Nieuws

Bank aangeklaagd wegens twee-factor authenticatie

woensdag 10 februari 2010, 08:48 door Redactie, 12 reacties

Een Amerikaan bedrijf heeft haar bank aangeklaagd wegens het gebruik van twee-factor authenticatie voor het beveiligen van internetbankieren. Experi-Metal Inc. (EMI) werd vorig jaar slachtoffer van een phishingaanval, waarbij aanvallers ruim 400.000 euro buitmaakten. In eerste instantie gebruikte de Comerica bank certificaten voor het beschermen van online bankrekeningen. Klanten kregen dan eens per jaar een e-mail met een link om een nieuw certificaat te downloaden. Vanwege de fraudegevoeligheid van dit proces besloot de bank in 2008 op twee-factor authenticatie over te stappen. Klanten kregen naast hun gebruikersnaam en wachtwoord ook een token voor het generen van codes.

Op 22 januari ontving een werknemer van EMI een phishingmail, die afkomstig van Comerica leek. De bank beweerde dat er werkzaamheden aan de banksoftware plaatsvonden en de ontvanger alleen via de vermelde link kon inloggen. De werknemer opende de vervalste pagina en logde in met de inloggegevens en gegenereerde security-token. Bijna meteen begonnen de aanvallers met het plunderen van EMI's rekening. In een periode van zo'n drie uur werden 47 transacties naar China, Estland, Finland, Rusland en Schotland gedaan. De bank zou na deze transacties EMI hebben ingelicht, waarop het bedrijf vroeg alle transacties te stoppen, maar uiteindelijk vonden er nog eens 38 transacties plaats. In totaal wisten de aanvallers 407.000 euro te stelen.

Acceptabel
"Op het moment dat Comerica EMI liet overstappen naar de secure token methodologie, wist of had Comerica moeten weten dat experts in de industrie de secure token methodologie, die twee-factor authenticatie gebruikt, al hadden bekritiseerd", aldus één van de aanklachten tegen de bank. Die beweert dat de phishingsite voor elke "alerte persoon" herkenbaar had moeten zijn. Daarnaast houdt het vol dat de gebruikte beveiliging acceptabel is, aangezien ook andere banken die gebruiken.

Eerste Nederlandstalige nep-virusscanner ontdekt

Microsoft monster-update voor Windows

Reacties (12)

10-02-2010, 08:54 door Anoniem

Gebrek aan intelligentie van die medewerker is niet de schuld van die bank lijkt mij.
Het gedrag van de bank dat ze steeds meer beveiligen zal ze in de rechtbank veel helpen.

10-02-2010, 09:24 door Anoniem

Wanneer gaat iemand eens een bank aanklagen omdat ze nog steeds hun emails niet cryptografisch authenticeren? Dat maakt het wel erg simpel voor de vissers die niet kunnen spellen.

10-02-2010, 11:22 door Anoniem

Bank maakt beveiliging beter. Gebruiker trapt in phishing mail. Gebruiker klaagt *bank* aan?
... only in America...

10-02-2010, 12:11 door Anoniem

Het gaat hier wel om Amerika. Iedere normale europeaan zal geen huisdieren in een magnetron stoppen. In de VS staat dit uitdrukkelijk in de gebruiksaanwijzing, daar is al ooit een proces over verloren. Ook Porsche schijnt daar een lied over te kunnen zingen. Volgens verhalen (misschien broodje aap, maar je weet nooit) zou een vader zijn 18-jariege zoon voor het behalen van zijn rijbewijs een Porsche cadeau hebben gedaan. En raad eens? ... dat werd een dodelijk ongeluk. Dus???

10-02-2010, 13:44 door spatieman

dom klik volk heb je overal die niet de tijd nemen om te kijken waar de link op uitkomt,

10-02-2010, 14:11 door Anoniem

De bank is wel te verwijten dat de inlogpagina kennelijk http was en niet https. Anders zie ik geen kans voor een man in the middle.

10-02-2010, 15:32 door RichieB

De fout hier is natuurlijk dat ze wel 2 factor authenticatie gebruikten om in te loggen, maar niet voor het doen van betalingen. Dat is de bank wel degelijk aan te rekenen.

10-02-2010, 15:39 door Anoniem

Ik ga dit bericht maar bewaren voor in discussies met management.

De betere methodes waren vast veel te duur om te implementeren. En ach "wat kan ons nu overkomen"?

1) geld kwijt, verzekeringspremie dus omhoog
2) reputatie schade van hier tot ginder
3) en een mooi ingewikkeld proces aan de broek

Alles bij elkaar kost dit veel meer geld dan het implementeren van die betere technieken.

Volgende keer vooral niet luisteren naar je IT personeel!

10-02-2010, 16:33 door Anoniem

Door Anoniem: Het gaat hier wel om Amerika. Iedere normale europeaan zal geen huisdieren in een magnetron stoppen. In de VS staat dit uitdrukkelijk in de gebruiksaanwijzing, daar is al ooit een proces over verloren. Ook Porsche schijnt daar een lied over te kunnen zingen. Volgens verhalen (misschien broodje aap, maar je weet nooit) zou een vader zijn 18-jariege zoon voor het behalen van zijn rijbewijs een Porsche cadeau hebben gedaan. En raad eens? ... dat werd een dodelijk ongeluk. Dus???

Sorry, maar het huisdieren in de magnetron verhaal is (ook) een broodje aap. Dat is inmiddels algemeen bekend dacht ik? Het is (meen ik) wel een proef-rechtzaak geweest, die verloren is door de aanklager. Er is er nog een van een jongedame die haar haar wilde drogen in de magnetron en dat niet meer kon navertellen. Heerlijke verhalen waar veel mensen intrappen... Het is net een phishing-mail ;-)

10-02-2010, 21:07 door Anoniem

Ik heb nog geen betere combinatie van simpelheid en beveiliging gezien dan het Tan by SMS systeem van de postbank/ING .

Natuurlijk kan dit systeem gekraakt worden maar niet in de tijd die de standaard cyber crimineel eraan wil spenderen.

11-02-2010, 10:26 door Anoniem

"De bank is wel te verwijten dat de inlogpagina kennelijk http was en niet https. Anders zie ik geen kans voor een man in the middle."

Een MiTM attack is, ook wanneer HTTPS wordt gebruikt erg simpel, zolang de aanval maar plaats vindt op je desktop. Immers werkt vrijwel iedere banking trojan op deze wijze. De verbinding tussen je PC en de bank mag dan wel encrypted zijn; dat wil niet zeggen dat op je PC geen informatie onderschept kan worden, of dat je betaalopdrachten niet gemanipuleerd kunnen worden m.b.v. malware.

11-02-2010, 11:25 door cjkos

Door Anoniem:

Net als die arabier met zijn cruise control.

Feit is dat er in Amerika ontelbaar waarschuwingen op bijvoorbeeld een ladder staan puur om zich in te denken tegen dit soort rechtszaken. Voor een niet amerikaan is dit vreemd en aanleiding tot dit soort broodje aap verhalen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer