image

Trojan plundert rekening uitgelogde consument

donderdag 24 februari 2011, 00:48 door Redactie, 18 reacties

Onderzoekers hebben een nieuw Trojaans paard ontdekt dat bankrekeningen plundert, ook al denken slachtoffes dat ze zijn uitgelogd. De OddJob Trojan lift mee op de sessie van gebruikers en zou al enkele maanden actief zijn. Volgens beveiligingsbedrijf Trusteer is de malware door Oost-Europese cybercriminelen ontwikkeld en bedoeld voor het aanvallen van bankklanten in de Verenigde Staten, Denemarken en Polen. Het Trojaanse paard is nog volop in ontwikkeling, aldus onderzoeker Amit Klein.

Net als andere banking Trojans probeert het de communicatie van de gebruiker via de browser te onderscheppen. Zowel Firefox als Internet Explorer-gebruikers lopen risico. De opgevangen sessiegegevens worden in realtime naar de aanvallers doorgestuurd, die daardoor met de gebruiker kunnen meeliften. Een opmerkelijke eigenschap van OddJob is dat die het uitloggen door de gebruiker kan negeren. Normaliter zou dit de openstaande sessie beëindigen, maar de makers weten het uitlogverzoek op te vangen en te elimineren.

Klein merkt verder op dat de malware de configuratie niet op de harde schijf opslaat, een proces dat virusscanners zou af kunnen laten gaan, maar elke keer een nieuwe versie downloadt.

Reacties (18)
24-02-2011, 08:02 door Anoniem
Kennelijk hebben ze geen TAN codes nodig? Zijn er banken die die geen two factor authentication gebruiken?
24-02-2011, 08:38 door Anoniem
En wat valt daar tegen te doen?
24-02-2011, 08:40 door witje
Wat valt daar tegen te doen?
24-02-2011, 08:45 door Erwtensoep
Dit hebben jullie dinsdag ook al gepost:
https://secure.security.nl/artikel/36272/1/Vreemde_malware_neemt_sessie_over.html
24-02-2011, 09:40 door Anoniem
"Kennelijk hebben ze geen TAN codes nodig? Zijn er banken die die geen two factor authentication gebruiken?

Het is een man in the middle attack, jij en de bank sturen de codes door naar de aanvaller ipv elkaar, de aanvallers maar jullie twee.
24-02-2011, 10:22 door Syzygy
Door Anoniem: "Kennelijk hebben ze geen TAN codes nodig? Zijn er banken die die geen two factor authentication gebruiken?

Het is een man in the middle attack, jij en de bank sturen de codes door naar de aanvaller ipv elkaar, de aanvallers maar jullie twee.

Een(TAN) code is alleen geldig voor 1 sessie
Als jij de sessie afsluit (door te wachten op het volgende scherm) dan is de code tevens niet meer te gebruiken
Zo lang je maar wacht tot dat de sessie volledig is afgerond is er niks aan de hand en kan men met de gekaapte code niet op nieuw iets doen.

Dit is inderdaad een herhaling van dinsdag
24-02-2011, 11:37 door Anoniem
Rapport van Trusteer installeren en je sessie kan niet meer gekaapt worden.
24-02-2011, 11:39 door [Account Verwijderd]
[Verwijderd]
24-02-2011, 12:26 door Anoniem
Laat ik nou in de veronderstelling zijn dat de TAN code voor het overmaken van geld gegeneert wordt obv een hash met als variabelen: aantal opdrachten, bedrag, rek nrs, omschrijving etc. Niet dus?
24-02-2011, 14:19 door Syzygy
Door Anoniem: Laat ik nou in de veronderstelling zijn dat de TAN code voor het overmaken van geld gegeneert wordt obv een hash met als variabelen: aantal opdrachten, bedrag, rek nrs, omschrijving etc. Niet dus?

Nee want vroeger kreeg je een blad papier met allemaal TAN codes. Als je dan een transactie deed kreeg je bijvoorbeeld retour: Tan 24. Als je dan op dat blad keek stond achter 24 een TAN code (die was dus op voorhand al bepaald)
Ik heb toen ook nimmer een bepaalde TAN code meer dan 1 x gebruikt, het was steeds een ander.
24-02-2011, 16:18 door Anoniem
Bij ABNamro moet ik bij iedere transactie nogmaals op OK drukken op de e.dentifier2.
Kan me niet voorstellen dat ze dit kunnen op afstand.
24-02-2011, 17:59 door Anoniem
Bij ING krijg voor iedere transaktie een aparte TAN via mobiel/SMS. Hooguit kunnen ze meekijken, overmaken alleen als ze mijn mobiel (SIM kaart) hebben.
24-02-2011, 21:35 door Anoniem
"Bij ABNamro moet ik bij iedere transactie nogmaals op OK drukken op de e.dentifier2.
Kan me niet voorstellen dat ze dit kunnen op afstand."

Doen ze ook niet, dat doe jij. En zij zitten ertussen.
25-02-2011, 07:11 door Anoniem
Door Anoniem: Kennelijk hebben ze geen TAN codes nodig? Zijn er banken die die geen two factor authentication gebruiken?
Niet in nederland
25-02-2011, 07:38 door TD-er
Door witje: Wat valt daar tegen te doen?
De bank zou bijvoorbeeld ook een sessie kunnen koppelen aan een IP-adres en browser-ID. Dan kan het in elk geval niet remote overgenomen worden.
Als het alsnog via de trojan op jouw PC gaat, is het natuurlijk nog steeds geen oplossing. Maar dan zit je dus met een onbekend proces wat van de firewall toestemming heeft gekregen om te kunnen communiceren. (maar firewalls zijn voor menigeen veel te complex om goed te kunnen gebruiken)

Door Anoniem: Bij ING krijg voor iedere transaktie een aparte TAN via mobiel/SMS. Hooguit kunnen ze meekijken, overmaken alleen als ze mijn mobiel (SIM kaart) hebben.
Als je een man-in-the-middle attack hebt, zou je zelf ook nog wat betalingen kunnen toevoegen.
Maar in je SMSje staat ook het bedrag, dus bij een beetje opletten zou dat niet moeten lukken.
26-02-2011, 10:11 door adbc
Inloggen gebeurt met de inbreng van een code in de kaarlezer en zolang een overschrijving gebeurt naar bewaarde begunstigden is dit voldoende.
Bij een "nieuwe en onbekende begunstigde" moet de kaart terug in de lezer, Cijfers vanop de website worden overgenomen en die bestaan uit een deel van de nieuwe rekening en het bedrag, kunnen ze dan nog het bedrag en de rekening wijzigen ?
Na elke cessie verwijder ik ook altijd onmiddellijk alle cookies, verder gebruik ik Chrome die "nog" niet in de lijst staat van de geviseerde browsers.
28-02-2011, 18:02 door dennis0000
Mijn telefoon is pas gehacked ik heb al een nieuwe inlog aangevraagd en een nieuw mobviel gekocht. De tan van ing is 1 maal geldig dan moeten ze sneller dan jouw zijn bij betalingen. Dus snel je tancode verzenden en invoeren alles snel doen kans op fouten groter :(
01-03-2011, 12:31 door Leen_T
Die tancode die je snel hebt ingetypt, komt niet bij je bank maar bij de criminelen. Die kunnen hem dan voor
hun eigen transactie gebruiken (waarvoor die ook was aangevraagd).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.