Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

NOS: kant-en-klare phishingwebsites gemakkelijk te bemachtigen en overtuigend

Op hackerfora blijkt de kant-en-klare phishingwebsite bezig te zijn met een opmars. De NOS concludeert uit eigen onderzoek dat een voor phishing ingerichte kopie van een website van een Nederlandse of Belgische bank erg makkelijk te kopen en te gebruiken is.

NOS-techredacteur Joost Schellevis wist op een hackerforum voor 262 euro een nagemaakte ABN-pagina te kopen, compleet met software die de logingegevens noteert. Volgens Schellevis was de webpagina 'een nagenoeg perfecte imitatie van de ABN Amro-site', met zeer weinig spelfouten. Deze kant-en-klare phishingwebsites vergen weinig technische kennis om in te zetten. "Basale kennis van php en webhosting is genoeg." Voor omgerekend 620 euro kon hij een phishingkopie van SNS, ING, Rabobank en ABN Amro kopen.

In een testomgeving bleek dat de phishingwebsite die de NOS had gekocht, ook daadwerkelijk werkte. Twee verschillende security-onderzoekers bevestigen tegenover Schellevis dat de phishingwebsite overeenkomt met degene die ze in het wild tegenkomen. De NOS kreeg ook een gebruikt exemplaar van zo'n phishingsite in handen. Aan de logboeken viel te zien dat in een maand 272 gebruikers erin getrapt waren.

Richard Verbrugge van de ABN Amro stelt tegenover de NOS dat deze vorm van oplichting momenteel verreweg de populairste is. Ook de andere banken waarvan phishingvarianten gekocht kunnen worden, zoals SNS, ING en Rabobank, zien deze tactiek voorbijkomen. Volgens hen nam de afgelopen jaren phishing af, maar neemt het tegenwoordig weer toe. Ook de politie ziet dit.

Op het hackerforum waar de site vandaan komt, wordt zelfs gewerkt met een feedbacksysteem. De verkoper waar de NOS mee te maken had, heeft 97 recensies, overwegend positief. Naar zijn bitcoinadres is in het afgelopen jaar al 25.000 euro aan cryptomunt overgemaakt. Op de site kon men ook aan phishingvarianten komen van Duitse, Australische en Britse banken en aan inlogpagina's van Facebook, WhatsApp, Instagram en bitcoinbeurzen. Tot slot konden zelfs developers ingehuurd worden om zeer specifieke inlogpagina's na te bootsen voor spearphishing.

Op volgorde: de imitatie-bankpagina, de echte en de back-end

Door Mark Hendrikman

Nieuwsposter

25-11-2018 • 18:21

201 Linkedin Google+

Reacties (201)

Wijzig sortering
UITLEG

Okay, even een uitleg van wat er gebeurde in dit topic...

Tweakers.net had een artikel over meneer Schellevis die met belastinggeld meer dan 1.000 euro had uitgegeven om te bewijzen dat je een phising-site kon maken.

Ik riep toen met mijn grote bek dat zo iets geen 1.000 euro waard is, omdat je het in een uur zelf kan bouwen.

Toen was ik natuurlijk aan mijn "stand" (5 kilometer onder N.A.P.) verplicht het te bewijzen... en had één minuut later een script actief.

Oa. NOS / ING en Tweakers werden daarmee nagebootst - zelfs de autocomplete van de formulieren werkten goed.

Echter, binnen een uur had ik al meer dan honderd credentials te pakken (niet eens bewust, want achter de formulieren zat helemaal geen script - maar "error.log" zat vrolijk alles bij te houden) en dus heb ik het scriptje van "ahum" 1.000 euro (geef dat gewoon vrolijk uit aan de gezondheidszorg, ipv. die 1.000.000.000 die aan "kijkgeld" wordt geïnvesteerd...) weer weggehaald.

Bedankt voor uw aandacht, niets aan de hand - gewoon doorlopen...
Ik riep toen met mijn grote bek dat zo iets geen 1.000 euro waard is, omdat je het in een uur zelf kan bouwen.
Tsja, ik kan mijn huis ook in een paar uur schoonmaken, toch betaal ik er iemand anders voor. Iets dat je snel of zelf kan doen, is niet meteen waardeloos. Sterker nog, *jij* kan het, en juist jouw kennis en expertise is dan ook geld waard.

Maar dan nog, je mist het punt: 1000 euro (of eigenlijk zelfs minder) is in deze context en helemaal afgezet tegen de mogelijke opbrengsten niet veel geld. Sterker nog, het is verwaarloosbaar weinig en dat maakt de 'barrier to entry' voor phishers heel laag. De kennis die je moet hebben om het te doen, kun je spotgoedkoop inkopen.

En dat heeft NOS / Tweakers / Joost Schellevis en nu ook jij mooi laten zien.
Heel knap dat jij dat kan! Maar pas als jij dit ook voor een habbekrats aan jan en alleman verkoopt is het een vergelijkbaar verhaal - het gaat er hier nl. om dat mensen die niet van een stand als de jouwe kunnen genieten toch supermakkelijk effectief kunnen gaan phishen.

[Reactie gewijzigd door droner op 26 november 2018 03:27]

Ik verbaas me er wel over dat je aan credentials komt dan. Had je het gehost ergens en hoe heb je mensen erheen geleid dan?
Die error.log was hopelijk heel goed beveiligd?
Of is er een risicootje dat dit in handen van derden is gekomen?
(gewoon een vraag, geen aanval)
Ik heb een dubbel gevoel met hoe de Joost Schellevis en de NOS hun experiment brengen. Laat ik beginnen met de positieve kant: goed dat Joost en de NOS steeds weer aandacht vestigen op het bestaan van phishing en de risico's. Phishing bestaat al sinds de vorige eeuw en om diverse redenen blijft het bestaan. Een van die redenen is het gemak waarmee phishing gedaan kan worden en slachtoffers er in trappen.

Maar de negatieve kant is dat ik de objectiviteit bij Joost en de NOS mis. Tenminste in het artikel. Wat bedoeld Joost Schellevis of de NOS met relatief nieuwe markt ? En wat is de bedoeling van een test als Wie ambitie heeft om internet-oplichter te worden, hoeft tegenwoordig niet meer van goede huize te komen.?

Phishingkits bestaan al jaren. Hoe makkelijk ze te verkrijgen zijn hangt af van hoe makkelijk je je weg weet naar de plaatsen waar ze worden aangeboden en hoe makkelijk je daar binnen komt. Dat is niet veel anders dan hoe jaren geleden die kits of virussen verspreid werden. Dat het Joost of de NOS nu is gelukt om zelf een kit aan te schaffen en te gebruiken maakt het niet nieuw of nieuws. Dat mensen in phishingkits trappen maakt het bestaan van die kists en hoe professioneel of amateuristisch ze zijn niet nieuws. Dat het Joost of de NOS is gelukt om aan een phishingkit te komen wil niet zeggen dat het 10 of 15 jaar geleden moeilijk was. En omdat het bericht geen melding maakt hoeveel moeite ze vroeger moesten doen is het suggestief door te stellen dat je tegenwoordig niet meer van goede huize hoeft te komen. Het had journalistiek geweest als Joost en de NOS tenminste moeite hadden gedaan om hun suggestieve teksten niet te plaatsen of op zijn minst te onderbouwen. Het doet de discussie geen goed als we maar blijven doen alsof er allemaal excuses zijn om nog steeds in phishing te trappen zonder die te onderbouwen. Want dat is wat het uit straalt als je schrijft dat iedereen het nu kan en de kwaliteit nu hoog zou zijn.

[Reactie gewijzigd door kodak op 25 november 2018 21:53]

Ik snap je betoog niet helemaal. Je mist objectiviteit bij Joost en de NOS. Ik vraag me af of je wel op de hoogte bent hoe erg het is geworden. Het is zo enorm massaal uit zo veel verschillende hoeken, Ik heb afgelopen zomer een dag gehad dat ik zelfs 3x naar de zelfde fishing site werd verwezen vanuit verschillende reacties op advertenties op verschillende sites. In totaal ben ik afgelopen maanden 10 tallen keren geconfronteerd met fishing. En dan heb ik het nog niet eens over mail.
Wat ikzelf hoogst irritant vind is dat er volstrekt onvoldoende regelgeving is om aanvallen te blokken.
Als je op vrijdagmiddag een fishing website meldt bij verschillende partijen zoals politie, marktplaats, fraudehelpdesk, abn amro en nog een paar, dat op zaterdag herhaald en je ziet dan op zondag avond deze site nog steeds actief. Dan ga ik twijfelen of ze er wel iets tegen WILLEN doen. Zeker als je zelf binnen 2 minuten het spoed nummer voor abuse van de berlijnse hoster te pakken hebt. En marktplaats simpelweg weigert om melding te maken van een ware vloedgolf aan phising pogingen op hun frontpage.
Ik vind dus dat veel partijen absoluut te kort schieten, er trappen ook steeds meer mensen in dus van suggestieve teksten van Joost is absoluut geen sprake. Ik vind persoonlijk dat internet criminaliteit gewoon 10 x zwaarder gestraft moet worden dan nu. Want het is nu gewoon ook te simpel geworden, elk lomp snotjong kan het.
Dit mist logica. Joost en NOS geven geen verklaring voor een verband tussen hoe zij een een phishingkit konden kopen en een eventuele toename in phishing. Ook is er geen verband aangetoond dat het vroeger niet makkelijk was. Ook is niet aangetoond dat er echt een hele grote toenamr is, en wat daaronder moet worden verstaan in aantallen. Het zijn op die manier ongecontroleerde beweringen en aannames dat het nu makkelijker of heviger is dan voorheen.
Ik zeg niet dat er geen toename is. Maar het ontbreekt volkomen aan journalistieke onderbouwing bij een aantal beweringen die als nieuws gebracht worden.

En ik wil best geloven dat het waar kan zijn of dat jij een toename ziet, maar dat is wat anders dan de plicht van een journalist om aan waarheidsvinding te doen en de eigen experimenten niet onderbouwd te verkondigen als een vergeleken situatie.

Als een instantie een bewering doet vraag je na waar die cijfers op gebaseerd zijn. Of in het verleden ook zo gemeten is. Of getallen te vergelijken zijn. Als je een experiment doet en een bewering wil doen of het makkelijker is, dan moet je daar referentiemateriaal bij hebben als onderbouwing. Dat moet ook meetbaar zijn. Het ontbreekt allemaal, of het is niet opgeschreven. En dat bevordert de discussie over de oorzaken niet. Of wat er aan te doen valt. Het klinkt als een excuus: het is makkelijker, het komt vaker voor. Pas op. Maar die getallen of die experimenten zeggen niets zonder de juiste context. Maar dat doet er blijkbaar niet toe als er maar gewaarschuwd kan worden.

[Reactie gewijzigd door kodak op 26 november 2018 18:30]

Voor het grote publiek zal dit gewoon betekenen: kijk extra goed uit en dat is een relevante waarschuwing omdat er dus schijnbaar een toename is in het aantal phishingsites waarvan blijkt dat die inderdaad via dezelfde kanalen als de NOS gevolgd heeft, te vinden zijn.

Volgens meerdere van die banken heeft dit te maken met die kant-en-klaar kits van deze kwaliteit die er eerder dus niet waren en dus klopt de suggestie dat het tegenwoordig een stuk gemakkelijker is geworden dan vroeger journalistiek gezien m.i. prima.

[Reactie gewijzigd door droner op 26 november 2018 03:27]

Zolang phishing een probleem is, is het waarschuwen natuurlijk relevant. Maar dat is het punt niet. We kunnen 10, 15, 20 jaar blijven doen alsof iets wat gangbaar is extra relevant is, maar dan doen we iets niet goed. Dan onderkennen we het onderliggende probleem niet dat we er te weinig van te snappen, of we negeren het probleem in ruil voor wat we makkelijk kunnen verklaren als waarheid of excuus. Waarschuwen voor phishing zoals in de afgelopen jaren is gedaan (pas op criminelen zijn creatief en het is makkelijk) lijkt niet effectief.
Phishing nam af dus misschien waren de waarschuwingscampagnes juist wél effectief, wat nu even ingehaald is doordat aan de andere kant een slag is geslagen met meer overtuigende phishing schemes. Die waren voorheen dus niet gangbaar maar zijn zowel in hun uitvoering en effectiviteit als in het gemak waarmee ze beschikbaar zijn, denk ik zeker een nieuw fenomeen te noemen. Zowel aangescherpte waarschuwingscampagnes, extra alertheid/maatregelen bij de betrokken bedrijven als gerichte aanpak door justitie zijn dus denk ik gewenst, kortom ik blijf het bezwaar tegen dit nieuwsbericht niet echt zien.
Toon me de cijfers en we hebben een discussie.
Als je meerdere specialisten een vraag stelt en je krijgt geen tegenstrijdige antwoorden dan is het m.i. helemaal prima om er als journalist van uit te gaan dat het geschapen beeld aardig klopt.

Je kunt willen dat journalisten hun artikelen voortaan voorzien van links naar wetenschappelijke onderzoeken die hun conclusies onderbouwen maar ik denk dat er dan weinig journalistiek overblijft. Ik vind dan ook dat je met je verzoek om cijfers een ireële eis stelt.

[Reactie gewijzigd door droner op 26 november 2018 22:40]

Als 4 partijen met een belang sopamrm de media afstappen zonder enig bewijs van gelijk of zelfs geenbcijfers willen en kunnen geven dan kan je die als journalist niet opvatten als deskundigen. En dat je als journalist een kunstje kan uithalen maakt het resultaat nog geen bewijs van het gelijk. Er hoeft echt geen wetenschappelijke onderbouwing bij, maar klakkeloos beweringen overnemen of zelf beweringen doen is geen fatsoenlijke evenwichtige journalistiek. Er worden vergelijkingen gedaan met het verleden om de ernst aan te geven, maar zowel de aandragersbvan de scoop als de journalist komen niet verder dan wat onverifieerbare beweringen die het nieuws vormen. Het heeft er veel van weg dat de joost en de nos tot de conclusie kwamen dat er geen bewijs was en toen zelf maar zijn gaan experimenteren om nog een soort van onderbouwing te hebben. Maar dat staat helaas van de vergelijkingen met het verleden. Het zegt alleen iets over wat joost en de nos nu is gelukt. Niet of er een echte toename is. Niet of het phishen makkelijker is geworden. Niet of het door phishingkits of een veronderstelde vergemakkelijking van de beschikbaarheid of het gebruik komt. En onderbouwing met cijfers of iets meetbaars is er al helemaal niet gelever. Dit soort nieuws en journalistiek rammelt. Hoe belangrijk het waarschuwen tegen phishing ook is, het moet niet gebeuren op halve onverifieerbare waarheden. Nu is het iets wat we willen horen. Maar met hetzelfde gemak verkondigen politie en banken dat het prima gaat wat niet in het pubkieke voordeel is en dan verwachten we ook een fatsoenlijke onderbouwing. Het is te makkelijk om snel te zeggen dat het prima is zo.
Degene die beweert dat er sprake was van een dalende phishing trend die sinds kort weer aantrekt is volgens het artikel Richard Verbrugge van ABN. Dit is vervolgens bevestigd door vier partijen nl. ING, SNS, Rabobank en de politie. Een uitspraak laten bevestigen door vier andere bronnen, dan kun je m.i. onmogelijk zeggen dat beweringen klakkeloos worden overgenomen.

Jij zegt ook dat deze mensen geen cijfers willen en kunnen geven, waar heb jij die kennis vandaan?

[Reactie gewijzigd door droner op 29 november 2018 19:53]

Jij hebt een te hoog verwachtingspatroon van de huidige journalistiek.
Dat zou betekenen dat ik een te hoge verwachting heb van een ex-Tweaker verslaggever. De lat mag dan wel een stuk hoger aan achtergrondkennis.
Het relatieve gemak waarmee cryptocurrency witgewassen kan worden helpt natuurlijk wel.
Maar bij phishing sites heb je toch altijd dat het adres wel afwijkt t.o.v. de echte site?
Advies: sla de echte website van je bank (en andere gevoelige sites) op in je browser. Als je een mail krijgt met advies om in te loggen, klik dan niet op de link! Open je browser en surf zelf naar je opgeslagen site. Bij ING kun je ook kiezen je gebruikersnaam te onthouden. Als die niet verschijnt wees dan op je hoede.

Werk ook met een wachtwoordmanager. Die werkt niet op een phishing site en dan weet je dat er iets niet klopt.
Per definitie: als je een mail krijgt van de bank, de overheid of wat dan ook met een link er in: niet op klikken! Je kan zelf wel even de url invoeren of vanuit je password manager naar je browser toe sturen... :)
En in vrijwel alle belangrijke mails (belastingdienst en mijnoverheid bv) staan om die reden ook niet eens links in de mail. Er staat dan dat je zelf naar de website moet browsen. Dit zou heel duidelijk gemaakt moeten worden op TV (of andere plekken waar ouderen actief zijn).
Precies dat laatste. Het helpt niet als er in de mail die je *niet* krijgt iets zou staan over het niet volgen van links. Ondertussen hebben veel mensen die tekst al vrij vaak gelezen maar op een link klikken is makkelijk dus gebeurt het. Waar is SIRE (bestaat dat nog?) als je ze nodig hebt?

Edit/toevoeging: De banken kunnen / moeten hier misschien ook zelf verantwoordelijkheid nemen. Toon in reclamespotjes hoe je adresbalk eruit zou moeten zien (EV cert) en dat je niet op links in mails moet klikken. Kost geld, maar bespaart hopelijk ook veel ellende en kosten.

[Reactie gewijzigd door jimshatt op 26 november 2018 10:30]

Ik zie meer en meer mensen in mijn omgeving die geen URL's meer ingeven in de adresbalk maar gewoon in Google om dan zo naar de website te gaan (en dan maar hopen dat een phising site niet bovenaan in Google staat) 8)7
Mijn vraag is meer: hoe kan een bank-phishingsite effectief iemand oplichten, als er two factor authenticatie van toepassing is? Alle banken doen dat tegenwoordig.
Of wordt op een andere manier opgelicht?
Klopt, maar de content kan 100% identiek zijn, doordat je die crawled / harvest van de bron (zonder zelf ook maar 1 regel te schrijven of 1 pixel te ontwerpen).

En met creatief adres-gebruik kom je een heel eind...

https: // abnnro .nl
https: // anbamro .nl
https: // ambanro .nl

Als 25% het niet ziet en 10% inlogt, heb je toch duizenden credentials in een dag te pakken.
abnarnro wou ik als voorbeeld gebruiken, en die is blijkbaar dus al in gebruik door een stel oplichters. Sad!
Wat ik me afvraag, kan de orginele site niet duidelijker aangeven dat je ingelogt bent op de uiste url ?

Nu moeten we goed op de url in de adresbalk letten nml. Waar je dus heel goed moet opletten, je leest er zo overheen als je niet oppast.
Wat je moet doen is heel simpel. Je bookmarkt de sites van de banken die je gebruikt. Idem Gmail, iCloud, Amazon - alles waar je geld aan uit kan geven. Als je altijd werkt vanuit je bookmarks, dan kan het niet fout gaan.

Wat jij zou kunnen doen is de mensen in je omgeving (ouders, oma, ooms, buren etc) hierop wijzen en ze helpen dit uit te werken, zodat zij hier niet in kunnen trappen. Eventueel kun je een browser extensie van een antivirus-programma installeren.
Mannen, ik weet hoe het werkt en zal zelf nooit in die nepsites trappen ;)

Zat gewoon ff hardop te brainstormen hoe het veiliger en beter kan. Als het slotje bijv. niet alles zegt (omdat veel mensen dat slotje niet bekijken) , waarom dan niet direct de inhoud van het slotje tonen?

Wellicht alleen het allerbelangrijkste: De eigenaar melden van dat slotje, je bank bijv.
Nogmaals, ik denk niet voor mezelf. Maak je geen zorgen. Bestel uit China, gebruik Paypal etc.etc.
Ik red mij wel ;)

Vreemde moderatie weer, waar voldoe ik niet aan de regels en kom ik voor een -1 in aanmerking? Belachelijk! Lees eens hoe en waarom je modereert, mensen!

[Reactie gewijzigd door Madrox op 26 november 2018 01:45]

Wellicht alleen het allerbelangrijkste: De eigenaar melden van dat slotje, je bank bijv.
Dat wordt toch al gedaan? Door zowel firefox als chrome iig, bij gebruik van EV certificaten.

Goed idee ook, want een bedrijfsnaam op een certificaat is een stuk moeilijker te faken dan een bedrijfnaam. Als je ABN-ARMO wil registreren bij de KvK dan denk ik dat je we een probleem hebt.

[Reactie gewijzigd door GekkePrutser op 26 november 2018 01:00]

Ik bedoel dat het direct zichtbaar is, en je niet eerst een venster moet openen en door tabs gaa bladeren.
Maar dat is ook zo :) de bedrijfsnaam staat in de titelbalk.

Zie dit plaatje van @jellepepe die het heel goed illustreert: https://i.stack.imgur.com/xmMnB.png
Hoe kan je dit vergemakkelijken op mobile browsers. Want ik denk dat een gros ook op mobiel inlogt en niet alleen via desktop/laptop.
Mobiel inloggen op een bank? Daar heeft toch iedereen een app voor?
Zie het alleen bij de vierde, de tweede chrome. Hoe kan dat?
Srry, bij Firefox zie ik het ook. Dat is iig beter dan niets.

[Reactie gewijzigd door Madrox op 26 november 2018 01:57]

Niet lang meer. Die bedrijfsnaam gaat er binnenkort weer uit bij de diverse browsers.
Je kan ook vrij eenvoudig een slotje bij je website krijgen, echter, het slotje met "Rabobank" er in, is niet eenvoudig.

Maar mocht men er op letten, dan voldoet het voor 90% van de mensen om gewoon een groen slotje te hebben.
Dit betekend in theorie alleen dat de gegevens beveiligd verstuurd worden (naar de phisher (: )
Je kan ook vrij eenvoudig een slotje bij je website krijgen, echter, het slotje met "Rabobank" er in, is niet eenvoudig.
"Rabobank" niet, maar hoe zit het met "Rabobamk" of "ABMAMRO"? Nu zijn er voor banken weer speciale certificaten geloof ik, maar het blijft iets wat nooit perfect zal zijn. Idem op mobiel, dan zijn er apps van de banken, totdat je een nep-app installeert. Dat is bij de NL banken niet zo makkelijk, want hoe krijgt die app betalingen gevalideerd? Dat kan dan alleen als je alsnog terugvalt op de identifier, en de mogelijkheid om zonder identifier te werken is nu net wat die app zo makkelijk maakt.
Een certificaat op naam krijg je niet zomaar, zeker niet als die lijkt op de naam van een ander bedrijf (laat staan een bank).

Dat slotje zonder naam kan iedereen wel gewoon, daar zit mijn probleem in. Mensen hebben het steeds over het groene slotje, maar de veiligheid zit hem in de naam.

Standaard kun je geen APK's (apps) zomaar installeren buiten Playstore om en de Playstore zal ook ABMAMRO met hetzelfde logo als ABN Amro blokkeren. Daarnaast, hoe komt men er dan op om die app te installeren, de echte is waarschijnlijk veel beter te vinden.
Bij Nederlandse banken zal het moeilijk worden, omdat er een koppeling gemaakt wordt tussen met de app die vanuit de website geactiveerd wordt. Dat krijg je met een malafide app niet snel voorelkaar. Maar het is zeker wel gebeurd elders in de wereld. Dergelijke apps zijn wel degelijk goedgekeurd, ook voor banken, ook met gelijkende naam en logo.
Mannen, ik weet hoe het werkt en zal zelf nooit in die nepsites trappen ;)
Stoere taal. In de praktijk blijkt echter dat iedereen voor de gek gehouden kan worden en hoe zelfverzekerder de persoon, hoe groter de schade lijkt te zijn. Genoeg onderzoek naar dat soort dingen.
Het moet voorlopig nog gebeuren en ja, dat komt omdat ik altijd kritsch klik en kijk wat ik doe.
Als video en audio straks volledig door AI beheerst worden, is het alleen een kwestie van tijd vermoed ik. Die video van Obama waarin ze hem vanalles laten zeggen wat ie niet gezegd heeft - het is een kwestie van tijd totdat zoiets geperfectioneerd is. Zie daar maar eens doorheen te prikken. Misschien lukt dat 99 van de 100 keer, maar eens ga je de mist in.
Het is relatief gemakkelijk om met een klein stukje jscript vanuit een website de url's in je bookmarks aan te passen. Is dus ook niet waterdicht
Dat is toch niet mogelijk? Ik ben benieuwd, want dat zou een serieus veiligheidslek zijn. Als jij mijn bank-bookmark kunt aanpassen naar jouw eigen site, mijn bookmarks ook kunt doorzoeken en dan ook downloaden, dan zit er iets serieus mis.

Broodje aap wat je hier ophangt! Zo niet, toon het aan.
Wat ik me afvraag, kan de orginele site niet duidelijker aangeven dat je ingelogt bent op de uiste url?
Hoe had je dat in gedachten (basicly vraag je of WC-Eend kan aangeven of zij zeggen WC-Eend te zijn)? Hoe weerhoudt een ander om dat ook na te doen? De enige manier waarop dat kan, is simpelweg het slotje naast de adresbalk. Die aanklikken en je ziet zo van wie het certificaat is. Als dat niet is wie het behoort te zijn, weet je genoeg. Mensen kijken echter alléén naar het slotje en denken (enigszins terecht) dat de verbinding veilig is, want het groene slotje is er, maar verder dan hun neus kijken doen ze niet.
Nu moeten we goed op de url in de adresbalk letten nml. Waar je dus heel goed moet opletten, je leest er zo overheen als je niet oppast.
Dat moet je dus sowieso. En vertrouw je het niet; "klik weg, hang op, bel uw bank".

[Reactie gewijzigd door CH4OS op 25 november 2018 20:34]

Bv door na het inloggen iets te laten zien wat alleen de gebruiker kant. Bv een plaatje die ik zelf kan uploaden. Of altijd 2 factor te werken. Naast de e.identifier of de random reader ook een mail of sms.

In de afgelopen jaren zijn de banken steeds simpeler gaan werken. Zelfs de Rabobank wil van de losse reader af, terwijl ik die veiliger acht dan welke andere tool op dit moment dan ook.
Dat simpeler werken geeft gebruikersgemak maar maakt het ook steeds makkelijker om midden in de betaling te gaan zitten. Bijvoorbeeld door live mee te doen met de gebruiker en de betaling ergens anders heen te sturen.

Dus ik denk dat we er niet onderuit gaan komen om het moeilijker te maken voor de gebruikers.
Gewoon fatsoenlijke 2FA afdwingen bij zoiets is de enige manier om valse logins te voorkomen.
Iemand die jouw gegevens heeft, zal echt niet kijken of dat ingestelde plaatje wel overeenkomt en vervangt die gewoon met een eigen, bijvoorbeeld.

[Reactie gewijzigd door CH4OS op 25 november 2018 20:33]

Als ik dat plaatje niet zie weet ik dat de pagina fake is en ga ik niet verder dan daar. 2FA (bankpas en reader) ben ik al door als ik dat plaatje zie maar een eventuele mitm attack die op de achtergrond een betaling uitvoert stop ik op dat moment wel.
Een andere manier is het plaatje tonen op het moment dat ik mijn bankrekening heb ingevoerd maar de rest nog moet doen. Dan stop je me voor ik een wachtwoord etc in voer.
Als ik dat plaatje niet zie weet ik dat de pagina fake is en ga ik niet verder dan daar. 2FA (bankpas en reader) ben ik al door als ik dat plaatje zie maar een eventuele mitm attack die op de achtergrond een betaling uitvoert stop ik op dat moment wel.
Een andere manier is het plaatje tonen op het moment dat ik mijn bankrekening heb ingevoerd maar de rest nog moet doen. Dan stop je me voor ik een wachtwoord etc in voer.
Een plaatje is security through obscurity, dat kan een mooi en makkelijk herkenningspunt zijn om vanuit te werken, maar veilig alleen is het niet. Nogmaals, als ik jouw inlog via een physhing site heb en pas vervolgens het plaatje aan, zie jij die ook wanneer jij inlogt. Jij zal dan misschien denken 'Huh, dat is niet het plaatje wat er stond' en even later 'Ik zal het wel aangepast hebben of zo'. Dus nee, dat gaat echt niet werken. Intussen heeft de kwaadwillende genoeg tijd gehad om een overboeking van jouw bankrekening naar een tussen rekening te doen alvorens het wit gewassen wordt.

Wat het beste werkt is het certificaat en de URL controleren. Vertrouw je het niet, dan sluit je alles af, zo simpel is het. Ook heeft niet iedereen 2FA om in te loggen bij de bank, zou ook niet moeten hoeven met bijvoorbeeld een e.Dentifier, reader, of wat dan ook. Iemand anders die mijn pas dan heeft, kan dan alsnog gewoon inloggen, als diegene die gegevens/spullen in handen heeft. Eigenlijk wil je zoiets dan biometrisch beveiligen. ;)

En, zoals iemand hier al heeft laten zien, kan iemand prima een proxy er tussen zetten; jij logt in, ziet jouw gegevens (inclusief afbeelding) en dergelijken, maar intussen heeft de aanvaller jouw inloggegevens buit gemaakt.

[Reactie gewijzigd door CH4OS op 25 november 2018 20:48]

Biometrische beveiliging wil je echt niet. Het is véél moeilijker om dit te stelen, dat klopt. Maar als het eenmaal gestolen is, kun je het niet meer aanpassen. Én het is voor alle websites waarop je het hebt gebruikt hetzelfde.
Hoe wil je een gebruikerspecifiek plaatje aan een gebruiker laten zien zonder dat deze is ingelogd?
door het te koppelen aan een onderdeel dat je invoert en direct te laten zien bij het overgaan naar het volgende veld.

OKTA gebruikt dit o.a, maar alleen bij bekende apparaten.
Dus als ik met een van mijn apparaten inlog herkent hij dit (waarschijnlijk via cookie) en laat het door mij gekozen plaatje zien nadat ik mijn inlognaam heb ingevoerd en voordat ik het wachtwoord in type.

Als hij het apparaat niet herkent (bv. door andere browser of doordat een app zoals Winword bij de inlog van okta aan komt) dan krijg ik de melding dat het de eerste keer is dat ik op dit device in log en of dit wel klopt.
Kijk, iemand die snapt waar ik heen wil :-)

Betere oplossingen! Niet perse voor mezelf, maar juist voor oma en opa en al die anderen die de juiste pc kennis missen.
Op het moment dat iemand een MITM-aanval doet is 2FA op de meeste manieren nutteloos, omdat de kaper dat net als de edentifier-codes gewoon doorzet van de nepbank naar de echte bank.

Naar je adresbalk kijken en het groene slotje verwachten is het enige dat echt zo goed als waterdicht is (hoewel een virus in theorie zowel je root certificates als dns kan aanpassen, en dan ben je alsnog de sjaak).
Het groene slotje is dus niet zaligmakend, je moet het slotje openen om het certificaat te zien en van wie dat is. Daarom denk ik na hoe dat beter, duidelijker kan.
Het groene slotje staat voor uitgebreide validatie. Dat proces houdt in dat er echt vanalles gecontroleerd wordt waaronder in Nederland ook KvK.

Het is voor een phisher best veel werk om daardoor heen te gaan terwijl je net zoals Tweakers bijvoorbeeld ook een simpeler certificaat zonder groen slotje kunt krijgen (vergelijk Tweakers eens met ABN Amro).

Het is geen 100%-ding natuurlijk, want tja, als je computer gehackt is dan kan iedereen je alles voorhouden met groen slotje en dan ben je volledig de sjaak :)
Als je het plaatje toont na het invoeren van enkel bankrekening, kan de phishingsite dit automatiseren door in de backend jouw bankrekening in te voeren in de echte site en jouw plaatje door te zetten naar de phishingsite.
Sommige real-time phishing aanvallen zitten direct tussen jou en de echte website. Die kunnen zowel 2FA als verificatieplaatjes direct doorsluizen, dus helaas is dat nog steeds niet waterdicht...
Plaatje is een leuk idee. Denk alleen dan dat zodra het bekender is niet meer goed zal werken. Ik verwacht dan wel dat ze iets maken van laat het via ons dan 1 keer doorschakelen naar de echte bank. Dan kopiëren wij het plaatje of maken een screenshot van je scherm met plaatje en dan de volgende keer dat je bij ons inlogt dan hebben.
2FA kan ook gehackt worden. Maak als hacker gewoon de 2e stap ook en vul de gegevens gelijk in op de website van de bank en als je inloggen klikt, dan een error geven. Als de hacker mee zit te kijken heeft hij/zij gelijk toegang tot de bank. De hacker zou evt ook een soort van keep alive aan kunnen houden als diegene niet mee zit te kijken. MFA/2FA klinkt leuk maar is natuurlijk net zo hackable als je op de verkeerde website zit.
Hoe laat je dat plaatje dan zien voor je bent ingelogd?
De proxy logt gewoon in. Die stuurt alles door wat ie krijgt dus ook jouw plaatje. En ondertussen kan er vanaf de proxy meegekeken of gelogd worden
Het SSL certificaat samen met de URL is je enige houvast in dit geval om te kunnen controleren of het de legitieme plek is.
Dat begrijp ik maar @SunnieNL had het over een plaatje die je zelf kan uploaden en laat zien om aan te tonen dat het een legitieme site is. Naast wat jij zegt vraag ik mij dus af hoe je het plaatje van een gebruiker kan tonen voordat hij/zij inlogt.
Bij ABN zie je geen plaatje voordat iemand is ingelogd. Na het inloggen (wat de hacker dus eerst doet) kan het plaatje gewoon worden doorgestuurd.
Stel dat plaatje zou niet doorgestuurd kunnen worden. Hoe zou dat plaatje dan helpen tegen malafide websites? Eenmaal ingelogd ben je de sjaak.
Je bent altijd de sjaak. Lees mijn andere reacties maar onder dit artikel :p
Dat werkt voor gewone (nagemaakte) phishing sites, maar niet voor MITM achtige situaties zoals deathgrunt hierboven liet zien. Wat je wel kan doen als bank is actief monitoren op IP adressen (immers die verzoeken komen van andere adressen dan normaal) maar dit is niet waterdicht en ook zeer makkelijk te omzeilen door bijv. botnets te gebruiken die vanaf normale thuis IP's komen.

Sterker nog: Tegen zo'n "@deathgrunt" MITM aanval werkt 2FA ook niet. Want alles gaat gewoon heen en weer tussen de sites via jouw tussenpersoon. Als de klant dat niet doorheeft (URL aangepast maar is soms moeilijk te zien door gebruik van slimme unicode tekens) dan kan je zelfs een geldig certificaat hebben en alles terwijl je alles mee leest.

2FA werkt wel tegen het daadwerkelijk uitvoeren van betalingen met de buitgemaakte inloggegevens. Want die 2FA is elke keer anders. Tenzij je echt 'live' betalingsopdrachten gaat onderscheppen en vervangen door je eigen. Op zich ook mogelijk maar volgens mij niet iets wat nu wordt gedaan, ik heb er in elk geval nog niet van gehoord. Kwestie van tijd voor het wel gaat gebeuren natuurlijk want 2FA wordt steeds meer gemeengoed. Betere 2FA's die daadwerkelijk aangeven aan wie er wordt overgemaakt en voor welk bedrag helpen hierbij ook een hoop, al vraag ik me af of er veel mensen zijn die dit daadwerkelijk controleren. Sommige bank apps doen dit al wel en naar ik begreep sommige "random readers" ook.

Wat gaat wel werken? Goede smart cards bijvoorbeeld. Die kunnen een public-key handshake doen direct met de server en daarmee checken of de gebruikte SSL key onderweg niet aangepast is. Maarja dat vereist weer extra hardware en dat vinden mensen moeilijk en vervelend (zelfs random reader/edentifier oplossingen worden als vervelend ervaren terwijl die veel veiliger zijn). Logisch ook. Het vlak tussen security en usability is altijd een spanningsveld maar de aanvallen worden nu zo geavanceerd dat we wel op de usability punten in zullen moeten leveren.

Op zich heeft het hele PKI/TLS systeem ook een complete rethink nodig. Het is gewoon van de zotte dat een Chinese CA een certificaat voor een Nederlandse bank kan uitbrengen en dit gewoon geaccepteerd wordt (of andersom, denk aan het Diginotar fiasco). Dit systeem moet echt een keer op de schop gaan. Hoe het beter moet weet ik ook niet zo 1-2-3 (denk bijv. aan maatregelen als registratie van welke CA je als bedrijf gebruikt) maar daar moet gewoon heel goed over nagedacht worden.

[Reactie gewijzigd door GekkePrutser op 26 november 2018 01:23]

2FA werkt wel tegen het daadwerkelijk uitvoeren van betalingen met de buitgemaakte inloggegevens. Want die 2FA is elke keer anders. Tenzij je echt 'live' betalingsopdrachten gaat onderscheppen en vervangen door je eigen. Op zich ook mogelijk maar volgens mij niet iets wat nu wordt gedaan
Volgens mij ondersteunen deze pakketten dat wel en is dat juist de manier waarop het werkt nu! Ik zag zelfs dingen in die screenshot waardoor je meerdere operators op dezelfde website actief kunt hebben juist om dit te doen. Tegelijkertijd een echte betaling doen met de inlog van de gebruiker en die code dan voorschotelen en de respons bij het echte internetbankieren gebruiken. Je moet immers eerst inloggen met een specifieke code+respons en kunt dan ook pas een transactie doen met een code+respons. Daarvoor is het bijhouden van een hele sessie en het realtime "meedoen" nodig.

Een systeem zoals dat van de Rabobank voorkomt dat enigszins doordat je op de Raboscanner ziet welk bedrag en welke begunstigde, maar bij ABN/ING merkt de gebruiker dus helemaal niets, de gespiegelde website laat niet eens een foutmelding zien. 2FA maakt geen drol uit, niet via sms en niet otherwise, want dat gaat allemaal mee in het proces.

Wat je verder schrijft is hartstikke spot-on! Wat ik nog als een mogelijkheid zie om usability hoog te houden is echt een heel specifiek type certificaat zoals EV dat alleen voor banken bedoeld is en zeer zichtbaar is in de browser. Mensen moeten dan gaan leren dat het alleen veilig is als ze dit zien en bij een zeer specifiek type visuele clue zou dat kunnen werken. Invoeren duurt alleen even...
Sterker nog: Tegen zo'n "@deathgrunt" MITM aanval werkt 2FA ook niet. Want alles gaat gewoon heen en weer tussen de sites via jouw tussenpersoon. Als de klant dat niet doorheeft (URL aangepast maar is soms moeilijk te zien door gebruik van slimme unicode tekens) dan kan je zelfs een geldig certificaat hebben en alles terwijl je alles mee leest.
2 FA werkt juist wel in dat geval, maar voor iets anders dan jij denkt.

Je kunt meelezen met deze sessie, maar je zult niet kunnen authenticeren met de gegevens die je onderschept. Je hebt dus mijn wachtwoord, maar je hebt alleen een enkel token van de 2FA, namelijk die van *mijn* sessie. Als je je eigen sessie wilt opzetten, dan vis je naast het net*.

Een beetje goeie beveiliging zorgt dat alle functies die je wilt aanroepen met 'verhoogde' rechten (wijzigen van wachtwoorden, bvb.) een nieuw token eisen.

Als het om bankbetalingen gaat: de informatie van de specifieke betaling zitten als het goed is ge-encodeerd *in* de challenge (bij Rabobank wel). 100 euro naar de rekening van Alice genereert een andere challenge (en response) dan 10000 euro naar de rekening van Bob.

Het makkelijkste is natuurlijk om gewoon als MiTM de betaling naar Bob te initieren als reactie op betaling aan Alice en hopen dat de eindgebruiker het bedrag en rekeningnummer op de reader niet controleert, maar volledig ongemerkt gaat niet lukken.

Samengevat: is 2FA perfecte bescherming? Nee. Maar het beschermt je wel tegen een hele hoop vervolgschade en verhindert sommige manipulaties.


*Een goed voorbeeld is als je zo'n aanval tegen iCloud zou proberen. Als jij van een nieuw device wilt inloggen op een account dat je onderschept hebt, krijgt die persoon een pop-up, incl. geolokatie. en dan moet hij vervolgens een code gaan intikken. Dat maakt het wel een erg lastige vector voor jouw MitM.

[Reactie gewijzigd door Keypunchie op 26 november 2018 13:19]

[...]
Mensen kijken echter alléén naar het slotje en denken (enigszins terecht) dat de verbinding veilig is
De verbinding is niet veilig, de verbinding is encrypted...

En ook een encrypted verbinding kan zo onveilig als wat zijn... (niet bedoeld als kritiek, maar wel iets om op te letten in de terminologie van "veiligheid").
Ik denk dat je even de context mist die ik bedoel. De gemiddelde gebruiker zal het altijd blijven bestempelen als veilig, want die zien het slotje en denken dan direct dat het OK (en dus veilig) is. Dat is mijn punt.

Kun je naar mij wel (goed bedoelt) gaan muggenziften, daar heb je die andere 99,99% van de gebruikers die computers(, internet, beveiliging en weet ik veel wat nog meer met ICT gerelateerde zaken) niets interesseren nog niet mee, hoe graag je wellicht zou willen. :)

[Reactie gewijzigd door CH4OS op 25 november 2018 20:34]

Ik denk dat je even de context mist die ik bedoel. De gemiddelde gebruiker zal het altijd blijven bestempelen als veilig, want die zien het slotje en denken dan direct dat het OK (en dus veilig) is. Dat is mijn punt.
Daar wordt aan gewerkt, Chrome laat het slotje niet meer als 'groen' zien, en laat juist een waarschuwing zien als het ontbreekt. Alleen bij de EV certs wordt nog wel de eigenaar weergegeven en dat is ook wel heel goed natuurlijk.
Heb je een voorbeeld van zo'n waarschuwing? Heb ik nog niet gezien. Of bedoel je de standaard "not secure" bij http ipv https?
Wie was dat nou ook al weer, die wou stoppen met het gebruiken van (zichtbare) urls?.... 8)7
Volgens mij wou google ze uit de Chrome browser slopen of zo?

url's zijn letterlijk het enige be-all end-all waarmee ik check of iets legitiem is of niet. Mafkezen :9

[Reactie gewijzigd door Ayporos op 25 november 2018 20:23]

Dat ging alleen over subdomeinen (zoals m en www) en mogelijk de data achter het domeinnaam. Niet de hele URI. Maar dat vond ik zelf ook te ver gaan hoor. Als er niet mee gesjoemeld zou worden was het wat anders...
Je kan het zo "veilig" mogelijk maken maar de zwakste schakel blijft toch de gebruiker.
Ja, ik zit daar ook af en toe over na te denken.
Wat je voorstelt kan heel makkelijk gekopieerd worden door malafide websites. Als je iets toont op de website heeft dat niet zo veel nut, de browser zou iets moeten tonen.

Wat nog zou kunnen is dat de browser duidelijker aangeeft dat de website certificaat veilig is, door bijvoorbeeld de hele browser groen te maken.

Maar ja, de nep websites kunnen ook een SSL certificaat aanvragen en krijgen en dan worden ze ook groen. Je zou nog een speciaal certificaat kunnen doen die alleen door betaalinstanties mag worden gebruikt, dat zou misschien nog helpen. En dat dan de browser goed laat zien dat je op website x bent ingelogd.
zoals je ook over je eigen spelfout heen leest? wat is uiste ? :)
als anbamro.nl geregistreerd is door een scammer, zou je die er toch zo z'n domeinnaam kunnen afpakken wegens verkeerd gebruik? Of valt dit niet strafrechtelijk te vervolgen?
http://applesupport.com/ is ook fake, wij weten het maar andere 75% niet (is niet hun schuld!!)
Ik snap niet dat de banken dit soort adressen niet gewoon zelf kopen. En dan laten omleiden tot de echte website. Of in ieder geval een melding te weergeven dat ze waarscheindelijk naar deze website wilde gaan. Koop gewoon elk adress die ook maar een beetje er op lijkt
Heb je die Tikkie scam van laatst niet meegekregen? Daarbij was het volgende aan de hand;

1) De URL klopte niet (gewoon ronduit niet ook)
2) De site leek niet overtuigend op die van Tikkie
3) Er werd niet doorverwezen naar de app / iDeal / de bank app
4) Er werd gevraagd om de inlogtokens (ABN bijvoorbeeld) op de site zelf
5) Het proces gaf meermaals een foutmelding (omdat je eerst inlogt bij de aanvaller en dan een transactie bevestigd)

Toch zijn er genoeg mensen in getrapt om in het nieuws te komen en zelfs om te interviewen voor de NOS.
Ja apart is dat. Ik denk dat mensen soms al snel denken dat er wel iets stuk zal zijn, maar gewoon blijven proberen dan kom je er wel doorheen. Dat is gedeeltelijk mijn schuld als web developer. Sites zijn nou eenmaal niet altijd bug-vrij en gaan wel eens down met onverwachte gevolgen. Als je dan niet zo tech-savvy bent dan denk je "het zal wel, lekker doorklikken", en daar kan ik ergens wel inkomen.
Ja en nee ;)

Tegenwoordig kan je alle unicode tekens gebruiken in de url. En sommige unicode tekens lijken precies hetzelfde te zijn als de normale letters. Hierdoor zijn de tekens (en dus de url) anders maar als je er naar kijkt zijn het precies dezelfde pixels. Lees ook: https://www.theguardian.c...hishing-url-trick-hackers
Zo moeilijk is het natuurlijk ook niet.

Denoods maak je via CURL een proxy, dat is letterlijk één regel (okay 5 regels als je niet minifyed) en met een RegEx pas je even de inlog aan;

Dan lijkt het alsof het werkt, jij vangt alle data af en vervolgens toon je een nette 301 / 404 of 500 error (met daaronder een link "probeer het nog eens" die naar de echte pagina gaat).

Zo iets zet je in een uurtje op, en is wat dat betreft geen 260 euro waard (als je het omzet naar developers uren).
Daar heb je in het geval van banken waarbij een multi factor nodig is weinig aan. Zo iets werkt voor het harvesten van inlogcredentials maar maakt het daarna misbruik maken bij multifactor nog niet direct mogelijk.
niet geheel waar. Op de achtergrond kun je de ingevoerde gegevens doorzetten naar de echte site en op die manier een betaling doorvoeren. De gebruiker stuur je andere gegevens zodat hij denkt dat het inloggen niet lukt of de pas opnieuw gekoppeld moet worden, op de achterkant voer je een betaling uit.
Klopt, daar lopen die kant en klare pakketten ook op stuk.

Ze zijn ook niet het end-point van de oplichting, maar een schakel.

Ze weten immers je email / inlog / rekeningnr. etc... en daarmee gaan ze verder vissen (pun intended).

Bv. contact zoeken op Marktplaats en met de aanwezige kennis nog een stapje verder proberen te komen.
Dat is dus niet in alle gevallen waar. Ik weet niet of het overal zo is, maar bij een deel van de systemen hoef je voor het inloggen niet een tweestaps authenticatie te doen. Alleen voor het betalen.
Een fishing site kan daar gebruik van maken.
Als je je gegevens invuld om in te loggen, voert de server op de achtergrond die gegevens in op de echte website. En boekt meteen een betaling. de server moet nu iets invullen voor de tweestaps authenticatie. Op de phishing website moet je deze authenticatie doen om in te loggen en als je dat niet door hebt en deze invult, kan de server de betaling uitvoeren.
Bij Rabobank krijg je op de scanner altijd informatie over het bedrag en de ontvanger van de betaling. Dat zit in het code-plaatje en ik neem aan dat die informatie mee-gehasht is, dus dat je niet even een ander plaatje kunt laten zien.
Maar niet iedereen heeft 2FA ingesteld. Sterker nog; naar mijn weten hééft mijn bank het niet eens (zo te lezen wel gehad en die was dan zelfs weer onderheving aan - o.a. - MITM-attacks, in 2007 alweer) en krijg het op hun website terwijl ik ingelogd ben met internet bankieren niet eens gevonden...
" Zo iets zet je in een uurtje op, en is wat dat betreft geen 260 euro waard (als je het omzet naar developers uren). "

Als scammer wil ik mijn geld terug! Voel me opgelicht.
Eén minuut later...
- url verwijderd -
- let op - FAKE... einde van de dag haal ik hem weer weg, om misverstand te voorkomen...

[Reactie gewijzigd door Bor op 25 november 2018 20:45]

Wil je iets interessants horen? Firefox op mijn android vult in het login-veld automatisch al mijn T.net gebruikersnaam in...
Dan "sniffed" die blijkbaar de #ID's van het inlog-formulier, zonder te checken of de hostname wel overeenkomt.

Deels een fout van Firefox - maar ook van Tweakers (die moet gewoon random #ID's aan de velden hangen, om auto-complete te voorkomen - of "autocomplete=off" aan de velden meegeven).

Wel interessant issue, overigens... een ticket in de bug-tracker waard...
en als je dan met js submit heb je zelfs zonder interactie met de gebruiker het ww?
Ja, omdat je het verkeer achter het formulier kan afvangen - werkt ook zonder .JS of user-action...

Er zijn ook gewoon scripts die de hele range aan letters ( A-Z a-z 0-9 ) door een tekstveld janken en kijken of er een autocomplete wordt getriggerd.

Zo iets kan je in 5 minuten bouwen en zonder dat je zelf iets invoert, kan je dus zien of een veld aanslaat op een beginnende input... de rest van de input vang je dan vanzelf af door steeds "dieper" in de geldige range van characters te gaan zitten.
Met slotje, dus dan zit het goed. Zo hebben de banken me immers jarenlang getraind. Aldus de gemiddelde Toos en Piet. :+
Toos en Piet moeten dan wel even opletten; de banken hebben getraind op het weergeven van de juiste url én het groene slotje. 1 van de 2 is niet genoeg ;)
https://nos.nl/artikel/21...el-mensen-hebben-het.html

3 tot 5 % gaat hier dus intrappen aangezien ze dyslectisch zijn.. De ouderen kunnen ook steeds slechter lezen en klikken maar wat raak. Dus een scammer red de 4 a 5 % van zijn target wellicht wel zonder virus/malwarescanners. Gelukkig kopen de meeste ouderen (die toch al niks snappen ) makkelijk een virusscanner online bij een andere scammer. De jongeren krijgen gratis games of softwrae met ingebouwde malware want visuele dingen doen is makkelijker dan lezen en dus klik je er ook maar op raak.

Ik voorzie een briljante toekomst. 8)7 8)7 8)7 8)7 8)7

Overigens.
https://www.onderwijsinsp...l-dyslectische-leerlingen
Ze lezen gewoon niet meer, laat staan schrijven. Alleen maar klikken....

[Reactie gewijzigd door Treadstone op 25 november 2018 21:04]

Je gaat hier wel een beetje kort door de bocht voor wat betreft het leesvermogen van de ouderen.
Mijn moeder (79), doet nog grotendeels zelf haar bankzaken. (soms wat hulp van mij).
De website van de bank benaderd ze alleen via een bladwijzer in Firefox, nooit via een link in een mail.
Ze heeft zich nog nooit laten foppen door een phishing mail, bij twijfel kapt ze het proces gewoon af.
Jongeren denken vaak dat ze zich niet laten foppen en daardoor gebeurt het juist wel, teveel zelfvertrouwen.
Ik kan in elk geval vertellen dat het verhaal van ABN Amro wat langer is dan enkel 'let op het slotje'.
Nog een paar minuutjes later en ook de url lijkt nog ergens op ;)
Maar gaat dus echt makkelijk
Als je in één minuut een phishing-script kan schrijven, is het netter maken van de url een fluitje van een cent.

Desnoods fake je de url door een history.push te genereren in javascript... dan verandert het adres wel, maar doe je geen request naar de achterliggende server.

Op het oog zie je dus een net adres, in de praktijk zit je in een totaal onveilige omgeving.

https://developer.mozilla.org/en-US/docs/Web/API/History_API

En ja, dat is volkomen legitiem...

- edit -

https://deathgrunt.com/tmp/url.htm

Als je deze pagina bekijkt, zie je dat het adres in je balk totaal anders is...

Zolang je niet reload, heb je niet door dat de naam in het adres fake is, maar de pagina echt...

Het zijn simpele truukjes, maar 99.5% van de mensen wéét niet eens wat een URL is (of URI).

[Reactie gewijzigd door deathgrunt op 25 november 2018 19:12]

Maar je kan niet de domein naam veranderen met de history API.
Klopt, maar Apple toont bv. weer alleen een deel van het adres (omdat het dan lekker simpel is) en daar kan je weer slim op inspringen.

Het is ook niet allemaal zaligmakend, maar je kan gewoon door de glitches heen flink wat bereiken.

Wat Schellevis "beweert" stelt dus niets voor en kan elke wannabee-script-kid (zoals ik) in 1 minuut realiseren.
Dat je het pad kan aanpassen met de history API is echt totaal irrelevant, als je dat kan dan heb je al toegang tot het domein en kun je dat pad ook gebruiken zonder history API.

En glitches... (bugs) met de history API zijn er zover ik weet wel geweest maar dat is toch zeker geen bekende waslijst.

Phishing is real (en makkelijk) maar de huidige +2 die je nu op deze reactie hebt geeft echt een verkeerd beeld van wat er mogelijk is.

*edit*
Naar aanleiding @FuaZe

Wat niet kan met een phishing website:
De url deathgrunt.com "maskeren" als abnamro.nl

De API kan alleen het pad achter het domein aanpassen(zoals deathgrunt ook wel toegeeft in een latere reactie) maar het pad achter het domein heeft de houder van de phishing site sowieso toegang tot.
Waarom zou je "/niet-veilig.html" maskeren als "/veilig.html" als je ook gewoon "veilig.html" kunt plaatsen op je phishing site?

In de context van snel url mooi maken snap ik wel het punt maar "Op het oog zie je dus een net adres, in de praktijk zit je in een totaal onveilige omgeving." is gewoon onzinnig en alleen stemmingmakerij.

[Reactie gewijzigd door HolyPanther op 26 november 2018 09:03]

Als je zegt dat iets een verkeerd beeld geeft, heeft het weinig waarde als je niet tenminste een voorbeeld geeft dat aantoont dat het een vertekend beeld is...
Hij is fake, ik krijg altijd een gele banner met je blokkeert advertenties...
Mijn proxy is klantvriendelijk :)
Had dan op ze minst een bijbehoren url gefixt :9.
Tweakers.blog bijvoorbeeld :Y)

Maar dit laat in de basis wel zien hoe gemakkelijk je een site kan kopieëren en misbruiken.
Tja komt weer neer op de basis/ De Statusbalk.
Zolang sukkels de statusbalk niet gebruiken voordat ze ergens op klikken blijven deze sukkels slachtoffer van zichzelf worden.
Kijk waar de link naar verwijst en klaar is kees.
Deze 4 scheenshotjes vind ik dan ook enigszins misleidend aangezien ze er even de url balk vanaf geknipt hebben...

[Reactie gewijzigd door computerjunky op 25 november 2018 18:39]

Die statusbalk kan je eenvoudig faken, natuurlijk.

Als je de phishing-site vanaf een https-server toont, heb je al 'een groen slotje' (dus veilig, ahum...).

De titel in je tabblad zegt niets, en kan je ook faken.

Het adres is ook niet zo lastig... https :// abn.amro.nl ( waar de O een 0 is ) of https: // abnnro.nl ( ik roep maar wat ) valt ook niet iedereen op...
Groene slotjes let ik nooit op ik wil zien waar de link naar toe linked.

Tabbladen heb ik niet en titels zijn idd gewoon te wijzigen in de header.

En die typos vallen echt heel erg op als je een goed font als verdana gebruikt.
De O is duidelijk boller als de 0 en volgens mij zitten er in primaire domeinen helemaal geen hoofdletters dus krijg je meer zoiets als o0 wat nog meer op zou vallen.

De url in de zoek balk en url van de link in de statusbalk (ook in mail) heb ik nog nooit gemanipuleerd gezien. Dus als je goed op let Ijn die nog 100% betrouwbaar voor zover ik weet.
Dit is incorrect sinds een tijdje zijn er meerder characters toegevoegd die lijken op andere. Dit zal je dus ook niet zelf zien!
It is possible to register domains such as ‘xn--pple-43d.com’, which is equivalent to ‘аpple.com’. It may not be obvious at first glance, but ‘аpple.com’ uses the Cyrillic ‘а’ (U+0430) rather than the ASCII “a” (U+0041). This is known as a homograph attack.”

https://www.theguardian.c...hishing-url-trick-hackers
chrome heeft daar al lang een fix voor uitgebracht edge had die fix al en firefox laat bij mij gewoon russische text zien in de statusbalk ondanks dat ik een hele oude versie van firefox gebruik (54) vanwege support issues met de nieuwe engine.

En als ik dan toch op de link klik kijg ik dit:

https://i.ibb.co/hd07VfT/Naamloos.png

En als serieus bedrijf wil je deze opties natuurlijk toch al opkopen en het kost je maar een paar euro.
Dat is incorrect. Het gaat niet alleen om russische tekens sterker nog in mijn voorbeeld gaat het om een Cyrillic a of een ASCII a, deze zijn niet te onderscheiden.

Deze link geeft ook aan dat het probleem nog steeds bestaat. Check daarom niet alleen je url maar ook je certificaat. Elke bank heeft een EV certificaat. Daarin staat ook de bedrijfsnaam. Een EV certificaat krijg je niet zomaar dus is de kans dat dat misgaat vele male kleiner.

https://mm.icann.org/pipermail/ua-discuss/2018-June/002581.html
Een EV certificaat krijg je niet zomaar? Geloof je het zelf? Het proces om een EV-certificaat te krijgen is ook volledig geautomatiseerd, zeker bij de goedkopere certificaat verstrekkers (CA's) zoals Comodo, bijvoorbeeld.

Ja, bij een EV certificaat moet je als aanvrager ook bedrijf- of instellingsgegevens afstaan, maar dat is dan ook het enige. Controle is er nauwelijks, Comodo checked alleen of het KvK-nummer overeenkomt en dat is het dan.

[Reactie gewijzigd door CH4OS op 25 november 2018 20:27]

https://www.sslcertificaten.nl/support/Terminologie/EV_SSL_certificaat#globalsign

Dit zijn toch al heel wat meer controles dan bij een Letsencrypt certificaat. Zo kan je op deze manier eigenlijk altijd achterhalen wie hem heeft aangevraagd. Misbruik is dus veel lastiger. Ook valt het niet te automatiseren.

Ben het dus ook niet met je eens.
Let's Encrypt heeft dan ook geen EV-certificaten inderdaad, dus de vergelijking gaat daar al mank, dat zijn andere certificaten, binnen dezelfde standaard, dat wel.

Ik kan je uit eerste hand in elk geval vertellen dat EV-certificaten wel degelijk te automatiseren zijn, een maat van mij heeft namelijk op de website van zijn bedrijf een EV-certificaat, die gewoon geautomatiseerd is aangevraagd. Ook de checks zijn volgens mij geautomatiseerd uitgevoerd. Betrof echter wel een Comodo certificaat en géén GlobalSign (vandaar dat ik Comodo aanhaalde). Dat zijn nogal verschillende bedrijven. ;)

En de laatste tabel in jouw URL laat dat ook precies zien, wat ik hierboven al schrijf. Wellicht wat meer checks, maar nog altijd hebben ze dat echt allemaal geautomatiseerd en de validatie bij Comodo is ver te zoeken.

[Reactie gewijzigd door CH4OS op 25 november 2018 21:50]

Welke vendor laat dit toe? Bij EV (Comodo of niet) moet je ook allerhande telefonische checks doen. Als het bij iemand geautomatiseerd kan denk ik dat ze nogal illegaal bezig zijn.
Weet niet welke reseller het is, volgens mij ging meeste vanuit Comodo zelf. :) Ook zou ik niet weten waarom het illegaal is om bepaalde processen in die 'validatie' te automatiseren, dat heeft Let's Encrypt ook immers (heeft weliswaar geen EV-certificaten, maar dan nog).

Die telefoontjes weet ik zo even niet of hij die had, maar kan @bvk wel even lief aankijken daarvoor. ;) En ook dat kan geautomatiseerd zijn natuurlijk, dat je dus uiteindelijk een spraakcomputer aan de telefoon krijgt. ;) Illegaal is het sowieso niet. ;)

[Reactie gewijzigd door CH4OS op 25 november 2018 23:05]

Er gaat hier weinig automatisch bij hoor, er komen inderdaad allerlei controles aan te pas. Alles wordt nagekeken zoals bedrijfsadres en de gegevens uit WHOIS etc. En je wordt gebeld (door een echt persoon) met controle vragen wat je weer moet bevestigen vanuit het mailadres van de administrative contact.

En naast contact met de reseller heb je ook nog contact met Comodo.

Dus nee, een EV krijg je niet zonder die controles en kan/gaat niet automatisch.
Illegaal vanwege het contract tussen Comodo en de reseller.
En als serieus bedrijf wil je deze opties natuurlijk toch al opkopen en het kost je maar een paar euro.
Dat ligt er maar aan, qua prijs is het sowieso duurder dan je denkt. En anders help je de bank (of het bedrijf) in kwestie toch even? Als het toch niet zo duur is... ;)

[Reactie gewijzigd door CH4OS op 25 november 2018 21:50]

Dat is niet de statusbalk... die is al in Firefox 29 verdwenen. Dat is de adresbalk.
Zelfs de statusbalk die linksonder verschijnt bij het over een URL gaan met de muis zal dit onjuiste adres weergeven. Daar doelde computerjunky eerder al op. Blijft een redelijk goede manier om te zien (vooral in mailtjes) of een adres legit is.
De statusbalk is verdwenen maar de link komt naar voren gefloat als je over een link heen gaat.
Yep. Precies. Met de juiste randvoorwaarden en een oplettend oog valt het een welingelicht persoon op. Er zijn ook best wat mensen die die kleine verschillen niet zo duidelijk zien, niet weten waar ze op moeten letten of uberhaupt de hele boel al ingewikkeld genoeg vinden. Niet iedereen is een computerjunky ;)
Exact dat laatste.

ING stopt met TAN codes en roept trots dat iedereen al over is op hun app.

Navraagt geeft aan dat 75% de app gebruikt...

Dus 25% van alle mensen met een ING rekening hebben géén app, telefoon, smart-phone, geschikt OS, whatever om via de app in te loggen (en gebruikt de browser).

Dan heb je het over miljoenen sessies per maand die dus buiten de 'reguliere' kanalen om gaan.

Vang van die sessies 1% af omdat mensen niet lezen en je hebt alsnog tienduizenden sessies op je eigen server met een schat aan (meta) data...
Tja dat vind ik net zoiets als je in een auto achter het stuur vebinden en niet weten wat de regels zijn.
Het zijn een paar hele simpele voor iedereen te onthouden basis regeltjes die iedereen zou moeten weten als je je op het internet bevind.
Als je url controle al niet kan uitvoeren kan je misschien beter geen websites gebruiken.
Net als dat je een stop bord bij een zebrapad heb te herkennen. En het is heel makkelijk je weet immers waar je heen wil qua website dus klik niet op andere links.
Misschien maar keihard in de wet opnemen dat als je duidelijk de link had kunnen zien niemand wat vergoed. Misschien dat mensen dat motiveert.
Van andere wetten dien je immers ook op de hoogte te zijn anders zijn er consequenties.
Mensen moeten gewoon op een manier gemotiveerd worden in deze tijd van alles lui en makkelijk wil er verandering plaatsvinden.
Krijg jij dan met de aanschaf van je pc een handleiding veilig internetten?

Simpel gezegd, hoe zou een digibeet zich kunnen voorbereiden op een gevaar waar hij geen weet van heeft?

Natuurlijk kunnen ze je op school informeren maar de meeste inwoners van Nederland zitten inmiddels niet meer op school.

Het zal altijd een zwakke doelgroep blijven en die zijn waarschijnlijk net zo vatbaar voor alle andere vormen van oplichting.
Je vergeet voor het gemak dat je tegenwoordig veel zaken door de strot geduwd krijgt, of wel mee moet omdat er, als je niet mee doet, grote nadelen aan kleven. Het is niet als autorijden waar je verplicht een bewijs moet kunnen tonen dat je verantwoord deel kunt nemen aan het verkeer.

Met name de zwakkere deelnemers gaan hier natuurlijk in trappen, niet de mensen die alles zien en constant controleren :+
En die typos vallen echt heel erg op als je een goed font als verdana gebruikt.
Dat argument gaat niet meer op sedert je ook Unicode in url's kunt gebruiken. Zo kun je zelfs in om het even welke font het verschil tussen tweakers.net en twеakers.net niet zien. Het volstaat om één letter te vervangen door zijn equivalent uit bijvoorbeeld het Cyrillische alfabet en de url is niet meer van echt te onderscheiden. Oké, de browser zal zulke url's wel omzetten naar punycode maar dat gebeurt natuurlijk pas als je er al op geklikt hebt. En als binnenkort Google Chrome de url's niet meer in de adresbalk gaat weergeven heb je daar ook niets meer aan.

Dus voor de zekerheid toch maar dat groene slotje in de gaten houden. :)

[Reactie gewijzigd door Mr777 op 25 november 2018 19:51]

Dus voor de zekerheid toch maar dat groene slotje in de gaten houden. :)
ach het groene slotje....
Zelfs met een gratis Lets Encrypt certificaat heb je gewoon een 'groen slotje'. Daar zit verder 0,0 controle op. iedereen kan in 5 seconden een LE certificaat actief krijgen voor zijn website.
Precies. Ben het totaal met je eens en ik zou dan ook wensen dat officieele sites duidelijker kunnen aangeven dat je daadwerkelijk op de juiste url bent. Dat is technisch toch mogelijk?

Dan denk ik aan een controle icoontje/tekst op de site pagina zelf.

[Reactie gewijzigd door Madrox op 25 november 2018 19:54]

Het is te gemakkelijk om slachtoffers sukkels te noemen.

Mijn moeder is 79, redelijk vaardig met Ipad, mobiel en computer, maar zal het verschil tussen een phishing mail en een echte mail niet snel zien, laat staan dat zij weet of begrijpt hoe ze een statusbalk moet controleren. En al helemaal op een Ipad, waar een deel van de url "vanwege het gemak" verborgen is... :w

Denk ff na wie je sukkels noemt, aub... de wereld bestaat uit meer mensen dan alleen Tweakers!
- edit - URL bestaat nog, script is weg - het is wel bewezen dat het werkt, oa. NOS, ING en Tweakers werkte er goed in. Bij Tweakers werden zelfs de credentials "auto completed" omdat hun eigen formulier niet checked vanaf welk domein het gedraaid wordt.

(ik plaats het maar als reactie op mijn eigen bericht, omdat ik niet het bericht kan aanpassen omdat tweakers het niet grappig vond... terwijl het natuurlijk ook hun verantwoording is dat ze hun eigen formulieren zo "slecht" beveiligen dat er niet direct een redirect plaats vindt (of melding dat er echt iets niet klopt)...

[Reactie gewijzigd door deathgrunt op 25 november 2018 21:21]

Zal me even inloggen :+

[Reactie gewijzigd door osmosis op 25 november 2018 18:44]

Gelukkig heeft de password manager door dat het niet klopt.
En dan had je laatst op het forum iets over een GET-parameter direct gebruiken in de code... :X
Dat ging over een start-up die riep dat WeTransfer bewezen onveilig is...

...dit is een script dat in 5 minuten zowel ING als NOS als TWEAKERS leeg harkt en aantoont dat het kan... gewoon, omdat het kan :p
Ik ben oprecht geïnteresseerd in hoeveel credentials, zelfs met je melding dat het een fake site is, je in 24 uur hebt buitgemaakt.
Error-log (omdat er natuurlijk niets achter hing) bevatte in een uur meer dan honderd pogingen.

Overigens heb ik het script weggehaald, het was puur een proof of concept (in 5 minuten gemaakt) en wil niet dat het misbruikt wordt.
Ik probeerde net in te loggen, maar t lukt niet. Wat nu? 8)7 8)7 8)7
Eens getest met test/test als inlog.
=> “De CSRF-token is ongeldig. Probeer het formulier opnieuw te versturen.”

Heb je dan de gegevens reeds ontvangen? :?
Stel dat je het zelf doet (als bedrijf) dan bespaar je misschien 200 euro (inkoop vs. loonkosten). Als die persoon die het zou maken echter vanaf de eerste minuut meer dan 200 euro oplevert doordat je iets standaards gebruikt is het niet slim om het zelf te maken. Het is wat dat betreft hetzelfde als de kosten voor andere bedrijfsmiddelen.
Je zult toch nog altijd de site moeten nabouwen (ook redelijk makkelijk, maar toch, kost wel weer extra moeite)..
De mens blijft toch de zwakste schakel wat betreft beveiliging. Phishing sites worden akelig lastig te onderscheiden voor veel mensen en het lijkt er op dat veel misbruik on bestraft blijft helaas.

Je ziet bovendien meer en meer malware as a service waarbij je complete malware campagnes kunt huren on demand en waarbij zelfs maatwerk mogelijk is. Het geheel vaak betaald met cryptovaluta.

[Reactie gewijzigd door Bor op 25 november 2018 18:30]

Klopt, zelfs het befaamde groene slotje zegt niets...

https://deathgrunt.com/tmp/proxy.php?https://nos.nl/

Gewoon 'veilige' site, https / groen slotje / alles...

- edit - URL bestaat nog, script is weg - het is wel bewezen dat het werkt, oa. NOS, ING en Tweakers werkte er goed in. Bij Tweakers werden zelfs de credentials "auto completed" omdat hun eigen formulier niet checked vanaf welk domein het gedraaid wordt.

[Reactie gewijzigd door deathgrunt op 25 november 2018 21:08]

Maar hier tegen is gewoon te beveiligen, ik mag dan ook hopen dat banken dit doen :Y)

Als in, waarom zou een server met een domeinnaam er aan vast of überhaupt publiekelijk toegankelijk op poort 80/443 een HTML pagina op willen vragen van bijv. een bank. Dan moeten er al meteen rode vlaggetjes gaan wapperen. Wil je daar voorbij komen dan zou je als proxy een server moeten gebruiken waar geen domeinnaam en niet toegankelijk is.

[Reactie gewijzigd door Ventieldopje op 25 november 2018 18:48]

Als het niet via CURL gaat, doe je het via een fSocket of file_get_contents...

Natuurlijk beveiligen banken zich hier tegen, maar zo lastig is het niet - zeker als je puur rudimentaire data wil vangen (inlognaam en wachtwoord, bv...)

https://deathgrunt.com/tmp/proxy.php?https://ing.nl

Kut, zelfs dit adres werkt... welcome ING @ deathgrunt :P

- edit - URL bestaat nog, script is weg - het is wel bewezen dat het werkt, oa. NOS, ING en Tweakers werkte er goed in. Bij Tweakers werden zelfs de credentials "auto completed" omdat hun eigen formulier niet checked vanaf welk domein het gedraaid wordt.

[Reactie gewijzigd door deathgrunt op 25 november 2018 21:08]

Hier valt niet tegen te beveiligen, of je nu een curl doet of een website bezoekt in de browser is hetzelfde.

Daarbij:
- providers geven ook gewoon hostnames aan IP-adressen;
- servers hebben niet altijd reverse lookup geconfigureerd, dus kan je de hostname niet opvragen;
- iemand kan prima poort 80 en 443 open hebben staan omdat ze een webserver draaien, maar bezoeken de website gewoon in de browser, ga je dit dan aanmerken als 'server' en blokkeren?
Als in, waarom zou een server met een domeinnaam er aan vast of überhaupt publiekelijk toegankelijk op poort 80/443 een HTML pagina op willen vragen van bijv. een bank. Dan moeten er al meteen rode vlaggetjes gaan wapperen. Wil je daar voorbij komen dan zou je als proxy een server moeten gebruiken waar geen domeinnaam en niet toegankelijk is.
Omdat een browser anders niets kan weergeven?
Mensen kijken ook alleen maar het groene slotje, maar niet verder dan dat. Kijken ze ook naar het certificaat, dan zien ze gauw genoeg dat iets niet in de haak is. ;)
Daarom pleit ik ervoor om deels de inhoud van dat certificaat direct te tonen, bij het groene slotje, zonder dat eerst weer dat ceritificaat moet openen.
Een rood slotje als het onbeveiligd is.
Een geel slotje als het een normaal certificaat is
Een groen slotje als het een certificaat gekoppeld aan een bedrijfsnaam is (en deze bedrijfsnaam weergeven).

Je moet niet zomaar van alles uit het certificaat gaan laten zien, dan wordt het juist makkelijker om een certificaat te maken dat op die van de ABN/ING lijkt...
Slotjes voegen weinig toe, kleuren werken ook niet. Waarom zouden alléén EV certificaten wél veilig zijn? ;)
Dit wilde ik NET zeggen: "Deathgrunt heeft hier ooit een scriptje gedemonstreerd met CURL om eenvoudig een site te kopieren met 1 regel code".. hahaha.

En dan in je CURL wat zoek-en-vervangen en hopla, alle form activiteit gaat eerst naar jou toe voordat het naar de echte bank gaat...

Thanks voor je heldere voorbeeld.
Dergelijke templates zijn traditioneel getrouw dan ook makkelijk te maken, tegenwoordig is het lastiger met alle moderne html technieken die in de pagina's verstopt zitten maar simpelweg een pagina rippen en het login script veranderen is voor veel sites al genoeg.

Het meest creatieve dat ik ooit ben tegengekomen (En als prototype heb nagemaakt uiteraard zonder mechanisme die login's onderschepte en ook uiteraard nooit verspreid) was een nep-versie van de steam community die destijds rond ging met een spelfout in de URL. Deze bevatte een reverse proxy waardoor je de volledige functionaliteiten van de website kon gebruiken maar had 1 profiel vervangen waardoor dit een waardevolle trading partner leek en met een cloon van de login pagina die wachtwoorden onderschepte. De site zelf was dus niet van echt te onderscheiden gezien het voor 99% uit de echte website bestond.

Een oplichter hoefte dus nooit moeite te steken in het nabouwen van pagina's omdat je deze simpelweg kunt opslaan en bewerken. Enkel het aanpassen van pagina's met nieuwe vragen / repliceren van elementen kost hun tijd.
Runescape is het spel wat ik hierbij wil noemen. Ik dacht altijd dat ik me bewust was vanvan phishing sites, maar ben daar een keer door precies deze truuk gehacked. Ik wilde inloggen op het forum om ergens op te reageren wat zat op die 100% werkende website. Alles leek te kloppen. Url, groene slotje. Bleek toch niet te zijn. Blijkbaar zijn er voor dit spel heel veel phishing websites.
en natuurlijk de subdomein abuse vroeger (https://www .ru nescape.com .abc.de/# ofzo)

[Reactie gewijzigd door twizzle op 25 november 2018 19:40]

Met deze feiten is het naar mijn mening alleen maar des te vreemder dat makers van browsersoftware overwegen om de URL/adresbalk te gaan verbergen. Als ze niet meer opvallen door domme spelfouten, hoe moet je dan weten of je al dan niet op een phishingsite zit?
precies, bedacht ik me ook (met google/chrome vooraan dacht ik)
Als je in plaats van "https://www.ING.nl/bankieren/online/inloggen"

"ING Bank Inloggen" weergeeft.

En bij alle andere (niet geverifieerde websites) bij:

"https://bank.ing.nl.inloggen.onlinebankieren.nl"

In het bovenstaande kan iemand namelijk een nep URL maken, maar als je browser geen URL laat zien maar de daadwerkelijke, gevalideerde bedrijfsnaam, dan is het moeilijker.

[Reactie gewijzigd door FuaZe op 26 november 2018 07:10]

Zowiezo SEPA machtigingen uitroeien bij websites. Naam + rekening nr. is soms al genoeg om een betaling te doen. Met wat social engineering kun je vaak ook aan de NAW gegevens komen.

Wat je aan fake website hebt waarin je met bv. een Rabo scanner moet inloggen weet ik zo niet. Kunnen ze iets met de response van de reader ? Die is zowiezo beperkt geldig volgens mij.
Zo'n SEPA-machtiging wordt ook makkelijker weer ingetrokken, en als je eenmaal gemarkeerd bent als iemand die veel onjuist machtigingen blijkt te doen, krijg je ook niet zo snel meer een machtiging erdoor. Dus uitroeien lijkt me nog wat overkill, tenzij dat verandert.
Wat je aan fake website hebt waarin je met bv. een Rabo scanner moet inloggen weet ik zo niet. Kunnen ze iets met de response van de reader ? Die is zowiezo beperkt geldig volgens mij.
Je kan de echte website op je eigen pc runnen en dan doorlussen, als mensen dan niet op de scanner kijken bij het overmaken kan je alsnog wel wat geld verduisteren.

Maar als er wel wordt opgelet lijkt het me tamelijk zinloos ja.
Voor mijn bankzaken gebruik ik altijd een live usb-stick van Linux en tik de url altijd handmatig in. Dat is tamelijk omslachtig, maar ik doe het nu al jaren zo en ben het gewend. Dat extra minuutje langer dat ik bezig ben heb ik er graag voor over.
Cool om te horen! Ik doe dit ook altijd zo! Met een USB stick met write bescherming ook nog (moeilijk te krijgen tegenwoordig helaas)

Dit is de beste garantie dat je geen keyloggers of andere rare proxy shit op je computer hebt. Want hij is elke keer nog nooit gebruikt. Nadeeltje is wel dat je niet altijd met een up to date gepatchte browser werkt. Daarom ben ik altijd voorzichtig dat ik er alleen bankzaken mee doe en niet eerst allerlei andere sites ga bezoeken die hem mogelijk kunnen infecteren.

Probleem is wel dat sommige banken juist gaan mekkeren omdat ze denken dat het verdacht is dat je elke keer een 'schone' browser gebruikt. Bij ING heb ik elke keer zo'n activatie token in moeten voeren maar dat was na een tijdje gelukkig ook weer over.
Cool om te horen! Ik doe dit ook altijd zo! Met een USB stick met write bescherming ook nog (moeilijk te krijgen tegenwoordig helaas)
Hoe ben je dan van plan om je distrootje te updaten?
Vanuit source compileren nadat je alle regels code zelf gereviewed hebt? ;)
Die schrijf bescherming is gewoon een knopje dat je weer uit kan zetten ;)
Hmmm... De nieuwe ABN app kan tegenwoordig ook met QR codes werken. Ik geloof dat een officiële betaalpagina dus altijd een QR code optie weergeeft. Als je met je app een valse QR code scant (als dat al bestaat), wat zijn de gevolgen daar dan van? Herkent de app dat de pagina niet klopt?
De QR zit aan een IDeal transactie vast. Om een IDeal transactie te mogen starten moet je al best veel papierwerk doen. Als het vervolgens klachten regent over transacties met jouw scam wordt je IDeal account ingetrokken en komen ze jou of je katvanger achterna.
Bij een iDeal betaling zit je nog veilig. In het geval van ABN wordt voor het versturen van een betaling (optie 2 op de identifier) en het inloggen (optie 1 op de identifier) een andere code gegenereerd. Dus met het onderscheppen van de code voor het betalen kun je niet inloggen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True