennia een 'dialoogvenster van Windows' tonen als plaatje op een webpagina. Jij en ik trappen daar niet in. Maar blijkbaar genoeg mensen wel. Vooral ook als ze b.v. bijna nooit Tikkie gebruiken of hun bank-app op de telefoon. En daarnaast veranderen dingen met apps heel vaak, ach, het zal wel anders zijn door die update van vorige week. Enz.
Jammer, Dan moet je gewoon echt beter opletten wat je doet. Ik log op mijn bank in met vingerafdruk of code. Mijn apparaat is voor die specifieke app geregistreerd dus betalingen via externe websites gaan gewoon niet lukken zonder login gegevens. Zolang ik die dus niet verstrek en gewoon met touchID of FaceID de boel onderteken is er niets aan de hand, En als ik wel die gegevens verstrek en de gegevens van de reader goed controleer dan is het ook niet mogelijk.

Hoe je het ook wend of keert is opletten het enige wat je kan behoeden voor dit soort scams. Daar gaat een bank je niet bij kunnen behoeden. Dat moet je echt gewoon zelf doen en die verantwoordelijkheid ligt dan ook gewoon bij jou.
Zoals gezegd zouden jij en ik er niet intrappen! Daarom gaan de meeste beveiligingsaanbevelingen dan ook niet op voor ons. Maar de meeste mensen kunnen Spanje nog niet op de kaart aanwijzen. Wanneer ze daar zelf zijn. Zo is het nu eenmaal. De meeste mensen zijn lager opgeleid en hebben helemaal niets met computers, een heel andere wereld.
ja dat zal, daarom hebben die readers ook netjes in beeld staan welke gegevens er worden gebruikt en met name hoeveel geld. Als je dat al niet goed kan lezen mankeert er iets anders.

Dit gaat nu echt kompleet off topic
Op mijn E-dentifier staat overigens helemaal geen bedrag. Bij veel banken niet.
Kans is groot dat je deze wel als controlegetaal
Moet invullen. Juist wegens dit soort scams.
Nee, wat ik moet intikken is een willekeurig getal van 8 cijfers. Hopelijk verandert ABN dit inderdaad, vind het wel goed als het bedrag erin zou komen te staan. En banken die met TAN-codes werken hebben volgens mij ook het bedrag niet in de codes zelf staan.

[Reactie gewijzigd door Cerberus_tm op 17 januari 2018 17:18]

Jij denkt 1 cent over te maken via jouw bank. Wat vul je in op de malafide website:

- bankrekening en pasnummer.
- het over te maken bedrag
- je (5?) cijferige code om je transactie goed te keuren.
De site van ING vraagt om gebruikersnaam (dat is niet hetzelfde als rekeningnummer, maar na inloggen kun je wel meteen het rekeningnummer zien) en wachtwoord. Daarna krijg je een sms met daarin het over te maken bedrag (volgens de bank, als dat niet klopt met wat er op je computerscherm staat --> alarm) en de bevestigingscode. Iedereen die het bedrag in het sms'je controleert is (voor zover ik het in kan schatten) niet vatbaar voor misbruik. Wel kunnen ze, totdat je je wachtwoord verandert, je betaalgeschiedenis en dat soort dingen inzien, maar het is onmogelijk om betalingen te doen en ook het koppelen van de app, het wijzigen van gekoppeld telefoonnummer en het veranderen van het wachtwoord vereisen allemaal een bevestigingscode via sms.

Let op, bovenstaande gaat alleen over ING; het geldt niet voor andere banken.

Edit:
Telefoonnummer wijzigen vereist kennelijk zelfs een nog striktere verificatie dan een bevestigings-sms.

[Reactie gewijzigd door robvanwijk op 17 januari 2018 08:48]

Aanvulling, bij ING is het zelfs zo dicht getimmerd dat het veranderen van je telefoon nummer alleen per post kan gebeuren, zitten minimaal 5 werkdagen tussen.
als ik een tikkie link aanklik krijg ik gewoon de ing app voor mn neus (op de telefoon).
Ik hoef dus helemaal niets in te vullen.
Waarschijnlijk lijkt het alsof het 1 cent is op de website wat de klant ziet. Maar vindt er in de backend een transactie plaats van een veel hoger bedrag.
er stond een topic afgelopen week op GOT hierover
kan het nu niet terugvinden ...
Maar zoeken op 1ct en ideal komt wel ergens, als je het wilt vinden.

edit: hier dus
Marktplaats fraude via Ideal, hoe verder?

[Reactie gewijzigd door FreshMaker op 16 januari 2018 17:22]

Waarschijnlijk lijkt het alsof het 1 cent is op de website wat de klant ziet. Maar vindt er in de backend een transactie plaats van een veel hoger bedrag.
Ik krijg altijd op mijn Rabobank scanner het bedrag te zien voordat ik de betaling bevestig, dit is niet zo bij andere banken?
Of je gaat door 1 cent over te maken akkoord met een automatische incasso.

[Reactie gewijzigd door Froggle op 16 januari 2018 17:42]

Die kun je dan gelukkig wel altijd terugboeken en als er niets aan jou geleverd is, is dat hoofdzakelijk een probleem van de incassant.
Misschien dat ze dingen verkopen via Marktplaats en dan de koper vragen om via tikkie te betalen en dan de link sturen van de nep url?
Maar, als je geld van iemand wil stelen... dan kan je toch ook gewoon de gegevens van de ťchte tikkie geven om op die manier geld op je rekening te krijgen van diegene met wie je contact hebt op marktplaats? :?
Met de nep site stalen ze de inlog gegevens van de persoon.
De echte variant kun je een aantal transacties instellen. Wat zou betekenen dat je iedere keer een andere link zult moeten delen met het slachtoffer.

Dus neem aan dat ze zo iedere keer een nieuwe transactie kunnen klaar hebben staan voor de slachtoffers. Zonder dat deze ongeldig wordt.

En overige gegevens kunnen gestolen worden zoals iemand anders al stelt.
Oh ja, jij mag mijn Iphone X 256GB voor 200 euro kopen als je betaald via tikkie(waar ze natuurlijk al eerder van gehoord hadden) en dan met een valse link erbij. Als slechts 1/1000 mensen hier inlopen maken ze nog steeds winst en je zou verschieten hoeveel mensen goedgeloven zouden doorklikken en gegevens intikken.
Wat ik dan nog steeds niet snap is, waarom een nep-site hiervoor gebruiken?
Als iemand stom genoeg is om te denken dat ie voor §200 een iPhoneX kan kopen, dan kan je toch ook gewoon via de ťchte tikkie dat geld laten overmaken? :?
Ja, tuurlijk. Maar dan heb je slechts 200 euro. En geen logingegevens om heel hun account te gaan leegplunderen/ gebruiken voor criminele activiteiten / noem maar op.
Er wordt een externe betaling opgezet naar bijvoorbeeld een playstation-kaart verkoper
Dat bedrag van 200§ is het te betalen bedrag, maar jij ziet alleen de tikkieapp met 1ct ( en de fake naam / woonplaats van de oplichter )
Je voert je gegevens in, die ťťn op ťťn op de verkoopsite terecht komen.

Kennelijk zag je niet het totaal bedrag, maar betaalde wel 200§

Het scherm op jouw telefoon gaf alleen maar aan "1ct betaald"

op GOT liep vorige week zo'n topic.
edit : hier dus

Marktplaats fraude via Ideal, hoe verder?

[Reactie gewijzigd door FreshMaker op 16 januari 2018 17:22]

Ja, Maar echt 200 euro overnaken doen mensen veel voorzichtiger. B.V bij het overhandigen van de goederen. Maakt niet eens uit of ze kopen of verkopen. Als ze maar een smoes hebben je naar fakesite.nl te leiden. voor een cent denken de mensen dus niet zoveel risico te lopen.
Bij de vraag om geld over te maken in dit geval een cent. Krijgen ze een link naar een namaak Tikkie website. Maar hier gebruikt men hun echte bankgegevens. Wat wel onduidelijk is waar het verkoop van een product over gaat. Verkopen zij iets of zijn de slachtoffers een product aan het kopen?
Maakt niet uit of het koop of verkoop is. Als ze je maar naar die fakesite kunnen leiden.
Ja echt he! Het is jammer maar toch gaan er mensen zijn die erin trappen dat heb je zowat een beetje met alles!
Ik denk dat ze de persoon doorsturen naar een neppe Tikkie, en die neppe Tikkie stuurt ze weer door naar een neppe pagina van jouw bank. Als hun daar inloggen lukt dat niet (de 1 cent betaling ook niet) maar de criminelen/scammers krijgen wel jouw inlog informatie binnen.

De reader zullen ze niet kunnen omzeilen, maar er zijn genoeg banken die betalingen goedkeuren zonder een reader (vaak tot x bedrag)
De titel ("Fraudehelpdesk haalt phishingsite voor Tikkie-betaaldienst offline") is wat misleidend. De Fraudehelpdesk is een stichting zonder enige bevoegdheid. Ze kunnen dus waarschuwen, maar meer ook niet.
“Fraudehelpdesk laat site offline halen” kan weer wel, immers staat het ze vrij een abuse report in te dienen bij de hostingprovider.
De titel suggereert dat de Fraudehelpdesk de phisingsite offline gehaald heeft. Dat lijkt mij niet, want dat is niet de taak van de Fraudehelpdesk en ligt ook niet in hun bevoegdheden.

Zoals de naam van de instantie al doet vermoeden is ze niets meer dan een helpdesk. Naast mensen waarschuwen verwijst ze mensen door naar de juiste instanties: https://www.fraudehelpdesk.nl/werkwijze/
Fraudehelpdesk haalt phishingsite voor Tikkie-betaaldienst offline
Is dat zo?

Nuancering in artikel
De phishingwebsite, die volgens de Fraudehelpdesk inmiddels offline is gehaald
Het enige wat fraudehelpdesk kan doen is wat iedereen kan doen bij SIDN en hosting provider klacht indienen en hopen dat deze actie ondernemen.

Fraudehelpdesk kan geen website zelfstandig offline halen.
We doen dus geen western unions, geen tikkies, willen niet dat de andere met zijn "bankieren app" real time overboekt, want die app is nep. Is er wel een manier waarop je digitaal geld met zekerheid kunt ontvangen?
De echte tikkie. Lijkt me dat een Tweaker die nepsite wel moet kunnen onderscheiden.
De echte bankapp werkt ook prima. Je moet alleen de andere partij niet op zijn blauwe ogen geloven dat het overgemaakt is, maar kijken naar je eigen bankapp. Je maakt gewoon een betaalverzoek aan met de app van je eigen bank, stuurt die naar de koper of laat de QR code direct scannen, laat de koper de betaling doen en jij wacht even op het pushbericht op je eigen telefoon. Dan kan er niets mis gaan.
Wat mij opvalt en ook verbaasd dat het weer, of nog steeds, marktplaats.nl betreft.

Zouden ze bij marktplaats dan helemaal niets doen aan fraude bestrijding?

Ik koop in principe nooit iets op marktplaats, wel op tweakers, maar dat is helaas ook geen garantie dat alles goed verloopt sinds mijn laatste ervaring.. Dat zegt uiteraard niets over tweakers zelf.
Net zoals het niet perse iets over marktplaats zegt dat het daar ook wel eens mis gaat. Ik koop en verkoop regelmatig via Marktplaats, en tot nu toe gaat dat goed. Natuurlijk heb ik wel eens onzinbiedingen gehad op elektronica (boven de vraagprijs, of ik het naar een of ander buitenland wilde sturen. Nee, natuurlijk niet.) en te maken gehad met wat andere akefietjes (kopers die niet op komen dagen, verkopers die na het bereiken van een deal ineens toch aan een ander verkopen of niets meer laten horen). Vervelend, maar geen oplichting.
Ik begrijp niet dat mensen hier nog in kunnen trappen. Het beste is om rechtstreeks via je bank geld over te maken en niet via een betaal site lijkt mij want dit is al de tweede keer dat Tikkie in het nieuws is.
Voor kopen op afstand heb je gelijk. Maar voor direct aan de deur is een app wel degelijk handiger, omdat je dan ook tussen banken een directe betaling kan doen.
Dat denk ik dus ook. Waarom zou ik via een andere site geld overmaken? Ik heb mijn bank site en app toch? Ik kende heel Tikkie niet overigens, wel eens in een app als advertentie voorbij zien komen maar dacht dat dat spam en phising was. Blijkt het dus toch van origine een officieel iets te zijn, maar helaas dus alweer slecht in het nieuws gekomen.
Is Tikkie zoiets als Payconiq?
Over de AD journalist die is bestolen
https://www.ad.nl/economi...hter-via-tikkie~a0b5d39f/

Heeft de dief dit allemaal kunnen doen met die 5 cijferige ABN pincode die 1x is ingevoerd? Dan is het e.dentifier systeem of de mTANs van ING een stuk veiliger...

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*