Het is ook altijd wat met die Postbank... dit is al de
zoveelste keer dat daar ellende is met het online bankieren!

Van de andere banken hoor ik weinig dat er problemen zijn
met hun online accounting, heeft de Postbank dan zo'n
slechte IT-afdeling die dat in elkaar heeft gezet???

Ze zijn tijdig gewaarschuwd en willen letterlijk niet weten hoe het
eenvoudig te vermijden zou zijn.

Waarom werken ze nog steeds met TAN codes? Die ramdon reader van
de rabo lijkt me veiliger.

We hebbeb tegenwoordig te maken met diverse criminele organisaties welke gerichte aanvallen (targeted attacks) gebruiken om tot hun doel te komen. Om je hier goed tegen te bewapenen zul je moeten gaan kijken naar pro-actieve oplossingen zoals HIPS en on-demand scanners om eventueel niet gedectecteerde malware te localiseren en vervolgens te neutraliseren. Concluderend kun je zeggen dat er dan maar weinig antimalware fabrikanten overblijven, maar de gebruiker kiest vaak liever voor gebruikersgemak en prijs in plaats van effectiviteit. Daarnaast zijn 'IT-Professionals' huiverig voor nieuwe technieken waardoor we uiteindelijk de e-criminelen alle ruimte geven om hier mee door te gaan.

Waar komt die angst vandaan, en wat is er nodig om die te overwinnen?

Van de gebruikers mag je toch ook wel enige onderscheidingsvermogen
verwachten. Het "nederlands" boven in het schermpje slaat nergens op.
Duidelijk vertaald met een vertaalprogramma. Wie trapt hier nou in?

De Tan codes bij de Postbank werken ook random. Je krijgt er 100, maar
ze worden in willekeurige volgorde gevraagd.

Ik wordt wel moe van dat hele gedoe met de Postbank, dit probleem is niet
uniek, het geldt voor meerdere banken, maar alle problemen bij elkaar ......

Door Jan-Hein op vrijdag 21 september 2007 11:58

quote:
--------------------------------------------------------------------------------
Door Mr-Malware
Daarnaast zijn 'IT-Professionals' huiverig voor nieuwe technieken
waardoor we uiteindelijk de e-criminelen alle ruimte geven om hier mee
door te gaan.
--------------------------------------------------------------------------------


Waar komt die angst vandaan, en wat is er nodig om die te overwinnen?


We hebben het hier over faal-angst. Systeembeheerders en resellers van antimalware software hebben onvoldoende kennis van de malwaremarkt, maar willen dit niet toegeven. Dat is raar want een inbraakbeveiliging besteed je wel uit en doe je ook niet zelf.

Resellers en systeembeheerders zullen dus behoorlijk bijgespijkerd moeten worden om hier goed en behoorlijk op te kunnen anticiperen en Endusers zoals de postbank zou meerdere antimalware fabrikanten moeten benaderen om zich te laten informeren, want de gekozen oplossing is weer een klassiek voorbeeld van achter de feiten aanlopen....

Postbank mag dan de nodige problemen hebben met zijn
systemen, ik vind niet dat dit iets is dat de Postbank te
verwijten valt.

Zelf ben ik een tevreden gebruiker van mijnpostbank.nl en
krijg ik per transactie een SMS met daarin een TAN-code.
Lijkt me redelijk waterdicht!

Mr-Malware houdt er een vreemde manier van reageren op na.

Voor zover bekend heeft geen enkele bank heeft een waterdicht systeem.
Random tan codes of een code generator, dat maakt niets uit als een
transactie in real time wordt uitgevoerd via de man-in-the-middle methode.

Het grote pluspunt op dit moment voor Nederlandse banken is dat de
aanvallers uit het buitenland komen en geen toegang hebben tot een
werkend account. Ze kunnen het systeem dus niet makkelijk nabouwen.

Wat banken nu zouden kunnen doen is het controleren van het IP nummer
dat de aanvraag doet, en dat controleren tegen de diverse blacklists.
Daarmee vang je twee vliegen in 1 klap. Ten eerste kan de aanvaller geen
bot gebruiken en ten tweede kan een besmet systeem zo niet inloggen.
Besmette systemen zijn immers risicovol.

Wat banken in de toekomst ook zouden kunnen doen is het betrekken van
de details van de transactie in een herkenbare challenge response.
Bijvoorbeeld: de transactie van de aanvaller gaat over het overmaken van
1.000 euro naar een bepaalde rekening. De gebruiker is hier niet van op
de hoogte, hij denkt bijvoorbeeld dat hij rekeninggegevens opvraagt.

Laat de transactie verschijnen op de code calculator van de gebruiker (na
intypen van een niet herleidbare code) en de gebruiker is gewaarschuwd.

Cruciaal is dat dit buiten de computer om gebeurt. De aanvaller kan via
Internet niets doen om het te voorkomen dat de gebruiker de werkelijke
transactie kan zien.

Andere authorisatie systemen zoals biometrie, passen met chips zijn niet
bestand tegen man-in-the-middle aanvallen.

De trojan onderschept niet alleen Postbank-gegevens maar ook
van andere internetdiensten. Dit ding werkt buiten de
Postbank om zogezegd, dus ik snap niet dat iedereen weer op
de Postbank loopt af te geven.
De Postbak waarschuwt de mensen in elk geval!
Dat mensen zo' trojan op hun pc krijgen, ligt niet aan de
Postbank maar aan andere dingen waarover hier vaak
gediscussieerd wordt.

Dit is niet de eerste keer dat er dit soort malware is,
misschien wel de eerste keer dat het gericht is op een
nederlandse bank maar dat weet ik niet zeker. In ieder geval
was dat voor mij reden om (nog) niet aan internetbankieren
te beginnen.

de titel van dit bericht is dat eigenlijk ook niet terecht. het betreft meerdere
bedrijven.. tis eerder postbank die helpt met oplossen, zo lijkt het.

Ik vind ook dat de Postbank in dit geval slecht geluisterd heeft, maar ik
denk niet dat hier de vergelijking met een retail georienteerd
distributiekanaal opgaat.
Ik vermoed hier eerder het effect van gevaarlijke geslotenheid; je argument
van faalangst is dan overigens wel interessant.

Daar heb ik begrip voor, maar wat is de angst bij IT professionals?

De angst is het niet uit handen durven te geven van een gedeelte van de
verantwoordelijkheid.

In mijn ogen zou in dit geval een goede oplossing er alsvolgt uit zien;

- Op client niveau dient antimalware software beheerd te worden door een
ISP om te voorkomen dat gebruikers geen up-to-date scanner hebben. Als
ze alsnog besmet worden moet de betreffende PC in een afgeschermd
netwerk worden geplaatst totdat deze weer is opgeschoond. Een mooi
voorbeeld hiervan is Quarantainenet.
- Nog voordat een client kan inloggen op een site van bijvoorbeeld een
bank, dient deze middels een snelle scan gecontroleerd te worden op het
al dan niet aanwezig zijn van actieve malware. Dit betekend wel dat het
inlogproces vertraagd wordt.

In dit specieke geval kan de bank niet verantwoordelijk worden gehouden
en zijn ze slechts slachtoffer. Het is echter wel zo dat deze malware veelal
verspreid wordt via een botnet netwerk en hier kan de IT-Professional veel
meer doen, waaronder in mijn ogen dus een gedeelte van de beveiliging
overlaten aan specialisten die, in samenwerking met de
systeembeheerder, het volledige beveiligingsprocess bewaken. Als we er voor zorgen dat iedere PC, zowel particulier als binnen een bedrijfsnetwerk, periodiek gescand wordt op malware is de kans dat een botnet in stand blijft een stuk kleiner en wordt het verspreiden dus beperkt.
Zie het als het inhuren van een particulier beveiligingsbedrijf maar dan
voor malware.

(zelfde anoniem weer)
Het kennen van de gevaren kan ook zo zijn nadelen hebben
denk ik :-)
Voorbeeldje: Je hebt nooit controle over de server kant van
het verhaal, dus je moet de bank op zijn mooie blauwe ogen
geloven dat ze het wel goed voor elkaar hebben. Nee, dank
je, ik blijf wel papier gebruiken.

Dat is overigens niet helemaal juist in het geval van de Postbank aanpak.
De grap is dat de postbank in het smsje met de TAN code ook gegevens
over de transactie meegeeft, b.v. het totaal bedrag van de overboeking
wordt meegegeven. En afhankelijk van de grootte van de transactie zelfs
nog meer relevante informatie. Als jij daarom als man in the middel
ertussen zit, kun je in ieder geval NIET de grootte van het bedrag
veranderen en als het bedrag wel groot is, soms ook niet de bestemming
van dat bedrag.
De gebruiker ziet namelijk heee, ik maak geen tientje over maar
tienduizend .... EN naar een gek nummer.... hoe kan dat ... en zal zijn
TANcode niet meer invoeren en de transactie afbreken.
Gevolg: je bereikt dan niets...
Nee.. het Postbank systeem is in al zijn simpelheid zelfs best slim te
noemen, beter dan het "kastjes" systeem, dat wel gevoelig is voor man in
de middel aanvallen.

Het enige zwakke in het Postbank systeem dat nog overblijft is dan een
slapende gebruiker, die slaafs zijn TAN invult zonder op te letten. Maar dat
is geen fout van de Postbank.

Het gaat hier om aanvallen per computer, niet per mobiel. De TAN codes
worden verstrekt op papier.

Het gaat ook niet noodzakelijk om fouten, maar om misbruikgevoeligheid.
Alle transacties via Internet zijn in principe gevoelig voor man in the middle
aanvallen. Die van de Postbank vooral omdat men met TAN codes werkt.
Een aantal jaar terug waren die zelfs nog sequentieel.

Ik zie niet wat een man in the middle aanval met transacties via GSM te
maken heeft. Je kunt niets onderscheppen tenzij je op telefoonnetwerken
weet te komen of met uitgebreide fysieke maatregelen aan de slag gaat.

Wat technisch wel uitvoerbaar is, is het versturen van SMSjes met vervalste
afzender. Niet bijzonder zinvol voor Postbank phishing.

Eigenaardig dat de meeste fouten voorkomen onder posbankklanten met
windows.
Nooit klachten gehad onder Mac-users. Hoe kan dat toch ,ik snap t niet?

Ik lees dit laat.
Misschien zijn er wel te weinig mac users (gebruikers) die dan ook nog
eens procentueel te weinig met postbank zaken doen.

Zelf vind ik deze opmerking hier niet huis horen.

Alles goed en wel: ik ben systeembeheerder en heb inmiddels op
verschillende systemen het verdoemde scherm gezien. De fix van Kaspersky
levert echter geen resultaat op: Internet Explorer BLIJFT de gewraakte pagina
tonen. Het probleem blijft dus! Iemand meer met deze ervaring?

Hallo, daan ben ik weer, de systeembeheerder van het bericht hier direct
boven. Ik ben inmiddels verder en weet hoe de vork in de steel zit. Het tooltje
van Kaspersky betreft een rootkit virus. Het is een modificatie van de
bootsector die vóór sector 64 een stukje code schrijft. Met deze code wordt de
tabel mety kernel functies herschreven teneinde in de lijst met lopende
services minimaal 1 service te verbergen. Zodoende wordt er door
virusscanners alleen maar gemeld dat de machine schoon is en kom je toch
de postbanksite niet binnen!

Voor meer informatie: [email]obreukers@hotmail.com[/email]