Ook Barclays bank slachtoffer van IE URL spoofing lek
Oplichters maken, zolang Microsoft niet met een patch komt, gretig gebruik van het beruchte IE URL spoofing lek. Hierdoor lijkt het voor een nietsvermoedende gebruiker dat hij zich op een echte in plaats van vervalste pagina bevindt. Nadat eerder NatWest, Lloyds TSB, eBay, Visa, Citibank en Amazon te maken kregen met fraudeurs die via het lek klanten van de bedrijven probeerden te misleiden, is nu ook de Barclays bank getroffen door een soortgelijke zwendel. De oplichters sturen een e-mail naar de klanten van de betreffende bank of bedrijf en vragen om hun vetrouwelijke gegevens. Volgens website www.anti-phishing.org reageert 20% van de mensen op dit soort e-mails. Microsoft liet weten dat ze het lek (nog steeds) onderzoekt en pas met een patch wil komen als deze grondig getest is. (VNU)
de SSL dubbelklikken en kijken of het certificaat geldig is en aan de
juiste instantie (bank of andere instelling) is afgegeven. Het valt mij
vaak op dat mensen via de computer wel hun bankzaken e.d. willen
regelen, maar geen rekening lijken te houden met gewone
veiligheidsprocedures. Dit moet dan voorlopig worden voortgezet,
totdat er een patch wordt vrijgegeven.
Toch is het makkelijk te ontdekken. Men moet op het gele
slotje van
de SSL dubbelklikken en kijken of het certificaat geldig is
en aan de
juiste instantie (bank of andere instelling) is afgegeven.
Leuk bedacht, maar leg dat maar aan een standaard gebruiker
uit. Je hebt uiteraard wel gelijk maar in de praktijk werkt
dat helaas niet.
leggen dat iedereen een hoop dingen moet doen omdat microsoft te lui is
om een aantal karakters uit een url te filteren.
geldig certificaat en is er ook geen sprake van een beveiligde verbinding. In
de 'foax' die hier laatst stond had je helemaal geen 'slotje' in je taakbalk
staan.
Als het slotje er staat en je hebt geen waarschuwing voor je snufferd
gekregen, heeft de Site een geldig certificaat bij een van de CA's die in IE
staan.
Zie ook PKI : http://www.security.nl/article/6415/1 , opm 'werelbeeld'
PS: wordt tijd dat ms dit gat dichtgooit, te gek voor woorden!
rondgestuurd!!
"Beste Postbank Klant!
Als deel van onze vergaande verplichting om
uw account te beschermen en om fraude op onze
website te verminderen, ondernemen wij een kort
onderzoek naar onze lidmaatschap accounts. U wordt
gevraagd om onze site te bezoeken door op onderstaande
link te klikken. Dit is nodig voor ons om door te gaan met
het aanbieden van een veilige en risicoloze omgeving om
online geld te versturen en te ontvangen, en de Post bank
gewaarwording te behouden. Na verificatie wordt u naar de
Postbank home pagina gestuurd. Dank u."
Met daaronder een URL spoof.
Dus niet hier je login gaan invoeren!!!
Groeten,
IRD
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
