Nieuws
image

SMS geen garantie voor veilig internetbankieren

donderdag 23 oktober 2008, 16:55 door Redactie, 6 reacties

Aanvallen op internetbankieren zullen de komende jaren toenemen, waardoor banken andere oplossingen moeten zoeken. Digitale bankrovers zullen namelijk steeds vaker op de computer de communicatie kapen, Man-in-the-Endpoint (MitE), dan de communicatie via een andere machine laten lopen (Man-in-the-Middle (MitM). Daarbij maakt het niet uit of er twee-factor authenticatie wordt gebruikt, zegt Roel Schouwenberg, senior virusanalist bij Kaspersky Lab. "Het fundamentele probleem met twee-factor authenticatie is dat de sessie wel veilig kan zijn, wat er tijdens de sessie gebeurt wordt niet gecontroleerd."

Om de beveiliging te verbeteren gebruiken banken cryptografische tokens of SMS-berichten. SMS-berichten kunnen de levensduur van TAN-codes (Transactie Autorisatie Nummers) beperken, die nodig zijn om een transactie uit te voeren, de gebruikte rekeningnummers en het maximale bedrag van een transactie. Volgens Schouwenberg is de methode niet waterdicht, omdat virusschrijvers malware kunnen maken die de SMS-berichten onderscheppen. "Een cryptografische token is daarom een betere oplossing en het is niet mogelijk om op zo'n token extra software te installeren."

Op dit moment hoeven consumenten die een SMS ontvangen zich nog geen zorgen te maken, maar dat kan veranderen. "Het is aannemelijk dat over een tijd banker malware zich meer op de mobiele telefoon gaat richten, dus hoewel het momenteel nog geen problemen oplevert, zou ik daar over een paar jaar niet meer zo zeker van zijn. Op de lange termijn gaat SMS dus niet het antwoord zijn," zo laat de virusonderzoeker tegenover Security.nl weten.

Een ander probleem dat de banken moeten oplossen is dat de challenge die consumenten bij het tekenen van een transactie moeten opgeven, geen betekenis hebben. "Daarom zou er een extra challenge voor elke aparte transactie moeten komen." Het gebruik van het over te maken geldbedrag als extra challenge biedt ook geen soelaas, aangezien er al Trojaanse paarden zijn die dit mechanisme kunnen verslaan. Een challenge die wel veilig is, laat consumenten de details van de rekening invoeren waar ze het geld op willen storten, aangezien malware en virusschrijvers dit niet kunnen voorspellen. Daarnaast gebruikt de consument actief het rekeningnummer als challenge, wat in theorie betekent dat hij of zij eerder een verkeerde transactie opmerkt dan bij het lezen van wat er in een SMS-bericht staat.

Anti-virus essentieel voor internetbankieren
Waar banken niet op moeten hopen is dat consumenten actief hun systemen gaan beveiligen. "De ervaring van de anti-virus industrie laat zien dat het onderwijzen van gebruikers een beperkt effect heeft en dat beveiligingsmaatregelen van financiële instellingen een 'hit of miss' kunnen zijn." Schouwenberg, die de aanvallen op banken in kaart bracht, preekt in dit geval voor eigen parochie. "Als het gaat om aanvallen op banken, loopt de anti-virus industrie nog steeds voorop als het gaat om het beschermen van zowel gebruikers als financiële instellingen."

Reacties (6)
23-10-2008, 18:04 door Anoniem
Het geld verdampt nu al zonder digitale bankrovers! De werkelijke inflatie van ruim boven de 4% doet wonderen.

Voor de postbank zal het wel een rekensom zijn waarbij de incidenten wegstrepen tegen het invoeren van etokens.
24-10-2008, 00:01 door Anoniem
Door AnoniemHet geld verdampt nu al zonder digitale bankrovers! De werkelijke inflatie van ruim boven de 4% doet wonderen.

Ach inflatie, verkoop nu je huis, ga een jaartje in een hotel wonen en koop dan weer zo'n zelfde huis. Dan heb je de inflatie van 4% toch zeker weer voor 5 a 6 jaar gecompenseerd :-)
24-10-2008, 10:12 door [Account Verwijderd]
[Verwijderd]
24-10-2008, 11:05 door Anoniem
Gewoon een losse eenvoudige pre-paid mobiel gebruiken. Symbian valt nog een beetje mee, maar windows, android en iphone mobiels zijn gewoon mobiele PC's met alle kwetsbaarheden van dien. Veiligste oplossing:
internet bankier met een symbian telefoon i.p.v. een PC en laat de SMS naar een prepaid gaan die gewoon alleen telefoon is en geen smartphone.
24-10-2008, 11:27 door Anoniem
"Volgens Schouwenberg is de methode niet waterdicht, omdat virusschrijvers malware kunnen maken die de SMS-berichten onderscheppen."

En hoe doet een virus dat, aangezien het SMS bericht niet op de computer staat, en niet op het internet, maar via het mobiele netwerk verzonden wordt van een provider naar de mobiele telefoon van de persoon in kwestie ? Er zijn wel kwetsbaarheden, zoals het mogelijk spoofen van een mobiele telefoon, maar ik zie niet direct in hoe een virus op je PC een SMS bericht op je mobiel kan onderscheppen ?

"Symbian valt nog een beetje mee, maar windows, android en iphone mobiels zijn gewoon mobiele PC's met alle kwetsbaarheden van dien. "

Is er ook maar 1 praktijk voorbeeld bekend van het onderscheppen van SMS berichten t.b.v. online bankieren via mobiele malware ? En als je dat SMS bericht onderschept, hoe weet je dan als crimineel welk bankrekeningnummer e.d. bij de verzonden code behoort ? Zonder dergelijke aanvullende informatie heb je immers weinig aan de code ?
27-10-2008, 09:40 door Anoniem
De voorgestelde oplossing is ook niet waterdicht. Onlangs intrioduceerde een Engelse bank deze tokens, die in de challenge een deel van de desitination account nummer opnamen, maar via een slimme trojan werd juist hier een deel van en frauduleus desitination account nummer ingezet. Gebruikers zijn doorgaas dom. Ook wordt bijvoorbeeld gevraagd om het token te synchroniseren, waarvoor ze een transactie moeten ondertekenen en ja wederom doet ee groot deel van de populatie gewoon waarom gevraagd wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure