Even opletten met beveiligde Internet verbindingen

[willemj]

Lees en zie net dat het mogelijk is om een url te laten zien die niet overeenkomt met de site waarop je zit. Zelfs voor beveiligde verbindingen.

 

Je ziet dus https://www.paypal.com terwijl je op een heel andere site zit. Alleen door het controleren van het certificaat (dubbelklik op het slotje in je browser) kun je zien dat het niet klopt. Het truukje kan uiteraard ook met https://www.postbank.nl...

 

Werkt (standaard) niet in Internet Explorer, wel in andere browsers.

 

Zie hier voor een demontratie http://www.shmoo.com/idn/.

[Edo van Santen]

het blijft gevaarlijk! als volwassene wordt je geacht te weten wat je doet en te kunnen beoordelen of een site betrouwbaar is.

 

Ik maak me nog meer zorgen over mijn kinderen, die nog niet de ervaring hebben die wij hebben en ook het gehele internet tot hun beschikking hebben.

 

"Papa, mag ik even je creditcard lenen, je krijgt hem zo terug?" Nee dus.

 

 

[willemj]

het blijft gevaarlijk! als volwassene wordt je geacht te weten wat je doet en te kunnen beoordelen of een site betrouwbaar is.

 

Deze is dusdanig tricky dat ik er als paranoide nerd nog in zou kunnen trappen :-\

[R.I.P. - Benm]

Het is wel een juweeltje moet ik zeggen, ik zou er zo in kunnen tuinen.

 

Waarschijnlijk is het wel vrij eenvoudig te patchen, vermoeddelijk zal het niet lang op zich laten wachten.

[juul.s]

Er was een tijdje geleden ook al zo'n truc, ik kan niet herkennen of dat dezelfde was. Sindsdien benader ik paypal enz. allemaal via mijn favorieten die ik er handmatig heb ingezet. Tot ze weer iets nieuw verzinnen dan.

[willemj]

Er was een tijdje geleden ook al zo'n truc, ik kan niet herkennen of dat dezelfde was. Sindsdien benader ik paypal enz. allemaal via mijn favorieten die ik er handmatig heb ingezet. Tot ze weer iets nieuw verzinnen dan.

 

En voor je het weet omzeilt een worm/virus/trojan de DNS van je PC en kom je toch op zo'n foute site terecht.

 

In je favorieten staat https://www.paypal.com, je computer zet dit om in een IP adres en gaat daarmee de server zoeken. Je PC kan nl. alleen maar met IP adressen werken, niet met een naam als www.paypal.com. Dit omzetten van de naam van een website naar het IP adres is 'vrij eenvoudig' te omzeilen door een virusschrijver. Het truukje dat ik hier noem in combinatie met een besmetting van jouw computer maakt je favorieten dus waardeloos.

 

Moraal van het verhaal: als je het echt zeker wilt weten kijk je naar het certificaat.

[Edward]

Lees en zie net dat het mogelijk is om een url te laten zien die niet overeenkomt met de site waarop je zit. Zelfs voor beveiligde verbindingen.

 

Je ziet dus https://www.paypal.com terwijl je op een heel andere site zit. Alleen door het controleren van het certificaat (dubbelklik op het slotje in je browser) kun je zien dat het niet klopt. Het truukje kan uiteraard ook met https://www.postbank.nl...

 

Werkt (standaard) niet in Internet Explorer, wel in andere browsers.

 

Zie hier voor een demontratie http://www.shmoo.com/idn/.

Hmmm, komt niet in de link.

 

Wat ik mij afvraag. Wat heeft iemand aan de gegevens als hij mijn sleutel niet heeft?

 

[R.I.P. - Benm]

Je sleutel?

 

Het idee achter dit soort operaties is dat je denkt in te loggen bij paypal of iets dergelijks, maar ongewild je username en password achterlaat bij een derde. Die kan er dan met je geld vandoor.

 

Online banking kent vaak nog een extra laag die nodig is om echt transacties uit te voeren, of zelfs in te loggen. Denk bijvoorbeeld aan TAN codes (one time passes) of een digikey.

 

Dit helpt aanzienlijk, aangezien de spoofer je meestal niet om de tuin kan leiden tot het moment van een transactie - je ziet bijvoorbeeld dat je saldo en historie niet kloppen. Maar ook dat zou men kunnen regelen: Als de website van de spoofer op de achtergrond inlogt met jouw gegevens bij jouw bank en vervolgens doorgeefluik speelt bijvoorbeeld... be careful out there!

[willemj]

Wat ik mij afvraag. Wat heeft iemand aan de gegevens als hij mijn sleutel niet heeft?

 

Naast Ben z'n voorbeeld kan het ook op vele andere manieren. Denk aan het verkrijgen van je bankrekeningnummer alleen, in combinatie met 'Clipping' (betalen via je ADSL lijn) en je geld is weg. Je kunt mailaccount gegevens verzamelen en die account voor spammen gebruiken. etc.etc.

 

 

[Roy van Peufflik]

Daarom kan op mijn webshop ook alleen tussen 2 optie's gekozen worden met betalen.

Dat zijn onder rembours en overmaken op mijn bankrekening dan ben je bijna altijd verzekert van een juiste betaling want als je het via de bank doet dan kun je het nog twee weken na dato terug boeken.

[evendenken]

want als je het via de bank doet dan kun je het nog twee weken na dato terug boeken.

bedoel je dat wanneer mr a geld overmaakt naar mr b, mr a twee weken de tijd heeft om dit geld terug te vorderen via bank?

 

VrGr

[Roy van Peufflik]

Ja dat klopt de bank kan je opdracht tot twee weken terug draaien.

Mits een geldige reden en daar kun je als leverancier niks aan doen,

behalve als jij het netje's geleverd hebt dan moet je er weer een incassoburo er achter aansturen.

[evendenken]

Volgens mij klopt dat niet hoor. Een incasso kun je binnen een maand terug vorderen, storneren zoals dat in banktermen heet. Een zelf overgemaakt bedrag wordt door een bank niet teruggehaald.

 

Waar heb je die informatie vandaan?

 

VrGr

[R.I.P. - Benm]

Een zelf overgemaakt bedrag wordt door een bank niet teruggehaald.

 

Normaalgesproken niet inderdaad. Maar als er overduidelijk sprake is van fraude door ontvreemde inlog-gegevens denk ik dat de bank het best zal proberen. Alleen is de kans dat het lukt wellicht klein, aangezien de fraudeur-ontvanger dat geld wel snel opgenomen zal hebben.

[evendenken]

Normaalgesproken niet inderdaad. Maar als er overduidelijk sprake is van fraude door ontvreemde inlog-gegevens denk ik dat de bank het best zal proberen.

In combinatie met de webshop wordt de indruk gewekt dat een gedane betaling (dmv overschrijving) terug kan worden gehaald, dat is dus niet zo.

Wanneer iemand bank/giro-gegevens ontvreemdt kan ik me nauwelijks voorstellen dat diegene dan spullen in een webshop bestelt en dan leuk thuis laat bezorgen.

Dat je kunt frauderen met gegevens van een ander dat snap ik maar wanneer er sprake is van overboeking is er volgens mij geen vuiltje aan de lucht.

 

VrGr

[2thePoint]

want als je het via de bank doet dan kun je het nog twee weken na dato terug boeken.

 

Dit is absoluut niet waar...Sterker nog...

 

Als je een betaling doet naar per ongeluk een verkeerd rekening nummer, kan de bank dit alleen terugvragen als de ontvangende partij hier mee accoord gaat. Doet hij dit niet, zul je via gerechtelijke weg je geld moeten zien terug te halen.....

 

Eenmaal gestort blijft gestort... ;)