SNS

Beantwoord

Kan een rekening bij SNS geplunderd worden na het klikken op een link?

  • 5 mei 2020
  • 14 Reacties
  • 5288 Keer bekeken

Ik kwam dit berichtje tegen:

https://www.ad.nl/binnenland/annie-plunderde-via-marktplaats-de-rekening-van-inge-alles-stond-op-nul-ze-zijn-heel-sneaky~aeae6b57/?referrer=https://www.ad.nl/

In het kort: via marktplaats op een link geklikt, 1 eurocent betaald, en alle rekeningen, inclusief de gekoppelde rekeningen, zijn leeg.

Wat ik niet zo goed begrijp: Hoe kan men met 1 linkje en 1 login via telefoon opeens AL het geld wegsluizen? Hiervoor heb je toch een geactiveerde app hebben op je telefoon? en die is toch enkel te koppelen met de Digipas?

icon

Beste antwoord door W.i.l.l.i.a.m. 8 mei 2020, 21:50

 

Stel, men weet een gebruikersnaam en wachtwoord te onderscheppen door een andere aanvalsmethode, dan ging ik er altijd nog vanuit dat men niet zomaar AL het geld van mijn rekening zou kunnen halen. Maar maximaal wat ik zelf heb ingesteld wat zonder digipas kan.

 

 

Met een gebruikersnaam en een wachtwoord kan een aanvaller niet meer of minder dan wat jijzelf daarmee kunt: je gegevens inzien.

De aanval met de ‘boek iets kleins over’ truuk werkt dan ook iets anders. Een van de varianten die ik heb gezien werkt bijvoorbeeld ongeveer als volgt:

  1. Jij krijgt een linkje naar een website van de aanvaller, bijvoorbeeld op Marktplaats. 
    Die site staat vaak wel op https:// (want daar staat tegenwoordig eigenlijk elke site wel op),, misschien zelfs wel de woorden ‘bank’  erin heeft, maar als je goed kijkt -1- start de link zeker niet met https://www.snsbank.nl/ of https://diensten.snsbank.nl/ en is -2- het certificaat (klik op slotje) ook niet is verleend aan SNS (dat zijn de twee tips die altijd op de loginpagina staan waarmee je de verbinding kunt controleren). 
  2. Je krijgt op die phishing-site een scherm te zien dat erg lijkt op het normale inlogscherm, waarbij je gevraagd wordt om zogenaamd in te loggen, natuurlijk een beetje gestuurd naar het middel dat de aanvaller graag heeft: bijvoorbeeld de code van de digipas. Maar je logt niet in, je geeft je serienummer van je digipas en een van de codes op dat moment aan de aanvaller. Die zet op daarna de site even op pauze (voor jouw lijkt het gewoon of de site echt traag is).
  3. De aanvaller logt op zijn PC wel in, en maakt bijvoorbeeld snel transacties aan. Vervolgens moet de aanvaller die wel nog versturen (ondertekenen)
  4. Op jouw scherm komt de melding dat inloggen niet is gelukt (met een of andere reden erbij die de aanvaller verzint). Vervolgens krijg je natuurlijk wel meteen nog een poging: de 2e keer dus dat je een code afgeeft.
  5. Die code die je net gaf was de signeeractie om wel geld over te kunnen boeken.

Een aanvaller kan natuurlijk veel varianten verzinnen op bovenstaande, maar je kunt hem altijd in stap 1 betrappen: die link die je krijgt is niet van de bank.

 

Bekijk origineel

14 reacties

Hoe die oplichters te werk gaan weet ik niet. Maar in het verhaal zitten wel zwakke punten.

Een betrouwbare foto? Nog even afgezien van het feit dat oplichters zullen proberen er betrouwbaar uit te zien, is het ook nog maar de vraag of de foto echt van Annie was. Veel mensen zijn tegenwoordig gul in het posten van hun selfies. Makkelijk gejat dus.

Volgens mij betekent https niet zo veel. Mijn domein vertoont ook de https in de url, en daar heb ik niet veel voor hoeven doen behalve betalen. Je koopt het dus gewoon. Er zal wel een zekere vorm van controle zijn, maar hoe de controle plaatsvindt, weet ik niet.

