Er is een variant van de SpyEye Trojan ontdekt, die een nieuwe manier toepast om TAN-codes voor internetbankieren te kapen. De malware is in staat om klanten van de ING en andere Nederlandse banken aan te vallen. De nieuwste variant wijzigt het mobiele telefoonnummer dat aan de bankrekening is gekoppeld en waarop de TAN-codes binnenkomen. Vervolgens kunnen de aanvallers dan transacties uitvoeren zonder dat het slachtoffer dit doorheeft.
In het geval van ING, waar klanten in augustus nog door SpyEye werden getroffen, blijkt de malware het telefoonnummer niet te kunnen wijzigen. De bank gebruikt hiervoor een procedure waarbij klanten bij een ING-kantoor of postkantoor een activeringscode moeten ophalen. Vervolgens kan men dan een nieuw mobiel nummer invoeren en via de activeringscode de TAN-functie weer activeren.
De eerste stap van de aanval bestaat uit het stelen van de gegevens voor het internetbankieren, iets dat standaard voor banking Trojans zoals Zeus en SpyEye is. Zo kunnen de aanvallers inloggen, maar nog geen transacties uitvoeren. De tweede stap is het wijzigen van het telefoonnummer. Om deze aanval uit te voeren heeft de aanvaller de bevestigingscode nodig die de bank naar de originele telefoon van de klant stuurt.
Waterdicht
Om deze code te stelen past de aanvaller de nodige social engineering toe. SpyEye injecteert als eerste een frauduleuze pagina tijdens het internetbankieren. Deze pagina stelt dat de bank een nieuw beveiligingssysteem heeft ingesteld waarvoor de klant zich moet registreren. De website legt uit dat de klant een nieuw telefoonnummer krijgt en via de post een speciale simkaart zal ontvangen.
De gebruiker wordt vervolgens gevraagd om een persoonlijke bevestigingscode in te voeren die ze op de mobiele telefoon ontvangen. Dit is de door de bank verstuurde code waarmee de aanvallers het mobiele nummer kunnen wijzigen.
Nu de aanvallers de TAN-codes via hun eigen telefoonnetwerk ontvangen, kunnen ze transacties uitvoeren zonder dat dit door fraudedetectiesystemen wordt opgemerkt, aldus beveiligingsbedrijf Trusteer. De beveiliger stelt dat op sms-gebaseerde oplossingen dan ook niet waterdicht zijn.
Update 13:19 - ING procedure toegevoegd
Deze posting is gelocked. Reageren is niet meer mogelijk.