Nieuws

Postbank vergoedt slachtoffers internetfraude

zondag 14 december 2008, 08:22 door Redactie, 8 reacties

Klanten van de Postbank die door onveilig internetgedrag of het ontbreken van computerbeveiliging met een Trojaans paard besmet raakten die hun bankrekening plunderde, krijgen het gestolen geld toch terug. De Postbank weigerde in eerste instantie om de slachtoffers te vergoeden, maar na aandringen door TV programma Kassa, is de bank toch overstag gegaan. De schade die de gedupeerden leden bedroeg bij elkaar 211.995 euro. Het zou gaan om tientallen klanten per jaar.

De malware stuurt de slachtoffers door naar een pagina waar ze hun TAN-codes moeten invoeren, die naar de criminelen worden doorgestuurd. Volgens Kassa hanteert de Postbank een systeem waarbij deze vorm van fraude mogelijk is. Het TV-programma stelt verder dat de klant wel de verantwoordelijkheid heeft om zijn computer te beveiligen, maar dat virusscanners ook niet alle malware stoppen. Daarbij refereert het naar cijfers van Panda Security.

Verantwoordelijkheid
Dat neemt niet weg dat deze slachtoffers nog steeds door hun eigen gedrag geïnfecteerd zijn geraakt. Of ze hebben hun software niet up to date gehouden of bijlagen of andere bestanden geopend die via e-mail verspreid zijn. Waarbij de noemer dat virusscanners geen volledige bescherming bieden dus niet helemaal opgaat. Daarnaast waarschuwt de Postbank op haar website op allerlei manieren gebruikers voor malware en valse e-mails. Zo plaatste het vrijdag weer een waarschuwing op de site.

Na analyse van de malware en de druk van Kassa is de Postbank toch overstag gegaan. "Internet misleiding is een stuk lastiger te onderscheiden, helemaal omdat het binnen de beveiligde omgeving gebeurt." De actie van de bank is opmerkelijk, aangezien de malware al sinds 2006 in omloop is. De bank is voortaan coulanter, alle gevallen worden nog steeds wel individueel beoordeeld. De Postbank stelt daarnaast dat het systeem met de TAN-codes veilig is.

De slachtoffers in de uitzending wilden een nieuw systeem voor internetbankieren, maar dat gaat de bank dan ook niet doen. Iets wat niet uitmaakt, want de twee-factor authenticatie van andere banken is ook te kraken.

Glad ijs
De Postbank laat verder weten dat klanten hun computer moeten beveiligen. Iets wat ook in Groot-Brittannië het geval is. En dat maakt de situatie niet makkelijker, want wat is goede beveiliging en hoe controleert de bank dit? In Nieuw-Zeeland wilde banken dan ook toegang tot de computers van hun klanten.

Trojaans paard pludert rekeningen Dexia-klanten

Firefox meest lekke software van 2008

Reacties (8)

14-12-2008, 12:35 door spatieman

qoute:
Volgens Kassa hanteert de Postbank een systeem waarbij deze vorm van fraude mogelijk is

dan is het een postbank isue, en gedeeltelijk ook van het klik gedrag van de klanten.

14-12-2008, 14:26 door Jan-Hein

"De slachtoffers in de uitzending wilden een nieuw systeem voor internetbankieren, maar dat gaat de bank dan ook niet doen. Iets wat niet uitmaakt, want de twee-factor authenticatie van andere banken is ook te kraken."

Wat niet betekent dat er geen goedkopere en betere oplossing voor authenticatie te bedenken is dan de banken en de postbank nu gebruiken.
En wat ook niet weg neemt dat ze dat al een tijdje geleden is aangeboden, dus dat ze dat heel goed weten.
Wat ook weer niet weg neemt dat ze er ooit nog eens naar zouden kunnen kijken, dus er is nog hoop.

14-12-2008, 16:39 door Anoniem

Ok, ik wil even kwijt:
Iedereen die de postbank beschuldigd hiervan: Sterf of ga je een beetje verdiepen in de materie.

De Postbank heeft geen enkele mogelijkheid jouw pc te beveiligen (iets waar mensen naar het lijkt wel vanuit gaan) hierdoor kan een stukje styware op je computer je gewoon doorverwijzen naar een andere site, OOKAL STAAT ER HTTPS:// in je url balk, het kan nog steeds nep zijn.

Die mensen die zijn opgeligd hebben duidelijk niet goed nagedacht.
Postbank vraagt NOOIT om tancodes tenzij het om iets belangrijks gaat als:
- geld overmaken
- sms wijzigen
- ea.

Mensen die daar dus in zijn getrapt waren gewoon DOM en postbank had niets hoeven te vergoeden.

Ook word het hele beveiligings systeem afgekraakt, terwijl het hier alleen gaat om het systeem met een lijst tancodes. Over de sms versie word niet gesproken, terwijl deze juist veiliger is als de random reader (random reader is nog steeds een lijst codes maar heb je je pinpas+code nodig om die uit te lezen). Per sms krijg je het over te maken bedrag en je tan code toegestuurd, HOE wil je dit veiliger maken zonder het weg te jagen???

Ook hadden deze mensen allen een windows pc (heb ik ook) die niet goed beveiligd was en waarmee ze met nternet explorer gingen bankieren.
Mensen, instaleer de laatste updates toch eens, zet een fatsoenlijke virusscanner op je pc, en gebruik iets anders dan windows firewall.
Zet ook een alternatieve browser op je pc (firefox, operah, chrome, safari, iron, ea). Klik ook niet zomaar overal op "ja" maar lees eens wat er staat, snap je het niet, druk dan op nee (of neem contact op met iemand die er verstand van heeft).

Dit was puur de fout van de mensen en niet van de postbank.
Postbank heeft gewoon de mogelijk tot een beter systeem, maar mensen gebruiken deze niet (eigen schuld) en mensen bevijligen hun pc niet goed (23% kon dan nog steeds gekraakt worden volgens kassa, maar dan wil ik wel eens die beveiligingen zien).

ok, nu zie ik de minnen wel komen van die mensen die geen fuck verstand hebben van ict gerelateerde onderwerpen.

15-12-2008, 09:10 door Anoniem

Gelijk dat de postbank heeft; ze kunnen wel een ander systeem gaan invoeren, maar als hun klanten niet slimmer worden haalt dat toch niets uit.

15-12-2008, 10:32 door [Account Verwijderd]

[Verwijderd]

15-12-2008, 11:28 door Jan-Hein

Door AnoniemGelijk dat de postbank heeft; ze kunnen wel een ander systeem gaan invoeren, maar als hun klanten niet slimmer worden haalt dat toch niets uit.

Wel als een ander systeem op de juiste manier voor tweezijdige authenticatie zorgt, de concepten van adres en identiteit netjes uit elkaar blijft houden, en er bij het ontwerp vanuit is gegaan dat de klant zonder het te weten op een gecompromitteerd systeem werkt.
Dat kan echt, en dan hoeven de klanten geen security experts meer te zijn.

15-12-2008, 11:36 door Jan-Hein

3) Calculators / smartcard beschermen ook niet voldoende, zeker niet tegen moderne man in the browser aanvallen. Ben ik even blij dat ik TAN's via mijn mobiel ontvang. Voordat ik mijn opdrachten signeer kan ik tenminste redelijk checken of mijn opdrachten niet gewijzigd zijn![/quote]Er zijn ook alternatieven die zonder al deze hulpmiddelen wel degelijk beschermen tegen moderne man in the browser aanvallen.

22-12-2008, 15:01 door Anoniem

@ Jan-Hein,

welke ?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer