Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Bankrek.fraude; 1 cent controle

19-08-2022, 19:54 door SecureBitje, 49 reacties
Mn buurmeisje rende in paniek bij me binnen.
Haar ouders waren niet thuis en ze had dringend hulp nodig.

Ze had deze middag op Marktplaats iets willen verkopen
en ze had een geinteresseerde koper gevonden (blijkt later boef-1 te zijn)
en die wilde het bedrag wel betalen/overmaken
maar hij vroeg om ter controle van het banknr een betaalverzoek voor 1 eurocent te accorderen.
Die geinteresseerde koper had dus haar tel.nr. al door die advertentie.
En nu werd gevraagd of ze haar banknr. wilde opgeven.
Dat deed ze en de geinteresseerde koper had nu dus ook haar (Rabo)bankreknr.
Vervolgens kreeg ze van de geinteresseerde koper een berichtje met verzoek
met weblink/code om mbv de Rabo scanner de betaalopdracht te bevestigen.
Dat heeft ze gedaan.

Vervolgens werd ze 10 min. later gebeld door iemand (=boef-2) met een 020-tel.nr. die deed alsof hij van de Rabo was
en die vroeg of het klopte dat zij de eigenaar was van bankrek. xyz en van bankrek. pqy ?
Toen zij dat bevestigde,
zei de beller(=boef-2) dat hij had gezien dat op die rekeningen
het saldo van bedrag-1 en bedrag-2 stond
maar dat dat inmiddels door internet-criminelen was gestolen
en dat ze nu onmiddelijk actie moest nemen om haar spaarrekening, met saldo bedrag-3 te redden.

En op dat moment stapte ze dus bij mij binnen.
Ik adviseerde haar om te vragen op welk tel.nr. ze kon terugbellen.
De beller (=boef-2) had een smoes dat dat niet kon
en vervolgens heb ik mijn buurmeisje geadviseerd om op te hangen.
Dat deed ze en daarna heb ik haar geadviseerd om zelf de Rabo te bellen,
welke eea controleerde,
aangaf dat er geen cent was verdwenen en dat er ook niet 1 cent was afgeschreven
en tenslotte een nieuwe bankpas/activatie adviseerde.
Er is dus gelukkig niets verdwenen .... ze zit alleen enkele dagen zonder geld.

Mijn indruk is
dat boef-1 kandidaten zocht om op te lichten en daarvoor tel.nr. en bankrek.nr. verzamelt
en daarbij blijkbaar een eigen Rabo-bank-app gebruikt
en deze activeert met de beperkte verstrekte info.
en dat boef-2 mbv spoofing een 020-nr suggereert
en dat boef-2 probeert je te verleiden om een zgn. "Red je spaargeld"-aktie
te starten maar in werkelijkheid deze aktie zou gebruiken om alles leeg te plunderen.

Nu is eigenlijk mijn vraag:
Hoe kan het dat boef-1 met de beperkte verstrekte info toch alle bankrekeningnummers en rek.saldi kon vertellen ?
Reacties (49)
19-08-2022, 21:03 door Anoniem
Ik denk dat

met weblink/code om mbv de Rabo scanner de betaalopdracht te bevestigen.

Dat ze daarmee geen betaalopdracht bevestigd heeft, maar een goedkeuring gegeven om de Rabo App van de boef aan haar rekening te koppelen .

Waarschijnlijk is bij de Rabo dat wel voldoende om saldi te zien, maar niet om over te boeken . (ik geloof dat de rabo dat met scanner+bankpas doet) .
Vandaar dat toen het bullshit verhaal van 'kluisrekening' verteld moest worden , maar wel dat ze konden doen alsof ze van de bank waren "want ze weten het rekeningnummer en saldi "

020-gaza nummer gespoofed ? Hoeft niet eens , er zitten meer dan genoeg boeven in 020 .

Van de rabo verwacht je toch een Utrechts nummer (030) ? Maar goed , callcenter kan elders zitten. En als algemeen nummer gebruiken ze (inkomend) 088 . [niet-geografisch vaste lijn]
19-08-2022, 21:40 door Anoniem
Nu is eigenlijk mijn vraag:
Hoe kan het dat boef-1 met de beperkte verstrekte info toch alle bankrekeningnummers en rek.saldi kon vertellen ?
Ik denk dat het hier misging:
Vervolgens kreeg ze van de geinteresseerde koper een berichtje met verzoek
met weblink/code om mbv de Rabo scanner de betaalopdracht te bevestigen.
Dat heeft ze gedaan.
De weblink zal niet naar de Rabobank maar naar een webpagina van de boeven hebben geleid. Die zal als twee druppels water op die van Rabo hebben geleken. Ze zullen hebben kunnen aanloggen op haar Rabo-account met de gegevens die ze op de valse webpagina ingaf en haar saldi hebben kunnen zien. De QR-code of code voor de Rabo-scanner hebben ze gewoon overgenomen van de echte Rabo-site waar ze zelf op de achtergrond verbinding mee maakten.

Ik wil jou een compliment geven voor hoe goed je hiermee bent omgegaan, en ook voor hoe nauwkeurig je beschrijft wat er precies is gebeurd. Dat is vaak essentieel om de vinger op de zere plek te kunnen leggen en daar zijn veruit de meeste mensen niet goed in. Goed gedaan!

En je buurmeisje verdient ook een compliment voor het feit dat ze aanvoelde dat het niet deugde en voor het feit dat ze daar hulp bij heeft gezocht. Gelukkig bij iemand die er goed mee omging. Ik weet niet of je je daar al lovend over hebt uitgelaten tegen haar, maar zo niet: sla dat niet over! Die meid heeft verdomd goed gereageerd door op het cruciale moment hulp te zoeken bij iets waar ze zelf niet uitkwam, en dat is niet vanzelfsprekend. Ook voor haar: goed gedaan! Breng dat compliment alsjeblieft aan haar over.

Wat jij duidelijk beseft hebt en wat lang niet iedereen beseft op het moment dat het erom spant: je kan ALTIJD ophangen en vervolgens ZELF je bank bellen, niet via een nummer dat je zojuist hebt gekregen maar via een nummer dat je al kent of opzoekt buiten de beller om. Het is nooit zo dringend dat je daar geen tijd voor hebt.

Ook van belang om te beseffen: je bank kan zelf bij je rekening en je saldo. Dat zit niet in een soort kluis waar alleen jij bij kan, het is niet meer dan een boekhouding die de bank voert, en daar kunnen ze gewoon bij. Het is daarom nooit nodig dat jij actie onderneemt om iets te blokkeren als de bank het probleem heeft ontdekt en jou belt: dat kan de bank zelf. Het is wel nodig dat jij de bank belt als jij degene bent die ontdekt dat er iets mis is, bijvoorbeeld als je pas is gerold.
19-08-2022, 22:24 door Anoniem
Heeft marktplaats nog actie ondernomen en hoelang heeft het gekost voordat zij iemand van de Rabobank en de telefoon had?

Lief dat je haar geholpen hebt +1.
20-08-2022, 00:29 door Anoniem
Vervolgens kreeg ze van de geinteresseerde koper een berichtje met verzoek
met weblink/code om mbv de Rabo scanner de betaalopdracht te bevestigen.
Dat heeft ze gedaan.
Hier ging het mis, daar heeft ze ingelogd op haar bankrekening via een phishingsite. Boef-1 keek mee en heeft alles om toegang tot echte rekening(en) te krijgen.

Heeft ze nog mazzel gehad, meestal bij die marktplaats scams wordt er meteen bedragen afgeschreven.
20-08-2022, 01:59 door Erik van Straten
Door SecureBitje: [...]
En nu werd gevraagd of ze haar banknr. wilde opgeven. Dat deed ze en de geinteresseerde koper had nu dus ook haar (Rabo)bankreknr.
Ik vermoed het volgende:

Boef-1 weet nu dat ze bij de Rabobank bankiert (rekeningnummer boeit nog niet) en zet een nep inlogpagina voor de Rabobank klaar.

Door SecureBitje: Vervolgens kreeg ze van de geinteresseerde koper een berichtje met verzoek met weblink/code om mbv de Rabo scanner de betaalopdracht te bevestigen. Dat heeft ze gedaan.
De aameldpagina die zij te zien kreeg zal als twee druppels water op die van de Rabobank hebben geleken, maar was een soort "proxy" naar de echte inlogpagina. De door haar ingevoerde gegevens zet boef-1 door naar de echte inlogpagina waarna boef-1 de saldi kan zien en doorsturen naar z'n maten (er wordt niet overgeboekt, want daar is die Raboscanner weer voor nodig en dat laat bij de meeste mensen alarmbellen afgaan, en en bij de Rabobank omdat dan vanaf een onbekend IP-adres veel geld wordt overgeboekt).

Door SecureBitje: Vervolgens werd ze 10 min. later gebeld door iemand (=boef-2) met een 020-tel.nr. die deed alsof hij van de Rabo was en die vroeg of het klopte dat zij de eigenaar was van bankrek. xyz en van bankrek. pqy ? Toen zij dat bevestigde, zei de beller(=boef-2) dat hij had gezien dat op die rekeningen het saldo van bedrag-1 en bedrag-2 stond maar dat dat inmiddels door internet-criminelen was gestolen en dat ze nu onmiddelijk actie moest nemen om haar spaarrekening, met saldo bedrag-3 te redden.
Als zij dat had gedaan was dat gebeurd vanaf een bij de bank bekend IP-adres (of variabel maar van dezelfde ISP) en was dat minder verdacht geweest, en mogelijk niet geblokkeerd door haar bank.
20-08-2022, 09:04 door [Account Verwijderd] - Bijgewerkt: 20-08-2022, 09:41
Door Anoniem:
Nu is eigenlijk mijn vraag:
Hoe kan het dat boef-1 met de beperkte verstrekte info toch alle bankrekeningnummers en rek.saldi kon vertellen ?
Ik denk dat het hier misging:
Vervolgens kreeg ze van de geinteresseerde koper een berichtje met verzoek
met weblink/code om mbv de Rabo scanner de betaalopdracht te bevestigen.
Dat heeft ze gedaan.
De weblink zal niet naar de Rabobank maar naar een webpagina van de boeven hebben geleid. Die zal als twee druppels water op die van Rabo hebben geleken. Ze zullen hebben kunnen aanloggen op haar Rabo-account met de gegevens die ze op de valse webpagina ingaf en haar saldi hebben kunnen zien. De QR-code of code voor de Rabo-scanner hebben ze gewoon overgenomen van de echte Rabo-site waar ze zelf op de achtergrond verbinding mee maakten.

Toch betwijfel ik dat, want voor het inloggen bij de RABO-bank moet je de RABO bankpas hebben welke je in de dan weer niet persoonsgebonden RABO-scanner plaatst.
Zo'n scanner zullen de boeven dus wél hebben gehad, maar zij beschikten niet over de bankpas van het buurmeisje.

Ik heb zelf geen RABO bank-account, maar heb het opgezocht en dat is wat ik er tenminste van begrijp.
(zie: https://statics.rabobank.com/binaries-processed/hoe_werkt_de_rabo_scanner_29686467_931155341.pdf)
Noot: pdf downloadlink.
-------------------------------

Toegevoegd, 09:35 uur:

Alsjeblieft laten we er geen 'bank zus bank zo is beter' discussie van maken, maar ik wil alleen kwijt dat de ING scanner wel persoonsgebonden is want die moest ik voor het eerste gebruik valideren met mijn bankrekening.(*) Dus ik stel voorzichtig dat het gebruik van de ING-scanner misschien veiliger is, hoewel die veiligheidsmarge misschien wel wordt gecompenseerd bij de RABO omdat je daar wel weer je bankpas nodig hebt t.b.v. gebruik van de RABO-scanner.

Ik vind het moeilijke materie, ben daarin uiteraard geen specialist, maar dat is wat ik opmerk in een vergelijking tussen de RABO-scanner en die van ING.

Het zou mooi zijn als een onafhankelijk specialist op het gebied van de diverse inlogmethodes bij banken een overzicht zou kunnen geven van de voor- en nadelen bij diverse banken bij gebruik van de scanner. Er is altijd veel al of niet zinvolle discussie over gebruik van de smartphone voor bankzaken, maar over de scanner methodes lees je maar bar weinig.

(*)https://www.ing.nl/media/509087-2007-Handleiding%20activeren%20Scanner_tcm162-181041.pdf
Noot: pdf downloadlink

Edit: URL toegevoegd
20-08-2022, 11:16 door Anoniem
Door Quink:
Alsjeblieft laten we er geen 'bank zus bank zo is beter' discussie van maken, maar ik wil alleen kwijt dat de ING scanner wel persoonsgebonden is want die moest ik voor het eerste gebruik valideren met mijn bankrekening.(*) Dus ik stel voorzichtig dat het gebruik van de ING-scanner misschien veiliger is, hoewel die veiligheidsmarge misschien wel wordt gecompenseerd bij de RABO omdat je daar wel weer je bankpas nodig hebt t.b.v. gebruik van de RABO-scanner.

Ik vind het moeilijke materie, ben daarin uiteraard geen specialist, maar dat is wat ik opmerk in een vergelijking tussen de RABO-scanner en die van ING.

Dat klopt, het ING systeem is veel beter omdat dit verschillende informatie vereist om te kunnen inloggen/overboeken:
- een usernaam (zelf gekozen)
- een wachtwoord
- een gepersonaliseerde scanner
- de pincode van die scanner (die niet gelijk kan zijn aan die van je betaalpas)

M.a.w. je hebt zowel 3 kennis elementen als 1 fysiek element nodig, en die worden niet voor andere doeleinden gebruikt.

Bij RABO en ABNAMRO (en nog wat anderen) heb je alleen nodig:
- een bankpas
- de pincode van die pas
- een scanner die niet gepersonaliseerd is, alle scanners voldoen

Met die bankpas loop je de hele dag over straat en die pincode toets je her en der in.
Het risico dat iemand die pincode ziet en die bankpas in handen weet te krijgen is VEEL groter dan dat iemand je
ING authenticatie middelen in handen krijgt. Heeft iemand alleen je ING pas dan kan die per dag opnemen/betalen
wat je zelf als limiet ingesteld hebt en die limiet kan hij niet veranderen. Heeft iemand je RABO of ABNAMRO pas
dan kan die daarmee inloggen op de bankieromgeving en de rekening leegboeken of de limieten van de pas veranderen
en het geld uit een automaat tappen. Die limieten hadden ze net zo goed weg kunnen laten want je past ze aan
met hetzelfde middel als wat er mee beveiligd wordt.
20-08-2022, 11:42 door Briolet
Ik denk dat het niet uit maakt of de scanner wel/niet persoonsgebonden is. De criminelen hebben hem hier toch niet nodig.

De link wijst naar een nep site die precies de kleurcode van de echte site laat zien. De criminelen zullen dat veld met een of andere link op hun nep site zetten. Als je dan de kleurcode op de nep site met je eigen scanner inleest, krijg je daardoor een geldige response code. Die vul je op de nep-site in en de criminelen loggen daarmee op het rekening van het slachtoffer in.

Vervolgens hebben ze 10 minuten de tijd genomen om alle bedragen te bekijken en de echte aanval voor te bereiden. Gelukkig was het slachtoffer nu wel alert en kon ze de echte schade voorkomen.

Dit geeft wel weer aan dat je nooit via een externe link naar je bank moet gaan. En kun je er echt niet omheen, moet je het certificaat zelf bekijken en niet genoegen nemen met slechts de aanwezigheid van een slotje.
20-08-2022, 12:06 door Anoniem
Door Briolet:
De link wijst naar een nep site die precies de kleurcode van de echte site laat zien. De criminelen zullen dat veld met een of andere link op hun nep site zetten. Als je dan de kleurcode op de nep site met je eigen scanner inleest, krijg je daardoor een geldige response code. Die vul je op de nep-site in en de criminelen loggen daarmee op het rekening van het slachtoffer in.

Als je een kleurcode scant met de ING scanner dan geeft deze op het scherm precies aan waar je toestemming voor geeft.
Dus bijvoorbeeld "overmaken van 0,01 naar rekening 12345" of "inloggen op de ING website" of "activeren van uw creditcard met nummer xxxx 1234" etc.
Als je een betaal link krijgt en je logt in en je krijgt dan een kleurcode die zegt "inloggen op de ING website" dan ben je niet handig bezig.

Tuurlijk, dan komen weer de reacties van "ja maar dat doen de mensen nou eenmaal, ze geven toch OK wat er ook staat" maar dat kun je dan op een gegeven moment niet meer oplossen. Die mensen kun je ook een acceptgiro van 1000 euro "voor energierekening" sturen die ze dan gewoon ondertekenen en op de bus doen. Ergens houdt het een keer op.
20-08-2022, 14:40 door Anoniem
Door Briolet: Ik denk dat het niet uit maakt of de scanner wel/niet persoonsgebonden is. De criminelen hebben hem hier toch niet nodig.

Feitelijk zijn beide scanners persoonsgebonden - die van de ING als device door het initialiseren, die van de RABO door het bezit van de juiste bankpas.
En ze hebben last van dezelfde zwakte in het gebruiks-proces - een gebruiker die zich authenticeert via een valse site (soort van malicious proxy) laat de operator van die site alles zien (en doen) wat de gebruiker kan .

De verantwoording om alleen op de echte bank-site te authenticeren ligt puur bij de gebruiker en z'n handigheid met computers.


De link wijst naar een nep site die precies de kleurcode van de echte site laat zien. De criminelen zullen dat veld met een of andere link op hun nep site zetten. Als je dan de kleurcode op de nep site met je eigen scanner inleest, krijg je daardoor een geldige response code. Die vul je op de nep-site in en de criminelen loggen daarmee op het rekening van het slachtoffer in.

Vervolgens hebben ze 10 minuten de tijd genomen om alle bedragen te bekijken en de echte aanval voor te bereiden. Gelukkig was het slachtoffer nu wel alert en kon ze de echte schade voorkomen.

Dit geeft wel weer aan dat je nooit via een externe link naar je bank moet gaan. En kun je er echt niet omheen, moet je het certificaat zelf bekijken en niet genoegen nemen met slechts de aanwezigheid van een slotje.

Dat is precies wat een bank-app op een telefoon of tablet beter maakt : de app gaat naar de hardcoded bank URL , en zal het certificaat exact controleren.

Op een desktop is zowel het host-platform gemiddeld onveiliger, en ligt de controle bij de eindgebruiker die de URL goed moet lezen en dan ook naar slotjes moet kijken en bedenken dat ie een waarschuwing niet moet wegklikken .
Het scheelt al een beetje als je via bookmarks naar je banksite gaat - maar de bank-app heeft dat hele probleem gewoon niet.

Als je zo'n buurmeisje moet adviseren is "zet de app op je telefoon" gewoon een goed en simpel en veilig advies.

Beter dan "tik zelf heel goed de URL in en let op het slotje en klik voor de zekerheid ook nog op de link en bekijk dan het certificaat en lees heel goed of daar tussen al die getallen iets van je bank staat". Met het omliggende advies dat ze ook alle updates moet installeren en een virusscanner en en en en.
20-08-2022, 18:22 door Anoniem
Door Quink: Toch betwijfel ik dat, want voor het inloggen bij de RABO-bank moet je de RABO bankpas hebben welke je in de dan weer niet persoonsgebonden RABO-scanner plaatst.
Zo'n scanner zullen de boeven dus wél hebben gehad, maar zij beschikten niet over de bankpas van het buurmeisje.
Dat pasje hebben ze ook niet nodig. Als ze hun website opzetten als een proxy-server die doorverbindt naar de Rabo-site dan ziet het slachtoffer de juiste QR- of kleurcodes, werden de responses, en kunnen ze alles zien wat het slachtoffer opvraagt. Het is in zelfs denkbaar dat als het slachtoffer uitlogt die actie niet wordt doorgegeven aan Rabo maar alleen wordt gesimuleerd naar het slachtoffer, terwijl vanaf dat moment de boef de sessie kan overnemen. Dat kan bijvoorbeeld ook als er niet expliciet is uitgelogd maar er enige tijd geen requests zijn geweest. Dan kan de aanvaller de sessie overnemen en naar hartelust informatie verzamelen die later kan worden gebruikt om overtuigend over te komen als ze als zogenaamde Rabo-medewerker het slachtoffer bellen.

En denk niet dat dit moeilijk is. Deze link laat zien dat je een simpele proxy-server in slechts 17 regels Python-code kan schrijven:
https://levelup.gitconnected.com/how-to-build-a-super-simple-http-proxy-in-python-in-just-17-lines-of-code-a1a09192be00?gi=7949396e7284
Als je op zo'n basis voortbouwt om te doen wat ik heb beschreven worden het heel wat meer dan 17 regels, maar het zal nog steeds vrij simpele software zijn.
20-08-2022, 18:38 door Briolet
Door Anoniem: Als je een kleurcode scant met de ING scanner dan geeft deze op het scherm precies aan waar je toestemming voor geeft. Dus bijvoorbeeld "overmaken van 0,01 naar rekening 12345" of "inloggen op de ING website" of "activeren van uw creditcard met nummer xxxx 1234" etc.

Bij de ABN en ook de Rabo is de procedure voor inloggen en betalen idd iets anders. Bedenk echter dat het slachtoffer hier de vraag krijgt voor het bevestigen van een betaalverzoek. Dit zal een procedure zijn die zij waarschijnlijk nooit gedaan heeft. (Misschien kent die bank die optie niet eens) Als het scherm nu ook nog nog een aangepaste tekst toont, dan zie je waarschijnlijk niet eens dat je de inlogprocedure volgt.

Als je een betaal link krijgt en je logt in en je krijgt dan een kleurcode die zegt "inloggen op de ING website" dan ben je niet handig bezig.
In elk geval zal het scherm niet 'inloggen' tonen, maar iets in de trant van "betaalverzoek bevestigen'. Ik verwacht niet dat je op dit punt argwaan gaat krijgen. De argwaan had er moeten zitten bij het volgen van een link naar je eigen bank uit onbekende bron.
20-08-2022, 18:59 door Anoniem
Door Briolet:
Als je een betaal link krijgt en je logt in en je krijgt dan een kleurcode die zegt "inloggen op de ING website" dan ben je niet handig bezig.
In elk geval zal het scherm niet 'inloggen' tonen, maar iets in de trant van "betaalverzoek bevestigen'. Ik verwacht niet dat je op dit punt argwaan gaat krijgen. De argwaan had er moeten zitten bij het volgen van een link naar je eigen bank uit onbekende bron.
Maar dat gaat dat scherm niet zeggen, want de criminelen hebben geen invloed op wat er op dat scherm komt, die
invloed heeft alleen de bank. Die tekst wordt bepaald door het kleurenpatroon, en hoewel het hen vast wel zal lukken
om dat kleurenpatroon te relayeren van een echte website naar een nepwebsite, zal het hen NIET lukken om dat patroon
zodanig aan te passen dat er een andere tekst op het scherm (let op! ik heb het over het scherm van de scanner!) komt
en dat de geretourneerde code evengoed geldig is. Dat is cryptografisch allemaal goed dichtgetimmerd.
21-08-2022, 00:40 door Anoniem
Misschien had je eerst de boef moeten vragen wat hjj/zij aan bezittingen had, en waarom hij het geld nodig had.

En dit vergelijken met het "slachtoffer"

Niet iedereen doet dit om drugs te kopen, er zijn ook mensen met broodnood die door de sociale dienst weggestuurd/weggepest worden of hun gezin niet kunnen onderhouden.
21-08-2022, 02:24 door Erik van Straten
Door Briolet: Dit geeft wel weer aan dat je nooit via een externe link naar je bank moet gaan. En kun je er echt niet omheen, moet je het certificaat zelf bekijken en niet genoegen nemen met slechts de aanwezigheid van een slotje.
Je hoeft het servercertificaat niet te bekijken, jouw webbrowser checkt dit voor jou en waarschuwt je als er iets niet klopt.

Sterker, ik raad het bekijken van https servercertificaten af tenzij je er echt verstand van hebt, want dit is voor de meeste mensen onbegrijpelijke kost. Bovendien, in Firefox voor Android en iOS, en Safari voor iOS en iPadOS, kan ik het certificaat niet eens bekijken. En sowieso is het essentieel dat je checkt of de in de URL-balk getoonde domeinnaam van de bedoelde organisatie (met de bedoelde toepassing) is; een servercertificaat kan veel meer domeinnamen bevatten. Een certificaat checken leidt vooral af.

Ik heb, ook voor mijzelf, maar eens op een rijtje gezet wat je allemaal wél moet weten om redelijk veilig te kunnen internetbankieren via een webbrowser, met als voorbeeld de Rabobank. Het lijkt moeilijk en veel, maar in de praktijk valt het m.i. reuze mee, vooral zodra je dit een tijdjje serieus hebt geoefend.

Vooraf: het essentiële deel van de zichtbare domeinnaam plus de (indien getoond) eerstvolgende slash maak ik vet en onderstreept in de voorbeelden hieronder (in "klikbare" URL's kan ik dat niet). Dus bijvoorbeeld "rabobank.nl", maar ook "www.rabobank.nl/particulieren". Merk op dat in dat laatste voorbeeld ook de punt tussen "www" en "rabobank" vet en onderstreept is, omdat deze ook essentieel is (zie punt 14 hieronder).

Met bakhaken, zoals in "[*.]" wordt bedoeld dat wat tussen die bakhaken staat optioneel is; de bakhaken zelf zijn ter indicatie (die horen niet in URL's).

Met een sterretje "*" bedoel ik hier 1 of meer karakters, in dit geval inclusief één of meer (niet direct opeenvolgende) punten: dus bijvoorbeeld "www." of "www.bankieren.".

Dubbele aanhalingstekens " gebruik ik om URL's en domeinnamen te onderscheiden van de tekst eromheen (URL's bevatten nooit dat soort aanhalingstekens).

Ik schrijf "https" steeds met een vette "s" om duidelijk onderscheid te maken met "http".

Je hoeft niet te weten waarom je bij "https" redelijk zeker weet dat jouw webbrowser een versleutelde verbinding heeft met de website waarvan de domeinnaam in de URL-balk van de webbrowser wordt getoond (dat hier uitleggen voert te ver), als je maar onthoudt dat het slotje op de juiste plaats getoond moet worden (zonder streep er doorheen).

Om redelijk veilig te kunnen internetbankieren met een webbrowser, moet je het volgende weten:
0) Wat een webbrowser is, hoe je deze start en afsluit, dat deze meerdere tabs of vensters open kan hebben en hoe je daartussen wisselt.

1) Belangrijk: Dat een door jouw webbrowser getoonde webpagina een (bijna of exact) identieke kopie kan zijn van een pagina afkomstig van een andere website.

2) Dat je dus, vóórdat je iets invult, downloadt of voor authentiek aanneemt wat je leest, altijd eerst moet checken of je op de bedoelde website zit.

3) Dat je dit vaststelt aan de hand van de domeinnaam plus slotje (of "https://naam.tld/" - waarbij je i.p.v. "naam.tld" moet denken aan "rabobank.nl"). Nb. TLD staat voor Top Level Domain.

4) Welk deel van jouw webbrowser, bij nep, wel betrouwbare informatie toont (tenzij "volledig scherm" is ingeschakeld, want dan kan alles wat je ziet nep zijn).

5) Wat de URL-balk is in jouw webbrowser en waar je deze vindt.

6) Wat een URL is en welk deel daarvan de domeinnaam is.

7) Dat webbrowsers vaak slechts een deel van de URL tonen in de URL-balk (tenzij je er in klikt of de URL kopieert naar het klembord en dan plakt in kladblok of een andere editor of tekstverwerker).

8) Wat een domeinnaam precies is en welke optionele onderdelen (tussen "//" en eerstvolgende "/" - scheidingen die zelf niet altijd door webbrowsers worden getoond) niet tot een domeinnaam behoren.

9) Dat spelfouten ('0' i.p.v. 'o', '1' of 'i' i.p.v. 'l', 'rn' i.p.v. 'm', 'vv' i.p.v. 'w' etc.) in een domeinnaam altijd wijzen op nep.

10) Dat een domeinnaam misleidende karakters uit bijvoorbeeld het Griekse schrift kan bevatten, en dat je dergelijke potentieel bedriegelijke domeinnamen eruit pikt door, in de instellingen van de webbrowser (indien beschikbaar) "show punycode" aan te zetten (of "show IDN" / "show International Domain Names" uit) - of door de URL uit de URL-balk via het klembord in kladblok te plakken en te bekijken (voor meer info zie de 2e helft van https://security.nl/posting/734218). Toegegeven, de "punycode" domeinnaam kun je ook zien door het https servercertificaat te inspecteren.

11) Dat de domeinnaam pas eindigt bij de eerstvolgende forward slash ("/") - die niet altijd getoond wordt (zie het volgende punt).

12) Dat sommige webbrowsers de forward slash achter de domeinnaam soms niet tonen, nl. als er niets volgt achter die "/", zoals in slotje + "rabobank.nl" of mogelijk "https://www.rabobank.nl" (klik bijv. op de volgende link -die in een nieuw venster of nieuw tabblad opent- en kijk wat je ziet in jouw webbrowser: https://www.security.nl/).

13) Dat je domeinnamen van rechts naar links moet lezen, en dat de eigenaar van naam.tld altijd zeggenschap heeft over subdomeinnamen (en subsubdomeinnamen etc.) in sub.naam.tld. Dat wil niet altijd zeggen dat de organisatie met naam verantwoordelijk is en/of toegang heeft tot servers achter subdomeinen, zoals bijvoorbeeld in het geval van bedrijfsnaam.sharepoint.com" en theregister.co.uk. Ook bij iets als mailings.rabobank.nl bestaat de kans dat de server daarvoor van een andere organisatie is, waardoor de beveiliging daarvan minder goed kan zijn dan van servers van de bank zelf. Kijk dus ook altijd naar subdomeinnamen: iets als test.rabobank.nl is hartstikke verdacht als "productie" website voor internetbankieren; criminelen zouden zo'n testserver mogelijk eenvoudiger kunnen hacken en vervolgens phishingmails met een link daarnaar verzenden.

14) Dat punten (en niks anders) in domeinnamen de essentiële scheidingstekens zijn. Dus dat
"wwwrabobank.nl/" en bijvoorbeeld
"www-rabobank.nl/" en
"www_rabobank.nl/" niet van de Rabobank zijn, terwijl
"www.rabobank.nl/" en
"rabobank.nl/" wél van de Rabobank zijn.

15) Dat veel websites genaamd "www.naam.tld" jouw browser automatisch doorsturen naar "naam.tld" maar dat er ook websites zijn die dit andersom doen (zoals https://security.nl/).

16) Dat webbrowsers het voorvoegsel "www." vaak niet tonen in de URL-balk (en je dus geen idee hebt van punt 15).

17) Dat het TLD zoals ".nl even essentieel is als de tekst daarvoor; "rabobank.ni en "rabobank.eu" kunnen van cybercriminelen zijn.

18) Dat het handig kan zijn om te weten dat ".nl" niet betekent dat de server in Nederland staat, maar ook niet dat de eigenaar van die domeinnaam een Nederlander is of in Nederland gevestigd is. Ook handig om te weten is dat de meeste webpagina's jouw webbrowser opdragen om tevens "content" (pagina-onderdelen waaronder plaatjes, maar dit kan vanalles zijn) van andere websites te laden, waar je normaal gesproken geen domeinnamen van te zien krijgt. Dit is niet zonder risico's maar zeker als beginner kun je hier weinig tot niets tegen doen, anders dan "third party cookies" disablen in de instellingen van jouw webbrowser (wat er soms toe kan leiden dat de primaire website niet goed meer werkt).

19) Belangrijk: dat je zeker moet weten dat de domeinnaam van de bedoelde organisatie is! En hoe je dat eventueel (bij twijfel) vaststelt.

20) Dat het oude "http://" verbindingstype (ook protocol genaamd) geen enkele garantie biedt dat jouw webbrowser verbinding heeft met de website waarvan de domeinnaam in de URL-balk van jouw webbrowser getoond wordt. Als er wel een verbinding is met de kennelijke website, kan die verbinding worden afgeluisterd en er kan ongewenste data worden geïnjecteerd of vervangen (evt. de hele pagina's). Jouw webbrowser kan, bijvoorbeeld tijdens het opzetten van de verbinding met de bedoelde website, ook worden doorgestuurd naar een webite met een andere domeinnaam (maar de meest geniepige aanval is natuurlijk dat je de domeinnaam van de bedoelde website ziet, terwijl derden volledige controle hebben over wat jij ziet en afluisteren wat jij invoert. Met name via public WiFi is dit risico groot. Daarom hoort elke zichzelf respecterende website het "https" protocol te gebruiken; dit voorkomt met redelijke betrouwbaarheid alle genoemde aanvallen.

21) Dat het altijd verstandig is om, in plaats van kortweg "naam.tld" in te tikken in de URL-balk,
"https://naam.tld" in te tikken. Als je er niet "https://" aan laat voorafgaan, zijn er verschillende mechanismes die proberen om de verbinding niet via "http" maar meteen via "https tot stand te brengen (om te voorkomen dat die verbinding kan worden afgeluisterd of gekaapt), maar die zijn niet voor 100% betrouwbaar.
Als je zelf "https://" ervóór tikt zal nooit worden teruggevallen op het risicovolle "http" protocol (tenzij als gevolg van een configuratiefout op de server). Advies: vooral als je wilt internetbankieren, zeker via WiFi van een ander (in dit voorbeeld bij de Rabobank), tik dan:
"https://rabobank.nl" en sla eventuele (certificaat-) waarschuwingen nooit in de wind. De meeste websites sturen jouw browser overigens automatisch door van
"http://naam.tld/" naar
"https://naam.tld/", maar dat doen ze niet allemaal. Denkbaar is zelfs (bijv. t.g.v. een configuratiefout) dat het omgekeerde het geval is. Ook komt het meestal onzichtbare scenario
"https" -> "http" -> "https" voor. Dit is gevaarlijk, want zodra een kwaadwillende met toegang tot de verbinding (bijvoorbeeld bij public WiFi) de http-verbinding "voorbij" ziet komen, kan zij of hij deze kapen.
Controleer daarom altijd de domeinnaam + slotje nadat de website geheel geladen is, doch voordat je iets invoert, downloadt of leest. Daarmee detecteer je ook eventueel door jouzelf gemaakte tikfouten bijtijds.

22) Dat het verbindingstype "https://", indien er geen (certificaat-) foutmeldingen zijn, met redelijke zekerheid aantoont dat jouw webbrowser de website met de getoonde domeinnaam heeft geauthenticeerd en dat daar nu een versleutelde verbinding mee tot stand is gekomen,
of
23) Als alternatief voor het vaak niet meer getoonde "https://" voorvoegsel: dat, op de juiste plaats (niet in de webpagina), een slotje zonder waarschuwingen wordt getoond (dus niet met een streep erdoor, zo'n streep betekent dat de verbinding niet veilig is). Stop als er iets niet klopt en probeer niet in te loggen. Probeer het later nog eens. Als de waarschuwingen blijven bestaan, raadpleeg dan een deskundige.

Voor de Rabobank moet het gaan om "https://[*.]rabobank.nl/boeit/niet" waarbij "*." bijvoorbeeld kan staan voor "www.", "www.bankieren." of "ideal.".

Voorbeelden van in de URL-balk getoonde correcte domeinnamen
Als de browser "https://" en "https://www." niet laat zien, zijn bijvoorbeeld correct:
goed: slotje + "rabobank.nl/particulieren"
goed: slotje + "rabobank.nl"
goed: slotje +"bankieren.rabobank.nl/nog/iets"
goed: slotje +"ideal.rabobank.nl/'
goed: slotje +"ideal.rabobank.nl'

Als de browser "https://" en "https://www." wél laat zien, zijn bijvoorbeeld correct:
goed: "https://rabobank.nl/particulieren"
goed: "https://rabobank.nl"
goed: "https://www.rabobank.nl/particulieren"
goed: "https://bankieren.rabobank.nl/"
goed: "https://ideal.rabobank.nl/"
goed: "https://ideal.rabobank.nl"

Voorbeelden van in de URL-balk getoonde foute domeinnamen
Alle andere vormen en/of spellingen zijn foute boel, zoals (bij een browser die "https://" niet toont). Sowieso hoort er een slotje getoond te worden (anders moet je zeker niet internetbankieren):
fout: slotje + "rab0bank.nl/"
    (cijfer 0 i.p.v. letter o)
fout: slotje + "robabank.nl/"
    (letters a en o omgewisseld)
fout: slotje + "rabobank.ni/"
    (TLD onjuist)
fout: slotje + "rabobank-secure.nl/"
    (verkeerd domein)
fout: slotje + "mijnrabobank.nl/"
    (geen punt tussen "mijn" en "rabobank")
fout: slotje + "rabobank.nl:inloggen@rabobank.xyz/"
    (user-ID + password ervoor, TLD onjuist)
fout: slotje +
"rabobank.nl-izucb1bvav1ev9ad1v817g.xyz/"
    (domein = "nl-RANDOM.xyz")

Fout als de browser "https://" wél toont:
fout: "https://rab0bank.nl/"
    (cijfer 0 i.p.v. letter o)
fout: "https://robabank.nl/"
    (letters a en o omgewisseld)
fout: "https://rabobank.ni/"
    (TLD onjuist)
fout: "https://rabobank-secure.nl/"
    (verkeerd domein)
fout: "https://mijnrabobank.nl/"
    (geen punt tussen "mijn" en "rabobank")
fout: "https://rabobank.nl:inloggen@rabobank.xyz/"
    (user-ID + password ervoor, TLD onjuist)
fout: "https://rabobank.nl-izucb1bvav1ev9ad1v817g.xyz/"
    (domein = "nl-RANDOM.xyz")

Veiliger: App (tenzij)
Als je de juiste app (echt van jouw bank) voor internetbankieren gebruikt, en je nooit laat overhalen om alsnog een webbrowser te gebruiken, spelen geen van bovenstaande problemen. Daarom hebben banken liever dat hun klanten de bank-app gebruiken.

Echter, ook met een app blijft het risico op social engineering bestaan: als je je door (vaak uiterst geraffineerde) criminelen laat overtuigen dat je, om welke reden dan ook, geld moet overmaken naar een bankrekening van een geldezel, of dat zij je zover krijgen om een link zogenaamd naar de website van jouw bank toch in een webbrowser te openen, dan biedt zo'n app natuurlijk geen bescherming.

Disclaimer
Ik heb geprobeerd de lijst met "noodzakelijke weetjes" correct en zo compleet mogelijk te maken, maar er zitten heel veel opmaakcodes in waarbij ik mij vergist kan hebben, en ook kan ik aandachtspunten vergeten zijn of zaken verkeerd begrijpen of onjuist hebben verwoord (ik word graag op fouten en ontbrekende items gewezen).

Nb. één uur na plaatsing van deze post kan ik er niets meer in wijzigen, als deze materie je interesseert check s.v.p. hieronder voor posts van mij met aanvullingen en/of correcties (verwijzingen naar latere posts vind je aanvankelijk ook in de linkerkolom in https://security.nl/profile?alias=Erik+van+Straten). En in een deel van de gevallen heb ik alleen beschreven dat je iets moet weten, maar niet hoe je dat precies te weten kunt komen (de post is lang genoeg zo).
21-08-2022, 05:28 door Anoniem
Door Erik van Straten: Ik heb, ook voor mijzelf, maar eens op een rijtje gezet wat je allemaal wél moet weten om redelijk veilig te kunnen internetbankieren via een webbrowser, met als voorbeeld de Rabobank. Het lijkt moeilijk en veel, Het is zeker een goed overzicht van wat je allemaal moet weten om redelijk veilig te kunnen internetbankieren.
Ik ben alleen bang dat er een flinke groep mensen is voor wie dit helemaal niet reuze meevalt. Met je topic over digitale basisvaardigheden in gedachten: jouw lijst illustreert hoeveel kennis en hoeveel (zelf-)training er nodig is om een webbrowser verantwoord te kunnen gebruiken.

Ter illustratie voor hoe moeilijk dit soort dingen kunnen zijn voor deze groep mensen het volgende. Een eye-opener voor mij was ooit een kennis die ik hielp om een computer die niet goed wilde opstartte weer op gang te krijgen. Die persoon was toen werk aan het zoeken en wilde me, toen de computer het weer deed, een geweldige vacaturewebsite laten zien. Hij startte de browser, die opende met het Google-zoekscherm, vulde www.weetnietmeerwat.nl in, niet in de adresbalk maar als zoekargument, en de zoekresultaten bevatten veel, maar niet uitsluitend, pagina's met vacatures van de beoogde site. Hij was ervan overtuigd dat het zoekresultatenscherm de vacaturewebsite was en dus ook dat alle zoekresultaten bij die site hoorden. Oeps, dat is een misverstand waardoor makkelijk dingen mis kunnen gaan. Ik heb geprobeerd om uit te leggen dat de zoekresultaten niet de vacaturewebsite zelf waren. Ik heb geprobeerd om uit te leggen dat je een webadres beter in de adresbalk in kan typen. Het lukte niet. Als ik de adresbalk alleen maar aanwees op het scherm werden zijn ogen al glazig en was ik hem kwijt. Mijn indruk is dat hij met hoe hij het wel deed al aan de grenzen van zijn cognitieve vermogens zat en alles buitensloot wat daar overheen ging omdat hij anders verzoop. Ik weet dat ik de benodigde didactische vaardigheden en het engelengeduld mis om zo iemand toch een stapje verder te helpen, zeker als die persoon al niet gemotiveerd is om iets waarvan hij niet inziet dat het een probleem is op te lossen. Zo iemand zal nooit enige energie in een lijst als de jouwe steken, vrees ik, die haakt al af door alleen de lengte ervan.

Niet-inhoudelijke opmerking:
Met bakhaken, zoals in "[*.]" wordt bedoeld dat wat tussen die bakhaken staat optioneel is; de bakhaken zelf zijn ter indicatie (die horen niet in URL's).
Ik kan me niet herinneren dat ik blokhaken ooit eerder bakhaken heb horen/zien noemen. Een zoekopdracht op het woord levert me geen blokhaken op maar wel koppelstukken voor tractors en shovels. Was dit een verschrijving of ben je gewend ze zo te noemen? Ik vind het overigens wél een mooi, beeldend woord voor de haken, ook al staan de bakken op zijn kant. ;-)
21-08-2022, 09:15 door [Account Verwijderd] - Bijgewerkt: 21-08-2022, 09:30
Door Erik van Straten:
Door Briolet: Dit geeft wel weer aan dat je nooit via een externe link naar je bank moet gaan. En kun je er echt niet omheen, moet je het certificaat zelf bekijken en niet genoegen nemen met slechts de aanwezigheid van een slotje.
Je hoeft het servercertificaat niet te bekijken, jouw webbrowser checkt dit voor jou en waarschuwt je als er iets niet klopt.

Sterker, ik raad het bekijken van https servercertificaten af tenzij je er echt verstand van hebt, want dit is voor de meeste mensen onbegrijpelijke kost. Bovendien, in Firefox voor Android en iOS, en Safari voor iOS en iPadOS, kan ik het certificaat niet eens bekijken. En sowieso is het essentieel dat je checkt of de in de URL-balk getoonde domeinnaam van de bedoelde organisatie (met de bedoelde toepassing) is; een servercertificaat kan veel meer domeinnamen bevatten. Een certificaat checken leidt vooral af.

Ik heb, ook voor mijzelf, maar eens op een rijtje gezet wat je allemaal wél moet weten om redelijk veilig te kunnen internetbankieren via een webbrowser, met als voorbeeld de Rabobank. Het lijkt moeilijk en veel, maar in de praktijk valt het m.i. reuze mee, vooral zodra je dit een tijdjje serieus hebt geoefend.

...............
(grote knip)
...............



Veiliger: App (tenzij)
Als je de juiste app (echt van jouw bank) voor internetbankieren gebruikt, en je nooit laat overhalen om alsnog een webbrowser te gebruiken, spelen geen van bovenstaande problemen. Daarom hebben banken liever dat hun klanten de bank-app gebruiken.

Echter, ook met een app blijft het risico op social engineering bestaan: als je je door (vaak uiterst geraffineerde) criminelen laat overtuigen dat je, om welke reden dan ook, geld moet overmaken naar een bankrekening van een geldezel, of dat zij je zover krijgen om een link zogenaamd naar de website van jouw bank toch in een webbrowser te openen, dan biedt zo'n app natuurlijk geen bescherming.

Disclaimer
Ik heb geprobeerd de lijst met "noodzakelijke weetjes" correct en zo compleet mogelijk te maken, maar er zitten heel veel opmaakcodes in waarbij ik mij vergist kan hebben, en ook kan ik aandachtspunten vergeten zijn of zaken verkeerd begrijpen of onjuist hebben verwoord (ik word graag op fouten en ontbrekende items gewezen).

Nb. één uur na plaatsing van deze post kan ik er niets meer in wijzigen, als deze materie je interesseert check s.v.p. hieronder voor posts van mij met aanvullingen en/of correcties (verwijzingen naar latere posts vind je aanvankelijk ook in de linkerkolom in https://security.nl/profile?alias=Erik+van+Straten). En in een deel van de gevallen heb ik alleen beschreven dat je iets moet weten, maar niet hoe je dat precies te weten kunt komen (de post is lang genoeg zo).

@ Erik,

Hartelijk dank voor deze uitvoerige bijdrage, waarin ik een grote knip heb gedaan omdat ik alleen wil reageren op het gedeelte over de bank-ap.

Laat ik de koe bij de horens pakken: Ik begrijp niet waarom banken geen app aanbieden voor gebruik op een computer/laptop. Daarmee omzeilen zij hun bezwaren m.b.t. kwetsbaarheden zoals jij treffend beschrijft met gebruik van de webbrowser en een bank-URL.

Ik denk dat het voor velen misschien een absurde gedachte is omdat een app onverbrekelijk wordt gezien als gebruik in samenhang net een smartphone, maar waarom moet dat persé zo zijn? 'App' is gewoon een afkorting van application, en applications zijn er al 40 jaar of langer, lang voor de smartphone werd geïntroduceerd ;-)

Dus een app die verbinding maakt met alleen de bank kan toch net zo goed worden ontwikkeld/gecompileerd voor Linux, Macintosh en Windows? (in alfabetische volgorde) Dat is toch geen wereldvreemde gedachte of is dat in meerdere opzichten een brug te ver? dat kán ik mij niet voorstellen.

Uitgangspunt: Mijns inziens is de operating software (iOs, Androïd) op een smartphone even kwetsbaar of onkwetsbaar als die van een computer/laptop - of zie ik dat verkeerd? - dus dat kan ook niet de zwaarwegende reden zijn om niet een bank-app voor de computer te ontwikkelen.

Als niet-IT specialist snap ik dat voorkeursdenken van banken dus niet. Het is volgens mij een kosten/baten overweging van banken om alleen een app te ontwikkelen/onderhouden voor iOs en Androïd, omdat zij ervan uitgaan dat toch 'iedereen' een smartphone heeft.
21-08-2022, 10:02 door Anoniem
[offtopic]
Door Quink: Ik denk dat het voor velen misschien een absurde gedachte is omdat een app onverbrekelijk wordt gezien als gebruik in samenhang net een smartphone, maar waarom moet dat persé zo zijn? 'App' is gewoon een afkorting van application, en applications zijn er al 40 jaar of langer, lang voor de smartphone werd geïntroduceerd ;-)
Langer, het moet zo'n 60-70 jaar zijn. Application, of in het Nederlands applicatie, betekent toepassing: het toepassen van de computer om een bepaalde taak te verrichten. Vroege computers kenden nog geen besturingssystemen, er kon maar één programma tegelijk geladen geworden. In de jaren 1950 werden de eerste besturingssystemen ontwikkeld om onder de beperkingen die dat opleverde uit te komen. Toen ontstond onderscheid tussen programma's die dienden waarvoor je de computer eigenlijk wilde toepassen, de toepassings- of applicatieprogramma's, en de programma's die het (onder meer) mogelijk maakten om meerdere applicatieprogramma's parallel te draaien, de systeemprogramma's. Zoals de mensheid zo vaak met samengestelde termen doet is een deel van de samenstelling weer ingeslikt: applicatieprogramma (application program) is applicatie (application) geworden. En voor smartphones waren al die lettergrepen kennelijk te veel en werd het app.
[/offtopic]
21-08-2022, 13:30 door Anoniem
Door Quink:

[..]
Laat ik de koe bij de horens pakken: Ik begrijp niet waarom banken geen app aanbieden voor gebruik op een computer/laptop. Daarmee omzeilen zij hun bezwaren m.b.t. kwetsbaarheden zoals jij treffend beschrijft met gebruik van de webbrowser en een bank-URL.

Ik denk dat het voor velen misschien een absurde gedachte is omdat een app onverbrekelijk wordt gezien als gebruik in samenhang net een smartphone, maar waarom moet dat persé zo zijn? 'App' is gewoon een afkorting van application, en applications zijn er al 40 jaar of langer, lang voor de smartphone werd geïntroduceerd ;-)

Omdat het maken en supporten van een applicatie voor een desktop OS ontzettend veel meer moeilijker is dan voor een smartphone.
Ook als leek zul je gemerkt hebben dat installers (en de-installers) niet altijd werken, en dat er een heel scala aan voodoo tools is om "oude DLLs" op te ruimen, registry cleaners en noem maar op.
Dat die dingen - en alle hulp sites - bestaan moet je als teken zien dat apps (aka 'programma's) op een desktop OS niet zo lekker installeren.
Dan is voor "desktop OS" geen heel universele en behoorlijk betrouwbare app store , en is een desktop OS als platform lang niet zo hardened tegen malicious andere apps dan een smartphone .
Het is op een desktop niet zo heel moeilijk voor malware om de "app" te patchen om naar een andere URL te gaan .

Kortom - als "desktop app" maker haal je je een hoop werk, een hoop verantwoordelijkheid (wie gaan ze bellen als er iets misgaat) en een beperkte verbetering qua veiligheid op de hals .


Dus een app die verbinding maakt met alleen de bank kan toch net zo goed worden ontwikkeld/gecompileerd voor Linux, Macintosh en Windows? (in alfabetische volgorde) Dat is toch geen wereldvreemde gedachte of is dat in meerdere opzichten een brug te ver? dat kán ik mij niet voorstellen.

Het zou dus niet _net zo goed_ zijn, en met heel veel meer werk en support overhead . Gezien de verbreidheid van de smartphone en tablets is de keuze heel simpel .
In de echte prehistorie had Girotel een "desktop app" , als ik me goed herinner.
21-08-2022, 14:54 door Anoniem
Je moet je hier helemaal geen zorgen om maken. Bij fraude wordt immers nooit belasting betaald. Die lopen vanzelf tegen de lamp. Want er zitten DUIZENDEN mensen bij de banken dag en nacht op witwassen te controleren! Dus daar glipt echt niks doorheen. Wel moet je er rekening mee houden dat de bank je geld niet teruggeeft. Want ze moeten wel die duizenden mensen elke maand betalen natuurlijk. Zodat je rekeningnummer en pincode in elk geval veilig blijft. Dat geld daarentegen was je toch al kwijt. Anders had je het maar niet zelf moeten komen brengen. Dus je bent zelf begonnen met dom zijn.
21-08-2022, 17:34 door Anoniem
Ik ben blij te zien dat de discussie tot Vandaag, 14:54 door Anoniem niet verzandde in arrogante opmerkingen in die trant van: "Je bent dom als je daar intrapt." want zelfs als je technisch onderlegd bent zoals een aantal hier, kan je er nog in tuinen.

Ikzelf ook, heb gelukkig wel alles terug gekregen van bank, nadat ik 2 x 2 uur aangifte heb gedaan. Daar werd me verteld dat er op dat politiebureau alleen al ongeveer 600 aangiften per maand kregen.

Psychologische kant is natuurlijk ook dat je er vanuit gaat dat wat jij wil verkopen, een ander wil kopen.
Niet dat je opgelicht gaat worden, dan kan marktplaats wel opdoeken.

Rode vlaggen zijn dan WhatsAppjes die ongevraagd binnen komen, meestal van een gespoofd nummer van iemand die daarvoor al is opgelicht. De vraag of het kan worden opgestuurd.

Enige wat je daar tegen kan doen en de kans vermindert is in de instellingen je telefoonnummer verbergen zodat emailen verplicht wordt. Blijft de vraag of dat echt helpt, want daar kan ook weer een valse link in staan.
Zo blijf je aan de gang...
21-08-2022, 18:44 door Anoniem
Door Anoniem:
Door Quink:

[..]
Laat ik de koe bij de horens pakken: Ik begrijp niet waarom banken geen app aanbieden voor gebruik op een computer/laptop. Daarmee omzeilen zij hun bezwaren m.b.t. kwetsbaarheden zoals jij treffend beschrijft met gebruik van de webbrowser en een bank-URL.

Ik denk dat het voor velen misschien een absurde gedachte is omdat een app onverbrekelijk wordt gezien als gebruik in samenhang net een smartphone, maar waarom moet dat persé zo zijn? 'App' is gewoon een afkorting van application, en applications zijn er al 40 jaar of langer, lang voor de smartphone werd geïntroduceerd ;-)

Omdat het maken en supporten van een applicatie voor een desktop OS ontzettend veel meer moeilijker is dan voor een smartphone.
Ook als leek zul je gemerkt hebben dat installers (en de-installers) niet altijd werken, en dat er een heel scala aan voodoo tools is om "oude DLLs" op te ruimen, registry cleaners en noem maar op.
Dat die dingen - en alle hulp sites - bestaan moet je als teken zien dat apps (aka 'programma's) op een desktop OS niet zo lekker installeren.
Dan is voor "desktop OS" geen heel universele en behoorlijk betrouwbare app store , en is een desktop OS als platform lang niet zo hardened tegen malicious andere apps dan een smartphone .
Het is op een desktop niet zo heel moeilijk voor malware om de "app" te patchen om naar een andere URL te gaan .

Kortom - als "desktop app" maker haal je je een hoop werk, een hoop verantwoordelijkheid (wie gaan ze bellen als er iets misgaat) en een beperkte verbetering qua veiligheid op de hals .


Dus een app die verbinding maakt met alleen de bank kan toch net zo goed worden ontwikkeld/gecompileerd voor Linux, Macintosh en Windows? (in alfabetische volgorde) Dat is toch geen wereldvreemde gedachte of is dat in meerdere opzichten een brug te ver? dat kán ik mij niet voorstellen.

Het zou dus niet _net zo goed_ zijn, en met heel veel meer werk en support overhead . Gezien de verbreidheid van de smartphone en tablets is de keuze heel simpel .
In de echte prehistorie had Girotel een "desktop app" , als ik me goed herinner.
Als er meerdere programma's van dezelfde dll gebruik maken, wordt er een tellerstand verhoogd. Als je een programma verwijderd, wordt die tellerstand weer verlaagd. Mensen denken dan vaak ten onrechte, dat het programma niet volledig verwijderd is.
22-08-2022, 00:22 door Erik van Straten - Bijgewerkt: 22-08-2022, 00:27
Door Anoniem: [...]
Hij startte de browser, die opende met het Google-zoekscherm, vulde www.weetnietmeerwat.nl in, niet in de adresbalk maar als zoekargument, en de zoekresultaten bevatten veel, maar niet uitsluitend, pagina's met vacatures van de beoogde site. Hij was ervan overtuigd dat het zoekresultatenscherm de vacaturewebsite was en dus ook dat alle zoekresultaten bij die site hoorden.
Herkenbaar, domeinnamen in het zoekveld van de Google zoekpagina invoeren doen heel veel mensen (niet alleen penionado's). Vaak zien ze ook het verschil niet tussen advertenties en "echte" zoekresultaten (waarbij niet-advertenties maar wel rommel ook zomaar hoger vermeld kunnen staan dan verwijzingen naar de sites die je hoopte te vinden).

Terzijde, door deze idioterie is, bij de meeste webbrowsers, de URL-balk zelf in een zoekveld veranderd (en wordt, met de cursor daarin, waarschijnlijk elke toetsaanslag naar -by default- Google gestuurd). Hoe verwarrend kunnen we het maken?

Daarnaast denk ik dat je niet van de groep met de grootste achterstand mag verwachten dat zij alles zelf kunnen. Als ik die meneer geholpen had met het configureren van zijn webbrowser, had hij van mij een blanco "home page" gekregen - precies om te voorkómen dat mensen denken dat "Google het internet is" (dat zou Google wel willen).

Het geldt niet voor iedereen, maar veel mensen moeten door anderen de weg gewezen worden op moderne apparatuur om er ook maar iets zinvols mee te kunnen doen. Helaas denkt een deel van hen dat die kennis vanzelf wel aan zal komen waaien, of zijn ze bang om "domme" vragen te stellen aan familie en vrienden. Laat staan dat ze een boek kopen en lezen of aan een cursus deelnemen.

Bovendien vermoed ik dat een overgroot deel van de Nederlanders denkt voldoende te weten om weinig risico's te lopen, terwijl ze niet inzien dat ze veel (nog) niet weten. Het zou mij bijvoorbeeld niet verbazen als maar weinig mensen enigszins snappen hoe domeinnamen in elkaar zitten en dat je ze moet checken (laat staan dat ze weten wat IDN's zijn), en dat het -voor je eigen veiligheid- verstandig is om dat wel te begrijpen.

Phishing met domeinnamen die "lijken op", "betrouwbaar overkomen" of waarvan uit niets blijkt dat ze niet van Microsoft zijn, is daardoor hartstikke effectief, zie onderaan deze post voor voorbeelden van misleidende domeinnamen van één roedel cybercriminelen. Helaas extra effectief dankzij hersenloze bedrijven zoals Microsoft.

Door Anoniem: [...]
Ik weet dat ik de benodigde didactische vaardigheden en het engelengeduld mis om zo iemand toch een stapje verder te helpen, zeker als die persoon al niet gemotiveerd is om iets waarvan hij niet inziet dat het een probleem is op te lossen.
Ik haat aan dode paarden trekken. Mensen zullen er ook zelf tijd en energie in moeten willen steken. Absoluut niet zoveel als ik gedaan heb, maar omdat te gebrekkige kennis het laaghangende fruit is voor cybercriminelen, zul je ook wat kennis moeten opdoen over minder "boeiende" zaken.

Door Anoniem: [...]
Ik kan me niet herinneren dat ik blokhaken ooit eerder bakhaken heb horen/zien noemen.
LOL, ik heb geen idee hoe ik aan het woord "bakhaken" kom! Misschien heb ik ergens in de vorige eeuw "blokhaken" verkeerd verstaan of is er, tientallen jaren geleden, een bit geflipt in mijn grijze massa. Ik kan het me niet anders herinneren dan dat ik ze bakhaken noem...

