Postbank-klanten doelwit van phishingmail

Voor de tweede keer in vijf maanden wordt gepoogd klanten van de Postbank op te lichten via e-mail. In een Engelstalige e-mail vragen de oplichters op een link te klikken, die door lijkt te verwijzen naar de site van de Postbank. De e-mail is ondertekend zijnde afkomstig van de bank. Wanneer men op de link klikt, wordt in een popupvenster gevraagd om de gebruikersnaam, het wachtwoord en de eerste drie TAN-codes in te vullen die nodig zijn om bij de bank te internetbankieren. Via zijn site waarschuwt de bank dat het nooit op deze manier om de wachtwoorden van zijn klanten zal vragen en dat men daarom op moet passen: deze mail is nep.

Postbank Leeuw Wie ondanks de waarschuwing toch op de link heeft geklikt en zijn wachtwoord heeft vrijgegeven, moet direct zijn gebruikersnaam en wachtwoord wijzigen en zo spoedig mogelijk telefonisch contact opnemen met de bank. Het is niet bekend hoeveel e-mails er zijn verstuurd. Beveiligingsbedrijf Cleanport heeft naar eigen zeggen binnen enkele uren duizenden mails tegengehouden. Het vermoeden rijst dat de e-mails vanaf een Russisch adres zijn verstuurd.

IT-banen

Reacties (153)

153

152

Wijzig sortering

DynamicDreams 5 juni 2005 14:03

Zo zag die website eruit:

http://www.martin-bakker.nl/upl/screenshot_postbank.jpg

Ids Lupo @DynamicDreams • 5 juni 2005 14:07

Woehaa!

"enter your next three TAN codes" .....

Nou als je dan geen lampje gaat branden dan mogen ze van mij een kudde van die blauwe leeuwen achter je aansturen. Grrrrrr

Verwijderd @DynamicDreams • 5 juni 2005 14:09

Het is ook nog een russische site. Je gaat toch niet serieus je Postbank gegevens invoeren op een .ru site, half in het Engels die je belangrijkste gegevens vraagt

Verwijderd @DynamicDreams • 7 juni 2005 13:56

hahaha zwaaaaaaar nep. Als ik of een andere webdesigner een Phishingmail zou maken, precies in de stijl van de postbank zou het toch een stuk geloofwaardiger zijn.

Speedswitch 5 juni 2005 13:57

Ik heb hem ook al gehad, en ik kan je zo ook wel zeggen dat deze pishing site ontzettend nep is. Bij mij begon meteen een lampje te branden,
Als je een beetje verstand heb, trap je hier niet in.

Verwijderd @Speedswitch • 6 juni 2005 08:27

De mail verwijst ernaar dat geverifieerd moet worden of de emailadressen nog kloppen omdat sommige mensen geen toegang meer hebben tot hun emailadressen, en dat het voor je eigen bescherming is. Dat is voldoende vraag om mensen te doen twijfelen.

Enig probleem is wel dat de mail in het Engels is opgesteld... Hadden ze hem in het Nederlands opgesteld met nog her en der wat Postbank logo's ed, dan was dit toch echt een goede phishing-mail geweest hoor...

Verwijderd @Verwijderd • 6 juni 2005 11:19

Zelfde hier in Portugal met Millenium BCP. Behalve in het engels, wordt je ook niet met je naam aangesproken maar alleen met je email adres. Verificatie email was ook hier het excuus. Alleen heeft het hier niet het nieuws gehaald, men vindt het niet belangrijk mensen te waarschuwen tegen dit soort praktijken.

Strike_2 @Verwijderd • 6 juni 2005 15:05

Hehe, eindelijk iemand die iets begrijpt van encryptie...

TAN-lijsten zijn het meest veilige authenticatie-systeem ter wereld, omdat:
a: de authenticatie-informatie op papier ligt opgeslagen, niemand kan je PC hacken voor je en bedrijven kunnen hem in de kluis leggen.
b: elke code is _per definitie_ random, de kans dat er 2 dezelde codes tegelijk in gebruik zijn of dat dezelfde code een tweede keer voorkomt is nihil.
c: elke code word maar 1X gebruikt (i.t.t. passwords die bijna nooit veranderen)
d: Er bestaan maar 2 plaatsen waar de code staat: op jouw blaadje en in een (zwaar) beveiligde database van de bank. Bij non-digitale systemen worden die codes gewoon op papier bewaard en _nooit_ gekopieerd. Als er 1 vel kwijt is, wordt er gewoon een nieuwe lijst gemaakt en verdeeld.

Dit systeem werd in de 2e wereldoorlog (en nu nog) gebruikt voor encryptie tussen onderzeeboten en thuishavens. De kap'tein had in zijn kluis een code per transmissie liggen. Als er een nieuw bericht werd verzonden, werd er een nieuwe code gebruikt.
Destijds werden codes 'gegenereerd' door een groep dames met bingo-molens. Elke keer werd het baletje genoteerd en terug in het apparaat gestoken.
De enige zwakte was, dat de dames vaak een bal 'negeerden' als ze hem net al hadden gehad. Hierdoor werden de kansen veranderd op een balletje.

Mensen dit dit interessant vinden, moeten het boek cryptonomicon lezen van Neal Stephenson.

Sagi @Verwijderd • 6 juni 2005 17:00

Mag ik je er even vriendelijk op wijzen dat niks 'per definitie random' is?

"Although randomness can be precisely defined and can even be measured, a given number cannot be proved to be random. This enigma establishes a limit to what is possible in mathematics."

http://www.cs.auckland.ac.nz/CDMTCS/chaitin/sciamer.html

Verder vergeet je dat de TAN code ook opvraagbaar is per sms en ik neem aan dat die tamelijk makkelijk onderschept kunnen worden door een serieuze derde partij.

Meer over hoe de postbank probeert het zo veilig mogelijk te houden: http://www.postbank.nl/ing/pp/page/article/detail/0,2842,1859_103828_3 41824,00.html?linktype=int

miw @Verwijderd • 7 juni 2005 09:24

En ooit gehoord van een man in the middle attack? Helpt ook deze meuk niet tegen. De banken wentelen alle veiligheidsrisico's af op de consument. Had U maar niet op die link moeten klikken, of een goede virus en/of spyware scanner en/of de laatste OS update moeten installeren. Ondertussen zijn er wel voor duizenden Euro's tamelijk ongebruikelijke transacties op een rekening uitgevoerd, zonder dat de bank even contact opneemt of dit allemaal wel klopt.
Controle op transacties kan door banken vrij simpel uitgevoerd worden en levert een aanzienlijke verhoging van de beveiliging op. Maar banken doen dit niet omdat het te duur is en omdat ze de kosten kunnen afwentelen op de consument.

mtak @Speedswitch • 5 juni 2005 23:07

Ik had m ook gekregen maar ik heb helemaal geen internet bankieren van de postbank, dat valt nogal snel op

FendtVario @Speedswitch • 5 juni 2005 18:00

Niet echt handig als je hierop reageert natuurlijk. Het blijft jammer dat er toch altijd mensen zijn die hier in trappen en dat hoeven niet eens altijd de computerleken te zijn.

defiant Moderator General Chat 5 juni 2005 14:18

Ik geef inderdaad toe dat je wel heel erg naief moet zijn hier in te trappen, maar ze zullen het niet doen als er niet een aantal mensen in zou trappen.
Het probleem van de postbank is de codes die je krijgt altijd geldig zijn. Heb je de inlog codes plus de TAN codes, dan kan je geld overmaken.
Het systeem dat sommige banken hanteren met een electronische handtekening dmv een aparte rekenmachine is in principe veel veiliger. (ik weet niet de codes daarvan beperkte geldigheid hebben, wat de veiligheid nog verder zou verhogen).

En er zijn ook wel meer mogelijkheden om phishing technisch moeilijk te maken. Zo kunnen browsers meer waarschuwen als een bank site geen of niet geldige SSL beveiliging heeft.

Maar wat ik niet begrijp is de noodzaak van banken om een browser te gebruiken voor bankzaken. Een browser blijft toch een enorm veiligsheidsrisico, met voor de niet technische gebruiker toch een hoog risico op spyware/adware/malware. Een dedicated programma zou veel meer beveiliging kunnen bieden, doordat je als je het goed aanpakt veel meer controle/veiligheid kan inbouwen in een programma wat je helemaal zelf kan maken.
(het heeft natuulijk ook zijn minkanten, zoals banken die zich dan alleen gaan richten op windows)

Erkens @defiant • 5 juni 2005 14:24

En tegenwoordig kan je die TAN codes ook per transactie krijgen via een SMS, veel veiliger dus dan een lijstje.
Daarnaast moet je gewoon aan niemand je gebruikersnaam+password geven, dat doe je toch ook niet met je PIN-pas+pincode

Overigens is het voordeel van een browser, dat je geen software hoeft te installeren en even veilig is als met een externe applicatie. Ook kan je met een browser gewoon overal en altijd je saldo bekijken/overschrijven (voor overschrijven met een andere bank moet je altijd zo'n apparaat meeslepen, ook niet handig

)

defiant Moderator General Chat @Erkens • 5 juni 2005 14:30

En tegenwoordig kan je die TAN codes ook per transactie krijgen via een SMS, veel veiliger dus dan een lijstje.
Dat ben ik niet helemaal met je eens, de drempel is hoger, maar als mensen al over de drempel heen zijn dat ze de TAN codes uitgeven, dan ben je ook met SMS niet veilig.
Het feit is dat de TAN code een onbeperkte geldigheid heeft, en niet direct gekoppeld is aan de transactie die je maakt.
Overigens is het voordeel van een browser, dat je geen software hoeft te installeren en even veilig is als met een externe applicatie.
Een browser even veilig als een externe applicatie?
Dat lijkt me toch erg onwaarschijnlijk, vooral gezien een browser met al zijn plugin/script/activex/etc mogelijkheden enorm gemanipuleerd kan worden.
ook kan je met een browser gewoon overal en altijd je saldo bekijken/overschrijven
Veiligheid of gemakzucht, helaas kiezen de meeste mensen inderdaad voor gemakzucht.

defiant Moderator General Chat @defiant • 5 juni 2005 15:22

duidelijk een reactie van iemand die er geen verstand van heeft.
offtopic: aan dit soort kwalificaties heb je natuurlijk niks
Je hebt geen eens TAN codes, je krijgt er 1 zodra je een transactie doet
Ik heb alleen girotel, dus dat wist ik niet, het maakt het opzich een stuk veiliger ja.
je vergeet even dat die applicatie over hetzelfde netwerk moet
Tuurlijk, maar als je het goed aanpakt kan je er voor zorgen dat een dedicated programma goede end-to-end security biedt, zelfs over een onveilig of gehacked netwerk .
Als er voldoede veiligheid is ingebouwd, kan een dedicated programma simpelweg weigeren te functioneren als DNS servers zijn gehacked.Door bijvoorbeeld voor het programma opstart een public/private keyexchange te doen met de server van de bank.
Een browser gaat nou eenmaal, gehackte DNS of niet, naar de phishing pagina.
zodra het niet eenvoudig te gebruiken is zal het juist onveiliger worden, bijvoorbeeld briefjes op monitoren etc
Het gaat erom dat de bank al het mogelijke moet doen om dit soort praktijken tegen te gaan. Moedwillig het veiligheids nivo verlagen om het gebruiksgemak te bevorderen lijkt me sowieso de verkeerde inslag.

Erkens @defiant • 5 juni 2005 15:00

Dat ben ik niet helemaal met je eens, de drempel is hoger, maar als mensen al over de drempel heen zijn dat ze de TAN codes uitgeven, dan ben je ook met SMS niet veilig.

duidelijk een reactie van iemand die er geen verstand van heeft.
Je hebt geen eens TAN codes, je krijgt er 1 zodra je een transactie doet

Een browser even veilig als een externe applicatie?
Dat lijkt me toch erg onwaarschijnlijk, vooral gezien een browser met al zijn plugin/script/activex/etc mogelijkheden enorm gemanipuleerd kan worden.

je vergeet even dat die applicatie over hetzelfde netwerk moet

Veiligheid of gemakzucht, helaas kiezen de meeste mensen inderdaad voor gemakzucht.

zodra het niet eenvoudig te gebruiken is zal het juist onveiliger worden, bijvoorbeeld briefjes op monitoren etc

Verwijderd @defiant • 5 juni 2005 15:24

Het feit is dat de TAN code een onbeperkte geldigheid heeft, en niet direct gekoppeld is aan de transactie die je maakt.

Een TAN-code is niet gekoppeld aan een transactie, wel aan een bedrag...

Remus @defiant • 5 juni 2005 21:12

@MagicPatrick
Dat is alleen bij de SMS-tancodes.

Verwijderd @defiant • 5 juni 2005 14:30

Maar wat ik niet begrijp is de noodzaak van banken om een browser te gebruiken voor bankzaken. Een browser blijft toch een enorm veiligsheidsrisico, met voor de niet technische gebruiker toch een hoog risico op spyware/adware/malware. Een dedicated programma zou veel meer beveiliging kunnen bieden, doordat je als je het goed aanpakt veel meer controle/veiligheid kan inbouwen in een programma wat je helemaal zelf kan maken.
(het heeft natuulijk ook zijn minkanten, zoals banken die zich dan alleen gaan richten op windows)

Ten eerste hebben de meeste banken nog wel een speciaal programma om te telebankieren. Ten tweede is een browser handiger omdat je dan overal ter wereld kunt internetbankieren. In de meeste publieke internet plaatsen mag je immers geen applicaties installeren.

