Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Miljoenenfraude met internetbankieren

maandag 14 november 2011, 11:42 door Redactie, 12 reacties

De schade door fraude met internetbankieren is in de eerste helft van dit jaar opgelopen tot 11,2 miljoen euro. Vorig jaar bedroeg de schade die banken hierdoor leden 9,8 miljoen euro. Phishing is de meest voorkomende manier waarop fraude met internetbankieren plaatsvindt. Daarnaast is er soms sprake van malware en social engineering. Daarbij worden mensen gebeld door iemand die zich voordoet als een bankmedewerker die om persoonlijke bankgegevens vraagt.

Malware die zich op iemands computer nestelt komt volgens de Nederlandse Vereniging van Bank voor, maar zorgt nog voor weinig schade. "Banken zien bijna dagelijks aanvallen op het internetbankieren. Dat wil niet zeggen dat al die aanvallen succesvol zijn." Banken zouden steeds beter in staat zijn om frauduleuze transacties vooraan in het traject te onderscheppen.

Slachtoffers
In 2010 waren er 1383 fraude-incidenten met internetbankieren, de eerste helft van dit jaar 2418 incidenten. Het totaal aantal Nederlanders dat internetbankiert bedraagt 11 miljoen. "Dit succes trekt helaas de aandacht van criminelen", zegt voorzitter Boele Staal van de Nederlandse Vereniging van Banken (NVB). De NVB is daarom een nieuwe campagne gestart om consumenten bewust te maken.

Skimmers maken 15 miljoen euro buit
Duqu-virus mogelijk jaren in ontwikkeling
Reacties (12)
14-11-2011, 12:15 door Anoniem
Vrijdag ook iemand laten overstappen op linux. Die zat met Windows XP met rootkit gewoon te internetbankieren. Ze gebruiken alleen mail, internettten en bankieren. Dus Debian erop en gisteren belde ze tevreden op. PC was sneller en alles werkte perfect.
14-11-2011, 12:49 door Anoniem
Wat zijn de cijfers per bank? Maw wie doet het goed en wie slecht?
14-11-2011, 14:17 door Anoniem
Door Anoniem: Vrijdag ook iemand laten overstappen op linux. Die zat met Windows XP met rootkit gewoon te internetbankieren. Ze gebruiken alleen mail, internettten en bankieren. Dus Debian erop en gisteren belde ze tevreden op. PC was sneller en alles werkte perfect.
sjiek voor je...blijerd,krijg je thuis geen aandacht of zo?
14-11-2011, 14:37 door Anoniem
Door Anoniem: Vrijdag ook iemand laten overstappen op linux. Die zat met Windows XP met rootkit gewoon te internetbankieren. Ze gebruiken alleen mail, internettten en bankieren. Dus Debian erop en gisteren belde ze tevreden op. PC was sneller en alles werkte perfect.
Dit heeft niks met dit topic te maken.

Volgende keer onder je eigen naam posten EERDE.
14-11-2011, 17:58 door Anoniem
Door Anoniem: Wat zijn de cijfers per bank? Maw wie doet het goed en wie slecht?

Dat zou interessant zijn inderdaad, mits ook geschaald naar het aantal rekeninghouders .
14-11-2011, 18:31 door tuxick
Linux beschermt niet tegen phishing. Wel is het absurd dat je met phishing een account *kan* plunderen. Dat lukt met mijn rekening bij abn/amro toch echt niet.
14-11-2011, 19:46 door SBBo
Met phishing alleen ben je er nog niet.
Bij de Abn/Amro is het zo dat naast pasgegevens, pincode ook nog een authenticatie reeks moet worden ingevuld, gegenereerd door de calculator.
Het enige wat ik mij kan voorstellen is dat het rekeningnummer wordt gewijzigd in de transactie, wat mij lastig lijkt om deze omgeving zich op de website en dus op de locatie van de bank afspeelt.
Ik kan mij er nog niet veel nbij voorstellen.
Iemand een idee?
14-11-2011, 21:21 door Anoniem
Ik ben enkele keren een mail tegen gekomen met daarin activeren.html.
deze pagina lijkt op een rabobank pagina en vraagt alle gegevens die je nodig hebt tijden een transactie.
(rabobank geeft een code met reader zonder een code te hoeven invoeren van te voren)

alle gegevens worden vervolgens doorgestuurd naar een php pagina op een gehackte site.
Vanaf daar kan je natuurlijk een mail of iets dergelijks uit laten gaan waar deze gegevens direct beschikbaar komen.

Deze gegevens kan je binnen een tijdsbestek van 15 minuten gewoon gebruiken om transacties te verrichten.
14-11-2011, 22:28 door Anoniem
Door SBBo: Met phishing alleen ben je er nog niet.
Bij de Abn/Amro is het zo dat naast pasgegevens, pincode ook nog een authenticatie reeks moet worden ingevuld, gegenereerd door de calculator.
Het enige wat ik mij kan voorstellen is dat het rekeningnummer wordt gewijzigd in de transactie, wat mij lastig lijkt om deze omgeving zich op de website en dus op de locatie van de bank afspeelt.
Ik kan mij er nog niet veel nbij voorstellen.
Iemand een idee?

Natuurlijk. Je moet bedenken dat NIETS van wat je ziet en doet op de client computer vertrouwd kan worden .
Wat de webserver van de bank stuurt , en wat op jouw scherm verschijnt kunnen twee heel verschillende dingen zijn.

Wat jij intikt/inklikt als bedrag en bestemming, en wat de bank aangeboden krijgt als transactie kunnen ook twee verschillende dingen zijn.

Al die dingen kunnen door een trojan willekeurig gemanipuleerd worden.

Wat de bank moet proberen is om die hele set ontvangen transacties via een betrouwbaar kanaal aan jou te laten weten en daar authorizatie voor te krijgen.

De computer en internet zijn niet dat kanaal (want de client computer is onbetrouwbaar), het enige wat ze hebben is een heel beperkte hoeveelheid bandbreedte om die samen te vatten, op een manier dat mensen dat uit hun hoofd snappen.
Geen fancy hashes dus.

Het gaat er niet (alleen) om dat de echte rekeninghouder aan de andere kant van het toetsenbord zit.
Het gaat er vooral om dat de eigenaar bewust alle transacties *die de bank ontvangen heeft* goedkeurt, in grootte en in bestemming.

De "calculator" banken moet die informatie samenvatten in een handvol cijfers, ongeveer zoveel als je mensen kunt laten intikken.
En die mensen moeten snappen dat een transactie bedrag daarin extreem belangrijk is.
(stel dat het scherm zegt 'bij uw calculator, neem het transactie bedrag en voeg een 9 toe als voorloopcijfer ?
Gaat tante truus in de alarmstand ? Gaat zelfs de gemiddelde bezoeker hier in de alarmstand ? )

De TAN-via SMS bank(en) hebben maar liefst 160 karakters om te beschrijven wat ze gaan uitvoeren, en wat dat betreft een voorsprong. Een nadeel is dat de betrouwbaarheid van een SMS kanaal aan het afnemen is, vanwege smart phone hacks of het (te) makkelijk wijzigen van opgegeven telefoonnummers bij de bank. (en wat verder gezocht, sim clone hacks).

Wat de banken meer doen, (en creditcard maatschappijen al lang moesten doen) is 'verdachte patronen' vlaggen en die transacties vertragen.
Maar weinig mensen betalen naar het Oostblok. Hypotheken en huren worden jarenlang op hetzelfde moment voor hetzelfde bedrag naar dezelfde rekening gestort.
Rekeningen met weinig transacties (scholieren, uitkeringstrekkers) die opeens een vloed van stortingen krijgen en enorm pinnen op veel plaatsen kunnen wel eens een money mule geworden zijn.
Dat soort patronen spotten, vlaggen, en dan ingrijpen (vertragen of blokkeren,menselijke analyse, telefonische follow up) is wat bedoeld wordt met 'onderscheppen in het voortraject' .
15-11-2011, 07:09 door Above
Daarom is het ook hoog nodig de tijd dat Javascripting en Flash worden verbannen. Er zijn routers waarin je dit allemaal kunt blokkeren maar het is toch belachelijk dat veel websites deze standards toch blijven gebruiken ondanks de gevaren. Websites welke steeds meer op een kerstboom gaan lijken vanwege ads/banners waardoor ze potentieel een doelwit zijn om andere codes erin te verwerken welke geladen worden op de systemen van bezoekers.

Zelfs Security.nl heeft deze bittads troep op de website welke je uiteraard gelijk ziet in de gatenkaas browser IE.
16-11-2011, 10:32 door Anoniem
En wat is nu eigenlijk veiliger bij de ING:
1-Tan code lijst op papier
2-Tan code via sms
16-11-2011, 21:04 door Anoniem
Door Anoniem: En wat is nu eigenlijk veiliger bij de ING:
1-Tan code lijst op papier
2-Tan code via sms

Dat hangt van je threat-model af.
Voor het overgrote deel van de gebruikers is TAN-via-SMS de beste keuze. Je moet dat eigenlijk niet zien als tan-via-sms, maar als "terugmelding van transactie via sms, met daarnaast een authorizatie code".

Wat er in de sms staat over de transactie moet zijn wat je via het web hebt ingevoerd.

Heb je nu een heel veilige internet bankier pc (openbsd via live cd met hardcoded bank-server ip adressen bijvoorbeeld), en een slettig smartphone gedrag (alles van overal installeren) dan kun je misschien stellen dat een papieren TAN lijst veiliger is.

Nogmaals (ben anoniem maandag 22:28), het gaat om het authorizeren van de hele *transactie* zoals die aankomt bij de bank. Bedrag en bestemmingen.

Alleen bewijzen dat een transactie *die de bank ziet* door de rekeninghouder gedaan wordt is niet voldoende.
De transactie die de rekeninghouder meent te doen en de transactie die de bank ontvangt moeten overeenkomen.

De papieren TAN lijst bewijst (nu ja, maakt zeer aannemelijk) dat een transactie door de rekeninghouder gedaan wordt, maar zegt niets over de inhoud van de transacties.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Security consultant

Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!

Lees meer
Vacature
Vacature

Privacy Officer / CISO

Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!

Lees meer

Poll: Controle thuiswerker met behulp van monitoring software:

16 reacties
Aantal stemmen: 765
Vacature
Vacature

Functionaris Gegevensbescherming (FG)

Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.

Lees meer
Certified Secure LIVE Online training
Pleeg je handel in voorkennis als je doet alsof je voorkennis verkoopt op het dark web?
07-04-2021 door Arnoud Engelfriet

Juridische vraag: Ik las dat in de VS een meneer aangeklaagd wordt voor handel in voorkennis, omdat hij op het dark web ...

5 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter