De tips uit https://digithrills.com/guarding-against-phishing-attacks-a-comprehensive-guide/ suggereren dat je nep van echt kunt onderscheiden door op specifieke zaken te letten, maar dat werkt in de praktijk vaak niet om twee redenen:

1) Mede door AI lukt het (cyber)criminelen steeds beter om zich foutloos voor te doen als echte bankmedewerkers;

2) Belangrijker, veel te veel zaken die op "nep" zouden wijzen zijn gebruikelijk bij legitieme communicatie (op afstand) met echte banken, bedrijven en andere organisaties.

Laat ik de tips in genoemde website, onder "Recognizing Phishing Attempts", puntsgewijs becommentariëren.

Dit is simpelweg onbetrouwbaar. Uit https://www.rtlnieuws.nl/nieuws/nederland/artikel/5444673/het-concrete-gevaar-van-een-datalek-ik-mis-8000-euro:
Echter, niet alleen doordat er zoveel gegevens "op straat liggen", is het voor oplichters vaak een koud kunstje om een correcte aanhef boven een bericht te zetten. Als jouw e-mailadres bijvoorbeeld begint met LoesJanssen1984@, dan hoef je geen raketwetenschapper te zijn om de aanhef "Geachte mevrouw Janssen" te bedenken. Of, bij onduidelijkheid over de voornaam, "Geachte meneer of mevrouw Janssen".

Bovendien ontvang ik legitieme e-mails en en andere berichten met een aanhef zoals in de volgende SMS van afgelopen woensdag:
En bijvoorbeeld mijn moeder ontvangt legitieme berichten met als aanhef: "Geachte meneer van Straten," (d.w.z., indien goed gespeld; "Straaten" en "Straeten" komen ook voor).

Conclusie: nep valt niet van echt te onderscheiden.

Hiervoor geldt hetzelfde als bij punt 1: er bestaan ook legitieme mails met tijdsdruk, en er bestaan nepmails zonder. Ook hangt dit samen met hoe geloofwaardig de rest van de mail is, en of het daarbij logisch is dat er sprake is van tijdsdruk.

Zie bijvoorbeeld "5) Tijdsdruk en dreigen met extra kosten" te vinden in mijn posting "Vitens: AVG? Lets phish!" (te vinden in https://security.nl/posting/837529).

Conclusie: nep valt niet van echt te onderscheiden.


Uit mijn posting "Vitens: AVG? Lets phish!" (te vinden in https://security.nl/posting/837529):
Met andere woorden: ook in legitieme berichten staan verdachte of onbekende links.

Nog een voorbeeld: de link in bovenstaande SMS, waarschijnlijk verstuurd door Odido (je moet niet gemist hebben dat dit de nieuwe naam van de Nederlandse tak van T-Mobile is) begint niet met "https://".

Als je in jouw browser odido.nl/my/facturen opent, en jouw browser niet door een AitM (Attacker in the Middle) wordt gedwongen om via http (i.p.v. via https) te verbinden, wordt jouw browser doorgestuurd naar:
De server met de domeinnaam "www.odido.nl" heeft een DV (Domain Validated) https servercertificaat van Sectigo, zoals je hier kunt zien: https://crt.sh/?Identity=www.odido.nl&exclude=expired&deduplicate=Y.

Andere voorbeelden, veel legitieme QR-codes met weblinks wijzen niet direct naar een webpagina van de kennelijke organisatie:

• Outlook.live.com:
https://aka.ms/wm-qr

• Tube Prodent:
https://dl.ulcp.io/01/3014230002601

• RIVM (geen https:// ervóór):
www.rivm.nl/pneumokokken-vertalingen

• Uit een brief:
https://qr.link/pOGxyI

• Uit een phishing-mail over teruggave energiebelasting: https://urlz[.]fr/nVwp (ik heb [ ] om de punt gezet om per ongeluk openen te voorkómen). Die link stuurde destijds jouw browser door naar:
https://engie-teruggave.domainerati[.]com/

Conclusie: nep valt niet van echt te onderscheiden.

Hoe open je een bijlage "cautious" (voorzichtig)? Bestaat daar een toetsencombinatie voor?

Wanneer is een bijlage "onverwacht"? Als dat niet blijkt uit de tekst in de e-mail zelf, of juist niet?

Wat zijn "onbekende afzenders"? Ik krijg heel soms e-mails van "Integrated Internet Services BV" met als SMTP afzender:
no-reply@registrar.eu (hetgeen ik in Apple mail op mijn iPhone slechts na meerdere "kliks" te zien krijg): hoe weet ik of deze mails legitiem zijn? Ik krijg ze zo infrequent dat ik dat allemaal niet kan onthouden, en de naam van het bedrijf is al meerdere keren gewijzigd.

Conclusie: nep valt niet van echt te onderscheiden.

Het is sowieso fundamenteel onmogelijk om nep van echt te onderscheiden, tenzij je met iets als PGP gaat werken en de public keys van elke potentiële afzender namens een organisatie in levenden lijve van die personen, op een vertrouwde locatie van die organisatie hebt gekregen.

En dat er geen twijfel bestaat over dat die personen geautoriseerd zijn om namens die organisatie over de onderhavige onderwerpen te communiceren, die personen niet ondertussen van functie of baan zijn veranderd, hun e-mail (of ander medium) accounts niet zijn gehacked en hun private keys niet in verkeerde handen zijn gevallen.

De betrouwbaarheid waarmee je kunt vaststellen of iemand, zoals een beller of een afzender van een bericht, is wie zij of hij zegt te zijn, wordt (mede door AI) met de dag kleiner terwijl we het een steeds grotere rol laten spelen; zie ook mijn reactie op "Raad van de EU akkoord met wet voor Europese digitale identiteit" in https://security.nl/posting/835825.

Het systeem van online bankieren leidt, onvermijdelijk, tot steeds meer slachtoffers. Het toegepaste systeem maakt het simpelweg onmogelijk om nep van echt te onderscheiden, wat veel betrouwbaarder kan met fysieke bankfilialen op geloofwaardige plekken in steden en dorpen.

Vanzelfsprekend helpt inzicht in de techniek, maar zelfs ervaren mensen (zoals softwareontwikkelaars) trappen in phishing. Daarnaast zijn dingen over het hoofd zien, fouten maken en in sluwe misleiding trappen, hartstikke menselijk.

Er bestaan Europese en Nederlandse wetten die slachtoffers zouden moeten beschermen tegen financiële schade; immers, bij een bank hoort jouw geld veiliger te zijn dan thuis in een oude sok. Die wetten zijn onderdeel van de deal om bankieren van offline steeds meer naar online te verplaatsen.

Steeds vaker proberen financiële instellingen echter, geholpen door (hun eigen) Kifid, slachtoffers voor de (vaak enorme, en door banken omnodig groot gemaakte) financiële schade te laten opdraaien. Dit naast de ellende waarin die slachtoffers zich, onbedoeld en omgewenst, gestort voelen - en de afschuwelijke "victim blaming" achteraf.

Ik herhaal uit https://security.nl/posting/837529:

Helemaal mee eens:
banken en andere betaalinstellingen doen onvoldoende moeite om hun klanten tegen criminaliteit te beschermen. Ze zijn alleen maar bezig met hun eigen veiligheid en hun onderlinge relaties en hun toezichthouder DNB doet hetzelfde. Zie recent bij DNB https://www.dnb.nl/algemeen-nieuws/nieuwsberichten-2024/een-hack-a-la-carte-dnb-breidt-cyberbeveiligingsproject-uit/, er wordt geen woord gerept over veilige communicatie met klanten.

En hoe zie jij dan die veilige communicatie met de banken, ik denk dat dit alleen maar mogelijk is via balie.

In ieder geval geen communicatie via e-mail of telefoon aangezien dat allebei onbetrouwbaar is.

Voor niet-digitaal vaardige klanten (80% NL bevolking): fysiek kantoor.
Voor wel-digitaal vaardige klanten: bellen via de bank app, waarbij het ook mogelijk moet zijn om te bellen met een app die op een smartphone/tablet staat waar geen bij de bank bekende simkaart in zit. (Reden: uit veiligheidsoptiek is het verstandig de bank app niet op de smartphone te zetten waarop de bij de bank bekende simkaart staat.

Natuurlijk is de balie niet perfect . Frauderend personeel bestaat en bestond . En de klant-identiteit controleren vergt geoefend personeel dat structureel paspoort/id/rijbewijs vraagt , en het lef heeft om te zeggen "dat ben jij niet"

Toch maar weer vloeken in de kerk : bank-apps zijn gewoon erg goed. De kunnen (en waarschijnlijk, - doen) de bank zijde erg goed controleren (certificate pinning, geen typo's in URLs) en kunnen met de telefoon secure enclave de klant-identiteit ook strak authenticeren.

Niemand eist perfectie, wel traceerbaarheid. Die heb je nauwelijks tot niet bij online oplichting.

Mits je de juiste bank-app hebt geïnstalleerd, en ook niet bent misleid door een nepmedewerker van jouw bank om daar een "noodzakelijke" nep-update voor te installeren.

En je niet bent misleid om tevens een legitieme PUP (Potentially Unwanted Program) zoals AnyDesk of TeamViewer, of een ronduit foute app met Accessibility Service permissions onder Android of MDM (Mobile Device Management) features onder iOS/iPadOS te installeren (recent voorbeeld van die laatste: "Android- en iOS-malware maakt gezichtsopname slachtoffers voor bankfraude": https://security.nl/posting/829650).

Om nog maar te zwijgen over malware op "desktop/notebook" computers - met een "elk programma mag onvoorwaardelijk alles wat jij mag" besturingssysteem.

Risico VideoIdent
En je niet bent misleid om "opnieuw" (mogelijk voor de zóveelste keer), middels bloedlinke "VideoIdent", te "bewijzen" dat jij jij bent - maar daarbij over het hoofd ziet dat je dat op een nepwebsite (of via een nepapp) doet.

In "Kassa" van gisteravond vertelde Elfie Tromp dat haar stichting slachtoffer is geworden van digitale bankroof, nadat zij een betrouwbaar ogende e-mail met een link naar een, ongetwijfeld ook echt lijkende, VideoIdent nepwebsite, voor echt aanzag (zie https://youtu.be/JfGbzcDVoew vanaf ca. 4 minuten). Die nepsite krijgt vervolgens, als AitM, toegang tot jouw bankaccount. Geen enkele app die je hiertegen beschermt.

P.S. dat laatste probleem gaat exploderen na de invoering van de EDIW, waarbij het de bedoeling is dat je middels VideoIdent zo'n eID, maar bijvoorbeeld ook een rijbewijs, kunt aanvragen (zie https://security.nl/posting/835825 en vervang "bunq.com" door de site waar je echt jouw EDIW kunt aanvragen, en vervang "log in met uw eID" door "bewijs met VideoIdent dat u het echt bent").

Gemak dient ook de cybercrimineel.

Dank Erik voor het beantwoorden van 14-4-2024 16:31 jij bent met je argumenten hier veel beter in als ik.
Maar ook dit persoon begrijpt het mijn inziens niet helemaal.

Ik zelf gebruik een laptop die alleen maar voor bankzaken en voor de overheid wordt gebruikt, dus ook geen
mail of wat dan ook maar dat is geen garantie dat ik niet besodemieterd wordt door criminelen. Ik wil gewoon
mijn bankzaken bij de bank aan het loket doen en als je daar meer komt dan ken ik hun en zij kennen mij. Wie
graag die bank app gebruikt moet het zelf weten, maar ik wil dit liever niet.

Tot mijn grote verbazing (grapje) lijkt (unverified) de scope creep vóór de officiële invoering al een feit.

Uit https://www.nakedcapitalism.com/2024/04/greece-just-gave-a-glimpse-of-how-eus-strictly-voluntary-digital-id-wallet-will-gradually-become-mandatory.html (een stukje tekst vet+cursief gemaakt door mij):

Uit [1] = https://www.europarl.europa.eu/news/en/press-room/20240223IPR18095/meps-back-plans-for-an-eu-wide-digital-wallet:
Iets met "vertrouwen in de overheid"?

Dit betekent tevens dat je erop kunt wachten dat ook (sommige) banken een EDIW gaan vereisen om een bankrekening te kunnen openen (*), en/of om jouw identiteit nogmaals te verifiëren (*) - bijvoorbeeld om hun app, zojuist door jou geïnstalleerd op jouw gloednieuwe smartphone, opnieuw te koppelen aan jouw bestaande bankrekening.

Of om die bank-app, ditmaal op de smartphone van een cybercrimineel, eveneens (of in plaats van die van jou) te koppelen aan jouw bestaande bankrekening. Of om een nieuwe bankrekening (lening) op jouw naam te openen.

Nb. Ik sluit niet volledig uit dat het cybercriminelen van begin af aan (technisch) lastig of zelfs onmogelijk zal worden gemaakt om zo bankrekeningen "over te nemen" en/of leningen af te sluiten op naam van een ander, maar gezien de door Google et al. gewonnen oorlog m.b.t. verplichte QWAC's, heb ik hier een hard hoofd in.

(*) Immers, dit is veel goedkoper voor banken dan een extern bedrijf (in India of waar ook ter wereld) inhuren met medewerkers die VideoIdent's zitten te bestuderen (die bedrijven zijn hiermee overigens ten dode opgeschreven). Het risico op identiteitsfraude blijft "vanzelfsprekend" bij de klant.

En toch maar verder 'digi-drammen'.

Je weet, dat bunq alleen maar digitaal is?

Misschien interessant voor die kassa hebben gemist, woensdag 17 april om 14:15 komt een herhaling op NPO 2

Als je een niet te grote hekel hebt aan Google, kan dat op elk gewenst moment via https://youtu.be/JfGbzcDVoew (met uitsluitend dát deel van de uitzending dat over bunq gaat).

Maar steeds wordt de schuld a priori gezocht bij de klant.

De klant/eindgebruiker moet steeds maar bewijzen dat deze ter goeder trouw is.
Merk ook dat je nooit of oh zo zelden maar een excuus hoort,
een volledig scheef gegroeide relatie dus.

En er wordt veel te weinig gedaan aan handhaving en screening om rotte appels van de werkplek of thuiswerkplek te verwijderen.

Een chronisch gebrek aan gekwalificeerd personeel speelt hierbij ook een rol en zo zijn we allemaal slachtoffer, behalve degenen
die wel varen bij het in stand houden van zo'n situatie, zeg maar rustig een zootje, van digitale tegen een steeds meer verdwijnende analoge wereld.

luntrus