Daarbij komt dat een ssl verbinding echt wel veilig is. Het enige lek is meestal de gebruiker zelf. Als jij gewoon het webadres van je bank in tikt kan er niet veel mis gaan, beter nog: het IP adres, dan weet je zeker dat ze ook niets hebben uitgevreten met je hosts file of je dns server.

Het systeem met wachtwoorden is doodgewoon onveilig. Elke bank die geen keygen (zo noem ik die dingen maar even) gebruikt is een potentieel veiligheidsrisico. Een wachtwoord kun je altijd onderscheppen, het zij met een sniffer of met een omleiding naar een vals web adres zoals hier het geval is. Als je een keygen gebruikt dan zal de slechtering en je keygen moeten hebben en je bankpas anders is die code praktisch niet te kraken.

Hier in de UK gebruiken ze ook allemaal een wachtwoord om op je internetbankieren te komen, maar reken er maar wel op dat ik mijn wachtwoord wel 1 keer in de maand verander...

Mensen moeten niet steeds de verantwoordelijkheid afschuiven naar een bedrijf of naar een browser, 99% van de veiligheid ligt bij jezelf. Voor die andere 1 % kun je of een andere bank kiezen (eentje met keygen) of je bent er meestal tegen verzekerd.

Tigertje @Verwijderd • 5 juni 2005 15:40

Mijn inloggegevens mogen ze van mij kraken zolang ze maar niet aan mijn TAN codes komen. En die liggen hier, bij mij thuis, veilig opgeborgen.
Zolang ze die niet hebben kunnen ze lekker rondkijken en naar mijn rekeningen staren en zich verlekkeren aan de hoeveelheid geld dat daar opstaat maar ze kunnen er niets mee.

Sfynx @Verwijderd • 5 juni 2005 16:39

De Postbank is naar mijn weten ook de enige bank die niet met zo'n neprekenmachine werkt... voor mutaties moet je dan wel steeds een andere TAN-code invullen, maar deze hoeven niet ter plekke gegenereerd te worden en hebben dus genoeg tijd om in verkeerde handen te vallen. M'n vader (zit bij de Postbank) wil nu ook gaan internetbankieren, en als het niet zo lastig/tijdrovend was om alle instanties e.d. op te hoogte te brengen van een nieuwe rekening, had ik 'm aangeraden om naar een andere bank over te stappen.

thegve @Verwijderd • 5 juni 2005 21:12

Hier in de UK gebruiken ze ook allemaal een wachtwoord om op je internetbankieren te komen, maar reken er maar wel op dat ik mijn wachtwoord wel 1 keer in de maand verander...

Ik denk dat ze binnen een maand wel es wat zijn gaan doen met je logingegevens.

mjtdevries @defiant • 6 juni 2005 10:15

@defiant.
Hoe kom je er bij dat een aparte rekenmachine in principe veiliger is?????

Een rekenmachine gebruikt een algoritme, en dat is dus te kraken. TAN codes zijn willekeurige getallen die alleen bij de twee betrokken partijen bekend zijn.
Aangezien er geen algoritme gebruikt wordt en het maar voor 1 transactie geldig is, kun je het per definitie niet kraken.

Vandaar ook dat CIA en de (voormalige) KGB ook dergelijke systemen gebruiken.

Daarom heb ik juist de voorkeur voor TAN codes. Het is gewoon superveilig zolang je maar beseft dat je ze NOOOOOOOOIT uit handen mag geven. En dat vertelt de postbank dan ook zeer duidelijk aan zijn klanten)

Jack Flushell

5 juni 2005 13:58

Stond ook al op teletekst... Ik vind de mails echt onnoemelijk doorzichtig en ik vind het ook vrij dom als mensen hierop reageren.

Ik bedoel... je TAN codes en je wachtwoord weggeven op een rare site en dan is de mail ook nog eens in het Engels! Als je begint met telebakieren moet je je bewust zijn van het feit dat je nooit op dat soort berichten moet reageren...

2mb @Jack Flushell • 5 juni 2005 14:09

En als je die TAN codes ontvangt via je mobiele telefoon (zoals ik) kun je volgens mij onmogelijk er al 3 van tevoren invullen. Deze truc is alleen nuttig bij mensen met zo'n lijst TAN codes op papier.

PuckStar @2mb • 5 juni 2005 14:17

per sms kun je een bundel van 5 of 10 (en maby ook wel meer) TAN codes ontvangen. voor als je bijv. op vakantie gaat.

erikdenv @PuckStar • 5 juni 2005 19:10

@cybje
Je vindt het vervelend dat je per transactie een unieke TAN-code nodig hebt (goede beveiling lijkt mijn). Je vindt het echter vreemd dat je account en ww hetzelfde blijven. Met alleen een account en ww. kun je niet veel, alleen binnen je eigen rekeningen overmaken. Zo'n calculator is handig maar kan stuk en je hebt er je bankpas voor nodig.

Pietervs

Bedrijfsnieuws

@PuckStar • 5 juni 2005 17:17

Op vakantie kun je toch ook gewoon SMS berichten ontvangen en dus nieuwe TAN codes?
Als je bereik hebt wel ja. Maar er zijn landen en abonnementen waar je geen mobiel bereik hebt... Daar staat tegenover dat je dan meestal ook geen internet hebt

DarkFlow @PuckStar • 5 juni 2005 22:24

@erikdenv
Klopt, maar zoals Cybje zelf ook al aangeeft kan je met alleen inlognaam en ww ook aandelen kopen/verkopen (mits de persoon hiertoe toegang heeft uiteraard). Naast het feit dat dit veel kan kosten, is het ook mogelijk dat als een partij maar genoeg inlognamen en wachtwoorden heeft, dat al deze accounts gezamelijk zouden kunnen gebruiken om in 1 keer erg veel aandelen van een enkel fonds te kopen.

Koers wordt beinvloed, daders verdienen daar aan (heeft dus wel nut voor ze), kost slachtoffers geld (zeker als ze het niet direct doorhebben).

Cybje @PuckStar • 5 juni 2005 17:06

Op vakantie kun je toch ook gewoon SMS berichten ontvangen en dus nieuwe TAN codes?

Doe mij maar gewoon TAN codes per stuk ontvangen, alhoewel ik het alsnog een irritant systeem vind. Ook gewoon dat je alleen een gebruikersnaam/wachtwoord nodig hebt wat constant hetzelfde blijft, om in te loggen en alles te kunnen regelen. Stel iemand logt het een keer (you never know ...), kan dat me verschrikkelijk veel geld kosten, omdat iemand gewoon voor de lol met me aandelen kan rotzooien.

Heb ik toch liever een beveiliging met zo'n calculator.

Cybje @PuckStar • 5 juni 2005 17:39

Bestaat dat nog dan, behalve met Tele2 dan? Zelfs met KPN Prepay heb je nog bereik in het buitenland, kan ik me herinneren van heel vroeger dat ik prepay had.

In het buitenland internetbankieren zou ik sowieso niet prettig vinden, ivm keyloggers. En tja ... Postbank heeft een vast username/pass, dus is leuk voor keyloggers

mxcreep @PuckStar • 5 juni 2005 19:53

@erikdenv
Ik heb een calculator en geen bankpas nodig...(SNS Bank)...werkt supermakkelijk...

sidkl301 @PuckStar • 5 juni 2005 21:33

<Ik heb een calculator en geen bankpas nodig...(SNS Bank)...werkt supermakkelijk...>

toch we link dat sns hoor, zet autoaanvullen maar eens aan, dan zul je zien dat jouw calculatortje steeds zelfde antwoord verwacht op een bepaald nummer. Dus bijvoorbeeld code 12345 geeft dan altijd 23456. Dit is ook te loggen hoor. En helaas valt sns nog wel eens in herhaling bij die nummers........

Frubelaar @2mb • 5 juni 2005 15:24

Die TAN lijst wordt nu gewoon op volgorde afgewerkt.
Waarom niet gewoon op willekeurige volgorde.
Dan zijn de volgende 3 TANs niet bekent en kunnen dus ook nooit gegeven worden.
Erg simpel maar wel doeltreffend tegen dit soort figuren.

Verwijderd @Frubelaar • 6 juni 2005 08:37

Die hele stunt met TAN codes is natuurlijk geschift. Check eens een Rabobankje, waar je je pinpas in een paslezer moet duwen en je pincode moet inkloppen voor realtime gemaakte codes. Hier kun je alleen iets mee als je een rabopaslezertje hebt (gratis te halen bij de rabo) en een pinpas (bijvoorkeur die van een ander) en de bijpassende pincode.

Net zo veilig als flappentappen, en dit soort phishing mails hebben alleen zin als de inhoud van de mail iets is van "stuur uw pinpas met de pincode in een gesloten envelop naar: rabopassencontrole, Rode Plein 15, Moskou, Rusland"
Hoeveel kanshebbers schat je?

SuperDre @Frubelaar • 6 juni 2005 09:18

En die algoritme die gebruikt wordt in de rabobank paslezer is echt niet bekend bij criminelen.. hehe.. Die paslezer is niets anders dan mensen een nep gevoel van veiligheid geven hoor..
Criminelen kunnen zonder jouw pas zonder die rabopaslezer en zonder bijpassende pincode net zo makkelijk gebruik maken van jouw rekeningnummer als mensen met een lijst van tan codes.. (Die verbazingwekkend veilger is dan die calculator dingetjes)

Verwijderd @Frubelaar • 6 juni 2005 16:13

@superdre,

de paslezer wil je pincode hebben om vanuit jouw pincode aan de hand van de datum en tijd een code te genereren. de datum en tijd valt makkelijk te zien (alhoewel ze dan wel rekening moeten houden met het verschil in tijdzone's van het rode plein in moskou en de nederlandse tijdzones), maar hoe willen ze jouw pincode zo maar weten. ze weten namelijk de code van het apparaat niet en kunnen dus niets terugrekenen

? + 5 = ?. hoe wil jij de 2 vraagtekens uitvinden. beide kunnen alle getallen zijn die je maar wilt. dat lukt niet. de rabolezer is dus niet per defenitie onveilig. die tancodes zijn veel makkelijker (extern) de mogelijkheden uit te halen door oude codes continu te bekijken. dat lukt niet bij de rabo, want daar staat niets van op papier

Hann1BaL @Frubelaar • 6 juni 2005 16:15

Ik wil alleen wel even weten waarom er weinig mee gefraudeerd wordt als het net zo veilig is als een bank met de kluis open?

Dionisos @Jack Flushell • 5 juni 2005 14:38

Het stond op teletekst, het kwam in het nieuws..
en ze gaan er nog steeds mee door

Als er nu mensen zijn die er NU nog intrappe kunnen ze beter hun pc van de stroom afhalen

Belt opa op en vertelt hem niet zijn postbank gegevens vrij te geven op een .ru site

Verwijderd @Jack Flushell • 5 juni 2005 22:07

Ik heb em ook gehad, terwijl ik er nog geen eens is gebruik van maak.

Heb je de header bekeken?

Die linkt met een of andere vage MSN site en wat execute pagina's, mensen moeten eens meer het mailtje goed bekijken

Dan had je allang gezien dat het fake was en die naam @postbank.nl verraad het ook al natuurlijk.
Je kan alleen maar van bekende dingen mail krijgen als info ofzo.

Verwijderd 5 juni 2005 14:00

De url in de mail verwees naar een googlezoekterm via msnzoek naar een site ergens in .ru (rusland)

http://www.postbank.nl/

ik vindt de paypal phishing ook wel grappig.
(krijg ik ook best vaak in m'n mail)

https://www.paypal.com/cgi-bin/webscr?cmd=_update-run

SWINX @Verwijderd • 5 juni 2005 15:17

De postbank phising lijkt natuurlijk veel echter omdat je (als je geen popupkiller gebruikt ofzo) dat nep popupje over de echte site van de postbank heen krijgt.

Gelukkig zie je in IE vanaf Windows XP (SP2 volgens mij) het domein in de titelbalk erbij bij popups, blijft dus een kwestie van opletten en niet zomaar alles invullen.

[deels offtopic]
Je hebt vast wel eens mailtjes gehad van bekenden over SMS.ac waar je dan SMS berichtjes kunt versturen. Deze idioten hebben daar gewoon hun hotmailgebruikers account een wachtwoord ingevuld, zodat SMS.ac hun contactpersonen kan gaan emailen

[/deels offtopic]

kodak

Bedrijfsnieuws

@SWINX • 5 juni 2005 16:12

De gebruikte link mag dan echter lijken, maar de phishing actie zelf is zelfs voor een leek direct als nep te herkennen: de berichten die per mail worden verzonden zijn geheel in het Engels (terwijl de Postbank in het Nederlands werkt) en ziet er in de verste verte niet uit op een bericht dat daadwerkelijk van de postbank afkomstig is.

twabi2 5 juni 2005 14:03

Onlangs ook in Belgie gebeurd, alleen geen ruchtbaarheid aan gegeven. Mijn ouders kregen een mail van "Dexia" omdat ze zogezegd een nieuw paswoord hadden aangevraagd.
Gelukkig heb ik ze goed opgeleid (

) en hadden ze hem door. Ik dus op onderzoek, doorgestuurd naar Dexia... Toch maar lauwe reactie teruggehad, slechte service. Ik vraag me af hoeveel klanten er WEL zijn ingetrapt

Verwijderd 5 juni 2005 14:35

De meeste banken sturen sowieso al geen e-mail over internetbankieren via "gewone" mail. ABN-AMRO heeft bijvoorbeeld bankmail geintroduceerd. Berichten voor de klant worden alleen verstuurd via de beveiligde omgeving van internetbankieren. Als je inlogt, kun je je bankmail lezen.

Verwijderd 5 juni 2005 14:05

, misselijk wordt je van deze oplichtingspraktijken. Zou het ook echt Russisch zijn, of een verborgen hollandse organisatie?

Qua kansbereking moeten er toch numbies gereageerd hebben.. Ben benieuw wat de bank hier aan gaat doen.

]Byte[ @Verwijderd • 5 juni 2005 14:15

Die "verborgen hollandse organisatie" zal het denk ik niet zijn.
En wel om maar 1 reden. ALLES op de site van de postbank is nederlands!
Je moet dan wel heel stom zijn om dan moeite te gaan doen om het dan in het engels te gaan proberen.
(of men probeerd er juist mee de aandacht weg te lokken dat het niet om NL-ers zou gaan

)

Ben benieuw wat de bank hier aan gaat doen.

De bank kan er niet veel aan doen!
1) de site zit in rusland! Voordat ze de personen achter deze site hebben gevonden ben je de nodige tijd verder.
2) de klant is ZELF verantwoordelijk voor zijn gegevens! In alle correspondentie van de postbank wijst men er op dat ze nooit en tenimmer zullen vragen naar je gebruikersnaam en wachtwoord. Zelfs op de site wordt er ook nog voor gewaarschuwd.

thegve @]Byte[ • 5 juni 2005 21:05

Persoonlijk geen ervaring willen opdoen met postbank telebankieren(heb mijn geldzaken verhuisd naar rabo en abn-amro vanwege dat omslachtige gedoe daar), maar creditcardmaatschappijen verzekeren je voor fraude met de creditcard, en ik neem aan dat de postbank er ook voor zal zorgen dat de "slachtoffers", hoe dom ook, geen schade oplopen.

kimborntobewild @thegve • 5 juni 2005 22:50

Pfff bij creditcards krijg je ook alleen je geld terug als je snel reageert na verlies of diefstal of misbruik. Ben je een tijdje op vakantie en merk je niet dat je rekening geplunderd is, dan heb je mooi pech hoor...

mjtdevries @thegve • 6 juni 2005 10:04

Bij creditcards speelt nog wat anders mee. De winkels zjin verantwoordelijk om te checken dat jij de eigenaar van de creditcard bent. (bv door adres gegevens op te vragen)
Als dus iemand anders met jouw creditcard uitgaven gedaan heeft, dan heeft die winkel dat niet op de juiste manier gecontroleerd en is de schade dus voor de winkel en niet de creditcard maatschappij. Vandaar dus dat je daar meestal je geld wel terugkrijgt.

the_stickie @Verwijderd • 5 juni 2005 14:19

logisch lijkt me:
a) zij die hun gegevens toch gegeven hebben in "veiligheid" brengen. (nieuwe codes geven dus)
b) klanten verwittigen van deze ongein (bericht op de site? e-mail? brief?)
c) mensen die zich hebben laten vangen, vergoeden. (Ja dat moéten ze niet: maar ze doen het toch: een paar duizende euro voor de goede naam van je oganisatie is te doen toch?)
d) een honeypot opzetten: zorgen dat de oplichters ook wel degelijk gebruik kunnen maken van een set credentials en dan zoveel mogelijk gaan monitoren (maw proberen achterhalen wie wat waar)
e) juridisch zoveel mogelijk schade proberen te verhalen op de daders.

Titusvh @the_stickie • 5 juni 2005 19:59

een paar duizende euro voor de goede naam van je oganisatie

Uit EIGEN ervaring: het kan de postbank geen kloot schelen of ze hun goede naam verliezen. Al kost het ze maar 100 euro.

Verwijderd @Titusvh • 5 juni 2005 21:37

Toch wel, een waarschuwende e-mail is al naar klanten van de Postbank verstuurd.

The - DDD @Verwijderd • 5 juni 2005 19:46

offtopic:
Moet je is online gaan zitten met Skype en jezelf beschikbaar stellen voor vreemden om contact te maken. Regelmatig krijg ik dan in ieder geval oproepen van personen met afrikaans klinkende namen. (419 scammers dus.)

Verwijderd @Verwijderd • 6 juni 2005 14:56

Lijkt me wel dat ze Nederlandse connecties hebben die een databasedump van de E-mail-adressen met postbankklanten hebben doorgeschoven

En dat lijkt me een hele kwalijke fout in de beveiliging bij de postbank. Ik heb nog geen berichten gezien dat er niet-Postbankklanten zo'n mailhebben gehad.

Verwijderd @Verwijderd • 6 juni 2005 17:43

hmm, ik denk gewoon alle .nl adressen uit een spamdatabase gefilterd. Redelijke kans dat er Postbankklanten tussen zitten. (Llanorant bijv. schrijft ergens in deze thread dat hij/zij helemaal niet internetbankiert bij de Postbank)

(Bij mij zat 'ie in het spamfilter van m'n zakelijke e-mail tussen een stuk of 10 andere dagelijkse viagra-, hypotheek- en geslachtsdeelvergrotingsadvertenties)

Edit: zag dat dynamicdreams verderop in deze thread al iets soortgelijks had gesuggereerd...

Verwijderd 5 juni 2005 14:10

In reaktie op die screenshot die hierboven gepost staat:

hoe kan in de adresbalk gewoon www.postbank.nl staan? Is IE te misleiden ofzo?

DynamicDreams @Verwijderd • 5 juni 2005 14:17

Nee, met behulp van een of ander javascriptje laden ze op de achtergrond de officiële website van de Postbank met op de voorgrond de pop-up.

WinL @Verwijderd • 5 juni 2005 14:20

.RU website opent siite, deze opent pop-up van nep Postbank en start vervolgens via script de eigenlijke postbank.nl.
Als je goed kijt zie je in het pop-up venster ook .RU staan (dat wekt toc argwaan op...), alleen de site erachter is van de echte Postbank.
Btw: heb het mailtje ook gehad, maar ben er lekker niet ingetrapt.

edit
Dynamicdreams was net iets eerder, excusez-moi

Verwijderd @Verwijderd • 5 juni 2005 14:41

Eventueel kan het met login / pass in de URL. Herken je aan de @ halverwege zo'n lang adres.

TheGhost @Verwijderd • 5 juni 2005 18:55

en als je je systeem goed patcht werkt zo'n URL met een @ erin ook al niet meer...

captain007 5 juni 2005 17:19

Ik vind het postbank internetbankieren absoluut niet veilig.
Een 128 bits ssl encryptie alleen is lang niet voldoende.

Bij postbank lopen een stel amateurs rond die op deze manier duizenden klanten een schijnveilige applicatie aanbieden via het internet.

Kijk eens naar andere banken zoals rabobank.
Geef iedereen een card reader met een algoritme erin dat een code berekent. Deze code wordt met behulp van de bankpas en de systeemtijd van het apparaatje berekent en je hebt dus nooit last van hackers die zomaar allerlei transacties kunnen gaan uitvoeren. Deze verbinding is overigens ook nog eens met 128 bits ssl encyptie uitgerust.

Voor de klant is het geen probleem aangezien de rabobanksite een van de beste internetsites is: ze hebben er al prijzen mee gewonnen dus dat kan het probleem niet zijn. Gewoon alle klanten bericht sturen dat ze een cardreader kunnen komen ophalen en klaar is kees.

Kan niets anders zeggen dan dat mensen die nu bij de postbank zitten en veilig willen internetbankieren dat deze beter de rekening elders kunnen laten onderbrengen.

En voor het kraken van dit systeem kan btw ook gebruik gemaakt worden van spyware. Aangezien de meeste consumenten geen spyware scanner hebben dus ook weer een probleem.

Onno @captain007 • 5 juni 2005 17:33

Ik vind het postbank internetbankieren absoluut niet veilig.
Een 128 bits ssl encryptie alleen is lang niet voldoende.

Kijk eens naar andere banken zoals rabobank.
Geef iedereen een card reader met een algoritme erin dat een code berekent.

Ik krijg per transactie een code toegesmst, die ik net zo min van tevoren weet. En m'n telefoon stelen is niks makkelijker dan een cardreader stelen. Beetje dom gezeur dit..

Mentalist @Onno • 5 juni 2005 18:29

Cardreaders hoef je niet te stelen, die zijn toch allemaal hetzelfde. Dan moet je de pas stelen.

En dan heb je de pincode nog niet. Dus toch wel een stukje veiliger.

Onno @Mentalist • 5 juni 2005 19:25

En dan heb je de pincode nog niet.

En die van m'n telefoon/sim wel?

Mentalist @Mentalist • 6 juni 2005 00:40

Als je telefoon nog aanstond maakt dat toch niet uit? En je moest eens weten hoeveel mensen hun pincode op 0000 hebben staan, of helemaal geen pincode. Dan heb ik toch liever de pincode van de bank

Maurits van Baerle @captain007 • 5 juni 2005 21:13

De encryptie die gebruikt wordt is niet zomaar 128bits SSL encryptie. Voordat je kunt inloggen wordt er eerst een ActiveX/Java applet (afhankelijk van de browser die je gebruikt) geladen die apart authorisatie en encryptie afhandeld. Die SSL encryptie is een extra voorzorg, meer niet.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (153)

Sorteer op:

Weergave: