Wat een doortrapte manier. De rust en kalmte van de zogenaamde medewerker van BUNQ. Wie leent zich hiervoor?
Goed opgelet en geacteerd naar BUNQ.

Wel vraag ik me af of het slim is om je stemprofiel/woorden zoals JA te laten opnemen aan de criminele kant.

Nee, dat is geen oplossing.

Het is een veel te technische oplossing bedacht voor een techneut die niet begrijpt hoe normale gebruikers omgaan met dit soort meldingen.

gebruikers komen juist heel vaak op nieuwe sites, en bij teveel meldingen klikken gebruikers ook gewoon op OK.

Ja, het is vanaf de hoogste tot de laagste regionen geïnfecteerd en overal zitten de rotte appels al binnen.
Ik heb ook het idee dat de overheid ons al niet langer weet te beschermen tegen deze golven cybercrime
door cybercriminelen en niet te vergeten ook statelijke actoren van weet ik niet waar.

Ook worden mensen na de Odido-hack opgebeld dat er meer dan 700 euro van hun bankrekening wordt afgeschreven;
Je hoeft alleen nog maar een toetsenbordtoetsje in te drukken en je bent het geld echt poter.

Bel je met de bank, zeggen ze dat ze er feitelijk niets mee kunnen, fraudedesk doet er niets anders mee,
dan registreren hoe erg het geworden is.

Beste Erik, het heeft allang geen prioriteit meer, er valt immers niets aan handhaving te verdienen.
Het kost ons allemaal alleen maar geld. Zwaar hopeloos dus, als Big Tech alleen regeert!
Ik begrijp de frustratie van mensen volkomen.

Een fragment uit je opname dat mij opvalt is dat de oplichtster dit zegt:
Dus om over te komen als de partij die je kan vertrouwen legt ze je uit hoe criminelen werken, vlak voor ze precies dat wat ze als crimineel gedrag beschrijft zelf doet.

Hoe kan dat werken? Het kan erop neerkomen dat mensen die erin trappen de informatie niet verwerken als iets om inhoudelijk alert op te zijn, maar als iets dat een vinkje toevoegt aan "die is te vertrouwen" of "die is niet te vertrouwen", om vervolgens op basis van dat vertrouwen verder te varen en niet op basis van de inhoud. Als dat is hoe iemand reageert dan mist die makkelijk dat wat zojuist nog als criminele tactiek is beschreven is precies is wat er nu gebeurt.

Dit soort dingen hoeven niet iets te zijn dat constant is bij iemand. Het zou bijvoorbeeld makkelijker kunnen gebeuren als je moe bent, overdonderd wordt, gestoord wordt in iets waar je met je volle aandacht in zat. Maar de capaciteit om scherp te zijn op inhoud heeft ook met intelligentie te maken en dat is echt niet bij iedereen in dezelfde mate aanwezig, en het zou kunnen dat dit de overheersende modus operandi is voor sommige mensen.

Dat de voorlichtingscampagne met de simpele, kernachtige boodschap "hang op, klik weg, bel je bank" geen succes was doet vermoeden dat het vrij hopeloos is om te proberen de hiervoor kwetsbare groep bij te brengen anders te reageren dan ze nou eenmaal doen, de inhoud van de boodschap wordt niet inhoudelijk verwerkt en gaat verloren, als het beeld dat ik nu heb klopt.

Ja nasty. Ik verwacht ook niet snel actie vanuit Bunq tenzij dit ineens heel veel gaat voorkomen.

Heel irritant als je suf wordt phished inderdaad zelf ben ik ook betrokken bij het lek maar heb nog niets gemerkt.

Mag ik even advocaat van de duivel spelen? Hoe weet jij 100% zeker dat dit herleiden is aan het Odido datalek behalve de toevalligheid dat dit vlak na elkaar is?
Mijn e-mailadres die ik gebruik voor alles behalve belangrijke cruciale dingen is in al die jaren al betrokken geweest bij een lek waardoor het aanwijzen van 1 schuldige partij in dat geval ingewikkeld wordt.

Nu ben ik begonnen met aliassen te maken voor veel diensten dit maakt het makkelijker om iets terug te herleiden naar een partij maar het is ongelooflijk veel werk en het vereist nogal wat doorzettingsvermogen en discipline.

Je ziet hier weer de klassieke dualiteit binnen de cybersecurity-community. Aan de ene kant wordt overheidsbemoeienis op internet al snel weggezet als censuur en een aantasting van de vrijheid. Aan de andere kant wordt er luid geroepen om alles wat niet deugt meteen te blokkeren en al het verkeer van criminelen nauw te monitoren. En waag het niet als de politie een site niet in het weekend gelijk blokkeert na een melding van een zolderkamer hacker (wat overigens goed werk is, hats off!).

