Overheid helpt nauwelijks in strijd tegen phishing

Veiligheidsexperts bij verschillende financiële instellingen klagen over de gebrekkige overheidssteun in de strijd tegen phishing. Deze vorm van fraude steekt hoe langer hoe meer de kop op, maar de overheid lijkt weinig geïnteresseerd te zijn om actie tegen deze criminelen te ondernemen. Dave Cullinane, voorzitter van de Information Systems Security Association, stelt dat de politiediensten pas in actie willen komen als banken belangrijke financiële verliezen kunnen aantonen. Identiteitsdiefstal en phishing, waarbij een gebruiker denkt zich op een betrouwbare site te bevinden, maar in werkelijkheid omgeleid wordt naar de website van de fraudeurs, zijn dan ook twee veelbesproken onderwerpen onder de financiële instellingen.

Phishers hebben namelijk een niet te onderschatten voorsprong op de banken, doordat deze laatste vaak nu pas begonnen zijn met maatregelen om deze vorm van fraude te verhinderen. Officials van internationale banken stellen dat vooral de Europese en Aziatische klanten aandringen op een oplossing, bijvoorbeeld door authenticatie in twee richtingen, maar dat de Amerikaanse gebruikers eerder ongeïnteresseerd lijken te zijn. Zo zijn veel instellingen enthousiast over biometrische controles, zoals vingerafdrukscanners, maar stuiten deze op weerstand vanwege de gevolgen voor de privacy.

Illustratie phishing / diefstal van identiteit

IT-banen

Reacties (42)

Arcane Apex 9 december 2004 20:34

De gebruiker kan niet veel anders doen op het moment dan checken of een site https is en beveiligd met behulp van SSL en certificaten die ge-issued zijn door een bedrijf als Verizon.

Zelfs dit valt wel na te maken...maar in dat geval zal een phisher nooit een certificaat ge-issued krijgen van Verizon.

Ik heb zelf een keer meegemaakt dat een certificaat niet klopte en toen popte ook echt een megagrote foutmelding op het scherm dat iemand de boel probeerde te manipuleren.

Iets om aan te denken:

1) Nooit inloggen op basis van links in mails

2) Nooit bank/creditcard/account/geld-info verstrekken op verzoek via e-mails

3) Altijd checken of de site zowel https is en SSL-beveiligd en als de site SSL-beveiligd is dan is het gebruikelijk dat er ook een certificaat oppopt.
Gebeurt dit niet dan is of de site wel kosher en alleen SSL beveiligd, maar niet gecertificeerd, echter dit is toch verdacht, of er popt een grote window op met duidelijke taal waarin wordt gezegd dat er iets niet in de haak is.

4) Als een certificaat normaal oppopt en legitiem lijkt, kijk dan naar wie dit certificaat heeft ge-issued.
Is dit niet Verizon of een Nederlandse tegenhanger....jammer dan, dan maar niet inloggen.

5) En zelfs dit certificaat valt na te maken, maar elk certificaat krijgt een unieke versleutelde code met zich mee als het geissued wordt door Verizon, komt deze code NIET overeen met een al opgeslagen vertrouwd certificaat....dum-di-dum...jammer dan...niet inloggen.
Je hoort dan overigens wel een foutmelding te krijgen wanneer het SSL protocol deze code automatisch checkt en vergelijkt tegen de vertrouwde code van een vertrouwd certificaat.

Met name de code in punt #5 is niet of nauwelijks te faken, tenzij de phishers beschikken over quantum-computers die de versleutelde Verizon code kunnen kraken.
Of er eens flink 300000 jaar tegenaangaan met brute force en een flink server-park.

Trouwens dat er geen certificaat oppopt hoeft niet te betekenen dat een site niet deugt, mijn ftp-server is wel SSL beveiligd, maar niet gecertificeerd...gewoonweg omdat ik users niet lastig wil vallen met oppoppende certificaten.
Tevens kost een echt betrouwbaar certificaat ook zo'n 100 euro of dollar per jaar.

arjankoole

Bedrijfsnieuws

@Arcane Apex • 10 december 2004 08:14

die SSL certificaten zijn alles behalve heilig, zo hadden een paar slechte mensen al eens een SSL cert weten lospeuteren die op naam stond van Microsoft, en niet revokable was.

Verwijderd @Arcane Apex • 10 december 2004 10:03

Als m'n host postbakn is, laat ik toch bij verisign ook postbakn registreren en geen browser die klaagt dat de certificate NIET klopt.

tofus 9 december 2004 20:28

Tweakers.net weet niet zo goed wat ze willen...

quote uit dit artikel:

Phishers hebben namelijk een niet te onderschatten voorsprong

quote uit recent artikel (4 dagen oud):

'Schade veroorzaakt door phishing wordt overschat'

Beetje inconsequent, niet? Dit is dus precies wat er gebeurd als je met FUD te maken hebt...dit is zeg maar het 'uncertainty and doubt'-gedeelte...

