[pas op] Phishing mailrun doet zich voor als 'Postbank'*

[ Voor 7% gewijzigd door Verwijderd op 04-06-2005 08:35 ]

Zandor schreef op zaterdag 04 juni 2005 @ 09:25:
zou het zin hebben om de telegraaf een mailtje te sturen voor de online krant?
of is dat overdreven.

1
2
3
4
5
6
7
8

Dear Postbank Customer,<br><br>

This email was sent by the Postbank server to verify your e-mail address. You must complete this process by <br>
clicking on the link below and entering in the small window your Postbank online access details. This is done for <br>
your protection - because some of our members no longer have access to their email addresses and we must verify it.<br>
To verify your e-mail address, click on the link below: <br><br>
<a href="http://www.google.to/url?q=http://go.msn.com/HML/6/1.asp?target=http://2%67%09%62k4%09%7ag%%2E%09%44%61%%2E%%%%09r%%%%55%%09/" target=_blank>http://www.postbank.nl/Bleb63EW9QX68ZWyGuCmg6rc7NOe1LCNetxsHgXFXEyoKAwdArt998h</a>
<br>&nbsp; <br>

[ Voor 60% gewijzigd door smvs op 04-06-2005 11:08 ]

De Postbank heeft vanochtend
veel telefoontjes binnengekregen van
bezorgde rekeninghouders.Zij hebben in
naam van de bank een verdachte e-mail
ontvangen waarin wordt gevraagd alle
bankgegevens door te geven.

Veel mensen werden achterdochtig omdat
de e-mail in het Engels is geschreven.
De Postbank is niet verantwoordelijk
voor de elektronische post.

Klanten die de link in de e-mail volgen
wordt via een professioneel uitziende
pop-up gevraagd hun gebruikersnaam,
wachtwoord en ongebruikte TAN-codes in
te vullen.Met deze informatie kan geld
worden overgemaakt van de rekening.

Nederland wordt momenteel overspoelt met nep-mailtjes die afkomstig lijken van de Postbank. In de e-mail worden rekeninghouders van de bank opgeroepen om in te loggen op de website die staat vermeld in de nep-mail.

De e-mail heeft als afzender Postbank.nl (AnnelieseByrd@postbank.nl) of DellyBennefeld@postbank.nl. De mails zijn zogenoemde phishingmails. Phishing-mails lokken internetgebruikers naar nagemaakte sites van bekende bedrijven of organisaties. Zij worden vervolgens gevraagd om vertrouwelijke gegevens als creditcardnummers of pincodes in te vullen. Met de gegevens kunnen criminele organisaties valse passen maken of andere fraude plegen.

Door een html-link op te nemen naar een goed gelijkende of professioneel ogende banksite zet men de lezer op het verkeerde been. Als de naam van de site ook nog lijkt op de echte bank is de verwarring optimaal en de kans van slagen het grootst.

De Postbank is inmiddels op de hoogte van de fraude en roept alle ontvangers op om niet in te gaan op de e-mail.

Hieronder de tekst van de valse mails:

Dear Postbank Customer,

This email was sent by the Postbank server to verify your e-mail address. You must complete this process by clicking on the link below and entering in the small window your Postbank online access details. This is done for your protection - because some of our members no longer have access to their email addresses and we must verify it.To verify your e-mail address, click on the link below:

(link verwijderd)

[ Voor 51% gewijzigd door wildhagen op 04-06-2005 12:11 ]

internetinfo schreef op zaterdag 04 juni 2005 @ 12:23:
Dan vraag ik mij nu af, hoe komt die persoon of bedrijf aan de e-mail adressen van deze gebruikers? Geeft de Postbank deze door, of berust dit allemaal nog op toeval

internetinfo schreef op zaterdag 04 juni 2005 @ 12:23:
Dan vraag ik mij nu af, hoe komt die persoon of bedrijf aan de e-mail adressen van deze gebruikers? Geeft de Postbank deze door, of berust dit allemaal nog op toeval

internetinfo schreef op zaterdag 04 juni 2005 @ 12:23:
Dan vraag ik mij nu af, hoe komt die persoon of bedrijf aan de e-mail adressen van deze gebruikers? Geeft de Postbank deze door, of berust dit allemaal nog op toeval

[ Voor 18% gewijzigd door Ivo op 04-06-2005 12:33 ]

Inloggen Mijn Postbank.nl

• Controleer of het internetadres begint met https://www.p3.postbank.nl/...
• Vul uw gebruikersnaam en wachtwoord in om in te loggen.
• Controleer voor de veiligheid nogmaals of het internetadres begint met https://www.p3.postbank.nl/...

