Nieuwe Postbank scam mail?

Postbank moet gewoon afstappen van dat belachelijke TAN systeem en naam/wachtwoord combo's. Zolang dat bestaat, zullen mensen blijven phishen.

Als je (als is het met een nep account) ff doorlinkt kom je hier terrecht.
http://www.beesales.com/shop/_notes/verify.htm Als je dit dus voltooit ben je binnen een week falliet gok ik

Edit: en dat onderaan dan "Uw verbinding is veilig." Oh das knap, rechts onderin m'n beeld staat geen slotje

[ Voor 33% gewijzigd door Rooster op 29-04-2006 20:05 ]

Zou je de source daarvan eens naar virus@kaspersky.nl willen sturen?

Al bij postbank bekend ? M.A.W Postbank gemaild hierover ?

Linked ook nog door naar http://suckers.baakien.com/verify.php

[ Voor 36% gewijzigd door Ybox op 29-04-2006 20:12 ]

De vraag is alleen, is het het beste om dit eerst bij de Postbank te melden, of meteen ook bij de registrar (registerfly.com) en de hostingtoke (theplanet.com).

Ok, doorgestuurd naar registerfly en theplanet.

Hoe moeilijk is het om het hotlinken naar plaatjes op de postbank website niet toe te staan?
Hoe moeilijk is het om bij een niet kloppende referrer meteen een vette waarschuwing te geven?
Amateurs.

Wat mensen wel niet bedenken om geld te verdienen Anyway, die 2e pagina ziet er niet echt goed uit, van dat beveiligde verbinding, en dan nog die zinnen waarvan Elk Woord Met Een Hoofdletter Is Geschreven Wat Er Zeer Idioot Uit Ziet.

* Muthas gaat ook even een formuliertje voor die scammers invullen

Edit: En na het invullen wordt je mooi doorgestuurd naar de echte login, idiots.

[ Voor 12% gewijzigd door Muthas op 29-04-2006 20:24 ]

Ik heb hem ook ingevuld, onder een niet bestaande naam adres, etc. tan codes verzonnen. Krijg mooi een emailtje terug van service@postbank.nl

Hartelijk bedankt voor het snel reageren op ons verzoek, Dhr xxxx!

De informatie die wij van U gekregen hebben:

E-mail adres: xxxx@xxx.com
Naam: xxxx
Initialen: xxxx
Achternaam: xxxxx
Adres: xxxxx
Woonplaats: xxx
Provincie: xxxx
Postcode: xx
Telefoon Nummer: xxx.
Sofi-nummer: xxx-xx-xxx
Moeders meisjes naam: xxxx
Geboortedatum: xxx
Kaarthouder Naam: xxxx
Verval datum: xxx


Als U van mening bent dat een van de bovenstaande gegevens onjuist is, gelieve terugkeren naar onze verificatie website en Uw gegevens opnieuw invullen.

Opmerking: Sommige gegevens zijn niet doorgegeven wegens veiligheids redenen

Uw gegevens zullen verder in behandeling worden genomen.

Postbank Accounts Manager

Als onwetende postbank klant zou je het haast geloven, jemig als je een mail probeert te versturen naar de postbank moet je ook al je persoonlijke gegevens in vullen
Hoe leer je mensen aan zulke dingen in te vullen

Domein baakien.com staat geregistreerd op:

daris

Knip

Even doorzoeken levert dit op:

Knip

En even bellen levert een leuk gesprek op met zijn moeder die ook nog eens het 06 nummer van de zoon (Dari) geeft:
Knip


Zal ik die zoon ook ff bellen?

[ Voor 22% gewijzigd door elevator op 29-04-2006 21:20 ]

JA~!!!

Lijkt mij een erg goed idee, ik vind dit zulke zielige acties

Site wist trouwens wel prima mijn Postbank gebruikersnaam te achterhalen

DaPoztMaster schreef op zaterdag 29 april 2006 @ 20:31:

Eindelijk weer eens iemand met ballen, die daadwerkelijk een daad bij het woord voegt
Ik vrees alleen wel dat het vermelden van deze NAW gegevens in strijd is met de policy op GoT, ondanks dat deze publiekelijk beschikbaar zijn. Misschien je post dus even editten?

En vooral dat mobeiele nr ook even bellen. Zeggen dat je een mailtje hebt gehad maar dat de link niet opent, en of je ook telefonisch je TAN-codes door kan geven

DaPoztMaster schreef op zaterdag 29 april 2006 @ 20:31:
Domein baakien.com staat geregistreerd op:
[...]


Even doorzoeken levert dit op:
[...]


En even bellen levert een leuk gesprek op met zijn moeder die ook nog eens het 06 nummer van de zoon (Dari) geeft:
Knip


Zal ik die zoon ook ff bellen?

Of direct sturen naar Tros Radar, Peter R. De vries, Kassa en alle andere 'liefhebbers' van dit soort oplichters!

[ Voor 4% gewijzigd door pasta op 29-04-2006 21:22 ]

Misschien is de betreffende persoon z'n server wel gehackt?
Zullen we dus eens niet op de feiten vooruit gaan lopen?

De Postbank is in elk geval op de hoogte.

Ik heb gebeld maar krijg een voicemail. Heb overigens wel het vermoeden dat zijn plesk control panel (https://www.baakien.com:8443/) gekraakt is en iemand anders een subdomein 'suckers' aangemaakt heeft.
Het zou ook superdom zijn om zoveel tijd te besteden aan het maken van de phisingpagina maar wel je eigen domein gebruiken.

Overigens is het domein (www.beesales.com) waar het op draait zeker gehacked. Wordt gehost op een windows server van een bedrijf en de webpagina's zijn in een nietsvermoedende subfolder "_notes" geplaatst.

Helaas krijg ik dus zn voicemail anders had hij in ieder geval die verify.php kunnen verwijderen en zo ervoor zorgen dat er minder mensen genept worden.

[ Voor 26% gewijzigd door Pwigle op 29-04-2006 20:49 ]

Misschien kun je iets inspreken? Of anders gewoon de host een email sturen.

Ik heb die moeder ook gebeld en die geeft dood leuk zijn mobiele nummer Doe maar niet

Ze zal wel niks in de gaten hebben.

[ Voor 13% gewijzigd door elevator op 29-04-2006 21:18 ]

jordi.c schreef op zaterdag 29 april 2006 @ 20:49:
Ik heb die moeder ook gebeld en die geeft dood leuk zijn mobiele nummer
Ze zal wel niks in de gaten hebben.

Ik heb het nummer dus ook maar lijkt me wel zo netjes dat je het nummer (gedeeltelijk) weghaalt. Lijkt erop dat Dari geen kwade bedoelingen heeft.

[ Voor 3% gewijzigd door elevator op 29-04-2006 21:18 ]

als je de gegevens invult en verstuurd worden kom je wel op de echte site uit van de postbank die echt is en beveiligd

5mebibyte schreef op zaterdag 29 april 2006 @ 20:56:
als je de gegevens invult en verstuurd worden kom je wel op de echte site uit van de postbank die echt is en beveiligd

Uiteindelijk word je automatisch daar heen gestuurd ja. Neemt niet weg dat de rest niet echt is

Uw PIN code: _______

Ik weet niet hoor... maar als je zulke dingen invult in een formulier heb ik geen medelijden met iemand als zijn bankrekening word leeggeplunderd.

Modbreak:

Posten van prive gegevens is echt niet nodig / handig (oh, en dus niet toegestaan)

FYI: De servers zijn inmiddels al even offline.

VonFoX schreef op zaterdag 29 april 2006 @ 21:45:
Reply Kaspersky:

[snip]

Kind regards, Roel

Je had de achternaam niet weg hoeven editten hoor.

Ook erg goed leesbaar dat voorbeeld bericht zeg
Maar, valt mee dat ze zo snel reageren, bij één van de voorgaande phising dingen duurde het een paar (werk!) dagen voordat er uberhaupt actie was ondernomen.

Oftewel: overstappen op een andere bank! Postbank internet bankieren blijft kwetsbaar met z'n tan-codes systeem.

Spiceworm schreef op zondag 30 april 2006 @ 15:12:
Oftewel: overstappen op een andere bank! Postbank internet bankieren blijft kwetsbaar met z'n tan-codes systeem.

Welnee, mensen zijn kwetsbaar met hun domme aannames

Een beveiligingssysteem wat onderuit te halen is door domme aannames van gebruikers, is een slecht beveiligingssysteem.

Spiceworm schreef op zondag 30 april 2006 @ 15:12:
Oftewel: overstappen op een andere bank! Postbank internet bankieren blijft kwetsbaar met z'n tan-codes systeem.

dat is bullshit, ze vragen tegenwoordig random (dus niet meer in volgorde) tan-codes (als je nog een papieren lijst hebt)
daarop staan meer dan 100 tan-codes.... de kans dat je een goede tancode doorgeeft is dus erg klein.

Ik heb echter tan-codes via sms, die kan ik dus niet eens doorgeven (als ik het al zou willen)

Verwijderd schreef op zondag 30 april 2006 @ 15:23:
Een beveiligingssysteem wat onderuit te halen is door domme aannames van gebruikers, is een slecht beveiligingssysteem.

Dat is in princiepe dus elk systeem waar mensen een userid en password nodig hebben. Ofwel elk internet bankieren systeem.

