"Veilig internetbankieren taak van banken"
De makers van een berucht Trojaans paard hebben een manier gevonden om een populaire plugin voor veilig internetbankieren uit te schakelen, wat volgens een expert aantoont dat banken meer moeten doen. Trusteer Rapport is een browser plugin die de communicatie van keyboard naar website beveiligt. Volgens ontwikkelaar Trusteer is de software in staat om Man–in-the-Browser, Man-in-the-middle, phishing, en andere aanvallen tegen eindgebruikers te detecteren.
Wereldwijd gebruiken zo’n vier miljoen consumenten de plugin om veilig te kunnen internetbankieren. Maar die veiligheid staat op losse schroeven, nu het Delftse beveiligingsbedrijf Fox-IT een nieuwe variant van de Zeus Trojan heeft ontdekt die de plugin laat crashen. Het beveiligingsbedrijf ontdekte twee Zeus controle servers die tools aanbieden om dit te doen.
Trusteer laat in een reactie aan Security.nl weten dat de aanval niet nieuw is en dat de software banken voor zo’n aanval waarschuwt. “Zodra de aanval is gelanceerd, stopt de 'hartslag' van Trusteer en krijgt de bank een waarschuwing”, zegt CEO Mickey Boodaei. De criminelen doen zich zo meer kwaad dan goed. “Trusteer was met de veronderstelling gebouwd dat criminelen er toegang toe krijgen en het uitschakelen en daardoor zichzelf onthullen, waardoor de bank de fraude kan voorkomen.”
Met name Amerikaanse en Britse banken gebruiken Trusteer Rapport, waaronder ING Direct, Royal Bank of Scotland en sinds kort HSBC. De plugin werkt alleen op Windows en Mac, tot grote onvrede van Linux-gebruikers
Zeus
De Zeus Trojan begint inmiddels een ware plaag voor zowel eindgebruikers als bedrijven te worden. De malware is voor een paar honderd euro op de zwarte markt verkrijgbaar en eenvoudig aan te passen. Daardoor kunnen cybercriminelen zonder al teveel kennis hun eigen Zeus-botnet starten. Volgens beveiligingsbedrijf Damballa bestond vorig jaar 19% van alle botnets uit de Zeus-bot. Met name in de Verenigde Staten is Zeus erg actief. Onlangs waarschuwde NetWitness dat het 75.000 met Zeus besmette bedrijfscomputers had ontdekt.
Vals gevoel van veiligheid
Volgens Jeroen Herlaar, Business Unit Manager MSS bij Fox-IT, laat de aanval vooral zien dat criminelen in staat zijn om gespecialiseerde endpoint oplossing onschadelijk te maken. “Daardoor worden grote groepen consumenten, maar ook banken, met een vals gevoel van veiligheid opgezadeld”, zegt hij tegen Security.nl. Wat betreft de hartslag van Trusteer die wegvalt is het aan de bank om hier iets mee te doen, maar dat ligt aan de implementatie van de bank aan de achterkant, aldus Herlaar. Het kan dat banken het internetbankieren voor klanten blokkeren. Dat zorgt voor allerlei micromanagement. “Als opeens tienduizend klanten van online bankieren worden afgesloten, dan heb je natuurlijk wel een probleem. Dan krijg je een soort denial of service idee, waardoor je klanten niet kunnen bankieren.”
De makers van Zeus zijn zeer uitgekookt, het toevoegen van de optie om Trusteer uit te schakelen kan mogelijk onderdeel van een poging zijn om de “hartslag” na te bootsen.
Trusteer beschouwt de oplossing niet als een pure endpoint oplossing. Toch maakt Herlaar duidelijk dat die wel kwetsbaar zijn. “En het zal altijd kwetsbaar blijven, omdat de aanvaller ook over de software kan beschikken.” Als de makers van Zeus straks in staat zijn om Rapport uit te schakelen of de hartslag te vervalsen, dan hebben de banken volgens Herlaar een probleem en iets aan hun klanten uit te leggen.
