Een vrouw uit Utrecht die via een website van het RIVM beschermingsmiddelen dacht te kopen is voor ruim 13.000 euro bestolen. Begin april ontvangt de vrouw een sms die van het RIVM afkomstig lijkt. De link wijst echter naar een nagemaakte RIVM-site die beschermingsmiddelen verkoopt.
Het afrekenen van de bestelde goederen lijkt via iDeal te kunnen. De getoonde iDeal-pagina's zijn echter phishingsites. Een eerste betaling via de Rabobank mislukt, waarna ze ervoor kiest om via Triodos te betalen, waar ze ook een rekening heeft. "Ik deed een aantal pogingen maar het lukte niet. Later op de ochtend probeerde ik het weer, het lukte weer niet", zo laat ze tegenover het AD weten.
De codes die de vrouw met haar identifier genereert en invoert worden door een crimineel gebruikt om de Triodos-app met haar gegevens op twee telefoons te activeren. De crimineel maakt vervolgens zo'n 13.000 euro over van de spaarrekening naar de betaalrekening van de vrouw. Vervolgens doet hij verschillende overboekingen, waarbij het bedrag steeds onder de 5.000 euro blijft. In twintig minuten wordt er in totaal 13.250 euro naar verschillende rekeningen overgemaakt.
Triodos stuurt de vrouw twee keer een e-mail dat zij de de Triodos Bankieren-app heeft geactiveerd. Deze berichten ziet zij pas later als het geld al van de rekening is verdwenen. De vrouw doet aangifte bij de politie en de bank stelt een onderzoek in. Triodos besluit het slachtoffer niet te vergoeden. "Hoewel we van mening zijn dat u in deze situatie geen verkeerde intentie heeft gehad, heeft u wel met de oplichters meegewerkt door op de link te klikken en daarna uw persoonlijke codes te verstrekken", zo laat de bank in een e-mail weten.
Alles bij de bron; Security
Onrechtmatige content blijkt soms voor slachtoffers moeilijk om weer offline te krijgen. Ze moeten bijvoorbeeld complexe juridische procedures doorlopen of weten niet waar ze terecht kunnen.
Een simpele oplossing bestaat niet, maar er zijn wel een aantal verbeteringen mogelijk, zo blijkt uit onderzoek van het Instituut voor Informatierecht van de Universiteit van Amsterdam in opdracht van het WODC...
...Nu laten we vrij veel over aan zelfregulering, maar de vraag die wij in ons onderzoek allereerst stellen, is: Moet het niet makkelijker worden om onrechtmatige content van het internet te verwijderen? Daarin hebben we eerst de huidige juridische routes geanalyseerd, en zijn we vervolgens op zoek gegaan naar verbeterpunten.’
De onderzoekers zien als verbeterpunt bijvoorbeeld het experimenten met een toegankelijke civiele procedure waarin de rechter snel uitspraak kan doen. Verder stellen ze in hun rapport dat het inrichten van een centraal meldpunt of kenniscentrum kan helpen om slachtoffers advies te geven over wat voor hen de beste route is. Het rapport wordt voorgelegd aan de Tweede Kamer.
Alles bij de bron; EMerce
Het kledingmerk The North Face heeft van een onbekend aantal klanten het wachtwoord gereset nadat het te maken kreeg met een credential stuffing-aanval. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen.
Bij een onbekend aantal klanten wisten de aanvallers door middel van hergebruikte wachtwoorden op accounts in te loggen. Naast e-mailadres hebben de aanvallers zo toegang gekregen tot informatie over bestellingen, adresgegevens, loyaliteitspunten, naam, geboortedatum en telefoonnummer.
Creditcardgegevens waren niet toegankelijk voor de aanvallers, maar die hebben wel toegang tot een token kunnen krijgen waarmee producten op de webshop van het kledingmerk konden worden gekocht.
Om klanten te beschermen heeft The North Face van alle gecompromitteerde accounts het wachtwoord gereset. Daarnaast roept het kledingmerk deze klanten op om geen wachtwoorden te hergebruiken en heeft het bij de Amerikaanse autoriteiten melding van een datalek gemaakt.
Alles bij de bron; Security
Tienduizenden WordPress-sites kunnen eenvoudig door criminelen worden overgenomen omdat ze gebruikmaken van een kwetsbare plug-in. Het gaat om Ultimate Member, een plug-in waarmee WordPress-sites allerlei functionaliteit voor geregistreerde gebruikers kunnen toevoegen, zoals uitgebreide gebruikersprofielen en speciale gebruikersrollen. Ultimate Member is vooral bedoeld voor online communities en membership sites.
Meer dan 100.000 websites maken gebruik van de plug-in. Onderzoekers van securitybedrijf Wordfence ontdekten drie kwetsbaarheden in de plug-in waardoor gebruikers beheerder kunnen worden en zo volledige controle over de website krijgen. Op een schaal van 1 tot en met 10 wat betreft de ernst zijn twee van de kwetsbaarheden met een 10 beoordeeld, het derde beveiligingslek scoort een 9,9.
Alles bij de bron; Security
Een aanvaller is erin geslaagd om een database van de Amerikaanse nieuwssite Mashable te stelen die de privégegevens van 1,4 miljoen gebruikers bevat. De data is nu op internet verschenen. Het gaat om voor- en achternaam, locatie (zoals stad of land), e-mailadressen, geslacht, registratiedatum, ip-adressen, links naar socialmediaprofielen, verlopen OAuth-tokens en maand en dag van de verjaardag.
De 1,4 miljoen buitgemaakte e-mailadressen zijn toegevoegd aan Have I Been Pwned. Een zoekmachine waarmee gebruikers kunnen kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 76 procent al via een ander datalek bij Have I Been Pwned bekend.
Alles bij de bron; Security
De politie heeft een 19-jarige man aangehouden voor het maken en verkopen van phishingpanels aan criminelen, waarmee hij mogelijk 100.000 euro verdiende.
Via een phishingpanel kunnen criminelen phishingsites opzetten en de gegevens zien die slachtoffers op de phishingsites invoeren. Daar kan vervolgens misbruik van worden gemaakt. Het onderzoek naar de tiener duurde bijna een jaar. Politie en het OM waren een nickname van de verdachte in een ander onderzoek naar een phishingbende tegengekomen.
Het cybercrimeteam van de politie eenheid Den Haag kon de man uiteindelijk op 19 oktober aanhouden. Bij zijn aanhouding had de tiener een geladen vuurwapen binnen handbereik. Uit het onderzoek bleek dat hij vermoedelijk al zeker twee jaar actief was en tientallen panels zou hebben verkocht. Er loopt nog een onderzoek naar klanten van de verdachte.
Volgens het Openbaar Ministerie en de politie verlagen phishingpanels de drempel voor criminelen om zich met phishing bezig te houden. "Heb je een panel, een netwerk van ronselaars, cashers en geldezels, dan kun je aan de slag. Met deze vorm van criminaliteit wordt schade aan het vertrouwen in het financiële verkeer toegebracht, en het brengt financiële schade aan slachtoffers en banken toe."
Alles bij de bron; Security
In de Verenigde Staten zijn twee mannen aangeklaagd voor diefstal van cryptovaluta en socialmedia-accounts door middel van phishing en sim-swapping. Opvallend is dat ze hierbij gebruikmaakten van de systemen van telecomproviders.
Bij veel gevallen van sim-swapping belt een oplichter de provider van het slachtoffer op en overtuigt een medewerker om het mobiele nummer van het slachtoffer over te zetten naar een andere simkaart, die reeds in het bezit is van de oplichter. Zodoende kan de oplichter toegang tot allerlei accounts van het slachtoffer krijgen en bijvoorbeeld sms-codes ontvangen die de bank voor het uitvoeren van financiële transacties verstuurt.
De twee Amerikanen wisten echter met gestolen inloggegevens van medewerkers en partners van telecomproviders op de systemen van deze bedrijven in te loggen en zo zelf het mobiele nummer van hun slachtoffers over te zetten. Vervolgens konden ze accounts van hun slachtoffers overnemen, waaronder e-mail-, socialmedia- en cryptovaluta-accounts. Vaak werden ook de wachtwoorden van de accounts aangepast, zodat slachtoffers niet meer konden inloggen.
Om de inloggegevens van werknemers te stelen gebruikten ze phishingsites die leken op de medewerkersportalen van telecomproviders. Vervolgens stuurden ze phishingmails of belden ze deze medewerkers om ze op de phishingsites te laten inloggen (pdf). Met de overgenomen telefoonnummers van slachtoffers konden de verdachten toegang tot allerlei accounts krijgen. Zo plaatsten de verdachten op overgenomen socialmedia-accounts gesponsorde links, productrecensies en productvermeldingen. Ook wist het duo bij één slachtoffer 16.000 dollar aan cryptovaluta te stelen.
Alles bij de bron; Security
Criminelen hebben vorig jaar tienduizenden euro's weten te stelen door 14 pinterminals van een bezorgdienst van een supermarktketen om te wisselen. Dat heeft de politie vandaag bekendgemaakt.
Bezorgers van de bezorgdienst werden onderweg naar een klant gebeld door iemand die zich voordeed als een medewerker van het hoofdkantoor. Volgens deze "medewerker" heeft de pinterminal van de bezorger een update nodig en zal iemand het apparaat straks door een ander apparaat vervangen.
Het geld dat klanten aan de deur voor hun bestelling moesten pinnen werd overgemaakt naar de rekening van een katvanger. Zodra het geld is overgemaakt wordt het vervolgens direct door iemand opgenomen. In het onderzoek naar de diefstal zijn nu drie mannen aangehouden. De politie sluit meerdere aanhoudingen niet uit.
Alles bij de bron; Security
Onderzoekers van de TU Eindhoven hebben een Russische website gevonden waar online-fingerprints van internetgebruikers worden verhandeld. Het gaat om digitale 'vingerafdrukken' die gebruikers identificeren aan de hand van een reeks digitale factoren. Deze lopen uiteen van technische informatie zoals webbrowser en besturingssysteem, tot gedragskenmerken als muisbeweging, en tiksnelheid.
Een online-fingerprint is een alternatief voor de bekende, maar relatief weinig gebruikte tweestapsverificatie (2FA) voor toegang tot gevoelige systemen. De online-fingerprint staat bekend als Risk-based Authentication (RBA). "Het systeem kijkt naar fingerprints om iemands identiteit te controleren. Fingerprints omvatten technische basisinformatie, zoals het type browser of besturingssysteem, maar ook gedragskenmerken, zoals muisbewegingen, de locatie en de snelheid van de toetsaanslag", aldus de TU/e in een verklaring.
Op de Russische website zijn meer dan 260.000 gedetailleerde profielen te vinden, deze worden gekoppeld aan e-mailadressen en wachtwoorden. Volgens de onderzoekers worden de profielen voortdurend geüpdatet, wat uniek is. Het heeft de onderzoekers veel moeite gekost om binnen te komen bij de website.
Alles bij de bron; AGConnect
Opeens lig je eruit. De verbinding met het mobiele netwerk is weg. Aan- en uitzetten helpt niet. Iemand anders heeft de controle over je 06-nummer overgenomen, door een nieuwe simkaart aan te vragen met valse identificatie. Sim-swapping heet deze vorm van oplichting. En zodra je het merkt, is het meestal te laat.
In januari rolde de Europese opsporingsdienst Europol samen met de Spaanse politie de bende op die bedragen tussen de 6.000 en 137.000 euro wegsluisde van bankrekeningen.
Dat ging zo: criminelen hadden de inloggegevens van de rekeningen al buitgemaakt. Om daadwerkelijk transacties uit te voeren onderschepten ze via de gekaapte simkaart het sms’je waarmee sommige banken eenmalige autorisatiecodes versturen. Die code is een extra beveiligingsstap. Sms wordt nog regelmatig voor deze zogeheten tweefactorauthenticatie gebruikt. Dat werkt prima, totdat je 06-nummer wordt overgenomen.
Afgelopen week waarschuwde Europol dat het aantal sim-swapaanvallen in Europa toeneemt. Als voorbeelden noemde het de Spaanse zaak en een bende die Oostenrijkse slachtoffers een half miljoen euro aftroggelde....
...De simkaart speelt een sleutelrol in veel oplichtingstrucs. Dit plastic kaartje gaat op den duur verdwijnen omdat de telecomsector overschakelt naar embedded sims of e-sims: simkaarten die vastzitten in de telefoon. GSMA, de brancheorganisatie van alle telecomproviders, waarschuwde vorig jaar dat de uitgifte van e-sims beter gecontroleerd moeten worden.
De Duitse beveiligingsspecialist Karsten Nohl wist in 2013 de versleuteling van de simkaart te kraken. In zijn ogen schiet de simkaart zelf niet tekort, maar de identiteitscontrole van de telecomproviders. Zolang simkaarten gekaapt kunnen worden is sms een kwetsbaar transportmiddel voor het beschermen van accounts of het verzenden van betaalbevestigingen. „Banken moeten niet vertrouwen op zo’n methode”, zegt Nohl.
Tips om het te voorkomen;
Deel niet te veel persoonlijke gegevens – geboortedatum adres, namen van huisgenoten en huisdieren – op sociale media.
Beveilig je onlineaccounts en mail met een extra check, bij voorkeur via authenticatieapps. Verwijder waar mogelijk je 06-nummer uit de profielgegevens.
Hergebruik geen wachtwoorden maar laat een wachtwoordmanager automatisch moeilijk te raden codes verzinnen en invullen.
Alles bij de bron; NRC