Innovatieve bankfraude

[Fruade]

Dit maar even onder een andere naam.

 

Situatie is als volgt.

 

Wat is er gebeurt:

Zonder dat er opdracht voor gegeven is wordt er van een zakelijke rekening 4 bedragen over gemaakt

naar andere rekeningen . 1x nét onder de € 10.000 en 3x nét onder de € 5.000

Na deze "ontdekking" rekening geblokkeerd door ons.

 

Een paar dagen voordat dit geconstateerd werd komt er tijdens controle/betalingen via de betreffende

"beveiligde" site een popup op die aan geeft dat er gecontroleerd wordt op fraude en of er enkele

codes ingegeven willen worden. (Volgens mij is er maar 1 bank in NL die dit soort codes per 100 naar de

rekeninghouder stuurt dus begrijpen jullie wel over welke ik het heb.)

 

Achteraf kan je een koe in z'n kont kijken maar ja, helaas zijn er enkele codes in getypt.

De computer waar dit gebeurt is stand-alone en staat niet op het netwerk aangesloten.

De afdeling beveiliging van de betreffende bank heeft geconstateerd dat er 2 bedragen naar rekeningen van dezelfde bank

zijn overgemaakt en 2 bedragen naar één andere bank.

 

Ze hebben 1 bedrag kunnen blokkeren en "zagen?" dat 1 bedrag bij de andere bank ook nog geblokkeerd kon

worden en hebben dit gevraagd ( het hoe en wat weet ik niet )

 

Tot onze blijdschap zagen we deze week dat 1 bedrag wat bij deze bank op een andere rekening stond

is terug gestort.

 

Retour nu dus de bijna € 10.000 maar nog € 15.000 te gaan.

 

Natuurlijk zijn we indien nodig bereidt om een advocaat in te schakelen maar als de

drie rekeninghouders kale kippen blijken te zijn dan valt er weinig te plukken als een rechter

zou zeggen dat ze terug moeten betalen.

Is een bank hiervoor aansprakelijk te stellen ook al zal de betreffende computer of de beveiligde site

van de bank "gehackt? " zijn ?

Voor alle duidelijkheid proces verbaal is opgemaakt.

 

Mocht iemand weten welke weg we het beste kunnen bewandelen dan zijn we blij met elk advies.

 

Ik begrijp best dat dit eigenlijk niet op HL thuis hoort maar van de kant van de

fraudeurs kan je toch wel spreken van "Innovatief ondernemen" en aan de andere kant is het

toch ook een waarschuwing om verrekte goed op te letten bij online bankieren.

 

 

 

[Joost Schravendeel]

Als dit via de 'beveiligde-site' van hun is geweest is het natuurlijk jouw bank die de schuldige is (kans is klein! die zijn zelf echt heel goed beveiligd). Het kan ook zo zijn dat je eerst bent geïnfecteerd door een virus die detecteert wanneer jij weer op de site van jouw (of een) bank zit en dan zelfstandig de pop-up omhoog haalt, in dit geval is het niet hun schuld. Op het moment dat jij je codes invult gaat een bot vol-automatisch je rekeningen plunderen.

 

Dit heet trouwens phising: http://nl.wikipedia.org/wiki/Phising

 

Succes in ieder geval, flinke smak geld :(

[Christine]

Ik denk dat het volgende is gebeurd: er is een trojan geinstalleerd op de betreffende computer, die voor de pop up heeft gezorgd en zo een aantal codes heeft verkregen. Daarna heeft de trojan je internet bankier pagina opgezocht en is overschrijvingen gaan doen. Misschien heeft 'ie dat gedaan terwijl je zelf met inet bankieren bezig was, dat maakt eea makkelijker.

 

Dit soort dingen is erg eenvoudig, als er een trojan is gesignaleerd. Martijn Brinkers heeft iets dergelijks een keer laten zien bij Editie.nl, voor abn amro internet bankieren. Een eenvoudige trojan kon achter de schermen, zonder dat de gebruiker er iets van zag, de overschrijvingen aanpassen en zo veel geld stelen. Er moet op uitzenging gemist nog ergens een filmpje van staan.

 

Ik ben dus bang dat de bank niet aansprakelijk is omdat je zelf een trojan had. Aan de andere kant vind ik het bespottelijk dat banken een manier van internet bankieren hebben die dit soort dingen mogelijk maakt. Ik heb zelf in 1995 een octrooi aangevraagd voor een technologie die dit onmogelijk maakt, maar ik ben er toendertijd niet in geslaagd daar ver mee te komen omdat banken totaal geen belangstelling hadden en hebben voor het beveiligen van hun internet verkeer en -betalingen.

Wat ze moeten doen is niet alleen jouw identiteit vaststellen, maar ook de transactie die je uitvoert. Postbank doet dat met hun sms methode, die is beter dan de tancodes waar geen controle op de transactie plaatsvindt. Abn Amro doet het met een zeer knullige methode die niet werkt.

 

RTL was het: mod edit: verwijzing niet langer actief

 

[Hans v N]

http://www.jurofoon.nl/nieuws/weblog.asp?id=2787

 

Komt erop dus op neer dat de huidige praktijk is dat je waarschijnlijk schadeloos wordt gesteld. Zoals Christine al aangaf is dit beveiligingssysteem niet meer van deze tijd. Ik denk dat ze bij de Postbank de schade voor lief nemen zolang die maar minder is dan de kosten voor een sterk systeem.

 

Als ik dan in een eerder topic lees dat mensen geen virus of anti spyware software hebben én het hier waarschijnlijk om een oude gemakkelijk te vinden trojan gaat zou hier toch wel een les uit getrokken mogen worden.

 

 

[Maarten]

De computer waar dit gebeurt is stand-alone en staat niet op het netwerk aangesloten.

 

Je doet het voorkomen alsof het een stand-alone computer is welke niet gehacked kan worden omdat deze niet op een netwerk zit aangesloten. Dat lijkt me niet helemaal correct, een stand-alone computer is pas stand-alone als deze niet op het internet zit aangesloten. Je doet ook de suggestie dat de website van de bank is gehacked, terwijl het in mijn ogen waarschijnlijker is dat je in een phising e-mail bent getrapt. Ik denk dat je sterker staat als je dat gewoon toegeeft, dan de schuld bij de bank te leggen. Zodra je iemand toegang geeft tot je eigen PC (door middel van bijvoorbeeld het installeren van een trojan of virus) zijn maar weinig beveiligingen effectief omdat een hacker in principe alles kan tonen wat hij wil. Misbruik bij de ABN is dan relatief makkelijk, maar bij andere bedrijven is dit ook gewoon mogelijk. Banken zijn niet voor niets met voorlichtingscampagnes bezig, een groot deel van de verantwoordelijkheid ligt bij hun klanten.

[Michiel van Vlaardingen]

Nou ja, bij de Rabobank moet je volgens mij bij hogere bedragen ook het bedrag zelf invoeren op het apparaatje om de bevestigingscode te verkrijgen. Dat maakt het verbergen van zo'n transactie wel heel wat lastiger.

 

Dus als er zoals Christine zegt mogelijkheden zijn om het uit te sluiten, dan ligt er zeker ook een grote verantwoordelijkheid bij de bank. Het risico is immers bekent... als er dan iets is om dat te verkleinen en je doet dat niet... Maar ja, tussen wat ik vind en de werkelijkheid van het recht ligt mogelijk wel een gat natuurlijk :)

[Maarten]

Nou ja, bij de Rabobank moet je volgens mij bij hogere bedragen ook het bedrag zelf invoeren op het apparaatje om de bevestigingscode te verkrijgen. Dat maakt het verbergen van zo'n transactie wel heel wat lastiger.

 

Lastiger, maar niet onmogelijk. Ik denk dat iemand die als is ingegaan op een phising e-mail ook vrij blind de instructies zal volgen op zijn beeldscherm. Zelfs de SMS dienst van de Postbank is niet waterdicht. Ik zal hier geen suggesties doen voor oplichters, maar ik kan wel een paar workarounds om deze beveiliging bedenken. Als je je PC uit handen geeft ben je afhankelijk van de intelligentie van de hacker.

[Fruade]

Vriendelijk bedankt voor jullie reacties.

 

Ik zal hier als computer leek wat antwoorden en wat meer informatie proberen te geven.

 

@Joost: De betreffende medewerker doet dit werk al jaren bij ons en weet wat Phising is

en probeert daar alert op te zijn maar was niet op de hoogte dat op een hpps site toch ook

nog iets van buitenaf kan komen.

De vraag speelt natuurlijk in hoever je iemand kunt opleiden om dit te (voor)zien.

Enkele nieuwsbrieven hierover zoals waarschuwingsdienst komen bij haar binnen.

 

Ja, smak geld. Maar het is een lopende zakelijke rekening. Als er weinig of niets op deze rekening

had gestaan dan zouden deze opdrachten niet uitgevoerd zijn door de postbank ALS je onder pari komt.

Wij vragen ons af of het dan wijs is om met geld van deze rekening heen en weer te schuiven naar

bv een spaarrekening. Het beste is natuurlijk om desnoods samen met de bank te zoeken naar een

veilige oplossing.

 

@Christine: Kan best dat er een trojan is geïnstalleerd. Vraag blijft dan natuurlijk Hoe en hoe

kunnen we daar ons beter tegen beveiligen. Over beveiliging en controle hieronder meer.

 

@Hans: We weten nog niet of we schadeloos worden gesteld. In ons geval zijn ze natuurlijk eerst bezig

om de betreffende rekeninghouders te pakken te krijgen en zoals 1x gelukt is dit op een of andere manier

teruggestort te krijgen. Wat daarna volgt is mij nog niet bekend.

Beveiliging is naar eer en geweten gedaan : Firewal XP, Panda AV+FW met lopende licentie. 1x per week

wordt er gescand met SpywareDr en progje Adaware. Computer staat buiten netwerk op speciale router

die FW heeft en een ander IP adres afgeeft ( maar voor overige data moet ik bij onze systeembeheerder zijn )

 

Politie had beveiliging vraag ook en werd na tel overleg met een afdeling beveiliging(recherche?) als

voldoende geacht maar vroeg ons wel de computer extra te laten controleren. Dit heeft onze

systeembeheerder gedaan ( is extern bedrijf ). Die heeft er van alles op los gelaten maar helaas

niets gevonden.

 

@Maarten: Stand-alone heb ik alleen genoemd om de situatie te schetsen. En als je m'n eerste post leest

geef ik duidelijk en eerlijk aan wat er bij ons is gebeurt.( Staat ook in proces verbaal )

 

@Michiel: Bij ons gaat het nu om een situatie van de Postbank met Tan codes.

Uit wat Christien laat zien begrijp ik , stellen alle kapriolen die we vooraf bij onze ABN rekening

moeten doen niets toe doen als er op de computer iemand zit te wachten die pas in aktie komt als je

op de beveilgde site bent. Terwijl ik dacht dat die kapriolen vooraf veiliger is dan Tancodes

 

@Maarten:Je hebt gelijk. Vandaar ook mijn post hier. Elk advies hierover is welkom. Maar ik ben niet van

plan om een medewerker die dit al jaren voor ons doet direct aan de hoogste boom te hangen.

( Je kan je waarschijnlijk wel voorstellen hoe die persoon zich voelt )

 

Jullie moeten ook begrijpen dat computers/software niet "ons ding" is. Als ons iets wordt geadviseerd

hebben we dat uitgevoerd of laten uitvoeren.

 

Als er een update is laat ik dat hier wel even weten.

 

[Christine]

Ik zou iig de bank aansprakelijk stellen want die zorgen niet voor afdoende beveiliging, terwijl dat technisch gezien wel mogelijk is. Postbank sms laat je het bedrag zien, maar dat is geen garantie dat dat bedrag niet wordt gewijzigd. Het zou beter zijn als je een stukje software in je telefoon hebt met een DES key die bedrag en code verhapselt en een response terugstuurt. Dat is een deel van het ding waar ik een octrooi op had.

 

Ik begrijp niet waarom banken niet zorgen voor afdoende beveiliging, als die twaalf jaar geleden al is beschreven.

 

 

 

 

 

[Maarten]

@Fruade: Ik begrijp door je vervolgbericht dat je in ieder geval wel serieus er mee bezig bent geweest. Succes met het vervolg, ik ben zeker benieuwd naar de afloop.

 

@Christine: De reden van de niet afdoende beveilging zal ongetwijfeld een combinatie zijn van kosten, ingecalculeerd risico en gebruiksvriendelijkheid. Banken zijn er gelukkig wel mee bezig om consumenten bewust te maken, onder meer door de drie keer kloppen acties. De zwakste schakel blijft altijd de gebruiker.

[willemj]

Als het een 'stand-alone' is kun je hem eenvoudig nog een stuk verder dichttimmeren met een 'group policy'. Zie http://support.microsoft.com/kb/307882. Je kunt zo allerlei dingen als mogelijkheid om te downloaden en installeren uitzetten.

 

Daarnaast zou ik niet zo maar afgaan op het oordeel van je systembeheerder 'dat hij schoon is'. Machine leeggooien en opnieuw installeren (beter harddisk er uit en overhandigen aan de politie)

 

Zegt overigens niets over de kwaliteiten van je systeembeheer; er zijn inmiddels virussen / trojans die je met standaard av software echt niet meer detecteert als ze eenmaal aanwezig zijn. Zogenaamde rootkits.

 

Is there a sure-fire way to know of a rootkit's presence

In general, not from within a running system. A kernel-mode rootkit can control any aspect of a system's behavior so information returned by any API, including the raw reads of Registry hive and file system data performed by RootkitRevealer, can be compromised.

Zie http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx

[djluc]

Daarnaast zou ik niet zo maar afgaan op het oordeel van je systembeheerder 'dat hij schoon is'. Machine leeggooien en opnieuw installeren (beter harddisk er uit en overhandigen aan de politie)

Zeer belangrijk punt, hier kan je gewoon geen concessie op doen en al helemaal niet als je systeembeheerder niets gevonden heeft. Wat dus met redelijke kans zegt: Het zit er dus nog.

[Kees de Kruiff - In Memoriam]

Met alle gevaar om als doemdenker te worden uitgemaakt, toch schiet een gedachte door m'n hoofd.

 

De systeembeheerder heeft er natuurlijk alle belang bij te zeggen dat er niets gevonden is. Had ie wel wat gevonden, dan had ie z'n werk dus niet goed gedaan met alle kans op een aansprakelijkheidsstelling.

[Maarten]

De systeembeheerder heeft er natuurlijk alle belang bij te zeggen dat er niets gevonden is. Had ie wel wat gevonden, dan had ie z'n werk dus niet goed gedaan met alle kans op een aansprakelijkheidsstelling.

 

Waarom zou een systeembeheerder verantwoordelijk zijn en aansprakelijk gesteld kunnen worden voor acties die de klant met zijn PC uitvoert?

[djluc]

Met alle gevaar om als doemdenker te worden uitgemaakt, toch schiet een gedachte door m'n hoofd.

 

De systeembeheerder heeft er natuurlijk alle belang bij te zeggen dat er niets gevonden is. Had ie wel wat gevonden, dan had ie z'n werk dus niet goed gedaan met alle kans op een aansprakelijkheidsstelling.

Tsja, als je aan een bedrijf wat je zo goed vertrouwd je kritische bedrijfsdata in beheer geeft dan is er een heel ander probleem...

[Kees de Kruiff - In Memoriam]

Aansprakelijk stellen kan altijd. Of het door een rechter wordt toegewezen, da's een ander verhaal.

Maar het geeft natuurlijk veel gedoe, advocaatkosten, etc.

Vandaar mijn opmerking.

[willemj]

Als we dan toch gaan doemdenken: heeft die beheerder niet de trojan er op gezet en nu ook de gelegenheid gehad hem er weer af te halen?

[Kees de Kruiff - In Memoriam]

Als we dan toch gaan doemdenken: heeft die beheerder niet de trojan er op gezet en nu ook de gelegenheid gehad hem er weer af te halen?

 

Zo ver zou ik niet durven willen en kunnen gaan :)

[BE WANNE]

Ik begrijp dat hele online bankieren niet. Ik gebruik hier nog steeds een programma voor.

Op mijn PC geen online zaken ben daar gek. Zolang jan en alleman van alles ondoordacht installeert en download pieker ik er niet over. 1 Pc met alleen het pakket bankieren er op, geen IE geen niets van dit alles, op de firewall alleen toegang gegeven naar de communicatie poorten van de bank.

[Karel Stromph]

Wij doen niet aan Internet banking maar Electronic banking met de ABN. Bestaat dan dezelfde kans? Wie?

 

If not, dan kun je hetzelfde overwegen.

 

Karel

[Maarten]

Wij doen niet aan Internet banking maar Electronic banking met de ABN. Bestaat dan dezelfde kans? Wie?

 

Natuurlijk bestaat die kans. Als een hacker toegang heeft tot je PC kan hij met je PC doen wat hij wil. Risico blijf je altijd lopen, door de gebruikelijke adviezen op te volgen kun je die wel drastisch verlagen. Het is niet zo dat omdat je een programma gebruikt, je dan veilig bent.

[Karel Stromph]

Wij doen niet aan Internet banking maar Electronic banking met de ABN. Bestaat dan dezelfde kans? Wie?

 

Natuurlijk bestaat die kans. Als een hacker toegang heeft tot je PC kan hij met je PC doen wat hij wil. Risico blijf je altijd lopen, door de gebruikelijke adviezen op te volgen kun je die wel drastisch verlagen. Het is niet zo dat omdat je een programma gebruikt, je dan veilig bent.

 

Dank je.

 

Karel

[Christine]

Ik begrijp dat hele online bankieren niet. Ik gebruik hier nog steeds een programma voor.

Op mijn PC geen online zaken ben daar gek. Zolang jan en alleman van alles ondoordacht installeert en download pieker ik er niet over. 1 Pc met alleen het pakket bankieren er op, geen IE geen niets van dit alles, op de firewall alleen toegang gegeven naar de communicatie poorten van de bank.

 

Ehm, dat maakt voor de aanvaller niet uit. De trojan aanval die ik heb beschreven voor internet bankieren werkt voor jouw programma ook. Daar is abn amro al 's mee in het nieuws geweest.

 

 

[R.I.P. - Benm]

Ik begrijp niet waarom banken niet zorgen voor afdoende beveiliging, als die twaalf jaar geleden al is beschreven.

 

Hmm... niet om te steken, maar zou het niet kunnen dat ze dan leeglopen op licentiekosten voor dat octrooi?

 

Overigens denk ik ook niet dat de sms beveiliging bulletproof is, maar het is wel een hele verbetering ten opzichte van een velletje TAN codes. Een gevoeligheid blijft dat bij trojans de aanvaller ook de inloggegevens van je telco kan achterhalen (als je online je rekening checked oid) en die kan misbruiken om controle te krijgen over je telefoonnummer. Als je dan net op vakantie bent en de aanvaller de vervangende simcard van het 'verloren' exemplaar uit je brievenbus vist ben je alsnog de sigaar... maar dat is zoveel meer werk dan het phishen van een paar tancodes van een nietsvermoedende gebruiker dan het zo'n vaart niet zal lopen.

[Maarten]

Overigens denk ik ook niet dat de sms beveiliging bulletproof is, maar het is wel een hele verbetering ten opzichte van een velletje TAN codes.

 

De Postbank had ook wat steekjes laten vallen in hun SMS gebeuren, is nu ook naar buiten gebracht:

http://webwereld.nl/articles/52548/tan-codesysteem-postbank-eenvoudig-te-misleiden.html

 

Het probleem is nu overigens opgelost, en het is nu weer veilig. Tot dat het volgende lek wordt ontdekt.