Gartner: Twee-factor authenticatie banken verslagen
De door banken gebruikte twee-factor authenticatie is niet meer voldoende voor het beschermen van online bankrekeningen, aldus onderzoeksbureau Gartner. Ruim twee jaar geleden gaf Roel Schouwenberg van Kaspersky Lab dezelfde waarschuwing, dat Trojaanse paarden via man-in-the-browser aanvallen twee-factor authenticatie weten te omzeilen. Ook andere sterke authenticatie factoren, zoals chipkaarten en biometrische technologie, die van de browser afhankelijk zijn, zijn volgens de marktvorser op soortgelijke wijze te verslaan.
Verder biedt twee-factor authenticatie via de telefoon ook geen oplossing. Aanvallers zouden door gesprekken door te verbinden zich kunnen laten authenticeren in plaats van de legitieme gebruiker. "Deze aanvallen zijn het afgelopen jaar wereldwijd met succes tegen banken en hun klanten uitgevoerd", zegt vice president Avivah Litan. Ze verwacht soortgelijke aanvallen op andere applicaties en diensten met waardevolle gegevens.
Monitoring
De oplossing volgens Gartner is een "gelaagde aanpak", met server-gebaseerde fraude detectie en "out-of-band transactie verificatie". Hierbij wordt een ander communicatiekanaal dan het primaire communicatiekanaal, bijvoorbeeld de PC, gebruikt voor het verifiëren van een transactie. Voor de ideale aanpak moeten banken daarnaast meerdere maatregelen nemen. Zoals het monitoren van het gedrag van de gebruikers en verdachte transacties. "Aanvallers hebben gedemonstreerd dat sterke twee-factor authenticatie processen zijn te verslaan. Bedrijven moeten hun gebruikers en accounts via een drie-laagse aanpak beschermen die sterkere authenticatie, fraude detectie en transactie verificatie gebruikt."
een challenge/response wordt gevraagd over de volgende parameters:
- door de bank gegenereerde code, in het beeldscherm getoond
- bedrag
- tegenrekening nummer
Hier kan een trojan/mitm/mitb niet doorheen breken, iedere (verborgen) wijziging leidt automatisch tot een ongeldige respons.
EJ
een challenge/response wordt gevraagd over de volgende parameters:
- door de bank gegenereerde code, in het beeldscherm getoond
- bedrag
- tegenrekening nummer
Hier kan een trojan/mitm/mitb niet doorheen breken, iedere (verborgen) wijziging leidt automatisch tot een ongeldige respons.
EJ
Fortis België doet hetzelfde, maar het criterium is verschillend: het doet dit voor de eerste keer dat je naar een rekening overschrijft, onafhandelijk van het bedrag. Elke nieuwe tegenrekening moet dus gevalideerd worden.
Misbruik is echter nog steeds mogelijk, door eerst een klein bedrag over te schrijven in de hoop dat dit geen argwaan opwekt bij de gebruiker, en later, na validatie, een groot bedrag.
Hoezo? Bij MITB wijzigen ze dat wat je naar de bank stuurt, maar niet dat wat je van de bank krijgt. Een TAN die via sms wordt toegestuurd is dus nog steeds te beinvloeden.
Ik vraag me eerlijk gezegd af of het systeem van de rabobank ook voldoende is. In mijn ogen zijn die code's middels een algoritme opgesteld met als basis je chip met pincode. Wanneer je het algoritme weet kan je alle benodigde codes genereren toch? Ik heb in al die jaren één keer een andere kaartlezer gekregen omdat het batterij'tje op was. Dus lijkt het mij dat het algoritme nooit veranderd is. Of sla ik nu compleet de plank mis?
/iluvatar
Dus om die "beveiliging" kun je ook heen.
http://www.youtube.com/watch?v=mPZrkeHMDJ8&fmt=18
"The Zone Trusted Information Channel (ZTIC) plugs into the USB port of any computer and creates a direct, secure channel to a bank's online transaction server, bypassing the PC which could be infected by malicious software (malware) or susceptible to hacker attacks."
