Politie: steeds meer slachtoffers van oplichting via valse bank-e-mails
De politie waarschuwt voor oplichting via valse e-mails die afkomstig lijken te zijn van banken. Het achterlaten van gegevens op dergelijke nepwebsites waar deze e-mails naar verwijzen is gevaarlijk, benadrukt de politie. Steeds meer mensen worden slachtoffers van oplichting, blijkt uit cijfers van de politie.
In veel gevallen doen criminelen zich daarbij voor als banken en sturen valse e-mails uit. In deze e-mails vragen zij slachtoffers om persoonlijke gegevens in te vullen of een nieuwe bankpas aan te vragen. Ontvangers worden daarbij doorgestuurd naar een website die veel lijkt op de website van hun bank. In werkelijkheid staat de website echter onder beheer van de aanvallers en is deze ontworpen om inloggegevens en andere persoonlijke informatie te stelen. Soms wordt ook gevraagd naar creditcardgegevens.
Wie deze gegevens verstrekt, geeft aanvallers hiermee de mogelijkheid om geld te stelen. Indien de bank merkt dat er verdachte transacties plaatsvinden doordat er bijvoorbeeld plotseling veel geld wordt overgemaakt, neemt de bank contact op met de klant om te vragen of deze transactie legitiem is. Indien dit niet het geval is blokkeert de bank het account. De fraudehelpdesk van de bank helpt de klant vervolgens verder.
Hoewel het klikken op een link in een verdachte e-mail wordt afgeraden, meldt de politie dat dit niet direct gevaarlijk is. "Het wordt pas echt riskant als je je gegevens invoert op de nepwebsite die eruitziet als de echte bankwebsite. Het invullen van je gegevens, zoals je inloggegevens, pasnummer, creditcardgegevens of andere persoonlijke informatie, is wat criminelen gebruiken om je gegevens te stelen", aldus de politie.
Wie gegevens heeft ingevuld op een verdachte website krijgt het advies direct contact op te nemen met de fraudehelpdesk van je bank om je accountgegevens te veranderen en wachtwoorden te resetten. De politie adviseert om ook je bankpas te blokkeren en verdachte activiteiten door te geven aan je bank. Ook wordt slachtoffers gevraagd aangifte te doen bij de politie.
Dat kun je toch niet geloven!... Of het klikken op een link altijd doorverwijst naar een website, waar scripting altijd 'slaapt' en pas geactiveerd wordt als je op de betreffende website iets doet.
Neen! Waarschijnlijk hebben zij nooit eerder gehoord van driveby downloads!?!
Verdorie zeg. Ik vind dit een van de domste uitsraken in het IT landschap 2025!
Er wordt dan geprobeerd om je (zorg)gegevens te ontfutselen.
Deze oplichters vragen dan om je zorg-gegevens te controleren via een link.
Denk ook aan voldoende contanten in huis te hebben. Anders kun je echt helemaal niets meer als je je pas(sen) laat blokkeren.
Het is niet alsof nog PostNL supersnel is tegenwoordig. Daar kan zo een week overheen gaan als je pech hebt.
Dit soort websites kunnen dagenlang online blijven, zelfs als je het overal relevant gerapporteerd hebt.
(Google's safe browsing werkt wel wat sneller, maar dat is slechts een tijdelijke oplossing.)
Het meest teleurstellende is dat het allemaal zo incompetent aanvoelt.
- De emails/SMS zijn niet origineel of lijken niet eens op wat je verwacht. (Titel, afzender, inhoud, etc)
- Mails belanden in spambox, falen authenticatie, bevatten "%naam%" of dergelijke defecten.
- De phising website zelf is ook vaak teleurstellend, zowel op technisch als op UX verwachting.
- Regelmatig zo lek als een mandje, de backdoor staat dan ook regelmatig nog volledig open.
- Hoe en waar rapporteer je dit als gebruiker? Er zit nergens een "rapporteer phishing" knop of zo.
- Het kan dagen duren voordat je enige reactie krijgt op je melding, als je er al een krijgt.
- Het offline halen of opschonen kan ook dagen op zich laten wachten, vooral met buitenlandse domeinen.
Dit moet toch beter kunnen?
Dat kun je toch niet geloven!... Of het klikken op een link altijd doorverwijst naar een website, waar scripting altijd 'slaapt' en pas geactiveerd wordt als je op de betreffende website iets doet.
Neen! Waarschijnlijk hebben zij nooit eerder gehoord van driveby downloads!?!
Verdorie zeg. Ik vind dit een van de domste uitsraken in het IT landschap 2025!
Ja wel hoor. Deze uitspraak is prima te geloven!
Niets mis mee, de kans op de driveby is kleiner dan naar gegevens phisen.
Dat kun je toch niet geloven!... Of het klikken op een link altijd doorverwijst naar een website, waar scripting altijd 'slaapt' en pas geactiveerd wordt als je op de betreffende website iets doet.
Neen! Waarschijnlijk hebben zij nooit eerder gehoord van driveby downloads!?!
Verdorie zeg. Ik vind dit een van de domste uitsraken in het IT landschap 2025!
Ja wel hoor. Deze uitspraak is prima te geloven!
Niets mis mee, de kans op de driveby is kleiner dan naar gegevens phisen.
Het is nog steeds geen reden om het aan te moedigen door de politie.
Dat kun je toch niet geloven!... Of het klikken op een link altijd doorverwijst naar een website, waar scripting altijd 'slaapt' en pas geactiveerd wordt als je op de betreffende website iets doet.
Neen! Waarschijnlijk hebben zij nooit eerder gehoord van driveby downloads!?!
Verdorie zeg. Ik vind dit een van de domste uitsraken in het IT landschap 2025!
Drive by download exploits zijn fors zeldzaam geworden .
Maar gezien je geweldige kennis wist je dat toch ook ?
Voor publieksvoorlichtig gewoon een correct statement - die paniek respons " ik heb alleen maar geklikt en niks ingevuld" is gewoon echt niet meer nodig.
Dat kun je toch niet geloven!... Of het klikken op een link altijd doorverwijst naar een website, waar scripting altijd 'slaapt' en pas geactiveerd wordt als je op de betreffende website iets doet.
Neen! Waarschijnlijk hebben zij nooit eerder gehoord van driveby downloads!?!
Verdorie zeg. Ik vind dit een van de domste uitsraken in het IT landschap 2025!
Ja wel hoor. Deze uitspraak is prima te geloven!
Niets mis mee, de kans op de driveby is kleiner dan naar gegevens phisen.
Het is nog steeds geen reden om het aan te moedigen door de politie.
Kun je lezen ? Het klikken wordt NIET AANGEMOEDIGD maar AFGERADEN.
Er wordt alleen - terecht en correct - gesteld dat alleen klikken geen groot risico is.
Een hoop mensen hier moeten eens leren om in schalen van risico te denken, in plaats van een maximale respons (shutdown ! wipe !) op elk marginaal feit te willen zien .
Dat kun je toch niet geloven!... Of het klikken op een link altijd doorverwijst naar een website, waar scripting altijd 'slaapt' en pas geactiveerd wordt als je op de betreffende website iets doet.
Neen! Waarschijnlijk hebben zij nooit eerder gehoord van driveby downloads!?!
Verdorie zeg. Ik vind dit een van de domste uitsraken in het IT landschap 2025!
Ja wel hoor. Deze uitspraak is prima te geloven!
Niets mis mee, de kans op de driveby is kleiner dan naar gegevens phisen.
Het is nog steeds geen reden om het aan te moedigen door de politie.
Snap je het niet of wil je het niet snappen?
Hoezo en waar wordt het aangemoedigd??
Precies....nergens....
Als de e-mail van de bank niet op dat adres binnenkomt, dan weet je dat het phishing is en dus van oplichters komt.
Dat kun je toch niet geloven!... Of het klikken op een link altijd doorverwijst naar een website, waar scripting altijd 'slaapt' en pas geactiveerd wordt als je op de betreffende website iets doet.
Neen! Waarschijnlijk hebben zij nooit eerder gehoord van driveby downloads!?!
