Doehetzelf 'Phishing kit' op internet
Sophos experts hebben ontdekt dat Do-It-Yourself (DIY) Phishing kits gratis en publiekelijk beschikbaar zijn op internet. Email Phishing techniek biedt verzenders de mogelijkheid om onder valse voorwendselen vertrouwelijke gegevens van iemand te achterhalen. Wachtwoorden, pincodes en rekeninginformatie worden op grote schaal teruggestuurd door de onschuldige slachtoffers.
De DIY Phishing kit biedt alle uitleg, code, benodigde plaatjes en tekst om dergelijke email- en websitecombinaties op te zetten. Zelfs de benodigde spam-software om het gemaakte bericht grootschalig te versturen wordt meegeleverd.
De onderzoekers van Sophos verwachten dat Phishing voortaan niet alleen meer door goed georganiseerde fraudeurs gebruikt gaat worden, maar ook door amateurs in de verwachting hiermee hun voordeel te kunnen doen.
“In Europa zijn de Nederlanders in verhouding voorzichtiger met het beantwoorden van Phising-verzoeken van fraudeurs/amateurs, maar deze DIY kit maakt het wel heel makkelijk om goedgelovige slachtoffers in de maling te nemen. Nederland kent veel rekeninghouders die online bankieren en dus een potentieel slachtoffer zijn”, zegt Marnix van Meer van CRYPSYS Data Security.
Gevoelige informatie zoals pincodes, rekeningnummers en wachtwoorden zouden nooit zomaar vrijgegeven moeten worden via email of websites. Als het verzoek om informatie via email wordt ontvangen, is het vrijwel zeker dubieus en verstandig dit eerst bij de bank te verifiëren. (Sophos)
wachtwoorden zouden nooit zomaar vrijgegeven moeten worden via email of
websites. Als het verzoek om informatie via email wordt ontvangen, is het
vrijwel zeker dubieus en verstandig dit eerst bij de bank te verifiëren
Dom advies !!!
Banken vragen niet om informatie per email.
ergens geregistreerd staan
op een of andere site. Zoekmachines brengen je in ieder
geval niet ver
En ook electronisch bankieren bestaat alweer een tijdje in Nederland dus ik
kan me voorstellen dat het heel goed mogelijk is om iemands toegangscode
tot het bankiers intranet te verkrijgen ...
En vergeet ook niet dat het hier gaat om vooral Amerikaanse mensen, wij
Nederlanders worden niet eens meegerekend lol
een adres aan als [email]abn_amrobank@yahoo.com[/email] en doe een spamrun
waarin je vraagt om verificatie van de persoonsgegevens.
Binnen een tijdje krijg je er echt wel een paar terug. Wat
dus wederom bewijst dat digibeten de zwakste schakel zijn op
het internet.
Phuh, alsof je een kit nodig hebt om te phishen. Maak gewoon
een adres aan als [email]abn_amrobank@yahoo.com[/email] en doe een
spamrun
waarin je vraagt om verificatie van de persoonsgegevens.
Binnen een tijdje krijg je er echt wel een paar terug. Wat
dus wederom bewijst dat digibeten de zwakste schakel zijn op
het internet.
yup, mijn 84 jarige oma die zo'n mail krijgt doet wel mee hoor
Daarnaast is in het westen de beveiliging bij telebankieren dermate dat het
praktisch uitgesloten is dat men iets kan uitrichten.
Phuh, alsof je een kit nodig hebt om te phishen. Maak gewoon
een adres aan als [email]abn_amrobank@yahoo.com[/email] en doe een
spamrun
waarin je vraagt om verificatie van de persoonsgegevens.
Binnen een tijdje krijg je er echt wel een paar terug. Wat
dus wederom bewijst dat digibeten de zwakste schakel zijn op
het internet.
yup, mijn 84 jarige oma die zo'n mail krijgt doet wel mee hoor
laat je daarna de pas versturen omdat "blijkt" dat de pas niet meer goed zou
zijn...
Daarna doe je je muts en zonnebril op en pinnen maar!
uuh banken vragen dit wel, via creditcard ...
En ook electronisch bankieren bestaat alweer een tijdje in Nederland dus ik
kan me voorstellen dat het heel goed mogelijk is om iemands
toegangscode
tot het bankiers intranet te verkrijgen ...
En vergeet ook niet dat het hier gaat om vooral Amerikaanse mensen, wij
Nederlanders worden niet eens meegerekend lol
De Nederlandse banken doen het qua beveiling niet onaardig. Het gebruik
van een token in de vorm van de chipkaart icm een challenge response
generator (gebruikt door bijv Rabo, ABN/AMRO) maakt het voor een fisher
wel mogelijk om een deel van de gegevens van de gebruiker te
achterhalen, maar geeft geen (direct) toegang tot de betaal functies van de
bank. Immers, de pincode wordt in het apparaatje (token) van de gebruiker
ingevoerd. De response is afhankelijk van de kaart van de gebruiker en kan
dus niet zonder de kaart worden gereproduceerd.
Pas als er voldoende gebruikers zijn over te halen om zowel hun
gebruikersnummer, pincode en het door de fishing site gevraagde
response op de challange op te geven, dreigt er gevaar voor de sleutels en
algoritmes die gebruikt worden.
De risico van fishing liggen voor de eindgebruiker een stuk lager. M.i. is het
gebruik van enige vorm van gepersonaliseerd token voor de eindgebruiker
en de bijbehorende onderliggende security infrastructuur een noodzaak
voor elke commerciele partij die als een serieuze speler op het internet
zaken wil doen met haar klanten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
