image

Postbank waarschuwt klanten voor phishingaanval

zaterdag 20 december 2008, 10:23 door Redactie, 12 reacties

Postbankklanten zijn weer het doelwit van een phishingaanval geworden, waarbij criminelen de TAN-codes probeerden te stelen. De aanhef is dit keer niet "lieve Postbank klant", zoals in het verleden vaak gebeurde, maar Geachte Mijn Postbank gebruiker. Ontvangers krijgen te lezen dat het beveiligingssysteem een aantal buitenlandse inlog pogingen zou hebben geconstateerd.

Om misbruik te voorkomen moet men een "primair IP-adres" registreren, wat door het openen van de meegestuurde link mogelijk is. De HTML e-mail zegt klanten naar de Postbank Online test drive te sturen, maar wie de link opent eindigt op het domein sightdesignz.com. Een naar alle waarschijnlijkheid gehackte pagina, aangezien die als sinds 2005 geregistreerd is. Het domein is inmiddels op non-actief gesteld. In juli van dit jaar werden er in één week tijd drie phishingaanvallen op Postbankklanten uitgevoerd.

Kassa
Een aantal klanten van de Postbank kwam vorige week nog in het nieuws. De groep mensen had zich door onveilig computergebruik met een Banking Trojan laten infecteren die een extra venster met gebrekkig Nederlands toonde en ook om TAN-codes vroeg. Een aantal mensen gaf die codes, waarna hun bankrekeningen voor een totaal bedrag van 211.000 euro geplunderd werd. In eerste instantie vond de Postbank dat de klanten zelf verantwoordelijk waren, maar na druk van televisieprogramma Kassa kwam het hier op terug.

Reacties (12)
20-12-2008, 13:27 door Necrowizard
Je hoort wel vaker dat de postbank last heeft van dat soort dingen...
Ik vraag me af waarom ze nogsteeds een gebruikersnaam:passwoord systeem gebruiken, en niet zon zelfde systeem nemen als de rabobank, dat een inlog code genereert met je bankpasje.
20-12-2008, 14:11 door Anoniem
Door NecrowizardJe hoort wel vaker dat de postbank last heeft van dat soort dingen...
Ik vraag me af waarom ze nogsteeds een gebruikersnaam:passwoord systeem gebruiken, en niet zon zelfde systeem nemen als de rabobank, dat een inlog code genereert met je bankpasje.

Postbank heeft net zoiets...
Met tan codes die je via smsje op je mobiel intvangt als je betaling wil doen. zo slecht is die beveiliging niet.
20-12-2008, 15:17 door Gutsy Gibbon

Postbank heeft net zoiets...
Met tan codes die je via smsje op je mobiel intvangt als je betaling wil doen. zo slecht is die beveiliging niet.

Daar heb je toch niks aan, smsje's kan iedereen aflezen dus de beveiliging van de postbank is hetzelfde als de pincode van alle klanten publiceren.
20-12-2008, 16:59 door Jan-Hein
Door Gutsy Gibbon

Postbank heeft net zoiets...
Met tan codes die je via smsje op je mobiel intvangt als je betaling wil doen. zo slecht is die beveiliging niet.

Daar heb je toch niks aan, smsje's kan iedereen aflezen dus de beveiliging van de postbank is hetzelfde als de pincode van alle klanten publiceren.

Als je als aanvaller van de "leesbaarheid" van sms'jes afhankelijk wordt, dan ga je een paar interessante timing problemen introduceren.
De TAN via SMS is een prima beveiliging (er zijn nog betere), maar er zitten voor mij te veel practische nadelen aan vast.
Het sterke punt, de tweede communicatie infrastructuur, is het zwakste punt bij SMS: het kan lang niet onder alle omstandigheden en vanaf elk punt gebruikt worden.
Bovendien is het duurder dan nodig is.
21-12-2008, 08:32 door [Account Verwijderd]
[Verwijderd]
21-12-2008, 10:55 door Anoniem
Door IceyoungUsername + Password + Tan via SMS is een prima security middel.
Username en PAssword is kenn is die user heeft.
Tan is een gegeven dat de bank hem stuurt nadat hij zich geauthenticeerd heeft naar de eigenaars mobiele telefoon (die hebben de meeste mensen wel dus geen extra pasje of token apparaat)

Wat ik alleen niet weet, en misschien iemand op dit forum wel, als je nu inlogt met username en password op de Postbanksite en je wil je TELEFOONNUMMER veranderen , hoe gaat dat dan (qua security)
Want daar valt of staat de veiligheid van dit systeem mee !!


Ik weet het antwoord, want laatst moest ik dit zelf doen. In dat geval stuurt de postbank je een brief met een activeringscode en pas nadat je deze hebt ingevuld krijg je weer toegang tot je account. Dat betekent dus dat je in zo'n geval max. 5 dagen geen toegang hebt, maar dit is ook logisch omdat het anders erg onveilig zou zijn. (het kan trouwens sneller, ze kunnen je ook een sms sturen op je oude nr dat je dan moet invullen, maar wat ik net beschreef is als je wisselt van een papieren TAN-lijst naar mobiel)
21-12-2008, 13:44 door [Account Verwijderd]
[Verwijderd]
22-12-2008, 09:48 door Anoniem
Postbank is veiliger dan andere banken in de zin dat je als Postbankklant af en toe nog scherp gehouden wordt door de phishers. ;-)
22-12-2008, 11:30 door Anoniem
Door NecrowizardJe hoort wel vaker dat de postbank last heeft van dat soort dingen...
Ik vraag me af waarom ze nogsteeds een gebruikersnaam:passwoord systeem gebruiken, en niet zon zelfde systeem nemen als de rabobank, dat een inlog code genereert met je bankpasje.

Nee en dan zo'n (extra) calculator overal mee naar toe moeten zeulen, da's lekker handig.
Met Postbank kan ik, met mijn GSM op zak, ten alle tijde overal te wereld bank zaken regelen zonder extra gedoe.
22-12-2008, 15:13 door Anoniem
@ Iceyoung

Veranderen 06 nummer kan online door nieuw 06 nummer op te geven. De wijziging moet je ondertekenen met een TAN die je via SMS op je oude mobiel ontvangt. Als je je oude moboile niet meer hebt is het lastiger. Dan moet je mijnpostbank blokkeren. Om te deblokkeren ontvang je een brief met activeringscode . In het activeringsproces kun je je nieuwe 06 nummer opgeven.

@ Jan-Hein,
Ben benieuwd naar je alternatieve oplossingen.
22-12-2008, 15:18 door Anoniem
Ik vind dat postbank inderdaad over moet stappen op het zelfde systeem als de rabobank.

deze werk veel beter.
22-12-2008, 15:47 door Anoniem
Door NecrowizardJe hoort wel vaker dat de postbank last heeft van dat soort dingen...
Ik vraag me af waarom ze nogsteeds een gebruikersnaam:passwoord systeem gebruiken, en niet zon zelfde systeem nemen als de rabobank, dat een inlog code genereert met je bankpasje.
Ook deze oplossing is kwetsbaar voor aanvallen waarbij een virus of trojan het verkeer op de eindpc onderschept en aanpast.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.