Nieuws

Trojaans paard plundert rekening tijdens online bankieren

dinsdag 14 maart 2006, 15:10 door Redactie, 9 reacties

Financiele instellingen hebben vorig jaar met meer aanvallen door Trojaanse paarden te maken gehad dan enige andere bedrijfstak. Zo'n 40% van de Trojan aanvallen en 30% van de "hacker scans" waren gericht op banken en andere financiele instellingen, zo blijkt uit onderzoek van Counterpane en MessageLabs.

Het zijn echter de gebruikers van deze instellingen die op moeten passen. Computercriminelen gebruiken namelijk een nieuw soort Trojaans paard dat niet de logingegevens van de gebruiker probeert te stelen, maar direct de bankrekening plundert. "De nieuwe Trojaanse programma's proberen niet het wachtwoord te ontfutselen, maar ze wachten tot een slachtoffer z'n normale bankzaken doet. Controleert het slachtoffer z'n rekening, dan sluist de Trojan stilletjes het geld door naar een andere rekening"

Anti-virusaanbieder Sophos maakt zich nog geen grote zorgen, aangezien zo'n Trojaans paard pas één keer gezien is, namelijk in oktober 2004, en zijn er ook geen aanwijzingen dat aanvallers van dit soort programma's gebruik maken.

Microsoft dicht lekken in Windows en Office

Chinese hackers stelen miljoen accounts online spel

Reacties (9)

14-03-2006, 16:53 door G-Force

Ik ben toch eens benieuwd of dit Paard wel zo effectief is. Voordat bij online
bankieren (althans bij de SNS-bank) kan worden verzonden, kan de
verzendopdracht vóóraf worden bekeken. Is het bedrag van overmaken
juist, dan kun je een nieuwe code laten genereren met de DigiPas. Pas
daarna wordt er verzonden. Is het niet juist (omdat er een verkeerd bedrag
op staat) dan verzend je het natuurlijk niet. Hoe dit Paard dan (ongemerkt)
je rekening kan plunderen zou ik wel eens willen weten...

14-03-2006, 18:02 door SirDice

Niet elke bank gebruikt een dergelijke vorm van
authenticatie. Geloof het of niet maar bij sommige banken is
een wachtwoordje voldoende.. Of er dan 10 of 11 transacties
gedaan worden maakt niet uit.. Dit soort Trojaanse paarden
zijn dan ook gericht op specifieke (online) banken.

14-03-2006, 19:22 door the virusman

Weet je wat, we doen de honeypot weg en zetten een bak haver klaar,
wedden dat dat trojaans paard daar intrapt.

14-03-2006, 20:07 door Anoniem

Niet zo moeilijk. Het paard kan dienen als vervalst
doorgeefluik. Het vangt de opdrachten voor de banksite op,
manipuleerd de overzichten en voor je het weet geef je
goedkeuring aan opdrachten die je nooit gezien hebt.

14-03-2006, 20:07 door Anoniem

Door Peter V.
Ik ben toch eens benieuwd of dit Paard wel zo effectief is.
Voordat bij online
bankieren (althans bij de SNS-bank) kan worden verzonden,
kan de
verzendopdracht vóóraf worden bekeken. Is het bedrag van
overmaken
juist, dan kun je een nieuwe code laten genereren met de
DigiPas. Pas
daarna wordt er verzonden. Is het niet juist (omdat er een
verkeerd bedrag
op staat) dan verzend je het natuurlijk niet. Hoe dit Paard
dan (ongemerkt)
je rekening kan plunderen zou ik wel eens willen
weten...

Zo:
je digipas is niet gekoppeld aan het
venster-met-het-juiste-eindbedrag, right? (ik ken het niet).
Het slechte paard kan die gegevens veranderen, net voordat
het verzonden wordt. (tussen dat jij op OK klikt en het
daadwerkelijk opweg naar de bank is).
Die digipas authenticeert, jouw en niet het
bericht.
Anders is het als er onder aan het bericht een code staat:
een digitale handtekening die jouw bericht
authenticeert en die je vervolgens gebruikt met de
digipas. Dan wordt het lastig.

Men gaat er kennelijk vanuit dat de computer van de
gebruiker trusted is (voor de gebruiker), maar dat is
dus niet zo. Endpoint-security wordt daarom steeds
belangrijker.
S.F.

14-03-2006, 23:47 door Anoniem

Een e-identifier, Digipas, TAN-codes of welke gebruikte
methode ook zal je niet beschermen tegen een lokale 'man in
the middle attack'. Het probleem is dat niet de data zelf
maar de transactie in zijn geheel wordt geautenticeerd. Het
beste systeem beveiligingstechnisch gezien wordt door de
Postbank gebruikt waarbij het totale bedrag wordt vermeld in
een SMS bericht. Het zou beter zijn als ze ook nog de
rekening nummers zouden vermelden. Nu is het in principe nog
mogelijk dat je hetzelde bedrag overmaakt op een andere
rekening.

Martijn Brinkers

15-03-2006, 08:25 door Anoniem

Door Peter V.
Ik ben toch eens benieuwd of dit Paard wel zo effectief is. Voordat bij online
bankieren (althans bij de SNS-bank) kan worden verzonden, kan de
verzendopdracht vóóraf worden bekeken. Is het bedrag van overmaken
juist, dan kun je een nieuwe code laten genereren met de DigiPas. Pas
daarna wordt er verzonden. Is het niet juist (omdat er een verkeerd bedrag
op staat) dan verzend je het natuurlijk niet. Hoe dit Paard dan (ongemerkt)
je rekening kan plunderen zou ik wel eens willen weten...

Een trojaans paard kan natuurlijk ook de webpagina aanpassen van de
bank die je te zien krijgt. Dus trojaans paard doet een extra overboeking en
zorgt er voor dat je alleen je eigen overboeking te zien krijgt met als
challenge degene die de bank heeft doorgestuurd (voor het totaalbedrag).
Je typt deze challenge in op je digipass en de response van de digipass
geef je door aan de bank via de browser. Transactie klaar en via het
trojaanse paard is er geld overgeboekt zonder dat je het hebt gemerkt.

15-03-2006, 08:44 door Anoniem

Voorlopig blijf ik m'n bankzaken gewoon via papier doen ....
de kans dat daar iets gebeurt is volgens mij 1000x kleiner
als dat er iets op internet gebeurd.

Wie is er eigenlijk verantwoordelijk als er door zwakke
secueity op zo'n site geld van je rekening verdwijnt ? Ik
gok dat je daar als consument voor op mag draaien .... als
er nou eens bepaald word dat de banken daar verantwoordelijk
voor zijn, worden ze misschien wat bewuster van het secure
maken van hun diensten ...

15-03-2006, 09:28 door Anoniem

Het is vrij gemakkelijk om met een hex-editor in het
geheugen van een draaiende applicatie te kijken. Ook zijn
dan de data aan te passen. Stiekem het rekeningnummer onder
water wijzigen maar toch het door de gebruiker ingetiepte
nummer laten zien is dan ook 'gewoon' te doen. Pas wanneer
webbrowsers hun geheugentoegang kunnen monitoren (of een 3th
party app. dit kan) is de gebruiker hiervan in te lichten.

Je kan dit zelf controren met Process Explorer van
SysInternals. Log in bij je bank en kijk in het geheugen van
de browser. Zoek vervolgens op je rekeningnummer of
ingevoerde randomreader code.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer