Trojaans paard steelt mobiele TAN-codes
Beveiligingsonderzoekers hebben een Trojaans paard ontdekt dat mobiele telefoons infecteert om zo sms-berichten met TAN-codes te onderscheppen, waardoor criminelen bankrekeningen kunnen plunderen. Het gaat om een nieuwe versie van de Zeus Trojan, die zowel computers als telefoons infecteert. Eenmaal op de computer actief steelt de malware de gebruikersnaam en wachtwoord voor internetbankieren.
Vervolgens laat Zeus een dialoogvenster zien waarin het om het telefoonnummer en de fabrikant van de mobiele telefoon vraagt. Het slachtoffer ontvangt dan een sms-bericht met een link naar een zogenaamd security certificaat. Het Spaanse beveiligingsbedrijf S21sec dat over de malware bericht, benadrukt dat alleen Symbian en BlackBerry telefoons worden aangevallen. De reden dat de iPhone ontbreekt, komt omdat applicaties hiervoor alleen via Apple AppStore zijn te downloaden. "Tenzij die gejailbreakt is, maar dat is een ander verhaal", aldus David Barroso.
Proxy
De applicatie die het slachtoffer op zijn telefoon installeert doet zich voor als Nokia update, maar is in werkelijkheid een backdoor die via sms-berichten wordt aangestuurd. De aanvaller gebruikt de computer van het slachtoffer als een soort socks/proxy om op de bankrekeningen in te loggen. Vervolgens wordt er een transactie klaargezet, die een mobiele TAN-code vereist. Aangezien ook de telefoon is besmet, stuurt de malware daar de TAN-code door naar de aanvallers, die zo de transactie kunnen bevestigen.
Provider
"Het is duidelijk dat de malware social engineering op verschillende niveaus gebruikt", merkt Barroso op. Ten eerste worden gebruikers misleid met het sms-bericht dat naar een nieuw security certificaat wijst. De mobiele applicatie in kwestie heet "Nokia update', iets wat de meeste gebruikers niet zullen wantrouwen. De malware kan ook de contacten en agenda manipuleren, waardoor verstuurde sms-berichten legitiem lijken.
"We werken met mobiele aanbieders om besmette telefoons te detecteren. Mobiele aanbieders zijn de sleutel bij deze aanval, omdat zij de enige zijn die besmette apparaten kunnen detecteren en alle verbindingen van en naar de mobiele C&C kunnen blokkeren", besluit Barroso."
Professionals
Sean Sullivan van F-Secure merkt op dat de Command & Control inmiddels niet meer online is, waardoor het lastig is om een volledig beeld van de dreiging te krijgen. "Maar gebaseerd op de analyse en configuratiebestanden, is dit niet een eenmalige aanval van een hobbyist. Het is ontwikkeld door individuen met een buitengewone kennis van mobiele applicaties en social engineering." De Finse virusbestrijder verwacht dat de makers van deze Zeus versie met de ontwikkeling zullen doorgaan.
Klinkt misschien luxe, maar ik heb een Limo besturing. Naar mijn weten is het van Linux.
Moet ik er nu vanuit gaan dat ik veilig ben? Of horen we morgen dat ie tóch ook andere OS'en aanvalt...
Dit soort dingen voedt mijn voorkeur voor apparaten die niet alles tegelijk proberen te zijn. Mijn telefoon gebruik ik om te telefoneren en sms'en, mijn muziekspelertje dient om muziek te spelen, tv kijk ik op de tv. Ik heb geen computer nodig die ook tv probeert te zijn, geen telefoon die ook webbrowser probeert te zijn, geen stofzuiger die ook spreadsheet probeert te zijn. De mogelijkheid om overal van alles op te installeren maakt dat er misbruik van gemaakt kan worden. Als je een general purpose-apparaat als een computer gebruikt om je bankzaken te regelen dan moet het apparaatje dat het veiliger maakt, of dat nou een token is of een telefoon, geen general purpose-apparaat zijn maar een ding waar niets extra's op te installeren valt.
Wederom bedankt voor uw email.
Voor vragen of klachten omtrent veiligheidszaken of de overgang van Electronic Banking naar Ming Zakelijk, verwijs ik u door naar de MKB servicedesk. Deze desk heeft de verantwoordlijkheid van deze migratie.
Zij zijn bereikbaar op 0900 9242, op werkdagen van 8.00 tot 21.00.
Dhr. W.J. van der Star
Manager Verkoop en Service
Als je devices (draadloos) aan elkaar knoopt is het geen 2-factor meer.
Ben blij dat ik nog gewoon zo'n papieren lijst heb.
Ik schrijf de ING dus dat ik de voorkeur geef aan een ouder systeem omdat het sms-systeem onveilig is, en ze antwoorden me dat ze dat systeem gebruiken omdat het zo veilig is! Hoe kun je verdomme nog zorgen (resp. eisen) dat je eigen bankrekening zo veilig mogelijk is!?
Die hebben het beter bekeken met hun randomreader.
Ik schrijf de ING dus dat ik de voorkeur geef aan een ouder systeem omdat het sms-systeem onveilig is, en ze antwoorden me dat ze dat systeem gebruiken omdat het zo veilig is! Hoe kun je verdomme nog zorgen (resp. eisen) dat je eigen bankrekening zo veilig mogelijk is!?
Voor het kraken van Tan by SMS moet je de computer hacken en de telefoon hacken.
Ja het kan maar het zal meestal teveel werk zijn voor de gemiddelde cyber-crimineel om dit te doen terwijl er gemakkelijker systemen zijn om te kraken.
Iemand die de moeite neemt om je computer & telefoon te hacken zal 9 van de 10 keer iemand zijn die je persoonlijk kent.
Ik schrijf de ING dus dat ik de voorkeur geef aan een ouder systeem omdat het sms-systeem onveilig is, en ze antwoorden me dat ze dat systeem gebruiken omdat het zo veilig is! Hoe kun je verdomme nog zorgen (resp. eisen) dat je eigen bankrekening zo veilig mogelijk is!?
Voor het kraken van Tan by SMS moet je de computer hacken en de telefoon hacken.
Ja het kan maar het zal meestal teveel werk zijn voor de gemiddelde cyber-crimineel om dit te doen terwijl er gemakkelijker systemen zijn om te kraken.
Iemand die de moeite neemt om je computer & telefoon te hacken zal 9 van de 10 keer iemand zijn die je persoonlijk kent.
Het SSL kanaal heeft problemen omdat slechts de server geautenticeerd wordt en niet de client en omdat webserversers op ASP.NET een vette bug hebben, het GSM kanaal is gekraakt en mijn telefoon is geen security device en hangt rechtreeks aan internet met bovenstaande malware in the wild. En ING vindt dit een acceptable risk!
Ik verwacht van een bank dat ze steeds betere beveiliging maken, i.p.v. afbreken. Misschien leuk voor consumenten, maar niet voor zakelijke gebruikers (hogere impact).
Ik schrijf de ING dus dat ik de voorkeur geef aan een ouder systeem omdat het sms-systeem onveilig is, en ze antwoorden me dat ze dat systeem gebruiken omdat het zo veilig is! Hoe kun je verdomme nog zorgen (resp. eisen) dat je eigen bankrekening zo veilig mogelijk is!?
Voor het kraken van Tan by SMS moet je de computer hacken en de telefoon hacken.
Ja het kan maar het zal meestal teveel werk zijn voor de gemiddelde cyber-crimineel om dit te doen terwijl er gemakkelijker systemen zijn om te kraken.
Iemand die de moeite neemt om je computer & telefoon te hacken zal 9 van de 10 keer iemand zijn die je persoonlijk kent.
Het SSL kanaal heeft problemen omdat slechts de server geautenticeerd wordt en niet de client en omdat webserversers op ASP.NET een vette bug hebben, het GSM kanaal is gekraakt en mijn telefoon is geen security device en hangt rechtreeks aan internet met bovenstaande malware in the wild. En ING vindt dit een acceptable risk!
Ik verwacht van een bank dat ze steeds betere beveiliging maken, i.p.v. afbreken. Misschien leuk voor consumenten, maar niet voor zakelijke gebruikers (hogere impact).
Ik vind het omgekeerde. Consumenten staan minder sterk dan zakelijke gebruikers, en kunnen de ellendige nasleep van criminaliteit niet delegeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
