Postbank waarschuwt klanten voor phishingaanval
Postbankklanten zijn weer het doelwit van een phishingaanval geworden, waarbij criminelen de TAN-codes probeerden te stelen. De aanhef is dit keer niet "lieve Postbank klant", zoals in het verleden vaak gebeurde, maar Geachte Mijn Postbank gebruiker. Ontvangers krijgen te lezen dat het beveiligingssysteem een aantal buitenlandse inlog pogingen zou hebben geconstateerd.
Om misbruik te voorkomen moet men een "primair IP-adres" registreren, wat door het openen van de meegestuurde link mogelijk is. De HTML e-mail zegt klanten naar de Postbank Online test drive te sturen, maar wie de link opent eindigt op het domein sightdesignz.com. Een naar alle waarschijnlijkheid gehackte pagina, aangezien die als sinds 2005 geregistreerd is. Het domein is inmiddels op non-actief gesteld. In juli van dit jaar werden er in één week tijd drie phishingaanvallen op Postbankklanten uitgevoerd.
Kassa
Een aantal klanten van de Postbank kwam vorige week nog in het nieuws. De groep mensen had zich door onveilig computergebruik met een Banking Trojan laten infecteren die een extra venster met gebrekkig Nederlands toonde en ook om TAN-codes vroeg. Een aantal mensen gaf die codes, waarna hun bankrekeningen voor een totaal bedrag van 211.000 euro geplunderd werd. In eerste instantie vond de Postbank dat de klanten zelf verantwoordelijk waren, maar na druk van televisieprogramma Kassa kwam het hier op terug.
Ik vraag me af waarom ze nogsteeds een gebruikersnaam:passwoord systeem gebruiken, en niet zon zelfde systeem nemen als de rabobank, dat een inlog code genereert met je bankpasje.
Ik vraag me af waarom ze nogsteeds een gebruikersnaam:passwoord systeem gebruiken, en niet zon zelfde systeem nemen als de rabobank, dat een inlog code genereert met je bankpasje.
Postbank heeft net zoiets...
Met tan codes die je via smsje op je mobiel intvangt als je betaling wil doen. zo slecht is die beveiliging niet.
Postbank heeft net zoiets...
Met tan codes die je via smsje op je mobiel intvangt als je betaling wil doen. zo slecht is die beveiliging niet.
Daar heb je toch niks aan, smsje's kan iedereen aflezen dus de beveiliging van de postbank is hetzelfde als de pincode van alle klanten publiceren.
Postbank heeft net zoiets...
Met tan codes die je via smsje op je mobiel intvangt als je betaling wil doen. zo slecht is die beveiliging niet.
Daar heb je toch niks aan, smsje's kan iedereen aflezen dus de beveiliging van de postbank is hetzelfde als de pincode van alle klanten publiceren.
Als je als aanvaller van de "leesbaarheid" van sms'jes afhankelijk wordt, dan ga je een paar interessante timing problemen introduceren.
De TAN via SMS is een prima beveiliging (er zijn nog betere), maar er zitten voor mij te veel practische nadelen aan vast.
Het sterke punt, de tweede communicatie infrastructuur, is het zwakste punt bij SMS: het kan lang niet onder alle omstandigheden en vanaf elk punt gebruikt worden.
Bovendien is het duurder dan nodig is.
Username en PAssword is kenn is die user heeft.
Tan is een gegeven dat de bank hem stuurt nadat hij zich geauthenticeerd heeft naar de eigenaars mobiele telefoon (die hebben de meeste mensen wel dus geen extra pasje of token apparaat)
Wat ik alleen niet weet, en misschien iemand op dit forum wel, als je nu inlogt met username en password op de Postbanksite en je wil je TELEFOONNUMMER veranderen , hoe gaat dat dan (qua security)
Want daar valt of staat de veiligheid van dit systeem mee !!
Ik weet het antwoord, want laatst moest ik dit zelf doen. In dat geval stuurt de postbank je een brief met een activeringscode en pas nadat je deze hebt ingevuld krijg je weer toegang tot je account. Dat betekent dus dat je in zo'n geval max. 5 dagen geen toegang hebt, maar dit is ook logisch omdat het anders erg onveilig zou zijn. (het kan trouwens sneller, ze kunnen je ook een sms sturen op je oude nr dat je dan moet invullen, maar wat ik net beschreef is als je wisselt van een papieren TAN-lijst naar mobiel)
Ik vraag me af waarom ze nogsteeds een gebruikersnaam:passwoord systeem gebruiken, en niet zon zelfde systeem nemen als de rabobank, dat een inlog code genereert met je bankpasje.
Nee en dan zo'n (extra) calculator overal mee naar toe moeten zeulen, da's lekker handig.
Met Postbank kan ik, met mijn GSM op zak, ten alle tijde overal te wereld bank zaken regelen zonder extra gedoe.
Veranderen 06 nummer kan online door nieuw 06 nummer op te geven. De wijziging moet je ondertekenen met een TAN die je via SMS op je oude mobiel ontvangt. Als je je oude moboile niet meer hebt is het lastiger. Dan moet je mijnpostbank blokkeren. Om te deblokkeren ontvang je een brief met activeringscode . In het activeringsproces kun je je nieuwe 06 nummer opgeven.
@ Jan-Hein,
Ben benieuwd naar je alternatieve oplossingen.
deze werk veel beter.
Ik vraag me af waarom ze nogsteeds een gebruikersnaam:passwoord systeem gebruiken, en niet zon zelfde systeem nemen als de rabobank, dat een inlog code genereert met je bankpasje.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
