Rabobank, de grootse internetbankier van Nederland en een van de grootste in Europa, heeft te kampen met geavanceerde methoden om rekeningen van klanten te plunderen met behulp van ‘telefoonphishing'. De boeven passen sluwe scripts toe van social engineering om het vertrouwen te winnen en zo aan pin- en transactiecodes te komen.

Waarschuwingen

Daarom toont de Rabobank nu een waarschuwing aan klanten alvorens ze kunnen gaan internetbankieren:

"Let op! Oplichting via telefoon en mail

Pas op dat u geen persoonlijke beveiligingscodes per telefoon afgeeft! U kunt namelijk worden benaderd door een persoon die zich uitgeeft voor een medewerk(st)er van de Rabobank. Ga niet in op telefonische verzoeken om bijvoorbeeld de I-code en S-code van uw Random Reader te verstrekken. Neem altijd zelf contact op met uw Rabobank met het u bekende telefoonnummer.

Ook zijn er diverse valse e-mails in omloop. In deze e-mails wordt u gevraagd door te klikken naar een frauduleuze website die erg lijkt op de site van de Rabobank. Op deze website wordt u gevraagd persoonlijke gegevens in te voeren. Doe dit nooit! Medewerkers van de Rabobank vragen nooit naar uw (persoonlijke) inloggegevens: uw pincode, I-code of S-code."

Het inlogscherm van Rabo Internetbankieren is per 20 juni 2010 ook gewijzigd. Voortaan zien klanten een duidelijke waarschuwing boven in het scherm staan met een logo. De mededeling luidt: "Vul alleen uw gegevens in wanneer de adresregel begint met https://bankieren.rabobank.nl/...Alleen dan weet u zeker dat u inlogt op de site van de Rabobank."

Codes korter geldig

Dat wordt gevolgd door links om de veiligheid van de verbinding te controleren en meer informatie. De codes die kaartlezer genereert zijn gedurende enkele tientallen secondes geldig, dus ze worden na verkregen te zijn van klanten direct ingetikt om geld weg te sluizen. Het maximum bedrag per boeking is 45.000 euro maar er kunnen meerder boekingen tegelijkertijd worden verricht. Wel moeten grote bedragen eerst naar de lopende rekening vanaf de spaarrekening.

Tot op heden was vooral ING het slachtoffer van phishing omdat ING zonder kaartlezer werkt, die Rabo en ABN Amro wel hanteren. Omdat ING-klanten kunnen inloggen met een vaste en gebruikersnaam en wachtwoord, zijn zij een veel aantrekkelijker doelwit van phishers.

Tientallen slachtoffers

Maar Rabobank-klanten zijn geenszins immuun voor deze praktijken. De bank publiceerde al eerder voorbeelden van phishing-mail, maar inmiddels zijn er volgens Rabobank al vele varianten in omloop. "Het is schieten met hagel geworden, duizenden mails tegelijk met hele een kleine kans van slagen kan al lucratief zijn." Rabo verschaft geen precieze aantallen schadegevallen noch bedragen, maar zegt dat het aantal geslaagde phishinggevallen van Raboklanten dit jaar 'eerder in de tientallen dan in de honderden'.

Telefoonphishing is zeldzaam en hoogdrempeliger voor de criminelen, maar het is wel veeleffectiever. De boeven hebben bijvoorbeeld eerst een potentieel slachtoffer naar een nepsite gelokt om daar de nodige persoonlijke gegevens achter te laten. Vervolgens wordt de klant dan gebeld door een zogenaamde bankmedewerker, die al wel naam en rekeningnummer weet.

Overtuigd via telefoon

De belphisher probeert een mate van urgentie aan te praten waardoor onrust ontstaat bij de klant. Onder gevoelde grote druk zijn sommigen eerder genegen om medewerking te verlenen aan de 'vriendelijke bankmedewerker' die alleen 'heel even' gegevens nodig heeft, maar 'het is wel; urgent', anders wordt de rekening afgesloten, gaat er een overboeking helemaal fout en wordt spaargeld 'aan een verkeerde rekening gekoppeld'. Het speelt in op de enge dromen dat de machinerie schade zal aanrichten zonder ingrijpen.

Vandaar dat deze social engineering telefonisch relatief veel effectiever is dan per e-mail, ofschoon het met de telefoon bewerkelijker is en aanvallen minder massaal uitgevoerd kunnen worden.

Bron: Webwereld.nl