image

Rabobank vond phishingslachtoffer grof nalatig

donderdag 23 juli 2015, 12:49 door Redactie, 28 reacties

Een Nederlandse vrouw die het slachtoffer van phishing werd kon in eerste instantie naar haar geld fluiten, omdat ze volgens de Rabobank grof nalatig was geweest, maar na advies van Omroep MAX wist ze uiteindelijk toch het gestolen geld terug te krijgen. Begin dit jaar ontving de vrouw een e-mail die van de Rabobank afkomstig leek en om haar telefoonnummer vroeg.

Dit zou nodig zijn om haar nieuwe random reader te testen. De vrouw vulde de gegevens in en werd niet veel later door een "medewerkster" van de Rabobank gebeld. De medewerkster liet de vrouw vervolgens verschillende codes met de random reader genereren. Een aantal dagen later ontdekte de vrouw dat er 1280 euro van haar rekening was gehaald. Ze meldde zich bij de Rabobank, maar die stelde dat de vrouw grof nalatig was geweest. Daarop klopte de vrouw bij MAX aan.

"In principe moet uw bank u schadeloosstellen als uw bankrekening door oplichters wordt geplunderd. Dat is alleen anders als uzelf grof nalatig bent geweest. Hoewel mevrouw Pannekeet de regels van de bank had overtreden door haar inloggegevens prijs te geven, vonden wij het oordeel van de Rabobank wel erg kort door de bocht. Mevrouw Pannekeet was, vonden wij, slachtoffer geworden van een wel heel uitgekookte truc", aldus de omroep. Die adviseerde de vrouw om een klacht bij de Rabobank in te dienen, wat er uiteindelijk toe leidde dat ze na veel moeite haar geld alsnog terugkreeg.

Reacties (28)
23-07-2015, 13:15 door Anoniem
Onwetendheid is een heel slecht excuus.
Mevrouw klikt eerst op een phishing link en daarna tegen alle voorschriften in codes telefonisch doorgeven. Dat vind ik grof Nalatig.
Ik vind banken een noodzakelijk kwaad maar ik moet de Rabobank hierin toch gelijk geven.
23-07-2015, 13:33 door Anoniem
Lekker is dat. En andere klanten die niet in dit soort overduidelijke babbeltruuks stappen zijn de sjaak omdat zij opdraaien voor de schade.
23-07-2015, 13:40 door Wim ten Brink
Mevrouw is een sukkel maar dat is nog geen misdrijf in Nederland. De Rabobank zou moeten weten dat een deel van hun klanten sukkels zijn en dus voor dit soort valstrikken kunnen vallen. Om dit te voorkomen dienen deze sukkels gewoon een duidelijkere waarschuwing moeten krijgen. In dit geval een waarschuwing die op de Random Reader wordt geplakt of in het beeldscherm van de Random Reader verschijnt als de gebruiker gaat inloggen.
Ook is de Rabobank nalatig omdat er kennelijk een phishing-site online stond die nog werkte. Het is aan de Rabo om dat soort sites tegen te gaan en de oplichters achter die sites aan te klagen. Veel banken nemen die moeite echter niet.
-
Toch heeft de Rabo wel gelijk omdat deze sukkel bij het invullen van haar gegevens had moeten controleren of de URL ook daadwerkelijk de url van de Rabobank was. Ook daar heeft ze niet op gelet en dus is zij zelf schuldig.
Indien de oplichters haar zonder die phishing-site hadden weten te vinden dan zou ik de Rabo schuldig vinden. Maar hiet heeft mevrouw TWEE fouten begaan, terwijl ze beter had moeten weten.
23-07-2015, 14:08 door Anoniem
Als ik het zo lees is er niet eens een phisingsite gebruikt...

Iemand heeft gewoon een mail gestuurd met een rabobank layout, met de vraag om haar telefoonnummer.
Daarna haar gebeld, en de random reader 'getest'...
Waarschijnlijk heeft ze over de telefoon ook nog haar inloggegevens verstrekt.
23-07-2015, 14:12 door Anoniem
Zegt de bank met de geinfecteerde identifiers in eigen kantoor?

Ok!

