Security Professionals - ipfw add deny all from eindgebruikers to any

Geen pin, toch geplunderde bank rekening. Kan dat?

29-03-2015, 10:31 door Dick99999, 36 reacties
Laatst bijgewerkt: 30-03-2015, 06:15
Ik las in een van de damesbladen *) het volgende:
[....] Maar ja, toen was ik zelf aan de beurt. Ik was een weekendje weg geweest op Texel toen ik een belletje kreeg van mijn bank. Mijn pas was geskimd in een supermarkt. Tuurlijk schrik je dan.

Maar ik had nog wel de tegenwoordigheid van geest om te denken dat dit wellicht een truc kon zijn. De man aan de andere kant van de lijn wist echter allerlei gegevens van mij te noemen en zei dat het zaak was om de pas nu heel snel te blokkeren omdat mijn rekening anders zou worden leeggetrokken door criminelen.

De procedure ging via het apparaatje dat ik thuis gebruik voor het internetbankieren. Hij wilde mijn pincode niet weten - die mocht ik van hem echt nooit aan anderen geven, benadrukte hij nog - maar ik moest 'm wel invoeren en dan moest ik de code noemen die je dan terugkrijgt. Nou ja, het leek allemaal legitiem. Uiteindelijk kreeg ik te horen dat alles geblokkeerd was en dat het om die reden even niet mogelijk was om te internetbankieren.
[...]
Zo'n twee dagen later moest ik een over-boeking maken en logde ik via mijn mobiel in op mijn internetbankier-app. Ik kreeg het koud en warm tegelijk... Er had nog 3000 euro op mijn rekening moeten staan en nu stond ik rood![...]


Het eerste deel snap ik. Met die teruggekregen code uit het apparaat kan de crimineel inloggen. Iets als (of gelijk aan?) 'pass the hash'. Maar hoe kan dan vervolgens de rekening geplunderd worden? Ik moet bij ING een SMS verificatie invoeren bij elke overboeking. En ik neem aan dat bij een 'reader transactie' de pincode in de transactie goedkeuringscode verwerkt zit.

edit:
1 - *) zie Vrouw, week 14, 27 maart 2015, pag 43
2 - Titel aangepast
Reacties (36)
29-03-2015, 11:28 door Anoniem
De manier van overboekingen bevestigen verschilt per bank. Bij de ING moet je inderdaad een SMS verificatie invoeren, maar bijvoorbeeld bij de ASN bevestig je een overboeking met een apparaatje met een pincode, zoals beschreven in het artikel.

Als een crimineel dus al toegang heeft tot je inloggegevens (bij bijvoorbeeld ING en ASN heb je alleen gebruikersnaam en wachtwoord nodig om in te loggen) kan hij een overboeking klaarzetten. Als hij dan jou kan overtuigen om je pincode in te voeren op het apparaatje en de code op het scherm aan hem te vertellen kan hij dus gewoon geld overmaken.

De persoon in het artikel had in dit geval kunnen weten het niet klopte omdat je bank nooit gegevens van je nodig heeft om je rekening te blokkeren bij skimmen. Maar nog veel belangrijker: wat iemand ook voor verhaal heeft, de codes van je apparaatje voor het internetbankieren moet je alleen invoeren op de website van je bank en nooit op enige manier ergens anders bekendmaken.
29-03-2015, 11:33 door Euro10000 - Bijgewerkt: 29-03-2015, 13:03
Nooit, nooit , nooit, nooit,
info geven door telefoon en pc, waar jij zelf om gevraagd hebt,
en ook maar iets van pincode of via de code via je identifier, dit dus nooit geven.
En pincode zal de bank nooit vragen,
en ook niet via je identifier.

Of er geld mee afgehaald kan worden is de vraag, maar de hacker weet vaak meer, en als je geskimd bent dan hebben ze al veel info. Misschien zat de hacker op je pc, samen met de andere gebruiker, of de bank is doorgelinkt naar de hacker, en dan vraagt deze om de hash/code.
29-03-2015, 11:51 door Anoniem
Misschien dat het met de app van de bank is gegaan. Ik zit bij rabobank, en om hun app te gebruiken moest ik éénmalig mbv de reader mijn telefoon aan mijn rekening koppelen (en kon ik ook dingen als het maximumbedrag etc instellen). Ik weet niet meer 100% zeker dat er maar één reader transactie aan te pas kwam. Maar als het zo is kan een dader dus gewoon mijn rekeningnr invullen op zijn telefoon, een zo hoog mogelijk maximumbedrag, en dan mijn 'goedkeuring' daarvoor krijgen door die code van me los te kletsen.
29-03-2015, 13:39 door [Account Verwijderd]
Waarschijnlijk met de inlogcode het 06 nummer veranderd en toen transactie gedaan.
29-03-2015, 15:07 door [Account Verwijderd]
[Verwijderd]
29-03-2015, 16:20 door Anoniem
Het motto was volgens mij:

Hang op. Klik weg. Bel uw bank.
29-03-2015, 18:32 door Eric-Jan H te D
Als de boef je bankrekeningnummer en de pascode (4 cijfers) weet dan is het met Ideal voldoende om de terug geleverde code uit de (Rabo)-paslezer in te voeren. Dus:
- de boef weet de gegevens
- er is met Ideal betaald
Beiden zouden je op het spoor kunnen zetten van een mogelijke dader.
29-03-2015, 23:33 door [Account Verwijderd] - Bijgewerkt: 29-03-2015, 23:55
[Verwijderd]
30-03-2015, 04:26 door SPlid
Door Anak Krakatau:
De procedure ging via het apparaatje dat ik thuis gebruik voor het internetbankieren.

inbraak is heel simpel. er zijn apparaatjes die met een constante factor rekenen.

begincode banksite + berekeningfactor door apparaatje = eindcode op apparaatje

als eindcode apparaatje bekend is, dan is ook de factor bekend die het apparaatje gebruikt omdat ook begincode banksite bekend is.

nu heeft crimineel voor elke code die de banksite genereert de factor om het apparaatje te simuleren en kan in feite elke transactie doen. als hij dan ook nog de andere gegevens van de persoon kent (door de vuilnisbak van bewoner te checken of post weg te hengelen) dan is de rekening zo geplunderd.

Heeft de betreffende bank een contante begincode die achterhaalbaar is? Dat lijkt me dan een kwetsbaarheid die gemitigeert zou moeten worden. Dit lijkt me niet velig ! Hoop maar dat dit niet mijn bak is,
30-03-2015, 08:46 door Anoniem
Zonder dat bekend is om welke bank het in dit geval gaat is niet te controleren of bovenstaand verhaal correct dan wel compleet is.

Ikzelf heb bij drie banken betaalrekeningen en bij twee van die drie heb ik het nummer van de identifier nodig als soort van username. Dit wordt niet genoemd in het verhaal.
Bij één van deze twee moet ik bij het autoriseren van een betaling ook het over te maken bedrag invullen. Ook dit wordt niet genoemd.

Bij de derde bank moet ik eerst inloggen met een username/PW. Vervolgens heb ik mijn identifier nodig om een betaling te autoriseren.

Ik vraag mij dan ook af welke NL bank het hier betreft, of dat het een broodje aap betreft.........
30-03-2015, 09:23 door [Account Verwijderd]
[Verwijderd]
30-03-2015, 09:47 door Preddie
Dit verhaal klinkt een beetje als suggererend.

Skimmen bij de supermarkten kan feitelijk al niet meer, deze gebruiken nieuwe apparaten waar je de magneetstrip niet uitgelezen kan worden. De pas gaat gewoon niet diep genoeg in de lezer bij de nieuwe apparaten, hooguit dat dit bij een tankstation eventueel nog zou kunnen. Criminelen zijn echter ook niet dom, en Texel zou wel één van de domste locaties zijn om dit te doen. Als er iemand die door krijgt moet je namelijk altijd met de boot terug ..... niet zo heel slim dus...

Als je bank merkt dat je geskimt bent of gepint heb op een apparaat waar één of meer slachtoffers van skimming zijn dan blokkeert de bank zelf je pas/rekening.

Het weekendje Texel heeft er dus zeer waarschijnlijk helemaal niks mee te maken maar heeft de beller gebruikt in zijn social engineering truc. Waarschijnlijk heeft de beste mevrouw gewoon een facebook, twitter of andere social media account waarbij de aanvaller kon vernemen dat mevrouw een weekend op dit eiland was.

Dit verhaal klopt dus niet, en mevrouw lijkt een suggestie te doen naar hoe ze haar geld is kwijt geraakt en het lijkt erop dat gewoon een Transactie code heeft verstrekt ook de bellende meneer dit niet van haar bank was ...... ;)
30-03-2015, 10:25 door Anoniem
Door Anak Krakatau:
De procedure ging via het apparaatje dat ik thuis gebruik voor het internetbankieren.

inbraak is heel simpel. er zijn apparaatjes die met een constante factor rekenen.

begincode banksite + berekeningfactor door apparaatje = eindcode op apparaatje

als eindcode apparaatje bekend is, dan is ook de factor bekend die het apparaatje gebruikt omdat ook begincode banksite bekend is.

nu heeft crimineel voor elke code die de banksite genereert de factor om het apparaatje te simuleren en kan in feite elke transactie doen. als hij dan ook nog de andere gegevens van de persoon kent (door de vuilnisbak van bewoner te checken of post weg te hengelen) dan is de rekening zo geplunderd.

U bent een top wiskundige die waarschijnlijk de Nobelprijs krijgt als u uw hypothese kan staven. Naar mijn idee is de beveiliging gebaseerd op 2 keys. Een publieke en een geheime. Deze laatste is in bezit van de bank en zij zijn de enige die het bericht kunnen ontcijferen. Maar u als topwetenschapper kan daar omheen. Ik ben zeer benieuwd naar uw publicatie.

Zucht!
30-03-2015, 10:26 door Anoniem
Door Predjuh: Skimmen bij de supermarkten kan feitelijk al niet meer, deze gebruiken nieuwe apparaten waar je de magneetstrip niet uitgelezen kan worden.
De magneetstrip niet, maar de chip wel. Die tussenzetstukjes zijn al gedemonstreerd, en behoorlijk lastig te detecteren. Of ze ook in gebruik zijn, weet ik niet.

Het weekendje Texel heeft er dus zeer waarschijnlijk helemaal niks mee te maken maar heeft de beller gebruikt in zijn social engineering truc.
Dat lijkt mij ook. Het hele "uw pin moet u ons niet geven, daar vragen wij nooit naar." is duidelijk zand in de ogen strooien. En dan "Maar we willen wel een autorizatiecode, pak er even het codeapparaat bij en vertel wat'ie zegt als u dit intoest." is het hele eieren eten. Dit is namelijk precies het moment dat je moet denken "oh, die gebruik ik om transacties te doen. Waarom willen ze een transactiecode van mij? Waarom hebben ze die nodig, zij zijn toch de bank?"

Dat daar niet aan gedacht wordt is tekenend, het betekent namelijk dat het slachtoffer niet doorheeft hoe zoiets moet werken. In die zin is dit een mooi voorbeeld van hoe de techniek, namelijk dat magische kastje, uiteindelijk niet helpt tegen een mensenprobleem, te weten niet snappen hoe de beveiligingsprocedure moet werken. Het is dit "oh ik moet even iets intoetsen" en niet doorhebben dat dit precies niet moet dat de deur voor de misbruiker openliet.

Dat is een fundamenteel probleem met zowel de reden dat je een bank gebruikt, die je toch inhuurt om op jouw geld te passen, en ook de bank zelf, die zich zo presenteert als zouden ze een zeer zeker echt veilige, echt waar mevrouw, complete oplossing voor het probleem aanbieden. Want ook de bank heeft zichzelf en haar klanten hier niet tegen ingedekt terwijl dat wel zou kunnen.

Wat je moet weten in zo'n geval, waar je dus over nagedacht moet hebben, is hoe die autorizatiestromen horen te lopen. Het fundamentele probleem is dan ineens niet het kastje of de klant die toch doet wat haar gezegd wordt, maar dat dit in antwoord is op iemand die de klant belt.

Wat het slachtoffer had moeten doen is de verbinding verbreken en haar vaste contact met de bank terugbellen op een reeds vooraf bekend nummer (en geen "oh we hebben het veranderd, hier is het nieuwe nummer" accepteren!) en vragen om de naam van de beller.

Bel je terug naar de bank en krijg je dan je beller weer te pakken, dan kan je wellicht gegevens overdragen--ook al zou dat nooit moeten hoeven met codes uit dat magische kastje, daar is het niet voor. Maar merk op, bel je je eigen bank terug en krijg je je beller niet te pakken, gaat het feest niet door.

En merk ook op dat deze procedure heel erg simpel is en nauwlijks techniek vraagt, wel goed uit te leggen is in hoe en waarom en een hoop werk kost voor aanvallers om kapot te krijgen, mits de bank haar telefoonsysteem netjes heeft opgezet.

Wie hier heeft er een vast contact (telefoonnummer en naam van primair contact en fall-back contact) met zijn bank dat altijd gebeld kan worden in bijvoorbeeld dit soort gevallen?
30-03-2015, 10:55 door Dick99999
Door Anoniem:
[...]
Wat het slachtoffer had moeten doen is de verbinding verbreken en haar vaste contact met de bank terugbellen op een reeds vooraf bekend nummer (en geen "oh we hebben het veranderd, hier is het nieuwe nummer" accepteren!) en vragen om de naam van de beller.

Bel je terug naar de bank en krijg je dan je beller weer te pakken, dan kan je wellicht gegevens overdragen--ook al zou dat nooit moeten hoeven met codes uit dat magische kastje, daar is het niet voor. Maar merk op, bel je je eigen bank terug en krijg je je beller niet te pakken, gaat het feest niet door.
[...]
Terugbellen om de beller weer aan de lijn te krijgen, heeft geen schijn van kans bij een grote bank. De bank behoort op dit soort gevallen voorbereid te zijn. Dus ik bel gewoon de klantenservice en vraag of er iets met mijn rekening is. Dat staat echt wel geregistreerd bij de bank.
30-03-2015, 12:01 door Anoniem
Door Dick99999: Terugbellen om de beller weer aan de lijn te krijgen, heeft geen schijn van kans bij een grote bank.
Dat is dus net het punt: Dat zou dus wél gewoon moeten werken en dat zou gewoon standaard geregeld moeten zijn.

Het zou namelijk échte veiligheidsverbetering inhouden, en niet weer zo'n stom truukje waar ze met veel bombarie doen of de beveiliging verbetert maar eigenlijk kost het jou gewoon meer werk en krijg je er nog extra risico bij op je afgeschoven ook nog. Het heeft dus een duidelijk doel om je bank hier op aan te spreken, en als het geen zin blijkt te hebben is het (nog) een reden om een andere bank te zoeken.

Dus in plaats van dat je hier net doet of het toch nooit gaat werken, kaart het tenminste aan bij jouw bank.
30-03-2015, 13:09 door Anoniem
Door Anoniem:
Door Dick99999: Terugbellen om de beller weer aan de lijn te krijgen, heeft geen schijn van kans bij een grote bank.
Dat is dus net het punt: Dat zou dus wél gewoon moeten werken en dat zou gewoon standaard geregeld moeten zijn.

Het zou namelijk échte veiligheidsverbetering inhouden, en niet weer zo'n stom truukje waar ze met veel bombarie doen of de beveiliging verbetert maar eigenlijk kost het jou gewoon meer werk en krijg je er nog extra risico bij op je afgeschoven ook nog. Het heeft dus een duidelijk doel om je bank hier op aan te spreken, en als het geen zin blijkt te hebben is het (nog) een reden om een andere bank te zoeken.

Dus in plaats van dat je hier net doet of het toch nooit gaat werken, kaart het tenminste aan bij jouw bank.

De regel van Dick99999 die je hebt weggeknipt zegt precies wat nodig is.
Waarom knip je dat nou weg ? Meen je serieus dat jouw idee van verbetering een verbetering is ?

Je hoeft bij zo'n organisatie niet dezelfde *persoon* terug te bellen, want al dit soort meldingen lopen via een ticket systeem.
Iemand anders van de service desk ziet dezelfde status (of status : klant gebeld, klant gaat terugbellen) en kan je dan evengoed verder helpen.


Het moeilijke punt hier is om de klant tussen de oren te krijgen dat *zelf* *de bank* terugbellen belangrijk is en niet naar een *handig meegegeven nummer door de eerste beller* belangrijk is.
Dus juist bellen naar een vast 0800-service nummer, en niet naar een direct persoonlijk doorkiesnummer van toevallig iemand die je belde.

En nog wat telefoonhacks vermijden, en zijn/waren truken dat de eerste beller een kiestoon uitspeelt, en degene die gaat 'terugbellen' dus geen nieuwe verbinding opzet.
30-03-2015, 15:34 door Anoniem
Door Anoniem: De regel van Dick99999 die je hebt weggeknipt zegt precies wat nodig is.
Waarom knip je dat nou weg ?
Omdat het een "works for me"-dooddoener is. Daar heb je weinig aan als het ondertussen elders nog overduidelijk misgaat. Hij heeft het voor zichzelf opgelost maar niet voor alle anderen. En toen? Nou?

Meen je serieus dat jouw idee van verbetering een verbetering is ?
Dat meen ik serieus. Al was het alleen maar om de banken ervan te doordringen dat ze hier beter hun best moeten doen. En dat moeten ze, want er is veel ruimte om met relatief weinig moeite een cultuurtje te kweken waarin dit soort gein gewoon veel moeilijker is dan het nu is. Maar daarvoor moeten we afstappen van het idee dat we met regels aan de klant opleggen of een nieuw speeltje uitdelen het allemaal wel vanzelf zal gaan.

Je hoeft bij zo'n organisatie niet dezelfde *persoon* terug te bellen, want al dit soort meldingen lopen via een ticket systeem.
Iemand anders van de service desk ziet dezelfde status (of status : klant gebeld, klant gaat terugbellen) en kan je dan evengoed verder helpen.
Dan heb je dus al een probleem. Het is prima dat je ticketsystemen bijhoudt*, maar dat houdt zeg maar vooral de positieve zaken leuk in het oog. Dat zijn de zaken waar er reeds iets aanwijsbaars aan de hand is, wat dat ook moge zijn. We hebben hier een "negatief" iets, geinstigeerd door derden en de bank weet van niets.

Dus juist bellen naar een vast 0800-service nummer, en niet naar een direct persoonlijk doorkiesnummer van toevallig iemand die je belde.
Jij hebt niet goed gelezen.

* Al kan daar ook nog best veel enorm veel beter.
30-03-2015, 17:52 door [Account Verwijderd] - Bijgewerkt: 30-03-2015, 18:12
Ik heb geen idee hoe die apparaatjes van de bank precies werken maar het volgende kan ik mij toch niet voorstellen

Door Anak Krakatau 30-03-2015 23:33 uur:

inbraak is heel simpel. er zijn apparaatjes die met een constante factor rekenen.

begincode banksite + berekeningfactor door apparaatje = eindcode op apparaatje

als eindcode apparaatje bekend is, dan is ook de factor bekend die het apparaatje gebruikt omdat ook begincode banksite bekend is.

Dat er bij het generen van een code een wiskundige berekening wordt gemaakt wil ik nog wel geloven weet niet hoe het precies in elkaar zit.


Maar kan me toch niet voorstellen dat het op een simpele manier gebeurd dat alleen al met de eindcode en begincode van de banksite al te berekenen is wat de berekeningsfactor door het apparaatje is. Zoals bijvoorbeeld het volgende zeer simpele sommetje

y = -3x
-6 = -3x
3x = 6
x = 6/3
x = 2

Hierbij moet je Y zien als de eind code en x als onbekende (berekening factor door apparaatje)

Ik denk toch dat als die apparaatjes voor het internet bankieren een code berekenen het berekenen van de eindcode iets ingewikkelder is met ook een iets ingewikkelde wiskundige formule en dat er toch meer gegevensnodig zijn zoals een variabele als bijvoorbeeld de tijd.

Maar goed ik weet niet hoe die apparaatjes voor het internetbankieren werken maar zoals ik al zij kan me alleen niet voorstellen dat het op een dergelijke simpele manier gebeurd zoals Anak krakatau omschrijft
30-03-2015, 18:22 door Anoniem
Door Predjuh:
...
Criminelen zijn echter ook niet dom, en Texel zou wel één van de domste locaties zijn om dit te doen. Als er iemand die door krijgt moet je namelijk altijd met de boot terug ..... niet zo heel slim dus...
Nee hoor,
Texel heeft ook een vliegveld!
30-03-2015, 21:20 door Anoniem
Zoals een variabele als bijvoorbeeld de tijd.

Ik vraag me af, als je geen variabele van tijd en datum gebruikt, hoe een e.dentifier of een random reader een getallen reeks kan genereren die als inlog code wordt geaccepteerd.
Je bank heeft toch geen verbinding met je e.dentifier of random reader of andersom.
WZ
30-03-2015, 23:36 door Flashback956 - Bijgewerkt: 30-03-2015, 23:37
Dit hebben ze ook ooit gedaan op een phising pagina. De vormgeving was heel goed gedaan en men vroeg niet om een pincode. Er zouden simpelweg problemen zijn met de synchronisatie van de randomreader. Even wat codes intypen en doorgeven. Als je viel voor deze grap was je enkele duizenden euro lichter. Social engineering, machtig middel dat elke dag nog volop wordt gebruikt.
31-03-2015, 00:13 door Anoniem
Door Dick99999:
Terugbellen om de beller weer aan de lijn te krijgen, heeft geen schijn van kans bij een grote bank. De bank behoort op dit soort gevallen voorbereid te zijn. Dus ik bel gewoon de klantenservice en vraag of er iets met mijn rekening is. Dat staat echt wel geregistreerd bij de bank.

Uit ervaring weet ik dat dit wel gewoon goed gaat, in ieder geval bij de kleinere banken. Gewoon ophangen, bellen en de naam noemen. Als die persoon die je belde echt van de bank was heb je die in no-time aan de lijn.
31-03-2015, 09:33 door Anoniem
Je kan met een zakelijke rekening gewoon een automatische incasso doen op een willekeurige rekening. Zit 0,0 controle op vanuit de banken. De rekeninghouder moet er zelf mee komen dat het niet klopt. Daarom heb ik incasso's uitstaan op mijn rekening. Beveiliging is 0
31-03-2015, 12:43 door Anoniem
Hij wilde mijn pincode niet weten - die mocht ik van hem echt nooit aan anderen geven, benadrukte hij nog - maar ik moest 'm wel invoeren en dan moest ik de code noemen die je dan terugkrijgt.

Omdat het de Telegraaf betreft kan het ook een sterk gekleurd en onvolledig verhaal betreffen, dit is wat ik ervan kan maken bij gebrek aan informatie.
Betrof het abnamro, waar het op lijkt, dan was het een domme actie van de mevrouw door met te weinig zelf oplettend nadenken in deze social engineering truc te trappen.
Met abnamro heb je op de website nodig een opgave bankrekening nummer, een pas en de apparaatcodes.
Met de codes die je terugkrijgt van het apparaatje bevestig je de daadwerkelijke transacties op de bankwebsite.
De fraudeur heeft de pincode niet nodig zolang hij de uitkomsten maar krijgt.
Voor het overmaken van haar geld waren twee stappen met twee soorten transactiecodes nodig. Een code om in te loggen, dat zegt het apparaat ook met keuzesoort "1. Inloggen", en een code om een opdracht te verzenden, keuzesoort "2. Verzend opdr".
Met het meewerken aan het geven van de uitkomstcode van keuze 2 had de klant zich terecht kunnen en moeten afvragen waar de persoon aan de andere kant van de lijn mee bezig was. Die scheiding in keuzeopties met andere procedures is er niet voor niets.
Afweging, het lezen van Telegraaf magazine verhaaltjes, ook een vorm van social engineering, zullen best hun nut hebben maar voor dit forum? Volgende keer een meer serieuze en vollediger bron voor je security vragen kiezen?
31-03-2015, 13:18 door Anoniem
Door Anoniem:

Met abnamro heb je op de website nodig een opgave bankrekening nummer, een pas en de apparaatcodes.
Met de codes die je terugkrijgt van het apparaatje bevestig je de daadwerkelijke transacties op de bankwebsite.

"een opgave bankrekening nummer, een pasNUMMER en de apparaatcodes."
31-03-2015, 14:00 door [Account Verwijderd]

Ik moet bij ING een SMS verificatie invoeren bij elke overboeking

ING !

Volgens mij hebben een heel aantal reageerders dat over het hoofd gezien.

Betaling geschiedt bij deze mevrouw met SMS verificatie. Zoals ik al zei, toen de phisher toegang had kon hij dus het mobiele nummer veranderen, waarschijnlijk.
31-03-2015, 14:58 door Anoniem
Door Anoniem: Zoals een variabele als bijvoorbeeld de tijd.

Ik vraag me af, als je geen variabele van tijd en datum gebruikt, hoe een e.dentifier of een random reader een getallen reeks kan genereren die als inlog code wordt geaccepteerd.
Je bank heeft toch geen verbinding met je e.dentifier of random reader of andersom.
WZ

Ik denk inderdaad dat het iets met de tijd van doen heeft: Eén van de symptomen van een lege(r wordende) batterij in de random readers van rabobank is dat hij de verkeerde code begint terug te geven.
31-03-2015, 15:28 door Dick99999 - Bijgewerkt: 31-03-2015, 18:48
Door Anoniem:
Hij wilde mijn pincode niet weten - die mocht ik van hem echt nooit aan anderen geven, benadrukte hij nog - maar ik moest 'm wel invoeren en dan moest ik de code noemen die je dan terugkrijgt.

Omdat het de Telegraaf betreft kan het ook een sterk gekleurd en onvolledig verhaal betreffen, dit is wat ik ervan kan maken bij gebrek aan informatie.
Betrof het abnamro, waar het op lijkt, dan was het een domme actie van de mevrouw door met te weinig zelf oplettend nadenken in deze social engineering truc te trappen.
Met abnamro heb je op de website nodig een opgave bankrekening nummer, een pas en de apparaatcodes.
Met de codes die je terugkrijgt van het apparaatje bevestig je de daadwerkelijke transacties op de bankwebsite.
De fraudeur heeft de pincode niet nodig zolang hij de uitkomsten maar krijgt.
Voor het overmaken van haar geld waren twee stappen met twee soorten transactiecodes nodig. Een code om in te loggen, dat zegt het apparaat ook met keuzesoort "1. Inloggen", en een code om een opdracht te verzenden, keuzesoort "2. Verzend opdr".
Met het meewerken aan het geven van de uitkomstcode van keuze 2 had de klant zich terecht kunnen en moeten afvragen waar de persoon aan de andere kant van de lijn mee bezig was. Die scheiding in keuzeopties met andere procedures is er niet voor niets.
Afweging, het lezen van Telegraaf magazine verhaaltjes, ook een vorm van social engineering, zullen best hun nut hebben maar voor dit forum? Volgende keer een meer serieuze en vollediger bron voor je security vragen kiezen?
Laat ik eens proberen je meningen bij te stellen. Stel dat de beschreven plundering kan bij 1 bank. Dan is dat een zwakte in de beveiliging bij die bank, want andere banken hebben zich wel beschermd. Ook in dat geval is niet de kwaliteit en compleetheid van de bron van belang maar die van de vraag!

En de essentie van de vraag was: kan je door eenmalig een code (welke?) uit een reader te laten verschaffen, gemakkelijk een bankrekening plunderen? Ik zou het droevig vinden als dat zo is, maar acht het niet onwaarschijnlijk gezien de plunder mogelijkheid bij 2 banken bij 'pin afkijken en pas stelen'.

De mening over de telegraaf laat ik voor jouw rekening. Ik vind dat deze krant op financieel, economisch en technologisch nieuws bij de top behoort.

Overigens, interessant om te weten waarop je de veronderstelling baseert dat het ABN AMRO betreft?

@NedFox: de ING heeft geen 'apparaat' voor consumenten, dus die kan het niet zijn. KNAB lijkt ook niet te kunnen, je hebt daar een wachtwoord nodig om in te loggen en om de App te activeren. Ik denk meer in de richting van 29-03-2015, 11:51 door Anoniem , namelijk een zwakte in een App i.p.v. een PC.
31-03-2015, 17:10 door [Account Verwijderd]
Door Anoniem, WZ 30-03-2015 21:20 uur:
Zoals een variabele als bijvoorbeeld de tijd.

Ik vraag me af, als je geen variabele van tijd en datum gebruikt, hoe een e.dentifier of een random reader een getallen reeks kan genereren die als inlog code wordt geaccepteerd.
Je bank heeft toch geen verbinding met je e.dentifier of random reader of andersom.
WZ

Voor zoverre ik weet maakt zo'n random reader geen internetverbinding of zo met de bank. Dus ik vermoed dat er een wiskundige berekening zal worden gemaakt (maar goed ik weet het dus niet zeker). De tijd als variabele noemde ik bewust als voorbeeld omdat ik ook geen andere variabele zou weten die gebruikt kan worden. (kan me tenminste niet voorstellen dat de kamertemperatuur als variabele gaat werken :-)

Door Anoniem 31-03-2015 14:58 uur:
Ik denk inderdaad dat het iets met de tijd van doen heeft: Eén van de symptomen van een lege(r wordende) batterij in de random readers van rabobank is dat hij de verkeerde code begint terug te geven.

Dit maakt het inderdaad aannemelijker dat de tijd wordt gebruikt als variabele mij het genereren van een code. Heb zelf nog nooit ervaring gehad met een lege batterij in een random reader.
31-03-2015, 18:59 door Anoniem
Door Dick99999:
Door Anoniem:
Hij wilde mijn pincode niet weten - die mocht ik van hem echt nooit aan anderen geven, benadrukte hij nog - maar ik moest 'm wel invoeren en dan moest ik de code noemen die je dan terugkrijgt.

Omdat het de Telegraaf betreft kan het ook een sterk gekleurd en onvolledig verhaal betreffen, dit is wat ik ervan kan maken bij gebrek aan informatie.

Laat ik eens proberen je meningen bij te stellen. Stel dat de beschreven plundering kan bij 1 bank. Dan is dat een zwakte in de beveiliging bij die bank, want andere banken hebben zich wel beschermd. Ook in dat geval is niet de kwaliteit en compleetheid van de bron van belang maar die van de vraag!

En de essentie van de vraag was: kan je door eenmalig een code (welke?) uit een reader te verschaffen, gemakkelijk een bankrekening plunderen? Ik zou het droevig vinden als dat zo is, maar acht het niet onwaarschijnlijk gezien de plunder mogelijkheid bij 2 banken bij 'pin afkijken en pas stelen'.

De mening over de telegraaf laat ik voor jouw rekening. Ik vind dat deze krant op financieel, economisch en technologisch nieuws bij de top behoort.

Overigens, interessant om te weten waarop je de veronderstelling baseert dat het ABN AMRO betreft?
Op je antwoord met 'argumenten' gereageerd in iets andere volgorde.
Kennelijk ben je nogal gepikeerd dat er iets over het bij iedereen bekende sjokolade, sensatie en luidruchtige meningen gehalte van de Telegraaf wordt gezegd en er wat twijfels zijn bij het inhoudelijke informatie gehalte van het zachte deel van de Telegraaf namelijk Vrouw magazine.
Dat de Telegraaf een goede naam heeft op financieel economisch nieuws is wel bekend, niemand die daar hier afbreuk aan doet. Nogal opmerkelijk dat je dan over kritiek aangaande het 'warme nieuws deel' zo gepikeerd raakt. Wat kunnen we nog meer verwachten, een bikkelhard security topic naar aanleiding van de opgetekende Privé ervaringen van ene Wilma N.?

Stel dat de beschreven plundering kan bij 1 bank. Dan is dat een zwakte in de beveiliging bij die bank, want andere banken hebben zich wel beschermd.
Nee, uitgesloten. Geen enkele bank zal het lukken het internetbankieren 100% te beschermen tegen minder slim handelende klanten en het bankieren nog klantvriendelijk te houden. Omdat de zwakke schakel de mens zelf is, hier nog wel eens minder respectvol aangeduid onder de noemer PEBCAK.
Dat volledig dichttimmeren gaat ze niet lukken, dat gaat ze ook niet doen want de bank heeft op dat punt best een punt, namelijk dat er wel enige verantwoordelijkheid bij de klant mag worden neergelegd. Dat inmiddels bijna de gehele verantwoordelijkheid bij de klant ligt als het gaat om vergoeding van geleden schade is weer een andere discussie.

Ook in dat geval is niet de kwaliteit en compleetheid van de bron van belang maar die van de vraag!
De kwaliteit van de bron is wel van belang, liever de kwaliteit van het artikel. Er vanuit gaande dat de quoter c.q. ts alle beschikbare noodzakelijk informatie heeft gequoted. Was er met naam en toenaam een bank genoemd in dat artikel dan hadden we niet lopen gissen en bakkeleien over welke bank het nu was. Een goed artikel had geen onnodige vragen opengelaten. Paniek zaaien en sensatie trekken.

En de essentie van de vraag was: kan je door eenmalig een code (welke?) uit een reader te verschaffen, gemakkelijk een bankrekening plunderen?
Als dat de essentie was had je hem zo moeten formuleren. Het woord "eenmalig" komt niet voor in je vraagstelling. Weggevallen in de edits achteraf?

Overigens, interessant om te weten waarop je de veronderstelling baseert dat het ABN AMRO betreft?
Te vroeg afgehaakt? Direct na het lezen van de zin "Omdat het de Telegraaf betreft kan het ook een sterk gekleurd en onvolledig verhaal betreffen, dit is wat ik ervan kan maken bij gebrek aan informatie." ?
De toelichting staat eronder. Van wat ik weet van de procedures van de diverse banken met het assisteren en adviseren hoe dat veilig op computers te doen komt deze wijze heel dicht in de buurt van het vrij vaag door jou of de Telegraaf omschreven verhaal.
Ik nam aan het laatste omdat sensatie en paniek creëren met chokoladeletters een handelsmerk van de Telegraaf is, met uitzondering van de financiële krant die hier niet ter zake deed.
Resultaat? Een richtingloze discussie om niets op basis van flut die je tot in het oneindige kan voeren.
Volgende keer dan je bron halen uit dat deel van de Telegraag dat het predikaat kwaliteit wel kan dragen?
01-04-2015, 07:56 door Anoniem
Door Anoniem: Geen enkele bank zal het lukken het internetbankieren 100% te beschermen tegen minder slim handelende klanten en het bankieren nog klantvriendelijk te houden.
100% zal inderdaad niet lukken, diefstal van 1 euro zal de 100% al onmogelijk maken. Maar welke crimineel wordt er nu blij van 1 euro? Criminelen willen snel en gemakkelijk geld verdienen, dat lukt niet met de diefstal van dit soort bedragen. Dus wanneer de banken alle diefstallen van meer dan een paar tientjes kunnen tegenhouden, houdt het een beetje op voor de criminelen: Vakkenvullen in de supermarkt gaat sneller en levert meer geld op....


Omdat de zwakke schakel de mens zelf is, hier nog wel eens minder respectvol aangeduid onder de noemer PEBCAK.
Helemaal waar en dat heeft dus niets te maken met wachtwoorden, TAN codes of e.dentifiers. Mensen geven alle informatie weg waar je ze om vraagt, zolang ze je maar vertrouwen.


Dat volledig dichttimmeren gaat ze niet lukken
Dat hoeft dus ook niet, zolang het maar veilig genoeg.

de bank heeft op dat punt best een punt, namelijk dat er wel enige verantwoordelijkheid bij de klant mag worden neergelegd. Dat inmiddels bijna de gehele verantwoordelijkheid bij de klant ligt als het gaat om vergoeding van geleden schade is weer een andere discussie.
Wanneer de schade hooguit enkele tientjes bedraagt, kan de klant deze schade zelf ook wel dragen. Het zou raar zijn dat de andere klanten indirect voor deze schade opdraaien! Jij geeft als klant de sleutels van jouw kluisje met geld weg en wanneer het geld dan weg is, laat je de bank en de andere klanten opdraaien voor de schade. Wanneer de banken hun beveiliging goed genoeg hebben gemaakt, kan er niet veel geld worden gestolen en dus kan de klant hier ook zelf verantwoordelijk voor worden.
01-04-2015, 13:05 door Dick99999
Door NedFox:

Ik moet bij ING een SMS verificatie invoeren bij elke overboeking

ING !

Volgens mij hebben een heel aantal reageerders dat over het hoofd gezien.

Betaling geschiedt bij deze mevrouw met SMS verificatie. Zoals ik al zei, toen de phisher toegang had kon hij dus het mobiele nummer veranderen, waarschijnlijk.
Ik heb het veranderen van het telefoonnummer uitgeprobeerd.

Los daarvan heb je een wachtwoord nodig (niet de pincode) om bij de ING in te loggen. Als je dan ingelogd probeert het telefoonnummer voor TAN en PAC codes te veranderen, verschijnt de volgende mededeling:
Het wijzigen van uw mobiele telefoonnummer gaat veilig en snel: u kunt ervoor terecht op elk ING-kantoor en ING-servicepunt. En heel gemakkelijk: u kunt direct daarna betalen en overschrijven in Mijn ING. Ook in de Mobiel Bankieren App als u die gebruikt.
Onlangs heb ik mijn SIM kaart veranderd, ook daar is de ING voorzichtig. Terecht vind ik, de SMS code vervangt de reader procedure. Met de nieuwe SIM kaart kon ik 48 uur niet bankieren via een SMS code.

Ik heb geen bank waarbij inloggen gebeurt via een inlogcode die verschijnt na alleen het ingeven van de PIN code op een reader. Als zo'n procedure gebruikt zou worden om een mobiele App te activeren, zou dat een mogelijkheid geven daarna (kleine?) bedragen over te maken.
01-04-2015, 14:16 door yobi
Bij mij geld afgeschreven via automatische incasso van een ongebruikte rekening (een beetje laks geweest met opzeggen). Het bedrijf kennen we niet. Hoe kan dat?
01-04-2015, 16:15 door Anoniem
Geen pin, toch geplunderde bank rekening. Kan dat?

Door Dick99999:

Laat ik eens proberen je meningen bij te stellen. Stel dat de beschreven plundering kan bij 1 bank. Dan is dat een zwakte in de beveiliging bij die bank, want andere banken hebben zich wel beschermd.

https://www.security.nl/posting/423739/Vijf+mensen+slachtoffer+van+Microsoft-telefoonscam

"Vijf mensen slachtoffer van Microsoft-telefoonscam - Security.NL"

Voor het updaten van de machine zou zo'n vijf euro in rekening worden gebracht. Als dit bedrag wordt overgemaakt blijkt dat er later veel meer geld van de rekening van de gedupeerden is gehaald. Soms wel tot een bedrag van enkele honderden euro’s.
Allemaal bij diezelfde ene onveilige zwakke bank omdat die andere banken wel veilig zijn?
Alle banken toch niet 100% veilig zoals eerder al gesteld met "Geen enkele bank zal het lukken het internetbankieren 100% te beschermen tegen minder slim handelende klanten en het bankieren nog klantvriendelijk te houden."?
Toch sprake van listige social engineering wellicht?

Social engineering is met gemak de goedkoopste en misschien wel meest succesvolle aanpak van dit moment. Er hoeven geen exploits te worden ontdekt, er hoeft geen malware te worden ontwikkeld, alleen een overtuigend verhaal en een blikje glad pratende medewerkers.
Ook jij trapt uiteindelijk vroeg of laat in een perfect zwamverhaal dat aan de lijn gehouden wordt en werkt braaf mee met het geven van alle informatie die die ander nodig heeft. Of je nou een of twee codes geeft maakt voor het resultaat en de tijd die ermee gemoeid is volstrekt niet uit, het gaat in een moeite door. Desgewenst geef je bij de juist klinkende argumenten remote toegang tot je eigen computer.

Aan het eind van het gesprek hang jij blij en tevreden op, omdat het zo'n waardevol en prettig leuk gesprek was (met, voor de heren, die leuke prettige meevoelende warmstemmige dame aan de lijn).
Ga het naderhand maar uitleggen aan 'je vrouw', dat het de schuld van de veilige/onveilige bank was.
Ze gelooft je vast, me teen. :D

Social engineering? Dat is hogere verkooppsychologie op omgekeerde wijze ingezet, je denkt dat je wat krijgt maar ondertussen doe je alles voor die ander.
Geen pin, toch geplunderde bank rekening. Kan dat?
Ja, het gaat sneller dan je denkt, dat beeld klopt dan op zich nog wel uit het Vrouw magazine verhaal. Toch jammer alleen van de ontbrekende details, zodat de lezer uiteindelijk met een vage angst blijft zitten op basis van een vaag verhaal en wij hier met een vage discussie.
04-01-2016, 17:02 door Anoniem
Dit hebben ze ook ooit gedaan op een phising pagina. De vormgeving was heel goed gedaan en men vroeg niet om een pincode. Er zouden simpelweg problemen zijn met de synchronisatie van de randomreader. Even wat codes intypen en doorgeven. Als je viel voor deze grap was je enkele duizenden euro lichter. Social engineering, machtig middel dat elke dag nog volop wordt gebruikt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.