Ruim duizend ING-klanten slachtoffer van "Tikkietruc"
Ruim duizend klanten van ING zijn in de eerste zes maanden van dit jaar slachtoffer geworden van de "Tikkietruc", waarbij criminelen via phishing toegang tot Mijn ING wisten te krijgen. Bij de Tikkietruc worden verkopers op Marktplaats benaderd door criminelen die zich als koper voordoen.
Nadat beide partijen een prijs waren overeengekomen stuurden de criminelen een link naar de verkoper met een betaalverzoek van 0,01 euro om zogenaamd de bankgegevens te controleren. Deze link wees echter naar een phishingsite. Vervolgens probeerden slachtoffers via deze phishingsite de Tikkie-transactie uit te voeren, wat vaak meerdere keren mislukte, zo lieten de politie en Fraudehelpdesk eerder al weten. Met de codes krijgen de oplichters toegang tot de rekening van het slachtoffer.
Door preventief handelen wist ING bij een groot aantal klanten schade te voorkomen door transacties bij deze klanten te pauzeren. De bank voorkwam hiermee dat ruim 300.000 euro werd gestolen. Bij 375 klanten slaagden de illegale transacties wel en werd er voor een bedrag van 100.000 euro buitgemaakt, aldus de politie tegenover Security.nl. ING deed aangifte van de frauduleuze transacties waarna de politie een onderzoek startte.
Uit het onderzoek kwam naar voren dat de verdachten onderling met elkaar in contact stonden maar zelfstandig opereerden. Verder bleek dat er bij diverse winkels in Groningen betalingen waren gedaan. "Door de Tikkietruc konden de verdachten met hun mobiel, met de illegaal verkregen rekeningen van de slachtoffers, betalen bij deze bedrijven", aldus de politie. De camerabeelden van de winkels werden hierop gevorderd.
Op deze manier kwamen zes verdachten in beeld die voor fraude, computervredebreuk, oplichting en witwassen zijn aangehouden, zo is vandaag bekendgeworden. Het gaat om vier mannen van 18 tot 20 jaar uit Groningen, een 25-jarige man uit Diemen en een 19-jarige man zonder vaste woonplaats. "De gepleegde misdrijven hadden landelijk impact, omdat de slachtoffers over het hele land verspreid wonen", zo laat de politie verder weten. Alle verdachten zijn na verhoor in vrijheid gesteld, in afwachting van een verdere beslissing van de officier van justitie.
Update
De politie laat aan Security.NL weten dat de verdachten met de gegevens die slachtoffers invulden hun telefoon aan de rekening van het slachtoffer toevoegden, zodat ze er contactloos op kosten van het slachtoffer mee konden betalen. In eerste instantie richtten de verdachten zich alleen op Androidtoestellen, maar nadat ING besloot om Apple Pay te ondersteunen zag de politie ook een verschuiving richting iPhones.
Reacties (39)
Snap niet waarom mensen "bankgegevens willen controleren",. dom,. dan verdien je gewoon bijna bestolen te worden.
29-08-2019, 10:28 door
quikfit
Alle verdachten zijn na verhoor in vrijheid gesteld.
Typisch Nederland.
Door quikfit:
Typisch Nederland.
Even verduidelijken : het is niet de politie die iemand in vrijheid stelt, maar het is justitie die dat doet.Alle verdachten zijn na verhoor in vrijheid gesteld.
Typisch Nederland.
Ik heb daarover met agenten gesproken, en ook zij vinden het maar niks dat deze regels bestaan.
Liefst zien zij deze categorie mensen gewoon achter de tralies.
Als koper of verkoper op Marktplaats heb je tikkie nooit nodig. Mensen trappen ook overal in tegenwoordig.
Door quikfit:
Typisch Nederland.
Dat wil echt niet zeggen dat ze ervanaf zijn.Alle verdachten zijn na verhoor in vrijheid gesteld.
Typisch Nederland.
De banken weten keer op keer de politie en overheid voor het eigen karretje te spannen. De tikkietruc is vrij eenvoudig te voorkomen, zolang de banken maar veilige inlogmethoden aanbieden. Nu draait de belastingbetaler op voor het feit dat de banken hun zaakjes niet op orde hebben, die opsporingscapaciteit kan ook voor andere zaken worden ingezet. Erg teleurstellend om te zien dat dit door blijft gaan.
Ik heb nog een fiets te koop staan, kun je zo bij me aftikken.
Ge-Interesseerden?
Ge-Interesseerden?
Door Anoniem: Snap niet waarom mensen "bankgegevens willen controleren",. dom,. dan verdien je gewoon bijna bestolen te worden.
De meeste snappen helemaal niet hoe dit soort oplichting plaats vindt. Ik vind eigenlijk je opmerking erg dom.Door Anoniem: De banken weten keer op keer de politie en overheid voor het eigen karretje te spannen. De tikkietruc is vrij eenvoudig te voorkomen, zolang de banken maar veilige inlogmethoden aanbieden.
En hoe zie jij dit dan precies? Hoe zie jij de beveiliging exact? Ook even voor de "domme" gebruikers natuurlijk.Nu draait de belastingbetaler op voor het feit dat de banken hun zaakjes niet op orde hebben, die opsporingscapaciteit kan ook voor andere zaken worden ingezet. Erg teleurstellend om te zien dat dit door blijft gaan.
Ik zal het nooit snappen. Het is hetzelfde bij mijn ouders. Ik heb gewoon mijn mobiel waar ik het internet mee bezoek en mijn mail check. Ik doe mijn dingen en verder geen probleem. Als het met geld te maken heeft doe ik het op mijn PC. Vervolgens krijg ik de mobiel van mijn moeder. Adware, adware, adware en nog eens adware. Allerlei apps open en de meest rare mailtjes. Ik vraag me altijd af hoe mensen het voor elkaar krijgen om in zulke trucjes te trappen en allemaal troep op hun apparaten te krijgen. Wat bezoeken ze in hemelsnaam?
Door Anoniem: En hoe zie jij dit dan precies? Hoe zie jij de beveiliging exact? Ook even voor de "domme" gebruikers natuurlijk.
Zie https://webauthn.guide/ voor een uitleg. WebAuthn bied bescherming tegen phishing waardoor het niet meer mogelijk is om een neppe website op te zetten waar gebruikers hun gegevens achterlaten (en de criminelen deze gebruiken om op de echte site in te loggen). Tevens kon dat hiervoor ook al met client certificaten, al wel wat omslachtiger en privacy onvriendelijker. Daarom blijf ik er bij: geen bescherming bieden tegen phishing is op dit moment pure laksheid van de bankensector en de belastingbetalen moet vervolgens opdraaien voor de kosten van alle onderzoeken.
De kretologie ("Tikkietruc") wordt wat verstaanbaarder door er nog even bij te vermelden dat het hier gaat om de
ABNAMRO Tikkie-app,
waarmee je o.a. een betaallink (weblink) simpel kunt mailen naar iemand die jou een bedragje schuldig is.
De ander hoeft niet de ABNAMRO Tikkie-app te hebben, en betaalt gewoon via de eigen bank, tenzij.......
de toegestuurde link niet deugd!!!
Altijd opletten dus of je wel echt bij je eigen bank terecht komt. (Certificaatcontrole + evt. certificaat-fingerprint)
ABNAMRO Tikkie-app,
waarmee je o.a. een betaallink (weblink) simpel kunt mailen naar iemand die jou een bedragje schuldig is.
De ander hoeft niet de ABNAMRO Tikkie-app te hebben, en betaalt gewoon via de eigen bank, tenzij.......
de toegestuurde link niet deugd!!!
Altijd opletten dus of je wel echt bij je eigen bank terecht komt. (Certificaatcontrole + evt. certificaat-fingerprint)
ING moet gewoon Twee factor authenticatie (2FA) inschakelen voor hun online omgeving "Mijn ING" via een OTP/TOTP authenticatie app en het liefst ook nog ondersteuning voor beveiligingssleutels (USB-sleutels) die FIDO2-standaard en of FIDO U2F gebruiken. Dan los je al een groot probleem op bij phishing aanvallen.
Even verduidelijken : het is niet de politie die iemand in vrijheid stelt, maar het is justitie die dat doet.
Ik heb daarover met agenten gesproken, en ook zij vinden het maar niks dat deze regels bestaan.
Liefst zien zij deze categorie mensen gewoon achter de tralies.
Ik heb daarover met agenten gesproken, en ook zij vinden het maar niks dat deze regels bestaan.
Liefst zien zij deze categorie mensen gewoon achter de tralies.
Heb ik het over de politie? Justitie is niet Nederlands?
is justitie die dat doet. Ik heb daarover met agenten gesproken, en ook zij vinden het maar niks dat deze regels bestaan. Liefst zien zij deze categorie mensen gewoon achter de tralies.
Dit kan ik beamen, het probleem licht bij de wet die moet veranderen zo dat criminele achter de traliesblijven, en waar ze ook horen.Helaas te duur voor Rutten en co.
29-08-2019, 13:51 door
botbot
Door Anoniem: Snap niet waarom mensen "bankgegevens willen controleren",. dom,. dan verdien je gewoon bijna bestolen te worden.
Tuurlijk het is hun schuld. Sorry hoor, maar dat *jij* het snapt wil niet zeggen dat *iedereen* dat doet. Zo ongeveer de enige manier om tegenwoordig nog iemand, zonder verstand van beetje nieuwe techniek, uit te leggen waar ze betrouwbaar dingen kunnen kopen is zeggen: "Nouja bol.com kun je vertrouwen, maar verder dan dat nooit betalingen doen op internet".
29-08-2019, 13:54 door
botbot
Door Anoniem:
Daarom blijf ik er bij: geen bescherming bieden tegen phishing is op dit moment pure laksheid van de bankensector en de belastingbetalen moet vervolgens opdraaien voor de kosten van alle onderzoeken.
Door Anoniem: En hoe zie jij dit dan precies? Hoe zie jij de beveiliging exact? Ook even voor de "domme" gebruikers natuurlijk.
Zie https://webauthn.guide/ voor een uitleg. WebAuthn bied bescherming tegen phishing waardoor het niet meer mogelijk is om een neppe website op te zetten waar gebruikers hun gegevens achterlaten (en de criminelen deze gebruiken om op de echte site in te loggen). Tevens kon dat hiervoor ook al met client certificaten, al wel wat omslachtiger en privacy onvriendelijker. Daarom blijf ik er bij: geen bescherming bieden tegen phishing is op dit moment pure laksheid van de bankensector en de belastingbetalen moet vervolgens opdraaien voor de kosten van alle onderzoeken.
Ja precies, en leg dan maar eens uit aan iemand die er geen verstand van heeft hoe dit allemaal werkt. En dat WebAuthn veilig is maar WebAuthm weer iets is wat ze absoluut niet moeten vertrouwen. Nee de simpelste manier om het je moeder van 75 uit te leggen is te zeggen: "koop maar niets online".
Eigenlijk wel raar, er zijn hele gebieden waar ik me niet op zou begeven omdat ik vind dat ik er te weinig verstand van heb en dus snel de pineut zou worden - criminaliteit bijvoorbeeld, of tweedehands auto's verhandelen, veilingen van huizen, bitcoins, beleggingen buiten de AFM om, beleggingen in het algemeen, wedden bij de draverijen, teakplanteges in het buitenland, timesharing, enfin allemaal zaken waar ik te weinig kennis en mogelijkheden heb om te zorgen dat ik niet belazerd word.
Maar op Internet moet iedereen alles kunnen en moet alles maar veilig zijn want het zou schandalig zijn als iemand de meest simpele voorzorgsmaatregelen zou moeten nemen om niet bedrogen te worden, of gewoon ergens niet aan mee kan doen door gebrek aan kennis.
Jongens, Internet is gewoon de boze buitenwereld, en net zoals je niet een willekeurige schoorsteenveger die aanbelt, een klus moet geven zul je ook niet zomaar alles via Marktplaats etc voor zoete koek moeten slikken. Is het vervelend dat de wereld niet eerlijk is? Ja, dat is vervelend maar ik zou er toch maar aan wennen. Ondertussen mag de politie van mij iedere oplichter aan de hoogste boom hangen (desnoods in een veilig harnas en af en toe wat stukjes brood erheen gooien) maar we zullen zelf toch ook op moeten blijven letten.
Maar op Internet moet iedereen alles kunnen en moet alles maar veilig zijn want het zou schandalig zijn als iemand de meest simpele voorzorgsmaatregelen zou moeten nemen om niet bedrogen te worden, of gewoon ergens niet aan mee kan doen door gebrek aan kennis.
Jongens, Internet is gewoon de boze buitenwereld, en net zoals je niet een willekeurige schoorsteenveger die aanbelt, een klus moet geven zul je ook niet zomaar alles via Marktplaats etc voor zoete koek moeten slikken. Is het vervelend dat de wereld niet eerlijk is? Ja, dat is vervelend maar ik zou er toch maar aan wennen. Ondertussen mag de politie van mij iedere oplichter aan de hoogste boom hangen (desnoods in een veilig harnas en af en toe wat stukjes brood erheen gooien) maar we zullen zelf toch ook op moeten blijven letten.
Door Anoniem: De banken weten keer op keer de politie en overheid voor het eigen karretje te spannen. De tikkietruc is vrij eenvoudig te voorkomen, zolang de banken maar veilige inlogmethoden aanbieden. Nu draait de belastingbetaler op voor het feit dat de banken hun zaakjes niet op orde hebben, die opsporingscapaciteit kan ook voor andere zaken worden ingezet. Erg teleurstellend om te zien dat dit door blijft gaan.
Mijn dochter wilde laatst haar theorieexamen voor de brommer aanvragen. Zoek je daarop op Internet dan komt er gelijk een site naar voren die dat voor je regelt. Die site rekent jou daar goudgeld voor bovenop de prijs van het CBR, terwijl je het zelf ook gewoon bij het CBR kan regelen. Ik vind dat ook bedrog maar het mag gewoon.
Zulke sites zijn er ook voor het aanvragen van toeslagen, dan betaal jij hen om voor jou te doen wat jij gratis zelf kan doen bij Toeslagen.
Moraal: altijd uit je doppen blijven kijken. De bank kan er niks aan doen dat mensen niet opletten. wat nou als ik iemand geld betaal voor zijn spullen en hij zegt "ja ik ben vaker belazerd, ik ga even daar bij het kruidvat controleren of dit briefje van vijftig wel echt is". Dan ga ik toch ook niet vol vertrouwen staan wachten tot hij terugkomt?!
Door Anoniem: ING moet gewoon Twee factor authenticatie (2FA) inschakelen voor hun online omgeving "Mijn ING" via een OTP/TOTP authenticatie app en het liefst ook nog ondersteuning voor beveiligingssleutels (USB-sleutels) die FIDO2-standaard en of FIDO U2F gebruiken. Dan los je al een groot probleem op bij phishing aanvallen.
SMS of pushnotificatie is al een 2FA Authenticatie en al een OTP of TOTP Authenticatie. Codes zijn eenmalig en uniek en maar tijdelijk geldig. USB sleutels is leuk. Maar op een telefoon werkt dit niet echt gemakkelijk. En niet alle devices hebben een USB ondersteuning of een USB port vrij. Dus erg omslachtig, lastig en vooral gebruikers onvriendelijk.
Daarnaast FIDO2 of FIDO U2F is leuk. Maar mooie termen gooi je er in. Maar wat lost dit precies op waar waar het nu verkeerd op gaat? Het kan namelijk nog steeds onderschept worden.
Door Anoniem: ING moet gewoon Twee factor authenticatie (2FA) inschakelen voor hun online omgeving "Mijn ING" via een OTP/TOTP authenticatie app en het liefst ook nog ondersteuning voor beveiligingssleutels (USB-sleutels) die FIDO2-standaard en of FIDO U2F gebruiken. Dan los je al een groot probleem op bij phishing aanvallen.
Nee hoor, de zwakke schakel is de mens die code's enz maar doorgeeft zonder erbij na te denken.Dus dan gaat de crimineel vragen om de aanvullende code.
Door botbot: Nee de simpelste manier om het je moeder van 75 uit te leggen is te zeggen: "koop maar niets online".
Mijn moeder van 90 koopt juist bijna alles online. Ze kan zelf niet meer de stad in en dingen naar huis sjouwen.En altijd maar aan anderen vragen dat is ook niet fijn.
Door Anoniem:
Dus dan gaat de crimineel vragen om de aanvullende code.
Door Anoniem: ING moet gewoon Twee factor authenticatie (2FA) inschakelen voor hun online omgeving "Mijn ING" via een OTP/TOTP authenticatie app en het liefst ook nog ondersteuning voor beveiligingssleutels (USB-sleutels) die FIDO2-standaard en of FIDO U2F gebruiken. Dan los je al een groot probleem op bij phishing aanvallen.
Nee hoor, de zwakke schakel is de mens die code's enz maar doorgeeft zonder erbij na te denken.Dus dan gaat de crimineel vragen om de aanvullende code.
Dat soms ook, maar hier vult men ze in op een look-a-like banksite die in werkelijkheid van criminelen is.
Daar komen ze op terecht met de Tikkie-link die hen wordt toegestuurd. (heel gebruikelijk voor Tikkie)
Met deze link denken de meeste mensen op de website te zitten van de eigen bank, want dat is normaal.
Het ziet er op het oog ook hetzelfde uit.
Wie echter wat meer weten van internet en daarom de boel beter in de gaten houden, valt onmiddellijk op:
("de "TOPPIE-truc"):
- hee... vreemd IP-adres???
- hee... afwijkend certificaat en certificaat-fingerprint???!
- hee... heb ik nu net de browser zonder verder na te denken of iets in te vullen veiligheidshalve al afgesloten???!!!
Door Anoniem:
En altijd maar aan anderen vragen dat is ook niet fijn.
Door botbot: Nee de simpelste manier om het je moeder van 75 uit te leggen is te zeggen: "koop maar niets online".
Mijn moeder van 90 koopt juist bijna alles online. Ze kan zelf niet meer de stad in en dingen naar huis sjouwen.En altijd maar aan anderen vragen dat is ook niet fijn.
Met een beveiligingssleutel weet je de code niet, dit is een lange tekenreeks op de sleutel opgeslagen.
Door Anoniem:
USB sleutels is leuk. Maar op een telefoon werkt dit niet echt gemakkelijk. En niet alle devices hebben een USB ondersteuning of een USB port vrij. Dus erg omslachtig, lastig en vooral gebruikers onvriendelijk.
Daarnaast FIDO2 of FIDO U2F is leuk. Maar mooie termen gooi je er in. Maar wat lost dit precies op waar waar het nu verkeerd op gaat? Het kan namelijk nog steeds onderschept worden.
Door Anoniem: ING moet gewoon Twee factor authenticatie (2FA) inschakelen voor hun online omgeving "Mijn ING" via een OTP/TOTP authenticatie app en het liefst ook nog ondersteuning voor beveiligingssleutels (USB-sleutels) die FIDO2-standaard en of FIDO U2F gebruiken. Dan los je al een groot probleem op bij phishing aanvallen.
SMS of pushnotificatie is al een 2FA Authenticatie en al een OTP of TOTP Authenticatie. Codes zijn eenmalig en uniek en maar tijdelijk geldig. USB sleutels is leuk. Maar op een telefoon werkt dit niet echt gemakkelijk. En niet alle devices hebben een USB ondersteuning of een USB port vrij. Dus erg omslachtig, lastig en vooral gebruikers onvriendelijk.
Daarnaast FIDO2 of FIDO U2F is leuk. Maar mooie termen gooi je er in. Maar wat lost dit precies op waar waar het nu verkeerd op gaat? Het kan namelijk nog steeds onderschept worden.
Die beveiligingssleutels hebben tegenwoordig naast USB gewoon NFC en of Bluetooth ondersteuning, dus werkt prima op praktische alle apparaten. Kijk maar eens op de website van:
Yubico
Feitian
Authy
En daarbij kan de ING zelf ook via hun eigen app 2FA implementeren net zoals bijvoorbeeld Facebook en Google die bij een inlog poging een push notification stuurt voor verificatie. Dus de ING kan deze opties gewoon aanbieden in hun dashboard en dan is het aan jou welke vorm van 2FA je wilt gebruiken?
SMS (nminst aanbevolen)
Authenticatie app (veilig maar codes zijn zichtbaar)
Beveiligingssleutel
ING app push notificatie
Door Anoniem:
Klinkt leuk, maar gaat de problemen niet oplossen. Veel gebruikers drukken gewoon op JA of OK. En toestel is toevoegt. Eventueel Proxy server tussen de verbinding zetten, en de authenticatie onderscheppen.Door Anoniem: En hoe zie jij dit dan precies? Hoe zie jij de beveiliging exact? Ook even voor de "domme" gebruikers natuurlijk.
Zie https://webauthn.guide/ voor een uitleg. WebAuthn bied bescherming tegen phishing waardoor het niet meer mogelijk is om een neppe website op te zetten waar gebruikers hun gegevens achterlaten (en de criminelen deze gebruiken om op de echte site in te loggen). Nog afgezien het eigenlijk al gebruikt wordt. De Push Notificatie gebruikt al eerst een lokale authenticatie op het device. Bijvoorbeeld de vinger afdruk. Daarna kom je in de ING applicatie en daarna approve je de transactie.
Tevens kon dat hiervoor ook al met client certificaten, al wel wat omslachtiger en privacy onvriendelijker.
Je vergeet totaal gebruikers onvriendelijk.Daarom blijf ik er bij: geen bescherming bieden tegen phishing is op dit moment pure laksheid van de bankensector en de belastingbetalen moet vervolgens opdraaien voor de kosten van alle onderzoeken.
Dit zal er waarschijnlijk ook mee te maken hebben, dat het gebruikers vriendelijk moet zijn. En er is wel bescherming tegen phishing, het kan alleen beter.
29-08-2019, 17:44 door
Briolet
Door Anoniem:
Door Anoniem:
Klinkt leuk, maar gaat de problemen niet oplossen. Veel gebruikers drukken gewoon op JA of OK. En toestel is toevoegt.Door Anoniem: En hoe zie jij dit dan precies? Hoe zie jij de beveiliging exact? Ook even voor de "domme" gebruikers natuurlijk.
Zie https://webauthn.guide/ voor een uitleg. WebAuthn bied bescherming tegen …Er zijn wel betere methodes. Bij de PostNL kun je ook postzendingen aan jezelf aan hun app koppelen, maar dat loopt via een pincode die je per brief toegestuurd krijgt op dat adres.
Niet foolproof omdat ook de brief onderschept kan worden, maar dit maakt het al een heel stuk lastiger te misbruiken dan een on-line linkje.
Door Briolet:
Er zijn wel betere methodes. Bij de PostNL kun je ook postzendingen aan jezelf aan hun app koppelen, maar dat loopt via een pincode die je per brief toegestuurd krijgt op dat adres.
Oh dat is dan veranderd. Ik heb mijzelf nog gewoon aan mijn adres kunnen koppelen door een aantal maal (ik geloof 3)Er zijn wel betere methodes. Bij de PostNL kun je ook postzendingen aan jezelf aan hun app koppelen, maar dat loopt via een pincode die je per brief toegestuurd krijgt op dat adres.
een barcode op te geven van een pakket wat op die dag bezorgd was.
Mij is nog niet duidelijk hoe dit werkte. Bij ING moeten betalingen altijd bevestigd worden met de app. Dus ofwel:
- de slachtoffers hielpen de aanvallers om de telefoon van de aanvaller aan het ING account toe te voegen (wat heel wat stappen omvat, waaronder gegevens van je pas overtypen en beveiligingsvragen beantwoorden en een SMS verificatie)
- ofwel de slachtoffers moesten in hun app betalingen van grote bedragen bevestigen (mensen controleerden het bedrag niet?).
- de slachtoffers hielpen de aanvallers om de telefoon van de aanvaller aan het ING account toe te voegen (wat heel wat stappen omvat, waaronder gegevens van je pas overtypen en beveiligingsvragen beantwoorden en een SMS verificatie)
- ofwel de slachtoffers moesten in hun app betalingen van grote bedragen bevestigen (mensen controleerden het bedrag niet?).
Door Anoniem:
Daarom blijf ik er bij: geen bescherming bieden tegen phishing is op dit moment pure laksheid van de bankensector en de belastingbetalen moet vervolgens opdraaien voor de kosten van alle onderzoeken.
WebAuthn lost niet het probleem op hoe je een bestaand bankaccount kan koppelen aan je browser. Dus ik zie niet in wat WebAuthn hier zou oplossen?Door Anoniem: En hoe zie jij dit dan precies? Hoe zie jij de beveiliging exact? Ook even voor de "domme" gebruikers natuurlijk.
Zie https://webauthn.guide/ voor een uitleg. WebAuthn bied bescherming tegen phishing waardoor het niet meer mogelijk is om een neppe website op te zetten waar gebruikers hun gegevens achterlaten (en de criminelen deze gebruiken om op de echte site in te loggen). Tevens kon dat hiervoor ook al met client certificaten, al wel wat omslachtiger en privacy onvriendelijker. Daarom blijf ik er bij: geen bescherming bieden tegen phishing is op dit moment pure laksheid van de bankensector en de belastingbetalen moet vervolgens opdraaien voor de kosten van alle onderzoeken.
Door Anoniem: De banken weten keer op keer de politie en overheid voor het eigen karretje te spannen. De tikkietruc is vrij eenvoudig te voorkomen, zolang de banken maar veilige inlogmethoden aanbieden. .......
De banken bieden ook veilige inlogmethoden aan. Maar als mensen per se overal hun mobiel voor willen gebruiken (minder overzicht, foutgevoelig) en tegelijkertijd niet snappen wat ze aan het doen zijn (op een link klikken die ze van een onbekende krijgen) dan kun je niet de bank de schuld geven. Voor veilige betalingen op naam bestaat al geruime tijd de IBAN.
Door Anoniem: Mij is nog niet duidelijk hoe dit werkte. Bij ING moeten betalingen altijd bevestigd worden met de app. Dus ofwel:
- de slachtoffers hielpen de aanvallers om de telefoon van de aanvaller aan het ING account toe te voegen (wat heel wat stappen omvat, waaronder gegevens van je pas overtypen en beveiligingsvragen beantwoorden en een SMS verificatie)
- ofwel de slachtoffers moesten in hun app betalingen van grote bedragen bevestigen (mensen controleerden het bedrag niet?).
Zeker weten doe ik het ook niet, maar dat mensen grote bedragen bevestigen gebeurt helaas. Als je een apparaatje als de Raboscanner neemt, dat (net als ongetwijfeld een app) netjes bedrag en tegenrekening laat zien, dan zie je ook daar dat mensen overboekingen van grote bedragen goedkeuren onder druk van een oplichter.- de slachtoffers hielpen de aanvallers om de telefoon van de aanvaller aan het ING account toe te voegen (wat heel wat stappen omvat, waaronder gegevens van je pas overtypen en beveiligingsvragen beantwoorden en een SMS verificatie)
- ofwel de slachtoffers moesten in hun app betalingen van grote bedragen bevestigen (mensen controleerden het bedrag niet?).
Wat oplichters doen is mensen in de war brengen waardoor ze niet meer weten welke informatie ze moeten vertrouwen. In dit geval is er ogenschijnlijk een tikkie-site die maar foutmeldingen blijft geven als verwarrende factor. Hoe reageer je als je in de war bent? Heel wat mensen laten dan heel makkelijk de regie over aan iemand die overkomt alsof hij of zij weet wat er gedaan moet worden. Je bent op dat moment in gesprek met een oplichter die dat spelletje uitstekend weet te spelen. Die begon als een volkomen redelijk en betrouwbaar mens over te komen en neemt op het moment dat het slachtoffer met iets verwarrends wordt geconfronteerd de regie over, door ogenschijnlijk heel redelijk en betrouwbaar te weten wat je moet doen om verder te komen. Zo gaat dat mis.
Door Anoniem: Mij is nog niet duidelijk hoe dit werkte. Bij ING moeten betalingen altijd bevestigd worden met de app. Dus ofwel:
- de slachtoffers hielpen de aanvallers om de telefoon van de aanvaller aan het ING account toe te voegen (wat heel wat stappen omvat, waaronder gegevens van je pas overtypen en beveiligingsvragen beantwoorden en een SMS verificatie)
- ofwel de slachtoffers moesten in hun app betalingen van grote bedragen bevestigen (mensen controleerden het bedrag niet?).
Men ontvangt via Tikkie een link van de verzoeker die om geld vraagt. - de slachtoffers hielpen de aanvallers om de telefoon van de aanvaller aan het ING account toe te voegen (wat heel wat stappen omvat, waaronder gegevens van je pas overtypen en beveiligingsvragen beantwoorden en een SMS verificatie)
- ofwel de slachtoffers moesten in hun app betalingen van grote bedragen bevestigen (mensen controleerden het bedrag niet?).
Via iDEAL wordt je vervolgens geleid naar je eigen internetbankieromgeving.
Tenminste dat is de bedoeling.
Maar bij de Tikkitruc krijgen mensen een valse link toegestuurd, en daarom komen ze terecht op een namaakwebsite.
Die lijkt zo goed op de echte website dat het slachtoffer argeloos zijn inlog en authorisatiecode(s) met de opdracht invult en verzendt.
Maar in werkelijkheid gaat deze opdracht met codes niet naar zijn bank maar naar de namaakwebsite van de oplichters.
Omdat het hun website is, kunnen ze zien wat jij aan inloggegevens en authorisatiecodes hebt ingevuld.
Dus zo krijgen zij van jou je inloggegevens/authorisatiecode in handen.
Vervolgens voeren ze zelf een bedrag en ontvangend rekeningnummer in op de echte site van de bank, en geholpen door de inlog/autorisatiecodes die ze op de namaaksite van jou hadden "gephist", kunnen ze zo een willekeurig bedrag van jouw rekening stelen. Dit kan ook geautomatiseerd gaan (softwaregestuurd) vanaf die namaaksite.
Bron: https://www.consumentenbond.nl/betaalrekening/tikkie:
Er zijn gevallen bekend waarbij oplichters reageren op een advertentie op Marktplaats. Ze vragen de verkoper een cent over te maken naar hun bankrekening en versturen de verkoper dan een link, zogenaamd een betaalverzoek via Tikkie.
In werkelijkheid kom je op een nepsite terecht, waar wordt geprobeerd je gegevens te achterhalen (phishing).
In werkelijkheid kom je op een nepsite terecht, waar wordt geprobeerd je gegevens te achterhalen (phishing).
Hier is overigens niets nieuws aan: dezelfde truuk werd in sept. 2017 én jan. 2018 ook al eens toegepast!
't Wordt tijd dat mensen wakker worden, en zich gaan inspannen door te leren hoe ze de echte banksite van een namaakbanksite kunnen onderscheiden, en dit ook altijd controleren.
Anders blijft het dweilen met de kraan open.
Door Anoniem:
[..]
Vervolgens voeren ze zelf een bedrag en ontvangend rekeningnummer in op de echte site van de bank, en geholpen door de inlog/autorisatiecodes die ze op de namaaksite van jou hadden "gephist", kunnen ze zo een willekeurig bedrag van jouw rekening stelen. Dit kan ook geautomatiseerd gaan (softwaregestuurd) vanaf die namaaksite.
[..]
Vervolgens voeren ze zelf een bedrag en ontvangend rekeningnummer in op de echte site van de bank, en geholpen door de inlog/autorisatiecodes die ze op de namaaksite van jou hadden "gephist", kunnen ze zo een willekeurig bedrag van jouw rekening stelen. Dit kan ook geautomatiseerd gaan (softwaregestuurd) vanaf die namaaksite.
Tegenwoordig is het probleem vooral dat via de phishing site + authorisatie code geen eenmalig bedrag wordt overgemaakt, maar een bankier-app op de telefoon van de phisher gekoppeld wordt aan de bankrekening.
Daarna kan de phisher , met z'n "eigen" app de rekening controleren.
't Wordt tijd dat mensen wakker worden, en zich gaan inspannen door te leren hoe ze de echte banksite van een namaakbanksite kunnen onderscheiden, en dit ook altijd controleren.
Op mijn desktop kan ik dit controleren, maar hoe doe je dat op een smartphone.Ik gebruik geen bank app, vindt het scherm te klein, sertificaat, ik weet niet hoe ik die te zien krijg,kleine
letters gemakkelijk te manipuleren.
Door Anoniem: 't Wordt tijd dat mensen wakker worden, en zich gaan inspannen door te leren hoe ze de echte banksite van een namaakbanksite kunnen onderscheiden, en dit ook altijd controleren.
Anders blijft het dweilen met de kraan open.
Ik zou willen dat dat zou gebeuren en zal ook iedereen aanbevelen op te letten. De realiteit is dat dat bij lang niet iedereen gaat lukken en dat het probleem blijft bestaan.Anders blijft het dweilen met de kraan open.
• Ik heb mensen die dit soort dingen ooit prima konden bejaard zien worden en het vermogen ertoe langzaam maar zeker zien verliezen. Wat doe je daaraan?
• Ik heb mensen (inclusief mezelf) door een burnout tijdelijk het vermogen zien verliezen om situaties goed te beoordelen. Wat doe je daaraan?
• De helft van de bevolking heeft een IQ beneden de 100 (dat is namelijk de gemiddelde intelligentie en bij de veronderstelde normale verdeling ook de mediaan). Er lopen heel wat mensen rond met een IQ dat ruim onder de 100 ligt. Die kunnen het vereiste beoordelingsvermogen niet ontwikkelen als ze hun stinkende best ervoor doen, ze ontberen namelijk op een fundamenteel niveau het vermogen om te doorzien hoe het in elkaar zit. Wat doe je daaraan?
• We leven in een maatschappij waarin om commerciële redenen van alle kanten op ons wordt ingebeukt met pogingen onze aandacht te trekken, veelal doorspekt met de boodschap dat iets pas goed is als het moeiteloos en gedachtenloos kan. Dat leidt tot versnippering van die aandacht en maakt het moeilijk om zorgvuldig te zijn in dingen die die zorgvuldigheid vereisen. Het is tenenkrommend dat mensen daar zo door gevormd worden in hun gedrag en opvattingen, maar het is inherent aan het feit dat de mens een soort is die culturen vormt dat mensen zich aanpassen aan de signalen uit hun leefomgeving, en dus zijn ze beïnvloedbaar. Wat doe je daaraan?
Ik denk niet dat dit volledig oplosbaar is, het probleem zal nooit helemaal verdwijnen. Ik vind wel dat het hameren op eigen verantwoordelijkheid zonder inzicht in de beperkingen die daarin bestaan niet bijdraagt aan het verminderen van het probleem. Je mist zonder dat inzicht namelijk een essentiële component ervan.
Door Anoniem:
Tegenwoordig is het probleem vooral dat via de phishing site + authorisatie code geen eenmalig bedrag wordt overgemaakt, maar een bankier-app op de telefoon van de phisher gekoppeld wordt aan de bankrekening.
Daarna kan de phisher , met z'n "eigen" app de rekening controleren.
Daar gaat het artikel NIET over!Tegenwoordig is het probleem vooral dat via de phishing site + authorisatie code geen eenmalig bedrag wordt overgemaakt, maar een bankier-app op de telefoon van de phisher gekoppeld wordt aan de bankrekening.
Daarna kan de phisher , met z'n "eigen" app de rekening controleren.
Door Anoniem:
Door Anoniem:
Tegenwoordig is het probleem vooral dat via de phishing site + authorisatie code geen eenmalig bedrag wordt overgemaakt, maar een bankier-app op de telefoon van de phisher gekoppeld wordt aan de bankrekening.
Daarna kan de phisher , met z'n "eigen" app de rekening controleren.
Daar gaat het artikel NIET over!Tegenwoordig is het probleem vooral dat via de phishing site + authorisatie code geen eenmalig bedrag wordt overgemaakt, maar een bankier-app op de telefoon van de phisher gekoppeld wordt aan de bankrekening.
Daarna kan de phisher , met z'n "eigen" app de rekening controleren.
Als je de tig artikelen over 1ct fraude/ tikkie fraude een beetje gevolgd had, zou je weten dat wat ik schreef - telefoon van de fraudeur toevoegen aan de rekening - wel is wat er tegenwoordig gebeurd, meer dan de eenmalige valse overboeking die 30-8 10:27 beschreef.
Inmiddels is dit ook in de update van het artikel verwerkt zie ik :
Quote
"De politie laat aan Security.NL weten dat de verdachten met de gegevens die slachtoffers invulden hun telefoon aan de rekening van het slachtoffer toevoegden, zodat ze er contactloos op kosten van het slachtoffer mee konden betalen. "
Dus de bank weet niet eens of het om de telefoon van de rekeninghouder gaat, of om de telefoon van iemand anders, en laat het toch gewoon gebeuren? Oh boy. Een regelrechte blunder als je het mij vraagt. Waarom is het überhaupt mogelijk om telefoons te koppelen aan betaalrekeningen?? Veiligheid is veel belangrijker dan gemak! Niemand zou ooit toegang tot je rekening mogen krijgen zonder fysiek bezit van bankpas en zonder de bijbehorende pin-code te weten.
Door Anoniem: Dus de bank weet niet eens of het om de telefoon van de rekeninghouder gaat, of om de telefoon van iemand anders, en laat het toch gewoon gebeuren? Oh boy. Een regelrechte blunder als je het mij vraagt. Waarom is het überhaupt mogelijk om telefoons te koppelen aan betaalrekeningen?? Veiligheid is veel belangrijker dan gemak! Niemand zou ooit toegang tot je rekening mogen krijgen zonder fysiek bezit van bankpas en zonder de bijbehorende pin-code te weten.
De mensen zetten het ZELF aan, het is vrije keus!Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