Nog steeds lijkt men niet te snappen dat er geen gulden middenweg is: een internet kan nooit tegelijk volledig vrij EN volledig veilig zijn. Wie voor veiligheid kiest, levert vrijheid in. Wie voor vrijheid kiest, levert veiligheid in.

Hoe weten ze dat je bij bunq zit, of is dit in de Odido lek te zien?

Zelf is ook mijn email en telefoonnummer gelektin de Odido lek. Tot dusver alleen nog maar spam ontvangen.

neen het internet is niet ziek maar de mensen die er misbruik van maken zijn zeer ziek.....en lui om gewoon te werken...ze steelen graag makkelijker...maar daar word niet tegen optreden ook niet van uit den haag...stelletje analoge

Dit is een belangrijk punt.

Overheid kan het nooit goed doen. Maar banken ook niet. Want als ze transactief willen monitoren -> gezeur.
Willen ze rekeninghouders indificeren -> gezeur.
Blockeren ze een rekening te snel -> gezeur.
Neemt de overheid strengere maatregelen -> gezeur.
Doet de overheid niet direct iets -> gezeur.

Dank voor de reacties!

Vast niet. Maar net zoals het in handen krijgen van een scan van mijn paspoort, het kennen van mijn BSN en IBAN, is het een systeemfout als iemand daarmee kan "bewijzen" dat hij of zij ik is. En ik heb dat systeem niet bedacht.

Sterker, ik roep al jaren dat dit een krankzinnig systeem is dat fraude enorm in de hand werkt. Ik kan wel proberen om onder een steen te kruipen, maar laat criminelen mij desnoods maar pakken. Ik kan mij bij een rechter beter verdedigen dan mensen die er niets van snappen. Met mijn bijdragen hoop ik ook rechters en advocaten te laten inzien dat online authenticatie véél te zwak is voor een groot deel van de zaken waar dit voor wordt ingezet. Het risico wordt volledig bij de burger gelegd (zie ook https://security.nl/posting/929028).

Net als bij anonieme websites, hebben we bij anonieme accounts geen idee van iemands beweegredenen; er wordt geen reputatie opgebouwd over meerdere reacties. Ik heb dan ook geen idee of het hier gaat om iemand met verstand van zaken, iemand die een hekel heeft aan mij en/of een cybercrimineel die tegen elke verbetering is - ook als die niet voor iedereen ideaal is. Ik zie deze anoniem in elk geval geen alternatief voorstellen, alleen maar afbranden.

Uit https://mastodon.social/@jasmijn02/116233826240144001:

De bunq bank kun je eigenlijk niet bellen, maar ik moet zeggen dat ik via hun 24x7 chat (in de app) prettig en snel (op zondag, ook zondagavond) geholpen ben door mensen met verstand van zaken die uitstekend samenvatten, kopie uit de chat:

Na een correctie van mij:
Ik ga ervan uit dat bunq echt wel geprobeerd heeft om in elk geval de site bij Cloudflare uit de lucht te halen (216.203.20.0/23 is sinds heel kort van "BL networks" en https://virustotal.com/gui/ip-address/216.203.20.170 kan er (nog) geen ASN van vinden, lijkt een bullet proof hoster - of van de cybercrims zelf). Nb. Clouflare is natuurlijk ook een bullet proof hoster, maar zij hebben nog wel iets aan reputatie te verliezen.

Beide sites zijn op dit moment nog live (ik heb de laatste punt door • vervangen):
hxxps://bunq.diaojj•com
hxxps://bunq.stakebet•live

P.S. als je op een passage wilt reageren, quote dan slechts die passage en niet mijn gehele reactie.

Eerst heeft de beller jou (als je slachtoffer wordt) bang gemaakt (iemand anders heeft toegang tot jouw bankrekening, je hebt immers niet zélf een andere telefoon aan jouw bankrekening gekoppeld). Vervolgens legt ze inderdaad precies uit hoe criminelen werken, waarmee de vertrouwensband wordt versterkt. Vervolgens biedt ze een oplossing, maar dan moet je wel precies doen wat zij zegt.

Ik ben geen psycholoog, maar ik lees overal dat dit een klassiek voorbeeld is van manipulatie waar de meeste mensen gevoelig voor zijn: de combinatie van enerzijds angst en anderzijds iemand die rustig praat (in dit geval zelfs in zeer correct en dialectloos Nederlands), een oplossing belooft en zo vertrouwen inboezemt. Als dat lukt heeft zo'n fraudeur je voor 100% in haar (of zijn) greep en werk je gedachtenloos mee. Achteraf zeggen bijna alle slachtoffers: "hoe kon ik zo stom zijn?".

Dát is pas stom: jezelf de schuld geven van een menselijke reactie. Gevolgd door trappen na uit jouw omgeving (en veel betweters op security.nl): victim blaming, "had je maar niet zo stom moeten zijn". Het is echter helemaal niet stom (maar simpelweg voorspelbaar menselijk gedrag).

Ik ga ervan uit dat Odido ook de rekeningnummers van klanten opslaat. En zo niet, is het gewoon phishing waarbij je hoopt dat de ontvanger bij die bank zit.

Ik ontving al geruime tijd geen spam meer op mijn beide door Odido gelekte e-mail aliassen, en uit https://haveibeenpwned.com na invullen van de e-mail alias waar ik zondagochtend de bunq phishing mail op ontving (in de inbox, niet de spambox):

Inderdaad betaalde ik Odido vanuit mijn bunq IBAN, dus ook dat is gelekt.

Niets is "volledig veilig", en internet is ook helemaal niet "volledig vrij"; big tech bepaalt nu de regels.

Ik heb iets dergelijks al vaker geschreven: als boven de deur van het clubhuis van een foute motorclub op een Russisch industrieterrein "ING Bank" staat (met een Oranje leeuw ernaast), ga jij daar dan jouw bankzaken doen? Op internet zie je niet of je met een clubhuis van een foute Russische motorclub of met een fatsoenlijk gebouw in het centrum van een Nederlandse stad te maken hebt.

Daarom is het m.i. noodzakelijk dat internetters weer onderscheid kunnen maken tussen websites met een eigenaar die anoniem wenst te blijven (wat mij betreft hebben ook zij bestaansrecht) en websites van een bekende eigenaar - die een bepaalde reputatie heeft opgebouwd, waarvan je weet in welke jurisdictie deze gevestigd is en die je voor een rechter kunt slepen indien je bedonderd wordt.

Als er IKEA op een pand in Nederland staat, is het nagenoeg ondenkbaar dat daar geen echte IKEA in zit. In een land zonder regels (die wij fatsoenlijk noemen), is dat, net als op internet, echter de normaalste zaak van de wereld (https://rtl.nl/nieuws/economie/artikel/5488980/nu-er-ook-noord-korea-een-ikea-maar-deze-wel-illegaal).

Als internetters niet geholpen worden (in plaats van daarbij tegengewerkt door Big Tech) met onderscheid te kunnen maken tussen nep en echt, zullen er steeds meer mensen worden opgelicht en wordt internet steeds minder bruikbaar.

Als iemand oplossing onwerkbaar is, waarom zou ik een oplossing moeten bedenken, wat beter is. Ik laat alleen zien, dat dit een techneuten oplossing is, door iemand die te veel in techniek bedenkt om oplossingen te bedenken.

Als 99% van de gebruikers al een cookie melding direct weg klikt, dan weet je ook dat je oplossing dus eigenlijk onwerkbaar is en dus onrealistisch is als een mogelijke oplossing.

Je weet niet hoeveel sites er eigenlijk per dag voor het eerst benanderd worden, of hoeveel redirect er wel niet kunnen zijn, voordat je op een inlog pagina uitkomt, zie je dat je oplossing bijvoorbeeld direct mee zou falen.

Er kunnen misschien oplossingen zijn die wel gebruikt kunnen worden, maar dit is er geen.

Ik ben ook geen auto intwerper, maar als ik funtioneel iets zou moeten testen, kan ik wel zeggen of een idee goed of slecht ontworpen is, en waarom. Dat wil niet zeggen dat ik de kennis heb, om een nieuw ontwerp te maken.

Ik merk in het telefoongesprek dat de oplichtster na elk kort antwoord van jou nog even wacht of je nog meer gaat praten.
Dat deed je dus niet. :-) Zij had paniek verwacht maar je praatte heel weinig en geen spoortje van paniek te bekennen.
Leuk!

Ik ben een Noob.
Ik gebruik Odido en mijn gegevens zijn gelekt.
Ik heb nu een aantal e-mails gehad van oneerlijke sites.
Mede dankzij Erik heb ik wel zoveel meegekregen van hem dat ik het gemakkelijker onderken en er beter dan daarvoor mee om kan gaan.
Ik maak nu van de mailberichten een html bestand en zend die naar Valsemail en politie.
Belangrijk vind ik dat ik veel beter dan eerder url adressen kan beoordelen.
Onderschat de waarde van Eriks berichten niet.
Zijn uitleg zal ik als het heel erg technisch is niet voldoende begrijpen, maar zijn herhaaldelijk laten zien hoe het gevaar er uitziet is voor mensen zoals ik erg fijn.
Bij mij werkte het geruststellend dat inzicht.
Wat mij betreft zie ik graag dat Erik op dit forum blijft melden wat hij te zeggen heeft.

Groeten.noob.

Wijziging 20.01 van noob
Ik beweerde een html bestand, maar dat moet zijn EML.
Sorry.
Noob.

Bedankt voor de geluidsopname, levensecht. Niet heel gek dat mensen hier intrappen.

@erik
Ik weet wel een probaat middel (en daar zal ik wel om bekritiseerd worden): vanaf vandaag, iedereen die mij nog durft te bellen en zegt "de bank" te zijn en "security issues", die phone wordt meteen op de haak gegooid.

Dan even zelf de echte bank bellen of zij het wel waren. Zo niet, dan nummerblokkade oplichter.

Je kunt het spel met de oplichter ook meespelen, door te zeggen: "ik heb inderdaad mijn phone aan mijn account gekoppeld, hoezo weet u dat niet?" Dan ontstaat paniek aan de andere kant van de lijn. "Dus die phone is van u?" dan zeg je: "die phone is van mij" (je vermijdt het woord "ja"). En elke keer dat er "nee" of "ja" moet worden geantwoord, herhaal je de zin die de oplichter stelt. "Dus u bent er zeker van dat die phone van u is?", dan antwoord je: "Ik ben daar zeker van". "Dus hij is van u?" dan zeg je "Hij is van mij".

Dan neem jij vervolgens het initiatief door de telefoonverbinding te verbreken. "Alles is okee hoor, een prettige dag"

De oplichter heeft dan niets en blijft gefrustreerd achter.

Je bent ook ten prooi gevallen aan de simbox Erik. Die bellen de hele dagen soms stellen ze zich voor als "Ruth" of "Femke" daar moet je gewoon alert op worden net zoals een aantal andere namen, want dat betekent iets in die kringen. Het zijn narratieven die deze criminelen gebruiken voor hun doel.

Wel fijn dat je het hier plaatst. Dank daarvoor.

Niet met vreemden praten, (ook niet via de telefoon). Makkelijk toch?

Bedankt voor het delen. Je geluidsfragment is zeer waardevol. Dit is veel beter dan welke e-learning over phising die te maken is. Het is het levensechte beeld hoe het gaat. Niet alleen zakelijk, maar ook in mijn prive netwerk zal ik dit laten horen omdat het andere kan behoeden voor een grote fout.

Dat is te kort door de bocht.
Kijk wel even naar de aanleidngen/argumenten waarom men iets wil doen vanuit Den Haag:

Want als ze transactief willen monitoren -> gezeur.
Dit heeft met witwas-controles te maken. De overheid wil dat de banken 17 miljoen mensen monitoren, omdat een kleine minderheid zwart geld wast via bankrekeningen. De grote witwassers bij ondenemingen en banken zelf worden echter buiten schot gelaten. Die hebben andere routes en mazen in de wet.

Willen ze rekeninghouders indificeren -> gezeur.
Zie de witwas-uitleg. En vooral een extra kopieetje ID bewijs af moeten geven. (weer een extra dataset om te hacken)

Blockeren ze een rekening te snel -> gezeur.
Want banken zijn bang dat ze problemen met de toezichthouder krijgen, vanwege diezelfde witwas controles als ze iets fout doen. Met als gevolg dat risico-volle beroepen (bv prostituees) opeens geen bankrekening meer konden openen of aanhouden.

Neemt de overheid strengere maatregelen -> gezeur.
Het doel van de maatregelen is controle uitoefenen op de circulatie van geld. Witwas-wetgeving. Maximum contant geld. Etc.
Niet de "persoonlijke data" veiligheid van burgers.

Doet de overheid niet direct iets -> gezeur.
Omdat diezelfde overheid het nalaat om met goede wetgeving of oplossingen te komen, die proactief voorkomen dat die datasets ontstaan bij allerlei organisaties. Of dat de afgegveen data maar voor dat ene doe, te gebruiken is, en daarna waardeloos wordt.
Wetgeving die burgers echt beschermt ipv intensief controleert wat ze doen. Daar zit het nuance verschil in.
Als die datasets er niet zijn of niet herbruikbaar zijn, kunnen/zullen ze niet gehackt of gestolen worden.


En banken zouden een aantal opties kunnen aanbieden die het voor burgers weer makkelijker maakt controle uit te oefenen over hun geld. Ook als ze ouder worden.
- Balies. (Persoonlijk contact. Sociale controle.)
- Minder snel transacties uitvoeren. (Vroeger kostte dat 1-3 dagen. Nu seconden.)
- Niet ongevraagd allerlei extra foefjes en poespas aan bestaande rekeningen en de apps toevoegen. Maak ze expliciet opt-in. Met een bedenktijd!
- Ondersteun linux als platform voor je apps. ( ;-) )
- Het 4 ogen principe. (niet alelen de rekeningeigenaar, maar ook iemand anders, die handelingen moet goedkeuren. (bv opties aanzetten, grote bedragen betalen, etc)
- Niet alle handelingen in de app achter dezelfde 5 cijferige code stoppen. (ja, jullie ING!) Gebruik dan de tetefoon alleen als MfA authenticator met OTP, en laat de handelingen uitvoeren in de website portal op een ANDERE machine.
- Ontwikkel je producten met een oog op die ouderen en andere burgers die minder snel meekomen. Dat is de echte groei-markt van deze tijd. Niet sexy. Wel belangrijk.

Phishing doen de banken zelf ook:
dat constante gezeur over beleggen door particulieren
waarbij ik me afvraag:
als beleggen zo lucratief is als voorgespiegeld,
waarom doen de banken dat dan zelf niet met ons spaargeld
en geven ze ons dan geen hogere rente?

Zelf heb ik een catch-all op mijn (zakelijke- en privé-)domeinen. Voor alle communicatie met bedrijven gebruik ik unieke emailadressen: bedrijfsnaam.tld@mijndomein.tld.
Alles wat ik nu aan spam en phishing ontvang op t-mobile.nl@mijndomein.tld en odido.nl@mijndomein.tld is daarmee direct te relateren aan het Odido datalek.

Dank weer voor alle reacties!

————
Het leek erop of er sprake was van enige vertraging voordat de beller antwoordde. Ik sluit niet uit dat de beller van een gesynthetiseerde stem gebruikmaakte. D.w.z. de beller hoort mij, praat in een microfoon aangesloten op een computer die de werkelijke stem van de beller wijzigt in wat ik (ietsje vertraagd) te horen krijg. Daarom weet ik niet eens zeker of de werkelijke beller een vrouw was.

————
Mijn toneelspel is absoluut vatbaar voor verbetering, maar ik heb wel met enige druk gevraagd of zij de (zogenaamd) nieuwe apparaatkoppeling al ongedaan had gemaakt. Dat ik zei dat ik wat vergeetachtig ben is welliswaar niet helemaal gelogen (maar zo erg als ik voordeed is het, als ik mij dát goed voor de geest haal, nog niet).

————
@Anonieme "noob": fijn dat mijn schrijfsels ook worden gewaardeerd!

————
Niet door mij, in tegendeel!
Mits in combinatie met het volgende is dat een uitstekend advies:

Echter, kijk uit met het volgende:
Je kunt echt door jouw bank gebeld worden (uitzondering: bunq; zij zeggen nooit te bellen) na een verdachte transactie, en veel te vaak spoofen bankfraudeurs het telefoonnummer van jouw bank (spoofen betekent dat je een telefoonnummer van jouw bank op jouw telefoon ziet, maar wat je ziet is vervalst). Als je dát telefoonnummer blokkeert kan de echte bank jou ook niet meer bellen.

Zelf werd ik deze keer door een anoniem nummer gebeld; ik weet niet of er banken zijn die dit ook doen (dat lijkt mij niet waarschijnlijk, maar ik weet het gewoon niet).

————
Welnee. Criminelen hebben weinig te verliezen. Als ze onraad ruiken hangen ze op.

————
"Ten prooi" zou ik het niet noemen ;-)

Het lijkt mij onverstandig om te proberen aan de hand van namen telefonische oplichting te herkennen. Hang op en bel zelf je bank (in het geval van bunq: open de app, druk linksboven op het gezichts-icoontje, open "24/7 Support" en tik wat je wilt weten).

Graag gedaan!

————
Niet lezen wat Anoniemen schrijven (ook niet op security.nl). Makkelijk toch?

Maar zo werkt het natuurlijk niet.

————
@Anoniem 08:43: dank voor het uitgebreide antwoord op de moppersmurf.

————
Welkom in onze volkomen doorgeschoten kapitalistische maatschappij. Als je niet rijk bent hoor je er niet bij! (Maar wij draaien u een poot uit waar u bij staat, zodat niet u maar wij nog rijker worden).

Dat is marketing waarbij de bank zich niet als een ander voordoet. Bij phishing liegt degene die het doet wel over zijn identiteit, bijvoorbeeld door te doen of die de bank is. Al die marketing vind ik ook bloedirritant, voor de duidelijkheid, maar het is niet hetzelfde.

Omdat beleggen een hoog rendement koppelt aan een hoog risico, je kan er veel mee binnenschuiven maar je kan ook stevig op je bek gaan. Als de bank je spaargeld zou beleggen zou het risico voor de bank zelf hoog worden en dat zou de dekking van het spaargeld in gevaar brengen. Veel veiliger is om dat spaargeld weer uit te lenen, maar dan is ook voor de bank het rendement lager. Omdat die koppeling met uitlenen er is heb je als spaarder ook last (of baat) van marktwerking op de leningenmarkt: als er veel geleend wordt levert dat een hoge rente op, als er weinig geleend wordt is de rente laag.

Right. Laat deze fraudeurs zich maar bekend maken en mij voor de rechter slepen, dat risico neem ik.

Nb. denk jij dat zo'n bankhelpdeskfraudeur onverstoord doorgaat als ik begin met:

Aanvulling: de politie is zwaar onderbezet, nepsites worden veel te laat of niet uit de lucht gehaald (zojuist updated: https://todon.nl/@ErikvanStraten/116277259386543982), Big Tech maakt het ons opzettelijk onmogelijk om, op het mijnenveld dat internet heet, nep van echt te kunnen onderscheiden, banken en Kifid zeggen dat je "Grof Nalatig" bent als je in steeds geraffineerdere phishing trapt terwijl digitalisering ons door de strot wordt geduwd (zonder redelijke alternatieven) en banken woekerwinsten maken, en de overheid, na de zoveelste flutwebsite te lanceren die niemand bekijkt, weer achterover leunt na https://nos.nl/artikel/2592187-jongeren-herkennen-online-oplichting-minder-goed-dan-ze-zelf-denken.

En dan zou wat ik doe, potentiële slachtoffers proberen te voorkómen, onwettig zijn?

Dus de bank zou goed duidelijk moeten maken dat beleggen voor hun te risicovol is en dat de bank dat daarom aan particulieren overlaat, zodat de bank er in ieder geval aan verdient?

Ander punt is dat wanneer ik rente moet betalen over mijn spaargeld bij de bank
omdat de bank dat geld zogenaamd elke nacht ergens anders moeten stallen,
het dus niet heel vreemd is dat mensen het geloven als iemand zegt dat je je geld op
een andere rekening moet zetten om het veilig te stellen.

Nee. Dat is wel vreemd.

Dat geld staat namelijk al bij de bank. ZIJ zijn er verantwoordelijk voor. Daarom staat het daar.
ALS de bank zich zorgen maakt dat het geld er niet veilig staat, dan is het HUN taak om er ergens te stallen waar het wel veilig is.
Daar moeten ze hun klanten niet mee lastig vallen.
Ontzorgen noem je dat.

Dat je daar als klant werl mee lastig gevallen wordt, toont dat aan dat je met een oplichter te maken hebt.
En anders (als de bank haar zaakjes echt niet op orde heeft) ben je gedekt door de garantieregeling (en de bank zijn verzekering).

Haha, top antwoord Erik!

Het "vanaf vandaag" is rijkelijk laat - dat is, min of meer, al jaren het advies.

Alleen : banken bellen (soms) echt .
Deels "verwacht" - als je bezig bent met een hypotheektraject is de kans heel groot dat er vragen ook telefonisch heen en weer gaan.

De andere reden kan zijn als er een twijfelachtige (vanuit bank monitoring) transactie gezien wordt .
Heb je net de (met je amper gebruikte creditcard) de laatste kaartjes(of tickets) vastgelegd , kun je gebeld worden of je dat echt zelf was . Of zo iets.
We lezen hier nogal eens in de kifid-artikelen - gewoonlijk in de versie dat de klant door de oplichter geinstrueerd is om de juiste dingen te zeggen (ja, ik wil echt zelf crypto's kopen op malta vanwege het rendement) om de transactie door te laten gaan.

Een hoop banken hebben nu 'check het gesprek' in de bank-app . Controleren of het gesprek dat je hebt echt vanuit de bank is opgezet .
Vinden de app-haters hier niet leuk, maar dat werkt natuurlijk wel.

De bank terugbellen is prima. Let op dat je het verdachte gesprek echt zelf hebt neergelegd, en bel terug naar het (tevoren) opgeslagen nummer .
(let op dat je op vakantie ook de "buitenland nummers +31 xyz " opslaat, en niet alleen een 0800 nummer )

En controleer dan je zaken in de bank app .

Wees trouwens - gezien spoofing - niet te scheutig met nummerblokkade . Zou jammer zijn als je het valide callcenter nummer blokkeert omdat de oplichter dat gespoofed heeft .
Het nut van blokkeren is m.i. beperkt - het zijn echt wegwerp nummers als ze niet spoofen. Haast net zo wegwerp als "spam email afzender adressen" .

Ik werd zo ziek van scam telefoontjes dat ik mijn toestel heb ingesteld dat het enkel nog oproepen accepteert van mijn contacten. Het kost want onderhoud aan je contactlijst, maar zo'n whitelist brengt wel rust.

Inderdaad, en dat zou misschien wat nadrukkelijker gezegd kunnen worden.

Wat mij dan ook wat ergert, is weanneer er gezegd wordt dat e-mail en SMS
achterhaald, want onveilig is, maar in wezen is het veel onveiliger dat je
gebeld kan worden door een nummer dat niet van degene is die belt. Dat daar
blijkbaar niets aan gedaan wordt, verbaast mij ten zeerste.

email (en SMS) hebben ongeveer hetzelfde probleem als bellen - ook daarvan is de afzender niet gegarandeerd.

Net zoals papieren brieven - sinds iedereen kan printen is "bedrijfslogo" nietszeggend.

Telefoonspoofing is ook gewoon niet simpel oplosbaar.
(ondanks verontwaardigde techneuten die het zouden oplossen als zij maar werelddictator voor alle telefoonproviders waren).

Overigens : de afzender in bijvoorbeeld whatsapp is niet spoofbaar, maar de succesvollle "familie fraude" (hoi pap ik zat krap stuur even wat geld naar mijn nieuwe rekening ) bewijst gewoon dat erg veel mensen daar niet naar kijken.

De banken sturen naar het model dat de bank-app het betrouwbare medium is, en dat klopt gewoon .
Van alle varianten communicatie is "bericht staat in de app" verreweg het meest betrouwbaar.

O.
Ik krijg (erg incidenteel) wel "belletjes van onbekende nummers" die ik niet wilde missen, en dat zijn er nog steeds meer dan scam bellers .

Heb geen iOs, Android etc. Heb dus ook geen smartphone. Heb alleen een vaste telefoonlijn VOIP en een eenvoudige GMS telefoon.

Ben nog nooit gebeld (tot nu) met malafide communicatie. Word sowieso zelden gebeld op de GMS telefoon want ik gebruik het ding alleen voor noodgevallen.

(Had tot nu alleen een SMS van TikTok: ongelezen delete. https://www.security.nl/posting/929499#posting929512)

Toeval? Roept u maar.
Geen smartphone? Dat is pas rustig. Heerlijk.

Ik krijg juist de meeste verkoop onzin op mijn vaste lijn

Tijd dat ze die "app" dan ook voor andere platforms zoals Linux op desktop computers gaan maken.

Juist niet . desktop OSen en de desktop hardware - ook Linux - zijn gewoon een heel stuk onveiliger dan zowel Android als iOS .

De app van zichzelf is niet ontzettend "extra veilig" (hoewel een vaste URL + controle natuurlijk beter is dan "gebruiker tikt url in) , maar het platform helpt enorm .

Dat de mobiele gebruiker (slechts) "applicatiebeheerder" is en feitelijk geen 'systeembeheerder' meer helpt daar fors aan mee.
Naast wat hardware features, en een OS dat gebouwd/geconfigureerd is op 'security' (of vooral : isolatie) , en het dominante model van een curated app store .
precies alles wat desktop OSen NIET hebben.

Inderdaad, top antwoord en vooral ook een goede tip van Erik.

Veiligheid is relatief.
Een speciale bank "app" op Linux is veiliger dan bellen, SMS of e-mail.

Dat komt omdat je opneemt.

Dat is peren met bakstenen vergelijken, een gigantische vereenvoudiging van de risico's die verschillende individuen lopen.

Indien de bank-app die je gedownload en geïnstalleerd (op jouw favoriete OS) hebt, écht door jouw bank gemaakt is, heb je al een flink risico uitgesloten. Door uitsluitend uit de Google Play Store of Apple App store te downloaden, verklein je dat risico (doch niet naar nul).

Omdat (ook minder ICT-ervaren) gebruikers van Android en Apple devices meestal van veilige apps gebruikmaken, hebben aanvallers zich aangepast: zij proberen slachtoffers over te halen om een nep "update" te installeren, of een RAT (Remote Access Tool) zoals AnyDesk of TeamViewer.

Dreigingen zijn niet alleen afhankelijk van het gebruikte besturingssysteem. Je kunt dus niet zeggen dat jouw favoriete besturingssysteem "het veiligste" zou zijn voor iedereen.

Security is complex en je kunt het niet vereenvoudigen met een korte reactie op https://security.nl.

Dat zou relevant zijn als dergelijke aanvalsmethoden _specifiek voor mobiele platformen_ waren.
Zoals iedereen weet zijn desktop OSen nog veel kwetsbaarder voor nep updates (malicious browser plugins), gewone trojans of remote access tools .
Precies omdat het OS platform en landschap minder veilig zijn - "untrusted source updates" zijn nog "normaal", de gebruiker heeft nog alle rechten die te installeren en de malware kan nog van de gebruiker maximale systeemrechten krijgen.


Overigens - ik zou eerder zeggen dat aanvallers zich richten op 'procedurele misleiding' van gebruikers - het verleiden tot het koppelen van een extra authorized device, of het rechstreeks door de gebruiker laten overboeken van geld - de "kluisrekeningen" scams.
Beduidend minder op het compromitteren van "het banking platform van de gebruiker" .


Mwoah, durf ik toch wel aan.
Je voorbeelden zijn in elk geval niet platform specifiek qua risico . (niet slechts besturingssysteem - zoals ik schreef maar wat je niet citeerde - de combinatie hardware, os, os landschap/configuratie ) .


Wat je niet kunt zeggen is dat je _klaar en onkwetsbaar_ bent als je maar een mobiel platform gebruikt.

Wel dat je een heleboel technische en sommige UI/procedurele risico's erg goed en erg simpel bruikbaar gemitigeerd hebt vergeleken met andere platform keuzes.

Behalve de AI mogelijkheid worden er vaak scripts gebruikt waar de "werknemer" zich strikt aan moet houden.

Daar komt bij dat zelfs de hersenen van sociopaten meer tijd nodig hebben om een leugen te presenteren.

Er lijkt een website "uit de lucht" te zijn gehaald, maar de wijze waarop is gebrekkig en het gaat om een "doorstuursite" - waar phishers er meerdere tegelijk van gebruiken en vaak vervangen - nauwelijks zinvol dus, zoals in in het plaatje in https://todon.nl/@ErikvanStraten/116297567483545312 probeer te laten zien.

Nagenoeg alle phishingsites betrokken bij wat mij zondag overkwam, zijn nog gewoon live - zonder phishing-waarschuwingen van Cloudflare.

Internet is doodziek en Big Tech (waaronder Cloudlare) is evil.

Dat laatste is onzin , in de zin dat het merkbaar verschil zou geven.

Een paar verklaringen : de beller zit in een callcenter _ver weg en de gebruikte communicatie tool introduceert forse latency .

(zeker zelf meegemaakt - skype, WA, teams met "ver weg" introduceren latency die merkbaar kan zijn als je echt een heen-en-weer gesprek hebt ).
Een stemvervormer is ook een theorie inderdaad, en introduceert natuurlijk ook latency .

Een live vertaal app zou ook nog kunnen , hoewel die toch net genoeg steekjes laat vallen om betrapt te worden . Maar dat geeft zeker ook een herkenbare vertraging.

Ok (nu beluisterd) - klinkt niet als vertaal app , en ook niet echt vervormd .

M.i.klinkt toch voornamelijk als "natuurlijk" wachten als in "kwam er nou nog wat of praat ik verder" . Zeker als de verbinding 'ietwat' latency heeft krijg je al snel die twijfel

Klopt, ik heb wel eens een middag in een call centre gezeten, om zelf te ervaren wat dat is. Er wordt met scripts gewerkt die je op je scherm ziet, en met aansturing via een oortje, maar degene die je aan de telefoon hebt, mag daar niets van merken, het moet "natuurlijk klinken" zoals ze dat noemen. Hooguit "even iets opzoeken in de computer" of "het systeem ligt eruit, zal ik u op ander tijdsstip terugbellen?' Dat was de noodknop, bij een fatsoenlijk call centre dan. Maar hee, bedenk eens hoeveel mensen dit werk gedaan hebben, soms wel jarenlang. Die zijn doorgetraind in het voeren van deze gesprekken, of ze nou voor Wehkamp bellen, of voor de crimineel in dat zijstraatje van die winkelstraat.

Dat gesprekken worden opgenomen voor trainingsdoeleinden wordt er wel altijd bij gezegd, maar voor welk trainingsdoeleinde (AI?) niet. Hoeven ze er ook niet meer bij te zeggen, hoorde ik laatst want mensen in dat werk kunnen door computers vervangen gaan worden.

big tech is niet evil. Bepaalde misbruikers zijn evil.

Big Tech verdient aan low budget website hosting, proxing, storage en verhuur van domeinnamen aan volstrekt anonieme criminelen (of identiteitsfraudeurs) en is daarmee medeplichtig aan cybercrime.

Bovendien heeft Big Tech (met name Google) browsers om bovenstaande reden zo gemaakt dat internetters low budget (of gratis) websites niet meer van serieuze websites kunnen onderscheiden. Dubbel medeplichtig dus.

Cloudflare luistert ook nog eens alle verbindingen door hun proxyservers af (doordat https verbindingen in die proxyservers getermineerd worden, zien ze onversleutelde content).

Niet Evil? Droom verder.

En ze bieden mogelijkheden aan, voor particulieren, kleine bedrijven.

Geen conclusie, maar een mening. En deze is wel heel heel slecht in zijn onderbouwing.

Ook weer een mening met grote woorden " luisteret af".

Meestal is je onderbouwing goed, maar dit is gewoon je eigen mening ventilere en proberen daarmee een indruk te wekken, dat je alles correct hebt. Mede door grote woorden, zoals afluisteren, medeplichtig en big evil.

Dit is gewoon lachwekkend als mening.

Precies zoals deze trol schrijft, "Meestal", heb ik mijn claims heel vaak onderbouwd. Ik blijf dat niet in elke reactie doen omdat een jankende Anoniem dat nodig vindt.

Voor de laatste info over de betrokken cybercriminelen zie mijn beide reacties onder https://security.nl/posting/930156/Cel+voor+man+die+via+phishingmails+230_000+euro+van+zeventig+ICS-klanten+stal.