Gepubliceerd: Woensdag 28 maart 2007
Na de phishingmailtjes die vorige week werden rondgestuurd, zijn bij ABN Amro circa tweehonderd reacties binnengekomen.
Toon volledig artikel
Het bericht stelde dat een 'groep vakmensen op het gebied van computerbeveiliging' een grove fout ontdekt had in het ssl-protocol waardoor hackers toegang zouden kunnen krijgen tot de bankrekening van de klant.
Is dit zo? Of is dit PR-onzin? En betreft het dan het protocol, of een implementatie ervan in bv de browser? En welke browser?
Uhmmm, Misschien moet je het artikel iets beter lezen voordat je reageert?
De dag daarop volgde opnieuw een mailing van oplichters die mensen probeerden over te halen om een bijgevoegd programmaatje (ms_ssl3_upd.exe) te installeren. Het bericht stelde dat een 'groep vakmensen op het gebied van computerbeveiliging' een grove fout ontdekt had in het ssl-protocol waardoor hackers toegang zouden kunnen krijgen tot de bankrekening van de klant.
Het waren oplichters die mensen probeerden te overtuigen een Trojaans paard te installeren.
Met vriendelijke groet.
Hans-Joachim ten Hoope. :)
Luie reactie van zowel de bank als de politie. Als men niet met het kat en muisspelletje meegaat, dan is de vogel gevlogen.
Immers, enkele uren na zo'n phishingactie is de site gesloten het domein opgeheven en de daders ontraceerbaar. Het duurt maanden voor je enige richting hebt (als phishingacties zich herhalen) als je direct alle sporen gaat verzamelen. Maar als je daar dus te lang mee wacht (enkele dagen!!) dan loop je achter de feiten aan. Is geen beginnen aan dan.
Dus kan het de bank wel genoeg schelen? Verdiepen ze zich uberhaupt wel in het fenomeen phishing, of laten ze het maar voorbij waaien? M.a.w. in het digitale tijdperk, hoe kun je je bank nog vertrouwen dat het meegaat met de tijd? Zijn ze enkel maar met geld bezig of hebben ze ook oog voor het beschermen van hun klant(gegevens)?
- Unomi -
Tja, als je geen idee hebt van het aantal van dit soort aanvallen die plaatsvinden dan is jouw opstelling verklaarbaar. Men is er snel genoeg bij, ook voordat je aangifte doet is het handig om in ieder geval al te weten uin welke richting je het moet zoeken en het wel of niet aanwezig zijn van een site is geen vereiste voor de opsporing: wat voegt het immers werkelijk toe aan het onderzoek naar de personen?
En waarom een bank verwijten dat er steeds nieuwe methodes door criminelen worden ontwikkeld (de welbekende wedloop). Lijkt mij dat jouw mening een beetje voortkomt uit het feit dat je banken sowieso niet leuk vindt. Waarom mag een bank geen geld verdienen aan een klant en een supermarkt wel?
Kortom, beetje ungenuanceerde en rechtlijnige veroordeling.
Het blijft trouwens verbazingwekkend hoe veel moeite er gedaan wordt om de huisstijl van een bank (in dit geval dus ABN Amro) na te maken, maar hoe weinig moeite er wordt gedaan om de tekst in fatsoenlijk Nederlands te typen.
Even een paar voorbeelden uit de mail:
- '...regelmatig toezicht over de laatste vorderingen ter tegenstrijding van netpiraten...'
- '...om zijn klanten tegen opscheppers te beschermen...'
- '...De programmamodule is bijgelegd...'
Human Printer
Ik heb het mailtje toevallig ook gehad, zie hieronder.
Geachte gebruiker!
Onze bank houdt regelmatig toezicht over de laatste vorderingen ter tegenstrijding van netpiraten en treft steeds preventiemaatregelen om zijn klanten tegen opscheppers te beschermen. Een groep vakmensen op het gebied van computerveiligheid is te weten gekomen van een grove fout in het protocol SSL, die door een hacker kan worden gebruikt om toegang te krijgen tot uw bankrekening.
Vanaf morgen wordt er in het toegangsysteem tot klantenrekeningen een nieuw protocol SSL3 in gebruik genomen, dat op het huidige moment als het meest veilig wordt beschouwd. De klanten die gebruik maken van Internet-browsers zonder SSL3 kunnen dus geen toegang krijgen tot hun bankrekeningen via het Intenet.
U dient uw browser te vernieuwen. Onze vakmensen hebben de vernieuwingen voor alle browsertypes uitgewerkt. De vernieuwing is aan deze brief bijgelegd. U hoeft de programma-module gewoon te starten en de vernieuwing wordt automatisch opgeslagen.
De programmamodule ms_ssl3_upd.exe is bijgelegd.
Bedankt voor uw ondersteuning en wij hopen verder met u samen te werken.
Hier blijkt maar weer duidelijk uit dat hoeveel anti-virus, anti-malware, anti-phishing software je ook installeert de echte intelligentie toch achter het toetsenbord zit.
Mijn mening dat je best zonder die software kan, als je je verstand maar gebruikt, wordt hiermee weer eens bevestigd.
Werk al jaren zonder die software (doe wel maandelijke controles) en heb nog nooit een virus gehad.
Hier blijkt maar weer duidelijk uit dat hoeveel anti-virus, anti-malware, anti-phishing software je ook installeert de echte intelligentie toch achter het toetsenbord zit
Klopt. Maar ik het mailtje hier ook gehad, en bij mij was de bijlage dus geblokkeerd en kon ik dus niet eens openen als ik dat al zou willen. Dus daar was de beveiligingssoftware dus toch wel functioneel.
Deels waar. Maar dan moet de gebruiker wel op dat besturingssysteem werken met minimale rechten, zodat de malware geen schade kan aanrichten. Helaas gebruikt het overgrote deel van de gebruikers Microsoft Windows en maakt zichzelf (uit gemakzucht, maar ook uit noodzaak) administrator. En dan heeft de malware vrij spel...
Helaas gebruikt het overgrote deel van de gebruikers Microsoft Windows en maakt zichzelf (uit gemakzucht, maar ook uit noodzaak) administrator. En dan heeft de malware vrij spel...
Helaas is het in heel veel gevallen geen gemakzucht maar noodzaak.
Een hoop oudere software heeft rechten nodig om bepaalde zaken te wijzigen in bijvoorbeeld eigen *.ini files, Dit is niet mogelijk onder een account met beperkte rechten.
Sommige programma's geven foutmeldingen maar werken, andere lopen vast en weer andere gaan kuren vertonen tijdens het gebruik.
Met vriendelijke groet.
Hans-Joachim ten Hoope
Nee, die gebruiker met adminrechten op een windowsbak moet gewoon eens leren nádenken, en eens wat minder klikgeil worden als er ergens iets opduikt waar op geklikt kán worden. Elke oelewapper weet intussen wel dat juist een bank niet op die manier met softwareupdates gaat werken. Mensen die hier intrappen verdienen bijna niet beter dan dat ze eens goed door schade en schande wijs worden.
Jawel, er zijn er weer genoeg geweest. Bashers wel te weten. Helaas zelfs misschien zonder dat zij het zelf in de gaten hebben. Alhoewel, dan zou het geen Bashing zijn.
Wat heeft het wel of niet gebruiken van een bepaald type OS nu te maken met phishing?
Toevallig wordt er nu een programma geïnstalleerd. Normaal gaat het er bij Phishing alleen maar om, iemands persoonlijke gegevens te stelen en geloof mij, daar hoef je niet voor op een windowsbak zitten. Hoeveel mensen tikken niet hun hele hebben en houwen in op een website, omdat ze dan wellicht kans hebben op het winnen van twee vrijkaartjes voor Fransje Bauer of een avondje gezellig kletsen met een bekende Nederlander.
Jammer dat niet bekend is hoeveel anders dan Windows gebruikers wel eens slachtoffer geweest zijn van phishing praktijken. Denk dat je raar op je zeurneus zult kijken.
Maar ja, je bent dat ding nu eenmaal
Dat men bij de eerste phishing ooit erin tuinde, oké... De tweede en zelfs de derde keer, het is niet anders. Maar inmiddels zijn we jaren verder, weet iedereen -die voldoende bij kennis is om een bankrekening te openen- toch wel dat er dit soort zaken rond gaan?!
Het is altijd eenzelfde soort groep mensen die hier de dupe van zijn. Diezelfde groep, krijgt last van een verhoogde bloeddruk als de computer aangezet moet worden. De 'kids' moeten alles met de computer regelen "want dat snap ik toch allemaal niet".
Vervolgens krijgen ze een mailtje binnen met taalfouten en een verzoek die een bank nooit zou sturen, en dan gaan ze weer wel 'dingen' installeren. Hoe dom kun je zijn?!?!?!?!
Tegen dit soort achterlijke lui kan een bank zich niet wapenen, wat ze ook doen.
Tegen dit soort achterlijke lui kan een bank zich niet wapenen, wat ze ook doen.
Misschien een toelatingsexamen bij het openen van een rekening :D
Misschien een toelatingsexamen bij het openen van een rekening :D
Misschien een internet-rijbewijs voordat je de digitale snelweg op gaat. ;)
Net zoals je niet hoeft te weten hoe je wasmachine technisch in elkaar steekt en een hoop mensen dat niet eens willen weten.
Klopt, maar als er zomaar een installateur voor de deur staat die beweert dat het nodig is om de waterleiding te vervangen omdat anders je wasmaschine het niet meer doet, ben je wel een eikel als je dan toch open doet en die man lekker laat sleutelen aan je waterleiding, alvorens even te bellen met het waterleiding bedrijf of het wel klopt...
Het gaat hier niet om kennis hebben van de technische details. Het gaat om gebruiken van gezond verstand.
... dat hele IT-gebeuren ze absoluut niet interesseert. Net zoals je niet hoeft te weten hoe je wasmachine technisch in elkaar steekt en een hoop mensen dat niet eens willen weten.
Maar in de ict gerelateerde sfeer willen mensen vaak wel alles zelf kunnen, liefst zonder zich er nog in te verdiepen (handleiding? tutorial? google?). Klikkerdeklik ... ik wil niet zeggen dat dit perse met dit probleem samenhangt, maar zo maak ik het wel zelf mee.
Mensen gaan zelf aan instellingen liggen hannessen of software installeren, terwijl ik weinig mensen ken die zomaar hun motorkap open gooien en een onderdeel van hun auto bij gaan stellen (bij wijze van).
Je kunt vinden wat je vindt, maar toch blijven het achterlijke (en zéér domme) praktijken van deze gebruikers.
Als men er niets van weet, moet men er niets mee doen. Het internetbankieren is geen vereiste! De gewone overschrijvingskaarten, accepgiro's en hardcopy-overzichten bestaan nog steeds en komen op je af als je ze nodig hebt. Puur en alleen om zij die niet mee kunnen met de vooruitgang, alsnog te kunnen bedienen.
Dus als een 65+'er besluit te gaan internetbankieren, moet hij/zij wel zorgen dat de kennis qua handelen én gevaren in huis is. Ken je het niet, kun je het opzoeken, navragen en zelfs... geheel uitbesteden!
Maar ik generaliseer niet op leeftijd, geslacht, enz. hoor! Al jaren aan een stuk worden we gewaarschuwd door tv, radio, nieuwsbrieven, banken, adviseurs en overheid over de "gevaren" van het internet. Dat men zich niet laat waarschuwen en/of informeren, maakt die groep achterlijk. En ja, daar kan een bank zich nooit tegen wapenen. Of ze nou 5+ of 65+ zijn, het is de instelling die ze achterlijk maakt...
Ik gebruik zelf geen ABN Amro internetbankieren, maar stuurt ABN in de welkomstbrief/brief met gegevens geen waarschuwing mee? Een dikgedrukte waarschuwing dat ABN de mensen niet zelf mailt, zou al een hoop ellende kunnen besparen mijns inziens.
Een waarschuwing helpt allen de mensen die zich laten waarschuwen...
Alvorens je je pincode in bezit hebt, ben je tig keer gewaarschuwd dat je NOOIT je pincode doorgeeft. Aan niemand, zelfs niet aan de bankmedewerkers zelf. Het moet 100% geheim blijven!
Toch lees ik zeer regelmatig dat mensen dit wel doen of er gewoon luchtig mee omgaan (met stift op de pas schrijven bijvoorbeeld).
De Trojan Horse was ook geen nieuwe en werd makkelijk door een up-to-date virusscanner herkend. Ook mijn gratis Antivir herkende het direct.
Virusscanners zijn per definitie nooit up-to-date. Een virusscanner herkent een virus pas nadat deze is gesignaleerd, geanalyseerd en toegevoegd aan de meest recente signature-file. Dus een virusscanner loopt *altijd* achter de feiten aan.
Ik begrijp werkelijk niet dat er mensen zijn die serieus meer dan een miliseconde overwegen om zo'n bestand te installeren?
Welke bank gaat nu een email sturen naar klanten in zulk slecht Nederlands? En bovendien elke gebruiker moet inmiddels toch wel weten dat banken geen emails met bestanden gaan sturen omdat dit levensgevaarlijk is.
Echt hoe stom kun je zijn?
200 mensen hebben het bestand geinstalleerd? Zouden die ook van het dak springen als je ze dat per email vroeg? Wat mij betreft blokkeert de bank hun internetbanking permanent.
Dat jij in staat bent om dat te snappen betekend niet dat de rest dat niet kan. Gemiddelde IQ is nog altijd 100 en net hoor ik op het nieuws dat maar liefst 20% van de Nederlanders problemen heeft met de taal. Paar lastige woorden en ze zijn de draad kwijt.
Wel typisch dat dit het tweede bericht over identiteitsfraude vandaag is. Ik denk dat het nog zo vaak fout gaat doordat je aan de ene kant paranoia moet zijn en aan de andere kant maar moet vertrouwen dat de website waar je rondhangt het beste met je voor heeft...
Uiteraard zal de gemiddelde bezoeker van WW hier niet intrappen, maar er zijn nog heel veel mensen die geen weet hebben van het verschijnsel "phishing". (denk aan ouderen e.d.).
Het zou de banken sieren dat ze eindelijk eens allemaal de koppen bij mekaar steken en een GEZAMENLIJKE voorlichtingscampagne starten op Radio/TV/Kranten/Brieven waarin ze bv aangeven NOOIT accountgegevens te vragen via mail/sites en dat ze nooit email verzenden met dat soort vragen. Etc etc
Dan kan iedereen kennis nemen van dit probleem en ligt het niet meer aan "onwetendheid".
Mijn vriendin werkt bij de RABO helpdesk. Het is ongelooflijk hoeveel mensen daar ongevraagd hun bankrekening *en hun PIN* noemen. Elke dag zijn er wel een paar:
"Goedemiddag, u spreekt met mevrouw Janssen, mijn bankrekening nummer is... en mijn PIN is..."
Dat phising werkt verbaasd me dus niet. Ik denk dat er een belangrijke taak ligt voor de banken om hun klanten op te voeden en te begeleiden. Niet iedereen is immers Internet expert.
Ik ben wel eens verbaast. Aan de ene kant heb je mensen die een compleet ICT park kunnen opzetten en aan de andere kant heb je mensen die totaal geen sjoege hebben van wat ICT of de PC nu eigenlijk inhoud. Die mensen doen vaak heel gevaarlijke dingen met de computer. Hier tussen zit natuurlijk van alles. Het blijft ontzettend eng.
Daar ben dan ook ronduit bang voor. Ik moet mij altijd inhouden om die mensen te hinderen 'domme dingen' te doen. Ze zijn dan ook niet eens bereid om de wat 'moeilijker' handelingen te verrichten om te zorgen dat hun systeempje niet in 'de fik vliegt'.
Al die verhalen die ik boven lees bewijzen dit maar weer.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