De pagina van de bank? Het is een koud kunstje om een neppagina te presenteren die er precies zo uitziet. Zo nodig inclusief waarschuwing voor nepsites…

Behalve https moet je ook naar de url kijken. Vaak lijkt die er dan sprekend op, maar is er een heel klein verschil. Bijvoorbeeld een hoofdlette I in plaats van een kleine letter l. Op dit forum wordt er daarom op gewezen dat je niet op een link moet klikken, maar de url zelf intoetsen. Dan weet je wel zeker dat je bij je bank bent.

 

@Koos nee de koopser gaat niet vrij-uit. Dat zeg ik ook nergens. 

Maar ik ben vooral benieuwd hoe je met enkel de inloggegevens, dus geen toegang tot de app en geen toegang tot een random reader, AL het geld van ALLE rekeningen kan trekken.

Dat is dacht ik het hele idee van de random readers. Ja, je kunt het limiet verhogen wat je kan overmaken. Maar dat is niet onbeperkt…. Op een gegeven moment heb je minimaal de app nodig met geverivieerd account (via random reader) OF heb je een random reader nodig.

Ik heb hier ooit aan SNS gevraagd welke gegevens worden verstuurd bij een mobiele betaling. Kortom in meer algemene zin een vergelijkbare vraag. Toch handig als je weet waar je beveiligingsgaten zitten, lijkt me.

Nooit antwoord op gehad. Ook niet bij herinnering. Ook niet bij de Cio. Ook niet via persoonlijk bericht.

Blijft vrij spel voor oplichters die het wel weten, lijkt het.

Ik beschouwde het bericht als fake. 

Zo simpel als beschreven kan niet volgens mij. 

Wel vreemd dat de SNS hierop gewoonweg niet reageert, te druk met andere dingen?

Groet,

Ben 

 

Hoe die oplichters te werk gaan weet ik niet. Maar in het verhaal zitten wel zwakke punten.

Een betrouwbare foto? Nog even afgezien van het feit dat oplichters zullen proberen er betrouwbaar uit te zien, is het ook nog maar de vraag of de foto echt van Annie was. Veel mensen zijn tegenwoordig gul in het posten van hun selfies. Makkelijk gejat dus.

Volgens mij betekent https niet zo veel. Mijn domein vertoont ook de https in de url, en daar heb ik niet veel voor hoeven doen behalve betalen. Je koopt het dus gewoon. Er zal wel een zekere vorm van controle zijn, maar hoe de controle plaatsvindt, weet ik niet.

De pagina van de bank? Het is een koud kunstje om een neppagina te presenteren die er precies zo uitziet. Zo nodig inclusief waarschuwing voor nepsites…

Behalve https moet je ook naar de url kijken. Vaak lijkt die er dan sprekend op, maar is er een heel klein verschil. Bijvoorbeeld een hoofdlette I in plaats van een kleine letter l. Op dit forum wordt er daarom op gewezen dat je niet op een link moet klikken, maar de url zelf intoetsen. Dan weet je wel zeker dat je bij je bank bent.

 

Tegenwoordig zijn heel veel internet pagina´s opgemaakt met “plaatjes/foto´s”. Rechts klikken en downloaden!! (t/m logo end.)

HTTPS is een “versleutelde” verbinding (S = Secure) (“normaal” is / was HTTP). Het heeft dus wel degelijk veel zin / waarde. “Men” zou je verbinding kunnen “overnemen” maar dan heeft “men” nog niets omdat de gegevens die erover gingen “versleuteld” zijn (niet leesbaar zonder de encryptiesleutel).

Kijk altijd bijv. bovenin de adresbalk, HTTPS en dan het adres bijv. sns.nl/……. Staat er bij sns.nl iets bij sns (bijv. snsjan.nl of sns.jan.nl.es) dan klopt er waarschijnlijk iets niet. Intoetsen is altijd veiliger! Dus goed kijken naar voor de eerste schuine streep. Een hoofd of kleine letter maakt voor het adres echter GEEN verschil.

Groet,

Ben 

PS Mijn emoji´s verdwijnen hier:!!!!!

 

Reputatie 1

Goedemiddag @tharealmb Ik heb het artikel gelezen en ook ik begrijp niet hoe ze in zo'n korte tijd verschillende rekeningen kunnen plunderen via 1 linkje. Maar helaas het gebeurt. Wees altijd alert op het veilig internetbankieren. Meer informatie vind je hier: https://www.snsbank.nl/particulier/over-sns/veilig-bankieren/veilig-internetbankieren.html

Wel vreemd dat de SNS hierop gewoonweg niet reageert, te druk met andere dingen?

Groet,

Ben 

 

Dit was ook de reden dat ik meende iets te moeten laten horen. Als beveiliging zo belangrijk is, laat je dit niet liggen, lijkt me. Kom op, SNS!!!

(Soms voel ik me een onbetaalde SNS-Mod hier)

 

Tegenwoordig zijn heel veel internet pagina´s opgemaakt met “plaatjes/foto´s”. Rechts klikken en downloaden!! (t/m logo end.)

 

Ik meen me van de html-cursus te herinneren dat je dit mechanisme kunt uitschakelen.

HTTPS is een “versleutelde” verbinding (S = Secure) (“normaal” is / was HTTP). Het heeft dus wel degelijk veel zin / waarde. “Men” zou je verbinding kunnen “overnemen” maar dan heeft “men” nog niets omdat de gegevens die erover gingen “versleuteld” zijn (niet leesbaar zonder de encryptiesleutel).

 

Ik wilde aangeven dat https niets zegt. Als ik op mijn https-domein een bericht ontvang, kan ik die best lezen. Alleen de “man in the middle” is uitgeschakeld.

 

 

Kijk altijd bijv. bovenin de adresbalk, HTTPS en dan het adres bijv. sns.nl/……. Staat er bij sns.nl iets bij sns (bijv. snsjan.nl of sns.jan.nl.es) dan klopt er waarschijnlijk iets niet. Intoetsen is altijd veiliger! Dus goed kijken naar voor de eerste schuine streep. Een hoofd of kleine letter maakt voor het adres echter GEEN verschil.

Mijn voorbeeld hoofd/kleine letters waren dan ook verschillende letters, die dikwijls niet te onderscheiden zijn.

 

PS Mijn emoji´s verdwijnen hier:!!!!!

 

 

Hier zijn ze niet. Sorry.

Fijn weekend !

Goedemiddag @tharealmb Ik heb het artikel gelezen en ook ik begrijp niet hoe ze in zo'n korte tijd verschillende rekeningen kunnen plunderen via 1 linkje. Maar helaas het gebeurt. Wees altijd alert op het veilig internetbankieren. Meer informatie vind je hier: https://www.snsbank.nl/particulier/over-sns/veilig-bankieren/veilig-internetbankieren.html

Is dit echt gebeurt dan ????

Zoals ik jou bericht lees dus wel. Je zegt eerst “Ook ik begrijp niet” en dan “het gebeurt”. Dus hoe zit dit nou? 

Groet,

Ben 

ps. volgens mij kan dit niet zo simpel, men kan je ergens (namaak site) laten inloggen en dan je inlog gegevens zien en daarna gebruiken. Maarja, dan is er nog die tegenwoordige tweede stap….

 

Goedemiddag @tharealmb Ik heb het artikel gelezen en ook ik begrijp niet hoe ze in zo'n korte tijd verschillende rekeningen kunnen plunderen via 1 linkje. Maar helaas het gebeurt. Wees altijd alert op het veilig internetbankieren. Meer informatie vind je hier: https://www.snsbank.nl/particulier/over-sns/veilig-bankieren/veilig-internetbankieren.html

Ik probeer altijd veilig te internetbankieren. Maar niet alle beveiliging ligt binnen mijn controle natuurlijk.

Stel, men weet een gebruikersnaam en wachtwoord te onderscheppen door een andere aanvalsmethode, dan ging ik er altijd nog vanuit dat men niet zomaar AL het geld van mijn rekening zou kunnen halen. Maar maximaal wat ik zelf heb ingesteld wat zonder digipas kan.

Vandaar ook de vraag hoe dit kan. Naar mijn weten kan ik niet meer dan X bedrag naar een vreemde rekening overmaken zonder reader. Maar blijkbaar kan dit toch wel?

Bij andere banken werkt dit dacht ik ook zo. Dus hoe kan het bij SNS dan anders zijn? 

 

Ik had nog niet de conclusie getrokken dat het bij SNS gebeurd zou zijn.

 

Stel, men weet een gebruikersnaam en wachtwoord te onderscheppen door een andere aanvalsmethode, dan ging ik er altijd nog vanuit dat men niet zomaar AL het geld van mijn rekening zou kunnen halen. Maar maximaal wat ik zelf heb ingesteld wat zonder digipas kan.

 

 

Met een gebruikersnaam en een wachtwoord kan een aanvaller niet meer of minder dan wat jijzelf daarmee kunt: je gegevens inzien.

De aanval met de ‘boek iets kleins over’ truuk werkt dan ook iets anders. Een van de varianten die ik heb gezien werkt bijvoorbeeld ongeveer als volgt:

  1. Jij krijgt een linkje naar een website van de aanvaller, bijvoorbeeld op Marktplaats. 
    Die site staat vaak wel op https:// (want daar staat tegenwoordig eigenlijk elke site wel op),, misschien zelfs wel de woorden ‘bank’  erin heeft, maar als je goed kijkt -1- start de link zeker niet met https://www.snsbank.nl/ of https://diensten.snsbank.nl/ en is -2- het certificaat (klik op slotje) ook niet is verleend aan SNS (dat zijn de twee tips die altijd op de loginpagina staan waarmee je de verbinding kunt controleren). 
  2. Je krijgt op die phishing-site een scherm te zien dat erg lijkt op het normale inlogscherm, waarbij je gevraagd wordt om zogenaamd in te loggen, natuurlijk een beetje gestuurd naar het middel dat de aanvaller graag heeft: bijvoorbeeld de code van de digipas. Maar je logt niet in, je geeft je serienummer van je digipas en een van de codes op dat moment aan de aanvaller. Die zet op daarna de site even op pauze (voor jouw lijkt het gewoon of de site echt traag is).
  3. De aanvaller logt op zijn PC wel in, en maakt bijvoorbeeld snel transacties aan. Vervolgens moet de aanvaller die wel nog versturen (ondertekenen)
  4. Op jouw scherm komt de melding dat inloggen niet is gelukt (met een of andere reden erbij die de aanvaller verzint). Vervolgens krijg je natuurlijk wel meteen nog een poging: de 2e keer dus dat je een code afgeeft.
  5. Die code die je net gaf was de signeeractie om wel geld over te kunnen boeken.

Een aanvaller kan natuurlijk veel varianten verzinnen op bovenstaande, maar je kunt hem altijd in stap 1 betrappen: die link die je krijgt is niet van de bank.

 

Zeer verhelderend !

Dank je wel voor deze uitleg.

Badge +1

 

Stel, men weet een gebruikersnaam en wachtwoord te onderscheppen door een andere aanvalsmethode, dan ging ik er altijd nog vanuit dat men niet zomaar AL het geld van mijn rekening zou kunnen halen. Maar maximaal wat ik zelf heb ingesteld wat zonder digipas kan.

 

 

Maar je logt niet in, je geeft je serienummer van je digipas en een van de codes op dat moment aan de aanvaller. Die zet op daarna de site even op pauze (voor jouw lijkt het gewoon of de site echt traag is).

 

Daarom heeft de Volksbank (SNS, ASN, ….) het protocol dat de code die je in moet voeren op je digipas BIJ HET INLOGGEN altijd met een ‘0’ begint en een code voor het goedkeuren van een transactie NOOIT met een ‘0’ begint.

Kijk maar bij het kopje Inloggen en betalen in Mijn SNS

Zeer verhelderend !

Dank je wel voor deze uitleg.

 

Graag gedaan.

Wellicht nog leuk om te noemen is dat er op verschillende andere sites ook nog wel eens wat meer achtergrond informatie verschijnt in de vorm van video’s over dit onderwerp.

Bijvoorbeeld op de site van ICS, van de SNS creditcards: https://www.icscards.nl/news/2020/02/de-wereld-achter-phishingmails. Zojuist zag ik ook dat er toevallig morgen via YouTube een podcast is om 19h30 van bekende Nederlandse security onderzoeker die ingaat op phishing. 

Ook wellicht leuk om te melden is dat onder andere bij Certified Secure in de training ‘Niet Klikken’  jezelf kan testen of je phishing voorbeelden zou herkennen.

 

Reageer