Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 115 reacties

In Nederland zijn oplichters er vorig jaar bij 1383 mensen in geslaagd te frauderen via internetbankieren. Dit is een aanzienlijke stijging ten opzichte van 2009, zo blijkt uit een inventarisatie van de Nederlandse Vereniging van Banken.

Uit de door de NVB gerapporteerde cijfers kan worden geconcludeerd dat de fraudeurs steeds meer pogingen ondernemen om via fraude met internetbankieren geld te stelen en dat dit ook vaker lukt. Terwijl in 2009 nog slechts 154 mensen slachtoffer waren van internetbankierfraude, is dat aantal in 2010 gestegen tot 1383.

De NVB constateert dat het aantal daadwerkelijke slachtoffers op een totaal van bijna tien miljoen klanten die internetbankieren nog 'heel laag' is, hoewel het voor klanten vervelend is als zij slachtoffer worden. Wel stelt de NVB dat het aantal pogingen 'ongetwijfeld hoger' is. Gemiddeld werden de slachtoffers voor 7100 euro gedupeerd.

Kwaadwillenden maken voor fraude met internetbankieren vaak gebruik van zogenoemde phishingsites. Via bijvoorbeeld spamberichten wordt mensen verzocht bepaalde gegevens te controleren op een speciaal geprepareerde website, die vaak grote gelijkenis vertoont met de website van de bank zelf. In 2010 hebben de banken 2500 van dergelijke phishingsites opgedoekt.

Moderatie-faq Wijzig weergave

Reacties (115)

Ik doe momenteel scriptie onderzoek naar internet banking fraud. Wat me opviel aan deze cijfers: de ING heeft 6 miljoen aan phishing damage opgelopen in 2010 (bron: speech CEO ING Retail Nick Jue), de andere banken bij elkaar maar 3,8?

[Reactie gewijzigd door Config op 18 maart 2011 11:30]

Dit is absoluut niet vreemd en is voornamelijk de verantwoordelijkheid van de 'oude' postbank waar men kan inloggen ZONDER 'randomizer' (cardreader). Men logt in op basis van username en password.

Deze zijn op heel veel makkelijke manieren te onderscheppen (buiten phishing):

Keyloggers
Trojans

Men heeft dan enkel nog maar de TAN-codes nodig voor overboekingen. Deze TAN-codes zijn vaak zelfs niet per SMS verstrekt maar op papier. Een verschrikkelijk slecht systeem.

Bij de andere banken is de inbreuk alleen mogelijk door middel van een 'man-in-the-middle' aanval.

Dit is dus echt enorm slecht geregeld door de ING / postbank.
Ik denk dat dit toch iets gecharcheerd mag worden. Ja.. de Postbank (ING als eigenaar zijnde) is veroudert maar is dit niet ongeacht wie de eerste is het gevolg? Althans ik zit bij diverse banken en bankier jaren online maar ik heb nog nooit meegemaakt dat men eens een verbeterde apparaat opstuurd, het blijft bij iedere bank dezelfde (oude) rommel.
Nu zal iedere bank wel een keuze maken, wat is goedkoper een x aantal nieuwe readers uitsturen, handleidingen verzorgen en waarschijnlijk ettelijke uren verzorgen aan een helpdesk (helpdesks leveren geen geld op ongeacht een vergoeding tot op zekere hoogte) tegen de 10 miljoen euro op jaarbasis. Vermoedelijk is het laatste het eenvoudigste.
Overigens typeerd dit wel de veiligheid op zich, dit gaat niet alleen op voor internet bankieren maar neem je hedendaagse bankpas. Deze wordt veelvuldig geskimmed en iedereen kent wel een voorbeeld, toch lopen we nog steeds rond met dezelfde waardeloze pas. Ook hier zal wel hetzelfde verhaal opgaan neemt niet weg dat de gedachte onprettig is. Laat staan als je geskimmed wordt de gevolgen ervan.

Hopelijk dan ook dat banken of misschien op Europees niveau regelgeving gaat ontstaan die toch een zekere mate van veiligheid gaat garanderen. Ondanks een 100% vergoeding ben ik niet zo gecharmeerd dat een Rus zo makkelijk misbruik kan maken van mijn pasje of online rekening.
Dat klopt niet, in 1999 had ik van de rabobank al zo'n zwart kastje om mee in te loggen. Een soort van randomreader zonder pas. Toen internet mainstream begon te worden hebben ze die vervangen door de random reader. En onlangs hebben ze nog de wijziging doorgevoerd dat je ook je pasnummer moet invoeren. De rabobank is dus zeker wel bezig met verbeteren van hun beveiligingssysteem. Voor zakelijke bankieren zijn er ook diverse revisies geweest.
Althans ik zit bij diverse banken en bankier jaren online maar ik heb nog nooit meegemaakt dat men eens een verbeterde apparaat opstuurd, het blijft bij iedere bank dezelfde (oude) rommel.
Bij de Rabobank is men toch echt overgestapt van een DigiPass (zonder je pas en pin) naar een Random Reader (met je pas en pin)...
Een aanvaller zou graag een dergelijke "verbeterde" reader willen leveren. Uiteraard een exemplaar met een gratis mobiele netwerk verbinding die gebruikt word om nog een tweede set transacties te authoriseren zonder dat de eindgebruiker daar iets van merkt. WInst per apparaat is al snel zo'n 7000 Euro, dus de kosten van het apparaat zijn geen probleem.
ehm, google eens op SEPA en op EMV bankpas...
Het is eigenlijk alleen het probleem met die tan lijsten.

Het sms systeem is juist heel erg veilig.
Je kunt namelijk alleen via die sms de code opvragen. Deze is dus ook niet met een gecracked algoritme te faken (random readers).

Ook is het random reader systeem nog heel makkelijk (relatief dan) te misbruiken doordat er niet je te overboeken saldo en volgnumemr bij staan. Bij de sms versie van de oude postbank zie je dit wel. Hierdoor kan de hacker niet doen alsof hij de bank is. Want de gebruiker ziet meteen het bedag en het volgnummer.

Als er dan nog iets fout gaat is dat bijna alleen nog door de domheid/laksheid van de gemiddelde consument.
Het sms systeem is juist heel erg veilig.
Je kunt namelijk alleen via die sms de code opvragen. Deze is dus ook niet met een gecracked algoritme te faken (random readers).
Maar als je pas + telefoon gejat zijn ben je dus de lul, bijvoorbeeld als ze beide in een handtas zaten. Want je pincode heb je niet nodig, of wel?
Dan heb je nog de login nodig.
En met jatten heb je hetzelfde probleem als met de reader.
En persoonlijk heb ik juist een speciale telefoon voor speciale activiteiten als internet bankieren. Die neem ik dan ook niet mee, en dan heb ik ook niet het jatten probleem, tenzij ze inbreken.

Overigens hebben ze aan mijn pas niet zo veel. Inloggen gaat namelijk zonder de pas.
Inderdaad, oude vormen van beveiliging helpen niet mee om fraude te bestrijden.
In feite zou ik iemand gewoon mijn login/wachtwoord van mijn rekening moeten kunnen geven zonder nare gevolgen.
Met die gegevens alleen zou je geen enkele overboeking moeten kunnen uitvoeren.
Het moet altijd een combinatie zijn van random code, pin code en het liefst nog een SMS met code er achteraan. Pas dan heb je meerdere checks.
Met alleen een PIN code onderscheppen ben je er dan ook niet.
Papier kun je niet online hacken. Dus dat is helemaal niet slecht.

Leuk dat je allerlei redenen verzint, maar je onderbouwing is boterzacht.
Wat FragDonkey aangeeft dat ING wel eens veel meer particuliere klanten kan hebben dan Rabo en ABN Amro (de rest is niet meegenomen in dit onderzoek) is een veel waarschijnlijker oorzaak.
Heb je hierbij ook rekening gehouden met de grootte van het klantenbestand van de betreffende banken?
Naar ratio zou de ING bijvoorbeeld dan wel meer klanten hebben, dus meer schade.
Ik denk dat de ABN-AMRO en de Rabobank allebei minstens even groot zijn, als het gaat om aantallen Nederlandse (particuliere) klanten.

Dus de schade bij ING ligt echt wel onevenredig hoog.
Als ik naar de phishing mail kijk die ik binnenkrijg is een heel hoog percentage "van de ING". ABN-AMRO heb ik denk ik pas 1 keer gezien.
Ik denk dat dit ook een fikse factor is?
Gisteren weer zo'n phishing mail gekregen m.b.t. mijn ING account. Mijn dochter heeft ook zelf internetbankieren, hopelijk komt ze niet in de verleiding om er op in te gaan.
Heb het al wel vaak verteld maar ik betrapte me er zelf gisteren op dat ik eerst niet meteen aan phishing dacht.
klopt, en de mails zijn niet altijd echt duidelijk vissend. Zo krijg ik WoW phishing spam. In eerste instantie ziet het er goed uit, het feit dat ik nooit Wow gedaan heb was echter wel een weggever. Even boven de links zweven, en de echte url komt naar boven.

Het voordeel van genoemde spam is wel dat het herinnert aan waakzaamheid, dus ik ben er verder een soort van blij mee.
Ik kan zo snel geen bron Googelen, maar aan het begin van de goede oude Postbank tijd had de Postbank ongeveer 50% van alle particuliere rekeninghouders. Met de portie ING rekeninghpouders erbij zal de vrhouding aan schade ongeveer gelijk zijn aan de verhouding aan rekeninghouders.
Kreeg gister onderstaand mailtje:

"Geachte klant,

Er vinden momenteel technische werkzaamheden plaats bij de afdeling Internet Bankieren van de ING bank.
Het betreft hier de installatie van de nieuwe beveiligings software voor 2011.
Met deze vernieuwing willen wij voor u het internet bankieren nog beter en veiliger maken, zodat u in de toekomst nog beter en vooral zorgenloos gebruik kunt maken van al onze diensten.
Om deze installatie succesvol te laten verlopen dient u via onderstaande link uw gegevens te bevestigen.
U kunt hier inloggen met uw 'Mijn ING' gebruikersnaam en paswoord.
Na de bevestiging van uw gegevens zal er een automatische update plaatsvinden in ons systeem en zult u zo spoedig mogelijk telefonisch worden benaderd door een van onze medewerkers om de update succesvol af te ronden.
Wij danken u vriendelijk voor uw tijd en uw medewerking.

http://sos-hope.com/catalog2/css/mijn.ing.nl.htm

Met vriendelijke groet,

ING bank, afdeling Internet Bankieren "


Waarschijnlijk bellen ze je dan op zodra je je inloggegevens hebt ingevuld. Ze doen zich dan voor als medewerker van ING en vragen de zojuist verstuurde TAN code door te geven ter verificatie.
Ondertussen staat er dan dus gewoon een overschrijvingsopdracht klaar om bevestigd te worden.


Tot nu toe het meest geloofwaardige phisingmailtje wat ik heb gekregen. Netjes Nederlands, bijna zonder spel- en grammaticafouten.
Staat er "Geachte klant," of "Geachte heer Thokoop".
Je mag van een bank toch verwachten dat ze de naam van de klant in ieder geval in de aanhef zetten.
Verder slaat de tekst natuurlijk nergens op.
Zelf al zou er nieuwe beveiligingssoftware geÔnstalleerd worden, heb je daar als klant verder niets mee te maken.

Ben je overigens wel ING klant?
Als ik deze email zou ontvangen kan deze direct de prullenbak in want ik heb helemaal geen ING rekening ...

De genoemde link laat dit in mijn browser zien:
Gerapporteerde webvervalsing!
De webpagina op sos-hope.com is gerapporteerd als een vervalsing en is geblokkeerd op basis van uw beveiligingsinstellingen.

[Reactie gewijzigd door HoppyF op 18 maart 2011 13:06]

Is het niet zo dat de bank opdraait voor dergelijke kosten? De titel "kost gedupeerde" suggereert namelijk dat de klant er voor opdraait...
Volgens mij draait de klant er ook zelf voor op. Idem dito voor als je pinpas gestolen word (fysiek, niet geskimmed) en ze je pincode weten en dan met geld aan de haal gaan.

De bank geeft je niets.
De bank geeft je alleen maar iets als ze anders imagoschade kunnen lijden.
Als het alleen om die mailtjes gaat, dan valt daar iets voor te zeggen.
Maar als het bijv om pharming gaan (http://nl.wikipedia.org/wiki/Pharming), dan is maar de vraag wat je als consument hieraan kan doen.
Heel simpel.
Installeer een plugin als FlagFox.
Deze laat je zien in welk land de server staat waar je op zit.
Als je gaat internetbankieren, en de server staat niet in NL dan moet je maken dat je weg komt. En een melding bij je bank maken.

Het grootste probleem komt alleen tevoorschijn wanneer de servers wel in NL staan. In dat geval kun je er niet makkelijk iets aan doen. Of misschien zelfs nog wel helemaal niets aan doen als consument.
Aangezien zo'n 1 duizendste van alle mensen slachtoffer worden denk ik dat dat ongeveer een subset van de groep mensen is die niet weten wat een 'plugin' of een 'server' is.
Als jij je gegevens invult op een site die niet van je bank is dan zit je zelf op de blaren.
Het is ongeveer net zo als je pincode aan een willekeurige man op straat in een net pak geven. Het grote verschil is dat een hoop mensen nog niet gewend zijn aan de waarde van hun gegevens op internet en wat het betekent om ze in een site te voeren.

[Reactie gewijzigd door Jeroen op 18 maart 2011 12:06]

Uiteindelijk is het de bank die transacties uitvoert die redelijk buiten het normale patroon vallen. Dan is het een bank wel degelijk aan te rekenen dat ze een dergelijke transacties ter waarde van gemiddeld zo'n 7000 Euro hebben uitgevoerd.
Het lijkt me hoog tijd dat de overheid de banken verplicht om gedupeerde klanten schadeloos te stellen. Een klant is niet in staat om elke transactie die de bank namens deze klant uitvoert te controleren. De klant heeft ook geen enkele mogelijkheid om de beveiligingsinstellingen aan te passen of het beveiligingssysteem te verbeteren. Maak een bank verantwoordelijk voor schade als gevolg van fraude via het internetbankieren, dan heeft de bank er direct belang bij om deze fraude (nog) actiever te bestrijden.
De bank vergoed de schade nagenoeg altijd. Alleen in het geval van aantoonbare nalatigheid van de klant hoeft een bank niet te vergoeden.
Dan dragen alle rekeninghouders samen dus bij.
Lijkt mij niet meer dan normaal als je de fout begaat door op zo'n mail in te gaan dat de bank dit niet gaat vergoeden. Je verschaft immers zelf de informatie.
Is er een spread over de verschillende banken bekend ?
Dat vind ik inderdaad ook jammer en slecht van de banken dat dat er niet instaat. Maar ik verwacht 99% ING/Postbank, als creditcard er ook bij hoort zal deze het grootse deel van de taart opeisen.

Als je de mechanismen van Rabobank, SNS, ABN-AMRO gebruikt is het zo goed als onmogelijk. Dan heb je al een man in the middle nodig.

[Reactie gewijzigd door worldcitizen op 18 maart 2011 11:52]

Bij ING heb je altijd een SMS tan code nodig om daadwerkelijk geld over te maken. Dus ook daar lijkt fraude mij niet snel mogelijk.
Zijn ze gestopt met de papieren TAN-codes dan? Kan me herinneren dan een familielid van mij die manier gebruikte en dat sommige phishing-mails zelfs vragen om de volgende code op de lijst door te sturen "ter verificatie"
Nee. Er zijn nog steeds papieren TAN lijsten. Zelf gebruik ik die ook. Maar de 'volgende code' afgeven is nogal lastig, aangezien ze tegenwoordig in een random volgorde worden afgewerkt.
Goede vraag.

En hoe verhoudt deze zich tot het aantal klanten?
Ben ik ook erg benieuwd naar.
Wel bizar dat het zo gigantisch gestegen is in een jaar tijd (van 1,9 naar 9,8 miljoen euro)

Actueel onderwerp dit, pas reportage van Alberto Stegeman gezien over katvangers...
Nu gaan de banken dus ook samenwerken om de fraude beter te kunnen bestrijden:
http://www.rabobank.nl/be..._fraude_internetbankieren
Phishing zou gewoon heel hard bestraft moeten worden. Torenhoge boetes naast het vergoeden van alle schade. Iedereen die er aan denkt om een aan phishing te beginnen moet in ieder geval weten wat de gevolgen zijn.
Het nadeel van straffen is dat het alleen werkt op Nederlandse bodem. Zodra je met een Russische phisher te maken hebt is de kans erg klein dat je hem kunt aanklagen.
Meestal zitten dat soort lui niet op grondgebied waar ze ervoor aangepakt kunnen worden, plus dat dergelijke criminelen meestal niet zoveel te verliezen hebben.
Die torenhoge boetes zijn dan ook niet afschrikwekkend lijkt me.
Ik denk dat er genoeg wetten zijn om phishers aan te pakken, maar je geeft zelf het probleem al: ze komen nooit uit eigen land.
Torenhoge boetes naast het vergoeden van alle schade.
Phishers en mensen die zulke sites maken, moeten ze levenslang geven.
...zodat je als maatschappij nog veel meer geld aan ze kwijt bent.

Sowieso denk ik niet dat harder straffen ook daadwerkelijk helpt. Daar zijn ondertussen wel genoeg onderzoeken naar geweest.

[Reactie gewijzigd door long op 18 maart 2011 11:44]

hear, hear.
Hoge boetes is een betere methode.
Het is een forse stijging ten aanzien van 2009, maar ik vind het aantal erg meevallen.
Blijkbaar zit het internetbankieren bij ons toch aardig in elkaar.
Bij de banken in Nederland blijven ze gelukkig ook steeds de wijze van inloggen verbeteren(veiliger). Dit heeft wel tot gevolg dat het steeds gecompliceerder wordt om in te loggen bij een bank. Je moet steeds meer gegevens opgeven om in te loggen.... Met als gevolg dat als er ooit een systeem goed gehackt wordt dan liggen er gelijk wel heel veel gegevens bij de hackers. Rekeningnummer, pasnummer en pincode.....

Dus banken blijf op je hoede!
maar ik vind het aantal erg meevallen.
Het valt helemaal niet mee; 1 is al teveel, laat staan meer dan 1000. 't Zal iemand maar overkomen!
Blijkbaar zit het internetbankieren bij ons toch aardig in elkaar.
Dus niet. Het is immers crackable.
Banken installeren ook benodigde patches gewoon niet. Zoals bij de Friesland Bank: die weigert de patch m.b.t. TLS / Renegotiation te installeren. Dit terwijl die patch al ouder dan 1 jaar is.
Dit is erg laakbaar.
Misschien ben ik wel te veel 'old school' maar dit zijn geen hackers maar ordinaire dieven.

Van niets wetende journalisten verwacht ik niets anders maar bij Tweakers hoop ik toch altijd dat de nuance wordt aangebracht.

Van mij mag de eerste zin veranderd worden in "In Nederland zijn dieven er vorig jaar bij 1383 mensen in geslaagd te frauderen via internetbankieren." Hetzelfde gaat op voor de 1e zin in de 2e alinea.

Een hacker zou de mensen op de hoogte brengen dat hun systeem te hacken is maar verder niets met die kennis doen. Dieven breken op een systeem in om er zelf beter van te worden.

[Reactie gewijzigd door NoMoreMusic op 18 maart 2011 11:36]

het is net wat een hacker wilt doen met die gegevens. Een goedwillende Hacker test het alleen en brengt mensen ervan op de hoogte.
Maar met een kwadwillende hacker die de gegevens wilt gebruiken voor dit soort acties is eigenlijk een dief maar het is en blijft een hacker
Een hacker is altijd goedwillend. Anders betreft het nl. een cracker.
Als je toch bij de term hacker wil blijven: dat kan ook, maar dan moet je steeds consequent spreken van black hat hackers (oftewel crackers) en white hat hackers.
Black hat hackers zijn uitschot; white hat hackers zijn helden.
Je hebt gelijk. Fixed.
thnx wilbert, Willem de Moor mag zijn stuk "Hackers stelen RSA SecurID-informatie" dan ook meteen aanpassen. 8-)
Ik ben zelf nog nooit zo'nnepmailtje/website tegengekomen, maar wat sommige mensen hier beweren over 'mensen die dom zijn' raakt kant noch wal:

Een week geleden zag ik mijn zus een firefox melding van 'certificaat ongeldig' straal negeren en gewoon verder gaan naar de website (ik was het netwerk verkeer van mijn netbook aan het controleren met een arp-spoofer, blijkbaar heel netwerk ook meteen).

Mijn zus haar reactie daarop was simpelweg dat ze niet begreep wat die certificaten inhielden, mijn zus dacht dat het iets met wifi te maken had (nee, ze is geen expert :+).

Door producten zoals Windows waar je plat gebombardeerd wordt met veiligheidsmeldingen kan ik volledig begrijpen dat sommige mensen niet stel stil staan bij het feit dat ze op inng.nl zitten ipv van ing.nl (als voorbeeld), en niet zien dat er geen https balkje bovenin verschijnt en dat ze op een nep-pagina zitten....

Bovendien zitten er in OS'en als BackTrack4 standaard tools om social engeering toe te passen; als je daar creatievelingen mee laat spelen dan denk ik niet dat jij of ik het door zouden hebben.
Ik kan met de twijfel over sommige foutmeldingen wel voorstellen.
Ook zijn phishing emails vaak bedrieglijk echt, vooral als het in goed Nederlands opgesteld is en er weinig of geen taalfouten in voorkomen.

Echter, de waarschuwing van de banken is duidelijk.
Ze vragen nooit en te nimmer om pincodes, inlogcodes. e.d.
Als je dat nu voor altijd in je oren knoopt kan het niet fout gaan hoewel keurige phishing emails of andere leuke telefoontjes er ook binnen komen.

Het is dus ook aan ons (tweakers) om familieleden en vrienden te wijzen op de gevaren bij internet bankieren en andere oplichtingspraktijken.
Toch knap dat het om slechts 10 miljoen euro gaat (€ 9.819.300,-), op de volledige Nederlandse bevolking is dat niet veel. Zijn er dan echt maar zo weinig mensen die proberen via internetbankieren geld te stelen?
Het is eerder dat er (gelukkig) zo weinig mensen intrappen.
Gelukkig kan dit mij niet overkomen! Ik heb namelijk geen 7100 euro. xD
Hoe kom je aan dat exacte cijfer?
7100 x 1383 ?
Dan kom je exact op dat bedrag uit...
Het aantal slachtoffers x schade, welke beide uit het artikel komen..
Mensen zijn vaak naÔef en behulpzaam. Phishing is zo'n beetje de internetversie van de babbeltrucs aan de voordeur waar naÔeve en behulpzame ouderen zo vaak het slachtoffer van worden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True