Duitse Postbank beveiligt e-mail met digitale handtekening
De Duitse Postbank gaat electronische handtekeningen gebruiken om de communicatie met haar klanten te beveiligen. De e-mails zijn voorzien van een symbool waardoor de klanten kunnen zien of het om een legitieme Postbank e-mail gaat. Vorig jaar introduceerde de bank al een nieuw nummersysteem (iTAN) om haar klanten tegen phishing aanvallen te beschermen.
Met 12 miljoen klanten behoort de Postbank tot een van de grootste Duitse banken. De bank had vorig jaar met verschillende soort phishing aanvallen te maken. Bij een aanval werden Trojaans paarden gebruikt die het doorgeven van TAN nummers aan de bank blokkeerden. Op deze manier konden criminelen met de gestolen gegevens inloggen en het geld van de rekeningen plunderen.
Uit onderzoek van het Duitse TNS Infratest blijkt dat 80% van de online bankieders zegt geen phishing scam te kunnen herkennen.
hier slechts om 79% van de online bank gebruikers die geen phising
scam kunnen herkennen.
Waarschuwing klik niet op deze link: http://www.tweakers.nl
systematiek.
Misschien moet security.nl maar een weddenschap-subsite opzetten met
inzet hoe lang (dagen) het duurt voor dit soort 'signing' wordt gespooft. 10%
van de inzet (betalingswijze ...? ;-) is voor security.nl, dan kunnen jullie
verder zonder advertenties ;-]
Zorg gewoon dat alle gegevens uit het certificaat overeenkomen (incl. de
signing CA). Het enige wat afwijkt zijn de keys, hashes en het serialnumber.
Kwestie van het mailtje voorzien van de CA. Melding erbij dat de postbank
een nieuwe root heeft. Laat de gebruikers desnoods de gegevens
controleren (alle zichtbare en leesbare zaken komen immers overeen). En
vervolgens als trusted root laten accepteren..... en klaar is Clara.
Het is niet meer dan een plausible verhaal in je mail zetten.
Kinderlijk eenvoudig. Zo'n CA incl. mail en SSL certificaten creeer je in 10
minuten.
je zegt nu zoiets als papier geld is heel makkelijk te
vervalsen want je designed gewoon een nieuw briefje dat alle
kenmerken heeft van legaal geld zoals een watermerk,
holografische strip en een of ander uit je duim gezogen
serie nummer en als je het wil uitgeven dan zeg je gewoon
dat het een nieuw legaal biljet betreft dat door europese
bank wordt uitgegeven.
uhuh...
kan je trouwens toevallig wisselen want ik heb hier nog een
briefje van 25000 euro liggen en wil ff een stukje kaas gaan
kopen?
net zo eenvoudig te spoofen is als een namaak postbank
website. Alles valt of staat met je overredingskracht (of de
goedgelovigheid van de gebruiker).
Overigens is een digitaal certificaat 'namaken' kinderspel
vergeleken bij het nameken van papiergeld (of muntgeld).
Iedereen met een computer en OpenSSL (en wat PKI kennis) kan
het.
Let op de quotes om namaken. Alles lijkt goed, maar als je
de hashes en de sleutels zal gaan vergelijken met die van de
originele, dan zal je zien dat ze anders zijn. Gooi er wat
technisch geleuter tegen aan en je hebt je eerste
slachtoffer te pakken.
Ik heb eens op de website van de nederlandse bank gekeken en
volgens hen is er helemaal geen papiergeld van 25000 euro ;-) .
nu ik er iets langer over nadenk... je hebt best wel gelijk...
de ontvangers zullen immers letterlijk de vraag van hun
email client krijgen: "postbank is een onbekende CA,
vertrouwd u de postbank?"
meeste mensen weten niet eens wat het betekent en zullen
denken:"natuurlijk vertrouw ik de postbank"... zich niet
realiserend dat de postbank helemaal geen CA is en anders
wel in de chain zou zitten..
ojee....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.