Een manier is de klassieke man-in-the-middle methode: Klant start een (nep)transactie op de nepsite. Nepsite maakt contact met de echte site, start daar een andere transactie, en presenteert de codevraag voor die andere transactie, maar met de details van de neptransactie, aan de klant die naar de nepsite zit te kijken. En zo verder.

Ik vermoed dat er een code wordt afgegeven voor een andere transactie dan die de gebruiker in beeld denkt te hebben.

Op die manier gaat het niet lukken met Rabo, want daar staat expliciet naam, rekeningnummer en bedrag encrypted in de code en in de scanner. Was het ING waar het mee werd voorgedaan? Die hebben die bescherming niet.

Die software van Boris is wel zeer sophisticated. Want op het moment dat je inlogt op de fake site, moet de software van Boris niet alleen jouw info afvangen en daarmee inloggen op de echte site, maar ook de informatie (rekeningen, saldo's, betalingsgeschiedenis, enz) die dan op het echte scherm verschijnt, overkopiëren - met het juiste format en juiste schermopmaak - naar de fake site. Bij sommige banken krijg je een QR-achtig ding dat je in moet scannen, ook dat wordt dus doorgestuurd naar de fake site.

Hoeveel banken herkent Boris's software en hoe weet Boris bij welke bank je zit? Als Boris mij een phishing mail stuurt die me vraagt in te loggen bij ABN AMRO, dan weet ik genoeg: ik kan niet inloggen bij de ABN (geen klant zijnde). Kortom, ik krijg toch altijd een beetje broodje-Aap-gevoel bij dit soort verhalen (tenzij de "gedupeerde" in het complot zit, natuurlijk).

Ze gaan gewoon tussen de bank en de bank klant inzitten. En alles wat de bank vraagt, vraagt de nepsite vervolgens aan de bank klant. Er daar is er vast wel een van die niet goed het rekeningnummer en het bedrag op de rabo scanner checkt. Of iemand die het hangslotje niet controleert. Of iemand die blind op links klikt in zijn e-mail.

Hiervoor is het dus niet nodig om een ongepatchte computer te hebben of deze te laten infecteren met malware.

De vraag is of de eind gebruiker dit door heeft, dat er wat anders in staat dan dat de gepresenteerd wordt..... De informatie staat er inderdaad in, maar dat moet je wel als gebruiker opvallen. En dat is voor ons een vrij simpel iets. Maar voor andere is dit best een lastige.

Gewoon veel mails rond sturen voor alle mogelijke banken. Er zijn altijd wel een paar gebruikers die er in trappen....

Op de NOS-pagina waar je zelf naar verwijst staat een advies van banken om nooit op links in e-mails te klikken. Daarmee worden mensen niet naar echtebank.nl maar naar mijnechtebank.ws of echtebank.phisingsite.com geleid.

Zo simpel kan het zijn: veel mensen kijken helemaal niet naar de URL of naar de bedrijfsnaam die bij EV-certificaten voor de URL staat, die kijken alleen naar het uiterlijk van de website, en dus trappen ze er met open ogen in.

Ter illustratie: ik heb een paar keer meegemaakt dat iemand de URL-balk van de browser nog niet zag staan als ik hem aanwees. Letterlijk met mijn wijsvinger op het scherm, bedoel ik, en met een onmiddelijk glazig wordende blik leek men dwars door de URL-balk heen te kijken. Die mensen sluiten informatie die pal voor hun snufferd staat volledig buiten, vermoedelijk omdat ze bij voorbaat al geconcludeerd hebben dat dat toch te ingewikkeld voor ze is. Mensen die zo reageren zijn makkelijke slachtoffers.

Het zou mij niets verbazen als deze mensen op een Raboscanner of vergelijkbaar apparaat ook niet kijken of de transactieinformatie die daar staat klopt met wat ze denken over te boeken. En als ze zien dat er iets niet klopt dan zal menigeen niet beseffen dat dat apparaatje het meest betrouwbaar aangeeft wat er echt gaat gebeuren en op de verwarring reageren door de computer maar blind te vertrouwen (die reactie heeft Microsoft met al die "behulpzame" popups die niemand begrijpt helaas actief gestimuleerd als je het mij vraagt). Bij banken die met minder geavanceerde challenge/response-apparaatjes of TAN-codes werken valt natuurlijk sowieso niets uit de codes op te maken en is het nog makkelijker mensen te foppen.

