SNS

Marktplaatsfraude steeds geavanceerder

  • 26 februari 2018
  • 13 Reacties
  • 5048 Keer bekeken

Reputatie 2
Badge +1
Vandaag kwam een collega bij me met een vraag. Hij wist dat ik klant was bij SNS en vroeg of SNS een soort van 'tikkie' had. Toen ik dat had weerlegd, kwam het hele verhaal.

Bleek dat mijn collega iets wilde verkopen via marktplaats en de koper vroeg om verificatie van IBAN en naam van mijn collega door €0,01 over te maken via een link naar de koper zijn rekening. Die link zag er als volgt uit: hxxps://snsnubetalennl/Due7slAhdd (Link om veiligheidsredenen aangepast zodat deze niet aanklikbaar is) en gaf een pagina waarin hij met zijn ABN-AMRO e.dentifier2 meteen een betaling kon autoriseren. Dat heeft mijn collega gelukkig niet gedaan, omdat dit waarschijnlijk een zogenaamde 'man-in-the-middle' aanval is waarbij hoogstwaarschijnlijk een veel hoger bedrag overgemaakt zou gaan worden.

Het zag er allemaal akelig echt uit, inclusief een echt https certificaat (groen hangslotje). Maar toen ik de details opvroeg (van wie is de domeinnaam, aan wie is het certificaat uitgegeven, etc.) gingen bij mij de alarmbellen af.

13 reacties

Badge +2
Goedemiddag Stefan,

Goed dat je hier je verhaal deelt om andere leden alert te houden. Ik heb vaker gezien dat fraudeurs vragen om € 0,01 over te maken. Deze overboeking wordt gebruikt voor het openen van een rekening. Op het moment dat jij 1 cent overmaakt, is dit de identificatie voor de te openen rekening. De online omgevingen gaan er ook steeds echter uitzien. Kennissen van mij hebben bijvoorbeeld hun auto verkocht en een afspraak gemaakt voor de overdracht. De koper liet zien dat hij de betaling deed via iDEAL en er verscheen zelfs een scherm waarop je kon zien dat de afschrijving had plaatsgevonden. Achteraf bleek dit een neppe app te zijn en konden ze fluiten naar hun geld en de auto.
Badge +1
Het venijnige is dat als je gewoon naar hxxps://snsnubetalennl (Link om veiligheidsredenen aangepast zodat deze niet aanklikbaar is) gaat, je direct wordt doorgestuurd naar de snsbank.nl. Blijkbaar gebeuren er speciale dingen als je zo'n betalingsverzoek ontvangt.
Het is altijd goed om te kijken van wie zo'n website is: https://www.sidn.nl/whois?language_id=2. Dan zie dat het email adres een hotmail.com adres is en dus nooit iets te maken kan hebben met de SNS.

Onderneemt de SNS nu acties op basis van deze info: domein-naam laten verwijderen of blokkeren oid?
Reputatie 3
Badge
Ja, dit is inderdaad een linke situatie. Vooral omdat ze direct gekoppeld is aan een gebeurtenis in het echter leven. Dan is de neiging veel groter om het verdedigingsschild te laten zakken. De controle van het certificaat laat de page door de mand vallen.

Naast de afwezigheid van identiteit van de organisatie viel mij de startdatum van de geldigheidsperiode op: 21 Februari 2018. Nu kan ik mij nog voorstellen dat dit met tijdelijke documenten zo werkt (een soort houdbaarheid van de transactie), maar om eerlijk te zijn lijkt mij dit lastig af te timmeren zouden die data zich on the fly aanpassen aan de timing van iedere nieuwe betalingsopdracht. Die data zou gewoon synchroon moeten lopen met de geldigheidsperiode van de site die ze aftrapt. Die geldigheid van betalingsopdrachten is anders niet te controleren. Zou een betalingsopdracht op de laatste dag van de site-geldigheid worden verstrekt dan zou ze nog een jaar na het verlopen van de site-geldigheid als geldig kunnen overkomen, omdat haar geldigheidsjaar pas start op het moment van aanmaak. De Validiteitsperiode is me dus wat te toevallig.

Credits voor Stefan voor het delen van de informatie:D. Net heb ik even gekeken, ik kon het zo snel niet vinden, maar eigenlijk zouden dit soort situaties in een soort sticky topic (~Veiligheid~) met het forum moeten worden gedeeld. Zodat iedereen zich kan scherpen aan actuele voorvallen. Ik heb natuurlijk makkelijk praten, en een nadeel is misschien dat de connotatie van een dergelijk topic een negatieve is (pas op, gevaar). Het is maar een gedachte. Nu gaan jullie mij vast vertellen dat er een site is die allang doet voor alle banken...

Trouwens, wat mij net ook nog opviel, de disclaimer links onderin de pagina (Veiligheid, Disclamer, Privacy en Cookies) zijn ook dood. een beetje rondklikken op niet vitale links geeft ook al wat meer info (door het gebrek eraan).

Trouwens, wat mij net ook nog opviel, de disclaimer links onderin de pagina (Veiligheid, Disclamer, Privacy en Cookies) zijn ook dood. een beetje rondklikken op niet vitale links geeft ook al wat meer info (door het gebrek eraan).

Bij mij werken die links (nu) wel.
Beetje offtopic;
Wat mij dan weer opviel is de beperktheid van de link "SNS Winkels & Geldautomaten". Natuurlijk staat er SNS voor, maar ik zou op deze link klikken om winkels of (alle) geldautomaten te vinden. Er staat echter alleen info over SNS, dus geen adressen van alle andere geldautomaten in de buurt. Die zocht ik nu juist denk ik dan.
Dus; SNS misschien de info achter deze link uitbreiden met adressen van de geldautomaten van de concurrentie in de buurt (info over plaatsen in de buurt lijkt mij vrij zinloos (10-25km afstand)).
Groet,
Ben 🆒
Reputatie 2
Badge +1
...Net heb ik even gekeken, ik kon het zo snel niet vinden, maar eigenlijk zouden dit soort situaties in een soort sticky topic (~Veiligheid~) met het forum moeten worden gedeeld. Zodat iedereen zich kan scherpen aan actuele voorvallen. Ik heb natuurlijk makkelijk praten, en een nadeel is misschien dat de connotatie van een dergelijk topic een negatieve is (pas op, gevaar). Het is maar een gedachte. Nu gaan jullie mij vast vertellen dat er een site is die allang doet voor alle banken...
Eens met Ferd, toen ik deze discussie wilde starten, liep ik tegen het probleem aan dat ik moest kiezen onder welk onderwerp dit geschaard kon worden. Een 'sticky topic' hier in de community waarin we elkaar attent kunnen maken op een mogelijke verdachte situatie is misschien wel een goed idee.

...Ik heb vaker gezien dat fraudeurs vragen om € 0,01 over te maken. Deze overboeking wordt gebruikt voor het openen van een rekening. Op het moment dat jij 1 cent overmaakt, is dit de identificatie voor de te openen rekening....
Dit scenario had ik nog niet bedacht, maar is wel interessant. Op deze manier kan een fraudeur op naam van een nietsvermoedend slachtoffer een nieuwe betaalrekening openen waarop je allerlei malafide zaken kunt regelen (zoals het witwassen van crimineel geld). Je zult er maar mee geconfronteerd worden als justitie ineens bij je op de stoep staat :S:? Ik moet er niet aan denken 😠
Badge +1
Goedemiddag,

Nogmaals dank voor jullie alertheid. Goed opgemerkt dat snsnubetalen[.]nl niet van SNS is. We zien de laatste tijd inderdaad dat criminelen het concept ’betaalverzoek’ hebben ontdekt.
Ze verzinnen van alles qua domeinnamen. Het is een variant op de valse-email (phishing). Vanzelfsprekend werkt onze fraudeafdeling 24/7 om dit soort sites meteen uit de lucht te halen. We zijn daarbij afhankelijk van de snelheid van de partij die de website host (en soms ook andere partijen), maar deze website is inmiddels uit de lucht gehaald. Natuurlijk doen we meer dan alleen achteraf het kat-en-muisspel spelen, maar we zouden criminelen helpen als we informatie hierover delen.

De gouden tip: de pagina waar je SNS-bankgegevens moet invullen, moet altijd een pagina van de bank zijn. De link moet dus altijd eindigen op snsbank.nl. Voor iDEAL staat er bijvoorbeeld https://diensten.snsbank.nl/. Al onze websites worden voorzien van een groene balk met daarin SNS (de Volksbank N.V.). Als je dat ziet staan, gaat het om een website van de bank en kun je veilig doorgaan. Alle andere websites meld je bij ons via: valse-email@sns.nl.
Op zulke momenten denk ik steeds weer: is dit de prijs die we betalen voor onze gebruiksvriendelijkheid (lees: luiheid)? Geen Pincode meer, contactloos, steeds minder handelingen waardoor de mogelijkheden van misbruik alleen maar toenemen.
Reputatie 3
Badge
Op zulke momenten denk ik steeds weer: is dit de prijs die we betalen voor onze gebruiksvriendelijkheid (lees: luiheid)? Geen Pincode meer, contactloos, steeds minder handelingen waardoor de mogelijkheden van misbruik alleen maar toenemen.

Op zich wel een overdenking waarop iedereen kan reflecteren, ik ook, moet ik bekennen. In het kader van de situatie die Stefan voorlegt herken ik dit alleen nog niet zo. Gemak is wel een drijvende kracht die het huidige betalingsverkeer omvormt. Gemak heeft tot gevolg dat transacties meer impliciet plaatsvinden. Je hoeft minder handelingen te doen en de rest "gaat vanzelf". Dit is een oefening in vertrouwen in technologie, niet veel anders als dat we over een decennium in een zelfsturende auto plaatsnemen. Die zelfsturende auto is wat dat betreft wel een mooie analogie. Het ding zal je brengen waar je wezen moet. De kans dat iets onverwachts gebeurt waar de auto, na jarenlange ontwikkeling, niet goed op weet te reageren is heel klein. Ga je als mens 2 uur achter het stuurwiel zitten, handen zwevend boven het wiel en voeten boven de pedalen, zonder ze te raken? Zelf vind ik dat een lastige vraag. De eerste tien keer misschien wel, maar als na 200 keer die auto mij feilloos op de bestemming heeft afgeleverd? De komende decennia gaan we allemaal in toenemende mate deeltaken op ons levenspad overdragen aan technologie. Ik zie dit als een onvermijdelijk proces.

Zo ook met ons betalingsverkeer. Zonder dat we het zelf kunnen volgen en beschrijven is het laten zweven van een pasje/smartphone genoeg om een opdracht af te vuren. De handeling met het pasje is heel impliciet. De betaling die de verkoper heeft klaargezet is weer expliciet, net als de ketting van transacties na ons akkoord. In onze belevingswereld moeten wij echter veronderstellen dat de verkoper een goed bedrag heeft ingevuld (kijken we daar allemaal nog goed naar?) en dat die console (onbedoeld?) nog niet een heleboel andere dingen met onze bankrekening doet.

We zitten dus midden in een soort proces van loslaten, niet veel anders als het loskomen van een oude functie op het werk. We waren gewend aan bepaalde activiteiten en handelingen en waren daar met ons hoofd flink bij betrokken. In korte tijd zijn die handelingen irrelevant geworden en moeten we letterlijk wennen aan de verandering die dat tot gevolg heeft. Ik voel precies dezelfde emoties die jij ook hebt, maar ik ben op die emoties ook wel heel kritisch. De risico's voor criminaliteit zijn heel reëel, en een technologische wapenwedloop zal het altijd wel blijven. Risico tot afbreuk zal bijvoorbeeld banken voortdrijven tot grote veiligheid, niet in de laatste plaats uit begrepen eigenbelang. Uit mijn eigen netwerk weet ik dat banken tot voor kort in ieder geval hele fanatieke software testers waren, die het testen van software hebben geprofessionaliseerd. Ook niet zo gek, software is een equivalent van hun product geworden.

Ik noemde net die emoties, die heb ik zelf ook, in mijn schooltijd was computer hard- en software nog in de hele kwetsbare peutertijd. Razend interessant, maar er op blindvaren, dat was nog niet gewoon. Als jong persoon lustte ik wel wel pap van, maar waar ik stages liep was een weerstand (medewerker van het Duitse Siemens, prototype houthakker, pratend tegen een monolitisch Siemens werkstation: "Ahhhhggrr, die Scheisse Kiste, es geht nicht"). Kijk eens hoe ver we sinds die computerpeutertijd, de jaren '80, zijn gekomen. Heel veel is vanzelfsprekend geworden, dat hadden we die tijd nauwelijks kunnen verzinnen. In mijn loopbaan heb ik het alleen maar verder zien versnellen, en dat versnellen gaat door.

Als ik reflecteer op waar we vandaan komen, en ik trek dat verder naar de toekomst, zie ik dat eigenlijk gewoon met vertrouwen tegemoet. Drijfveer voor organisaties blijft om relevant te blijven. Die drijfveer zet hen aan om het goed te willen doen en iets toe te voegen. Kan het dan niet goed gaan? Oh, best wel, denk aan de stemcomputers. Alleen hiervoor was onze overheid verantwoordelijk. Haar drijfveren zijn soms wat complexer. Desondanks bevinden we ons in een overgangsfase, de auto rijdt nog niet geheel zelfstandig. Alertheid is dus op zijn plaats. Alertheid bij het volgen en gebruik van veranderende werkwijzen. We, en dat hou ik mezelf na het schrijven van dit stuk voor, moeten de risiso's die aan die veranderingen zijn verbonden alleen niet als excuus gebruiken om die verandering af te wijzen.

Ik heb het woord net al gebruikt: "vertrouwen". Vertrouwen is een beetje het smeermiddel wat die veranderingen makkelijker moet maken. Dat vertrouwen moeten we gewoon kunnen hebben. De wereld om ons heen, buiten Europa, beweegt sneller dan Europa zelf. Dit beangstigt mij veel nog meer. Wij moeten elkaar mobiliseren en aanvuren in om die verandering mee te gaan, onze bedrijven, onze instellingen en overheden moeten scherp blijven op achterlopen. Helaas maakt dat reactief, maar dat is iets waaraan we nu weinig kunnen veranderen, we hebben nu eenmaal wat in te lopen.

Ehmmm, ja, en dat in een topic op een bankenforum...... een beetje lang is de post wel hè:$
Misschien lang - maar wel relevant.
Vertrouwen is belangrijk maar tegelijkertijd wordt de consument wel geacht te weten wat er gebeurt, terwijl de technologie hem boven de pet gaat. Het basisbegrip bij betalingen verschuift dan naar "regie", omdat die je - of je het wilt of niet - wordt ontnomen terwijl je wel de verantwoordelijkheid krijgt toebedeeld. En die combinatie schuurt.
Reputatie 2
Badge +1
...Ehmmm, ja, en dat in een topic op een bankenforum...... een beetje lang is de post wel hè:$
Geeft niet hoor Ferd, ik vond het interessant om jouw 'overdenkingen' te lezen. Mag je wat mij betreft vaker doen.
Badge +1
maar eigenlijk zouden dit soort situaties in een soort sticky topic (~Veiligheid~) met het forum moeten worden gedeeld. Zodat iedereen zich kan scherpen aan actuele voorvallen.
Eens met Ferd, toen ik deze discussie wilde starten, liep ik tegen het probleem aan dat ik moest kiezen onder welk onderwerp dit geschaard kon worden. Een 'sticky topic' hier in de community waarin we elkaar attent kunnen maken op een mogelijke verdachte situatie is misschien wel een goed idee.

Goedemiddag,

Wederom bedankt voor het meedenken. We vinden het een goede suggestie, daarom hebben we de categorie 'Gepland onderhoud & storingen' veranderd in 'Waarschuwingen, Storingen & Veilig Bankieren'. Dit topic verplaats ik daarom naar deze nieuwe categorie. Geef je een seintje als je een topic tegenkomt dat hierin thuishoort? Dan verplaatsen we 'm.
Reputatie 2
Badge +1
Hi Tibor,
Niet perfect, maar wel een goede verbetering die snel is gerealiseerd.
Bedankt 😃
Groeten,
Stefan
Badge
"Dat vertrouwen moeten we gewoon kunnen hebben." staat in het heldere betoog van Ferd te lezen.
Maar in wie moeten we dat vertrouwen dan hebben? Bankiers misschien? Die staan nou niet bepaald met stip op één in de betrouwbaarheidsranking.
De overheid misschien? Daar staat betrouwbaarheid ook niet meteen hoog in het vaandel. Bij de landelijke, noch bij de plaatselijke.
Ik ga er voor het gemak maar vanuit dat wij zoveel mogelijk maar op onszelf moeten vertrouwen en niet vergeten ons gezond nuchter boerenverstand te gebruiken.

Reageer