Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties
Bron: Postbank, submitter: Seraphin

Criminelen hebben voor de derde keer geprobeerd klanten van de Postbank gegevens te ontfutselen. Mensen ontvingen een mailtje met een linkje dat naar een website leidde waar ze verzocht werden hun gebruikersnaam, wachtwoord, activeringscode of TAN-codes in te vullen. Volgens Liselore Stuut, persvoorlichter bij de Postbank, zijn er geen gedupeerden. 'De actie van de criminelen was ook veel kleinschaliger dan die in juni.' Stuut leest dat af aan het aantal reacties die er bij de afdeling klantenservice is binnengekomen. 'Aan die reacties zie je ook dat mensen inmiddels op de hoogte zijn van begrippen als phishing; men is zich veel meer bewust van internetcriminaliteit.'

Postbank LeeuwStuut gelooft niet dat de manier van interbankieren van de Postbank, waarbij klanten een Transactie Autorisatie Nummer (TAN) moeten invoeren om hun transacties te bevestigen, extra gevoelig is voor internetfraude: 'Wij hebben voor TAN-codes gekozen en andere banken in Nederland voor een kastje. Dat is een keuze die weloverwogen gemaakt is. Wij hebben deze keuze gemaakt omdat TAN-codes gebruikersvriendelijk zijn en bovendien bewezen veilig bleken.' Toch is er sinds de vorige phishing-aanval in juni wel iets veranderd. 'De TAN-codes worden nu at random opgevraagd, terwijl dat in het verleden op volgorde gebeurde.' Bovendien maken steeds minder mensen gebruik van TAN-lijsten, aldus Stuut. 'Van de 1,6 miljoen internetbankierende Postbank-klanten, laat zestig procent zijn TAN-code inmiddels per SMS toesturen.'

Ook de Deutsche Bank kreeg vorige week met phishing te maken kreeg. Deze bank maakt net als de Postbank gebruik van TAN-codes. Dat geldt niet voor de grote Zweedse bank Nordea, die zelfs tijdelijk zijn website sloot toen de klanten van de bank benaderd werden met phishing-e-mails. Op 19 september presenteerde Symantec de achtste editie van het Internet Security Threat Report waarin te lezen valt dat het aantal phishing-aanvallen snel toeneemt, van 2,99 miljoen per dag in het laatste halfjaar van 2004 naar 5,70 miljoen per dag in het eerste halfjaar van 2005.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (52)

Ik weet dat er altijd mensen zijn die hierop reageren, maar komop: "Lieve Postbank klant" |:(

A. Zowiezo zal de Postbank nooit om TAN-codes vragen
B. Als je wordt aangesproken als: Lieve Postbank klant moet er toch wel een belletje gaan rinkelen
C. Mensen moeten is wat meer gaan denken voor dat ze op een e-mail gaan antwoorden.

Ik weet dat er nog geen slachtoffers gevallen zijn, maar ik geef het een dag.
Quote postbank.nl :
Wijzigen
U kunt uw 06-nummer en/of provider alleen direct wijzigen indien u op bovenstaand nummer nog een SMS-bericht met TAN-code kunt ontvangen of als u nog een TAN-code op voorraad heeft. De TAN-code heeft u nodig om de wijziging naar Postbank te versturen.
en nee de voorraad moet je ook eerst aanvragen :) dus eigenlijk is het wel goed beveiligd.
Hoe kan er nu in het phishing mailtje gelinkt worden naar: https://www.p3.postbank.nl/sesam/sesamloginservlet in dat E-mailtje? Dit is toch gewoon op het domein van de Postbank zelf? Hebben ze ingebroken en een phishing site op de server van de postbank gezet? inside job?
Let op hè, even een inside Job op de tweakers server:
www.tweakers.net

Snap je het nu? :)
Lieve Postbank klant, ...
Waarschijnlijk is de doelgroep de mensen die nog gebruik maken van de Penniemaat :+ (dat ding wordt steeds interessanter, nu ook al internetbankieren :) )

Zou het niet mogelijk zijn om subdomeinen van zulke bedrijven te reserveren oid? Bijvoorbeeld dat www.***.***.naambedrijf.iets alleen maar geregistreerd kan worden door dat bedrijf? Zou wel efficient zijn tegen phishing denk ik (correct me if i'm wrong :) )

Edit voor marcieking:

Nee ik bedoel het volgende: de URL waarnaar gelinkt wordt in de mail is www.p3.postbank.nl/zooiofietsdergelijks. Zou het niet mogelijk zijn dat bijvoorbeeld alleen de postbank recht heeft op dat subdomein?

Als er inderdaad een ander TLD achter gezet wordt is het inderdaad niet mogelijk.
Subdomeinen kunnen alleen maar door de eigenaar van het domein worden aangevraagd. www.p3.postbank.nl is dan ook gewoon de server van de postbank waar ondermeer mijnpostbank.nl op draait
Maar ja, wat weerhoudt iemand om een HTML mail te maken met <a href="mijnphishing site">http://www.p3.postbank.nl/bladibla/</a>
Als je daarmee bedoelt dat bijvoorbeeld

www.postbank.nl.wijzijneenvaagphishingbedrijfje.vl (vl=vaaglandje)

alleen door de Postbank kan worden geregistreerd is dat helaas niet mogelijjk, omdat het gewoon een subdomein is van wijzijneenvaagphishingbedrijfje.vl.
Als je die voorbeeld e-mail bekijkt (zie eerste link in het artikel) dan zie je gelijk dat het erg matig taalgebruik is. De Postbank spreekt je echt niet op zo'n knullige manier aan :-)

Maar ja er zijn altijd mensen...
Ik gebruik gelukkig de sms functie :D
Valt er niets op?
"lieve klant" zou je vertalen als "dear customer", wat wel formeel is in het Engels... volgens mij is dit dus geen actie van een echte nederlandstalige!
Typisch een geval van Babelfish maar je hebt inderdaad gelijk. De interpunctie en volgorde van werkwoorden is ook niet helemaal correct, hoewel het niet écht fout te noemen is.
maar dan wel "Hopende u hiermee voldoende te hebbben geïnformeerd."?

Nee volgens mij is dit een actie van een 16 jarige ofzo...
en je/u wordt afwisselend met 'u' en 'je' aangesproken. Zeer overtuigend |:(
Het grote voordeel aan die SMS functie is waar je ook bent je kunt wel aan tan codes komen. Ik ben nog weleens in het buitenland en soms moet je gewoon even geld ergens vandaan toveren of ergens heen sturen.

Dat is voor mij echt een pluspunt boven gebruik van kastjes enzo, want die dingen zou je mee moeten slepen, en ik ken het dat gaat kapot net als je het echt nodig bent.
Kun je zelf het nummer opgeven dan? Immers je mobiel kan ook kapot gaan in the heat of the moment.

Ik weet niet precies hoe het werkt maar:
Als je die code vraagt via je mobiel dan kost het jou toch geld?
Als je die code vraagt via Mijn Postbank en je kan zelf het nummer geven dan hebben ze dus alleen je login nodig?

Ik speculeer maar wat, dus leg het even uit aub?
Hoe 't werkt?
Je vraagt die functie aan via mijnpostbank.nl. Daar geef je je 06-nr. op.
Als je wilt internetbankieren moet je inloggen met naam en wachtwoord (via beveiligde verbinding). Dan kun je een opdracht invoeren, om die opdracht te bevestigen klik je op 'verstuur opdracht' dan hoor je Bliep-Bliep terwijl er op je scherm verschijnt: Voer tancode in. Je voert code in en opdracht is uitgevoerd.

