Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties
Bron: NHTCC, submitter: Ray-zor

Phishing laptopHet National High Tech Crime Centre, NHTCC, heeft een overeenkomst gesloten met de Nederlandse Vereniging van Banken, NVB, om door middel van samenwerking beter weerstand te bieden tegen phishing en andere vormen van cybercriminaliteit. Het NHTCC specialiseert zich in het onderzoeken van misdaden waarbij gebruik wordt gemaakt van ICT om het misdrijf te plegen of digitale informatie het doelwit is geworden van een criminele actie. Onder andere de Postbank, Rabobank, ABN AMRO en Fortis zijn in deze overeenkomst betrokken. De NVB en NHTCC gaan gegevens uitwisselen over nieuwe vormen van cybercriminaliteit en gaan samen onderzoeken hoe deze vormen het beste kunnen worden bestreden. Steeds meer banken weten hun cliŽnten te overtuigen om over te gaan op internetbankieren en het digitaal afhandelen van andere bankzaken. Deze trend heeft als resultaat gehad dat de georganiseerde misdaad zich beter is gaan specialiseren in aanvallen op dit soort diensten. Klanten van onder andere de Postbank en de ABN AMRO-bank hebben onder vuur gelegen door criminelen die door het vissen naar persoonsgegevens toegang probeerden te krijgen tot hun accounts.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (35)

---
Banken zien veelal voordeel bij het internet-bankieren omdat ze dat door hun banken-bril bekijken: kosten besparen.
.
Ik als icter bekijk het door mijn ict-bril. Internet is een semi-betrouwbaar medium. Ik zal altijd van de traditionele wijze van bankieren gebruik maken zolang dat nog kan... Dit houd mede verband met mijn achtergrond kennis die mij zegt dat:
- een pc met spyware
- een met virus besmette pc
- een pc met adware of crap-ware
- een pc met MS windows met security-issues
- Microsoft producten: The Homeland 'Security' extension strategy(je wilt ook niet dat FBI beetje zit te koekeloeren)
- MSN...
- een pc met lekkende browsers
- ....key-logger ?
vul zelf maar even aan...
.
Nooit zal een huidige generatie pc in combinatie met windows en internet betrouwbaar of veilig zijn. Mensen zullen in de toekomst hier slachtoffer van gaan worden... daar hoef je dus helemaal geen profeet voor te zijn, daar hoef je alleen maar even voor na te denken. Gezond verstand is behoorlijk schaars tegenwoordig.... Zodra er een standaard komt voor banken, kunnen virusschrijvers hier op gaan anticiperen.
.
Tuurlijk het is eventueel goedkoper.... maar dan bekijk je ook echt maar 1 aspect.
.
Mijn advies: schaf een speciale internet pc aan, met louter fictieve gebruikers. Vooral als je kinderen hebt... Een internet-pc zonder persoonlijke, gevoelige informatie er op, geen documenten en foto's. Een pc die dus lekker vol mag lopen met troep als spyware, keyloggers etc etc.
Zorg dat op de internet-pc nooit persoonlijke informatie aanwezig is die kan leiden tot jou persoonlijk identiteit, zoals naam, adres, woonplaats, vrienden, abonnementgegevens etc
.
Wil je echt je boekhouding doen op een pc ? Gebruik dan naast de internet pc een standalone pc. Enigste manier die zal werken, ook in de toekomst. Twee pc's: een Personal Private Computer (PPC) & een Personal Computer(PC).
.
Virussen verspreiden Microsoft Word-documenten:
http://www.nieuwsbank.nl/inp/1999/03/0330F059.htm
.
Hacker kopieert 5.6 miljoen persoonlijke Visa-records:
http://www.cnn.com/2003/TECH/02/17/creditcard.hack/
---
Wil je toch internetbankieren ? Zorg dan dat je voor 95% zeker weet dat je pc niet is besmet met virus/adware. Dat er geen spyware/(key)logger aanwezig zijn. Dat je vuurmuur niets doorlaat dat je niet wilt. Dat je browser niets lekt. Dat je kinderen niets hebben geinstalleerd of gedaan. En dat tijdens het bankieren niets op internet blijft hangen.
.
PS Met semi-betrouwbaar internet bedoel ik dat internet betrouwbaar is qua data-overdracht maar niet qua informatie(data-interpretatie)-overdracht.
---
Alsof de traditionele manier van bankieren zoveel veiliger is. Een handtekening op een stukje papier wat je in een papieren envelop doet die je dichtlikt en vervolgens door een ex-ambetenaar bij de bank laat bezorgen. Of gebruik je de nog traditionelere methode van contant geld wat door praktisch iedereen of deze aarde van je gestolen kan worden dmv zakkenrollen, geweld of bedreiging. Phishing bestaat al sinds er pinpassen zijn, mensen die langs de deur komen (vooral bij bejaarden) om de pas te controleren. Het verschil tussen high-tech en tradioneel is dat tradioneel door iedereen gedaan kan worden maar dat je er veel werk voor moet doen en high-tech slechts door een enkeling maar dat die dan wel in 1 keer heel veel slachtoffers kan maken.

MIjn meest persoonlijke informatie zijn m'n emails en chat-logs, mag je mij eens gaan uitleggen hoe ik dat kan doen via jouw systeem met een internet-pc en een standalone pc.

Ik krijg overigens niet een hoge dunk van jouw ICT-kennis als jouw eigen pc vol staat met virussen, trojans en spyware en niet van de nodige updates is voorzien.
"Ik krijg overigens niet een hoge dunk van jouw ICT-kennis"
.
Dit betreur ik ten zeerste, want ik zie graag het tegenovergestelde in deze. Ik probeer over te komen als een echte hekker en jij ondermijnt mijn gezag. Je argumenten zijn steekhoudend en ontkrachten de genoemde bezwaren. Je zult begrijpt dat ik hier niet blij mee ben...
.
.
Niet alleen banken zien het voordeel van internet-bankieren, ook voor gebruikers zitten er veel voordelen aan:
- snelheid (voordat je thuis bent van boodschappen doen staat de afschrijving al op het online rekeningoverzicht)
- gemak (nooit meer door de regen naar de bank/brievenbus)
- overzicht
- lagere kosten (in sommige gevallen)

Ja, je computer aan het internet hangen brengt risico's met zich mee. Risico's waarvan de symptomen steeds beter bestreden kunnen worden. Je zegt dat je ICT'er bent. Ik vraag me af op welk gebied en met wat voor opleiding. Met niet eens zo heel veel ICT kennis is het prima mogelijk een PC te gebruiken zonder dat je je continu zorgen hoeft te maken over spyware, virussen, adware, lekkende browsers e.d. En paranoia-opmerkingen over "Homeland Security" uitbreidingen zodat de FBI mee kan kijken, daar geloof je toch zelf hopelijk ook niet in?

Het grootste risico (en m.i. de oorzaak van heel veel uitwassen op internet) zit echter in de anonimiteit - en het daaruit voortvloeiende gebrek aan verantwoordelijkheidsgevoel - met daarbij het gemak waarmee (een deel van) de identiteit van een ander kan worden aangenomen.

Zou je aan iemand op straat die je verteld dat er een probleem is met je bankrekening je bankpas en pin-code geven? Nee. Omdat je weet dat die persoon in die context (zomaar ergens op straat) niet hoort bij een bank. Op dezelfde manier moet mensen duidelijk worden gemaakt dat emails die om persoonlijke gegevens vragen ook niet horen bij een bank. Daar zitten zowel technische als sociale aspecten aan.

Dat het nog niet volmaakt is, is voor mij geen reden om me er dan maar voor af te sluiten.
Hier ben ik het heel erg mee eens.
Als ik tegen mensen zeg dat ik niet internet bankier reageren ze ongelovig: jij als ICT-er/computer-fanaat hebt toch zeker wel Internet-bankieren?!
Als ik dan uitleg dat ik juist als ICT-er er erg weinig voor voel, vanwege de bovengenoemde risico's, dan overdijf ik vast weer.
Mij best, kom er zelf maar achter.
Credit-cards zou ik ook niet gebruiken op het Internet, als daar een alternatief voor aangeboden werd.
* 786562 Major
Jij ben wel heel erg achterdochtig. Ik ga niet ontkennen dat een slecht onderhouden PC een groot beveiligingslek kan zijn (en overlast bezorgt aan andere mensen), maar als je je bak een beetje onder de duim hebt is er weinig gevaar. Zeker als ICTer hoort er geen spyware, malware, e.d. op je bak te staan.

Laatst heb ik nog een test gedaan, ik heb een PC geinstalleerd met de originele XP zonder service packs en updates, geen virusscanner en geen anti-spyware pakket. Die heb ik een maand lang full time gebruikt (160+ uur), met als enige beveiliging een Linux NAT routertje, een oude Opera versie (7.5) om te browsen en te mailen, Trillian voor ICQ en MSN en OpenOffice.org (niet zozeer voor de beveiliging, maar omdat ik die prettiger vind werken). Na die maand heb ik die Windows installatie zeer zorgvuldig doorgenomen en geen virussen, spyware, keyloggers, e.d. gevonden (op een verdwaalde cookie na dan). Ik heb die PC dus ook gebruikt om te internet bankieren en geen problemen ondervonden.

Nu ga ik hier niet promoten om maar geen updates en virusscanners te installeren, normaal werk ik namelijk ook met een XP x64 met de laatste updates, maar dit toont wel aan dat als je een beetje voorzichtig bent er geen redenen zijn om paranoide te worden. Als je computer-IQ hoger is dan 100, heb je geen last van virussen en spyware (tenzij je er om vraagt door Warez o.i.d. te installeren).

Wat je idee betreft om 2 PCs te gebruiken, 1 voor internet en 1 voor zaken, is natuurlijk uitermate verstandig. Zeker als je die PC voor zaken niet in hetzelfde netwerk (liefts helemaal niet in een netwerk) hangt als je internet PC en nog ouderwets telebankiert per (telefoon)modem.

Wat de homeland security betreft, als die zo regelmatig mee zouden "koekeloeren" dan was er wel een tweaker geweest die dat had gezien. Bovendien als jij met een analoge overschrijving 40.000 euro overmaakt naar een Jihad stichting dan komt de CIA daar heus wel achter ;)
Wat de meeste dingen betreft die je zegt, kan ik er in meegaan.
.
Het is ook niet erg als er spyware, virussen e.d. aanwezig zijn. Zolang je je daar maar van bewust bent en geen relevante info op je pc bewaard. Warez zijn voor vele jongeren een must. En Warez zelf bevatten veelal geen virussen. Er zijn wel veel fakers die cracks en keygens aanbieden. Oppassen dus.
.
Wat Homeland betreft, moet je de control-freak-erigheid van de amerikanen niet onderschatten. Bedrijfsspionage e.d. zijn uitermate trendy. Wil je er meer over weten dan raad ik je aan om eens wat specialistisch literatuur na te slaan. Windows bevat inderdaad ingebouwde backdoors, die natuurlijk niet te pas en te onpas worden gebruikt. Een update-service leent zich natuurlijk uitermate voor zulk soort zaken.
.
En de Jihad ? Die wordt gefinancieerd door bush. Deze texaanse olieboer-familie neemt namelijk ook grof olie af in o.a. Arabie waarvan o.a. de Laden-familie ruleert. Misschien gaat die oorlog in Irak ook wel om olie...misschien hoor ! :) Misschien is er wel een conflict geweest tussen families, wie weet over olie...


.
high-tech misdaad, hahahahaha

veel hightech is er niet aan om een mail te sturen naar klanten van bovengenoemde banken
en daarin te zeggen
hallo meneer of mevr
je online bank account is blijkbaar gekraakt
zou u ons je gegevens zoals
login en passwoord willen doormailen zodat wij verdere acties kunnen ondernemen.

en het mooiste eraan is:::
Die mensen GEVEN het passwoord !!!!!!

Ik vind het gewoon stom stom stom .
Het kan heel wat subtieler. Met wat meer verfijning kan je behoorlijk overtuigend een groot aantal mensen overhalen om een phishing site te bezoeken. Vervolgens laat deze phising site klanten van een bank een "beveiligingsaanpassing" accorderen. In werkelijkheid vindt er een opdracht plaats die door de phishing site wordt uitgevoerd bij de echte e-bank site.
Als je het verkeer tussen bank en eindgebruiker kan onderscheppen zijn heel moeilijk te detecteren aanvallen mogelijk op electronisch bankieren.

Kyacom's reactie impliceert dat de eindgebruiker voor het grootste gedeelte verantwoordelijk is voor dit soort misbruik en dat het dus te rechtvaardigen is dat de bank het risico mag afwentelen op de klant. Een klant heeft geen enkele invloed op de gebruikte beveiligingstechnieken en controlemethodieken van de bankinstelling en hoort dus geen enkele schade te lopen als gevolg van dit soort "high tech" misdaden.
Ja, het moet niet veel gekker worden. De Postbankklanten worden nu zelfs in het Nederlands verzocht om hun gegevens. Hoe moet je dat nu voorkomen, als bank?
Aanvallen kun je niet voorkomen, maar je kunt ze wel ontmoedigen, en zonder schade doorstaan.

Kijk, als een klant zijn pincode wil afgeven aan een crimineel, dan kun je daar niets tegen doen, behalve de klant wijzen op het feit dat dat niet slim is. Maar de bank kan zelf ook een aantal dingen doen, zoals:
- Betere cross-browser compatibiliteit, zodat mensen verschillende browsers kunnen gebruiken. Dat spreidt de risico's, en maakt de bank minder aantrekkelijk als doelwit.
- Verder natuurlijk geen onzinnige popups waar de adresbalk uitgezet is, zodat je niet kunt zien waar je bent (sommige browsers bieden hier een oplossing voor door het toch in een dun balkje te tonen).
Niet slim? Nou, als ik een mes op mijn keel krijg, of een pistool op mijn hoofd, geef ik zonder nadenken mijn pincode hoor! Veel plezier met mijn geld, mijn leven is me meer waard.

De "inlog-popup" van de Postbank is inderdaad een vreemde zaak. Bijna vragen om moeilijkheden, zo blijkt. Toch is de Postbank-beveiliging weldegelijk aanwezig. Ik moest flink toegeven op mijn XP-security, o.a. door de Posbanksites als "vertrouwd" aan te merken, cookies toe te staan en Java te installeren, voor ik kon inloggen. Het is alleen een beetje als met een (slechte) firewall, die alleen ingaand verkeer controleert: wat er uitgaat is minstens zo belangrijk, maar wordt vaak over het hoofd gezien!

De Postbank doet echt wel veel om klanten te weerhouden van "niet slim" gedrag, bijvoorbeeld hier, maar wie leest dat, voor dat het te laat is? Wat weet een gemiddelde AOW'er van de risico's? Ik kan me niet herinneren, ooit op een afschrift of in een afzonderlijk schrijven door de Postbank gewezen te zijn, op de risico's van phishing. Ik word wel doodgegooid met reclamepost voor allerlei verzekeringen en beleggingsschema's, maar sinds ik, noodgedwongen, ben overgestapt van het oude vertrouwde Girotel naar "Mijn Postbank.nl", krijg ik zelfs nog maar 1x per maand afschriften. Zo "gratis" is het nu ook weer niet :(.

Een inlogsysteem, waarbij de bank een "challenge" geeft, die door de gebruiker moet worden beantwoord met een, door een soort calculator in combinatie met een bankpas berekende eenmalige code, zoals bijvoorbeeld ABN-AMRO gebruikt -de "e-dentifier"- zou het vissen naar inlogcodes in een klap uitsluiten, lijkt me (de Rabobank gebruikte een soortgelijk systeem al zo'n 15 jaar geleden voor hun zakelijke inbelverbindingen). Dit gecombineerd met de Postbank controlemethode met "TAN" (TransactieAcceptatieNummer), zou redelijk waterdicht moeten zijn. Nou ja, in vergelijking met papieren overschrijvingsformulieren dan ;).
Je gaat al die reclame van de Postbank toch niet lezen :?
Het is beter dat ze het op de loginpagina zetten, dan krijg je het iedere keer voor je neus (tenzij dat je via zulke overduidelijke nep-berichten naar een verkeerde pagina gaat).

Die afschriften kun je zelfs 1x per week krijgen. Gewoon opbellen en zeggen dat je dat wil... :)
@wellproc:
Het staat ook op de inlogpagina.
Merk op dat een kleine onoplettendheid of een kleine inschattingsfout al voldoende kan zijn om slachtoffer te worden van dit soort aanvallen. Een adequate beveiliging blijft uit, omdat banken het risico van deze misdrijven bij hun klanten leggen.
Het gebruik van browsers voor electronisch bankieren lijkt ook een steeds groter risico te worden voor dit soort aanvallen.
Verder wordt er weinig gedaan aan het beperken van de schade voor de slachtoffers. Even contact opnemen bij ongebruikelijke en/of verdachte transacties is er echt niet bij.
Het wordt tijd dat de overheid het financiele risico voor deze vormen van misdaad bij de banken legt, omdat er anders nooit adequate maatregelen getroffen worden.
Welke kleine onoplettendheid?

Zomaar je vertrouwlijke gegevens afgeven, terwijl continu door de banken er op gehamerd wordt dat ze dat NOOOOOOIT zullen vragen, is geen kleine onoplettendheid.
Wel eens naar phishing emails gekeken? De betere fishing attack stuurt email die geloofwaardig kan zijn. Je wordt aangemoedigd om een link te gebruiken (niet om gegevens aan te leveren), maar om je account te re-activeren in verband met nieuwe beveiligingsmaatregelen. De site waar je via die link op uitkomt ziet er bedrieglijk vertrouwd uit. Ook daar wordt niets ongebruikelijks gevraagd. Inloggen gaat precies zo als je dat ook bij de gewone site doet.
Mensen zijn gewoontedieren en dat wordt hier flink uitgebuit.
Dat voorkom je niet als bank.
Als bank zorg je dat je klanten daar niet intrappen.
(Leuk begin trouwens: "Lieve klant" :D
volgens mij wordt het gewoon hoog tijd dat banken gaan investeren in duurdere beveiligingsmethodes met meer hardware.

bijvoorbeeld met een PKI op een kaart en met een kaartlezer. Op die wijze wordt de klant ook gecontroleerd op zijn identiteit. Als ze het handig aanpakken dan ook nog op een manier dat de private key op een apart stuk hardware blijft en niet in het computergeheugen....

Op die manier gebruiken klanten een private key die ze zelf niet eens kennen. Kunnen ze er moeilijk om gaan vragen zoals in die emailtjes...
Dat is dus reden dat bijvoorbeeld de Rabobank eigenlijk totaal niet kwetsbaar is voor dergelijke aanvallen... Een hacker kan mails sturen wat hij/zij wil, maar hij zal ten alle tijde een exacte kopie van de bankpas + pincode nodig hebben en een random reader, anders kan hij nooit misbruik maken van je account... Of hij moet een ssl-verbinding spoofen...
SSL verbindingen eisen dat gebruikers het SSL certificaat bestuderen en begrijpen. Voor mensen die in een phishing attack trappen, lijkt me dat toch echt een te zware opgave.
Met een gespoofde adresbar ziet alles er heel vertoouwd uit en heeft een gebruiker geen enkele aanleiding om eens goed te kijken naar het SSL certificaat. De phishing site kan je zelfs uitleggen waaraan het certificaat moet voldoen en je vragen vooral te controleren dat het certificaat "correct is".

Met het omzeilen van de addressbar en de SSL controles, kan een phishing attack willekeurige transacties laten accorderen.
Dan scrijf ik als attacker toch een activeX module die die kaart uitleest? Probleem opgelost.

Wat misschien wel zou werken is een firewall-achtig programma die het onmogelijk maakt om belangrijke gegevens (username/password, TAN codes) naar een andere server te sturen dan die van de postbank, of iets dergelijks; dergelijke functionaliteit zit al in veel personal firewalls. Het nadeel hiervan is wel dat je dan je platform independance kwijt bent.
ik zie de klanten al komen.

Meneer nu heb ik een nieuwe computer bij u gekocht en nu doet mijn internetbankieren het niet meer.
De leeuw wordt wakker!

Grrr.

Dat is de kracht van de samenwerkende banken!
zal wel aan mij liggen, maar ik las toch echt "blanken gaan samenwerken tegen high-tech misdaad"

laatst ook al last van :X
offtopic:
[quote]
... Steeds meer banken weten hun cliŽnten te overtuigen om over te gaan op internetbankieren en het digitaal afhandelen van andere bankzaken. ...
[/quote]
Neem dat "overtuigen" gerust met een korreltje zout. Girotel Online per 1 oktober opgeheven. Kortom als je via de PC electronisch wil betalen, heb je geen andere keuze (meer).
Tsja, Internet is natuurlijk niet 100% veilig. Maar het echte leven is dat ook niet. Sterker nog...
Dus ik vind het erg goed om waakzaam te zijn, maar de paranoÔa dient zich wel te beperken tot een gezond niveau.
Het is natuurlijk een goed initiatief voor iedere bedrijfstak om de eigen tak te gaan beschermen.

Maar, waar blijft een overkoepelend initiatief ter bewustmaking van de "gevaren" van een pc met internet verbinding voor de gemiddelde gebruiker? Ik denk aan overheid of providers.

Het gevaar is niet de internetverbinding, maar de onwetendheid van gebruikers. Met een beetje kennis sluit je al snel meerdere problemen tegelijkertijd uit (virussen, spyware, phishing...).
Ik denk dat banken hier anders tegenaan kijken, voorkomen kan je het eigenlijk niet, kijk naar de reacties of het kost teveel of het is niet platform onafhankelijk of het is inteligentie afhankelijk. Maar als je nu sterk gaat samenwerken in de opsporing dan wordt het ook minder aantrekkelijk om het te doen, en in die samenwerking zijn banken steeds beter aan het worden. Want je kan geld wel naar een andere rekening sluizen maar dan heb je het nog steeds niet. En er is niets wat 100 % veilig is en waarmee iedereen nog steeds wil werken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True