Van wie kwam die memo, dat alle QR's / readers en tokens / OTP's eruit moeten?
Zijn dat Apple & Google of de iluminatie?
Of is er een logische reden waarom dat alles nogal accuut verdwijnt?

Ben benieuwd hoe ze deze klanten dan identificeren als zijnde de echte klant (de kantoren daar zullen ook wel zo goed als opgeheven zijn neem ik aan). Ik zie al weer een identificatie mbt je adres en geboortedatum (staande praktijk in NL) of het opsturen van een kopie ID als methode opdoemen. Hoe slecht wil je het maken.

De illuminatie natuurlijk, die zijn uit op jouw spaarcentjes om hun werelddominantie te financieren.
Je zult ook zien dat dadelijk geld opnemen bij de bank verboden wordt boven de 100 euro.
Wil je meer opnemen dan 50 euro moet je dat triple-acknowledged voor elkaar krijgen tegen het scannen van je ID.
Die grijze-oude-wollen-sok is zo slecht nog niet. Vergeet niet te lachen naar de camera.

Gewoon, capabele security architecten die kijken wat momenteel werkt en wat tegenwoordig NIET MEER WERKT.

Mensen die _wel_ snappen hoe security werkt (en niet werkt) voorspelden - en zagen - precies waarom sms en de token-calculators niet meer werken in dit soort massa-scenario's .
(en waarschijnlijk ook al niet in andere scenario's met heel erg gerichte aanvallen ).

Security begint met een realistisch threat-model : wat zijn in de hele keten kwetsbaarheden en risico's.
Welke kun je mitigeren, welke kun je (evt achteraf) tenminste herkennen als het faalt, welke moet je de aanname doen 'deze schakel is betrouwbaar' .

Helemaal terecht om dingen die niet werken - en wel een vals gevoel van veiligheid geven - uit te faseren .
Scheelt ook in de aansprakelijkheid , dan wek je als bank niet de indruk dat het ook wel veilig is . van de klant kun je dat niet verwachten .

Ik waarschuw er al jaren voor (en word vaak voor gek uitgemaakt: 2FA/MFA zou altijd beter zijn) dat "zwakke MFA" steeds vaker (1) niet helpt tegen websites met een "zou-kunnen-zijn-van" domeinnaam (ik noem deze "evil proxies" (2)), en bovendien allerlei zelden onderkende risico's (3) met zich meebrengt. Oftewel, vooral schijnveiligheid oplevert.


Een groot probleem van zwakke 2FA en van wachtwoorden (4) is dat de mens de domeinnaam van de website (ongeacht hoe zij/hij daarop uit is gekomen) moet checken, begrijpen hoe dat moet en moet zien te achterhalen (5) of die domeinnaam van de kennelijke eigenaar is.


Voor aanvallen op zwakke 2FA zie bijv. https://thehackernews.com/2024/02/4-ways-hackers-use-social-engineering.html.

Ten slotte: als je nog geen account hebt op een website (terwijl je passkeys, een FIDO2 hardware key of een wachtwoordmanager gebruikt die op domeinnamen check) is het helemaal een nagenoeg onmogelijke opgave om nepwebsites van echte te onderscheiden.

Zo zijn er steeds meer phishing-berichten die "pakket kon niet worden afgeleverd" melden, en de geaddresseerde iets zou moeten betalen (invoerheffing, aanvullende porto of kosten voor herbezorgen) waarbij, als de geadresseerde daar intrapt, diens creditcard (of debitcard?) wordt geplunderd.

Bij cybercriminelen zijn ook scams betreffende "tickets" populair: het stikt van de websites die er fraai en geloofwaardig uit kunnen zien, met domeinnamen waarin bijv. "paris", "olympics", "2024", "24", "tickets", "kassa" e.d. worden gecombineerd - met diverse TLD's. Maar denk ook aan:
• formula1-tickets[.]com
• eurofootballchamp[.]com
• tickets-depechemode[.]com
en idem voor zeer veel andere bands, artiesten of festivals. Vorige week schreef QuoIntelligence hierover (https://quointelligence.eu/2024/07/ticket-heist-olympic-games-and-sporting-events-at-risk/, bron en aanvullende info: https://www.bleepingcomputer.com/news/security/ticket-heist-fraud-gang-uses-700-domains-to-sell-fake-olympics-tickets/).