Woningnet Phishing, Ideal betaling

Je hebt enkel geld overgemaakt (via eigen bank?) en geen software geïnstalleerd o.i.d.?

[ Voor 11% gewijzigd door souljah1h op 05-07-2021 19:56 ]

Rickkamminga schreef op maandag 5 juli 2021 @ 20:09:
Enkel een ideal betaling gedaan. Dit geld is niet afgeschreven maar direct na het betalen werd er wel een nieuw toestel geregistreerd.

Bankpas en internetbankieren is geblokkeerd door Rabobank

Euhm dan heb je dus geen iDeal betaling gedaan, maar iets dat moest lijken op een iDeal betaling.
Maar verder goed gehandeld, zo te horen ben je net op tijd geweest om erger te voorkomen!

Voorzover ik weet wordt je naar een scam site gestuurd die op de achtergrond heel andere dingen doet met jouw authenticatie gegevens. Volgens mij was hier laatst nog iemand, en in mijn omgeving hoor ik het ook de laatste tijd.

Als ik op de site van woningnet kijk waarschuwen ze er actief voor en worden ze vaak misbruikt

https://www.woningnet.nl/phishing

Misschien helpt het nog je hun phishingaanvallen formulier invult https://www.woningnet.nl/Phishingformulier hun zodat ze dat erbij kunnen zetten ofzo. Voor nu denk ik goed gehandeld

[ Voor 13% gewijzigd door HKLM_ op 05-07-2021 21:29 ]

Wat je verder nog kan doen is volgende keren zorgvuldiger kijken naar wat er op het schermpje verschijnt van het apparaat waarmee je de iDeal-betaling autoriseert, en kijken wat de procedure is. Bij mijn banken is er een duidelijk verschil in procedure en uitleg tussen het doen van een iDeal-betaling en het normaal inloggen en/of registreren van een nieuw toestel. Dat wordt ook in de app of op het scherm van de authenticators duidelijk (gemaakt), ofwel omdat het er simpelweg staat, ofwel omdat je andere handelingen moet doen dan normaal zijn voor een betaling.

Nu kom je er nog goed mee weg als er slechts een nieuw toestel geregistreerd is en verder nog niks afgeschreven, maar bij een al voltooide transactie kan de bank ook niks meer voor je betekenen. Dat kan je de volgende keer maar beter voor zijn, en dan liefst dus nog een stap eerder dan nu

Ik krijg deze mailtjes ook wekelijks, helaas. Ooit eentje opengeklikt vanwege twijfel en je komt er niet meer vanaf..

Fijn dat de schade beperkt is gebleven!

Rickkamminga schreef op dinsdag 6 juli 2021 @ 01:51:
en ook hier leken alle links gewoon te kloppen.

Dat doen ze niet. Je kwam op een .de website, en bank schermen waren ook op die .de.
Alleen een contact link onderin ging naar woningnetamsterdam.
Dat zijn voor veel mensen de verkeerde links.

Ik zou de computer ook nog herinstalleren als dat niet onevenredig veel rompslomp met zich meebrengt. Waarschijnlijk waren ze vooral uit op je inloggegevens, maar je weet maar nooit wat voor gevolgen het klikken op een link heeft. Liever iets te paranoïde, dan straks problemen krijgen.

Wachtwoord van je bank moet je uiteraard veranderen. Kies een uniek wachtwoord en sla dat eventueel op in een WW-manager. Bij ING mag je in ieder geval wachtwoorden opslaan in een WW-manager. Mocht de database ooit uitlekken, heb je gewoon recht op een vergoeding van eventuele financiële schade.

Als je ergens hetzelfde wachtwoord als bij je bank gebruikt, zal ik het wachtwoord daar ook veranderen en meteen een uniek wachtwoord instellen.

Rickkamminga schreef op maandag 5 juli 2021 @ 20:09:
Enkel een ideal betaling gedaan. Dit geld is niet afgeschreven maar direct na het betalen werd er wel een nieuw toestel geregistreerd.

Bankpas en internetbankieren is geblokkeerd door Rabobank

Hebben ze dan ook meteen alle toestellen gedeautoriseerd? Anders ben je alsnog de lul zodra alles weer vrij gegeven wordt....

Rickkamminga schreef op maandag 5 juli 2021 @ 20:09:
Enkel een ideal betaling gedaan. Dit geld is niet afgeschreven maar direct na het betalen werd er wel een nieuw toestel geregistreerd.

Bankpas en internetbankieren is geblokkeerd door Rabobank

Heb je die betaling via een qrcode met de rabo scanner gedaan? De rabo scanner geeft duidelijk aan dat je een nieuwe toestel aan het registreren bent ipv dat je een betaling doet.

Rickkamminga schreef op dinsdag 6 juli 2021 @ 01:51:
[...]

Bedankt voor het advies, allen!

Deze scam was echt heel erg goed, echt alles klopte! Alleen het bedrag week iets af en de Ideal transactie is dus geen transactie. Het proces was verder wel exact gelijk en ook hier leken alle links gewoon te kloppen.

Bij zo'n notificatie zou er een nota in je account moeten staan als je zelf naar de website gaat, nooit op een link in een mail klikken. Ze laten die link er inderdaad in het mailtje uit zien alsof die naar woningnet.nl gaat, maar als je er met je muis over gaat of er op klikt zie je dat er een hele andere domeinnaam achterzit.

