Nieuwe (sluwe) phising methode ?

Iedereen kan SMSjes verzenden vanaf elk willekeurig te kiezen telefoonummer. zie bv
http://www.sendanonymoussms.com/

De afzender van een SMS is gewoon een tekstveldje. Daarom staat er ook ING en geen telefoonnummer. Iedereen kan daar invullen wat men wilt.

Bij e-mail is dat niet anders alleen zit daar een redelijke check op, bijvoorbeeld met SPF etc. Bij SMS heb je dat niet.

De link is niet 'vernuftig' te noemen. Die moet je gewoon altijd goed checken en dan zie je dat er meer punten in staan dan normaal. Sowieso moet je je omgeving op het hart drukken dat de bank nooit zulke linkjes zou sturen voor zoiets belangrijks. Maar ik begrijp wel dat mensen die weinig met internet hebben hier mogelijk door in de war gebracht worden.

Overigens was dit laatst volop in het nieuws.
Bv.: https://www.nu.nl/tech/59...-meer-dan-verdubbeld.html

[ Voor 19% gewijzigd door Room42 op 06-10-2019 19:29 ]

Rico66 schreef op zondag 6 oktober 2019 @ 19:20:
Ik ben bekend met de vormen van Phising en wat men daar allemaal voor probeert en trap daar nooit in.

Als je op de link klikt kom je ook daadwerkelijk op een https site uit en zie je het "vertrouwde" slotje.
Dat slotje is dus blijkbaar geen garantie meer.

Dat slotje is ook niet bedoeld om de daadwerkelijke afzender/eigenaar te verifiëren, maar om aan te tonen dat communicatie met die site veilig en versleuteld is.

Iedereen kan een 'slotje' op zijn pagina krijgen, gratis en voor niets, letsencrypt geeft er 100'en per dag uit.

Die campagne die ooit is opgestart 'slotje is veilig' is ondertussen achterhaald.

Zo’n slotje / certificaat kan iedereen gewoon (gratis met bv Lets encrypt) aanvragen.
Alleen als je op het slotje klikt zie je nog wat meer info, daar kan je (behalve natuurlijk aan de url) zien of het daadwerkelijk om de ING gaat.

Als je op de link klikt kom je ook daadwerkelijk op een https site uit en zie je het "vertrouwde" slotje.
Dat slotje is dus blijkbaar geen garantie meer.

Dat slotje heeft nooit een garantie gegeven. Het laat alleen zien dat je op een website zit die https met een ssl certificaat zit. (Beveiligde verbinding met de server)

HKLM_ schreef op zondag 6 oktober 2019 @ 19:33:
[...]


Dat slotje heeft nooit een garantie gegeven. Het laat alleen zien dat je op een website zit die https met een ssl certificaat zit. (Beveiligde verbinding met de server)

Zeker wel, je hebt verschillende soorten certificaten. Je hebt certificaten met uitgebreide verificatie, die zullen banken zeker hebben.

Marc3l schreef op zondag 6 oktober 2019 @ 19:37:
[...]

Zeker wel, je hebt verschillende soorten certificaten. Je hebt certificaten met uitgebreide verificatie, die zullen banken zeker hebben.

Die zullen banken zeker hebben maar die kan iedereen aanvragen dus dat is nog steeds geen optie.
Vertrouwen op een eventueel slotje is gewoon niet aan de orde wat voor certificaat er aan hangt dan ook.

[ Voor 12% gewijzigd door HKLM_ op 06-10-2019 19:40 ]

HKLM_ schreef op zondag 6 oktober 2019 @ 19:40:
[...]


Die zullen banken zeker hebben maar die kan iedereen aanvragen dus dat is nog steeds geen optie.
Vertrouwen op een eventueel slotje is gewoon niet aan de orde wat voor certificaat er aan hangt dan ook.

Aanvragen kan misschien wel maar uitgeven natuurlijk niet.
Zie https://www.a51hosting.co...itgebreide-validatie.html

Marc3l schreef op zondag 6 oktober 2019 @ 19:41:
[...]

Aanvragen kan misschien wel maar uitgeven natuurlijk niet.
Zie https://www.a51hosting.co...itgebreide-validatie.html

Ik weet hoe uitgifte van certificaten werkt maar wat ik wil zeggen is dat het vertrouwen op een slotje hetzelfde is als vertrouwen op iemands blauwe ogen.

Scammers zijn tegenwoordig zo goed dat ze echt wel aan zo’n certificaat kunnen komen. Er zit echt niet iemand op zijn zolderkamertje te knutselen. Daar gaan zit in sommige gevallen complete (bedrijven) achter.

Dat is iets wat de overheid dan wel netjes doet..

MijnOverheid


Geachte I.K. Tweaker

Er is een nieuw bericht in uw Berichtenbox op MijnOverheid. Ga naar MijnOverheid om dit te lezen.

Met vriendelijke groet,

MijnOverheid

Download de Berichtenbox app
Post van de overheid direct lezen op uw mobiel of tablet? Dat kan met de Berichtenbox app van MijnOverheid. Download de app via de App Store of via Google Play.


Dit is een automatisch gegenereerd bericht. Een reactie op dit bericht zal niet worden gelezen of beantwoord.

MijnOverheid stuurt geen notificaties met een link naar de website. Dit is om te voorkomen dat u met valse e-mailnotificaties naar een namaak-website wordt geleid (zogenaamde phishing). Neem daarom het webadres van MijnOverheid op in uw Favorieten en ga altijd van daaruit naar de website. Ontvangt u toch een e-mailnotificatie met daarin een link, dan is deze dus nooit van MijnOverheid.

zouden banken etc ook gewoon moeten doen op deze manier...

er zit dus echt nergens een hyperlink in..

HKLM_ schreef op zondag 6 oktober 2019 @ 19:46:
[...]


Ik weet hoe uitgifte van certificaten werkt maar wat ik wil zeggen is dat het vertrouwen op een slotje hetzelfde is als vertrouwen op iemands blauwe ogen.

Scammers zijn tegenwoordig zo goed dat ze echt wel aan zo’n certificaat kunnen komen. Er zit echt niet iemand op zijn zolderkamertje te knutselen. Daar gaan zit in sommige gevallen complete (bedrijven) achter.

Zeg niet dat je op het slotje moet vertrouwen maar als je er op klikt (zie dat het alleen niet werkt in Safari op de Ipad) kan je meer informatie over het certificaat inzien en daar vanuit kan gaan samen met de url uiteraard.

[ Voor 3% gewijzigd door Marc3l op 06-10-2019 19:52 ]

SMSfreakie schreef op zondag 6 oktober 2019 @ 19:49:
Dat is iets wat de overheid dan wel netjes doet..


[...]


zouden banken etc ook gewoon moeten doen op deze manier...

er zit dus echt nergens een hyperlink in..

Doet ing ook..

Joostje123 schreef op zondag 6 oktober 2019 @ 19:59:
[...]


Doet ing ook..

geen idee.. ondanks ik er klant ben sturen ze nooit mailtjes

krijg ze wel altijd van andere banken waar ik geen klant ben dus tja

Dan staat er de link: https://mijn.ing.nl.do22.info
Ook dit is vernuftig, daar dit het domein lijkt van mijn.ing.nl

Dit is voor mij de grootste alarmbel, het domein eindigt op do22.info.
Domeinnamen lees je van rechts naar links, extensie, dan domeinnaam
Dus een info domein met de naam do22 vind ik uiterst verdacht als het om een ING mail zou gaan..

MacIsCool schreef op maandag 7 oktober 2019 @ 15:23:
[...]


Dit is voor mij de grootste alarmbel, het domein eindigt op do22.info.
Domeinnamen lees je van rechts naar links, extensie, dan domeinnaam
Dus een info domein met de naam do22 vind ik uiterst verdacht als het om een ING mail zou gaan..

Zeker, maar de gemiddelde Nederlander zal waarschijnlijk heel selectief lezen.... Die zien "Mijn.ing.nl...." en denken dat het goed is... Ik denk dat ik mijn ouders ook wel meerdere malen uit kan leggen hoe een adres opgebouwd is en dan snappen ze het nog niet helemaal.

De grootste alarmbel zou elke keer moeten zijn: Er staat een link in het smsje

Rico66 schreef op zondag 6 oktober 2019 @ 19:20:
Ik ben bekend met de vormen van Phising en wat men daar allemaal voor probeert en trap daar nooit in.

Maar vandaag kreeg ik een vorm van Phising binnen die ik nog niet eerder heb gezien.

Het begint met een SMS van ING dat mijn rekening geblokkeerd is.
Niets nieuws, maar deze komt ook gewoon in het ING berichten vak waar ik de tan codes en andere berichten van ING ontvang.
Dan staat er de link: https://mijn.ing.nl.do22.info
Ook dit is vernuftig, daar dit het domein lijkt van mijn.ing.nl

Als je op de link klikt kom je ook daadwerkelijk op een https site uit en zie je het "vertrouwde" slotje.
Dat slotje is dus blijkbaar geen garantie meer.

Maar het meest bizarre vind ik nog wel dat het SMS bericht verstuurd lijkt door ING en ook in het postvak van ING terecht komt. Dit heb ik nog niet eerder gezien.
Hoe krijgen ze dat voor elkaar ?

De ING medewerker die ik hierover belde vond dat niet zo vreemd omdat de naam ING er aan gehangen werd.
Ik denk dat het niet zo simpel is, want op de achtergrond word er mijn inziens met een uniek ID (telefoonnummer) gewerkt bij het versturen van een SMS en niet alleen met een naam.

Iemand een idee hoe ze dit doen ?

Het dikgedrukte is mij niet duidelijk. Bedoel je dat in je ING berichten dit bericht klaar stond?

HKLM_ schreef op zondag 6 oktober 2019 @ 19:46:
[...]


Ik weet hoe uitgifte van certificaten werkt maar wat ik wil zeggen is dat het vertrouwen op een slotje hetzelfde is als vertrouwen op iemands blauwe ogen.

Scammers zijn tegenwoordig zo goed dat ze echt wel aan zo’n certificaat kunnen komen. Er zit echt niet iemand op zijn zolderkamertje te knutselen. Daar gaan zit in sommige gevallen complete (bedrijven) achter.

Ook scammers zullen echt geen geen EV certificaat op naam van ING kunnen krijgen hoor. Ik denk eerder dat dit nu voorkomt omdat de browsers niet langer tonen dat het om een EV certificaat gaat.

Je mist nu gewoon "ING Bank NV (NL)" voor de URL, iets wat echt niet te faken viel...

Rico66 schreef op zondag 6 oktober 2019 @ 19:20:
Ik ben bekend met de vormen van Phising en wat men daar allemaal voor probeert en trap daar nooit in.

Maar vandaag kreeg ik een vorm van Phising binnen die ik nog niet eerder heb gezien.

Het begint met een SMS van ING dat mijn rekening geblokkeerd is.
Niets nieuws, maar deze komt ook gewoon in het ING berichten vak waar ik de tan codes en andere berichten van ING ontvang.
Dan staat er de link: https://mijn.ing.nl.do22.info
Ook dit is vernuftig, daar dit het domein lijkt van mijn.ing.nl

Begin jezelf aan te leren om URL's niet van voor naar achter te lezen, maar van achter naar voren (net als DNS dat doet)... dan wordt je namelijk niet door een handvol (sub-sub-)sub-domeinen verward, maar zie je dat je wordt geacht te klikken op een link naar het domein do22.info. En dat lijkt helemaal niet op ing.nl

Als je op de link klikt kom je ook daadwerkelijk op een https site uit en zie je het "vertrouwde" slotje.
Dat slotje is dus blijkbaar geen garantie meer.

Zoals al vaker gezegd in dit topic... het verkrijgen van een SSL-certificaat kost minder werk tegenwoordig dan een domein registreren... en minder geld. Helaas zijn de browserfabrikanten (met Apple en Google voorop) steeds meer aan het verwijderen waar het gaat om duidelijk weergeven wat voor certificaat er gebruikt wordt. Je zou voor de grap bovenstaande link eens moeten openen (op een Windows-machine) in Chrome en Internet Explorer (ja, die). En de uitkomst vergelijken met het openen van ing.nl...

(...)

Waarom deze phishing werkt?
Omdat ze inspelen op wat de overheid ons leert... en die loopt altijd achter de feiten aan. Nu ook weer.
Je moet de URL checken... maar op de site die ze daarover in elkaar hebben gezet, staat niet hoe je een URL moet lezen... alleen of er "geen vreemde dingen in de URL staan". Kort door de bocht: de hier gepostte URL is in de ogen van de overheid okay. (Ja, je kunt hem door een linkchecker halen... maar dat is weer een nieuwe site.

@Verwijderd Laten we niet vergeten dat @Rico66 na de minuut van het posten van het topic niet meer online is geweest. Direct reageren op hem heeft dus weinig zin meer.

Room42 schreef op dinsdag 8 oktober 2019 @ 10:30:
@Verwijderd Laten we niet vergeten dat @Rico66 na de minuut van het posten van het topic niet meer online is geweest. Direct reageren op hem heeft dus weinig zin meer.

En zich blijkbaar speciaal hier geregistreerd heeft voor dit ene bericht. Je zou haast denken dat hij hoopt dat er op die link geklikt wordt.

MacIsCool schreef op maandag 7 oktober 2019 @ 15:23:
[...]


Dit is voor mij de grootste alarmbel, het domein eindigt op do22.info.
Domeinnamen lees je van rechts naar links, extensie, dan domeinnaam
Dus een info domein met de naam do22 vind ik uiterst verdacht als het om een ING mail zou gaan..

De url in het bericht is gewoon 'mijn ing' (<a href), maar zonder een mouse-over (oh wacht, niet op mobiel) of je URL balk goed in de gaten houden (ook die verdwijnt mobiel), zal niet oplettend persoon dit echt niet zien.

Valt me namelijk op dat ze steeds meer op 'mobiel' richting, zelfs de phising mailtjes zelf hebben vaker de mobiele layout (van ABN en ING in ieder geval) ipv de 'full' versie van vroeger.

Joostje123 schreef op zondag 6 oktober 2019 @ 19:59:
[...]


Doet ing ook..

Creditcard overzicht meldingen hebben gewoon nog een URL, die zelfs vanuit de echte mailtjes best phishy oogt (ingcommercialcard.com)

SeatRider schreef op dinsdag 8 oktober 2019 @ 10:34:
[...]

En zich blijkbaar speciaal hier geregistreerd heeft voor dit ene bericht. Je zou haast denken dat hij hoopt dat er op die link geklikt wordt.

Komt regelmatig voor dat er een one-day zo'n bericht post en het weer tijdje stil is, mogelijk op diverse fora dezelfde vraag gepost en weer verder is gegaan met 'dagelijks leven'

Room42 schreef op dinsdag 8 oktober 2019 @ 10:30:
@Verwijderd Laten we niet vergeten dat @Rico66 na de minuut van het posten van het topic niet meer online is geweest. Direct reageren op hem heeft dus weinig zin meer.

Jij maakt er een sport van om mensen die niet meer in hun eigen topics reageren te attenderen hierop, of niet?

Mensen die zich in het onderwerp hebben verdiept maar wel steevast het woord phising blijven gebruiken ipv phishing

(tip: 't is afgeleid van fishing)

Verwijderd schreef op dinsdag 8 oktober 2019 @ 13:00:
[...]

Jij maakt er een sport van om mensen die niet meer in hun eigen topics reageren te attenderen hierop, of niet?

Room42 schreef op dinsdag 8 oktober 2019 @ 18:08:

offtopic:
Lol, ja ik erger me behoorlijk aan mensen die ergens een vraag plempen, daar heel veel feedback op krijgen maar zich vervolgens niet meer laten zien. Dat is toch asociaal?

[ Voor 3% gewijzigd door Verwijderd op 08-10-2019 18:49 ]

Bij de banken is de oplossing tegen phishing heel simpel, ongeacht wat voor berichten of sms-jes je ook krijgt van de bank, "NOOIT" op een link in zo'n bericht klikken. Altijd en alleen maar je eigen rechtstreekse links gebruiken en nooit iets anders. Zo'n sms-je, als ik die kreeg van mijn bank, weg d'r mee. Banken zeggen ook zelf, dat ze nooit zullen vragen naar privé gegevens of op links te klikken.

Ik krijg bv. ook regelmatig aanbiedingen van bol.com, maar ik klik nooit op hun link, maar ik ga gewoon naar de browser en tik daar handmatig bol.com in en zoek de betreffende aanbieding op. Meestal vind ik die wel maar ik klik simpelweg nooit op links in email (op verificatie links van net aangemaakte accounts op bepaalde websites na dan).

SMSfreakie schreef op zondag 6 oktober 2019 @ 20:18:
[...]


geen idee.. ondanks ik er klant ben sturen ze nooit mailtjes

krijg ze wel altijd van andere banken waar ik geen klant ben dus tja

Dus tja.. het verschil tussen commercie e-mails en klant bedienend e-mails. Dat moet je ook wel kunnen onderscheiden m.i.