Door Anoniem: Wat ik zelf uit het verhaal heb begrepen is: 1. Iemand krijgt een mail 2. Deze mail is voorzien van een link 3. Men klikt op de link om 'in te loggen' 4. Je komt inderdaad bij de juiste site uit (dus geen phishingsite0 5. Hierdoor gaan er geen alarmbellen bij het systeem of bij de gebruiker af. 6. Via deze methode wordt een MitM-aanval opgezet, waardoor de inloggegevens en 2-factor-autthenticatie in de handen valt van de aanvaller. De enige bescherming die je kunt verzinnen is klik nooit op een link die je via e-mail krijgt en je voorkomt de aanval. Inloggen altijd doen via de site in je favorietenlijst, maar NOOIT inloggen via mail met een link. De vraag blijft hoe dat zou moeten werken . Met name punt 4 - hoe kom je op de juiste site uit zonder zichtbare (URL) verschillen en zonder dat HTTPS ontbreekt . (Bij goede phishing sites is het verschil ook alleen in de URL , en is de layout en interactie in principe niet zichtbaar verschillend) . En dan punt 6 - Het hele idee van 2FA , zeker bij ...