Twee factor authenticatie niet veilig voor phishers
Al jaren roepen security experts dat banksites, en dan met name in het buitenland, geen gebruikersnaam en wachtwoord moeten gebruiken, maar op twee factor authenticatie moeten overstappen. Dit voorkomt dat gebruikers het slachtoffer van phishers worden, althans, zolang de criminelen dit ook niet vervalsen.
Er is een nieuwe phishing aanval ontdekt die zich richt op de Citibusiness klanten van de Amerikaanse Citibank. Om toegang tot hun online rekening te krijgen moeten deze klanten naast een gebruikersnaam en wachtwoord ook een speciale code invoeren. De code is afkomstig van een "calculator" die de klant heeft, en elke minuut een nieuwe code genereert.
In de phishing mail worden de klanten gewaarschuwd dat iemand heeft geprobeerd in te loggen op hun bankrekening, en dat ze nu hun gegevens moeten controleren. De phishing website is identiek aan de originele en vraagt net als de echt banksite om logingegevens en de speciale code.
Die gegevens worden dan direct door de phishing website op de echte banksite geprobeerd. Geeft men een verkeerde code, dan geeft de phishing site dit door aan de gebruiker, waardoor het lijkt alsof hij op de echte site zit. Het is voor het eerst dat een "man in the middle" aanpak op deze manier door phishers wordt gebruikt. (SecurityFix)
alleen wachten op iemand met teveel vrije tijd om dit werkelijk in te gaan
zetten.
bij de abn moet je voor elke transactie de code invoeren.
dan zijn ze dus wel ingelogd maar ze kunnen niets
overmaken,maar misschien is dit bij andere banken anders.
gegevens ziet -> de phising tool scrambelt dat om een groot bedrag naar
een verre rekening te zetten -> bank accepteert dat en geeft een code
hiervoor -> de code stuurt de phistingtool terug -> klant voert dat in en
voila..
zo kan een transactie van een euro, een flop worden van duizenden keren
meer?
en wat kunnen ze dan met die rekening?
bij de abn moet je voor elke transactie de code invoeren.
dan zijn ze dus wel ingelogd maar ze kunnen niets
overmaken,maar misschien is dit bij andere banken anders.
Dan nog zou die persoon (met teveel tijd) op het moment dat hij opnieuw
een code heeft een fake mail kunnen sturen. Gaat ver, maar theoretisch en
op security presentaties prima uitvoerbaar.
gebruiker een extra code te zien op het scherm van zijn pc en op het
display van zijn token. Als die beide gelijk zijn dan weet men dat men direct
met de server praat zonder "man in the middle".
sijn ,om liefe klanden te waarshuwen tad er ieamd heb
probeed in te loggen in you bank gegevens.
een financiele organisatie. Altijd opnieuw zelf een email sturen naar het
email adres van de bank, zelfs al zou het een betrouwbare waarschuwing
of vraag lijken. Kijk, als iemand een website kan "hacken" dan houdt
natuurlijk alles op, maar dan ben je er ook niet rechtstreeks bij betrokken.
Ook geregeld kijken naar spyware die theoretisch alle toets aanslagen zou
kunnen registreren, hoewel dat bij de zg. "twee-factor" niet zou moeten
spelen. Ik ga nu een borrel drinken op de goede afloop.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
