Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties

Onderzoek van de politie naar malware-aanvallen op klanten van ABN-Amro heeft tot de aanhouding van drie personen in Rusland en Oekraïne geleid. Die zouden betrokken zijn bij diefstal van meer dan 100.000 euro.

computercrimineel Onder de arrestanten zouden zich jonge afgestudeerde ict'ers bevinden die de virussen per e-mail onder ABN-Amro-klanten verspreidden, aldus het Openbaar Ministerie. Van deze mensen hebben de Russische en Oekraïnse autoriteiten computers en ander bewijsmateriaal in beslag genomen. Ook andere westerse banken zouden door de computercriminelen zijn aangevallen. Dat gebeurde via e-mails die van de banken afkomstig leken te zijn, waarin klanten werd verzocht een beveiligingsupdate te installeren. Het bijgevoegde bestand was echter een trojan.

Deze malware hield het internetverkeer van de klanten in de gaten en toverde bij een bezoek aan de internetbankiersite van de bank een nepsite tevoorschijn. Die zorgde ervoor dat aan bestaande betaalopdrachten extra overboekingen werden toegevoegd. Daarmee werd vervolgens geld gestort op rekeningen van katvangers, mensen die door de criminelen werden gebruikt om hun eigen identiteit verborgen te houden. De katvangers moesten het geld vervolgens contant opnemen en via transferdiensten zoals Western Union overboeken.

Moderatie-faq Wijzig weergave

Reacties (55)

@Alexander01... Je noemt het zorgwekkend dat de Nederlandse recherche samenwerkt met buitenlandse om zo criminelen gezamenlijk op te pakken? Dat ontgaat me even. Tenzij je natuurlijk over een samenzwering in ziet en denkt dat men uberhaubt geinteresseerd is in wat jij doet... Maar ik mag aannemen dat jij ook onder de categorie 'Jan met de pet' valt en dus niet zo heel interessant bent voor ome agent.

Welke middelen er ook gebruikt worden, het grootste lek zit gewoon achter de pc. Mensen drukken maar ergens op en klikken maar raak. Hoeveel mailtjes ik dagelijks wel niet krijg met mededelingen dat een bank vindt dat ik een veiligheidsupdate moet installeren... Het idee van de bevestigingscode en transactieinformatie versturen via sms vind ik wel slim. Dat maakt je iets meer bewuster van hetgeen je aan het doen bent. Aan de andere kant, als het oostblokboevengespuis nu een sms laten zenden aan hun eigen prepaytelefoon, dan hebben ze het alweer opgelost. Het enige wat je dan hebt, is dat gebruikers argwaan krijgen, omdat ze hun smsje niet hebben gehad. Maar ik betwijfel of de meeste mensen hier iets op uit doen...
Het vervelende is dat ze steeds slimmer worden en het dus voor ervaren gebruikers ook steeds moeilijker wordt om het onderscheidt nog te zien. Ze zijn tegenwoordig al zo ver gevorderd dat het niet eens betekend dat je echt met de bank aan het communiceren bent terwijl er gewoon netjes http://mijn.postbank.nl in je url staat...

Worden de huidige transactiecodes die je bijvoorbeeld in je raboreader moet invoeren ook inactief als ze te oud worden? Anders zou het voor banken misschien handig zijn om in die readers een tijdlimiet te stoppen, zodat het ding gewoon een foutcode geeft indien de ingevoerde code te oud is. Of denk ik nu te makkelijk?
De raboreader en alle andere pasjeslezers van banken doen dit al. Een code is maar 2 minuten geldig ofzo dacht ik en daarna verloopt hij.

Bij de postbank krijg je de TAN codes per SMS, en in dat SMSje staat ook het totaalbedrag in voor de transactie die je wilt uitvoeren, dus als je gewoon even oplet voordat je de TAN intikt en op verzenden ramt heb je hier bij de Postbank geen last van. Hiermee kunnen ze niet rotzooien omdat dit aan de kant van de Postbank gedaan word.

[Reactie gewijzigd door Plofkotje op 23 oktober 2008 09:07]

Die TAN codes per SMS zijn op zich een heel aardig systeem, en zolang je het bedrag erin goed controleert behoorlijk veilig. Tenminste... Als de computer en de telefoon los staan. Dan kan je namelijk (praktisch) niet beide communicatiekanalen afzonderlijk controleren. Maar wat als je aan het internetbankieren bent vanaf je smartphone, en die smartphone is geinfecteerd met een trojan die zowel je internet browser als je sms controleert? Dan heb je weldegelijk een probleem! Die trojan kan dan, als je één keer ingelogd hebt, net zo veel transacties maken als 'ie wil. Als hij namelijk de SMS kan afvangen, dan is de rest kinderspel en valt elke vorm van beveiliging weg.

Ik denk dat de Postbank (en haar klanten zoals ik) zich hier serieuze zorgen over zouden moeten maken. Het gebruik van een internetcafé voor je bankzaken lijkt me veiliger dan het gebruik van je smartphone voor de postbank.

[Reactie gewijzigd door ATS op 23 oktober 2008 09:41]

Die TAN codes helpen hierbij niet.
Bij de ABN-AMRO heb je een vergelijkbaar systeem als bij de RABO geloof ik.

Deze code is eenmalig en iets van 3 minuten geldig en heb je nodig om in te loggen en om je (betaal)opdrachten te versturen. Het werkt zo:
- Je krijgt een code te zien in je browser
- Je stop je pinpas in de e-dentifier (een los apparaatje) en tikt je pincode in en daarna deze code die op je scherm staat
- Je tikt de challenge code in je browser
- Je bent ingelogd of je opdrachten zijn versturd.


Wat er door deze gasten gedaan werd, is aan de, door jou ingediende, opdrachten hun eigen opdrachten toevoegen, die je niet in je browser ziet.
Dus als je dan je opdrachten verstuurd, gaan er ongemerkt wat extra betaalopdrachten mee.

Dus dit systeem van hacken werkt ook bij de postbank, RABO en ING.
Wel dus bij de postbank, waar daar krijg je bij de code die in je sms staat ook te zien om welk bedrag het gaat. Dat smsje wordt vanuit de postbank gestuurd; knap als de 'man in the middle' het smsje van de postbank aan jou weet te onderscheppen, en gauw een nieuwe naar jou stuurt met een ander bedrag erin zodat het lijkt te kloppen.
Oke, lees de posts boven jou nog één maal grondig door.

Bij de postbank krijg je de TAN codes per SMS, en in dat SMSje staat ook het totaalbedrag in voor de transactie die je wilt uitvoeren.

Je hebt de klok duidelijk horen luiden maar weet niet waar de klepel hangt :)
Je vergeet te vermelden dat (in ieder geval) bij de Rabobank je ook het bedrag zelf in moet toetsen op je rabo-reader bij bedragen hoger dan 1000 (weet het bedrag niet zeker, zou ook lager kunnen zijn), zodat je in ieder geval weet dat het bedrag van de transactie klopt.

Bij een man-in-the-middle attack zouden ze dan alleen nog de tegenrekening kunnen veranderen, of het totaal bedrag van transacties onder die 1000 houden.
10x500 is toch al 5000...
Dat is waar, maar de meeste mensen merken het wel als er opeens op onverklaarbare wijze 500 euro weg is. En dan is het ook nog de vraag of je voor zo'n relatief klein bedrag zo'n risicovolle overtreding wilt begaan als crimineel zijnde.
Naar mijn weten is bij het Rabo-systeem zo dat wanneer de verzonden betalingsopdracht verandert (bv tegenrekening, bedrag, extra overboeking), dan is de meegeleverde code niet meer juist/geldig. Dus tussentijdse manipulatie door een man-in-the-middle attack gaat dan niet werken.
Dit werkt bij elk bedrag, alleen bij hogere bedragen krijg je een aantal extra controle getallen om uiteindelijk de beveiligingscode te genereren met de Random Reader / Digipas (deze gaat er binnenkort uit).

@ Cheetah_777
Alleen de Digipass gaat eruit, dus de mensen die deze nog gebruiken moeten over op de Random Reader. Dit is te lezen op de Internetbankieren site van de Rabo:
U kunt binnenkort geen gebruik meer maken van uw Digipass.
Deze zal worden vervangen door de moderne Random Reader.

