image

"Online bankieren bij Engelse banken niet veilig"

maandag 23 oktober 2006, 16:20 door Redactie, 5 reacties

Uit onderzoek van Heise Security blijkt dat ondanks beloftes, het niet veilig is om online te bankieren bij Engelse banken. Vier van de zeven onderzochte banken die gewaarschuwd waren dat ze met ernstige beveiligingsproblemen hadden te maken, hebben die een maand na de waarschuwing nog steeds niet verholpen.

Het gaat om Cahoot, de Bank of Scotland en First Direct. National Westminster maakte wel een aantal aanpassingen, maar is nog steeds kwetsbaar voor "frame spoofing scams". Frame spoofing is een populaire phishing technologie. Via een e-mail die van de bank afkomstig lijkt worden geadresseerden naar de echte banksite doorgestuurd. De doorgestuurde banksite bevat een lek waardoor een aanvaller via een pagina vertrouwelijke gegevens kan achterhalen.

"The Link" en de Bank of Ireland hebben hun sites wel aangepast. Zo heeft de Bank of Ireland een script geplaatst dat gespoofte frames herkent en gebruikers doorstuurt naar een pagina met een foutmelding. The Link gebruikt helemaal geen frames meer. Het volledige rapport is op deze pagina te vinden.

Reacties (5)
23-10-2006, 16:57 door G-Force
Mijn eigen bank heeft onlangs voor de homepage
HTTPS-protocol in gebruik genomen. Zo kan altijd worden
gecontroleerd of je inderdaad "met je bank praat" en niet -
zoals vaak gebeurt - dat je de homepage bezoekt met het
onbeveiligde HTTP-protocol (waar phishers ook misbruik van
maken).

Maar als ik het verhaal van de bovenstaande Engelse
banken mag geloven, is er nog veel meer te doen op het gebied van
de security....
23-10-2006, 17:14 door Anoniem
Hmm wat heeft . "De doorgestuurde banksite bevat een lek waardoor een
aanvaller via een pagina vertrouwelijke gegevens kan achterhalen" te
maken met online bankieren?

Bedoel zijn er echt mensen die online gaan bankieren via een email applicatie?
24-10-2006, 08:23 door Anoniem
Door Peter V.
Mijn eigen bank heeft onlangs voor de homepage
HTTPS-protocol in gebruik genomen. Zo kan altijd worden
gecontroleerd of je inderdaad "met je bank praat" en niet -
zoals vaak gebeurt - dat je de homepage bezoekt met het
onbeveiligde HTTP-protocol (waar phishers ook misbruik van
maken).

Maar als ik het verhaal van de bovenstaande Engelse
banken mag geloven, is er nog veel meer te doen op het gebied van
de security....
Nonsens Peter... pishing is met een SSL-verbinding ook mogelijk. Vooral
in combinatie met XSS...
24-10-2006, 10:41 door Anoniem
Wat ik niet begrijp van de redactie is hoe ze de link kunnne leggen van email
bedrog na online bankieren.Want als ik aan online bankieren denk denk ik
aan websites en kaart lezertjes waar je pincodes en getallen moet
invoeren voor transacties zoals we die kennen in nl.En als ik de text
probeer te begrijpen van :

Via een e-mail die van de bank afkomstig lijkt worden
geadresseerden naar de echte banksite doorgestuurd. De doorgestuurde
banksite bevat een lek waardoor een aanvaller via een pagina
vertrouwelijke gegevens kan achterhalen.

Dan gaat het ook niet over online bankieren maar is de hack gericht op het
aanvragen persoonlijke gegevens waar bij de persoon via een email denkt
dat het van de bank is maar iets activeerd en een aanvraag doet bij de
bank om die data door te sturen na de hacker zelf waar de lek van die site
zit.Of zie ik dit nou verkeerd ??
24-10-2006, 16:15 door dman
het is dus een frame-verhaal en heeft niks met ssl te maken.. Je ziet onderin dat je geconnect bent via ssl, maar een gedeelte van de site staat in verbinding met een andere locatie.
leuk dat Microsoft al in 1998 hiervoor waarschuwde.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.