Vind dit wel (één van de weinige) een voordeel van de postbank, je hoeft niet altijd zo'n apparaat mee te sjouwen en mobiel heb je eigenlijk altijd bij.

Maar ik vraag me af hoe ze weten dat er niemand op gereageerd heeft? Hoe zien hun het verschil tussen iemand die 'vals' is ingelogd mbv fishinggegevens of iemand die echt inlogt?
het telefoonnummer moet uiteraard geconfirmeerd worden
Er was een tijd (nog niet zo heel lang geleden) dat er geen enkele garantie gegeven werd over hoe lang het verzenden van een SMS bericht duurde, en dat het bericht zelfs niet gegarandeerd zou aankomen. Zit je daar te wachten in dat internetcafé in Verweggistan...

Doe mij maar gewoon een TAN-lijst. Hoef ik ook niet speciaal mijn mobiele telefoon aan te zetten om alleen maar een SMSje te kunnen ontvangen. (Ik hoor tot de generatie die de mobiele telefoon niet 24 uur per dag aan heeft staan.)

Op het moment dat de Postbank de TAN-lijst afschaft, en alleen met SMS gaat werken, stap ik over naar een andere bank.
Je telefoon met daarop eventueel alle gegevens kan ook gejat worden...

Dan heb ik liever mijn rekenapparaatje mee...
Ff een noob vraagje; moet je betalen voor die sms functie?
De TAN codes per SMS is gewoon gratis als je Mijn Postbank.nl hebt.

Overigens inderdaad een erg knullige brief. Ik kan me niet voorstellen dat iemand hier intrapt...
Als je lid bent niet.
Lieve Postbank Klant,

eeew...straks gaan nog knuffelmuren weg geven zodra je 1000 euro spaart ;-)

Inderdaad totaal niet de postbank!
Lieve postbank klant? Iedereen weet dat je met geachte moet beginnen en de klant ook aanspreken met U.

Tijd om zelf maar eens van die mailtjes te schrijven}>
Ik gebruik gewoon het o zo handige kastje van de ABN :P

Hoe werken die tan codes eigenlijk, je moet dan een via SMS ontvangen code intypen ofzo ?
Ik gebruik ook de ABN, en ik ben het totaal niet eens met het argument zoals het in het artikel staat:
Stuut gelooft niet dat de manier van interbankieren van de Postbank, waarbij klanten een Transactie Autorisatie Nummer (TAN) moeten invoeren om hun transacties te bevestigen, extra gevoelig is voor internetfraude. Wij hebben voor TAN-codes gekozen en andere banken in Nederland voor een kastje. Dat is een keuze die weloverwogen gemaakt is. Wij hebben deze keuze gemaakt omdat TAN-codes gebruikersvriendelijk zijn en bovendien bewezen veilig bleken.
De postbank is nogal omslagtig om te laten doorschijnen dat ze een symetrische encryptie hebben, en dat zien de criminelen ook. Ik ben het eigenlijk wel eens met de gedachten gang van deze mensen, al hoewel ik nooit het zou uitvoeren.

a-symetrische encryptie zoals de ABN, rabobank etc gebruikt is gewoon technishe gezien veel beter en veiliger.
Het gebruik maken van SMS is in mijn ogen zelfs nog onveilige dan de post. en zou graag zien dat de postbank eens het op een goede manier implementeerd.
Want dit kost hun ook gewoon klanten, vooral de mensen die op de rand staan van wel of niet internet bankieren zullen door deze beangtigende berichten gewoon op de oude manier bankieren of zelf overstappen naar een andere bank.

Ik moet gewoon net zoals alle anderen hier denk ik gewoon lachen als ik zo'n mail zou ontvangen en vervolgens op spam drukken. maar er zijn mensen die wat minder handig met computers zijn.
Hoe kom je er nou bij dat TAN codes een symetrische encryptie zouden hebben?
En hoe leidt jij dat in hemelsnaam af uit die quote??

Technisch gezien zijn TAN codes (oftewel vooraf afgesproken willekeurige codes) de allerveiligste manier van beveiliging die er is. Niet voor niets werken CIA en de voormalige KGB ook met dergelijke systemen.

Er zijn maar 2 risico's: 1) dat iemand de lijst in handen krijgt. Maar dat heb je volledig zelf in de hand.
2) dat iemand dezelfde code meerdere keren gebruikt. Dat kan bij de postbank niet gebeuren, maar de KGB heeft die fout wel een keer gemaakt.
Je zet overschrijvingen via de website in het systeem. Deze worden pas overgemaakt als je een TAN code hebt ingetypt. Deze TAN code wordt je per SMS toegestuurd.
Of via een lijst met TAN codes die je hebt ontvangen.

De mensen die deze lijsten gebruiken zijn ook de enige die hier in zouden kunnen trappen. Als je je TAN via sms laat versturen kun je er natuurlijk geen invoeren bij die phishing website
Jij snapt het. SMS'je word verstuurd op basis van de ingevoerde opdrachten. Kloppen deze niet met de TAN code werkt het ook niet AFAIK. In het SMSje staat iig altijd het totaal bedrag.
Eigenlijk is de code via SMS -minder- veilig dan de lijst.

Aan de ene kant veiliger omdat als iemand je om een TAN code vraagt, taarwijl jij geen SMSje hebt gekregen, je meteen weet dat er iets niet in de haak is.

Maar stel je hebt de login informatie weten af te troggelen.

Werkt iemand met een lijst - dan moet je nog altijd die lijst hebben. Die zul je dus physiek moeten stelen (of iemand moet die ingescand hebben, en dan moeten ze in je computer inbreken, etc.).

Maar als je eenmaal ingelogd bent, kan je zo overschakelen naar SMS - danwel het telefoonnnummer wijzijgen - en de TAN codes naar jouw (de crimineel) mobieltje laten sturen.

Het gaat natuurlijk alleen om overschrijvingen, dus dat geld valt altijd wel weer te achterhalen. Maar het blijft een stuk onveiliger - of ik moet iets over het hoofd zien.
Wijzigen van je 06-nummer gaat niet zomaar, je moet er of nog een TAN-code voor hebben, anders krijg je namelijk een brief op je rekeningadres met een bevestigingcode die je weer op de site moet invoeren ter bevestiging dat je 06-nummer gewijzigd moet worden.
"U kunt uw 06-nummer alleen direct wijzigen indien u op bovenstaand nummer nog een SMS-bericht met TAN-code kunt ontvangen of als u nog een TAN-code op voorraad heeft. De TAN-code heeft u nodig om de wijziging naar Postbank te versturen."
je bedoelt daarmee dat je denkt dat je er zelf wel in zal trappen? :Y) :P

* 786562 the_joen
Jij wilt dat mensen je vissen toesturen via SMS :? :P
Overigens zie ik Postbank ook niet het lettertype Times New Roman gebruiken als er een logo boven staat :P
Een slimme fisher zou nu deze site door zitten te lezen (als hij écht Nederlands kan) en alle opmerkingen meenemen in de volgende phish-mail...

Ik heb nog een tip: schrijf de volgende keer, in plaats van vriendelijke groet: Houdoe!

Dan weten de klanten zeker niet dat je een phisher bent :+
Bankieren via internet is altijd onveilig, nomatter wat welke bank zegt.
aangezien, alles te kraken valt. geef ik nog altijd de voorkeur aan ouderwets en degelijk bankieren.
gewoon via papier.

via internet kan iedereen overal in elk wereld deel een hack poging proberen.
je ziet het keer op keer, dan weer met creditcards, dan weer phising, ga maar door.
volgens mij moeten ze een keer echt onderuit gaan voor dat de banken het echt begrijpen..
Alles is te kraken, dus ook papier. Nog nooit van valsemunters gehoord?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True