Ik denk dat


Dat ze daarmee geen betaalopdracht bevestigd heeft, maar een goedkeuring gegeven om de Rabo App van de boef aan haar rekening te koppelen .

Waarschijnlijk is bij de Rabo dat wel voldoende om saldi te zien, maar niet om over te boeken . (ik geloof dat de rabo dat met scanner+bankpas doet) .
Vandaar dat toen het bullshit verhaal van 'kluisrekening' verteld moest worden , maar wel dat ze konden doen alsof ze van de bank waren "want ze weten het rekeningnummer en saldi "

020-gaza nummer gespoofed ? Hoeft niet eens , er zitten meer dan genoeg boeven in 020 .

Van de rabo verwacht je toch een Utrechts nummer (030) ? Maar goed , callcenter kan elders zitten. En als algemeen nummer gebruiken ze (inkomend) 088 . [niet-geografisch vaste lijn]

Ik denk dat het hier misging:
De weblink zal niet naar de Rabobank maar naar een webpagina van de boeven hebben geleid. Die zal als twee druppels water op die van Rabo hebben geleken. Ze zullen hebben kunnen aanloggen op haar Rabo-account met de gegevens die ze op de valse webpagina ingaf en haar saldi hebben kunnen zien. De QR-code of code voor de Rabo-scanner hebben ze gewoon overgenomen van de echte Rabo-site waar ze zelf op de achtergrond verbinding mee maakten.

Ik wil jou een compliment geven voor hoe goed je hiermee bent omgegaan, en ook voor hoe nauwkeurig je beschrijft wat er precies is gebeurd. Dat is vaak essentieel om de vinger op de zere plek te kunnen leggen en daar zijn veruit de meeste mensen niet goed in. Goed gedaan!

En je buurmeisje verdient ook een compliment voor het feit dat ze aanvoelde dat het niet deugde en voor het feit dat ze daar hulp bij heeft gezocht. Gelukkig bij iemand die er goed mee omging. Ik weet niet of je je daar al lovend over hebt uitgelaten tegen haar, maar zo niet: sla dat niet over! Die meid heeft verdomd goed gereageerd door op het cruciale moment hulp te zoeken bij iets waar ze zelf niet uitkwam, en dat is niet vanzelfsprekend. Ook voor haar: goed gedaan! Breng dat compliment alsjeblieft aan haar over.

Wat jij duidelijk beseft hebt en wat lang niet iedereen beseft op het moment dat het erom spant: je kan ALTIJD ophangen en vervolgens ZELF je bank bellen, niet via een nummer dat je zojuist hebt gekregen maar via een nummer dat je al kent of opzoekt buiten de beller om. Het is nooit zo dringend dat je daar geen tijd voor hebt.

Ook van belang om te beseffen: je bank kan zelf bij je rekening en je saldo. Dat zit niet in een soort kluis waar alleen jij bij kan, het is niet meer dan een boekhouding die de bank voert, en daar kunnen ze gewoon bij. Het is daarom nooit nodig dat jij actie onderneemt om iets te blokkeren als de bank het probleem heeft ontdekt en jou belt: dat kan de bank zelf. Het is wel nodig dat jij de bank belt als jij degene bent die ontdekt dat er iets mis is, bijvoorbeeld als je pas is gerold.

Heeft marktplaats nog actie ondernomen en hoelang heeft het gekost voordat zij iemand van de Rabobank en de telefoon had?

Lief dat je haar geholpen hebt +1.

Hier ging het mis, daar heeft ze ingelogd op haar bankrekening via een phishingsite. Boef-1 keek mee en heeft alles om toegang tot echte rekening(en) te krijgen.

Heeft ze nog mazzel gehad, meestal bij die marktplaats scams wordt er meteen bedragen afgeschreven.

Ik vermoed het volgende:

Boef-1 weet nu dat ze bij de Rabobank bankiert (rekeningnummer boeit nog niet) en zet een nep inlogpagina voor de Rabobank klaar.

De aameldpagina die zij te zien kreeg zal als twee druppels water op die van de Rabobank hebben geleken, maar was een soort "proxy" naar de echte inlogpagina. De door haar ingevoerde gegevens zet boef-1 door naar de echte inlogpagina waarna boef-1 de saldi kan zien en doorsturen naar z'n maten (er wordt niet overgeboekt, want daar is die Raboscanner weer voor nodig en dat laat bij de meeste mensen alarmbellen afgaan, en en bij de Rabobank omdat dan vanaf een onbekend IP-adres veel geld wordt overgeboekt).

Als zij dat had gedaan was dat gebeurd vanaf een bij de bank bekend IP-adres (of variabel maar van dezelfde ISP) en was dat minder verdacht geweest, en mogelijk niet geblokkeerd door haar bank.

Toch betwijfel ik dat, want voor het inloggen bij de RABO-bank moet je de RABO bankpas hebben welke je in de dan weer niet persoonsgebonden RABO-scanner plaatst.
Zo'n scanner zullen de boeven dus wél hebben gehad, maar zij beschikten niet over de bankpas van het buurmeisje.

Ik heb zelf geen RABO bank-account, maar heb het opgezocht en dat is wat ik er tenminste van begrijp.
(zie: https://statics.rabobank.com/binaries-processed/hoe_werkt_de_rabo_scanner_29686467_931155341.pdf)
Noot: pdf downloadlink.
-------------------------------

Toegevoegd, 09:35 uur:

Alsjeblieft laten we er geen 'bank zus bank zo is beter' discussie van maken, maar ik wil alleen kwijt dat de ING scanner wel persoonsgebonden is want die moest ik voor het eerste gebruik valideren met mijn bankrekening.(*) Dus ik stel voorzichtig dat het gebruik van de ING-scanner misschien veiliger is, hoewel die veiligheidsmarge misschien wel wordt gecompenseerd bij de RABO omdat je daar wel weer je bankpas nodig hebt t.b.v. gebruik van de RABO-scanner.

Ik vind het moeilijke materie, ben daarin uiteraard geen specialist, maar dat is wat ik opmerk in een vergelijking tussen de RABO-scanner en die van ING.

Het zou mooi zijn als een onafhankelijk specialist op het gebied van de diverse inlogmethodes bij banken een overzicht zou kunnen geven van de voor- en nadelen bij diverse banken bij gebruik van de scanner. Er is altijd veel al of niet zinvolle discussie over gebruik van de smartphone voor bankzaken, maar over de scanner methodes lees je maar bar weinig.

(*)https://www.ing.nl/media/509087-2007-Handleiding%20activeren%20Scanner_tcm162-181041.pdf
Noot: pdf downloadlink

Edit: URL toegevoegd

Dat klopt, het ING systeem is veel beter omdat dit verschillende informatie vereist om te kunnen inloggen/overboeken:
- een usernaam (zelf gekozen)
- een wachtwoord
- een gepersonaliseerde scanner
- de pincode van die scanner (die niet gelijk kan zijn aan die van je betaalpas)

M.a.w. je hebt zowel 3 kennis elementen als 1 fysiek element nodig, en die worden niet voor andere doeleinden gebruikt.

Bij RABO en ABNAMRO (en nog wat anderen) heb je alleen nodig:
- een bankpas
- de pincode van die pas
- een scanner die niet gepersonaliseerd is, alle scanners voldoen

Met die bankpas loop je de hele dag over straat en die pincode toets je her en der in.
Het risico dat iemand die pincode ziet en die bankpas in handen weet te krijgen is VEEL groter dan dat iemand je
ING authenticatie middelen in handen krijgt. Heeft iemand alleen je ING pas dan kan die per dag opnemen/betalen
wat je zelf als limiet ingesteld hebt en die limiet kan hij niet veranderen. Heeft iemand je RABO of ABNAMRO pas
dan kan die daarmee inloggen op de bankieromgeving en de rekening leegboeken of de limieten van de pas veranderen
en het geld uit een automaat tappen. Die limieten hadden ze net zo goed weg kunnen laten want je past ze aan
met hetzelfde middel als wat er mee beveiligd wordt.

Ik denk dat het niet uit maakt of de scanner wel/niet persoonsgebonden is. De criminelen hebben hem hier toch niet nodig.

De link wijst naar een nep site die precies de kleurcode van de echte site laat zien. De criminelen zullen dat veld met een of andere link op hun nep site zetten. Als je dan de kleurcode op de nep site met je eigen scanner inleest, krijg je daardoor een geldige response code. Die vul je op de nep-site in en de criminelen loggen daarmee op het rekening van het slachtoffer in.

Vervolgens hebben ze 10 minuten de tijd genomen om alle bedragen te bekijken en de echte aanval voor te bereiden. Gelukkig was het slachtoffer nu wel alert en kon ze de echte schade voorkomen.

Dit geeft wel weer aan dat je nooit via een externe link naar je bank moet gaan. En kun je er echt niet omheen, moet je het certificaat zelf bekijken en niet genoegen nemen met slechts de aanwezigheid van een slotje.

Als je een kleurcode scant met de ING scanner dan geeft deze op het scherm precies aan waar je toestemming voor geeft.
Dus bijvoorbeeld "overmaken van 0,01 naar rekening 12345" of "inloggen op de ING website" of "activeren van uw creditcard met nummer xxxx 1234" etc.
Als je een betaal link krijgt en je logt in en je krijgt dan een kleurcode die zegt "inloggen op de ING website" dan ben je niet handig bezig.

Tuurlijk, dan komen weer de reacties van "ja maar dat doen de mensen nou eenmaal, ze geven toch OK wat er ook staat" maar dat kun je dan op een gegeven moment niet meer oplossen. Die mensen kun je ook een acceptgiro van 1000 euro "voor energierekening" sturen die ze dan gewoon ondertekenen en op de bus doen. Ergens houdt het een keer op.

Feitelijk zijn beide scanners persoonsgebonden - die van de ING als device door het initialiseren, die van de RABO door het bezit van de juiste bankpas.
En ze hebben last van dezelfde zwakte in het gebruiks-proces - een gebruiker die zich authenticeert via een valse site (soort van malicious proxy) laat de operator van die site alles zien (en doen) wat de gebruiker kan .

De verantwoording om alleen op de echte bank-site te authenticeren ligt puur bij de gebruiker en z'n handigheid met computers.


Dat is precies wat een bank-app op een telefoon of tablet beter maakt : de app gaat naar de hardcoded bank URL , en zal het certificaat exact controleren.

Op een desktop is zowel het host-platform gemiddeld onveiliger, en ligt de controle bij de eindgebruiker die de URL goed moet lezen en dan ook naar slotjes moet kijken en bedenken dat ie een waarschuwing niet moet wegklikken .
Het scheelt al een beetje als je via bookmarks naar je banksite gaat - maar de bank-app heeft dat hele probleem gewoon niet.

Als je zo'n buurmeisje moet adviseren is "zet de app op je telefoon" gewoon een goed en simpel en veilig advies.

Beter dan "tik zelf heel goed de URL in en let op het slotje en klik voor de zekerheid ook nog op de link en bekijk dan het certificaat en lees heel goed of daar tussen al die getallen iets van je bank staat". Met het omliggende advies dat ze ook alle updates moet installeren en een virusscanner en en en en.

Dat pasje hebben ze ook niet nodig. Als ze hun website opzetten als een proxy-server die doorverbindt naar de Rabo-site dan ziet het slachtoffer de juiste QR- of kleurcodes, werden de responses, en kunnen ze alles zien wat het slachtoffer opvraagt. Het is in zelfs denkbaar dat als het slachtoffer uitlogt die actie niet wordt doorgegeven aan Rabo maar alleen wordt gesimuleerd naar het slachtoffer, terwijl vanaf dat moment de boef de sessie kan overnemen. Dat kan bijvoorbeeld ook als er niet expliciet is uitgelogd maar er enige tijd geen requests zijn geweest. Dan kan de aanvaller de sessie overnemen en naar hartelust informatie verzamelen die later kan worden gebruikt om overtuigend over te komen als ze als zogenaamde Rabo-medewerker het slachtoffer bellen.

En denk niet dat dit moeilijk is. Deze link laat zien dat je een simpele proxy-server in slechts 17 regels Python-code kan schrijven:
https://levelup.gitconnected.com/how-to-build-a-super-simple-http-proxy-in-python-in-just-17-lines-of-code-a1a09192be00?gi=7949396e7284
Als je op zo'n basis voortbouwt om te doen wat ik heb beschreven worden het heel wat meer dan 17 regels, maar het zal nog steeds vrij simpele software zijn.

Bij de ABN en ook de Rabo is de procedure voor inloggen en betalen idd iets anders. Bedenk echter dat het slachtoffer hier de vraag krijgt voor het bevestigen van een betaalverzoek. Dit zal een procedure zijn die zij waarschijnlijk nooit gedaan heeft. (Misschien kent die bank die optie niet eens) Als het scherm nu ook nog nog een aangepaste tekst toont, dan zie je waarschijnlijk niet eens dat je de inlogprocedure volgt.

In elk geval zal het scherm niet 'inloggen' tonen, maar iets in de trant van "betaalverzoek bevestigen'. Ik verwacht niet dat je op dit punt argwaan gaat krijgen. De argwaan had er moeten zitten bij het volgen van een link naar je eigen bank uit onbekende bron.

Maar dat gaat dat scherm niet zeggen, want de criminelen hebben geen invloed op wat er op dat scherm komt, die
invloed heeft alleen de bank. Die tekst wordt bepaald door het kleurenpatroon, en hoewel het hen vast wel zal lukken
om dat kleurenpatroon te relayeren van een echte website naar een nepwebsite, zal het hen NIET lukken om dat patroon
zodanig aan te passen dat er een andere tekst op het scherm (let op! ik heb het over het scherm van de scanner!) komt
en dat de geretourneerde code evengoed geldig is. Dat is cryptografisch allemaal goed dichtgetimmerd.

Misschien had je eerst de boef moeten vragen wat hjj/zij aan bezittingen had, en waarom hij het geld nodig had.

En dit vergelijken met het "slachtoffer"

Niet iedereen doet dit om drugs te kopen, er zijn ook mensen met broodnood die door de sociale dienst weggestuurd/weggepest worden of hun gezin niet kunnen onderhouden.

Je hoeft het servercertificaat niet te bekijken, jouw webbrowser checkt dit voor jou en waarschuwt je als er iets niet klopt.

Sterker, ik raad het bekijken van https servercertificaten af tenzij je er echt verstand van hebt, want dit is voor de meeste mensen onbegrijpelijke kost. Bovendien, in Firefox voor Android en iOS, en Safari voor iOS en iPadOS, kan ik het certificaat niet eens bekijken. En sowieso is het essentieel dat je checkt of de in de URL-balk getoonde domeinnaam van de bedoelde organisatie (met de bedoelde toepassing) is; een servercertificaat kan veel meer domeinnamen bevatten. Een certificaat checken leidt vooral af.

Ik heb, ook voor mijzelf, maar eens op een rijtje gezet wat je allemaal wél moet weten om redelijk veilig te kunnen internetbankieren via een webbrowser, met als voorbeeld de Rabobank. Het lijkt moeilijk en veel, maar in de praktijk valt het m.i. reuze mee, vooral zodra je dit een tijdjje serieus hebt geoefend.


Om redelijk veilig te kunnen internetbankieren met een webbrowser, moet je het volgende weten:
0) Wat een webbrowser is, hoe je deze start en afsluit, dat deze meerdere tabs of vensters open kan hebben en hoe je daartussen wisselt.

1) Belangrijk: Dat een door jouw webbrowser getoonde webpagina een (bijna of exact) identieke kopie kan zijn van een pagina afkomstig van een andere website.

2) Dat je dus, vóórdat je iets invult, downloadt of voor authentiek aanneemt wat je leest, altijd eerst moet checken of je op de bedoelde website zit.

3) Dat je dit vaststelt aan de hand van de domeinnaam plus slotje (of "https://naam.tld/" - waarbij je i.p.v. "naam.tld" moet denken aan "rabobank.nl"). Nb. TLD staat voor Top Level Domain.

4) Welk deel van jouw webbrowser, bij nep, wel betrouwbare informatie toont (tenzij "volledig scherm" is ingeschakeld, want dan kan alles wat je ziet nep zijn).

5) Wat de URL-balk is in jouw webbrowser en waar je deze vindt.

6) Wat een URL is en welk deel daarvan de domeinnaam is.

7) Dat webbrowsers vaak slechts een deel van de URL tonen in de URL-balk (tenzij je er in klikt of de URL kopieert naar het klembord en dan plakt in kladblok of een andere editor of tekstverwerker).

8) Wat een domeinnaam precies is en welke optionele onderdelen (tussen "//" en eerstvolgende "/" - scheidingen die zelf niet altijd door webbrowsers worden getoond) niet tot een domeinnaam behoren.

9) Dat spelfouten ('0' i.p.v. 'o', '1' of 'i' i.p.v. 'l', 'rn' i.p.v. 'm', 'vv' i.p.v. 'w' etc.) in een domeinnaam altijd wijzen op nep.

10) Dat een domeinnaam misleidende karakters uit bijvoorbeeld het Griekse schrift kan bevatten, en dat je dergelijke potentieel bedriegelijke domeinnamen eruit pikt door, in de instellingen van de webbrowser (indien beschikbaar) "show punycode" aan te zetten (of "show IDN" / "show International Domain Names" uit) - of door de URL uit de URL-balk via het klembord in kladblok te plakken en te bekijken (voor meer info zie de 2e helft van https://security.nl/posting/734218). Toegegeven, de "punycode" domeinnaam kun je ook zien door het https servercertificaat te inspecteren.

11) Dat de domeinnaam pas eindigt bij de eerstvolgende forward slash ("/") - die niet altijd getoond wordt (zie het volgende punt).

12) Dat sommige webbrowsers de forward slash achter de domeinnaam soms niet tonen, nl. als er niets volgt achter die "/", zoals in slotje + "rabobank.nl" of mogelijk "https://www.rabobank.nl" (klik bijv. op de volgende link -die in een nieuw venster of nieuw tabblad opent- en kijk wat je ziet in jouw webbrowser: https://www.security.nl/).

13) Dat je domeinnamen van rechts naar links moet lezen, en dat de eigenaar van naam.tld altijd zeggenschap heeft over subdomeinnamen (en subsubdomeinnamen etc.) in sub.naam.tld. Dat wil niet altijd zeggen dat de organisatie met naam verantwoordelijk is en/of toegang heeft tot servers achter subdomeinen, zoals bijvoorbeeld in het geval van bedrijfsnaam.sharepoint.com" en theregister.co.uk. Ook bij iets als mailings.rabobank.nl bestaat de kans dat de server daarvoor van een andere organisatie is, waardoor de beveiliging daarvan minder goed kan zijn dan van servers van de bank zelf. Kijk dus ook altijd naar subdomeinnamen: iets als test.rabobank.nl is hartstikke verdacht als "productie" website voor internetbankieren; criminelen zouden zo'n testserver mogelijk eenvoudiger kunnen hacken en vervolgens phishingmails met een link daarnaar verzenden.

14) Dat punten (en niks anders) in domeinnamen de essentiële scheidingstekens zijn. Dus dat
"wwwrabobank.nl/" en bijvoorbeeld
"www-rabobank.nl/" en
"www_rabobank.nl/" niet van de Rabobank zijn, terwijl
"www.rabobank.nl/" en
"rabobank.nl/" wél van de Rabobank zijn.

15) Dat veel websites genaamd "www.naam.tld" jouw browser automatisch doorsturen naar "naam.tld" maar dat er ook websites zijn die dit andersom doen (zoals https://security.nl/).

16) Dat webbrowsers het voorvoegsel "www." vaak niet tonen in de URL-balk (en je dus geen idee hebt van punt 15).

17) Dat het TLD zoals ".nl even essentieel is als de tekst daarvoor; "rabobank.ni en "rabobank.eu" kunnen van cybercriminelen zijn.

18) Dat het handig kan zijn om te weten dat ".nl" niet betekent dat de server in Nederland staat, maar ook niet dat de eigenaar van die domeinnaam een Nederlander is of in Nederland gevestigd is. Ook handig om te weten is dat de meeste webpagina's jouw webbrowser opdragen om tevens "content" (pagina-onderdelen waaronder plaatjes, maar dit kan vanalles zijn) van andere websites te laden, waar je normaal gesproken geen domeinnamen van te zien krijgt. Dit is niet zonder risico's maar zeker als beginner kun je hier weinig tot niets tegen doen, anders dan "third party cookies" disablen in de instellingen van jouw webbrowser (wat er soms toe kan leiden dat de primaire website niet goed meer werkt).

19) Belangrijk: dat je zeker moet weten dat de domeinnaam van de bedoelde organisatie is! En hoe je dat eventueel (bij twijfel) vaststelt.

20) Dat het oude "http://" verbindingstype (ook protocol genaamd) geen enkele garantie biedt dat jouw webbrowser verbinding heeft met de website waarvan de domeinnaam in de URL-balk van jouw webbrowser getoond wordt. Als er wel een verbinding is met de kennelijke website, kan die verbinding worden afgeluisterd en er kan ongewenste data worden geïnjecteerd of vervangen (evt. de hele pagina's). Jouw webbrowser kan, bijvoorbeeld tijdens het opzetten van de verbinding met de bedoelde website, ook worden doorgestuurd naar een webite met een andere domeinnaam (maar de meest geniepige aanval is natuurlijk dat je de domeinnaam van de bedoelde website ziet, terwijl derden volledige controle hebben over wat jij ziet en afluisteren wat jij invoert. Met name via public WiFi is dit risico groot. Daarom hoort elke zichzelf respecterende website het "https" protocol te gebruiken; dit voorkomt met redelijke betrouwbaarheid alle genoemde aanvallen.

21) Dat het altijd verstandig is om, in plaats van kortweg "naam.tld" in te tikken in de URL-balk,
"https://naam.tld" in te tikken. Als je er niet "https://" aan laat voorafgaan, zijn er verschillende mechanismes die proberen om de verbinding niet via "http" maar meteen via "https tot stand te brengen (om te voorkomen dat die verbinding kan worden afgeluisterd of gekaapt), maar die zijn niet voor 100% betrouwbaar.
Als je zelf "https://" ervóór tikt zal nooit worden teruggevallen op het risicovolle "http" protocol (tenzij als gevolg van een configuratiefout op de server). Advies: vooral als je wilt internetbankieren, zeker via WiFi van een ander (in dit voorbeeld bij de Rabobank), tik dan:
"https://rabobank.nl" en sla eventuele (certificaat-) waarschuwingen nooit in de wind. De meeste websites sturen jouw browser overigens automatisch door van
"http://naam.tld/" naar
"https://naam.tld/", maar dat doen ze niet allemaal. Denkbaar is zelfs (bijv. t.g.v. een configuratiefout) dat het omgekeerde het geval is. Ook komt het meestal onzichtbare scenario
"https" -> "http" -> "https" voor. Dit is gevaarlijk, want zodra een kwaadwillende met toegang tot de verbinding (bijvoorbeeld bij public WiFi) de http-verbinding "voorbij" ziet komen, kan zij of hij deze kapen.
Controleer daarom altijd de domeinnaam + slotje nadat de website geheel geladen is, doch voordat je iets invoert, downloadt of leest. Daarmee detecteer je ook eventueel door jouzelf gemaakte tikfouten bijtijds.

22) Dat het verbindingstype "https://", indien er geen (certificaat-) foutmeldingen zijn, met redelijke zekerheid aantoont dat jouw webbrowser de website met de getoonde domeinnaam heeft geauthenticeerd en dat daar nu een versleutelde verbinding mee tot stand is gekomen,
of
23) Als alternatief voor het vaak niet meer getoonde "https://" voorvoegsel: dat, op de juiste plaats (niet in de webpagina), een slotje zonder waarschuwingen wordt getoond (dus niet met een streep erdoor, zo'n streep betekent dat de verbinding niet veilig is). Stop als er iets niet klopt en probeer niet in te loggen. Probeer het later nog eens. Als de waarschuwingen blijven bestaan, raadpleeg dan een deskundige.

Voor de Rabobank moet het gaan om "https://[*.]rabobank.nl/boeit/niet" waarbij "*." bijvoorbeeld kan staan voor "www.", "www.bankieren." of "ideal.".

Voorbeelden van in de URL-balk getoonde correcte domeinnamen
Als de browser "https://" en "https://www." niet laat zien, zijn bijvoorbeeld correct:
goed: slotje + "rabobank.nl/particulieren"
goed: slotje + "rabobank.nl"
goed: slotje +"bankieren.rabobank.nl/nog/iets"
goed: slotje +"ideal.rabobank.nl/'
goed: slotje +"ideal.rabobank.nl'

Als de browser "https://" en "https://www." wél laat zien, zijn bijvoorbeeld correct:
goed: "https://rabobank.nl/particulieren"
goed: "https://rabobank.nl"
goed: "https://www.rabobank.nl/particulieren"
goed: "https://bankieren.rabobank.nl/"
goed: "https://ideal.rabobank.nl/"
goed: "https://ideal.rabobank.nl"

Voorbeelden van in de URL-balk getoonde foute domeinnamen
Alle andere vormen en/of spellingen zijn foute boel, zoals (bij een browser die "https://" niet toont). Sowieso hoort er een slotje getoond te worden (anders moet je zeker niet internetbankieren):
fout: slotje + "rab0bank.nl/"
    (cijfer 0 i.p.v. letter o)
fout: slotje + "robabank.nl/"
    (letters a en o omgewisseld)
fout: slotje + "rabobank.ni/"
    (TLD onjuist)
fout: slotje + "rabobank-secure.nl/"
    (verkeerd domein)
fout: slotje + "mijnrabobank.nl/"
    (geen punt tussen "mijn" en "rabobank")
fout: slotje + "rabobank.nl:inloggen@rabobank.xyz/"
    (user-ID + password ervoor, TLD onjuist)
fout: slotje +
"rabobank.nl-izucb1bvav1ev9ad1v817g.xyz/"
    (domein = "nl-RANDOM.xyz")

Fout als de browser "https://" wél toont:
fout: "https://rab0bank.nl/"
    (cijfer 0 i.p.v. letter o)
fout: "https://robabank.nl/"
    (letters a en o omgewisseld)
fout: "https://rabobank.ni/"
    (TLD onjuist)
fout: "https://rabobank-secure.nl/"
    (verkeerd domein)
fout: "https://mijnrabobank.nl/"
    (geen punt tussen "mijn" en "rabobank")
fout: "https://rabobank.nl:inloggen@rabobank.xyz/"
    (user-ID + password ervoor, TLD onjuist)
fout: "https://rabobank.nl-izucb1bvav1ev9ad1v817g.xyz/"
    (domein = "nl-RANDOM.xyz")

Veiliger: App (tenzij)
Als je de juiste app (echt van jouw bank) voor internetbankieren gebruikt, en je nooit laat overhalen om alsnog een webbrowser te gebruiken, spelen geen van bovenstaande problemen. Daarom hebben banken liever dat hun klanten de bank-app gebruiken.

Echter, ook met een app blijft het risico op social engineering bestaan: als je je door (vaak uiterst geraffineerde) criminelen laat overtuigen dat je, om welke reden dan ook, geld moet overmaken naar een bankrekening van een geldezel, of dat zij je zover krijgen om een link zogenaamd naar de website van jouw bank toch in een webbrowser te openen, dan biedt zo'n app natuurlijk geen bescherming.

Disclaimer
Ik heb geprobeerd de lijst met "noodzakelijke weetjes" correct en zo compleet mogelijk te maken, maar er zitten heel veel opmaakcodes in waarbij ik mij vergist kan hebben, en ook kan ik aandachtspunten vergeten zijn of zaken verkeerd begrijpen of onjuist hebben verwoord (ik word graag op fouten en ontbrekende items gewezen).

Nb. één uur na plaatsing van deze post kan ik er niets meer in wijzigen, als deze materie je interesseert check s.v.p. hieronder voor posts van mij met aanvullingen en/of correcties (verwijzingen naar latere posts vind je aanvankelijk ook in de linkerkolom in https://security.nl/profile?alias=Erik+van+Straten). En in een deel van de gevallen heb ik alleen beschreven dat je iets moet weten, maar niet hoe je dat precies te weten kunt komen (de post is lang genoeg zo).

Ik ben alleen bang dat er een flinke groep mensen is voor wie dit helemaal niet reuze meevalt. Met je topic over digitale basisvaardigheden in gedachten: jouw lijst illustreert hoeveel kennis en hoeveel (zelf-)training er nodig is om een webbrowser verantwoord te kunnen gebruiken.

Ter illustratie voor hoe moeilijk dit soort dingen kunnen zijn voor deze groep mensen het volgende. Een eye-opener voor mij was ooit een kennis die ik hielp om een computer die niet goed wilde opstartte weer op gang te krijgen. Die persoon was toen werk aan het zoeken en wilde me, toen de computer het weer deed, een geweldige vacaturewebsite laten zien. Hij startte de browser, die opende met het Google-zoekscherm, vulde www.weetnietmeerwat.nl in, niet in de adresbalk maar als zoekargument, en de zoekresultaten bevatten veel, maar niet uitsluitend, pagina's met vacatures van de beoogde site. Hij was ervan overtuigd dat het zoekresultatenscherm de vacaturewebsite was en dus ook dat alle zoekresultaten bij die site hoorden. Oeps, dat is een misverstand waardoor makkelijk dingen mis kunnen gaan. Ik heb geprobeerd om uit te leggen dat de zoekresultaten niet de vacaturewebsite zelf waren. Ik heb geprobeerd om uit te leggen dat je een webadres beter in de adresbalk in kan typen. Het lukte niet. Als ik de adresbalk alleen maar aanwees op het scherm werden zijn ogen al glazig en was ik hem kwijt. Mijn indruk is dat hij met hoe hij het wel deed al aan de grenzen van zijn cognitieve vermogens zat en alles buitensloot wat daar overheen ging omdat hij anders verzoop. Ik weet dat ik de benodigde didactische vaardigheden en het engelengeduld mis om zo iemand toch een stapje verder te helpen, zeker als die persoon al niet gemotiveerd is om iets waarvan hij niet inziet dat het een probleem is op te lossen. Zo iemand zal nooit enige energie in een lijst als de jouwe steken, vrees ik, die haakt al af door alleen de lengte ervan.

Niet-inhoudelijke opmerking:
Ik kan me niet herinneren dat ik blokhaken ooit eerder bakhaken heb horen/zien noemen. Een zoekopdracht op het woord levert me geen blokhaken op maar wel koppelstukken voor tractors en shovels. Was dit een verschrijving of ben je gewend ze zo te noemen? Ik vind het overigens wél een mooi, beeldend woord voor de haken, ook al staan de bakken op zijn kant. ;-)

@ Erik,

Hartelijk dank voor deze uitvoerige bijdrage, waarin ik een grote knip heb gedaan omdat ik alleen wil reageren op het gedeelte over de bank-ap.

Laat ik de koe bij de horens pakken: Ik begrijp niet waarom banken geen app aanbieden voor gebruik op een computer/laptop. Daarmee omzeilen zij hun bezwaren m.b.t. kwetsbaarheden zoals jij treffend beschrijft met gebruik van de webbrowser en een bank-URL.

Ik denk dat het voor velen misschien een absurde gedachte is omdat een app onverbrekelijk wordt gezien als gebruik in samenhang net een smartphone, maar waarom moet dat persé zo zijn? 'App' is gewoon een afkorting van application, en applications zijn er al 40 jaar of langer, lang voor de smartphone werd geïntroduceerd ;-)

Dus een app die verbinding maakt met alleen de bank kan toch net zo goed worden ontwikkeld/gecompileerd voor Linux, Macintosh en Windows? (in alfabetische volgorde) Dat is toch geen wereldvreemde gedachte of is dat in meerdere opzichten een brug te ver? dat kán ik mij niet voorstellen.

Uitgangspunt: Mijns inziens is de operating software (iOs, Androïd) op een smartphone even kwetsbaar of onkwetsbaar als die van een computer/laptop - of zie ik dat verkeerd? - dus dat kan ook niet de zwaarwegende reden zijn om niet een bank-app voor de computer te ontwikkelen.

Als niet-IT specialist snap ik dat voorkeursdenken van banken dus niet. Het is volgens mij een kosten/baten overweging van banken om alleen een app te ontwikkelen/onderhouden voor iOs en Androïd, omdat zij ervan uitgaan dat toch 'iedereen' een smartphone heeft.

[offtopic]
Langer, het moet zo'n 60-70 jaar zijn. Application, of in het Nederlands applicatie, betekent toepassing: het toepassen van de computer om een bepaalde taak te verrichten. Vroege computers kenden nog geen besturingssystemen, er kon maar één programma tegelijk geladen geworden. In de jaren 1950 werden de eerste besturingssystemen ontwikkeld om onder de beperkingen die dat opleverde uit te komen. Toen ontstond onderscheid tussen programma's die dienden waarvoor je de computer eigenlijk wilde toepassen, de toepassings- of applicatieprogramma's, en de programma's die het (onder meer) mogelijk maakten om meerdere applicatieprogramma's parallel te draaien, de systeemprogramma's. Zoals de mensheid zo vaak met samengestelde termen doet is een deel van de samenstelling weer ingeslikt: applicatieprogramma (application program) is applicatie (application) geworden. En voor smartphones waren al die lettergrepen kennelijk te veel en werd het app.
[/offtopic]

Omdat het maken en supporten van een applicatie voor een desktop OS ontzettend veel meer moeilijker is dan voor een smartphone.
Ook als leek zul je gemerkt hebben dat installers (en de-installers) niet altijd werken, en dat er een heel scala aan voodoo tools is om "oude DLLs" op te ruimen, registry cleaners en noem maar op.
Dat die dingen - en alle hulp sites - bestaan moet je als teken zien dat apps (aka 'programma's) op een desktop OS niet zo lekker installeren.
Dan is voor "desktop OS" geen heel universele en behoorlijk betrouwbare app store , en is een desktop OS als platform lang niet zo hardened tegen malicious andere apps dan een smartphone .
Het is op een desktop niet zo heel moeilijk voor malware om de "app" te patchen om naar een andere URL te gaan .

Kortom - als "desktop app" maker haal je je een hoop werk, een hoop verantwoordelijkheid (wie gaan ze bellen als er iets misgaat) en een beperkte verbetering qua veiligheid op de hals .


Het zou dus niet _net zo goed_ zijn, en met heel veel meer werk en support overhead . Gezien de verbreidheid van de smartphone en tablets is de keuze heel simpel .
In de echte prehistorie had Girotel een "desktop app" , als ik me goed herinner.

Je moet je hier helemaal geen zorgen om maken. Bij fraude wordt immers nooit belasting betaald. Die lopen vanzelf tegen de lamp. Want er zitten DUIZENDEN mensen bij de banken dag en nacht op witwassen te controleren! Dus daar glipt echt niks doorheen. Wel moet je er rekening mee houden dat de bank je geld niet teruggeeft. Want ze moeten wel die duizenden mensen elke maand betalen natuurlijk. Zodat je rekeningnummer en pincode in elk geval veilig blijft. Dat geld daarentegen was je toch al kwijt. Anders had je het maar niet zelf moeten komen brengen. Dus je bent zelf begonnen met dom zijn.

Ik ben blij te zien dat de discussie tot Vandaag, 14:54 door Anoniem niet verzandde in arrogante opmerkingen in die trant van: "Je bent dom als je daar intrapt." want zelfs als je technisch onderlegd bent zoals een aantal hier, kan je er nog in tuinen.

Ikzelf ook, heb gelukkig wel alles terug gekregen van bank, nadat ik 2 x 2 uur aangifte heb gedaan. Daar werd me verteld dat er op dat politiebureau alleen al ongeveer 600 aangiften per maand kregen.

Psychologische kant is natuurlijk ook dat je er vanuit gaat dat wat jij wil verkopen, een ander wil kopen.
Niet dat je opgelicht gaat worden, dan kan marktplaats wel opdoeken.

Rode vlaggen zijn dan WhatsAppjes die ongevraagd binnen komen, meestal van een gespoofd nummer van iemand die daarvoor al is opgelicht. De vraag of het kan worden opgestuurd.

Enige wat je daar tegen kan doen en de kans vermindert is in de instellingen je telefoonnummer verbergen zodat emailen verplicht wordt. Blijft de vraag of dat echt helpt, want daar kan ook weer een valse link in staan.
Zo blijf je aan de gang...

Als er meerdere programma's van dezelfde dll gebruik maken, wordt er een tellerstand verhoogd. Als je een programma verwijderd, wordt die tellerstand weer verlaagd. Mensen denken dan vaak ten onrechte, dat het programma niet volledig verwijderd is.

Herkenbaar, domeinnamen in het zoekveld van de Google zoekpagina invoeren doen heel veel mensen (niet alleen penionado's). Vaak zien ze ook het verschil niet tussen advertenties en "echte" zoekresultaten (waarbij niet-advertenties maar wel rommel ook zomaar hoger vermeld kunnen staan dan verwijzingen naar de sites die je hoopte te vinden).

Terzijde, door deze idioterie is, bij de meeste webbrowsers, de URL-balk zelf in een zoekveld veranderd (en wordt, met de cursor daarin, waarschijnlijk elke toetsaanslag naar -by default- Google gestuurd). Hoe verwarrend kunnen we het maken?

Daarnaast denk ik dat je niet van de groep met de grootste achterstand mag verwachten dat zij alles zelf kunnen. Als ik die meneer geholpen had met het configureren van zijn webbrowser, had hij van mij een blanco "home page" gekregen - precies om te voorkómen dat mensen denken dat "Google het internet is" (dat zou Google wel willen).

Het geldt niet voor iedereen, maar veel mensen moeten door anderen de weg gewezen worden op moderne apparatuur om er ook maar iets zinvols mee te kunnen doen. Helaas denkt een deel van hen dat die kennis vanzelf wel aan zal komen waaien, of zijn ze bang om "domme" vragen te stellen aan familie en vrienden. Laat staan dat ze een boek kopen en lezen of aan een cursus deelnemen.

Bovendien vermoed ik dat een overgroot deel van de Nederlanders denkt voldoende te weten om weinig risico's te lopen, terwijl ze niet inzien dat ze veel (nog) niet weten. Het zou mij bijvoorbeeld niet verbazen als maar weinig mensen enigszins snappen hoe domeinnamen in elkaar zitten en dat je ze moet checken (laat staan dat ze weten wat IDN's zijn), en dat het -voor je eigen veiligheid- verstandig is om dat wel te begrijpen.

Phishing met domeinnamen die "lijken op", "betrouwbaar overkomen" of waarvan uit niets blijkt dat ze niet van Microsoft zijn, is daardoor hartstikke effectief, zie onderaan deze post voor voorbeelden van misleidende domeinnamen van één roedel cybercriminelen. Helaas extra effectief dankzij hersenloze bedrijven zoals Microsoft.

Ik haat aan dode paarden trekken. Mensen zullen er ook zelf tijd en energie in moeten willen steken. Absoluut niet zoveel als ik gedaan heb, maar omdat te gebrekkige kennis het laaghangende fruit is voor cybercriminelen, zul je ook wat kennis moeten opdoen over minder "boeiende" zaken.

LOL, ik heb geen idee hoe ik aan het woord "bakhaken" kom! Misschien heb ik ergens in de vorige eeuw "blokhaken" verkeerd verstaan of is er, tientallen jaren geleden, een bit geflipt in mijn grijze massa. Ik kan het me niet anders herinneren dan dat ik ze bakhaken noem...

Niet echt een antwoord op jouw bijdrage, ik laat mijn gedachten de vrije loop:

Dat je domeinnamen moet checken na het klikken op een link in een mail, SMS, chat-bericht (WhatsApp, Signal etc.), zoekresultaten (Google, DuckDuckGo etc.), Tweet, Reddit, posts op security.nl, persoonlijke Facebook pagina e.d. en zelfs een als vertrouwd uitziende website, blijkt bijvoorbeeld uit de lijst met recente en kortlevende "alternatieve" domeinnamen (gekocht door één groep cybercriminelen) voor de Microsoft 365 loginpagina, opgesomd in https://www.microsoft.com/security/blog/2022/08/15/disrupting-seaborgiums-ongoing-phishing-operations/, die ik hieronder overneem.

Nb. de "bakhaken" (okay, blokhaken of square brackets ;-) zijn bewust tussengevoegd door Microsoft om er, in een webpagina, ongeldige domeinnamen van te maken. Dat is gebruikelijk bij gevaarlijke sites om in elk geval te voorkómen dat "intelligente" webbrowsers er "http://" of "https://" voor denken en "preloads" proberen uit te voeren, en/of dat jouw overijverige virusscanner alarm slaat op een pagina waarin die domeinnamen worden genoemd:
Proberen de eindeloze mogelijkheden te blocklisten is natuurlijk kansloos, je loopt voortdurend achter de feiten aan. Dat geldt ook voor virusscanners en zelfs voor Google "SafeBrowsing" (ook nog eens een privacydrama, want zelfs bij de "update-API weet Google natuurlijk van alle bekende websites wat de waarde is van de eerste 32bits van de hashes van de domeinnamen - zie https://en.wikipedia.org/wiki/Google_Safe_Browsing#Privacy).

Het leven zou een stuk eenvoudiger zijn als je bij Microsoft altijd moest inloggen op
"https://login.microsoft.com/", maar helaas laat Microsoft je inloggen op
"https://login.microsoftonline.com/".

Sterker, als je die eerste domeinnaam opent, wordt jouw webbrowser doorgestuurd naar laatstgenoemde site - in plaats van andersom. En dit is geen "ongelukje": de lijst met domeinnamen van Microsoft die niet op ".microsoft.com" eindigen, is absurd lang. Bijvoorbeeld in het certificaat voor
"login.microsoftonline.com" zie ik tevens als alternative names:
"login.microsoftonline-int.com en
"login.microsoftonline-p.com - waarom?

En in het certificaat voor "outlook.com staan tevens de volgende alternative names die eindigen op (ik heb de lijst ingekort tot het deel van de domeinnamen waarvan je -mogelijk- moet weten dat die van Microsoft zijn):
"[*.]footprintdns.com"
"[*.]hotmail.com"
"[*.]live.com"
"[*.]live.net"
"[*.]microsoftonline.com"
"[*.]office.com"
"[*.]office.net"
"[*.]office365.com"
"[*.]officeppe.net"
"[*.]outlook.com"

Nb. dat een domeinnaam in een certificaat van Microsoft staat, garandeert niet dat Microsoft egenaar is van die domeinnaam (maar het zou wel vreemd zijn als dat niet het geval is).

Microsoft bezit helaas nog veel meer domeinnamen (waaronder passport.com). M.a.w., het is niet alleen de schuld van gebruikers dat ze niet weten van wie (vandaag) een domeinnaam is.

Concluderend: het is m.i. niet enorm ingewikkeld, maar je moet wel leren dat iedereen (ook jij) een potentieel doelwit is van cybercriminelen, en dus dat de eerstvolgende website die je bezoekt een nepsite kan zijn. En dus dat je elke keer goed uit je doppen moet kijken - niet naar de inhoud van een webpagina, maar naar de domeinnaam van de website.

Helaas maken veel organisaties ons het leven zuur met domeinnamen waarvan niet duidelijk is van wie ze zijn; er zit niks anders op (tot we passkeys hebben) dan de juiste domeinnamen te onthouden of in een lijstje te zetten. Ernaar "googlen" kan natuurlijk ook, maar dan moet je wel weten dat het invullen van een domeinnaan in de URL-balk, met als doel een zoekopdracht, niet werkt zoals je misschien dacht; je zult die domeinnaam in dit geval juist wel in het zoekveld van de Google (of DuckDuckGo etc.) zoekpagina moeten invoeren.

Tip: Googlen naar site:naam.tld (waarbij je naam.tld vervangt door de domeinnaam van de site waar je over twijfelt). Geen of weinig resultaten (pagina's en/of subdomeinen) is meestal een indicatie dat het om een domeinnaam van een nepsite gaat.

Hoe dan ook: waar een wil is, is een weg.

Inderdaad. In Firefox kan je dat gelukkig weer uitzetten en een gescheiden zoekinvoerveld tonen. Firefox biedt nog wel zoekmachines aan als ik in de adresbalk iets intyp, dus helemaal weg is het niet, maar op enter reageert het niet met zoeken, daarvoor moet je echt het icoontje van een zoekmachine aanklikken. Het gaat om een paar instellingen:
• Instellingen->Zoeken->Zoekbalk toevoegen in werkbalk
• about:config -> keyword.enabled = false
• about:config -> browser.fixup.alternate.enabled = false

Dat helpt alleen niet. Er zijn zat "behulpzame" mensen die zoiets gewoon weer instellen. Bij dezelfde persoon had ik eerder al eens meegemaakt dat zo'n "behulpzame" buurman de virusscanner had verwijderd omdat die de computer alleen maar trager maakt. Ik heb nog nooit zoveel virussen tegelijk van één pc moeten verwijderen als toen ik de schade daarvan opruimde.

Hierin wreekt zich dat in ieder geval Microsoft, maar ze zullen de enige niet zijn, altijd gereageerd heeft op dingen die mensen niet kunnen met een "laat mij dit maar voor je doen"-mentaliteit. Juist omdat Windows zelf van alles probeert op te lossen, vergezeld van popups die juist voor de groep die het niet snapt onbegrijpelijk zijn, worden deze mensen erin getraind om maar op "Ok" te klikken en doen ze dat ook in situaties waarin dat juist vooral niet gedaan moet worden.

Ik gebruik zelf al heel lang Windows niet meer, en heb geen zicht op hoe dit tegenwoordig gaat (en help mensen ook niet meer met Windows-computers, ik weet er niet meer genoeg van), maar dit heeft volgens mij een hoop schade aangericht. Ik heb meegemaakt dat mensen die we nu digibeten noemen, met moeite, maar het lukte, overweg konden met Windows 3.11. Ik heb meegemaakt dat diezelfde mensen, met moeite, maar het lukte, overweg konden met MS-DOS. En ik heb meegemaakt dat diezelfde mensen waanzinnig goed overweg konden met mainframeapplicaties en daar een snelheid en handigheid in hadden die ik bij grafische user interfaces alleen techneuten heb zien vertonen.

Die handigheid kunnen mensen ontwikkelen op basis van consistentie. Ik vind het een ronduit slecht idee dat Windows om de zoveel jaar een compleet andere interface krijgt. Ik vind het schadelijk dat de simpele duidelijkheid van een hiërarchisch filesysteem wordt verstoord door virtuele mappen (inclusief je homedirectory) die onbegrijpelijk maken waar iets nou echt staat, en ook het helemaal wegmoffelen van het bestaan ervan op smartphones, zodat steeds meer mensen die het best zouden kunnen er niet meer mee om leren gaan en anderen hun opgedane vaardigheden niet meer kunnen gebruiken - en niet duidelijk zien hoeveel van hun gegevens op computers van een tech-reus staan.

Het Dunning-Krugereffect: https://nl.wikipedia.org/wiki/Dunning-krugereffect

Ook een van mijn frustraties, en je ziet het helaas overal.

Hoewel het zeker niet gegarandeerd klopt heb ik in de praktijk gemerkt dat Wikipedia een behoorlijk betrouwbare bron is voor het opzoeken/verifiëren van domeinen van bedrijven en organisaties waar Wikipedia een pagina aan wijdt. Ik herinner me niet dat ik heb meegemaakt dat wat daar was aangegeven niet klopte. Als zoekmachines verwarrende resultaten geven (wat kan komen omdat een bedrijf kwistig met allerlei domeinnamen door elkaar werkt) volg ik nog wel eens die weg.

Goede tip, ik gebruik site: vaak genoeg, maar heb niet in mijn systeem zitten om het voor dit doel in te zetten.

Geen idee wat het is, maar een kennis vertelde mij dat ik daaraan lijd.

Daar zijn, denk ik, meerdere redenen voor:

1) Het risico is groter dat mensen een nep-app of een gemanipuleerde bank-app downloaden. Onder iOS en Android moet je er moeite voor doen om buiten de betreffende stores te downloaden, de Microsoft store is (nog?) niet zo in trek (en sowieso wordt elders downloaden standaard niet geblokkeerd). Bovendien is het onder Windows makkelijker om unsigned software te gebruiken (niet dat een signature betekent dat de ondertekenaar en alles daarvóór betrouwbaar is, maar een beetje helpt het wel). Hoe het onder iOS precies werkt weet ik niet, maar onder Android kun je (als ik me niet vergis) alleen updates van een app installeren als die update met dezelfde private key is ondertekend als de eerste versie.

2) Onder iOS en Android bestaat een veel sterkere onderlinge scheiding tussen apps, instellingen en (tijdelijke) bestanden, waardoor het voor malwaremakers lastiger is om een bank-app vanuit een andere app te beïnvloeden. Voor een Windows bank-app zullen de programmeurs daarvan veel meer moeite moeten doen om te voorkomen dat eventuele malware toegang tot de draaiende app en instellingen krijgt of had. Daar komt bij dat de meeste thuisgebruikers adminrechten hebben. Hoewel Microsoft in [1] zegt "User Account Control (UAC) helps prevent malware from damaging a PC", zegt zij in [2] "Same-desktop Elevation in UAC isn't a security boundary" - en dat laatste klopt, want er zijn bypasses (vooral bij het default "niveau" van UAC).

[1] https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-overview
[2] https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/disable-user-account-control

3) Of het momenteel nog klopt weet ik niet (er valt steeds meer te "halen" op smartphones), maar malwaremakers lijken voorheen minder aandacht te hebben besteed aan malware voor oudere smartphones en tablets (die geen updates meer krijgen) dan aan oudere "EOL" (End of Life) Windows versies. Voor veel mensen is een EOL OS geen reden om een nieuwe PC te kopen (vaak nodig omdat nieuwe Windows versies niet vooruit te branden zijn op oude hardware), en vaak hebben ze niet eens door dat hun virusscanner al jaren niet wordt bijgewerkt. Ik begrijp overigens heel goed dat mensen geen nieuwe Windows versie willen omdat dat het Start Menu "verbeterd" zou zijn of vensters doorzichtig zijn en afgeronde hoekjes hebben, terwijl een nieuwe smartphone voor veel mensen een hebbeding is (vooral als van de oude het scherm vol barsten zit).

4) Steeds meer mensen willen overal kunnen bankieren maar sjouwen niet overal hun PC mee naartoe, terwijl steeds meer mensen een smartphone hebben.

Dat zijn vermoedelijk de redenen dat banken niet veel trek hebben om dure apps voor Windows te ontwikkelen, te onderhouden en daar een helpdesk voor in stand te houden.

Overigens zijn er wel pogingen gedaan met Windows bank-apps of een tussenweg. Zo bieden steeds meer Duitse "Sparkasse" filialen (elk met eigen domeinnaam) de "S-Protect" software aan (ontwikkeld door Coronic.de [3]; Nederlandstalige beschrijving: [4]). Effectief is dat een browser met met een hardcoded URL. Opmerkelijk is dat de makers beweerden dat internetbankieren daarmee zelfs veilig zou zijn op een gecompromitteerde Windows PC (mijn insteek is dat dit fundamenteel onmogelijk is; onder Windows hebben aanvallers zeer veel opties om zo'n programma zelf te beïnvloeden, maar kunnen ook "tussen" de software en de gebruiker gaan "zitten" of juist aan de kant van de verbinding, bijv. door een root-certificaat te installeren).

Begin juni ontdekten onderzoekers van het Duitse tijdschrift C't echter flinke kwetsbaarheden in die software [5]. Nadat Coronic de eenvoudig te fixen bugs had gerepareerd, heeft C't er nogmaals naar gekeken ([6]) maar was allesbehalve tevreden. Zulke software veilig krijgen en houden is allesbehalve simpel; imagoschade door gewekte verwachtingen na onhoudbare claims helpt daar ook niet bij.

[3] https://www.coronic.de/s-protect/
[4] https://www.agconnect.nl/artikel/duitse-bank-publiceert-beveiligde-browser-voor-internetbankieren
[5] https://www.heise.de/news/c-t-entdeckt-Sicherheitsmaengel-in-Banking-Software-der-Sparkasse-7126688.html
[6] https://www.heise.de/news/Sparkassen-Browser-S-Protect-Hersteller-behebt-einige-Fehler-7136701.html

In 2003 beantwoordde prof. Bart Jacobs een vraag tijdens een interview over het zetten van digitale handtekeningen op een (Windows) PC [7]:
In 19 jaar is dit niet verbeterd, integendeel.

[7] https://www.computable.nl/artikel/achtergrond/internet/1315148/1444691/pc-ongeschikt-voor-e-handtekening.html

Ja (dat zie je verkeerd). De filosofie bij de meeste desktop- en notebook-besturingssystemen is een scheiding tussen gebruiker-accounts, terwijl elk programma dat door een gebruiker gestart wordt, alles mag wat die gebruiker mag. Dus ook gebruikersinstellingen van andere programma's wijzigen of alle soorten bestanden, waarop die gebruiker schrijfrechten heeft (ook op netwerkschijven) bijvoorbeeld versleutelen (ransomware). Omdat er handige Windows programma's zijn die reageren op bepaalde toetsencombinaties, ook als een ander programma actief is, kan malware gestart door de gebruiker onder meer als keylogger werken. Maar er kan nog veel meer.

Naast de scheiding tussen apps en bestanden onder Android en iOS/iPadOS, zijn er per app steeds meer privileges die je kunt intrekken. Onder Windows is wel het e.e.a. geprobeerd, maar met alle beveiligingen die je achteraf aan probeert te brengen, loop je tegen een muur op door de enorme berg aan legacy toepassingssoftware voor Windows, die daarna niet (goed) meer werkt. Windows is ondertussen zo'n complexe lappendeken met zoveel legacy meuk onder de motorkap, dat elke update bij een deel van de gebruikers tot problemen leidt. De enige redenen dat we massaal Windows blijven gebruiken is dat iedereen dat doet, vanwege Office-365 (inclusief Outlook/Exchange/Sharepoint) vendor lock-in en omdat er geen "veel betere" alternatieven zijn waar al "onze" oude software en ook al "onze" huidige randapparatuur goed op werkt.

Je kan erachter komen wat het is door de link te volgen en te lezen wat er staat. En iedereen lijdt eraan. Iedereen heeft namelijk wel onderwerpen waar hij de ballen verstand van heeft en niet overziet hoe ontzettend veel meer erover te weten valt dan hij doet. Zelfs als je erop verdacht bent is het onvermijdelijk dat je bij zo'n onderwerp soms je eigen onkunde onderschat en dus je competentie overschat.

Als die kennis het nodig vond om je erop te wijzen dat je eraan lijdt dan probeerde die vermoedelijk om je erop te wijzen dat je van het onderwerp waar jullie het over hadden veel minder afweet dan je zelf denkt. Misschien zat je wel onzin te verkopen zonder het zelf in de gaten te hebben, en wekte je ergernis op door daarmee door te gaan toen je erop gewezen werd dat je iets zei wat niet klopte. Dat soort situaties kan je zo'n opmerking opleveren, namelijk.

Niemand, echt helemaal niemand, kan alles weten. Er is dus helemaal niets mis mee om dingen niet te weten, en je toont geen zwakte door dat toe te geven. Het getuigt juist van wijsheid als je van jezelf doorhebt dat je iets niet weet en met zelfvertrouwen "daar heb ik geen verstand van" te zeggen in plaats van door te gaan alsof je er wel verstand van hebt.

Dat is helaas een ziekte, waaraan de meeste reaguurders op dit forum last van hebben.

Ik denk dat je het uit een andere hoek zou kunnen aanvliegen. De applicatie niet bij de gebruiker op de machine draaien
maar op een server bij de bank, en dan alleen de kant en klaar gerenderde schermbeelden naar de gebruiker sturen.
Min of meer de Citrix oplossing dus. Windows heeft al een DRM oplossing die redelijk veilig lijkt te zijn, kennelijk kan
de verspreider van DRM beveiligde content redelijk aangeven wat er mee mag gebeuren en bijv in de gaten houden
of er wel een gecertificeerde videodriver is en beveiligde verbinding met de monitor (HDCP). Je zou daarmee het
probleem van het beinvloeden/jatten van instellingen en andere parameters, en inhoud van de transacties, kunnen
voorkomen omdat deze nooit de omgeving van de bank verlaten. Je stuurt dus alleen kant en klaar gerenderde
beelden via een DRM verbinding naar de gebruiker (dit zou gewoon in een browser moeten kunnen).

Een reden voor de bank is om dit niet te doen is natuurlijk dat dit allemaal geld kost (in ontwikkeling en hardware) en
je er maar voor een beperkt deel van de gebruikers iets mee oplost (Linux gebruikers hebben er niks aan), een deel
wat waarschijnlijk ook alleen maar afneemt in percentage.

Nee, dat is een menselijke eigenschap.

Ziek is dat sommige (vooral anonieme) reageerders op dit forum het nodig vinden om lange posts (in dit geval ook nog eens off topic) in z'n geheel aan te halen, helemaal als zij vervolgens in één slecht lopende zin totale onzin uitkramen (ernstig geval van onwetend kennisgebrek?), laat staan dat zij iets te melden hebben dat meer dan 0 serieuze lezers van deze site ook maar enigszins zou kunnen interesseren (in plaats van irriteren).

Dank voor de tip, maar dit lijkt niet (goed) te werken in Firefox Nightly voor Android (en zeker niet in de gewone Firefox voor Android wegens ontbreken van ondersteuning van about:config).

Je hebt me wel op een idee gebracht: ik zou zelf een nietsdoende zoekmachine kunnen optuigen (zelfs een app op localhost is denkbaar). Maar op dit moment vind ik andere dingen oppakken belangrijker.

Dat is inderdaad een probleem, maar als ik zoiets meemaak adviseer ik zo iemand dringend om mij te bellen bij problemen en niemand anders instellingen te laten wijzigen of "handige apps" te laten installeren etc. Als je toch anderen laat rotzooien help ik je niet meer.

Dit is wel een beetje kip-ei: probeert Microsoft het supereenvoudig te maken omdat de meeste mensen geen "moeilijke" (lees: voor hen oninteressante) dingen willen leren, of willen mensen geen moeilijke dingen leren omdat het allemaal supereenvoudig lijkt?

Ik denk dat de meeste mensen een "systeembeheerder" nodig hebben voor de ingewikkelde zaken die je niet oplost met pop-ups en wizards (in elk geval voor een veiliger configuratie, af en toe checken dat back-ups gemaakt worden en problem solving).

Daar waren al zat virussen voor, maar zonder "packet driver" of optionele TCP/IP-stack had je geen internet functionaliteit (laat staan dat er sprake was van netwerkwormen voor die besturingssystemen). De mensen die deze besturingssystemen gebruiken, deden dat omdat het moest voor hun werk (vaak met cursusmogelijkheden) of omdat het hen interesseerde.

Het is niet eenvoudig, maar ik doe mijn best om mij in te leven hoe eenvoudige gebruikers (zonder lange computergeschiedenis) zaken ervaren. Door mijn leeftijd (60+) zie ik veel ouderen "struggelen", maar ook jongeren hebben vaak geen idee wat ze doen: "je moet daar op drukken, dan werkt het".

Ik ben het deels met je eens. Als je accepteert dat een deel van de gebruikers niet snapt waarom een hiërarchische directorystructuur vaak handig is (vooral bij veel bestanden), dan begrijp ik "Downloads" en "Mijn documenten" wel (niet dat ik daar zelf ooit iets in zet).

De waarschijnlijk enige keer dat ik onbedoeld malware heb gestart, was na het klikken op een link in een Wikipedia pagina (references). Ik werkte (jaren geleden) als consultant bij "de overheid" op een flexplek PC (roaming profile, vanzelfsprekend geen admin) met natuurlijk IE6 en een niet van de laatste patches voorziene Java. Kennelijk was de domeinnaam van die site verlopen en in handen van criminelen gevallen (leuke anekdote hoe dit daarna verder ging, maar off topic).

Hoewel webbrowsers aan de lopende band lek blijken, is er de laatste jaren gelukkig veel minder "drive by" malware (ik sluit niet uit dat dit weer opleeft zodra we ons beter tegen phishing weten te wapenen).

Terugkomend op Wikipedia: naast oude links kun je ook de pech hebben dat een cybercrimineel net een wijziging heeft doorgevoerd die nog niet door een begrijpende moderator is verwijderd; het blijft natuurlijk een community-driven platform. Persoonlijk zou ik er niet zonder meer vanuit gaan dat links op die site altijd betrouwbaar zijn, en daarom ook op een andere manier checken (zoals googlen).

Je op meerdere bronnen baseren kan en zou iedereen moeten leren - niet alleen in verband met domeinnamen!

Dat is read only; bij bankieren voeren gebruikers gegevens in (o.a. inloggegegevens). Bovendien heb je een dan toch een programma nodig op de PC dat een veilige verbinding opzet met die bank (en dat foutloos verifieert) en bijv. downloads (rekenoverzichten) toestaat. Windows is en blijft een slamgenkuil, vooral voor niet-experts, net als gebruiksvriendelijke Linux distro's.

Zolang een iOS of Android smartphone niet geroot is, is het aanvalsoppervlak veel kleiner (maar ook niet nul).

Citrix is read-only? Ok, dat zal ik onze gebruikers vertellen!

Beter lezen en beter snappen .

De "DRM" beveiligingen waar poster 10:33 het over heeft (en waar Erik op commentarieert) zijn er voor de content mafia .
Hun doel is het alleen kunnen kijken (zonder kopieren/rippen) van gehuurde films .

Zoals Erik terecht op merkt - het doel van een Citrix-achtige oplossing vergt ook invoer vanuit de gebruiker, en daar zijn die DRM features niet op ingericht .

Overigens - ook die DRM achtige oplossingen , en Citrix - hebben uiteindelijk een trusted platform nodig om hun garanties waar te kunnen maken .
Ze kunnen het "best lastig" maken voor de simpele manieren om een DVD (of stream) te rippen , maar tegen malware met voldoende rechten zie ik ze eigenlijk als kansloos . Legio manieren om bv HDCP te omzeilen bijvoorbeeld , grotendeels voor zeer valide usecases .

De mobiele OSen (en hun hardware) zijn als platform gewoon heel veel veiliger dan iedere 'normale' desktop .

Vanuit content perspectief zag men natuurlijk ook het liefst settop boxen , en game consoles e.d.

Dat boeit toch helemaal niet? De gebruiker krijgt als het goed is de door de bank ontvangen input terug te zien dus
als er iemand tussen zit die die aanpast dan ziet ie dat terug en ziet dat het mis gaat.

In theorie heb je gelijk, maar op een PC waar tevens malware op actief is moet je niet willen internetbankieren (tenzij je iets als Cubes OS gebruikt, maar zelfs dan raad ik het af, o.a. omdat Xen een gatenkaas is).

Denkbaar is bijvoorbeeld dat een aanvaller de snelkoppeling naar jouw superveilige programma vervangt door eentje die wijst naar zijn software (op jouw PC) die zich voordoet als, en als twee druppels water lijkt op, jouw superveilige programma, doch de inloggegevens meteen doorstuurt naar de aanvaller. Die onmiddellijk met jouw gegevens inlogt in jouw bankaccount, gebruikmakend van de "superveilige-Citrix-met-DRM" app op zijn PC.

Ook als hij daarna geen geld kan overmaken zonder jouw hulp met een of ander kastje of scanner (hoewel social engineering altijd tot de mogelijkheden behoort), kan hij jou in zijn malware een enge foutmelding laten zien, bijvoorbeeld:
en in de achtergrond de snelkoppeling terugzetten.

Hij weet nu de saldi van jouw rekeningen en belt jou meteen daarna, zegt dat hij van jouw bank is, vraagt of je net een vreemde foutmelding hebt gezien en waarschuwt je dat cybercriminelen proberen jouw rekeningen te plunderen - waar nu nog de bedragen x, y en z op staan, en dat je die saldi zo snel als mogelijk op een "kluisrekening" moet veiligstellen.

Lees verder bovenaan deze pagina.

De bank belt je nooit. Dat moeten mensen toch zo langzamerhand wel weten.

Zeg nooit nooit. Uit https://www.volkskrant.nl/beter-leven/is-het-altijd-fraude-als-ik-een-telefoontje-krijg-van-de-bank~b816ccd0/:

Ik zou zelfs zeggen, in theorie heeft hij _geen_ gelijk .
Ik zie niet in hoe - op een volledig malicious controlled platform - iets kan garanderen dat de ongewijzigde citrix sessie getoond wordt .
Ik ken er (nu) geen software voor die het doet , maar het lijkt me in principe zeer wel mogelijk om een gesimuleerde citrix sessie af te spelen terwijl onder water andere opdrachten gegeven worden, en de werkelijke citrix sessie andere beelden toont .
De race "laten we het banking ecosysteem ombouwen naar citrix clients omdat er *nu* geen malware is die dat target" lijkt me een non-starter.
De mobiele OSen doen het concept 'trusted platform' gewoon heel veel beter dan een generieke WIndows/Mac/Linux desktop met een banking programma dan wel citrix (achtige) client.
Misschien dat Chromebooks ook wat meer in de buurt komen, maar dat is dan ook vrijwel een 'mobiel OS' meer dan een "generieke desktop" .

[knip andere aanvalsvectoren]

Inderdaad, dat is mij wel eens overkomen. Vlak voordat de magneetstrip op pinpassen ophield gebruikt te worden heb ik nog een keer ergens gepind waar het alleen met de magneetstrip bleek te kunnen. Ik heb die winkelier er nog op gewezen dat dat echt niet verantwoord meer was en zelfs dat door dat als een van de laatsten nog te doen hij daarmee extra aantrekkelijk werd voor skimmers. Kort daarop werd ik door mijn bank gebeld dat ze mijn pas hadden geblokkeerd omdat ik had gepind op een apparaat waar inderdaad skimmers actief waren geweest. Van mijn rekening was gelukkig geen geld gestolen.

En bank kan dus inderdaad wel bellen. Belangrijk is dat je bank nooit om pincodes, wachtwoorden, codes van digipassen en dergelijke zal vragen. Jouw rekening zit niet in een soort kluis waar de bank niet bij kan, alle gegevens staan in een administratief systeem waar de bank volledige toegang toe heeft. Niemand bij de bank mag overal bij, maar het bedrijf als geheel heeft toegang tot zijn eigen administratie, inclusief jouw rekening- en saldogegevens.

Bij zo'n telefoontje over een geblokkeerde pas zal de bank daarom nooit jouw hulp nodig hebben om iets te blokkeren of om je geld te redden. Ze kunnen dat zelf. Als iemand die zegt van je bank te zijn dat wel nodig heeft, dan is het gegarandeerd een oplichter.

Als ik een onduidelijke foutmelding krijg en geen geld kan overmaken dan is het de bedoeling dat IK de bank bel en
vraag wat er aan de hand is, en dan zal de bank mij vertellen dat er inderdaad toegang gezien is van een afwijkend
IP adres en met mij bespreken wat we gaan doen.

Als de bank MIJ belt dan zal ik het gesprek beperken tot ontvangen van informatie en indien ik dat nodig acht de bank
terug bellen. En ZEKER geen geld overmaken op een "kluisrekening". Ik ben niet GEK!

Dat er altijd mensen zijn die wel gek zijn, en/of die zich niet houden aan basis principes en procedures, dat kan ik
ook niet helpen. Wel baal ik er van dat ik moet meebetalen aan het "vergoeden van hun schade". Ik denk echter niet
dat daar met technische middelen wat aan te doen is want er is altijd weer een lagere bodem van domheid. Beter is
het om duidelijker te adverteren dat schade door eigen toedoen (zoals het overmaken van geld naar kluisrekeningen)
niet vergoed wordt.

Citation needed.

Daar gaan we weer. Niet begrijpen wat social engineering met mensen kan doen en natuurlijk weer strooien met denigrerende opmerkingen: Slachtoffers van social engineering zijn gek, dom of hebben zelfs een "lagere bodem van domheid." ('mongool' heb ik ook al eens de revue zien passeren, nu de overtreffende trap idioot als verpersoonlijking van de "lagere bodem van...")

Hear hear!, kennis van psychologie is onder IT'ers van academische waarde. Nu weet ik waar ik moet zijn voor hulp als ik ooit depressief wordt...

Naast part 1 en 3: https://invisiblethingslab.com/resources/bh08/part2.pdf (vooral het aantal pagina's over de rol van Intel is m.i. interessant)

https://www.cvedetails.com/product/23463/XEN-XEN.html?vendor_id=6276

Google "xen" "guest" "escape"

Naast de mythe dat banken je nooit bellen, kan ik er nog twee ontkrachten:

Banken gebruiken geen kromme zinnen, geen zinnen waarin niet duidelijk is wat er bedoeld wordt en maken geen spelfouten
Uit notabene https://www.rabobank.nl/particulieren/actueel/let-op-er-zijn-oplichters-actief.html (regelnummers toegevoegd door mij):

Banken zullen je nooit mailen vanaf een ander domein dan "bank.nl"
Van Triodos onvang ik e-mails zowel vanaf triodos.nl als van triodos.net. Hoe kan een leek weten dat die laatste domeinnaam van de Nederlandse Triodos bank is?

Toch blijft dit onhandig van de bank om mensen te bellen. Dit opent namelijk de deur voor criminelen want het kan echt de bank zijn. Persoonlijk zou ik als de bank mij belt het gesprek direct beëindigen want ik weet niet of het echt de bank is. Verder kost het tijd om het blokkeren van de rekening telefonisch aan te kondigen. Gewoon direct blokkeren bij verdachte omstandigheden. De rekeninghouder zoekt dan zelf wel contact met de bank.

Goed dat jij het beleid niet bepaald.

Ik zou ZWAAR pissed geweest zijn als ze zonder iets te melden mijn examen boeking/betaling geblokkeerd hadden ,en mij dat laten ontdekken doordat mijn boeking niet door kwam en ik mijn kans kwijt was.

(Ik heb inderdaad eens een belletje gekregen voor zo iets - "klopt het dat U zojuist bedrag x betaald hebt aan <org y> " met een verder heel stille CC ).

"Alleen maar" in het restaurant staan met een geblokkeerde kaart is ook al geweldig . Vooral omdat _de_blokkeren echt niet telefonisch gaat gebeuren .

Als het verdacht genoeg is om te blokkeren is er nog steeds heel veel voor te zeggen om dat te melden aan de klant .

Jammer dat de instructie voor mensen _iets_ complexer moet zijn (bank _meldt_ en klant bevestigd) , maar de "knijp-en-piep" methode is echt niet geschikt hier.

Ik zou zwaar pissed zijn als bij verdachte transacties de bank niet direct de boel blokkeert maar tijd gaat verliezen met telefoneren. Examen is ook niet echt een goed voorbeeld, dat zou je wel ruim op tijd van de school horen, is ook niet bepaald een verdachte transactie.

Dat doen ze ook niet. Ze blokkeren je pas en daarna bellen ze je om te laten weten dat ze je pas hebt geblokkeerd, dat je een nieuwe krijgt etc.

Wist je dat een bank niet één persoon is die alleen maar dingen na elkaar kan doen? Er werken een heleboel mensen, en die kunnen verschillende taken parallel uitvoeren.

En wist je aan de bulk van de taken die banken uitvoeren helemaal geen mensen te pas komen? Banken hebben al vele tientallen jaren de meeste verwerkingen volledig geautomatiseerd. Als een bank niet constant ver achter de feiten aan wil lopen (wat duur zal uitpakken) zullen ze bekende en goed herkenbare patronen dat er iets verdachts gaande is volautomatisch herkennen en ook volautomatisch afhandelen.

Als bijvoorbeeld ergens ontdekt wordt dat er met een geld- of pinautomaat is geknoeid zal het blokkeren van de passen die recent in aanraking zijn geweest met die automaat zeker volautomatisch gebeuren. Dat gaan ze echt niet met de hand uitpluizen, dat is veel te traag en veel te foutgevoelig. Er hoeft alleen maar een signaal het systeem binnen te komen dat een bepaalde automaat in een bepaalde periode niet te vertrouwen was, en daarmee kunnen alle transacties die in die periode bij die automaat hebben plaatsgevonden worden geselecteerd, de gebruikte pasnummers verzameld, die passen kunnen worden geblokkeerd en vervangende passen kunnen worden aangevraagd. Volautomatisch, zonder dat bankmedewerkers daar iets voor hoeven te doen. Banken hebben aanzienlijk complexere verwerkingen dan dit volledig geautomatiseerd, dus dit kunnen ze ook prima, en ik twijfel er niet aan dat ze het ook doen. Er kunnen uitzonderingen zijn, er bestaan voorbeelden van dingen die met de hand werden gedaan die te knullig waren voor woorden, maar die wekken verbazing juist omdat het uitzonderingen zijn.

Dat is precies waar automatisering voor dient: dingen automatisch afhandelen zodat je niet meer afhankelijk bent van de traagheid van mensen en van het soort fouten dat mensen makkelijk maken. Bij wat kantoorautomatisering wordt genoemd ben je gewend dat applicaties vooral, of zelfs uitsluitend, reageren op dingen die mensen achter een beeldscherm doen. Bij grote geautomatiseerde systemen zoals banken die gebruiken gebeurt veruit het meeste juist zonder dat er mensen of beeldschermen aan te pas komen. En dat was al zo voordat medewerkers pc's of zelfs domme terminals op hun bureau hadden staan. Dit soort automatisering is niet nieuw, het bestaat juist al veel langer dan interactief computergebruik.

De mensen die je bellen verliezen helemaal geen tijd met telefoneren. Die doen het uitzoekwerk niet, die krijgen op hun beeldscherm de volgende klant te zien die gebeld moet worden over een al geblokkeerde transactie, pas of rekening, met alle informatie erbij die nodig is om dat gesprek te kunnen voeren.