Door, voordat je one-time-password verlopen is, je verzoek (met ander bedrag, en ander rekening nummer) door te sturen naar de echte internet banking omgeving ? Je betaalgegevens zijn waarschijnlijk maar heel kort bruikbaar voor de criminelen, door het one-time-password ?

De truuk is dat ze het voor elkaar krijgen om hun telefoon (APP) te koppelen aan jouw account.
Hoe precies dat zal varieren per bank. Als dit gelukt is kunnen ze boekingen doen zonder TAN of andere verificatie.
De app heeft zelf wel een pincode maar die weten ze natuurlijk want die hebben ze zelf ingevuld bij het koppelen.
Inloggen en wachtwoorden hoeft niet, want "de app is heel veilig!".

Als jij de boef bent, en ik jouw parkeerkaartje betaal, dan zou ik jou een tikkie moeten sturen om m'n geld terug te krijgen. Ik heb dan je telefoonnummer nodig (anders kan ik dat tikkie niet naar je sturen via bijvoorbeeld Whatsapp). Jij (als boef) krijgt dan een verzoek tot betalen - meer niet.

Als je als boef met die informatie mijn rekening leeg zou kunnen halen, dan is er iets grondig mis met het banken systeem in het algemeen en tikkie in het bijzonder. Ik vraag me dus af of we niet gewoon last hebben van zomerse stilte en daarom maar nieuws genereren...

Het wordt natuurlijk wat anders als de boef een tikkie of linkje opstuurt naar het slachtoffer. Maar dat lijkt gezien de geldstromen niet logisch...

https://www.fraudehelpdesk.nl/fraude/ik-krijg-een-betaalverzoek-voor-1-cent/

Precies dat, zegt iemand werkende bij de fraude afdeling van een bank

En de interessante vraag van de TS wordt ook daar niet beantwoord.

Er staat dat je een betaal-link krijgt die leidt naar een gespoofte bank-site .
Ok - tot zo ver duidelijk.

Je je naam+IBAN vrijgeeft in zo'n scenario is wel begrijpelijk .

Maar wat ik ook zou willen weten wat er daarna verder moet falen (qua controle, of qua gebruiker-alertheid ) om ook echt geld te verliezen.

Zoals het omschreven wordt kom je met je eigen , en normaal gesproken niet getrojanede PC/tablet naar die link.
Negeer je dan ook net-niet URLs van jouw bank , of SSL waarschuwingen ?

En daarna je bank-authenticator (sms tan, rabo runner, e.dentifier) - wat gaat daar mis ?

Nee maar hierboven wel, dus waarom dat dan weer vragen?
Ze werken met een nep TIKKIE site waar ze jou naar toe lokken en waar ze informatie verzamelen waarvan jij denkt
dat die bedoeld is om die TIKKIE te betalen maar in werkelijkheid gebruiken ze die om hun telefoon APP te koppelen aan
jouw rekening.

Hoe dat precies gaat hangt af van de procedure voor het koppelen van een APP en dat wisselt natuurlijk per bank.
Met een slimme gebruiker werkt het natuurlijk niet want die valt het op dat de terugmelding in de SMS of op de reader
niet gaat over een tikkie van 1 cent maar over het koppelen van een APP. Degenen die meteen de code overtikken
en de rest van het bericht niet lezen die gaan de mist in.
Ik begreep dat men soms ook die tikkie boeking zogenaamd mis laat gaan en dan nog extra info of acties gaat vragen
bijvoorbeeld "uw wachtwoord is verlopen u moet het nu wijzigen". Wachtwoorden met een beperkte geldigheidsduur
zijn niet veiliger maar onveiliger doordat ze dit soort attacks mogelijk maken.

Wat heeft een fake tikkie, om je gegevens te stelen, te maken met de echte tikkie ? Het nieuws klopt; wellicht dat je iets beter moet lezen omtrent de vraag waar het precies om gaat.

Niet veel meer dan dat de echte TIKKIE niet goed is opgezet (inclusief het gebruik van de TLD van Montenegro in
plaats van Nederland) waardoor het voor simpele of gehaaste gebruikers niet goed mogelijk is te zien of ze wel met
TIKKIE bezig zijn en niet met een oplichter. Dat had beter gemoeten, dat blijkt wel weer.

Daarom, cash!!!!

Jammer dat je daar anno 2017 niet meer mee kunt betalen

Zelf betalen of weer weg gaan.

Iedereen Parkmobile of een andere parkeerapp gaan gebruiken, dan staat er niemand bij die parkeerautomaat. :-)

Inderdaad. En de reden dat niet gedetailleerd wordt beschreven hoe het dan in zijn werk gaat is om geen handleiding voor andere (wanabe?) crimineeltjes te maken.


Andere medewerker fraudebestrijding bij banken.

Als iemand vraagt voor hem te betalen, dan dat gewoon doen zonder een betaling terug te willen hebben. 5 EU aan iemand geven is altijd nog voordeliger dan je bankgegevens afstaan.
Als iemand blijft aandringen, vragen om zijn persoonsgegevens zodat je bij hem langs kan om die 5 Eu op te halen. Ik ben benieuwd.

Ah, Security by Obscurity. Altijd een goed idee, zorgen dat alleen echte criminelen op de hoogte zijn en gewone burgers niet.

Need to know, and you don't need to know.

En nee, het helpt echt en absoluut niet om de MO volledig aan het publiek bekend te maken. Zolang de financiele instellingen maar kunnen herkennen wat er gebeurt is het goed genoeg.

Security through obscurity gaat over veiligheidsmaatregelen die je niet publiceert, niet over hoe een diefstal exact in zijn werk gaat. @anoniem 20 juli 15:27: je doet aan bullshit bingo.

Er is een andere variant

De oplichter kijkt live mee met wat je invoert op de nep-tikkie site en opent zelf een inlogpagina bij je bank waar hij dezelfde gegevens invoert.

Vervolgens doet hij op de tikkiesite of je een challenge-response uitvoert. Inwerkelijkheid geeft hij je de challenge respons die hij zelf krijgt bij het inloggen bij de bank

Vervolgens moet hij je laten geloven dat het de eerste paar keer niet lukt want hij heeft minimaal 2x een challenge respons code nodig.

Met de eerste set challenge-response kan de oplichte inloggen op je bankrekening en een b.v. een overboeking klaarzetten naar zichzelf of een katvanger. Daarna heeft hij nog de challenge-respons code nodig om de overboeking(en) te bevestigen.

Omdat jij denkt dat je die code invoert op de tikkie site kan je hier heel makkelijk intrappen, maar zoals gezegd moet het eerst minimaal 1 keer mislukken omdat de oplichter anders het proces niet kan doorlopen

Dat is het punt waar rode lampen moeten af gaan .... als het mislukt dus niet direct opnieuw proberen en ook opletten dat de challenge respons codes op dezelfde manier worden opgevraagd. Lees .. bij het inloggen bij je bank moet je een andere optie op je calculator kiezen dan bij het bevestigen van een betaling.

@anoniem 13:45: ja dat, maar erger nog: de oplichter doet geen betaling maar meldt een telefoon app aan op jouw
account. als dat eenmaal gelukt is kan ie heel je betaalrekening leegtrekken en ook je spaartegoed, zonder last te
hebben van limieten.

Daar geldt ook weer voor dat je moet opletten, in de SMS of calculator transactie staat wat je probeert te bevestigen,
in dit geval niet je tikkie betaling maar een poging een app te koppelen.

Maar als je dat niet goed leest en gewoon die code intoetst (wat je altijd doet), dan gaat het dus mis.

titel is misleidend

moet zijn:

met fake tikkies oplichten bij parkeerautomaat

of zoiets.

En een link naar de betreffende facebook pagina vd politie zou ook handig zijn.

Een App koppelen aan een betaalrekening zou sowieso al niet moeten kunnen. Alles steeds maar "gemakkelijker" willen maken voor de klanten introduceert eigenlijk gewoon onnodige risico's, dat zien we nu wel weer.

Thx - eindelijk een uitleg wat er misgaat .

Ik weet niet goed welke meldingen de calculators/mobiele bank-apps of SMS-tan geven, maar ik vrees dat dit behoorlijk succesvol kan zijn.

Mensen hebben weinig ervaring met het koppelen van (extra) bank-apps [dat doe je hooguit één of twee keer], en verwachten een (betaal) authorisatie te moeten geven voor die 0,01 betaling .

Dan is het best aannemelijk dat mensen de authorisatie code die ze al verwachten te krijgen gewoon intikken .

Kortom .... alle betaalverzoeken die binnen komen als een link (whatsapp, email) zou je moeten weigeren omdat je op die manier nogal makkelijk in oplichting kan trappen

Ik hoorde gisteren dat rabobank nu ook komt met betaalverzoeken via whatsapp en email, toen dacht ik al ..... moet je niet willen. Na bovenstaande te hebben gelezen weet ik het zeker

Dus al die mensen die opgelicht zijn, hebben dus 1 keer niet opgelet dat het een bevestigingsmelding was voor het installeren van de app, en daarna niet gezien dat het om een heel groot bedrag ging wat afgeschreven werd (wat ook vermeld staat in de sms) en de crimineel heeft dus gerealiseerd welke bank hij de app van moest downloaden, dat op dat moment gedownload (of van alle banken al een exemplaar klaar voor aanmelden staan), vervolgens in 2 seconden ingezien hoeveel geld er op de rekening stond (en als er van de spaarrekening overgeschreven moest worden, moest er nogmaals bevestigd worden), de overschrijving klaargezet, jou een 2de tikkie gestuurd, die jij dan dus weer bevestigd hebt. En niks hiervan leek verdacht en dit is blijkbaar zo simpel dat veel mensen dit kunnen? Ik blijf het een raar verhaal vinden dat dit op zulke grote schaal zou voorkomen dat de politie hiervoor moet waarschuwen.