Internetbankieren is inmiddels voor de meeste Nederlanders de manier waarop ze hun bankzaken regelen, maar in hoeverre is het nog veilig en moeten banken slachtoffers van een geplunderde rekening vergoeden? Security.NL vroeg het aan een panel van experts, te weten: Roel Schouwenberg, Senior Anti-Virus Researcher van Kaspersky Lab, Righard Zwienenberg, Chief Research Officer bij Norman Data Defense Systems, Marius van Oers, virusdeskundige van McAfee, Frank Mulder, Technical Support Manager van Panda Security, Rik Ferguson, Solutions Architect bij Trend Micro en Tom Welling, beveiligingsspecialist bij Symantec.
Al sinds januari 2004 zijn Nederlandse bankklanten het doelwit van phishing scams. In eerste instantie waren alleen Postbankklanten het doelwit, maar later ook klanten van de ABN Amro. De onschuldig ogende phishing aanvallen kregen in 2006 een heel ander karakter toen voor het eerst Trojaanse paarden werden ingezet voor het stelen van logingegevens. Wederom waren eerst Postbankklanten het slachtoffer, gevolgd door die van de ABN Amro. Bij een aanval installeerden zeker 200 mensen de malware, waarna aanvallers volledige toegang tot de rekening hadden. De Nederlandse banken houden vol dat internetbankieren in Nederland veilig is, wat ook de 3x kloppen campagne duidelijk moest maken.
Twee-factor authenticatie is kinderspel
Toch zijn bankklanten gewaarschuwd, want de twee-factor authenticatie die de meeste Nederlandse banken gebruiken staat onder druk. “Wat mij opvalt is dat er steeds meer banker trojans zijn die in staat zijn two-factor authentication succesvol te verslaan. Jaren geleden gingen er al Proof of Concepts rond die omschreven hoe two-factor op allerhande manieren te verslaan is. Echter nu meer banken wereldwijd op two-factor overgaan, zien we deze methodes ook daadwerkelijk in steeds meer trojans toegepast,” zegt Schouwenberg.
Volgens de onderzoeker laat deze trend zien dat two-factor niet de oplossing is waarvan sommigen nog steeds denken dat het is. “Veel is echter afhankelijk van de implementatie. Zo kunnen de authenticatiestappen uitgebreid worden en/of meer complexe tokens gebruikt worden. Op die manier zou je dus bijvoorbeeld rekeningnummers als challenge kunnen gaan gebruiken, wat voor de oplettende gebruiker genoeg is om op te merken dat er iets mis is. Dat geeft ook direct de zwakte van dit systeem aan, het hangt af van de oplettendheid van de gebruiker.”
Ook van Oers ziet een taak voor de gebruiker, die daarbij wel moet worden ondersteund door de banken en anti-virusbedrijven. “Voorkomen van het plunderen van je bankrekening is een taak van alle partijen. De Bank heeft een belang omdat zij graag een veilig product bieden en tevens het gebruik van internetbankieren willen stimuleren. Daarnaast kunnen zij geen negatieve publiciteit gebruiken omdat het imago veelal vertrouwen uit moet stralen. De gebruiker dient uiteraard zelf verantwoording te nemen en alert te zijn. Uiteindelijk gaat het om zijn geld en transacties. Anti-virusbedrijven kunnen inspelen op de specifieke behoeften en daar hun producten op aan passen.
Welling ziet verdere mogelijkheden voor het verfijnen van de beveiliging aan de achterkant van de bankiersystemen. “Bij transactie monitoring kan men bijvoorbeeld op basis van bepaalde algoritmes afwijkend geldverkeer detecteren en eventueel (tijdelijk) blokkeren. Een (te eenvoudige) vergelijking is bijvoorbeeld het telefoontje van de creditcard maatschappij als er binnen een korte tijd veel afwijkende transacties hebben plaatsgevonden. Dit omdat je voor een tijdje aan van hotel naar hotel aan het rondtrekken ben tijdens je vakantie. Combineer dit met een lijst van 'verdachte' rekeningnummers, bepaalde landen en andere zaken die automatisch te controleren zijn en je hebt weer een extra vangnet. Daar bovenop zou je zelfs het normale surfgedrag van een gebruiker mee kunnen laten tellen, tijden, gebruikte browser, ip nummers, klikgedrag e.d. Je kunt het natuurlijk zo spannend en complex maken als je zou willen, maar zoals eerder aangegeven moet de drempel wel te nemen zijn door de klant. False positives zullen hieraan niet meewerken, en deze zijn ook erg bewerkelijk voor de banken zelf natuurlijk. Verder gebeuren er nog veel zaken achter de schermen, maar als ik jullie dat allemaal ga vertellen dan ben ik daarna verplicht om jullie te deleten. ;-)”
De bank je computer laten scannen
En die producten worden ook in hoog tempo ontwikkeld. Panda Security kondigde vorig jaar een speciale scanner voor banken aan waarmee ze de computers van klanten kunnen scannen, natuurlijk wel met toestemming. “Banken kunnen zich uiteraard ook bewapenen. Zo ontwikkelden wij Panda Security for Internet Transactions en Targeted Attack Alert Service,” gaat Mulder verder.
Zwienenberg ziet echter geen zilveren kogel die in één keer alle problemen oplost. “Antivirus software kan hier enigszins werken, maar is niet geheel zaligmakend. Het kan alleen de client-side beveiligen. Bij een Root-DNS aanval zal antivirus software niets kunnen stoppen.” Hij krijgt bijval van Schouwenberg: “Er is een aantal vendors die (ActiveX) scanners aanbieden die banken kunnen gebruiken om een scan uit te laten alvorens een klant toegang te verlenen tot het online bankieren. Zelf heb ik mijn twijfels over deze aanpak. Voornamelijk de houdbaarheid van zo'n oplossing is iets wat me dwars zit. Zodra zo'n product populair wordt, zal het door de cybercriminelen aangevallen worden en zal het snel tot een marketinggimmick vervallen.
Het is dan ook een combinatie van oplossingen die uiteindelijk effect kunnen sorteren. “Andere oplossingen kunnen meer server-side zijn. Denk aan software die verdachte transacties kan bespeuren. Dit kan gerelateerd zijn aan het IP adres - denk aan MitM aanvallen - of aan het bestedingspatroon, noem maar op. De rol van de anti-virus bedrijven in deze is natuurlijk primair om ervoor te zorgen dat de banker malware gedetecteerd dan wel gestopt wordt,” gaat de analist van Kaspersky Lab verder.
Explosieve toename banking Trojans
Panda Security detecteerde in 2007 maar liefst 463% meer Banker Trojans dan in 2006. “Banken proberen e-banking te promoten om kosten te drukken. Maar door malware attacks komt het imago daarvan in het gedrang,” aldus Mulder. Toch zijn de aanvallen al enige tijd gaande. “Password stealers zijn er eigenlijk altijd al geweest, echter sinds 2005 is er echt een focus op adware en trojans met als hoofddoel om er geld mee te verkrijgen. “Banking trojans” zijn momenteel een erg grote hoofdgroep binnen de malware area en zal naar verwachting zo blijven voor de komende jaren,” merkt van Oers op.
Sinds 2004 is banking malware enorm geëvolueerd. “In eerste instantie ging het om eenvoudige keyloggers die alle niet-bankgerelateerde input filterden,” laat Ferguson weten. De keyloggers werden snel opgevolgd door Trojaanse paarden die screenshots van schermen maakten en niet veel later one-time wachtwoord systemen kraakten. “We zien nu Trojans die de sessie van de gebruiker kapen en one-time wachtwoorden onderscheppen voordat ze de bank bereiken. Op deze manier kan de aanvaller de login nog een keer gebruiken of bij de gebruiker de transactie wijzigen, zodat het geld naar zijn rekening wordt overgemaakt.” Het is volgens Ferguson duidelijk dat als de banken een nieuwe technologie uitrollen de virusschrijvers hierop inspelen.
Het is juist de ontwikkeling die de experts zorgen baart. Welling: “Banking Trojans en malware in het algemeen worden ook steeds geavanceerder, neem nou de Trojan.Silentbanker of Trojan.Mebroot. Het ontwikkelproces van dergelijke malware lijkt ook aan evolutie onderhevig te zijn, alles wijst erop dat hier inmiddels complete projecteams aan werken. Compleet met versiebeheer, prototype tests in het wild en alles wat nog meer om de hoek komt kijken bij het professioneel ontwikkelen van software. Je ziet dan ook een afname van veelvoorkomende programmeerfouten waardoor vroeger regelmatig een potentieel ingenieus virus zichzelf de das om deed.”
Blijven vergoeden
In verschillende landen overwegen banken om malware slachtoffers wiens rekening geplunderd is niet meer te vergoeden en dan met name als ze besturingssysteem niet up to date is en beveiligingssoftware onbreekt. “In Nieuw-Zeeland is dit al officieel, maar ook bij banken in de UK en Duitsland vangen klanten bot. Het probleem met vooraf zeggen dat schade wordt vergoed, is dat de motivatie bij veel gebruikers vervalt. Immers kosten de meeste OSen en security software geld,” en daarmee slaat Schouwenberg de spijker op de kop. Het kan de meeste consumenten helemaal niets schelen en dat wordt door de houding van de banken alleen maar bevorderd.
Het niet vergoeden van consumenten gaat de meeste experts te ver. “Banken moeten zeker niet stoppen met het vergoeden van slachtoffers. Ze moeten zeker wel meer tijd besteden aan hun beveiliging, maar hoe goed de beveiliging ook is, er kan nooit een garantie worden gegeven dat een rekening niet geplunderd kan worden,” meldt Zwienenberg.
Van Oers is het met hem eens. “Het belang van de Bank is ook groot om zijn/haar klanten naar online banking te krijgen. Denk hierbij aan kostenbesparingen omdat het verkeer naar de locaties afneemt. Zo kunnen de besparingen wel eens groter zijn dan de kosten van vergoedingen. Ook gebruikt een bank die veel diensten levert via het internet dit vaak om een imago van vooruitstrevend en modern neer te zetten. Banken zouden wel bepaalde minimale waarden neer kunnen zetten (clausules) waaraan hun klanten moeten voldoen willen ze in aanmerking komen voor een vergoeding bij eventuele schade. Mogelijk dat dit al gebeurt overigens.
Het lijkt daarom ook slechts een kwestie van tijd voordat de strengere maatregelen voor internetbankieren verschijnen. “Ik kan me voorstellen dat banken steeds strengere (technische) regels aanhouden wat betreft het gebruik van online bankieren. Denk hierbij aan het technisch afdwingen van een bepaald niveau van beveiliging op de computers die gebruikt worden door de klanten om te bankieren. Bijvoorbeeld minimale systeemvereisten wat betreft het gebruik van bepaalde besturingssystemen, servicepacks en patchniveaus en zelfs misschien het gebruik van (tijdelijke) beveiligingssoftware? Technisch is dit allemaal mogelijk, maar het is natuurlijk verschrikkelijk belangrijk om de drempel (gebruikersvriendelijkheid en technisch) voor de klant zo laag mogelijk te houden, en deze maatregelen kunnen hiermee conflicteren.
Schouwenberg is van mening dat banken in ieder geval niet automatisch de schade moeten vergoeden. “Dit zou echter wel gepaard dienen te gaan met goede voorlichtingcampagnes. Immers weten nog steeds veel mensen niet van online fraude af, hoewel dat met de 3x kloppen campagne ongetwijfeld een flink stuk verbeterd is.”
Deze posting is gelocked. Reageren is niet meer mogelijk.