Computerbeveiliging - Hoe je bad guys buiten de deur houdt

banken (bunq) scam nieuws

24-05-2024, 16:01 door Erik van Straten, 20 reacties
Velen zijn in allerlei vormen van "bankhelpdeskfraude" getrapt.

Verwacht nieuws over bunq-scam slachtoffers
Volgens een van mijn bronnen zullen, vanmiddag vanaf ca. 17:00, NRC en NPO radio aandacht besteden aan dit probleem (m.b.t. 28 slachtoffers en 1,4 M€ schade). Naar verwachting komt dit ook ter sprake in het 20:00 NOS-journaal.

Alleen ouderen trappen hierin?
Misverstanden over wat banken niet zouden doen, en de misvatting dat alleen ouderen in oplichting trappen (vaak raken juist zij daarbij veel geld kwijt, bij lagere bedragen kan schaamte van jongeren ervoor zorgen dat zij hun verlies verzwijgen), uit https://www.abnamro.com/nl/nieuws/een-op-de-acht-nederlanders-weet-niet-dat-banken-nooit-vragen-om-betaalpas (ik heb de 3 punten genummerd):
AMSTERDAM, 16 mei 2024 - Bijna één op de acht Nederlanders weet niet dat een bank nooit zal vragen om hun betaalpas per post te versturen.
[...]
De belangrijkste bevindingen uit het onderzoek:
1) Één op de acht (12%) Nederlanders sluit niet uit dat banken kunnen vragen een betaalpas op te sturen, terwijl banken dit nooit van hun klanten zouden vragen

2) Ruim een kwart (27%) van de Nederlanders is niet volledig op de hoogte van wat een bank nooit aan hen zal vragen

3) Jongvolwassen Nederlanders (18-34 jaar) zijn het meest vatbaar om op nep-verzoeken van banken te reageren

Banken vragen nooit pinpassen terug?
Helaas klopt punt 1 hierboven niet. In https://youtube.com/watch?v=iUoxZrVxvzw (*) vanaf ca. 1:23 vertelt een opgelichte bunq-klant dat zij, nadat zij -totaal onverwacht- 7 bunq betaalpassen ontving waarna zij een mailtje naar bunq stuurde. Naar verluidt zou bunq dat mailtje hebben beantwoord met:
Nou bewaar ze maar goed, doe ze in de kluis maar wees er voorzichtig mee, want het is fraudegevoelig - én u mag ze altijd opsturen.
Waarom raadt die bunq-medewerker niet aan om die passen onmiddellijk onbruikbaar te maken? Immers, helemaal niemand mag hier ooit nog gebruik van (kunnen) maken!

En als je de video verder kijkt, zie je dat het niet bij die 7 passen bleef. Bunq zou ondertussen haar monitoringsystemen hebben aangepast zodat er een belletje gaat als iemand ineens heel veel passen aanvraagt.

(*) Bron: https://radar.avrotros.nl/artikel/rekening-geplunderd-maar-bunq-onbereikbaar-60558 (met respons van bunq).

Banken sturen nooit bericht met "klik op deze link"?
Nog zo'n fabeltje: banken sturen u geen berichten (zoals SMS en e-mail) met links waarop u moet drukken om bijvoorbeeld in te loggen of om uw identiteit te laten bevestigen. Dat ontkrachtte ik eerder in https://security.nl/posting/840966.

Banken bellen u nooit?
ING is een nieuwe dienst aan het uitrollen: "Check het Gesprek" (bron: https://security.nl/posting/837180).

Op het eerste gezicht lijkt dat een goed idee, want een AitM-aanval (zoals bij Chase, zie verderop) lijkt niet mogelijk (ik heb nog niks kunnen bedenken, maar dat bewijst niet dat zoiets onmogelijk is).

En toch maak ik hier bezwaar tegen, om verschillende redenen:

1) Het komt kennelijk vóór dat ING-medewerkers naar klanten bellen (anders zou de app vermelden: wij zullen u nooit bellen").

2) Gegeven dat ING zelf kan bellen, had ING in haar app kunnen zetten:
Als iemand zegt namens ING te bellen: vraag om de code, hang op en bel ons (zo mogelijk vanuit uw bank app) op 020 22 888 00 (24 uur per dag, 7 dagen in de week bereikbaar)
Echter, mogelijk vindt ING dat tijdverspilling (en wil ING de aandeelhouders niet met een lagere winstuitkering opzadelen).

3) Niet iedereen hoeft een apparaat (zoals een tablet) met die app bij de hand te hebben.

4) Als slachtoffers die app op dezelfde smartphone hebben als waarop zij gebeld worden, zullen vooral ouderen het lastig vinden om onmiddellijk vanuit de bel-app te switchen naar hun bank-app, vooral als zij daarvoor éérst nog hun toestel moeten ontgrendelen.

5) Hoe langer een "kundige" manipulator op hen in kan praten, en hen daardoor steeds meer laat geloven dat zij bestolen gaan worden - terwijl de oplichter je er alles aan doet om je ervan te overtuigen dat uitsluitend zij of hij dat kan voorkómen, hoe kleiner de kans dat het slachtoffer nog een "Check het Gesprek" gaat uitvoeren. Vooral niet als de oplichter zegt dat haast geboden is.

6) De beller kan claimen om namens een andere bank te bellen:
U spreekt met Carla van de Rabobank. Wij zien grote bedragen bijgeschreven worden, afkomstig van uw bankrekening met IBAN NLnnINGBnnnnnnnnnn, op een rekening van één van onze klanten - waarvan wij -om privacyredenen- de naam niet mogen noemen. [...]
Ik kan meerdere teksten verzinnen die daarop zouden kunnen volgen (maar ik wil criminelen niet onnodig "wijzer" maken). De beller kan ook liegen dat zij namens de politie belt. Of dat, t.g.v. een storing in de telefooncentrale van ING hun "Check het Gesprek" systeem tijdelijk buiten werking is.

De Chase case
In "Slachtoffer bankhelpdeskfraude via echte pushnotificatie bank-app opgelicht" (https://security.nl/posting/840353) wordt deze AitM (Attacker in the Middle) aanval beschreven.

Kennelijk heef Chase iets "slims" bedacht voor de situatie dat een klant "gewoon" (niet vanuit de bank-app) naar Chase belt, en het noodzakelijk is voor Chase om vast te stellen dat de klant is wie zij of hij zegt te zijn - door de app er alsnog bij te betrekken. Dat gebeurt doordat Chase een push-bericht naar de app stuurt; een liegende beller, die geen toegang tot de bank-app van het slachtoffer heeft, valt daarmee door de mand. Helaas blijkt juist dat mechanisme bruikbaar voor scanmers.

In dit geval bestaat de AitM uit twee criminelen die met elkaar kunnen communiceren (zonder dat anderen daar iets van meekrijgen). Wat er gebeurde is ongeveer het volgende (het slachtoffer heb ik "Jan" genoemd):

Stap 1:
[Chase]
^
| AitM #1 belt de bank:
| "Ik ben Jan"
^
o <—> o >—————.
/|\ /|\ |
/ \ / \ |
AitM #1 AitM #2 |
|
AitM #2 belt Jan |
"Ik bel namens Chase" |
v
Jan o
/|\
/ \

Stap 2:
stuurt push-bericht
naar de app van Jan
[Chase] > • • • • • • • • •
v •
| Bankmedewerker: •
| "Bewijs dat u echt •
| Jan bent in uw app" •
| •
v •
o <—> o >—————. •
/|\ /|\ | •
/ \ / \ | •
AitM #1 AitM #2 | •
| •
AitM #2: "Aan het | •
bericht in uw bank- | •
app kunt u zien dat | •
ik echt namens Chase | •
bel; bevestig a.u.b." | •
| •
v v
Jan o _
/|\ — | |
/ \ |_|
Jan ziet in in diens app: https://imgur.com/a/UGlOFFQ (of zie het plaatje in https://security.nl/posting/840353) en bevestigt dat hij iemand van Chase aan de lijn heeft (daar is Jan nu van overtuigd).

En mocht Jan nog twijfelen (zoals AllissonW zegt te doen in https://infosec.exchange/@AlisonW@fedimon.uk/112372536360484257) en bijvoorbeeld deze discussie volgt:
Jan > AitM #2: "wanneer en voor welk bedrag heb ik voor het laatst geld uit de muur gehaald?"

AitM #2 > Jan: "moment, dat moet ik opzoeken" (typend geluid)

AitM #2 > AitM #1 (onhoorbaar voor Jan): "wanneer en voor welk bedrag heb ik voor het laatst geld uit de muur gehaald?"

AitM #1 > Chase: "wanneer en voor welk bedrag heb ik voor het laatst geld uit de muur gehaald?"
Het antwoord daarop belandt via de omgekeerde weg bij Jan.

Jan moet wel heel sterk in zijn schoenen staan wil hij er nu niet van overtuigd zijn een echte bankmedewerker aan de lijn te hebben.

Wat kunt u doen

1) Gebeld door uw bank
Met "alles online" is er maar één oplossing als u gebeld wordt door een bankmedewerker:

    Hang op en bel zelf uw bank - zo
    mogelijk vanuit uw bank-app.


Het is namelijk onmogelijk om, als gebelde persoon, vast te stellen of de beller namens uw bank belt of een crimineel is (al dan niet een AitM zoals in de Chase case).

Echter, als u uw bank belt speelt het omgekeerde probleem: hoe weet de bank zeker dat niet een oplichter (evt. AitM) namens u belt? Als u een bank-app gebruikt, kunt u vaak vanuit die app contact opnemen met uw bank. Dat verhindert niet dat een oplichter "gewoon" belt (en mogelijk daarbij uw telefonnummer spooft), maar het geeft de bank iets betrouwbaarder informatie dat u het bent die contact met hen opneemt.

2) Bericht van uw bank
Ook als u een bericht (e-mail, SMS of "appje") "van uw bank" ontvangt waarin staat dat u iets moet doen (op een link klikken, een telefoonnummer bellen of het bericht beantwoorden) kan het erg moeilijk of onmogelijk zijn om vast te stellen of de afzender echt namens uw bank dat bericht stuurde, óf dat het om een cybercrimineel gaat:

    Doe niets met het bericht en
    neem zelf contact op met uw bank.


Zie punt 1 hierboven voor hoe u dat het beste kunt doen. Bewaar dat soort berichten of maak er een schermafdruk van (mocht u later twijfelen, dan is het onhandig als u alles heeft weggegooid). Omdat de kans niet uitgesloten is dat u een beeicht A heeft ontvangen terwijl de bank zojuist een bericht B naar (sommige) klanten heeft gestuurd, dubbel-chek dat jullie het over hetzelfde bericht hebben.

