Door Briolet: Door Erik van Straten: Door Briolet: Ik denk dat een accept giro net zo gevaarlijk is. [...]
…Dit nog even los van het feit dat ik persoonlijk nog nooit een vervalste acceptgiro heb ontvangen (maar wel bergen phishing mails). Ook kan ik mij geen TV-programma's herinneren waarin werd gewaarschuwd voor grootschalige fraude met vervalste acceptgiro's voor nietsvermoedende consumenten.
Dat zal er voor een groot deel aan liggen dat het een dure oplichting is. Je moet elke brief uitprinten en met porto opsturen. Dat kost je al snel 60 cent tot 1 euro per brief. En het grot daarvan is weggegooid geld omdat deze direct weggegooid worden.
Moet ik nou echt elk denkbaar scenario beschrijven? Criminelen komen notabene naar je toe om jouw doorgeknipte pinpas op te halen. Nog een poging: de gegevens, inclusief leeftijd, van steeds meer mensen liggen op straat; filter op 65+ en postcode. Of kijk in jouw eigen omgeving waar veel ouderen wonen.
Naast dat ze überhaupt zo'n QR-code betaalmethode ondersteunen, is de grootste blunder van Vitens m.i. het niet benoemen van de domeinnaam van de betaaldienst. Waarom geef je dat niet gewoon toe? Besef je dat je, door de ernst van mijn TS-post te "relativeren", criminelen in de kaart speelt?
Ik heb gisteren nog wat aanvullend onderzoek gedaan. Vermoedelijk luidt die domeinnaam
accepteasy.com, van hetzelfde bedrijf "Serrala" als
acceptemail.com; uit
https://www.accepteasy.com/nl/ontvangers:
2. Klik op de knop of link (vaak trx.ae/...)
Hiermee ga je naar onze betaalpagina, op transaction.acceptemail.com/... of transaction.accepteasy.com/...
("vaak trx.ae/..." - tuurlijk, dat klinkt lekker betrouwbaar en gaan klanten onthouden...).
Als je weet waar je moet kijken op vitens.nl kun je in
https://www.vitens.nl/service/phishing o.a. het volgende vinden:
AcceptE-mail
Een veilige AcceptEmail van ons bevat informatie die alleen bekend is bij u als klant, zoals bijvoorbeeld uw klantnummer. Ook heeft het bovenste deel van de e-mail en het bovenste deel van de website dezelfde tekst. AcceptEmail is geen directe link naar iDeal; u komt eerst op de internetpagina van AcceptEmail en pas daarna op de pagina van uw bank waar u veilig kunt betalen. De internetpagina is altijd https://transaction.acceptemail.com (controleer de ‘s’ in ‘https’).
[...]
Drie tips om Phishing te herkennen
[...]
Tip 3 Check waar een link naar toe gaat
Beweeg de muis over de link en kijk waar de link heen gaat. Hoort dit adres bij de organisatie die de e-mail verstuurt?
Als je "hoort bij" interpreteert als "eindigt de domeinnaam op vitens.nl" dan waarschijnlijk niet (want die domeinnaam luidt waarschijnlijk "transaction.acceptemail.com" of "trx.ae"; die laatste redirect momenteel naar de eerste). Googlen naar
acceptemail phishing levert veel hits op, dit risico is dus verre van denkbeeldig (zo vond ik ook deze vitens pagina over phishing).
Het
zou kunnen dat Vitens je na het scannen van een QR-code naar bijv.
pay.vitens.nl stuurt, een mogelijkheid zoals beschreven in
https://www.accepteasy.com/nl/blog/betaalpagina-met-eigen-domein-url. Maar die kans acht ik klein - omdat Vitens dat bij e-mail kennelijk ook niet doet en in de brochure zie je, op plaatje 2, het logo van en de naam AcceptEasy terwijl er niets over Vitens te zien is (niet dat dit veel zin zou hebben, want dat spoofen criminelen natuurlijk ook).
Kortom, ga ervan uit dat criminelen creatief zijn; probeer als crimineel te denken als je bijv. een betaalsysteem ontwerpt (of als je risico's relativeert op security.nl). Ik kan nog meer (high chance/low cost) aanvalstactieken beschrijven, maar daarmee help ik mogelijk minder creatieve criminelen. Denk zelf goed na wat jij zou doen als crimineel, daarmee vergroot je jouw security-awareness en kun je veiliger systemen maken. De kunst daarbij is zelden "aantonen dat jij jij bent" (ook als organisatie richting klant) maar voorkomen dat
een crimineel mensen er eenvoudig van kan overtuigen dat hij jij is en/of de klant denkt
jou te betalen. Dat kost
jou niet meteen geld, maar leidt vroeger of later wel tot reputatieschade.