Deze aanpak is goed maar nog steeds kwetsbaar voor man-in-the-middle waarbij een handlanger inderdaad namens jou naar de bank belt om die verificatie te forceren.

Ik weet niet of dit wel zo'n goede ontwikkeling is, want dit soort dingen zorgt ervoor dat een gesprek op afstand met een medewerker van een bank niet meer onmiddelijk als verdacht wordt gezien.

De kans dat iemand per telefoon met een lulverhaal mensen iets laat doen neemt hierdoor gewoon toe.

Dit is een soort 2FA, two factor authentication, waarbij de bank nog steeds probeert om met een tweede spoor van puur digitale communicatie de betrouwbaarheid van de eerste communicatielijn te bewijzen. Daar kunnen criminelen wel wat op vinden. Bijvoorbeeld bellen, de klant gegevens ontfutselen en vervolgens een door "software-problemen" "vertraagde" pop-up sturen die het gesprek zogenaamd bevestigt als authentiek.

In essentie gaat het bij valse bellers (spoofing) om psychologische manipulatie. Er kan dus ook namens een andere instantie dan de bank zelf gebeld worden om de klant ertoe te bewegen om aan de bank bepaalde opdrachten te geven. Die opdrachten zijn dan echt, ook als de bank dat checkt. Alleen is de opdrachtgever daarvoor al misleid.

Ik heb een vaste contactpersoon bij mijn bank. Die herken ik aan diens stem en gespreksstijl. De stem kan waarschijnlijk met AI worden nagebootst, gespreksstijl lijkt me moeilijker, dat ligt heel subtiel. De gegroeide relatie maakt dat heel subtiele afwijkingen al gaan opvallen.

Als een valse beller een "noodsituatie" inclusief tijdnood zou melden om paniek te zaaien en mij op te jagen, dan zou ik extra vragen stellen die niet alleen inhoudelijk zouden moeten worden beantwoord, maar ook in de stijl van de mij bekende contactpersoon. Bovendien zou ik zo nodig zelf terugbellen naar een mij reeds van te voren bekend nummer, voordat er enige beslissing wordt genomen.

Een deel van dezelfde mensen die zich nu door helpdeskfraude laten misleiden, zal zich straks ook laten misleiden door de schijnbare geruststelling van een "vertraagde" pop-up met het logo van de bank.

De enige afdoende beveiliging blijft een fysiek bankfiliaal waar mensen snel naartoe kunnen en waar dan een medewerker van vlees en bloed achter een fysieke balie staat.

Hoe weet je dat een Push Notification https://support.mozilla.org/en-US/kb/push-notifications-firefox van de bank is en niet van een andere site waar je dit hebt toegestaan?

Het lijkt mij heel erg onveilig.

Ik zet ze altijd uit omdat ze mijn browserbeleving negatief beïnvloeden en omdat ik niet weet of ze van een betrouwbare site afkomstig zijn of van iets wat er op lijkt.

Dus toch kun je gebeld worden door je bank, want anders zou deze app niet nodig zijn. Jaar in jaar uit lees je in communiqués van je bank "Wij bellen nooit" en nu ineens gooien ze die zekerheid overboord. Fijne boel is dat.

Dit klopt niet. Als je zelf belt moet je (i) geverifieerd worden (maar goed, dat zal dan nog wel lukken als je al een hoop informatie weet van het slachtoffer en (nu komt het) (ii) moet de medewerker van de bank zelf het bericht plaatsen in de app of IB. Als een klant (=stiekem dus de fraudeur in jouw verhaal) de bank zelf belt, zal de medewerker dat natuurlijk niet doen.


Dit argument begrijp ik niet helemaal. De bank heeft nooit gezegd: "wij bellen nooit". De bank zegt "wij zullen u nooit vragen om betalingen te doen". Dat blijft nog steeds zo. Ik snap niet hoe je dit niet een goede ontwikkeling vind doordat de bank met een systeem komt om zelf te checken of je echt met de bank praat. Uiteraard kan iedereen bij elke twijfel alsnog ophangen en zelf de bank bellen. De bank adviseert dat ook zelf in de gesprekken.

Is het ooit goed wat de banken doen?

Rabobank heeft dit al, maar als het niet realtime wordt geüpdate is het niet nuttig. App zei een keer dat ik aan de lijn was met een medewerker, terwijl ik die al 10minuten geleden had opgehangen...
Een ander probleem is, de app staat vaak op dezelfde telefoon waarmee je aan het bellen bent... nogal lastig om het dan te checken.

Eens met Anoniem 10:32 en 10:49.

Het gaat voor geen meter helpen:
Het probleem is namelijk:

• Niet dat als een echte bankmedewerker belt de app dat bevestigt

doch

• Wel dat als een nep-bankmedewerker belt en de app dat niet bevestigt.

Vooral als mensen zelden of nooit door hun bank gebeld worden, hebben ze er geen flauw idee van dat hun app dat zou moeten bevestigen.

M.i. is dit vergelijkbaar met dat https://www.abnamro.nl een OV- of EV- (Organization / Extended Validation) certificaat naar mijn browser stuurt (*) en alle netsites een DV- (Domain Validated) certificaat. Waarvan, als ik ze zou (kunnen) inspecteren, moet ruiken of zo dat de echte ABNAMRO geen DV-certificaten gebruikt.

(*) Dat ik op mijn iPhone en op mijn Android telefoon met geen enkele browser nog (volledig, Chrome onder Android laat een deel zien) kan inspecteren (als je weet hoe kun je het certificaat dat zojuist naar mijn browser werd gestuurd wel grotendeels bekijken in https://crt.sh/?id=13707303182 - grotendeels, want dat is een pre-certificate, terwijl mijn browser de leaf-certificate versie daarvan ontving).

Of dat abnamro.nl netjes SPF, DKIM en DMARC gebruikt (dat heb ik overigens niet gecheckt) en dat mensen vervolgens gephished worden met e-mails met als afzender no-reply@abnamro-mailings.com o.i.d. - omdat de ontvangers niet weten dat abnamro-mailings.com niet van ABNAMRO is.

Kent iemand een goede korte omschrijving voor dit fenomeen? ("Plausible Deniability" en "Non-Repudiation" zijn het volgens mij niet).

Jawel, zie "De Chase case" in https://security.nl/posting/842742.

Verkeerd uitgangspunt, het gaat er vooral om dat je nep bankmedewerkers als klant zelf kan controleren, er bellen namelijk meer nep medewerkers als echte medewerkers. ING begrijpt dat beter.

Natuurlijk zijn er redenen dat een bank een klant belt. Ze bellen mij ook regelmatig en soms gaat het zelfs om grotere bedragen. Alleen zeg ik dan "doe maar" en ga zelf geen overboekingen doen. Als dat nodig is, kan een echte bankmedewerker dat zelf wel doen.

Ook bij een sterk vermoeden van een frauduleuze overboeking kan de bank besluiten om telefonisch contact te leggen. Dat er gebeld wordt, blijkt ook uit eerdere berichten op dit forum waarbij de oplichters het slachtoffer instrueren om een echte bankmedewerker te misleiden. (Voor zulke naïeve slachtoffers zal deze check ook niet helpen)

Ik denk wel dat deze functie in een behoefte gaat voorzien. Sommige mensen zullen inmiddels in twijfel komen als ze door de bank gebeld worden. Nu kunnen ze zelf, via een gevalideerd kanaal, een bevestiging krijgen dat het gesprek echt met een medewerker is.

Ik vind het toevoegen van deze feature aan de bank-app geen goed idee.
Je moet er gewoon bij iedereen (behalve bij @Briolet ;) instampen dat als ze gebeld worden door hun bank ze het gesprek moeten beëindigen en zelf daarop (met het nummer uit hun eigen contactenlijst) hun bank moeten terugbellen met de vraag of iemand van de bank hen zojuist heeft gebeld.

Ik mag hopen dat banken door de vernieuwde app de monitoring van hun uitgaande telefoonverkeer met klanten niet minder serieus nemen.

Wat ze bij PostNL tegenwoordig doen is een vooraf zelf opgegeven woord laten terugkomen in communicatie. Bijvoorbeeld de naam van je huisdier of weet ik wat. Dat zou hier ook kunnen. Een soort wachtwoord waarmee de bankmedewerker zich kan identificeren als bankmedewerker.

Dat heeft alle problemen van password beheer - en dan ook nog voor , meestal, zeldzame situaties.

Als je zelden of nooit gebeld wordt - heb je het niet ingesteld.
Als je het instelt, sla je het ergens op .

Als je dan onverwacht gebeld wordt - moet je er eerst aan denken om dat opgeslagen password van ergens op te duiken om te valideren.

of je wordt omvergeluld dat je echt "bloempot" gekozen had.

Het risico dat je bank-shared-secret lekt (uit malware op je computer) is ook niet denkbeeldig - zeker niet als de malware operator je met Anydesk mag 'helpen'.

Leer je telefoon bedienen ?
Je kunt prima een gesprek naar achter zitten en een app gebruiken .

Als de bank zelf belt, zal er geen pop-up of bericht verschijnen in de app - hoe gaat die MitM attack dan volgens jou werken?

Heb je überhaupt gelezen hoe het werkt?

Uit https://www.abnamro.com/nl/nieuws/check-check-dubbelcheck-is-het-echt-de-bank-die-belt:

Gek genoeg is dat ook het enige wat de banken absoluut niet willen.

Veiligheid mag van hun geen geld kosten. Dan maar minder veiligheid.
Dat wil zeggen minder veiligheid voor de klanten. Dat vinden de banken en de overheid niet echt een probleem.