Begrijp ik het dan goed dat je na het opgeven van je logincodes van je
bank een gepersonaliseerde pagina krijgt. En als dat niet gebeurt weet je
direct dat je gegevens in handen zijn van criminelen? Hoe willen ze anders
een gepersonaliseerde pagina aanbieden? Mijn internetverbinding
gebruikt DHCP, mijn browser accepteert geen cookies...

En hoe doen we dat? (firefox)

Ha, eindelijk nieuws over deze scam !

1) emailtje was meteen verdacht omdat er van die
anti-spam-filter-strings tussen stonden. Ik lees mijn email
in text, niet html, anders had ik dat niet gezien.

2) sniffer op scherp
(http://www.ethereal.com/download.html) en de
link geopen: meteen een waarschuwing dat er iets met het
certificaat niet klopt. Klik ik "accept for this session",
just for fun. Toont Mozilla nog een extra
waarschuwing, nl: "...Certificat belongs to
localhost...possible interception..." Dat krijg je in
IE niet te zien !

3) in mijn sniffer zie ik rare dingen in het certificaat, o.a.:
..(iso.2.840.113549.1.9.1=root@localhost,id-at-commonName=localhost,id-at-organizationalUnitName=Administration,id-at-organizationName=Localhost
..Ltd.,id-at-localityName=New-York
..issuer: rdnSequence (0)
Jaja, een TTP die rndSequnce(0) heet, tuuurlijk..

4)Ik kom op en eche https site[/u, meestal zijn datgewone http-sites in die phishing scams.5) Alle links wijzen naarhttps://citibusiness.da-us/citibank-trust.com/cbusol/signon.do#Als je daarop klikt kom je op de echte citibank uit,in een geisoleerd window (geen taakbalk e.d.) (weet iemand wat hier het domain is? ".da" bestaat niet)6) Op de fake-pagina kun je kiezen uit GUEST of USER, maaktniet uit want beide komen uit op een page waarin om eennummer gevraagd wordt. Daar gaat het dus om. NB: Kennelijk gebruikt citibank 1 nummer voor zowelusername als password.7) in een aparte box staan waarschuwingen tegen phishingscams. Heel uitgebreid, en het zijn werkelijk goede tips! Waar je op moet letten in phishing-scams ed.8) Ik heb dit op 5 april gedaan, een dag later was de url alniet meer te vinden. Blijkt dat 'ze' een server in Taipeigehacked hadden. ("Chunghwa Telecom Co., Ltd." , stom, maarik zal het IPaddress niet verklappen))9) een tracert [IP] ging ongeveer 5 keer rond in taiwanzelf, 25 hops in totaal, beetje vreemd, maar wel lekker. 10) bevindingen 'doorgespeeld', terugmelding gekregen menspecifieke maatregelen gaat nemen tegen dit soort scamsd.m.v. zo'n 'rekenmachientje', zoals bij veel nederlandsebanken. Het viel mij op dat er erg veel moeite gedaan is om het erzo goed mogelijk uit te laten zien. Meestal werken de linksniet, spelfouten, verkeerd logo etc. Zo, nu de voorgestelde oplossing: lijkt een goedidee, maar maar ik zie meteen al weer een gat (2eigenlijk): hoe weet die website nu welke foto ze erinmoeten kopieren als er iemand op hun link klikt ? De site inhet voorbeeld 'weet' kennelijk al wie jij bent, nog voordatje geauthenticeerd bent, met username/password. Cookie ? Ik ben geen web-programmer, maar ik denk dat het mogelijk isom een fake website door Man-in-the-Middle methoden hetjuiste fotootje te laten tonen. Het certificaat zal nog steeds een waarschuwing opleveren,maar doordat alles nu 'gepersonaliseerd' is, zal eengebruiker meer vertrouwen hebben en nog sneller"accept certificate" klikken en erin trappen.BTW: in het voorbeeld wordt om een password gevraagd, dus wezitten hier al in een https-sessie, neem ik aan? Dan is eeneventuele waarschuwing over een verkeerd certificaat -endus geen authenticatie van server- al langsgeweest, mosterd na de maaltijd dus. Misschien dat de mensen van F-Secure hun eigenhersenen eens kunnen onderzoeken. Wellicht ontdekt mendat ook deze bedrogen worden door een security maatregel dieer goed uit lijkt te zien ;-)S.F.

Ja, Mikko heeft wel een punt.. Maar zul je zien dat je
straks aangeklaagd wordt omdat je een copyrighten foto gebruikt.

Waarom moet dit over het web gebeuren? Ik bedoel bankzaken
regelen dmv een stukje software (van de bank zelf wel te
verstaan) kan een hoop ellende voorkomen. Internet is
gebruiksgemak, maar of het leven ook daadwerkelijk
eenvoudiger maakt. Persoonlijk zet ik liever 3 stappen meer
zodat ik (bijna!!) zeker weet dat er niets mee kan gebeuren.
Ik installeer liever een programmatje die een verbinding
maakt dan dat ik over het internet bankier met de
onzekerheid die steeds grotere vormen begint aan te nemen
(of tenminste dat lijkt zo..)

En wat als een phisher een pagina namaakt met een message:
'Wegens omstandigheden kan uw persoonlijke opmaak niet
worden weergegeven.' Daar gaat het idee.

SFAE zegt;

Mutual authentication zou het probleem oplossen (zowel de
client als de server authenticeren zich (EAP-SPEKE) of een
vergaande vorm van two-way auhenticatie "client met device
tegen server met certificaat" "trustconnector met PKI"

Er zijn dus manieren om dit probleem op te lossen.