3) Check de domeinnaam (en op https://)
In o.a. een e-mail kan, in een link, een domeinnaam worden getoond die niet overeenkomt met de werkelijke domeinnaam die "daaronder" zit, en soms kun je de werkelijke domeinnaam "onder tekst" (vaak blauw, vet en/of onderstreept, maar het kan er ook uitzien als een knop).

In een SMS kan de domeinnaam in een link niet anders zijn dan wat u ziet, maar vaak wordt hierbij gebruik gemaakt van "URL-verkorters".

Het allerbelangrijkste is, als u op een link klikt, dat u daarna de domeinnaam van de website in de adresbalk van uw browser dubbel-checkt. Nagenoeg alle nepwebsites ondersteunen https:// met als gevolg browsers u een hangslotje laten zien of, zoals Chrome, u niet waarschuwen dat er van http:// gebruik gemaakt wordt (de meeste webbrowsers laten https:// en http:// weg in de adresbalk om ruimte op het scherm te besparen).

In bijna alle gevallen garandeert https:// twee dingen:
a) Uw browser heeft daadwerkelijk een verbinding met een server met de in de adresbalk getoonde domeinnaam;

b) Die verbinding is versleuteld (niet af te luisteren) en mocht iemand de uitgewisselde versleutelde informatie proberen te wijzigen, dan leidt dat tot een foutmelding van uw browser.

Belangrijk: een https:// verbinding geeft geen énkele indicatie over wie de eigenaar van een website is, laat staan hoe betrouwbaar die eigenaar is (en anderen met toegang tot die server). En ook niet hoe goed de beveiliging van die server zelf is. Ook cybercriminelen laten hun websites https:// ondersteunen.

Verzeker u ervan dat de volledige domeinnaam van uw bank is, los van wat er in de webpagina te zien is (in tegenstelling tot de domeinnaam, kan de inhoud van webpagina's doodsimpel worden vervalst).

Uit https://www.rtl.nl/nieuws/rtl-z/artikel/5450845/ondernemer-opgelicht-door-nep-medewerker-bunq-oplichting-bankfraude:
Van IJzendoorn klikt op de link en komt terecht in een webomgeving van Bunq. "Echt exact dezelfde. De URL begon ook met www.bunq." Hij tikt de code in maar er gebeurt niks. Kort erna belt een anoniem nummer.
Zie ook: https://www.linkedin.com/feed/update/urn:li:activity:7193520708402987008/.

Enkele voorbeelden van bunq nepsites op een server in Rusland, uit :

Scanned #Det. Domain
20240522 0/93 web-bunq-informatiecontrole.com
20240522 0/93 web-bunq-klantenportaal.com
20240520 0/93 mijn-bunq-omgeving.com
20240518 0/93 bunq-gegevens-bijwerken-nl.com
20240516 0/92 bij-werken-nu-nl-bunq.com
20240515 0/92 nl-bunq-bijwerken.com

4) Valse domeinnaam trends
Ik zie een toenemend misbruik van "dubbele TLD's" zoals example.nl.com (in mindere mate example.com.nl), maar kijk ook daar voor uit. Vergelijkbaar zou je domeinnamen zoals example.nl.amsterdam tegen kunnen komen.

Een andere trend is het gebruik van emoji in domeinnamen, bijvoorbeeld deze kerstboom.to domeinnaam staat momenteel te koop: https://xn--7j8h.to/ (de meeste browsers zullen niet het kerstboompje tonen (de IDN = International Domain Name), maar de Punycode variant daarvan, nl. "xn--7j8h". Overigens kunt u in https://www.charset.org/punycode?encoded=xn--7j8h&decode=Punycode+to+normal+text tussen beide varianten converteren.

Ook zie ik, op Virustotal, af en toe "verboden" domeinnamen met underscores (laagliggend streepje) daarin. In https://www.virustotal.com/gui/domain/skybackcluster_shbfinance_com_vn.xn--7j8h.to/summary ziet u een combinatie van een punycode domeinnaam gecombineerd met underscores. De meeste browsers accepteren domeinnamen met underscores overigens niet.

Conclusie
Wees argwanend als uw bank u belt, u een bericht ontvangt van uw bank, of als u om een pakketje te kunnen ontvangen een website zou moeten bezoeken.

Leer uzelf aan om domeinnamen te checken, hoe u ze interpreteert en hoe u vaststelt dat een gegeven domeinnaam mogelijk of waarschijnlijk niet van de in de webpagina gesuggereerde partij is.

Het internet is er de laatste jaren allesbehalve veiliger op geworden, en zowel cybercriminelen als big tech doen er alles aan om u armer en hen rijker te maken!

Meer info
Eerder schreef ik over dit onderwerp o.a. in:
https://www.security.nl/posting/840236/Veilig+inloggen

https://www.security.nl/posting/840920/Nieuwe+bunq+scam

https://www.security.nl/posting/837727/Digitale+bankfraude+%28bunq%232%29

https://www.security.nl/posting/834710/bunq+phishing
Reacties (20)
24-05-2024, 17:56 door Erik van Straten - Bijgewerkt: 24-05-2024, 18:14
Artikelen staan online:

https://www.nrc.nl/nieuws/2024/05/24/beroofd-bij-bunq-101410-euro-kwijt-in-39-minuten-en-alleen-een-chatbot-die-je-te-woord-kan-staan-a4199901

https://nos.nl/artikel/2521727-phishing-aanvallers-opvallend-succesvol-bij-bunq-veiligheid-geen-thema

Het zijn echt niet allemaal ouderen. Je moet heel precies weten hoe scammers te werk gaan, en dat verandert ook nog eens voortdurend. En je moet niet gehaast zijn of op andere wijze worden afgeleid. Bovendien mag je van de meeste mensen niet verwachten dat zij überhaupt kunnen onthouden wat elke specifieke bank allemaal nooit zou doen - hetgeen vaak niet eens blijkt te kloppen.

Cybercriminelen hebben zeer veel mogelijkheden om je voor de gek te houden, zoals door te zeggen dat hun naam Luc "achternaam" is, en je op LinkedIn inderdaad kunt zien is dat Luc "achternaam" bij bunq zou werken (los van of dat een écht account is).

Uiteindelijk zijn het bits die worden uitgewisseld, waarvan het extreem lastig (zo niet onmogelijk) is om vast te stellen wie of wat elk van die bits op 0 of 1 gezet heeft, en waar op de wereld die persoon of computer zich bevindt.

Nog een tip: installeer *nooit* software op verzoek van een beller of iemand die je hebt binnengelaten. Programma's als AnyDesk en TeamViewer zijn legitieme software waarmee helpdesks uw computer kunnen "overnemen", maar diezelfde soort programma's wordt massaal misbruikt door cybercriminelen.
24-05-2024, 23:39 door Briolet
De belangrijkste bevindingen uit het onderzoek:
1) Één op de acht (12%) Nederlanders sluit niet uit dat banken kunnen vragen een betaalpas op te sturen, terwijl banken dit nooit van hun klanten zouden vragen.

Dit getal kan komen doordat dit vroeger wel eens gevraagd werd. Ik kan me herinneren dat mijn bank de optie bood het oude pasje weer in te leveren in het kader van de plastic vervuiling tegen te gaan. Zij konden dit dan recyclen.

----

Er is inderdaad veel bunq scam onderweg. Ik kreeg deze maand al 6 mailtjes vanaf 3 verschillende mailadressen. 4 mailtjes vanaf een gespoofed 'planet.nl' adres. Planet heeft een spf policy van alles toestaan, iets wat me hogelijk verbaasd van een professionele organisatie. Blijkbaar werken de anti-spoofing methodes wel, want anders hadden ze het echte adres van bunq wel gespoofed.

----

Ik heb alleen het topic in het 8 uur journaal gezien. Daar maak ik uit op dat Bunq juist te gebruikersvriendelijk wil zijn. Zij geven hun klanten maximale controle over hun eigen geld. Als het goed gaat, vinden mensen dat ook heel prettig. Al die beveiligingen maken het leven alleen maar lastig... (totdat het mis gaat, dan had je een ingebouwde beveliging gewild)
25-05-2024, 07:47 door Anoniem
“Hang op en bel zelf uw bank - zo mogelijk vanuit uw bank-app.”

Dit soort tips werden en worden ook door het bankwezen en de overheid gegeven maar dat dringt dus niet tot iedereen door.
Er zijn zelfs mensen die meerdere keren in dezelfde truc trappen.

Een paar jaar geleden kregen mijn vrouw en ik tegelijk een sms’je, er zou een “urgent bericht” voor ons klaarstaan met een linkje dat ons zou doorsturen naar dat bericht van onze bank.
Sms’je verwijderd en daarna nooit meer een poging tot beroving gehad.

Ik vroeg me toen wel af hoe de oplichter van ons beide het mobiele telefoonnummer kende plus de naam van de bank waar wij bankieren.
Je zou bijna denken dat het een zwakke schakel binnen de bank moet zijn geweest.
25-05-2024, 09:52 door Anoniem
Door Briolet: [...]
Ik heb alleen het topic in het 8 uur journaal gezien. Daar maak ik uit op dat Bunq juist te gebruikersvriendelijk wil zijn. Zij geven hun klanten maximale controle over hun eigen geld. Als het goed gaat, vinden mensen dat ook heel prettig. Al die beveiligingen maken het leven alleen maar lastig... (totdat het mis gaat, dan had je een ingebouwde beveliging gewild)
Maar al die zgn. beveiligingen zijn vaak ook lastig en werken soms averechts.
Ik krijg voortdurend dezelfde waarschuwingen van mijn bank tijdens het online bankieren, die ik dus maar ga negeren omdat ik dan wel wat anders aan mijn hoofd heb. Dus met het risico dat ik relevante meldingen over het hoofd ga zien...
25-05-2024, 12:06 door Anoniem
Door Erik van Straten: 2) Bericht van uw bank
Ook als u een bericht (e-mail, SMS of "appje") "van uw bank" ontvangt waarin staat dat u iets moet doen (op een link klikken, een telefoonnummer bellen of het bericht beantwoorden) kan het erg moeilijk of onmogelijk zijn om vast te stellen of de afzender echt namens uw bank dat bericht stuurde, óf dat het om een cybercrimineel gaat:

    Doe niets met het bericht en
    neem zelf contact op met uw bank.


Zie punt 1 hierboven voor hoe u dat het beste kunt doen. Bewaar dat soort berichten of maak er een schermafdruk van (mocht u later twijfelen, dan is het onhandig als u alles heeft weggegooid). Omdat de kans niet uitgesloten is dat u een beeicht A heeft ontvangen terwijl de bank zojuist een bericht B naar (sommige) klanten heeft gestuurd, dubbel-chek dat jullie het over hetzelfde bericht hebben.

Ik zou mijn ouders niet het advies geven om phishingberichten te bewaren en zelf zou ik dat ook niet doen. Ik geef nu mijn ouders het advies om verdachte berichten in Thunderbird ongelezen te rechts-klikken en in de vuilnisbak te gooien. Daarna moet de vuilnisbak geleegd worden en de inbox gecomprimeerd worden in Thunderbird. Alleen dan is de phishingmail echt weg.

Ik het verleden heb ik een backup op Linux gehad met het anti-virus programma ClamAV wat ik gebruikte. Deze gooide rustig mijn hele backup vanuit Windows weg omdat er een kwaadaardig bericht in zat. Toen realiseerde ik mij dat wat ik deed niet handig is.

Een kennis van mijn vader zegt dat als een mail belangrijk is, deze nog wel een keer verstuurd gaat worden. En dat vind ik een erg goede methode voor de weerbaarheid tegen phishing.

Overigens heeft mijn bank niet mijn e-mail adres, dus dat maakt het nogal makkelijk voor mij om dit soort berichten weg te gooien. Mijn ouders hebben helaas wel hun e-mail adres aan de bank gegeven :-(
25-05-2024, 12:23 door spatieman
afgelopen week tig bunq smsjes gekregen (die afgevangen werden)
in 1 uur tijd 12 bunq berichten dat mijn pas verliep, met 12 verschillende sites, en .....12 verschillende telefoon nummers vanuit nederland,
mja, gespoofd ga ik ervanuit.
25-05-2024, 13:04 door Briolet
Banken bellen u nooit?

Er zijn genoeg redenen voor een bank om te bellen. b.v. als ze een verdachte transactie zien en niet zelf kunnen beslissen om deze te blokkeren.

Belangrijker is om te realiseren dat een bank jou niet nodig heeft om transacties te blokkeren. Dus wordt het pas echt verdacht als de bank vraagt om bepaalde handelingen te doen. Niet elke medewerker zal toegang tot jouw account hebben, maar bij fraude verdenking dat de legitieme beller deze bevoegdheid wel hebben.

Ik krijg soms ook telefoontjes van mijn bank. Dan gaat het b.v. om suggesties van aan- of verkopen van fondsen. Maar als ik met de suggestie mee ga, voeren zij gewoon zelfstandig de transactie uit, zonder dat ik daar nog iets voor hoef te tekenen of in te loggen.
25-05-2024, 14:34 door Anoniem
Overigens heeft mijn bank niet mijn e-mail adres, dus dat maakt het nogal makkelijk voor mij om dit soort berichten weg te gooien. Mijn ouders hebben helaas wel hun e-mail adres aan de bank gegeven :-(
Ik gebruik een e-mail adres alleen voor de banken waar ik bij ben, en met de laptop waar ik mee bankier
kan ik geen mail op ontvangen.
25-05-2024, 16:05 door Anoniem
Door Briolet:
Er is inderdaad veel bunq scam onderweg. Ik kreeg deze maand al 6 mailtjes vanaf 3 verschillende mailadressen. 4 mailtjes vanaf een gespoofed 'planet.nl' adres. Planet heeft een spf policy van alles toestaan, iets wat me hogelijk verbaasd van een professionele organisatie. Blijkbaar werken de anti-spoofing methodes wel, want anders hadden ze het echte adres van bunq wel gespoofed.

Een variant van het bekende gezegde "never attribute to malice what can be attributed to incompetence" is van toepassing. Al zou een bank het wel toestaan, usance onder phishers is gewoon een ander domein te gebruiken.

Een bank die niet tenmiste spf zou gebruiken voldoet niet aan de laagste standaarden. Bunq heeft spf en DKIM aan staan. De TXT record is "v=spf1 -all". Hard fail. Dat is goed, zelfs beter dan menige andere bank, die lange/grote reeksen van andere verzenders toestaan, dat een supply chain attack niet uitsluit.

Dat gezegd hebbende, je kunt niet van gebruikers/doorsnee beheerders verwachten dat ze weten wat spf is en wat er mee te doen. Scoring spamfilters doen ook niet zo veel met falende spf, daarvoor gaat er te veel fout in de praktijk (mailings die worden verstuurd via een derde partij zonder spf aanpassing). Dat is nog een reden voor phishers om juist niet een origineel bankdomein te gebruiken.
25-05-2024, 16:35 door Anoniem
Door Briolet:
Banken bellen u nooit?

Er zijn genoeg redenen voor een bank om te bellen. b.v. als ze een verdachte transactie zien en niet zelf kunnen beslissen om deze te blokkeren.

Inderdaad. Juist bij creditcard transacties is (of was, voor de extra validatie) alleen het vlaggen van opvallende patronen een manier om fraude *(waar de cc voor aansprakelijk was) te beperken.

Ooit wel eens gebeld - en blij dat ik (meteen) kon aangeven dat die transactie echt meteen door moest gaan.


Belangrijker is om te realiseren dat een bank jou niet nodig heeft om transacties te blokkeren. Dus wordt het pas echt verdacht als de bank vraagt om bepaalde handelingen te doen. Niet elke medewerker zal toegang tot jouw account hebben, maar bij fraude verdenking dat de legitieme beller deze bevoegdheid wel hebben.

Inderdaad, de bank heeft zelf de noodrem .


Ik krijg soms ook telefoontjes van mijn bank. Dan gaat het b.v. om suggesties van aan- of verkopen van fondsen. Maar als ik met de suggestie mee ga, voeren zij gewoon zelfstandig de transactie uit, zonder dat ik daar nog iets voor hoef te tekenen of in te loggen.

Dat zal ook een voorbeeld zijn. Verder neem ik aan dat bij dingen als hypotheek zaken er ook regelmatig heen en weer gebeld zal worden, als er nog iets aangeleverd of gecontroleerd/bevestigd moet worden .
De passeerdatum is een strakke deadline .
25-05-2024, 17:31 door Anoniem
Door Anoniem:
Ik vroeg me toen wel af hoe de oplichter van ons beide het mobiele telefoonnummer kende plus de naam van de bank waar wij bankieren.
Je zou bijna denken dat het een zwakke schakel binnen de bank moet zijn geweest.

Ik lees dat de Bunq app de mogelijkheid heeft om de app toegang te geven tot je adresboek zodat je kunt zien wie van je kennissen nog meer Bunq hebben... op die manier kan een crimineel dus als ie eenmaal een slachtoffer heeft gemakkelijk zoeken naar andere Bunq klanten dus nieuwe slachtoffers.
En die "mogelijkheid" gaat op de bekende manier: app vraagt toegang tot het adresboek, dat kun je weigeren, maar de meeste mensen denken ongetwijfeld dat dit dan beperkingen geeft en staan dit dus maar toe. De bank vertrouwen ze immers.
25-05-2024, 18:32 door Anoniem
Door Anoniem:
Overigens heeft mijn bank niet mijn e-mail adres, dus dat maakt het nogal makkelijk voor mij om dit soort berichten weg te gooien. Mijn ouders hebben helaas wel hun e-mail adres aan de bank gegeven :-(
Ik gebruik een e-mail adres alleen voor de banken waar ik bij ben, en met de laptop waar ik mee bankier
kan ik geen mail op ontvangen.

Dat is een prestatie - wel kunnen bankieren (laptop => webbased) , maar web-mail werkt niet ?

Of bedoel je dat je geen mail client geinstalleerd hebt ?
25-05-2024, 19:58 door Anoniem
Door Anoniem:
Ik vroeg me toen wel af hoe de oplichter van ons beide het mobiele telefoonnummer kende plus de naam van de bank waar wij bankieren.
Je zou bijna denken dat het een zwakke schakel binnen de bank moet zijn geweest.

Ja, want het is ZO ZELDZAAM dat mensen bij de ING / RABO / ABN zitten ?

Gewoon iedereen aanspreken met "lieve postbankklant" , dan heb je bij ~40% gelijk.

"Beste voetbalkijker " - hoe weten ze DAT nou weer , kijkt iemand mee op mijn TV ?
25-05-2024, 23:20 door Anoniem
Door Anoniem:
Door Anoniem:
Ik vroeg me toen wel af hoe de oplichter van ons beide het mobiele telefoonnummer kende plus de naam van de bank waar wij bankieren.
Je zou bijna denken dat het een zwakke schakel binnen de bank moet zijn geweest.

Ja, want het is ZO ZELDZAAM dat mensen bij de ING / RABO / ABN zitten ?

Gewoon iedereen aanspreken met "lieve postbankklant" , dan heb je bij ~40% gelijk.

"Beste voetbalkijker " - hoe weten ze DAT nou weer , kijkt iemand mee op mijn TV ?

Zei ik dan dat ik voetbalkijker ben? Nee? Nou dan?
En waar vind ik nog een postbankklant?
25-05-2024, 23:20 door Erik van Straten
Door Anoniem: Ik vroeg me toen wel af hoe de oplichter van ons beide het mobiele telefoonnummer kende plus de naam van de bank waar wij bankieren.
Je zou bijna denken dat het een zwakke schakel binnen de bank moet zijn geweest.
Dat laatste kun je nooit uitsluiten, maar van de meeste Nederlanders zijn e-mailadres en IBAN minstens één keer gelekt en voor een paar grijpstuivers te koop.
25-05-2024, 23:20 door Erik van Straten
Door Anoniem: Een bank die niet tenmiste spf zou gebruiken voldoet niet aan de laagste standaarden. Bunq heeft spf en DKIM aan staan. De TXT record is "v=spf1 -all". Hard fail. Dat is goed, zelfs beter dan menige andere bank, die lange/grote reeksen van andere verzenders toestaan, dat een supply chain attack niet uitsluit.
Da's leuk, maar veel phishingberichten bereiken je als SMS'je. Vaak kun je dan niet eens het "zendende telefoonnummer" achterhalen (en als dat wel mogelijk is, kan het vervalst zijn).

Daarnaast, https://mxtoolbox.com/SuperTool.aspx?action=spf%3abunq.com&run=toolpage: de halve wereld.

En zonder DMARC (wat zowel voor bunq.nl, bunq.me {1} en bunq.com -zo te zien correct- geconfigureerd is) heb je sowieso niets aan SPF en DKIM om impersonatie van de afzender te voorkómen {2}.


Maar ook met DMARC is impersonatie simpel; als de SMTP e-mail afzender bijvoorbeeld luidt:

    no-reply@mijn-bunq-omgeving,com {3}

en DMARC klopt {4}, en de link in de e-mail begint met:

    https://mijn-bunq-omgeving,com/

- waarom zouden mensen dáár dan níet in trappen?

{3} Die domeinnaam komt uit de pagina met de link die ik in mijn lange post bovenaan vergeten was te noemen: https://www.virustotal.com/gui/ip-address/91.215.85.79/relations (je moet omdertussen wel meerdere keren op de ••• drukken om die domeinnaam te zien te krijgen). In de hier getoonde domeinnaam heb ik de punt door een komma vervangen (om te voorkómen dat deze als geldig e-mailadres en webadres worden herkend).
{4} D.w.z. dat aan minstens één van de volgende twee voorwaarden wordt voldaan:

a) De SPF-validatie is geslaagd én de header-From domeinnaam komt voldoende overeen met de envelope-From domeinnaam;

b) De DKIM-validatie is geslaagd én de header-From domeinnaam komt voldoende overeen met de in de DKIM-header opgenomen domeinnaam.

Dat nog afgezien van het feit dat de meeste mobiele e-mail apps de SMTP-afzender (naam@example.com) überhaupt niet tonen. Ten slotte (v.w.b. de e-mailafzender) maken ook banken gebruik van third parties die hun mailings verzorgen, en de worden regelmatig gehacked. Een e-mail met een domeinnaam zoals mailings.bunq.nl in een SMTP-afzenderadres kan nog steeds een phishingbericht zijn.

Wat ook niet helpt is dat ik, in elk geval in de Apple mail app voor iPadOS, een HTML phishing mail gezien heb waarin de domeinnaam van de website niet getoond werd toen ik langer op de knop drukte - waar duidelijk wél een link "onder" zat (wat ook bijv. een "bit.ly" link zou zijn, en dan weet je nog niks). Want toen ik erop drukte opende wel degelijk een phishingsite.

Het gedonder met SPF, DKIM, DMARC
DMARC verzorgt authenticatie van een e-mailafzenderdomein, maar daar heb je bar weinig aan omdat:

• Veel beheerders denken dat, als je "bewijst" dat een email van jouw domein afkomstig is (authenticatie dus), dit "het probleem" (ontvangers die, via een "zou-kunnen-zijn-van domeinnaam, in impersonatie trappen), zou oplossen;

• Niet zelden voor een e-mailafzender een andere domeinnaam dan voor de website van de organisatie wordt gebruikt (of afwijkende TLD's, zoals .net of .com i.p.v. .nl, waardoor eindgebruikers niet weten waarom bijvoorbeeld .top of .me wél foute boel zou zijn);

• Veel (vooral mobiele) e-mail apps het SMTP-afzenderadres (met afzenderdomein) überhaupt niet tonen;

• Forwarding door SPF onmogelijk wordt gemaakt en er vervelende workarounds nodig zijn (die derde partijen moeten implementeren) om dat probleem "op te lossen";

• SPF t.g.v. te veel recursieve "includes" onverwacht kan falen;

• Een DKIM signature niets zegt als deze niet door de bedoelde server is gezet;

• Veel mailinglist servers stukjes van e-mails wijzigen waardoor vervolgens DKIM-validatie faalt;

• Door bovenstaand "gedoe" het voor DMARC acceptabel is als ofwel SPF-validatie, ofwel DKIM-validatie faalt - waardoor het DMARC protocol wordt verzwakt (en, aan afzenderzijde, SPF in combinatie met DMARC vaak met "~all" wordt geconfigureerd, waardoor een ontvangende mailserver, die DMARC niet checkt, zal denken dat een SPF-fail niet boeit);

• Er tussen mailserverbeheerders geen consensus bestaat over de juiste instellingen en iedereen zijn eigen "ding" doet;

• DNS zonder DNSSEC gangbaar is en onbetrouwbaarder is dan mét;

• E-mailontvangers geen idee hebben wat er achter de schermen gebeurt, noch op de hoogte worden gehouden van wijzigingen in configuraties (die kunnen plaatsvinden als er bijv. te veel verzonden of juist ontvangen mail wordt geblokkeerd);

• Er nog steeds idioten zijn die stellen dat SPF, DKIM en DMARC antispammaatregelen zijn;

• Er nog steeds idioten zijn die stellen dat als je "zeker weet hoe het afzenderdomeim luidt", dit iets zegt over de betrouwbaarheid van de afzender (alsof cybercriminelen niet zouden weten hoe je die protocollen inzet);

• SPF, DKIM en DMARC complexe protocollen zijn die vaak onvoldoende worden begrepen, hetgeen enerzijds de kans op configuratiefouten vergroot (zowel aan de zendende als de ontvangende zijde). Anderszijds zijn beheerders, die er veel tijd in hebben gestopt om te begrijpen hoe het allemaal werkt en hoe je e.e.a. configureert, vaak niet bereid om toe te geven dat phishing nauwelijks of niet voorkómen wordt, en je ze vooral moet implementeren omdat anders andere "gelovigen" (waaronder Big Tech) mails vanuit jouw domein blokkeren;

• Niets helpt indien afzenders gehacked worden en cybercriminelen namens hen phishingmails kunnen verzenden.

Kortom:
1) Zowel bij SMS als bij e-mail is impersonatie eenvoudig en, voor de meeste ontvangers, zeer effectief. Als je SMS, en vooral e-mail, eenvoudig betrouwbaar zou kunnen maken, was dat allang gebeurd.

2) Indien je op een link klikt, check altijd of de uiteindelijke verbinding (zonder waarschuwingen) van https:// gebruikmaakt (ook al is die tekst "https://" zelf niet te zien in de adresbalk) én dat je zeker weet dat de volledige domeinnaam, getoond in de adresbalk van jouw browser, van de bedoelde organisatie is (vertrouw niets in de webpagina totdat je de domeinnaam gecheckt hebt).
26-05-2024, 10:04 door Anoniem
Door Erik van Straten:
[...]
Kortom:
1) Zowel bij SMS als bij e-mail is impersonatie eenvoudig en, voor de meeste ontvangers, zeer effectief. Als je SMS, en vooral e-mail, eenvoudig betrouwbaar zou kunnen maken, was dat allang gebeurd.

2) Indien je op een link klikt, check altijd of de uiteindelijke verbinding (zonder waarschuwingen) van https:// gebruikmaakt (ook al is die tekst "https://" zelf niet te zien in de adresbalk) én dat je zeker weet dat de volledige domeinnaam, getoond in de adresbalk van jouw browser, van de bedoelde organisatie is (vertrouw niets in de webpagina totdat je de domeinnaam gecheckt hebt).
Samengevat:
banken zouden een gedegen specifieke opleiding van hun klanten moeten eisen voordat zij die toestaan om doormiddel van Internet zelf hun bankzaken te mogen regelen, zodat ze bovenstaande begrijpen...

Bij gebreke daaraan zouden ze alle kosten moeten vergoeden als het misgaat.
26-05-2024, 11:54 door Anoniem
Door Anoniem:
Door Anoniem:
Ik vroeg me toen wel af hoe de oplichter van ons beide het mobiele telefoonnummer kende plus de naam van de bank waar wij bankieren.
Je zou bijna denken dat het een zwakke schakel binnen de bank moet zijn geweest.

Ja, want het is ZO ZELDZAAM dat mensen bij de ING / RABO / ABN zitten ?

Gewoon iedereen aanspreken met "lieve postbankklant" , dan heb je bij ~40% gelijk.

"Beste voetbalkijker " - hoe weten ze DAT nou weer , kijkt iemand mee op mijn TV ?
Ik kan me nog wel herinneren dat hier op security.nl een bericht langskwam dat een bank-medewerker een tijdje gegevens van rekeninghouders had ingekeken zonder dat daar reden voor was. Volgens mij was het bij ING en een jaar of 3 geleden. Dat soort gebeurtenissen doelt degene denk ik op waar jij op reageert met een soort kans-benadering (die ongetwijfeld in gevallen ook gebruikt wordt).
26-05-2024, 12:08 door Anoniem
Erik, zo lang banken allerlei communicatie door allerlei tamelijk minder bekende/ onbekende partijen laten verzorgen bevorderen ze zelf helaas de kans op dat rekeninghouders op het verkeerde been worden gezet.
Zie bijvoorbeeld de ABN Amro die voor een breed publiek tamelijk onbekende derde partij AddComm voor communicatie gebruikt https://www.security.nl/posting/842885/. Dit zouden banken als nuts-dienstverlener mijn inziens ook niet moeten doen om daarmee de kans op misverstanden ook nihil te houden.
26-05-2024, 15:41 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Ik vroeg me toen wel af hoe de oplichter van ons beide het mobiele telefoonnummer kende plus de naam van de bank waar wij bankieren.
Je zou bijna denken dat het een zwakke schakel binnen de bank moet zijn geweest.

Ja, want het is ZO ZELDZAAM dat mensen bij de ING / RABO / ABN zitten ?

Gewoon iedereen aanspreken met "lieve postbankklant" , dan heb je bij ~40% gelijk.

"Beste voetbalkijker " - hoe weten ze DAT nou weer , kijkt iemand mee op mijn TV ?
Ik kan me nog wel herinneren dat hier op security.nl een bericht langskwam dat een bank-medewerker een tijdje gegevens van rekeninghouders had ingekeken zonder dat daar reden voor was. Volgens mij was het bij ING en een jaar of 3 geleden. Dat soort gebeurtenissen doelt degene denk ik op waar jij op reageert met een soort kans-benadering (die ongetwijfeld in gevallen ook gebruikt wordt).

Het gebeurt - maar de reguliere spam is echt gewoon hagel schieten.

Ik krijg ook spam en SMS voor banken waar ik niet bij zit , en natuurlijk ook wel eens voor de bank waar ik wel bij zit.

Ik krijg 'DHL douane kosten' berichtjes terwijl ik niks besteld heb . Maar iets _wel_ bestellen gebeurt vaak genoeg dat het het hagel schieten waard is - omdat de kosten van bulk mail (en bulk sms) nihil zijn.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.