image

ABN Amro lanceert 'Gesprek Check' tegen bankhelpdeskfraude

dinsdag 1 oktober 2024, 10:28 door Redactie, 17 reacties

ABN Amro heeft voor gebruikers van de bank-app een nieuw feature toegevoegd die moet helpen tegen bankhelpdeskfraude. Via 'Gesprek Check' kunnen klanten via de bank-app zien of ze echt een medewerker van de bank aan de lijn hebben. ABN Amro omschrijft het als een 'extra veiligheidshulpmiddel'.

"Oplichtingspraktijken zoals (bank)helpdeskfraude, waarbij een crimineel zich voordoet als bankmedewerker, worden vaak niet herkend. Uit recent onderzoek van Ipsos I&O in opdracht van ABN Amro blijkt dat ruim een kwart van de Nederlanders niet volledig op de hoogte is van wat een bank nooit aan haar klanten vraagt", zo laat de bank verder weten. Als een klant twijfelt of het echt ABN Amro aan de telefoon is, kan die om een Gesprek Check vragen. De bankmedewerker stuurt dan een (pop-up) bericht in de app en in Internet Bankieren om het gesprek te bevestigen.

"Een adviseur van ABN Amro die met een particuliere klant belt, plaatst op dat moment een bericht in Internet Bankieren of in de ABN Amro-app van de klant. Via die twee kanalen kunnen klanten vervolgens een pop-up zien met de bevestiging dat ze inderdaad met iemand van de bank spreken", zegt Jorissa Neutelings van ABN Amro. "Het voorziet echt in een belangrijke behoefte."

Image

Reacties (17)
01-10-2024, 10:32 door Anoniem
Deze aanpak is goed maar nog steeds kwetsbaar voor man-in-the-middle waarbij een handlanger inderdaad namens jou naar de bank belt om die verificatie te forceren.
01-10-2024, 10:49 door Anoniem
Ik weet niet of dit wel zo'n goede ontwikkeling is, want dit soort dingen zorgt ervoor dat een gesprek op afstand met een medewerker van een bank niet meer onmiddelijk als verdacht wordt gezien.

De kans dat iemand per telefoon met een lulverhaal mensen iets laat doen neemt hierdoor gewoon toe.
01-10-2024, 11:13 door Anoniem
Dit is een soort 2FA, two factor authentication, waarbij de bank nog steeds probeert om met een tweede spoor van puur digitale communicatie de betrouwbaarheid van de eerste communicatielijn te bewijzen. Daar kunnen criminelen wel wat op vinden. Bijvoorbeeld bellen, de klant gegevens ontfutselen en vervolgens een door "software-problemen" "vertraagde" pop-up sturen die het gesprek zogenaamd bevestigt als authentiek.

In essentie gaat het bij valse bellers (spoofing) om psychologische manipulatie. Er kan dus ook namens een andere instantie dan de bank zelf gebeld worden om de klant ertoe te bewegen om aan de bank bepaalde opdrachten te geven. Die opdrachten zijn dan echt, ook als de bank dat checkt. Alleen is de opdrachtgever daarvoor al misleid.

Ik heb een vaste contactpersoon bij mijn bank. Die herken ik aan diens stem en gespreksstijl. De stem kan waarschijnlijk met AI worden nagebootst, gespreksstijl lijkt me moeilijker, dat ligt heel subtiel. De gegroeide relatie maakt dat heel subtiele afwijkingen al gaan opvallen.

Als een valse beller een "noodsituatie" inclusief tijdnood zou melden om paniek te zaaien en mij op te jagen, dan zou ik extra vragen stellen die niet alleen inhoudelijk zouden moeten worden beantwoord, maar ook in de stijl van de mij bekende contactpersoon. Bovendien zou ik zo nodig zelf terugbellen naar een mij reeds van te voren bekend nummer, voordat er enige beslissing wordt genomen.

Een deel van dezelfde mensen die zich nu door helpdeskfraude laten misleiden, zal zich straks ook laten misleiden door de schijnbare geruststelling van een "vertraagde" pop-up met het logo van de bank.

De enige afdoende beveiliging blijft een fysiek bankfiliaal waar mensen snel naartoe kunnen en waar dan een medewerker van vlees en bloed achter een fysieke balie staat.
01-10-2024, 11:26 door Anoniem
Hoe weet je dat een Push Notification https://support.mozilla.org/en-US/kb/push-notifications-firefox van de bank is en niet van een andere site waar je dit hebt toegestaan?

Het lijkt mij heel erg onveilig.

