Door karma4: Erik, wat hier mist is het verhaal is de controle of het over te maken bedrag wel klopt.
De vraag in de bevestiging bij het overmaken geeft een bedrag aan met die vraag.
Als die vraag getoond wordt is dat de laatste stap en wezenlijke stap om een betaling door te laten gaan.
Heb je item
J wel gelezen?
Het slachtoffer heeft bij die laatste vraag al een reeks stappen doorlopen, die
allemaal gefaald hebben, waarbij dat bij
1 structureel is en dit bij
2 t/m
5 váák gebeurt (ik zie dat ik het spamfilter vergeten ben te noemen; dat heeft het, in het beschreven geval, dus ook laten afweten).
Waarbij dus niemand of niets het slachoffer waarschuwde.
Dat is sowieso hartstikke fout aan het systeem: dit lijdt
zeker tot slachtoffers van oplichting, waar we vangnetten voor waren overeengekomen (vastgelegd in een wet). De beteffende ICS-klant is
zelf geen crimineel, maar in oplichting getrapt die
gefaciliteerd wordt door genoemd systeem.
Het bedrag klopt anders altijd wélDaarnaast gebeurt het
anders nooit dat het eerder opgegeven bedrag niet klopt; daarmee heeft
het systeem online-betalers erop
getraind dat de bedragen altijd overeenkomen en het dus
tijdverspilling is om het tweede bedrag met het eerder getoonde te vergelijken.
Waarbij ICS, "vanzelfsprekend",
géén awareness-check heeft ingebouwd die klanten regelmatig
dwingt om zo'n check uit te voeren
én daarbij uitlegt waarom dat essentieel zou zijn.
Waarom ZELF bedragen op scherm vergelijken?Op het
moment van, offline,
met cash betalen, letten de meeste mensen
wel goed op dat het bedrag klopt, want het is volstrekt duidelijk dat
dit het
moment is dat geld van eigenaar verwisselt.
Echter: online is dat véél minder duidelijk. Waarom valideert niet
de app het
als eerste vermelde bedrag, maar moet de online CC-betaler dat doen? Het gaat hier immers
niet om een, met een slecht handschrift, handgeschreven prijskaartje bij een gebakje in een vitrine met een ruit vol met kindervingerafdrukken, maar om
tweemaal een bedrag op
één en hetzelfde beeldscherm van de online CC-betaler.
Waarom zouden die bedragen kunnen afwijken van elkaar
zonder dat de techniek dat opmerkt? Is het, op het eerste gezicht, niet
absurd dat
de betaler een bedrag, dat eerder op diens beeldscherm stond, moet onthouden en moet vergelijken met een bedrag op een nieuwe "pagina" op hetzelfde beeldscherm (*)? Wat hebben techneuten (allemaal en/of nog meer) laten liggen tijdens de overgang van offline cash naar pixelated digicash?
(*) Ik weet het antwoord al: "dat is een ingewikkeld verhaal: bla, website, bla, app, bla, scheiding, bla".
PRECIES, het
is een ingewikkeld verhaal, maar
VOORAL voor doorsnee online (CC)-betalers - die pixels op hun scherm zien en niet weten welke daarvan
wél en welke daarvan
niet betrouwbaar zijn; voor veel mensen is het
abracadabra als je hen dat probeert uit te leggen (wat softwarebakkers een "seamless user experience" noemen,
lijkt wellicht "seamless", maar is -onder de motorkap- vaak één grote trukendoos).
HangslotjeIk heb er geen info over, maar het slachtoffer zou gezegd kunnen hebben': "Die website was trouwens veilig, want hij had een hangslotje" (nagenoeg alle phishing-sites hebben dat namelijk).
Uit
https://www.transip.nl/ssl-certificaten/ (voorbeeld 1 van vele):
Je website AVG proof.
Door het toevoegen van een SSL certificaat voldoet jouw website of webshop aan de AVG en kan je vertrouwen op de de veiligheid van jouw website.
Voorbeeld 2
https://www.digivaardigindezorg.nl/digitip-hoe-herken-ik-een-veilige-website/:
Een veilige website begint altijd met ‘https’ in de websitelink. De ‘s’ staat hierin voor ‘safe’. Je kunt dit vaak ook zien aan het slotje dat voor de websitelink staat. Een website die ‘https’ in de websitelink heeft is dus ‘beveiligd’.
(Checken op het slotje ben ik trouwens ook vergeten in de "todo" lijst bovenaan).
Aan mensen is
geleerd dat een hangslotje staat voor een veilige (dus betrouwbare) website. Waarom zou je opgelicht worden door zo'n site?
Er zal, ongetwijfeld, toch wel een mechanisme bestaan dat voorkómt dat cybercriminelen al te eenvoudig willekeurige ("
klinkt als" of "
zou kunnen zijn van") domeinnamen kunnen registreren, servers huren en daar probleemloos https servercertificaten voor kunnen kopen?
Wat zegt u nu: certificaten zijn gratis?! Domeinnamen kosten bijna niks? Hosting kost, de eerste tijd, ook nauwelijks of niets - en een
gehackte website is
gratis - met vaak een goede reputatie van het IP-adres?
Uit
https://www.linkedin.com/pulse/how-many-cyber-attacks-happen-daily-2024-cywreck-zf5yf:
12. Globally, 30,000 websites are hacked daily.
(Source: Web Arx Security)
Uit
https://unit42.paloaltonetworks.com/internet-threats-late-2022/:
From July-December 2022, Unit 42 researchers have observed and analyzed over 67 million unique malicious URLs, domains and IPs
Wat ICS nog meer nalaat (en de klant voor opdraait)Waarom wist ICS niet dat werd overgeboekt naar een rekening van een crimineel? Waarom krijgt de gebruiker geen waarschuwing voor een overboeking van, bijvoorbeeld, 99 Euro of meer via een website met een duidelijke, maar nog nauwelijks bekende, phishing-achtige domeinnaam en een DV-certificaat? Waarom past ICS geen "allow-list" toe voor bekende en betrouwbaar geachte websites?
Oftewel, hoe kan het dat,
naast de online CC-betaler,
ook de ICS-app een website en het rekeningnummer van cybercriminelen vertrouwt, en het risico op de klant afwentelt als dat vertrouwen achteraf onterecht blijkt te zijn?
ConclusieKortom, eerst liet het "systeem" de klant volledig in de steek en had ICS véél meer kunnen doen om deze phishing-aanval
niet te laten slagen. Aanvankelijk heeft die klant vervolgens niks fout gedaan - tot de "pagina" met het werkelijk over te boeken bedrag verscheen. Waarbij de gebruiker eraan gewend is dat dit bedrag nooit afwijkt van het eerder vermeldde bedrag, en ICS
niet regelmatig online CC-betalers laat oefenen en/of uitlegt
waarom die check
toch essentieel is, en
waarom dezelfde beeldschermpixel de ene keer
niet betrouwbaar is en de andere keer
wél, en waaraan je dat -als gebruiker- kunt zien (succes vooral dáármee).
Dus heeft het slachtoffer, m i. volkomen voorspelbaar,
één van meerdere gebruiker-checks
niet uitgevoerd (of heeft dat wél gedaan, maar heeft het bedrag verkeerd afgelezen).
Touché!En dus zwaaien ICS, Kifid en jij nu dapper met jullie wijsvingertjes...