Phishing: Open deur naar criminaliteit?

[MDP]

Iedereen heeft het wel gehoord of gelezen: Phishing. Je krijgt een slecht geschreven mail met daarin de vraag om je bankgegevens, vervolgens stuurt 'je eigen bank' jou een mail om je te waarschuwen en om in te loggen om zo je wachtwoord te wijzigen. Je gegevens worden zo gekopiëerd en men maakt je geld afhandig. Banken staan, zover ik heb gehoord en begrepen, garant hiervoor. Maar open je zo geen deuren naar criminaliteit? Want ik kan meewerken aan fishing voor de helft van het ontvreemde bedrag en krijg het ontvreemde geld terug van de bank. Geld van banken afhandig maken wordt op deze manier wel heel erg makkelijk. Ik vraag mij dan ook af of alle gedupeerde ook écht slachtoffer zijn. Wat ik mij dan ook afvraag is waarom banken volledig garant staat en het gestolen geld volledig retourneert. Is dit, zoals ik eerder beschreef, geen deur open zetten naar criminaliteit? Ik bedoel, fishing is niks nieuw en men wordt al jaren gewaarschuwd, is het dan niet zo dat ik zelf verantwoordelijk ben? Als mijn beurs wordt gerold, kan ik toch ook niet bij de bank aankloppen?

[Pietro Originale]

Als men het niet doet, gaan mensen minder telebankieren. Dan lopen de banken alle besparingen mis die zij nu behalen doordat hun klanten zelf allemaal hun bankzaken regelen. Zolang die besparingen hoger zijn dan de bedragen die men aan schadevergoedingen uitgeeft, zal men dit wel blijven volhouden. Overigens zouden de banken wel degelijk meer kunnen doen aan het verhogen van de veiligheid en voorlichting, waarom komt men bv. nu pas met een voorlichtingscampagne? Tot nu toe werd het risico van fishing en andere praktijken teveel gebagatalliseerd door de banken.

[Paliri]

idd wat je zegt, zullen zeker oplichters tussen zitten

ik vraag me ook werkelijk af hoe mensen erin kunnen trappen...

laatst was er een dame op TV die 55K afhandig was gemaakt....zo van ik zag dat mailtje net voor ik op vakantie ging en heb het maar snel ingevuld.. ik geloof er niks van

[Alfa-Corazon]

Iedereen heeft het wel gehoord of gelezen: Fishing. Je krijgt een slecht geschreven mail met daarin de vraag om je bankgegevens, vervolgens stuurt 'je eigen bank' jou een mail om je te waarschuwen en om in te loggen om zo je rekening te checken. Je gegevens worden zo gekopiëerd en men maakt je geld afhandig. Banken staan, zover ik heb gehoord en begrepen, garant hiervoor. Maar open je zo geen deuren naar criminaliteit? Want ik kan meewerken aan fishing voor de helft van het ontvreemde bedrag en krijg het ontvreemde geld terug van de bank. Geld van banken afhandig maken wordt op deze manier wel heel erg makkelijk. Ik vraag mij dan ook af of alle gedupeerde ook écht slachtoffer zijn. Wat ik mij dan ook afvraag is waarom banken volledig garant staat en het gestolen geld volledig retourneert. Is dit, zoals ik eerder beschreef, geen deur open zetten naar criminaliteit? Ik bedoel, fishing is niks nieuw en men wordt al jaren gewaarschuwd, is het dan niet zo dat ik zelf verantwoordelijk ben? Als mijn beurs wordt gerold, kan ik toch ook niet bij de bank aankloppen?

Ik heb ook Phishing emails gehad en sommige zijn echt heel goed (na)gemaakt. Net alsof je inderdaad inlogt op je eigen account.
Echter in de urlbalk staat dan iets heel anders dan dat je gewend bent.

Ik kreeg deze email direct na aanschaf van een artikel via een website.
De email vermelde dat de website gekraakt was en mijn bankgegevens niet meer veilig waren.
Ik moest direct inloggen op mijn account en een nieuw wachtwoord intypen (natuurlijk eerst je "oude wachtwoord" intype.
De email leek sprekend op een officiële ING email en ze hadden de website 1 op 1 nagebouwd.
Wat ze van je krijgen is dan:
- je inlogcode;
- je "oude" wachtwoord.

Wat ze missen zijn je codes. Dus je telefoon of codekaart moeten ze nog van je stelen.
Als ze bovenstaande al hebben van je, dan kun je erop rekenen dat je binnenkort ongewenst bezoek krijgt (of erger).

Deze email stuurde ik door naar mijn bank (ING) en een dag later kwamen ze al met een algemene waarschuwing over phishing samen met de algemene voorwaarden.
Hierin stond duidelijk vermeld dat wanneer je zelf je codes vrijgeeft je ook zelf verantwoordelijk bent voor de schade en dus NIET de bank!

[Brul(tm)]

Een klein beetje gezond nadenken mag veracht worden van iedereen.
En zoals altijd, als je het niet vertrouwd of het klinkt te mooi in de oren om waar te kunnen zijn..... (gaat in dit geval niet op, i know).

Feit blijft dat er phishing constructies zijn die verschrikkelijk goed in elkaar zitten welke zelfs de geoefende en ervaren security specialist overtuigen om ergens in mee te gaan.
Vroeger waren ze redelijk makelijk te herkennen, want ze zatten immers vol taalfouten en de opbouw van het verhaal rammelde vaak (tekstueel).

[WhizzMan]

De bank vergoed op zich nog steeds wel schade, maar als je zelf codes vrijgeeft, doen ze een stuk moeilijker. Zo'n mailtje sturen ze altijd, want als ze publiekelijk toe gaan geven dat ze vergoeden, is het hek van de dam en gaat het aantal pogingen ongetwijfeld toenemen.

Vergeet niet dat met creditcards de faude nog steeds veel groter is dan met telebankieren en dat wordt ook altijd "opgelost". De fraudeurs worden er met een redelijk hoog succespercentage uitgehaald door specialisten aan de telefoon en in face2face gesprekken. Voor een leugendetectortest kan je ook relatief goed toe met dingen als micro-expressies (face2face) en computeranalyse van de stem aan de andere kant van de telefoonlijn.

Het punt is vooral dat ING geen gebruik maakt van solide 2-factor authenticatie, maar van SMS of een lijst met codes. Hierdoor kan je met het afluisteren van een telefoon of met het onderscheppen van de lijst al iemand's rekening leegplunderen. Bij andere banken heb je een reader nodig die elke keer uit jouw pinpas, met jouw pincode een unieke code genereert. Dat is pas te onderscheppen als ze een nepsite voor telebankieren op jouw PC hebben geinstalleerd, dus daar is "een virus" voor nodig.

Ik heb er zelf bewust voor gekozen om geen giro en later ING meer te gebruiken toen ze de TANcodes in gingen voeren. Ik doe dit (ICT security) al een poosje voor de kost en het systeem is gewoon niet goed genoeg. Het overgrote deel van de fraude met telebankieren bij Nederlandse banken vindt plaats bij de ING, puur omdat dat verreweg de makkelijkste bank is om dat soort dingen bij te doen. Dat is een bewuste keuze van de ING geweest, want bij de fusie met de postbank hebben ze het oude ING-systeem wat beter was niet gekozen, omdat het ingewikkelder was voor de klanten dan het Postbanksysteem. Uiteindelijk betaal je er zelf voor, omdat de kosten gewoon door de rekeninghouders opgehoest moeten worden.

[MDP]

Ik heb ook Phishing emails gehad en sommige zijn echt heel goed (na)gemaakt. Net alsof je inderdaad inlogt op je eigen account.
Echter in de urlbalk staat dan iets heel anders dan dat je gewend bent.

Klopt. Zo kreeg ik recent een email van marktplaats dat een belangrijk bericht nog niet was gelezen en met het prangend verzoek dit alsnog te doen. Eerste wat ik heb gedaan is een 'url-check'. Deze bleek niet te kloppen. De site was tot in de puntjes nagemaakt en je kwam zelfs op MP als je de zoekfuncties gebruikte. De layout van het bericht was identiek aan die van MP en het emailadres op 1 cijfertje na. Marktplaats: Marktplaats.nl (systeembericht) <automatisch@marktplaats.nl> Faker: Marktplaats.nl (systeembericht) <automatisch0@marktplaats.nl> Verschil gespot?? Wat ze hiermee willen, geen idee, hoewel je het natuurlijk wel kunt raden.

Ik kreeg deze email direct na aanschaf van een artikel via een website.
De email vermelde dat de website gekraakt was en mijn bankgegevens niet meer veilig waren.
Ik moest direct inloggen op mijn account en een nieuw wachtwoord intypen (natuurlijk eerst je "oude wachtwoord" intype.
De email leek sprekend op een officiële ING email en ze hadden de website 1 op 1 nagebouwd.
Wat ze van je krijgen is dan:
- je inlogcode;
- je "oude" wachtwoord.

Wat ze missen zijn je codes. Dus je telefoon of codekaart moeten ze nog van je stelen.
Als ze bovenstaande al hebben van je, dan kun je erop rekenen dat je binnenkort ongewenst bezoek krijgt (of erger).

Deze email stuurde ik door naar mijn bank (ING) en een dag later kwamen ze al met een algemene waarschuwing over phishing samen met de algemene voorwaarden.
Hierin stond duidelijk vermeld dat wanneer je zelf je codes vrijgeeft je ook zelf verantwoordelijk bent voor de schade en dus NIET de bank!