Ik zet ze altijd uit omdat ze mijn browserbeleving negatief beïnvloeden en omdat ik niet weet of ze van een betrouwbare site afkomstig zijn of van iets wat er op lijkt.
01-10-2024, 11:41 door Anoniem
Dus toch kun je gebeld worden door je bank, want anders zou deze app niet nodig zijn. Jaar in jaar uit lees je in communiqués van je bank "Wij bellen nooit" en nu ineens gooien ze die zekerheid overboord. Fijne boel is dat.
01-10-2024, 11:54 door Anoniem
Door Anoniem: Deze aanpak is goed maar nog steeds kwetsbaar voor man-in-the-middle waarbij een handlanger inderdaad namens jou naar de bank belt om die verificatie te forceren.

Dit klopt niet. Als je zelf belt moet je (i) geverifieerd worden (maar goed, dat zal dan nog wel lukken als je al een hoop informatie weet van het slachtoffer en (nu komt het) (ii) moet de medewerker van de bank zelf het bericht plaatsen in de app of IB. Als een klant (=stiekem dus de fraudeur in jouw verhaal) de bank zelf belt, zal de medewerker dat natuurlijk niet doen.

Door Anoniem: Ik weet niet of dit wel zo'n goede ontwikkeling is, want dit soort dingen zorgt ervoor dat een gesprek op afstand met een medewerker van een bank niet meer onmiddelijk als verdacht wordt gezien.

Dit argument begrijp ik niet helemaal. De bank heeft nooit gezegd: "wij bellen nooit". De bank zegt "wij zullen u nooit vragen om betalingen te doen". Dat blijft nog steeds zo. Ik snap niet hoe je dit niet een goede ontwikkeling vind doordat de bank met een systeem komt om zelf te checken of je echt met de bank praat. Uiteraard kan iedereen bij elke twijfel alsnog ophangen en zelf de bank bellen. De bank adviseert dat ook zelf in de gesprekken.

Is het ooit goed wat de banken doen?
01-10-2024, 11:56 door Anoniem
Rabobank heeft dit al, maar als het niet realtime wordt geüpdate is het niet nuttig. App zei een keer dat ik aan de lijn was met een medewerker, terwijl ik die al 10minuten geleden had opgehangen...
Een ander probleem is, de app staat vaak op dezelfde telefoon waarmee je aan het bellen bent... nogal lastig om het dan te checken.
01-10-2024, 12:29 door Erik van Straten
Eens met Anoniem 10:32 en 10:49.

Het gaat voor geen meter helpen:
"Een adviseur van ABN Amro die met een particuliere klant belt, plaatst op dat moment een bericht in Internet Bankieren of in de ABN Amro-app van de klant. Via die twee kanalen kunnen klanten vervolgens een pop-up zien met de bevestiging dat ze inderdaad met iemand van de bank spreken", zegt Jorissa Neutelings van ABN Amro. "Het voorziet echt in een belangrijke behoefte."
Het probleem is namelijk:

Niet dat als een echte bankmedewerker belt de app dat bevestigt

doch

Wel dat als een nep-bankmedewerker belt en de app dat niet bevestigt.

Vooral als mensen zelden of nooit door hun bank gebeld worden, hebben ze er geen flauw idee van dat hun app dat zou moeten bevestigen.

M.i. is dit vergelijkbaar met dat https://www.abnamro.nl een OV- of EV- (Organization / Extended Validation) certificaat naar mijn browser stuurt (*) en alle netsites een DV- (Domain Validated) certificaat. Waarvan, als ik ze zou (kunnen) inspecteren, moet ruiken of zo dat de echte ABNAMRO geen DV-certificaten gebruikt.

(*) Dat ik op mijn iPhone en op mijn Android telefoon met geen enkele browser nog (volledig, Chrome onder Android laat een deel zien) kan inspecteren (als je weet hoe kun je het certificaat dat zojuist naar mijn browser werd gestuurd wel grotendeels bekijken in https://crt.sh/?id=13707303182 - grotendeels, want dat is een pre-certificate, terwijl mijn browser de leaf-certificate versie daarvan ontving).

Of dat abnamro.nl netjes SPF, DKIM en DMARC gebruikt (dat heb ik overigens niet gecheckt) en dat mensen vervolgens gephished worden met e-mails met als afzender no-reply@abnamro-mailings.com o.i.d. - omdat de ontvangers niet weten dat abnamro-mailings.com niet van ABNAMRO is.

Kent iemand een goede korte omschrijving voor dit fenomeen? ("Plausible Deniability" en "Non-Repudiation" zijn het volgens mij niet).
01-10-2024, 12:32 door Erik van Straten
Door Anoniem:
Door Anoniem: Deze aanpak is goed maar nog steeds kwetsbaar voor man-in-the-middle waarbij een handlanger inderdaad namens jou naar de bank belt om die verificatie te forceren.

Dit klopt niet. [...]
Jawel, zie "De Chase case" in https://security.nl/posting/842742.
01-10-2024, 14:23 door Anoniem
Verkeerd uitgangspunt, het gaat er vooral om dat je nep bankmedewerkers als klant zelf kan controleren, er bellen namelijk meer nep medewerkers als echte medewerkers. ING begrijpt dat beter.
01-10-2024, 16:29 door Briolet
Door Anoniem: Dus toch kun je gebeld worden door je bank, want anders zou deze app niet nodig zijn. Jaar in jaar uit lees je in communiqués van je bank "Wij bellen nooit" en nu ineens gooien ze die zekerheid overboord. Fijne boel is dat.

Natuurlijk zijn er redenen dat een bank een klant belt. Ze bellen mij ook regelmatig en soms gaat het zelfs om grotere bedragen. Alleen zeg ik dan "doe maar" en ga zelf geen overboekingen doen. Als dat nodig is, kan een echte bankmedewerker dat zelf wel doen.

Ook bij een sterk vermoeden van een frauduleuze overboeking kan de bank besluiten om telefonisch contact te leggen. Dat er gebeld wordt, blijkt ook uit eerdere berichten op dit forum waarbij de oplichters het slachtoffer instrueren om een echte bankmedewerker te misleiden. (Voor zulke naïeve slachtoffers zal deze check ook niet helpen)

Ik denk wel dat deze functie in een behoefte gaat voorzien. Sommige mensen zullen inmiddels in twijfel komen als ze door de bank gebeld worden. Nu kunnen ze zelf, via een gevalideerd kanaal, een bevestiging krijgen dat het gesprek echt met een medewerker is.
01-10-2024, 18:52 door Anoniem
Ik vind het toevoegen van deze feature aan de bank-app geen goed idee.
Je moet er gewoon bij iedereen (behalve bij @Briolet ;) instampen dat als ze gebeld worden door hun bank ze het gesprek moeten beëindigen en zelf daarop (met het nummer uit hun eigen contactenlijst) hun bank moeten terugbellen met de vraag of iemand van de bank hen zojuist heeft gebeld.

Ik mag hopen dat banken door de vernieuwde app de monitoring van hun uitgaande telefoonverkeer met klanten niet minder serieus nemen.
01-10-2024, 20:08 door Anoniem
Wat ze bij PostNL tegenwoordig doen is een vooraf zelf opgegeven woord laten terugkomen in communicatie. Bijvoorbeeld de naam van je huisdier of weet ik wat. Dat zou hier ook kunnen. Een soort wachtwoord waarmee de bankmedewerker zich kan identificeren als bankmedewerker.
01-10-2024, 21:52 door Anoniem
Door Anoniem: Wat ze bij PostNL tegenwoordig doen is een vooraf zelf opgegeven woord laten terugkomen in communicatie. Bijvoorbeeld de naam van je huisdier of weet ik wat. Dat zou hier ook kunnen. Een soort wachtwoord waarmee de bankmedewerker zich kan identificeren als bankmedewerker.

Dat heeft alle problemen van password beheer - en dan ook nog voor , meestal, zeldzame situaties.

Als je zelden of nooit gebeld wordt - heb je het niet ingesteld.
Als je het instelt, sla je het ergens op .

Als je dan onverwacht gebeld wordt - moet je er eerst aan denken om dat opgeslagen password van ergens op te duiken om te valideren.

of je wordt omvergeluld dat je echt "bloempot" gekozen had.

Het risico dat je bank-shared-secret lekt (uit malware op je computer) is ook niet denkbeeldig - zeker niet als de malware operator je met Anydesk mag 'helpen'.
01-10-2024, 21:55 door Anoniem
Door Anoniem:
Een ander probleem is, de app staat vaak op dezelfde telefoon waarmee je aan het bellen bent... nogal lastig om het dan te checken.

Leer je telefoon bedienen ?
Je kunt prima een gesprek naar achter zitten en een app gebruiken .
02-10-2024, 08:46 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Anoniem: Deze aanpak is goed maar nog steeds kwetsbaar voor man-in-the-middle waarbij een handlanger inderdaad namens jou naar de bank belt om die verificatie te forceren.

Dit klopt niet. [...]
Jawel, zie "De Chase case" in https://security.nl/posting/842742.

Als de bank zelf belt, zal er geen pop-up of bericht verschijnen in de app - hoe gaat die MitM attack dan volgens jou werken?
02-10-2024, 16:51 door Erik van Straten
Door Anoniem:
Door Erik van Straten:
Door Anoniem:
Door Anoniem: Deze aanpak is goed maar nog steeds kwetsbaar voor man-in-the-middle waarbij een handlanger inderdaad namens jou naar de bank belt om die verificatie te forceren.

Dit klopt niet. [...]
Jawel, zie "De Chase case" in https://security.nl/posting/842742.

Als de bank zelf belt, zal er geen pop-up of bericht verschijnen in de app - hoe gaat die MitM attack dan volgens jou werken?
Heb je überhaupt gelezen hoe het werkt?

Uit https://www.abnamro.com/nl/nieuws/check-check-dubbelcheck-is-het-echt-de-bank-die-belt:
Check, check, dubbelcheck: Is het echt de bank die belt?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.