Dit is geen nieuwe oplichterstruc maar een oude truc goed uitgevoerd.

Ik had het verhaal al gelezen op Facebook waar het circuleert. With all do respect maar bij de beste man hadden al direct allerlei alarmbellen moeten gaan rinkelen. Dé fout die hier plaatsvond waren de opgestapelde aannames die deze gebruiker deed.

Toch goed dat je het post, dit soort berichten kunnen niet vaak genoeg verschijnen, op een dag zijn gebruikers er zo spits op dat het niet meer rendabel zal zijn voor boefjes dit soort praktijken op te zetten.

Hier beschermt een AV je niet voor, zou de Rabobank dat er ook bij zeggen?

Ik had 'm ook al op FB zien langskomen; hoewel dat misschien net zo erg is, want ik geef hiermee aan dat ook ik FB heb... ;-)
Wat mij meteen opviel is dat men het over "de internetbankieren" heeft.
Daarnaast kan ik in geen enkele afbeelding de url goed lezen, maar misschien dat men middels een overlay op de PC wel de juiste URL heeft laten zien?

"Oeh! Ik zie logo's en (haast) geen taalfouten dus het zal wel goed zijn."

Zolang er bij niet al te snuggere mensen veel geld te halen valt zal dit soort oplichting altijd lucratief blijven.

Ok maar ik ben aan het internet bankieren, door gewoon naar de vast site naam van die bank te gaan, en
dan ineens zit er een Pool tussen met zijn schermpjes.
Dan moet er toch al iets besmet zijn?

En waarom niet? Sommige virusscanners kunnen ook onbekende malware blokkeren die verdachte acties ondernemen. Verder betekent het nieuw zijn in Nederland, niet dat de onderliggende code niet al in andere landen is ingezet en bij AV software bekend is.

Als je door dit geld kwijt raakt dan ben je het echt zelf schuld hoor !!
De S op de random reader gebruik je voor een transactie te bevestigen
vervolgens ook nog als 2de code 2376 oid invullen dat lijkt toch wel heel erg veel op een transactie ..

Ben benieuwd of de bank dit gaat vergoeden ....

Wat er nieuw aan deze truuk is, is dat ie gebruik maakt van een 'gadget' bedoeld om naieve gebruikers internet-bankverkeer makkelijker te maken; die 'random reader'.

Het bewijst in elk geval dat er geen beveiliging zo goed kan zijn dat ie opgewassen is tegen, ehm.. kortzichtigheid. En dat zo'n hulpmiddel, die 'reader', enkel meer risiko betekent.
Er is nu eenmaal geen surrogaat voor gezond verstand.

zou de man besmet zijn met mebroot/sinowal/torpig? is een lastige om te achterhalen en die voert geloof ik man in the middle attacks uit...

Eigenlijk zou ik ook zo in deze oplichting trappen. Het ziet er zó betrouwbaar uit, dat je niet meer kunt onderscheiden of het bericht nep of echt is.

Met de eerste constatering ben ik het volledig eens. Maar met de tweede niet. Ook in dit geval voegt de reader een extra hindernis toe. Om de betaling af te maken moet de 'S' knop (Signeren) op de reader gedrukt worden. Hier kan nog geen enkele malware bij.

Er wordt zo vaak gewaarschuwd om bij verdachte zaken de browser te sluiten, dat ik niet snap dat men er steeds weer in trapt. Ik heb afgelopen jaar ook meermaals een inlog poging afgebroken omdat hij ongebruikelijk verliep. Dat was steeds een storing van de kant van de bank, maar waarom zou je risico nemen? Uit bovenstaande tekst maak ik op dat de man zelfs opgevallen was dat er spelfouten in de melding zaten:


Alsof een foutloos Nederlands garandeert dat het bericht legitiem is. Wat in zijn algemeenheid opvalt is dat bedragen naar het buitenland overgemaakt worden. Waarschijnlijk omdat de mensen erachter geen geld van de Nederlandse rekeningen kunnen halen omdat ze (nog) geen Nederlandse handlagers hebben. Bij mijn bank kun je buitenlandoverboekingen blokkeren. De-blokkeren kan alleen met 2 uur vertraging. Dat voorkomt dat je in één sessie geld naar het buitenland kunt overmaken. Maar met de kortzichtigheid van deze Enschedeër zou hij waarschijnlijk twee uur later weer alle codes ingevuld hebben.

