image

Nederlandse verenigingen slachtoffer phishing

donderdag 17 januari 2013, 11:27 door Redactie, 7 reacties

Twee verenigingen in het Gelderse Ooij en Kerkdriel zijn opgelicht door iemand die zich uitgaf als medewerker van een grote bank. Volgens de politie zijn waarschijnlijk meer bedrijven in Nederland van dezelfde groep oplichters slachtoffer geworden. De persoon die zich uitgaf als bankmedewerker was in beide gevallen een vrouw met een aangename, jonge stem die goed Nederlands sprak.

Zij vertelde de penningmeesters van de verenigingen dat zij een nieuwe randomreader voor internetbankieren zouden krijgen via de post. Hiervoor moest ingelogd worden op de website van de eigen bank en moest een aantal codes ingevoerd worden op de oude randomreader.

De 'bankmedewerker' vroeg de slachtoffers de door de reader gegenereerde codes op te noemen. In beide gevallen ontdekten de penningmeesters korte tijd daarna dat de rekeningen van hun verenigingen geplunderd waren.

Social engineering
In beide gevallen was de 'bankmedewerker' goed op de hoogte van een aantal details, zoals namen van directeuren en medewerkers van de verenigingen. Dit leidde er mede toe dat de slachtoffers de oplichters vertrouwden.

In Den Haag is in verband met de oplichtingen een auto in beslag genomen en in Rotterdam is een aantal verdachten gehoord. De politie doet verder onderzoek in de zaak. Halverwege december gaf de Nederlandse Vereniging van Banken nog een waarschuwing af voor de phishingaanvallen.

Reacties (7)
17-01-2013, 12:36 door [Account Verwijderd]
[Verwijderd]
17-01-2013, 13:15 door Anoniem
Een goed voorbeeld van.... mensen die niet goed opletten. Je bank vraagt nooit om je login code's, tancodes, random reader codes, wachtwoorden etc. Keep on thinking.
17-01-2013, 13:35 door WhizzMan
Was deze scam eind vorig jaar niet ook al eens op een aantal stichtingen/verenigingen uitgehaald?
17-01-2013, 14:43 door Anoniem
net goed, .. zo leren ze het misschien eens een keer om er niet weer in te tuinen .. hoe vaak wil je mensen no gaan waarschuwen? Knal er maar weer een zak geld tegenaan voor een spotje van de Informatie Rijksoverheid (postbus 51).
17-01-2013, 14:55 door RichieB
Amateuristische scam. Als ze de penningmeesters naar een nepsite laten gaan, bijv. www.nieuwerr.nl dan zouden ze via die site de codes gewoon moeten kunnen uitlezen. Ze hoeven dan niet via de telefoon te worden voorgelezen. Leg maar eens uit aan een leek dat dit niet veilig is.
17-01-2013, 15:43 door Anoniem
Dat mensen hier intrappen doet vermoeden dat ze een heel vertekend beeld hebben van hoe een bankrekening, een random reader en een bankpas eigenlijk werken. Om van internet en hun computer maar te zwijgen.

Een bankrekening is geen kluis waar alleen de klant bij kan, de bank zelf heeft volledige toegang (hoe zouden ze anders bijschrijvingen en automatische afschrijvingen kunnen afhandelen), en heeft dus nooit codes van de klant nodig om iets te doen. De codes dienen niet om de bank ergens toegang toe te geven maar om de klant toegang te geven, het is net zoiets als je paspoort laten zien. Die randomreader is een generiek apparaatje dat zelf helemaal niet aan een rekening gebonden is, daarom moet je je bankpas erin steken. Voor een vervangende randomreader geldt dat ook, dus de bank heeft alweer geen codes nodig. Voor een bank zou het trouwens vreselijk duur en onhandig zijn als ze voor dit soort handelingen elke klant op moeten bellen, en ze zullen het zo inrichten dat dat niet nodig is, en omdat ze het zelf inrichten kunnen ze dat ook gewoon.

Dat soort inzichten in wat er gebeurt ontbrak bij deze mensen kennelijk volledig. Veel mensen zien/doorzien niet meer dan de oppervlakte.

Mensen hoeven natuurlijk niet in detail te weten wat er onder de motorkap plaatsvindt, maar dat een motor kracht levert, een gaspedaal bepaalt hoeveel, dat een rem remt en een stuur stuurt, dat soort globale kennis moet je wel degelijk hebben om ermee om te kunnen gaan. De functie die een component in het geheel heeft is wel degelijk van belang om te begrijpen om iets goed te kunnen gebruiken. De hele IT-industrie lijkt ervan overtuigd te zijn dat dat al veel te ver gaat en zo veel mogelijk van de werking te camoufleren met "makkelijke" abstractielagen. Ik ben bang het er juist alleen maar abstracter en magischer van wordt, en dus moeilijker om op basis van een paar globale inzichten iets verdacht te vinden.

Banken richten zich op de simpele boodschap dat ze nooit om die codes zullen vragen. Daar moeten ze niet mee stoppen, maar van mij mogen ze best wat meer inzicht in de processen geven voor die mensen die slim genoeg zijn om bijvoorbeeld ook auto te kunnen rijden. Wat ze nu doen is zoiets als vertellen dat onder een ladder doorlopen ongeluk brengt zonder erop te wijzen dat de reden daarvoor is dat er iemand op die ladder bezig die per ongeluk iets op je hoofd kan laten vallen. Maak je dat duidelijk dan bedenken de meeste mensen zelf wel dat ze er beter even omheen kunnen lopen. En wie weet hadden deze penningmeesters dan zelf bedacht dat er iets niet klopt.
17-01-2013, 17:51 door Anoniem
Het klopt dat het voor de leek toegankelijk maken van internet bankieren gewoon geen slimme zet is. Het zou goed zijn dat je een minimum moeilijkheidsgraad, dus intelligentie, nodig hebt om te kunnen internet bankieren. Jammer dat 50% van de bevolking er dan niet meer uit komt, maar dan heb je wel direct de grootste risico's beperkt.

Ik kan namelijk nog steeds niet begrijpen dat iemand die random codes doorgeeft. Iedereen die internet bankiert ziet toch gewoon dat hij elke keer betalingen juist met die codes fiatteert. Dus die codes zijn nog belangrijker dan de pincode. En van penningmeesters valt me dit helemaal tegen omdat die meestal toch uit het slimmere deel van een vereniging gekozen worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.