ING hoeft slachtoffer malafide McAfee-klantenservice niet te vergoeden
ING hoeft een man die door een zogenaamde klantenservice van antivirusbedrijf McAfee voor honderden euro's werd opgelicht niet te vergoeden, zo heeft financiële klachteninstituut Kifid geoordeeld. De man zocht op Google naar het telefoonnummer van de klantenservice van McAfee, omdat hij het abonnement van zijn antivirussoftware wilde stopzetten.
Het telefoonnummer dat de man vindt en belt is van een malafide klantenservice. Die vraagt de man om een programma te installeren waarmee zijn computer op afstand kan worden overgenomen. Tijdens het telefoongesprek wordt de man verteld dat een door hem teveel betaald bedrag wordt teruggestort. Hij wordt verzocht om in te loggen op zijn bankrekening, zodat het bedrag via iDeal kan worden terugbetaald. Vervolgens moet hij de terugbetaling op de gebruikelijke manier via de scanner bevestigen.
Vervolgens laat de malafide klantenservice weten dat er iets fout is gegaan met de betaling en wordt de man gevraagd de betaling nogmaals te bevestigen. Hij doet, zonder zich hiervan bewust te zijn, in iets meer dan een kwartier tijd uiteindelijk vijf betalingen bij vijf verschillende webwinkels met een totaalbedrag van 728 euro.
Op enig moment vertrouwt de man het niet en hangt hij op. Vervolgens wordt hij gebeld door de ING met de mededeling dat hij mogelijk slachtoffer is geworden van oplichting. De bank heeft de rekening van de man geblokkeerd en adviseert hem zijn computer niet meer te gebruiken totdat die is opgeschoond.
Schadevergoeding
De man eiste vervolgens dat ING de geleden schade vergoedt. Hij stelt dat hij de gebruikte procedure voor het betalen via iDeal volgde en dus niets verkeerds deed. ING detecteerde de fraude vrijwel meteen, maar het is de man onduidelijk waarom de bank niet direct heeft ingegrepen door bijvoorbeeld de bankrekening te blokkeren. Nu ING niet direct heeft ingegrepen is de man van mening dat de bank de schade moet vergoeden.
Het Kifid stelt dat er geen sprake is van niet-toegestane betalingstransacties, aangezien de man met de transacties heeft ingestemd. ING stelt daarnaast dat het de fraude niet eerder kon detecteren. De aankopen werden gedaan bij bonafide webwinkels. Alleen op basis van het betalingspatroon is er een waarschuwing gegenereerd dat er mogelijk sprake was van fraude of oplichting. De bank kon dit pas achteraf constateren, op basis van het transactieverloop, en had de man naar eigen zeggen ook niet eerder kunnen waarschuwen.
Volgens het Kifid heeft de man ingestemd met de transacties en is niet gebleken dat ING haar zorgplicht heeft geschonden. De vordering van de man is dan ook afgewezen (pdf).
Reacties (19)
Stom stom stom weer. Echter, de ING (iedere bank) had dit makkelijk kunnen voorkomen!! Ze hebben nog steeds de basis check niet in hun detectie software zitten. Dit was al in 2009 geadviseerd maar is nog steeds niet geimplementeerd.
24-02-2022, 15:49 door
John777
Dan ben je toch wel een mega paardel*l als je zelf zo dom bent om al die iDeal transacties uit te voeren en dan vervolgens nog een ander de schuld geven ook.
Door John777: Dan ben je toch wel een mega paardel*l als je zelf zo dom bent om al die iDeal transacties uit te voeren en dan vervolgens nog een ander de schuld geven ook.
Door wie wordt het digitaal-bankieren nogal ontzettend opgedrongen?Door John777: Dan ben je toch wel een mega paardel*l als je zelf zo dom bent om al die iDeal transacties uit te voeren en dan vervolgens nog een ander de schuld geven ook.
Daar hebben we weer zo'n mega leeghoofd die nog nooit van social engineering heeft gehoord, en zo mega intelligent denkt te zijn dat mega sluw scheppen van vals vertrouwen (*) hem totaal nóóit kan overkomen.
Sterkte als je er eentje aan de lijn krijgt die sluwer is dan jij mega intelligent denkt te zijn.
(*) Gepensioneerde ICT'er die nota bene gespecialiseerd was in informatiebeveiliging trapte er zelfs in:
https://nos.nl/artikel/2411705-slachtoffers-online-criminaliteit-in-de-kou-nooit-gedacht-dat-ik-erin-zou-trappen
Door Anoniem: Stom stom stom weer. Echter, de ING (iedere bank) had dit makkelijk kunnen voorkomen!! Ze hebben nog steeds de basis check niet in hun detectie software zitten. Dit was al in 2009 geadviseerd maar is nog steeds niet geimplementeerd.
Ik ben ontzettend benieuwd wat je met de "basischeck" bedoelt. Een check die had kunnen voorkomen dat de eerste transactie van 100 euro naar een legitieme webwinkel al als fraude had worden bestempeld....
Door Anoniem:
En? Hij wist precies hoe hij met Ideal om moest gaan, dus...Door John777: Dan ben je toch wel een mega paardel*l als je zelf zo dom bent om al die iDeal transacties uit te voeren en dan vervolgens nog een ander de schuld geven ook.
Door wie wordt het digitaal-bankieren nogal ontzettend opgedrongen?Door Anton Bleekers:
Daar hebben we weer zo'n mega leeghoofd die nog nooit van social engineering heeft gehoord, en zo mega intelligent denkt te zijn dat mega sluw scheppen van vals vertrouwen (*) hem totaal nóóit kan overkomen.
Sterkte als je er eentje aan de lijn krijgt die sluwer is dan jij mega intelligent denkt te zijn.
(*) Gepensioneerde ICT'er die nota bene gespecialiseerd was in informatiebeveiliging trapte er zelfs in:
https://nos.nl/artikel/2411705-slachtoffers-online-criminaliteit-in-de-kou-nooit-gedacht-dat-ik-erin-zou-trappen
Oh ja het is absoluut echt moeilijk om je aan de basis regels te houden van social engineeringen herkennen als het onderdeel is van je vakgebied....Door John777: Dan ben je toch wel een mega paardel*l als je zelf zo dom bent om al die iDeal transacties uit te voeren en dan vervolgens nog een ander de schuld geven ook.
Daar hebben we weer zo'n mega leeghoofd die nog nooit van social engineering heeft gehoord, en zo mega intelligent denkt te zijn dat mega sluw scheppen van vals vertrouwen (*) hem totaal nóóit kan overkomen.
Sterkte als je er eentje aan de lijn krijgt die sluwer is dan jij mega intelligent denkt te zijn.
(*) Gepensioneerde ICT'er die nota bene gespecialiseerd was in informatiebeveiliging trapte er zelfs in:
https://nos.nl/artikel/2411705-slachtoffers-online-criminaliteit-in-de-kou-nooit-gedacht-dat-ik-erin-zou-trappen
Hier de redflags
1 Vragen naar gegevens die de partij al lang moet hebben
2 Vragen naar inlog data
3 Vragen om software te installeren
4 Vragen om zogenaamd naar een verificatie link te gaan.
5 Geld overmaken omdat er een tekst bericht binnenkomt van een bekende.
As je hier als beveiliging specialist in trapt ben je een schande en gevaar voor je vakgebied
Je verifieert eerst de partij waar je contact mee opneemt of die jou opzoekt en dat is geen rocketscience.
Nee je googled niet naar contact informatie van een relatie dat heb je of in je CRM staan of je kijkt op contract naar informatie en eerste factuur.
Neemt iemand met jouw contact op dan donder je het telefoonnummer in een reverse lookup search en kijkt naar klachtmeldingen alsmede controleer je de KVK data of andere kenmerk.
Mail contact controleer je de mailheaders voor je reageert en of er controle was van DKIM DMARC en SPF door de legitieme partij en zo niet dan hebben ze wat uit te leggen.
Dat een particulier deze procedure niet kent dat is te begrijpen het is hun vak gebied niet maar iemand in de IT met beveiliging als specialisatie?
Alsjeblieft zeg laten we kappen met het slappe excuus dat het *ieder* kan overkomen en daar constant achter verschuilen.. Goede socialengineering operaties zijn zeldzaam en hier hebben we het niet over een goed opgezette operatie dit is kies willekeurig je target.
Vergissen is menselijk maar er is een reden waarom we in de sector hele boekwerken aan checklist protocollen en procedures met een hoog militair gehalte qua opzet om de ernst van gemaakt fouten aanzienlijk te verlagen.
Kunnen banken leed voorkomen bij dit soort domme scams door vertraagde geld transacties absoluut.
Zouden ze dat moeten doen absoluut.
Maar anderzijnds mogen ze mij betreft de gemaakte kosten doorberekeningn naar de gene die zo dom is geweest om niet even na te denken. Vergoed het geld tenzij vermoeden is van fraude maar stuur ook even een gepeperde rekening. Als er iets werkt om na te denken is het wel een geldboete. We noemen het ook wel de Paflov methode voor mensen conditioneren.
Door Anton Bleekers:
Daar hebben we weer zo'n mega leeghoofd die nog nooit van social engineering heeft gehoord, en zo mega intelligent denkt te zijn dat mega sluw scheppen van vals vertrouwen (*) hem totaal nóóit kan overkomen.
Sterkte als je er eentje aan de lijn krijgt die sluwer is dan jij mega intelligent denkt te zijn.
(*) Gepensioneerde ICT'er die nota bene gespecialiseerd was in informatiebeveiliging trapte er zelfs in:
https://nos.nl/artikel/2411705-slachtoffers-online-criminaliteit-in-de-kou-nooit-gedacht-dat-ik-erin-zou-trappen
Door John777: Dan ben je toch wel een mega paardel*l als je zelf zo dom bent om al die iDeal transacties uit te voeren en dan vervolgens nog een ander de schuld geven ook.
Daar hebben we weer zo'n mega leeghoofd die nog nooit van social engineering heeft gehoord, en zo mega intelligent denkt te zijn dat mega sluw scheppen van vals vertrouwen (*) hem totaal nóóit kan overkomen.
Sterkte als je er eentje aan de lijn krijgt die sluwer is dan jij mega intelligent denkt te zijn.
(*) Gepensioneerde ICT'er die nota bene gespecialiseerd was in informatiebeveiliging trapte er zelfs in:
https://nos.nl/artikel/2411705-slachtoffers-online-criminaliteit-in-de-kou-nooit-gedacht-dat-ik-erin-zou-trappen
Ze nemen altijd wel zo'n anecdote, en die incompetente ITer had dus zelf z'n vak moeten snappen.
En de NPO zoekt of verzint zo'n anecdote precies voor mensen als jij , zodat je rond kunt vertellen "kan zelfs een ITer overkomen"
Wat ze er niet bij zeggen is dat er dagelijks duizenden mensen WEL de telefoon erop gooien, de app wissen, of de mail deleten als er zo'n poging binnen komt.
Dat gelul "kan iedereen overkomen" is gewoon gelul - de "schot hagel" social engineering (microsoft helpdesk, bankmedewerker die kluisrekening adviseert, nigeriaanse weduwe) werkt maar bij weinig mensen. Alleen het massaal proberen is makkelijk en goedkoop genoeg dat je rendabel slachtoffers kunt vinden.
Laat ik het zo zeggen, ik heb nog nooit gehoord van terugbetalen via iDeal. Wanneer ik teveel heb overgemaakt naar een ander, dan heeft die de betaalinformatie en dus mijn rekeningnummer. Laat het hem maar lekker op dat rekeningnummer terugstorten.
Ik ken wel het principe van terugpinnen, maar dat is een heel andere situatie, waarbij ik in de fysieke winkel ben en dan de handelingen verricht. Dus dan weet ik wat er gebeurt en waar. Hoe megaslim een oplichter ook is, wanneer ze je iets willen laten doen, waarvan je nog nooit gehoord hebt en wat niet noodzakelijk is, geldt de al bekende riedel van de bank: Hang op, klik weg...
En je zoekt het nummer van de klantenservice niet op via Google, je gaat naar de website van het bedrijf en vindt daar dat service nummer. Behalve bij een MitM zou je dan de goede gegevens moeten hebben.
Ik ken wel het principe van terugpinnen, maar dat is een heel andere situatie, waarbij ik in de fysieke winkel ben en dan de handelingen verricht. Dus dan weet ik wat er gebeurt en waar. Hoe megaslim een oplichter ook is, wanneer ze je iets willen laten doen, waarvan je nog nooit gehoord hebt en wat niet noodzakelijk is, geldt de al bekende riedel van de bank: Hang op, klik weg...
En je zoekt het nummer van de klantenservice niet op via Google, je gaat naar de website van het bedrijf en vindt daar dat service nummer. Behalve bij een MitM zou je dan de goede gegevens moeten hebben.
Door Anoniem:
Kunnen banken leed voorkomen bij dit soort domme scams door vertraagde geld transacties absoluut.
Zouden ze dat moeten doen absoluut.
Ik weet het niet hoor. In dit geval bestond de fraude kennelijk uit het betalen van bestellingen bij een webwinkel.Kunnen banken leed voorkomen bij dit soort domme scams door vertraagde geld transacties absoluut.
Zouden ze dat moeten doen absoluut.
Tuurlijk kan de bank die betalingen een dag parkeren voor ze worden uitgevoerd, zodat de klant de kans heeft om
er nog op terug te komen. Maar de klant wil wel de artikelen de volgende (of zelfs nog dezelfde) dag geleverd hebben!
Daar wringt dus iets. Ik weet niet of we er met zijn allen samen nou zoveel beter van worden als we alle web bestellingen
een dag gaan vertragen om die paar sufkoppen die in zo'n fraude trappen te beschermen. Ik denk dat we dan beter
iets kunnen opzetten van een "internet fraude verzekering" die de bank je verkoopt, met een premie van een paar
euro per maand ofzo, en waarbij je dan in dit soort gevallen wel je geld terug krijgt. Dan kan de "kwetsbare groep"
zich verzekeren en problemen voorkomen zonder dat we weer allemaal met extra kosten worden opgezadeld.
Door Anoniem:
Ik ben ontzettend benieuwd wat je met de "basischeck" bedoelt. Een check die had kunnen voorkomen dat de eerste transactie van 100 euro naar een legitieme webwinkel al als fraude had worden bestempeld....
Door Anoniem: Stom stom stom weer. Echter, de ING (iedere bank) had dit makkelijk kunnen voorkomen!! Ze hebben nog steeds de basis check niet in hun detectie software zitten. Dit was al in 2009 geadviseerd maar is nog steeds niet geimplementeerd.
Ik ben ontzettend benieuwd wat je met de "basischeck" bedoelt. Een check die had kunnen voorkomen dat de eerste transactie van 100 euro naar een legitieme webwinkel al als fraude had worden bestempeld....
Het gaat erom dat de bank niet zonder directe toestemming van de klant geld overmaakt naar een rekening die nog niet eerder door de klant gebruikt.is in eerdere transacties. Dit is eenvoudig te koppelen aan het adresboek van de klant en het profiel van de klant. Btw, waarom kan iedereen standaard geld overmaken naar het buitenland terwijl mss maar een paar procent (!) dit echt regelmatig nodig heeft. Dit kan ook per transactie goedgekeurd worden. Helaas wordt soms het tegenrekening nummer door malware veranderd zonder dat klant dat kan zien (maar de bank ziet het wel en kan het eenvoudig vertragen of blokkeren).
Door Anoniem:
Hier de redflags
1 Vragen naar gegevens die de partij al lang moet hebben
2 Vragen naar inlog data
3 Vragen om software te installeren
4 Vragen om zogenaamd naar een verificatie link te gaan.
5 Geld overmaken omdat er een tekst bericht binnenkomt van een bekende.
As je hier als beveiliging specialist in trapt ben je een schande en gevaar voor je vakgebied
Je verifieert eerst de partij waar je contact mee opneemt of die jou opzoekt en dat is geen rocketscience.
Nee je googled niet naar contact informatie van een relatie dat heb je of in je CRM staan of je kijkt op contract naar informatie en eerste factuur.
Neemt iemand met jouw contact op dan donder je het telefoonnummer in een reverse lookup search en kijkt naar klachtmeldingen alsmede controleer je de KVK data of andere kenmerk.
Mail contact controleer je de mailheaders voor je reageert en of er controle was van DKIM DMARC en SPF door de legitieme partij en zo niet dan hebben ze wat uit te leggen.
Dat een particulier deze procedure niet kent dat is te begrijpen het is hun vak gebied niet maar iemand in de IT met beveiliging als specialisatie?
Alsjeblieft zeg laten we kappen met het slappe excuus dat het *ieder* kan overkomen en daar constant achter verschuilen.. Goede socialengineering operaties zijn zeldzaam en hier hebben we het niet over een goed opgezette operatie dit is kies willekeurig je target.
Vergissen is menselijk maar er is een reden waarom we in de sector hele boekwerken aan checklist protocollen en procedures met een hoog militair gehalte qua opzet om de ernst van gemaakt fouten aanzienlijk te verlagen.
Kunnen banken leed voorkomen bij dit soort domme scams door vertraagde geld transacties absoluut.
Zouden ze dat moeten doen absoluut.
Maar anderzijnds mogen ze mij betreft de gemaakte kosten doorberekeningn naar de gene die zo dom is geweest om niet even na te denken. Vergoed het geld tenzij vermoeden is van fraude maar stuur ook even een gepeperde rekening. Als er iets werkt om na te denken is het wel een geldboete. We noemen het ook wel de Paflov methode voor mensen conditioneren.
Door Anton Bleekers:
Daar hebben we weer zo'n mega leeghoofd die nog nooit van social engineering heeft gehoord, en zo mega intelligent denkt te zijn dat mega sluw scheppen van vals vertrouwen (*) hem totaal nóóit kan overkomen.
Sterkte als je er eentje aan de lijn krijgt die sluwer is dan jij mega intelligent denkt te zijn.
(*) Gepensioneerde ICT'er die nota bene gespecialiseerd was in informatiebeveiliging trapte er zelfs in:
https://nos.nl/artikel/2411705-slachtoffers-online-criminaliteit-in-de-kou-nooit-gedacht-dat-ik-erin-zou-trappen
Oh ja het is absoluut echt moeilijk om je aan de basis regels te houden van social engineeringen herkennen als het onderdeel is van je vakgebied....Door John777: Dan ben je toch wel een mega paardel*l als je zelf zo dom bent om al die iDeal transacties uit te voeren en dan vervolgens nog een ander de schuld geven ook.
Daar hebben we weer zo'n mega leeghoofd die nog nooit van social engineering heeft gehoord, en zo mega intelligent denkt te zijn dat mega sluw scheppen van vals vertrouwen (*) hem totaal nóóit kan overkomen.
Sterkte als je er eentje aan de lijn krijgt die sluwer is dan jij mega intelligent denkt te zijn.
(*) Gepensioneerde ICT'er die nota bene gespecialiseerd was in informatiebeveiliging trapte er zelfs in:
https://nos.nl/artikel/2411705-slachtoffers-online-criminaliteit-in-de-kou-nooit-gedacht-dat-ik-erin-zou-trappen
Hier de redflags
1 Vragen naar gegevens die de partij al lang moet hebben
2 Vragen naar inlog data
3 Vragen om software te installeren
4 Vragen om zogenaamd naar een verificatie link te gaan.
5 Geld overmaken omdat er een tekst bericht binnenkomt van een bekende.
As je hier als beveiliging specialist in trapt ben je een schande en gevaar voor je vakgebied
Je verifieert eerst de partij waar je contact mee opneemt of die jou opzoekt en dat is geen rocketscience.
Nee je googled niet naar contact informatie van een relatie dat heb je of in je CRM staan of je kijkt op contract naar informatie en eerste factuur.
Neemt iemand met jouw contact op dan donder je het telefoonnummer in een reverse lookup search en kijkt naar klachtmeldingen alsmede controleer je de KVK data of andere kenmerk.
Mail contact controleer je de mailheaders voor je reageert en of er controle was van DKIM DMARC en SPF door de legitieme partij en zo niet dan hebben ze wat uit te leggen.
Dat een particulier deze procedure niet kent dat is te begrijpen het is hun vak gebied niet maar iemand in de IT met beveiliging als specialisatie?
Alsjeblieft zeg laten we kappen met het slappe excuus dat het *ieder* kan overkomen en daar constant achter verschuilen.. Goede socialengineering operaties zijn zeldzaam en hier hebben we het niet over een goed opgezette operatie dit is kies willekeurig je target.
Vergissen is menselijk maar er is een reden waarom we in de sector hele boekwerken aan checklist protocollen en procedures met een hoog militair gehalte qua opzet om de ernst van gemaakt fouten aanzienlijk te verlagen.
Kunnen banken leed voorkomen bij dit soort domme scams door vertraagde geld transacties absoluut.
Zouden ze dat moeten doen absoluut.
Maar anderzijnds mogen ze mij betreft de gemaakte kosten doorberekeningn naar de gene die zo dom is geweest om niet even na te denken. Vergoed het geld tenzij vermoeden is van fraude maar stuur ook even een gepeperde rekening. Als er iets werkt om na te denken is het wel een geldboete. We noemen het ook wel de Paflov methode voor mensen conditioneren.
(snapt niks van social engineering)
Door Anoniem:
Ze nemen altijd wel zo'n anecdote, en die incompetente ITer had dus zelf z'n vak moeten snappen.
En de NPO zoekt of verzint zo'n anecdote precies voor mensen als jij , zodat je rond kunt vertellen "kan zelfs een ITer overkomen"
Wat ze er niet bij zeggen is dat er dagelijks duizenden mensen WEL de telefoon erop gooien, de app wissen, of de mail deleten als er zo'n poging binnen komt.
Dat gelul "kan iedereen overkomen" is gewoon gelul - de "schot hagel" social engineering (microsoft helpdesk, bankmedewerker die kluisrekening adviseert, nigeriaanse weduwe) werkt maar bij weinig mensen. Alleen het massaal proberen is makkelijk en goedkoop genoeg dat je rendabel slachtoffers kunt vinden.
Door Anton Bleekers:
Daar hebben we weer zo'n mega leeghoofd die nog nooit van social engineering heeft gehoord, en zo mega intelligent denkt te zijn dat mega sluw scheppen van vals vertrouwen (*) hem totaal nóóit kan overkomen.
Sterkte als je er eentje aan de lijn krijgt die sluwer is dan jij mega intelligent denkt te zijn.
(*) Gepensioneerde ICT'er die nota bene gespecialiseerd was in informatiebeveiliging trapte er zelfs in:
https://nos.nl/artikel/2411705-slachtoffers-online-criminaliteit-in-de-kou-nooit-gedacht-dat-ik-erin-zou-trappen
Door John777: Dan ben je toch wel een mega paardel*l als je zelf zo dom bent om al die iDeal transacties uit te voeren en dan vervolgens nog een ander de schuld geven ook.
Daar hebben we weer zo'n mega leeghoofd die nog nooit van social engineering heeft gehoord, en zo mega intelligent denkt te zijn dat mega sluw scheppen van vals vertrouwen (*) hem totaal nóóit kan overkomen.
Sterkte als je er eentje aan de lijn krijgt die sluwer is dan jij mega intelligent denkt te zijn.
(*) Gepensioneerde ICT'er die nota bene gespecialiseerd was in informatiebeveiliging trapte er zelfs in:
https://nos.nl/artikel/2411705-slachtoffers-online-criminaliteit-in-de-kou-nooit-gedacht-dat-ik-erin-zou-trappen
Ze nemen altijd wel zo'n anecdote, en die incompetente ITer had dus zelf z'n vak moeten snappen.
En de NPO zoekt of verzint zo'n anecdote precies voor mensen als jij , zodat je rond kunt vertellen "kan zelfs een ITer overkomen"
Wat ze er niet bij zeggen is dat er dagelijks duizenden mensen WEL de telefoon erop gooien, de app wissen, of de mail deleten als er zo'n poging binnen komt.
Dat gelul "kan iedereen overkomen" is gewoon gelul - de "schot hagel" social engineering (microsoft helpdesk, bankmedewerker die kluisrekening adviseert, nigeriaanse weduwe) werkt maar bij weinig mensen. Alleen het massaal proberen is makkelijk en goedkoop genoeg dat je rendabel slachtoffers kunt vinden.
(snapt eveneens niks van social engineering)
26-02-2022, 10:16 door
spatieman
engels talige indier die opeens zegt, ooh nee !!, ik heb teveel terug gestort
(snapt niks van social engineering)
Social engineering heeft geen kans van slagen als je consistent informatie en toegang verificatie doet. Dat is de realiteit die sommige hier blijkbaar niet met hun verstand inkrijgen. Social Engineering (SE) bestaat uit 4 fases investigation -> hook -> play -> exit
Bij large corporate ben je al aan monitoren op de investigation fase. Alles wat verdachte queries zijn die door systemen worden gemeld honeypots die worden benaderd en vragen die gesteld zijn in afdelingen komen in dossiers voor waakzaamheid op gerichte aanvallen.
Maar gros van SE en zoals voorbeeld in dit topic genoemd schieten in het wild en beginnen simpelweg met de hook. Als je als bedrijf je IT governance en trainingen in orde hebt dan is het niet moeilijk om gros van SE tegen te houden. Tailored operations zijn zeldzaam die vind je enkel bij echt grote corporations terug en de meeste van die corporations hebben hun eigen counter-intel department binnen de infosec, sec-ops of huren er een bedrijf voor in die monitoring doet. Wij zelf hebben om het half jaar een onverwachte training en audit met blueteam vs redteam alsmede fysieke beveiliging testen.
Persoonlijke bescherming tegen SE is niet moeilijk maar het is zeker niet leuk. Social engineering en social stupidity gaan nou eenmaal hand in hand en meeste gevaar die iemand loopt die wel bewust is over de gevaren ontstaat niet bij hun maar via hun contacten. De beste manier daar tegen te beschermen is door je circle of trust klein te houden en hoe dichter iemand bij je staat hoe meer oplettend je moet zijn naar afwijkingen in gedrag.
En daar komt de minder leuke kant om de hoek kijken.
Hoe meer je iemand wil vertrouwen hoe minder je die gene moet vertrouwen. Hier de technieken tegen SE die ik al meer dan 20 jaar toepas en preach.
Vertrouw jezelf niet met gevoelige informatie en toegang:
Geen mogelijkheid bedrijfs informatie in te zien buiten kantoor zonder van te voren schriftelijke toestemmingen op tijd basis middels VPN en via bedrijfsmiddelen.
Zorg voor paper trails:
Datacom altijd laten verlopen via een eigen beheerde voip centrale die als buffer dient.
Beperk contact mogelijkheden:
Afscherming van telefoon contact door enkel doorlaten van bekende telefoonnummers die al genoteerd staan in contactgroepen. Maak een auto trigger met melding naam en doel van contact door te geven via een specifiek mail adres en bij niet reageren binnen 48 uur of herhalen van contact verzoek via telefoon blokkeer het nummer.
Belangrijke meldingen altijd verifieeren:
Heb een tweede telefoon zonder smartphone functies waar alle belangrijke telefoontjes op binnenkomen in combi met een pager voor verificatie dat er geen spoofing gaande is. Neem nooit de telefoon op maar bel direct terug via je eigen contact lijst.
Wees alert op infogathering:
Keyword zoek alerts aanmaken bestaande uit echte naam, aliassen en mogelijke persoonlijke kenmerken of relaties die iemand normaliter niet zoekt. Alert vervolgens koppelen aan API of mail notificatie voor waakzaamheid op voorbereiding tot mogelijke SE campagne.
Beperk je input output middelen:
Geef niemand toegang tot enige inlog gegevens en of gebruikte hardware waar informatie door gaat die gevoelig kan zijn of als vector gebruikt kan worden. Log nooit in op enig hardware dat niet van jezelf is.
Hou werk en privé volledig gescheiden:
Beperk de informatie die je doorgeeft aan buitenstaanders en circle of trust tot waar je werkt en je rooster. Niemand hoeft te weten wat je doet met wie je werkt je bent niemand die informatie verschuldigd. Dat geldt ook voor je partner(s). Dit gaat hand in hand met dat je jezelf nooit moet vertrouwen met gevoelige informatie.
Maar ach natuurlijk allemaal onzin wat ik hier schrijf after all wat weet ik nu van Social Engineer af right?
Door Anoniem:
(snapt niks van social engineering)Altijd leuk iets zeggen zonder argument uitleg komt ook zeer intelligent over kan ik je vertellen.
Social engineering heeft geen kans van slagen als je consistent informatie en toegang verificatie doet. Dat is de realiteit die sommige hier blijkbaar niet met hun verstand inkrijgen. Social Engineering (SE) bestaat uit 4 fases investigation -> hook -> play -> exit
Bij large corporate ben je al aan monitoren op de investigation fase. Alles wat verdachte queries zijn die door systemen worden gemeld honeypots die worden benaderd en vragen die gesteld zijn in afdelingen komen in dossiers voor waakzaamheid op gerichte aanvallen.
Maar gros van SE en zoals voorbeeld in dit topic genoemd schieten in het wild en beginnen simpelweg met de hook. Als je als bedrijf je IT governance en trainingen in orde hebt dan is het niet moeilijk om gros van SE tegen te houden. Tailored operations zijn zeldzaam die vind je enkel bij echt grote corporations terug en de meeste van die corporations hebben hun eigen counter-intel department binnen de infosec, sec-ops of huren er een bedrijf voor in die monitoring doet. Wij zelf hebben om het half jaar een onverwachte training en audit met blueteam vs redteam alsmede fysieke beveiliging testen.
Persoonlijke bescherming tegen SE is niet moeilijk maar het is zeker niet leuk. Social engineering en social stupidity gaan nou eenmaal hand in hand en meeste gevaar die iemand loopt die wel bewust is over de gevaren ontstaat niet bij hun maar via hun contacten. De beste manier daar tegen te beschermen is door je circle of trust klein te houden en hoe dichter iemand bij je staat hoe meer oplettend je moet zijn naar afwijkingen in gedrag.
En daar komt de minder leuke kant om de hoek kijken.
Hoe meer je iemand wil vertrouwen hoe minder je die gene moet vertrouwen. Hier de technieken tegen SE die ik al meer dan 20 jaar toepas en preach.
Vertrouw jezelf niet met gevoelige informatie en toegang:
Geen mogelijkheid bedrijfs informatie in te zien buiten kantoor zonder van te voren schriftelijke toestemmingen op tijd basis middels VPN en via bedrijfsmiddelen.
Zorg voor paper trails:
Datacom altijd laten verlopen via een eigen beheerde voip centrale die als buffer dient.
Beperk contact mogelijkheden:
Afscherming van telefoon contact door enkel doorlaten van bekende telefoonnummers die al genoteerd staan in contactgroepen. Maak een auto trigger met melding naam en doel van contact door te geven via een specifiek mail adres en bij niet reageren binnen 48 uur of herhalen van contact verzoek via telefoon blokkeer het nummer.
Belangrijke meldingen altijd verifieeren:
Heb een tweede telefoon zonder smartphone functies waar alle belangrijke telefoontjes op binnenkomen in combi met een pager voor verificatie dat er geen spoofing gaande is. Neem nooit de telefoon op maar bel direct terug via je eigen contact lijst.
Wees alert op infogathering:
Keyword zoek alerts aanmaken bestaande uit echte naam, aliassen en mogelijke persoonlijke kenmerken of relaties die iemand normaliter niet zoekt. Alert vervolgens koppelen aan API of mail notificatie voor waakzaamheid op voorbereiding tot mogelijke SE campagne.
Beperk je input output middelen:
Geef niemand toegang tot enige inlog gegevens en of gebruikte hardware waar informatie door gaat die gevoelig kan zijn of als vector gebruikt kan worden. Log nooit in op enig hardware dat niet van jezelf is.
Hou werk en privé volledig gescheiden:
Beperk de informatie die je doorgeeft aan buitenstaanders en circle of trust tot waar je werkt en je rooster. Niemand hoeft te weten wat je doet met wie je werkt je bent niemand die informatie verschuldigd. Dat geldt ook voor je partner(s). Dit gaat hand in hand met dat je jezelf nooit moet vertrouwen met gevoelige informatie.
Maar ach natuurlijk allemaal onzin wat ik hier schrijf after all wat weet ik nu van Social Engineer af right?
(snapt niks van social engineering)
Social engineering heeft geen kans van slagen als je consistent informatie en toegang verificatie doet. Dat is de realiteit die sommige hier blijkbaar niet met hun verstand inkrijgen. Social Engineering (SE) bestaat uit 4 fases investigation -> hook -> play -> exit
Bij large corporate ben je al aan monitoren op de investigation fase. Alles wat verdachte queries zijn die door systemen worden gemeld honeypots die worden benaderd en vragen die gesteld zijn in afdelingen komen in dossiers voor waakzaamheid op gerichte aanvallen.
Maar gros van SE en zoals voorbeeld in dit topic genoemd schieten in het wild en beginnen simpelweg met de hook. Als je als bedrijf je IT governance en trainingen in orde hebt dan is het niet moeilijk om gros van SE tegen te houden. Tailored operations zijn zeldzaam die vind je enkel bij echt grote corporations terug en de meeste van die corporations hebben hun eigen counter-intel department binnen de infosec, sec-ops of huren er een bedrijf voor in die monitoring doet. Wij zelf hebben om het half jaar een onverwachte training en audit met blueteam vs redteam alsmede fysieke beveiliging testen.
Persoonlijke bescherming tegen SE is niet moeilijk maar het is zeker niet leuk. Social engineering en social stupidity gaan nou eenmaal hand in hand en meeste gevaar die iemand loopt die wel bewust is over de gevaren ontstaat niet bij hun maar via hun contacten. De beste manier daar tegen te beschermen is door je circle of trust klein te houden en hoe dichter iemand bij je staat hoe meer oplettend je moet zijn naar afwijkingen in gedrag.
En daar komt de minder leuke kant om de hoek kijken.
Hoe meer je iemand wil vertrouwen hoe minder je die gene moet vertrouwen. Hier de technieken tegen SE die ik al meer dan 20 jaar toepas en preach.
Vertrouw jezelf niet met gevoelige informatie en toegang:
Geen mogelijkheid bedrijfs informatie in te zien buiten kantoor zonder van te voren schriftelijke toestemmingen op tijd basis middels VPN en via bedrijfsmiddelen.
Zorg voor paper trails:
Datacom altijd laten verlopen via een eigen beheerde voip centrale die als buffer dient.
Beperk contact mogelijkheden:
Afscherming van telefoon contact door enkel doorlaten van bekende telefoonnummers die al genoteerd staan in contactgroepen. Maak een auto trigger met melding naam en doel van contact door te geven via een specifiek mail adres en bij niet reageren binnen 48 uur of herhalen van contact verzoek via telefoon blokkeer het nummer.
Belangrijke meldingen altijd verifieeren:
Heb een tweede telefoon zonder smartphone functies waar alle belangrijke telefoontjes op binnenkomen in combi met een pager voor verificatie dat er geen spoofing gaande is. Neem nooit de telefoon op maar bel direct terug via je eigen contact lijst.
Wees alert op infogathering:
Keyword zoek alerts aanmaken bestaande uit echte naam, aliassen en mogelijke persoonlijke kenmerken of relaties die iemand normaliter niet zoekt. Alert vervolgens koppelen aan API of mail notificatie voor waakzaamheid op voorbereiding tot mogelijke SE campagne.
Beperk je input output middelen:
Geef niemand toegang tot enige inlog gegevens en of gebruikte hardware waar informatie door gaat die gevoelig kan zijn of als vector gebruikt kan worden. Log nooit in op enig hardware dat niet van jezelf is.
Hou werk en privé volledig gescheiden:
Beperk de informatie die je doorgeeft aan buitenstaanders en circle of trust tot waar je werkt en je rooster. Niemand hoeft te weten wat je doet met wie je werkt je bent niemand die informatie verschuldigd. Dat geldt ook voor je partner(s). Dit gaat hand in hand met dat je jezelf nooit moet vertrouwen met gevoelige informatie.
Maar ach natuurlijk allemaal onzin wat ik hier schrijf after all wat weet ik nu van Social Engineer af right?
Inderdaad. je spreekt voor jezelf hoe treffend jij je eigen onkunde etaleert.
Ik lees slechts dit:
Je hebt een rationele betonplaat voor je kop met veel woorden en weinig wol om van te spinnen, want je komt met magere hyperrationele praat voortkomend uit de eveneens hyperrationele overtuiging dat social engineering ernstig beïnvloed kan worden door continue rationele afwegingen te maken GEDURENDE een aanval m.b.v. social engineering.
Neen, neen, neen !!!
De kern van social engineering is het PER DIRECT GEDURENDE HET EERSTE CRUCIALE MOMENT UITSCHAKELEN VAN RATIONELE PERCEPTIE DIE VOORWAARDE IS TOT HET ACTIVEREN VAN COUNTER STRATEGY: a consistent rational gathering of verbal information, as given by the attacker, related to the only goal: to overrul an access denial.
27-02-2022, 16:17 door
spatieman
Door Anton Bleekers:
Wow, we hebben een super IT guru hier op security.nl !
want niemand snapt nix van social engineering !!
Door Anoniem:
(snapt niks van social engineering)
--knip--
Ik lees slechts dit:
Je hebt een rationele betonplaat voor je kop met veel woorden en weinig wol om van te spinnen, want je komt met magere hyperrationele praat voortkomend uit de eveneens hyperrationele overtuiging dat social engineering ernstig beïnvloed kan worden door continue rationele afwegingen te maken GEDURENDE een aanval m.b.v. social engineering.
Neen, neen, neen !!!
De kern van social engineering is het PER DIRECT GEDURENDE HET EERSTE CRUCIALE MOMENT UITSCHAKELEN VAN RATIONELE PERCEPTIE DIE VOORWAARDE IS TOT HET ACTIVEREN VAN COUNTER STRATEGY: a consistent rational gathering of verbal information, as given by the attacker, related to the only goal: to overrul an access denial.
(snapt niks van social engineering)
--knip--
Ik lees slechts dit:
Je hebt een rationele betonplaat voor je kop met veel woorden en weinig wol om van te spinnen, want je komt met magere hyperrationele praat voortkomend uit de eveneens hyperrationele overtuiging dat social engineering ernstig beïnvloed kan worden door continue rationele afwegingen te maken GEDURENDE een aanval m.b.v. social engineering.
Neen, neen, neen !!!
De kern van social engineering is het PER DIRECT GEDURENDE HET EERSTE CRUCIALE MOMENT UITSCHAKELEN VAN RATIONELE PERCEPTIE DIE VOORWAARDE IS TOT HET ACTIVEREN VAN COUNTER STRATEGY: a consistent rational gathering of verbal information, as given by the attacker, related to the only goal: to overrul an access denial.
Wow, we hebben een super IT guru hier op security.nl !
want niemand snapt nix van social engineering !!
Door Anton Bleekers:
Maar ach natuurlijk allemaal onzin wat ik hier schrijf after all wat weet ik nu van Social Engineer af right?
Inderdaad. je spreekt voor jezelf hoe treffend jij je eigen onkunde etaleert.
Ik lees slechts dit:
Je hebt een rationele betonplaat voor je kop met veel woorden en weinig wol om van te spinnen, want je komt met magere hyperrationele praat voortkomend uit de eveneens hyperrationele overtuiging dat social engineering ernstig beïnvloed kan worden door continue rationele afwegingen te maken GEDURENDE een aanval m.b.v. social engineering.
Neen, neen, neen !!!
De kern van social engineering is het PER DIRECT GEDURENDE HET EERSTE CRUCIALE MOMENT UITSCHAKELEN VAN RATIONELE PERCEPTIE DIE VOORWAARDE IS TOT HET ACTIVEREN VAN COUNTER STRATEGY: a consistent rational gathering of verbal information, as given by the attacker, related to the only goal: to overrul an access denial.
Maar ach natuurlijk allemaal onzin wat ik hier schrijf after all wat weet ik nu van Social Engineer af right?
Inderdaad. je spreekt voor jezelf hoe treffend jij je eigen onkunde etaleert.
Ik lees slechts dit:
Je hebt een rationele betonplaat voor je kop met veel woorden en weinig wol om van te spinnen, want je komt met magere hyperrationele praat voortkomend uit de eveneens hyperrationele overtuiging dat social engineering ernstig beïnvloed kan worden door continue rationele afwegingen te maken GEDURENDE een aanval m.b.v. social engineering.
Neen, neen, neen !!!
De kern van social engineering is het PER DIRECT GEDURENDE HET EERSTE CRUCIALE MOMENT UITSCHAKELEN VAN RATIONELE PERCEPTIE DIE VOORWAARDE IS TOT HET ACTIVEREN VAN COUNTER STRATEGY: a consistent rational gathering of verbal information, as given by the attacker, related to the only goal: to overrul an access denial.
Je hebt nou wel een heel grote mond over niemand het snapt , maar die IT'er die jij via de NOS aanhaalde trapte doodgewoon in een WhatsAppje van "z'n dochter" "met een nieuw telefoonnummer" die meteen geld nodig had.
Precies wat ik 25-2 05:35 noemde als één van de schot-hagel methoden waar het overgrote deel van de mensen NIET intrapt -
, en waarop jij als enige reactie gaf dat ik niks van social engineering snapte .
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