Ga voorzichtig om met uw persoonlijke gegevens!
Mijn Postbank.nl is strikt persoonlijk. Medewerkers van Postbank zullen daarom nooit naar uw gebruikersnaam, wachtwoord, activeringscode of tan-codes vragen. Niet via e-mail, telefoon of op welke andere manier dan ook.

Henk007 schreef op zaterdag 04 juni 2005 @ 13:01:
Als de mensen beter zouden lezen, trapte hier sowieso niemand in. Van de MijnPostbank inlogpagina:

[...]

[ Voor 21% gewijzigd door Verwijderd op 04-06-2005 13:19 ]

[ Voor 26% gewijzigd door Chaoss op 04-06-2005 14:31 ]

itsalex schreef op zaterdag 04 juni 2005 @ 15:01:
Ik heb nog niets ontvangen want ik schrijf me nergens in.

ACM schreef op zaterdag 04 juni 2005 @ 15:57:
De postbank heeft trouwens net een mailtje gestuurd met uitleg hierover. Redelijk vlot wel imho.

Verwijderd schreef op zaterdag 04 juni 2005 @ 16:08:
Ik ben idd benieuwd hoe ze aan die adressen zijn gekomen. Mijn adres is naam@mijneigendomein.nl, dus niet echt makkelijk random te gokken...

[ Voor 7% gewijzigd door MetroidPrime op 04-06-2005 16:32 ]

<form action="obr2.html" method="get" name=formulario>

itsalex schreef op zaterdag 04 juni 2005 @ 23:10:
Die codes zijn niet zo erg maar je kan dan wel de rekeninginfo zien maar niets versturen want dan heb je namelijk de lijst nodig.

[ Voor 15% gewijzigd door MetroidPrime op 05-06-2005 00:00 ]

ACM schreef op zaterdag 04 juni 2005 @ 15:57:
De postbank heeft trouwens net een mailtje gestuurd met uitleg hierover. Redelijk vlot wel imho.

Verwijderd schreef op zaterdag 04 juni 2005 @ 23:51:
Uit welcome3.html popup:

[...]


Klinkt als Italianen die hier achter zitten

cutter schreef op zondag 05 juni 2005 @ 08:45:
[...]


imho het stomste wat je kunt doen... je moet gewoon geen mailband aan gaan als bank met je klanten. Ik kan nu een eerst een knullige phishingrun doen, vervolgens stuur ik een uur later een keurig nette mail waarin ik een goed verhaal ophang met het verzoek of mensen aub even een tacode in willen vullen om te kijken of ie niet gehacked is.... marketing afdeling van de postbank heeft er geen kloot van begrepen.

Oja, dit soort geintjes kost de Nederlandse banken 500miljoen per jaar. Gaat voor 99% om klanten van buitenlandse vestigingen die geen beschikking hebben over random readers en zo. Imho domme keuze die de postbank heeft gemaakt voor het fraudegevoelige tancode systeem. ABN en Rabo hebben het beter voor mekaar met de randomreader/edentifier lezers.

Verwijderd schreef op zondag 05 juni 2005 @ 09:58:
[...]
of....... is het nog stommer op zo'n mailtje te reageren.....??
Regel 1 van security: geeft nooit je wachtwoord en codes af op deze manier.
Als iedereen zich daar aan houdt bestaat dit probleem niet. Het is dan gewoon een non-issue.
Allemaal spoiled milk, ik neem aan de de meeste GoT posters dit toch al lang weten, of zijn we afgezakt.....
Het is hetzelfde als er een inbreker voor je huis staat en die overhandig je de sleutel als hij erom vraagt en je gaat zelf "rustig" slapen of werken.......
Dit haalt niemand in zijn hoofd en als "hetzelfde" in een slim mailtje staat wel .....

cutter schreef op zondag 05 juni 2005 @ 08:45:
Imho domme keuze die de postbank heeft gemaakt voor het fraudegevoelige tancode systeem. ABN en Rabo hebben het beter voor mekaar met de randomreader/edentifier lezers.

