:fill(black)/i/1132533159.jpg?f=thumb "phishing")
Beveiligingsbedrijf Secure Computing waarschuwt voor een opkomende phishing-variant, die vanwege het gebruik van VoIP-telefonie de naam 'vishing' heeft meegekregen. De criminelen die zich hiervan bedienen, de zogenaamde vishers, maken gebruik van relatief eenvoudig te verkrijgen VoIP-telefoonnummers. Deze maken ze kenbaar in mailtjes die ze naar hun beoogde slachtoffers sturen - waarin ze net zoals bij veel phishing-aanvallen plachten te melden dat er 'iets' met hun creditcard of bankrekening loos is. Omdat veel mensen vanwege de aandacht die aan phishing is besteed, voorzichtig zijn geworden met het klikken op links, stoppen de vishers maar wat extra werk in hun duistere activiteiten: ze gaan zelf achter de telefoon zitten om mensen hun creditcard of pinpasgegevens te ontfutselen, in plaats van hun slachtoffers die in een webgebaseerd interface in te laten tikken. Er zijn gevallen gemeld waarbij de vishers erin slaagden om hun nummer te 'spoofen' zodat het nummer van een creditcardmaatschappij in beeld verscheen. Secure Computing waarschuwt VoIP-gebruikers om geen nummers te bellen die in e-mails worden genoemd, maar alleen de nummers te bellen die op hun creditcard staan of met hun bankbescheiden zijn meegestuurd.
Beveiligingsbedrijf waarschuwt tegen phishing via VoIP
Door Mick de Neeve
Feedback • 11-07-2006 21:15 20Lees meer
/i/1229356307.png?f=fpa)
Details en foto's NS-skimapparaat gepubliceerd
Nieuws van 15 december 2008
Cybercriminelen spelen verstoppertje met fast flux-techniek
Nieuws van 19 juli 2007
:strip_exif()/i/1164054959.jpg?f=fpa)
'Tien procent internetters slachtoffer van online-fraude'
Nieuws van 20 november 2006
'Kans van een op drie op virus, spyware of phishing'
Nieuws van 9 augustus 2006
Phishers proberen token based beveiliging te omzeilen
Nieuws van 17 juli 2006
Computercriminaliteit in België neemt flink toe
Nieuws van 9 juli 2006
Triple Deal-gebruikers phishen achter het net
Nieuws van 17 juni 2006
Computercriminaliteit harder bestraft
Nieuws van 31 mei 2006
Kabinet wil aanpak cybercriminaliteit verbeteren
Nieuws van 21 mei 2006
Microsoft wint zijn eerste rechtzaak tegen een phisher
Nieuws van 20 mei 2006
MSN Messenger-worm verwacht vanwege phishingsite
Nieuws van 2 mei 2006
'Meeste internetters blind voor spyware'
Nieuws van 27 april 2006
Website Rabobank lekt e-mailadressen klanten - Update
Nieuws van 25 april 2006
'Schade cybercriminaliteit hoger dan 'normale' criminaliteit'
Nieuws van 20 maart 2006
Dit jaar anti-phishing features in Firefox
Nieuws van 9 maart 2006
'Kerstperiode belooft drukke phishing-periode te worden'
Nieuws van 5 december 2005
Browsermakers bespreken antiphishingmaatregelen
Nieuws van 24 november 2005
Microsoft breidt antiphishingmaatregelen uit
Nieuws van 21 november 2005
Reacties (20)
:strip_exif()/u/58402/resicon.gif?f=community){kind=small}
Als je dan toch aan het waarschuwen bent, noem die personen dan gewoon oplichters. Er zijn nog genoeg mensen die niet wat wat phising is, en als je die wilt bereiken, moet je het zo simpel mogelijk houden.
:strip_icc():strip_exif()/u/1100/crop5a1c5df8066e1_cropped.jpeg?f=community){kind=small}
die mensen kijken niet op tweakers.net...
:strip_icc():strip_exif()/u/53213/crop57ace20969734.jpeg?f=community){kind=small}
Hoe kan het technisch gezien dan mogelijk zijn om een telefoonnummer te spoofen? Beveilgingsfoutje in de SIP/STUN server dan?
:strip_icc():strip_exif()/u/3095/nietzsche.jpg?f=community){kind=small}
Bovendien moet je toch zelf het telefoonnummer intypen waar je heen wilt bellen? Ik neem niet aan dat de vishers zoveel controle over het telefoonnetwerk hebben dat ze telefoontjes naar het nummer van creditcardmaatschappijen of banken naar zichzelf kunnen redirecten - als ze dat wel zouden kunnen hadden ze die mailtjes niet meer nodig. Dat betekent dat je kan spoofen wat je wilt, je slachtoffer zal toch altijd jouw VOIP-nummer moeten draaien, waarvan hij zeer gemakkelijk kan controleren of het klopt.
/u/159942/crop64f75622619cc.png?f=community){kind=small}
Niet als ze jou bellen.
Wat ze doen is jou bellen, maar IPV dat hun eigen nummer in beeld komt zorgen ze dat het nummer van Visa ofzo in beeld komt.
Wat ze doen is jou bellen, maar IPV dat hun eigen nummer in beeld komt zorgen ze dat het nummer van Visa ofzo in beeld komt.
veel SIP-hardware kan ook ENUM-lookups doen, en deze zouden dan voor een standaard telefoonnummer een verkeerde alternatieve VOIP weg kunnen teruggeven waar je hardware gebruik van maakt om goedkoper te bellen.
Bv. een fritzbox kan deze ENUM lookups doen, hier kun je ook nog een standaard PSTN-lijn op aansluiten waar een telefoonnummer aan verbonden is. Wil je nu dat andere mensen die ook zo een fritzbox hebben je via het internet bellen ipv. via het meestal betaalde PSTN-netwerk wanneer ze je PSTN-nummer ingeven, dan kun je dit nummer registreren bij een dienst zoals http://www.e164.org/ , deze is trouwens volledig gratis, en om te controleren dat jij wel echt eigenaar bent van dit nummer bellen ze je na registratie automatisch op met een activatiecode.
Bv. een fritzbox kan deze ENUM lookups doen, hier kun je ook nog een standaard PSTN-lijn op aansluiten waar een telefoonnummer aan verbonden is. Wil je nu dat andere mensen die ook zo een fritzbox hebben je via het internet bellen ipv. via het meestal betaalde PSTN-netwerk wanneer ze je PSTN-nummer ingeven, dan kun je dit nummer registreren bij een dienst zoals http://www.e164.org/ , deze is trouwens volledig gratis, en om te controleren dat jij wel echt eigenaar bent van dit nummer bellen ze je na registratie automatisch op met een activatiecode.
Gewoonweg niet opgenomen in de specificaties van SIP.
De OPTA dicteert (terecht) dat het in Nederland niet toegestaan is om op het normale telefoonnetwerk een ander nummer als cid mee te sturen dan een nummer van je eigen lijn.
Dat soort regels zijn er voor normale telefonie, maar voor voip is dat wat lastiger vast te leggen en nog lastiger te implementeren.
Er is geen enkele technische beperking om in een sip-pakketje een ander telefoonnummer te zetten, bijvoorbeeld.
edit: was reactie op AW_Bos.
De OPTA dicteert (terecht) dat het in Nederland niet toegestaan is om op het normale telefoonnetwerk een ander nummer als cid mee te sturen dan een nummer van je eigen lijn.
Dat soort regels zijn er voor normale telefonie, maar voor voip is dat wat lastiger vast te leggen en nog lastiger te implementeren.
Er is geen enkele technische beperking om in een sip-pakketje een ander telefoonnummer te zetten, bijvoorbeeld.
edit: was reactie op AW_Bos.
Sterker nog, SIP staat expliciet toe dat je als 'afzender' een andere naam gebruikt. Een SIP adres lijkt heel sterk op een email-adres met een displayname en een userid@domain deel.
Om anoniem te kunnen communiceren (net zoals je dat met *31 via de telefoon kan) stelt SIP voor om dan 'Anonymous' als displayname te gebruiken met een niet bestaande user@domain, maar SIP staat in principe ook toe er iets anders van te maken. Bijvoorbeeld de gegevens van een creditcard maatschappij
Het is dan aan de SIP server, of ontvangende partij om de identiteit van de afzender te controleren (indien gewenst), bijvoorbeeld via een authenticatie request.
Om anoniem te kunnen communiceren (net zoals je dat met *31 via de telefoon kan) stelt SIP voor om dan 'Anonymous' als displayname te gebruiken met een niet bestaande user@domain, maar SIP staat in principe ook toe er iets anders van te maken. Bijvoorbeeld de gegevens van een creditcard maatschappij
Het is dan aan de SIP server, of ontvangende partij om de identiteit van de afzender te controleren (indien gewenst), bijvoorbeeld via een authenticatie request.
"Beveiligings bedrijf meld dat de standaard beveiliging tegenwoordig meer dan genoeg is om gerust te kunnen computeren"
En microsoft meld "De komende versie ongeveer versie ongeveer het zelfde bied als de recente"..
En microsoft meld "De komende versie ongeveer versie ongeveer het zelfde bied als de recente"..
:strip_exif()/u/93126/logo.gif?f=community){kind=logo}
Maak er maar een nieuwe term van... het bestond al lang. Je noemt het Social Engineering...
Mensen die opgelicht kunnen worden, die worden ook slachtoffer... zo werkt het "systeem" nou eenmaal. of het nou is door iemand die belt voor hun creditcard gegevens of een reclame voor iets wat ze niet nodig hebben! Waar hebben we het over... De ene word als legaal gezien de andere niet.
Mensen die opgelicht kunnen worden, die worden ook slachtoffer... zo werkt het "systeem" nou eenmaal. of het nou is door iemand die belt voor hun creditcard gegevens of een reclame voor iets wat ze niet nodig hebben! Waar hebben we het over... De ene word als legaal gezien de andere niet.
:strip_icc():strip_exif()/u/1850/crop668bec02ef9dd.jpg?f=community){kind=small}
Lijkt me lachen om es zo een telefoontje te krijgen:
[sterk Nigeriaans accent] Goodd moarnink, this is barrister John Holmes of Barclays bank. We 'ave ree-ason to belee've dat yor accoont is not up too dee-ate...
[sterk Nigeriaans accent] Goodd moarnink, this is barrister John Holmes of Barclays bank. We 'ave ree-ason to belee've dat yor accoont is not up too dee-ate...
:strip_icc():strip_exif()/u/103959/buddy_small.jpg?f=community){kind=small}
Alle vormen van creditcardbetaling afschaffen: duur en onveilig.
:strip_exif()/u/30785/gryffindor.gif?f=community){kind=small}
De CreditCard is de veiligste methode van betalen....
In geval van fraude gaan de advocaten en speurneuzen van de CC-maatschappij graven en procederen, maar intussen heb jij je geld al weer terug. (ff asumerend dat je niet zelf hebt lopen blunderen/frauderen)
In geval van fraude gaan de advocaten en speurneuzen van de CC-maatschappij graven en procederen, maar intussen heb jij je geld al weer terug. (ff asumerend dat je niet zelf hebt lopen blunderen/frauderen)
:strip_icc():strip_exif()/u/98843/tmpgeel601.jpg?f=community){kind=small}
Haha, 'veiligste methode van betalen'...
3% van de omzet van creditkaarten is fraude!!
Dus stel dat er 1biljoen omzet is, dan wordt er voor 30miljard gefraudeerd.
Als je creditcard gepikt wordt en je merkt 't pas veel later, dan krijg je zeker niet zo makkelijk je geld terug (als je al iets terug krijgt). De creditcardmij. zegt dan nl. gewoon dat je 't niet op tijd gemeld hebt (binnen een paar uur ofzo).
3% van de omzet van creditkaarten is fraude!!
Dus stel dat er 1biljoen omzet is, dan wordt er voor 30miljard gefraudeerd.
Als je creditcard gepikt wordt en je merkt 't pas veel later, dan krijg je zeker niet zo makkelijk je geld terug (als je al iets terug krijgt). De creditcardmij. zegt dan nl. gewoon dat je 't niet op tijd gemeld hebt (binnen een paar uur ofzo).
De CreditCard is nog altijd de beste en makkelijkste en een veiligste manier van betalen en dat wereldwijd. De hollandse pinpas werkt niet overal en bij domgebruik is net zo onveilig als de credietcard.
Machtingen dat is pas linke zooi. Daarnee hebben bedrijven en oplichters de mogelijkheid om 'zomaar' geld te oosten. Bij credietcards heb je meer gegevens nodig om een betaling af te ronden en deze gegevens moeten kloppen.
Machtingen dat is pas linke zooi. Daarnee hebben bedrijven en oplichters de mogelijkheid om 'zomaar' geld te oosten. Bij credietcards heb je meer gegevens nodig om een betaling af te ronden en deze gegevens moeten kloppen.
Dit probleem kan eenvoudig worden aangepakt.
De bedrijven die het voip telefoonverkeer routeren naar het PSTN verkeer dienen erop te letten dat een gebruiker enkel het nummer kan weergeven dat aan zijn gebruikersnaam gekoppeld is.
Ik heb veel ervaring met SIP en ik kan je mededelen dat bij een aantal bedrijven de SIP provider bepaald welk nummer wordt weergeven ongeacht welk nummer jij invuld bij je afzender/callerid in de sip header.
Er moet dus strengere toezicht komen op deze VOIP providers. Het is dan haast niet meer mogelijk om te spoofen tenzij je in hun netwerk inbreekt.
De bedrijven die het voip telefoonverkeer routeren naar het PSTN verkeer dienen erop te letten dat een gebruiker enkel het nummer kan weergeven dat aan zijn gebruikersnaam gekoppeld is.
Ik heb veel ervaring met SIP en ik kan je mededelen dat bij een aantal bedrijven de SIP provider bepaald welk nummer wordt weergeven ongeacht welk nummer jij invuld bij je afzender/callerid in de sip header.
Er moet dus strengere toezicht komen op deze VOIP providers. Het is dan haast niet meer mogelijk om te spoofen tenzij je in hun netwerk inbreekt.
Op dit item kan niet meer gereageerd worden.