Niet echt een antwoord op jouw bijdrage, ik laat mijn gedachten de vrije loop:

Dat je domeinnamen moet checken na het klikken op een link in een mail, SMS, chat-bericht (WhatsApp, Signal etc.), zoekresultaten (Google, DuckDuckGo etc.), Tweet, Reddit, posts op security.nl, persoonlijke Facebook pagina e.d. en zelfs een als vertrouwd uitziende website, blijkt bijvoorbeeld uit de lijst met recente en kortlevende "alternatieve" domeinnamen (gekocht door één groep cybercriminelen) voor de Microsoft 365 loginpagina, opgesomd in https://www.microsoft.com/security/blog/2022/08/15/disrupting-seaborgiums-ongoing-phishing-operations/, die ik hieronder overneem.

Nb. de "bakhaken" (okay, blokhaken of square brackets ;-) zijn bewust tussengevoegd door Microsoft om er, in een webpagina, ongeldige domeinnamen van te maken. Dat is gebruikelijk bij gevaarlijke sites om in elk geval te voorkómen dat "intelligente" webbrowsers er "http://" of "https://" voor denken en "preloads" proberen uit te voeren, en/of dat jouw overijverige virusscanner alarm slaat op een pagina waarin die domeinnamen worden genoemd:
cache-dns[.]com
cache-dns-forwarding[.]com
cache-dns-preview[.]com
cache-docs[.]com
cache-pdf[.]com
cache-pdf[.]online
cache-services[.]live
cloud-docs[.]com
cloud-drive[.]live
cloud-storage[.]live
docs-cache[.]com
docs-forwarding[.]online
docs-info[.]com
docs-shared[.]com
docs-shared[.]online
docs-view[.]online
document-forwarding[.]com
document-online[.]live
document-preview[.]com
documents-cloud[.]com
documents-cloud[.]online
documents-forwarding[.]comdocument-share[.]live
documents-online[.]live
documents-pdf[.]online
documents-preview[.]com
documents-view[.]live
document-view[.]live
drive-docs[.]com
drive-share[.]live
goo-link[.]online
hypertextteches[.]com
mail-docs[.]online
officeonline365[.]live
online365-office[.]com
online-document[.]live
online-storage[.]live
pdf-cache[.]com
pdf-cache[.]online
pdf-docs[.]online
pdf-forwarding[.]online
protection-checklinks[.]xyz
protection-link[.]online
protectionmail[.]online
protection-office[.]live
protect-link[.]online
proton-docs[.]com
proton-reader[.]com
proton-viewer[.]com
relogin-dashboard[.]online
safe-connection[.]online
safelinks-protect[.]live
secureoffice[.]live
webresources[.]live
word-yand[.]live
yandx-online[.]cloud
y-ml[.]co
docs-drive[.]online
docs-info[.]online
cloud-mail[.]online
onlinecloud365[.]live
pdf-cloud[.]online
pdf-shared[.]online
proton-pdf[.]online
proton-view[.]online
office365-online[.]live
doc-viewer[.]com
file-milgov[.]systems
office-protection[.]online
Proberen de eindeloze mogelijkheden te blocklisten is natuurlijk kansloos, je loopt voortdurend achter de feiten aan. Dat geldt ook voor virusscanners en zelfs voor Google "SafeBrowsing" (ook nog eens een privacydrama, want zelfs bij de "update-API weet Google natuurlijk van alle bekende websites wat de waarde is van de eerste 32bits van de hashes van de domeinnamen - zie https://en.wikipedia.org/wiki/Google_Safe_Browsing#Privacy).

Het leven zou een stuk eenvoudiger zijn als je bij Microsoft altijd moest inloggen op
"https://login.microsoft.com/", maar helaas laat Microsoft je inloggen op
"https://login.microsoftonline.com/".

Sterker, als je die eerste domeinnaam opent, wordt jouw webbrowser doorgestuurd naar laatstgenoemde site - in plaats van andersom. En dit is geen "ongelukje": de lijst met domeinnamen van Microsoft die niet op ".microsoft.com" eindigen, is absurd lang. Bijvoorbeeld in het certificaat voor
"login.microsoftonline.com" zie ik tevens als alternative names:
"login.microsoftonline-int.com en
"login.microsoftonline-p.com - waarom?

En in het certificaat voor "outlook.com staan tevens de volgende alternative names die eindigen op (ik heb de lijst ingekort tot het deel van de domeinnamen waarvan je -mogelijk- moet weten dat die van Microsoft zijn):
"[*.]footprintdns.com"
"[*.]hotmail.com"
"[*.]live.com"
"[*.]live.net"
"[*.]microsoftonline.com"
"[*.]office.com"
"[*.]office.net"
"[*.]office365.com"
"[*.]officeppe.net"
"[*.]outlook.com"

Nb. dat een domeinnaam in een certificaat van Microsoft staat, garandeert niet dat Microsoft egenaar is van die domeinnaam (maar het zou wel vreemd zijn als dat niet het geval is).

Microsoft bezit helaas nog veel meer domeinnamen (waaronder passport.com). M.a.w., het is niet alleen de schuld van gebruikers dat ze niet weten van wie (vandaag) een domeinnaam is.

Concluderend: het is m.i. niet enorm ingewikkeld, maar je moet wel leren dat iedereen (ook jij) een potentieel doelwit is van cybercriminelen, en dus dat de eerstvolgende website die je bezoekt een nepsite kan zijn. En dus dat je elke keer goed uit je doppen moet kijken - niet naar de inhoud van een webpagina, maar naar de domeinnaam van de website.

Helaas maken veel organisaties ons het leven zuur met domeinnamen waarvan niet duidelijk is van wie ze zijn; er zit niks anders op (tot we passkeys hebben) dan de juiste domeinnamen te onthouden of in een lijstje te zetten. Ernaar "googlen" kan natuurlijk ook, maar dan moet je wel weten dat het invullen van een domeinnaan in de URL-balk, met als doel een zoekopdracht, niet werkt zoals je misschien dacht; je zult die domeinnaam in dit geval juist wel in het zoekveld van de Google (of DuckDuckGo etc.) zoekpagina moeten invoeren.

Tip: Googlen naar site:naam.tld (waarbij je naam.tld vervangt door de domeinnaam van de site waar je over twijfelt). Geen of weinig resultaten (pagina's en/of subdomeinen) is meestal een indicatie dat het om een domeinnaam van een nepsite gaat.

Hoe dan ook: waar een wil is, is een weg.
22-08-2022, 08:22 door Anoniem
Door Erik van Straten: Terzijde, door deze idioterie is, bij de meeste webbrowsers, de URL-balk zelf in een zoekveld veranderd (en wordt, met de cursor daarin, waarschijnlijk elke toetsaanslag naar -by default- Google gestuurd). Hoe verwarrend kunnen we het maken?
Inderdaad. In Firefox kan je dat gelukkig weer uitzetten en een gescheiden zoekinvoerveld tonen. Firefox biedt nog wel zoekmachines aan als ik in de adresbalk iets intyp, dus helemaal weg is het niet, maar op enter reageert het niet met zoeken, daarvoor moet je echt het icoontje van een zoekmachine aanklikken. Het gaat om een paar instellingen:
• Instellingen->Zoeken->Zoekbalk toevoegen in werkbalk
• about:config -> keyword.enabled = false
• about:config -> browser.fixup.alternate.enabled = false

Daarnaast denk ik dat je niet van de groep met de grootste achterstand mag verwachten dat zij alles zelf kunnen. Als ik die meneer geholpen had met het configureren van zijn webbrowser, had hij van mij een blanco "home page" gekregen - precies om te voorkómen dat mensen denken dat "Google het internet is" (dat zou Google wel willen).
Dat helpt alleen niet. Er zijn zat "behulpzame" mensen die zoiets gewoon weer instellen. Bij dezelfde persoon had ik eerder al eens meegemaakt dat zo'n "behulpzame" buurman de virusscanner had verwijderd omdat die de computer alleen maar trager maakt. Ik heb nog nooit zoveel virussen tegelijk van één pc moeten verwijderen als toen ik de schade daarvan opruimde.

Het geldt niet voor iedereen, maar veel mensen moeten door anderen de weg gewezen worden op moderne apparatuur om er ook maar iets zinvols mee te kunnen doen. Helaas denkt een deel van hen dat die kennis vanzelf wel aan zal komen waaien, of zijn ze bang om "domme" vragen te stellen aan familie en vrienden. Laat staan dat ze een boek kopen en lezen of aan een cursus deelnemen.
Hierin wreekt zich dat in ieder geval Microsoft, maar ze zullen de enige niet zijn, altijd gereageerd heeft op dingen die mensen niet kunnen met een "laat mij dit maar voor je doen"-mentaliteit. Juist omdat Windows zelf van alles probeert op te lossen, vergezeld van popups die juist voor de groep die het niet snapt onbegrijpelijk zijn, worden deze mensen erin getraind om maar op "Ok" te klikken en doen ze dat ook in situaties waarin dat juist vooral niet gedaan moet worden.

Ik gebruik zelf al heel lang Windows niet meer, en heb geen zicht op hoe dit tegenwoordig gaat (en help mensen ook niet meer met Windows-computers, ik weet er niet meer genoeg van), maar dit heeft volgens mij een hoop schade aangericht. Ik heb meegemaakt dat mensen die we nu digibeten noemen, met moeite, maar het lukte, overweg konden met Windows 3.11. Ik heb meegemaakt dat diezelfde mensen, met moeite, maar het lukte, overweg konden met MS-DOS. En ik heb meegemaakt dat diezelfde mensen waanzinnig goed overweg konden met mainframeapplicaties en daar een snelheid en handigheid in hadden die ik bij grafische user interfaces alleen techneuten heb zien vertonen.

Die handigheid kunnen mensen ontwikkelen op basis van consistentie. Ik vind het een ronduit slecht idee dat Windows om de zoveel jaar een compleet andere interface krijgt. Ik vind het schadelijk dat de simpele duidelijkheid van een hiërarchisch filesysteem wordt verstoord door virtuele mappen (inclusief je homedirectory) die onbegrijpelijk maken waar iets nou echt staat, en ook het helemaal wegmoffelen van het bestaan ervan op smartphones, zodat steeds meer mensen die het best zouden kunnen er niet meer mee om leren gaan en anderen hun opgedane vaardigheden niet meer kunnen gebruiken - en niet duidelijk zien hoeveel van hun gegevens op computers van een tech-reus staan.

Bovendien vermoed ik dat een overgroot deel van de Nederlanders denkt voldoende te weten om weinig risico's te lopen, terwijl ze niet inzien dat ze veel (nog) niet weten.
Het Dunning-Krugereffect: https://nl.wikipedia.org/wiki/Dunning-krugereffect

Het leven zou een stuk eenvoudiger zijn als je bij Microsoft altijd moest inloggen op
"https://login.microsoft.com/", maar helaas laat Microsoft je inloggen op
"https://login.microsoftonline.com/".
[...]
Microsoft bezit helaas nog veel meer domeinnamen (waaronder passport.com). M.a.w., het is niet alleen de schuld van gebruikers dat ze niet weten van wie (vandaag) een domeinnaam is.
Ook een van mijn frustraties, en je ziet het helaas overal.

Helaas maken veel organisaties ons het leven zuur met domeinnamen waarvan niet duidelijk is van wie ze zijn; er zit niks anders op (tot we passkeys hebben) dan de juiste domeinnamen te onthouden of in een lijstje te zetten. Ernaar "googlen" kan natuurlijk ook, maar dan moet je wel weten dat het invullen van een domeinnaan in de URL-balk, met als doel een zoekopdracht, niet werkt zoals je misschien dacht; je zult die domeinnaam in dit geval juist wel in het zoekveld van de Google (of DuckDuckGo etc.) zoekpagina moeten invoeren.
Hoewel het zeker niet gegarandeerd klopt heb ik in de praktijk gemerkt dat Wikipedia een behoorlijk betrouwbare bron is voor het opzoeken/verifiëren van domeinen van bedrijven en organisaties waar Wikipedia een pagina aan wijdt. Ik herinner me niet dat ik heb meegemaakt dat wat daar was aangegeven niet klopte. Als zoekmachines verwarrende resultaten geven (wat kan komen omdat een bedrijf kwistig met allerlei domeinnamen door elkaar werkt) volg ik nog wel eens die weg.

Tip: Googlen naar site:naam.tld (waarbij je naam.tld vervangt door de domeinnaam van de site waar je over twijfelt). Geen of weinig resultaten (pagina's en/of subdomeinen) is meestal een indicatie dat het om een domeinnaam van een nepsite gaat.
Goede tip, ik gebruik site: vaak genoeg, maar heb niet in mijn systeem zitten om het voor dit doel in te zetten.
22-08-2022, 21:57 door Anoniem
Door Anoniem:
Bovendien vermoed ik dat een overgroot deel van de Nederlanders denkt voldoende te weten om weinig risico's te lopen, terwijl ze niet inzien dat ze veel (nog) niet weten.
Het Dunning-Krugereffect: https://nl.wikipedia.org/wiki/Dunning-krugereffect
Geen idee wat het is, maar een kennis vertelde mij dat ik daaraan lijd.
23-08-2022, 00:22 door Erik van Straten
Door Quink: Ik begrijp niet waarom banken geen app aanbieden voor gebruik op een computer/laptop. Daarmee omzeilen zij hun bezwaren m.b.t. kwetsbaarheden zoals jij treffend beschrijft met gebruik van de webbrowser en een bank-URL.
Daar zijn, denk ik, meerdere redenen voor:

1) Het risico is groter dat mensen een nep-app of een gemanipuleerde bank-app downloaden. Onder iOS en Android moet je er moeite voor doen om buiten de betreffende stores te downloaden, de Microsoft store is (nog?) niet zo in trek (en sowieso wordt elders downloaden standaard niet geblokkeerd). Bovendien is het onder Windows makkelijker om unsigned software te gebruiken (niet dat een signature betekent dat de ondertekenaar en alles daarvóór betrouwbaar is, maar een beetje helpt het wel). Hoe het onder iOS precies werkt weet ik niet, maar onder Android kun je (als ik me niet vergis) alleen updates van een app installeren als die update met dezelfde private key is ondertekend als de eerste versie.

2) Onder iOS en Android bestaat een veel sterkere onderlinge scheiding tussen apps, instellingen en (tijdelijke) bestanden, waardoor het voor malwaremakers lastiger is om een bank-app vanuit een andere app te beïnvloeden. Voor een Windows bank-app zullen de programmeurs daarvan veel meer moeite moeten doen om te voorkomen dat eventuele malware toegang tot de draaiende app en instellingen krijgt of had. Daar komt bij dat de meeste thuisgebruikers adminrechten hebben. Hoewel Microsoft in [1] zegt "User Account Control (UAC) helps prevent malware from damaging a PC", zegt zij in [2] "Same-desktop Elevation in UAC isn't a security boundary" - en dat laatste klopt, want er zijn bypasses (vooral bij het default "niveau" van UAC).

