image

"Niet internetbankieren via WiFi hotspots"

zondag 13 februari 2011, 13:51 door Redactie, 9 reacties

Op vliegvelden waar het niet mogelijk is om via de aangeboden hotspots een VPN op te zetten, doen reizigers er verstandig aan om een UTP-kabel te gebruiken en niet te internetbankieren. Net als bij andere openbare WiFi-gelegenheden is het eenvoudig voor aanvallers om onversleutelde verkeer te onderscheppen. Een VPN biedt in dit geval uitkomst, maar wordt niet overal toegestaan. "In veel gevallen wordt de VPN-verbinding gefilterd en geblokkeerd door de firewall", zegt Dmitry Bestuzhev van Kaspersky Lab.

De meeste netwerkbeheerders zouden VPN-verbindingen vanaf WiFi access points niet toestaan omdat ze niet willen dat het netwerk voor kwaadaardige doeleinden wordt gebruikt, zonder dat hier netwerklogs van zijn. 'Dit soort beleid laat aanvallers zeer eenvoudig man-in-the-middle aanvallen uitvoeren, waarbij al het verkeer via een kwaadaardige host loopt."

In het geval van een VPN-blokkade kan SSL uitkomst bieden, maar moeten gebruikers wel goed op certificaat-waarschuwingen letten. Een betere oplossing is het gebruik van een UTP-kabel. "Hoe dan ook, het is beter om niet te internetbankieren of online betaaldiensten te gebruiken. Deze gegevens zijn het voornaamste doelwit voor criminelen", aldus Bestuzhev.

Reacties (9)
13-02-2011, 15:30 door Brian
vaak word wifi aangeboden als service, maar een walloutlet zie je toch niet veel. tenminste, ik heb ze bij de McDonalds niet kunnen ontdekken.
en als je via wifi niet mag VPN-en, mag dat dan wel via UTP?
13-02-2011, 15:49 door Skizmo
Op vliegvelden waar het niet mogelijk is om via de aangeboden hotspots een VPN op te zetten, doen reizigers er verstandig aan om een UTP-kabel te gebruiken
Dan moet ik een kabel van huis naar het vliegveld leggen... gaat denk ik niet lukken.
13-02-2011, 16:34 door Eerde
...doen reizigers er verstandig aan om een UTP-kabel te gebruiken en niet te internetbankieren.
Humor een UTP kabel gebruiken, maar toch niet internetbankieren.
Ik zie verder nog steeds niet hoe men de Rabo's "two factor authentication" middels 'random reader' wil omzeilen ? Inclusief de beveiliging daar daar nog bovenop gestapeld is.
Kijk in een aantal landen heb je nog gewoon: login naam + ww, tsja dan maak je het den boef wel heel zzzimpel ;)
13-02-2011, 17:24 door Syzygy
Met Eerde eens, als heb je iemands username en ww (dat wordt al moeilijk want de site is secure) dan kun je later alleen zijn banksaldo zien en zijn gemaakte transacties. Voor het overboeken van geld heb je toch een code nodig.
13-02-2011, 20:49 door N4ppy
@Eerde,

Als ze er tussen zitten dan kunnen ze extra transacties inserten en die mee laten lopen en het verkeer terug wordt weer bewerkt en daar slopen ze de extras uit.

Dus jij tikt in 10 euro en zij doen 10 + 100 (richting money mule) en sturen dat door. Jij krijgt random reader code voor 110 euro met "bevestiging" voor 10 en die tik je in en zij laten in bevestiging weer alleen 10 euro zien.

Klinkt over the top maar is in duitsland ook gebeurt met bankier software. Is overigens onwaarschijnlijk maar niet onmogelijk en ze moeten wel aanwezig zijn dus groot risico.

Waar ze meer mee kunnen is CC's faceboek logins (ook die zijn geld waard) en andere online zooi. Ook paspoort details etc er valt genoeg te halen.
14-02-2011, 12:45 door Eerde
@N4ppy
Hoogst onwaarschijnlijk dat 'the man in the middle' weet hoe de Rabo het bedrag versleuteld in de 'challenge' en mijn random reader in de 'response'... maar verlicht mij.
14-02-2011, 13:32 door Anoniem
Deze "Niet internetbankieren via WiFi hotspots" begrijp ik (zoals velen hier) ook niet.

De authenticatie gebeurd dmv sterke authenticatie, wachtwoord (pincode) wat je weet en de eenmalige wachtwoorden die bijvoorbeeld de random reader genereerd waar Eerde naar verwijst.
Dit gebeurd in een geincrypteerde SSL sessie, dat maakt het haast onmogelijk transacties te beinvloeden en het verkeer leesbaar af te luisteren.

Graag zou ik wat uitleg zien van Bestuzhev die deze stelling onderbouwd want in mijn ogen slaat hij de plank wat internetbankieren aangaat volledig mis.

grtn
-Rob Buddingh'
CRYPTOCard
15-02-2011, 09:49 door Anoniem
@N4ppy
Hoogst onwaarschijnlijk dat 'the man in the middle' weet hoe de Rabo het bedrag versleuteld in de 'challenge' en mijn random reader in de 'response'... maar verlicht mij.

Hoe die versleuteling werkt, maakt niet uit. De man in the middle stuurt een verzoek naar de Rabobank om 110 euro over te maken. De Rabobank stuurt een challenge voor 110 euro, die door de man in the middle doorgestuurd wordt naar de gebruiker. De gebruiker kan aan de challenge niet zien om welk bedrag het gaat en de random reader vertelt hem dit ook niet. Pas bij grotere bedragen moet je op je random reader ook het bedrag invoeren. Zelfs dan kun je het rekeningnummer van de begunstigde nog aanpassen. Bij nog hogere bedragen zal de random reader ook vragen om dit rekeningnummer in te voeren.

Dit gebeurd in een geincrypteerde SSL sessie, dat maakt het haast onmogelijk transacties te beinvloeden en het verkeer leesbaar af te luisteren.

Dit is iets lastiger. De man in the middle moet de gebruiker laten geloven dat hij met de Rabobank communiceert. Hij vraagt bijvoorbeeld een SSL-certificaat aan voor https://bankieren.rabobonk.nl en hoopt dat de gebruiker het niet door heeft. De man in the middle legt zelf een geldige SSL-verbinding met de Rabobank en stuurt alle benodigde gegevens van de gebruiker door. Het enige wat hij doet is bedragen en/of rekeningnummers aanpassen.
15-02-2011, 12:16 door Anoniem
Dit gebeurd in een geincrypteerde SSL sessie, dat maakt het haast onmogelijk transacties te beinvloeden en het verkeer leesbaar af te luisteren.

Dit is iets lastiger. De man in the middle moet de gebruiker laten geloven dat hij met de Rabobank communiceert. Hij vraagt bijvoorbeeld een SSL-certificaat aan voor https://bankieren.rabobonk.nl en hoopt dat de gebruiker het niet door heeft. De man in the middle legt zelf een geldige SSL-verbinding met de Rabobank en stuurt alle benodigde gegevens van de gebruiker door. Het enige wat hij doet is bedragen en/of rekeningnummers aanpassen.[/quote]
Dat ligt er aan 'waar' de man in de middle zich bevind. Tegenwoordig steeds vaker 'in de browser'.
Hierdoor kan deze de transacties bewerken voordat deze de tunnel in gaan. En vervolgens ook weer als ze uit de tunnel komen en voordat ze aan de gebruiker worden gepresenteerd. De SSL tunnel is dan gewoon een heel normale geldige sessie met de bank.
Dit is ook de reden waarom zelfs two-factor authenticatie dit niet kan afdekken.
Altijd opletten natuurlijk als je drie keer moet signen voor het overmaken van een tientje :) , maar ook hier wordt op ingespeeld door niet al te grote bedragen te stelen.

Betekend dus wel dat je machine eerst 'besmet/geinfecteerd' moet zijn voordat er gebankierd wordt.
Maar ook dit is niet onmogelijk.
- je bent al besmet, maar dit gaat buiten de scope van dit verhaal
- de bank besmet je :) , zie http://www.security.nl/artikel/36191/1/Bank_infecteert_klanten_met_Trojaans_paard.html
- via de onveilige wifi link krijg je een gewijzigde http pagina (hetzij de wifi login page, hetzij any other page) tijdens het browser welke je infecteerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.