Velen zijn in allerlei vormen van "bankhelpdeskfraude" getrapt.

Volgens een van mijn bronnen zullen, vanmiddag vanaf ca. 17:00, NRC en NPO radio aandacht besteden aan dit probleem (m.b.t. 28 slachtoffers en 1,4 M€ schade). Naar verwachting komt dit ook ter sprake in het 20:00 NOS-journaal.

Misverstanden over wat banken niet zouden doen, en de misvatting dat alleen ouderen in oplichting trappen (vaak raken juist zij daarbij veel geld kwijt, bij lagere bedragen kan schaamte van jongeren ervoor zorgen dat zij hun verlies verzwijgen), uit https://www.abnamro.com/nl/nieuws/een-op-de-acht-nederlanders-weet-niet-dat-banken-nooit-vragen-om-betaalpas (ik heb de 3 punten genummerd):

Helaas klopt punt 1 hierboven niet. In https://youtube.com/watch?v=iUoxZrVxvzw (*) vanaf ca. 1:23 vertelt een opgelichte bunq-klant dat zij, nadat zij -totaal onverwacht- 7 bunq betaalpassen ontving waarna zij een mailtje naar bunq stuurde. Naar verluidt zou bunq dat mailtje hebben beantwoord met:
Waarom raadt die bunq-medewerker niet aan om die passen onmiddellijk onbruikbaar te maken? Immers, helemaal niemand mag hier ooit nog gebruik van (kunnen) maken!

En als je de video verder kijkt, zie je dat het niet bij die 7 passen bleef. Bunq zou ondertussen haar monitoringsystemen hebben aangepast zodat er een belletje gaat als iemand ineens heel veel passen aanvraagt.

(*) Bron: https://radar.avrotros.nl/artikel/rekening-geplunderd-maar-bunq-onbereikbaar-60558 (met respons van bunq).

Nog zo'n fabeltje: banken sturen u geen berichten (zoals SMS en e-mail) met links waarop u moet drukken om bijvoorbeeld in te loggen of om uw identiteit te laten bevestigen. Dat ontkrachtte ik eerder in https://security.nl/posting/840966.

ING is een nieuwe dienst aan het uitrollen: "Check het Gesprek" (bron: https://security.nl/posting/837180).

Op het eerste gezicht lijkt dat een goed idee, want een AitM-aanval (zoals bij Chase, zie verderop) lijkt niet mogelijk (ik heb nog niks kunnen bedenken, maar dat bewijst niet dat zoiets onmogelijk is).

En toch maak ik hier bezwaar tegen, om verschillende redenen:

1) Het komt kennelijk vóór dat ING-medewerkers naar klanten bellen (anders zou de app vermelden: wij zullen u nooit bellen").

2) Gegeven dat ING zelf kan bellen, had ING in haar app kunnen zetten:
Echter, mogelijk vindt ING dat tijdverspilling (en wil ING de aandeelhouders niet met een lagere winstuitkering opzadelen).

3) Niet iedereen hoeft een apparaat (zoals een tablet) met die app bij de hand te hebben.

4) Als slachtoffers die app op dezelfde smartphone hebben als waarop zij gebeld worden, zullen vooral ouderen het lastig vinden om onmiddellijk vanuit de bel-app te switchen naar hun bank-app, vooral als zij daarvoor éérst nog hun toestel moeten ontgrendelen.

5) Hoe langer een "kundige" manipulator op hen in kan praten, en hen daardoor steeds meer laat geloven dat zij bestolen gaan worden - terwijl de oplichter je er alles aan doet om je ervan te overtuigen dat uitsluitend zij of hij dat kan voorkómen, hoe kleiner de kans dat het slachtoffer nog een "Check het Gesprek" gaat uitvoeren. Vooral niet als de oplichter zegt dat haast geboden is.

6) De beller kan claimen om namens een andere bank te bellen:
Ik kan meerdere teksten verzinnen die daarop zouden kunnen volgen (maar ik wil criminelen niet onnodig "wijzer" maken). De beller kan ook liegen dat zij namens de politie belt. Of dat, t.g.v. een storing in de telefooncentrale van ING hun "Check het Gesprek" systeem tijdelijk buiten werking is.

In "Slachtoffer bankhelpdeskfraude via echte pushnotificatie bank-app opgelicht" (https://security.nl/posting/840353) wordt deze AitM (Attacker in the Middle) aanval beschreven.

Kennelijk heef Chase iets "slims" bedacht voor de situatie dat een klant "gewoon" (niet vanuit de bank-app) naar Chase belt, en het noodzakelijk is voor Chase om vast te stellen dat de klant is wie zij of hij zegt te zijn - door de app er alsnog bij te betrekken. Dat gebeurt doordat Chase een push-bericht naar de app stuurt; een liegende beller, die geen toegang tot de bank-app van het slachtoffer heeft, valt daarmee door de mand. Helaas blijkt juist dat mechanisme bruikbaar voor scanmers.

In dit geval bestaat de AitM uit twee criminelen die met elkaar kunnen communiceren (zonder dat anderen daar iets van meekrijgen). Wat er gebeurde is ongeveer het volgende (het slachtoffer heb ik "Jan" genoemd):

Stap 1:

Stap 2:
Jan ziet in in diens app: https://imgur.com/a/UGlOFFQ (of zie het plaatje in https://security.nl/posting/840353) en bevestigt dat hij iemand van Chase aan de lijn heeft (daar is Jan nu van overtuigd).

En mocht Jan nog twijfelen (zoals AllissonW zegt te doen in https://infosec.exchange/@AlisonW@fedimon.uk/112372536360484257) en bijvoorbeeld deze discussie volgt:
Het antwoord daarop belandt via de omgekeerde weg bij Jan.

Jan moet wel heel sterk in zijn schoenen staan wil hij er nu niet van overtuigd zijn een echte bankmedewerker aan de lijn te hebben.


1) Gebeld door uw bank
Met "alles online" is er maar één oplossing als u gebeld wordt door een bankmedewerker:

    Hang op en bel zelf uw bank - zo
    mogelijk vanuit uw bank-app.

Het is namelijk onmogelijk om, als gebelde persoon, vast te stellen of de beller namens uw bank belt of een crimineel is (al dan niet een AitM zoals in de Chase case).

Echter, als u uw bank belt speelt het omgekeerde probleem: hoe weet de bank zeker dat niet een oplichter (evt. AitM) namens u belt? Als u een bank-app gebruikt, kunt u vaak vanuit die app contact opnemen met uw bank. Dat verhindert niet dat een oplichter "gewoon" belt (en mogelijk daarbij uw telefonnummer spooft), maar het geeft de bank iets betrouwbaarder informatie dat u het bent die contact met hen opneemt.

2) Bericht van uw bank
Ook als u een bericht (e-mail, SMS of "appje") "van uw bank" ontvangt waarin staat dat u iets moet doen (op een link klikken, een telefoonnummer bellen of het bericht beantwoorden) kan het erg moeilijk of onmogelijk zijn om vast te stellen of de afzender echt namens uw bank dat bericht stuurde, óf dat het om een cybercrimineel gaat:

    Doe niets met het bericht en
    neem zelf contact op met uw bank.

Zie punt 1 hierboven voor hoe u dat het beste kunt doen. Bewaar dat soort berichten of maak er een schermafdruk van (mocht u later twijfelen, dan is het onhandig als u alles heeft weggegooid). Omdat de kans niet uitgesloten is dat u een beeicht A heeft ontvangen terwijl de bank zojuist een bericht B naar (sommige) klanten heeft gestuurd, dubbel-chek dat jullie het over hetzelfde bericht hebben.

3) Check de domeinnaam (en op https://)
In o.a. een e-mail kan, in een link, een domeinnaam worden getoond die niet overeenkomt met de werkelijke domeinnaam die "daaronder" zit, en soms kun je de werkelijke domeinnaam "onder tekst" (vaak blauw, vet en/of onderstreept, maar het kan er ook uitzien als een knop).

In een SMS kan de domeinnaam in een link niet anders zijn dan wat u ziet, maar vaak wordt hierbij gebruik gemaakt van "URL-verkorters".

Het allerbelangrijkste is, als u op een link klikt, dat u daarna de domeinnaam van de website in de adresbalk van uw browser dubbel-checkt. Nagenoeg alle nepwebsites ondersteunen https:// met als gevolg browsers u een hangslotje laten zien of, zoals Chrome, u niet waarschuwen dat er van http:// gebruik gemaakt wordt (de meeste webbrowsers laten https:// en http:// weg in de adresbalk om ruimte op het scherm te besparen).

In bijna alle gevallen garandeert https:// twee dingen:
a) Uw browser heeft daadwerkelijk een verbinding met een server met de in de adresbalk getoonde domeinnaam;

b) Die verbinding is versleuteld (niet af te luisteren) en mocht iemand de uitgewisselde versleutelde informatie proberen te wijzigen, dan leidt dat tot een foutmelding van uw browser.

Belangrijk: een https:// verbinding geeft geen énkele indicatie over wie de eigenaar van een website is, laat staan hoe betrouwbaar die eigenaar is (en anderen met toegang tot die server). En ook niet hoe goed de beveiliging van die server zelf is. Ook cybercriminelen laten hun websites https:// ondersteunen.

Verzeker u ervan dat de volledige domeinnaam van uw bank is, los van wat er in de webpagina te zien is (in tegenstelling tot de domeinnaam, kan de inhoud van webpagina's doodsimpel worden vervalst).

Uit https://www.rtl.nl/nieuws/rtl-z/artikel/5450845/ondernemer-opgelicht-door-nep-medewerker-bunq-oplichting-bankfraude:
Zie ook: https://www.linkedin.com/feed/update/urn:li:activity:7193520708402987008/.

Enkele voorbeelden van bunq nepsites op een server in Rusland, uit :


4) Valse domeinnaam trends
Ik zie een toenemend misbruik van "dubbele TLD's" zoals example.nl.com (in mindere mate example.com.nl), maar kijk ook daar voor uit. Vergelijkbaar zou je domeinnamen zoals example.nl.amsterdam tegen kunnen komen.

Een andere trend is het gebruik van emoji in domeinnamen, bijvoorbeeld deze kerstboom.to domeinnaam staat momenteel te koop: https://xn--7j8h.to/ (de meeste browsers zullen niet het kerstboompje tonen (de IDN = International Domain Name), maar de Punycode variant daarvan, nl. "xn--7j8h". Overigens kunt u in https://www.charset.org/punycode?encoded=xn--7j8h&decode=Punycode+to+normal+text tussen beide varianten converteren.

Ook zie ik, op Virustotal, af en toe "verboden" domeinnamen met underscores (laagliggend streepje) daarin. In https://www.virustotal.com/gui/domain/skybackcluster_shbfinance_com_vn.xn--7j8h.to/summary ziet u een combinatie van een punycode domeinnaam gecombineerd met underscores. De meeste browsers accepteren domeinnamen met underscores overigens niet.

Wees argwanend als uw bank u belt, u een bericht ontvangt van uw bank, of als u om een pakketje te kunnen ontvangen een website zou moeten bezoeken.

Leer uzelf aan om domeinnamen te checken, hoe u ze interpreteert en hoe u vaststelt dat een gegeven domeinnaam mogelijk of waarschijnlijk niet van de in de webpagina gesuggereerde partij is.

Het internet is er de laatste jaren allesbehalve veiliger op geworden, en zowel cybercriminelen als big tech doen er alles aan om u armer en hen rijker te maken!

Eerder schreef ik over dit onderwerp o.a. in:
• https://www.security.nl/posting/840236/Veilig+inloggen

• https://www.security.nl/posting/840920/Nieuwe+bunq+scam

• https://www.security.nl/posting/837727/Digitale+bankfraude+%28bunq%232%29

• https://www.security.nl/posting/834710/bunq+phishing