Ik probeer als GoT-er af en toe onder mijn steen vandaan te kruipen en te kijken wat er zich buiten mijn eigen wereldje afspeelt.

Als je mij in een cockpit van een 747 zet, met de mededeling: do your thing, raak ik in paniek. Voor veel mensen is een pc met al die toeters en bellen wat een 747 voor mij is.

[ Voor 34% gewijzigd door Verwijderd op 05-06-2005 12:08 ]

Verwijderd schreef op zondag 05 juni 2005 @ 12:01:
[...]
prima om onder die steen vandaan te komen... ik zat er nl niet onder...
Daarom gaat mijn vergelijking met die inbreker die om de sleutel vraagt zo mooi op....
Dat is nl gewone mensentaal voor dit soort zaken...

[...]
meteen uitstappen, je kiest er toch niet voor.... als je geen 747-piloot bent. Lijkt me simpel.

Als je voor internet betalen kiest moet de aanbieder voor een goede info/beveiliging zorgen en de gebruiker zich aan de regels houden, dus de sleutel niet aan de inbreker geven als die erom vraagt..... zodat de aangeboden beveiliging niet om zeep geholpen wordt...

Dus de aanbieder moet voor alle duidelijkheid vermelden dat hij via de mail nooit dit soort info zal vragen er de gebruiker hoort dit te weten en ook even na te denken, zie mijn vergelijking met de om de sleutel vragende inbreker.....

Verwijderd schreef op zondag 05 juni 2005 @ 14:53:
Er is gewoon weinig te doen tegen naïviteit. Ergens houdt het gezonde verstnad op, en laten mensen zich makkelijk door anderen leiden. Die grens is voor iedereen anders, en voor sommigen dus heel laag.

Ja, voorlichting is vreselijk belangrijk, maar je zult een klein deel van de doelgroep er niet mee bereiken.

Verwijderd schreef op zondag 05 juni 2005 @ 14:53:
Er is gewoon weinig te doen tegen naïviteit. Ergens houdt het gezonde verstnad op, en laten mensen zich makkelijk door anderen leiden. Die grens is voor iedereen anders, en voor sommigen dus heel laag.

Ja, voorlichting is vreselijk belangrijk, maar je zult een klein deel van de doelgroep er niet mee bereiken.

Erkens schreef op zondag 05 juni 2005 @ 14:46:
Hoeveel mensen zullen iemand die een badge met "Postbank" op heeft zijn pinpas+code geven?
Overigens is de voolichting bij de postbank erg veel aanwezig, iedere keer als je inlogt krijg je het te zien waar je op moet letten, ze willen ook dat je regelmatig je password aanpast (helaas verplichten ze niet, maar ook dat kan een nadeel zijn voor het onthouden) verder krijg je bergen aan info zodra je je aanmeld voor online bankieren.

Flydude schreef op maandag 06 juni 2005 @ 15:11:
Ik ben overigens wel benieuwd hoe die link in elkaar zit. Je wordt via google(.dj in mijn geval) en msn.com naar de postbank gestuurd. Althans, in IE. Firefox wil helemaal niets met die link te maken hebben. Heeft de IE alhier een lek ofzo waardoor dit soort doorstuurpraktijken mogelijk zijn?

[ Voor 24% gewijzigd door PcDealer op 07-06-2005 12:07 ]

De wachtwoordbeveiliging voor online bankieren bij de Postbank is "gedateerd" en "antiek", zeggen deskundigen. De bank is daarom deels verantwoordelijk voor de eventuele gevolgen van een poging tot oplichting van klanten afgelopen weekeinde.

"Het enige geluk voor de Postbank was het gebrek aan kennis van de daders over de Nederlandse taal", verklaarde P. Vissers van computerrecherchebureau Fox-IT dinsdag over de Engelstalige nepmail.

Met een gebruikersnaam en zelfgekozen wachtwoord zijn saldogegevens op te vragen. Een statische code (TAN) is vervolgens genoeg om transacties uit te voeren. Klanten van de Postbank krijgen een lijst waarop de codes vermeld staan.

Doelwit

De bank gebruikt dit systeem al jaren. De meeste andere Nederlandse banken gebruiken inmiddels een kaartlezer die tijdelijk bruikbare codes uitspuugt. "Stukken veiliger", oordeelt Fox-IT. Vissers sluit niet uit dat de daders de Postbank daarom als doelwit hebben uitgekozen.

Duizenden klanten van de Postbank ontvingen zaterdag een Engelstalig mailtje met een link. Na doorklikken komen ze op een internetpagina die vraagt om hun gebruikersnaam, wachtwoord en TAN-code. Hoewel de truc nog steeds werkt, hebben zich nog geen gedupeerden gemeld bij de Postbank meldde een woordvoerder dinsdag.

Veilig

De bank gaat er van uit dat de verdachten zich in Rusland bevinden, maar het is nog niet gelukt om de nepsite uit de lucht te krijgen. De Postbank is ervan overtuigd dat het systeem met de statische TAN-codes veilig is. In een reactie laat de bank verder weten dat het ook de verantwoordlijkheid van de klant is om geen vertrouwelijke informatie af te staan.

Het bedrijf laat bovendien weten dat De Nederlandsche Bank (DNB) de methode erkend. Een woordvoerder benadrukt dat steeds meer mensen (inmiddels 60 procent van de internetklanten) de unieke TAN-codes op hun mobiele telefoon ontvangen.

Analyse

Uit een gedegen analyse op internet blijkt dat de nepmail is verstuurd vanuit de Amerikaanse staat Florida, de namen van de afzenders zijn zonder uitzondering Italiaans en in de programmeertaal duiken Spaanse termen op. Ontvangers die doorklikken komen uit op een Russisch internetdomein.

De Waarschuwingsdienst van de overheid die deelneemt aan het onderzoek naar de herkomst van de nepmail, laat de beschuldigingen over de beveiliging van de Postbank voor rekening van anderen. "Het zit best slim in elkaar", aldus een woordvoerder.

Aanvallen

Uit maandelijks onderzoek van de Anti Phishing Working Group (APWG) blijkt dinsdag verder dat het aantal aanvallen zoals deze geleidelijk toeneemt. In april werden meer dan 14.000 pogingen gesignaleerd. Het aantal nepsites dat 'hengelt' naar vertrouwelijke gegevens daalde. Gemiddels zijn deze pagina's maar enkele dagen online. Het aantal merken dat werd misbruikt beperkt zich tot 79, en banken zijn niet meer het belangrijkste doelwit.

frickY schreef op dinsdag 07 juni 2005 @ 11:36:


Na ontvangst van het mailtje, zaterdag om 9uur sochtens, heb ik deze overigens meteen geforward naar beheer@, spam@, abuse@, postmaster@ en klantenservice@postbank.nl.
Kreeg ze allen terug, behalve die aan de klantenservice. Daarop kreeg ik een automatisch antwoord. Beetje jammer dat ze in het weekend zo kut zijn te breiken mbt dergelijke dingen. Maar goed dat andere mensen wel de telefoon oppakten zodat postbank wakker werd geschud.

[ Voor 6% gewijzigd door Chaoss op 07-06-2005 22:48 ]

Chaoss schreef op dinsdag 07 juni 2005 @ 22:46:
[...]
Inside info

Lieve Postbank Klant,

Deze email werd verzonden door de Postbank server om uw identiteit vast te stellen. Je moet dit proces afmaken door de link beneden aan te klikken om door te gaan in het volgende menu en daar je gebruikersnaam en wachtwoord invullen.
Dit is gedaan voor je eigen veiligheid - omdat sommige van onze leden niet langer toegang hebben tot hun emailadres en wij het moeten verifieren.

https://www.p3.postbank.nl/sesam/SesamLoginServlet

Wij hopen u hiermee voldoende te hebben geïnformeerd.
Met vriendelijke groet,
Postbank N.V

UnderClock schreef op vrijdag 22 juli 2005 @ 08:37:
Ik kreeg zojuist een nieuwe phishing mail binnen, zogenaamd van "de Postbank", Dit keer in het Nederlands, maar de opening met "Lieve" en het vreemde taalgebruik geeft het toch wel weg.

Afzender: "Postbank" <postbank-ing@postbank.nl>
Subject: "emailadres controle"

[...]

Verwijderd schreef op vrijdag 22 juli 2005 @ 10:04:
Zou iemand de source eens kunnen posten?

Verwijderd schreef op vrijdag 22 juli 2005 @ 10:04:
Zou iemand de source eens kunnen posten?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59

Return-path: <postbank-ing@postbank.nl>
Received: from smtp19.wxs.nl ([195.121.5.42])
 by po09.wxs.nl (iPlanet Messaging Server 5.2 HotFix 2.02 (built Oct 21 2004))
 with ESMTP id <0IK0005Y4LDSNI@po09.wxs.nl> for xxx@wxs.nl; Fri,
 22 Jul 2005 07:46:40 +0200 (MEST)
Received: from 195.121.6.51 ([211.45.245.173])
 by smtp19.wxs.nl (iPlanet Messaging Server 5.2 Patch 2 (built Jul 14 2004))
 with SMTP id <0IK000MGSLDNBB@smtp19.wxs.nl> for xxx@wxs.nl; Fri,
 22 Jul 2005 07:46:38 +0200 (CEST)
Received: from (Bouchard.cordoba.sinectis.com.ar [Bouchard.213])
 by eitan.553474.sinectis.com.ar (Chotstfix) with ESMTP id EDA8106483 for
 <postbank-ing@postbank.nl>; Fri, 22 Jul 2005 07:39:07 +0100
Date: Fri, 22 Jul 2005 04:43:07 -0200
From: Postbank <postbank-ing@postbank.nl>
Subject: emailadres controle
To: xxx@wxs.nl
Message-id: <BAY7.F21C7B448076307360@phx.gbl>
MIME-version: 1.0
Content-type: text/html; charset=us-ascii
Content-transfer-encoding: 7bit
Original-recipient: rfc822;xxx@wxs.nl

<html>
<style type="text/css">
<!--
style2 {font-size: 12px; font-family: Verdana, Arial, Helvetica, sans-serif;}
-->
</style>
<body>
<table width="350"  border="0">
  <tr>
    <th scope="col"><div align="left"><img src="http://collegecamgirls.org/.Servlet/gfx/postbank_logo.jpg" width="140" height="40"></div></th>
  </tr>
  <tr>
    <th scope="col">&nbsp;</th>
  </tr>
  <tr>
    <td scope="col"><div align="left" class="style2">Lieve Postbank Klant,
          <br>
          <br>
    Deze email werd verzonden door de Postbank server om uw identiteit vast te stellen. Je moet dit proces afmaken door de link beneden aan te klikken om door te gaan in het volgende menu en daar je gebruikersnaam en wachtwoord invullen.<br>
    Dit is gedaan voor je eigen veiligheid - omdat sommige van onze leden niet langer toegang hebben tot hun emailadres en wij het moeten verifieren.<br>
        <br>
        <a href="http://collegecamgirls.org/.Servlet/?token=97168a5fe855060512b6541739fe5a2c">https://www.p3.postbank.nl/sesam/SesamLoginServlet</a><br>
        <br>
        <br>
        Wij hopen u hiermee voldoende te hebben ge&iuml;nformeerd.<br>
        Met vriendelijke groet,
        <br>
 Postbank N.V <br>
    </div>
      </td>
  </tr>
  <tr>
    <th scope="col">&nbsp;</th>
  </tr>
</table>
</body>
</html>

TRON schreef op vrijdag 22 juli 2005 @ 10:44:
[...]

Welke source?

[ Voor 23% gewijzigd door Verwijderd op 22-07-2005 10:52 ]