[1] https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-overview
[2] https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/disable-user-account-control

3) Of het momenteel nog klopt weet ik niet (er valt steeds meer te "halen" op smartphones), maar malwaremakers lijken voorheen minder aandacht te hebben besteed aan malware voor oudere smartphones en tablets (die geen updates meer krijgen) dan aan oudere "EOL" (End of Life) Windows versies. Voor veel mensen is een EOL OS geen reden om een nieuwe PC te kopen (vaak nodig omdat nieuwe Windows versies niet vooruit te branden zijn op oude hardware), en vaak hebben ze niet eens door dat hun virusscanner al jaren niet wordt bijgewerkt. Ik begrijp overigens heel goed dat mensen geen nieuwe Windows versie willen omdat dat het Start Menu "verbeterd" zou zijn of vensters doorzichtig zijn en afgeronde hoekjes hebben, terwijl een nieuwe smartphone voor veel mensen een hebbeding is (vooral als van de oude het scherm vol barsten zit).

4) Steeds meer mensen willen overal kunnen bankieren maar sjouwen niet overal hun PC mee naartoe, terwijl steeds meer mensen een smartphone hebben.

Dat zijn vermoedelijk de redenen dat banken niet veel trek hebben om dure apps voor Windows te ontwikkelen, te onderhouden en daar een helpdesk voor in stand te houden.

Overigens zijn er wel pogingen gedaan met Windows bank-apps of een tussenweg. Zo bieden steeds meer Duitse "Sparkasse" filialen (elk met eigen domeinnaam) de "S-Protect" software aan (ontwikkeld door Coronic.de [3]; Nederlandstalige beschrijving: [4]). Effectief is dat een browser met met een hardcoded URL. Opmerkelijk is dat de makers beweerden dat internetbankieren daarmee zelfs veilig zou zijn op een gecompromitteerde Windows PC (mijn insteek is dat dit fundamenteel onmogelijk is; onder Windows hebben aanvallers zeer veel opties om zo'n programma zelf te beïnvloeden, maar kunnen ook "tussen" de software en de gebruiker gaan "zitten" of juist aan de kant van de verbinding, bijv. door een root-certificaat te installeren).

Begin juni ontdekten onderzoekers van het Duitse tijdschrift C't echter flinke kwetsbaarheden in die software [5]. Nadat Coronic de eenvoudig te fixen bugs had gerepareerd, heeft C't er nogmaals naar gekeken ([6]) maar was allesbehalve tevreden. Zulke software veilig krijgen en houden is allesbehalve simpel; imagoschade door gewekte verwachtingen na onhoudbare claims helpt daar ook niet bij.

[3] https://www.coronic.de/s-protect/
[4] https://www.agconnect.nl/artikel/duitse-bank-publiceert-beveiligde-browser-voor-internetbankieren
[5] https://www.heise.de/news/c-t-entdeckt-Sicherheitsmaengel-in-Banking-Software-der-Sparkasse-7126688.html
[6] https://www.heise.de/news/Sparkassen-Browser-S-Protect-Hersteller-behebt-einige-Fehler-7136701.html

In 2003 beantwoordde prof. Bart Jacobs een vraag tijdens een interview over het zetten van digitale handtekeningen op een (Windows) PC [7]:
In dat geval zou ook internetbankieren een groot risico opleveren voor de gebruiker.
"Inderdaad. Het bedrag wat op het scherm staat, hoeft niet het bedrag te zijn wat naar de bank verstuurd wordt. De verbinding tussen je pc en de bank is wel beveiligd. Daar gaat encryptie overheen, maar de invoer naar je computer is op geen enkele manier beveiligd. Als ik '1000' intik, kan een virus er '10000' van maken. Van een bankrekening die ik intyp kan een virus een ander rekeningnummer maken. Maar de bank stuurt de gegevens altijd nog een keer terug ter bevestiging, waardoor het redelijk veilig is."
In 19 jaar is dit niet verbeterd, integendeel.

[7] https://www.computable.nl/artikel/achtergrond/internet/1315148/1444691/pc-ongeschikt-voor-e-handtekening.html

Door Quink: Uitgangspunt: Mijns inziens is de operating software (iOs, Androïd) op een smartphone even kwetsbaar of onkwetsbaar als die van een computer/laptop - of zie ik dat verkeerd?
Ja (dat zie je verkeerd). De filosofie bij de meeste desktop- en notebook-besturingssystemen is een scheiding tussen gebruiker-accounts, terwijl elk programma dat door een gebruiker gestart wordt, alles mag wat die gebruiker mag. Dus ook gebruikersinstellingen van andere programma's wijzigen of alle soorten bestanden, waarop die gebruiker schrijfrechten heeft (ook op netwerkschijven) bijvoorbeeld versleutelen (ransomware). Omdat er handige Windows programma's zijn die reageren op bepaalde toetsencombinaties, ook als een ander programma actief is, kan malware gestart door de gebruiker onder meer als keylogger werken. Maar er kan nog veel meer.

Naast de scheiding tussen apps en bestanden onder Android en iOS/iPadOS, zijn er per app steeds meer privileges die je kunt intrekken. Onder Windows is wel het e.e.a. geprobeerd, maar met alle beveiligingen die je achteraf aan probeert te brengen, loop je tegen een muur op door de enorme berg aan legacy toepassingssoftware voor Windows, die daarna niet (goed) meer werkt. Windows is ondertussen zo'n complexe lappendeken met zoveel legacy meuk onder de motorkap, dat elke update bij een deel van de gebruikers tot problemen leidt. De enige redenen dat we massaal Windows blijven gebruiken is dat iedereen dat doet, vanwege Office-365 (inclusief Outlook/Exchange/Sharepoint) vendor lock-in en omdat er geen "veel betere" alternatieven zijn waar al "onze" oude software en ook al "onze" huidige randapparatuur goed op werkt.
23-08-2022, 06:10 door Anoniem
Door Anoniem: Geen idee wat het is, maar een kennis vertelde mij dat ik daaraan lijd.
Je kan erachter komen wat het is door de link te volgen en te lezen wat er staat. En iedereen lijdt eraan. Iedereen heeft namelijk wel onderwerpen waar hij de ballen verstand van heeft en niet overziet hoe ontzettend veel meer erover te weten valt dan hij doet. Zelfs als je erop verdacht bent is het onvermijdelijk dat je bij zo'n onderwerp soms je eigen onkunde onderschat en dus je competentie overschat.

Als die kennis het nodig vond om je erop te wijzen dat je eraan lijdt dan probeerde die vermoedelijk om je erop te wijzen dat je van het onderwerp waar jullie het over hadden veel minder afweet dan je zelf denkt. Misschien zat je wel onzin te verkopen zonder het zelf in de gaten te hebben, en wekte je ergernis op door daarmee door te gaan toen je erop gewezen werd dat je iets zei wat niet klopte. Dat soort situaties kan je zo'n opmerking opleveren, namelijk.

Niemand, echt helemaal niemand, kan alles weten. Er is dus helemaal niets mis mee om dingen niet te weten, en je toont geen zwakte door dat toe te geven. Het getuigt juist van wijsheid als je van jezelf doorhebt dat je iets niet weet en met zelfvertrouwen "daar heb ik geen verstand van" te zeggen in plaats van door te gaan alsof je er wel verstand van hebt.
23-08-2022, 09:51 door Anoniem
Door Anoniem:
Door Anoniem: Geen idee wat het is, maar een kennis vertelde mij dat ik daaraan lijd.
Je kan erachter komen wat het is door de link te volgen en te lezen wat er staat. En iedereen lijdt eraan. Iedereen heeft namelijk wel onderwerpen waar hij de ballen verstand van heeft en niet overziet hoe ontzettend veel meer erover te weten valt dan hij doet. Zelfs als je erop verdacht bent is het onvermijdelijk dat je bij zo'n onderwerp soms je eigen onkunde onderschat en dus je competentie overschat.

Als die kennis het nodig vond om je erop te wijzen dat je eraan lijdt dan probeerde die vermoedelijk om je erop te wijzen dat je van het onderwerp waar jullie het over hadden veel minder afweet dan je zelf denkt. Misschien zat je wel onzin te verkopen zonder het zelf in de gaten te hebben, en wekte je ergernis op door daarmee door te gaan toen je erop gewezen werd dat je iets zei wat niet klopte. Dat soort situaties kan je zo'n opmerking opleveren, namelijk.

Niemand, echt helemaal niemand, kan alles weten. Er is dus helemaal niets mis mee om dingen niet te weten, en je toont geen zwakte door dat toe te geven. Het getuigt juist van wijsheid als je van jezelf doorhebt dat je iets niet weet en met zelfvertrouwen "daar heb ik geen verstand van" te zeggen in plaats van door te gaan alsof je er wel verstand van hebt.
Dat is helaas een ziekte, waaraan de meeste reaguurders op dit forum last van hebben.
23-08-2022, 10:33 door Anoniem
Door Erik van Straten:
Overigens zijn er wel pogingen gedaan met Windows bank-apps of een tussenweg. Zo bieden steeds meer Duitse "Sparkasse" filialen (elk met eigen domeinnaam) de "S-Protect" software aan (ontwikkeld door Coronic.de [3]; Nederlandstalige beschrijving: [4]). Effectief is dat een browser met met een hardcoded URL. Opmerkelijk is dat de makers beweerden dat internetbankieren daarmee zelfs veilig zou zijn op een gecompromitteerde Windows PC (mijn insteek is dat dit fundamenteel onmogelijk is; onder Windows hebben aanvallers zeer veel opties om zo'n programma zelf te beïnvloeden, maar kunnen ook "tussen" de software en de gebruiker gaan "zitten" of juist aan de kant van de verbinding, bijv. door een root-certificaat te installeren).

Ik denk dat je het uit een andere hoek zou kunnen aanvliegen. De applicatie niet bij de gebruiker op de machine draaien
maar op een server bij de bank, en dan alleen de kant en klaar gerenderde schermbeelden naar de gebruiker sturen.
Min of meer de Citrix oplossing dus. Windows heeft al een DRM oplossing die redelijk veilig lijkt te zijn, kennelijk kan
de verspreider van DRM beveiligde content redelijk aangeven wat er mee mag gebeuren en bijv in de gaten houden
of er wel een gecertificeerde videodriver is en beveiligde verbinding met de monitor (HDCP). Je zou daarmee het
probleem van het beinvloeden/jatten van instellingen en andere parameters, en inhoud van de transacties, kunnen
voorkomen omdat deze nooit de omgeving van de bank verlaten. Je stuurt dus alleen kant en klaar gerenderde
beelden via een DRM verbinding naar de gebruiker (dit zou gewoon in een browser moeten kunnen).

Een reden voor de bank is om dit niet te doen is natuurlijk dat dit allemaal geld kost (in ontwikkeling en hardware) en
je er maar voor een beperkt deel van de gebruikers iets mee oplost (Linux gebruikers hebben er niks aan), een deel
wat waarschijnlijk ook alleen maar afneemt in percentage.
23-08-2022, 11:08 door Erik van Straten
Door Anoniem, vandaag om 09:51:
Door Anoniem: [...] Iedereen heeft namelijk wel onderwerpen waar hij de ballen verstand van heeft en niet overziet hoe ontzettend veel meer erover te weten valt dan hij doet. [...]
Dat is helaas een ziekte, waaraan de meeste reaguurders op dit forum last van hebben.
Nee, dat is een menselijke eigenschap.

Ziek is dat sommige (vooral anonieme) reageerders op dit forum het nodig vinden om lange posts (in dit geval ook nog eens off topic) in z'n geheel aan te halen, helemaal als zij vervolgens in één slecht lopende zin totale onzin uitkramen (ernstig geval van onwetend kennisgebrek?), laat staan dat zij iets te melden hebben dat meer dan 0 serieuze lezers van deze site ook maar enigszins zou kunnen interesseren (in plaats van irriteren).
23-08-2022, 12:31 door Erik van Straten
21-08-2022 08:22, door Anoniem: In Firefox kan je dat gelukkig weer uitzetten en een gescheiden zoekinvoerveld tonen. Firefox biedt nog wel zoekmachines aan als ik in de adresbalk iets intyp, dus helemaal weg is het niet, maar op enter reageert het niet met zoeken, daarvoor moet je echt het icoontje van een zoekmachine aanklikken. Het gaat om een paar instellingen:
• Instellingen->Zoeken->Zoekbalk toevoegen in werkbalk
• about:config -> keyword.enabled = false
• about:config -> browser.fixup.alternate.enabled = false
Dank voor de tip, maar dit lijkt niet (goed) te werken in Firefox Nightly voor Android (en zeker niet in de gewone Firefox voor Android wegens ontbreken van ondersteuning van about:config).

Je hebt me wel op een idee gebracht: ik zou zelf een nietsdoende zoekmachine kunnen optuigen (zelfs een app op localhost is denkbaar). Maar op dit moment vind ik andere dingen oppakken belangrijker.

21-08-2022 08:22, door Anoniem:
[blanco homepage instellen]
Dat helpt alleen niet. Er zijn zat "behulpzame" mensen die zoiets gewoon weer instellen.
Dat is inderdaad een probleem, maar als ik zoiets meemaak adviseer ik zo iemand dringend om mij te bellen bij problemen en niemand anders instellingen te laten wijzigen of "handige apps" te laten installeren etc. Als je toch anderen laat rotzooien help ik je niet meer.

21-08-2022 08:22, door Anoniem: Juist omdat Windows zelf van alles probeert op te lossen, vergezeld van popups die juist voor de groep die het niet snapt onbegrijpelijk zijn, worden deze mensen erin getraind om maar op "Ok" te klikken en doen ze dat ook in situaties waarin dat juist vooral niet gedaan moet worden.
Dit is wel een beetje kip-ei: probeert Microsoft het supereenvoudig te maken omdat de meeste mensen geen "moeilijke" (lees: voor hen oninteressante) dingen willen leren, of willen mensen geen moeilijke dingen leren omdat het allemaal supereenvoudig lijkt?

Ik denk dat de meeste mensen een "systeembeheerder" nodig hebben voor de ingewikkelde zaken die je niet oplost met pop-ups en wizards (in elk geval voor een veiliger configuratie, af en toe checken dat back-ups gemaakt worden en problem solving).

21-08-2022 08:22, door Anoniem: Ik gebruik zelf al heel lang Windows niet meer, en heb geen zicht op hoe dit tegenwoordig gaat (en help mensen ook niet meer met Windows-computers, ik weet er niet meer genoeg van), maar dit heeft volgens mij een hoop schade aangericht. Ik heb meegemaakt dat mensen die we nu digibeten noemen, met moeite, maar het lukte, overweg konden met Windows 3.11. Ik heb meegemaakt dat diezelfde mensen, met moeite, maar het lukte, overweg konden met MS-DOS.
Daar waren al zat virussen voor, maar zonder "packet driver" of optionele TCP/IP-stack had je geen internet functionaliteit (laat staan dat er sprake was van netwerkwormen voor die besturingssystemen). De mensen die deze besturingssystemen gebruiken, deden dat omdat het moest voor hun werk (vaak met cursusmogelijkheden) of omdat het hen interesseerde.

Het is niet eenvoudig, maar ik doe mijn best om mij in te leven hoe eenvoudige gebruikers (zonder lange computergeschiedenis) zaken ervaren. Door mijn leeftijd (60+) zie ik veel ouderen "struggelen", maar ook jongeren hebben vaak geen idee wat ze doen: "je moet daar op drukken, dan werkt het".

21-08-2022 08:22, door Anoniem: Die handigheid kunnen mensen ontwikkelen op basis van consistentie. Ik vind het een ronduit slecht idee dat Windows om de zoveel jaar een compleet andere interface krijgt. Ik vind het schadelijk dat de simpele duidelijkheid van een hiërarchisch filesysteem wordt verstoord door virtuele mappen (inclusief je homedirectory) die onbegrijpelijk maken waar iets nou echt staat, en ook het helemaal wegmoffelen van het bestaan ervan op smartphones, zodat steeds meer mensen die het best zouden kunnen er niet meer mee om leren gaan en anderen hun opgedane vaardigheden niet meer kunnen gebruiken - en niet duidelijk zien hoeveel van hun gegevens op computers van een tech-reus staan.
Ik ben het deels met je eens. Als je accepteert dat een deel van de gebruikers niet snapt waarom een hiërarchische directorystructuur vaak handig is (vooral bij veel bestanden), dan begrijp ik "Downloads" en "Mijn documenten" wel (niet dat ik daar zelf ooit iets in zet).

21-08-2022 08:22, door Anoniem: Hoewel het zeker niet gegarandeerd klopt heb ik in de praktijk gemerkt dat Wikipedia een behoorlijk betrouwbare bron is voor het opzoeken/verifiëren van domeinen van bedrijven en organisaties waar Wikipedia een pagina aan wijdt. Ik herinner me niet dat ik heb meegemaakt dat wat daar was aangegeven niet klopte. Als zoekmachines verwarrende resultaten geven (wat kan komen omdat een bedrijf kwistig met allerlei domeinnamen door elkaar werkt) volg ik nog wel eens die weg.
De waarschijnlijk enige keer dat ik onbedoeld malware heb gestart, was na het klikken op een link in een Wikipedia pagina (references). Ik werkte (jaren geleden) als consultant bij "de overheid" op een flexplek PC (roaming profile, vanzelfsprekend geen admin) met natuurlijk IE6 en een niet van de laatste patches voorziene Java. Kennelijk was de domeinnaam van die site verlopen en in handen van criminelen gevallen (leuke anekdote hoe dit daarna verder ging, maar off topic).

Hoewel webbrowsers aan de lopende band lek blijken, is er de laatste jaren gelukkig veel minder "drive by" malware (ik sluit niet uit dat dit weer opleeft zodra we ons beter tegen phishing weten te wapenen).

Terugkomend op Wikipedia: naast oude links kun je ook de pech hebben dat een cybercrimineel net een wijziging heeft doorgevoerd die nog niet door een begrijpende moderator is verwijderd; het blijft natuurlijk een community-driven platform. Persoonlijk zou ik er niet zonder meer vanuit gaan dat links op die site altijd betrouwbaar zijn, en daarom ook op een andere manier checken (zoals googlen).

Je op meerdere bronnen baseren kan en zou iedereen moeten leren - niet alleen in verband met domeinnamen!
23-08-2022, 12:42 door Erik van Straten
Door Anoniem: De applicatie niet bij de gebruiker op de machine draaien maar op een server bij de bank, en dan alleen de kant en klaar gerenderde schermbeelden naar de gebruiker sturen. Min of meer de Citrix oplossing dus. Windows heeft al een DRM oplossing die redelijk veilig lijkt te zijn, kennelijk kan de verspreider van DRM beveiligde content redelijk aangeven wat er mee mag gebeuren en bijv in de gaten houden of er wel een gecertificeerde videodriver is en beveiligde verbinding met de monitor (HDCP).
Dat is read only; bij bankieren voeren gebruikers gegevens in (o.a. inloggegegevens). Bovendien heb je een dan toch een programma nodig op de PC dat een veilige verbinding opzet met die bank (en dat foutloos verifieert) en bijv. downloads (rekenoverzichten) toestaat. Windows is en blijft een slamgenkuil, vooral voor niet-experts, net als gebruiksvriendelijke Linux distro's.

Zolang een iOS of Android smartphone niet geroot is, is het aanvalsoppervlak veel kleiner (maar ook niet nul).
23-08-2022, 13:11 door Anoniem
Door Erik van Straten:
Door Anoniem: De applicatie niet bij de gebruiker op de machine draaien maar op een server bij de bank, en dan alleen de kant en klaar gerenderde schermbeelden naar de gebruiker sturen. Min of meer de Citrix oplossing dus. Windows heeft al een DRM oplossing die redelijk veilig lijkt te zijn, kennelijk kan de verspreider van DRM beveiligde content redelijk aangeven wat er mee mag gebeuren en bijv in de gaten houden of er wel een gecertificeerde videodriver is en beveiligde verbinding met de monitor (HDCP).
Dat is read only; bij bankieren voeren gebruikers gegevens in (o.a. inloggegegevens).
Citrix is read-only? Ok, dat zal ik onze gebruikers vertellen!
23-08-2022, 13:41 door Anoniem
Door Anoniem:
Door Erik van Straten:
Door Anoniem: De applicatie niet bij de gebruiker op de machine draaien maar op een server bij de bank, en dan alleen de kant en klaar gerenderde schermbeelden naar de gebruiker sturen. Min of meer de Citrix oplossing dus. Windows heeft al een DRM oplossing die redelijk veilig lijkt te zijn, kennelijk kan de verspreider van DRM beveiligde content redelijk aangeven wat er mee mag gebeuren en bijv in de gaten houden of er wel een gecertificeerde videodriver is en beveiligde verbinding met de monitor (HDCP).
Dat is read only; bij bankieren voeren gebruikers gegevens in (o.a. inloggegegevens).
Citrix is read-only? Ok, dat zal ik onze gebruikers vertellen!

Beter lezen en beter snappen .

De "DRM" beveiligingen waar poster 10:33 het over heeft (en waar Erik op commentarieert) zijn er voor de content mafia .
Hun doel is het alleen kunnen kijken (zonder kopieren/rippen) van gehuurde films .

Zoals Erik terecht op merkt - het doel van een Citrix-achtige oplossing vergt ook invoer vanuit de gebruiker, en daar zijn die DRM features niet op ingericht .

Overigens - ook die DRM achtige oplossingen , en Citrix - hebben uiteindelijk een trusted platform nodig om hun garanties waar te kunnen maken .
Ze kunnen het "best lastig" maken voor de simpele manieren om een DVD (of stream) te rippen , maar tegen malware met voldoende rechten zie ik ze eigenlijk als kansloos . Legio manieren om bv HDCP te omzeilen bijvoorbeeld , grotendeels voor zeer valide usecases .

De mobiele OSen (en hun hardware) zijn als platform gewoon heel veel veiliger dan iedere 'normale' desktop .

Vanuit content perspectief zag men natuurlijk ook het liefst settop boxen , en game consoles e.d.
23-08-2022, 15:44 door Anoniem
Door Anoniem:
Door Anoniem:
Door Erik van Straten:
Door Anoniem: De applicatie niet bij de gebruiker op de machine draaien maar op een server bij de bank, en dan alleen de kant en klaar gerenderde schermbeelden naar de gebruiker sturen. Min of meer de Citrix oplossing dus. Windows heeft al een DRM oplossing die redelijk veilig lijkt te zijn, kennelijk kan de verspreider van DRM beveiligde content redelijk aangeven wat er mee mag gebeuren en bijv in de gaten houden of er wel een gecertificeerde videodriver is en beveiligde verbinding met de monitor (HDCP).
Dat is read only; bij bankieren voeren gebruikers gegevens in (o.a. inloggegegevens).
Citrix is read-only? Ok, dat zal ik onze gebruikers vertellen!

Beter lezen en beter snappen .

De "DRM" beveiligingen waar poster 10:33 het over heeft (en waar Erik op commentarieert) zijn er voor de content mafia .
Hun doel is het alleen kunnen kijken (zonder kopieren/rippen) van gehuurde films .

Zoals Erik terecht op merkt - het doel van een Citrix-achtige oplossing vergt ook invoer vanuit de gebruiker, en daar zijn die DRM features niet op ingericht .

Dat boeit toch helemaal niet? De gebruiker krijgt als het goed is de door de bank ontvangen input terug te zien dus
als er iemand tussen zit die die aanpast dan ziet ie dat terug en ziet dat het mis gaat.
23-08-2022, 20:19 door Erik van Straten
Door Anoniem:
Door Anoniem: Zoals Erik terecht op merkt - het doel van een Citrix-achtige oplossing vergt ook invoer vanuit de gebruiker, en daar zijn die DRM features niet op ingericht .
Dat boeit toch helemaal niet? De gebruiker krijgt als het goed is de door de bank ontvangen input terug te zien dus als er iemand tussen zit die die aanpast dan ziet ie dat terug en ziet dat het mis gaat.
In theorie heb je gelijk, maar op een PC waar tevens malware op actief is moet je niet willen internetbankieren (tenzij je iets als Cubes OS gebruikt, maar zelfs dan raad ik het af, o.a. omdat Xen een gatenkaas is).

Denkbaar is bijvoorbeeld dat een aanvaller de snelkoppeling naar jouw superveilige programma vervangt door eentje die wijst naar zijn software (op jouw PC) die zich voordoet als, en als twee druppels water lijkt op, jouw superveilige programma, doch de inloggegevens meteen doorstuurt naar de aanvaller. Die onmiddellijk met jouw gegevens inlogt in jouw bankaccount, gebruikmakend van de "superveilige-Citrix-met-DRM" app op zijn PC.

Ook als hij daarna geen geld kan overmaken zonder jouw hulp met een of ander kastje of scanner (hoewel social engineering altijd tot de mogelijkheden behoort), kan hij jou in zijn malware een enge foutmelding laten zien, bijvoorbeeld:
gelijktijdige onbevoegde toegang gedetecteerd, alle sessies worden afgebroken
en in de achtergrond de snelkoppeling terugzetten.

Hij weet nu de saldi van jouw rekeningen en belt jou meteen daarna, zegt dat hij van jouw bank is, vraagt of je net een vreemde foutmelding hebt gezien en waarschuwt je dat cybercriminelen proberen jouw rekeningen te plunderen - waar nu nog de bedragen x, y en z op staan, en dat je die saldi zo snel als mogelijk op een "kluisrekening" moet veiligstellen.

Lees verder bovenaan deze pagina.
23-08-2022, 20:28 door Anoniem
De bank belt je nooit. Dat moeten mensen toch zo langzamerhand wel weten.
23-08-2022, 21:35 door Erik van Straten
Door Anoniem: De bank belt je nooit.
Zeg nooit nooit. Uit https://www.volkskrant.nl/beter-leven/is-het-altijd-fraude-als-ik-een-telefoontje-krijg-van-de-bank~b816ccd0/:
Veel mensen denken dat de bank nooit belt en zijn gealarmeerd als dat wel gebeurt. Maar soms is het telefoontje toch echt. De bank kan u bellen om u ervoor te waarschuwen dat u slachtoffer bent van fraude en om aan te kondigen dat uw rekening en pasjes tijdelijk geblokkeerd worden. De bank kan u ook vragen stellen over uw transacties, omdat u verdacht wordt van betrokkenheid bij witwassen.
23-08-2022, 22:43 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Anoniem: Zoals Erik terecht op merkt - het doel van een Citrix-achtige oplossing vergt ook invoer vanuit de gebruiker, en daar zijn die DRM features niet op ingericht .
Dat boeit toch helemaal niet? De gebruiker krijgt als het goed is de door de bank ontvangen input terug te zien dus als er iemand tussen zit die die aanpast dan ziet ie dat terug en ziet dat het mis gaat.
In theorie heb je gelijk, maar op een PC waar tevens malware op actief is moet je niet willen internetbankieren (tenzij je iets als Cubes OS gebruikt, maar zelfs dan raad ik het af, o.a. omdat Xen een gatenkaas is).

Ik zou zelfs zeggen, in theorie heeft hij _geen_ gelijk .
Ik zie niet in hoe - op een volledig malicious controlled platform - iets kan garanderen dat de ongewijzigde citrix sessie getoond wordt .
Ik ken er (nu) geen software voor die het doet , maar het lijkt me in principe zeer wel mogelijk om een gesimuleerde citrix sessie af te spelen terwijl onder water andere opdrachten gegeven worden, en de werkelijke citrix sessie andere beelden toont .
De race "laten we het banking ecosysteem ombouwen naar citrix clients omdat er *nu* geen malware is die dat target" lijkt me een non-starter.
De mobiele OSen doen het concept 'trusted platform' gewoon heel veel beter dan een generieke WIndows/Mac/Linux desktop met een banking programma dan wel citrix (achtige) client.
Misschien dat Chromebooks ook wat meer in de buurt komen, maar dat is dan ook vrijwel een 'mobiel OS' meer dan een "generieke desktop" .

[knip andere aanvalsvectoren]
24-08-2022, 08:01 door Anoniem
Door Erik van Straten:
Door Anoniem: De bank belt je nooit.
Zeg nooit nooit. Uit https://www.volkskrant.nl/beter-leven/is-het-altijd-fraude-als-ik-een-telefoontje-krijg-van-de-bank~b816ccd0/:
Veel mensen denken dat de bank nooit belt en zijn gealarmeerd als dat wel gebeurt. Maar soms is het telefoontje toch echt. De bank kan u bellen om u ervoor te waarschuwen dat u slachtoffer bent van fraude en om aan te kondigen dat uw rekening en pasjes tijdelijk geblokkeerd worden. De bank kan u ook vragen stellen over uw transacties, omdat u verdacht wordt van betrokkenheid bij witwassen.
Inderdaad, dat is mij wel eens overkomen. Vlak voordat de magneetstrip op pinpassen ophield gebruikt te worden heb ik nog een keer ergens gepind waar het alleen met de magneetstrip bleek te kunnen. Ik heb die winkelier er nog op gewezen dat dat echt niet verantwoord meer was en zelfs dat door dat als een van de laatsten nog te doen hij daarmee extra aantrekkelijk werd voor skimmers. Kort daarop werd ik door mijn bank gebeld dat ze mijn pas hadden geblokkeerd omdat ik had gepind op een apparaat waar inderdaad skimmers actief waren geweest. Van mijn rekening was gelukkig geen geld gestolen.

En bank kan dus inderdaad wel bellen. Belangrijk is dat je bank nooit om pincodes, wachtwoorden, codes van digipassen en dergelijke zal vragen. Jouw rekening zit niet in een soort kluis waar de bank niet bij kan, alle gegevens staan in een administratief systeem waar de bank volledige toegang toe heeft. Niemand bij de bank mag overal bij, maar het bedrijf als geheel heeft toegang tot zijn eigen administratie, inclusief jouw rekening- en saldogegevens.

Bij zo'n telefoontje over een geblokkeerde pas zal de bank daarom nooit jouw hulp nodig hebben om iets te blokkeren of om je geld te redden. Ze kunnen dat zelf. Als iemand die zegt van je bank te zijn dat wel nodig heeft, dan is het gegarandeerd een oplichter.
24-08-2022, 10:09 door Anoniem
Door Erik van Straten:
Denkbaar is bijvoorbeeld dat een aanvaller de snelkoppeling naar jouw superveilige programma vervangt door eentje die wijst naar zijn software (op jouw PC) die zich voordoet als, en als twee druppels water lijkt op, jouw superveilige programma, doch de inloggegevens meteen doorstuurt naar de aanvaller. Die onmiddellijk met jouw gegevens inlogt in jouw bankaccount, gebruikmakend van de "superveilige-Citrix-met-DRM" app op zijn PC.

Ook als hij daarna geen geld kan overmaken zonder jouw hulp met een of ander kastje of scanner (hoewel social engineering altijd tot de mogelijkheden behoort), kan hij jou in zijn malware een enge foutmelding laten zien, bijvoorbeeld:
gelijktijdige onbevoegde toegang gedetecteerd, alle sessies worden afgebroken
en in de achtergrond de snelkoppeling terugzetten.

Hij weet nu de saldi van jouw rekeningen en belt jou meteen daarna, zegt dat hij van jouw bank is, vraagt of je net een vreemde foutmelding hebt gezien en waarschuwt je dat cybercriminelen proberen jouw rekeningen te plunderen - waar nu nog de bedragen x, y en z op staan, en dat je die saldi zo snel als mogelijk op een "kluisrekening" moet veiligstellen.

Lees verder bovenaan deze pagina.

Als ik een onduidelijke foutmelding krijg en geen geld kan overmaken dan is het de bedoeling dat IK de bank bel en
vraag wat er aan de hand is, en dan zal de bank mij vertellen dat er inderdaad toegang gezien is van een afwijkend
IP adres en met mij bespreken wat we gaan doen.

Als de bank MIJ belt dan zal ik het gesprek beperken tot ontvangen van informatie en indien ik dat nodig acht de bank
terug bellen. En ZEKER geen geld overmaken op een "kluisrekening". Ik ben niet GEK!

Dat er altijd mensen zijn die wel gek zijn, en/of die zich niet houden aan basis principes en procedures, dat kan ik
ook niet helpen. Wel baal ik er van dat ik moet meebetalen aan het "vergoeden van hun schade". Ik denk echter niet
dat daar met technische middelen wat aan te doen is want er is altijd weer een lagere bodem van domheid. Beter is
het om duidelijker te adverteren dat schade door eigen toedoen (zoals het overmaken van geld naar kluisrekeningen)
niet vergoed wordt.
24-08-2022, 11:45 door Anoniem
Door Erik van Straten: ... omdat Xen een gatenkaas is.

Citation needed.
24-08-2022, 13:33 door [Account Verwijderd]
Door Anoniem:
Door Erik van Straten:
Denkbaar is bijvoorbeeld dat een aanvaller de snelkoppeling naar jouw superveilige programma vervangt door eentje die wijst naar zijn software (op jouw PC) die zich voordoet als, en als twee druppels water lijkt op, jouw superveilige programma, doch de inloggegevens meteen doorstuurt naar de aanvaller. Die onmiddellijk met jouw gegevens inlogt in jouw bankaccount, gebruikmakend van de "superveilige-Citrix-met-DRM" app op zijn PC.

Ook als hij daarna geen geld kan overmaken zonder jouw hulp met een of ander kastje of scanner (hoewel social engineering altijd tot de mogelijkheden behoort), kan hij jou in zijn malware een enge foutmelding laten zien, bijvoorbeeld:
gelijktijdige onbevoegde toegang gedetecteerd, alle sessies worden afgebroken
en in de achtergrond de snelkoppeling terugzetten.

Hij weet nu de saldi van jouw rekeningen en belt jou meteen daarna, zegt dat hij van jouw bank is, vraagt of je net een vreemde foutmelding hebt gezien en waarschuwt je dat cybercriminelen proberen jouw rekeningen te plunderen - waar nu nog de bedragen x, y en z op staan, en dat je die saldi zo snel als mogelijk op een "kluisrekening" moet veiligstellen.

Lees verder bovenaan deze pagina.

Als ik een onduidelijke foutmelding krijg en geen geld kan overmaken dan is het de bedoeling dat IK de bank bel en
vraag wat er aan de hand is, en dan zal de bank mij vertellen dat er inderdaad toegang gezien is van een afwijkend
IP adres en met mij bespreken wat we gaan doen.

Als de bank MIJ belt dan zal ik het gesprek beperken tot ontvangen van informatie en indien ik dat nodig acht de bank
terug bellen. En ZEKER geen geld overmaken op een "kluisrekening". Ik ben niet GEK!

Dat er altijd mensen zijn die wel gek zijn, en/of die zich niet houden aan basis principes en procedures, dat kan ik
ook niet helpen. Wel baal ik er van dat ik moet meebetalen aan het "vergoeden van hun schade". Ik denk echter niet
dat daar met technische middelen wat aan te doen is want er is altijd weer een lagere bodem van domheid. Beter is
het om duidelijker te adverteren dat schade door eigen toedoen (zoals het overmaken van geld naar kluisrekeningen)
niet vergoed wordt.

Daar gaan we weer. Niet begrijpen wat social engineering met mensen kan doen en natuurlijk weer strooien met denigrerende opmerkingen: Slachtoffers van social engineering zijn gek, dom of hebben zelfs een "lagere bodem van domheid." ('mongool' heb ik ook al eens de revue zien passeren, nu de overtreffende trap idioot als verpersoonlijking van de "lagere bodem van...")

Hear hear!, kennis van psychologie is onder IT'ers van academische waarde. Nu weet ik waar ik moet zijn voor hulp als ik ooit depressief wordt...
25-08-2022, 08:50 door Erik van Straten
Door Anoniem:
Door Erik van Straten: ... omdat Xen een gatenkaas is.

Citation needed.
Naast part 1 en 3: https://invisiblethingslab.com/resources/bh08/part2.pdf (vooral het aantal pagina's over de rol van Intel is m.i. interessant)

https://www.cvedetails.com/product/23463/XEN-XEN.html?vendor_id=6276

Google "xen" "guest" "escape"
25-08-2022, 10:18 door Erik van Straten
Naast de mythe dat banken je nooit bellen, kan ik er nog twee ontkrachten:

Banken gebruiken geen kromme zinnen, geen zinnen waarin niet duidelijk is wat er bedoeld wordt en maken geen spelfouten
Uit notabene https://www.rabobank.nl/particulieren/actueel/let-op-er-zijn-oplichters-actief.html (regelnummers toegevoegd door mij):
1) Helaas zijn er op dit moment oplichters actief die zich voordoen als een medewerker van de Rabobank.

2) Deze criminelen misbruiken het telefoonnetwerk en bellen zo vanaf het echte telefoonnummer van je eigen bank.

3) Wij kunnen zelf niet voorkomen dat anderen misbruik maken van onze telefoonnummers.

4) Wordt je onverwacht gebeld?

5) Tijdens het telefoongesprek kan het zijn dat je een sms van de oplichter krijgt, waarin staat dat deze nu geholpen wordt door medewerker X van de Rabobank.

Banken zullen je nooit mailen vanaf een ander domein dan "bank.nl"
Van Triodos onvang ik e-mails zowel vanaf triodos.nl als van triodos.net. Hoe kan een leek weten dat die laatste domeinnaam van de Nederlandse Triodos bank is?
25-08-2022, 19:41 door Anoniem
Toch blijft dit onhandig van de bank om mensen te bellen. Dit opent namelijk de deur voor criminelen want het kan echt de bank zijn. Persoonlijk zou ik als de bank mij belt het gesprek direct beëindigen want ik weet niet of het echt de bank is. Verder kost het tijd om het blokkeren van de rekening telefonisch aan te kondigen. Gewoon direct blokkeren bij verdachte omstandigheden. De rekeninghouder zoekt dan zelf wel contact met de bank.
25-08-2022, 21:03 door Anoniem
Door Anoniem: Toch blijft dit onhandig van de bank om mensen te bellen. Dit opent namelijk de deur voor criminelen want het kan echt de bank zijn. Persoonlijk zou ik als de bank mij belt het gesprek direct beëindigen want ik weet niet of het echt de bank is. Verder kost het tijd om het blokkeren van de rekening telefonisch aan te kondigen. Gewoon direct blokkeren bij verdachte omstandigheden. De rekeninghouder zoekt dan zelf wel contact met de bank.

Goed dat jij het beleid niet bepaald.

Ik zou ZWAAR pissed geweest zijn als ze zonder iets te melden mijn examen boeking/betaling geblokkeerd hadden ,en mij dat laten ontdekken doordat mijn boeking niet door kwam en ik mijn kans kwijt was.

(Ik heb inderdaad eens een belletje gekregen voor zo iets - "klopt het dat U zojuist bedrag x betaald hebt aan <org y> " met een verder heel stille CC ).

"Alleen maar" in het restaurant staan met een geblokkeerde kaart is ook al geweldig . Vooral omdat _de_blokkeren echt niet telefonisch gaat gebeuren .

Als het verdacht genoeg is om te blokkeren is er nog steeds heel veel voor te zeggen om dat te melden aan de klant .

Jammer dat de instructie voor mensen _iets_ complexer moet zijn (bank _meldt_ en klant bevestigd) , maar de "knijp-en-piep" methode is echt niet geschikt hier.
26-08-2022, 18:18 door Anoniem
Door Anoniem:
Door Anoniem: Toch blijft dit onhandig van de bank om mensen te bellen. Dit opent namelijk de deur voor criminelen want het kan echt de bank zijn. Persoonlijk zou ik als de bank mij belt het gesprek direct beëindigen want ik weet niet of het echt de bank is. Verder kost het tijd om het blokkeren van de rekening telefonisch aan te kondigen. Gewoon direct blokkeren bij verdachte omstandigheden. De rekeninghouder zoekt dan zelf wel contact met de bank.

Goed dat jij het beleid niet bepaald.

Ik zou ZWAAR pissed geweest zijn als ze zonder iets te melden mijn examen boeking/betaling geblokkeerd hadden ,en mij dat laten ontdekken doordat mijn boeking niet door kwam en ik mijn kans kwijt was.

(Ik heb inderdaad eens een belletje gekregen voor zo iets - "klopt het dat U zojuist bedrag x betaald hebt aan <org y> " met een verder heel stille CC ).

"Alleen maar" in het restaurant staan met een geblokkeerde kaart is ook al geweldig . Vooral omdat _de_blokkeren echt niet telefonisch gaat gebeuren .

Als het verdacht genoeg is om te blokkeren is er nog steeds heel veel voor te zeggen om dat te melden aan de klant .

Jammer dat de instructie voor mensen _iets_ complexer moet zijn (bank _meldt_ en klant bevestigd) , maar de "knijp-en-piep" methode is echt niet geschikt hier.
Ik zou zwaar pissed zijn als bij verdachte transacties de bank niet direct de boel blokkeert maar tijd gaat verliezen met telefoneren. Examen is ook niet echt een goed voorbeeld, dat zou je wel ruim op tijd van de school horen, is ook niet bepaald een verdachte transactie.
27-08-2022, 05:25 door Anoniem
Door Anoniem: Ik zou zwaar pissed zijn als bij verdachte transacties de bank niet direct de boel blokkeert maar tijd gaat verliezen met telefoneren.
Dat doen ze ook niet. Ze blokkeren je pas en daarna bellen ze je om te laten weten dat ze je pas hebt geblokkeerd, dat je een nieuwe krijgt etc.

Wist je dat een bank niet één persoon is die alleen maar dingen na elkaar kan doen? Er werken een heleboel mensen, en die kunnen verschillende taken parallel uitvoeren.

En wist je aan de bulk van de taken die banken uitvoeren helemaal geen mensen te pas komen? Banken hebben al vele tientallen jaren de meeste verwerkingen volledig geautomatiseerd. Als een bank niet constant ver achter de feiten aan wil lopen (wat duur zal uitpakken) zullen ze bekende en goed herkenbare patronen dat er iets verdachts gaande is volautomatisch herkennen en ook volautomatisch afhandelen.

Als bijvoorbeeld ergens ontdekt wordt dat er met een geld- of pinautomaat is geknoeid zal het blokkeren van de passen die recent in aanraking zijn geweest met die automaat zeker volautomatisch gebeuren. Dat gaan ze echt niet met de hand uitpluizen, dat is veel te traag en veel te foutgevoelig. Er hoeft alleen maar een signaal het systeem binnen te komen dat een bepaalde automaat in een bepaalde periode niet te vertrouwen was, en daarmee kunnen alle transacties die in die periode bij die automaat hebben plaatsgevonden worden geselecteerd, de gebruikte pasnummers verzameld, die passen kunnen worden geblokkeerd en vervangende passen kunnen worden aangevraagd. Volautomatisch, zonder dat bankmedewerkers daar iets voor hoeven te doen. Banken hebben aanzienlijk complexere verwerkingen dan dit volledig geautomatiseerd, dus dit kunnen ze ook prima, en ik twijfel er niet aan dat ze het ook doen. Er kunnen uitzonderingen zijn, er bestaan voorbeelden van dingen die met de hand werden gedaan die te knullig waren voor woorden, maar die wekken verbazing juist omdat het uitzonderingen zijn.

Dat is precies waar automatisering voor dient: dingen automatisch afhandelen zodat je niet meer afhankelijk bent van de traagheid van mensen en van het soort fouten dat mensen makkelijk maken. Bij wat kantoorautomatisering wordt genoemd ben je gewend dat applicaties vooral, of zelfs uitsluitend, reageren op dingen die mensen achter een beeldscherm doen. Bij grote geautomatiseerde systemen zoals banken die gebruiken gebeurt veruit het meeste juist zonder dat er mensen of beeldschermen aan te pas komen. En dat was al zo voordat medewerkers pc's of zelfs domme terminals op hun bureau hadden staan. Dit soort automatisering is niet nieuw, het bestaat juist al veel langer dan interactief computergebruik.

De mensen die je bellen verliezen helemaal geen tijd met telefoneren. Die doen het uitzoekwerk niet, die krijgen op hun beeldscherm de volgende klant te zien die gebeld moet worden over een al geblokkeerde transactie, pas of rekening, met alle informatie erbij die nodig is om dat gesprek te kunnen voeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.