Man voor 8.000 euro opgelicht via bankpas-phishing
Een 68-jarige man uit Huizen is eind vorig jaar middels bankpas-phishing voor een bedrag van 8.000 euro opgelicht, zo laat de politie weten. De man kreeg afgelopen oktober een e-mail die van zijn bank afkomstig leek. In het bericht wordt gesteld dat de bank oude bankpassen gaat vervangen.
Een link in de e-mail wijst naar een website waar de man zijn oude pincode moet invoeren en een nieuwe pincode mag opgeven. Vervolgens krijgt hij de opdracht om zijn pinpas naar een adres in Almere op te sturen, wat hij ook doet. Als de man een paar dagen later zijn administratie doet, ziet hij dat er meerdere mails van zijn bank zijn. In een mail staat dat zijn daglimiet voor geldopname is verhoogd, terwijl hij daar helemaal niet om heeft gevraagd.
Vervolgens ziet hij nóg een mail van de bank, waarin staat dat er in Almere grote bedragen van zijn rekening zijn opgenomen en de bank vraagt of dit daadwerkelijk door hem is gedaan. Dan begrijpt de man dat hij slachtoffer van oplichters is geworden. Hij neemt direct contact op met zijn bank. De laatste mails blijken inderdaad van zijn bank te zijn, maar de mail waarin zijn gegevens en pincode werd opgevraagd, was van oplichters.
Eind oktober wordt er in Almere met de opgestuurde bankpas meerdere keren geld opgenomen en is er ook met de pas betaald. Een man koopt voor ruim 1700 euro twee iPhones met de pinpas. In totaal bedraagt de schade meer dan 8.000 euro, zo meldt de politie. Gisteren maakte de Nederlandse Vereniging van Banken bekend dat de schade als gevolg van gestolen of verloren betaalpassen vorig jaar 4,7 miljoen euro bedroeg. Een stijging van 1,4 miljoen ten opzichte van 2014. De oorzaak is volgens de NVB een nieuwe fraudevariant waarbij criminelen pashouders onder valse voorwendselen zover krijgen om hun betaalpas op te sturen.
Reacties (15)
Het probleem bij de de RABO is dat als iemand je pincode en bankpasje heeft ze vrij zijn om te doen en laten
met internet bankieren dus ook je daglimiet verhogen.
Het is eenvoudig te voorkomen door een wachtwoord te vragen dit hoeft niet zo'n ingewikeld wachtwoord te zijn
maar ja het gemak dient de mens ook als je maar vier tekens extra moet invullen.
met internet bankieren dus ook je daglimiet verhogen.
Het is eenvoudig te voorkomen door een wachtwoord te vragen dit hoeft niet zo'n ingewikeld wachtwoord te zijn
maar ja het gemak dient de mens ook als je maar vier tekens extra moet invullen.
09-04-2016, 10:01 door
potshot
een debiel met veel geld..wat een goede combo toch.
Door potshot: een debiel met veel geld..wat een goede combo toch.
Schrijf nooit beledigend over iemand en haal nooit zijn intelligentie naar beneden, hoe vaak je ook zijn acties afkeurt.Schrijf met respect. Anders luisteren de mensen niet naar je.
Schuld ligt bij de bank: het is mogelijk de daglimiet van de pas te verhogen met de pas als authenticatie.
Dat deugt natuurlijk niet! Als je het gebruik van iets limiteert en je biedt een mechanisme aan om die limiet op te
heffen dan kan het natuurlijk niet zijn dat je alleen datzelfde iets gebruikt om die autorisatie te geven.
Stel je voor dat een gebruiker een diskquota op zijn account kon verhogen door alleen zijn eigen naam/wachtwoord te
geven, dat zou toch ook met hoongelach begroet worden?
Maar banken doen dat wel...
Dat deugt natuurlijk niet! Als je het gebruik van iets limiteert en je biedt een mechanisme aan om die limiet op te
heffen dan kan het natuurlijk niet zijn dat je alleen datzelfde iets gebruikt om die autorisatie te geven.
Stel je voor dat een gebruiker een diskquota op zijn account kon verhogen door alleen zijn eigen naam/wachtwoord te
geven, dat zou toch ook met hoongelach begroet worden?
Maar banken doen dat wel...
09-04-2016, 11:27 door
Briolet
In mijn optiek is dit geen oplichting, maar gewoon een schenking door deze man aan een onbekende. Straks krijgt hij ook nog een belastingaanslag over successie rechten, want dit bedrag is hoger dan je vrij mag schenken.
09-04-2016, 13:05 door
karma4
Door Anoniem: Schuld ligt bij de bank: het is mogelijk de daglimiet van de pas te verhogen met de pas als authenticatie. Dat deugt natuurlijk niet! .. ..
Ik denk dat je gelijk hebt. Een pas/pin kan je ook op andere manieren kwijt raken. Dat je zoiets meteen merkt is niet echt waarschijnlijk. Dat komt pas op het moment dat je het echt nodig hebt en dan nog.Aanloggen en het wijzigen kan met dezelfde gegevens zonder enig tijdsverloop. Dat maakt die aanval lucratief. Voor een SMS validatie (ING) wordt bij vervanging SIM en toestel het een periode stil gelegd. Helaas zonder bekendmaking vooraf.
Bij het betalen is er ook iets raars gebeurds. Flinke betalingen en de naam van de persoon en zijn identiteit kloppen niet. Je moet je kunnen legitimeren bij drank/rookwaren en voor dit soort zaken is het gewoon pinnen ... klaar.
Als betalingsgedrag is uiteindelijk wel het alarm afgegaan bij de bank. Dat instellen is een kwestie van afweging tussen foute alerts en de echte verkeerde zaken.
Door karma4: Als betalingsgedrag is uiteindelijk wel het alarm afgegaan bij de bank….
Het lijkt me meer een automatisch bericht en geen alarm. Bij mijn bank kun je ook instellen dat je voor afboekingen boven een bepaald bedrag, hiervan een mailtje krijgt. Die waarde-grens kun je zelf instellen. Het is gratis, dus is er geen reden om dat niet in te stellen.
Alleen in mijn geval lees ik dat mailtje doorgaans binnen het uur. Als je de mailbox zelden opent, heeft het instellen weinig zin.
Ik ben er wel mee eens dat het aanpassing van de opnamelimiet via de website waanzin is. Daar moet of een vertraging van een week in zitten, of het moet met een factor 2 verificatie gebeuren. Dus niet alleen een mailtje sturen dat het veranderd is, maar pas veranderen als op dat mailtje gereageerd wordt. b.v. middels code of link.
09-04-2016, 14:34 door
karma4
Door Briolet: Het lijkt me meer een automatisch bericht en geen alarm.
Dat zou jammer zijn als het een automatisch bericht is. Ik zie alleen dat de bank vraagt of het door hem gedaan is. Nu zijn er fraude-teams actief die op dat soort zaken letten. Er is een hype met big-data helaas de focus op klantprofilering om meer aan ze te verdienen. De zelfde tools en middelen kun je ook uitstekend inzetten voor dat soort werk,
Dan mag je wel een telefonisch ingrijpen verwachten niet een mailtje. Jouw scenario is het meest waarschijnlijke anders zou iemand iets herkend hebben en het als mailtje (wanneer reactie?) afgedaan hebben. Dat is niet handig.
Door karma4:…Dat zou jammer zijn als het een automatisch bericht is. Ik zie alleen dat de bank vraagt of het door hem gedaan is.…
…Dan mag je wel een telefonisch ingrijpen verwachten niet een mailtje.
…Dan mag je wel een telefonisch ingrijpen verwachten niet een mailtje.
Die automatische berichten die ik krijg zijn inderdaad meer een mededeling dat er afgeschreven is met de laatste 4 cijfers van het aan en van rekeningnummer. Maar ik ben gewend dat verslaggevers het vaak ander opschrijven dan werkelijk gebeurd is. Ik ben het in elk geval met je eens, dat als dit een handmatig mailtje was, omdat men echt onraad vermoede, men dit telefonisch had moeten afhandelen.
Ik zie nu dat in het politiebericht, waar naar gelinkt wordt, ook een video zit. Daar staat de koper van de iPhones zeer herkenbaar in beeld. (op 01:59 minuut en verder). Dan maar hopen dat deze dader snel gepakt kan worden.
In de video wordt overigens vermeld dat in de waarschuwingsmails nog stond dat er in Almere geld opgenomen was. Dat maakt inderdaad duidelijk dat het geen standaard betaal alert is. Maar die man kan nog steeds of familiebezoek geweest zijn en zijn twee kleinkinderen een iPhone cadeau gedaan hebben.
Het blijft een kwestie van, "Hoever wil je inbreken op de privacy van klanten om ze te beschermen". Zeker op dit forum zijn er veel lezers die vinden dat de bank of overheid, in het geheel niet naar dit soort privé uitgaven mag kijken.
Een 68-jarige man uit Huizen is eind vorig jaar middels bankpas-phishing
[ironie]Ja hoor, zet al onze ouderen maar gerust aan het interbankieren.Ze kunnen alle instructies heel goed uitvoeren hoor. Niks mis mee...[/ironie]
Uiteraard kan dit een jongere ook eens overkomen, maar ik ben dus benieuwd naar wat de statistieken er over zeggen
(en dan bedoel ik op x-as: de leeftijd, en op y-as: aantal incidenten op die leeftijd gedeeld door het aantal personen van die leeftijd die internetbankiert * 100%)
Door Briolet:
Ik ben er wel mee eens dat het aanpassing van de opnamelimiet via de website waanzin is. Daar moet of een vertraging van een week in zitten, of het moet met een factor 2 verificatie gebeuren. Dus niet alleen een mailtje sturen dat het veranderd is, maar pas veranderen als op dat mailtje gereageerd wordt. b.v. middels code of link.
Ik ben er wel mee eens dat het aanpassing van de opnamelimiet via de website waanzin is. Daar moet of een vertraging van een week in zitten, of het moet met een factor 2 verificatie gebeuren. Dus niet alleen een mailtje sturen dat het veranderd is, maar pas veranderen als op dat mailtje gereageerd wordt. b.v. middels code of link.
Wat er waanzin is, is dat het aanloggen op de website werkt met dezelfde pas als authenticatie als waarvan ook de
parameters worden aangepast. Deze gigantische nalatigheid zit zowel bij ABN als bij RABO op het internetbankieren.
Ik zou het slachtoffer aanraden de bank daar op aan te spreken en alle geld terug te eisen, of minstens het geld boven
de opnamelimiet zoals die was voor de gebeurtenis. Dit is gewoon wanbeheer van de bank.
Bij ING kun je ook je paslimiet instellen maar daarvoor moet je inloggen met gebruikersnaam en wachtwoord en een
TAN code ingeven die je per SMS ontvangt of op een TAN lijst hebt. Dus als iemand je pas jat en pincode afkijkt dan
kan hij NIET je paslimiet verhogen, NIET inloggen op telebankieren, NIET het geld van de spaar- naar de betaalrekening
overboeken enz enz, allemaal dingen die een ABN of RABO slachtoffer wel kunnen gebeuren.
Door Briolet:
Het blijft een kwestie van, "Hoever wil je inbreken op de privacy van klanten om ze te beschermen". Zeker op dit forum zijn er veel lezers die vinden dat de bank of overheid, in het geheel niet naar dit soort privé uitgaven mag kijken.
Klopt heb ik gezien en gemerkt. De nuancering met die privacy is helaas vaak ver te zoeken. Het blijft een kwestie van, "Hoever wil je inbreken op de privacy van klanten om ze te beschermen". Zeker op dit forum zijn er veel lezers die vinden dat de bank of overheid, in het geheel niet naar dit soort privé uitgaven mag kijken.
Je zag de video, mooi. Ik mis de reactie dat zoiets een inbreuk op de privacy is. Je zou eens een crimineel (waarschijnlijk een katvanger) te pakken krijgen. Zoiets is misdadig. Waar het de gewone man betreft maakt privacy kennelijk niets uit.
Heb je een baan/werk inkomen, dan gaat dat verplicht via een bank.Belasting wordt ingehouden en doorgegeven aan de staat. Heb je een hypotheek / lening dan wordt dat daar betaald. Die delen zijn zichtbaar voor de bank, je heb geen keus.
Wat je over hebt daarvoor kan je een spaarrekening gebruiken of het thuis ergens bewaren (kluis contant geld). Doe je het thuis dan moet je niet gek staan te kijken dat als het weg is er geen verhaal is. Bij bank betalingsverkeer hangen er namen aan en is er wel verhaal (beperkt). De geldezels, meestal jeugdigden die er in stinken, als katvangers.
Voor het grote geld had je zwitserland, bankgeheim (privacy) wordt opgeheven. Alternatieven als Panama komen onder druk. Dat laatste is voor ICT security geninterseerden best aardig. Het lijkt geheel verwaarloosd te zijn, een mooi datalek.
Ja, er wordt zeer veel privacy geschonden, daar heb ik geen moeite mee. Aegon (aandelen lease) -> Dexia -> Panama
http://fd.nl/economie-politiek/1146945/dexia-dirigeerde-klanten-massaal-richting-panama Het is een cultuur.
Schrijf nooit beledigend over iemand en haal nooit zijn intelligentie naar beneden, hoe vaak je ook zijn acties afkeurt.
Schrijf met respect. Anders luisteren de mensen niet naar je.
Bingo!
Door Anoniem: Schuld ligt bij de bank: het is mogelijk de daglimiet van de pas te verhogen met de pas als authenticatie.
Dat deugt natuurlijk niet! Als je het gebruik van iets limiteert en je biedt een mechanisme aan om die limiet op te
heffen dan kan het natuurlijk niet zijn dat je alleen datzelfde iets gebruikt om die autorisatie te geven.
Stel je voor dat een gebruiker een diskquota op zijn account kon verhogen door alleen zijn eigen naam/wachtwoord te
geven, dat zou toch ook met hoongelach begroet worden?
Maar banken doen dat wel...
Dat deugt natuurlijk niet! Als je het gebruik van iets limiteert en je biedt een mechanisme aan om die limiet op te
heffen dan kan het natuurlijk niet zijn dat je alleen datzelfde iets gebruikt om die autorisatie te geven.
Stel je voor dat een gebruiker een diskquota op zijn account kon verhogen door alleen zijn eigen naam/wachtwoord te
geven, dat zou toch ook met hoongelach begroet worden?
Maar banken doen dat wel...
Waarom weer meteen roepen dat het de schuld van de bank is? Iedereen weet dat je de pincode aan niemand moet geven, bankmedewerkers weten ook de code niet. Dus jij bent de ENIGE op de hele wereld die de pincode weet. Het is erg onvoorzichtig om deze op wat voor manier dan ook kenbaar te maken aan iemand anders. Neem een beetje eigen verantwoordelijkheid zeg.. als je dit in acht neemt, en oplet bij het intoetsen van je pincode bij een geldautomaat of betaalautomaat, heb je dit probleem niet.
Gelukkig voor deze man zijn er potjes om dit soort zaken te restitueren.
Door Anoniem:
Waarom weer meteen roepen dat het de schuld van de bank is? Iedereen weet dat je de pincode aan niemand moet geven, bankmedewerkers weten ook de code niet. Dus jij bent de ENIGE op de hele wereld die de pincode weet. Het is erg onvoorzichtig om deze op wat voor manier dan ook kenbaar te maken aan iemand anders. Neem een beetje eigen verantwoordelijkheid zeg.. als je dit in acht neemt, en oplet bij het intoetsen van je pincode bij een geldautomaat of betaalautomaat, heb je dit probleem niet.
Gelukkig voor deze man zijn er potjes om dit soort zaken te restitueren.
Door Anoniem: Schuld ligt bij de bank: het is mogelijk de daglimiet van de pas te verhogen met de pas als authenticatie.
Dat deugt natuurlijk niet! Als je het gebruik van iets limiteert en je biedt een mechanisme aan om die limiet op te
heffen dan kan het natuurlijk niet zijn dat je alleen datzelfde iets gebruikt om die autorisatie te geven.
Stel je voor dat een gebruiker een diskquota op zijn account kon verhogen door alleen zijn eigen naam/wachtwoord te
geven, dat zou toch ook met hoongelach begroet worden?
Maar banken doen dat wel...
Dat deugt natuurlijk niet! Als je het gebruik van iets limiteert en je biedt een mechanisme aan om die limiet op te
heffen dan kan het natuurlijk niet zijn dat je alleen datzelfde iets gebruikt om die autorisatie te geven.
Stel je voor dat een gebruiker een diskquota op zijn account kon verhogen door alleen zijn eigen naam/wachtwoord te
geven, dat zou toch ook met hoongelach begroet worden?
Maar banken doen dat wel...
Waarom weer meteen roepen dat het de schuld van de bank is? Iedereen weet dat je de pincode aan niemand moet geven, bankmedewerkers weten ook de code niet. Dus jij bent de ENIGE op de hele wereld die de pincode weet. Het is erg onvoorzichtig om deze op wat voor manier dan ook kenbaar te maken aan iemand anders. Neem een beetje eigen verantwoordelijkheid zeg.. als je dit in acht neemt, en oplet bij het intoetsen van je pincode bij een geldautomaat of betaalautomaat, heb je dit probleem niet.
Gelukkig voor deze man zijn er potjes om dit soort zaken te restitueren.
Je bent naief om te denken dat jij de enigste bent.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
