image

Miljoenenfraude met internetbankieren

maandag 14 november 2011, 11:42 door Redactie, 12 reacties

De schade door fraude met internetbankieren is in de eerste helft van dit jaar opgelopen tot 11,2 miljoen euro. Vorig jaar bedroeg de schade die banken hierdoor leden 9,8 miljoen euro. Phishing is de meest voorkomende manier waarop fraude met internetbankieren plaatsvindt. Daarnaast is er soms sprake van malware en social engineering. Daarbij worden mensen gebeld door iemand die zich voordoet als een bankmedewerker die om persoonlijke bankgegevens vraagt.

Malware die zich op iemands computer nestelt komt volgens de Nederlandse Vereniging van Bank voor, maar zorgt nog voor weinig schade. "Banken zien bijna dagelijks aanvallen op het internetbankieren. Dat wil niet zeggen dat al die aanvallen succesvol zijn." Banken zouden steeds beter in staat zijn om frauduleuze transacties vooraan in het traject te onderscheppen.

Slachtoffers
In 2010 waren er 1383 fraude-incidenten met internetbankieren, de eerste helft van dit jaar 2418 incidenten. Het totaal aantal Nederlanders dat internetbankiert bedraagt 11 miljoen. "Dit succes trekt helaas de aandacht van criminelen", zegt voorzitter Boele Staal van de Nederlandse Vereniging van Banken (NVB). De NVB is daarom een nieuwe campagne gestart om consumenten bewust te maken.

Reacties (12)
14-11-2011, 12:15 door Anoniem
Vrijdag ook iemand laten overstappen op linux. Die zat met Windows XP met rootkit gewoon te internetbankieren. Ze gebruiken alleen mail, internettten en bankieren. Dus Debian erop en gisteren belde ze tevreden op. PC was sneller en alles werkte perfect.
14-11-2011, 12:49 door Anoniem
Wat zijn de cijfers per bank? Maw wie doet het goed en wie slecht?
14-11-2011, 14:17 door Anoniem
Door Anoniem: Vrijdag ook iemand laten overstappen op linux. Die zat met Windows XP met rootkit gewoon te internetbankieren. Ze gebruiken alleen mail, internettten en bankieren. Dus Debian erop en gisteren belde ze tevreden op. PC was sneller en alles werkte perfect.
sjiek voor je...blijerd,krijg je thuis geen aandacht of zo?
14-11-2011, 14:37 door Anoniem
Door Anoniem: Vrijdag ook iemand laten overstappen op linux. Die zat met Windows XP met rootkit gewoon te internetbankieren. Ze gebruiken alleen mail, internettten en bankieren. Dus Debian erop en gisteren belde ze tevreden op. PC was sneller en alles werkte perfect.
Dit heeft niks met dit topic te maken.

Volgende keer onder je eigen naam posten EERDE.
14-11-2011, 17:58 door Anoniem
Door Anoniem: Wat zijn de cijfers per bank? Maw wie doet het goed en wie slecht?

Dat zou interessant zijn inderdaad, mits ook geschaald naar het aantal rekeninghouders .
14-11-2011, 18:31 door tuxick
Linux beschermt niet tegen phishing. Wel is het absurd dat je met phishing een account *kan* plunderen. Dat lukt met mijn rekening bij abn/amro toch echt niet.
14-11-2011, 19:46 door SBBo
Met phishing alleen ben je er nog niet.
Bij de Abn/Amro is het zo dat naast pasgegevens, pincode ook nog een authenticatie reeks moet worden ingevuld, gegenereerd door de calculator.
Het enige wat ik mij kan voorstellen is dat het rekeningnummer wordt gewijzigd in de transactie, wat mij lastig lijkt om deze omgeving zich op de website en dus op de locatie van de bank afspeelt.
Ik kan mij er nog niet veel nbij voorstellen.
Iemand een idee?
14-11-2011, 21:21 door Anoniem
Ik ben enkele keren een mail tegen gekomen met daarin activeren.html.
deze pagina lijkt op een rabobank pagina en vraagt alle gegevens die je nodig hebt tijden een transactie.
(rabobank geeft een code met reader zonder een code te hoeven invoeren van te voren)

alle gegevens worden vervolgens doorgestuurd naar een php pagina op een gehackte site.
Vanaf daar kan je natuurlijk een mail of iets dergelijks uit laten gaan waar deze gegevens direct beschikbaar komen.

Deze gegevens kan je binnen een tijdsbestek van 15 minuten gewoon gebruiken om transacties te verrichten.
14-11-2011, 22:28 door Anoniem
Door SBBo: Met phishing alleen ben je er nog niet.
Bij de Abn/Amro is het zo dat naast pasgegevens, pincode ook nog een authenticatie reeks moet worden ingevuld, gegenereerd door de calculator.
Het enige wat ik mij kan voorstellen is dat het rekeningnummer wordt gewijzigd in de transactie, wat mij lastig lijkt om deze omgeving zich op de website en dus op de locatie van de bank afspeelt.
Ik kan mij er nog niet veel nbij voorstellen.
Iemand een idee?

Natuurlijk. Je moet bedenken dat NIETS van wat je ziet en doet op de client computer vertrouwd kan worden .
Wat de webserver van de bank stuurt , en wat op jouw scherm verschijnt kunnen twee heel verschillende dingen zijn.

Wat jij intikt/inklikt als bedrag en bestemming, en wat de bank aangeboden krijgt als transactie kunnen ook twee verschillende dingen zijn.

Al die dingen kunnen door een trojan willekeurig gemanipuleerd worden.

Wat de bank moet proberen is om die hele set ontvangen transacties via een betrouwbaar kanaal aan jou te laten weten en daar authorizatie voor te krijgen.

De computer en internet zijn niet dat kanaal (want de client computer is onbetrouwbaar), het enige wat ze hebben is een heel beperkte hoeveelheid bandbreedte om die samen te vatten, op een manier dat mensen dat uit hun hoofd snappen.
Geen fancy hashes dus.

Het gaat er niet (alleen) om dat de echte rekeninghouder aan de andere kant van het toetsenbord zit.
Het gaat er vooral om dat de eigenaar bewust alle transacties *die de bank ontvangen heeft* goedkeurt, in grootte en in bestemming.

De "calculator" banken moet die informatie samenvatten in een handvol cijfers, ongeveer zoveel als je mensen kunt laten intikken.
En die mensen moeten snappen dat een transactie bedrag daarin extreem belangrijk is.
(stel dat het scherm zegt 'bij uw calculator, neem het transactie bedrag en voeg een 9 toe als voorloopcijfer ?
Gaat tante truus in de alarmstand ? Gaat zelfs de gemiddelde bezoeker hier in de alarmstand ? )

De TAN-via SMS bank(en) hebben maar liefst 160 karakters om te beschrijven wat ze gaan uitvoeren, en wat dat betreft een voorsprong. Een nadeel is dat de betrouwbaarheid van een SMS kanaal aan het afnemen is, vanwege smart phone hacks of het (te) makkelijk wijzigen van opgegeven telefoonnummers bij de bank. (en wat verder gezocht, sim clone hacks).

Wat de banken meer doen, (en creditcard maatschappijen al lang moesten doen) is 'verdachte patronen' vlaggen en die transacties vertragen.
Maar weinig mensen betalen naar het Oostblok. Hypotheken en huren worden jarenlang op hetzelfde moment voor hetzelfde bedrag naar dezelfde rekening gestort.
Rekeningen met weinig transacties (scholieren, uitkeringstrekkers) die opeens een vloed van stortingen krijgen en enorm pinnen op veel plaatsen kunnen wel eens een money mule geworden zijn.
Dat soort patronen spotten, vlaggen, en dan ingrijpen (vertragen of blokkeren,menselijke analyse, telefonische follow up) is wat bedoeld wordt met 'onderscheppen in het voortraject' .
15-11-2011, 07:09 door Above
Daarom is het ook hoog nodig de tijd dat Javascripting en Flash worden verbannen. Er zijn routers waarin je dit allemaal kunt blokkeren maar het is toch belachelijk dat veel websites deze standards toch blijven gebruiken ondanks de gevaren. Websites welke steeds meer op een kerstboom gaan lijken vanwege ads/banners waardoor ze potentieel een doelwit zijn om andere codes erin te verwerken welke geladen worden op de systemen van bezoekers.

Zelfs Security.nl heeft deze bittads troep op de website welke je uiteraard gelijk ziet in de gatenkaas browser IE.
16-11-2011, 10:32 door Anoniem
En wat is nu eigenlijk veiliger bij de ING:
1-Tan code lijst op papier
2-Tan code via sms
16-11-2011, 21:04 door Anoniem
Door Anoniem: En wat is nu eigenlijk veiliger bij de ING:
1-Tan code lijst op papier
2-Tan code via sms

Dat hangt van je threat-model af.
Voor het overgrote deel van de gebruikers is TAN-via-SMS de beste keuze. Je moet dat eigenlijk niet zien als tan-via-sms, maar als "terugmelding van transactie via sms, met daarnaast een authorizatie code".

Wat er in de sms staat over de transactie moet zijn wat je via het web hebt ingevoerd.

Heb je nu een heel veilige internet bankier pc (openbsd via live cd met hardcoded bank-server ip adressen bijvoorbeeld), en een slettig smartphone gedrag (alles van overal installeren) dan kun je misschien stellen dat een papieren TAN lijst veiliger is.

Nogmaals (ben anoniem maandag 22:28), het gaat om het authorizeren van de hele *transactie* zoals die aankomt bij de bank. Bedrag en bestemmingen.

Alleen bewijzen dat een transactie *die de bank ziet* door de rekeninghouder gedaan wordt is niet voldoende.
De transactie die de rekeninghouder meent te doen en de transactie die de bank ontvangt moeten overeenkomen.

De papieren TAN lijst bewijst (nu ja, maakt zeer aannemelijk) dat een transactie door de rekeninghouder gedaan wordt, maar zegt niets over de inhoud van de transacties.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.