"Banken moeten gebruik van links in e-mails beperken"
Banken moeten het gebruik van links in e-mails beperken, zodat consumenten aanleren om zelf het adres van de banksite in de browser te typen, zo laat de Belgische federatie van banken Febelfin tegenover Security.NL weten. Een dergelijk specifiek advies zien de Nederlandse banken vooralsnog niet zitten.
Onlangs presenteerde Febelfin de cijfers van fraude met internetbankieren in België. Daaruit bleek dat de schade door deze vorm van cybercrime aan het toenemen was. Werd er in heel 2014 zo’n 653.000 euro gestolen, in de eerste helft van 2015 staat de teller al op zo’n 710.000 euro. Ook in Nederland is er sprake van een stijging van de schade door fraude met internetbankieren. Ging het in de eerste helft van 2014 om 2,1 miljoen euro, in de eerste zes maanden van dit jaar werd er 3,1 miljoen euro gestolen.
Om fraude te voorkomen adviseerde Febelfin dat internetgebruikers nooit via links in e-mails hun banksite moeten bezoeken. “Surf niet naar internetbankingwebsites via een hyperlink in een e-mail”, aldus de organisatie. Veel banken blijven echter e-mails met linkjes versturen, wat consumenten kan verleiden om hier toch op te klikken.
Beperken
Aangezien een link vaak ook de eerste stap in een phishingaanval is heeft Febelfin de Belgische banken gevraagd om het gebruik van hyperlinks in e-mails zoveel als mogelijk te beperken. "De Belgische banken maken bijgevolg slechts in uiterst beperkte gevallen gebruik van deze communicatievorm, om hun klanten te bereiken. Een voorbeeld hiervan zou het invullen van een tevredenheidsenquête kunnen zijn. Dergelijke bank webpages zijn niet beveiligd met codes zodat er niet direct een risico is", zegt woordvoerster Isabelle Marchand.
Ze merkt op dat banken die er toch voor kiezen om e-mails met linkjes te versturen niet automatisch de deur naar fraude openzetten. "Als sectorfederatie, willen wij het grootste comfort bieden aan de particulieren en bedrijven om fraude met internetbankieren te vermijden, en het is in die context dat onze tip gelezen dient te worden. Wij willen daarbij in de eerste plaats wijzen op hyperlinks naar bankwebsites die internetbankieren voorzien, en waarbij dus een persoonlijke code dient ingegeven te worden."
Consequente boodschap
Volgens Berend-Jan Beugel, woordvoerder van Betaalvereniging Nederland, hebben de uniforme veiligheidsregels voor internetbankieren en campagnes van de banken de afgelopen jaren voor een daling van de fraude gezorgd. Het afraden van hyperlinks in bankmails zoals Febelfin doet staat dan ook niet op de agenda. "Het is belangrijk om een consequente en heldere boodschap over het voetlicht te brengen waarin we niet voortdurende wijzigingen in aanbrengen." Wel stelt Beugel dat de banken op een gegeven moment kunnen besluiten om het advies aan te passen, afhankelijk van ontwikkelingen die plaatsvinden.
Eventuele beveiligingsadviezen moeten wel eerst met de banken worden afgestemd, aldus de woordvoerder. "Banken gebruiken e-mail als een marketingtool en we zouden heldere afspraken met de banken moeten maken voordat we zo’n advies naar buiten kunnen brengen." Beugel merkt op dat internetgebruikers phishing vooral kunnen herkennen omdat er naar persoonlijke codes wordt gevraagd. "Daarin onderscheiden phishingmails zich toch van de bonafide mails van banken aan een rekeninghouder."
Garantie
Zelfs als er een dergelijk specifiek advies vanuit de Nederlandse banken komt om nooit op een link te klikken wil dat nog niet zeggen dat het phishingprobleem voorbij is, zo benadrukt Beugel. "We zijn ook heel duidelijk over wat je wel en niet met je pincode moet doen en toch zijn er mensen die hun pincode aan anderen verstrekken en hun pinpassen opsturen. Zo’n boodschap op zich geeft geen garantie dat mensen niet meer op linkjes in e-mails klikken."
Alleen platte tekst met een certificaat van de bank eraan zou wel zo mooi zijn.
Tja, marketing (denk management aka de lui aan de op die vooral geld tekens kennen en de rest volledig niet interessant vinden) van een bank zou dit niks vinden.
Door de klant direct op de website te verwijzen is de kans stukken kleiner op pishing etc.
Goed idee van de Belgische bank. Jammer dat Nederland qua banken schijnbaar achter blijft in logisch denken.
Aan de andere kant: we hebben wel toekomst gerichte Nederlandse banken...... (n o t).
...Beugel merkt op dat internetgebruikers phishing vooral kunnen herkennen omdat er naar persoonlijke codes wordt gevraagd. "Daarin onderscheiden phishingmails zich toch van de bonafide mails van banken aan een rekeninghouder."
Dat mag wel waar zijn maar dit kwartje valt hardnekkig niet als zo'n post via email wordt verstuurd.
Hoe komt dat toch?
Stel je het volgende voor:
Vanochtend vond ik een brief op de deurmat met de volgende mededeling:
..................................................................................................................................................................................
Geachte heer, mevrouw,
Wij hebben constateerd dat het aboneebedrag voor de rent van uw brievenbus niet is betaald. Om voor te zijn dat wij uw brievenbus komen verzegelen dient u binnen 36 uur het bedrag van 107.80 euro te voldaan.
Hoogachtende, uw PTT.
..................................................................................................................................................................................
Iedereen gooit zo'n brief bij het oud papier, al of niet uitgebarsten in schaterlachen, maar als een mededeling van gelijke strekking komt via email wordt het wèl door een behoorlijk aantal mensen serieus genomen.
Het zoeken naar een antwoord is voer voor psychologen dus op korte termijn/pragmatisch nutteloos. Feit is dat keer op keer blijkt dat het zin heeft voor geboefte dergelijke emails te versturen anders stierf deze wijze van oplichterij wel uit.
Wat dan wel te doen? Het enige wat netwerkbeheerders, politie en instellingen waar je een zakelijke relatie mee onderhoudt, kunnen blijven doen, ja moeten doen, is erop blijven hameren dat je op een - gelukkig nog - beperkt aantal zaken in email alert moet blijven:
Is de mail gepersonaliseerd? Ofwel: wordt in de aanhef je naam genoemd? Zo niet:
In de prullenmand die mail!
Wordt er gevraagd om wachtwoorden, inlognamen, toegangs/PIN-codes te bevestigen door op een link te klikken?
In de prullenmand die mail!
Staan er ernstige stijlfouten, grove werkwoordvervoegingsfouten of fout geschreven zelfstandige naamwoorden in de tekst: Zo ja:
In de prullenmand die mail!
Wijs in de mail, NIET KLIKKEN!, een link aan. Zie je dan URL's zoals: http://www.jgcvjllbla bla909.zx/?
In de prullenmand die mail!
Spijtig genoeg moeten we het nagenoeg doen met bijvoorbeeld deze raadgevingen.
Er ìs wel een uitgebreidere mogelijkheid maar ik zou ervan beschuldigd kunnen worden reclame te maken voor Google.... Enfin:
Ga voor je zakelijke accounts Gmail gebruiken. In Gmail kun je kiezen voor eenvoudige weergave. Da's een heel gezoek; zit ergens diep verborgen bij de account instellingen en ze (Google) veranderen de locatie ervan om de haverklap.
De eerste keer dat je in Gmail na instelling op eenvoudige weergave bijvoorbeeld een mail van je bank ontvangt en je weet zeker dat deze mail van hen afkomstig is, kies je eenmalig 'altijd afbeeldingen downloaden van deze afzender'. Vanaf dat moment herken je elke mail waarvan de afzender (dus niet je bank) tracht je bank na te apen. Waarom? Simpel èn doeltreffend... omdat de afbeeldingen ontbreken.
Ik pas deze mogelijkheid van Gmail al zo'n 3 jaar toe en heb daarmee, bij wijze van spreken met mijn ogen dicht, tot tweemaal toe 'ING-bank' dreigmail met zwamkoek over PIN codes bevestigen onderschept. Daarnaast meerdere 'Afrikaanse zwetsmails' zogenaamd van ICS/VISA (...'anders zal u credit blokkeerd zijn'...) en van PayPal. Al deze mails konden zonder er ook maar èèn seconde teveel aandacht aan te hoeven besteden, linea recta de vuilnisbak in.
Madame Isabelle heeft het dus duidelijk niet begrepen; 'niet beveiligd met codes' --> 'dan hoeven we ook geen https toch ?' --> eindgebruiker kwetsbaar voor MiTM. Een bank hoort ten alle tijden haar beveiliging zo sterk mogelijk te hebben, het gaat immers om de zwakste schakel in een keten (nog even los van potentiele reputatieschade) ...
Dan kan ik ook niet in de war komen, en mijn bank kan nooit claimen dat ze mij iets per mail medegedeeld hebben
wat ergens door wat voor technische oorzaak dan ook (spamfiltering, computer kapot, whatever) hier niet is aangekomen.
Als ze mij willen bereiken kunnen ze de berichten faciliteit in hun telebankieren site gebruiken, ze kunnen me een brief
sturen, of ze kunnen bellen als het heel urgent is.
Dat lijkt mij een betere oplossing dan "banken moeten geen links in mail zetten".
Lijkt me niet handig. Levert voor veruit de meeste gebruikers gewoon een vreemde tekst of attachment op wat alleen maar vragen zal oproepen.
In de prullenmand die mail!
De eerste keer dat je in Gmail na instelling op eenvoudige weergave bijvoorbeeld een mail van je bank ontvangt en je weet zeker dat deze mail van hen afkomstig is, kies je eenmalig 'altijd afbeeldingen downloaden van deze afzender'.
ALLES in een e-mail kan gespoofd worden, behalve het IP-adres van de mailserver of (zombie-) PC waar "jouw" mail server (Gmail in dit geval) de mail van ontvangt.
Digitale handtekeningen buiten beschouwing latend (wegens niet gangbaar zijn) kan Gmail hooguit via SPF, DKIM en/of DMARC proberen vast te stellen of genoemd IP-adres is geautoriseerd om namens "de afzender" e-mail te verzenden. En dat werkt natuurlijk alleen als de echte afzender dergelijke informatie (via DNS) publiceert en goed+veilig heeft geconfigureerd. In de praktijk valt dat nog tegen en kun je, zonder kennis van protocollen zoals DMARC en zonder te weten wat Gmail precies checkt, er niet van opaan dat een e-mail daadwerkelijk afkomstig is van de in het From: veld genoemde afzender.
Ik vind dit dan ook een gevaarlijk advies.
Ik ben benieuwd of er een stijgende lijn zit in papieren-post-spoofing en telefoonspoofing, aangezien -vermoedelijk- steeds meer mensen e-mails als verdacht aanmerken en ongelezen weggooien.
Nee hoor, boeren-verstand statistiek heeft het antwoord; het succespercentage is gewoon zo laag dat het niet rendabel is om per post uit te voeren, maar de exteem lage kosten van e-mail maken het wel rendabel.
Overigens, 10-15 jaat geleden werden zulke stunts nog wel uitgehaald via de post, iedereen kent nog wel die internet registratie dienst die bedrijven een paar tientjes liet betalen voor een niet-bestaande registratie. Blijkbaar is (was) het succespercentage bij bedrijven wel voldoende hoog.
Berend-Jan Beugel, woordvoerder van Betaalvereniging Nederland = een 0
Zó dom, want mensen blijven hierdoor in phising intrappen. Ze begrijpen gewoon niet hoe ze een link moeten verifiëren op legitimiteit. En ik begrijp het heel goed.
De bank moet gewoon géén mails versturen en daar keihard over adverteren op TV. "Wij sturen jou NOOIT mail. Krijg je een mail, dan is deze NIET van ons.". En als ALLE Nederlandse banken dit nou zouden doen; dan is het in één keer klaar met phising in Nederland.
Daar heb je ook alweer een keihard punt! Je moet er bijv. niet aan denken per ongeluk inb.nl te typen en dan zonder te hebben gecontroleerd te enteren. Veel jongeren - mij lukt dat niet - typen zo razendsnel dat het enteren in èèn rap tempo doorgaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
