Internetbankieren in Nederland nog steeds veilig
Eind juli werden Postbankklanten vier keer doelwit van een phishingaanval, toch zou er geen sprake van een trend zijn, maar "een verdwaalde Roemeen". De afgelopen maanden verschijnen er af en toe aanvallen op Nederlandse banken, aldus Roel Schouwenberg van Kaspersky Lab. Toch zijn hier nog geen Amerikaanse taferelen zichtbaar waarbij bankklanten dagelijks het doelwit zijn. De senior virus-analist vermoedt dat één persoon of één groep voor de aanvallen verantwoordelijk is. De aanval van afgelopen juli was echter minder dan professioneel. "Het is voor het menselijke ras te hopen dat er niemand is ingetuind."
De eerste phishingaanvallen waren van dit kaliber, vol met spelfouten en een aanhef als "lieve klant". Daarna werd het beter, maar in dit geval is het "waardeloos", aldus Schouwenberg. "Dit lijkt een uitzondering, overal genomen wordt het beter. Waarschijnlijk is het een Roemeen die Babelfish gebruikte." Dat is nog altijd het grote probleem voor computercriminelen, de Nederlandse taal. "We hebben betere gezien, hoewel het Nederlands nooit perfect is. In ieder geval stukken beter dan de recente aanvallen." Schouwenberg deed eerder de voorspelling dat we meer phishingaanvallen zouden zien, toch wil het aantal incidenten niet doorzetten. "Het is nog steeds allemaal low profile."
Banking Trojans
Een andere tactiek waar klanten van de ABN Amro vorig jaar mee te maken kregen was een Trojaans paard dat als bijlage met een e-mail werd meegestuurd en noodzakelijk zou zijn om te internetbankieren. Uiteindelijk installeerden zo'n 200 mensen de malware. Ook in het geval van de atoomexplosie in Amsterdam en de naar sex zoekende Polina ging het om banking Trojans. Het versturen van dit soort malware is niet populair, omdat de verstuurde binary hetzelfde is, veel meer aandacht genereert en uiteindelijk eenvoudiger door anti-virusbedrijven is op te lossen.
Bankrover Sinowal is daarom voornamelijk actief als drive-by download. Inmiddels zijn alle grote banken het doelwit van banking trojans, waaronder ook Nederlandse banken. Het komt echter vaker voor dat mensen met deze malware zijn besmet, maar dat die dan geen Nederlandse bank "ondersteunt". Sinowal zou inmiddels 900 banken kunnen herkennen. Met name Amerikaanse en Zwitserse banken zijn populair. Toch staat Schouwenberg niet vreemd te kijken als hij een Trojan voor een Nederlandse bank ziet. "Het is niet meer bijzonder."
Verantwoordelijkheid
Nederland mag er dan nog enigszins ongeschonden vanaf komen, banken neigen wereldwijd naar meer verantwoordelijkheid voor de gebruiker. Zo stellen Nieuw-Zeelandse en Britse banken dat klanten over een up to date virusscanner en firewall moeten beschikken, anders kan men in het geval van fraude naar de centen fluiten. De verharding van het beleid komt doordat de schade die banken leiden steeds groter wordt. "Daarom gooien ze het over een andere boeg."
Schouwenberg vindt ook dat banken hun verantwoordelijkheid hebben, bijvoorbeeld in het geval van two-factor authenticatie. "Veel hangt af van de implementatie." Zo is het verstandig om verschillende crypto-algoritmen voor het het inloggen en het doen van transacties te gebruiken. Sommige banken vereisen een extra challenge of code bij een bepaald bedrag, maar dat is zinloos, zegt Schouwenberg. "Daar kijken Trojaanse paarden naar, dan passen ze alleen de rekening aan. Dan weet je nog steeds niet of die 100 euro naar oma of naar Brazilië gaat."