...Geeft volgens mij goed aan in hoeverre tweakers.net al verstrengeld is in de FUD molen rond phishing. Ik snap alleen niet dat ze gewoon vrolijk mee blijven doen. Lopen de reklame-inkomsten terug, of zo?

solatis @tofus • 9 december 2004 22:09

Ik denk meer dat het te maken heeft met de manier hoe artikelen overgenomen worden op t.net. De teksten die hier staan worden in vrije lijn overgenomen, waaronder ook de FUD.

Dit hele artikel draaide om de FUD, vandaar dat het ook overgenomen werd..

Vunzz @tofus • 9 december 2004 23:01

Het eventuele overschatten van het phisingprobleem hoeft een eventuele technische voorsprong van de daders toch niet in de weg te staan?
Ik zie de inconsequentie niet helemaal.

tofus @Vunzz • 10 december 2004 14:41

Het eventuele overschatten van het phisingprobleem hoeft een eventuele technische voorsprong van de daders toch niet in de weg te staan?

Mijn punt was ook niet of phishers al dan geen technische voorsprong hebben (op wie eigenlijk precies is me nog onduidelijk; bedoelen ze alleen eindgebruikers?), maar over het feit dat die technische voorsprong al dan niet onderschat wordt.

Je kunt pas van onderschatten spreken als de gevolgen van deze technische voorsprong significant in cijfers terug te vinden zou zijn. Dat blijkt dus duidelijk niet (en overigens in het verleden ook nooit) het geval te zijn.

Kortom: door dit soort nieuws te posten, wordt alleen maar een angstbeeld (de 'fear' in FUD - 'fear, uncertainty and doubt') bij 'domme' eindgebruikers opgewekt, die daardoor (onterecht!) nog meer aan de veiligheid van internet gaan twijfelen.

En dat was dus precies wat Tweakers.net vier (inmiddels vijf) dagen geleden notabene *ZELF* meldde.

Daar zie ik toch wel enige inconsequentie in, moet ik je eerlijk zeggen. De nieuwsposter had misschien zelf eerst in de archieven van tweakers.net moeten kijken, voordat er lukraak een artikel van een andere site wordt overgenomen. Da's nu juist het mooie aan archive en een search-functie.

Floor @tofus • 10 december 2004 15:49

Sorry, maar daar ben ik het niet mee eens. Door zelf aan een artikel te gaan rommelen ga je dus bewust afwijken van het bron artikel. Wanneer is er dan sprake van censuur? Je maakt de grens dan wel erg vaag.
Dat mensen angstig worden is enezijds niet goed maar aan de andere kant maak je mensen wel bewust van de risico's.

tofus @tofus • 10 december 2004 16:18

@Floor:

Ik denk dat het klakkeloos overnemen van een artikel, zonder daarbij (desnoods in een voetnoot door de nieuwsposter) te refereren naar (notabene) zeer recente artikelen met een haakse inhoud, niet echt 'the way to go' is, zeg maar....althans, vanuit het perspectief van 'proberen zo objectief mogelijk over te komen, en de lezer zo volledig mogelijk over het onderwerp te informeren' bekeken dan....

Maar ja, ik besef ook wel dat een site als tweakers niet echt af te rekenen valt op haar journalistieke kwaliteiten....

...maar ik doe mijn best

Verwijderd @tofus • 10 december 2004 16:34

@ tofus,

Klik voor de zekerheid eens op het dropdownlistje van gerelateerde nieuwsitems

Kurgan @tofus • 10 december 2004 00:52

Phishers hebben namelijk een niet te onderschatten voorsprong
Schade veroorzaakt door phishing wordt overschat
Tweakers.net weet niet zo goed wat ze willen...

Het een hoeft het ander toch niet uit te sluiten? Wees liever blij dat er minder schade wordt aangericht dan gedacht. En T.net rapporteert overigens alleen maar het nieuws, ze maken het niet hoor. Als je iets rapporteert wil dat niet zeggen dat het gelijk je eigen mening is.

En wat zou jij dan trouwens willen doen tofus? Rustig afwachten tot er wél forse schade ontstaat door phishing en dan pas maatregelen nemen? Lijkt me niet zo'n heel erg strak plan eerlijk gezegd...

tofus @Kurgan • 10 december 2004 14:45

En wat zou jij dan trouwens willen doen tofus? Rustig afwachten tot er wél forse schade ontstaat door phishing en dan pas maatregelen?

Nee hoor, ik zou gewoon gepaste maatregelen nemen. Een van die maatregelen zou zijn: het juist en met correcte cijfers informeren van de eindgebruikers die een mogelijke doelgroep zijn voor phishers (lees: bijna alle eindgebruikers). En dat correct informeren doe je door niet elke paar dagen een artikel over phishing te plaatsen wat een ander artikel weer geheel (of gedeeltelijk) tegenspreekt.

Dat soort wishy-washy (excusez les mots...) informeren saait alleen verwarring bij eerder genoemde doelgroep, en daar heeft niemand wat aan.

Natuurlijk is tweakers.net geen hoogstaande journalistieke organisatie (althans, dat was geloof ik niet de opzet van tweakers.net

), maar dat betekent niet dat je geen (opbouwende) kritiek kan leveren als je vindt dat ze wellicht wat te makkelijk met alle winden meewaaien....

...en dat meewaaien was in dit geval aan de orde, althans, in mijn ogen. En persoonlijk zie ik dan liever een nieuwsitempje minder op een dag, dan een nieuwsitem wat eigenlijk niet eens de naam 'nieuws' mag dragen.

Verwijderd 9 december 2004 19:54

Wat ik niet snap; waarom zijn de Amerikaanse klanten niet geïnteresseerd om dit probleem op te lossen? Als ze ergens altijd meteen met maatregelen aankomen (zeker als het ze geld kost), dan is het daar wel.

Vind het wel jammer dat de overheid dan weer zo weinig doet om te helpen. Als je soms hoort waar ze een hele middag over debatteren is Den Haag.... Dit lijkt me best een belangrijk probleem en snel aanpakken is veel beter dan het eerst eens rustig aankijken tot de banken exact kunnen aantonen wat hun verliezen zijn.

ekx @Verwijderd • 9 december 2004 23:44

wel, volgens hun 'en ik DENK' en ons systeem krijgen wij fraudeuleuze gevallen terugbetaald. daar staat wel een limiet op ff course, maar dit is toch één van de grootste redeneringen.

bonzz.netninja 9 december 2004 19:43

wat is phishiing

kodak

Bedrijfsnieuws

10 december 2004 02:32

Ik heb wel een vermoeden waarom die Amerikaanse klanten er niet zo op zitten te wachten. Bekeken vanuit de manier van regeren in de USA: groot voorstander van zelf regulering van de sector en zo min mogelijk overheidssteun, is de kans groot dat als er daar iets gedaan gaat worden de klanten er volledig voor op draaien. Het kost de bedrijven die slachtoffer zijn heel veel geld om eerst met goede bewijzen te komen. Veel meer dan wanneer de overheid zou meehelpen bewijs te verzamelen. Maar je kan je afvragen of de klanten daar rekening mee houden. Ik zou dan eerder denken dat de Europese en Aziatische klanten zich bewuster zijn dat ze een rol spelen in de beslissingen die een bedrijf maakt. Amerikanen zijn veel meer op zichzelf gericht, geloven niet in het moeten laten horen van een mening die tegen dat van een bedrijf in gaat, het bedrijf weet het beter en bevalt die niet dan gaan ze liever naar een ander of laten het zitten. Veel consumenten programma's heb je daar dan ook niet. ieder dopt zn eigen boontjes. Of dat de meest slimme houding is betwijfel ik, maar krijg ze maar eens zover dat ze zich er druk om willen maken. Dat kost jaren en bakken met geld.

miw @kodak • 10 december 2004 10:22

Het aardige is juist dat in Amerika de creditcard betalingen zo'n hoge vlucht nemen omdat de kaartorganisatie het fraude risico draagt. Daarom wordt er door creditcard bedrijven veel geinvesteerd in fraudebestrijding (ook bij geldautomaten). In Europa moet je als klant van een bankinstelling bewijzen dat je slachtoffer bent van fraude. Daardoor kunnen banken lekker achterover leunen in fraude bestrijding en -preventie, want het is moeilijk voor een klant om fraude aan te tonen. Als de banken het fraude risico kunnen afwentelen op consumenten zal fraude dus echt flink toenemen.
Het wordt dus tijd dat de overheid actie onderneemt en de geldinstellingen meer verantwoordelijk maakt bij fraude (vals geld, geldautomaat, pinpas kopieren, phishing, ....)

borft 9 december 2004 19:39

wat is phising?
of stel ik nu een domme vraag?

Satch @borft • 9 december 2004 19:43

Niet dom , maar phishing is dat je een site maakt die bijvoorbeeld ongelofelijk op de site van postbank.nl lijkt met bijvoorbeeld als adres postbakn.nl . Vervolgens loggen mensen die het niet merken dat ze op een andere site zitten gewoon in met hun gegevens of creditcard en heeft de maker alle gegevens.

mxcreep @Satch • 9 december 2004 19:50

Aangepaste host files komen ook voor ipv typo domeinnamen...dan heb je dus echt geen idee dat je verkeerd zit...totdat je het ssl certificaat bekijkt bij het overgaan naar een beveiligde verbinding voor inloggen...

Verwijderd @borft • 10 december 2004 04:34

Beter lezen. Staat namelijk gewoon in het artikel:

Identiteitsdiefstal en phishing, waarbij een gebruiker denkt zich op een betrouwbare site te bevinden, maar in werkelijkheid omgeleid wordt naar de website van de fraudeurs, zijn dan ook twee veelbesproken onderwerpen onder de financiële instellingen.

Verwijderd 9 december 2004 21:33

In België wordt er meestal gebruikt gemaakt van methodes die meer dan alleen maar gebruik maken van login en wachtwoord. Zo zijn er die gebruik maken van een extra key-bestand dat op de harde schijf of diskette wordt bewaard, anderen maken dan weer gebruike van een kaartlezer en nog andere van een soort rekenmachientje dat een sleutel genereerd. Bij deze methodes is het voor phishers quasi onmogelijk om zo aan het geld van anderen te komen. Ik weet nu niet welke methodes er in Nederland gebruikt worden, maar een methode die enkel een login en wachtwoord gebruikt zo gewoonweg moeten verboden worden... Dat ze daar eens een wet aan besteden...

T-MOB @Verwijderd • 9 december 2004 22:20

Uhmm het idee van Phising is nou juist dat je die extra security sleutels aan fraudeurs overdraagt omdat je denkt dat je op de echte website zit. Oftewel de fraudeur maakt een website die lijkt op de echte, jij logt in en wil een transactie doen en levert dus de beveiligingscode. De fraudeur gebruikt die code om zijn frauduleuze praktijk mee uit te voeren.. et voila, leeg is de beveiligde bankrekening.

Verwijderd 9 december 2004 19:55

Het al dan niet gebruiken van die biometrische zaken zoals vingerafdrukken of het scannen van de iris zal ni veel uitmaken op gebied van privacy. Niet dat ik er mij bij neerleg, in geen geval zelfs, maar als iets over iemand moet geweten worden, dan zal dat nu ook wel al gaan. Dus kom op met die biometrische spullen, want de kans op inbreuk van privacy zonder die extra beveiliging is groter dan de kans dat er toevalg uit de massa je naam adres en andere persoonlijke informatie halen.

Waarom de kans groter is bij phishing? Logisch, als je gegevens dan in de verkeerde handen komen wordt het zeker misbruikt, dat was immers de bedoeling.
In het andere geval zit jij als individie in een hele lijst... De kans dat je daar dan wordt uitgenomen is groter.
Dus, bij uitsluiting van het slechtste gaan we maar pro-biometrische controles.

jmvriesen 9 december 2004 22:53

Hoe zit t dan met dat Rabobank Internetbankieren

Ze zeggen dat het veilig is door de aparte cardreader die je krijgt -> steeds variabele code intikken op scherm.

Of moet ik a.s.a.p. weer overstappen op het ouderwets baliebezoekje

(wel een knappe griet als baliejuffrouw

mtak @jmvriesen • 9 december 2004 23:34

Maar dan hebben ze wel je rekeningnummer en pasnummer(bij abnamro dan). En als ze met een beetje goed verhaal komen over pinpassen en codes dan zijn er genoeg mensen die hun pincode intikken volgens mij.

hanneman @mtak • 10 december 2004 00:34

Ze krijgen dan alleen je rekeningnummer. (rabobank)
De inlogcode is een variabele code afhankelijk van: pasnummer,pincode,tijdstip,cardreadernummer,rekeningnummer, en nog meer zaken misschien.
Daar komt ook nog eens bij dat de code een minuut later niet meer werkt als je hem nog niet ingevuld hebt op de site.
Lijkt me moeilijk een pincode uit te halen zo?

HDoc @hanneman • 10 december 2004 18:08

Bij de ABN-AMRO is er ook een versleuteld systeem. Criminelen hebben ook niets aan een éénmalige code - alleen de combi originele pas - PIN-code - ABN-AMRO computer werkt.

Flatline 9 december 2004 19:57

ik stuur jou een mailtje met de mededeling: er is iets mis met je pinpas, ga naar de volgende url om je pincode en andere gegevens te bevestigen. Deze url lijkt iets van de bank te zijn maar stuurt je richting oplichters en voila, ze hebben de codes die ze zoeken, incl b.v. de securitycode achterop je creditcard. (laatste drie cijfers op je handtek. strip)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (42)

Sorteer op:

Weergave: