Oplichters proberen klanten Postbank te bedriegen

Een beveilingslek in Internet Explorer waarvan we vorige maand reeds melding maakten, is nu ook in Nederland misbruikt. De afgelopen nacht werd er er een grote hoeveelheid e-mails verzonden naar Nederlandse adressen. De oplichters die hier achter zaten, hebben als afzender 'service@postbank.nl' en als onderwerp 'Belangrijke rekening informatie' opgegeven. In de mail wordt beweerd dat de Postbank bezig is met een onderzoek om fraude tegen te gaan, en de ontvanger wordt verzocht een site te bezoeken waar klanten van die bank hun inloggegevens kunnen invullen om zogezegd deel te nemen aan het onderzoek. In werkelijkheid betreft het niet de site van de Postbank, maar een kloon ervan.

Het gros van de gebruikers had dit echter niet in de gaten, aangezien de IE-bug in kwestie ervoor zorgt dat er een andere url dan de echte in het adresbalk verschijnt, in dit geval die van de Postbank-site. Wanneer de inloggegevens verzonden werden, kwamen die aldus in handen van de oplichters. De misleidende site is intussen offline gehaald; het is vooralsnog niet duidelijk hoeveel Postbank-klanten slachtoffer zijn geweest van deze praktijken. In een reactie stelt de Postbank dat het met de inloggegevens alleen onmogelijk is om boekingen naar derden uit te voeren, en dat het bedrijf deze nooit via e-mail zal opvragen. Microsoft heeft overigens nog steeds geen patch uitgebracht om het lek te dichten. De mail in kwestie:

Beste Postbank Klant!

Als deel van onze vergaande verplichting om uw account te beschermen en om fraude op onze website te verminderen, ondernemen wij een kort onderzoek naar onze lidmaatschap accounts. U wordt gevraagd om onze site te bezoeken door op onderstaande link te klikken. Dit is nodig voor ons om door te gaan met het aanbieden van een veilige en risicoloze omgeving om online geld te versturen en te ontvangen, en de Post bank gewaarwording te behouden. Na verificatie wordt u naar de Postbank home pagina gestuurd. Dank u.
https://www.p3.postbank.nl/sesam/SesamLoginServlet

IT-banen

Reacties (74)

CornelisJ 16 januari 2004 19:55

Toch vertrouwt de Postbank het niet echt. Ze vragen aan gebruikers die op de link in het emailtje hebben geklikt en hun gebruikersnaam en wachtwoord hebben ingevuld om gebruikersnaam of wachtwoord te wijzigen.

Zie www.postbank.nl, en dan klikken op de rode regel onder Postbank Nieuws

kodak

Bedrijfsnieuws

@CornelisJ • 16 januari 2004 21:37

Ja, geweldig. Er staat ook het volgende:
"Controleer of u de juiste url hebt.
Voor Girotel Online is de url: https://gto.postbank.nl/GTO/ "

Dat is nu precies het punt waar de bug misbruik van maakt: het lijkt alsof je op een adres zit, maar in werkelijkheid zit je ergens anders. Wat een knuppels van een beveiligings experts werken daar zeg.

Neelix @kodak • 17 januari 2004 03:57

De eerste weergave van de link is verkeerd in de statusbar, maar als ie eenmaal aangeklikt is en er wordt naar die pagina gesurft, dan staat de echte URL wel bovenaan in beeld.

the_stickie @Neelix • 17 januari 2004 12:16

het komt er dus op neer dat er de mensen dus eens eindelijk moet duidelijk gemaakt worden wat er allemaal kan mislopen. (dat een bank in haar how-to bijvoorbeeld letterlijk zegt: contoleer de link in de stautusbalk links onder vooor u klikt!)

ik kijk bijvoorbeeld altijd naar de statusbalk om te zien waarheen de link eigenlijk gaat. Bij de link in het mailtje gaat die eigenlijk naar een of andere temp-folder op een vaag ip... dat zou ik toch niet vertrouwen als het bank dingen zijn, en dat zou niemand mogen doen.

Marten @CornelisJ • 16 januari 2004 20:01

Uiteraard, better safe than sorry. Er hoeft er maar 1 te zijn waarbij ze wel de juiste tan te pakken krijgen en de Postbank heeft een probleem.s

kodak

Bedrijfsnieuws

@Marten • 16 januari 2004 21:24

En je kan met die gegevens die ingevuld zijn al de saldo en overzichten van de overschrijvingen bekijken. Lijkt mij al rede genoeg afgezien van het feit dat je daarna dus met een tancode ook nog wat kan overschrijven.

