Rekening geplunderd via link in bericht ?

Ik vind het ook apart. Ik heb geen SNS en ken hun procedure niet, maar hoe kan je via enkel een pincode een toestel toevoegen?

Bij ABN en Rabo heb ik daarvoor mijn pinpas nodig en de reader van de bank.

Nu weet ik wel wat SNS iets van een externe reader heeft die ook een bepaalde code heeft. Wellicht is dat stukje weg gelaten in het verhaal.

Hierbij moeten we weten hoe sns werkt. Ik heb ook geen idee. Ik weet dat je met ING en abn vrij veel moet doen om een telefoon toe te voegen en bevestigen met betalen met je persoonlijke code. Nu vraag ik me af, volgens mij kan je als je een nieuwe telefoon toevoegd weer zelf een code instellen op die bewuste telefoon.

Volgens mij idem aan de ASN, waar ik klant ben.

Je kunt tot een bepaald bedrag overboeken zonder de 'reader' te gebruiken, daarboven moet je altijd de code opgeven en dus 2FA gebruiken.

Wat volgens mij gebeurt is dat het overboeken van 0,01 cent niet via een MP of de site van je eigen bank gaat, maar via een malafide link die de oplichter je toestuurt.

'Hallo wilt u me 0,01 betalen voor bewijs geen oplichter?' met een link.

Vervolgens vraagt dit site je de gegevens in te vullen van je bank, incl een 2FA bevestiging en zo wordt eea van je bankrek gehaald?

Volgens Inge ging de oplichtster razendsnel te werk. Ze kon meekijken op de rekening van Inge en sluisde het geld weg. ,,Het was zo erg dat op het moment dat ik met mijn bank belde zij toen nog niet eens zagen dat mijn geld weg was.” Niet alleen de rekening van Inge was leeggehaald, ook die van haar kinderen. Die rekeningen zijn namelijk aan die van Inge gekoppeld.

Dit insinueert overigens dat er controle over de PC én de bankrekeningen was. Bij ASN werkt het zo dat je tussen rekeningen geld kunt overmaken zonder random reader ding, maar zodra je het eraf wilt boeken moet dat wel. Dus eerst inloggen in de bank, overboeken naar 1 rekening en dan je slachtoffer zo gek krijgen 1 keer zo'n random getal te genereren. De limiet is max iets van 500,- per dag zonder random reader ding.

Wel raar verhaal idd.
Ik moet inloggen met MFA bij de ING.
Daarbij kan ik zonder MFA geld overmaken naar spaar. Of opnemen van spaar.
Maar wil ik geld overmaken (1,-) ook naar een andere rekening (ook mijn eigen rekening) moet ik dat altijd bevestigen in de app en mijn code opgeven.
Het toevoegen van een extra telefoon is ook niet zo gedaan. Dat gaat via vele stappen via de website.
Of als je al in bezit bent van je andere telefoon met aantal bevestigingen op de oude.
Zowel de nieuwe als de oude moet je in bezit hebben omdat je een QR moet scannen vanaf de oude telefoon.

Ik kan me alleen voorstellen dat de link zegt 0.01 terwijl het eigenlijk 1000,- is bv.
Maar dan krijg ik als nog een melding wil je 1000,- overmaken in mijn telefoon te zien. Welke ik dus moet bevestigen.
Hoe de hele rekening dan leeg kan zijn incl de andere gekoppelde rekeningen is mij een raadsel

Ik heb zelf SNS, maar zie niet in hoe dit kan werken.....

Tenzij het via "Beheren toestemmingen andere partijen" is gegaan. Dan heeft iemand het recht om betalingen names jou te verwerken.

Bij SNS heb je ook gewoon een code nodig, of de SNS bankieren app. Je kunt bij SNS instellend dat je zonder reader maar met een code of QR code op je telefoon ook naar andere rekeningen kan overmaken. Maar om die app op je telefoon te activeren moet je toch echt een random reader gebruiken.....

De beschrijving in het AD artikel doet eerst denken aan een MITM aanval, waarbij een ontvangen link de werkelijke backend verstopt in de URL of een proxy welke de ingegeven pincode afvangt.

Ik vulde mijn pincode in, maar daarna deed de pagina er heel lang over om te laden.