Er kunnen superdegelijke en supermakkelijke oplossingen worden bedacht, maar als een groep mensen niet te bewegen is om zelfs een basale controle op de juistheid van iets dat ze voor zich zien staan uit te voeren, of als ze de cognitieve vermogens niet hebben om dat te kunnen, of als ze heel makkelijk in de war te brengen zijn over wat klopt en wat niet klopt, dan blijft het aanmodderen. En die mensen zijn er.

En de overheid blijft maar roepen in hun campagne

"Let op het groene balkje en het groene slotje"

Terwijl je intussen gewoon een domeinopzet, dit pakket erachter zet. Een ssl certificaat aanvraagt voor 15,- en klaar is kees.

Voorlichting is echt belachelijk slecht, met nog erger de mensen die heilig gaan geloven dat een groen SSL certificaat niet te hacken is. (Letterlijk laatst gehoord bij de presentatie van een nieuwe website van mijn zoontje zijn school, mezelf letterlijk de bek moeten snoeren)

Helemaal eens met Samsonait,

Onveilige websites, die openstaanvoor MiM aanvallen zouden beboet moeten worden, anders gesinkholed.

Honderden beveiliging recommendaties per websites. Het is toch te gek voor woorde, mensen?
Nog verandert er niets, als "bla die bla groen slotje, HTTPS everywhere". Vooral door blijven googelen en facebooken.

Bitwiper hier heeft al duidenden keren deze SSL/DNSSEC materie behandeld, maar blijft kennelijk is ie een roepende in de woestijn, als een website beveiligingspilaarheilige, een appende Russische boompriester in the cloud, een dhcpd linux medicijnman

Men houdt u liever arm en dom, ook online.

Gelukkig antwoordt bol.com mij desgevraagd vriendelijk dat het niet mogelijk is mijn account te beveiligen met 2FA. Maar, merken ze fijntjes op, "je kunt wel 2FA gebruiken om je mailbox te beveiligen".

Ja, en bedankt. Fijn ook dat je "achteraf betalen" niet uit kan zetten voor je account.

Ik ben overigens bang dat navragen bij andere grote webshops wel hetzelfde op zal leveren.

Ik weet niet waar je dat idee vandaan hebt, maar bij ING verschijnt er weldegelijk transactie informatie in de SMS die je
ontvangt met je TAN code. Dus als je dat eerst leest voor je de code overtypt is er niks aan de hand.

TAN lijst anyone? Je krijgt van te voren de transacties die je denkt te gaan doen op papier? Geavanceerde versie van de glazen bol?

Bij Rabo mag je tegenwoordig kiezen om de scanner niet te gebruiken. Je kan je browser registreren en meer van dat fraais.

Absurd en gebruikersonvriendelijk!

Iemand die zich bewust is van privacy stelt zijn of haar browser zo in dat cookies worden gewist als je dat ding afsluit.
Geen echt probleem omdat je dan bij inloggen ergens dat handmatig opnieuw moet doen, dat is veiliger dan dat de browser dat onthoudt met cookieinformatie die weer digitaal gejat kan worden.
En nou is er een groot rabolicht op het idee gekomen dat cookies weggooien niet meer kan.
Weet je wat ik denk?

Function creep : een maatregel officieel voor het een zeggen te gebruiken maar eigenlijk een ander doel heeft !!

Als Rabbank het voor jou onmogelijk maakt om cookies weg te gooien betekent dat zeer waarschijnlijk ook dat alle cookies van de adverteerders actief opgeslagen blijven.
Iets dat adverteerders dolgraag willen.

Wat zou Rabobank vangen van de adverteerders voor het inrichten van een cookie weggooi blokkade maatregel?
Hoe dan ook is het voordelig voor Rabobank om jou te kunnen blijven tracken middels eenzelfde cookie.

De function creep is hier dus doen alsof het om een security maatregel gaat maar eigenlijk ook om een tracking maatregel!!


(O, ja, vrije racicalen zijn zeer schadelijk voor de volksgezondheid, let erop dat je voldoende antioxidanten tot je neemt, knoflook bijvoorbeeld, ademblaas die radicalen de sloot in en blijf gezond)