Mensen die waarschuwingen van een bank niet willen lezen, moeten ook niet zeuren. Hoe vaak herhalen elke bank wel niet de mededeling dat ze nooit om userid/pass/tan/andere codes zullen vragen? Als mensen daar dan noog steeds in blijven trappen is dat hun eigen schuld. Het is ook bijna niet te doen om mensen tegen hun eigen stommiteiten te beschermen, anders dan deze melding maar keer op keer blijven te herhalen.

Helaas, dit is alleen bij het belachelijke en onveilige postbanksysteem zo. Bij de rabobank zou dit niet gaan, omdat de eindgebruiker zelf codes maakt met de random reader en er bij overboekingen gebruik gemaakt wordt van een challenge-response systeem.

Met phishing zou je bij de rabobank alleen toegang kunnen krijgen tot de rekeninggegevens (als je iemand zo gek kunt krijgen z'n random reader een code te laten maken) maar voor overboekingen moet je toch echt goed antwoorden op de challenge van de bank.

Met andere woorden: het postbanksysteem is en blijft gewoon inherent onveilig in vergelijking tot de systemen die de echte banken gebruiken.

Ik zie overigens niet in hoe je tan codes per SMS (hoezo onveilig? veel onveiliger dan dat kun je 't niet krijgen) niet van te voren aan zou kunnen vragen. Dat kan dus ook gewoon.

Mensen die waarschuwingen van een bank niet willen lezen, moeten ook niet zeuren. Hoe vaak herhalen elke bank wel niet de mededeling dat ze nooit om userid/pass/tan/andere codes zullen vragen? Als mensen daar dan noog steeds in blijven trappen is dat hun eigen schuld. Het is ook bijna niet te doen om mensen tegen hun eigen stommiteiten te beschermen, anders dan deze melding maar keer op keer blijven te herhalen.

Lekker makkelijke redenatie.. postbank-fan? Feit is dat andere banken er wel in slagen hun klanten tegen hun eigen stommiteit te beschermen, door een goed beveiligingssysteem. De postbank is de enige die deze zeef blijft gebruiken. Maar ja, de post "bank" is dan ook goedkoop.

[ Voor 32% gewijzigd door Verwijderd op 30-04-2006 18:55 ]

Verwijderd schreef op zondag 30 april 2006 @ 18:53:
Helaas, dit is alleen bij het belachelijke en onveilige postbanksysteem zo. Bij de rabobank zou dit niet gaan, omdat de eindgebruiker zelf codes maakt met de random reader en er bij overboekingen gebruik gemaakt wordt van een challenge-response systeem.

Met phishing zou je bij de rabobank alleen toegang kunnen krijgen tot de rekeninggegevens (als je iemand zo gek kunt krijgen z'n random reader een code te laten maken) maar voor overboekingen moet je toch echt goed antwoorden op de challenge van de bank.

Ik heb geen ervaring met het Rabobank-systeem, maar volgens mij kun je ook daarmee klanten oplichten, een oplichter zou het alleen heel anders moeten aanpakken. Een challenge-response systeem is geen garantie om phishers het werk onmogelijk te maken.

MetroidPrime schreef op zondag 30 april 2006 @ 19:06:
[...]


Ik heb geen ervaring met het Rabobank-systeem, maar volgens mij kun je ook daarmee klanten oplichten, een oplichter zou het alleen heel anders moeten aanpakken. Een challenge-response systeem is geen garantie om phishers het werk onmogelijk te maken.

Oplichten kan met elk systeem, je moet het slachtoffer zo ver krijgen dat deze geld overmaakt.

Recentelijk was er een phishing run gericht op Rabobank gebruikers.
Wat werd er gevraagd? Persoonlijke informatie, die is ook geld waard.

Het Rabobank systeem is in zoverre alleen te kraken als je het systeem infecteert met een Trojan die de mogelijkheid heeft op de achtergrond transacties te maken terwijl de gebruiker op de rabobank site ingelogd is. Als de gebruiker zijn transacties goed wil keuren moet de extra transactie dan weggefilterd worden, anders valt het nogal op.

Deze volgende generatie bank trojans is al dichtbij, zie ook dit.

Er moet een vorm van authenticatie plaatsvinden buiten het computersysteem om, omdat resultaten daarvan gemanipuleerd kunnen worden.
In dat opzicht heeft het SMS principe juist veel meer potentieel, hetgene wat in de SMS komt te staan is niet te vervalsen, namelijk het echte geldbedrag.

Met op een webform ingevulde gegevens kun je het bankieren systeem van de Rabobank (of welke andere bank behalve de postbank) niet misbruiken, tenzij je er een 'man in the middle' attack van maakt, maar zelfs dan wordt het verdomd lastig.

SMS heeft 0 potentieel imo want het nummer/toestel wat de SMS ontvangt is niet te controleren. Er bestaat geen enkele garantie dat als ik jou een SMS toestuur dat dan niet iemand anders 'm te lezen krijgt. Jouw mobiel kan gestolen zijn, je SIM kaart, enz.

Pas als een mobiel zelf ook aan authenticatie zou doen (anders dan de uitschakelbare pincode die als ie eenmaal is ingetypt ook niet opnieuw ingetypt hoeft te worden) zou dat platform potentie hebben.

Maar goed, ik zeg dat op basis van boerenlogica en jij bent de beveiligingsexpert, dus zal ik er ongetwijfeld naast zitten

Verwijderd schreef op zondag 30 april 2006 @ 19:20:
[...]

Oplichten kan met elk systeem, je moet het slachtoffer zo ver krijgen dat deze geld overmaakt.

Recentelijk was er een phishing run gericht op Rabobank gebruikers.
Wat werd er gevraagd? Persoonlijke informatie, die is ook geld waard.

Het Rabobank systeem is in zoverre alleen te kraken als je het systeem infecteert met een Trojan die de mogelijkheid heeft op de achtergrond transacties te maken terwijl de gebruiker op de rabobank site ingelogd is. Als de gebruiker zijn transacties goed wil keuren moet de extra transactie dan weggefilterd worden, anders valt het nogal op.

Zelfs zonder Trojan zou je al geld kunnen stelen door middel van een man-in-the-middle attack. Je laat een gebruiker inloggen op een nep-site en laat hem dan een "test"-transactie ondertekenen. Vrij simpel allemaal.

Verwijderd schreef op zondag 30 april 2006 @ 19:28:
SMS heeft 0 potentieel imo want het nummer/toestel wat de SMS ontvangt is niet te controleren. Er bestaat geen enkele garantie dat als ik jou een SMS toestuur dat dan niet iemand anders 'm te lezen krijgt. Jouw mobiel kan gestolen zijn, je SIM kaart, enz.

Maar dan moet jij de telefoon van het slachtoffer stelen én dan een phishingmail sturen én hopen dat het slachtoffer zijn gegevens invult. De enige manier om op grote schaal te phishen is dan dezelfde man-in-the-middle attack als bij de Rabobank mogelijk is.

[ Voor 3% gewijzigd door MetroidPrime op 30-04-2006 19:54 ]

Verwijderd schreef op zondag 30 april 2006 @ 19:28:
SMS heeft 0 potentieel imo want het nummer/toestel wat de SMS ontvangt is niet te controleren. Er bestaat geen enkele garantie dat als ik jou een SMS toestuur dat dan niet iemand anders 'm te lezen krijgt. Jouw mobiel kan gestolen zijn, je SIM kaart, enz.

Op het moment dat je je mobiel / sim kwijt bent, direct wijzigen op de postbank site en klaar
Daarnaast ook al zal iemand anders je tan code ontvangen, hij mist nog steeds je login + password

Punt is dat dat bij de andere banken niet hoeft. Ik kan rustig mijn mobiel kwijtraken zonder dat ik mijn bank daarvan op de hoogte moet brengen. Pinpas kwijtraken --> dan moeten ze de pincode nog weten. Random reader kwijtraken --> hebben ze niets aan zonder pas en pincode.

Bij de postbank heb je aan een login en de mobiel voldoende. Dat is bij geen enkele andere bank zo.

Dit nog even afgezien van het feit dat lang niet iedereen z'n TAN-codes per SMS ontvangt, je wil de mensen niet de kost geven die nog lijsten met codes thuis hebben liggen.

Geef mij je login en een TAN code en ik kan gaan bankieren. Andersom kan je dat niet zeggen over een rabo (of abn, of ING, of fortis, of.. enzovoort) klant zeggen. Zelfs al geef ik je mijn bankrekeningnummer en een code van de random reader, dan nog kun je geen geld overmaken.

Waarom denk je dat praktisch elke bank (op een paar kleintjes na mogelijk, zo'n challenge-response systeem is aanmerkelijk duurder om te implementeren) een systeem gebruikt met een challenge-response authenticatie? De postbank is de enige grote bank die dit brakke systeem gebruikt.

Verwijderd schreef op zondag 30 april 2006 @ 20:50:
Punt is dat dat bij de andere banken niet hoeft. Ik kan rustig mijn mobiel kwijtraken zonder dat ik mijn bank daarvan op de hoogte moet brengen. Pinpas kwijtraken --> dan moeten ze de pincode nog weten. Random reader kwijtraken --> hebben ze niets aan zonder pas en pincode.

Bij de postbank heb je aan een login en de mobiel voldoende. Dat is bij geen enkele andere bank zo.

Hoe is dat anders dan bij de combinatie pinpas-pincode? Als iemand je telefoon jat heeft hij je login nog niet, dat is exact hetzelfde als iemand je pinpas steelt.

chromeeh schreef op zondag 30 april 2006 @ 20:41:
[...]


Op het moment dat je je mobiel / sim kwijt bent, direct wijzigen op de postbank site en klaar
Daarnaast ook al zal iemand anders je tan code ontvangen, hij mist nog steeds je login + password

ja dat dacht ik ook, met alleen een mobiel kan je toch nog niks??!

daarbij vind ik dat rabobank systeem verre van prettig met zo'n random reader, heb je weer zo'n apparaatje erbij , mobiel heb ik altijd bij me

MetroidPrime schreef op zondag 30 april 2006 @ 20:54:
Hoe is dat anders dan bij de combinatie pinpas-pincode? Als iemand je telefoon jat heeft hij je login nog niet, dat is exact hetzelfde als iemand je pinpas steelt.

Even afgezien van het feit dat er ook nog veel mensen met lijsten met TAN codes werken..

Ik zal het zo simpel mogelijk zeggen.

Stel een postbankklant post hier zijn login en een TAN code. Dan kan iedereen die dat leest, geld gaan overschrijven. Stel ik post hier mijn rekeningnummer en de code van de random reader. Dan kun jij nog steeds geen geld overmaken.

Is dat duidelijker?

als je een login en een tan code hier neer zet kun je nog niet veel. Er wordt pas om een bepaalde tan code gevraagd bij een overboeking; vooraf weet je niet welke dat is.

"sjah... als je je login post en je hele tan-lijst dan kan ik zo gaan bankieren"

als jij je login post en je mooie gadget opstuurt kan ik dat ook...

Geef dan gelijk die random reader mee als je bij Rabo zit en je geef je mobiele telefoon/tanlijst mee als je bij de Postbank zit.

Das toch geen vergelijking.

Bij beide als je tans of randomreads gaat posten ben je niet goed snik.

Met de random reader en mijn pas kun jij nog steeds geen geld overmaken. Die 'bepaalde' tan code is van te voren gewoon bekend.

De challenge-response code niet.

Zelfs al post ik hier de eerstkomende 100 codes van de random reader.. dan nog kun je er niets mee, anders dan mijn bankgegevens inzien. Geld overmaken gaat niet.

Als jij hier al je tancodes post i.c.m login, kan ik geld overmaken.

[ Voor 86% gewijzigd door Verwijderd op 30-04-2006 21:30 ]

jezus wanneer kan je dan ooit wel geld overmaken

[Jules] schreef op zondag 30 april 2006 @ 21:24:
als jij je login post en je mooie gadget opstuurt kan ik dat ook...

Drie keer raden wat Nigeriaanse scammers niet hebben? Om de reader te gebruiken, heb je de pas ook nodig. Dus ik kan niet iets doen per e-mail zodanig dat jij geld van mijn rekening af kunt halen. Bij de postbank kan dat wel. Daar is de pas of reader niet fysiek voor nodig.

Waarom werkt phishing wel bij de postbank en niet bij de rabobank? (als het om geld overmaken gaat).. juist.. daarom.

Bij de rabobank (en ABN, enz) zijn 3 zaken nodig om toegang te krijgen tot je rekening. Random reader, pincode en pinpas. De laatste twee zijn voldoende om geld van iemand te stelen (immers je kunt ook gaan pinnen). In feite is er maar 1 toegang tot een rekening, je moet de pas hebben en de pincode weten. Dus er is 1 systeem wat gekraakt kan worden en voor dat kraken is de pinpas fysiek nodig.

Bij de postbank zijn er 2 toegangen mogelijk. Met de pas en de pincode, en met de user/login en TAN codes. Dat zijn dus 2 systemen die gekraakt kunnen worden, waarbij de 2e zich ook nog uitstekend lenen voor phishing, want er zijn geen fysieke items nodig.

Het TAN systeem zou al beter worden als men niet met vooraf vaststaande codes zou werken, maar ook met challenge response. Dus dat de website jou een code geeft die je moet SMS-en, waarna je een speciale TAN code opgestuurd krijgt welke is berekend met gebruikmaking van de challenge code. Het fysiek iets nodig hebben is dan verschoven van pinpas naar mobiel. De laatste is mensen makkelijker te ontfrutselen dan de eerste. Let wel: op dit moment is de mobiel helemaal niet nodig, als je maar tan codes weet kun je alles.

[ Voor 49% gewijzigd door Verwijderd op 30-04-2006 21:42 ]

xabre16v schreef op zondag 30 april 2006 @ 21:02:
[...]

ja dat dacht ik ook, met alleen een mobiel kan je toch nog niks??!

daarbij vind ik dat rabobank systeem verre van prettig met zo'n random reader, heb je weer zo'n apparaatje erbij , mobiel heb ik altijd bij me

Ik zit zelf bij de ABN en het is juist super handig... als je op vakantie gaat kan je altijd makkelijk i-net bankieren. met dat postbank systeem dus niet. Eerst moet je dus inloggen en wordt er dus ook elke keer een random code gegenereert die maar erg kort geldig is. Daarmee kan je dan inloggen en de bankzaken inzien... voor transacties krijg je een nieuwe key die je moet invullen op de calculator... dus het zal ERG lastig zijn om ooit misbruik van dit systeem te maken.

Ook is het makkelijk om een GSM te kraken mocht hier een pin opzitten (iemand anders maakte hier een melding van), achter de code van een pinpas is een stuk moeilijker te komen dan van een telefoon.

[ Voor 20% gewijzigd door n00bs op 30-04-2006 21:39 ]

n00bs schreef op zondag 30 april 2006 @ 21:38:
[...]


Ik zit zelf bij de ABN en het is juist super handig... als je op vakantie gaat kan je altijd makkelijk i-net bankieren. met dat postbank systeem dus niet. Eerst moet je dus inloggen en wordt er dus ook elke keer een random code gegenereert die maar erg kort geldig is. Daarmee kan je dan inloggen en de bankzaken inzien... voor transacties krijg je een nieuwe key die je moet invullen op de calculator... dus het zal ERG lastig zijn om ooit misbruik van dit systeem te maken.


Ook is het makkelijk om een GSM te kraken mocht hier een pin opzitten (iemand anders maakte hier een melding van), achter de code van een pinpas is een stuk moeilijker te komen dan van een telefoon.

Ja GSM alleen heb je weinig aan, login + wachtwoord heb je ook nodig. Is het zelfde als dus jullie wachtwoord + random reader ding

Ben met je eens voor het inzien rekening alleen wachtwoord en login karige is. de rest zit goed in elkaar.

Verwijderd schreef op zondag 30 april 2006 @ 21:35:
[...]


Drie keer raden wat Nigeriaanse scammers niet hebben? Om de reader te gebruiken, heb je de pas ook nodig. Dus ik kan niet iets doen per e-mail zodanig dat jij geld van mijn rekening af kunt halen. Bij de postbank kan dat wel. Daar is de pas of reader niet fysiek voor nodig.

Waarom werkt phishing wel bij de postbank en niet bij de rabobank? (als het om geld overmaken gaat).. juist.. daarom.

Bij de rabobank (en ABN, enz) zijn 3 zaken nodig om toegang te krijgen tot je rekening. Random reader, pincode en pinpas. De laatste twee zijn voldoende om geld van iemand te stelen (immers je kunt ook gaan pinnen). In feite is er maar 1 toegang tot een rekening, je moet de pas hebben en de pincode weten. Dus er is 1 systeem wat gekraakt kan worden.

Bij de postbank zijn er 2 toegangen mogelijk. Met de pas en de pincode, en met de user/login en TAN codes. Dat zijn dus 2 systemen die gekraakt kunnen worden, waarbij de 2e zich ook nog uitstekend lenen voor phishing.

er staan 100 TAN codes op een TAN lijst... tenzij mensen zo ongelofelijk debiel zijn om 100 tan-codes incl. volgnummers op een website in te vullen; of tenzij phishers een manier hebben gevonden om via email automatisch een TAN-lijst in te scannen met de scanner die ik niet heb en dat vervolgens door te sturen lijkt er mij niet veel aan de hand.

Wil je 10 TAN-codes? prima... kun je weinig mee... er wordt een _willekeurige_ TAN code gevraagd uit die 100 codes... en ja, het spul blokkeert als je een verkeerde code invult.

Verwijderd schreef op zondag 30 april 2006 @ 21:14:
[...]


Even afgezien van het feit dat er ook nog veel mensen met lijsten met TAN codes werken..

Ik zal het zo simpel mogelijk zeggen.

Stel een postbankklant post hier zijn login en een TAN code. Dan kan iedereen die dat leest, geld gaan overschrijven. Stel ik post hier mijn rekeningnummer en de code van de random reader. Dan kun jij nog steeds geen geld overmaken.

Is dat duidelijker?

TAN-codes via GSM werken vergelijkbaar als een challenge-response systeem. Ik geef aan dat ik mijn betalingen wil verzenden, vervolgens krijg ik een SMS bericht met TAN-code en totaalbedrag. Zolang ik die code niet op de site invul kan ik geen nieuwe betalingen inplannen. Zodra ik hier mijn via SMS verkregen TAN-code en login plaats kun jij alleen de betalingen doen die ik al heb ingepland. Als dat gebeurd is, is de code ongeldig geworden en kun jij er helemaal niets meer mee. Dat is vergelijkbaar met hoe de random reader werkt volgens de Rabobank site.

[ Voor 3% gewijzigd door MetroidPrime op 30-04-2006 22:18 ]

n00bs schreef op zondag 30 april 2006 @ 21:38:
[...]


Ik zit zelf bij de ABN en het is juist super handig... als je op vakantie gaat kan je altijd makkelijk i-net bankieren. met dat postbank systeem dus niet. Eerst moet je dus inloggen en wordt er dus ook elke keer een random code gegenereert die maar erg kort geldig is. Daarmee kan je dan inloggen en de bankzaken inzien... voor transacties krijg je een nieuwe key die je moet invullen op de calculator... dus het zal ERG lastig zijn om ooit misbruik van dit systeem te maken.

Ook is het makkelijk om een GSM te kraken mocht hier een pin opzitten (iemand anders maakte hier een melding van), achter de code van een pinpas is een stuk moeilijker te komen dan van een telefoon.

En waarom zou je op vakantie met de Postbank niet kunnen bankieren dan? Werkt de Postbank site in het buitenland niet ofzo, waar heb je het over?

Gewoon inloggen met username en password, en als je een betaling wil doen krijg je eerst een tan-code per sms die je moet invoeren, anders kun je nog niks. Ook al heeft iemand je username en password dan kan hij nog enkel inloggen en verder niks. Betalingen kan hij niet maken.

Trouwens bij de Postbank verloopt de sessie ook naar bepaalde tijd. Ook het veranderen van je 06 nummer kan niet zonder het bevestiging vanaf bestaande nummer.

En ja natuurlijk is een sim kaart te kraken, maar goed moet diegene eerst even je simkaart hebben en als diegene jou bankpassie en je random reader heeft, want ja je moet ze helaas allebij bij je hebben (hoezo superhandig, weer zo'n gadget die je achter je aan moet slepen) wil je wat kunnen doen dan kan hij ook mogelijk bankieren
Maar dit is allemaal wel heel ver gezocht. Volgens mij is dit allemaal maar Postbank gebash.

En ik las ergens anders dat je niks fysieks nodig zou hebben, wat is een mobiele telefoon dan?? die kan ik toch echt vastpakken.

[ Voor 4% gewijzigd door xabre16v op 30-04-2006 23:45 ]

Jullie denken allemaal te moeilijk. Als de woorden "postbank", "ABN" of een andere banknaam in een mailtje voorkomt en het mailtje is rijkelijk voorzien van taalfouten dan is het vrijwel zeker een gevalletje phishing. Leveren die lessen Nederlands uiteindelijk toch nog wat op.

Laat ISP's naast een spamfilter dus ook een phishing-filter installeren op hun mailservers en deze combinatie tegenhouden (banknaam+taalfouten)!

Ik ben niet de eerste die het zich afvraagt en waarschijnlijk ook niet de laatste: waarom nemen die phishers nou niet even de moeite om de taal- en schijffouten uit hun werk te halen? Echt waar, ik begrijp er niets van.

Net als die Nigerianen: "FROM THE DESK OF:" in het mailtje of is het complete mailtje in hoofdletters? --> scam. Iedereen weet dat inmiddels. Die tekst staat ook gewoon hard in mijn spamfilter en het wérkt ook gewoon...

[ Voor 12% gewijzigd door CmdrKeen op 30-04-2006 23:49 ]

Vanwege SMS... wanneer die SMS gestuurd wordt naar het buitenland (als ze dat al doen) dan gaat dit via een roaming provider waar jouw provider in NL contracten mee heeft. Veelal is het ook zo dat SMSen naar het buitenland niet gaat (komt niet aan).

Heeft u deze e-mail ontvangen? Dan kunt u het volgende doen:
- Als u niet op deze e-mail hebt gereageerd, is er niets aan de hand. Uw gegevens zijn nog steeds veilig. U kunt, als u dat wilt, natuurlijk altijd uw gebruikersnaam en/of wachtwoord wijzigen.

Ik kreeg een warm en veilig gevoel bij het lezen van deze joviale opmerking

Ik wil graag nog ff wat toevoegen aan de discussie of de postbank nu een slecht systeem gebruikt of niet.

Een sterke beveiliging kun je maken met deze 3 dingen
) iets wat je hebt
) iets wat je weet
) iets wat je bent

Bij de postbank blijft het bij iets wat je hebt (telefoon, wachtwoord, gebruikersnaam), bij andere methoden (zoals ABN) banken komt daar nog iets bij wat je weet (je pincode).

Ik zeg express dat je wachtwoord en gebruikersnaam iets zijn wat je hebt. Aangezien zo gigantisch veel pc's geïnfecteerd zijn met spyware/malware is het achterhalen van een wachtwoord/gebruikersnaam combo niet zo'n heel groot probleem, erg zwak punt dus. Nog niet gesproken over huisgenoten, buren etc. die op hetzelfde netwerk zitten.

Over de tan codes: SMS verkeer is cleartext. Geef wat geld uit en je pikt het zo uit de lucht. Geen idee hoeveel, maar dat houd de fatsoenlijke crimineel niet tegen, zolang hij er maar meer mee kan verdienen. Niet waterdicht. Ten tweede: telefoons worden gejat, is allemaal niet zo heel ingewikkeld.

De lijst met tan codes: De tan codes zijn te lezen door de enveloppe heen (!) serieus, doe ff je best en je schrijft ze zo allemaal op. Oftewel, je spreekt af met je vriendje de postbode dat hij ff voor je kijkt, voor zeg, 100€. Desnoods meer.

Je hackt een bekend iemand z'n pc. Dan heb je user/pass combo. Je vraagt nieuwe codes aan. Postbode brengt de tan codes bij je langs. Klaar. Klant kan niet inloggen bij de postbank, week later komt hij er pas achter dat z'n rekening leeg is.

De eerste die nu zegt: "Ja, maar dat gebeurt vast niet" / "Ja dat is zo onwaarschijnlijk" heeft het idee van beveiliging niet helemaal goed begrepen. Als het kan, gaan criminelen het doen.

Beveiliging hebben ze bij de postbank dus niet helemaal goed begrepen. Ik vind het zorgelijk dat zo'n grote bank dit soort dingen niet goed voor elkaar heeft.

Trouwens bij de Postbank verloopt de sessie ook naar bepaalde tijd.

Dat is nou zo'n typische Postbank manier om het veilig te laten lijken. Stel je laat in een internet café (wat sowieso een no-go is om te internetbankieren) je Postbank website open staan, kan hij hooguit je saldo zien. Wat voegt dit toe aan je veiligheid? Net als de verandering dat de TAN codes nu random van je lijst worden gevraagd. Wat voegt dat ookalweer toe? IMO de mensen een vals gevoel van veiligheid geven.

[ Voor 24% gewijzigd door SpiceWorm op 11-05-2006 00:26 ]

n00bs schreef op zondag 30 april 2006 @ 23:48:
Vanwege SMS... wanneer die SMS gestuurd wordt naar het buitenland (als ze dat al doen) dan gaat dit via een roaming provider waar jouw provider in NL contracten mee heeft. Veelal is het ook zo dat SMSen naar het buitenland niet gaat (komt niet aan).

Ik kna uit ervaring melden dat bijvoorbeeld internetbankieren met de postbank werkt in o.a.:
Thailand,
Cambodia,
Iran,
Mexico,
Canada,
Alle (west) europese landen.
Dubai.
China (HongKong that is)

Het enige land waar het me niet lukte was Vietnam. In Vietnam kon ik overigens ook niet 'normaal' bellen en SMS' geprobeerd met Vodafone, K\PN, Orange en T-mobile (Naast mijn abo's (t-mobile en Voda) neem ik vaak een stappel sms prepaid kaarten mee naar het buitenland, kom je niet voor bijzonder onaangename -lees dure) verassingen te staan

Spiceworm schreef op donderdag 11 mei 2006 @ 00:14:
Dat is nou zo'n typische Postbank manier om het veilig te laten lijken. Stel je laat in een internet café (wat sowieso een no-go is om te internetbankieren) je Postbank website open staan, kan hij hooguit je saldo zien. Wat voegt dit toe aan je veiligheid? Net als de verandering dat de TAN codes nu random van je lijst worden gevraagd. Wat voegt dat ookalweer toe? IMO de mensen een vals gevoel van veiligheid geven.

Waarom is dit een "vals gevoel van veiligheid" ?

Een sessie de verloopt na een aantal minuten is gewoon extra veiligheid. TAN codes (via SMS) is net zo veilig als een bankieren via een randomreader.

Waarom is internetbankieren in een internetcafé no-go ? Je zit met een 1024bits encryptie, en als er een keylogger op de pc zou staan, kunnen ze nog steeds geen geld overboeken... Volgens mij heb jij (als jij thuis achter je eigen pc internetbankiert) een vals gevoel van veiligheid.

En als je denkt dat de veiligheid van "gewoon" bankieren in de buurt komt van de veiligheid van internetbankieren, dan snap je er helemaal niets van.