Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Vitens QR-code betalen

08-05-2021, 19:32 door Erik van Straten, 41 reacties
Een kennis ontving een envelop met daarin een brief en een foldertje (2 kantjes) van waterbedrijf Vitens - dat smeekt om phishing.

Uit de brief (vet toegevoegd door mij):
Vanaf nu kunt u de waterrekening niet meer via een acceptgiro betalen. In plaats daarvan komt een QR-code. Daarmee kunt u veilig, snel en foutloos betalen. [...]

De achterkant van het foldertje (met de grootste blunder) staat (nog) op https://www.vitens.nl/service/qr-code (op mijn smartphone kon ik het plaatje pas helemaal zien als ik dat plaatje zelf in een nieuwe tab opende - dat moet je ook maar weten). In https://archive.is/QWgxx heb ik een snapshot gemaakt (waarin je, als bonus, wel het hele plaatje kunt zien). In https://web.archive.org/web/20210508155730/https://www.vitens.nl/service/qr-code niet zo'n bonus maar wel een kopie van de pagina.

Ook de achterkant van dat foldertje begint met:
Veilig betalen via de QR-code in vier stappen
Ik zet de eerste twee stappen onder elkaar (met enige moeite omdat ik hier geen plaatjes kan invoegen):
[1]
<plaatje van smartphone met QR-code in beeld>
Gebruik de camerafunctie* van uw smartphone om de QR-code te scannen.

*Indien het inscannen niet lukt via de camera-functie, dan kunt u een 'QR-code scanner - app' downloaden via de app store of Play store.

Mijn grootste probleem zit bij nummer 2 (bij # moet je je een slotje voorstellen)
[2]
------>[ # https:// ...

<logo> AcceptEasy

Selecteer uw bank:
[ ABN Amro |v]


U komt in de beveiligde omgeving van AcceptEasy. Let op het gesloten slotje linksboven.

Alsjeblieft zeg.
1) Er is HELELMAAL NIETS "veilig" aan een QR-code. Integendeel, als mens zien we niet welke tekst daarin is opgenomen. Dus ook niet, als die QR-code een URL bevat, de domeinnaam van de site waar je naar toe wordt gestuurd. Minder ervaren mensen krijgen zo onterecht vertrouwen in QR-codes en kunnen door de concentratie, nodig voor het scannen van de code, vergeten te kijken naar de domeinnaam van de site waar ze terechtkomen. En te bedenken of dat een domeinnaam is van een organisatie die zij herkennen en vertrouwen.

2) Als ik http://www.hr.vitens.nl/ open in Firefox voor Android zie ik een gesloten slotje met een streep erdoor. Wellicht stom van Mozilla, maar dit is wel een feit. Maar sowieso heeft elke zichzelf respecterende phishingsite tegenwoordig een geldig certificaat; immers een Let's Encrypt certificaat is zo geregeld en er is geen geldspoor (want gratis). Een "gesloten" slotje zonder waarschuwingen zegt niets meer en niets minder dan dat jouw webbrowser een versleutelde verbinding heeft met de website waarvan je de domeinnaam in de URL-balk van jouw webbrowser ziet staan.

3) Last but not least: DE JUISTE DOMEINNAAM WORDT NERGENS VERMELD! Hoogstwaarschijnlijk is dit ook geen domeinnaam die eindigt op vitens.nl.

Welke debielen bedenken zoiets?! Woest word ik hiervan!

En terwijl ik dit tik zie ik op het TV-programma Kassa een item over QR-code fraude gevolgd door een langer item over de stijging van oplichting bij internetbankieren...
Reacties (41)
08-05-2021, 19:50 door Anoniem
Ik neem aan dat je deze toestanden alleen krijgt als je eerst weigert hen een machtiging voor automatisch afschrijven
te verlenen. Ik geef die ook niet makkelijk links en rechts, maar een dergelijk "van oudsher bekend nutsbedrijf" geef ik
die toch wel. Dan heb ik dus van dit probleem ook geen last.
08-05-2021, 20:15 door Briolet
Er is HELELMAAL NIETS "veilig" aan een QR-code. Integendeel, als mens zien we niet welke tekst daarin is opgenomen.

Ik denk dat een accept giro net zo gevaarlijk is. Daar staat een leesbare bankrekening op waar het geld naar toe gaat. Echter, dit leest de scanner niet in. De scanner leest de regel code in, die op de onderkant van de pagina staat. Ik vraag me af of iedereen het daar gedrukte rekeningnummer controleert. Voor de meeste mensen is dat gewoon een reeks getallen die genegeerd wordt. Zelfs het bedrag wat je zelf kunt invullen (of al ingevuld is), wordt genegeerd als in de code-regel onderaan een ander bedrag staat. (Het bedrag staat er in centen, afgesloten met een checksum digit.)

Ik ge ervan uit dat voor een contract om via een betaalkaart te incasseren, dezelfde eisen gelden als incasseren via iDeal. Dus criminelen die een iDeal contract weten af te sluiten kunnen dit ook voor een acceptgiro contract doen.
08-05-2021, 21:22 door Erik van Straten - Bijgewerkt: 08-05-2021, 21:22
Door Briolet: Ik denk dat een accept giro net zo gevaarlijk is. [...]
Het klopt dat ik, in de tijd dat ik nog acceptgiro's kreeg, niet het bankrekeningnummer van de ontvanger controleerde (dat dubbel-check ik wel sinds ik internetbankier). Wel keek (en kijk) ik altijd als eerste naar het bedrag dat ik moet betalen (niets menselijks is mij vreemd, ik vermoed zomaar dat heel veel mensen dat doen - misschien ben jij een uitzondering). Als dat bij een waterrekening meer dan een paar tientjes is, weet ik wel zeker dat er iets niet klopt.

En mochten scammers een coderegel hebben toegevoegd waar een ander bedrag in staat dan in het zichtbare veld is vooringevuld of ik zelf invul, dan ligt het probleem bij de bank en niet bij mij.

Dit nog even los van het feit dat ik persoonlijk nog nooit een vervalste acceptgiro heb ontvangen (maar wel bergen phishing mails). Ook kan ik mij geen TV-programma's herinneren waarin werd gewaarschuwd voor grootschalige fraude met vervalste acceptgiro's voor nietsvermoedende consumenten.

Wel heb ik zelf phishingsites bekeken die je naar een goed nagemaakte iDEAL site van elke Nederlandse banken sturen zodra je jouw bank kiest. Als je daarop inlogt kunnen criminelen jou laten zien wat zij willen en andere dingen laten doen dan je denkt (vooral als MitM tussen jouw browser en jouw bank). Ook als ze niet meteen grote bedragen kunnen overschrijven, kennen ze allerlei gegevens van je (rekeningnummer, saldi, laatste salaris etc.) en kunnen ze met een vervolgactie grotere schade toebrengen. Vaak door zich voor te doen als bankmedewerker richting jou, of als jou richting jouw bank (in dat laatste geval kan het lastig te bewijzen zijn dat jij dat niet was; banken beginnen er altijd mee dat jij grof nalatig bent geweest).

Het probleem hier is dat als je mensen voorliegt dat een QR-code veilig is en je alleen een slotje hoeft te checken, dat geen mens meer naar domeinnamen kijkt (ook/vooral niet meer op ideal.bank.nl of een kopie daarvan terwijl de crimineel op de gewone internetbankierensite inlogt met jouw gegevens). Met nul risico voor Vitens.

Zeer vermoeiend trouwens hoeveel reageerders op security.nl mijn bijdragen en die van anderen met flutargumenten downplayen en vervolgens niet inhoudelijk reageren op tegenargumenten, noch hun ongelijk toegeven - trollen dus (zie bijv. https://www.security.nl/posting/702203. Het lijkt er zo op of jij dit, als Vitens CISO, hebt goedgekeurd, of elders bijdraagt aan vergelijkbare insecurity.
08-05-2021, 22:09 door Anoniem
Wat ook zo idioot is, is dat men je verplicht om eerst een email-adres op te geven voordat je automatisch mag betalen.
Ik snap best dat het voor hun lekker goedkoop communiceren is voor allerlei wissewasjes, maar de vraag is of ik daar op zit te wachten. (nee dus)

Ik dacht dat ze bij de banken toch al iets hadden verzonnen waarmee men je op internetbankieren de maandelijkse rekening kon toesturen, en dat ik vervolgens in internetbankieren na controle daarop alleen nog maar even akkoord hoef te geven?
08-05-2021, 22:49 door Anoniem
Dit lijkt me een veel fijnere oplossing als waar waterleidingbedrijven nu weer mee komen (incl. je emailadres opgeven...) :
https://www.rabobank.nl/particulieren/betalen/betaaldiensten/digitaal-incassomachtigen/

De manier waarop ze het nu inkleden (met QR-code en er "veilig" bij roepen) maakt al huiverig.
09-05-2021, 09:46 door Erik van Straten - Bijgewerkt: 09-05-2021, 09:51
Door Anoniem: Ik neem aan dat je deze toestanden alleen krijgt als je eerst weigert hen een machtiging voor automatisch afschrijven
te verlenen. Ik geef die ook niet makkelijk links en rechts, maar een dergelijk "van oudsher bekend nutsbedrijf" geef ik
die toch wel. Dan heb ik dus van dit probleem ook geen last.
Ik schrijf dit soort bijdragen niet voor de mensen die alles fantastisch voor elkaar hebben en nooit ergens intrappen.

Fake iDEAL websites
Gistermiddag ontving ik per e-mail een woningnet scam (zie https://www.fraudehelpdesk.nl/valse-email/betaalverzoek-voor-de-jaarlijkse-verlengingskosten-van-uw-inschrijving-bij-woningnet-2/). Daaruit:
Uw inschrijving verlengen wij met een jaar als u de verlengingskosten van € 8,00 betaalt.
U kunt de kosten betalen via iDEAL.
Via onderstaande link word u automatisch doorverwezen naar onze betaalpagina.
woningnet.nl/betalen/ByRef/9065696D-7D45-4ED8-89FF-9530FDB111DB
Onder de link zat een url die begon met https://s.id/ (een URL-verkorter die de laatste tijd populair lijkt bij scammers) maar toen ik die (gisteravond laat) probeerde te openen gaf s.id aan dat de verwezen pagina niet meer bestond.

Nb. ik ben niet ingeschreven bij Woningnet en op de e-mail-alias waarop ik deze mail ontving krijg ik veel scams. Weinig mensen zullen hier intrappen (en met een SPF en DMARC fail ontvangt niet elke geadresseerde ze) maar de scammers zijn al blij met zeer kleine aantallen. En reken maar dat er meer dan 8 Euro van jouw rekening verdwijnt als je hier intrapt. Met andere woorden, scams die je uiteindelijk naar een nagemaakte pagina van jouw leiden, zijn niet denkbeeldig.

Voorbeeld van mogelijke Vitens scam
Laat ik, voor de probleemontkenners, toch proberen duidelijk te maken wat de issue hier is, aan de hand van een misbruikvoorbeeld (met het risico dat dit daadwerkelijk wordt ingezet).

Stel dat criminelen, huis aan huis in een Vitens regio, een brief met de volgende inhoud - natuurlijk met de gebruikelijke indeling en logo's van Vitens - laten bezorgen:
Geachte Vitens klant,

Ten gevolge van een administratieve fout bij Vitens zijn een deel van de laatste automatische overschrijvingen niet uitgevoerd. Ook de incasso van uw rekening heeft niet plaatsgevonden. Hiervoor bieden wij u onze excuses aan.

Omdat wij u niet op een onverwacht moment met een extra automatische overschrijving willen verrassen, vragen wij u eenmalig om uw voorschot handmatig over te maken. Dit kan veilig, snel en foutloos door gebruik te maken van onderstaande QR-code. Door deze te scannen met uw smartphone komt u automatisch in onze beveiligde betaalomgeving.

Meer informatie over QR-code betalen vindt u in bijgesloten brochure en op https://www.vitens.nl/service/qr-code.

Gelieve uw rekening van € 17,23 op korte termijn te voldoen, doch uiterlijk voor 1 juni a.s.

[QR-code]

Met vriendelijke groet,

[handtekening]

Anneke Veldman - Kalma
Manager Klant & Facturatie
Met de vele datalekken van de afgelopen tijd kunnen criminelen waarschijnlijk ook op naam gestelde brieven verzenden.

Vanzelfsprekend kom je niet uit op de echte "AcceptEasy" betaalsite (waar ik nog nooit van gehoord had en geen idee heb hoe de correcte domeinnaam daarvan luidt), en is ook, na het kiezen van jouw bank, de iDEAL site van jouw bank een fraaie vervalsing.

Ook hierbij geldt dat de meeste mensen er niet in zullen trappen, maar een aantal wel. Voor die laatsts groep (daar zouden zomaar onze ouders tussen kunnen zitten) kom ik op. Triest dat zoveel mensen "ikke ikke ikke en de rest kan stikken" denken en/of met flutargumenten dit risico voor sommigen bagatelliseren.
09-05-2021, 12:00 door Anoniem
Het eigenlijke probleem is: E-mail leent zich te gemakkelijk voor scams en andere onzin.
E-mailen is immers gratis!
Het grote gemak van E-mail is dus tegelijk ook een bezwaar om het te gebruiken.
Vooral niet voor financiële zaken, want daar kan je behoorlijk het schip mee in gaan.

Op grote schaal scammen, loont alleen via email.
Via briefpost is dit veel te bewerkelijk en te duur: brieven printen, enveloppen, portokosten, fysiek versturen...
Met acceptgiro's ging het zelden fout. Waarom? Omdat dit via de posterijen loopt en de nodige hoeveelheid geld kost.
Voor scammers is dat al snel teveel, dus die kijken wel uit.

Ik stel daarom voor dat wanneer een bedrijf mij wil e-mailen dat ik daar bijv. 50 eurocent per toegestuurde email voor krijg. Moet je eens zien hoe rustig en veilig het dan op email wordt, omdat je dan een stuk minder scams ontvangt.
09-05-2021, 18:24 door spatieman
Door Anoniem: Het eigenlijke probleem is: E-mail leent zich te gemakkelijk voor scams en andere onzin.
E-mailen is immers gratis!
Het grote gemak van E-mail is dus tegelijk ook een bezwaar om het te gebruiken.
Vooral niet voor financiële zaken, want daar kan je behoorlijk het schip mee in gaan.

Op grote schaal scammen, loont alleen via email.
Via briefpost is dit veel te bewerkelijk en te duur: brieven printen, enveloppen, portokosten, fysiek versturen...
Met acceptgiro's ging het zelden fout. Waarom? Omdat dit via de posterijen loopt en de nodige hoeveelheid geld kost.
Voor scammers is dat al snel teveel, dus die kijken wel uit.

Ik stel daarom voor dat wanneer een bedrijf mij wil e-mailen dat ik daar bijv. 50 eurocent per toegestuurde email voor krijg. Moet je eens zien hoe rustig en veilig het dan op email wordt, omdat je dan een stuk minder scams ontvangt.

Denk je echt, dat een email scammer dit wat boeite ??,
en hoe wil je dat doen ? ,iedere emailboer verplichten een paywall op te zetten ?
ik kan me trouwens herinneren dat een of andere slakkenetende fransoos dit al voor jaren terug had willen doen, dat heeft hij dus geweten via een uber mega mail bomb run op zijn zakelijks email account.
09-05-2021, 19:27 door Anoniem
Vitens neemt ook al privacy totaal niet serieus, de site van Vitens deelt jouw data/persoonsgegevens klakkeloos met Facebook en Google. Dit ook nog eens zonder toestemming. AP werk aan de winkel!
09-05-2021, 20:15 door Anoniem
Door Anoniem: Het eigenlijke probleem is: E-mail leent zich te gemakkelijk voor scams en andere onzin.
E-mailen is immers gratis!
Het grote gemak van E-mail is dus tegelijk ook een bezwaar om het te gebruiken.
Vooral niet voor financiële zaken, want daar kan je behoorlijk het schip mee in gaan.

Op grote schaal scammen, loont alleen via email.
Via briefpost is dit veel te bewerkelijk en te duur: brieven printen, enveloppen, portokosten, fysiek versturen...
Met acceptgiro's ging het zelden fout. Waarom? Omdat dit via de posterijen loopt en de nodige hoeveelheid geld kost.
Voor scammers is dat al snel teveel, dus die kijken wel uit.

Ik stel daarom voor dat wanneer een bedrijf mij wil e-mailen dat ik daar bijv. 50 eurocent per toegestuurde email voor krijg. Moet je eens zien hoe rustig en veilig het dan op email wordt, omdat je dan een stuk minder scams ontvangt.

Jaren geleden is er wel eens iemand op het idee gekomen van een "postzegel voor e-mail". Het principe daarvan was
enigszins vergelijkbaar met crypto currency: het was een of andere hash van de mail en en random getal die zodanig
moest uitvallen dat de hash een flink aantal nullen had. Dat zou dus veel CPU power kosten om te berekenen, geen
probleem voor iemand die zo nu en dan wat mailt maar wel een probleem voor spammers.

Maar dat is nooit echt ingevoerd omdat er toen ook al veel gasten rond liepen die voor elke oplossing wel een probleem
wisten te verzinnen... ("hoe moet dat dan met mailinglists" enzo)
09-05-2021, 23:57 door Briolet
Door Erik van Straten:
Door Briolet: Ik denk dat een accept giro net zo gevaarlijk is. [...]
…Dit nog even los van het feit dat ik persoonlijk nog nooit een vervalste acceptgiro heb ontvangen (maar wel bergen phishing mails). Ook kan ik mij geen TV-programma's herinneren waarin werd gewaarschuwd voor grootschalige fraude met vervalste acceptgiro's voor nietsvermoedende consumenten.

Dat zal er voor een groot deel aan liggen dat het een dure oplichting is. Je moet elke brief uitprinten en met porto opsturen. Dat kost je al snel 60 cent tot 1 euro per brief. En het grot daarvan is weggegooid geld omdat deze direct weggegooid worden.

Hetzelfde geldt voor de brief waar je naar verwijst. Dat vergelijk je ten onrechte met phishing per mail. Zo'n QR code in een brief kan ook misbruikt worden. maar de financiële drempel om oplichting per brief te doen is gewoon een stuk hoger.

Dat wil niet zeggen dat oplichting per brief niet voorkomt. Ik heb de laatste jaren al twee brieven gehad van een bedrijf dat andere bedrijven aanbied hun kvk gegevens internationaal te publiceren. Ze sturen dan een uittreksel uit hun bestand waar met opzet fouten in staan. Als je dit gecorrigeerd terug stuurt ben je een contract aangegaan om een aantal jaren (3 of 5 uit mijn hoofd) iets van 700 euro jaarlijks te betalen. Hier zijn de oplichters bekend, maar jij hebt er zelf voor getekend om opgelicht te worden. Zij houden zich natuurlijk aan hun contract door die gegevens op een website te zetten - waar nooit een bezoeker komt.

PS. Ik heb zeker geen kritiek op je waardevolle bijdragen. Ik wilde het risico hier alleen relativeren omdat deze QR-code via een brief binnenkwam en niet via mail.
10-05-2021, 03:19 door Anoniem
Dit onderwerp werd ook behandeld op TV. Een nieuwe manier van phishing want voor de consumer lijkt een QR moeilijk en formeel. Ze hebben alleen maar een kleurenprinter nodig eigenlijk.

QR codes scannen. Wij gaan het meer zien en straks mag jij je corona QR code bij elke cafehouder laten zien.

Ik zie dat op Raidforums de NAW en BSN plus 06 nrs van Tmobile (veronderstel ik) klanten worden aangeboden voor 0.21 Bitcoin. Dus als je iemand wil stalken of je zoekt iemand uit je verleden ben je weer uit de brand. Het is een blackmarket bod van April en geen leak anders hadden we het wel in de krant gelezen.

Waar gaat het heen? Al die centralisatie van onze gegevens en dan durven ze te bewaren dat privacy en security twee heel verschillende dingen zijn.
10-05-2021, 09:08 door Erik van Straten
Door Briolet:
Door Erik van Straten:
Door Briolet: Ik denk dat een accept giro net zo gevaarlijk is. [...]
…Dit nog even los van het feit dat ik persoonlijk nog nooit een vervalste acceptgiro heb ontvangen (maar wel bergen phishing mails). Ook kan ik mij geen TV-programma's herinneren waarin werd gewaarschuwd voor grootschalige fraude met vervalste acceptgiro's voor nietsvermoedende consumenten.

Dat zal er voor een groot deel aan liggen dat het een dure oplichting is. Je moet elke brief uitprinten en met porto opsturen. Dat kost je al snel 60 cent tot 1 euro per brief. En het grot daarvan is weggegooid geld omdat deze direct weggegooid worden.
Moet ik nou echt elk denkbaar scenario beschrijven? Criminelen komen notabene naar je toe om jouw doorgeknipte pinpas op te halen. Nog een poging: de gegevens, inclusief leeftijd, van steeds meer mensen liggen op straat; filter op 65+ en postcode. Of kijk in jouw eigen omgeving waar veel ouderen wonen.

Naast dat ze überhaupt zo'n QR-code betaalmethode ondersteunen, is de grootste blunder van Vitens m.i. het niet benoemen van de domeinnaam van de betaaldienst. Waarom geef je dat niet gewoon toe? Besef je dat je, door de ernst van mijn TS-post te "relativeren", criminelen in de kaart speelt?

Ik heb gisteren nog wat aanvullend onderzoek gedaan. Vermoedelijk luidt die domeinnaam accepteasy.com, van hetzelfde bedrijf "Serrala" als acceptemail.com; uit https://www.accepteasy.com/nl/ontvangers:
2. Klik op de knop of link (vaak trx.ae/...)
Hiermee ga je naar onze betaalpagina, op transaction.acceptemail.com/... of transaction.accepteasy.com/...
("vaak trx.ae/..." - tuurlijk, dat klinkt lekker betrouwbaar en gaan klanten onthouden...).

Als je weet waar je moet kijken op vitens.nl kun je in https://www.vitens.nl/service/phishing o.a. het volgende vinden:
AcceptE-mail
Een veilige AcceptEmail van ons bevat informatie die alleen bekend is bij u als klant, zoals bijvoorbeeld uw klantnummer. Ook heeft het bovenste deel van de e-mail en het bovenste deel van de website dezelfde tekst. AcceptEmail is geen directe link naar iDeal; u komt eerst op de internetpagina van AcceptEmail en pas daarna op de pagina van uw bank waar u veilig kunt betalen. De internetpagina is altijd https://transaction.acceptemail.com (controleer de ‘s’ in ‘https’).
[...]
Drie tips om Phishing te herkennen
[...]
Tip 3 Check waar een link naar toe gaat
Beweeg de muis over de link en kijk waar de link heen gaat. Hoort dit adres bij de organisatie die de e-mail verstuurt?
Als je "hoort bij" interpreteert als "eindigt de domeinnaam op vitens.nl" dan waarschijnlijk niet (want die domeinnaam luidt waarschijnlijk "transaction.acceptemail.com" of "trx.ae"; die laatste redirect momenteel naar de eerste). Googlen naar acceptemail phishing levert veel hits op, dit risico is dus verre van denkbeeldig (zo vond ik ook deze vitens pagina over phishing).

Het zou kunnen dat Vitens je na het scannen van een QR-code naar bijv. pay.vitens.nl stuurt, een mogelijkheid zoals beschreven in https://www.accepteasy.com/nl/blog/betaalpagina-met-eigen-domein-url. Maar die kans acht ik klein - omdat Vitens dat bij e-mail kennelijk ook niet doet en in de brochure zie je, op plaatje 2, het logo van en de naam AcceptEasy terwijl er niets over Vitens te zien is (niet dat dit veel zin zou hebben, want dat spoofen criminelen natuurlijk ook).

