Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Facebook en internetbankieren

01-11-2024, 21:59 door Anoniem, 13 reacties
Voor internetbankieren bij ING gebruik ik Firefox met de extensie NoScript.
Het viel me daarbij op dat telkens als ik uitlog bij ING, NoScript aangeeft dat facebook.net
probeert een verbinding te maken. Dat leek mij nogal onwenselijk dus heb ik Facebook geblokkeerd.
Mijn vraag is nu of ING deze verbinding faciliteert, danwel Facebook dit zelf genereert.
Reacties (13)
01-11-2024, 22:35 door Anoniem
Dat is een gevolg van het gebruik van noscript.
https://m.youtube.com/watch?v=CoZOgyIXZSk
01-11-2024, 23:40 door Anoniem
Tip: gebruik uBlock Origin en voeg in 'mijn filters' ||facebook.net (e.d.) toe. Dan weet je zeker dat geen één bitje naar dit soort ongure domeinen gaat.
Het is schandalig dat veel websites jouw data delen met derde, ook nog zonder toestemming. Privacy van een ander is totaal ondergeschikt bij dit soort toko's. Voor de aardigheid zou je een verzoek tot verwijderen kunnen doen bij de ING, kun je lachen. (mocht ING voor klanten wel contactmogelijkheid hebben)
02-11-2024, 09:48 door Erik van Straten
Door Anoniem: Mijn vraag is nu of ING deze verbinding faciliteert, danwel Facebook dit zelf genereert.
Tenzij, voordat je uitlogde, er vanuit de websessie met ING al een verbinding bestond met iets van Facebook of Meta, zie ik niet hoe Facebook zou kunnen weten op welk moment jij uitlogt bij ING. Dat "Facebook dit zelf genereert" lijkt mij dus uitgesloten.

Ofwel ING zélf stuurt een pagina naar jouw browser waarin een opdracht staat om javascript (of fonts etc.) op te halen van facebook.net, ofwel die ING pagina vraagt jouw browser om content van een derde partij te interpreteren met dáárin een instructie om iets met facebook.net te doen, ofwel iets (ongewenst) op jouw computer/tablet/smartphone veroorzaakt dit.

Het is alsof de bakker, vanaf het moment dat jij binnenkomt, bijvoorbeeld de slager, de groenteboer en de boekhandel laat meekijken met wat (en onthouden van) jij allemaal doet bij die bakker (ook slechts kijken naar producten, bijv. in een bepaalde prijscategorie), en hen zo de kans geeft om een uitgebreid profiel van je op te bouwen en gerichte reclame te maken (nu of op een later moment).

Het internet is ziek.
02-11-2024, 10:34 door Anoniem
Door Anoniem: Dat is een gevolg van het gebruik van noscript.
https://m.youtube.com/watch?v=CoZOgyIXZSk
Dat gaat over het html-element noscript, de vraagsteller heeft het over de add-on die scripts blokkeert. Of de inhoud van het noscript html-element nou goed is opgezet of niet, het is de website die erin zet wat erin staat, en dat is niet het gevolg van het html-element zelf maar van wat men erin plaatst.
02-11-2024, 10:39 door Metobard
Door Erik van Straten:...(knip)...

Het is alsof de bakker, vanaf het moment dat jij binnenkomt, bijvoorbeeld de slager, de groenteboer en de boekhandel laat meekijken met wat (en onthouden van) jij allemaal doet bij die bakker (ook slechts kijken naar producten, bijv. in een bepaalde prijscategorie), en hen zo de kans geeft om een uitgebreid profiel van je op te bouwen en gerichte reclame te maken (nu of op een later moment).

Het internet is ziek.

Het internet is verziekt door de mensen achter de schermen die dit doelbewust hebben opgezet en met alle beschikbare legale machtsmiddelen continueren. Die zijn ziek. Niet het Internet.
Het internet is gepersonifieerd het slachtoffer van de daders die dit hebben aangericht. En de aanstichters; de daders zijn verheugd als jij en miljoenen anderen het misverstand in stand houden dat het internet ziek is i.p.v. zij. Wie? Het top management van o.a. Google, Apple, Microsoft, Samsung, ten volle ondersteund door hun groot aandeelhouders.
02-11-2024, 11:58 door Anoniem
Door Metobard:
Door Erik van Straten:...(knip)...

Het is alsof de bakker, vanaf het moment dat jij binnenkomt, bijvoorbeeld de slager, de groenteboer en de boekhandel laat meekijken met wat (en onthouden van) jij allemaal doet bij die bakker (ook slechts kijken naar producten, bijv. in een bepaalde prijscategorie), en hen zo de kans geeft om een uitgebreid profiel van je op te bouwen en gerichte reclame te maken (nu of op een later moment).

Het internet is ziek.

Het internet is verziekt door de mensen achter de schermen die dit doelbewust hebben opgezet en met alle beschikbare legale machtsmiddelen continueren. Die zijn ziek. Niet het Internet.
Het internet is gepersonifieerd het slachtoffer van de daders die dit hebben aangericht. En de aanstichters; de daders zijn verheugd als jij en miljoenen anderen het misverstand in stand houden dat het internet ziek is i.p.v. zij. Wie? Het top management van o.a. Google, Apple, Microsoft, Samsung, ten volle ondersteund door hun groot aandeelhouders.

Vergeet de incompetente ambtenaren niet. Je kunt dan zelf wel zorgvuldig te werk gaan, verkloten die (communicatie !)medewerkers bij ministeries, gemeenten, uitvoeringsorganisaties e.d. jouw persoonlijke data alsnog...
02-11-2024, 12:09 door Anoniem
Door Erik van Straten:
Het is alsof de bakker, vanaf het moment dat jij binnenkomt, bijvoorbeeld de slager, de groenteboer en de boekhandel laat meekijken met wat (en onthouden van) jij allemaal doet bij die bakker (ook slechts kijken naar producten, bijv. in een bepaalde prijscategorie), en hen zo de kans geeft om een uitgebreid profiel van je op te bouwen en gerichte reclame te maken (nu of op een later moment).
Oh dacht jij dat de winkeliersvereniging het op hun vergaderingen niet heeft over wat het typische bestedingspatroon
van de klanten is, en hoe men door onderlinge samenwerking en door het voeren van reclame acties kan proberen de
omzet te vergroten?
Er lijkt een beetje het beeld te ontstaan dat proberen meer geld te verdienen typisch iets voor internet is.
En ook dat die gedragsinformatie die men zelf zo waardevol vindt goud geld oplevert.

Het internet is ziek.
Dat is toch vooral een eigen waarneming, niet zozeer een feit.
02-11-2024, 17:35 door Anoniem
Ik ben de TS.
Dank voor alle reacties.
De aangegeven YouTube link door, gisteren 22:35 Anoniem, bestaat niet meer.
Erik van Straten: Tijdens de internetbankieren sessie is er geen facebook intrusie te zien.
Daar zijn uitsluitend ing.nl en ing.com actief.
Pas onmiddelijk na uitloggen komt facebook net er in.
Ik denk dus, zoals door meerderen wordt gesuggereerd ING de boosdoener is.
Maar waarom?
02-11-2024, 21:21 door Erik van Straten
Door Anoniem: De aangegeven YouTube link door, gisteren 22:35 Anoniem, bestaat niet meer.
Mogelijk is er bij het kopiëren en plakken iets weggevallen, maar https://youtube.com/watch?v=CoZOgyIXZSk werkt bij mij wel. Echter, zoals Anoniem van 10:34 schrijft: die video gaat niet direct over de NoScript-extensie.

Door Anoniem: Erik van Straten: Tijdens de internetbankieren sessie is er geen facebook intrusie te zien.
Daar zijn uitsluitend ing.nl en ing.com actief.
Pas onmiddelijk na uitloggen komt facebook net er in.
Ik denk dus, zoals door meerderen wordt gesuggereerd ING de boosdoener is.
Maar waarom?
Commerciële belangen?
03-11-2024, 00:03 door Metobard
Vandaag heb ik geprobeerd de gang van zaken zoals beschreven door TS op te roepen.
Vanmiddag heb ik zoals bij mij gebruikelijk bij de ING ingelogd met behulp van Chromium v.130.0.6723.69.
Ik heb in deze Chromium geen script- of add blocker actief omdat ik die uitsluitend gebruik voor financiële zaken bij de ING.Vanavond dan weer heb ik ingelogd m.b.v. Firefox v.130.0 waarin ik NoScript v.11.5.0 en uBlock Origin v.1.60.0 actief heb (extensies).
OS (operating system): Linux Mint Cinnamon 20.3

In beide gevallen ben ik niet gestoord door heerschap Zuckerberg toen ik uitlogde. ;-]

Ik wil hiermee niet suggereren dat TS maar een praatje ophangt, Integendeel!
Ik vermoed door mijn ervaringen alleen dat er bij hem misschien nog een ander 'software dingetje' een rol kan spelen waardoor hij wél wordt lastig gevallen door Facebook. Misschien een persistent Facebook cookie(*) toch 'gepresenteerd' door ING?
ING beheert ook een eigen shop waar je met gespaarde ING punten, die je automatisch krijgt naargelang de hoogte van je saldo(´s), kunt inruilen voor - vind ik persoonlijk - meestal onzinprodukten. Als je op die pagina's aan het surfen bent is dat natuurlijk weer gigantisch interessant voor dataslorper Zuckerberg. die voor plaatsen van zijn cookies wel enkele euro's wil betalen aan de ING.

(@ Erik van Straten, Inderdaad. Commerciele belangen.)

(* Voor de goed orde hierbij moet ik aangeven dat ik zowel Chromium als wel Firefox altijd álle sessiegegevens zoals gedownloade cookies etc. geautomatiseerd laat wissen over een ongelimiteerde tijdsperiode bij afsluiten en dat ik in Chromium dat zelfs meteen doe na uitlog bij de ING in de pop-up op de pagina: chrome://settings/clearBrowserData.)
03-11-2024, 08:09 door Anoniem
Door Anoniem: Voor internetbankieren bij ING gebruik ik Firefox met de extensie NoScript.
Het viel me daarbij op dat telkens als ik uitlog bij ING, NoScript aangeeft dat facebook.net
probeert een verbinding te maken. Dat leek mij nogal onwenselijk dus heb ik Facebook geblokkeerd.
Mijn vraag is nu of ING deze verbinding faciliteert, danwel Facebook dit zelf genereert.
Door Anoniem: Ik ben de TS.
[...]
ijdens de internetbankieren sessie is er geen facebook intrusie te zien.
Daar zijn uitsluitend ing.nl en ing.com actief.
Pas onmiddelijk na uitloggen komt facebook net er in.
Ik denk dus, zoals door meerderen wordt gesuggereerd ING de boosdoener is.
Maar waarom?
Je noemt facebook.net, maar daar is iets geks mee. Het normale domein van Facebook is facebook.com, en facebook.net is wel geregistreerd maar er is helemaal geen IP-adres aan gekoppeld. Netwerkverkeer met facebook.net zou dus domweg niet moeten kunnen. Dus voor de zekerheid: kan je bevestigen dat je inderdaad facebook.net ziet en niet facebook.com? Ik ga er hieronder verder vanuit dat het inderdaad facebook.net is, zoals je schrijft.

Facebook.net is trouwens oud, dat is kennelijk niet meer in gebruik (anders was er wel een IP-adres aan gekoppeld geweest), maar het domein is volgens de whois-informatie in 2004 al geregistreerd, 20 jaar geleden dus.

Verder schrijf je dat facebook.net probeert een verbinding te maken. Ik weet dat ik pietluttig precies zit te doen nu, maar ik wijs er toch even op dat het bij HTTP(S)-verkeer altijd zo is dat de browser de verbinding maakt met de webserver, een aanvraag verstuurt en een antwoord ontvangt. Je browser probeert dus verbinding te maken met facebook.net, niet andersom.

Dan is de vraag waar het vandaan komt. Als het onmiddellijk na uitloggen is dan zit het mogelijk helemaal niet in het internetbankieren-deel, mijn.ing.nl, maar in een pagina waar je browser heen wordt gestuurd als je uitlogt, en dat kan op een heel ander deel van de website zijn. Ik heb zelf geen ING-rekening en kan daardoor niet zien waar je heen wordt gestuurd als je uitlogt.

Ik heb gezien dat op pagina's van ING buiten het internetbankieren-deel helemaal onderaan social media-icoontjes staan onder het kopje "Volg ons:". Als die icoontjes van de social media-sites zouden worden geladen dan zou dat goed kunnen verklaren waarom je iets voor Facebook tegenkomt, alleen zie ik dat ING die icoontjes als inline SVG-plaatjes in de website heeft opgenomen, daar moeten helemaal geen request naar Facebook uit voortkomen. Dat doet vermoeden dat het waarschijnlijk ook niet verkeerd zit op de pagina waar je op landt na uitloggen.

Maar ik heb nog een gedachte.

Bij uitloggen stap je over van mijn.ing.nl naar (vermoed ik) www.ing.nl. Bij dat soort acties vinden "onder water" typisch één of soms meerdere "redirects" plaats: de pagina die eigenlijk geladen wordt zie je niet, maar die vertelt je browser om meteen een andere pagina te laden. Dat kan technisch op verschillende manieren geregeld worden, de HTTP-responsecode, dus niet de pagina zelf maar iets in het netwerkprotocol waarmee die wordt geladen, kan al zeggen dat de browser ergens anders moet kijken, maar er kan ook in de pagina zelf iets op worden genomen (een meta-tag) dat zo'n redirect triggert, en het kan ook nog eens in JavaScript worden geregeld.

Ik heb incidenteel wel eens gevolgd wat er dan eigenlijk gebeurde in websites en me staat bij dat ik wel eens raar heb staan kijken naar hoe houtje-touwtje het in elkaar was geflanst. Dat brengt me op de gedachte, maar die kan ik niet verifiëren omdat ik het zonder ING-rekening niet na kan spelen, dat ergens in dat redirect-deel je browser langs een pagina wordt geleid die je niet te zien krijgt, en die ze nooit goed hebben bijgewerkt omdat je die toch niet te zien krijgt. Als zo'n pagina oude meuk bevat (en de domeinnaam facebook.net zelf lijkt oude meuk te zijn) dan zou de verklaring simpelweg kunnen zijn dat ING een klein hoekje van zijn website dat niemand opvalt nooit goed heeft bijgewerkt.

Ik kan me voorstellen dat er in zo'n pagina een oude verwijzing naar facebook.net is blijven hangen, misschien werd daar ooit het Facebook-icoontje vandaan gehaald, en dat onder water nog een poging wordt gedaan om die te laden. Dan is het misschien alleen een mislukte DNS-request die NoScript meldt.

Om daarachter te komen vraag ik me in de eerste plaats af of NoScript bij die melding gedetailleerde informatie geeft: is ergens te zien welke pagina van ING het is die facebook.net probeert te benaderen? Geeft NoScript die informatie?

Een andere benadering kan zijn om de developer-tools die in Firefox zijn ingebouwd te gebruiken om te zien wat er bij uitloggen allemaal over de lijn gaat. Dat geeft een log van alle requests die zijn uitgevoerd om een pagina te laden, met een mogelijkheid om meerdere requests te verzamelen, wat nodig kan zijn bij redirects tussen pagina's. De mislukte request naar facebook.net zou daarin zichtbaar moeten zijn, in de context van andere requests en dus ook de genoemde redirects. Dan zou duidelijk moeten worden waar het precies vandaan komt. Is er iemand met een ING-rekening en voldoende handigheid met de developer-tools die dat wel leuk vindt om even in te duiken?

Het zou me, kortom, niets verbazen als dit gewoon een steekje is dat ING heeft laten vallen in een onderdeel van de website dat ze zelf niet opvalt. Als dat zo is zou het even bij ING gemeld moeten worden.

En ik heb nog een gedachte.

Ik heb zelf heel incidenteel wel eens heel vreemde dingen meegemaakt die er uiteindelijk aan bleken te liggen dat de configuratie of de cache van een software-component corrupt was geraakt. Om dat te verifiëren zou je het volgende kunnen doen. Maak op je pc tijdelijk een nieuwe user aan. Installeer onder die user ook NoScript onder Firefox. Log dan daarmee in op ING en weer uit, en kijk of NoScript dan ook die melding geeft. Als het daar helemaal niet optreedt dan zou het probleem wel eens in je eigen wereldje kunnen zitten. Ik heb dat, lang geleden, ook wel eens met Firefox meegemaakt, en toen ik er op een andere manier niet uitkwam heb ik de bittere pil geslikt, mijn hele Firefox-configuratie weggegooid en Firefox en add-ons volledig opnieuw ingericht.
03-11-2024, 09:18 door Anoniem
Als ik op mijn iPhone naar de website van ING ga en de cookies accepteer dan zie ik dat mijn iPhone de Facebook tracker heeft geblokkeerd. Als ik dan naar de inlogpagina ga dan geeft mijn iPhone aan dat er geen verbinding met trackers is gelegd. Ik heb niks van Meta op mijn telefoon.
03-11-2024, 15:01 door Erik van Straten
Door Anoniem: Het normale domein van Facebook is facebook.com, en facebook.net is wel geregistreerd maar er is helemaal geen IP-adres aan gekoppeld.
In bijna alle gevallen gaat het om subdomeinen. De NoScript browser-extensie toont meestal twee (of meer) regels per domein, zoals hieronder voor https://www.nu.nl met Firefox Nightly onder Android:
unknown ...nu.nl
unknown https://www.nu.nl
unknown ...dpgmedia.cloud
unknown htps://advertising-cn.dpgmedia.cloud
unknown ...dpgmedia.net
unknown https://logistatic.dpgmedia.net
unknown ...googletagmanager.com
unknown https://www.googletagmanager.com

Met de regels beginnend met "..." (met vet lettertype) wordt de domeinnaam zelf en alles daaronder bedoeld (ongeacht verbindingsprotocol). Als ik JavaScript voor https://www.nu.nl toesta, voor ...googletagmanager.com blokkeer, de instellingen sluit en heropen, is het lijstje veranderd in:
allow https://www.nu.nl
unknown ...dpgmedia.cloud
unknown htps://advertising-cn.dpgmedia.cloud
unknown ...dpgmedia.net
unknown https://logistatic.dpgmedia.net
block ...googletagmanager.com

Echter, met de "gewone" Firefox onder Android ziet het er alweer anders uit in NoScript:
allow https://www.nu.nl
unknown ...dpgmedia.cloud
unknown https://advertising-cdn.dpgmedia.cloud
unknown ...dpgmedia.net
unknown https://login-static.dpgmedia.net
unknown https://myprivacy-static.dpgmedia.net
unknown ...dpns-notifications.com
unknown https://web-sdk.dpns-notifications.com
unknown ...sentry.io
unknown https://04506026096263169.ingest.sentry.io

Hier is geen googletagmanager.com te zien, maar wel weer andere domeinnamen. Het is een dynamisch gebeuren met allerlei afhankelijkheden. Dat TS iets wél ziet en Metobard niet, zegt dus helemaal niets. Precies zoals Anoniem van 09:18 ook schrijft.

M.b.t. subdomeinen van facebook.net, in https://www.virustotal.com/gui/domain/facebook.net/relations zie ik dat het om minstens 30 gaat, met (bij de laatst uitgevoerde check) de volgende IP-adressen ("..." betekent meer dan 3):
manifold.facebook.net: geen
m.facebook.net: geen
my-od-4.facebook.net
157.240.254.201 157.240.249.201
my-od-3.facebook.net
157.240.249.201 157.240.254.201
my-od-2.facebook.net
157.240.249.201 157.240.254.201
31.13.72.199
my-od-1.facebook.net
157.240.249.201 157.240.254.201
my-od-5.facebook.net
157.240.254.201
my-od.facebook.net
157.240.229.201 157.240.249.201
157.240.254.201
z-m-connect.facebook.net
157.240.254.37 157.240.2.36
179.60.192.37 ...
graph.facebook.net: geen
x.facebook.net: geen
duniakicau.facebook.net: geen
web.facebook.net: geen
bunnylol.facebook.net
157.240.254.18 157.240.249.19
157.240.18.7 ...
cdn.facebook.net: geen
connnect.facebook.net: geen
developer.facebook.net
157.240.249.13 157.240.254.12
157.240.18.15 ...
mirror-ext.facebook.net
163.114.132.32 163.114.130.31
199.201.64.30 ...
presence.facebook.net
199.201.64.72
rdns.facebook.net: geen
reviews.facebook.net
140.211.15.47
developers.facebook.net
157.240.18.15 31.13.74.128
svps.facebook.net
35.174.159.127 3.232.119.185
3.223.223.36 ...
beta.facebook.net
157.240.254.6 157.240.249.6
31.13.88.11 ...
silfra.facebook.net
10.110.151.5 10.110.199.9
10.110.143.17 ...
www.facebook.net: geen
facebook.net: geen
socialplugin.facebook.net
57.144.132.141 157.240.5.12
31.13.71.1 ...
mirror.facebook.net
163.114.132.32 163.114.130.31
199.201.64.30 ...
connect.facebook.net
163.70.152.19 57.144.132.128
163.70.159.13 ...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.