Ik vraag me eerlijk gezegd af of het systeem van de rabobank ook voldoende is. In mijn ogen zijn die code's middels een algoritme opgesteld met als basis je chip met pincode. Wanneer je het algoritme weet kan je alle benodigde codes genereren toch? Ik heb in al die jaren één keer een andere kaartlezer gekregen omdat het batterij'tje op was. Dus lijkt het mij dat het algoritme nooit veranderd is. Of sla ik nu compleet de plank mis?
Het algoritme zit niet in de kaartlezer maar in de kaart. Waarschijnlijk wordt asymetrische cryptografie gebruikt, zoals RSA. Het geheim is dan de private key en die wordt beschermd door de chipkaart.
Dus om die "beveiliging" kun je ook heen.
Leg eens uit "hoe" dan?
Ik heb een tijdje zitten piekeren, maar ik zie het niet.
Hoezo? Bij MITB wijzigen ze dat wat je naar de bank stuurt, maar niet dat wat je van de bank krijgt. Een TAN die via sms wordt toegestuurd is dus nog steeds te beinvloeden.
Er wordt in het artikel aangegeven dat die SMS-jes opgevangen kunnen worden door ze om te leiden. De postbank (met z'n TAN codes op papier) hebben een echte out-of-band oplossing. Alleen moet je dan voorkomen dat mensen op grond van een phish grotere aantallen TAN's gaan invoeren in foute websites.
Peter
Er wordt in het artikel aangegeven dat die SMS-jes opgevangen kunnen worden door ze om te leiden. De postbank (met z'n TAN codes op papier) hebben een echte out-of-band oplossing. Alleen moet je dan voorkomen dat mensen op grond van een phish grotere aantallen TAN's gaan invoeren in foute websites.
Peter
En je moet voorkomen dat dat papiertje of je telefoon wordt gestolen. Diefstal van een kaartlezer is heel veel minder lucratief. Het postbank systeem is niet zo goed als sommigen hier willen doen geloven.
EJ
Er wordt in het artikel aangegeven dat die SMS-jes opgevangen kunnen worden door ze om te leiden. De postbank (met z'n TAN codes op papier) hebben een echte out-of-band oplossing. Alleen moet je dan voorkomen dat mensen op grond van een phish grotere aantallen TAN's gaan invoeren in foute websites.
Peter
En je moet voorkomen dat dat papiertje of je telefoon wordt gestolen. Diefstal van een kaartlezer is heel veel minder lucratief. Het postbank systeem is niet zo goed als sommigen hier willen doen geloven.
EJ
Je vergeet dat je de kaartlezer helemaal niet hoeft te stelen om een man in the middle aanval uit te voeren.
Dat tegenover het feit dat je én de inlog naam én de telefoon moet stelen in het postbank geval.
Nee... het postbank systeem is veel beter dan jij ons wilt laten geloven.. :-)
Carol
Er wordt in het artikel aangegeven dat die SMS-jes opgevangen kunnen worden door ze om te leiden. De postbank (met z'n TAN codes op papier) hebben een echte out-of-band oplossing. Alleen moet je dan voorkomen dat mensen op grond van een phish grotere aantallen TAN's gaan invoeren in foute websites.
Peter
En je moet voorkomen dat dat papiertje of je telefoon wordt gestolen. Diefstal van een kaartlezer is heel veel minder lucratief. Het postbank systeem is niet zo goed als sommigen hier willen doen geloven.
EJ
Je vergeet dat je de kaartlezer helemaal niet hoeft te stelen om een man in the middle aanval uit te voeren.
Dat tegenover het feit dat je én de inlog naam én de telefoon moet stelen in het postbank geval.
Nee... het postbank systeem is veel beter dan jij ons wilt laten geloven.. :-)
Carol
Duh, een systeem waar geen MITM mogelijk is tegen een systeem waarbij dat wel kan (postbank), zie ook het type nokia die identiteit van een andere telefoon kan overnemen...
Weet ik meer dan jij? :)
Ik zal never ever een postbank rekening nemen. Ik adviseer ook anderen dat niet te doen.
EJ
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
