Duitse politie: iTan code voor internetbankieren werkt niet
De twee-factor authenticatie die banken gebruiken om bankrekeningen tegen cybercriminelen te beschermen, werkt niet, aldus de Duitse politie. Vorig jaar maakte 95% van de Duitse banken gebruik van zogenaamde "iTan codes", willekeurig gegeneerde nummers die een gebruiker bij het inloggen en doen van transacties moet invoeren. De iTan code is eenmalig te gebruiken en moet aanvallen op internetbankieren voorkomen als een aanvaller de overige klantgegevens in handen heeft. Maar volgens politiecommissaris Mirko Manske werkt de techniek niet. “We verliezen nog steeds geld”, zo liet hij tijdens het E-Crime congres in Londen weten.
Man-in-the-browser
Het probleem is dat aanvallers manieren gevonden hebben om transacties in "real time" uit te voeren, door gebruik te maken van de iTan codes. Bij deze Man-in-the-middle aanvallen zit de aanvaller tussen de gehackte computer en bankserver in. Een andere manier is de "Man-in-the-browser" aanval, waarbij een Trojaans paard de transactie aanpast. De presentatie van Manske, die deels gecensureerd werd omdat die gevoelige informatie bevatte, toonde twee scenario’s met het gebruik van iTan codes. In de eerste demonstratie kreeg de klant een bevestiging dat hij 500 euro had overgemaakt, maar in werkelijkheid wijzigde de aanvaller de informatie en maakte 5000 euro naar een andere rekening over.
De tweede demonstratie toonde het gebruik van CAPTCHAs door banken. Een grote Duitse bank toont een CAPTCHA bij de uit te voeren transacties. Aanvallers hadden code ontwikkeld die een perfecte kopie van de CAPTCHAs bij een man-in-the-middle aanval lieten zien. De kopie verscheen dan bij de rest van de transactiesgegevens, waardoor het slachtoffer niet vermoedde dat een ander bedrag naar een andere rekening werd overgemaakt. "Er lopen heel wat getalenteerde programmeurs rond", zo besluit Manske.
En daarom moet je bij de Rabobank dus bij hoge bedragen ook je bedrag invullen op je random reader. Als ze hierbij ook toevoegen dat je het rekeningnummer moet invoeren waar het heen moet dan zou het veilig zijn... lijkt me...
Volgens mij kan je bij de PIN i.c.m. challenge-response methode van bv de RaboBank met een random reader, niets uithalen. Inloggen en verzenden van betalingen zijn gescheiden codes. Voor grotere bedragen is er een dubbele verificatiemethode en ook het totaalbedrag kan in het challenge getal meegenomen worden.
Kanppe jongen/s die daar omheen kunnen, ik heb het ook nog nooit ergens gelezen...
Volgens mij kan je bij de PIN i.c.m. challenge-response methode van bv de RaboBank met een random reader, niets uithalen. Inloggen en verzenden van betalingen zijn gescheiden codes. Voor grotere bedragen is er een dubbele verificatiemethode en ook het totaalbedrag kan in het challenge getal meegenomen worden.
Kanppe jongen/s die daar omheen kunnen, ik heb het ook nog nooit ergens gelezen...
Het is toch ook voor de rabo methode een bruikbare aanvalsvector. De truc zit hem er in dat de browser waar jij iets intypt te manipuleren is. Als inderdaad het begunstigde rekeningnummer wordt toegevoegd aan de hash dan wordt effectief voorkomen dat dit bruikbaar is. Is alleen lastig als je meerdere overboekingen naar diverse rekeningnummers hebt.
Nu de paslezers nog een stapje veiliger en dan is iedereen weer helemaal blij.
EJ
EJ
Bij de postbank staat het bedrag in de SMS die je krijgt ALS je tenminste de SMS variant gebruikt. Knappe jongen die daar óól nog tussen gaat zitten en mijn SMS spooft
Bij de Rabo zit het (totaal)bedrag in de hash, dus dat biedt geen soelaas. Verder raad ik altijd een live-CD aan voor mensen die het eea niet vertrouwen of exta extra zeker willen zijn.
Het maakt doordat de aanval in de browser plaatsvindt geen biet uit of het totaal bedrag in de hash zit. Het gaat er om dat het naar de verkeerde rekening wordt gestuurd door de browser. Ook het gebruik van een live cd is totaal niet van belang en voorkomt deze aanval niet.