Lijkt me logisch dat ze het niet aanmoedigen en de verantwoordelijkheid bij de consument leggen, helaas verklapt RTL-nieuws hoe de vork in de steel zit en dat 'fishing' de bank jaarlijks miljoenen kost daar ze gedupeerde het afhandig gemaakte geld, schenken. Erg slim om dit te vermelden vind ik het niet. Sterker nog, als je niet wist dat je zo geld kon maken, weet je het nu. Meewerken aan fishing kan je een aardige cent opleveren. Wat dat aangaat mogen nieuwssite hun nieuwtjes beter afwegen. Kijk alleen al naar de bangmakerij omtrent de nieuwe potentiële crisis (maar dat is off-draadje).

[Zaagauto]

Mijn pc's zitten redelijk goed dichtgetimmerd dus af en toe log ik wel in...

Gebruikersnaam: heestelletjesukkels
Wachtwoord: go-and-foek-jorself

Meestal gaat er dan van alles aan alarmpjes loeien omdat ze meteen je pc op proberen te komen...

Ik wens ze veel succes met inloggen....

In de meeste mailclients kun je redelijk snel zien, zonder te hoeven klikken, waar een link daadwerkelijk naartoe verwijst en als dat al niet in de haak is, gewoon niet klikken...

Voorbeeldje:

www.marktplaats.nl/inloggen

"Hoover" er maar eens met je muis overheen.... en kijk wat er in je scherm linksonder (bij IE) getoond wordt...

[Alfa-Corazon]

Mijn pc's zitten redelijk goed dichtgetimmerd dus af en toe log ik wel in...

Gebruikersnaam: heestelletjesukkels
Wachtwoord: go-and-foek-jorself

Ik reageer helemaal niet. Tuurlijk heb ik erover nagedacht om ook zo in te loggen.
Maar stel je voor dat ze denken dat ze bij je "beet" hebben.
Dan komen ze je alsnog visiteren.

[WhizzMan]

Maar stel je voor dat ze denken dat ze bij je "beet" hebben.
Dan komen ze je alsnog visiteren.

Waar bewaar jij je TANcodes of je telefoon dan wel niet, dat daar een visitatie voor nodig is?

Los daarvan, ze krijgen toch keurig als woonadres het politieburo van je, als je dat moet invullen?

[Zaagauto]

Je verkeert toch niet in de veronderstelling dat dat soort gasten weet naar wie ze die emails sturen??????

[Alfa-Corazon]

Je verkeert toch niet in de veronderstelling dat dat soort gasten weet naar wie ze die emails sturen??????

Ja, waarom zouden ze dat anders doen?
Ze hebben jouw codes/lezer nodig, anders komen ze nog niet verder.

@Whizzman: Visiteren heeft meerdere betekenissen. Echter ik vond het wel een passende omschrijving voor dit onderwerp.

[Zaagauto]

Je verkeert toch niet in de veronderstelling dat dat soort gasten weet naar wie ze die emails sturen??????

Ja, waarom zouden ze dat anders doen?
Ze hebben jouw codes/lezer nodig, anders komen ze nog niet verder.

Ze willen inloggevens.. als je die fout opgeeft... weten ze echt nog niet waar je huis woont...

[Dinky Boy]

Ook al mag je er niet blind op varen, spamfighter houdt de meeste rotzooi buiten je inbox.

Ik hoef alleen maar om de zoveel tijd die box leeg te kieperen.

In Outlook heb ik 'Autovoorbeeld' en 'Leesvenster' (onder 'Beeld') uitgezet. Zo ontvangt de afzender ook geen signaal dat er is gelezen of dat de afbeeldingen zijn opgehaald.

Verder ga ik bij elke alarmerende of mededelingen-mail eerst naar het betreffende account, zoals van Google Analytics. Als daar dezelfde mededeling of waarschuwing staat kan die mail ook ongelezen weg. Wel checken of je de echte website bezoekt voordat je inlogt.

Belangrijkste is dat je er een gezonde portie achterdocht op na houdt.

Hotmail en Gmail hebben ook al aardige spam- en fishingfilters. Maak daar een account aan voor al je correspondentie die je niet met familie, goede vrienden of werk voert, zoals voor internetshops, forums, gaming sites, etc.

En stuur NOOIT kettingmails e.d. door. Dit is voor veel e-boefjes nog altijd een beproefde manier om e-mailadressen te verzamelen die door hen in grote hoeveelheden aan aanbieders van Viagra, nep-Uggs e.d. worden doorverkocht.

[Sergio]

Iets anders maar bekijk dit eens, kwam ik tegen op mijn zoektocht naar een 159:


159 bij garage Grand Prix
De 159 van Garage Grand Prix staat voor een spotprijsej ook in Helmond te koop?

En de 159 in Helmond

Welke truuk zou hierachter zitten? 'De auto staat in de UK en na betaling laten we hem bij u thuis afleveren'?