Duitse Postbank beveiligt e-mail met digitale handtekening
De Duitse Postbank gaat electronische handtekeningen gebruiken om de communicatie met haar klanten te beveiligen. De e-mails zijn voorzien van een symbool waardoor de klanten kunnen zien of het om een legitieme Postbank e-mail gaat. Vorig jaar introduceerde de bank al een nieuw nummersysteem (iTAN) om haar klanten tegen phishing aanvallen te beschermen.
Met 12 miljoen klanten behoort de Postbank tot een van de grootste Duitse banken. De bank had vorig jaar met verschillende soort phishing aanvallen te maken. Bij een aanval werden Trojaans paarden gebruikt die het doorgeven van TAN nummers aan de bank blokkeerden. Op deze manier konden criminelen met de gestolen gegevens inloggen en het geld van de rekeningen plunderen.
Uit onderzoek van het Duitse TNS Infratest blijkt dat 80% van de online bankieders zegt geen phishing scam te kunnen herkennen.
hier slechts om 79% van de online bank gebruikers die geen phising
scam kunnen herkennen.
Waarschuwing klik niet op deze link: http://www.tweakers.nl
systematiek.
Misschien moet security.nl maar een weddenschap-subsite opzetten met
inzet hoe lang (dagen) het duurt voor dit soort 'signing' wordt gespooft. 10%
van de inzet (betalingswijze ...? ;-) is voor security.nl, dan kunnen jullie
verder zonder advertenties ;-]
Zorg gewoon dat alle gegevens uit het certificaat overeenkomen (incl. de
signing CA). Het enige wat afwijkt zijn de keys, hashes en het serialnumber.
Kwestie van het mailtje voorzien van de CA. Melding erbij dat de postbank
een nieuwe root heeft. Laat de gebruikers desnoods de gegevens
controleren (alle zichtbare en leesbare zaken komen immers overeen). En
vervolgens als trusted root laten accepteren..... en klaar is Clara.
Het is niet meer dan een plausible verhaal in je mail zetten.
Kinderlijk eenvoudig. Zo'n CA incl. mail en SSL certificaten creeer je in 10
minuten.
je zegt nu zoiets als papier geld is heel makkelijk te
vervalsen want je designed gewoon een nieuw briefje dat alle
kenmerken heeft van legaal geld zoals een watermerk,
holografische strip en een of ander uit je duim gezogen
serie nummer en als je het wil uitgeven dan zeg je gewoon
dat het een nieuw legaal biljet betreft dat door europese
bank wordt uitgegeven.
uhuh...
kan je trouwens toevallig wisselen want ik heb hier nog een
briefje van 25000 euro liggen en wil ff een stukje kaas gaan
kopen?
net zo eenvoudig te spoofen is als een namaak postbank
website. Alles valt of staat met je overredingskracht (of de
goedgelovigheid van de gebruiker).
Overigens is een digitaal certificaat 'namaken' kinderspel
vergeleken bij het nameken van papiergeld (of muntgeld).
Iedereen met een computer en OpenSSL (en wat PKI kennis) kan
het.
Let op de quotes om namaken. Alles lijkt goed, maar als je
de hashes en de sleutels zal gaan vergelijken met die van de
originele, dan zal je zien dat ze anders zijn. Gooi er wat
technisch geleuter tegen aan en je hebt je eerste
slachtoffer te pakken.
Ik heb eens op de website van de nederlandse bank gekeken en
volgens hen is er helemaal geen papiergeld van 25000 euro ;-) .
nu ik er iets langer over nadenk... je hebt best wel gelijk...
de ontvangers zullen immers letterlijk de vraag van hun
email client krijgen: "postbank is een onbekende CA,
vertrouwd u de postbank?"
meeste mensen weten niet eens wat het betekent en zullen
denken:"natuurlijk vertrouw ik de postbank"... zich niet
realiserend dat de postbank helemaal geen CA is en anders
wel in de chain zou zitten..
ojee....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
