Archief - Slachtoffer van phishing

Five-seveN · 30 okt 2018

Toch triestig he... en ik snap weldegelijk dat oudere mensen daar in trappen.
Die moet je soms al 2u uitleggen hoe ze een overschrijving op internet bankieren kunnen doen.
Die zijn juist heel blij dat ze zelfs eens iets voor mekaar gekregen hebben, aja want hun bankkaart ging vervallen!

Het is hoog tijd dat de banken een check invoegen "u logt in vanaf een onbekend apparaat, gelieve te bevestigen via email".
Of via hun gsm een bevestigingscode krijgen van elke overschrijving, met het bedrag.
Of dat de bedragen verschijnen op het kaske van de bank in duidelijke tekst en niet fcking "M1 return" "M2 access" of whatever raars dat je te lezen krijgt.
Ook dat zij gecertificeerde banking apps voor de PC gaan leveren, die niet naar de verkeerde website kunnen linken.
Of een certificaat met PIN op de bankkaart zetten, zoals voor de belastingsaangifte.
Bedragen boven de x aantal euro zouden by default eerst vrijgegeven/geactiveerd moeten worden (voor tijdelijke periode) op de bank.

Om maar wat op te noemen.

Je kan dat probleem niet 100% bij de eindgebruiker leggen.
De bank heeft hier een verantwoordelijkheid.

Muscleduck · 30 okt 2018

Straddle zei:
Het is heel simpel, je hebt de response code nodig om binnen te geraken op iemand zijn bankrekening (deze code wordt gegenereerd obv de pin code).
Vaak bellen fraudeurs naar mensen en zeggen ze nu moet je je PIN ingeven in je token (maar niet aan mij vertellen) en dan mij de respons code geven.
En dan zijn binnen.

Achteraf gaan de mensen dan zeggen jamaar "ik heb mijn PIN niet gegeven of verteld aan iemand" terwijl ze wel de respons hebben gegeven.

Kan ook via het net. Je laat de klant inloggen via een nagemaakte pagina. De klant logt ook effectief in en wordt effectief doorgestuurd naar zijn of haar rekeningen, maar ondertussen heb jij de response en pin wel onderschept. Je bent dus even goed binnen en kan rustig plunderen.

Five-seveN · 31 okt 2018

Muscleduck zei:
Kan ook via het net. Je laat de klant inloggen via een nagemaakte pagina. De klant logt ook effectief in en wordt effectief doorgestuurd naar zijn of haar rekeningen, maar ondertussen heb jij de response en pin wel onderschept. Je bent dus even goed binnen en kan rustig plunderen.

Met als randopmerking dat binnen geraken niet voldoende is, er moeten daarna ook overschrijvingen gebeuren en ook daar is (bij Argenta toch) validatie met de cardreader voor nodig.
Dus ik vermoed dat de website wel iets ingenieuzer was opgebouwd, waarbij na het inloggen eventueel een eigen gebouwde "voer nu deze tekens in op uw cardreader om uw kaart te verlengen" pagina of dergelijk. Daarna "uw kaart is met succes verlengd! u wordt nu automatisch afgemeld voor uw veiligheid!".

En je kan ook niet van een opa verwachten dat hij weet dat mijn.argenta.be de juiste site is en argenta.be.mijn een foute site is.

Tailball · 31 okt 2018

Carrion zei:
Anno 2018 gephished worden... dat is toch ook het equivalent van uw huissleutels aan een wildvreemde te geven als die erachter vraagt omdat hij zegt dat 'm bij de politie is.

Carrion zei:
Omdat er nu eenmaal nog altijd mensen rondlopen die geen hol verstand hebben van computers en buiten patience spelen er niet veel mee kunnen doen?

Taking both sides, precies :lol:

ashuray · 31 okt 2018

Een klant van mij had dat ook overlaatst. Was via telefoon zogezegd een medewerker van microsoft die op afstand haar pc ging helpen sneller maken. Het mensje is in de 70 en wist niet beter..ze moest teamviewer of zoiets downloaden en via online banking 10 euro betalen de service.. Iets daarna telefoon van de bank en moest ze de politie bellen. Ook zorgen dat ze die computer niet meer gebruikte. De bank had het gelukkig al meer gehad dus er is geen geld verloren gegaan

Carrion · 31 okt 2018

Tailball zei:
Taking both sides, precies

Beide gaan wel over een totaal verschillende context.

Het eerste draait rond het afstaan ver persoonlijke informatie en bankgegevens. Je moet niets van computers kennen om te weten dat je uw pincode van uw bankkaart niet via mail moet versturen.

Het tweede draait om mensen die geen technische achtergrond hebben en niet weten hoe een pc te (her)installeren. Ik kan bv wel met de fiets rijden maar vraag mij niet om een kapotte vand te vervangen.

elbartje · 1 nov 2018

poochie zei:
@TS: hopelijk ondertussen goed nieuws?

Nee nog altijd geen nieuws. (Buiten dat die dag in hetzelfde politiekantoor 3 mensen aangifte hebben gedaan van soortgelijke fraude.)

Verstuurd vanaf mijn SM-G955F met Tapatalk

elbartje · 1 nov 2018

Dieter85 zei:
Het is hoog tijd dat de banken een check invoegen "u logt in vanaf een onbekend apparaat, gelieve te bevestigen via email".
Of via hun gsm een bevestigingscode krijgen van elke overschrijving, met het bedrag.
Of dat de bedragen verschijnen op het kaske van de bank in duidelijke tekst en niet fcking "M1 return" "M2 access" of whatever raars dat je te lezen krijgt.
Ook dat zij gecertificeerde banking apps voor de PC gaan leveren, die niet naar de verkeerde website kunnen linken.
Of een certificaat met PIN op de bankkaart zetten, zoals voor de belastingsaangifte.
Bedragen boven de x aantal euro zouden by default eerst vrijgegeven/geactiveerd moeten worden (voor tijdelijke periode) op de bank.

Om maar wat op te noemen.

Je kan dat probleem niet 100% bij de eindgebruiker leggen.
De bank heeft hier een verantwoordelijkheid.

Dieter85, dit zijn echt wel goede voorstellen!

Verstuurd vanaf mijn SM-G955F met Tapatalk

makila · 2 nov 2018

Voor diegenen die zeggen: Domme mensen mij overkomt dit NOOIT

Er zijn nog betere / efficientere trukken ..

1. Je krijgt de eindafrekening binnen voor je elektriciteit/gas. De dief steelt echter die eindafrekening, maakt daar dan een exacte kopie van, alleen wijzigt hij/zij het rekeningnummer. Dan stopt hij de brief van de maatschappij gewoon terug in de bus van het slachtoffer.

Oplossing? Bewaar altijd je belangrijkste begunstigden en controleer of het rekeningnummer nog hetzelfde is. Zo niet, bel dan de begunstigde op.

2. ATM skimming. Je steekt je bankkaart in de ATM machine. Echter een zeer klein toestel is verbonden met de ATM machine en steelt je bankkaart gegevens inclusief je pincode. Nietsvermoedend wandel je weg want je krijgt wel gewoon je geld uit de muur.

Oplossing? Mmm geen idee want je merkt volgens mij echt NIETS als dit goed geinstalleerd is!
Nu staat deze techniek nog min of meer in zijn kinderschoenen maar ik vermoed dat zulke device steeds beter zullen worden ..

3. Een database vol met kredietkaartgegevens wordt gehackt. De volgende dag staan er voor 2k transacties op je kredietkaart. It is just as simple as that. Geen pincode nodig!
Oplossing? Kredietkaartmaatschappij belt je normaal gezien dan wel op. (Dat was bij mij het geval, ik heb dit ooit voorgehad)

4. ...

The Prophet · 2 nov 2018

makila zei:
Voor diegenen die zeggen: Domme mensen mij overkomt dit NOOIT

Er zijn nog betere / efficientere trukken ..

1. Je krijgt de eindafrekening binnen voor je elektriciteit/gas. De dief steelt echter die eindafrekening, maakt daar dan een exacte kopie van, alleen wijzigt hij/zij het rekeningnummer. Dan stopt hij de brief van de maatschappij gewoon terug in de bus van het slachtoffer.

Oplossing? Bewaar altijd je belangrijkste begunstigden en controleer of het rekeningnummer nog hetzelfde is. Zo niet, bel dan de begunstigde op.

2. ATM skimming. Je steekt je bankkaart in de ATM machine. Echter een zeer klein toestel is verbonden met de ATM machine en steelt je bankkaart gegevens inclusief je pincode. Nietsvermoedend wandel je weg want je krijgt wel gewoon je geld uit de muur.

Oplossing? Mmm geen idee want je merkt volgens mij echt NIETS als dit goed geinstalleerd is!
Nu staat deze techniek nog min of meer in zijn kinderschoenen maar ik vermoed dat zulke device steeds beter zullen worden ..

3. Een database vol met kredietkaartgegevens wordt gehackt. De volgende dag staan er voor 2k transacties op je kredietkaart. It is just as simple as that. Geen pincode nodig!
Oplossing? Kredietkaartmaatschappij belt je normaal gezien dan wel op. (Dat was bij mij het geval, ik heb dit ooit voorgehad)

4. ...

Misschien ben jij wel de scammer!

Sent from my iPhone using Tapatalk

Five-seveN · 2 nov 2018

makila zei:
Voor diegenen die zeggen: Domme mensen mij overkomt dit NOOIT

Er zijn nog betere / efficientere trukken ..

1. Je krijgt de eindafrekening binnen voor je elektriciteit/gas. De dief steelt echter die eindafrekening, maakt daar dan een exacte kopie van, alleen wijzigt hij/zij het rekeningnummer. Dan stopt hij de brief van de maatschappij gewoon terug in de bus van het slachtoffer.

Oplossing? Bewaar altijd je belangrijkste begunstigden en controleer of het rekeningnummer nog hetzelfde is. Zo niet, bel dan de begunstigde op.

2. ATM skimming. Je steekt je bankkaart in de ATM machine. Echter een zeer klein toestel is verbonden met de ATM machine en steelt je bankkaart gegevens inclusief je pincode. Nietsvermoedend wandel je weg want je krijgt wel gewoon je geld uit de muur.

Oplossing? Mmm geen idee want je merkt volgens mij echt NIETS als dit goed geinstalleerd is!
Nu staat deze techniek nog min of meer in zijn kinderschoenen maar ik vermoed dat zulke device steeds beter zullen worden ..

3. Een database vol met kredietkaartgegevens wordt gehackt. De volgende dag staan er voor 2k transacties op je kredietkaart. It is just as simple as that. Geen pincode nodig!
Oplossing? Kredietkaartmaatschappij belt je normaal gezien dan wel op. (Dat was bij mij het geval, ik heb dit ooit voorgehad)

4. ...

1. Dat is gemakkelijk te traceren via het rekeningnummer dat ook wel een BE zal zijn. Daar gaan dieven niet echt voor staan te springen. Anonieme rekeningsnummers bestaan niet. En voor bedragen van een paar honderd euro gaat men geen strooieman opzetten of in uw brievenbus proberen zitten. Maar ja wat je zegt zou wel kunnen.

2. Ik heb daar eens een reportage over gezien. Sindsdien trek ik altijd aan die groene bek om zeker te zijn dat hij niet nep is. Meestal is dat een groene bek die men geschoven heeft over de normale groene bek, met dan wat kaart-copy electronica in. Cameratje voor de pin is geloof ik ook wel nodig.

3. Dat wordt altijd via de kredietcard maatschappij vergoed, daar dienen credietkaarten juist voor. De bedrijven die kredietkaarten accepteren draaien er voor op. Daarom moeten die bedrijven ook 3 maanden wachten tot ze hun geld krijgen: als blijkt dat de kredietkaart gepikt was kunnen ze fluiten naar hun geld. Daarom ook dat verkopers in Europa vaak met PIN willen werken voor online aankopen met kredietkaart. Maar dat maakt het aankoopproces al moeilijker en ketst klanten af.

De truuk in deze toppic gebruikt (goede spoofing mail, met goede fishing site en snelle man in the middle aanval) is eigenlijk wel een van de betere vind ik. Vraag me alleen af of men ook daar niet de destinatie rekeningnummer voor de rechtbank kan brengen. Maar dan kom je waarschijnlijk wel bij een strooieman uit (type marginaal die een rekeningnummer voor een crimineel aangemaakt heeft in ruil voor 50 euro) of in het buitenland.

Misschien ben jij wel de scammer!

Als je wist wat er allemaal kan... een geinformeerd mens is er 2 waard. Ben zelf geen hacker maar wel redelijk geinformeerd.

Overal waar er gratis WIFI is kan simpel een evil twin access point opgezet worden en al uw verkeer afsniffen, of u omleiden naar websites dat geen echte websites zijn. Zorg dan maar dat je geinformeerd bent over de juiste groene slotjes en balkkleuren alvorens verder te gaan.

Men kan u een toetsenbord verkopen dat telkens het ingeplugd wordt eerst alle gecachte wachtwoorden (websites, wifi...) emailt en vervolgens een backdoor opent zodat men via reserve shell direct in de PC zit, screenshots doorstuurt, toetsaanslagen... Misschien interessant verkoopwaar voor op de tweedehands markt.

Uw thuis-wifi 'handshake (WPA2 PSK)' kan men op enkele seconden opvangen en daarna trachten kraken met een kraaksnelheid van 350.000 wachtwoorden per seconde met een grafische kaart van 300 euro. Dat is 30 miljard combinaties per dag. Dus zorg maar dat uw wachtwoord niet te simpel is. Men kan daarbij woordenboeken gebruiken (elk woord gebruikt op wikipedia + alle straatnamen...) waar automatisch alle gangbare cijfercombinaties voor en achter gezet worden met of zonder hoofdletter en met gebruikelijke substituties zoals a=@ etc.
Wie krijgt het al warm?

makila · 2 nov 2018

Dieter85 zei:
Wie krijgt het al warm?

Eerlijk?

ALLE wachtwoorden tot 10 karakters zouden gehackt kunnen worden binnen een tijdspanne van MAX een paar maanden (wel door een supercomputer). Ja ook wachtwoorden zoals 9%@+aBef.!

Of dat heb ik tenminste toch ergens gelezen. Maar per karakter meer duurt de hacktijd exponentieel veel langer. 11 karakters is dus al een veelvoud van 10 karakters. Ik spreek hier puur over brute force dan. Ik spreek dan ook nog niet eens over andere trukjes ..

Vermits de meeste mensen geen wachtwoorden gebruiken van meer dan 10 karakters zal 99% van Jan Modaal gewoon heel erg eenvoudig gehackt kunnen worden, als een hack of crackexpert dat echt zou willen.

Nu geen nood, meestal ben je maar een kleine garnaal en de aandacht niet waard om zijn/haar tijd te verdoen.

Five-seveN · 2 nov 2018

makila zei:
Eerlijk?

ALLE wachtwoorden tot 10 karakters zouden gehackt kunnen worden binnen een tijdspanne van MAX een paar maanden (wel door een supercomputer). Ja ook wachtwoorden zoals 9%@+aBef.! Of dat heb ik tenminste toch ergens gelezen. Maar per karakter meer duurt de hacktijd exponentieel veel langer. 11 karakters is dus al een veelvoud van 10 karakters. Ik spreek hier puur over brute force dan. Ik spreek dan ook nog niet eens over andere trukjes ..

Vermits de meeste mensen geen wachtwoorden gebruiken van meer dan 10 karakters zal 99% van Jan Modaal gewoon heel erg eenvoudig gehackt kunnen worden, als een hack of crackexpert dat echt zou willen.

Nu geen nood, meestal ben je maar een kleine garnaal en de aandacht niet waard om zijn/haar tijd te verdoen.

Het hangt er vanaf of men de hash heeft kunnen stelen. Een facebook wachtwoord kan je niet kraken ook niet met een supercomputer, want je kan maar 10 wachtwoorden proberen en dan zit de account gelocked en is het gedaan met proberen. Maar dus voor een wifi vast wachtwoord is die hash (of handshake) heel gemakkelijk op te vangen.

Er bestaan sites waar je zo'n supercomputer kan huren je betaalt dan met crypto munten en voert dan uw mask in.
Dan spreekt je niet meer van 350.000 combinaties per seconde (voor WPA2 handshakes) maar eerder 350 miljoen combinaties per seconde of hoeveel je er ook tegenaan wil gooien. Terwijl je anders 600kWh zou verbruiken op een jaar om dit te kraken, verbruikt die site dan 600kWH op 8u voor jou. Done.
Denk maar aan gigantische gpu mining-rigs in China die niet meer profitable zijn voor crypto mining.

Muscleduck · 3 nov 2018

Dieter85 zei:
Het hangt er vanaf of men de hash heeft kunnen stelen. Een facebook wachtwoord kan je niet kraken ook niet met een supercomputer, want je kan maar 10 wachtwoorden proberen en dan zit de account gelocked en is het gedaan met proberen. Maar dus voor een wifi vast wachtwoord is die hash (of handshake) heel gemakkelijk op te vangen.

Er bestaan sites waar je zo'n supercomputer kan huren je betaalt dan met crypto munten en voert dan uw mask in.
Dan spreekt je niet meer van 350.000 combinaties per seconde (voor WPA2 handshakes) maar eerder 350 miljoen combinaties per seconde of hoeveel je er ook tegenaan wil gooien. Terwijl je anders 600kWh zou verbruiken op een jaar om dit te kraken, verbruikt die site dan 600kWH op 8u voor jou. Done.
Denk maar aan gigantische gpu mining-rigs in China die niet meer profitable zijn voor crypto mining.

Een hash kan je niet 'reverse engineeren'. Je kan wel vertaalwoordenlijsten aftoetsen tegen de hash en als je geluk hebt komt je hash voor op de lijst.

Five-seveN · 3 nov 2018

Muscleduck zei:
Een hash kan je niet 'reverse engineeren'. Je kan wel vertaalwoordenlijsten aftoetsen tegen de hash en als je geluk hebt komt je hash voor op de lijst.

Zei ik dat dan? Ik spreek toch alleen maar over kraken en miljoenen wachtwoorden proberen? Reverse engineeren? Nee.

Voor WPA handshake cracking waarover ik het had bestaan er trouwens geen vertaalwoordenlijsten. Want die wachtwoorden zijn gesalt met de SSID. De 'supercomputers' berekenen de hashes on the fly en gooien ze daarna direct weg. Hashes zoals md5... tjah daar zijn wel lijsten van. Daar heb je dan ook geen supercomputer voor nodig.

_ns_ · 3 nov 2018

Dieter85 zei:
1. Dat is gemakkelijk te traceren via het rekeningnummer dat ook wel een BE zal zijn. Daar gaan dieven niet echt voor staan te springen. Anonieme rekeningsnummers bestaan niet. En voor bedragen van een paar honderd euro gaat men geen strooieman opzetten of in uw brievenbus proberen zitten. Maar ja wat je zegt zou wel kunnen.

Dat gebeurt wel degelijk hoor. Dat zijn bendes die opereren via 'money mules' hun bankrekening en vandaar het geld versluizen naar andere wegen.

Fransz · 3 nov 2018

Als die transactie gebeurt van kaart1 naar kaart2, dan kunnen we anno 2018 toch weten wie de eigenaar is van kaart2? Of kun je ergens anoniem een bankkaart verzilveren op deze wereld?

Verzonden vanaf mijn iPhone met Tapatalk

Straddle · 4 nov 2018

Fransz zei:
Als die transactie gebeurt van kaart1 naar kaart2, dan kunnen we anno 2018 toch weten wie de eigenaar is van kaart2? Of kun je ergens anoniem een bankkaart verzilveren op deze wereld?
Verzonden vanaf mijn iPhone met Tapatalk

Banken zijn bij wet niet toegelaten om hierover enige informatie te geven. Dat kan wel als de politie het op komt vragen en er een onderzoek naar start, maar in veel gevallen ga je zien dat de kaart is aangevraagd door iemand anders dan de fraudeur (typisch tegen betaling). Dan zitten ze nog op een dead end.

Fransz · 4 nov 2018

Straddle zei:
Banken zijn bij wet niet toegelaten om hierover enige informatie te geven. Dat kan wel als de politie het op komt vragen en er een onderzoek naar start, maar in veel gevallen ga je zien dat de kaart is aangevraagd door iemand anders dan de fraudeur (typisch tegen betaling). Dan zitten ze nog op een dead end.

Vind je dat nu zelf niet een domme uitleg? Dan zet je die persoon die 10.000€ heeft ontvangen en wss ook nog heeft afgehaald onder druk tot deze kraakt neen? Bij mij komt er geen 10k op hoor.

Zoals ik in een ander topic al zei: waarom hebben wij eigenlijk nog politie? Om te controleren of we niet bellen tijdens het rijden en plassen tegen de kerk. Maar als iemand 10.000€ verliest dan opeens zijn ze machteloos? Zo’n dead end vind ik dat nu ook weer niet.

Verzonden vanaf mijn iPhone met Tapatalk

whacker · 6 nov 2018

ooit afgezet door een hollandse/hollander. Klacht ingediend bij politie en zelfs zij konden niet achter de identiteit komen van dat rekeningnummer in Nederland.
Tja....

En die ATM skimmer: ik ga meestal binnen als ik kan (al minder kans) en ik foefel ook altijd es aan dien groenen bek

Archief - Slachtoffer van phishing

Five-seveN

Legacy Member

Muscleduck

Legacy Member

Five-seveN

Legacy Member

Tailball

Legacy Member

ashuray

Legacy Member

Carrion

Legacy Member

elbartje

Legacy Member

elbartje

Legacy Member

makila

Legacy Member

The Prophet

Legacy Member

Five-seveN

Legacy Member

makila

Legacy Member

Five-seveN

Legacy Member

Muscleduck

Legacy Member

Five-seveN

Legacy Member

_ns_

Legacy Member

Fransz

Legacy Member

Straddle

Legacy Member

Fransz

Legacy Member

whacker

Legacy Member