Klinkt in mijn oren als een excuus om iin het vervolg ouderen hun spaarcentjes terug te geven omdat ze nog geloven in een goede wereld.
23-07-2015, 14:18 door Anoniem
Wim je trekt allemaal verkeerde conclusies. De mevrouw is helemaal niet gephisht, maar is slachtoffer geworden van een babbeltruuk en heeft haar random reader codes laten genereren zodat de uiteindelijke boeven betalingen konden verrichten.
23-07-2015, 14:37 door Goeroeboeroe
Wat in eerdere reacties wat wordt vergeten: sommigen mensen kunnen gewoon echt niet met computers omgaan. Omdat ze daar geen aanleg voor hebben. Omdat ze tegen niemand (ook niet tegen 'n mail) 'nee' kunnen zeggen. Omdat ze niet zo slim zijn. Om wat voor reden dan ook.
Ik heb behoorlijk wat mensen ingewerkt in computers. Mensen die vaak wat moeite hadden om mee te komen op reguliere cursussen e.d. Daar zat bijvoorbeeld iemand bij die oprecht geloofde dat ze onbeleefd was als ze niet op 'n mail reageerde.
Als banken (en de overheid, en...) mensen steeds meer dwingen om voor alles 'n computer te gebruiken, dan moeten ze ook niet zeuren als 'n deel van de gebruikers dit soort stomme fouten maakt. Als ze dat niet willen, dan moeten ze voldoende andere mogelijkheden laten bestaan.
Uiteraard ken ik niet alle details van dit geval. Maar bij de mensen die ik heb lesgegeven, zaten er echt tientallen die dit ook zo gedaan zouden hebben. Wat ook de reden is dat ik internetbankieren e.d. zo lang mogelijk probeerde uit te stellen, maar zonder internetbankieren, digid, enz. is inmiddels vrijwel onmogelijk.
23-07-2015, 14:53 door Anoniem
'heel uitgekookte truc'

lol serieus? wat een kul...dit is een standaard oplichters manier
23-07-2015, 17:44 door Anoniem
Dit soort social enginerings truuks werken vrijwel altijd. Doe je als iemand van een bedrijf voor en laat het slachtoffer jou bellen. Neem de telefoon op met de naam van het bedrijf en het slachtoffer is als was in je handen. Zolang mensen nog steeds niet willen luisteren dat echte bank medewerkers nooit om login gegevens zullen vragen zolang zullen er slachtoffers vallen. Daar valt bijzonder weinig tegen te doen ook al plak je mega stickers op readers, mensen zijn nu eenmaal gehoorzaam en zullen vragen van een zogenaamde bankmedewerker, die ze zelf hebben gebeld, altijd beantwoorden. Helaas betekend dat wel dat anderen voor de schade mogen opdraaien.
23-07-2015, 18:19 door Anoniem
Het inlevingsvermogen (behalve dat van Goeroeboeroe) is weer heel laag vandaag.
23-07-2015, 18:29 door Anoniem
MAX is een omroep voor ouderen, zeg 50+. Hoe oud was mevrouw Pannekreet eigenlijk?
En hoeveel ervaring met internetbankieren had zij als er sprake was van een nieuwe randomreader.
Dit soort scenario's is met name wat je kan verwachten bij ouderen, goed van vertrouwen als ze soms zijn,
en ook een beetje trots en overmoedig "dat ook zij best kunnen internetbankieren en met moderne techniek om kunnen gaan", en dat zullen ze laten zien ook. Want niemand wil voor "domoor" of "zeurpiet" worden uitgemaakt, nietwaar?
En dus doe je keurig wat er wordt gevraagd, "want dat kan ik best hoor".

Jazeker. In de basis kunnen ouderen (of anderen die weinig ervaring met ICT hebben) dit soort dingen best.
Maar kun je dan zeggen dat ouderen kunnen internetbankieren?
In een normale, veilige omgeving lukt dat misschien best wel.
Alleen kunnen ze dan ook tijdig herkennen wanneer het onveilig wordt?...
En als ze dit niet hebben herkend, kun je het dan maken om dit ouderen te verwijten?...

Schaar dit voorbeeld maar achter het "Ouderen internetbankieren?" topic:
https://www.security.nl/posting/434535/Ouderen+internetbankieren%3F

(blij dat mevouw Pannekreet haar geld toch nog teruggekregen heeft)
23-07-2015, 18:32 door Anoniem
Hoeveel collega's, vrienden of familie leden scoren minder dan 60% in deze test? https://phishingquiz.mcafee.com/

Ik heb het dan niet over mensen met bovenmatige IT ervaring (professioneel ITers of degene die regelmatig op Security.NL, Tweakers.Net of dergelijke sites zitten).
23-07-2015, 19:35 door Anoniem
Door Wim ten Brink: Mevrouw is een sukkel maar dat is nog geen misdrijf in Nederland. De Rabobank zou moeten weten dat een deel van hun klanten sukkels zijn en dus voor dit soort valstrikken kunnen vallen. Om dit te voorkomen dienen deze sukkels gewoon een duidelijkere waarschuwing moeten krijgen. In dit geval een waarschuwing die op de Random Reader wordt geplakt of in het beeldscherm van de Random Reader verschijnt als de gebruiker gaat inloggen.
Ook is de Rabobank nalatig omdat er kennelijk een phishing-site online stond die nog werkte. Het is aan de Rabo om dat soort sites tegen te gaan en de oplichters achter die sites aan te klagen. Veel banken nemen die moeite echter niet.
-
Toch heeft de Rabo wel gelijk omdat deze sukkel bij het invullen van haar gegevens had moeten controleren of de URL ook daadwerkelijk de url van de Rabobank was. Ook daar heeft ze niet op gelet en dus is zij zelf schuldig.
Indien de oplichters haar zonder die phishing-site hadden weten te vinden dan zou ik de Rabo schuldig vinden. Maar hiet heeft mevrouw TWEE fouten begaan, terwijl ze beter had moeten weten.
23-07-2015, 19:52 door Anoniem
Door Wim ten Brink: Mevrouw is een sukkel maar dat is nog geen misdrijf in Nederland. De Rabobank zou moeten weten dat een deel van hun klanten sukkels zijn en dus voor dit soort valstrikken kunnen vallen. Om dit te voorkomen dienen deze sukkels gewoon een duidelijkere waarschuwing moeten krijgen. In dit geval een waarschuwing die op de Random Reader wordt geplakt of in het beeldscherm van de Random Reader verschijnt als de gebruiker gaat inloggen.
Ook is de Rabobank nalatig omdat er kennelijk een phishing-site online stond die nog werkte. Het is aan de Rabo om dat soort sites tegen te gaan en de oplichters achter die sites aan te klagen. Veel banken nemen die moeite echter niet.
-
Toch heeft de Rabo wel gelijk omdat deze sukkel bij het invullen van haar gegevens had moeten controleren of de URL ook daadwerkelijk de url van de Rabobank was. Ook daar heeft ze niet op gelet en dus is zij zelf schuldig.
Indien de oplichters haar zonder die phishing-site hadden weten te vinden dan zou ik de Rabo schuldig vinden. Maar hiet heeft mevrouw TWEE fouten begaan, terwijl ze beter had moeten weten.

De mails worden steeds geniepiger: vorige week ontving ik een mail met de oproep om de nieuwe raboscanner te bestellen (die ik al lang heb) en dat de reader nog maar 14 dagen geldig was. Deze mail had als afzender bankieren.nl.online-rabo.bankier-netwerk.nu@rabobank.nl Dus de afzender heeft het domein van de rabobank gebruikt en dat lijkt dus vertrouwd. Verder zag alles er ontzettend echt uit, het taalgebruik, de lay-out alles klopte. Alleen als je je realiseert dat de rabobank dit soort mails niet zendt, dan kun je phishing vermoeden. Maar het wordt steeds gecompliceerder: we krijgen ook mails van de belastingdienst, van de gemeente, van verzekeringsmaatschappijen enz. Ga er maar aan staan om echt van onecht te onderscheiden. Dus het zal er allemaal niet eenvoudiger op worden!
23-07-2015, 20:37 door karma4
Hoeveel van die bedrijven verstoppen zichzelf niet er achter dat alles heel geavanmceerd was en ze er niets aan konden doen. Als je vindt dat gebruikers/afnemers flaters begaan het is net zo erg aan de andere kant. zo mogelijk kwalijker omdat ze beter hadden moeten weten. Libor?
23-07-2015, 21:02 door Ralvo
Door Anoniem: Hoeveel collega's, vrienden of familie leden scoren minder dan 60% in deze test? https://phishingquiz.mcafee.com/

Ik heb het dan niet over mensen met bovenmatige IT ervaring (professioneel ITers of degene die regelmatig op Security.NL, Tweakers.Net of dergelijke sites zitten).
Ik deed dat testje net en ik vond er toch een instinker inzitten: een advertentiemailtje voor een mobiel bankieren-app. Het zag er heel legitiem uit, goeie logo's, de linkjes leken ook te kloppen (al weet ik natuurlijk niet welke domeinen ze allemaal beheren), maar ik miste een beveiligde verbinding. Er kwam nergens een "https://" omhoog, dus markeerde ik 'm als phishing. Fout, dus.

Misschien moet ik m'n psych toch maar eens iets gaan vragen over paranoïa... ;)
23-07-2015, 21:50 door Goeroeboeroe - Bijgewerkt: 23-07-2015, 21:53
Door Anoniem:
Dit soort scenario's is met name wat je kan verwachten bij ouderen, goed van vertrouwen als ze soms zijn,
en ook een beetje trots en overmoedig "dat ook zij best kunnen internetbankieren en met moderne techniek om kunnen gaan", en dat zullen ze laten zien ook. Want niemand wil voor "domoor" of "zeurpiet" worden uitgemaakt, nietwaar?
En dus doe je keurig wat er wordt gevraagd, "want dat kan ik best hoor".
Dat is dus gewoon vaak niet zo. Mogelijk wel bij deze dame, dat weet ik niet.
De mensen met wie ik heb gewerkt hadden vaak WAO, vaak wegens psychische problemen. Die wilden vaak helemaal niet 'aan de computer' en dingen als DigiD vonden ze al helemaal doodeng. Maar probeer jij maar 'ns iets te doen bij het UWV zonder computer of zonder DigiD. Dat kán vaak gewoon niet meer.
Een formulier voor een wijziging kun je zelfs niet downloaden, dat moet je in de computer invullen, vervolgens downloaden en dan uitprinten. En per post opsturen. (Ik verzin dit niet!) Een andere mogelijkheid is er niet. En voor veel van dat soort dingen heb je ook een DigiD nodig.
Allerlei bankhandelingen kunnen ook alleen nog maar via internet, of ze kosten onwijs veel extra geld en moeite.

Toen ik nog ouderen hielp bij SeniorWeb, kwam ik ook nooit ouderen tegen die begonnen omdat ze zo nodig moesten laten zien dat ze 'modern' waren of zo. Dat waren vrijwel altijd ouderen met kinderen in Australie of zo, die voor contact de kleinkinderen een webcam wilden gebruiken. Maar die ouderen konden prima met computers omgaan.

Hoe je het ook draait of keert, er is een groep die dat gewoon niet kan, om welke reden dan ook. Net zo goed als een groep mensen dronken achter het stuur gaat zitten, wat je ook doet. Of ..., vul maar in.
Officieel mag je je pinpasje aan niemand uitlenen. Dat mag in ieder geval niet van de ING. Kun jij me dan vertellen hoe een zieke bejaarde aan eten moet komen? Thuiszorg is zo'n beetje afgeschaft *). Moet die dan maar doodhongeren?
Prachtig, hoor, al die waarschuwingen en regels. Maar voor sommige (groepen) mensen werken ze gewoon niet.

*) Verrek, aan de thuiszorg mag je óók je pasje niet uitlenen. Ze moet echt doodhongeren, als het aan de ING ligt...
23-07-2015, 22:24 door Anoniem
Bij de McAfee test had ik alles goed (als professional, dus dat moet ook wel), ondanks het feit dat ik doorgaans naar de bron van de email kijk en niet naar wat de gebruiker ziet. Het was bij de eerste berichten niet nodig om de link te bekijken.

De beste methode is natuurlijk kijken naar de link. Als je een paar honderd phishing links hebt gezien mag je er geen een fout hebben. Desnoods met behulp van Google en whois. Zelfs als de whois gegevens zijn vervalst (wat niet zo vaak voorkomt), dan nog kan je conclusies trekken uit het gebruik van nieuwe domeinen. Gehackte sites zijn ook makkelijk te herkennen.

Nederland haalt 69%. Dat is best goed voor Amerikaanse phishing berichten, maar niet zo goed als Peru of Irak (rondom 80%). Of Mozambique en Madagaskar, die 100% halen. Geen n vermeld, dus dat neem ik met een flinke korrel zout.
23-07-2015, 23:29 door Eric-Jan H te D
Moet met de nieuw random-reader niet meer kunnen. Die genereert een kleurenpatroon
24-07-2015, 07:45 door Anoniem
Door Anoniem:
Deze mail had als afzender (nobodycares)@rabobank.nl Dus de afzender heeft het domein van de rabobank gebruikt en dat lijkt dus vertrouwd.

Meteen klagen bij je mailprovider, blijkbaar laten die mail door die toch duidelijk volgens moderne mailprotocollen niet naar de spambox had gemoeten.
24-07-2015, 09:51 door Anoniem
Oudere mensen zijn goedgelovig ze vertrouwen de email, s , maar jullie werken niet met oudere mensen
Dat is het probleem, daarom een hoop discussie om niks.
24-07-2015, 09:58 door karma4
Door Anoniem:Meteen klagen bij je mailprovider, blijkbaar laten die mail door die toch duidelijk volgens moderne mailprotocollen niet naar de spambox had gemoeten.

Het mailprotocol SMTP heeft het afzender veld gewoon open staan. https://en.wikipedia.org/wiki/Email_authentication https://en.wikipedia.org/wiki/Email_spoofing Je mag op een hard-copy brief ook elk adres als afzender plaatsen. Dat wordt pas interressant als er op gereageerd gaat worden.
24-07-2015, 10:05 door Anoniem
Door Anoniem: 'heel uitgekookte truc'

lol serieus? wat een kul...dit is een standaard oplichters manier

En die manier is erg uitgekookt natuurlijk (en bewezen succesvol).
24-07-2015, 10:10 door Anoniem
Als het inderdaad om een NIEUWE random reader gaat vind ik dat mevrouw meer nalatigheid te verwijten is dan met een oude. Het is namelijk met die nieuwe zo dat je bij het goedkeuren van een transactie op de reader zelf in beeld krijgt wat je aan het goedkeuren bent, a la "Overmaken 1200 euro naar NaamBegunstigde. Is dit correct? Ja/Nee". Als je daar in trapt snap ik het echt niet meer.
25-07-2015, 12:32 door Anoniem
Door Anoniem: Als het inderdaad om een NIEUWE random reader gaat vind ik dat mevrouw meer nalatigheid te verwijten is dan met een oude. Het is namelijk met die nieuwe zo dat je bij het goedkeuren van een transactie op de reader zelf in beeld krijgt wat je aan het goedkeuren bent, a la "Overmaken 1200 euro naar NaamBegunstigde. Is dit correct? Ja/Nee". Als je daar in trapt snap ik het echt niet meer.
Ik denk het niet, die heet namelijk niet Random Reader maar Rabo Scanner, en daarmee kan je geen codes laten genereren zonder plaatjes te laten zien, dat vergt naast een telefoongesprek ook een website die de te scannen afbeelding toont.
26-07-2015, 00:00 door Briolet - Bijgewerkt: 26-07-2015, 00:17
Door Anoniem: Deze mail had als afzender bankieren.nl.online-rabo.bankier-netwerk.nu@rabobank.nl Dus de afzender heeft het domein van de rabobank gebruikt en dat lijkt dus vertrouwd.

Alleen is die naam zo lang dat het daarom al verdacht wordt. Verder kan iedereen mail namens de rabobank.nl sturen. De meeste bedrijven besteden mailings uit aan externe bedrijven die de naam van de opdrachtgever als afzender gebruiken. Kwaadwillenden kunnen dat ook.

Pas als men DMARC gebruikt, kun je de afzendernaam goed beschermen. (Zie https://en.wikipedia.org/wiki/DMARC) Dit is echter nog nieuw en de meeste mailservers controleren dit nog niet. Wel o.a.: gmail, microsoft , yahoo, xs4all en belgacom.

De domeinnaam eigenaar moet het wel activeren. b.v. rabobank,nl, abnamro.nl, abnamro.com hebben wel een DMARC record, maar die staat alleen op monitoring. Zij krijgen dan wel melding van mogelijk misbruik maar de mail wordt niet geblokkeerd door de ontvanger. Alleen als de gebruiker in de header kijkt, kan hij daar een 'fail' zien.

Alleen ing.nl heeft een dmarc record die op 'reject' staat. Bij deze bank zal misbruik dus een stuk lastiger worden als je tenminste een provider hebt die ook dmarc controleert. Thuis gebruik ik het ook op mijn mailserver, maar daar is het een kwestie van aanzetten. Implementatie is voor een groot bedrijf veel lastiger. Omdat het elk verdacht mailtje kan blokkeren, moet b.v. al het personeel ook echt de via de smtp server van het bedrijf werken, en niet de smtp server van b.v. kpn in hun smartphone inprogrammeren. Ook mailings door externe bedrijven moeten beter georganiseerd worden.

Het aanwezig zijn van zo'n dmarc record in hun DNS geeft wel aan dat men er mee bezig is. Alleen jammer dat twee van de grote 3 banken het protocol nog op alleen monitoring hebben staan.
28-07-2015, 01:52 door CrioWria - Bijgewerkt: 28-07-2015, 01:54
Ben erg nieuwsgierig wat de Rabobank in mijn geval van plundering zou doen; begint al met de Windows versie die volgens Microsoft helemaal legaal is (zelf heb ik iets een andere mening), security is ook al niet helemaal legaal en voor de rest is het niet veel anders. Denk dat ik compleet nat ga, maar ach die 20 tientjes ;-).

Al denk ik niet dat een phishing mail bij mij gauw zou werken, gebruik een specifiek adres enkel voor mijn bank.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.