Bank wil computer van klanten op virussen scannen
De Nederlandse Vereniging van Banken liet laatst weten dat haar leden niets voelen om hun klanten van een virusscanner te voorzien, toch is het straks goed mogelijk dat als je wilt internetbankieren eerst je PC door de bank op malware moet laten scannen. De Spaanse virusbestrijder Panda Security kondigde drie weken geleden aan dat het een speciale virusscanner voor banken heeft ontwikkeld. In het persbericht stond vermeld dat banken ook zonder dat de klant dit weet zijn of haar computer kunnen scannen. Security.NL sprak laatst met verschillende onderzoekers van Panda of we hier inderdaad met "spyware" te maken hebben.
Volgens de beveiliger was het persbericht "ontsnapt" en nog onvolledig. "Panda Security for Internet Transactions" is in principe een kleinere versie van de Nanoscan die het bedrijf al gratis aanbiedt. Gebruikers moeten een ActiveX control voor Internet Explorer of een XPI bestand voor Firefox accepteren, waarna de virusscanner van zo'n 200KB wordt geïnstalleerd. De scanner kijkt alleen wat er in het geheugen draait. Ook kan die alleen maar banking trojans en andere financiële malware herkennen. Hierdoor duurt een scan twee tot vijf seconden, zodat internetbankieders niet lang hoeven te wachten, aldus onderzoeker Luis Corrons. Verschillende banken hebben inmiddels al een pilot met de scanner lopen, hoewel Corrons geen namen wilde noemen. Verder is men ook in gesprek met partijen zoals PayPal. De bank of website kan zelf bepalen wanneer er gescand wordt en hoe vaak. Zo is het mogelijk om tijdens het inloggen te scannen, maar ook tijdens het versturen van de transactie. Op deze manier wordt voorkomen dat malware zichzelf uitschakelt, en wacht totdat de transactie plaatsvindt.
Mocht er tijdens een scan malware worden aangetroffen, dan heeft de bank verschillende opties. Is het bijvoorbeeld een banking Trojan die geen gevaar voor de bank vormt, dan wordt de gebruiker bijvoorbeeld niet gewaarschuwd. Is de malware wel een potentieel gevaar, dan kan men de gebruiker de toegang ontzeggen of hem alleen maar waarschuwen. Voorlopig zouden alle banken de scanner, die over twee weken wordt gelanceerd, alleen vrijwillig aanbieden. Panda ziet het dan ook als een extra dienst naar de klanten toe, en niet iets dat als een dreigmiddel zal worden ingezet.
Het grote probleem voor banken is dat ze niet weten wanneer ze worden aangevallen en een aanval niet kunnen stoppen. Gemiddeld hebben banken twee dagen nodig om een aanval te stoppen, maar er zijn ook aanvallen die soms twee maanden doorgaan. De malware en e-mails worden dan verstuurd uit landen zoals China, waar het een stuk lastiger is om de verantwoordelijke partij "aan te sporen". Een probleem waar virusbestrijders mee te maken hebben is dat er dagelijks zo'n 4000 nieuwe malware exemplaren verschijnen. Hierdoor is het analyseren van malware bijna niet meer te doen.
De opzet van Panda klinkt misschien goed, het leent zich ook voor misbruik. Wat als malware op het systeem de communicatie met de Panda server spoofed, of aan de bank laat weten dat het systeem schoon is? Corrons geeft toe dat ze aan alles gedacht hebben, maar dat als het systeem live gaat ze de aanvallen pas goed in kaart kunnen brengen. De beveiliger wil dan ook niet teveel over de zwakke plekken van het systeem vertellen, uit angst dat criminelen dit kunnen gebruiken. Op de vraag of het verbergen van informatie, waar aanvallers vroeger of later toch achter komen, bijdraagt aan de veiligheid, laat Corrons weten dat men alles moet doen om een stapje voor te blijven.
Of Panda de oplossing voor de internetbankieren problematiek heeft gevonden is afwachten. Onling banking is big business en ook andere vendors zullen zich op deze markt richten. Voor banken zou het een goedkopere oplossing kunnen zijn dan het verstrekken van volwaardige virusscanners aan hun klanten. En de klanten? De eerste reacties op Security.NL waren zeer negatief. Toch is een extra check voor consumenten die geen beveiligingsdeskundige zijn best handig, zolang het maar transparant gebeurt.
het geheugen draait.....
Helemaal met Firefox die zo goed als geheel JavaScript
gebaseerd is, dan kun je toch wel dingen injecteren of XSS
toepassen.
http://www.claimyourrights.eu/
http://www.thinkfree.ca/
- Unomi -
Ik vraag me af hoe ze mijn goed beveilgde Linux-box gaan
scannen...
hopelijk gaat mijn bank me niet verplichten om een windows
operating systeem te draaien.
het detecteren, waarop dan (door de bank) een actie kan ondernomen
worden. redirecten, blocken, ...
Ik vermoed ook dat niemand je gaat verplichten om windows te gebruiken,
maar diegenen die wel windows gebruiken zullen naar alle
waarschijnlijkheid wel makkelijker geïnfecteerd geraken. En deze info kan
dan voor de bank wel nuttig zijn.
Ben ik speciaal overgestapt naar Linux vanwege virussen
onder Windows, wordt mijn systeem natuurlijk weer niet
ondersteund.
Je moet een crappy OS draaien voor ondersteuning en dan
laten controlleren dat het veilig is.
Het is een gekke wereld.
het bestaan van virussen al ruimschoots bekend dat een
virusscanner net zo zinvol is als de beperking van de kennis
gaat. Aanvallen op banken zijn zo specifiek dat ze maar een
beperkt bereik hebben aan duur en effectiviteit. Tegen de
tijd dat het herkend is en er voor de signatures gemaakt
zijn om ze met een scanner te herkennen is het in bijna alle
gevallen waarschijnlijk al te laat om effectief te zijn. Ja,
iedere beperking kan helpen maar dat moet dan nog wel
afgewogen worden tegen de negatieve gevolgen. En daar zijn
er een stuk meer van dan de voordelen.
uitbreiden met vpn- en/of https-mogelijkheid. En dan zonder
gebruik van een browser.
Hoeveel moeite zou dat zijn?
En hoeveel zou het opleveren?
En laat de hipste bank ook nog eens linux ondersteunen!
Het zou een gekke wereld zijn! :)
Juist.... een ActiveX of een XPI die 'enkel' kijkt wat er in
het geheugen draait.....
Helemaal met Firefox die zo goed als geheel JavaScript
gebaseerd is, dan kun je toch wel dingen injecteren of XSS
toepassen.
- Unomi -
Wel een goed plan maar heb zo mijn twijfels ;)
NielsK
Immers je kunt het OS niet vertrouwen (of het nu Windows of Linux is), een
voorbeeld zijn de rootkits die niet te vinden zijn terwijl het OS actief is.
Daarnaast mag een stukje software wat je van een website download nooit
zoveel rechten hebben dat hij al je files kan bereiken. De volgende stap is dat
het object (zogenaamde virus scanner) wordt aangepast en dat het al je files
besmet of doorstuurt als een bepaald keyword gevonden wordt.
Microsoft is zelf ook met een dergelijk iets bezig. Een Active-X object waarmee
je de integriteit van een werkstation controleert. In mijn ogen een niet
aceptabele oplossing.
Volgens mij de enige (maar moeilijk haalbare oplossing) is een ´closed
hardware´ (of een virtuele machine) oplossing die readonly is, en elke keer
nadat hij gebruikt is, wordt verwijderd. Een one-time browser oplossing...
dit geen goed idee is.
soort oplossingen.
Nu ook gebruik ik altijd nanoscan voor ik ga pc banken, dus op zich maakt
het dan niet uit, maakt het enkel gemakkelijker; T is in hun belang dat ik
zonder infectie op hun site kom, want als ik het verpest moeten ze toch
betalen.
Na de internet transactie een sms of e-mail met link of code
om de betaling te annuleren of nogmaals te bevestigen.
Betalingen die je niet zelf hebt gedaan, of waarvan
rekeningnummers zijn veranderd kunnen dan onderschept worden.
heel betrouwbaar bedrijf maar niet heus. Dit bedrijf spamt namelijk: nooit
zaken gedaan met dat bedrijf maar we ontvingen op diverse mailadressen
spam van ze om hun produkten vooral maar te kopen!!! Niet dus!
Een legitiem bedrijf kan dat zich niet veroorloven van spam te zenden, lijkt
me eerder de tactics vr een phisingsite.
Het geeft me geen reden om het echte product niet meer te vertrouwen.
testen en dan beoordelen lijkt m.i. een beter idee.
eth-x
positive afgeeft en je eigen rekening niet in kan komen.
En aangezien transacties bij sommige banken alleen nog maar
via internetbankieren verloopt is de ramp compleet als je
een dringende betaling moet doen
De klant zit op de blaren voor een ander.
geinfecteerd ??? Nee dus.
Normaal geven ze dat niet toe, om hun klanten niet af te schrikken, en zo
naar een andere bank jagen. Misschien is er wel iemand bij de bank die
kleine bedragen ergens naar doorsluist. Of misschien loopt er een cracker
naar de lokale brievenbus en hengeld mijn acceptgiro's eruit. Misschien zijn
de bank computers niet goed beveiligd, en loopt hun software achter [ bugs
].
Nu moet ik al letten op :
1] Dat ik naar de juiste website van de bank ga.
2] Dat ik een slotje zie voor de https verbinding.
3] De juiste code[s] invoer.
Hoe veel stappen moet ik doorlopen ??????
Misschien moeten banken eens beter nadenken over andere kleinere en
veiligere applicaties om bankzaken mee te kunnen doen.
Volgens mij zijn de banken zelf niet goed beveiligd, of men wil nog meer
"controle" op ons mensen. Sinds 9/11 is er niks meer van onze privacy over.
Nee hoor, geef mij maar lekker de acceptgiro kaart.
Nee hoor, geef mij maar lekker de acceptgiro kaart.
bankieren....daarna pc uit alles weg...:)
Volgende keer weer een schone boot....
Das de manier en kost niks...en gaat sneller dan
scannen.....en saver en kan natuurlijk ook op een windows
macine...ff zonder dan he...;)
OS ik draai, dus mijn computer scannen?
Only root can do that.
Nee hoor, geef mij maar lekker de acceptgiro kaart.
Klopt maar wel een stuk veiliger, tenzij ze mijn acceptgiro uit de brievenbus
hengelen, maar dat was niet de hoofdzaak van mijn verhaal.
Nog een paar jaar en dan gaat alles via Internet, en daar gaat het juist
steeds fout. Kijk hier maar eens goed op het forum, elke week verliest of
wordt er iets gestolen waarop persoonlijke gegevens staan, waarvoor ik niet
heb gekozen. Internet is heel leuk en makkelijk, maar het is nu eenmaal
niet veilig, en toch worden je bepaalde dingen opgedrongen.
Het kan best allemaal sneller en makkelijk gaan, maar als het niet veilig is
hoeft het voor mij niet meer.
Crackers vinden steeds weer nieuwe malware uit, waardoor ze steeds een
voorsprong hebben op de antie virus bedrijven. Tevens hecht men meer
waarde aan wat gegevens die in computers zijn ingevoerd. fout of niet fout.
Ik ben zelf al eens slachtoffer geweest van iets wat in een computer stond
geregisteerd maar helemaal niet zo was. Ik heb heel heel veel moeite
moeten doen om te bewijzen dat het niet zo was. En ik kan je vertellen dat
dit geen leuke ervaring was. Het is dat ik een volhouder ben, wat andere
mensen misschien niet 1,2,3 zouden doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