Het verbaast me overigens dat dit toch nog vaak misgaat. Ik heb die mailtjes van woningnet ook regelmatig ontvangen, maar ten eerste zijn ze bij mij al gemarkeerd als spam door Microsoft, ten tweede wordt de link geblokkeerd door Norton 360 (of elk ander security pakket) en als je al die waarschuwingen negeert blokkeert vaak je browser of provider (malwarefilter) de website. Natuurlijk snap ik dat die adressen steeds veranderen en dat die filters niet altijd de laatste variant al opmerken, maar tot nu toe werd het bij mij door meerdere partijen geblokkeerd en zou ik dus echt meerdere waarschuwingen moeten negeren om zover te komen dat ik die betaling kan doen.

hoi1234 schreef op dinsdag 6 juli 2021 @ 07:29:
Ik zou de computer ook nog herinstalleren als dat niet onevenredig veel rompslomp met zich meebrengt. Waarschijnlijk waren ze vooral uit op je inloggegevens, maar je weet maar nooit wat voor gevolgen het klikken op een link heeft.

Dat is wel een beetje overdreven zeg. In principe zijn browsers zo ontworpen dat een website nooit iets aan je computer kan veranderen. De website draait in een sandbox en kan daarbuiten niets. Als ik als hacker een hele goede 0-day had waarmee het enkel "klikken op een link" (ernstige) gevolgen kon krijgen, zou ik die 0-day niet combineren met een phishing-aanval maar juist zo onopvallend mogelijk inzetten. Als je iedere keer dat je (per ongeluk) op een niet 100%-vertrouwde site komt je hele computer opnieuw zou moeten installeren kun je iedere dag wel een herinstallatie doen.

hoi1234 schreef op dinsdag 6 juli 2021 @ 07:29:
Ik zou de computer ook nog herinstalleren als dat niet onevenredig veel rompslomp met zich meebrengt. Waarschijnlijk waren ze vooral uit op je inloggegevens, maar je weet maar nooit wat voor gevolgen het klikken op een link heeft. Liever iets te paranoïde, dan straks problemen krijgen.

Wachtwoord van je bank moet je uiteraard veranderen. Kies een uniek wachtwoord en sla dat eventueel op in een WW-manager. Bij ING mag je in ieder geval wachtwoorden opslaan in een WW-manager. Mocht de database ooit uitlekken, heb je gewoon recht op een vergoeding van eventuele financiële schade.

Als je ergens hetzelfde wachtwoord als bij je bank gebruikt, zal ik het wachtwoord daar ook veranderen en meteen een uniek wachtwoord instellen.

Heeft weinig meerwaarde. Het verkrijgen van een nog geldige twofactor login geldt als het hoogst haalbare binnen de hackerswereld. Geen enkele NL bank staat bovendien met singlefactor login risicovolle activiteiten toe. Het toevoegen van een toestel (=token) is een risicovolle activiteit. Met alleen een WW kan je niks.
Er is verder geen clausule die zegt dat als je *een* wachtwoordmanager gebruikt en die wordt gehacked dat je dan schadevergoeding krijgt. Stel dat ik notepad als manager gebruik? Dit wordt altijd per casus bekeken. Een bank zal zich echt niet afhankelijk maken van een andere (meestal buitenlandse) partij.

Verder; iets wat maar weinig mensen gebruiken, maar wat een credentialbased login een factor 1000 veiliger maakt: stel als het toegestaan wordt ook een random loginnaam in. Dan staat er wellicht "Welkom #$56#$5r4%y453454" bovenaan je scherm, maar ga er maar vanuit dat je favoriete nick en mail adres al jarenlang publiek te vinden is. Bij ING kan je een random username instellen.

Ik ga er vanuit dat als de afdeling CFD een gecompromitteerd account behandelt, dat je dan de gehele "klant-worden" flow gewoon weer moet doorlopen.

TL:DR
Als je er slecht van slaapt, is herinstalleren natuurlijk heel goed. Maar vermoedelijk overkill.

Ga nu ook even naar Service > Algemeen > Veiligheid > Toegang en Ondertekenen > Toestel registraties.
Hier kan je dan bekijken of er nog een vreemd toestel geregistreerd staat en die eruit knikkeren.

Als ik dat zo lees dan let je er idd wel goed op. Maakt het alleen wel extra zuur wanneer je er wel intuint.
Maar geluk dan dat je er ze snel bij was en toch een soort goed gevoel had dat het verkeerd zat.

Rickkamminga schreef op dinsdag 6 juli 2021 @ 13:54:
[...]
Nee, met de kleurencode. Het betrof volgens de scanner volgens mij gewoon een betaling, maar ik moet zeggen dat ik me niet meer herinner aan wie.
[...]

De rabo scanner geeft de volgende meldingen als je een nieuw toestel wilt koppelen, en daarna moet je (tenzij je de mobiele app zelf nog nooit gebruikt hebt) ook nog de juiste pincode invoeren op het nieuwe toestel. Met alleen het autoriseren van een betaling kun je geen nieuw toestel koppelen (tenzij er iets helemaal fout gaat met de beveiliging bij de Rabo). Als je heel zeker weet dat je onderstaande schermen niet gezien hebt zou ik nogmaals contact opnemen met de Rabo en uitleggen wat er gebeurt is....

[ Voor 10% gewijzigd door _--[]--__ op 06-07-2021 15:26 ]

Dit is inderdaad ook onderdeel van de PSD2 richtlijnen.
What You See Is What You Sign. Die gewone calculators moeten om die reden overal verdwijnen.
Je moet in het signeerverzoek altijd kunnen zien wat je goedkeurt. Of dat nu met een scanner, app op je geregistreerde toestel of per SMS gebeurt.

Als je dus een ideal transactie gesigneerd hebt volgens de scanner, dan mag de backend van de rabo die goedkeuring uiteraard ook echt alleen voor een ideal transactie gebruiken.

Als jij 100% zeker gesigneerd zou hebben voor een ideal transactie, en met die data weet de hacker een toestelregistratie te forceren dan is de rabobank kapot.

[ Voor 14% gewijzigd door Mistraller op 06-07-2021 16:51 ]