Zowel bank als consument moeten beseffen dat de PC van klant een “ongecontroleerd stuk infra is, waar de bank geen 100% invloed op kan uitoefenen”, zo merkt de expert op.
Gedragsprofiel
Herlaar vindt dat banken meer moeten investeren in het monitoren van transacties. Het gaat dan om het herkennen van gedragspatronen in geldstromen die op frauduleus handelen duiden. Het knelpunt voor cybercriminelen blijft namelijk het katvanger verhaal. Mensen die hun rekening ter beschikking stellen en het gestolen geld opnemen om vervolgens via Western Union naar de criminelen over te maken. “Je kan natuurlijk monitoren waar geld naar toe gaat.” Banken zouden over een langere termijn gedragsprofielen kunnen opbouwen om vreemd gedrag te gaan herkennen. “Aan één transactie zal je het waarschijnlijk niet gaan zien.”
Consumenten
Op de vraag wat consumenten kunnen doen is Herlaar duidelijk. “Standaard anti-virus oplossingen falen. Dat kun je nog moeilijk adviseren.” Toch doen gebruikers er wel verstandig aan om een virusscanner te installeren. “Voor hetzelfde geld heb je een keer mazzel.” Wat betreft USB-sticks en Boot CD’s is dit voor doorsnee consumenten niet praktisch. “Dat kun je je oma van 86 niet uitleggen, die wil gewoon de computer aanzetten en gebruiken. Die beschouwt het als water uit de kraan.” Herlaar heeft dan ook geen echt advies voor consumenten.
Verantwoordelijkheid
In Nederland ligt de verantwoordelijkheid voor een geplunderde rekening bij de banken. “En dat is ook terecht. Want de macht, het geld en de mogelijkheden om er wat aan te doen ligt ook bij de banken en niet bij de individuele consument. Je kunt je er niet tegen beveiligen of je moet met CD’s aan de slag” Vanwege de imagoschade en het vergoeden van de kosten, hebben banken wel de motivatie om er iets aan te doen.
In Amerika is dat anders, daar draaien bedrijven uiteindelijk zelf voor de schade op. “Ik vind het heel kort door de bocht om te zeggen dat je maar je computer moet beveiligen. Consumenten hebben de mogelijkheid niet om hun computer te beveiligen. Alle middelen die ze ter beschikking staan, die falen. Helaas.”
Nederlandse banken proberen er volgens Herlaar wel wat aan te doen, maar het is een moeilijk vraagstuk. “Het is in ieder geval duidelijk dat endpoint oplossingen niet de heilige graal zijn.”
Toch lees ik in algemene voorwaarden van ABN-AMRO (te downloaden via hun site) in artikel 13 II het volgende:
" De cliënt zal zorgvuldig en veilig omgaan met Communi-
caties en Communicatiekanalen (met inbegrip van het
Elektronisch Klantdomein), alsmede bij Communicatie via
het Elektronisch Klantdomein en bij overige elektronische
Communicatie alleen gebruikmaken van geschikte, veilige
apparatuur en programmatuur met toepassing van de
meest actuele veiligheidsmaatregelen, antivirusprogram-
matuur en frewall(s), tegen virussen, spyware, phishing
en ander misbruik."
M.a.w. mijn interpretatie is dat ze een deel 't probleem naar de klant schuiven.
Toch lees ik in algemene voorwaarden van ABN-AMRO (te downloaden via hun site) in artikel 13 II het volgende:
" De cliënt zal zorgvuldig en veilig omgaan met Communi-
caties en Communicatiekanalen (met inbegrip van het
Elektronisch Klantdomein), alsmede bij Communicatie via
het Elektronisch Klantdomein en bij overige elektronische
Communicatie alleen gebruikmaken van geschikte, veilige
apparatuur en programmatuur met toepassing van de
meest actuele veiligheidsmaatregelen, antivirusprogram-
matuur en frewall(s), tegen virussen, spyware, phishing
en ander misbruik."
M.a.w. mijn interpretatie is dat ze een deel 't probleem naar de klant schuiven.
Nee, maar ze eisen wel, dat de klant zijn deel van het werk doet. Zouden ze dat niet doen, dan kunnen ze eigenlijk alleen bankieren vanuit het dichtstbijzijnde filiaal toelaten. Bovendien bevat de eis de verplichting om met de e-dentifier enigzins zorgvuldig om te gaan...
Als bank zou ik willen dat al mijn klanten kunnen internetbankieren. Het hele idee is dat ze dit via hun eigen computer thuis kunnen doen. Deze computers zijn, zoals het artikel al stelt, eigenlijk niet te beveiligen. Dus is het volgens mij sowieso niet mogelijk om echt geheim te houden wat iemand op zijn rekening heeft staan en wanneer hij een overboeking maakt en andere privacygevoelige dingen. De informatie moet op een gegeven moment toch naar het scherm van de gebruiker waar het via een slimme trojan vanaf te lezen is, hoeveel encryptie e.d. je ook in de verbinding stopt.
Echter om te zeggen dat de bankrekening geplunderd kan worden is fout. Alle Nederlandse banken doen aan een extra authenticatiemethode voor daadwerkelijke overboekingen die niet via de computer loopt. Postbank (en nu een aantal klanten van de ING dus) doet dit via de mobile telefoon, andere banken via een apart apparaatje. Hierdoor kan een hacker niet zomaar je bankrekening plunderen wanneer hij volledige controle heeft over je computer.
Als bank zou ik willen dat al mijn klanten kunnen internetbankieren. Het hele idee is dat ze dit via hun eigen computer thuis kunnen doen. Deze computers zijn, zoals het artikel al stelt, eigenlijk niet te beveiligen. Dus is het volgens mij sowieso niet mogelijk om echt geheim te houden wat iemand op zijn rekening heeft staan en wanneer hij een overboeking maakt en andere privacygevoelige dingen. De informatie moet op een gegeven moment toch naar het scherm van de gebruiker waar het via een slimme trojan vanaf te lezen is, hoeveel encryptie e.d. je ook in de verbinding stopt.
Echter om te zeggen dat de bankrekening geplunderd kan worden is fout. Alle Nederlandse banken doen aan een extra authenticatiemethode voor daadwerkelijke overboekingen die niet via de computer loopt. Postbank (en nu een aantal klanten van de ING dus) doet dit via de mobile telefoon, andere banken via een apart apparaatje. Hierdoor kan een hacker niet zomaar je bankrekening plunderen wanneer hij volledige controle heeft over je computer.
Dit is maar deels waar. Met banking trojans is het wel degelijk mogelijk dat criminelen geld van jouw rekening overmaken naar een rekening van een MoneyMule zonder dat jij dat door hebt. Ondanks de authenticatiemethoden. Dat is namelijk het hele issue.
Wat is het alternatief? Het hele internetbankieren maar afschaffen?
Ik gebruik Linux zonder antivirus, hoe zou dat aflopen als mn rekening geplunderd wordt?
Daarnaast: Je kan volgens mij je oma van 86 best vertellen dat ze deze 'usb-sleutel' in de pc moet stoppen om te bankieren (boot van usb) en deze er weer uithalen als ze klaar is.
*DISCLAIMER* Ik gebruik zelf geen live systeem voor internetbankieren.
Piet
Een computer is geen water uit de kraan. En mensen moeten daarin worden voorgelicht en daarvan doordrongen worden. Ook omwille van hun privacy, en die van anderen.
Het is ook niet de banken die de prijs betalen van de fraude, die komt uiteindelijk toch op het bordje van alle bank-klanten. Dus degenen die wel verantwoordelijk werken op hun computers betalen uiteindelijk voor degenen die er onzorgvuldig mee zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
