Cybercrime19.12.2022

Webbrowsers: permanent kwetsbaar voor malafide betaalverzoeken


Gebruik browsers alleen voor browsing... nooit om mee te betalen!

Stel jij krijgt een digitaal betaalverzoek toegezonden van een particulier of een ondernemer voor een op zichzelf legitiem openstaand bedrag. Jij reageert natuurlijk niet op de eerste de beste phishingmail, dus je hebt de legitimiteit van dit betaalverzoek vooraf goed gecontroleerd.

Jij kent deze particulier of ondernemer echter niet zo heel goed. Met name als jou geen fysiek adres van deze particulier of ondernemer bekend is, blijft het oppassen. Of er sprake is van een bonafide of een malafide betaalverzoek valt namelijk niet te zien aan het digitale betaalverzoek zelf. Ook uit het daarop volgende keuzemenu valt niets af te leiden. In zoverre is er sprake van een zgn. ‘black box’ die nog elke gewenste vorm aan kan nemen.

Betalen via malafide webadres betekent gegarandeerd verlies van banktegoeden

Indien jij per ongeluk toestaat dat er een malafide webadres wordt geladen voor een digitale betaling, dan zal er zich een vrijwel exacte phishing-kopie van jouw bankwebsite tussen jouw browser en de legitieme bankwebsite nestelen. Jouw betaalcode komt hiermee rechtstreeks bij de phishing-kopie terecht. Gevolg is dat jouw betaal- en spaarrekening volledig worden leeg getrokken. Meer dan het aftappen van één betaalcode is daar over het algemeen niet voor nodig.

Oplichting door phishing met gelijkende webadressen

Met het klikken op het betaalverzoek opent er zich ongetwijfeld een vertrouwd uitziend keuzemenu waarbinnen moet worden gekozen voor een bank. Vervolgens kan zich potentieel één van de onderstaande linkjes in jouw webbrowser laden….

betalen
betalen

Alleen de vetgedrukte webadressen betreffen legitieme bankdomeinen

Binnen alle tweede rijen webadressen is .nl vervangen door .ni en binnen alle derde rijen is er een letter vervangen door een of twee gelijkende letters of cijfers. Binnen alle volgende rijen is er eveneens geen sprake van legitieme bankdomeinen, maar van de domeinen Tikkie.nl, Betaallink.nl, Betalen.nl, Betaalverzoek.nl, Afhandeling.nl, Overschrijving.nl, Boeking.nl en Acceptgiro.nl. Stuk voor stuk domeinen die helemaal niets met jouw bank te maken hebben en naar verwachting daarom volstrekt malafide inhoud zullen herbergen.

Controleer jij consequent en minutieus het webadres binnen de adresbalk?

Herken jij in één oogopslag elke spelfout binnen de adresbalk van jouw browser? Besef jij dat adressen die niet in eerste aanleg eindigen op de twee unieke fragmenten van de legitieme domeinnaam van de bank (bijv. abnamro.nl of ing.nl) een volstrekt ander domein vertegenwoordigen? Controleer jij consequent en minutieus het webadres binnen de adresbalk?

Als het antwoord op de bovenstaande vragen ‘nee’, ‘soms’ of ‘niet altijd’ is, dan loop je het reële risico dat jouw betaal- en spaarrekening op enig moment volledig worden leeg getrokken.

Phishing veel lastiger door met een mobiele bankapp te betalen

Er bestaat echter een adequate oplossing om phishing naar jouw bankgegevens een heel stuk lastiger te maken. Namelijk door consequent gebruik te maken van een mobiele bankapp op tablet of mobiel voor betalingen. Een mobiele bankapp verbindt altijd exclusief met jouw bank. Het is daardoor onmogelijk dat er zich tussen de mobiele bankapp en jouw bank een derde partij nestelt. Hetgeen de achilleshiel van elke webbrowser is.

Webbrowsers zijn namelijk ontworpen als omnipotente interface voor alle webpagina’s. Dit maakt dat er zich eenvoudig webpagina’s tussen de browser en de eigenlijke bron van informatie kunnen voegen. De meeste apps daarentegen zijn ‘dedicated’ en verbinden alleen met vooraf geprogrammeerde servers. Daarin kenmerkt zich over het algemeen de inherente veiligheid van een app boven een webbrowser. Voor mobiele bankapps geldt dit uiteraard per definitie.

Gebruik browsers alleen voor browsing….nooit om mee te betalen!

Als je tijdens het webwinkelen artikelen hebt uitgezocht vanaf het comfortabele scherm van jouw computer, dan hoef je deze artikelen slechts nog even op te zoeken via jouw mobiele browser om ze vervolgens af te rekenen via jouw mobiele bankapp. Als jij daarentegen via de computer al bent ingelogd op een webwinkel-account dan verschijnt jouw gevulde winkelwagen na simultaan en mobiel inloggen op dit account eveneens binnen jouw mobiele browser.

Indien de webwinkel als keuzemogelijkheid een QR-code op de computer genereert voor afhandeling van de betaling via een mobiele bankapp, dan is omschakelen naar jouw mobiele browser natuurlijk niet meer nodig. Let er daarbij wel goed op dat je binnen jouw mobiele bankapp slechts toestemming geeft voor de afhandeling van een mobiele betaling en niet voor toegang tot internetbankieren. Zie de paragraaf ‘Nota bene’ voor potentiële criminele sluiproutes met betrekking tot het gebruik van mobiele bankapps.

Een betaalverzoek alleen ontvangen op de computer? Even doormailen naar jouw mailaccount op tablet of mobiel. Het is echt zo simpel als het lijkt. Voorkom dat je jouw webbrowser gebruikt als eenvoudig te misleiden betaalmiddel. Mobiele bankapps zijn gewoon een stuk veiliger!

Nota bene

Neem bij het gebruik van mobiele bankapps overigens notie van de onderstaande sluiproutes die internetcriminelen inzetten om je alsnog te proberen te besodemieteren:

– betalingsomleidingen via de mobiele webbrowser zijn potentieel malafide

Opent een betaalverzoek op jouw tablet of mobiel na de ingegeven keuze voor jouw bank toch consequent binnen jouw mobiele webbrowser in plaats van binnen jouw mobiele bankapp, dan kan dat een indicatie zijn dat er iets niet in de haak is met het desbetreffende betaalverzoek. Misbruik van bankgegevens is namelijk alleen mogelijk binnen de webbrowser. Probeer het dan later nogmaals om er zeker van te zijn dat het niet de app van jouw bank is die tijdelijk offline is. Blijft het betaalverzoek na de keuze voor jouw bank steevast openen binnen jouw mobiele webbrowser ga er dan maar gevoegelijk vanuit dat dit betaalverzoek malafide is!

– QR-codes op malafide websites kunnen account voor internetbankieren kapen

QR-codes op malafide websites/webwinkels kunnen onder het mom van een mobiele betaling proberen toegang te krijgen tot jouw account voor internetbankieren. Met het accepteren van zo’n legitieme – maar voor een mobiele betaling ongeschikte – QR-code geef je de internetcrimineel vrijelijk toegang tot jouw account voor internetbankieren. Dit kan zonder dat jij überhaupt een valse bankwebsite onder ogen krijgt. Daarom moet je bij het gebruik van QR-codes altijd heel goed opletten waarvoor jij binnen jouw mobiele bankapp precies toestemming verleent: een mobiele betaling of internetbankieren! Dit betreft vooralsnog de enige phishing-methode die rechtstreeks mogelijk is via een mobiele bankapp.

– zorg er wel voor dat je geen valse bankapp installeert

Belangrijk is wel dat je de bonafide mobiele bankapp van jouw bank uit de Apple App Store of de Google Play Store installeert. Dit spreekt voor zich, maar gaat soms toch nog mis. Er worden namelijk regelmatig valse bankapps in de beide appstores aangetroffen. Naast de juiste ontwikkelaar van de app spreekt een hoog aantal downloads eveneens voor de authenticiteit van de bankapp. Vanwege het feit dat malafide bankapps meestal maar kort in de appstores blijven staan, is het aantal downloads doorgaans niet wat je er van mag verwachten. Honderden of duizenden downloads in plaats van de honderdduizenden tot ettelijke miljoenen voor de bonafide mobiele bankapps van de meeste Nederlandse banken.

Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.

[Fotocredits – concept w © Adobe Stock]

Art Huiskes
Art Huiskes

Art ziet zichzelf als onderzoeksjournalist en doorgrondt het liefst thema's die anderen volgens hem laten liggen. Verklarende en verdiepende artikelen vormen zijn stijl. Hij schuwt ingewikkelde materie daarbij niet.

Verder lezen over Browser

​Browser krijgt een paniekknop: heel handig voor stiekemerds

De browser Opera GX komt met een paniekknop. Geen knop om de hulpdiensten te bellen wanneer je met je hoofd op je toetsenbord valt of van je stoel glijdt, maar een knop om te zorgen dat niemand ziet wat je eigenlijk aan...

Online15.12.2023

​Browser krijgt een paniekknop: heel handig voor stiekemerds

Chrome verbetert je tikfouten nu alvast in de URL

Handig toch, dat Google in zijn zoekmachine altijd helpt door je een ander woord voor te stellen wanneer je een tikfout maakt? Dat scheelt je weer tekst verwijderen en opnieuw tikken en het is gewoon een stuk sneller. Ch...

Online18.10.2023

Chrome verbetert je tikfouten nu alvast in de URL

​10 tips en tricks voor Chrome

De Chrome-browser is erg handig om gewoon te internetten, maar er kunnen veel meer handige dingen mee. Met deze tien tips en tricks haal jij er alles uit wat erin zit. 1. Synchoniseer met je Google-account Heb je bepaal...

Online19.05.2023

​10 tips en tricks voor Chrome

Radiostations kun je ook prima online in de browser luisteren

We zijn inmiddels zo gewend alles te krijgen wanneer wij dat willen, dat je bijna zou denken dat radio niet meer bestaat. Tot je in de auto stapt, want dan is de kans groot dat je toch weer dat ene radiostation automatis...

Online22.11.2022

Radiostations kun je ook prima online in de browser luisteren

​8 handige extensies voor de Chrome-browser

Je gebruikt je Chrome-browser ongetwijfeld heel goed om naar handige websites te gaan, maar heb je wel eens bedacht dat je je browser zelf ook aanzienlijk handiger kunt maken? Voor menig probleem heeft de browser een opl...

Online30.09.2022

​8 handige extensies voor de Chrome-browser

Webversie van Snap: eindelijk een web Snapchat

Meer dan tien jaar nadat Snapchat als app werd gelanceerd, is er nu een webversie. Het betekent dat je nu een nieuw platform hebt om videoconferenties mee te doen op je laptop, maar het betekent vooral dat je lekker kunt...

Social Media18.07.2022

Webversie van Snap: eindelijk een web Snapchat

Microsoft stopt Internet Explorer support

Vanaf 15 juni gaat Microsoft stoppen met de support voor haar oude browser, Internet Explorer, op een aantal ‘recente’ versies van Windows 10. Het betreft alle Windows 10 versies vanaf de 20H2 update. Je zult dan dus...

Online14.06.2022

Microsoft stopt Internet Explorer support

Microsoft test gratis VPN-abonnement voor Edge-browser

Veel internetgebruikers benaderen het internet via de Chrome-browser of Safari: helemaal omdat die voorgeïnstalleerd zijn op een mobiele telefoon. Microsoft, dat zijn oorsprong vindt in alles PC, wil echter dat je zijn...

Online03.05.2022

Microsoft test gratis VPN-abonnement voor Edge-browser

Verder lezen over Hackers

5 signalen om datingfraude te herkennen

Ze verschijnen uit het niets en laten je sprakeloos achter. Plotseling ontmoet je de meest perfecte persoon die je je maar kunt voorstellen: lief, attent, charmant, en intelligent. Ze lijken altijd precies te weten wat te zeggen.

Cybercrime14.06.2024

5 signalen om datingfraude te herkennen

Bedrijfsprofielen en TikTok-beroemdheden worden online aangevallen

TikTok meldt nu dat hackers al meerdere accounts van grote merken en beroemdheden hebben aangevallen. Met succes.

Cybercrime05.06.2024

Bedrijfsprofielen en TikTok-beroemdheden worden online aangevallen

App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties

Cybercrime15.05.2024

App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties

En dat in slechts 4 jaar tijd
Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Fortinet heeft een nieuwe editie van het Global Threat Landscape Report uitgebracht. In deze nieuwe editie van dit halfjaarlijkse rapport zien we de trends uit de periode van juli tot en met december 2023.

Cybercrime08.05.2024

Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Zo blijkt uit nieuw Global Threat Landscape Report van Fortinet
Bescherm jij je online identiteit wel genoeg?

We kennen allemaal wel de verhalen van mensen wiens Instagram-foto’s worden gestolen om een catfish-account aan te maken, of mensen, bedrijven en merken bij wie hackers toegang hebben gekregen tot een van de social media accounts.

Cybercrime15.04.2024

Bescherm jij je online identiteit wel genoeg?

​Ransomware: wel of niet betalen als je bestanden gegijzeld zijn?

Vandaag werd bekend dat we in één jaar tijd in de wereld 1,1 miljard dollar hebben betaald aan ransomware. Losgeld, om de toegang terug te krijgen tot documenten, klantgegevens en meer. Waar er bij fysieke gijzelingen...

Cybercrime08.02.2024

​Ransomware: wel of niet betalen als je bestanden gegijzeld zijn?

Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro

Volgens de Fraudehelpdesk hebben in 2023 maar liefst 494 mensen aangifte gedaan van datingfraude, waarvan 264 mensen ook flink schade hebben geleden. De totale schade als gevolg van datingfraude in 2023 bedraagt €7.644...

Online29.01.2024

Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro

75% meer dan in 2022
​Zo wapen je je tegen ransomware

Het wordt een steeds groter probleem: ransomware. Het ene na het andere bedrijf krijgt te maken met ‘gekidnapte’ bestanden, die daarnaast ook nog vaak alsnog worden gelekt. Het gebeurde laatst nog bij de gamestudio a...

Cybercrime19.01.2024

​Zo wapen je je tegen ransomware

Verder lezen over Privacy

Dating-app Grindr aangeklaagd om delen HIV-status met anderen

Er zijn weinig gegevens gevoeliger dan informatie over je HIV-status of wanneer je voor het laatst bent getest. Grindr is daar echter niet zo voorzichtig mee omgegaan en wordt nu aangeklaagd.

Online24.04.2024

Dating-app Grindr aangeklaagd om delen HIV-status met anderen

Bescherm jij je online identiteit wel genoeg?

We kennen allemaal wel de verhalen van mensen wiens Instagram-foto’s worden gestolen om een catfish-account aan te maken, of mensen, bedrijven en merken bij wie hackers toegang hebben gekregen tot een van de social media accounts.

Cybercrime15.04.2024

Bescherm jij je online identiteit wel genoeg?

​Digitaal mijmeren: Zullen AI’s op het internet op enig moment ontwaken?

Schandalen als gevolg van ontsporende Artificial Intelligence (AI) zullen de aankomende jaren hoogstwaarschijnlijk een wereldwijd probleem gaan vormen. De uitrol en integratie van AI's binnen online toepassingen zullen n...

Online18.03.2024

​Digitaal mijmeren: Zullen AI’s op het internet op enig moment ontwaken?

Mogelijk ontwikkelen AI's een vorm van gedecentraliseerd interactiviteitsbewustzijn
Je ​AI-geliefde is onbetrouwbaar: onveilig en uit op geld

Met Valentijnsdag achter de rug kunnen we het veilig en wel bespreken: AI-chatbots die bedoeld zijn als een soort digitale geliefde zijn onbetrouwbaar. Volgens nieuw onderzoek van de Mozilla Foundation blijken AI-chatbot...

Online15.02.2024

Je ​AI-geliefde is onbetrouwbaar: onveilig en uit op geld

Doe het veilig
Consumenten bezuinigen op kosten, maar helaas ook op privacy en security

In heel Nederland, maar ook in de rest van Europa, zorgen de toenemende kosten van levensonderhoud en de inflatie voor sombere economische vooruitzichten voor het komende jaar. Met als logisch gevolg dat we wat meer gaan...

Cybercrime05.02.2024

Consumenten bezuinigen op kosten, maar helaas ook op privacy en security

​Erotische datingsites: oplichting als premium verdienmodel

Om maar direct met de deur in huis te vallen: erotische datingsites bieden zelden of nooit wat ze beloven. Het betreffen zonder uitzondering verdienmodellen gebaseerd op misleiding van het mannelijk libido. In alle geval...

Online23.01.2024

​Erotische datingsites: oplichting als premium verdienmodel

Waarom grijpt de Autoriteit Consument & Markt niet in?
Dilan Yesilgoz grootste privacyschender van 2023

Elk jaar kiest het Nederlandse publiek weer een persoon of (overheids)organisatie die volgens ons in dat jaar de grootste inbreuk gepleegd hebben op onze online communicatievrijheid en privacy. Gekozen kan worden uit een...

Nieuws15.01.2024

Dilan Yesilgoz grootste privacyschender van 2023

Demissionair minister krijgt de Big Brother Award; X en Meta ontvangen expertprijs
​3 voorspellingen voor de beste privacy-first advertenties in 2024

Na alle technologische ontwikkelingen in 2023 zijn de uitdagingen voor adverteerders dit jaar groot. De centrale vraag: hoe kun je gepersonaliseerde advertenties maken, zonder daarbij third-party cookies te gebruiken en...

Advertising10.01.2024

​3 voorspellingen voor de beste privacy-first advertenties in 2024

Verder lezen over Security

Pas op: nieuwe bug laat je als Microsoft-medewerker e-mails sturen

Microsoft reageert er verder niet op, maar een security-expert bewijst dat het hem is gelukt om mails te sturen vanuit @microsoft.com. Dat kan grote gevolgen hebben voor phishingmails.

Cybercrime19.06.2024

Pas op: nieuwe bug laat je als Microsoft-medewerker e-mails sturen

BIMI: zo weet je straks dat het echt de politie is die je mailt

BIMI: het is niet alleen aspergebroccoli, het is ook een manier voor jou om te zien dat het echt de politie is die je mailt.

Online12.06.2024

BIMI: zo weet je straks dat het echt de politie is die je mailt

Bedrijfsprofielen en TikTok-beroemdheden worden online aangevallen

TikTok meldt nu dat hackers al meerdere accounts van grote merken en beroemdheden hebben aangevallen. Met succes.

Cybercrime05.06.2024

Bedrijfsprofielen en TikTok-beroemdheden worden online aangevallen

Mogelijk hack bij Ticketmaster: honderden miljoenen gegevens buitgemaakt

Ticketmaster heeft als grootste ticketbedrijf enorm veel invloed, maar ook enorm veel klantgegevens. En die schijnen nu op straat te liggen.

Cybercrime30.05.2024

Mogelijk hack bij Ticketmaster: honderden miljoenen gegevens buitgemaakt

Pas op voor nieuwe ransomware die Windows BitLocker misbruikt

Er verschijnt dagelijks ransomware. ShrinkLocker is de nieuwe 'ster', het maakt misbruik van een belangrijk onderdeel van Windows: BitLocker.

Cybercrime29.05.2024

Pas op voor nieuwe ransomware die Windows BitLocker misbruikt

5 tips om online veilig te zijn

Heb jij wel eens een bericht ontvangen, met een eis om nu te betalen of je foto’s zullen online worden gezet? Of je krijgt een telefoontje en je hoort een tape van een of andere officiële instelling zoals Interpol, met de mededeling dat jouw identiteit is betrokken bij een fraudezaak en met de te nemen stappen.

Online20.05.2024

5 tips om online veilig te zijn

Dell maakt melding van een mogelijk datalek

Dell heeft een beveiligingsincident gehad. Het is nog wat onduidelijk wat er nu precies is buitgemaakt en waarom.

Cybercrime10.05.2024

Dell maakt melding van een mogelijk datalek

Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Fortinet heeft een nieuwe editie van het Global Threat Landscape Report uitgebracht. In deze nieuwe editie van dit halfjaarlijkse rapport zien we de trends uit de periode van juli tot en met december 2023.

Cybercrime08.05.2024

Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Zo blijkt uit nieuw Global Threat Landscape Report van Fortinet