Verdorie zeg. Ik vind dit een van de domste uitsraken in het IT landschap 2025!
Drive by download exploits zijn fors zeldzaam geworden .
Maar gezien je geweldige kennis wist je dat toch ook ?
Juist door dit soort aan 'geweldige kennis' ontsproten statements is het helemaal voorstelbaar dat criminelen de drive by's gaan re-releasen.
Jouw 'geweldige kennis' is tunnelvisie. Criminelen zijn een straatlengte sluwer dan jij slim bent. Anders was het mondiale IT netwerk net zo veilig als een Duitse Kindergarten.
Als de e-mail van de bank niet op dat adres binnenkomt, dan weet je dat het phishing is en dus van oplichters komt.
Nergens voor nodig. Alle banken ondertekenen hun mail met DKIM met de sleutel in hun domeinnaam. Klopt die DKIM ondertekening, dan komt de mail van de servers van je bank. (Of een ander bedrijf dat mag ondertekenen.)
Vandaag een mailing:
Authentication-Results: xxx.nl; dkim=pass (2048-bit key) header.d=nl.abnamro.com header.i=@nl.abnamro.com header.b=MZ+1lZdu
Het valt me wel tegen dat de bank geen DMARC policy heeft op dit domein. Maar goed, dkim is op zich voldoende als het domein maar klopt. Zonder dat dit geldig is ik nooit reageren op een bankmail.
En dan ook nog goed nadenken over de inhoud van de mail. Een maand geleden kreeg ik een heel vreemde mail van mijn bank die duidelijk nooit voor mij bedoeld kon zijn, waar de dkim wel klopte. Ik heb toch maar gebeld en er bleek iets mis te zijn gegaan bij een mailing. Hij was na een heel verkeerde doelgroep gestuurd. Ze hadden dit gemerkt en waren al een excuusbrief aan het schrijven.
Wat dat betreft snap ik niet dat er nog steeds mensen in trappen met die jarenlange aandacht in de media voor dit probleem.
Als de e-mail van de bank niet op dat adres binnenkomt, dan weet je dat het phishing is en dus van oplichters komt.
Nergens voor nodig. Alle banken ondertekenen hun mail met DKIM met de sleutel in hun domeinnaam. Klopt die DKIM ondertekening, dan komt de mail van de servers van je bank. (Of een ander bedrijf dat mag ondertekenen.)
Vandaag een mailing:
Authentication-Results: xxx.nl; dkim=pass (2048-bit key) header.d=nl.abnamro.com header.i=@nl.abnamro.com header.b=MZ+1lZdu
Het valt me wel tegen dat de bank geen DMARC policy heeft op dit domein. Maar goed, dkim is op zich voldoende als het domein maar klopt. Zonder dat dit geldig is ik nooit reageren op een bankmail.
En dan ook nog goed nadenken over de inhoud van de mail. Een maand geleden kreeg ik een heel vreemde mail van mijn bank die duidelijk nooit voor mij bedoeld kon zijn, waar de dkim wel klopte. Ik heb toch maar gebeld en er bleek iets mis te zijn gegaan bij een mailing. Hij was na een heel verkeerde doelgroep gestuurd. Ze hadden dit gemerkt en waren al een excuusbrief aan het schrijven.
Wat dat betreft snap ik niet dat er nog steeds mensen in trappen met die jarenlange aandacht in de media voor dit probleem.
Daar valt werkelijk helemaal niets aan te snappen. Blijkbaar snap jij niet dat social engineering al jarenlang ook evolueert. Of denk je nu werkelijk dat het nog van hetzelfde soms lachwekkende allooi is als 15 jaar geleden?
Ontwerpen van social engineering technieken is een heuse bedrijfstak geworden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Netwerkbeheerder
Netwerk Services
AIVD
Betrouwbaarheid, optimale beveiliging en innovatie: eisen die we stellen aan onze infrastructuur die het belangrijke werk van de AIVD en de MIVD mogelijk maakt. Zorg jij ervoor dat gebruikers altijd op de systemen kunnen rekenen en dat er geen staatsgeheim ontsnapt?
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?