tja, niet anders dan andere banken... reageer nooit op telefoontjes of emails van een bank, alleen via berichten in de app van de bank zelf. Geef nooit codes, wachtwoorden of usernames door via de telefoon of email...
Redelijk common-sense, oplichters zijn overal

ASN is óók een online bank (al sinds de start) en heeft van dit soort zaken geen last... niet direct on-topic maar het verschil tussen de traditionele banken en de nieuwe (online) banken is niet zo zwart-wit.

Topicstarter, geen reactie op je vraag, maar hangt wel aan de kapstok van bankhelpdesfraude:


En als de bank nu belt en het is wél een echte bankmedewerker, wat dan? Negeren? Geef maar een advies.
Want het is zo langzamerhand volkomen onduidelijk. De steekwoorden telefoon van de bank zaaien alleen twijfel! Want is het wél de bank, of niet aan de andere kant van de lijn?

Enkele jaren geleden las ik nog het communiqué van de ING bank: "Wij bellen nooit" en wat blijkt? Banken kunnen wel bellen.
Hoewel ik nog nooit ben gebeld door ING (Misschien omdat ik geen smartphone en evident bank app heb) Lees ik dit:
https://www.security.nl/posting/860165#posting860278
Natuurlijk weet ik niet of degene die dit postte een ING rekening heeft, maar dat bericht is weer voeding voor twijfel, twijfel gezaaid door banken alleen!

Zolang die twijfel niet wordt weggenomen (zie hierna) zullen pogingen tot bankhelpdeskfraude in belangrijke mate blijven bestaan omdat criminelen bouwen op de bestaande twijfel over al of niet de bank belt (of niet).

Banken moeten in unanieme samenspraak één lijn trekken en zeggen:
"Wij gaan onderling een eenduidige afspraak maken die wij helder, uitgebreid langdurig herhaald gaan communiceren met onze particuliere- én zakelijke klanten".
"Die afspraak houdt in: Of: Wij zullen nóóit bellen. Of: Wij kunnen wél bellen!"

Ik ga er voorlopig van uit dat mijn bank mij NOOIT belt. Als ze toch bellen hebben ze pech want ik zal het niet vertrouwen. Ik zal wel zelf onderzoeken of datgene wat de fraudeur of bank me vertelt (ik weet niet welke van beide de beller is) zou kunnen kloppen, maar uiteraard zonder hulp van de beller. Eventueel bel ik zelf naar de bank op het nummer dat door de bank is gepubliceerd. Ik neem het inititiatief over eigenlijk.

Ik heb ook Revolut, het bericht dat Revolut stuurt met daarin de verificatie code luidt:
"Revolut verification code: 123-456. Never share it."

Is toch best duidelijk dat je dat nummer niet moet delen?

Ja, ik kan me erg lachen over al die banken die zeggen "wij bellen u nooit, en we vragen nooit om gegevens"...

Vervolgens doen ze dat dan toch als je 200 euro overmaakt van je gewone bankrekening naar je prepaid creditcard in duitsland.
Dat is niet erg geloofwaardig meer.

Zo had ik dat ook in Schotland, de bank beweerde altijd bij hoog en laag dat ze nooit om gegevens zouden vragen, dus toen ze dat toch deden heb ik ze 2 jaar genegeerd. totdat ze de rekening gingen opdoeken. Ook geen probleem..

Banken zeggen veel, maar doen de verkeerde dingen en nooit wat ze zeggen..
Banken hadden moeten zeggen, leuk dat jullie willen dat wij politie EN FIOD moeten gaan spelen maar daar zijn wij niet voor.
Nu zitten ze met de gebakken peren, want nu moeten ze grondrechten trappelen om aan hun eisen te voldoen die door hun EU vriendjes opgelegd worden.

Ik zie een herhaling van zetten ontstaat bij de autobedrijven branche... Ze keken de andere kant op toen de BPM ingevoerd werd en sputterden niet tegen omdat hun hobbybobclub de RAI en de BOVAG geen enkel probleem zagen...
Totdat de automarkt instortte omdat het hele A-segment niet meer bestaat, een gemiddelde auto inmiddels 48.000 euro kost en Astrid en Kees nu hun hypotheek moeten laten schieten om nog een aygo te kunnen betalen. Die hypotheek die inmiddels ook al gemiddeld 480.000 euro moet kosten.

Gelukkig zijn bankrekening portabel net als mobiele 06 nummers, dus je kunt altijd zonder problemen overstap.. ohnee, dat hebben de banken al geblokkeerd door hun fokking naam in de bankrekenig te verwerken... zit je meteen 100% vast...
Maar gelukkig is het geen verplichting om je salaris op een bankrek..ohja, dat is ook al sinds 2016 verplicht...

Ik zie duidelijk een patroon ontstaan van een overheid die ALLES van je wil weten, waar jij elke cent aan uit geeft en waarom en waaraan...
Gelukkig hebben we nooit slechte overheden gehad en zijn die miljoenen ambtenaren alleen maar bezig met de beste bedoelingen alle nederlanders te helpen (met een inkomen van 1 miljoen en meer).

Dit zeggen ze continue. Maar als er wetgeving is die wat anders zegt dan kan je zeggen wat je wil.

Wat heb je aan zo'n code als je die nergens in hoeft te vullen?

Ja, dat is fout 1 van veel bedrijven hoor. "Nooit delen", "We vragen er nooit om".
Dan is die code ook zinloos.

Het is zo simpel een goede tekst te maken vaak:

"De code om in te loggen op xyzbank.nl is 123-456. Deel deze code met niemand en nergens anders"
"De code 100euro te betalen aan ***123 in je bank app is 123-456. Deel deze code met niemand en nergens anders"

Euh… heb je zelf wel een Revolut rekening!?
Ik wel, en bij elke betaling vanaf mijn Revolut rekening moet ik die code invullen.

