Thanks, ik zal hat aan de ouderen in mijn omgeving doorgeven. Jammer dat er zo weinig tegen dit soort zieke werkwijzen te doen is buiten voorlichting. Ouderen zijn helaas een makkelijke en vaak rijke prooi.
Ik moet zeggen dat die criminelen wel erg vindingrijk zijn, ze komen steeds weer met een nieuwe manier op de proppen. Met die creativiteit zouden ze op een legale manier vast ook wel wat kunnen verdienen maar dit zal wel makkelijker zijn. luie flikkers

Ik hoorde een verhaal dat in landelijke dorpen in Duitsland niet eens meer pinautomaten te vinden waren, laat staan een filiaal wat nog een beetje in de buurt was. Dus wat doe je dan, als oude van dagen? Je belt de geldbrengdienst van je bank. Jawel.

We hebben ons zo aan "iedereen aan de pinpas" opgehangen dat zoiets niet eens meer bij ons opkomt. Maar zeg nou zelf, zo'n geldbrengdienst, dat is persoonlijk genoeg dat zo'n rondbrenger ieder oudje persoonlijk kent; oudjes kennen hopelijk hun rondbrenger ook en zullen zich dan minder snel van de wijs laten brengen door een vreemde.

Les? Waarom moet het allemaal onpersoonlijk? Daar zitten óók kosten aan verbonden, ook al is de klant de eerste die zulks betaalt, en zal desondanks de gemiddelde MBAer niet in staat zijn er een hip kostenplaatjediagrammetje van te klussen.

Makkelijk te verkomen door zelf op te hangen natuurlijk.
Maar dat gebeurt denk ik te weinig. De beller denkt dat de andere kant wel ophangt en typt vrolijk het nummer in

hoe vaak moeten banken aan consumenten nog melden dmv voorlichting die wij ruimschoots krijgen dat ze nooit, maar dan ook echt nooit om een pincode zouden vragen wat er ook gebeurt ?

dit gegeven zou toch voldoende moeten zijn voor een consument... snap echt niet dat er nog mensen intrappen, die hoeven wat mij betreft ook niet schadeloos gesteld te worden ivm ernstige nalatigheid..

sorry, dubbelpost

Dus jij zegt dat men die worden misleid door criminelen ook nog eens gestraft moeten worden terwijl hun niet de criminelen zijn. Vroeger nam men het niet zou nauw mbt beveiliging. Pincode is toch van de bank dus als hun er om vragen moet ik die geven. Zo denken ouderen. Dat kun je ze niet kwalijk nemen

http://www.eveningtimes.co.uk/news/card-conmen-are-raking-in-50k-a-day-112673n.19926984
Mijn ervaring is dat in vrijwel alle gevallen de telefoonverbinding verbroken wordt wanneer een van beide partijen ophangt.
Ik heb slechts één keer meegemaakt dat de verbinding niet verbroken kon worden wanneer de andere kant, mijn verstrooide oma, niet oplegde, en dat was 35 jaar geleden, met de toenmalige PTT-telefoontechniek. Recente gevallen met verstrooide personen die vergaten op te leggen hebben nooit kunnen belemmeren dat ik zelf de verbinding kon verbreken door op te leggen. Daarna was de lijn voor mij vrij en kwam ik niet weer bij het vorige contact terecht wanneer ik opnieuw wilde bellen.

En daarnaast denk ik dat bijna iedereen de ervaring wel kent dat je na een telefoongesprek de verbinding eerst ook zelf moet verbreken om opnieuw te kunnen bellen. Zonder zelf te verbreken houd je een bezette of dode lijn van waaruit je niet een nieuwe verbinding kunt maken.

Om die twee redenen snap ik het UK-verhaal niet.
De telefoontechniek in de UK moet geheel anders zijn dan wat ik ken met mijn Nederlandse telefoonervaringen,
óf de gescamde personen moeten zo verbluft zijn geweest dat ze er niet aan dachten dat ze de verbinding moesten verbreken om opnieuw te kunnen kiezen.
Braken beide kanten de verbinding niet af, dan spreekt het natuurlijk voor zich dat de gescamde en de scammer verbonden bleven.
Legde de gescamde wel eerst neer, maar was dat niet voldoende om de verbinding te verbreken wanneer de scammer de verbinding niet verbrak, dan is dat anders dan mijn recente ervaringen met de Nederlandse telefonie, dan wordt in de UK mogelijk een ander telefoonsysteem gebruikt.

Het zou uiteraard ook kunnen dat het nieuwsbericht niet duidelijk gaat, maar dat er in het telefoontje wordt gemeld dat men wordt doorverbonden met de bank

Ik vermoed dat de scammer een kiestoon op de nog steeds open lijn speelde.
Als de scammer dat snel doet, terwijl de hoorn nog min of meer aan het oor zit en niet al onderweg naar het toestel is, kan dat echt wel werken.

Je moet wel heel alert zijn, om, wanneer je de vertrouwde kiestoon hoort, dan nog steeds de hoorn op te leggen (of een tik op de haak te geven) en niet meteen en automatisch beginnen met kiezen.

Er staat me bij (te lui om het op te zoeken) dat dit al eens in hacktic stond, kiestoon afspelen. (niet om pins te scammen, maar andere telefoon hacks).

Hoe dat in de UK gaat weet ik niet, maar waarschijnlijk hetzelfde als in NL.

Wat S.lenders hierboven (om 11:14) aangeeft is dat het slachtoffer alleen maar denkt dat de verbinding verbroken wordt. Ervan uitgaande dat de "doelgroep" nog gewoon een analoge telefoon gebruikt, is het natuurlijk niet heel moeilijk om als aanvaller de gangbare kiestoon te laten horen en de bekende piepjes als er toetsen worden ingedrukt.

Dus een prima tip van S.lenders om je (schoon-) moeder te vertellen altijd zelf de telefoon op te hangen voordat ze een nieuw nummer draait (vergelijkbaar met het advies om geen links uit mails over te nemen maar bij bij het bezoek van sites waar je potentieel gevoelige info mee uitwisselt, altijd van je lijst met favorites/bookmarks/bladwijzers gebruik te maken).

Daarbij, reken maar dat de aanvallers niet random nummers bellen maar hun slachtoffers vooraf uitzoeken. Denk aan bij de mensen naar binnen kijken als de gordijnen open zijn om te zien wat voor telefoontoestel ze gebruiken en ze eerder opf later met een smoes hun telefoonnummer aftroggelen - als het slachtoffer niet "gewoon" in de telefoongids staat.

Sharon Conheady vertelde hoe extreem eenvoudig het vaak is om social engineering attacks uit te voeren, vooral als je slim inspeelt op de omstandigheden (beetje zoeken in social media, mailaccountje kraken en een mailtje naar je nieuwe vrienden "door de sneeuw gaat mijn vliegtuig niet en nu zit ik zonder geld"). Lang niet alleen op bejaajden trappen hierin...

Sharon verwees in haar presentatie o.a. naar Victor Lustig die, handig gebruik makend van de omstandigheden in 1925, zogenaamd namens de Franse staat, de Eiffel toren tot 6x toe aan oud-ijzerboeren heeft "verkocht" (http://en.wikipedia.org/wiki/Victor_Lustig). De reden dat hij daarmee door kon gaan is dat de handelaren wegens schaamte voor hun stommiteit geen geen aangifte deden. Hoeveel mensen zijn er in 419 scams getrapt, inclusief zij die er niet voor uit durven komen? Dat moeten er haast wel veel zijn, anders waren die scams niet zo'n lang leven beschoren geweest.

Maar voor de wetgever hoef je niet eens als crimineel te worden bestempeld als je mensen ordinair een poot uitdraait - denk maar eens aan al die mensen met een woekerpolis...

Vergelijkbaar: https://www.security.nl/artikel/44829/1/Nieuwe_methode_om_te_infecteren!.html, en zoals Ler0y JenKins aangeeft waarschuwt Vodafone daar nu zelf ook voor in http://over.vodafone.nl/nieuwscentrum/nieuws/let-op-schadelijke-emailberichten-waarbij-het-lijkt-alsof-vodafone-de-afzender.

Nu we het over die club hebben, check http://voda.fo/ne/admin/index.php. Voor de mensen die niet durven te klikken, dat ziet er ongeveer uit als volgt:
Lijkt okay, "want" http://voda.fo/ne/ stuurt jouw webbrowser automatisch naar de echte vodafone.nl site (by the way, wat is dat waard?)

Aan de andere kant, met welk account moet je hier eigenlijk inloggen? En waarom geen https?

Tikketikketik: https://voda.fo/ne/admin/index.php werkt wel, maar geeft een certificaatfoutmelding. Het certificaat blijkt van https://www.vodafone-apps.nl/ te zijn is uitgegeven aan Triple IT in Alkmaar door Comodo. Echter als je laatstgenoemde URL opent krijg je een platte tekst pagina (geen html of javascript) met daarin uitsluitend:Dus, scam of vertrouwd?

Verder onderzoekje. In http://nl.linkedin.com/in/robinwouters lees ik: Is het daarmee geen scam?

Op de vodafone.nl en vodafone.com sites is echter niets over voda.fo terug te vinden (althans ik vond daar niets over met Google). Anderzijds, In http://www.facebook.com/photo.php?fbid=527339843962969&set=a.145059038857720.18005.143067869056837&type=1 staat onderin wel voda.fo URL's.

Kortom, hoe word je als leek geacht vast te stellen dat voda.fo een legitieme site is? Ik weet het echt niet en snap totaal niet waarom notabene ICT bedrijven hun klanten zo op dwaalsporen weten te zetten en heb er alle begrip voor dat, zeker ouderen, met weinig moeite om de tuin te leiden zijn.

Mijn aanname dat de gescamde personen mogelijk zo verbluft zijn geweest dat ze er niet aan dachten dat ze de verbinding moesten verbreken om opnieuw te kunnen kiezen, gecombineerd met het door de scammers al laten horen van een kiestoon, ja, dat zou de scam prima hebben kunnen doen slagen. (Het door de scammers laten horen van piepjes is niet eens nodig, die hoor je ook wanneer je kiestoetsen indrukt terwijl er al een verbinding bestaat.)
Het enige wat nog steeds nodig lijkt, dat is dat de gescamde nalaat tussen de 'twee gesprekken' zelf de verbinding te verbreken, hiertoe al dan niet misleid door een valse kiestoon.

Gelijk heb je.
En wat voor Vodafone geldt, dat geldt voor véél bedrijven, al zijn dat voor het merendeel non-ICT bedrijven (maar ook die zouden beter moeten weten).
Hoe vaak ontvang ik geen legitiem mailtje van een bedrijf waar ik iets van afneem, met daarin links met de meest obscure url's waarvan niet of slechts met veel moeite is te achterhalen dat het legitieme links zijn. Eerder belde ik zo'n bedrijf dan nog wel eens, om opheldering te vragen, "Is dat werkelijk jullie mail, en waarom zo'n griezelig obscuur adres voor die link, in plaats van een url die duidelijk aan jullie eigen web-domein is gekoppeld?" Maar dat leverde uiteraard zelden enig begrip. Ik heb dat maar opgegeven.

@Spiff: dank voor jouw reacties!

Beniewd naar het doel van de logon page http://voda.fo/ne/admin/index.php maar eens uitgezocht wat Yourls is: De logon interface is kennelijk bedoeld voor beheerders die short URL's aanmaken. Een aanvaller die het lukt daar binnen te komen kan elke short URL naar sites met pagina's naar keuze laten wijzen.

Twee jaar geleden (2011-01-13) zijn known vulnerabilities (zie http://code.google.com/p/yourls/issues/detail?id=646) in versie 1.5 van Yourls gerepareerd in een beta release (de beschreven kwetsbaarheden gaan zo te zien niet zover dat een aanvaller zomaar binnenwandelt).

De definitieve versie 1.5.1 van Yourls is op 2012-08-29 gepubliceerd (http://code.google.com/p/yourls/downloads/list).