Deze aanpak is goed maar nog steeds kwetsbaar voor man-in-the-middle waarbij een handlanger inderdaad namens jou naar de bank belt om die verificatie te forceren.

Ik weet niet of dit wel zo'n goede ontwikkeling is, want dit soort dingen zorgt ervoor dat een gesprek op afstand met een medewerker van een bank niet meer onmiddelijk als verdacht wordt gezien.

De kans dat iemand per telefoon met een lulverhaal mensen iets laat doen neemt hierdoor gewoon toe.

Dit is een soort 2FA, two factor authentication, waarbij de bank nog steeds probeert om met een tweede spoor van puur digitale communicatie de betrouwbaarheid van de eerste communicatielijn te bewijzen. Daar kunnen criminelen wel wat op vinden. Bijvoorbeeld bellen, de klant gegevens ontfutselen en vervolgens een door "software-problemen" "vertraagde" pop-up sturen die het gesprek zogenaamd bevestigt als authentiek.

In essentie gaat het bij valse bellers (spoofing) om psychologische manipulatie. Er kan dus ook namens een andere instantie dan de bank zelf gebeld worden om de klant ertoe te bewegen om aan de bank bepaalde opdrachten te geven. Die opdrachten zijn dan echt, ook als de bank dat checkt. Alleen is de opdrachtgever daarvoor al misleid.

Ik heb een vaste contactpersoon bij mijn bank. Die herken ik aan diens stem en gespreksstijl. De stem kan waarschijnlijk met AI worden nagebootst, gespreksstijl lijkt me moeilijker, dat ligt heel subtiel. De gegroeide relatie maakt dat heel subtiele afwijkingen al gaan opvallen.

Als een valse beller een "noodsituatie" inclusief tijdnood zou melden om paniek te zaaien en mij op te jagen, dan zou ik extra vragen stellen die niet alleen inhoudelijk zouden moeten worden beantwoord, maar ook in de stijl van de mij bekende contactpersoon. Bovendien zou ik zo nodig zelf terugbellen naar een mij reeds van te voren bekend nummer, voordat er enige beslissing wordt genomen.

Een deel van dezelfde mensen die zich nu door helpdeskfraude laten misleiden, zal zich straks ook laten misleiden door de schijnbare geruststelling van een "vertraagde" pop-up met het logo van de bank.

De enige afdoende beveiliging blijft een fysiek bankfiliaal waar mensen snel naartoe kunnen en waar dan een medewerker van vlees en bloed achter een fysieke balie staat.

Hoe weet je dat een Push Notification https://support.mozilla.org/en-US/kb/push-notifications-firefox van de bank is en niet van een andere site waar je dit hebt toegestaan?

Het lijkt mij heel erg onveilig.

Ik zet ze altijd uit omdat ze mijn browserbeleving negatief beïnvloeden en omdat ik niet weet of ze van een betrouwbare site afkomstig zijn of van iets wat er op lijkt.

Dus toch kun je gebeld worden door je bank, want anders zou deze app niet nodig zijn. Jaar in jaar uit lees je in communiqués van je bank "Wij bellen nooit" en nu ineens gooien ze die zekerheid overboord. Fijne boel is dat.

Dit klopt niet. Als je zelf belt moet je (i) geverifieerd worden (maar goed, dat zal dan nog wel lukken als je al een hoop informatie weet van het slachtoffer en (nu komt het) (ii) moet de medewerker van de bank zelf het bericht plaatsen in de app of IB. Als een klant (=stiekem dus de fraudeur in jouw verhaal) de bank zelf belt, zal de medewerker dat natuurlijk niet doen.


Dit argument begrijp ik niet helemaal. De bank heeft nooit gezegd: "wij bellen nooit". De bank zegt "wij zullen u nooit vragen om betalingen te doen". Dat blijft nog steeds zo. Ik snap niet hoe je dit niet een goede ontwikkeling vind doordat de bank met een systeem komt om zelf te checken of je echt met de bank praat. Uiteraard kan iedereen bij elke twijfel alsnog ophangen en zelf de bank bellen. De bank adviseert dat ook zelf in de gesprekken.

Is het ooit goed wat de banken doen?

Rabobank heeft dit al, maar als het niet realtime wordt geüpdate is het niet nuttig. App zei een keer dat ik aan de lijn was met een medewerker, terwijl ik die al 10minuten geleden had opgehangen...
Een ander probleem is, de app staat vaak op dezelfde telefoon waarmee je aan het bellen bent... nogal lastig om het dan te checken.

Eens met Anoniem 10:32 en 10:49.

Het gaat voor geen meter helpen:
Het probleem is namelijk:

• Niet dat als een echte bankmedewerker belt de app dat bevestigt

doch

• Wel dat als een nep-bankmedewerker belt en de app dat niet bevestigt.

Vooral als mensen zelden of nooit door hun bank gebeld worden, hebben ze er geen flauw idee van dat hun app dat zou moeten bevestigen.

M.i. is dit vergelijkbaar met dat https://www.abnamro.nl een OV- of EV- (Organization / Extended Validation) certificaat naar mijn browser stuurt (*) en alle netsites een DV- (Domain Validated) certificaat. Waarvan, als ik ze zou (kunnen) inspecteren, moet ruiken of zo dat de echte ABNAMRO geen DV-certificaten gebruikt.

(*) Dat ik op mijn iPhone en op mijn Android telefoon met geen enkele browser nog (volledig, Chrome onder Android laat een deel zien) kan inspecteren (als je weet hoe kun je het certificaat dat zojuist naar mijn browser werd gestuurd wel grotendeels bekijken in https://crt.sh/?id=13707303182 - grotendeels, want dat is een pre-certificate, terwijl mijn browser de leaf-certificate versie daarvan ontving).

Of dat abnamro.nl netjes SPF, DKIM en DMARC gebruikt (dat heb ik overigens niet gecheckt) en dat mensen vervolgens gephished worden met e-mails met als afzender no-reply@abnamro-mailings.com o.i.d. - omdat de ontvangers niet weten dat abnamro-mailings.com niet van ABNAMRO is.

Kent iemand een goede korte omschrijving voor dit fenomeen? ("Plausible Deniability" en "Non-Repudiation" zijn het volgens mij niet).

Jawel, zie "De Chase case" in https://security.nl/posting/842742.

Verkeerd uitgangspunt, het gaat er vooral om dat je nep bankmedewerkers als klant zelf kan controleren, er bellen namelijk meer nep medewerkers als echte medewerkers. ING begrijpt dat beter.