Wie is verantwoordelijk bij phishing en moeten banken meer doen?
- Onderwerp starter Pieterjan94
- Startdatum
EXCLUSIEF. Deze simkaart is dé favoriet van phishers. En toch legt Telenet het geen strobreed in de weg
www.hln.be
Wederom een voorbeeld van dweilen met de kraan open. Ze weten dat het gebeurt en hoe het gebeurt en Lyca is blijkbaar al verschillende malen beboet ervoor. Moet je nagaan hoeveel winst ze eruit trekken om die boetes telkens malen te blijven slikken. En dan Telenet dat zijn handen in contractuele onschuld wast.
Hoe meer artikels je erover leest, hoe meer quick wins er echt wel te halen vallen tegen phishers alvorens je zelfs nog maar nieuwe systemen zou moeten implementeren.
EXCLUSIEF. Deze simkaart is dé favoriet van phishers. En toch legt Telenet het geen strobreed in de weg
De favoriete simkaart van phishers? Dat is de prepaid simkaart van het Britse Lyca Mobile, ontdekte de onderzoekscel van HLN. Ze worden met honderden verkocht op sociale media en vals geregistreerd, soms zelfs met de identiteitskaart van nietsvermoedende 13‑jarigen. Lyca werd al meermaals beboet...
www.hln.be
Wederom een voorbeeld van dweilen met de kraan open. Ze weten dat het gebeurt en hoe het gebeurt en Lyca is blijkbaar al verschillende malen beboet ervoor. Moet je nagaan hoeveel winst ze eruit trekken om die boetes telkens malen te blijven slikken. En dan Telenet dat zijn handen in contractuele onschuld wast.
Hoe meer artikels je erover leest, hoe meer quick wins er echt wel te halen vallen tegen phishers alvorens je zelfs nog maar nieuwe systemen zou moeten implementeren.
Straddle
Well-known member
Het probleem is dat banken een snelle verwerking van betalingen moet garanderen, alle concurrenten in de betalingswereld zetten in op snelle vlotte verwerkingen van betalingen. Ze zouden bedragen > 10k kunnen blokkeren, maar dat zou resulteren in duizenden vertraagde betalingen en extra procedures om de betaling dan weer vrij te geven. Nu kan je zelf een limiet instellen op je rekening voor uitgaande betalingen denk ik, maar de bank laat haar gebruikers daar idd vrij in.
Het bevestigt ook een probleem dat ik al langer vermoedde: er is geen onderlinge communicatie bij de banken omtrent mules. Ik heb ooit bij KBC een frauduleuze rekening aangegeven, die ze dan wel direct geblokkeerd hebben. Maar de persoon achter die rekening kan bij nog 25 andere Belgische banken ook een rekening openen zonder problemen .. Zo kan de fraude lang doorgaan.
Jenthe
Member
Je zou er dan eventueel een opt-in van kunnen maken, zodat het altijd op vraag van de klant is. Het is ook niet echt een blokkering, maar gewoon dat je overschrijvingen vanaf een bepaald bedrag niet toelaat via een app, die functionaliteit is al voorzien. Er is voor zover ik weet wel geen mechaniek bij de meeste (alle?) banken dat je zelf kan instellen vanaf welk bedrag je een fysieke bevestiging bij het kantoor wenst te doen. Een limiet die je zelf kan bepalen via een app beschouw ik ook niet als een echte limiet.
willydrama
Well-known member
De klant was slachtoffer van fraude maar de bank liet de achterdeur wagenwijd open. Sorry, de titularis van een Portugese rekening kunnen we niet opsporen, saluut de kost. Da's toch te gek voor woorden.
the_fox
Well-known member
Over wat heb je het nu? Afgaand op je "portugese titularis", vermoed ik dit?
“Alles is weg… zélfs het spaargeld van onze 10-jarige dochter”: gezin uit Heusden-Zolder in enkele minuten 16.000 euro kwijt door scammers
“Als dit mij overkomt, als IT’er, dan kan het iedereen overkomen.” Richard Chiguero (43) uit het Limburgse Heusden-Zolder is nog altijd aangeslagen. Hij, zijn partner Deborah Hermans (38) en hun dochter Adriana (10) werden het slachtoffer van een geraffineerde scam die begon als een perfect...
www.hln.be
2 fragmenten uit het artikel:
Welke achterdeur? Die mens heeft zelf "verschillende handelingen" uitgevoerd.
De bank moet de titularis toch niet opsporen? Zij weten die de titularis is en hebben dit gedeeld.
Er wordt in de media te veel naar de banken gewezen.
Een snelle zoektocht op het internet toont je de weg naar allerlei oplossingen, campagnes en andere fratsen. Initiatieven opgezet en gedragen door de banken: zowel individueel als gezamelijk.
Een phishingslachtoffer is ook negatief voor de bank. Klanten die 100-300k kwijt raken vanop een spaarrekening dat heeft ook een impact op hen. Dat zijn gelden die zij minder kunnen gebruiken om bv te herbeleggen, het is reputatieschade en legt een bom onder de vertrouwensrelatie met de bank. Niet enkel bij het slachtoffer maar ook de onmiddellijke omgeving.
Phishing is een kwaad dat ontstaan is door de sterke snelheid waarmee het internet evolueert. Er is een digitale ongeletterdheid bij 2 generaties: de 60+’ers en de jongeren.
Allerlei initiatieven om gegevens makkelijker te delen tussen banken onderling worden monddood gemaakt. Op dit forum zijn er ook al hele posts over hoe men in verweer gaat als de bank vraagt naar herkomst van geld.
Als je wil dat banken actief de rol van firewall gaan spelen, en dus mensen volledig buitenspel zetten, dan is er veel meer gegevensdeling nodig. En laat dat nu (in veel gevallen terecht) de schrik van het gros van de bevolking zijn.
Een snelle zoektocht op het internet toont je de weg naar allerlei oplossingen, campagnes en andere fratsen. Initiatieven opgezet en gedragen door de banken: zowel individueel als gezamelijk.
Een phishingslachtoffer is ook negatief voor de bank. Klanten die 100-300k kwijt raken vanop een spaarrekening dat heeft ook een impact op hen. Dat zijn gelden die zij minder kunnen gebruiken om bv te herbeleggen, het is reputatieschade en legt een bom onder de vertrouwensrelatie met de bank. Niet enkel bij het slachtoffer maar ook de onmiddellijke omgeving.
Phishing is een kwaad dat ontstaan is door de sterke snelheid waarmee het internet evolueert. Er is een digitale ongeletterdheid bij 2 generaties: de 60+’ers en de jongeren.
Allerlei initiatieven om gegevens makkelijker te delen tussen banken onderling worden monddood gemaakt. Op dit forum zijn er ook al hele posts over hoe men in verweer gaat als de bank vraagt naar herkomst van geld.
Als je wil dat banken actief de rol van firewall gaan spelen, en dus mensen volledig buitenspel zetten, dan is er veel meer gegevensdeling nodig. En laat dat nu (in veel gevallen terecht) de schrik van het gros van de bevolking zijn.
DogFacedGod
Well-known member
Je kan eigenlijk de klanten zelf de optie geven om "slowbanking" te geven als product maar dat gaat natuurlijk nooit gratis zijn.
- Instantoverschrijving compleet annuleren als optie
- een extremere MFA (desnoods een MFA per papieren brief
. De ultieme slowbanking )- een specifiek persoon die je belt die zelf een code heeft. (Bank zegt: Als wij jouw contacteren, geven wij een specifieke code die enkel jij mag kennen. Indien iemand jouw belt zonder die code, dan weet je direct dat het "phishing" is.)
- optie dat er een menselijk persoon tussenkomt bij transacties boven X,XX euro.
...
the_fox
Well-known member
En dit zal spijtig genoeg al falen bij stap 1: je geeft mensen de optie...Je kan eigenlijk de klanten zelf de optie geven om "slowbanking" te geven als product maar dat gaat natuurlijk nooit gratis zijn.
- Instantoverschrijving compleet annuleren als optie
- een extremere MFA (desnoods een MFA per papieren brief
- een specifiek persoon die je belt die zelf een code heeft. (Bank zegt: Als wij jouw contacteren, geven wij een specifieke code die enkel jij mag kennen. Indien iemand jouw belt zonder die code, dan weet je direct dat het "phishing" is.)
- optie dat er een menselijk persoon tussenkomt bij transacties boven X,XX euro.
...
Je gaat er mogelijks sommige gevallen mee opvangen, maar in veel van de artikels komt toch altijd hetzelfde voor: het slachtoffer denkt dat zij niet in fout gegaan zijn. Dus waarom zouden ze een opt-in doen dan?
Enkele voorbeelden:
- Richard voert zelf "verschillende handelingen" uit. Maar zegt dan uiteindelijk “Als dit mij overkomt, als IT’er, dan kan dit iedereen overkomen. En dan moet je je afvragen: wie beschermt ons eigenlijk nog?”
- Glen denkt dat er iets mis is met het systeem van instantbetalingen terwijl op de foto van zijn uitreksels duidelijk te zien is dat de overschrijvingen via mobile banking gedaan zijn.
- Sofie verliest geld op 3 verschillende momenten met maanden tussen. Maar toch zegt ze “Ik schaamde me ook, alhoewel ik er niets aan kan doen.” & “Zonder dat ik zelf ook maar een verkeerde handeling had verricht of op een verkeerde knop had gedrukt, was al het geld op mijn spaarrekening plots verdwenen”. Ook denkt ze dat op magische wijze haar itsme gekloond is en ook dat iedereen behalve haar verantwoordelijk is want “Niemand nam zijn verantwoordelijkheid.”
- Marc klikt op een frauduleuze link en geeft meermaals zijn kaartlezer-codes door. “Hij stuurde me een Payconiq-link.” Via die link moest hij enkele stappen doorlopen met zijn kaartlezer. Maar de betaling leek telkens niet te lukken. “Ik dacht dat er telkens een cijfer ontbrak in de code”, vertelt hij. “De verkoper zei: ‘Doe het nog eens. Misschien heb je verkeerd gedrukt.’” Ook negeert Marc de melding dat apple pay toegevoegd is een zijn kredietkaart. Maar wat zien we dan: Zijn conclusie is scherp: “Onze banken zijn zo lek als een zeef."
Straddle
Well-known member
Dat verhaal van Glen bevat toch ook hiaten, hij doet net alsof hij niets mis heeft gedaan en fraudeurs gewoon zijn rekening gehackt hebben. Zo werkt het niet. Dat van die Richard snap ik ook maar half, hij heeft precies een hacker mee laten inloggen via zijn whatsapp, maar ik heb ook de indruk dat hij niet alles vertelt in het interview.
Dat verhaal van Marc is tenminste volledig, die geeft volgens mij wel volledig weer waar het fout is gelopen.
Bij ING zie je op het hoofdscherm “Belt ING me?”
Bij KBC “Check je gesprek”
In verband met de dubbele goedkeuring: https://www.hln.be/binnenland/kbc-schakelt-engelbewaarder-in-bij-verdachte-betalingen~a208d025/ - bij andere banken kan je gerust volmachten indienen dat betalingen boven de x euro een dubbele goedkeuring vereisen.
De mechanismen zijn er. De controles ook. De zwaktste schakel blijven de mensen die ermee werken. Sluit je die zoveel mogelijk uit, ga je ook een stukje zelfstandigheid moeten inboeten. En opnieuw: mensen willen terecht met hun geld blijven doen en laten wat ze willen.
DogFacedGod
Well-known member
Ja maar die vier slachtoffers representeren niet alle slachtoffers. Die vier zijn de "roepers".
We gaan ook nooit iedereen kunnen beschermen.
Als een deel van zijn eigen "bewust" is dat ze daaraan gevoelig zijn, dan kan die groep wel een stuk preventief hun eigen beschermen.
Ik kan dat wel snappen door de huidige online wereld waar iedere website en app je platbombardeert met notifications, mails, sms'en, popups,... dat er velen nogal "meegaand" zijn op momenten waar je kritisch moet zijn.
En hier lijken het mij mensen (drie van de vier toch) die al in stresserende situaties bevonden waardoor ze nog extra passief zijn tegen zo'n zaken.
Glen: revaliderende van een schedelbreuk na een overval
Sofie: hersentumor dacht ik?
Richard: stress door werk? ( "“Ik zat nog volledig in de Proximus-flow: internetproblemen, maandagochtendmeetings, werkstress. Mijn buikgevoel zei dat het niet klopte, maar ik heb het genegeerd.” )
Misschien dat een dokter bij zo'n gevallen moet zeggen: "Pas op, je zit in een fase waar je makkelijk beïnvloedbaar bent"
Straddle
Well-known member
Idd, hersentumor maar ook een gebrek enige vorm van eigen schuldinzicht:
Itsme fraude komt redelijk veel voor, maar je moet hiervoor nog altijd zelf inloggen op een frauduleuze itsme account, hackers kunnen dit niet doen zonder jouw medewerking.
the_fox
Well-known member
Maar die roepers zijn wel diegene die heel de mediastorm voeden. Met tot gevolg de voorstellen van Beenders en sancties waar hij mee dreigt. Terwijl de baas van BNP exact hetzelfde zegt, het wordt opgeblazen door sommige mensen terwijl dit niet overeenstemt met de werkelijkheid.
Correct, en dat kan deels de waarom verklaren. En zoals eerder gezegd heb ik daar ook begrip voor, zeker bij Glen die dit ook eerlijk toegeeft dat dit meegespeeld zal hebben bij de eerste keer dat hij slachtoffer was (maar niet de 2e keer).
Maar dit neemt niet weg dat ze het nog altijd gedaan hebben en dan zogezegd niet weten hoe het toch kan/de schuld bij de banken leggen... Het is hier een thread over de verantwoordelijkheid bij phishing; en die factoren zorgen er niet voor dat de banken opeens verantwoordelijk zijn. En bij die factoren zullen andere veiligheidsmaatregelen ook niet helpen, zeker niet als je ze op voorhand moet optioneel activeren.
Maar als de bank nu naar de herkomst van het geld vraagt gaat dat over dat over witwaswetgeving, waar banken hun klanten moeten controleren om te zien of ze niet aan het witwassen zijn. Ook bij die wetgeving worden banken verantwoordelijk gehouden voor iets waar ze eigenlijk niks of weinig mee te maken hebben, en je ziet dat die verantwoordelijkheid helpt want ze maken het hun klanten vaak heel onaangenaam zodat zij hun risico kunnen afdekken.
Waarom diezelfde redenering niet doortrekken naar phishing en andere fraude? Het is idd moreel gezien niet de banken hun schuld maar het rendeert blijkbaar wel om daar verantwoordelijkheid te leggen.
Dan moet je de middelen ook wel geven om dat te doen. Namelijk onderlinge communicatie en dus de privacywetgeving wat gaan aanpassen.
willydrama
Well-known member
De eigenaar van de Portugese (mule?) rekening dus.
Eagle`
Well-known member
Ik lees hier al te gemakkelijk het argument dat de meeste mensen bij wie phishing voorvalt, maar op blaren moeten zitten omdat ze dom en naïef zijn, maar dat is veel te gemakkelijk. De generatie van 50-60, en daarboven - god forbid -, daar zijn echt gigantisch veel mensen tussen die niet meer mee zijn met digitalisering en zelf als je nog mee bent wordt het steeds moeilijker & moeilijker om het te onderscheiden.
Als je de cijfers mag geloven minstens 32 miljoen euro aan cyber fraude in 2025 in belgië. Reëel cijfer zal nog een pak hoger liggen omdat mensen zich schamen om fraude te melden.
Banken spelen gewoon een "vuile" rol in dit ganse fenomeen met alle respect, terwijl er technisch* (meer onderaan) echt wel meer kan gedaan worden.
Je moet gewoon is hun business model bekijken dat al 10-15 jaar aan de gang is.
Banken zijn al meer dan een decennia lang hun operating structuur/kosten aan het afslanken dat niet meer schoen is, bijna geen enkel kantoor meer, alles moet online, dan creëer je gewoon een klimaat voor cybercriminaliteit. Ken wel wat volk in dat wereldje, één van de quotes van vorige jaar onze beste werknemer is onze AI agent... P&L optimaliseren is het enige wat telt..
En welke service krijg je dan terug, nougabollen! Wil je hulp voor betaling, online eh madammeke, wil je een physieke overschrijving doen, betalen. Wil je dat ... betalen. Wil je langs komen ah nee sorry we zijn vandaag en morgen gesloten en overmorgen enkel van dat tot dat uur op afspraak, of nee ons kantoor is verhuisd je moet nu 5 dorpen verder rijden.
Stel dat je als 70-jarige gepensioneerde, van het ene moment op het andere, je savings ziet verdwijnen, dat is toch om van te schreien.
Mijn ouders zijn nu toevallig ook het slachtoffer van phishing, door een gigantische slechte phishing mail nota bene, waar ik nog altijd kwaad om ben, aangezien ik access heb tot hun mailbox en normaal dagelijks hun inkomende mails checks. De fraude omvatte gelukkig maar 300 EURO ofzo, had gigantisch veel erger kunnen zijn.
Heb achteraf zelf analyse gedaan van die attack en omgeving in een VM, volledige feedback opgestuurd naar bank, meer dan 3 maand later, 0 feedback wat ze wettelijk verplicht zijn nota bene..
Ben er nog altijd niet van overtuigd dat mijn ouders zelf enige "something you have" hebben doorgegeven. Helpdesk is ook compleet nutteloos of gooien gewoon telefoon af/schepen je af.
Werkelijk 0 service en terwijl miljarden winst maken dmv het werkkapitaal aangeboden door jan met de klak o.a. spaardepositos.
Probeer je morgen je bankrekening volledig leeg te maken, da gaan ze alles in het werk stellen om dat te verhinderen.
maar "voldoende technische maatregelen" nemen om de mensen hun zuurverdiende spaarcenten te beschermen ...ho maar ...
******************* TECHNISCHE DISCUSSIE *******************
Dat banken in al die tijd nog geen FIDO asymmetric encryption* dmv van security keys* hebben toegepast als standaard (in afwachting van grote doorbraak van QC) op hun customer facing architectuur, het had al een begin geweest, dan filter je zowat 99% phishing crap er uit:
- TEXT Broadcast spoofing
- DNS spoofing (o.a. met mimicking door cyrillic etc.) (@Str8_6)
- MITM
- Browser in Browser attacks
- BiB met DNS spoofing & HTTPS (quite frankly ik zit nu in cybersec, maar daar zou ik gegarandeerd ook voor vallen en dat is technisch niet eens iets super zots om op te zetten in een docker containerke
)
Nee wat doen ze, ze gaan partnerships aan waarmee ze dan makkelijk verantwoordelijkheid kunnen afduwen aan IAM providers als ITSME, dat eigenlijk geen hol veiliger is. Lekker handig om verantwoordelijkheid af te schuiven, zit er maar eens tussen als slachtoffer. Zelfde voor de onnozele cyber insurance producten, zit vol uitzonderingen en thresholds, heb je ook geen bal aan als rekeninghouder.
Dat dit* niet al 5 jaar in een nieuwe Payment Service Directive zit en dus reeds Europees verankerd is eigenlijk belachelijk, maar van de EU praakbarrak moet je geen snelle actie verwachten natuurlijk.
En het meest scary aan de ganse situatie we zitten letterlijk aan de vooravond van de volgende QC doorbraak dat elliptic curve & RSA cryptography naar de jachtvelden schiet, je mag hopen dat ze hun zaken wat op orde hebben in de volgende 5-10 jaar
Als je de cijfers mag geloven minstens 32 miljoen euro aan cyber fraude in 2025 in belgië. Reëel cijfer zal nog een pak hoger liggen omdat mensen zich schamen om fraude te melden.
Banken spelen gewoon een "vuile" rol in dit ganse fenomeen met alle respect, terwijl er technisch* (meer onderaan) echt wel meer kan gedaan worden.
Je moet gewoon is hun business model bekijken dat al 10-15 jaar aan de gang is.
Banken zijn al meer dan een decennia lang hun operating structuur/kosten aan het afslanken dat niet meer schoen is, bijna geen enkel kantoor meer, alles moet online, dan creëer je gewoon een klimaat voor cybercriminaliteit. Ken wel wat volk in dat wereldje, één van de quotes van vorige jaar onze beste werknemer is onze AI agent... P&L optimaliseren is het enige wat telt..
En welke service krijg je dan terug, nougabollen! Wil je hulp voor betaling, online eh madammeke, wil je een physieke overschrijving doen, betalen. Wil je dat ... betalen. Wil je langs komen ah nee sorry we zijn vandaag en morgen gesloten en overmorgen enkel van dat tot dat uur op afspraak, of nee ons kantoor is verhuisd je moet nu 5 dorpen verder rijden.
Stel dat je als 70-jarige gepensioneerde, van het ene moment op het andere, je savings ziet verdwijnen, dat is toch om van te schreien.
Mijn ouders zijn nu toevallig ook het slachtoffer van phishing, door een gigantische slechte phishing mail nota bene, waar ik nog altijd kwaad om ben, aangezien ik access heb tot hun mailbox en normaal dagelijks hun inkomende mails checks. De fraude omvatte gelukkig maar 300 EURO ofzo, had gigantisch veel erger kunnen zijn.
Heb achteraf zelf analyse gedaan van die attack en omgeving in een VM, volledige feedback opgestuurd naar bank, meer dan 3 maand later, 0 feedback wat ze wettelijk verplicht zijn nota bene..
Ben er nog altijd niet van overtuigd dat mijn ouders zelf enige "something you have" hebben doorgegeven. Helpdesk is ook compleet nutteloos of gooien gewoon telefoon af/schepen je af.
Werkelijk 0 service en terwijl miljarden winst maken dmv het werkkapitaal aangeboden door jan met de klak o.a. spaardepositos.
Probeer je morgen je bankrekening volledig leeg te maken, da gaan ze alles in het werk stellen om dat te verhinderen.
maar "voldoende technische maatregelen" nemen om de mensen hun zuurverdiende spaarcenten te beschermen ...ho maar ...
******************* TECHNISCHE DISCUSSIE *******************
Dat banken in al die tijd nog geen FIDO asymmetric encryption* dmv van security keys* hebben toegepast als standaard (in afwachting van grote doorbraak van QC) op hun customer facing architectuur, het had al een begin geweest, dan filter je zowat 99% phishing crap er uit:
- TEXT Broadcast spoofing
- DNS spoofing (o.a. met mimicking door cyrillic etc.) (@Str8_6)
- MITM
- Browser in Browser attacks
- BiB met DNS spoofing & HTTPS (quite frankly ik zit nu in cybersec, maar daar zou ik gegarandeerd ook voor vallen en dat is technisch niet eens iets super zots om op te zetten in een docker containerke
)Nee wat doen ze, ze gaan partnerships aan waarmee ze dan makkelijk verantwoordelijkheid kunnen afduwen aan IAM providers als ITSME, dat eigenlijk geen hol veiliger is. Lekker handig om verantwoordelijkheid af te schuiven, zit er maar eens tussen als slachtoffer. Zelfde voor de onnozele cyber insurance producten, zit vol uitzonderingen en thresholds, heb je ook geen bal aan als rekeninghouder.
Dat dit* niet al 5 jaar in een nieuwe Payment Service Directive zit en dus reeds Europees verankerd is eigenlijk belachelijk, maar van de EU praakbarrak moet je geen snelle actie verwachten natuurlijk.
