Opnieuw poging tot phishing onder Postbank-klanten

Criminelen hebben voor de derde keer geprobeerd klanten van de Postbank gegevens te ontfutselen. Mensen ontvingen een mailtje met een linkje dat naar een website leidde waar ze verzocht werden hun gebruikersnaam, wachtwoord, activeringscode of TAN-codes in te vullen. Volgens Liselore Stuut, persvoorlichter bij de Postbank, zijn er geen gedupeerden. 'De actie van de criminelen was ook veel kleinschaliger dan die in juni.' Stuut leest dat af aan het aantal reacties die er bij de afdeling klantenservice is binnengekomen. 'Aan die reacties zie je ook dat mensen inmiddels op de hoogte zijn van begrippen als phishing; men is zich veel meer bewust van internetcriminaliteit.'

Postbank LeeuwStuut gelooft niet dat de manier van interbankieren van de Postbank, waarbij klanten een Transactie Autorisatie Nummer (TAN) moeten invoeren om hun transacties te bevestigen, extra gevoelig is voor internetfraude: 'Wij hebben voor TAN-codes gekozen en andere banken in Nederland voor een kastje. Dat is een keuze die weloverwogen gemaakt is. Wij hebben deze keuze gemaakt omdat TAN-codes gebruikersvriendelijk zijn en bovendien bewezen veilig bleken.' Toch is er sinds de vorige phishing-aanval in juni wel iets veranderd. 'De TAN-codes worden nu at random opgevraagd, terwijl dat in het verleden op volgorde gebeurde.' Bovendien maken steeds minder mensen gebruik van TAN-lijsten, aldus Stuut. 'Van de 1,6 miljoen internetbankierende Postbank-klanten, laat zestig procent zijn TAN-code inmiddels per SMS toesturen.'

Ook de Deutsche Bank kreeg vorige week met phishing te maken kreeg. Deze bank maakt net als de Postbank gebruik van TAN-codes. Dat geldt niet voor de grote Zweedse bank Nordea, die zelfs tijdelijk zijn website sloot toen de klanten van de bank benaderd werden met phishing-e-mails. Op 19 september presenteerde Symantec de achtste editie van het Internet Security Threat Report waarin te lezen valt dat het aantal phishing-aanvallen snel toeneemt, van 2,99 miljoen per dag in het laatste halfjaar van 2004 naar 5,70 miljoen per dag in het eerste halfjaar van 2005.

Door Caroline Schröder

Feedback • 12-10-2005 18:01
52 • submitter: Seraphin

12-10-2005 • 18:01

52

Submitter: Seraphin

Bron: Postbank

Lees meer

EU-systeem voor emissiehandel doelwit van phishers
EU-systeem voor emissiehandel doelwit van phishers Nieuws van 5 februari 2010
'Russische maffia plundert Belgische bankrekeningen' - update
'Russische maffia plundert Belgische bankrekeningen' - update Nieuws van 6 oktober 2007
Phishers richten pijlen op Apple-gebruikers
Phishers richten pijlen op Apple-gebruikers Nieuws van 3 augustus 2007
F-secure wil veilige domeinextensie voor banken
F-secure wil veilige domeinextensie voor banken Nieuws van 3 april 2007
Zweedse bank slachtoffer van grote online roof
Zweedse bank slachtoffer van grote online roof Nieuws van 22 januari 2007
Rabobank waarschuwt voor phishingmailtjes
Rabobank waarschuwt voor phishingmailtjes Nieuws van 17 april 2006
Onderzoek: 'Internetbankieren Postbank scoort slecht'
Onderzoek: 'Internetbankieren Postbank scoort slecht' Nieuws van 20 januari 2006
'Kerstperiode belooft drukke phishing-periode te worden'
'Kerstperiode belooft drukke phishing-periode te worden' Nieuws van 5 december 2005
'Cybercrime lucratiever dan drugshandel'
'Cybercrime lucratiever dan drugshandel' Nieuws van 29 november 2005
Browsermakers bespreken antiphishingmaatregelen
Browsermakers bespreken antiphishingmaatregelen Nieuws van 24 november 2005
'Banken verkiezen Windows boven Linux'
'Banken verkiezen Windows boven Linux' Nieuws van 23 november 2005
Angst voor online betalen nog niet verdwenen
Angst voor online betalen nog niet verdwenen Nieuws van 22 november 2005
Grootschalige politie-actie tegen internetoplichters
Grootschalige politie-actie tegen internetoplichters Nieuws van 16 november 2005
'Tegoedbon voldoende om wachtwoord te achterhalen'
'Tegoedbon voldoende om wachtwoord te achterhalen' Nieuws van 9 november 2005
Californië maakt phishing strafbaar
Californië maakt phishing strafbaar Nieuws van 3 oktober 2005
Microsoft komt met antiphishingsoftware voor IE6
Microsoft komt met antiphishingsoftware voor IE6 Nieuws van 25 augustus 2005
Banken gaan samenwerken tegen high-tech misdaad
Banken gaan samenwerken tegen high-tech misdaad Nieuws van 19 juli 2005
Postbank-klanten doelwit van phishingmail
Postbank-klanten doelwit van phishingmail Nieuws van 5 juni 2005
Meer producten en artikelen
Bedrijfsnieuws

Reacties (52)

-Moderatie-faq
52
52
25
5
0
21
Wijzig sortering
Darude1234 12 oktober 2005 18:19
Ik weet dat er altijd mensen zijn die hierop reageren, maar komop: "Lieve Postbank klant" |:(

A. Zowiezo zal de Postbank nooit om TAN-codes vragen
B. Als je wordt aangesproken als: Lieve Postbank klant moet er toch wel een belletje gaan rinkelen
C. Mensen moeten is wat meer gaan denken voor dat ze op een e-mail gaan antwoorden.

Ik weet dat er nog geen slachtoffers gevallen zijn, maar ik geef het een dag.
BastiaanN 12 oktober 2005 19:27
Quote postbank.nl :
Wijzigen
U kunt uw 06-nummer en/of provider alleen direct wijzigen indien u op bovenstaand nummer nog een SMS-bericht met TAN-code kunt ontvangen of als u nog een TAN-code op voorraad heeft. De TAN-code heeft u nodig om de wijziging naar Postbank te versturen.
en nee de voorraad moet je ook eerst aanvragen :) dus eigenlijk is het wel goed beveiligd.
satoer 12 oktober 2005 22:26
Hoe kan er nu in het phishing mailtje gelinkt worden naar: https://www.p3.postbank.nl/sesam/sesamloginservlet in dat E-mailtje? Dit is toch gewoon op het domein van de Postbank zelf? Hebben ze ingebroken en een phishing site op de server van de postbank gezet? inside job?
sopsop @satoer13 oktober 2005 01:09
Let op hè, even een inside Job op de tweakers server:
www.tweakers.net

Snap je het nu? :)
oshiro 12 oktober 2005 18:14
Lieve Postbank klant, ...
Waarschijnlijk is de doelgroep de mensen die nog gebruik maken van de Penniemaat :+ (dat ding wordt steeds interessanter, nu ook al internetbankieren :) )

Zou het niet mogelijk zijn om subdomeinen van zulke bedrijven te reserveren oid? Bijvoorbeeld dat www.***.***.naambedrijf.iets alleen maar geregistreerd kan worden door dat bedrijf? Zou wel efficient zijn tegen phishing denk ik (correct me if i'm wrong :) )

Edit voor marcieking:

Nee ik bedoel het volgende: de URL waarnaar gelinkt wordt in de mail is www.p3.postbank.nl/zooiofietsdergelijks. Zou het niet mogelijk zijn dat bijvoorbeeld alleen de postbank recht heeft op dat subdomein?

Als er inderdaad een ander TLD achter gezet wordt is het inderdaad niet mogelijk.
Remus @oshiro12 oktober 2005 22:33
Subdomeinen kunnen alleen maar door de eigenaar van het domein worden aangevraagd. www.p3.postbank.nl is dan ook gewoon de server van de postbank waar ondermeer mijnpostbank.nl op draait
Maar ja, wat weerhoudt iemand om een HTML mail te maken met <a href="mijnphishing site">http://www.p3.postbank.nl/bladibla/</a>
marcieking @oshiro12 oktober 2005 18:46
Als je daarmee bedoelt dat bijvoorbeeld

www.postbank.nl.wijzijneenvaagphishingbedrijfje.vl (vl=vaaglandje)

alleen door de Postbank kan worden geregistreerd is dat helaas niet mogelijjk, omdat het gewoon een subdomein is van wijzijneenvaagphishingbedrijfje.vl.
4hp 12 oktober 2005 18:06
Als je die voorbeeld e-mail bekijkt (zie eerste link in het artikel) dan zie je gelijk dat het erg matig taalgebruik is. De Postbank spreekt je echt niet op zo'n knullige manier aan :-)

Maar ja er zijn altijd mensen...
Ik gebruik gelukkig de sms functie :D
Anoniem: 120284 @4hp12 oktober 2005 18:09
Ff een noob vraagje; moet je betalen voor die sms functie?
Anoniem: 58284 @Anoniem: 12028412 oktober 2005 18:11
De TAN codes per SMS is gewoon gratis als je Mijn Postbank.nl hebt.

Overigens inderdaad een erg knullige brief. Ik kan me niet voorstellen dat iemand hier intrapt...
Depress @Anoniem: 12028412 oktober 2005 18:12
Als je lid bent niet.
PoisonouZ @4hp12 oktober 2005 18:17
Het grote voordeel aan die SMS functie is waar je ook bent je kunt wel aan tan codes komen. Ik ben nog weleens in het buitenland en soms moet je gewoon even geld ergens vandaan toveren of ergens heen sturen.

Dat is voor mij echt een pluspunt boven gebruik van kastjes enzo, want die dingen zou je mee moeten slepen, en ik ken het dat gaat kapot net als je het echt nodig bent.
mazzzterrr @PoisonouZ12 oktober 2005 18:40
Kun je zelf het nummer opgeven dan? Immers je mobiel kan ook kapot gaan in the heat of the moment.

Ik weet niet precies hoe het werkt maar:
Als je die code vraagt via je mobiel dan kost het jou toch geld?
Als je die code vraagt via Mijn Postbank en je kan zelf het nummer geven dan hebben ze dus alleen je login nodig?

Ik speculeer maar wat, dus leg het even uit aub?
2bme @mazzzterrr12 oktober 2005 18:48
Hoe 't werkt?
Je vraagt die functie aan via mijnpostbank.nl. Daar geef je je 06-nr. op.
Als je wilt internetbankieren moet je inloggen met naam en wachtwoord (via beveiligde verbinding). Dan kun je een opdracht invoeren, om die opdracht te bevestigen klik je op 'verstuur opdracht' dan hoor je Bliep-Bliep terwijl er op je scherm verschijnt: Voer tancode in. Je voert code in en opdracht is uitgevoerd.

Vind dit wel (één van de weinige) een voordeel van de postbank, je hoeft niet altijd zo'n apparaat mee te sjouwen en mobiel heb je eigenlijk altijd bij.

Maar ik vraag me af hoe ze weten dat er niemand op gereageerd heeft? Hoe zien hun het verschil tussen iemand die 'vals' is ingelogd mbv fishinggegevens of iemand die echt inlogt?
Bosmonster @mazzzterrr12 oktober 2005 19:10
het telefoonnummer moet uiteraard geconfirmeerd worden
gfgw @mazzzterrr13 oktober 2005 09:41
Er was een tijd (nog niet zo heel lang geleden) dat er geen enkele garantie gegeven werd over hoe lang het verzenden van een SMS bericht duurde, en dat het bericht zelfs niet gegarandeerd zou aankomen. Zit je daar te wachten in dat internetcafé in Verweggistan...

Doe mij maar gewoon een TAN-lijst. Hoef ik ook niet speciaal mijn mobiele telefoon aan te zetten om alleen maar een SMSje te kunnen ontvangen. (Ik hoor tot de generatie die de mobiele telefoon niet 24 uur per dag aan heeft staan.)

Op het moment dat de Postbank de TAN-lijst afschaft, en alleen met SMS gaat werken, stap ik over naar een andere bank.
Anoniem: 101094 @PoisonouZ13 oktober 2005 08:47
Je telefoon met daarop eventueel alle gegevens kan ook gejat worden...

Dan heb ik liever mijn rekenapparaatje mee...
swampy @4hp12 oktober 2005 18:33
Lieve Postbank Klant,

eeew...straks gaan nog knuffelmuren weg geven zodra je 1000 euro spaart ;-)

Inderdaad totaal niet de postbank!
twabi2 @4hp12 oktober 2005 18:38
Valt er niets op?
"lieve klant" zou je vertalen als "dear customer", wat wel formeel is in het Engels... volgens mij is dit dus geen actie van een echte nederlandstalige!
Hyronymus @twabi212 oktober 2005 19:36
Typisch een geval van Babelfish maar je hebt inderdaad gelijk. De interpunctie en volgorde van werkwoorden is ook niet helemaal correct, hoewel het niet écht fout te noemen is.
the_stickie @twabi212 oktober 2005 19:43
maar dan wel "Hopende u hiermee voldoende te hebbben geïnformeerd."?

Nee volgens mij is dit een actie van een 16 jarige ofzo...
Anoniem: 126610 @twabi213 oktober 2005 09:03
en je/u wordt afwisselend met 'u' en 'je' aangesproken. Zeer overtuigend |:(
rijk0214 @4hp13 oktober 2005 07:41
Lieve postbank klant? Iedereen weet dat je met geachte moet beginnen en de klant ook aanspreken met U.

Tijd om zelf maar eens van die mailtjes te schrijven}>
NoepZor 12 oktober 2005 18:11
Ik gebruik gewoon het o zo handige kastje van de ABN :P

Hoe werken die tan codes eigenlijk, je moet dan een via SMS ontvangen code intypen ofzo ?
Madcat @NoepZor12 oktober 2005 19:59
Ik gebruik ook de ABN, en ik ben het totaal niet eens met het argument zoals het in het artikel staat:
Stuut gelooft niet dat de manier van interbankieren van de Postbank, waarbij klanten een Transactie Autorisatie Nummer (TAN) moeten invoeren om hun transacties te bevestigen, extra gevoelig is voor internetfraude. Wij hebben voor TAN-codes gekozen en andere banken in Nederland voor een kastje. Dat is een keuze die weloverwogen gemaakt is. Wij hebben deze keuze gemaakt omdat TAN-codes gebruikersvriendelijk zijn en bovendien bewezen veilig bleken.
De postbank is nogal omslagtig om te laten doorschijnen dat ze een symetrische encryptie hebben, en dat zien de criminelen ook. Ik ben het eigenlijk wel eens met de gedachten gang van deze mensen, al hoewel ik nooit het zou uitvoeren.

a-symetrische encryptie zoals de ABN, rabobank etc gebruikt is gewoon technishe gezien veel beter en veiliger.
Het gebruik maken van SMS is in mijn ogen zelfs nog onveilige dan de post. en zou graag zien dat de postbank eens het op een goede manier implementeerd.
Want dit kost hun ook gewoon klanten, vooral de mensen die op de rand staan van wel of niet internet bankieren zullen door deze beangtigende berichten gewoon op de oude manier bankieren of zelf overstappen naar een andere bank.

Ik moet gewoon net zoals alle anderen hier denk ik gewoon lachen als ik zo'n mail zou ontvangen en vervolgens op spam drukken. maar er zijn mensen die wat minder handig met computers zijn.
mjtdevries @Madcat12 oktober 2005 20:59
Hoe kom je er nou bij dat TAN codes een symetrische encryptie zouden hebben?
En hoe leidt jij dat in hemelsnaam af uit die quote??

Technisch gezien zijn TAN codes (oftewel vooraf afgesproken willekeurige codes) de allerveiligste manier van beveiliging die er is. Niet voor niets werken CIA en de voormalige KGB ook met dergelijke systemen.

Er zijn maar 2 risico's: 1) dat iemand de lijst in handen krijgt. Maar dat heb je volledig zelf in de hand.
2) dat iemand dezelfde code meerdere keren gebruikt. Dat kan bij de postbank niet gebeuren, maar de KGB heeft die fout wel een keer gemaakt.
Anoniem: 58284 @NoepZor12 oktober 2005 18:12
Je zet overschrijvingen via de website in het systeem. Deze worden pas overgemaakt als je een TAN code hebt ingetypt. Deze TAN code wordt je per SMS toegestuurd.
Anoniem: 131758 @Anoniem: 5828412 oktober 2005 18:15
Of via een lijst met TAN codes die je hebt ontvangen.

De mensen die deze lijsten gebruiken zijn ook de enige die hier in zouden kunnen trappen. Als je je TAN via sms laat versturen kun je er natuurlijk geen invoeren bij die phishing website
freaky @NoepZor12 oktober 2005 18:15
Jij snapt het. SMS'je word verstuurd op basis van de ingevoerde opdrachten. Kloppen deze niet met de TAN code werkt het ook niet AFAIK. In het SMSje staat iig altijd het totaal bedrag.
Anoniem: 111703 12 oktober 2005 18:26
Precies, iedereen die gewoon de tekst leest dat elke keer verschijnt als je inlogt moet gewoon zowiezo weten dat dit niet goed is.

Mijn Postbank.nl is strikt persoonlijk. Medewerkers van Postbank zullen daarom nooit naar uw gebruikersnaam, wachtwoord, activeringscode of TAN-codes vragen. Niet via e-mail, telefoon of op welke andere manier dan ook.

Alhoewel ik me wel heel gewaardeerd voel met "Lieve postbank klant" :D
SebaZ 12 oktober 2005 18:31
Ze gebruiken geen kastje? Maar je mobiel wordt dan toch 'het kastje' als je via SMS een code krijgt :?

Je hoeft er alleen gene kaart in te steken :P
Redinox 13 oktober 2005 04:43
Gebruik nu al een geruime tijd en snap echt niet dat mensen in dit soort doorzichtje vallen trappen. Maar ondanks dat heb ik toch even mijn ouders gewaarschuwd..zijn toch al wat ouder en redelijk goedgelovig wat internet betreft. Er hoeven maar een paar mensen 'te happen' en de makers van dit de phishing site kunnen weer een leuke som geld afhandig maken. Aan de ene kant jammer dat er mensen zijn die dit doen, aan de andere kant zorgt het wel voor meer oplettendheid bij de gebruikers
Anoniem: 47200 12 oktober 2005 18:12
Ik heb op mijn hotmail account al meerdere malen een duitse mailing die zogenaamd van postbank.de afkwam gehad.

Dit heb ik gemeld bij de Postbank en ze waren niet eens geinteresseerd in het mailtje en zeiden gewoon dat ik hem maar weg moest gooien.

Het kan aan mij liggen maar ik vind de Postbank maar een beetje krampachtig omgaan met internet als nieuw medium.
mjtdevries @Anoniem: 4720012 oktober 2005 21:03
Ik kan me dat gesprek wel voorstellen:

thekip: Ik heb een mailtje gehad dat zogenaamd van postbank.de afkwam

postbank medewerker denkt: *zucht* nummer 349 vandaag. *zucht*
postbank medewerker: Dank u wel voor de melding. U kunt de mail gewoon weggooien. Tot ziens.

thekip: Nou die zijn ook niet geinteresseerd zeg?
Remus @Anoniem: 4720012 oktober 2005 22:24
Gek he, Postbank.de is namelijk een Duitse bank en niet gerelateerd aan de Nederlandse Postbank. Als jij dus een phishing mailtje van Postbank.de had ontvangen was dat dus een phishing poging voor de Duitse Postbank en daar heeft de Nederlandse Postbank geen boodschap aan.

NB: op http://www.postbank.de/ staat een waarschuwing voor precies dat phishing mailtje dat je ontvangen hebt.
Pikkemans @Anoniem: 4720012 oktober 2005 18:12
jup.. postbank spreekt je altijd aan met "U" en de hele zinnen kloppen niet... zo spreek ik nog niet eens op msn of iets dergelijks.
thegve @Anoniem: 4720012 oktober 2005 20:46
En ze hebben hem ook niet geregistreerd? Kan me voorstellen dat ze hem ergens "turven" en dan een mailtje terugsturen van. "Hier kunnen wij ook niks aan doen, gooi het mailtje weg".

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq