Twee-factor authenticatie kan internetbankieren niet redden
En dan begint de ellende pas. Zodra de malware ziet dat het slachtoffer een bepaalde banksite bezoekt, wordt er contact met de Command 'n Control server gemaakt. De communicatie verloopt via een versleuteld kanaal, waardoor het voor onderzoekers lastig is te zien welke instructies het besmette systeem krijgt. Een veel gebruikte tactiek is HTML-injectie, waarbij er op de legitieme pagina een pop-up of ander venster verschijnt die bij de betreffende pagina lijkt te horen, maar in werkelijkheid alleen op de login en andere vertrouwelijke gegevens uit is. Postbank klanten kregen eind september met deze aanval te maken.
De nieuwe generatie gaat een stuk verder dan simpele HTML injectie, en Schouwenberg is dan ook onplezierig verrast dat de malware al zo ver is. "Ik had gehoopt dat we dit pas volgend jaar zouden zien", zo laat hij ons weten. Vergeet phishing websites op dubieuze servers en eenvoudige popups, de banking Trojans van de toekomst zijn voornamelijk lokaal actief. Door Windows systeembestanden zoals wininet.dll aan te passen en verkeer te sniffen, controleert de aanvaller wat erop het systeem gebeurt. De malware brengt eerst de werking van een bepaalde banksite in kaart, en maakt daarna aanpassingen die voor het oog van de gebruiker onzichtbaar zijn. Denk aan extra overschrijvingen die worden meegestuurd, of het aanpassen van rekeningnummers. De gebruiker heeft niets door, want hij heeft het SSL certificaat gecontroleerd, en ziet ook geen extra transacties in het overzicht staan.
Misleiding is een must
Sinowal zit zo "briljant" in elkaar dat het zich, succesvol of niet, na verloop van tijd weer verwijdert om detectie te voorkomen. Ook kan de malware zichzelf updaten om virusscanners te blijven misleiden. En daar blijft het misleiden van onderzoekers niet bij. Het Trojaanse paard gebruikt namelijk een speciaal algoritme, dat aan de hand van de datum, bepaalt met welke server contact moet worden opgenomen. Eugene Kaspersy vertelde ooit dat als er van een malware exemplaar minder dan 1000 stuks worden verspreid, geen enkele virusbestrijder de malware ooit zal opmerken. Schouwenberg laat weten dat de uitspraak van zijn baas misschien wat ver gaan, maar het geeft wel aan dat anti-virusleveranciers niet onfeilbaar zijn, en dat een crimineel met een paar honderd Trojaanse paarden zeer gericht en bijna onopgemerkt te werk kan gaan.
Donkere wolken uit het Oosten
Volgens Schouwenberg is het bestrijden van dit soort malware een uitdaging, zeker als er DLL bestanden gepatcht worden. Een belangrijke verdediging blijft het patchen van alle applicaties op het systeem en voorzichtig met het openen van bestanden te zijn. En de toekomst ziet er niet rooskleurig uit. De onderzoeker ziet aanwijzingen dat Chinese criminelen, die het nu nog op de accounts van online spellen zoals World of WarCraft en Lineage hebben voorzien, langzaam naar online bankieren opschuiven. Als je weet dat 70% van alle malware uit China afkomstig is, kan het niet zo zijn dat alleen gebruikers actie moeten ondernemen. Voor een deel van de problematiek ziet Schouwenberg een oplossing in een betere implementatie van de twee-factor authenticatie. Zoals het versturen van een extra challenge gebaseerd op het rekeningnummer waarnaar je het geld wilt overmaken. Gebruikers moeten dan wel voor elke transactie een aparte code invoeren, maar dat voorkomt dat er ongezien extra overboekingen worden meegestuurd.
Ook Swa Frantzen van Section66 ziet de dreiging van de nieuwe Banking Trojans. "Als de gebruiker met een Trojan besmet is kunnen de criminelen eigenlijk doen wat ze willen, de gebruiker heeft geen schijn van kans om nog de echte website van zijn bank te onderscheiden van een aanval." Het enige dat de gebruiker nog kan redden is een degelijke verificatie en gebruik van een digitale handtekening.
Gebruiksgemak moet inboeten
Frantzen voorspelt dat als de wapenwedloop verder gaat, dit met veel werk voor de gebruikers eindigt, tenzij de banken het echte verlies kunnen beperken en de slachtoffers blijven vergoeden. "Het ultieme van een digitale handtekening is dat de gebruiker zijn transactie moet tekenen met een digitale handtekening en daarbij het rekeningnummer van de overschrijving en het bedrag zal moeten overtikken op een off-line token, waarbij hem gevraagd zal worden beide te verifiëren. Overschrijvingen verzamelen in een soort van overzicht, en dat "tekenen" door enkel een getalletje als challenge is vandaag reeds niet meer genoeg om tegen de aanvallen te beschermen. Wat er in de omslag zit kan je namelijk enkel verifiëren op je scherm en als de Tojan zijn werk doet zie je daar de extra toegevoegde transacties niet staan."
De beveiligingsonderzoeker beseft dat hij een doembeeld lijkt te schetsen. "Misschien is dat zo. Maar in het licht van de recente incidenten lijkt het nuttig dat banken kijken naar een hoger niveau van beveiliging, waarbij strong authenticatie (2-factor), digitale handtekeningen, externe tokens en SSL niet meer als het volledige antwoord op de hedendaagse malware worden gezien." Voor echt goede beveiliging van internetbankieren zal de gebruiksvriendelijkheid verdwijnen, en dat zou kunnen leiden tot een oplossing waar je binnen limieten soepeler kan werken, en naarmate het
bedrag toeneemt, je almaar meer werk moet verrichten om een transactie uit te laten voeren.
3x authenticeren
Feit blijft dat internetbankieren één van de speerpunten van de hedendaagse malware is, en nu ook buitenlandse banken voor twee-factor authenticatie kiezen, de aanvallen op Nederlandse banken alleen maar zullen toenemen. Het is dus aan de banken om met een passend antwoord te komen, en op andere landen voorop te blijven lopen. Vorige week liet Gijs Boudewijn van de Nederlandse Vereniging van Banken nog weten dat er al aan drie-factor authenticatie wordt gewerkt, maar kon nog niet zeggen wanneer we dit kunnen verwachten. Tot die tijd blijft het oppassen, ook al heeft u drie keer geklopt.
is dan niet ah internet...
Hadden ze kunnen doen ...dus laten ze de burgers maar lijden.
Als er hier een bank het in zn hoofd haalt om eventuele schade door dit
soort criminele acties te verhalen op gebruikers die er alles aan gedaan
hebben om het te voorkomen. Dan moet je je ernstig achter je oren gaan
krabben of het de banken zelf niet verwijtbaar is om willens en wetens met
dit soort solutions te komen.
SSL was al 5 jaar niet safe.
Maar goed je hebt getekend, hé
Zowat wedder zekerheid voor wisselborgtocht, zijn voor
zij 10 vigerend TANs ter zijn cijfers verlenen, b.v. 03
(TAN-cijfers) = 345678 (TAN).
Tja, als er dan geen rode lampen gaan branden als je een
dergelijk bericht ziet verschijnen...
Nu moet je de tekst eens lezen van het inlogscherm.
Zowat wedder zekerheid voor wisselborgtocht, zijn voor
zij 10 vigerend TANs ter zijn cijfers verlenen, b.v. 03
(TAN-cijfers) = 345678 (TAN).
Tja, als er dan geen rode lampen gaan branden als je een
dergelijk bericht ziet verschijnen...
mij aan dat de authenticatie het probleem niet was...
alleen vanuit een VM kunnen doen. Zowel Microsoft als VMWare
leveren gratis clients en als je de VM alleen gebruikt voor
banktransacties kan je er voor wat betreft security
voorlopig weer even tegenaan....
Het is misschien wat omslachtig maar je zou bankbewerkingen
alleen vanuit een VM kunnen doen. Zowel Microsoft als VMWare
leveren gratis clients en als je de VM alleen gebruikt voor
banktransacties kan je er voor wat betreft security
voorlopig weer even tegenaan....
Dat zou mijn tekst kunnen zijn. Echter wat ik me sinds dit artikel afvraag
hoe zit het met de dll's van je OS als die besmet zijn?
Ben je dan met een vmware image nog steeds safe bezig? Je zou denken
van niet maar ik heb er even geen antwoord op als ik dit artikel lees.
Het is misschien wat omslachtig maar je zou bankbewerkingen
alleen vanuit een VM kunnen doen. Zowel Microsoft als VMWare
leveren gratis clients en als je de VM alleen gebruikt voor
banktransacties kan je er voor wat betreft security
voorlopig weer even tegenaan....
Misschien beter andersom, Alles in VM doen, en bankzaken in
een aparte.
schrijvers makkelijk weer doorheen.
Ze hoeven slechts het host systeem te infecteren, daarna
hoeft de malware alleen maar de VM image te openen en
hetzelfde truukje uit te halen als het nu ook al doet.
(zoals de ING doet) maakt het moeilijker maar niet
onmogelijk als je toegang op admin / kernel level hebt. Het
is in elk geval al een keer aangetoond op een JAVA VM.
"Two-factor" is niet zaligmakend. Je kunt niet op tegen de
domheid van sommige mensen; die moeten eerst tienduizenden
Euro's verliezen voordat ze opletten. Kost een cent, heb je
ook wat.
Wat volgens mij het beste helpt is een specifieke vorm van
het "beveiligingscalculator" concept met challenge/response.
Zo'n calculator is dan persoonsgebonden, al dan niet via de
bankpas.
Voor het inloggen gebruik je andere codes dan voor het geven
van opdrachten; bijv. bij de ING calculator gebruik je de
COM knop om een login response te maken, maar voor
betalingen gebruik je de "AUT" knop.
Om te voorkomen dat de betalingen die je op het scherm ziet,
anders zijn dan die je daadwerkelijk goedkeurt, moet de
calculator ook nog informatie over de transactie weergeven;
bijvoorbeeld het totaalbedrag en/of het aantal transacties
(de ING doet dat op dit moment niet). Je moet dan op de
calculator toestemming geven voordat je de response krijgt.
Het voordeel hiervan is bovendien dat je expliciet gewezen
wordt op het feit dat er iets met geld gebeurt, zodat de
"login mislukt, geef de nieuwe code in" truuk meer opvalt.
Ik heb geen idee of er een bank in NL is die al deze
concepten gebruikt; ik weet wel dat al deze concepten
afzonderlijk in gebruik zijn. Aanpassen doen ze pas als ze
denken dat het goedkoper is om al die dingen te vervangen,
dan de schade door fraude in te koppen. Uiteindelijk betaal
je er zelf voor, dus zo gek is dat nog niet.
Maar 100% veilig is het nogsteeds niet. Dat gaat ook niet
lukken, en nog minder als mensen zelf hun computer beheren.
bedragen op het off-line token is zo gek nog niet. Als je
dit verhaal verder doortrekt kom je uit bij een "electronic
banking appliance" met eigen toetsenbord en beeldscherm, die
op 1 of andere manier via je computer, mobieltje of een
lokaal beschikbaar netwerk met de bank praat. Dan heb je
heel het probleem van untrusted code niet meer.
Helaas wordt zo'n ding al snel complex genoeg om fouten te
bevatten ;)
Het is misschien wat omslachtig maar je zou bankbewerkingen
alleen vanuit een VM kunnen doen. Zowel Microsoft als VMWare
leveren gratis clients en als je de VM alleen gebruikt voor
banktransacties kan je er voor wat betreft security
voorlopig weer even tegenaan....
Volgens mij heb je het precies verkeerd om, een VM kan
zinnig zijn,
maar dan voor 'alles behalve' je bank verkeer dus, zodat je
zeker weet dat alle mallware tot de een of andere VM wordt
beperkt.
Maar het zou dus vele malen simpeler kunnen, de banken
moeten gewoon met een life CD komen voor hun internet
bankier oplossingen. Maar van de mensen die ons nog steeds
aan de pinpas
met magneetstrip hebben kun je niet verwachten dat ze er ook
maar iets aan gaan doen.
http://www.finread.com/
nieuwe leven moeten worden geblazen.
In dit Europese project is een standaard voor een beveiligde kaartlezer
ontwikkeld waarop een internetbankieren klant zijn transacties in een
separate, goed afgeschermde, omgeving kan bevestigen.
Deze kaartlezers zijn echter duur. Alleen bij massale productie zou dit
rendabel worden.
Nu moet je de tekst eens lezen van het inlogscherm.
Zowat wedder zekerheid voor wisselborgtocht, zijn voor
zij 10 vigerend TANs ter zijn cijfers verlenen, b.v. 03
(TAN-cijfers) = 345678 (TAN).
Je moet natuurlijk wel op je achterhoofd gevallen zijn als je het Postbank
schermpje als afgebeeld in dit artikel serieus neemt.
Ik snap dan ook de redactie van deze site niet om een dergelijk artikel te
plaatsen waarin gesuggereerd wordt dat het om een echte scam zou
gaan. Dit kun je toch niet serieus menen?
authenticated only). Een kant (client) van de encryptie
tunnel wordt niet gecontroleerd. Dat geeft de aanvaller
zoveel meer mogelijkheden...
polen hongarijen etc in /8 blokeren :)
veel gebruikersvriendelijker zijn dan de huidige implementaties, en
bovendien voor een fractie van de huidige prijs worden geleverd.
Ik zal me hier beperken tot de veiligheid.
Het is mogelijk om een combinatie van een status en een proces van
veranderingen van die status te maken, die we hier gezamenlijk als
Relatie zullen aanduiden.
Het proces deel van de Relatie maken we afhankelijk van de interactie
tussen de twee gerelateerde systemen tijdens een sessie die we
Ontmoeting zullen noemen.
De afhankelijkheid van de Ontmoeting garandeert dat een Relatie uniek is:
het is fundamenteel onmogelijk dat een Relatie op systeem A en een
kopie van die Relatie op systeem B tegelijkertijd kunnen worden gebruikt,
omdat de “andere kant” van de Relatie zich niet laat “splitsen”.
Dus de Relatie voorkomt zijn eigen duplicatie op een fundamentele wijze,
die niet gevoelig is voor sociale of technische manipulatie.
Deze techniek geeft de Relatie de volgende eigenschappen:
- het elimineert alle mogelijkheden voor phishing/spoofing
- het weerstaat alle bekende en te voorziene MITM aanvallen, zelfs op de
meest gruwelijk gecompromitteerde systemen
Dus de sombere geluiden van de geinterviewden in het artikel zijn
technisch overbodig.
Het echte probleem is dat er zelfs bij “experts” nog geen markt is voor
oplossingen, met als klassieke reden: Not Invented Here.
stuk binnen krijg via mijn GSM, en dat pas zodra ik iets
overmaak of betaal.
ABN Amro gaat (in mindere mate de ING). Over banken als de
Rabobank die werken met een Rabo Reader, waarbij je je
pinpas(chip) in een codeerapparaatje moet stoppen heb ik nog
niets verkeerds gelezen. Misschien moet de rest hier ook
maar aan en geen makkelijk te kraken wachtwoorden en
gebruikersnamen meer gebruiken.
codeerapparaatje waarin je je bankpasje stopt en codes moet
invoeren. In plaats van makkelijk te kraken wachtwoorden en
gebruikersnamen.
papier doe:P.
BTW met Linux, MacOS, Unix (of terwijl alles wat geen
Windows is) zou dit niet kunnen, want de mallware kan niet
zomaar iets aan een systeem bestand veranderen, omdat
daarvoor een systeem password is vereist.
goed genoeg. Bij de rabobank moet je ook het bedrag op je randomreader
invullen als het transactie totaal boven de 1000 euro komt.
Voor mijn ouders heb ik vmware met ubuntu geinstalleerd daar doen ze
hun betalingen in. Zelf werk ik lekker op mijn eigen linux systeem.
http://www.finread.com/
nieuwe leven moeten worden geblazen.
In dit Europese project is een standaard voor een beveiligde kaartlezer
ontwikkeld waarop een internetbankieren klant zijn transacties in een
separate, goed afgeschermde, omgeving kan bevestigen.
Deze kaartlezers zijn echter duur. Alleen bij massale productie zou dit
rendabel worden.
stel dat die standaard gekraakt word, dan ben je nog verder van huis, nu kraak je hooguit een paar miljoen mensen, dan heb je heel europa in 1 keer gekraakt, wat mij een veel groter risico lijkt.
ik doe alles ook nog lekker op papier, wie geen 3 dagen kan wachten op mijn betaling heeft een probleem, ik niet :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
