image

Slachtoffer bankhelpdeskfraude via echte pushnotificatie bank-app opgelicht

vrijdag 3 mei 2024, 16:09 door Redactie, 15 reacties

Een Britse klant van Chase Bank is voor een bedrag van omgerekend 21.000 euro opgelicht, waarbij de oplichter gebruikmaakte van een echte pushnotificatie van de officiële bank-app. De bankhelpdeskfraudeur vertelde het slachtoffer dat die via de bank-app een pushnotificatie zou ontvangen om zo te bevestigen dat het om een echte medewerker van de bank ging.

Het slachtoffer bevestigde de pop-up en dacht zo met een echte bankhelpdeskmedewerker te spreken. Vervolgens vroeg de oplichter om creditcardgegevens. Daarna maakte de oplichter geld van de spaarrekening over naar de betaalrekening, waarbij het slachtoffer gevraagd werd de transactie te bevestigen. Daarna moesten transacties worden bevestigd om het geld over te maken, wat het slachtoffer ook deed.

Tech-expert Terence Eden analyseerde de fraude. Bij de fraude zijn namelijk twee oplichters betrokken. De eerste oplichter belt het slachtoffer. De tweede oplichter belt de bank en doet zich voor als het slachtoffer. De bank stuurt vervolgens de pushnotificatie naar de klant, zodat die kan bevestigen dat hij het echt is. De bank denkt daardoor dat de oplichter aan de lijn echt de klant is.

Volgens Eden is de pop-up die Chase gebruikt een 'securityramp'. In de pop-up wordt namelijk gevraagd om te bevestigen dat het de klant is die de bank heeft gebeld, maar de bewoording is niet meteen duidelijk. Daarbij heeft de oplichter het slachtoffer al ingelicht dat die een pop-up gaat ontvangen. "Criminelen worden hier steeds beter in. Banken laten hun klanten zitten door gebruik te maken van een vaag verwoorde security pop-up waarvan ze weten dat hun klanten die niet goed lezen", aldus Eden. Het slachtoffer laat via Reddit weten dat Chase een onderzoek is gestart.

Image

Reacties (15)
03-05-2024, 19:38 door Anoniem
Trucje van de bank werkt niet.
Heeft niks te maken met slecht lezen van het slachtoffer, maar alles met een ongelukkige timing van het verzenden van de push-notification. Dat systeem kan dus ook de prullenbak in. Is een mooi leermomentje van de bank. Het kost ze wel €21000,-
03-05-2024, 20:39 door Anoniem
Tja het is zo eenvoudig een sluitende tekst te schrijven door de aanleiding, voor het bericht noemen.

Beginnen met "U belt ons momenteel..." en als de bank belt dan "Wij bellen nu met u op het moment..." en dat meteen ook nog in hoofdletters.

De klant kan weten dat het niet klopt en diegene aan de telefoon hangt een verkeerde gang van zaken weergeeft.
03-05-2024, 21:56 door Anoniem
Het idee om via de bankapp te controleren/bevestigen dat je gebeld wordt door de bank is uitstekend.
Het vereist natuurlijk dat de bank-medewerkers via de PBX van de bank bellen maar voor service center calls zal dat altijd wel het geval zijn.

ING heeft het recent ook toegevoegd aan de app , alleen niet als push, maar als query .

Je kunt in de app het telefoonnummer invoeren waarop je de beller "van de bank" aan de lijn hebt, en dan krijg je een validatie of dat klopt of niet .

Technisch lijkt het me OK .
Je moet alleen goed weten (goed lezen) dat je JOUW telefoonnummer moet invoeren , en geen ander nummer dat een oplichter je geeft . En , jouw telefoonnummer waarop de bank je 'nu' belt. Misschien dus het nummer van je vaste lijn als ze daarop bellen .

Verder moet je zonodig handig genoeg zijn om te wisselen tussen gesprek en bank-app , iets wat ik niet iedere mobiele gebruiker zie doen.

https://www.ing.nl/de-ing/veilig-bankieren/wat-kan-je-zelf-doen/check-het-gesprek
03-05-2024, 23:04 door Anoniem
Door Anoniem: Tja het is zo eenvoudig een sluitende tekst te schrijven door de aanleiding, voor het bericht noemen.

Beginnen met "U belt ons momenteel..." en als de bank belt dan "Wij bellen nu met u op het moment..." en dat meteen ook nog in hoofdletters.

De klant kan weten dat het niet klopt en diegene aan de telefoon hangt een verkeerde gang van zaken weergeeft.
Gaat niet werken. Vanuit de klant zijn standpunt belt hij momenteel met de bank, dus "U belt ons momenteel ..." is waar en "Wij bellen nu met u op het moment..." is ook waar.
04-05-2024, 09:52 door Anoniem
Door Anoniem: ING heeft het recent ook toegevoegd aan de app , alleen niet als push, maar als query .

ING voorziet app van 'Check het Gesprek' functie tegen bankhelpdeskfraude
dinsdag 9 april 2024, 09:16 door Redactie

https://www.security.nl/posting/837180/ING+voorziet+app+van+%27Check+het+Gesprek%27+functie
04-05-2024, 10:42 door karma4
Als het telefoonnummer zou worden weergegeven bij de vraag of het klopt dat de bank gebeld wordt zou er een validatie in twee richtingen zijn. Wegens privacy mag kennelijk geen naam / telefoonnummer getoond worden van degene die gebeld zou hebben. Wegens privacy mag kennelijk ook niet gecontroleerd worden of het bij de gebruiker geregistreerd telefoonnummer is.
Indien dat de redenen zijn dan moet de veroorzaker de schade vergoeden en is dat bijvoorbeeld de ICO of de AP.
Een ondeugdelijk product (privacy) is het werkelijke probleem
04-05-2024, 10:55 door Anoniem
Door Anoniem:
Door Anoniem: ING heeft het recent ook toegevoegd aan de app , alleen niet als push, maar als query .

ING voorziet app van 'Check het Gesprek' functie tegen bankhelpdeskfraude
dinsdag 9 april 2024, 09:16 door Redactie

https://www.security.nl/posting/837180/ING+voorziet+app+van+%27Check+het+Gesprek%27+functie

Ja, want (oudere) mensen zijn zo goed in multi-tasking.
Terwijl je door een persoon aan de praat gehouden wordt (daar heb je je aandacht voor nodig), ook even op je telefoon een query uitvoeren (na intoetsen van een pincode op de app te openen)

What could possibly go wrong.
04-05-2024, 14:09 door Anoniem
Wij worden niet opgelicht ! 70 plussers tuinen er wel in.
04-05-2024, 16:51 door Anoniem
Wat kan je hier op verzinnen?
De bank belt toch nooit, dus waarom zo`n optie om te controleren of de bank belt? Laat de bank NOOIT bellen. Dan kan de klant ALTIJD ophangen.
04-05-2024, 22:16 door Anoniem
Door Anoniem: Wij worden niet opgelicht ! 70 plussers tuinen er wel in.
Gelukkig hebben ze mij nog niet gevonden.
05-05-2024, 05:03 door Anoniem
Zou dit niet het heel eenvoudig op te lossen zijn door één regel: De bank belt een klant uitsluitend met het verzoek op te hangen en terug te bellen. Zodat gesprekken met de bank uitsluitend kunnen plaatsvinden wanneer de klant zelf naar de bank breekt.
06-05-2024, 08:02 door Anoniem
Verificatie dient te gebeuren met een omgekeerde 2FA.
De bank is de niet vetrouwde partij hier nu.
De bank moet de 2FA code mededelen aan de klant, en de deze laatste moet bevestigen via een 2FA app dat dit klopt.
06-05-2024, 09:48 door Anoniem
Door Anoniem: De bank belt een klant uitsluitend met het verzoek op te hangen en terug te bellen.

Wat het risico in zich heeft dat het slachtoffer de terugbel functie gebruikt, en zo zelf het contact legt met de crimineel...
06-05-2024, 09:54 door Anoniem
wat is het toch geweldig die digitale wereld die je in gedramd wordt... alsmaar complexer, steeds meer apps, een handelingen en meer risico op grootschalige fraude omdat mensen factor maar negeert wordt... ja we zijn heel goed bezig... NOT!
08-05-2024, 08:04 door Anoniem
Door Anoniem: Verificatie dient te gebeuren met een omgekeerde 2FA.
De bank is de niet vetrouwde partij hier nu.
De bank moet de 2FA code mededelen aan de klant, en de deze laatste moet bevestigen via een 2FA app dat dit klopt.
Wat in het beschreven scenario nogsteeds niet zou werken, want de de 2 oplichters praten nogsteeds met elkaar, dus waar de ene de MFA van de bank ontvangt, geeft de ander die door aan het slachtoffer. Typisch gevalletje van een analoge man-in-the-middle attack.

Door Anoniem: De bank belt een klant uitsluitend met het verzoek op te hangen en terug te bellen.
En dit is vanuit klant perspectief zo klant zo ontzettend onvriendelijk... "de bank belt me op een moment dat het me niet uit komt, en dan word ik ook nog op kosten gejaagd omdat ik terug moet bellen!" (...)

Als iemand er in trapt, gebeurt het uiteindelijk toch wel, hoeveel speedbumps je ook probeert te introduceren. Net als dat er ondanks alle voorbeelden nog steeds bankpasjes met pincodes door bankmedewerkers aan huis worden opgehaald omdat er iets vreemds met de rekening aan de hand is. You simply can't fix stupidity.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.