Poll
Reacties (26)
Als je zo stom bent om erin te trappen... Dat kun je de bank toch niet verwijten?
Je geeft je portemonee ook niet af als iemand er om vraagt en gaat dan bij de bank piepen dat diegene het geld eruit haalt.
Ofwel: mensen snappen 'digitaal' niet. Maar gebruiken het wel. Ofwel: terug naar cash. Klaar.
Je geeft je portemonee ook niet af als iemand er om vraagt en gaat dan bij de bank piepen dat diegene het geld eruit haalt.
Ofwel: mensen snappen 'digitaal' niet. Maar gebruiken het wel. Ofwel: terug naar cash. Klaar.
Tja, compenseren? Eerder gewoon de vermeende betaling terugdraaien (mits deze natuurlijk bewezen fraudant is).
Phishing nee. Webinject, ander verhaal.
Beide zijn fouten van gebruikers, alleen bij phishing zie je dat het fout zit (kijk naar de URL + de bank zal je nooit SMSen of mailen met verander uw wachtwoord of pin !). Bij webinjects zie je niets en lijkt alles goed, alleen als jij gegevens post gaan ze naar de aanvaller toe.. Maar, ga maar eens even controleren bij iedereen en dan krijg je ook weer discussies van ja maar mijn buurman kreeg wel zijn geld terug en ik niet!!
Dus helaas pindakaas, de wetten zijn veranderd. Ben je in een phishing website getrapt of beet genomen door webinject dan is het jammer. Goede som leergeld zullen we maar zeggen.
Heel rot is dit voor de ouderen generatie en zwakbegaafde. Misschien moeten we kijken voor een systeem dat familie zeg maar als beheerder of moderator mee kan laten kijken bij een account van een ouder persoon (met toestemming natuurlijk). Dan verklein je de kans dat deze persoon een fout maakt of in een phishing trapt, aangezien de aangegeven tussenpersoon (familie) dan de transactie nog moet goedkeuren en die ziet dan zeer zeker als er heel veel geld naar een vreemde rekening toe gaat en kan dan zeggen decline payment..
Beide zijn fouten van gebruikers, alleen bij phishing zie je dat het fout zit (kijk naar de URL + de bank zal je nooit SMSen of mailen met verander uw wachtwoord of pin !). Bij webinjects zie je niets en lijkt alles goed, alleen als jij gegevens post gaan ze naar de aanvaller toe.. Maar, ga maar eens even controleren bij iedereen en dan krijg je ook weer discussies van ja maar mijn buurman kreeg wel zijn geld terug en ik niet!!
Dus helaas pindakaas, de wetten zijn veranderd. Ben je in een phishing website getrapt of beet genomen door webinject dan is het jammer. Goede som leergeld zullen we maar zeggen.
Heel rot is dit voor de ouderen generatie en zwakbegaafde. Misschien moeten we kijken voor een systeem dat familie zeg maar als beheerder of moderator mee kan laten kijken bij een account van een ouder persoon (met toestemming natuurlijk). Dan verklein je de kans dat deze persoon een fout maakt of in een phishing trapt, aangezien de aangegeven tussenpersoon (familie) dan de transactie nog moet goedkeuren en die ziet dan zeer zeker als er heel veel geld naar een vreemde rekening toe gaat en kan dan zeggen decline payment..
Ligt aan de soort phishing IMHO:
* Als een banksite wordt nagemaakt: Ja, eigen risico hanteren in geval de url niet ook maar een beetje leek op de bank
* Als het CJIB je een link naar de echte bank stuurt en zij gewoon tonen naar wie je het overmaakt: nee (tenzij bank het zelf heeft kunnen stoppen). Zelf opletten, als je geld op straat geeft aan iemand ben je het ook kwijt.
Uiteindelijk betaal je natuurlijk zelf mee aan schades die worden uitbetaald In geval 1 is dat anders dan in geval 2.
Een verzekeraar zou in geval 2 ook gewoon 'dom van je' zeggen. Immers: geld naar CJIB betaal je alleen aan iemand die CJIB heet en alleen via hun eigen site, niet via een mailtje (roepen ze heeeeel vaak: ze mailen nooit).
* Als een banksite wordt nagemaakt: Ja, eigen risico hanteren in geval de url niet ook maar een beetje leek op de bank
* Als het CJIB je een link naar de echte bank stuurt en zij gewoon tonen naar wie je het overmaakt: nee (tenzij bank het zelf heeft kunnen stoppen). Zelf opletten, als je geld op straat geeft aan iemand ben je het ook kwijt.
Uiteindelijk betaal je natuurlijk zelf mee aan schades die worden uitbetaald In geval 1 is dat anders dan in geval 2.
Een verzekeraar zou in geval 2 ook gewoon 'dom van je' zeggen. Immers: geld naar CJIB betaal je alleen aan iemand die CJIB heet en alleen via hun eigen site, niet via een mailtje (roepen ze heeeeel vaak: ze mailen nooit).
09-12-2019, 14:11 door
soeperees
Banken zijn commerciële instellingen die gigantische winsten maken. Ondertussen dwingen ze burgers steeds meer digitaal te doen omdat dit voor de bank goedkoper is. Voor met name ouderen en lager opgeleiden kan dit leiden tot fishingslachtoffers. Banken moeten daarom gewoon hun verantwoordelijkheid nemen en de schade compenseren. Het gaat om relatief lage bedragen.
09-12-2019, 14:17 door
Briolet
Door Anoniem: Tja, compenseren? Eerder gewoon de vermeende betaling terugdraaien (mits deze natuurlijk bewezen fraudant is).
Dat terugdraaien doen banken ook regelmatig. Maar vaker is er niets terug te draaien omdat de rekening waar het op gestort is, al weer leeg gehaald is.
En je zegt terecht dat het bewezen frauduleus moet zijn. In de meeste gevallen kost dat enige tijd totdat er meerdere aangiftes lopen, wat de ontvanger nog meer tijd geeft om de rekening leeg te halen.
Verder werkt onze wetgeving ook niet mee om het geld bij de domme criminelen (katvangers) terug te halen. Dit soort tuig heeft nog steeds recht op een flink deel van hun bijstandsuitkering waar schuldeisers niet aan mogen komen.
09-12-2019, 14:45 door
Tubamaniak
Waarom hebben de banken nog niet een systeem bedacht waarin ALTIJD veilig kan worden gebankierd ? Dat lijkt me niet al te moeilijk. Maar het zal wel te veel kosten en daarom niet worden gedaan. Zolang bankieren moet vanaf een klant pc of "smart"phone doe ik er niet aan mee. Ik bankier dus nog steeds op papier. Wat niet wil zeggen dat dat fraude ongevoelig is. Maar de rechtszekerheid is een stuk beter geregeld. Er is nl. altijd een grafoloog in te schakelen wanneer er vermoedens bestaan van gemanipuleerde overschrijfbewijzen. Bovendien hoef je er niet een moderne pc, met een up to date besturingssysteem en tot de rand gevuld met antivirus programma's, op na te houden. Een goed werkende pen en kunnen schrijven is voldoende........
09-12-2019, 15:22 door
MathFox
Zolang de banken systemen hebben waarbij het voor de gebruiker niet goed te controleren is wat de opdracht is (QR-codes) of waarbij MITM trucs mogelijk zijn (Ideal), hebben zij een morele plicht om klanten die slachtoffer worden van de gaten in hun systemen te compenseren.
Door Anoniem: Als je zo stom bent om erin te trappen... Dat kun je de bank toch niet verwijten?
Je geeft je portemonee ook niet af als iemand er om vraagt en gaat dan bij de bank piepen dat diegene het geld eruit haalt.
Ofwel: mensen snappen 'digitaal' niet. Maar gebruiken het wel. Ofwel: terug naar cash. Klaar.
Hoewel ik zelf zeer goed getraind ben in het herkennen van phishing, zijn er toch gevallen bekend dat ik erin trapte. Je geeft je portemonee ook niet af als iemand er om vraagt en gaat dan bij de bank piepen dat diegene het geld eruit haalt.
Ofwel: mensen snappen 'digitaal' niet. Maar gebruiken het wel. Ofwel: terug naar cash. Klaar.
Dus met "stom" heeft het niet veel te maken. Wel met uiterst geraffineerde leugenmails waar de meeste specialisten in zullen trappen en ook waar bovengenoemde schrijver (Anoniem 12:19) makkelijk in zal trappen.
Onlangs een poging gedaan om een soort van phishing bij een Nederlandse bank te melden. Ging om een 'factuur' met een betaalverzoek met een echte link naar de bank zelf. Om schade verder te voorkomen, voor zowel mensen die er intrappen als de katvanger, dacht laat ik het netjes melden. Online geen mogelijkheid dat het direct uit de lucht gehaald wordt en telefonisch konden ze niets voor je doen. De mogelijkheid was niet aanwezig om dit te melden zodat linea recta actie ondernomen zou worden. Oftewel banken werken vrijwillig mee aan fraude.
Waarom niet een simpel contactformulier op de site die 24x7 uitgelezen wordt? Bekijk maar eens zo'n url van een betaalverzoek, dat is telefonisch sowieso vrijwel niet door te geven.
Overigens heb ik bovenstaande methode drie keer voorbij zien komen, met alle drie verschillende rekeningnummers.
Waarom niet een simpel contactformulier op de site die 24x7 uitgelezen wordt? Bekijk maar eens zo'n url van een betaalverzoek, dat is telefonisch sowieso vrijwel niet door te geven.
Overigens heb ik bovenstaande methode drie keer voorbij zien komen, met alle drie verschillende rekeningnummers.
Door soeperees: Banken zijn commerciële instellingen die gigantische winsten maken. Ondertussen dwingen ze burgers steeds meer digitaal te doen omdat dit voor de bank goedkoper is. Voor met name ouderen en lager opgeleiden kan dit leiden tot fishingslachtoffers. Banken moeten daarom gewoon hun verantwoordelijkheid nemen en de schade compenseren. Het gaat om relatief lage bedragen.
Lage bedragen? https://www.nvb.nl/nieuws/3-81-miljoen-euro-schade-door-phishing-bij-internetbankieren-in-2018-minder-fraude-met-betaalpassen-en-automatische-incasso-s/
Als ik "In 2018 is 96 procent van de fraude met internetbankieren vergoed aan de slachtoffers." lees, denk ik: volgens mij doen ze dat dus al.
Door Tubamaniak: Waarom hebben de banken nog niet een systeem bedacht waarin ALTIJD veilig kan worden gebankierd ? Dat lijkt me niet al te moeilijk. Maar het zal wel te veel kosten en daarom niet worden gedaan. .
Doe eens een voorstel :).
Zelfs pen en papier zijn nooit veilig te krijgen: als je geld geeft aan iemand die gewoon iets niet levert ben je toch echt gewoon opgelicht.
Door Anoniem: Onlangs een poging gedaan om een soort van phishing bij een Nederlandse bank te melden. Ging om een 'factuur' met een betaalverzoek met een echte link naar de bank zelf. Om schade verder te voorkomen, voor zowel mensen die er intrappen als de katvanger, dacht laat ik het netjes melden. Online geen mogelijkheid dat het direct uit de lucht gehaald wordt en telefonisch konden ze niets voor je doen. De mogelijkheid was niet aanwezig om dit te melden zodat linea recta actie ondernomen zou worden. (...)
Laat even uitzoeken wie je aan de lijn hebt gehad, want mag terug de training in. Melden moet 24x7 kunnen via de nummers op https://www.veiligbankieren.nl/meldnummers/.
Door Anoniem:
Als ik "In 2018 is 96 procent van de fraude met internetbankieren vergoed aan de slachtoffers." lees, denk ik: volgens mij doen ze dat dus al.
Klopt! Maar reken je het om in euri's, dan wordt 4% (de 96% kleine slachtoffertjes) vergoed en 96% (de 4% serieuze bedragen) niet.Als ik "In 2018 is 96 procent van de fraude met internetbankieren vergoed aan de slachtoffers." lees, denk ik: volgens mij doen ze dat dus al.
Geen recht toe recht aan stelling. Moeilijk hoor.
Ik ben geneigd om neen te zeggen als het fishing is die direct gerelateerd is aan bijvoorbeeld 'een email van de bank' waarin wordt gevraagd om wachtwoord verificatie omdat een vermoeden bestaat van misbruik omdat de bank - het is nog steeds een kletspraatje - verdachte transacties heeft geblokkeerd.
99,9 % van alle gebruikers van digitaal bankieren weet nu toch inmiddels wel dat een bank nooit om die gegevens vraagt.
Maar:
Als het een redirect is van een online shop naar de bankinstelling voor bv. een iDEAL transactie en een 'mannetje in het midden' vangt de boel af terwijl de klant tegoedentrouw denkt te handelen vind ik dat er wél consideratie mag zijn.
De motivatie die je nogal eens hoort dat een bank altijd moet compenseren omdat deze ons heeft gedwongen om digitaal te bankieren wijs ik resoluut af, omdat het onzin is. Iedereen die per Internet zijn financiën beheert heeft in het verleden zelf daartoe besloten zonder dictatoriale druk van de bank waar hij/zij zijn/haar (spaar)centjes in beheer heeft.
De ouderen onder ons zijn wél ooit verplicht gesteld om een bankrekening te nemen omdat de werkgever stopte met contante salarisbetaling (loonzakje)
Bij mij was dat in 1971.
Ik ben geneigd om neen te zeggen als het fishing is die direct gerelateerd is aan bijvoorbeeld 'een email van de bank' waarin wordt gevraagd om wachtwoord verificatie omdat een vermoeden bestaat van misbruik omdat de bank - het is nog steeds een kletspraatje - verdachte transacties heeft geblokkeerd.
99,9 % van alle gebruikers van digitaal bankieren weet nu toch inmiddels wel dat een bank nooit om die gegevens vraagt.
Maar:
Als het een redirect is van een online shop naar de bankinstelling voor bv. een iDEAL transactie en een 'mannetje in het midden' vangt de boel af terwijl de klant tegoedentrouw denkt te handelen vind ik dat er wél consideratie mag zijn.
De motivatie die je nogal eens hoort dat een bank altijd moet compenseren omdat deze ons heeft gedwongen om digitaal te bankieren wijs ik resoluut af, omdat het onzin is. Iedereen die per Internet zijn financiën beheert heeft in het verleden zelf daartoe besloten zonder dictatoriale druk van de bank waar hij/zij zijn/haar (spaar)centjes in beheer heeft.
De ouderen onder ons zijn wél ooit verplicht gesteld om een bankrekening te nemen omdat de werkgever stopte met contante salarisbetaling (loonzakje)
Bij mij was dat in 1971.
Altijd compenseren, banken bieden geen 'phishing-vrij' alternatief aan waar klanten gebruik van kunnen maken. Daar moeten wij als klanten, die niet zonder bankrekening kunnen, niet het slachtoffer van worden.
Door Anoniem:
Dus met "stom" heeft het niet veel te maken. Wel met uiterst geraffineerde leugenmails waar de meeste specialisten in zullen trappen en ook waar bovengenoemde schrijver (Anoniem 12:19) makkelijk in zal trappen.
Door Anoniem: Als je zo stom bent om erin te trappen... Dat kun je de bank toch niet verwijten?
Je geeft je portemonnee ook niet af als iemand er om vraagt en gaat dan bij de bank piepen dat diegene het geld eruit haalt.
Ofwel: mensen snappen 'digitaal' niet. Maar gebruiken het wel. Ofwel: terug naar cash. Klaar.
Hoewel ik zelf zeer goed getraind ben in het herkennen van phishing, zijn er toch gevallen bekend dat ik erin trapte. Je geeft je portemonnee ook niet af als iemand er om vraagt en gaat dan bij de bank piepen dat diegene het geld eruit haalt.
Ofwel: mensen snappen 'digitaal' niet. Maar gebruiken het wel. Ofwel: terug naar cash. Klaar.
Dus met "stom" heeft het niet veel te maken. Wel met uiterst geraffineerde leugenmails waar de meeste specialisten in zullen trappen en ook waar bovengenoemde schrijver (Anoniem 12:19) makkelijk in zal trappen.
Het blijft heel lastig. Alleen of een website nep of echt is valt sowieso wel goed te onderscheiden, gewoon goed naar de url kijken en logisch verstand gebruiken.
Waar ik zelf wel heel erg van sta te kijken is dat de banken niet op de login pagina op andere pagina's een soort van "hot linking" (http_referer) achtige controlen hebben (niet blokkeren want dan lok je de phishers de verkeerde val in, dan gaan ze het zelf hosten dus. Dan is het nog lastiger om te traceren) dat als een van de resources (afbeeldingen, style files, javascript file, whatever) op een ander domein gebruikt of geladen wordt dus geladen vanaf pagina op phishing domain dat ze dan dit domein en ip in een aparte log gooien voor eens goed te controleren. Stel het is dan een phisher dan heb je het dns record en dus ook het ip en de hoster (tenzij de viool zich achter Cloudflare verstopt). Heb al zeker 20 of 30 phishers gerapporteerd en ze hadden dit allemaal, het laden van resources vanaf de echte bank website ! De bank kan dit makkelijk monitoren, automatiseren en dus ook oplossen. Oplossen is een groot woord, maar ze kunnen er wel veel sneller werk van maken.... Cron hourly, read hotlink_log, queue door mens laten controleren of door AI en mailen (Abusix's API, of andere database) en actie ondernemen, mail redirect naar desbetreffende ITsec afdeling. Snap echt niet waarom dit er nog niet is?? Zover ik mij herinner hadden die geen nofollow attribute. Stel ze hebben dat wel, dan kan er vast iets met de javascript gedaan kunnen worden, want die zijn sowieso obfuscated, daar gaan ze dus niets meer aan doen. if current.hostname != "bank.nl" Ajax/XHR postje terug met domein waar hij uitgevoerd vanaf is, en die achteraf eens laten controleren. De gevallen die hier mee in aanraaking komen zijn sowieso aparte gevallen die iets doen wat bij "normaal" gebruik niet voorkomt, dus die aparte lijst zal minimaal klein zijn, of nu net heel groot (phishers) wie weet.
Zelfs al hebben ze nofollow attribute. Reproduceer eens een phisher pagina. Met al de resources die wel geladen kunnen worden, nu heb je een heel gek request patroon. In principe laad je een "halve" pagina. Naar mijn mening zou je hier dan ook een aparte log voor moeten maken, vooral als het om de login pagina gaat, hint phisher pagina..
Wel met uiterst geraffineerde leugenmails waar de meeste specialisten in zullen trappen en ook waar bovengenoemde schrijver (Anoniem 12:19) makkelijk in zal trappen.
Leugenmails? Je bepaalt toch zelf aan wie je je mail address geeft en of je ingaat op een 'leugenmail' van iemand die geld van je wil hebben?
10-12-2019, 13:31 door
Erik van Straten
Door Anoniem: Leugenmails? Je bepaalt toch zelf aan wie je je mail address geeft en of je ingaat op een 'leugenmail' van iemand die geld van je wil hebben?
Fijn voor jou dat jouw e-mail adres nog nooit gelekt is (bijv. via een gehackte website of via een collega/kennis/vriend/familielid wiens e-mail account gehackt is door een hergebruikt flutwachtwoord "want ze hadden toch niks te verbergen", via malware op PC of smartphone, of omdat ze jou zonodig meenden te moeten "inviten" op eeuwig lekkende sites zoals Linked-In).Mijn mening over dit topic: tenzij kan worden aangetoond dat de klant fraudeert moet een bank altijd de schade vergoeden. Hooguit zou bij zeer doorzichtige aanvallen, uitgezonderd bij hoge leeftijd en/of geestelijke beperkingen (vaak prima vast te stellen aan eerder betaalgedrag en daarbij genomen risico's), een eigen risico kunnen gelden.
Banken besparen gigantisch veel geld door eerst wijkkantoren en nu ook pinautomaten te sluiten en "papierbankieren" grondig te ontmoedigen tot onmogelijk te maken. Veel mensen willen niet eens internetbankieren; naar verluidt (https://www.nu.nl/geldzaken/6016731/een-op-de-tien-computerende-ouderen-wil-niet-internetbankieren.html) houdt 10% voet bij stuk. Dat artikel vertelt echter niet hoeveel mensen zijn gezwicht onder de druk terwijl dat feitelijk onverantwoord is.
Banken kunnen dit risico prima incalculeren en dragen (net als elke winkelier die weet dat een deel van zijn waar gestolen zal worden, ook door het eigen personeel). Op de winst die op alle klanten "verdiend" wordt, is dit verlies een lachertje.
Aan alle -ongetwijfeld briljante- onbenullen die denken dat ze zelf nooit in een scam zullen trappen: geniet nog maar even van dat idee. Of bereid je vast voor op de grote teleurstelling in jezelf zodra deze "zelfkennis" ook voor jou een illusie blijkt te zijn. Wie weet denk je dan ook nog eens terug aan degenen die het voor jouw type (bijna iedereen) opnamen en ertoe bijdroegen dat je niet meteen met lege handen kwam te zitten.
Ik neig er naar om te zeggen dat niet in alle gevallen phishing slachtoffers moeten worden gecompenseerd. Ik zie te veel variabelen om op een altijd uit te komen. Tegelijk moet het niet zo zijn dat de bank zelf kan bepalen wanneer wel en wanneer niet, want het is voorspelbaar wat dan de uitkomst zal zijn...
Door Anoniem: Als je zo stom bent om erin te trappen... Dat kun je de bank toch niet verwijten?
Je geeft je portemonee ook niet af als iemand er om vraagt en gaat dan bij de bank piepen dat diegene het geld eruit haalt.
Ofwel: mensen snappen 'digitaal' niet. Maar gebruiken het wel. Ofwel: terug naar cash. Klaar.
Vind ik zelf wel beetje kort door de bocht. Vaak zijn ouderen het slachtoffer van dit soort mails. Phishing e-mails zien er tegenwoordig behoorlijk echt uit. Om dan meteen te gaan schreeuwen dat mensen stom zijn, vind ik persoonlijk nogal een dom statement.Je geeft je portemonee ook niet af als iemand er om vraagt en gaat dan bij de bank piepen dat diegene het geld eruit haalt.
Ofwel: mensen snappen 'digitaal' niet. Maar gebruiken het wel. Ofwel: terug naar cash. Klaar.
Door Erik van Straten:
Mijn mening over dit topic: tenzij kan worden aangetoond dat de klant fraudeert moet een bank altijd de schade vergoeden. Hooguit zou bij zeer doorzichtige aanvallen, uitgezonderd bij hoge leeftijd en/of geestelijke beperkingen (vaak prima vast te stellen aan eerder betaalgedrag en daarbij genomen risico's), een eigen risico kunnen gelden.
Zo werkt dat al. De bank vergoedt tenzij de schuld nadrukkelijk verwijtbaar is.…..
Fijn voor jou dat jouw e-mail adres nog nooit gelekt is (bijv. via een gehackte website of via een collega/kennis/vriend/familielid wiens e-mail account gehackt is door een hergebruikt flutwachtwoord "want ze hadden toch niks te verbergen", via malware op PC of smartphone, of omdat ze jou zonodig meenden te moeten "inviten" op eeuwig lekkende sites zoals Linked-In).Mijn mening over dit topic: tenzij kan worden aangetoond dat de klant fraudeert moet een bank altijd de schade vergoeden. Hooguit zou bij zeer doorzichtige aanvallen, uitgezonderd bij hoge leeftijd en/of geestelijke beperkingen (vaak prima vast te stellen aan eerder betaalgedrag en daarbij genomen risico's), een eigen risico kunnen gelden.
Banken besparen gigantisch veel geld door eerst wijkkantoren en nu ook pinautomaten te sluiten en "papierbankieren" grondig te ontmoedigen tot onmogelijk te maken.
En als niemand meer naar zo'n bankfiliaal gaat, waarom deze dan aanhouden?
Veel mensen willen niet eens internetbankieren; naar verluidt (https://www.nu.nl/geldzaken/6016731/een-op-de-tien-computerende-ouderen-wil-niet-internetbankieren.html) houdt 10% voet bij stuk. Dat artikel vertelt echter niet hoeveel mensen zijn gezwicht onder de druk terwijl dat feitelijk onverantwoord is.
Banken kunnen dit risico prima incalculeren en dragen (net als elke winkelier die weet dat een deel van zijn waar gestolen zal worden, ook door het eigen personeel). Op de winst die op alle klanten "verdiend" wordt, is dit verlies een lachertje.
Check alle ontslagrondes maar eens. Dat doen ze omdat ze zoveel geld hebben zeker?
Aan alle -ongetwijfeld briljante- onbenullen die denken dat ze zelf nooit in een scam zullen trappen: geniet nog maar even van dat idee. Of bereid je vast voor op de grote teleurstelling in jezelf zodra deze "zelfkennis" ook voor jou een illusie blijkt te zijn. Wie weet denk je dan ook nog eens terug aan degenen die het voor jouw type (bijna iedereen) opnamen en ertoe bijdroegen dat je niet meteen met lege handen kwam te zitten.
Wat is er mis met gewoon je verstand te gebruiken. Even een belletje te plegen naar het betreffende bedrijf? Of de e-mail even door Google te halen? Nadenken of je ergens iets hebt gekocht en niet betaald? Hoe verloopt normaal het proces (boetes / incasso via e-mail = niet normaal)?
11-12-2019, 16:10 door
Briolet
Door Anoniem: Altijd compenseren, banken bieden geen 'phishing-vrij' alternatief aan waar klanten gebruik van kunnen maken.
Dan geldt dat ook voor de Nederlandse bank. Die moet ook mijn contanten vergoeden als ik in goed vertrouwen geld aan een valse collectant geef. Papiergeld is niet phishingproof.
Nee dus. Tot een bepaalde hoogte is er ook een eigen verantwoordelijkheid. En als iemand niet met geld kan omgaan, moet hij gewoon geen toegang tot bankrekeningen krijgen. Bij mijn grootouders is ook ingegrepen toen ze dement begonnen te worden en hun financiën niet meer konden overzien. In die tijd had je geen pasjes, maar kenden de bankmedewerkers nog de gezichten van klanten en kreeg je je geld op grond ven persoonlijke herkenning.
11-12-2019, 18:36 door
Erik van Straten
Door Briolet:
Dan geldt dat ook voor de Nederlandse bank. Die moet ook mijn contanten vergoeden als ik in goed vertrouwen geld aan een valse collectant geef.
Als jij de bij phishing gestolen bedragen vergelijkt met de bedragen die men (notabene vrijwillig) aan collectanten geeft, moet ik maar eens bij jou komen collecteren. Wat is jouw adres en woonplaats?Door Anoniem: Altijd compenseren, banken bieden geen 'phishing-vrij' alternatief aan waar klanten gebruik van kunnen maken.
Dan geldt dat ook voor de Nederlandse bank. Die moet ook mijn contanten vergoeden als ik in goed vertrouwen geld aan een valse collectant geef.
Door Anoniem:
Het blijft heel lastig. Alleen of een website nep of echt is valt sowieso wel goed te onderscheiden, gewoon goed naar de url kijken en logisch verstand gebruiken.
Waar ik zelf wel heel erg van sta te kijken is dat de banken niet op de login pagina op andere pagina's een soort van "hot linking" (http_referer) achtige controlen hebben (niet blokkeren want dan lok je de phishers de verkeerde val in, dan gaan ze het zelf hosten dus. Dan is het nog lastiger om te traceren) dat als een van de resources (afbeeldingen, style files, javascript file, whatever) op een ander domein gebruikt of geladen wordt dus geladen vanaf pagina op phishing domain dat ze dan dit domein en ip in een aparte log gooien voor eens goed te controleren. Stel het is dan een phisher dan heb je het dns record en dus ook het ip en de hoster (tenzij de viool zich achter Cloudflare verstopt). Heb al zeker 20 of 30 phishers gerapporteerd en ze hadden dit allemaal, het laden van resources vanaf de echte bank website ! De bank kan dit makkelijk monitoren, automatiseren en dus ook oplossen. Oplossen is een groot woord, maar ze kunnen er wel veel sneller werk van maken.... Cron hourly, read hotlink_log, queue door mens laten controleren of door AI en mailen (Abusix's API, of andere database) en actie ondernemen, mail redirect naar desbetreffende ITsec afdeling. Snap echt niet waarom dit er nog niet is?? Zover ik mij herinner hadden die geen nofollow attribute. Stel ze hebben dat wel, dan kan er vast iets met de javascript gedaan kunnen worden, want die zijn sowieso obfuscated, daar gaan ze dus niets meer aan doen. if current.hostname != "bank.nl" Ajax/XHR postje terug met domein waar hij uitgevoerd vanaf is, en die achteraf eens laten controleren. De gevallen die hier mee in aanraaking komen zijn sowieso aparte gevallen die iets doen wat bij "normaal" gebruik niet voorkomt, dus die aparte lijst zal minimaal klein zijn, of nu net heel groot (phishers) wie weet.
Zelfs al hebben ze nofollow attribute. Reproduceer eens een phisher pagina. Met al de resources die wel geladen kunnen worden, nu heb je een heel gek request patroon. In principe laad je een "halve" pagina. Naar mijn mening zou je hier dan ook een aparte log voor moeten maken, vooral als het om de login pagina gaat, hint phisher pagina..
Door Anoniem:
Dus met "stom" heeft het niet veel te maken. Wel met uiterst geraffineerde leugenmails waar de meeste specialisten in zullen trappen en ook waar bovengenoemde schrijver (Anoniem 12:19) makkelijk in zal trappen.
Door Anoniem: Als je zo stom bent om erin te trappen... Dat kun je de bank toch niet verwijten?
Je geeft je portemonnee ook niet af als iemand er om vraagt en gaat dan bij de bank piepen dat diegene het geld eruit haalt.
Ofwel: mensen snappen 'digitaal' niet. Maar gebruiken het wel. Ofwel: terug naar cash. Klaar.
Hoewel ik zelf zeer goed getraind ben in het herkennen van phishing, zijn er toch gevallen bekend dat ik erin trapte. Je geeft je portemonnee ook niet af als iemand er om vraagt en gaat dan bij de bank piepen dat diegene het geld eruit haalt.
Ofwel: mensen snappen 'digitaal' niet. Maar gebruiken het wel. Ofwel: terug naar cash. Klaar.
Dus met "stom" heeft het niet veel te maken. Wel met uiterst geraffineerde leugenmails waar de meeste specialisten in zullen trappen en ook waar bovengenoemde schrijver (Anoniem 12:19) makkelijk in zal trappen.
Het blijft heel lastig. Alleen of een website nep of echt is valt sowieso wel goed te onderscheiden, gewoon goed naar de url kijken en logisch verstand gebruiken.
Waar ik zelf wel heel erg van sta te kijken is dat de banken niet op de login pagina op andere pagina's een soort van "hot linking" (http_referer) achtige controlen hebben (niet blokkeren want dan lok je de phishers de verkeerde val in, dan gaan ze het zelf hosten dus. Dan is het nog lastiger om te traceren) dat als een van de resources (afbeeldingen, style files, javascript file, whatever) op een ander domein gebruikt of geladen wordt dus geladen vanaf pagina op phishing domain dat ze dan dit domein en ip in een aparte log gooien voor eens goed te controleren. Stel het is dan een phisher dan heb je het dns record en dus ook het ip en de hoster (tenzij de viool zich achter Cloudflare verstopt). Heb al zeker 20 of 30 phishers gerapporteerd en ze hadden dit allemaal, het laden van resources vanaf de echte bank website ! De bank kan dit makkelijk monitoren, automatiseren en dus ook oplossen. Oplossen is een groot woord, maar ze kunnen er wel veel sneller werk van maken.... Cron hourly, read hotlink_log, queue door mens laten controleren of door AI en mailen (Abusix's API, of andere database) en actie ondernemen, mail redirect naar desbetreffende ITsec afdeling. Snap echt niet waarom dit er nog niet is?? Zover ik mij herinner hadden die geen nofollow attribute. Stel ze hebben dat wel, dan kan er vast iets met de javascript gedaan kunnen worden, want die zijn sowieso obfuscated, daar gaan ze dus niets meer aan doen. if current.hostname != "bank.nl" Ajax/XHR postje terug met domein waar hij uitgevoerd vanaf is, en die achteraf eens laten controleren. De gevallen die hier mee in aanraaking komen zijn sowieso aparte gevallen die iets doen wat bij "normaal" gebruik niet voorkomt, dus die aparte lijst zal minimaal klein zijn, of nu net heel groot (phishers) wie weet.
Zelfs al hebben ze nofollow attribute. Reproduceer eens een phisher pagina. Met al de resources die wel geladen kunnen worden, nu heb je een heel gek request patroon. In principe laad je een "halve" pagina. Naar mijn mening zou je hier dan ook een aparte log voor moeten maken, vooral als het om de login pagina gaat, hint phisher pagina..
Werkt u voor de bank, nee.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