Inloggen in combinatie met de S-toets moeten gebruiken klopt al niet. Ik ken alleen de I toets voor als je moet inloggen.
De S-toets gebruik ik alleen bij transacties dus is op zichzelf al verdacht dat hier om wordt gevraagd bij inloggen.

Ben het wel eens dat spelfouten nog niet perse een teken is dat er e.e.a. niet klopt, want ook de bank kan spelfouten maken. Als je twijfelt kan je beter niet verder gaan met waar je was gebleven en de bank bellen voor een controle. Die kan meteen vertellen dat het synchronisatie verhaal al niet klopt.

Voor zover ik het kan overzien wordt hier geen gebruik gemaakt van malware, alleen van de goedgelovigheid van het slachtoffer.

Iedereen weet toch dat het controlegetal al jaren het bedrag vóór de komma is? Als je dan bij deze fake "controle" op de S toets moet drukken én een 4 cijferig getal (bedrag) invult ben je wel heel erg goed bezig.

2e: Er wordt al goed gewaarschuwd om DIRECT met de bank contact op te nemen als er iets misgaat (bv foutmelding) en nooit door te gaan met de transacties. Maar goed, dat is bij veel mensen aan dovemansoren gericht.

"Wat er nieuw aan deze truuk is, is dat ie gebruik maakt van een 'gadget' bedoeld om naieve gebruikers internet-bankverkeer makkelijker te maken; die 'random reader'. "

Hier is helemaal niets nieuws aan, cyber criminelen zijn dag in, dag uit bezig om mensen de code van hun random reader te ontfutselen om zo transacties uit te kunnen voeren om rekeningen leeg te plunderen. Hoe kom je erbij dat dit 'nieuw' zou zijn ?

"Er wordt al goed gewaarschuwd om DIRECT met de bank contact op te nemen als er iets misgaat (bv foutmelding) en nooit door te gaan met de transacties. Maar goed, dat is bij veel mensen aan dovemansoren gericht."

Mensen die hierin stinken denken juist dat ze de instructies van de bank naar behoren opvolgen. Het probleem is dat zij niet het onderscheid kunnen maken tussen legitieme functionaliteit, en geinjecteerde frames. Wat voor velen die weinig snappen van IT, laat staan van IT beveiliging en cybercrime, helaas helemaal niet vreemd is.

"Alsof een foutloos Nederlands garandeert dat het bericht legitiem is. "

Bij waarschuwingen wordt wel vaak (te) veel nadruk gelegd op het feit dat oplichters vaak spelfouten maken. Bij sommigen zorgt dat voor onterecht vertrouwen in berichten zonder spelfouten.

Ik vind dat niet raar, net zoals ik het niet raar vind dat veel mensen erin trappen wanneer de URL van de website klopt, en de website een slotje laat zien (https). Alsof een banking trojan dan geen kwaadaardig code in de website kan injecteren

In voorlichting worden dikwijls telkens gehamerd op de zelfde indicatoren, terwijl deze dikwijls niet van toepassing zijn.

"Een kunstig nagemaakte mededeling van de Rabobank heeft er dit weekend voor gezorgd dat een Enschedeër al zijn geld kwijtraakte."

Wat is hier kunstig aan ? Je start de Social Engineering Toolkit op, je gebruikt de website cloner, en na een halve minuut ben je klaar.

Velen reageren hier in de trant van "kortzichtig", "eigen schuld", "goedgelovig". Het is uitermate vervelend wanneer je geld je afhandig wordt gemaakt, op wat voor manier dan ook. Ik durf te stellen dat de 'schuld' deels bij de banken ligt. Denk aan al die kleinere dorpjes, waar na de kruidenier, de bakker, de slager, het postkantoortje ook de bank en de flappentap worden gesloten.
Veelal wonen daar nog slechts een paar oudere mensen, die van internet-security geen weet hebben, maar alleen proberen met de hun door de bank opgedrongen gadgets hun zaakjes te regelen.De banken dwingen hun klanten om alles on-line te doen. Zorg dan ook voor een sluitende security.

Ik zie niet "een paar" fouten overigens, ik zie zo even al vier fouten in de eerste alinea. Daarnaast is het nogal naief om te denken dat zo'n scherm van de bank zelf afkomstig is, maar zoals hierboven is uitgelegd zijn er mensen die dat onderscheid niet (kunnen?) maken. Anti-virussoftware gaan dan ook niet helpen, het grootste gevaar van een computer is nog altijd de gebruiker zelf en daar kun je alleen zelf wat aan veranderen.

Stom, maar de bank vergoed de schade.

Ow, wacht.... tot 1 januari 2014!

Als je naar de zin:


kijkt, dan zie je dat het toch om software gaat die in de browser bijhoudt welke pagina bekeken wordt, en dan actief wordt als de inlogpagina van de rabobank verschijnt. Dan praat je toch over malware en niet over social engineering – ook al zo'n mooi begrip – waar je via een telefoontje verleid wordt om een bepaalde instructies uit te voeren.

Het wordt toch echt tijd dat de banken een eigen 'bankieren' app voor de laptop schrijven, zoals ze nu ook voor de smartphones gedaan hebben. Als je niet zo'n open systeem als een browser gebruikt, waar iedereen plug-ins aan kan toevoegen waar al-dan-niet bugs in zitten, kun je de zaak al een stuk beter beveiligen.

Volledig mee akkoord en eindelijk een verstandige reactie!
Vele reacties zijn hier een schoolvoorbeeld van wat men benoemt als 'het geloof in een rechtvaardige wereld' (ev. eens Googlen op die term). Het gaat er dan om dat het slachtoffer de schuld krijgt, dat hij het heeft uitgelokt of dat hij te dom was om het gebeurde te voorkomen. De reden waarom mensen dat wel vaker doen is omdat ze zich zo zelf geen zorgen hoeven te maken dat het hen nochtans ook kan overkomen. Want doordat ze de schuld bijna volledig bij het slachtoffer gaan leggen én zo dus kunnen geloven dat zij wel beter zouden weten, hoeven ze zich geen zorgen te maken zelf slachtoffer te worden. En zo wordt 'de wereld' in hun ogen weer veilig(er) (lees: als je niet zo dom bent als die man, en dat ben ik natuurlijk niet, dan ben ik veilig).
Het ergste daarbij is dat het echte slachtoffer daarbij bijna dader wordt en dat hij geen enkele steun krijgt. Integendeel, hij wordt alleen maar verder afgeschoten... Hoe wreed kan men zijn...
Voor mij zijn dan ook die criminelen de echte criminelen. Het slachtoffer is wel degelijk het echte slachtoffer. Je kan die man moeilijk verwijten dat hij geen Facebookberichten leest. Bovendien zijn heel wat van die Facebook berichten fake, dus zelfs dan nog. Misschien is die man wel zo verstandig dat hij geen FB heeft.

Inderdaad, het is zo makkelijk te roepen EIGEN SCHULD maar de gemiddelde Nederlander heeft geen kennis van security zaken. En zelfs iemand die normaal heel alert is kan door drukte of afleiding ook een moment hebben dat hij de fout ingaat.

De bank zal nu (misschien) nog wel betalen maar ik voorspel jullie dat binnen 5 jaar er niets meer vergoedt zal worden, eerst schuiven ze ons hun nieuwe regels voor en langzaam maar steeds vaker zullen ze ook gaan afrekenen op het niet naleven van deze regels omtrent veilig telebankieren.

Deze gebruiker heeft een fout gemaakt en misschien zelfs wel een domme fout, maar toch eenieder kan dit overkomen, laten we hopen dat de banken in actie komen en de veiligheid opschroeven in plaats van ons vage regels op te leggen zodat ze hun dure centjes niet in de verbetering van hun systemen hoeven te steken.
De bonussen moeten immers wel hoog genoeg blijven.

Hou toch eens op met die verwarring met al die stomme oplichterstrucs....
Er zijn al mensen genoeg die zo stom zijn en erin trappen.

ALLES met internet en in je e-mail wat over je bank gaat is NEP HARTSTIKKE NEP EN VALS.

Mensen die dit nu nog niet snappen moeten maar eens voelen en gewoon niks terug krijgen van de bank.
Heel simpel. Want hoe stom ben je wel niet als je hier nu nog intrapt.

Erg erg erg kortzichtig en respectloos. Alsof iedereen altijd maar alles snapt van internet en internet beveiliging.
Kijk eens naar de oudere generatie die steeds meer en meer gedwongen is om gebruik te maken van computers maar geen les erin hebben gehad?

Praktijk voorbeeld: "Ik zie mijn vader nog met zijn pc ingepakt staan om naar de bank te gaan omdat hij geld moest overboeken en dat stond toch op zijn pc?? Beste man is 78 jaar. Gelukkig kon hij er later wel om lachen maar de wanhoop en het in de eerste instantie niet begrijpen is verschrikkelijk voor hem en ook voor ons want we hopen dat hij 100 mag worden en gelukkig heeft hij ons maar er zijn er ook genoeg die niemand zo dichtbij (meer) heeft."

Zo hoor je nog regelmatig meer van dit soort gebeurtenissen als je in de internet wereld werkt.

Internet criminaliteit is hetzelfde in vele gevallen als inbraak en zakkenrollen alleen dan op een makkelijkere manier. Iedereen kan het overkomen. Kijk maar eens hoe gemakkelijk je een virus of trojan op de pc kan krijgen, Ja nu nog steeds en ook jij ondanks al je goede virusscanners en firewalls.

Internet is alert zijn en proberen op tijd erbij te zijn als er iets fout gaat zonder al te grote schade op te lopen.
Mensen helpen met gefundeerde tips om zo veilig mogelijk op internet te kunnen zijn.
En vooral ook geen Toetsenbord Hero te zijn door van alles de lucht in te gooien omdat je zo nodig je mening moet laten horen zonder anderen of de situaties te kennen. Oordelen en veroordelen is heel erg gemakkelijk, brengt nog meer schade aan en dat allemaal zonder te laten zien wie je bent.

Met vriendelijke groet,
Hetty

Het zou fijn zijn als banken je tenminste elementaire mogelijkheden bieden om je te beveiligen. Ik kan bellen in het buitenland uitzetten voor mijn telefoon, maar betalen in het buitenland niet (ja, in verweggistan staat het uit, maar niet in polen). Ook heeft mijn bank laatst bedacht dat het voor mij erg handig is als ik ook van alle spaar- en beleggingsrekeningen rechtstreeks geld over kan maken naar om het even waar en niet meer alleen naar de door mij opgegeven tegenrekening. Weer een stapje onveiliger.

Ik wil kunnen instellen dat mijn passen niet meer werken als de rekening rood staat, en met "niet werken" bedoel ik: overal niet werken. En ik wil dat mijn passen geen voor mij onbekende risico? hebben.
Als ik lees dat er met iemands pas in een casino 8000 Eu is opgenomen terwijl ik met mijn pas bij een ATM van een andere bank maar 250 Eu per dag op kan nemen, dan gaat er ergens iets fout in de afwegingen. Zoveel mensen gokken niet dagelijks voor duizenden in een Casino dus wie dat wil, moet het expliciet aanzetten en voor alle anderen staat het standaard uit, lijkt mij. Dan had die roof niet plaats kunnen vinden en bij de ATM blijft de schade ook beperkt als je pas gejat is.

Zo ook overboekingen: als het goed is, zit daar ook een beperking aan wat je per dag over kan maken. Dat heb ik liefst zo laag mogelijk staan, en als het dan een keer nodig is, zet ik het wel aan. Laat het me desnoods een dag van tevoren aanvragen, dat verhindert toch ook weer criminelen om met de hele buit weg te rennen.

Maar liever zegt de bank dat je altijd goed op het slotje moet letten. En of de inlogpagina er betrouwbaar uitziet. Maar die wijzigt nogal eens, dus moet ik die dan altijd letter voor letter goedkeuren, en waartegen dan?

Ik heb geen anti-virus, alleen een firewall in mijn router. Voor uw informatie ik gebruik geen Windows. Of ja dat lieg ik, alleen wel voor mijn werk (laptop) maar daar zit ook geen anti-virus scanner op maar andere beveiliging plug-ins in de browser en nogmaals een gezond verstand. Er is geen ander virus-programma beter dan je hersens zelf. Enigste wat je nodig hebt is de kennis.

Als je deze niet kunt opdoen zal een programma dat voor geprogrammeerd is beter zijn om te helpen een infectie te voorkomen.

Maar kom op hey, als men nu nog na al die waarschuwingen en nieuws artikels overal via e-mail of een of andere neppe website hun account gegevens invullen dan heb je je balzak goed hard vast en ben je echt goed bezig. Niet dus.

Gezond verstand gebruiken, je bank zal jouw nooit en te nimmer om je gegevens vragen via e-mail of een website.
Als je niet weet hoe je een computer moet gebruiken of het verschil niet ziet tussen de echte website van jouw bank en een neppe website(phisher) dan moet je gewoonweg een computercursus volgen zodat je dit wel weet.. Tsja anders kost het je geld. En vergeet niet het kost niet alleen jouw geld maar het is tevens als veel meer mensen het doen ook ons geld. Want niet alles komt terug er gaan meer geld aan verloren dan terug komt.

Het is niet echt goed als er miljoenen per jaar aan dit soort acties mee de prullenbak in gaan, aan fraude, phishing en andere onzin. Omdat met simpelweg niet goed oplet, het is niet zo moeilijk hoor. Kijk gewoon goed uit je oogkassen en gebruik je gezond verstand!!

Kortzichtig en respectloos is het ook, klopt. Maar geef nou eens toe, mensen leren er niet van en krijgen het telkens voor elkaar om virussen om hun computer te krijgen. De techniek die erachter zit is ook bagger en zeer makkelijk voor criminelen om te omzeilen. Als men niet het gezond verstand zal gaan gebruiken komt dit minimaal nog een aantal keer voor. Oftewel miljoenen per jaar weer *poef* weg naar criminelen. Als dit niet meer vergoed zal worden gaat men er niet kapot aan en zal ook opzoek gaan naar een veilige werkende oplossing aka Linux live cd.

http://www.youtube.com/watch?v=8a5v9-1jr_c

Dit is EEN van de oplossingen, er zijn nog beteren en veiligere,

Dat kun je niet generaliseren naar alle banken. b.v. zijn bij de ABN-Amro de buitenland betalingen standaard geblokkeerd. Aan zetten kan wel, maar dan met een vertraging van 2 uur.

Ik moest vandaag toevalling een betaling naar België doen (dus geen verweggistan). Ik kies dan om buitenland betalingen voor één dag mogelijk te maken. Later op de dag moet je dan een tweede keer inloggen, en pas dan kun je de betaalopdracht uitvoeren. Een beetje omslagtig, maar dat is juist de bedoeling om misbruik lastiger te maken. Naar Polen overboeken, zoals met de malware uit dit topic was dus niet gelukt met deze aanvullende bescherming.

Leuk zo'n forum waarbij een ieder hier komt omdat ze ergens iets met security hebben.

Dit in tegenstelling met de rest (99,9%) van Nederland.

Ik probeer zelf scherp te zijn op alles rondom internet oplichting, maar ook ik had maar zo kunnen trappen in bovenstaande case. En vermoedelijk met mij, dus in ieder geval die overige 99,9%.

Zoals terecht werd gezegd hebben de banken alle mogelijkheden afgesloten om gewoon aan de balie je geld op te halen of weg te brengen. Maar dat betekent wel dat ze de verplichting hebben om de argeloze burger bij te staan als er slimme oplichters aan de gang gaan.

Beste,

dit bedoel ik dus... niet nadenkend.

Een computer cursus kan niet iedereen doen. De leeftijd wil ook wel wat zeggen. Banken hebben vele mogelijkheden weggehaald. Persoonlijk contact is weg tegenover inkomsten die banken nodig hebben?
Die miljoenen kunnen banken investeren in beveiliging en meer kantoren zodat er voor iedereen een mogelijkheid is en blijft om bankzaken te doen.

Jij en ik weten hoe we ons moeten beveiligen tegen internet ellende, maar of het waterdicht is blijft maar net de vraag.
Het is mijn beroep en mogelijk ook die van jou maar hoeveel krijgen daadwerkelijk die kansen? Hoeveel mensen geloven al die nep onzin of juist niet?
Ik geef je de kost hoeveel mensen nog (steeds) niet weten hoe het werkt met internet. Hoeveel mensen er wel een cursusje hebben gevolgd maar al die beveiligings tips en waarschuwingen niet hebben gekregen of misschien wel maar niet beseffen dat het voor heel het internet gebeuren telt.

De technieken staan niet stil en hoewel hacks, virussen, trojans enz vaak relatief eenvoudig zijn overkomt het grote bedrijven ook terwijl je juist van hun mag verwachten dat ze goed beveiligt zijn. Hoe kun je dan van mensen met een minimale internet kennis verwachten dat ze alles weten?

Niet iedereen is zoals jij of ik (T.G.) of in de gelegenheid om internet te begrijpen. Onthou dat en kijk hoe je mensen kan helpen zonder vooroordeel. Daar bereik je meer mee dan anderen maar voor stom en dergelijken uit te maken (in andere woorden dan) omdat ze iets niet snappen en ergens in trappen.

Met vriendelijke groet,
Hetty

Niet iedereen leeft in een digitale security wereld.
Er bestaan ook nog een heleboel andere soort mensen.