Slachtoffer bankhelpdeskfraude via echte pushnotificatie bank-app opgelicht
Een Britse klant van Chase Bank is voor een bedrag van omgerekend 21.000 euro opgelicht, waarbij de oplichter gebruikmaakte van een echte pushnotificatie van de officiële bank-app. De bankhelpdeskfraudeur vertelde het slachtoffer dat die via de bank-app een pushnotificatie zou ontvangen om zo te bevestigen dat het om een echte medewerker van de bank ging.
Het slachtoffer bevestigde de pop-up en dacht zo met een echte bankhelpdeskmedewerker te spreken. Vervolgens vroeg de oplichter om creditcardgegevens. Daarna maakte de oplichter geld van de spaarrekening over naar de betaalrekening, waarbij het slachtoffer gevraagd werd de transactie te bevestigen. Daarna moesten transacties worden bevestigd om het geld over te maken, wat het slachtoffer ook deed.
Tech-expert Terence Eden analyseerde de fraude. Bij de fraude zijn namelijk twee oplichters betrokken. De eerste oplichter belt het slachtoffer. De tweede oplichter belt de bank en doet zich voor als het slachtoffer. De bank stuurt vervolgens de pushnotificatie naar de klant, zodat die kan bevestigen dat hij het echt is. De bank denkt daardoor dat de oplichter aan de lijn echt de klant is.
Volgens Eden is de pop-up die Chase gebruikt een 'securityramp'. In de pop-up wordt namelijk gevraagd om te bevestigen dat het de klant is die de bank heeft gebeld, maar de bewoording is niet meteen duidelijk. Daarbij heeft de oplichter het slachtoffer al ingelicht dat die een pop-up gaat ontvangen. "Criminelen worden hier steeds beter in. Banken laten hun klanten zitten door gebruik te maken van een vaag verwoorde security pop-up waarvan ze weten dat hun klanten die niet goed lezen", aldus Eden. Het slachtoffer laat via Reddit weten dat Chase een onderzoek is gestart.
Heeft niks te maken met slecht lezen van het slachtoffer, maar alles met een ongelukkige timing van het verzenden van de push-notification. Dat systeem kan dus ook de prullenbak in. Is een mooi leermomentje van de bank. Het kost ze wel €21000,-
Beginnen met "U belt ons momenteel..." en als de bank belt dan "Wij bellen nu met u op het moment..." en dat meteen ook nog in hoofdletters.
De klant kan weten dat het niet klopt en diegene aan de telefoon hangt een verkeerde gang van zaken weergeeft.
Het vereist natuurlijk dat de bank-medewerkers via de PBX van de bank bellen maar voor service center calls zal dat altijd wel het geval zijn.
ING heeft het recent ook toegevoegd aan de app , alleen niet als push, maar als query .
Je kunt in de app het telefoonnummer invoeren waarop je de beller "van de bank" aan de lijn hebt, en dan krijg je een validatie of dat klopt of niet .
Technisch lijkt het me OK .
Je moet alleen goed weten (goed lezen) dat je JOUW telefoonnummer moet invoeren , en geen ander nummer dat een oplichter je geeft . En , jouw telefoonnummer waarop de bank je 'nu' belt. Misschien dus het nummer van je vaste lijn als ze daarop bellen .
Verder moet je zonodig handig genoeg zijn om te wisselen tussen gesprek en bank-app , iets wat ik niet iedere mobiele gebruiker zie doen.
https://www.ing.nl/de-ing/veilig-bankieren/wat-kan-je-zelf-doen/check-het-gesprek
Beginnen met "U belt ons momenteel..." en als de bank belt dan "Wij bellen nu met u op het moment..." en dat meteen ook nog in hoofdletters.
De klant kan weten dat het niet klopt en diegene aan de telefoon hangt een verkeerde gang van zaken weergeeft.
ING voorziet app van 'Check het Gesprek' functie tegen bankhelpdeskfraude
dinsdag 9 april 2024, 09:16 door Redactie
https://www.security.nl/posting/837180/ING+voorziet+app+van+%27Check+het+Gesprek%27+functie
Indien dat de redenen zijn dan moet de veroorzaker de schade vergoeden en is dat bijvoorbeeld de ICO of de AP.
Een ondeugdelijk product (privacy) is het werkelijke probleem
ING voorziet app van 'Check het Gesprek' functie tegen bankhelpdeskfraude
dinsdag 9 april 2024, 09:16 door Redactie
https://www.security.nl/posting/837180/ING+voorziet+app+van+%27Check+het+Gesprek%27+functie
Ja, want (oudere) mensen zijn zo goed in multi-tasking.
Terwijl je door een persoon aan de praat gehouden wordt (daar heb je je aandacht voor nodig), ook even op je telefoon een query uitvoeren (na intoetsen van een pincode op de app te openen)
What could possibly go wrong.
De bank belt toch nooit, dus waarom zo`n optie om te controleren of de bank belt? Laat de bank NOOIT bellen. Dan kan de klant ALTIJD ophangen.
De bank is de niet vetrouwde partij hier nu.
De bank moet de 2FA code mededelen aan de klant, en de deze laatste moet bevestigen via een 2FA app dat dit klopt.
Wat het risico in zich heeft dat het slachtoffer de terugbel functie gebruikt, en zo zelf het contact legt met de crimineel...
De bank is de niet vetrouwde partij hier nu.
De bank moet de 2FA code mededelen aan de klant, en de deze laatste moet bevestigen via een 2FA app dat dit klopt.
Als iemand er in trapt, gebeurt het uiteindelijk toch wel, hoeveel speedbumps je ook probeert te introduceren. Net als dat er ondanks alle voorbeelden nog steeds bankpasjes met pincodes door bankmedewerkers aan huis worden opgehaald omdat er iets vreemds met de rekening aan de hand is. You simply can't fix stupidity.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