[Reactie gewijzigd door Theadalus op 23 oktober 2008 21:11]

heb je daar een bron van? en wat komt ervoor in de plaats? de rabofoon? (serieuze vraag)
@ Theadalus
dank je! Ik dacht al de random reader gaat eruit? huh? 8)7
De man in the middle attack die laat jou natuurlijk je eigen betaalopdracht zien terwijl hij zijn eigen opdracht gewoon verwerkt, dus de code die jij in gaat vullen geldt voor de opdrachten die voor jou onzichtbaar zijn. Het enige houvast is het totaalbedrag, maar dit wordt onder de 1000 euro niet meegenomen in de reader. Vooral de trojan applicatie waar het hier om gaat kan dit waarschijnlijk gewoon doen door de challenge code van jouw transactie te vervangen met hun transactie die onzichtbaar op de achtergrond plaatsvind, dan met een keylogger jouw response code afvangen en snel gebruiken, jouw eigen transactie faalt dan omdat de response niet matched, maar hun transactie in de achtergrond is dan wel gelukt.

Denk bijvoorbeeld aan een captcha die je b.v. moet invullen op een cracks site (nog nooit gezien, maar gewoon een voorbeeld), die captcha zou b.v. niks met die website te maken hoeven hebben maar gewoon met b.v. een hotmail account aanmaken. Jij denkt dat het oplossen van die captcha voor die cracks site is terwijl zij in de achtergrond er een hotmail account mee hebben aangemaakt.
Deze codes zijn idd al tijdsgebonden, maar dat zou deze hack niet hebben kunnen voorkomen. Immers moet de tijd lang genoeg zijn voor je oma om 4-cijfer PIN, 8-cijfer input (bij de ABN althans) en vervolgens 6-cijfer respons over te nemen.

Deze aanval die sluisde het verkeer rechtsstreeks door, waardoor de vertraging hooguit enkele seconde zou zijn. Daarbij maakte ze misbruik van het feit dat je bij de ABN 2 maal eenzelfde soort code moet invoeren voor zowel het inloggen als de betalingen bevestigen. Eerst werd er dus een melding gegeven aan de gebruiker dat hun code niet goed was en dat ze het opnieuw mochten proberen, terwijl achter de schermen er al transacties werden opgezet. Al met al best een slimme hack dus.

Overigens heeft de ABN na dit voorval een nieuwe cardreader aangeschaft, waarmee je nu moet aangeven of je wilt inloggen, betalen of iets anders wil doen. Ook is het mogelijk om deze aan te sluiten via usb, zodat je geen codes meer over hoeft te nemen. Intussen zou deze hack dus niet meer werken, hoewel er nog een heel aantal mensen werken met de oude cardreader.
Via USB lijkt me nog veel makkelijker omdat dan alles op de computer zelf gebeurt. Speciaal drivertje voor dat apparaatje op de computer gooien en je hoeft alleen nog maar ff 1x in te loggen en de crimineel heeft gewoon constant toegang tot je rekening zolang je pas in de USB reader zit. Pin codes en dergelijke kunnen dan gewoon afgevangen worden met een simpele keylogger op de computer en het klikken op de juiste knop voor betalen/inloggen of iets anders doen kan ook geautomatiseerd worden of zelfs gewoon onzichtbaar gemaakt worden.

Het zou handiger zijn als die readers van de ABN/Rabo/Fortis/etc ook gewoon het totaalbedrag laten zien wat er overgemaakt word zodat je zeker weet hoeveel eurotjes je over gaat maken.

[Reactie gewijzigd door Plofkotje op 23 oktober 2008 09:22]

Ik weet niet hoe dat nieuwe USB-aangesloten readertje werkt, maar het lijkt me sterk dat alle communicatie via USB gaat. Dat zou inderdaad dom zijn, omdat je dan vrij makkelijk de controle erover zou kunnen overnemen. Ik denk echter dat alleen de responscode beschikbaar is via die USB aansluiting, en dat de invoer nog altijd gedaan moet worden op de reader zelf. Dat is niet zomaar af te vangen.

[Reactie gewijzigd door ATS op 23 oktober 2008 09:45]

Overigens heeft de ABN na dit voorval een nieuwe cardreader aangeschaft, waarmee je nu moet aangeven of je wilt inloggen, betalen of iets anders wil doen. Ook is het mogelijk om deze aan te sluiten via usb, zodat je geen codes meer over hoeft te nemen. Intussen zou deze hack dus niet meer werken, hoewel er nog een heel aantal mensen werken met de oude cardreader.
Dus vandaar die keuze op het inlogscherm? Vraag me af waarom dat dan alleen aan nieuwe klanten verstrekt word, ik zou de nieuwe ook wel willen gebruiken.
Je kunt ze kopen voor 15 Euro of, als je goed bent in zeuren, misschien wel gratis losweken bij je plaatselijke bankfiliaal.
Alles wat op de computer van de gebruiker gebeurd, is uiteindelijk te hacken. Een ex-collega van mij is op dit afgestudeerd en je wordt er echt eng van als je ziet wat er allemaal mogelijk is om dit soort hacks uit te voeren.

Een beveiliging is nooit voor 100 procent dicht te bouwen. De mens blijft altijd de zwakste schakel. Een oplossing is om zoveel mogelijk bij de bank af te laten spelen. De gebruiker krijgt via een beveiligde verbinding toezicht op zijn bankierapplicaite die de bank host (soort van virtuele omgeving) en de gebruiker heeft en los kastje waarmee hij of zij inlogt op basis van pincode ed. Wat betreft man in the middle attack is dat nog het meest veilige (imho).

Het blijft echter een kwestie van tijd, voordat een beveiliging wordt doorbroken of dat er een manier wordt gevonden om de gebruiker voor de gek te houden. Een eeuwig durend kat en muis spel dus.
Ze zijn tegenwoordig al zo ver gevorderd dat het niet eens betekend dat je echt met de bank aan het communiceren bent terwijl er gewoon netjes http://mijn.postbank.nl in je url staat...
Ik zou het zoieso al niet vertrouwen waneer er geen https staat...
  • Minimaal https zonder gekke meldingen over certificaat
  • Certificaat controleren
  • Eindbedrag controleren
  • Nooit onnodig je browser open laten staan terwijl je bent ingelogd
  • Altijd netjes uitloggen ipv alleen maar [x] klikken
Ze zijn tegenwoordig al zo ver gevorderd dat het niet eens betekend dat je echt met de bank aan het communiceren bent terwijl er gewoon netjes http://mijn.postbank.nl in je url staat...
Er moet ook httpS://mijn.postbank.nl in je url staan, met de "S" van slimpie.
Oeps, ik zie nu net dat ik niet de eerste ben die dit meldt...

Zo'n geheime calculator is ook niet alles trouwens. Laatst wilde ik een ABN-Amro-boeking doen, was de batterij leeg van dat ding? Kan je ook mooi niet bij je geld komen.

[Reactie gewijzigd door Toff op 23 oktober 2008 22:49]

Batterij leeg? Ik heb hem al sinds internet bankieren bestaat en hij doet het nog steeds :)
Ik weet niet wat er in Nederland van systeem gebruikt wordt,
maar de Belgische grootbanken gebruiken een extern toestel. Je steekt daar uw kaart in, je krijgt online een 8-cijferige code, tezamen met uw PIN-code krijg je een 7 of 8cijferige code terug van dat toestelletje. Op die manier krijg je enkel toegang.

Om overschrijvingen te bevestigen is de procedure anders. Je krijgt een 7 of 8 cijferige code, je moet uw PIN ook ingeven en je moet het totaalbedrag (zonder decimalen) van de te bevestigen overschijvingen meegeven. Met deze 3 gegevens krijg je dan een 7 of 8 cijferige code terug, die alles bevestigt.

Zo is het onmogelijk om er een overschrijving aan toe te voegen. Enige wat nog wel zou kunnen, is het aanvullen van de decimalen tot ,99. Als je totale bedrag ¤34,25 kunnen ze dan maximaal ¤0.74 bijdoen zonder dat je het merkt.

De kans dat dit interessant genoeg is om een virus/trojan voor te schrijven?
- Je moet de klanten omzeilen. Ik heb bv nooit communicatie met de bank via email.
- Je moet de teschnische kennis hebben om heel de boel te realiseren
- Elke illegale overschrijving levert maximaal ¤0.99 op

[Reactie gewijzigd door Cafe Del Mar op 23 oktober 2008 09:33]

De rabobank gebruikt precies hetzelfde systeem op het ingeven van het totaalbedrag na, dit gebeurt alleen bij bedragen boven de 1000 euro. Bij de overige banken word er wel een ander systeem gebruikt.
- Je moet de klanten omzeilen. Ik heb bv nooit communicatie met de bank via email.
Dat weet jij. Maar niet iedereen die kan telebankieren weet dat.
- Je moet de technische kennis hebben om heel de boel te realiseren
Valt best wel mee. Via het hosts bestand kan je de bankwebsite verwisselen met de "fake" versie van de banksite. Echter zal er wel een foutmelding optreden omdat het certificaat niet klopt maar veel mensen klikken gewoon op Ok.
- Elke illegale overschrijving levert maximaal ¤0.99 op
Onjuist, zie hieronder
Om overschrijvingen te bevestigen is de procedure anders. Je krijgt een 7 of 8 cijferige code, je moet uw PIN ook ingeven en je moet het totaalbedrag (zonder decimalen) van de te bevestigen overschijvingen meegeven. Met deze 3 gegevens krijg je dan een 7 of 8 cijferige code terug, die alles bevestigt.
Als ik nu het rekeningnummer verander waar het bedrag naar toe moeten worden gestuurd?
Als ik nu het rekeningnummer verander waar het bedrag naar toe moeten worden gestuurd?
Ik heb het systeem niet geïmplementeerd, ik gebruik het enkel :)

Net voor je alle overschrijvingen bevestigd, krijg je een overzicht van het bedrag + de rekening. De vraag is wie daar naar kijkt...

Technisch is het perfect mogelijk dat ze de return-7/8-cijferige code mee laten afhangen van de rekeningnummer(s) van de ontvanger(s). Maar zoals ik al zei, als user krijg je geen technische documentatie (maar goed ook), dus dat kan ik niet weten.
ze passen vaak het hosts-bestand aan
een bestand dat niet toegankelijk is voor gewone gebruikers
weer probleem nr 1 : achteloze windows gebruikers die als admin zijn ingelogd |:( |:( |:(
Zorgwekkend? Ik vind het juist hoopgevend!
Dat Rusland samen wil werken met de Nederlandse Justitie lijkt mij een prima zaak. Nederland is overigens niet zo klein als het lijkt op de landkaart. Economisch gezien is Nederland een factor om rekening mee te houden. Het heeft de 16e economie in de wereld, en staat als je het per persoon bekijkt zelfs in de top tien.

Het internet kan geen absolute vrijplaats zijn, zeker niet nu er steeds meer belangen een rol gaan spelen en meer en meer dingen afhankelijk worden van het netwerk. Dat geldt voor bankverkeer, voor medische toepassingen, voor communicatie, handelssystemen, en zo voort en zo voort. Hoewel er veel kan en ook moet kunnen op internet, is het volgens mij wel degelijk van belang om de uitwassen zoals dit soort ordinaire roof aan te pakken en te vervolgen. Regulering van het internet zal altijd een probleem blijven door het inherent internationale karakter ervan, maar ik zie niet in waarom de wetten die we hebben er niet van toepassing zouden kunnen en moeten zijn.
Zorgwekkend dat Rusland meewerkt aan zoiets en dat de Nederlandse recherche voortaan ook buiten landsgrenzen opereert.
Er staat nergens in het artikel dat de nederlandse recherche zich daadwerkelijk over de grens heeft begeven. De daders zijn gewoon opgepakt door de russische overheid.
Dat Rusland hieraan meewerkt had ik echt niet verwacht van ze en zeker niet bij een flutlandje als Nederland. Die hebben wel wat beters te doen lijkt me dan de problemen van dat domme klikvee op te lossen.
Als je slachtoffer wordt van dit soort praktijken ben je niet gelijk dom klikvee imo.
De privacy van mensen die daar een proxy hebben komt nu echt in het geding en ik denk dat het beste is om de proxies naar China of Noord Korea te verplaatsen.
Wat heeft dit artikel met privacy van mensen met proxi`s te maken?
Overheden horen zich niet te bemoeien met wat er op het internet afspeeld. Internet moet een 2e wereld blijven die volledig anoniem is en waar alles kan. Ik zie dit steeds meer verslechteren. Internet wordt steeds meer een dictatuur wat wel en niet mag en het wordt steeds meer in de gaten gehouden door allerlei instanties. Men zal steeds langere sockschains in meer schurken staten moeten koppelen om de privacy te waarborgen en opsporingsinstanties te killen.
Criminaliteit en illegale praktijken dienen nou eenmaal aangepakt te worden... ook op internet. Dit is zo logisch dat ik niet eens de cliche voorbeelden ga opnoemen hier.

Mischien ligt het aan mij, maar ik begrijp de strekking van je bericht niet erg...
Ja, goed plan! Laten een digitale vrijstaat van het internet maken en onze economie decimeren. Een plek waar criminelen vrij spel hebben en personen / bedrijven kunnen afpersen en oplichten \o/

Ik weet niet of je het al gemerkt hebt, maar onze economie wordt steeds meer afhankelijk van het internet. Daardoor wordt ook criminaliteitsbestrijding ook steeds belangrijker om het allemaal in goede banen te leiden.

Ik vind het fantastisch dat de Rusland meewerkt om dit soort criminelen te pakken en op te sluiten. Ze horen namelijk achter tralies te zitten!
Ik veronderstel dat we je reactie met enige sarcasme moeten lezen? ;)

Dit heeft imho weinig met privacy te maken, het gaat hier over criminele feiten die gepleegd worden over het internet. Ik vind het net positief dat landen samenwerken. Dit zou men veel meer moeten doen. Net zoals actie ondernemen tegen domeinkapers die vaak opereren vanuit het buitenland enkel & alleen om geld te verdienen op naam van een grote firma / website of aan scamming doen. Wat mij betreft moet dit veel harder aangepakt worden dan waar nu alle aandacht draait rond mp3's & films downloaden. Dat we daar een deel van onze privacy moeten opgeven is misschien waar maar anderzijds kan het ook de kwaliteit van het internet verhogen. Als ik uit eigen ervaring mag spreken als community-webmaster van een jongeren website met 100k leden, wij mogen zelfs geen pedofiel opsporen / aangeven omdat dat schending is van zijn privacy. Pas wanneer hij iets strafbaar heeft ondernomen en het slachtoffer klacht indient kunnen de gerechtelijke instanties inspringen. Akkoord dat er een vorm van anonimiteit moet zijn op internet, maar er moet de mogelijkheid zijn om de identiteit te achterhalen van criminelen. Het is dan aan ons burgers, om er op toe te kijken dat dit op een goede manier gebeurt en men er geen misbruik van maakt voor politieke of andere doeleinden.
Overheden horen zich niet te bemoeien met wat er op het internet afspeeld. Internet moet een 2e wereld blijven die volledig anoniem is en waar alles kan. Ik zie dit steeds meer verslechteren. Internet wordt steeds meer een dictatuur wat wel en niet mag en het wordt steeds meer in de gaten gehouden door allerlei instanties.
Oh my God... Ik geloof nu echt dat ik een aanval krijg. Jij ziet dus het internet als een land/plek waar alles moet kunnen. Misschien moet je toch eens vanachter je PC kruipen en eens een lekkere frisse standwandeling maken in de echte wereld. Internet is een medium en dient ons om informatie te delen etc etc. Indien deze informatie in strijd is met de zal er in gegrepen moeten worden.

Zodra cybercrimenelen jou indentiteit overnemen en schulden gaan maken ga jij dan ook roepen "ach moet kunnen"

Dit heeft niets met cencuur dictatuur te maken. Dit heeft alles te maken met bescherming van personen.

Ik ben blij dat rusland nu eens laat zien dat er een einde moet komen aan de activiteiten op het ineternet die vanaf hun grondgebied worden uitgevoerd. Ook ben ik blij dat rusland met NL wila samenwerken om een veilig internet te krijgen.
Nee in China ben je lekker vrij op het internet 8)7
Logisch als de wet dergelijke criminaliteit aan banden moet leggen.
Dan moeten we die wet schrappen en die tijd gebruiken voor echte zaken als moord/verkrachting.
eigenlijk simpel concept he; gebruiker onderscheppen; nepsite voorschotelen; info laten invoeren voor overboeking + random codes en zelf nog wat toevoegen.

Daarom zou je voor iedere overboeking een code moeten invoeren; nu bij de SNS hoef je maar 1 keer code in te voeren om in te loggen en 1 keer voor definitief verzenden; nu kun je dus indd achter de schermen zonder dat de gebruiker het weet snel veel meer toevoegen. Wanneer voor iedere overboeking een code gevraagt wordt kun je krijgt de gebruiker i.i.g. argwaan voor 2 overboekingen een code 5 keer te moeten invoeren.

Kwetsbaar dus, dat e-bankieren.
Voor iedere overboeking een code ingeven, zorgt alleen maar dat mensen minder zorgvuldig worden. Zeg maar het Vista syndroom, waar je alleen maar zo snel mogelijk doorklikt vanwege de veelvoud van vragen.
Daarnaast is er dan nog steeds niemand die jou verteld dat die 2 transacties inderdaad de jouwe waren.

e-bankieren door leken blijft wat dat betreft wat kwetsbaar, maar wanneer je zorgt dat je eigen PC maar "schoon" is en je de URL en bedragen checkt kan er erg weinig mis gaan. Wel een goeie actie van de banken. Die 3 X kloppen campagne.
Als er bij het uitvoeren ook het totaalbedrag van de transactie door de klant meegenomen wordt in de berekening van de ondertekeningssleutel dan zou dit dus afgevangen kunnen worden. Weet dat bij de rabobank dit ook gebeurd bij bedragen > 1000 euro
Ik vrees dat we uit die richting mee van dit soort dingen kunnen verwachten de komende jaren. Die gasten zijn ook niet dom, en de criminaliteit daar tiert weelderig.
Maarja hoe gaat je dit aanpakken, want dat land is zo groot. En ze staan nou niet bekend om het grondig aanpakken van dit soort dingen.
De gebruikte methode is echter niet nieuw en het Western Union speelt helaas steeds vaker een rol in dit soort dingen.

[Reactie gewijzigd door bonus op 23 oktober 2008 09:01]

Volgens mij zien we juist al een tijdje dit soort praktijken. En ik vind het dus een positief bericht dat ze een keer gasten hebben opgepakt voor dit soort zaken. Het feit dat dit soort criminaliteit bijna altijd vanuit het buitenland gepleegd wordt, maakt het opsporen ervan er niet makkelijker op. Blijkbaar is er hier dus wel degelijk een soort samenwerking en/of informatie uitwisseling geweest wat uiteindelijk dus ook tot resultaat geleid heeft.

edit: typo

[Reactie gewijzigd door AHWolf op 23 oktober 2008 09:10]

Paden die de criminelen kunnen bewandelen, beperken. Zoals legitimatie registratie bij WesternUnion, zodat het geen anonieme transactie meer is en vervolgens undercover katvangers inschakelen zodat de criminelen worden gepakt.
en vervolgens undercover katvangers inschakelen
Hoe wil je dat doen? Je kan moeilijk een advertentie plaatsen "katvanger aangeboden".
Hiervoor worden mensen gebruikt die aan de onderkant van de maatschappij leven, bij voorkeur daklozen. Je kan 10.000 undercover "daklozen" op straat zetten, maar je hebt geen enkele garantie dat er ook maar één wordt uitverkoren door de gasten die we graag willen pakken.
Als ze hier werkelijk geld mee binnen hebben gehaald hebben ze er een mooi stuk software voor geschreven. Het blijft crimineel maar wel knap om zo'n man-in-the-middle attack op te zetten.
Ook in Rusland lijkt het nu de goede kant op te gaan. Daar zijn dergelijke criminelen dus niet meer zo veilig en onaantastbaar als ze zich waanden! :)
Laat die jongens toch mooi bezig zijn ze denken dat ze moderne Robin hoods zijn.. dus in feite mag je geen disney meer kijken als kind wat daar wordt zulk verhaal in veredelt
Het blijkt maar weer dat de macht van banken zich ver over de landsgrenzen uitstrekt, want vergis je niet dit is niet het werk van recherche maar van eigen afdelingen van de bank. En die komen overal.
In dit geval is dat precies niet slecht denk ik zo.
Wat uw mening over banken ook is, ze moeten zich wel in elk land aan de daar geldende regels houden. Banken hebben geen diplomatieke onschendbaarheid ofzoiets.
Uw reactie klinkt nogal negatief naar de banken toe...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True