Kortom, ga ervan uit dat criminelen creatief zijn; probeer als crimineel te denken als je bijv. een betaalsysteem ontwerpt (of als je risico's relativeert op security.nl). Ik kan nog meer (high chance/low cost) aanvalstactieken beschrijven, maar daarmee help ik mogelijk minder creatieve criminelen. Denk zelf goed na wat jij zou doen als crimineel, daarmee vergroot je jouw security-awareness en kun je veiliger systemen maken. De kunst daarbij is zelden "aantonen dat jij jij bent" (ook als organisatie richting klant) maar voorkomen dat een crimineel mensen er eenvoudig van kan overtuigen dat hij jij is en/of de klant denkt jou te betalen. Dat kost jou niet meteen geld, maar leidt vroeger of later wel tot reputatieschade.
10-05-2021, 10:41 door Anoniem
Het probleem is, je kunt bij ALLES wel een risico gaan beschrijven, zeker als je je focust op 1 gekozen oplossing.
"die oplossing is niet goed want kijk maar deze en deze risico's".
Maar als je dan niet komt met een alternatief waar GEEN risico's aan zitten (niet alleen die je zelf niet bedenkt maar
ook niet die anderen bedenken) dan heb je hier feitelijk weinig aan.
Een bedrijf als Vitens moet heel veel, relatief kleine, bedragen innen bij een groep klanten die de zaakjes ook niet altijd
goed voor elkaar heeft. De voorkeur heeft natuurlijk automatisch afschrijven maar uit de miljoenen klanten die er totaal
zijn voor dit soort bedrijven zijn er natuurlijk heel veel die op het moment van afschrijven geen saldo hebben, en die
het op de een of andere manier handmatig willen betalen op het moment dat ze dat wel hebben. Die zul je van dienst
moeten zijn, en een starre houding tegen iedere mogelijk oplossing gaat daarbij niemand helpen.
10-05-2021, 11:10 door Erik van Straten
Door Anoniem: Het probleem is, je kunt bij ALLES wel een risico gaan beschrijven, zeker als je je focust op 1 gekozen oplossing.
"die oplossing is niet goed want kijk maar deze en deze risico's".
Maar als je dan niet komt met een alternatief waar GEEN risico's aan zitten (niet alleen die je zelf niet bedenkt maar
ook niet die anderen bedenken) dan heb je hier feitelijk weinig aan.
Een bedrijf als Vitens moet heel veel, relatief kleine, bedragen innen bij een groep klanten die de zaakjes ook niet altijd
goed voor elkaar heeft. De voorkeur heeft natuurlijk automatisch afschrijven maar uit de miljoenen klanten die er totaal
zijn voor dit soort bedrijven zijn er natuurlijk heel veel die op het moment van afschrijven geen saldo hebben, en die
het op de een of andere manier handmatig willen betalen op het moment dat ze dat wel hebben. Die zul je van dienst
moeten zijn, en een starre houding tegen iedere mogelijk oplossing gaat daarbij niemand helpen.
Nog zo'n randdebiel die niet leest en meteen wat roept.

Stap 1 tegen phishing: check de domeinnaam (en stap 2: check op het slotje). PROBLEEM: Vitens vertelt je niet hoe die domeinnaam moet luiden!
10-05-2021, 11:21 door not me
Door Erik van Straten:
Door Anoniem: Het probleem is, je kunt bij ALLES wel een risico gaan beschrijven, zeker als je je focust op 1 gekozen oplossing.
"die oplossing is niet goed want kijk maar deze en deze risico's".
Maar als je dan niet komt met een alternatief waar GEEN risico's aan zitten (niet alleen die je zelf niet bedenkt maar
ook niet die anderen bedenken) dan heb je hier feitelijk weinig aan.
Een bedrijf als Vitens moet heel veel, relatief kleine, bedragen innen bij een groep klanten die de zaakjes ook niet altijd
goed voor elkaar heeft. De voorkeur heeft natuurlijk automatisch afschrijven maar uit de miljoenen klanten die er totaal
zijn voor dit soort bedrijven zijn er natuurlijk heel veel die op het moment van afschrijven geen saldo hebben, en die
het op de een of andere manier handmatig willen betalen op het moment dat ze dat wel hebben. Die zul je van dienst
moeten zijn, en een starre houding tegen iedere mogelijk oplossing gaat daarbij niemand helpen.
Nog zo'n randdebiel die niet leest en meteen wat roept.

Stap 1 tegen phishing: check de domeinnaam (en stap 2: check op het slotje). PROBLEEM: Vitens vertelt je niet hoe die domeinnaam moet luiden!

Tijdje niet aanwezig geweest hier en meteen een uiterst "vriendelijk" welkom..

Ook een tip van mijn kant: jouw visie hoeft niet die van een ander te zijn of worden. Niet alles is zwart of wit - dat hoeft namelijk ook niet. Er is altijd licht aan het einde van de tunnel.

Doe er wat leuks mee zou ik zeggen.
10-05-2021, 11:22 door Erik van Straten
Door Anoniem: [...]
Ik zie dat op Raidforums de NAW en BSN plus 06 nrs van Tmobile (veronderstel ik) klanten worden aangeboden voor 0.21 Bitcoin. Dus als je iemand wil stalken of je zoekt iemand uit je verleden ben je weer uit de brand. Het is een blackmarket bod van April en geen leak anders hadden we het wel in de krant gelezen.

Waar gaat het heen? Al die centralisatie van onze gegevens en dan durven ze te bewaren dat privacy en security twee heel verschillende dingen zijn.
Goed om te lezen dat er op security.nl toch nog bijdragers zijn die verder kijken dan hun neus lang is. Dank voor jouw bijdrage!
10-05-2021, 11:30 door Erik van Straten - Bijgewerkt: 10-05-2021, 11:45
Door not me: Tijdje niet aanwezig geweest hier en meteen een uiterst "vriendelijk" welkom..
Begin je eigen forum als het je niet bevalt (dat is mij hier ook al eens aangeraden).

Aanvulling: "not me" is, naar eigen zeggen, een voormalig medewerker aan CoronaMelder en verwijt mij tunnelvisie in https://security.nl/posting/687444 (verderop in die draad schrijft Ivo Jansch o.a. "Je hebt gelijk dat het effect niet groot is.")
10-05-2021, 11:52 door not me
Door Erik van Straten:
Door not me: Tijdje niet aanwezig geweest hier en meteen een uiterst "vriendelijk" welkom..
Begin je eigen forum als het je niet bevalt (dat is mij hier ook al eens aangeraden).

Aanvulling: "not me" is, naar eigen zeggen, een voormalig medewerker aan CoronaMelder en verwijt mij tunnelvisie in https://security.nl/posting/687444 (verderop in die draad schrijft Ivo Jansch o.a. "Je hebt gelijk dat het effect niet groot is.")

Been there, done that - niet qua security trouwens. Fora anno 2021 zijn het gewoon meer waard om te starten..

Aanvullig op de rest:

1. Wel mooi dat je met het "naar eigen zeggen"-stuk en de desbetreffende link in het achterhoofd zelfs dat nog in twijfel trekt..
2. Ik verwijt je inderdaad van tunnelvisie; het feit dat je alleen dat specifieke stuk is voor mij persoonlijk genoeg bevestiging eigenlijk. Bij deze het volledige relevante stuk:


Je hebt gelijk dat het effect niet groot is. Maar het is zeker niet nul. Dus het voorkomt nu al daadwerkelijk besmettingen. Het effect wordt groter als meer mensen het gebruiken, en daar kun je bij helpen.

Verder gun ik iedereen het beste - dit is dus ook op jou van toepassing Erik. Succes met wat je plannen ook zijn en gaan worden!
10-05-2021, 12:18 door Anoniem
Ik begrijp niet waarom er vraagtekens worden gezet bij de conclusie die al in de openingspost zo helder als glas is.
Ja: een QR afbeelding kan een malafide URL bevatten.
Ja: Valse E-mail is de beruchtste en meest gebruikte methode om digitale criminaliteit te exploiteren.
Gooi deze beide in de mix: malafide QR code + valse E-mail = ellende.
Wat is daar nu moeilijk aan te begrijpen?
Bijna al de topics hier verzuipen in dat typisch Nederlandse verschijnsel: Discussie om de discussie en in toenemende mate: uitrijden van drek/gier.

Zonder te slijmen of te zeiken: Topics hier gestart door Erik hebben altijd mijn interesse. Niet dat ik ze altijd kan volgen want ik ben geen IT specialist, maar Ik ken hier niemand die zoveel aandacht en moeite steekt in zijn bijdragen en dat maakt het voor mij waardevol.

Alles na zijn topicstart boeit mij niet meer want het is óf getrol, zoals van trol genaamd not me óf gezeur of muggenzift. Spijtig voor degenen die wel toevoegende waarde posten in zo'n topic, maar zo is het.
Zo jammer.
10-05-2021, 15:15 door Anoniem
Vertel mij wat over waterbedrijven. Ze verdienen geld als water!...
Als zij ze maar vangen, dan kan het hun geen ene moer schelen dat klanten risico lopen door een andere betaalmethode.

De mens wikt, het waterbedrijf beschikt.
10-05-2021, 19:28 door Anoniem
Vertel eens wat het verschil is met de email met IDeal die ik een tijdje geleden aanbracht en hier werd weggelachen?
10-05-2021, 20:03 door not me
Door Anoniem: Vertel eens wat het verschil is met de email met IDeal die ik een tijdje geleden aanbracht en hier werd weggelachen?

Geen idee over welk topic het gaat want "Anoniem".

Dit is een topic van Erik - lachen mag niet. Artikel 266 per direct van toepassing!
11-05-2021, 10:15 door Anoniem
https://www.security.nl/posting/561304/ONVZ+blundert+met+iDeal+betalingen+in+de+mail
11-05-2021, 11:04 door Erik van Straten
Door Anoniem: Ik begrijp niet waarom er vraagtekens worden gezet bij de conclusie die al in de openingspost zo helder als glas is.
Ja: een QR afbeelding kan een malafide URL bevatten.
Ja: Valse E-mail is de beruchtste en meest gebruikte methode om digitale criminaliteit te exploiteren.
Gooi deze beide in de mix: malafide QR code + valse E-mail = ellende.
Wat is daar nu moeilijk aan te begrijpen?
Bijna al de topics hier verzuipen in dat typisch Nederlandse verschijnsel: Discussie om de discussie en in toenemende mate: uitrijden van drek/gier.

Zonder te slijmen of te zeiken: Topics hier gestart door Erik hebben altijd mijn interesse. Niet dat ik ze altijd kan volgen want ik ben geen IT specialist, maar Ik ken hier niemand die zoveel aandacht en moeite steekt in zijn bijdragen en dat maakt het voor mij waardevol.

Alles na zijn topicstart boeit mij niet meer want het is óf getrol, zoals van trol genaamd not me óf gezeur of muggenzift. Spijtig voor degenen die wel toevoegende waarde posten in zo'n topic, maar zo is het.
Zo jammer.
Dank voor de bemoedigende reactie! Ik heb door de jaren heen een behoorlijk dikke huid opgebouwd, maar daar is hierboven door enkelen doorheen geprikt. Op basis van goede argumenten kun je mij best van mijn ongelijk overtuigen en dan zal ik dat ook gewoon toegeven. Goede tegenargumenten heb ik hierboven echter niet gezien.

Met een deel van mijn bijdragen probeer ik de awareness van security.nl bezoekers te verhogen (dat dwingt mij tot goed onderzoek doen en dat is natuurlijk zeer ook leerzaam voor mijzelf). De vele bagatelliserende reacties kunnen er, ondanks ook enkele ondersteunende reacties, toe leiden dat lezers denken dat ik uit mijn nek lul. Ik hoop niet dat de "niet mijn probleem want" en/of "relativerende" reacties representatief zijn voor mensen die zich serieus met security bezighouden, want dan hebben we nog een lange weg -en veel ongelukken- te gaan.
11-05-2021, 13:39 door Briolet
Door Anoniem: …Ja: een QR afbeelding kan een malafide URL bevatten.
Ja: Valse E-mail is de beruchtste en meest gebruikte methode om digitale criminaliteit te exploiteren.
Gooi deze beide in de mix: malafide QR code + valse E-mail = ellende.
Wat is daar nu moeilijk aan te begrijpen?

Jij gooit hier dingen door elkaar. QR code heeft juist niets met e-mail fraude te maken. De QR code gebruik je juist bij papieren correspondentie. Probeer maar eens een QR code te scannen in een mail op je telefoon. (Dat lukt je niet als je geen 2e telefoon gebruikt)

Als bedrijf wil je het mensen gemakkelijk maken om iets te betalen. Onze ervaring met de invoering van acceptgiro betaalkaarten (zo'n 40 jaar geleden) was dat klanten dan sneller betalen en er minder vaak aanmaningen verstuurd moeten worden. Het zelf invullen van een betaalopdracht wordt vaak uitgesteld en dan vergeten.

Het gebruik van acceptgiro kaarten stopt op korte termijn. Oorspronkelijk zou dit al in 2019 gestopt zijn, maar de einddatum is nu voor onbepaalde tijd uitgesteld. https://www.acceptgiro.nl

Bedrijven die facturen per post versturen zoeken een alternatief voor de acceptgirokaart. Het alternatief moet net zo laagdrempelig zijn als de acceptgirokaart. De QR code is het alternatief die er het dichtst bij komt. Als de acceptgirokaart definitief verdwijnt, zullen veel van de grotere bedrijven die tot nu toe de acceptgiro gebruikten, overstappen op de QR code voor de via de post verstuurde facturen. Daar ben ik van overtuigd.

Ik ben het eens met Erik dat Vitens hier een fout maakt door je direct naar een onbekende betaalsite te sturen. Ze hadden je eerst naar de vertrouwde Vitens.nl site zelf moeten sturen en dan vandaar naar de betaalservice.

Overigens maakt iDeal zelf ook reclame voor deze QR methode met de slogan: 'Dat is veilig, gemakkelijk en snel geregeld.' Een verschil is dat zij de code bij voorkeur laten scannen vanuit je bankapp. Of dat veiliger is weet ik niet, want dan moet je zelf het rekeningnummer controleren als de QR code op papier gedrukt is. https://www.ideal.nl/consumenten/ideal-qr-code/
Het voorbeeld van iDeal gaat uit van de QR code op een webshop pagina en dat je wilt betalen met iDeal op je telefoon.

Ik ben het er echter niet mee eens dat de QR code op een geprinte factuur inherent onveiliger is dan een acceptgiro. Met beide kun je frauderen en met beide zal het aantal gevallen meevallen. Fraude via mail is gewoon veel lucratiever omdat je met minder kosten heel veel meer mensen kunt bereiken.
11-05-2021, 14:44 door Erik van Straten
Door Briolet: Ik ben het eens met Erik dat Vitens hier een fout maakt door je direct naar een onbekende betaalsite te sturen.
Dank!

Door Briolet: Ze hadden je eerst naar de vertrouwde Vitens.nl site zelf moeten sturen en dan vandaar naar de betaalservice.
En dat niet met een automatische redirect, maar met een knop of link en een duidelijke vermelding van de domeinnaam (ook bekend als webadres) van de site waar je naar toe gestuurd wordt zodra je klikt en waar je jouw bank kiest om te betalen.

Zoals ik eerder schreef kun je AcceptEasy ook "jouw" pay.vitens.nl laten hosten (voor minder ervaren lezers: het DNS record beheerd door Vitens van die pay. sub-site verwijst dan naar het IP-adres van een server van AcceptEasy). Ik vind het in zo'n geval verstandig dat Vitens daar het https server-certificaat (bij voorkeur EV, minstens OV) voor regelt en bijtijds vervangt (samen met AcceptEasy natuurlijk). Ja dit kost allemaal wel extra geld. Maar als je stelt "Vitens vindt het belangrijk om veilige diensten te leveren" (bron: https://www.vitens.nl/privacy/beveiligingsmelding) dan kun je gewoon de daad bij het woord voegen.

Door Briolet:
Door Anoniem: …Ja: een QR afbeelding kan een malafide URL bevatten.
Ja: Valse E-mail is de beruchtste en meest gebruikte methode om digitale criminaliteit te exploiteren.
Gooi deze beide in de mix: malafide QR code + valse E-mail = ellende.
Wat is daar nu moeilijk aan te begrijpen?

Jij gooit hier dingen door elkaar. QR code heeft juist niets met e-mail fraude te maken. De QR code gebruik je juist bij papieren correspondentie. Probeer maar eens een QR code te scannen in een mail op je telefoon. (Dat lukt je niet als je geen 2e telefoon gebruikt)
Dat laatste klopt. Sorry dat ik weer zo'n betweter ben, maar met deze stelling negeer je de groep mensen die mail lezen op hun PC of tablet en betalen met hun smartphone. Of alles op hun smartphone doen en de smartphone van hun partner erbij betrekken om te betalen.

Natuurlijk begrijpen ervaren mensen dat het idioterie is om een QR-code met daarin een URL via e-mail te verzenden. Scammers trekken zich echter niks van wat "onlogisch is", integendeel. Als zij naar 10.000 mensen een fake mail met een QR-code sturen, zouden daar zomaar enkelen in kunnen trappen. Vooral als de scammers liegen dat er, met zo'n QR-code, geen fraude mogelijk is. Terwijl dit een prima manier is om de URL zelf niet in de mail te hoeven tonen, uit https://veiliginternetten.nl/maakhetzeniettemakkelijk/:
[...]
Weet je wat je moet checken?
1) Check de URL (het adres) van een link door er met er met je muis op te gaan staan (niet klikken natuurlijk!). Kijk goed of je vreemde dingen (rare tekens, vreemde woorden) in de URL ziet staan.

Dit kan dus worden aangevuld met: "een QR-code in een e-mail is meestal foute boel, zeker als u gevraagd wordt om die QR-code te scannen zodat u op een site komt om te betalen."
11-05-2021, 14:59 door aujlaakaran0
Ik dacht dat ze bij de banken toch al iets hadden verzonnen waarmee men je op internetbankieren de maandelijkse rekening kon toesturen, en dat ik vervolgens in internetbankieren na controle daarop alleen nog maar even akkoord hoef te geven?
11-05-2021, 15:30 door Erik van Straten
Door aujlaakaran0: Ik dacht dat ze bij de banken toch al iets hadden verzonnen waarmee men je op internetbankieren de maandelijkse rekening kon toesturen, en dat ik vervolgens in internetbankieren na controle daarop alleen nog maar even akkoord hoef te geven?
Bedoel je het alweer ten grave gedragen FiNBOX? (https://nl.wikipedia.org/wiki/FiNBOX)

Jaap-Henk Hoepman leek dat 8 jaar geleden veiliger dan AcceptEmail; zie https://blog.xot.nl/2013/08/12/acceptemail-en-het-risico-van-phishing/ - met daaronder ook reacties van Geerten Oelering (kennelijk medewerker van AcceptEmail).
11-05-2021, 15:35 door [Account Verwijderd] - Bijgewerkt: 11-05-2021, 15:36
Door Briolet:
Door Anoniem: …Ja: een QR afbeelding kan een malafide URL bevatten.
Ja: Valse E-mail is de beruchtste en meest gebruikte methode om digitale criminaliteit te exploiteren.
Gooi deze beide in de mix: malafide QR code + valse E-mail = ellende.
Wat is daar nu moeilijk aan te begrijpen?

Jij gooit hier dingen door elkaar. QR code heeft juist niets met e-mail fraude te maken. De QR code gebruik je juist bij papieren correspondentie. Probeer maar eens een QR code te scannen in een mail op je telefoon. (Dat lukt je niet als je geen 2e telefoon gebruikt)

Ten eerste: Toch maar even een account aangemaakt, zo weet je tenminste op wie je reageert en vice versa.

Je gaat wel van de vooronderstelling uit dat iedereen voor nagenoeg alles een smartphone gebruikt. Het doet hier niet ter zake maar je gaat dan van dezelfde preoccupatie uit als de overheid die ook meent dat iedereen wel een smartphone heeft getuige al die anti-corona apps bijvoorbeeld.

Iedereen een smartphone? Dat is natuurlijk niet zo. Ik ken nog steeds mensen die geen smartphone hebben, of wel maar dan toch hoofdzakelijk thuis op de computer/laptop dingen (betalingen) regelen. Hoe ik dat weet? Ach ik heb dat gewoon eens gevraagd aan hen.
En die mensen zullen heus niet de enigen zijn. Daaronder zullen er zijn die naïef hun smartphone pakken om die QR code te scannen en indien een malafide QR-code?... De val klapt dicht.

Als bedrijf wil je het mensen gemakkelijk maken om iets te betalen. Onze ervaring met de invoering van acceptgiro betaalkaarten (zo'n 40 jaar geleden) was dat klanten dan sneller betalen en er minder vaak aanmaningen verstuurd moeten worden. Het zelf invullen van een betaalopdracht wordt vaak uitgesteld en dan vergeten.

Het gebruik van acceptgiro kaarten stopt op korte termijn. Oorspronkelijk zou dit al in 2019 gestopt zijn, maar de einddatum is nu voor onbepaalde tijd uitgesteld. https://www.acceptgiro.nl

Bedrijven die facturen per post versturen zoeken een alternatief voor de acceptgirokaart. Het alternatief moet net zo laagdrempelig zijn als de acceptgirokaart. De QR code is het alternatief die er het dichtst bij komt. Als de acceptgirokaart definitief verdwijnt, zullen veel van de grotere bedrijven die tot nu toe de acceptgiro gebruikten, overstappen op de QR code voor de via de post verstuurde facturen. Daar ben ik van overtuigd.

Maar het hoeft niet persé zo te zijn dat QR code de enige betaalmogelijkheid is.

Neem een voorbeeld aan de woningcoörperatie waar ik van huur: In 2019 stopten zij zonder vooraankondiging met de accept-giro. Niet netjes op die manier, maar zij bieden wel drie betalingsmogelijkheden, en feitelijk zelfs vijf!

QR code,
iDeal,
Betalen m.b.v. van het 16 cijferige betaalkenmerk,
en zij bieden ook de mogelijkheid de huurtermijn te voldoen onder vermelding van je naam, adres, en huurtermijn (bijvoorbeeld: juni 2021,
én (heel ouderwets) betalen ten kantore van hen middels PIN.

Zo kan het ook!

Ik bedoel maar: een schril contrast qua klantvriendelijkheid met Vitens.
11-05-2021, 15:58 door not me
Heb de stukken waarmee ik het volledig eens ben maar eruit gelaten.


Neem een voorbeeld aan de woningcoörperatie waar ik van huur: In 2019 stopten zij zonder vooraankondiging met de accept-giro. Niet netjes op die manier, maar zij bieden wel drie betalingsmogelijkheden, en feitelijk zelfs vijf!

Terechte opmerking - er zit echter wel een verschil qua aantal "klanten" tussen een gemiddelde woningcoörperatie en Vitens.

Afhankelijk zijn van 1 specifieke betaalmethode is voor beide partijen gewoon niet gunstig - de burger ("klant") zoekt een ander en het "bedrijf" verliest hierdoor klanten.

Men ziet de gang naar het "100% digitale tijdperk" vaak als een 100% goed iets. Ik hanteer liever het principe van een vloek en een zegen.
11-05-2021, 19:19 door Anoniem
Door Anoniem: Jaren geleden is er wel eens iemand op het idee gekomen van een "postzegel voor e-mail". Het principe daarvan was
enigszins vergelijkbaar met crypto currency: het was een of andere hash van de mail en en random getal die zodanig
moest uitvallen dat de hash een flink aantal nullen had. Dat zou dus veel CPU power kosten om te berekenen, geen
probleem voor iemand die zo nu en dan wat mailt maar wel een probleem voor spammers.

Maar dat is nooit echt ingevoerd omdat er toen ook al veel gasten rond liepen die voor elke oplossing wel een probleem
wisten te verzinnen... ("hoe moet dat dan met mailinglists" enzo)

Dat was Adam Back https://en.wikipedia.org/wiki/Adam_Back. Zijn hashcash algorithme is werkelijk gebruikt om flooding via remailers tegen te gaan. Een extra regel werd aan een mail toegevoegd met bewijs dat er collisions waren gezocht.

Het hashcash systeem was niet zo eerlijk naar laptop gebruikers en gebruikers met oude computers, omdat die relatief veel meer tijd kwijt waren met het zoeken naar een collision. Nu met dedicated graphic cards zal dit nog veel meer gelden omdat die al snel tientallen malen sneller zijn als een normale processor. Als je er nog een kan krijgen natuurlijk.
11-05-2021, 21:23 door Anoniem
Ik heb geen smartfoon. Probleem opgelost.

Waterniet heeft hier al eens een brief gestuurd dat dit de laatste rekening is en dat ze de rest per email gaan sturen.
Fijn dat dit de laatste rekening is. Ik heb geen email. Doei.
Helaas, er kwam toch weer een rekening.
11-05-2021, 21:34 door Anoniem
Door Erik van Straten: Een kennis ontving een envelop met daarin een brief en een foldertje (2 kantjes) van waterbedrijf Vitens - dat smeekt om phishing.

Uit de brief (vet toegevoegd door mij):
Vanaf nu kunt u de waterrekening niet meer via een acceptgiro betalen. In plaats daarvan komt een QR-code. Daarmee kunt u veilig, snel en foutloos betalen. [...]

De achterkant van het foldertje (met de grootste blunder) staat (nog) op https://www.vitens.nl/service/qr-code (op mijn smartphone kon ik het plaatje pas helemaal zien als ik dat plaatje zelf in een nieuwe tab opende - dat moet je ook maar weten). In https://archive.is/QWgxx heb ik een snapshot gemaakt (waarin je, als bonus, wel het hele plaatje kunt zien). In https://web.archive.org/web/20210508155730/https://www.vitens.nl/service/qr-code niet zo'n bonus maar wel een kopie van de pagina.

Ook de achterkant van dat foldertje begint met:
Veilig betalen via de QR-code in vier stappen
Ik zet de eerste twee stappen onder elkaar (met enige moeite omdat ik hier geen plaatjes kan invoegen):
[1]
<plaatje van smartphone met QR-code in beeld>
Gebruik de camerafunctie* van uw smartphone om de QR-code te scannen.

*Indien het inscannen niet lukt via de camera-functie, dan kunt u een 'QR-code scanner - app' downloaden via de app store of Play store.

Mijn grootste probleem zit bij nummer 2 (bij # moet je je een slotje voorstellen)
[2]
------>[ # https:// ...

<logo> AcceptEasy

Selecteer uw bank:
[ ABN Amro |v]


U komt in de beveiligde omgeving van AcceptEasy. Let op het gesloten slotje linksboven.

Alsjeblieft zeg.
1) Er is HELELMAAL NIETS "veilig" aan een QR-code. Integendeel, als mens zien we niet welke tekst daarin is opgenomen. Dus ook niet, als die QR-code een URL bevat, de domeinnaam van de site waar je naar toe wordt gestuurd. Minder ervaren mensen krijgen zo onterecht vertrouwen in QR-codes en kunnen door de concentratie, nodig voor het scannen van de code, vergeten te kijken naar de domeinnaam van de site waar ze terechtkomen. En te bedenken of dat een domeinnaam is van een organisatie die zij herkennen en vertrouwen.

2) Als ik http://www.hr.vitens.nl/ open in Firefox voor Android zie ik een gesloten slotje met een streep erdoor. Wellicht stom van Mozilla, maar dit is wel een feit. Maar sowieso heeft elke zichzelf respecterende phishingsite tegenwoordig een geldig certificaat; immers een Let's Encrypt certificaat is zo geregeld en er is geen geldspoor (want gratis). Een "gesloten" slotje zonder waarschuwingen zegt niets meer en niets minder dan dat jouw webbrowser een versleutelde verbinding heeft met de website waarvan je de domeinnaam in de URL-balk van jouw webbrowser ziet staan.

3) Last but not least: DE JUISTE DOMEINNAAM WORDT NERGENS VERMELD! Hoogstwaarschijnlijk is dit ook geen domeinnaam die eindigt op vitens.nl.

Welke debielen bedenken zoiets?! Woest word ik hiervan!

En terwijl ik dit tik zie ik op het TV-programma Kassa een item over QR-code fraude gevolgd door een langer item over de stijging van oplichting bij internetbankieren...
Ik ben het met je eens Erik dat dit inderdaad met alles te maken heeft, behalve met veilig internetgedrag (QR-codes). Beter is het om automatische incasso te nemen voor betalen, dan doorzie je meteen de phishing als je een mailtje, SMS of ander bericht krijgt. Automatische incasso is gewoon beter en veiliger dan de methode Vitens.
27-05-2021, 21:34 door Erik van Straten - Bijgewerkt: 27-05-2021, 21:40
Mijn kennis heeft ondertussen een brief met factuur van Vitens gekregen, met QR-code en zonder betalingskenmerk (wel een factuurnummer).

Als ik de QR-code scan, begint deze met:
http://trx.ae/
Dus naast dat een verdacht uitziend domein geregistreerd in de Verenigde Arabische Emiraten wordt gebruikt, wordt een niet-geauthenticeerde en niet-versleutelde http-verbinding opgezet - die relatief eenvoudig gekaapt kan worden (vooral op publieke WiFi netwerken, maar ook thuis zijn dit soort aanvallen niet onmogelijk).

Dit risico zou gemitigeerd kunnen worden als trx.ae op de wereldwijde HSTS preload lijst zou staan, maar dat lijkt niet het geval. Ook zou het risico bij toekomstige sessies (met dezelfde browser en hetzelfde gebruikersaccount) gemitigeerd kunnen worden als http://trx.ae/ naar https://trx.ae/ zou redirecten (doorsturen) én https://trx.ae/ een fatsoenlijke HSTS-header zou meesturen. Helaas is ook dat niet het geval: zie https://hstspreload.org/?domain=trx.ae.

Nb. http://trx.ae/ redirect naar https://transaction.acceptemail.com/ of naar https://transaction.accepteasy.com/ (welke domeinnaam lijkt afhankelijk van de gebruikte browser); zodra die redirect heeft plaatsgevonden kan de verbinding in principe niet meer worden gekaapt.

Maar eerder kan dat wel: o.a. op het moment dat jouw browser een DNS lookup doet voor trx.ae en een vervalst IP-adres terugkrijgt, kan jouw browser naar elke willekeurige site worden gestuurd (en automatisch worden doorgestuurd). Bij een https verbinding kan jouw browser ook naar een vervalst IP-adres worden gestuurd, maar dat leidt normaal gesproken tot een certificaatfoutmelding (die je weg kunt klikken, maar als je iets moet betalen is dat extreem onverstandig).

Als je vervolgens niet controleert dat je op https://transaction.acceptemail.com/ of https://transaction.accepteasy.com/ bent uitgekomen, en je -na het kiezen van jouw bank- op een nagemaakte website van jouw bank uitkomt - en ook daar de domeinnaam niet van checkt, loop je het risico dat jouw bankrekening wordt geplunderd.

Dubbel-check in elk geval de domeinnaam van jouw bank vóórdat je inlogt, ook bij iDEAL betalingen. Bij de meeste Nederlandse banken begint de URL met https://ideal.jouwbank.nl/ - waarbij veel browsers "https://" weglaten, maar dan moet in elk geval een gesloten en niet doorgestreept slotje -op de gebruikelijke plaats- in de URL-balk worden getoond.

Check na inloggen op de iDEAL site van jouw bank het bedrag en met name het rekeningnummer van de begunstigde; zo voorkom je dat je geld overmaakt naar een geldezel.
28-05-2021, 08:36 door Anoniem
Door Erik van Straten: Mijn kennis heeft ondertussen een brief met factuur van Vitens gekregen, met QR-code en zonder betalingskenmerk (wel een factuurnummer).

Als ik de QR-code scan, begint deze met:
http://trx.ae/
Tsjonge, wat knullig. Bij de berichten over de FluBot-gerelateerde berichten viel me al op dat er naar domeinnamen gelinkt wordt waar ik echt niet zomaar op zou klikken, en waarbij ik me dan steeds weer afvraag hoe het komt dat kennelijk veel mensen zo blind blijven voor wat er zelfs in een redelijk korte URL staat.

En dit laat zien hoe mensen zo blind blijven: er zijn legitieme organisaties die doodleuk onherkenbare URLs versturen aan mensen, die voeden mensen op om verdachte dingen te negeren.

Ook al bekijkt lang niet iedereen een URL in een QR-code voor die gevolgd wordt, er zou iets herkenbaars moeten staan. Bij een betaling aan Vitens zou de URL met https://vitens.nl/ moeten beginnen. Laat ze op hun eigen website maar regelen dat er een iDeal-dialoog via een redirect of in een iframe wordt gestart.
28-05-2021, 10:17 door [Account Verwijderd]
Door Anoniem:
Door Erik van Straten: Mijn kennis heeft ondertussen een brief met factuur van Vitens gekregen, met QR-code en zonder betalingskenmerk (wel een factuurnummer).

Als ik de QR-code scan, begint deze met:
http://trx.ae/
Tsjonge, wat knullig. Bij de berichten over de FluBot-gerelateerde berichten viel me al op dat er naar domeinnamen gelinkt wordt waar ik echt niet zomaar op zou klikken, en waarbij ik me dan steeds weer afvraag hoe het komt dat kennelijk veel mensen zo blind blijven voor wat er zelfs in een redelijk korte URL staat.

En dit laat zien hoe mensen zo blind blijven: er zijn legitieme organisaties die doodleuk onherkenbare URLs versturen aan mensen, die voeden mensen op om verdachte dingen te negeren. ...(knip)....

deels off topic:

.... of URL verkorting wordt gebruikt dan wel wordt toegestaan.

Op een niet nader te noemen forum lees ik regelmatig bijdragen waarin een suggestie wordt gevolgd met: kijk hier (klik)
Ik heb er geen goed woord voor over dat dit door een moderatie/redactie wordt toegelaten.

Pisnijdig kan ik over zulke stommiteit worden, want niet iedereen heeft het benul met de muis de url alleen eerst aan te wijzen om alleen te kijken waar je naar toe wordt geleid.

Hier op Security.nl lukt dit je niet: [url=https://www.security.nl]security.nl[/url] en zo hoort het.
28-05-2021, 11:15 door Anoniem
Bij QR codes is het zo dat hoe langer de URL hoe groter de QR code wordt (of hoe priegeliger als je hem op dezelfde grootte blijft afdrukken, dus wellicht slechter te scannen).
Daarom is het vaak zo dat men speciale URL's gebruikt in een QR code. Echter dat zou zich dan moeten beperken tot het zoveel mogelijk comprimeren van een pad, bijv door domeinnaam/qr/shortcut te gebruiken ipv iets als domeinnaam/posting/702679/Vitens+QR-code+betalen (of nog een langer verhaal als de titel toevallig wat lang is).
Het helpt natuurlijk als je domeinnaam niet al te lang is.
Dit is dan weer in conflict met het doel om geen privacy lekken op je site te veroorzaken als je bijv iedereen een unieke URL wilt sturen.
28-05-2021, 11:22 door Erik van Straten
Door Glasharmonica: deels off topic:

.... of URL verkorting wordt gebruikt dan wel wordt toegestaan.

Op een niet nader te noemen forum lees ik regelmatig bijdragen waarin een suggestie wordt gevolgd met: kijk hier (klik)
Ik heb er geen goed woord voor over dat dit door een moderatie/redactie wordt toegelaten.

Pisnijdig kan ik over zulke stommiteit worden, want niet iedereen heeft het benul met de muis de url alleen eerst aan te wijzen om alleen te kijken waar je naar toe wordt geleid.

Hier op Security.nl lukt dit je niet: [url=https://www.security.nl]security.nl[/url] en zo hoort het.
Dat ben ik grotendeels niet met je eens; URL's in tekst, vooral lange, werken vaak enorm verstorend voor de lezer. Dat security.nl ze vet maakt verergert dit. Kijk maar...

In https://gathering.tweakers.net/forum/list_message/67235854#67235854 schijft tweaker "Donstil" in een discussie met Amos_x (https://gathering.tweakers.net/forum/list_message/67235276#67235276) dat hij (of zij) zich stoort aan de links die ik in https://www.security.nl/posting/702567/Apple+AirTag+privacy+risks#posting702567 onderaan heb gezet. In https://gathering.tweakers.net/forum/list_message/67239680#67239680 schrijf ik daarop o.a.:
Het dilemma is lange URL's die de tekst verstoren of verwijzen naar die URL's verderop. Eerder heb ik wel eens zo URL's direct onder elke alinea gezet, maar als je vanuit meerdere alinea's naar dezelfde URL verwijst leest dat ook weer niet lekker.

Een m.i. mooi compromis zou het zijn als security.nl een systeem zoals bij Wikipedia zou ondersteunen: in de tekst een clickable referentie zoals [1] die je naar onderaan de pagina brengt, waar je de volledige (clickable) link ziet.

Persoonlijk vind ik inline "(klik hier voor meer info)" prettig lezen, en op Tweakers (en lang geleden op security.nl) gebruik(te) ik deze constructie dan ook - en zal dat blijven doen. Vooral omdat posts op Tweakers veel minder breed zijn en lange URL's dan al gauw meerdere regels beslaan; daarmee wordt de tekst onleesbaar op smartphones.

Ik weet niet of Tweakers het blokkeert als je zou schrijven [url="http://badsite.wtf/"]https://goodsite.secure/[/url], dus waarmee je de lezer bewust op het verkeerde been zet. Feit is dat HTML deze constructie ondersteunt en het dus een vereiste is dat netizens over "insecurity awareness" op dit punt beschikken. Immers, je kunt wellicht alle good guys overhalen om geen gebruik te maken van deze "feature", maar bad guys (o.a. in HTML e-mails, gebruikt door -gokje- 99% van de internetters) natuurlijk niet. Ik denk dan ook dat het gebruikmaken van deze feature de awareness van internetters zelfs kan vergroten; iedereen zou moeten weten dat voor clickable links geldt "what you see may not be what you get".
28-05-2021, 11:42 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Mijn kennis heeft ondertussen een brief met factuur van Vitens gekregen, met QR-code en zonder betalingskenmerk (wel een factuurnummer).

Als ik de QR-code scan, begint deze met:
http://trx.ae/
Tsjonge, wat knullig.
Zeker, om niet te zeggen oerstom. Maar ja, nul risico voor de betrokken bedrijven; f*ck de klant.

Door Anoniem: Bij de berichten over de FluBot-gerelateerde berichten viel me al op dat er naar domeinnamen gelinkt wordt waar ik echt niet zomaar op zou klikken, en waarbij ik me dan steeds weer afvraag hoe het komt dat kennelijk veel mensen zo blind blijven voor wat er zelfs in een redelijk korte URL staat.
Een voordeel van SMS is dat je links niet kunt verhullen, en bovendien het telefoonnummer van de afzender meestal te zien is (of diens naam als deze in jouw adresboek staat). Een mooie SMS-screenshot zie je bovenaan https://nos.nl/artikel/2382466-politie-en-fraudehelpdesk-druk-met-android-malware-dit-is-iets-nieuws-iets-anders.

Helaas maken veel bedrijven "legitiem" gebruik van URL-verkorters zoals bit.ly, de vraag is dan hoe je als internetter zou moeten weten dat klikken op dat soort links (de laaste tijd zie ik veel scams via s.id) een risico betekent en je heel goed de domeinnaam van de site moet checken waar je op terechtkomt (en hopen dat deze niet meteen met een 0day exploit jouw browser heeft gehacked).

Door Anoniem: En dit laat zien hoe mensen zo blind blijven: er zijn legitieme organisaties die doodleuk onherkenbare URLs versturen aan mensen, die voeden mensen op om verdachte dingen te negeren.

Ook al bekijkt lang niet iedereen een URL in een QR-code voor die gevolgd wordt, er zou iets herkenbaars moeten staan. Bij een betaling aan Vitens zou de URL met https://vitens.nl/ moeten beginnen. Laat ze op hun eigen website maar regelen dat er een iDeal-dialoog via een redirect of in een iframe wordt gestart.
Zoals ik eerder al schreef, het bedrijf achter accepteasy.com en acceptemail.com ondersteunt de optie om hun pagina op bijv. pay.vitens.nl te realiseren. M.i. een slechte zaak dat Vitens daar geen gebruik van maakt. Maar ook dan moeten links in QR-codes natuurlijk wel met https:// beginnen.
28-05-2021, 12:44 door Erik van Straten
Door Anoniem: Bij QR codes is het zo dat hoe langer de URL hoe groter de QR code wordt (of hoe priegeliger als je hem op dezelfde grootte blijft afdrukken, dus wellicht slechter te scannen).
De URL in de QR-code luidt:
http://trx.ae/<reeks tekens>
Ik heb voor de volgende (nog) fictieve URL een QR-code gegenereerd (met dezelfde reeks tekens):
https://pay.vitens.nl/<reeks tekens>
Dat levert een QR-code op met exact dezelfde resolutie (beide 29x29 pixels, versie 3 dus).

Maar sowieso had "https://trx.ae/<reeks tekens>" dus makkelijk in de QR-code gepast. Gewoon laakbaar dit.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.