Dat mag niet vanwege privacyregels. Die melding komt via een sms, en een sms is zichtbaar in het notificatiecenter.
Wat jij voorstelt zorgt ervoor dat Apple of Google én je telco provider inzage krijgen in je transacties.

Precies, je moet die code delen - met een app (of een website (*)) waarvan jij denkt dat deze van Revolut is (waarbij een slachtoffer wijsgemaakt zou kunnen worden dat iemand aan de telefoon een medewerker van Revolut is, en dat "ter verificatie dat het slachtoffer is wie hij/zij zegt te zijn" de pincode met de beller moet worden gedeeld).

(*) Als ik https://www.revolut.com/blog/post/introducing-the-revolut-web-app/ goed begrijp, kun je ook zonder app geld overmaken (gebruikmakend van een webbrowser op een willekeurig platform).

Met "Never share it" lijkt Revolut dus te bedoelen "Share it only with the real Revolut app or the real Revolut website - using a malware-free device".

Zelfs Revolut-klanten die normaal gesproken altijd de app op hun telefoon gebruiken, zouden kunnen worden verleid ("online verificatie nodig") om een ontvangen pincode op een website in te vullen - die van Revolut lijkt te zijn.

Dat lijkt mij een goede verklaring waarom er nepsites zijn (geweest) zoals onderstaande (ik heb steeds de . vervangen door [.] om onbedoeld openen te voorkómen):
Bij elk van de domeinnamen uit de bovenstaande lijst (die ongetwijfeld onvolledig is) werkt(e), in nagenoeg alle gevallen, ook www. ervoor. In enkele gevallen waren er ook variaties met bijv. admin. eraan voorafgaand.

Meer info over zo'n domeinnaam krijg je door deze achter https://www.virustotal.com/gui/domain/ te plakken (waarbij je steeds [.] door . moet vervangen).

Het enige wat echt werkt is voor €5 een prepaidsim te kopen en dat 06-nummer alleen voor je bank gebruiken.
En ervoor zorgen dat dit nummer niet in een online telefoonboek komt (kan nooit via een app maar alleen online bij de provider)

Hoe helpt dat voorkómen dat jij een ontvangen cijfercode (op zo'n "veilige" 06) deelt met een AitM (Attacker in the Middle, bijv. een bellende bankhelpdeskfraudeur of een nepwebsite) die zich vervolgens, met die code, richting Revolut, voordoet als jou?

Simpel.

Alleen mijn bank weet dat telefoonnummer. Voor al het andere gebruik ik mijn reguliere telefoonnummer.
Dus als ik op mijn reguliere tellefoonnummer door de bank gebeld wordt weet ik dat het een AitM’er is. Mijn bank (en alleen mijn bank) belt mij op mijn prepaid sim.

Het nummer van mijn prepaid sim is nergens anders bekend dan bij mijn bank.

Even over dat door de bank gebeld worden.

ING heeft al een tijdje een functie in de app (en mogelijk webportaal) waarmee je kan controleren of je daadwerkelijk iemand van de ING aan de lijn hebt. Ik meen dat de ABN onlangs ook iets dergelijk aankondigde.

Werkt Revolut nog op GrapheneOS zonder Gapps(google framework) ???

Hoorde laatst geluiden dat ze steeds meer google afhankelijk werden, die banken.......

ING heeft in de app een hele mooie knop tegenwoordig waarmee je kunt controleren of zij wel echt degene zijn die je bellen. Volgens mij hebben meer banken dat inmiddels maar helaas nog niet allemaal.

Je hebt natuurlijk wel een smartphone met de app nodig, als je dat niet hebt dan kun je om een naam vragen, ophangen en het officiële nummer van de bank bellen en zeggen dat je op zoek bent naar die persoon, zo weet je tenminste zeker dat je goed zit.

Ja en stel je nu het volgende scenario voor je. Toekomstig slachtoffer zit op internet klikt ergens mis en een js popup gebeurt of redirect met exact een visueel kopie van het portal scherm van de bank. Krijgt vervolgens telefoontje van oplichter wordt gevraagd om op een knopje te drukken op de fake portaal en er komt nu keurig een melding in beeld dat het helemaal vertrouwd is.


Wat dan? Want dit zijn mensen die niet beveiliging bewust zijn ze hebben niet de expertise om phising the herkennen. Die dat wel hebben wantrouwen het standaard en bellen zelf terug met een nummer dat ze zelf hebben opgeslagen. Dat is het enige goede advies hier *vertrouw de techniek niet* De kans dat er dan een MiTM onstaat is bijna 0 tenzij het gericht was en als het een handlanger in de bank is tja dan houdt het op behalve gezond verstand gebruiken.

Voor nu werkt het tot het misgaat en dan komen er weer allemaal extra waarschuwingen van de banken waar minder tech onderlegden geen reet van snappen en ben je bij begin af aan.

Dus vragen om naam vriendelijk bedanken zelf nummer opzoeken terugbellen en verifieren dat je gebeld was.
Nooit meer informatie geven dan nodig. Nooit inlog info, nooit software installeren en nooit akkoord gaan met dat ze jou terugbellen.

Houdt je aan die regels en ik garandeer je dat de kans groter is dat je de loterij jackpot wint of dat je malware op je netwerk krijg maar bank phising is nagenoeg niet mogelijk.

IT lost veel op maar niet social engineering dat is de allerdomste fout die men ooit kan begaan techniek toepassen waar techniek het hele probleem heeft veroorzaakt.

Hoor het heel graag als iemand goed onderbouwde tegen argumenten heeft. Ik zit er graag naast maar ik acht op dit vlak die kans zeer klein.