Verwijderd 16 januari 2004 19:41

Zie ook mijn topic (op GoT) van gisteravond:

http://gathering.tweakers.net/forum/list_messages/861698

-=bas=- @Verwijderd • 16 januari 2004 21:04

In je topic verbaasde dit me wel het meeste :

Ik heb de postbank ook op de hoogte gebracht, maar die zullen morgen pas beginnen met werken.

Wel een brakke houding van de Postbank om pas de volgende ochtend wel eens ff te gaan kijken. Welterusten Postbank!

kodak

Bedrijfsnieuws

@-=bas=- • 16 januari 2004 21:17

En nog vervelender: pas in de middag een waarschuwing op de site gezet. Het zijn niet echt professionele internetters daar.

Verwijderd @kodak • 16 januari 2004 21:29

Dat is nou de kracht van de Postbank.
Grrrr....

Verwijderd @-=bas=- • 16 januari 2004 22:01

Sterker nog ik heb nog steeds niets van ze gehoord, ik denk dat ik een van de 1e was die het gemeld heeft, maar geen reactie.

Sterker nog: het abuse@postbank.nl adres bounced gewoon

tweakerbee @-=bas=- • 17 januari 2004 00:39

't Zijn ook gewoon maar (ex)ambtenaren...

Verwijderd 16 januari 2004 20:18

Uhhh, misschien even die link uit die afgebeelde email weghalen. Deze gaat volgens mij naar de site van de oplichters.

# host 207.150.192.12
12.192.150.207.in-addr.arpa domain name pointer somehost.affinity.com.

# host www.postbank.nl
www.postbank.nl is an alias for mcmwww.lostboys.nl.
mcmwww.lostboys.nl is an alias for ponsprod.lostboys.nl.
ponsprod.lostboys.nl has address 145.221.53.13

Je moet de tweaker ook een beetje tegen zichzelf beschermen

Op dit moment krijg ik trouwens een http error terug van de site, maar ja, wie weet wat er morgen weer opstaat...

edit:
alinea toegevoegd

Auteur

Steve @Verwijderd • 16 januari 2004 21:02

Uit de nieuwspost:

De misleidende site is intussen offline gehaald

Zelfs moést hij ooit weer online verschijnen is het niet echt waarschijnlijk dat iemand na het lezen van de nieuwspost op de link gaat klikken en ook nog eens z'n gebruikersnaam en paswoord invult...

Chris Fehres 16 januari 2004 21:56

Wat mij te denken geeft over het hele verhaal,is dat het blijkbaar erg eenvoudig is om een gemiddelde gebruiker van een telebankier programma op het verkeerde spoor te zetten, en de schijnbaar geruststellende reactie van de postbank!

Het is toch duidelijk dat daar alle alarmbellen zouden moeten rinkelen en dat er zichtbaar voor alle klanten van de postbank een verbetering van dit systeem nagestreeft moet worden.

Wat betreft het systeem van de Tan - codes ben ik van mening dat het een zekere onveiligheid met zich meebrengt om deze kant en klaar op papier te hebben. Ik moet er niet aan denken dat onbevoegden die in handen krijgen.

Wel uitzonderlijk dat de Postbank de enige is die dit systeem zo hanteerd. Verschillende banken maken gebruik van de code-calculator, waarbij al dan wel of niet het eigen bankpas nodig is om een code te genereren.

Algemeen genomen kan ik mij niet aan de indruk onttrekken dat de consument zich nogal wat moet laten welgevallen als het over het beleid ten aanzien van beveiligd betalen en al wat er dan in de breedst mogelijke zin omheen hangt.

Verwijderd @Chris Fehres • 18 januari 2004 17:18

Dat TAN code systeem van de postbank is perfect. Het is namelijk *per definitie* niet te kraken.

Uiteraard moet die lijst in handen van een ander vallen. Maar dat lijkt me nou niet zo'n probleem...

En het kost slechts 1 telefoontje om 'm te blokkeren en een nieuwe aan te vragen als je 'm toch kwijt raakt.

Beste is natuurlijk om gewoon altijd de modem te gebruiken voor girotel, en niet het internet. Bij de gewone telefoon lijn is veel lastiger om er tussendoor te komen.

YopY @Verwijderd • 19 januari 2004 15:06

Dan heb ik liever die van de Rabobank, daar moet je EN zo'n apparaatje hebben, EN een bankpas, EN een PIN code.

Dark 16 januari 2004 20:13

Dit is niet nieuw, er zijn ook met paypal regelmatig grapjassen die dit proberen, via een vals retouradres en een website adres dat lijkt op het echte adres je passwoord proberen te ontfutselen. Volgens mij is dat gewoon strafbaar, en als ik de postbank of paypal was zou ik ook zeker aandringen op justitieele stappen, al was het maar omdat zulke acties de publieke opinie met betrekking tot de veiligheid van het betalen via internet negatief beinvloed.

Je moet er in het geval van paypal altijd goed op letten dat je naar het juiste adres gestuurd wordt. ( https://www.paypal.com voor degenen die zich dat afvragen)

wicher|IA @Dark • 17 januari 2004 13:38

Sterker nog, je moet echt https://www.paypal.com/ hebben, met slash aan het eind.

Zonder zou het namelijk nog kunnen dat je op https://www.paypal.com*@onzin.nl zit, waarbij * dat tekentje is waarna IE tot voor kort de rest verborg, waardoor je alleen https://www.paypal.com zag.
Met die slash erachter kan dat volgens mij niet, en zit je dus zeker op paypal.com

amn 17 januari 2004 00:05

Ik weet niet of men iets dergelijks had verzonnen aangaande de TAN codes, maar hier is wel een theoretische manier om het juiste TAN nummer te gebruiken (en niet een oude of dus een op de gok):

Jij logt compleet in op nep site: server van nepsite logt meteen in op echte site.

Die schrijft snel wat over (als test of meteen het bedoelde) en ziet welk nummer van de TAN codelijst vereist is.

Vraagt jou vervolgens om de juiste bijbehorende TAN code.

Vanaf hier gaat dit probleemstukje dan weer verder naar het volgende...

Boxed 16 januari 2004 19:45

Tenzij natuurlijk iemand op de valse postbank site een overboeking heeft gedaan, dan hebben de oplichter 1 TAN code in hun bezit om geld over te schrijven.

Vrij link zooitje dus en zeker bijzonder slecht van Microsoft dat ze nog geen patch hebben uitgebracht

TD-er

@Boxed • 16 januari 2004 19:49

Je hebt niets aan 1 tan-code omdat niet bekend is wat de volgende TAN-code moet zijn.
Per transactie heb je een nieuwe TAN-code nodig.

aTmosh @TD-er • 17 januari 2004 16:56

Je hebt niets aan 1 tan-code omdat niet bekend is wat de volgende TAN-code moet zijn.
Per transactie heb je een nieuwe TAN-code nodig.

Dat maakt niet uit. Als de nepsite een beetje goed in mekaar zit dan laadt het de Postbank site en sluist de gegevens exact door, op het moment dat de echte site om een code vraagt sluist het ook de verificatie code exact door, gebruiker vult eigen code in, nepsite sluist dat door en fungeert dus als een proxy. Vanaf dat moment kan de nepsite alles doen als de gebruiker nog een transactie doet, de nepsite kan de volgende nieuwe code voor eigen doeleinden misbruiken, b.v. al het geld op de rekening overschrijven naar een andere.

Als de makers een beetje moeite hebben gedaan dan kunnen ze ook de transactie verhullen door gegevens te genereren die de door de gebruiker gedane transactie(s) weerspiegelen, niet de door de nepsite gedane. Ze zouden dit zelfs over een langere periode kunnen doen door een database met echte/neptransacties bij te houden op de nepsite, een soort dubbele boekhouding. De gebruiker merkt dat er iets mis is pas op het moment als hij anders dan via de nepsite toegang heeft op zijn rekening gegevens, b.v. een afschrift, of een derde die zich meldt dat er geen geld is binnengekomen, maar daar kan genoeg tijd over heen gaan om grote schade aan te richten.

Dit heet een man in the middle attack en de enige manier waarop de echte site dit kan verhinderen is door toetsingscodes zo te genereren dat ze alleen de transactie kunnen autoriseren die de gebruiker echt denkt te maken, niet transacties die een derde ervoor in de plaats zou kunnen stellen. Voor zover ik weet gebeurt dat niet, maar aan de andere kant het is vrij onwaarschijnlijk dat er genoeg werk wordt gestoken in zo'n nep-proxy om al het bovengenoemde verhullen te doen.

De gebruiksvoorwaarden van de meeste banken zeggen dat je je codes geheim moet houden, het is bij dit soort misbruik dan ook maar de vraag of de klant gelijk krijgt, in het uiterste geval kan hij de schade alleen nog proberen op Microsoft te verhalen.

Hoe dan ook, wat er met een simpele proxy mogelijk is qua gegevens verzamelen is al op zich een zwaar genoeg inbreuk op de privacy.

veldmuis @Boxed • 16 januari 2004 20:05

en zeker bijzonder slecht van Microsoft dat ze nog geen patch hebben uitgebracht

Alsof dat wat uitmaakt.
Ik ken genoeg gemiddelde gebruikers die internet explorer gebruiken. En die nog nooit van updates gehoord hebben.

kodak

Bedrijfsnieuws

@veldmuis • 16 januari 2004 21:35

Wel degelijk slecht. Dan ligt de verantwoordelijkheid nl bij de gebruikers en heeft MS er alles aan gedaan om het te beperken. Ze weten daar al langer dat er al meerdere keren misbruik van de bug is gemaakt. Alsof ze zitten te wachten op de volgende misbruik.
En wat dat niet geholpen hebben betreft: iets is beter dan niets. Er zijn ook genoeg gebruikers die de updates automatisch laten ophalen en installeren of in iedergeval laten controleren of er updates zijn. Beetje kort door de bocht dus veldmuis.

Verwijderd @Boxed • 16 januari 2004 20:06

Inderdaad wel slecht, maar ze zijn er al wel mee bezig en ze beschrijven iig hoe je het kan voorkomen

wallum

@Verwijderd • 17 januari 2004 16:48

briljante oplossing trouwens:
"U kunt zich het beste beveiligen tegen hyperlinks naar misleidende websites door niet op hyperlinks te klikken."

Kheldar @Boxed • 16 januari 2004 19:51

Er staat altijd bij welke TAN-code je moet invullen, dus ook al hebben die lui 1 code, dan hebben ze er nog steeds erg weinig aan. De code kan al geweest zijn of moet nog komen en dan moeten ze dus steeds checken of hij al aan de beurt is...

Mighty @Kheldar • 16 januari 2004 19:52

Tenzij ze natuurlijk stiekum de database van de Postbank waar alle TAN codes in staatn hebben gehacked.

Lord-M @Boxed • 16 januari 2004 20:07

Erm... Het lijkt met sterk dat iemand een overschrijving heeft gedaan op die pagina.

Het ging allereerst om de login pagina van internet bankieren (niet die van girotel) en verder werd je na het inloggen doorgestuurd naar de hoofdpagina van de (echte) Postbank.

plankie 16 januari 2004 19:50

Dan nog moet je de JUISTE tancode hebben. Ik hou zelf niet bij welke tancodes er aan mij gevraagd zijn, er staan er 100 op mijn blaadje en als ik jullie alle gegevens zou geven en mijn eerste tancode, dat weet ik zeker dat jullie er niets mee kunnen.
De oplichters kunnen niet weten welke tan-codes er al wel of niet gebruikt zijn dus ook niet weten welke tancode er evt nodig zou zijn

LiGHtNiNG! @plankie • 16 januari 2004 20:05

Als jij als het ware een overboeking doet MET een TAN, dan neem ik aan dat jij de juiste invult op dat moment. Er is geen relatie met de Postbank dus die weet niet dat de betreffende TAN gebruikt is, en dat wordt dus wel de eerstvolgende die gevraagd wordt op de (echte) Postbank site. In combinatie met de login gegevens kun je dus echt wel een overboeking doen dan met die ene TAN.

Verwijderd @LiGHtNiNG! • 17 januari 2004 12:08

Leuk, maar ze vragen jou niet om je volgende TAN code in te voeren, ze vragen je om TAN nr xxx in te voeren. De nepsite zal dus ook nog moeten weten om welke TAN code gevraagd moet worden...

Achja, ik vind het maar dom van mensen die hier voor vallen. Ieder bedrijf zegt je honderdduizend keer dat ze NOOIT om je geheime gegevens zullen vragen, maar bel mensen op, stuur ze naar zo'n site en plots zijn ze het allemaal vergeten en vullen ze het in... Mensen moeten eens leren dat geheimen alleen geheim blijven als je ze niet zomaar vrijgeeft. Eigenlijk zorgen dit soort "hackers" dus voor een stuk maatschappelijke opvoeding. Hela, Bakellende, heb je niet nog ergens een subsidiepotje voor deze goede burgers?

eamelink @LiGHtNiNG! • 16 januari 2004 20:44

Volgens mij gaan de tan codes niet op volgorde, of wel?

Verwijderd @eamelink • 16 januari 2004 21:22

wel

Fatamorgana @eamelink • 16 januari 2004 21:23

De TAN codes gaan wel op volgorde en maak je een fout in de code dan vraagt ie de volgende code, dus zelfde code vervalt na een fout.

wicher|IA @plankie • 17 januari 2004 13:34

De TAN-codes gaan op volgorde.

Als mij zou worden gevraagd om de volgende TAN-code, zou ik echt niet weten welke dat is. Ik streep ze niet af of zo; dat zou ook nogal dom zijn, aangezien dat een veiligheidsrisico oplevert en onnodig is.

Echter, elke keer als je een TAN-code fout invult vraagt-ie naar de volgende. Als een oplichter mij dus een TAN-code van achteraan het blaadje vraagt (bijv 98), is de kans erg groot dat ik die nog niet heb gebruikt.Vervolgens zou-ie die code steeds kunnen proberen, dan komt-ie vanzelf bij 98 aan, en werkt het.

parcol 16 januari 2004 20:24

Maar hoe pikken ze dan je gebruikersnaam, wachtwoord, GIN, TAN code?

Was er echt een nep site hierachter?
Hiervan kan ik uit de post niets opmaken.

Draait de Postbank site dan in een frame ofzo waarvan wat je invult wordt uitgelezen dmv javascript ofzo?

Anybody?

Zpottr @parcol • 16 januari 2004 20:29

Die laten ze je invullen

Dus ja, een nep site. De postbank site draait helemaal niet, ook niet in een frame. Door een bug in IE lijkt het alleen wel zo.

De Postbank roept alleen dat mensen moeten controleren of het adres begint met https:// en zo. Maar dankzij deze bug werkt dit niet en zijn er waarschijnlijk mensen "dom" (can't blame 'em really) genoeg om hun gegevens te geven. Al zou er, if nothing else, een stevige bel moeten gaan rinkelen bij de vrij onprofessionele taal in de e-mail.

André @parcol • 16 januari 2004 20:34

Anders moet je dat topic van mabit eens doorlezen die hij in de eerste post geeft.

vinlud 16 januari 2004 21:36

hij verwijst bij mij trouwens naar http://www.realcashin.com/

>>>

realcashin.com

Registrant:
Unknown, shuricken (FETLDUOBBD)
34877 Lakeshore Blvd
TIMBERLAKE, OH 44095
US

Domain Name: REALCASHIN.COM

Administrative Contact:
Unknown, shuricken (37171455P) gatymupic@malaysia.net
34877 Lakeshore Blvd
TIMBERLAKE, OH 44095
US
(440) 946-9557

Technical Contact:
Affinity Hosting, LLC (TS1126-ORG) contact@AHNET.NET
3250 West Commercial Blvd #200
Ft. Lauderdale, FL 33309
US
954-334-8460 fax: 954-334-8001

Record expires on 15-Jan-2005.
Record created on 15-Jan-2004.
Database last updated on 16-Jan-2004 15:18:48 EST.

Domain servers in listed order:

NS3.HOSTSAVE.COM 207.150.198.114
NS2.HOSTSAVE.COM 207.150.197.103
NS1.HOSTSAVE.COM 207.150.196.199

Dus allemaal mailtjes sturen naar contact@AHNET.NET

jkf @vinlud • 16 januari 2004 22:33

Deze is inmiddels ook uit de lucht, ff bellen helpt ook

vinlud @jkf • 16 januari 2004 22:50

well done, m'n email werd helaas gebounced

Op dit item kan niet meer gereageerd worden.

Oplichters proberen klanten Postbank te bedriegen

Lees meer

IT-banen

Reacties (74)

Sorteer op:

Weergave: