Hoe dom kan je zijn......

Hoe naïef kan je zijn...

Ik vraag me wel af hoe ze te werk zijn gegaan, zodat anderen meteen gewaarschuwd worden!

Chatten is inderdaad Ideaal

Wil ik ook wel weten, voor I-deal betalingen heb je altijd je pasje en pincode nodig. Pincode aftroggelen kan, maar hoe zit het dan met het pasje?

@jefkim666: Bij de ING heb je geen pas nodig..

@jefkim666: je hebt alleen de code nodig dat het kastje voor je genereert. Dus als je ze overtuigd om hun pincode in te typen en jou de code door te sturen, kan je gewoon inloggen.
Laatste edit 16-03-2011 12:34

Kpuc: Maar wel een telefoon met SMS, dus ook daar geld dat je de ontvangen/gegenereerde code dient te krijgen.

@DrZiggy: Klopt, of een tan-lijst. Dat geeft nog maar eens aan hoe dom de slachtoffers zijn..

Ergens moet je nog bewondering voor de oplichters hebben ook. Hoe luis je mensen erin!

@DrZiggy:
gaat dus eigenlijk makkelijker dan ik gedacht had, lijkt me ook niet iets waar je makkelijk een oplossing voor vindt. Het staat of valt altijd bij hoe goedgelovig de gebruiker is.

Voorbeeldje van hoe makkelijk het is. Binnen 1 a 2 dagen heb je een overtuigende nep-site die bijvoorbeeld om een kleine donatie vraagt voor het een of ander. Maak van het textvakje waar je bedrag kunt invullen een verborgen veld met als waarde bijv. 500. Dump er nu een nep veldje in waar mensen een nutteloos bedrag intypen.

Mensen denken dan dat ze 5 euro overmaken, maar het script stuurt de waarde van het verborgen veld door. Simpel maar effectief.

Wil niemand op ideeën brengen, maar thema's als wat er nu in Japan is gebeurd zijn voor dit soort mensen vaak ideaal.

Als je een donatie maakt, zorg altijd dat je eerst kijkt of de organisatie bestaat, en is aangesloten bij die groep van alle echte organisaties. Daarnaast is het belangrijk dat je ook kijkt of het URL klopt. Zo zou ik "http://www.unicef.nl" wel vertrouwen, maar "http://www.unicef2.nl" gaat toch vraagtekens opwerpen. Let op. Doneer nooit op een site die gratis wordt gehost/gratis domein heeft(dus niet eindigt op .nl/.com/.org/... of die eindigt op bijv: iscool.com/freeurl.com/...)

Met beovenstaande tekst wil ik mensen niet op ideeën brengen, nog genoemde site's in kwaad daglicht stellen. Ik wil enkel aangeven hoe makkelijk het is mensen om de tuin te leiden. WEES GEWAARSCHUWD!!

Laatste edit 16-03-2011 13:30

En wat dacht je van 1NG.nl of lNG.nl ipv ING.nl
Veel mensen zien niet dat de 1e letter (een hoofdletter i) vervangen is door een één of een kleine l

Als die gasten nu gewoon kleinere bedragen hadden afgeschreven, had het minder opgevallen.
Je krijgt op korte termijn minder binnen, maar op langere termijn (als het minder snel ontdekt wordt uiteraard) krijg je veel meer binnen!

@Morsul: gelukkig kun je onterecht afgeboekte bedragen nog binnen 8 dagen ongedaan maken.
Om die reden betaal ik extra voor een wekelijks bankoverzicht; dat voorkomt dat ik vergeet om regelmatig op internet te controleren.

Laatste edit 16-03-2011 13:39

@ledi: Is inderdaad een slim idee. Goed opletten werkt ook. Ik kan gewoon niet online betalen, dus ook niet opgelicht worden, wel zo veilig, en 90% van de webshops hebben ook gewoon acceptgiro of rembours betaling.

@Morsul: Dat is leuk bedacht, maar werkt alleen bij blinde mensen. Als je namelijk wordt doorgestuurd naar iDeal dan staat daar ALTIJD en ook dik gedrukt het bedrag dat je over gaat maken.

Dus tenzij je denkt "He wat gek, ik type 5 euro en nu zegt hij dat ik 500 ga overboeken. Nou ja, zal wel kloppen" gaat je verhaal niet op.

Dat je mensen relatief makkelijk kan oplichten ben ik met je eens, maar het is echt niet zo simpel als een hidden input field.

@jefkim666:
pasje niet nodig wel gebruikersnaam en pincode of andere beveiligingscode.

@Morsul:
de online betaal methoden zijn wel veilig maar als je je inlog gegevens tan-codes e.d. publiekelijk maakt ja dan houdt het op en kan een kwaadwillende z'n gang gaan. ligt niet een het systeem hoor.

Men moet nu toch onderhand weten dat je nooit je gegevens moet afstaan op een site anders dan de officiële banksite?

@DrZiggy: Ik wou alleen een punt maken, maargoed. Je zou bijvoorbeeld de site door een proxy-server kunnen trekken die de iDeal pagina's opvangt, en valse iDeal pagina's aan de gebruiker laat zien. Of je gooit hem in een frame, die via een userscript de waarde van de vetgebrukte text aanpast.

niet erg slim van die mensen....mensen denken soms dat dingen onbestraft zullen blijven, maar t komt ooit een x naar boven!

het kan ook zijn, dat ze de pc van een andere persoon over kunnen nemen. en op die manier het kunnen regelen!

@Morsul: Hoewel de methodes die je omschrijft wederom niet kunnen, blijft het gebruik van internet door domme mensen altijd een probleem.

iDeal opzich is gewoon veilig. Tenzij je zelf hele stomme dingen doet, is het onmogelijk dat je een andere bedrag overschrijft dan je zelf aangeeft/controleert. (via een normale internetpagina. Als er programma's gedownload worden met kwaadwillende bedoelingen is dat weer een ander verhaal)

Je moet toch echt oerdom zijn om hierin te trappen.

Daarbij werkt de bovenstaande fraudeer methode helemaal niet omdat:
- Het via je eigen banksite MOET gaan
- Het bedrag dat je overmaakt altijd dikgedrukt te zien is
- Volgensmij moet je ook bij hun zijn aangesloten

Sowieso, betaal ik nooit per internet, want ik ben er huiverig van!Ik ga liever even de bank binnen en betaal daar. Ouderwets? Jammer dan, maar al die digitaalrovers ben ik ook niet kapot van...
Daarbij geef ik om geen enkele reden mijn gegevens al staat de koningin op mijn stoep! Niemand heeft het recht om je gegevens op te vragen!

@Tha_Rotart: iDEAL?

@gloria: Doe jou maar liever echte rovers he, die niet alleen je geld stelen maar ook nog verdere psychische/fysieke schade kunnen toebrengen.

Online is alleen je eigen goedwillendheid/domheid van belang of het goed gaat of niet. Op straat ben je afhankelijk van de grillen van anderen.

Maar uiteraard ben je vrij om het niet te gebruiken. Vind het alleen vreemd om het uit veiligheidsoverwegingen te doen.

Laatste edit 16-03-2011 15:56

Zelfs dat moet je niet doen, banken zullen je nooit en te nimmer via internet om je volledige gegevens vragen. Hooguit als je zelf inlogt via de https-site om je rekening te raadplegen.

Laatste edit 16-03-2011 16:03

@gloria: Als je zelf een beetje gezond verstand hebt is internet bankieren heel veilig hoor. Mocht er iets op de banksite zelf mis gaan dan wordt je verloren bedrag altijd 100% vergoed.

Gewoon dom en naïef, klaar.

Beetje jammer dat mensen daar alsnog intrappen

Ik lig dubbel van het lachen bij het visualiseren van de koningin die bij me aanbelt en dan om mijn gegevens vraagt.
Zelfs al zou ik ze willen geven, dan kom ik vast niet uit mijn woorden.

@DrZiggy: Vraag me wel af waarom de proxy/ghost-server niet zou werken.
Het slachtover zal nooit de echte iDeal pagina zien, omdat de computer van het slachtover nooit verbinding maakt met iDeal. Het slachtover verbindt met de proxy/ghost-server, die zonder enig probleem het formulier uitleest.
Vervolgens gaat de proxy/ghost-server naar de pagina van iDeal, waar de gegevens weer worden ingevuld. Vervolgens wordt door deze server de data naar iDeal gestuurd (alsof het slachtover dus achter de server zit ipv. thuis) en de server ontvangt de bevestegingspagina van iDeal. Vervolgens past de server de HTML uitvoer van deze pagina aan en stuurt dat door naar het slachtover.

Heb geen ervaring met iDeal op deze manier, maar heb dit soort truckjes vaak genoeg gebruikt bij vergelijkbaar niveau beveiligingen (ben jaren bezig geweest met het testen beveiligingen voor verschillende bedrijven.)

Laatste edit 16-03-2011 18:29

dus ik zei zo tegen die gozer: wat is er helemaal aan het handje? en toen zei hij van ja niks

@Morsul: Misschien omdat de code die je bij iDeal in moet voeren in je Reader ook afhankelijk is van het bedrag wat je moet betalen?
Zowiezo bij grotere bedragen moet je een tweede code invoeren.
Dus als je voor een paar tientjes iets koopt, maar je moet ineens tweemaal een code in de Reader invoeren, kun je op je (spreekwoordelijke) klompen aanvoelen dat er iets fout zit.

@Morsul: Omdat als ik in m'n adresbalk zie staan "https://www.rabobank.nl" dan ben ik ook op https://www.rabobank.nl.

Natuurlijk kan het met software wel dat ik toch ergens anders zit, maar niet via een normale website.

En als mijn adresbalk aangeeft dat ik ergens anders zit en ik zie wel een iDeal pagina, dan weet ik dat het foute boel is.Anders wil ik je best uitdagen. Laat mij maar eens www.google.nl in m'n adresbalk zien en dat ik toch www.waarmaarraar.nl content zie.

Laatste edit 17-03-2011 11:45

@DrZiggy: Via de zgn 'man-in-the-middle' aanval kun jij gewoon https://www.rabobank.nl in je adresbalk zien staan, alleen klopt dan hoogstwaarschijnlijk het bijbehorende certificaat niet meer.
Als dit tenminste niet te technisch voor je wordt

Trappen mensen daar nog steeds in?

@GenieonWork: Technisch zal wel lukken.

Maar hoe wil je een MITW aanval doen met alleen maar een webpagina?

[rabobank]-----[ik]
[nepbank]

je komt er helemaal niet tussen met een andere site. En zoals al eerder vermeld is het natuurlijk mogelijk met extra software, maar niet met puur een webpagina.

MitM-aanvallen kun je best doen met een webpagina.
Ik geef toe dat het wat moeite kost (de web-aanvraag moet bij jou binnen komen, vervolgens kun je die dan wijzigen, dan moet je 'em doorsturen naar de bedoelde host), maar het is wel mogelijk.

[gebruiker]-----[MitM]-----[Rabobank]

En juist met webpagina's kan daar misbruik van gemaakt.
Waarom anders denk je dat er zoveel sites tegenwoordig van een certificaat zijn voorzien (en dus via https benaderd moeten worden)?

@GenieonWork: precies. De webaanvraag moet bij jou binnenkomen.

Dus ik surf naar www.nepbank.nl en zij kunnen dan doen alsof ze de rabobank zijn. Maar als ik gewoon naar rabobank.nl ga kom ik daar ook altijd uit.

MITM is bedoeld zodat je niet weet dat er een derde partij is. Als ik bewust naar de derdepartij ga om vervolgens te denken dat ik toch ergens anders ben, dan ben je nogal extreem dom.

Dus tenzij nepbank.nl software op mijn computer installeert die al direct mijn request om naar rabobank.nl te gaan afvangt, ben ik gewoon op www.rabobank.nl als ik dat in mijn browser zie staan.

Als het mogelijk was om zonder software de url van een andere site te hijacken dan zou google.nl allang niet meer een zoekmachine zijn.

@DrZiggy: Ik stel het bewust in versimpelde vorm voor, anders wordt het voor de gemiddelde lezer te moeilijk om te snappen.
Maar wat dacht je bijvoorbeeld van DNS-hijacking? Daardoor kun je die aanvragen bij jou binnen laten komen.

@GenieonWork: Op zo'n oud bericht leest toch geen mens meer mee, dus dat maakt niet uit

Maar DNS hijacking doe je niet met een webpagina.

Als iemand zonder dat ik het weet m'n host file aanpast en rabobank.nl laat verwijzen naar een ander IP, dan zie ik idd een andere site dan rabobank.nl, helemaal mee eens.

Maar een webpagina kan dat niet. En ook geavanceerde methodes om een DNS aan te passen kan je niet met puur een webpagina gebruiken.

Ik ben het er helemaal mee eens dat MITM attacks mogelijk zijn op meerdere manieren. Maar geen enkele van die manieren is te gebruiken door alleen maar een website te maken.

@DrZiggy: DNS-hijacking doe je idd niet door een website, maar daardoor kun je wel het webverkeer monitoren en evt. aanpassen.

Je begint met DNS-hijacking, daardoor kun je een aangepaste website laten zien (of je port gewoon de originele website).
De data die van en naar deze website verstuurd worden, kan dan onderhuids aangepast worden.

Een website is idd geen middel om DNS-hijacking voor elkaar te krijgen, maar DNS-hijacking wordt wel gebruikt om webverkeer aan te kunnen passen.
Als ik dmv DNS-hijacking jouw iDeal-pagina weet te onderscheppen, kan ik elke overschrijving naar mijn eigen bakrekening laten gaan (met een iets groter bedrag dan jij invoert), en een overschrijving met het juiste bedrag naar de bankrekening sturen waar jij het in eerste instantie naartoe wilde sturen.
Beetje krom voorbeeld, want voor de iDeal-pagina wordt een https-pagina geladen (dus zit ik met certificatie-problemen), maar ik kan op deze manier wel bij inloggegevens voor andere websites komen.

Als ik rabobank.nl naar mijn eigen site laat verwijzen (die onderhuids doorlinkt naar de originele rabobank.nl site) zie jij het verschil niet. Alleen ik kan wel de datastroom wijzigen.

@GenieonWork: Helemaal mee eens met je uitleg. Ik had hetzelf niet beter gedaan

Maar de reden dat ik iedere keer weer vermeld dat het niet via een simpele website kan, is dat de discussie is begonnen door @Morsul die iDeal wilde misleiden door een hidden input field toe te voegen aan een formuliertje.

Dat het mogelijk is om iemand/iDeal op te lichten door gebruikt te maken van verschillende technieken ben ik het helemaal mee eens. Maar het niveau tussen dat en een hidden input field is dusdanig groot, dat we het niet meer hebben over het begin van de discussie. Namelijk:



edit: Ik zie overigens dat je het bedrag wilt aanpassen. Het bedrag is onderdeel van de code die je bij de rabobank invoert op je randomreader. Dus als het bedrag niet matched met de code dan blokkeert iDeal het. Dus het gaat een heel stuk verder dan puur informatie/ssl certificaten faken.

Laatste edit 17-03-2011 16:19

Sterker nog, het artikel gaat over hoe mensen via chat hun iDeal-betaalgegevens aan iemand anders gegeven hebben.
En niet over een hidden input field...

@gloria:
@ledi:
is echt een kostelijk voorbeeld, dat van de Koningin die op de stoep zou staan en om gegevens zou vragen
besef opeens dat ik al zo ver heen ben dat ik toen ik dat las en het probeerde voor te stellen, 2 versies zag:
de ene met koningin Beatrix en de andere met koningin Sylvia....
en ik ben helemaal niet koningsgezind

en dan krijgen de daders zeker straf.
eigen schuld dikke bult voor die mensen