En het meest scary aan de ganse situatie we zitten letterlijk aan de vooravond van de volgende QC doorbraak dat elliptic curve & RSA cryptography naar de jachtvelden schiet, je mag hopen dat ze hun zaken wat op orde hebben in de volgende 5-10 jaar
Laatst bewerkt:
FIDO asymmetric encryption wordt al gebruikt door Itsme. Itsme is juist door een aantal banken gestart als bank inlog applicatie.******************* TECHNISCHE DISCUSSIE *******************
Dat banken in al die tijd nog geen FIDO asymmetric encryption* dmv van security keys* hebben toegepast als optie of standaard (in afwachting van grote doorbraak van QC) op hun customer facing architectuur, het had al een begin geweest, dan filter je zowat 99% phishing crap er uit:
- TEXT Broadcast spoofing
- DNS spoofing (o.a. met mimicking door cyrillic etc.) (@Str8_6)
- MITM
- Browser in Browser attacks
- BiB met DNS spoofing & HTTPS (quite frankly ik zit nu in cybersec, maar daar zou ik gegarandeerd ook voor vallen en dat is technisch niet eens iets super zots om op te zetten in een docker containerke
Nee wat doen ze, ze gaan partnerships aan waarmee ze dan makkelijk verantwoordelijkheid kunnen afduwen aan IAM providers als ITSME, dat eigenlijk geen hol veiliger is. Lekker handig om verantwoordelijkheid af te schuiven, zit er maar eens tussen als slachtoffer. Zelfde voor de onnozele cyber insurance producten, zit vol uitzonderingen en thresholds, heb je ook geen bal aan als rekeninghouder.
Dat dit* niet al 5 jaar in een nieuwe Payment Service Directive zit en dus reeds Europees verankerd is eigenlijk belachelijk, maar EU praakbarrak moet je geen snelle actie verwachten natuurlijk.
En het meest scary aan de ganse situatie we zitten letterlijk aan de vooravond van de volgende QC doorbraak dat elliptic curve & RSA cryptography naar de jachtvelden schiet, je mag hopen dat ze hun zaken wat op orde hebben in de volgende 5-10 jaar
Al de rest zijn maatregelen op gebruiker niveau waar de bank niets van ziet. Waarom zou ik als phisher mij bezig houden met spoofing of complexe truken als MITM en browser in browser attacks? Ik schrijf gewoon 1000 mensen aan met een paar klikken en er komen er zeker een tiental terug.
Quantiteit > qualiteit.
the_fox
Well-known member
Wordt al gebruikt (zoals @dee dus al zei terwijl ik dit aan't typen was
) door o.a. itsme maar ook andere aanmeldopties.Maar daar blijft het probleem dat je die authenticatie methodes moet toevoegen. En daar zitten veel phishing aanvallen natuurlijk ook tussen. Het is duidelijk uit een aantal artikels dat de slachtoffers via "verschillende acties", al dan niet met bankkaart en kaartlezer of itsme of een andere manier, de fraudeurs uiteindelijk de mobile app bij hun laten authenticeren hebben. Dat gaat dus met een passkey of andere authenticatie ook nog altijd mogelijk zijn...
Zoals in het HLN artikel staat dat hier eerder al gepost was, zijn 60% van de phishing aanvallen telefonisch en mensen die dan bepaalde acties ondernemen en/of codes doorspelen. Dus als dat uw voorbeelden van "zowat 99% phishing crap" zijn, zit je er heel ver naast.- TEXT Broadcast spoofing
- DNS spoofing (o.a. met mimicking door cyrillic etc.) (@Str8_6)
- MITM
- Browser in Browser attacks
- BiB met DNS spoofing & HTTPS (quite frankly ik zit nu in cybersec, maar daar zou ik gegarandeerd ook voor vallen en dat is technisch niet eens iets super zots om op te zetten in een docker containerke
Zie ook eerdere artikels hier in dit topic. Mensen die malware downloaden op hun pc, een frauduleuze payconiq link klikken en codes doorgeven bij een FB marketplace verkoop, mensen die handelingen uitvoeren als ze opgebeld worden door de "helpdesk", ...