Phishers leggen zwakke beveiliging Bank van de Post bloot

Ik denk dat het hoog tijd wordt dat de papiermolen opzij gezet wordt en dat er z.s.m. een .bank top level domain komt waar alleen bankaire instellingen een domein kunnen krijgen. Op die manier kan een klant altijd zien dat ie op een echte Bank site is beland.

Re: sub : Hier heb je wel een punt. Ik heb dit soort zaken ook wel vaak gezien in de phishing mails, maar zodra je er op klikt zie je wel het "exotic" adres in je balk staan en moet je getriggerd zijn dat je geen gegevens invult.
Ook hebben zowel IE als FF nu een mechanisme om vetrouwde sites die secure zijn met een groen balk te identificeren om dit nog duidelijker te maken.
Daarbij komt ook nog dat phishers meestal werken op basis van social enginering en minder gebruik maken van bugs, hacks of virussen.

Re: Prulleman : Dit gaat niet op, omdat een phisher het liefst een onbetrouwbare site wil verstoppen in een officiele sitenaam. Phishers proberen nu juist met een zo betrouwbaar mogelijk uitziende site mensen over te halen om gegevens achter te laten. Meestal worden er domeinnamen voor gebruikt die lijken op de echte site of die verkapt zijn in een echte sitenaam. Bijv: http://www.postbank.nl.bank.com/internetbankeieren

Re: T-MAN3000 : Hiervoor hoeft een klant of systeembeheerder niks van DNS te snappen. Je kan nu een eerste check door de browser laten doen en visueel aan de gebruiker aangeven dat de site vetrouwd is.

Re: Hulseman : Dat heeft niks meer met phishing te maken maar meer met hacken. Er zijn nog wel veel meer manieren om bij iemand zijn bank rekening te komen die minder moeilijk zijn dan een backdoor te installeren. Bijv. een pinpas skimmen en dan de rekening leeg plunderen of een API installeren die tussen de interface van de gebruiker en de webservice van de bank gaat zitten. Met phishing gaat het er om dat op basis van social enginering gegevens van gebruikers wordt ontfutseld door de gebruiker "voor de gek te houden"

Door een tld te gebruiken kan je een eerste visuele controle van het webadres voor de gebruiker makkelijker maken, hij ziet immers altijd iets herkenbaars wat alleen een echte bank heeft. Een bank moet natuurlijk nog steeds wel zijn klanten voorlichten over de mogelijke gevaren van emails met phishing attemps.

[Reactie gewijzigd door Luppie op 31 juli 2024 20:33]

Ik moet bekennen dat het hele gedoe omtrent die beveiliging me wat ontgaat. Is het dan zo een ramp als iemand op je homebanking geraakt? Het enige dat ze kunnen doen is je saldo consulteren en geld overschrijven. Leuke dief/hacker/phisher die geld overschrijft naar zijn eigen Belgische rekening "Jamaar, wat als het een internationale overschrijving is dan?" Bij mijn weten zijn er geen Belgische banken die 100% geautomatiseerd internationale stortingen verwerken via homebanking. Bovendien zijn de getransfereerde sommen meestal gelimiteerd op een bepaald bedrag. Ja, natuurlijk, in beide gevallen ga je wat administratieve zooi aan je been hebben. Maar dat valt toch mee.

Samengevat:
Ofwel een eenvoudige, gebruiksvriendelijke beveiliging met login/password met een kans dat er geld wordt overgeschreven naar een of andere meer dan waarschijnlijk gemakkelijke te traceren bandiet zijn bankrekeningnummer als ik dom genoeg ben om in te gaan op een phishingmail.

Ofwel een uberbeveiliging waar het gebruiksgemak tot 0 van herleid is door de combinatie van een username, token, one-timepad en lokale key.

Ik overwoog om van bank te veranderen omwille van het gereduceerde gebruiksgemak nu ik ook al rond moet lopen met zo'n onnozel machientje. Helaas blijkt het paranoiavirus alle bedrijven aangestoken te hebben.

<offtopic>
Jezus Christus, in wat voor angstklimaat leven wij eigenlijk? Er komt een dag dat we gewoon niet meer uit ons bed durven uit angst voor de gevaarlijke wereld daarbuiten. Het adagium "voorkomen is beter dan genezen" gaat niet ten allen tijde op. Op een bepaald moment krijg je een omgekeerd effect.</offtopic>

<terzijde>Mja, Bank van de Post. Ik heb er ooit nog een vakantiejob gedaan en moet zeggen: nog nooit zo'n hoop incompetent personeel bij elkaar gezien als bij De Post.</terzijde>

Edit:
@needless to say
Natuurlijk wil ik die omslachtigheid niet - maar dat gebeurt enkel wanneer iemand effectief je gegevens heeft bemachtigd. Alsof dit zo vaak gebeurt.

Het kan aan mijn bank liggen (Axa), maar die buitenlandse overschrijvingen die ik via homebanking doe (BIC/Swift) worden bij mijn weten nagekeken in de bank. Ze bellen me zelf op als er vragen zijn bij bepaalde overschrijvingen (via e-bay iets kopen bij een Chinees met een Duits postadres is blijkbaar iets dat argwaan werkt - het ging nochtans over een PCI MoBo-testkaart ^^)

O ja, en mij gaat het er net over dat ik overal op mijn HomeBanking wil kunnen zonder die digipass mee te sleuren. Het is inderdaad niet groot, net zoals mijn GSM dat niet is, mijn PDA dat niet is, etc. Al die kleine dingen samen zorgen er voor dat ik rondloop met een rugzak electronica. (Anticiperend: het was maar voorbeeld, ik heb geen PDA).

@MneoreJ
Stel me AUB niet naiever voor dan ik ben. Ik heb nooit beweerd dat je iedereen je gegevens moet geven. Ik wil maar zeggen dat àls ze al op je Homebanking geraken, dat de gevolgen dan niet zo verschrikkelijk zijn als men doet uitschijnen. Je moet in eerste instantie maar slim genoeg zijn om niet op phishing in te gaan. Als je zo stom bent, dan ben je stom genoeg om hen alle andere beveiligingscodes te verklappen.

Trouwens, je argumentatie valt te transponeren naar andere discussies, zoals bijvoorbeeld het best verkopende topic van de 21e eeuw tot dusver: terrorisme. Indien ik zou ijveren om de privacyschendingen van overheidswege aan banden te leggen zou jij ook kunnen argumenteren dat, bij een terroristische aanslag waar ik zelf het slachtoffer van zou zijn op enigerlei wijze, ik verwacht dat de verzekeringen "je onmiddellijk schadeloos stelt omdat jij als argument kunt aanvoeren dat het niet jouw schuld was omdat we immers niet in een angstklimaat moeten leven?"

Enfin, ik ben niet tevreden van die laatste paragraaf, maar ik denk dat je m'n punt snapt.

->
Mijn hele punt is net dat die beveiligingstechnieken meer miserie veroorzaken dan ze problemen oplossen. Met andere woorden: ze zijn effectief, maar niet efficiënt.

Je kan me moeilijk verwijten dat ik de verkleutering van PC-wereld met lede ogen aanzie. We evolueren naar een IT-maatschappij waar je op den duur niet meer baas over eigen computer bent door alle restricties en beveiligingen "voor je eigen goed". Mensen leren uit hun fouten uiteindelijk. Vermijden dat ze fouten maken maakt hen alleen maar hulpelozer.

<offtopic deel 2>
Hallo mensen. Risico's horen bij het leven. Als we geen fouten maken kunnen we er niet uit leren en stagneert de ontwikkeling van onze maatschappij. Problemen voorkomen is geen slechte zaak, maar we moeten ons dringend eens bezinnen waar we de lijn gaan trekken. GPS-armbanden voor kinderen? "Bent u zeker dat u dit bestand wil verwijderen?" De Engelse CCTV? Geen unsigned drivers in Vista x64? 15 jaar persoonsgegevens aan de USA uitlenen om een vliegtuig te mogen nemen? Verplichte helm op de fiets? Voedselcrisissen? In de USA nemen ze nu al kilo's medicatie tegen ziektes die ze misschien ooit kunnen hebben. Bush valt een land aan uit voorzorgsprincipe "voor zij ons aanvallen". Willen we daar echt naartoe?

Noem me maar naief, maar ik heb wat veiligheid over voor m'n geluk. Mark Twain is hier terzake al genoeg geciteerd.
</offtopic deel 2>

[Reactie gewijzigd door YellowOnline op 31 juli 2024 20:33]