Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 84 reacties
Bron: Rabobank

De Rabobank heeft een waarschuwing online gezet waaruit blijkt dat criminelen sinds gisteren druk bezig zijn met het versturen van phishingmailtjes naar zijn klanten.

Rabobank-logoIn de e-mail wordt de gebruiker verzocht op een link te klikken en vervolgens in te loggen met de random reader. Als afzender wordt het adres 'onlineservice@rabobank.nl' gebruikt, maar de link leidt de gebruiker naar een pagina op een Russische website. Gebruikers die de nepinstructies al opgevolgd hebben, wordt geadviseerd contact op te nemen met de helpdesk van de Rabobank. Of alleen Rabobank-klanten de e-mails ontvangen, wordt niet vermeld. Hoewel het waarschijnlijker is dat het om een algemene spamrun gaat, bestaat de kans echter dat de criminelen misbruik gemaakt hebben van een lek op de website van de Rabobank. De financiŽle instelling benadrukt tot slot dat e-mail alleen gebruikt wordt voor het versturen van informatieve berichten, maar dat er nooit middels telefoon of e-mail naar persoonlijke gegevens gevraagd zal worden. Inmiddels lijkt het erop dat de pagina offline is gehaald, maar het is niet ondenkbaar dat de fraudeurs binnenkort een aangepaste versie van hun mail rondsturen.

Het feit dat de phishers expliciet vragen om in te loggen met de randomreader, lijkt overigens te insinueren dat het om een zogenaamde 'Man in the middle'-aanval kan gaan. De informatie van de Rabobank biedt echter weinig duidelijkheid over de aard van de aanval. Verder onderzoek wordt bovendien bemoeilijkt doordat de pagina inmiddels offline is gehaald.

Moderatie-faq Wijzig weergave

Reacties (84)

Helaas zijn er altijd nog een hoop mensen die niet in de gaten hebben dat banekn nooit om gegevens van klanten vragen in e-mails. Misschien moeten ze dat eens duidelijker op al hun correspondentie zetten opdat de meeste mensen dan toch doorkrijgen dat ze niet op die phishing mails in moeten gaan!
Dat doen de goede phishing mails ook niet.
Ze nodigen je uit om in te loggen met een neplink. Niet om hun je gegevens terug te mailen.

De waarchuwing zou eerder moeten luiden:
"Klik nooit op een link naar ons als u in wilt loggen! Tik altijd zelf het adres, www.[banknaam].nl, in uw browser in."
"Klik nooit op een link naar ons als u in wilt loggen! Tik altijd zelf het adres, www.[banknaam].ru, in uw browser in." :+
en het mooiste is nog wel dat er op de gekopieerde (phishing) pagina ook nog de phishing-waarschuwing staat:

"Ga alleen verder als de adresregel
begint met https ://bankieren.rabobank.nl/...
U bent er dan zeker van dat u communiceert met de Rabobank."
:Y)
Dit gebruikt rabobank alwel bij het inloggen op je internetbankieren.
En het werkt, me moeder controleert altijd netjes de URL voordat ze iets intypt ;)
Je hebt haar ook al verteld dat ze regelmatig d'r hosts-file moet controleren op de aanwezigheid van onzin-toevoegingen?

-edit: hoezo overbodig? Als ik phisher was zou ik deze functionaliteit ook inbouwen op mijn fake-website en een schermpje te voorschijn toveren:

Controleer of in de adresbalk http://internetbankieren.rabobank.nl staat
Hoe je het ook doet (k1n8fisher of SuperNull): als de bank iets van je wil weten gaat dit altijd nog via de post of binnen de online banking tool zelf nůůit via mail.
Voor de privacy is dat gewoon een feit. Ik snap dan inderdaad ook niet dat mensen zich bang laten maken door zo'n mailtje...
Klopt, daarom laten ze je hier toch ook "inloggen".
Misschien moeten ze dat eens duidelijker op al hun correspondentie zetten opdat de meeste mensen dan toch doorkrijgen dat ze niet op die phishing mails in moeten gaan!
Natuurlijk moeten ze dit zoveel mogelijk doen, maar reken er maar op dat er altijd mensen zijn die dat vergeten en het simpelweg logisch vinden dat de bank hen per e-mail benadert. Alles wordt meer en meer digitaal, zo denken ze, dus waarom dit niet?
Wat ik uitermate interessant vind, is dat Firefox 2.0.0.1 automatisch al m'n rekeningnummer suggereert in het invulvakje daarvoor, terwijl het toch echt een totaal andere domeinnaam is dan rabobank.nl ? :X
Dat ligt aan het name attribuut van dat veld in de form.
Als formnaam en veldnaam hetzelfde zijn suggereerd Firefox dezelfde waarde.
Er valt toch helemaal geen eer mee te behalen.
In het ergeste geval kunnen de russen zien wat voor een saldo ik op de rekening heb staan.
Voor het overmaken van geld is een tweede code nodig welke niet statisch wordt bepaald.
Dus hier kan je helemaal niets mee.
Dat valt te bezien.
Na het inloggen op de Russische site vraagt deze site je iets waarvoor natuurlijk authorisatie nodig is.
Dus wordt ook de S(ignature) functionaliteit van de RandomReader gebruikt en de code ingetypt.

Met deze twee codes kan dan een bedrag tot §5000,- overgemaakt worden.
Ik weet niet of je dat kan missen en/of je dat een eer zou vinden voor de phishers....?? ;)
Die code kan echter niet zonder meer worden gebruikt, er zit een tijdsversleutelig in, als je een minuutje wacht en dan pas de code van je random reader invult, dan kom je toch echt niet binnen.
Dat werkt ook niet.... De code die je met S genereert heeft 'n beperkte geldigheid...
Als dat niet binnen x sec. gebruikt wordt, dan kun je er niets meer mee.
Je creditcardnummer (als je die hebt) is ook te vinden als je ingelogd bent, daarvoor is die tweede berekening niet nodig.
Op de creditcard zelf staat nog een 2e zogenaamde CVV/CVC code. Die code staat alleen op de card zelf, en dus kunnen ze daar via de site onmogelijk achterkomen.
Die CVV code is niet altijd nodig.
Toch wel, zoniet klopt de betalingsmethode ook niet. Op elke willekeurige bon van b.v. mediamarkt staat gewoon het volledige nummer van de creditcard. Even bij de kassa rondhangen en je hebt zo meerdere creditcard nummers. Maar gelukkig is het niet zo simpel
Het zal jou misschien weinig kunnen schelen dat bankgegevens kunnen worden ingezien. Maar alleen al een informatie lek naar ongeoorloofde personen valt onder schending van de vertrouwelijkheid en dus breuk in beveiliging en vertrouwen.
Zal zo eens kijken of me geld er nog op staat....
Voor de zekerheid zal ik je dan even de link geven ;)
(Kleine lettertjes:
komt van de rabobank-site, gelieve alleen te gebruiken om je phishing-filter in IE7 te testen)
Firefox 2.0.0.1 zegt niks als die pagina laadt... dit valt me wel enorm tegen van Firefox!
Ik krijg de site anders keurig in beeld met SwiftFox 2.0.0.1
Pagina ziet er voor mij keurig uit, behalve natuurlijk de location bar. Waarom halen ze die lui niet uit de lucht?
De phisingfilter van MS is uit de lucht. Daar heb je dus ook helemaal niets aan.
pagina niet gevonden?
Ik krijg een 404 error?
\edit:spuit11
krijg dit van mcafee:

"mashandling.ru

Wij hebben deze website getest en geen noemenswaardige problemen gevonden.
"

Lekker dan...
Wat dacht je van de actie 1: vraag om code mbv random reader.
russische site gebruikt deze gegevens om in te loggen bij de rabobank.
Op de achtergrond wordt er een transactie uitgevoerd (waarvoor de klant een getal moet invoeren op zijn random reader)
Actie 2) De klant wordt gevraagd om het controle getal in te voeren ivm een extra veiligheidscheck. en het antwoord in te vullen.

Zou me niet verbazen indien er mensen intrappen.
Lijkt me een onwaarschijnlijk scenario.
Dat is ook het voordeel van het gebruik maken van codes die a-la-minute gegeneerd moeten worden en na verloop van tijd waardeloos zijn.

Een adres en/of bankrekening nummer is dus niet nuttig als je er (als crimineel) verder niets mee kunt doen.

Bij de Postbank heb je TAN codes nodig anders kun je geen overboeking doen. De phisher mag best mijn rekeningnummer hebben maar hij kan nog geen euro overschrijven want de TAN code ontbreekt.
Knappe jongen die die TAN codes die via SMS verstuurd worden, kan afvangen.
Hoezo onwaarschijnlijk?
Degene achter die Russische website kan de ingevoerd codes toch "realtime" en geautomatiseerd doorkoppelen naar de op de server geopende rabobank website?
Je kunt ook een lijst met Tan codes thuisgestuurd krijgen, dus die kun je wel afvangen!
Als ze dit gaan afvangen kunnen er nauwelijks slachtoffers gemaakt worden. Ten eerste is het vreselijk moeilijk om de juiste brieven te onderscheppen. Er worden er duizenden per dag verstuurd door de postbank denk ik. Het lijk mij sterk Dat de postbank die via de brievenbus verstuurt dus dan moet de phisher een medeplichtige hebben in het postkantoor die ongezien de juiste brieven uitzoekt.
Als ze dan een lijst met codes hebben moeten ze eerst nog de klant zo ver krijgen dat die zijn gegevens vrijgeeft.
Kortom de kans van slagen is zo vreselijk klein dat het voor phishers niet de moeite is om op deze manier te werk te gaan.

Als de klant TAN codes ontvangt via SMS is het al helemaal moeilijk om deze te pakken te krijgen. Ik denk niet dat je ze van het mobiele netwerk af kunt halen en als je telefoon gestolen is ga je die niet gebruiken om te internetbankieren.
Wat ze nog kunnen proberen is eerst je gegevens stelen en vervolgens het telefoonnummer vervangen. Ik weet alleen niet of je deze verandering direct doorgevoerd wordt (ik denk het niet)
Dat is precies wat hier met 'Man in the middle'-aanval bedoeld wordt. En dit is al meedere malen toegepast, dus zo onwaarschijnlijk is het zeker niet.
Om deze mailing successvol te laten zijn is dit eigenlijk de enige manier om het te laten slagen. En ze zullen niet zoveel moeite doen als ze er geen geld aan kunnen verdienen...
Idd vrij zinloos om dit soort bankgegevens vragen.
Je kunt er niks mee.

Wat me ook opvalt is dat de Rabo bank zijn klanten waarschuwt voor phishing.

Hoe komt die phishing site aan de emailadressen van de klanten van de Rabobank????
Daar zit waarschiijnlijk een groter lek dan in het emailtje zelf. Ik heb overigens niets ontvangen maar ben wel klant bij de Rabobank.
Dit is gewone spam. Rabobank is gewoon een grote bank, grote kans dat tussen de gespamde adressen een aantal rabo klanten zitten.
Als het spam is, dan hoopt de Rabobank hierdoor wat nieuwe klantjes te vangen?? Niet dus. De site was namelijk een kopie van de Rabobank site, ik betwijfel dat de Rabobank geld aan de spammers betaald voor elke hit.
Hoe komt die phishing site aan de emailadressen van de klanten van de Rabobank????
Niet. Ze sturen het ding gewoon naar iedereen en hopen dat de Rabo klanten reageren.
Ik krijg ook dit soort rommel voor PayPal en eBay, terwijl ik met beide nog nooit zaken gedaan heb.
tja ik moet nog altijd naar mijn "klant" het beloofde "product" opsturen van eBay. :+
Ik weet niet hoe zinloos het is...

Als het een man-in-the-middle aanval is, kunnen ze jouw ingevoerde codes gebruiken om binnen te komen. Vervolgens zullen ze je bijvoorbeeld nieuwe gebruikersvoorwaarden laten accepteren waarbij je tweede reeks cijfers nodig is.
Op de achtergrond zullen ze natuurlijk een boeking proberen te doen welke in werkelijkheid bevestigd zullen worden met de tweede reeks cijfers.

De phishing mail is gewoon spam. Dat de Rabobank vervolgens reageert door haar klanten te informeren is natuurlijk niet zo gek. Ze zullen van een behoorlijk aantal klanten gewoon hun email adres hebben. Dus zo gek is dat niet och? ;)
Het artikel suggereert dat men de phishing site niet verder kan onderzoek omdat hij niet meer zou werken. Zoals hierboven staat doet hij het gewoon weer.
Rara, hoe kan dat?????

Ik heb zojuist even gekeken en het lijkt gewoon een kopie van de echte site.
Zelfs deze waarschuwing staat er op:
"Ga alleen verder als de adresregel begint met https://bankieren.rabobank.nl/... "

Je moet dus wel een enorme sukkel zijn als je hier je gegevens invoert want die htts://.... klopt natuurlijk niet.

De Rabobank kan er weer tegenaan, laat ze maar snel zorgen dat deze site UIT de lucht gaat voordat er echt slachtoffers vallen.
Als je ISP van de betreffende site niet mee wil werken kun je de site gewoon even bombarderen met requests dan gaat hij zeker wel plat. Maar goed, dat is ons probleem niet.

Het IP adres van de phishing site komt van Combellga uit Moscow. Adres en alles is bekend dus moeilijk zal het niet zijn deze site uitgeschakeld te krijgen.
Als jij vaak internetbankieren gebruikt kijk je echt niet altijd naar die url en je leest ook niet elke keer de waarschuwing door omdat die toch steeds hetzelfde is. Dan gaat het allemaal veel te lang duren. Dus zon enorme sukkel hoef je niet te zijn om erin te trappen. Ik vergeet ook nog wel eens naar het adres te kijken. Ik typ wel altijd zelf het adres in dus ik log nooit in via mail oid.
mijn rabosite staat als directe link in mijn favobalk van FF. hierdoor heb ik altijd de goede. ik ben tenminste nog geen beveiligingslek in de favobalk van FF tegengekomen waar de url aangepast kan worden remote
Toevallig net die mail ook gelezen. Staat vol met grammaticale (vertaal)fouten, met deze als toppunt:
"Wij hebben nieuwe SSL servers..." "... welke frauduleuze activiteiten bevorderd om onze klanten beter te dienen" :+

Doe dan als phisher nog de moeite, dat maakte het echt ongeloofwaardig
Dan ga je je toch afvragen welke klanten ze hebben :+
Ik begrijp niet waarom Rabobank slechts een verwittiging op hun site zetten. Iemand die zich laat vangen aan de phishing mail gaat juist NIET naar de Rabobank site gaan, want hij klikt domweg op de phishing link. Gevolg: hij zal ook niet weten dat er iets loos is.
Waarom kon Rabobank niet gewoon heel zijn ledenbestand een mail sturen die waarschuwt tegen de phishing mail ? (En duidelijk maken dat zij zelf nooit een mail zouden sturen met een URL in).
Ten eerste heeft de Rabobank niet alle e-mailadressen van klanten. En om nou iedereen te bellen of een brief te versturen; dat kost onnodig veel tijd en geld. Zoals in de discussies hierboven ook al werd vermeld: zo ernstig is deze actie ook weer niet.

Bovendien wordt de veiligheid van de Rabobank in een kwaad daglicht gezet, als blijkt dat er 'gevaren' zijn. Het versturen van zo'n mailing doet het vertrouwen in Internetbankieren weinig goed.
Phishing pagina is (weer) online..
Ik heb net even wat rommel gegevens ingevoerd. Zodra je op versturen drukt kom je gewoon op de echte Rabobankpagina uit. Maargoed, waarschijnlijk zijn dan je gegevens al ergens opgeslagen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True