EJ
Bij de postbank staat het bedrag in de SMS die je krijgt ALS je tenminste de SMS variant gebruikt. Knappe jongen die daar óól nog tussen gaat zitten en mijn SMS spooft[/quote]
Ook hier geldt: het gaat NIET om het bedrag. Het gaat om een man-in-the-middle in de browser zelf. Daar helpt geen tan systeem tegen. Tenzij je de overige gegevens zoals de rekeningnummers waar naar betaald wordt ook ziet in de sms. Dan pas is het foolproof. En MitM proof. Eerder niet.
EJ
Bij de postbank staat het bedrag in de SMS die je krijgt ALS je tenminste de SMS variant gebruikt. Knappe jongen die daar óól nog tussen gaat zitten en mijn SMS spooft
Bij de postbank staat het bedrag in de SMS die je krijgt ALS je tenminste de SMS variant gebruikt. Knappe jongen die daar óól nog tussen gaat zitten en mijn SMS spooft[/quote]
Ook hier geldt: het gaat NIET om het bedrag. Het gaat om een man-in-the-middle in de browser zelf. Daar helpt geen tan systeem tegen. Tenzij je de overige gegevens zoals de rekeningnummers waar naar betaald wordt ook ziet in de sms. Dan pas is het foolproof. En MitM proof. Eerder niet.
EJ[/quote]EJ, helaas... de MitM methode werkt niet bij het TAN systeem.
Als de MitM namelijk iets tussenvoegt, dan klopt de TAN niet meer óf het is zichtbaar in de SMS. Immers het totaal bedrag wordt daar weergeven en bij grote bedragen ook nog eens het reknr waar dat naartoe gaat.
De MitM kan alléén als je beide kanalen, internet én SMS, beheerst.
Het is wellicht verbazend, maar dit simpele Postbank systeem, is behoorlijk fool en MitM proof. Ik erger me altijd rot aan de complexiteit bij mijn Rabo rekening.
EJ, helaas... de MitM methode werkt niet bij het TAN systeem.
Als de MitM namelijk iets tussenvoegt, dan klopt de TAN niet meer óf het is zichtbaar in de SMS. Immers het totaal bedrag wordt daar weergeven en bij grote bedragen ook nog eens het reknr waar dat naartoe gaat.
De MitM kan alléén als je beide kanalen, internet én SMS, beheerst.
Het is wellicht verbazend, maar dit simpele Postbank systeem, is behoorlijk fool en MitM proof. Ik erger me altijd rot aan de complexiteit bij mijn Rabo rekening.
Carolined, je mist echt het punt waarop deze mitm wordt gedaan. Dit is een kwetsbaarheid binnen ALLE tan en 2factor systemen. De browser laat jou iets anders zien dan hij verstuurd. Jij kunt NIET zien of dat dat is gebeurd. De TAN wordt aangevraagd op het door de browser al gemanipuleerde bedrag, en is dus valide. Alleen het toevoegen van het rekeningnummer beschermt je.
Overigens is het systeem van de rabo niet complex, in ieder geval zeker niet complexer dan dat van de postbank. Ik bankier 100 keer liever bij de rabo dan bij de postbank.
Het moeten inloggen bij de postbank met een username/wachtwoord is ECHT niet van deze tijd, en zet feitelijk de leestoegang tot je rekening al bij voorbaat voor de hele wereld open. Heb je niets te verbergen? Publiceer jij dagelijks je banktransacties op Internet?
EJ
Dat kan, maar gebeurt niet.
EJ
Bij de postbank staat het bedrag in de SMS die je krijgt ALS je tenminste de SMS variant gebruikt. Knappe jongen die daar óól nog tussen gaat zitten en mijn SMS spooft[/quote]
EJ[/quote]EJ, helaas... de MitM methode werkt niet bij het TAN systeem.
Als de MitM namelijk iets tussenvoegt, dan klopt de TAN niet meer óf het is zichtbaar in de SMS. Immers het totaal bedrag wordt daar weergeven en bij grote bedragen ook nog eens het reknr waar dat naartoe gaat.
[/quote]
ik ben ook wel blij met het postbank systeem hoor, maar dit is voor kleine bedragen dan alsnog te omzeilen door het nummer te veranderen, of anders het bedrag naar de oorspronkelijke rekening te verlagen en het verschil naar een andere rekening
Het heet ING en je kan met de ING ook een reader aanvragen heb ik reeds vernomen.
Het inloggen met naam + pw is idd behoorlijk uit de tijd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
