Nieuws
image

Man in de Browser manipuleert internetbankieren

vrijdag 19 februari 2010, 11:13 door Redactie, 10 reacties

Niet alleen twee-factor authenticatie, ook transacties en rekeningoverzichten zijn door malware te manipuleren. Bij een man-in-the-browser aanval draait het om het bespioneren en kapen van browser sessies, en dan voornamelijk die van internetbankieren. Wat de gebruiker op zijn of haar scherm ziet, is niet hetzelfde dat naar de bank wordt gestuurd. Terwijl wat de server ziet, niet hetgeen is dat de gebruiker wilde versturen. Verschillende malware zoals Zeus en URLZone worden actief ingezet om bankrekeningen te plunderen.

Zeus
Atif Mushtaq van beveiligingsbedrijf FireEye beschrijft verschillende scenario's hoe cybercriminelen deze malware inzetten. Sommige Amerikaanse banken laten hun klanten via een gebruikersnaam en wachtwoord van een bekende computer inloggen. Gebruikt de klant een onbekende computer, dan moet hij zich eerst via SMS authenticeren. De gebruiker heeft dan twee minuten de tijd om deze code in te voeren en vervolgens in te loggen.

Is Zeus actief op de machine, dan krijgt de gebruiker op de banksite twee keer een scherm te zien dat hij een SMS-code moet opvragen. De eerste keer is een verzoek van de bank, maar de tweede keer is het de Zeus bot. Die stuurt de code door naar de criminelen, die de code gebruiken om vanaf een andere locatie transacties uit te voeren.

Manipulatie
Een andere beruchte "bankovervaller" is URLZone. Deze malware probeert de twee-factor authenticatie niet te omzeilen, maar wijzigt de transactiegegevens en overzichten die de gebruiker op zijn of haar scherm ziet. Zowel de bank als de gebruiker krijgen gemanipuleerde informatie toegestuurd. Zeus en URLZone zijn via een toolkit te maken en aan te passen. "Dat meerdere criminele bendes toegang tot dit soort tools hebben is beangstigend. Het is niet genoeg om een enkel botnet of bende uit te schakelen", aldus Mushtaq. Hij merkt op dat er nog veel meer malware in omloop is die zich in de browser nestelt. "Misschien wordt het tijd dat we de beveiliging van onze banken eens goed bekijken. Kunnen zij ons tegen man-in-the-brower aanvallen beschermen?"

Reacties (10)
19-02-2010, 11:24 door Anoniem
Tjemig, wat een nieuws..... FireEye loopt voorop kunnen we wel zeggen....
19-02-2010, 12:04 door Eerde
Wat heb ik aan dit *kuch* oude nieuws ?
Zijn er Nederlandse bankrekeningen geplunderd ?
Welke systemen zijn waarom kwetsbaar ?

Flutjounalistiek :(
19-02-2010, 12:33 door SirDice
Niet alleen twee-factor authenticatie, ook transacties en rekeningoverzichten zijn door malware te manipuleren. Bij een man-in-the-browser aanval draait het om het bespioneren en kapen van browser sessies, en dan voornamelijk die van internetbankieren. Wat de gebruiker op zijn of haar scherm ziet, is niet hetzelfde dat naar de bank wordt gestuurd. Terwijl wat de server ziet, niet hetgeen is dat de gebruiker wilde versturen.
Volgens mij werkt dit niet bij bijv. Fortis. Als je iets overboekt krijg je een challenge/response, hier zit ook het over te boeken bedrag bij. Als het bedrag wat op het scherm staat niet klopt met het bedrag wat daadwerkelijk overgeboekt wordt klopt de response niet en wordt er dus niets uitgevoerd.
19-02-2010, 12:44 door Anoniem
Het detecteren van een MIDB is wel mogelijk maar heeft wel een hoge prijs, dit gaat namelijk ten koste van het milieu. Maar goed voor alle natuur-beulen hier de enige echte 99,99% detectie tip (niet tegen je bank vertellen): Zet je afschriften weer aan zodat je deze op papier in je brievenbus ontvangt en je jouw betalingen kan controleren. Zijn deze echter ook gemanipuleerd; dan rest alleen nog applaus voor die man in het midden en eventueel jouw postbode.

@SirDice: Een challenge-wat? Ik voer slechts uit wat er op mijn scherm staat, iets met knopjes en cijfers invullen. Als ik zou willen begrijpen waarom dat zo is of hoe dat werkt dan zou ik er wel mijn studie van maken. Ik wil (moet) alleen iets betalen en bekijken. Betalen is een middel, geen doel.
19-02-2010, 13:45 door [Account Verwijderd]
[Verwijderd]
19-02-2010, 15:55 door Anoniem
Door Peter V:
dit gaat namelijk ten koste van het milieu
Pas maar op. Er zijn heel wat milieu-leugenaars actief in dit land.

Kijk. Dat is nou eens een on-topic nuttige reactie.
Dit is zeker een complot van milieuterroristen?
20-02-2010, 14:32 door Anoniem
Toch maar weer die bootcd/-stick (mits deze gegarandeerd schoon is) gebruiken.
zie http://www.security.nl/artikel/32452/1/USB-stick_voor_veilig_internetbankieren.html
21-02-2010, 19:37 door Anoniem
Door SirDice:
Niet alleen twee-factor authenticatie, ook transacties en rekeningoverzichten zijn door malware te manipuleren. Bij een man-in-the-browser aanval draait het om het bespioneren en kapen van browser sessies, en dan voornamelijk die van internetbankieren. Wat de gebruiker op zijn of haar scherm ziet, is niet hetzelfde dat naar de bank wordt gestuurd. Terwijl wat de server ziet, niet hetgeen is dat de gebruiker wilde versturen.
Volgens mij werkt dit niet bij bijv. Fortis. Als je iets overboekt krijg je een challenge/response, hier zit ook het over te boeken bedrag bij. Als het bedrag wat op het scherm staat niet klopt met het bedrag wat daadwerkelijk overgeboekt wordt klopt de response niet en wordt er dus niets uitgevoerd.


Dat is correct, want MitB aanval kan nooit de correcte response zelf aanmaken of hier een aanpassing in maken zodat een ander bedrag wordt overgezet.
Dat is ook weer het enigste dat niet aangepast kan worden. Terwijl het bedrag onaangepast blijft, kan het rekeningsnummer van de begunstigde wel aangepast worden.. En afhankelijk vanaf welk bedrag de MitB aanval getriggered wordt, kan je nog al dan niet veel geld kwijt zijn.
22-02-2010, 01:31 door Skizmo
Door Peter V:
dit gaat namelijk ten koste van het milieu
Pas maar op. Er zijn heel wat milieu-leugenaars actief in dit land.
milieugenaars ?
28-02-2010, 18:02 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure