image

ING-virus wijzigt sms voor kapen TAN-codes

vrijdag 7 oktober 2011, 12:24 door Redactie, 15 reacties

Er is een variant van de SpyEye Trojan ontdekt, die een nieuwe manier toepast om TAN-codes voor internetbankieren te kapen. De malware is in staat om klanten van de ING en andere Nederlandse banken aan te vallen. De nieuwste variant wijzigt het mobiele telefoonnummer dat aan de bankrekening is gekoppeld en waarop de TAN-codes binnenkomen. Vervolgens kunnen de aanvallers dan transacties uitvoeren zonder dat het slachtoffer dit doorheeft.

In het geval van ING, waar klanten in augustus nog door SpyEye werden getroffen, blijkt de malware het telefoonnummer niet te kunnen wijzigen. De bank gebruikt hiervoor een procedure waarbij klanten bij een ING-kantoor of postkantoor een activeringscode moeten ophalen. Vervolgens kan men dan een nieuw mobiel nummer invoeren en via de activeringscode de TAN-functie weer activeren.

De eerste stap van de aanval bestaat uit het stelen van de gegevens voor het internetbankieren, iets dat standaard voor banking Trojans zoals Zeus en SpyEye is. Zo kunnen de aanvallers inloggen, maar nog geen transacties uitvoeren. De tweede stap is het wijzigen van het telefoonnummer. Om deze aanval uit te voeren heeft de aanvaller de bevestigingscode nodig die de bank naar de originele telefoon van de klant stuurt.

Waterdicht
Om deze code te stelen past de aanvaller de nodige social engineering toe. SpyEye injecteert als eerste een frauduleuze pagina tijdens het internetbankieren. Deze pagina stelt dat de bank een nieuw beveiligingssysteem heeft ingesteld waarvoor de klant zich moet registreren. De website legt uit dat de klant een nieuw telefoonnummer krijgt en via de post een speciale simkaart zal ontvangen.

De gebruiker wordt vervolgens gevraagd om een persoonlijke bevestigingscode in te voeren die ze op de mobiele telefoon ontvangen. Dit is de door de bank verstuurde code waarmee de aanvallers het mobiele nummer kunnen wijzigen.

Nu de aanvallers de TAN-codes via hun eigen telefoonnetwerk ontvangen, kunnen ze transacties uitvoeren zonder dat dit door fraudedetectiesystemen wordt opgemerkt, aldus beveiligingsbedrijf Trusteer. De beveiliger stelt dat op sms-gebaseerde oplossingen dan ook niet waterdicht zijn.

Update 13:19 - ING procedure toegevoegd

Reacties (15)
07-10-2011, 13:08 door Anoniem
Welk systeem is waterdicht als je social engineering toepast?

Het hele betalingssysteem is niet waterdicht, want je kunt ook gewoon een valse factuur sturen. Die wordt in veel gevallen ook gewoon betaald.

Peter
07-10-2011, 13:49 door choi
Geen enkel systeem is waterdicht maar met die TAN codes kan je wachten op ongelukken.
Een poos terug ging mijn Android vreemd doen op het moment dat ik het bericht met de TAN code opende en ineens was mijn interface in het Pools. Sessie gelijk maar afgesloten en cache geleegd....

Inmiddels kunnen ze met simpele javascript ook zien waar en wanneer je bent ingelogt. Met een beetje fantasie kan je daar ook weer leuke dingen mee doen: https://grepular.com/Abusing_HTTP_Status_Codes_to_Expose_Private_Information
07-10-2011, 14:03 door Anoniem
Leuke malware

Er is nog steeds gebruikersinteractie & social engineering nodig om dit toe te passen.

Elk systeem kan gekraakt wordt maar niet elk systeem kan even snel & gemakkelijk gekraakt worden.

Tan by SMS is in mijn optiek nog steeds het beste compromis tussen security & gebruiksgemak
07-10-2011, 16:25 door Anoniem
Bestaat het soort mens nog dat überhaupt persoonlijke, "geheime" informatie invoert of zaken bevestigd op een site waar ssl niet klopt, zaken er niet vertrouwd uitzien en waar twijfelachtige vragen worden gestuurd.

Tot slot, de enige veiligheid is de illusie van veiligheid. Mensen zijn altijd de zwakste schakel!
08-10-2011, 03:42 door Anoniem
uit de reacties begrijp ik dat het risico bij smartphones en draadloze wifi communicatie ligt. Is dat zo? Dan is de remedie toch ook eenvoudig?
08-10-2011, 09:08 door Anoniem
huh sinds wanneer kun je het 06 nummer bij ING wijzigen zonder dat dit een week duurt voordat je een afhaal bericht in de bus krijgt?
08-10-2011, 09:51 door choi
Door Anoniem: uit de reacties begrijp ik dat het risico bij smartphones en draadloze wifi communicatie ligt. Is dat zo? Dan is de remedie toch ook eenvoudig?

Nee, per sé.
Deze variant van SpyeEye is malware die je computer besmet en ook gebruik maakt van een nep website.

Het voorbeeld van m'n Android was meer om aan te geven dat TAN via SMS i.c.m andere technieken wel eens heel erg kwetsbaar kan worden voor nieuwe aanvallen.
08-10-2011, 17:55 door johanw
Het blijft opvallend dat het iedere keer ING is dat aangevallen wordt. ING roept wel dat het TAN systeem net zo veilig is als het systeem met random readers dat alle andere Nederlandse banken gebruiken maar in de praktijk blijkt dat dus niet zo te zijn.
08-10-2011, 19:27 door Obi1r
Als ik dan op een andere site terecht kom terwijl ik betalen wil die zegt: 'Dat ik een nieuw telefoonnummer krijg en via de post een speciale simkaart zal ontvangen' moet je wel van een andere planeet komen wil je geen argwaan krijgen!
09-10-2011, 08:50 door Anoniem
Blij dat ik bij de Rabo zit!
09-10-2011, 12:34 door Anoniem
Ik krijg ook regelmatig e-mails die zogenaamd over mijn ING-rekening gaan. Ze vallen meteen op door een spelfout in de subject-regel. Maar .. ik ben al 15 jaar niet meer bij ING resp de Postbank. Blijkbaar deze mensen strooien hun e-mails breed rond - erg amateuristisch. Of ze zouden in staat zijn heel diverse gegevens aan elkaar te koppelen: mijn 15 jaar oude Postbank-rekeningnummer met mijn huidige e-mailadres bij een andere provider dan toen. Dat lijkt mij sterk.
10-10-2011, 13:58 door Anoniem
welke oelewapper accepteert klakkeloos het bericht dat men een nieuw sim-kaartje zal ontvangen met nieuw telefoonnummer....
Dat moet wel de grootste boer op aarde zijn.
10-10-2011, 16:36 door Night
Door Anoniem: welke oelewapper accepteert klakkeloos het bericht dat men een nieuw sim-kaartje zal ontvangen met nieuw telefoonnummer....
Dat moet wel de grootste boer op aarde zijn.

Er zijn aardig wat "boeren" op deze aarde. Het is één van de grootste beroepsgroepen. Ik ben zelf ICT-er van beroep maar ook de zoon van een agrariër en ik heb een beeld bij het woord boer, maar ik begrijp niet wat het woord boer te maken heeft met mensen die in social engineering trappen.
12-10-2011, 22:19 door Anoniem
Het ING systeem en netwerk is zo lek als een mandje. Niet alleen beschikken de op dit moment nog steeds actieve fraudeurs over vertrouwelijke gegevens die alleen bij klant en bank bekend zijn, maar verkrijgen deze informatie via de op de webpagina's van de ing geïnjecteerde javascripts. Dus geen lokaal virus maar gewoon ICT-broddelwerk wat al MAANDEN LANG aan de hand is en wordt stilgehouden.... Een wonder dat een zo kapitaalkrachtige instelling zo weinig investeert in zijn eigen beveiliging.

En wat doet de bank naar zijn klanten? Men zwijgt in alle toonaarden. Dit is geen grapje!
05-11-2011, 10:56 door DgHlmnd
Ik ben het daar mee eens. Ik adviseer niet om tim te installeren. Een keer doen en je bent gekaapt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.