De virusbestrijder is te spreken over de methode die de Rabobank toepast. Daar moet als extra challenge het bankrekeningnummer worden ingevoerd waar de klant het geld naar wil overmaken. "Dat is de ultieme verificatie." Nog steeds niet waterdicht, want als de klant niet oplet is die te omzeilen. Sommige banken in Frankrijk gebruiken bijvoorbeeld een whitelist van rekeningen. Alleen naar rekeningen die in de lijst staan kan men geld overmaken. Wie dan een rekeningnummer wil toevoegen moet dit eerst per post opsturen. Ook het gebruik van SMS-codes zoals de Postbank doet is een zeer veilige manier en zou ten onrechte bekritiseerd worden.
Wat betreft het delen van verantwoordelijkheid vindt Schouwenberg het gebruik van beveiligingssoftware voor bankklanten een goede maatregel, maar de banken zouden het niet moeten verplichten. Hij wijst daarbij als voorbeeld op het DNS-lek. "Wat als een gerichte DNS poisoning aanval tegen jouw IP-adres plaatsvindt. Waar ga je het zien? er is geen lokale malware, geen phishing, niets in de logs te vinden. Dat wordt een lastig verhaal."
ARP poisoning
Een andere techniek die aanvallers kunnen toepassen en die voornamelijk binnen (bedrijfs)netwerken een probleem is, is ARP poisoning. Aanvallers spoofen dan het mac adres, waarbij een machine zegt dat hij de gateway is. Zo gaat uiteindelijk al het webverkeer via de besmette machine, die dan een iframe kan toevoegen om andere machines op het netwerk te infecteren. Bijvoorbeeld een bedrijfs- of hotelnetwerk zou zich hier goed voor lenen.
Boot CD
Een andere optie die weleens wordt genoemd is het gebruik van boot CD's. Dan leg je de drempel te hoog, laat de virus-analist weten. "Mijn ouders zouden gillend wegrennen." Hij ziet dan ook meer in het verhogen van het bewustzijn dan mensen te leren omgaan met boot CD's, die hij zelf ook niet voor het internetbankieren zou gebruiken.
Wat hij wel als een probleem ziet is als banken gaan beslissen welke virusscanner iemand moeten gebruiken. Sommige banken bieden hun klanten anti-virussoftware aan, dat is een goed initiatief, maar je moet het niet verplichten." Daarnaast zouden aanvallers zich specifiek op deze aanbieders kunnen richten.
Afschriften
Volgens het motto van 3xkloppen moeten bankklanten als extra check altijd hun bij- en afschrijvingen controleren. Op een besmet systeem sorteert dit geen enkel effect. "Geavanceerde Trojaanse paarden manipuleren de pagina's met afschriften. Het slachtoffer kan dan uitloggen en inloggen en er staat nog steeds oma en niet Brazilië. Ze spoofen het niet alleen in de sessie, maar permanent."
Het malware-landschap is zich continu aan het evolueren, Nederlandse bankklanten lijken voorlopig nog de dans te ontspringen. Dat geldt echter niet voor creditcardhouders en PayPal-klanten. Bijna alle malware is vandaag de dag voorzien van een formgrabber. Dit zijn geen keyloggers die alle toetsaanslagen opslaan, maar alleen de informatie stelen die in invulvelden wordt ingevoerd. "Alles loggen is niet te overzien," merkt Schouwenberg op. De formgrabbers slaan vaak ook zoekopdrachten op, maar die zijn eenvoudig weg te filteren, waarna de gestolen informatie meestal wordt doorverkocht aan andere criminelen.
klikt.
consument wil leggen. Tenwijl ze ZELF steeds minder loketten open hielden
om zo de klant naar internetbankieren te dirigeren.
verplicht stellen, zijn ze de Linux / BSD / OS-X(?)
gebruikers gelijk kwijt. Deze zullen dan weer papieren
overschrijvingen insturen of een andere bank kiezen...
Overigens lijkt me de authenticatie van Triodos Bank
redelijk waterdicht:
(Triodos maakt gebruik van een soort rekenmachientje, de
"Digipass")
Bij het overmaken moet je de volgende stappen doorlopen:
- Inloggen met behulp van je gebruikerscode en de door je
PIN gegenereerde code van de Digipass.
- Overmaken:
* PIN code invoeren op de Digipass
* Door Triodos getoonde code invoeren op de Digipass
* Bedrag invoeren op de Digipass
* Door Triodos getoonde code invoeren op de Digipass
* Betaling accorderen.
Tenzij de Digipass is gehacked, lijkt me dit een behoorlijk
veilig systeem.
Toen we afgelopen kerst bij vrienden op Jersey waren (UK)
merkte ik dat zij enkel met een username & password
transacties konden doen bij hun bank.
Tja, klanten van een dergelijke 0.1 beta bank: da's een mooi
doelwit en waarschijnlijk mikken de spammers zich daarop...
genoemde geval van het veranderen van het rekeningnummer kan nog
steeds. Ze doen dit op elk punt waarop iets wordt verzonden en mocht de
bank dit in hun code opnemen, dan lukt het nog steeds. Beter zou zijn om het
nummer van de ontvanger ook in te moeten typen op de Digipass. Dan is het
bijna onmogelijk om de boel te vernaggelen
niet tegen het veranderen van het rekeningnummer. Al valt
dat natuurlijk wel sneller op. Maar ik denk niet dat de
meeste mensen binnen een maand door hebben dat het geld niet
naar de goede rekening is gegaan (gegeven dat de trojan het
overzicht ook goed aanpast)
behoorlijk veilig genoemd wordt, doordat ze gebruik maken van het separate
SMS kanaal kun je gewoon keihard zien wanneer er iets mafs aan de hand is
met je overboeking en de overboeking onderbreken.
Laatst stond in het Leidsch Dagblag nog een voorpagina artikel dat juist de
Postbank heel slecht beveiligd zou zijn. Dat is dus een compleet fout bericht
conform wat dit artikel zegt.
Let wel, ik beweer niet dat je niet heel gemakkelijk in het Postbank account
zou kunnen inbreken. Echter vervolgens kun je er niets mee.
Dat is dus wel het probleem van de token-methode, die blijft gevoelig voor de
Man in the Middle aanval (kan dat overigens ook een VitM-aanval zijn?)
Anoniem van 22:38, de procedure van Triodos is nog niet
waterdicht. Het
genoemde geval van het veranderen van het rekeningnummer kan
nog
steeds. Ze doen dit op elk punt waarop iets wordt verzonden
en mocht de
bank dit in hun code opnemen, dan lukt het nog steeds. Beter
zou zijn om het
nummer van de ontvanger ook in te moeten typen op de
Digipass. Dan is het
bijna onmogelijk om de boel te vernaggelen
dan digipass, hoewel ze digipass nog ondersteunen.
tijd van de papieren betaalkaarten. De handtekening erop
léék nog niet op de mijne. Toch kreeg ik mijn geld van niet
terug van de Postcheque en -Girodienst. Ik was onvoorzichtig
geweest door mijn mapje naast mijn binnenzak te steken en te
verliezen. Een latere kleine fraude met mijn credit card
heeft mij geen cent gekost. Wat is nu veiliger?
altijd hun bij- en afschrijvingen controleren.
Dat is dus niet waar, aangezien de banken bij internetbankierders geen
papieren afschriften meer versturen, "u kunt het namelijk online allemaal
bekijken" is hun antwoord....
Via de website heb ik een paar verbeterpunten doorgegeven, maar na een paar mailtjes had ik ze pas zover om over 1 van de opmerkingen (nog wel minst belangrijke naar mijn mening) na te gaan denken.
Dus heb ik er nog een heel verhaal tegenaan gegooid en hopelijk zijn ze nu ook doordrongen van het gevaar van mijn ander punt.
Wanneer het gevaarlijkste probleem is opgelost, zal ik er meer over vertellen (het heeft eigenlijk wel een hoog duh-gehalte, maar ik vond toch wel dat het verholpen moet worden).
Dat is dus niet waar, aangezien de banken bij internetbankierders geen papieren afschriften meer versturen, "u kunt het namelijk online allemaal bekijken" is hun antwoord....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