Mobiel bankieren met de SNS app heeft een zelf gekozen pincode van vijf cijfers, waarmee je in combinatie met de app geld kunt overmaken. Staan de limieten dan nog default in de app, dan kost het weinig moeite om de rekeningen te plunderen. Je hebt echter nog steeds de authenticated app nodig.

Punt dat de aandacht trekt is inderdaad dan

De SNS Bank bevestigt het verhaal van Hoefnagel. Het slachtoffer werd door de politie naar de bank doorverwezen. Het vreemde toestel dat was gekoppeld aan het internetbankieren van Inge werd meteen verwijderd. ,,En die is op de zwarte lijst geplaatst", zegt bankmedewerkster Alice Ras. Het geld is volgens Hoefnagel verplaatst naar een Belgische rekening. ,,We hebben internetbankieren voor mevrouw geblokkeerd en het verzoek gedaan de app te verwijderen", zegt Ras.

En hier eindigt mijn kennis gewoon, welk device wordt hier genoemd?
Hoe wordt dat via een URL aan een rekening gekoppeld?
Wordt hier een app geauthenticeerd door middel van de ingegeven pincode die onderschept is?

Wat zou kunnen, mevrouw vraagt rekeningnummer aan slachtoffer. Daarna vraagt mevrouw 0,01 euro over te maken, en ondertussen heeft ze de website met de code om de telefoon te koppelen op die site gezet.
Het enige wat hoeft, is bevestigen met de reader. Dus slachtoffer voert code in, en hoppa telefoon is gekoppeld.

Voor overschrijven heb je niet altijd je reader nodig. Net afhankelijk van wat je hebt ingesteld. Maar volgens mij staat het standaard op iets van 500-1000 per dag met een limiet per overboeking.

In dit soort artikelen wordt de precieze werkwijze volgens mij niet beschreven om andere mensen niet op ideeën te brengen.
Ze zal om de tuin geleid zijn om de app op een nieuw device te authenticeren, maar volgens mij krijg je bij iedere bank daar ook een waarschuwing van waar ze overheen moet hebben gelezen.

[ Voor 3% gewijzigd door Grannd op 05-05-2020 09:29 ]

Kan dit het niet zijn ?

Met 0.01 cent kan je je bankrekening aan MP koppelen. Gek genoeg kan je ook een omgekeerd betaalverzoek sturen waarmee de ander een bedrag ontvangt van jou ipv van dat hij aan jou betalen moet.

Ipv te betalen krijg je dan een “te ontvangen” betaalverzoek.

Je koppelt zo de bankrekening van je doelwit en schiet zo met te ontvangen verzoeken de rekening leeg.

Moest daar meteen aan denken omdat ik van een koper laatst een te ontvangen betaalverzoek kreeg. Vond dat zo vreemd dat we maar een tikkie hebben gedaan uiteindelijk.

Voor de details moet je SNS kennen, maar het zal erop neerkomen dat met het nepbetaalverzoek het slachtoffer voldoende gegevens heeft afgegeven om een andere SNS bankapp te koppelen en autoriseren. (Denkbaar is dat het slachtoffer in plaats van een transactie van 1 cent te autoriseren de koppeling authoriseert - al dan niet door niet goed te lezen.)

Vervolgens worden rekeningen leeggelepeld door handig gebruik te maken van wat mogelijk is binnen de limieten van dergelijke apps.

In variaties komt dit ook voor bij andere banken.

move: PFSL->PB

[ Voor 15% gewijzigd door Rukapul op 05-05-2020 09:38 ]

Ik denk dat ze via de SNS app op haar telefoon een nieuw apparaat heeft toegevoegd.
De website was natuurlijk nep, de 1 cent werd niet overgeboekt maar er werd een custom url gemaakt waarna ze enkel nog de pincode in de SNS app hoeft in te vullen en de telefoon was gekoppeld.
Slim bedacht, maar ook weer een beetje slordig van de SNS, ze hebben dan later wel ook zelf geconstateerd dat deze truc werd toegepast.

En op zo een momenten denk ik altijd: wat doet mijn Belgische bank dat toch goed. Als ik een bedrag overmaak en dit bevestig via de app komt het totaal van de transactie altijd netjes en prominent in beeld te staan in de app. Kies ik voor een bevestiging via de random reader, dan moet ik zelf het bedrag ingeven. En wil ik een (bijkomend) toestel koppellen aan mijn account, dan moet ik hierbij 2 bevestigingen doen via de random reader waarbij duidelijk wordt gemaakt dat je een dienst aan het registreren bent, enige mogelijks onduidelijke is dat de reader het abboneren noemt.

En hoewel ik erken dat sommige banken niet dezelfde budgetten hebben voor hun apps en website, vraag ik me soms wel af of ze niet beter nieuwe personen aan het hoofd zetten van hun diensten die over veiligheid gaan.

Blokker_1999 schreef op dinsdag 5 mei 2020 @ 10:41:
En op zo een momenten denk ik altijd: wat doet mijn Belgische bank dat toch goed. Als ik een bedrag overmaak en dit bevestig via de app komt het totaal van de transactie altijd netjes en prominent in beeld te staan in de app. Kies ik voor een bevestiging via de random reader, dan moet ik zelf het bedrag ingeven. En wil ik een (bijkomend) toestel koppellen aan mijn account, dan moet ik hierbij 2 bevestigingen doen via de random reader waarbij duidelijk wordt gemaakt dat je een dienst aan het registreren bent, enige mogelijks onduidelijke is dat de reader het abboneren noemt.

En hoewel ik erken dat sommige banken niet dezelfde budgetten hebben voor hun apps en website, vraag ik me soms wel af of ze niet beter nieuwe personen aan het hoofd zetten van hun diensten die over veiligheid gaan.

Zo werkt het bij de Nederlandse grootbanken ook hoor. Het probleem is niet zozeer dat de systemen van de banken onveilig zijn, maar dat er een significante doelgroep onder de klanten is die (al dan niet onder druk van een oplichter) gewoon over alle waarschuwingen heen leest en op de knop drukt. Je kunt wel tot in den treure allerlei waarschuwingen en dergelijke gaan tonen, maar op een bepaald moment zit je dan vooral klanten die wel bewust bezig zijn in de weg.

Zou de verzekering dit vergoeden? Ik kan het geen oplichting noemen maar meer dommigheid. Als je een nieuwe telefoon koppelt krijg je daar in principe altijd een waarschuwing van.

Als ik deze instructie lees, is een tweede SNS app koppelen aan je eigen rekening kinderlijk eenvoudig. Alleen bij stap 11 moet je eenmalig de gebruikersnaam en wachtwoord invullen maar die is via een fake site eenvoudig te achterhalen.

Ik dacht ook eerst dat het een hoax was maar volgens mij kan het echt zo eenvoudig.

de veiligheid lijkt te zitten in stap 7 tm 10?

die worden namelijk overgeslagen.

Blokker_1999 schreef op dinsdag 5 mei 2020 @ 10:41:
En op zo een momenten denk ik altijd: wat doet mijn Belgische bank dat toch goed. Als ik een bedrag overmaak en dit bevestig via de app komt het totaal van de transactie altijd netjes en prominent in beeld te staan in de app. Kies ik voor een bevestiging via de random reader, dan moet ik zelf het bedrag ingeven. En wil ik een (bijkomend) toestel koppellen aan mijn account, dan moet ik hierbij 2 bevestigingen doen via de random reader waarbij duidelijk wordt gemaakt dat je een dienst aan het registreren bent, enige mogelijks onduidelijke is dat de reader het abboneren noemt.

En hoewel ik erken dat sommige banken niet dezelfde budgetten hebben voor hun apps en website, vraag ik me soms wel af of ze niet beter nieuwe personen aan het hoofd zetten van hun diensten die over veiligheid gaan.

Veiligheid versus gebruiksgemak enzo.

Maargoed, aangaande die discussie. De Rabobank heeft een random reader met gekleurde QR codes waarbij het bedrag en de bestemming pontificaal op het schermpje verschijnen voordat de bevestigingscode in beeld komt. Ook details zoals "inloggen bij rabo bankieren" en dat soort dingen staan in beeld.

Toch worden mensen nog geflest met die codes over WhatsApp. Mensen krijgen van wildvreemden QR codes opgestuurd, scannen ze, zien in hun beeldscherm staan "2400 EURO NAAR GHANA", drukken op OK en geven de bevestigingscode voor "2400 EURO NAAR GHANA" (het blijft in beeld staan) aan de oplichter.

Ik bedoel sommige dingen hou je niet tegen.

zeezuiper schreef op dinsdag 5 mei 2020 @ 12:12:
Als ik deze instructie lees, is een tweede SNS app koppelen aan je eigen rekening kinderlijk eenvoudig. Alleen bij stap 11 moet je eenmalig de gebruikersnaam en wachtwoord invullen maar die is via een fake site eenvoudig te achterhalen.

Ik dacht ook eerst dat het een hoax was maar volgens mij kan het echt zo eenvoudig.

Gebruikersnaam en wachtwoord hebben ze, want mevrouw heeft deze ingevuld op een kopie van de SNS website. Het enige wat ze controleerde was HTTPS / slotje, wat de banken er jaren geleden in gestampt hebben, dus dat kan je haar niet kwalijk nemen. Als ze live meekijken zouden ze direct met de MFA token in kunnen loggen?

Zebby schreef op dinsdag 5 mei 2020 @ 15:05:
[...]


(...)Het enige wat ze controleerde was HTTPS / slotje, wat de banken er jaren geleden in gestampt hebben, dus dat kan je haar niet kwalijk nemen.(...)

En dat slotje is tegenwoordig gratis... en de browsers hebben de laatste jaren het EV-certificaat (zoals dat door banken en verzekeraars veel wordt gebruikt) zover uitgehold en verneukt dat een leek geen verschil meer ziet tussen een duur, "echt"certificaat, of een Let's Encrypt...

Jester-NL schreef op dinsdag 5 mei 2020 @ 17:00:
[...]

En dat slotje is tegenwoordig gratis... en de browsers hebben de laatste jaren het EV-certificaat (zoals dat door banken en verzekeraars veel wordt gebruikt) zover uitgehold en verneukt dat een leek geen verschil meer ziet tussen een duur, "echt"certificaat, of een Let's Encrypt...

Probleem met EV was dan weer wel dat het eigenlijk maar heel weinig partijen waren die er gebruik van maakten, waardoor het voor leken eigenlijk onbekend bleef. Banken, iedere bank heeft een eigen app, verzekeraars vaak ook, dan blijven er maar heel weinig plaatsen over waar je zo een certificaat als leek tegen zou komen. En iets dat onbekend is, voegt ook niets toe.

zeezuiper schreef op dinsdag 5 mei 2020 @ 12:12:
Als ik deze instructie lees, is een tweede SNS app koppelen aan je eigen rekening kinderlijk eenvoudig. Alleen bij stap 11 moet je eenmalig de gebruikersnaam en wachtwoord invullen maar die is via een fake site eenvoudig te achterhalen.

Ik dacht ook eerst dat het een hoax was maar volgens mij kan het echt zo eenvoudig.

Ter vergelijking, ING:



En zelfs dat is (natuurlijk) in bepaalde gevallen niet voldoende:

Jaap (69) uit Arnhem is slachtoffer van fraude: ‘QR-code is zo lek als een mandje’

Desalniettemin lijkt het erop dat SNS een vrij magere implementatie heeft - zelfs verwijtbaar mager als 'gebruikersnaam en wachtwoord' werkelijk het enige is (en ze een eventuele 'bestaande' app niet betrekken in de activatieflow zoals bij ING).

Jester-NL schreef op dinsdag 5 mei 2020 @ 17:00:
[...]

En dat slotje is tegenwoordig gratis... en de browsers hebben de laatste jaren het EV-certificaat (zoals dat door banken en verzekeraars veel wordt gebruikt) zover uitgehold en verneukt dat een leek geen verschil meer ziet tussen een duur, "echt"certificaat, of een Let's Encrypt...

Enige echte manier die werkt is mensen altijd vertellen zelf naar de bank omgeving te gaan en daar vanuit actie te ondernemen. Het is onmogelijk om alle domeinen en subdomeinen te blokkeren, en die certificaten zeggen inderdaad verder weinig.