Nieuws

Trojan plundert rekening uitgelogde consument

donderdag 24 februari 2011, 00:48 door Redactie, 18 reacties

Onderzoekers hebben een nieuw Trojaans paard ontdekt dat bankrekeningen plundert, ook al denken slachtoffes dat ze zijn uitgelogd. De OddJob Trojan lift mee op de sessie van gebruikers en zou al enkele maanden actief zijn. Volgens beveiligingsbedrijf Trusteer is de malware door Oost-Europese cybercriminelen ontwikkeld en bedoeld voor het aanvallen van bankklanten in de Verenigde Staten, Denemarken en Polen. Het Trojaanse paard is nog volop in ontwikkeling, aldus onderzoeker Amit Klein.

Net als andere banking Trojans probeert het de communicatie van de gebruiker via de browser te onderscheppen. Zowel Firefox als Internet Explorer-gebruikers lopen risico. De opgevangen sessiegegevens worden in realtime naar de aanvallers doorgestuurd, die daardoor met de gebruiker kunnen meeliften. Een opmerkelijke eigenschap van OddJob is dat die het uitloggen door de gebruiker kan negeren. Normaliter zou dit de openstaande sessie beëindigen, maar de makers weten het uitlogverzoek op te vangen en te elimineren.

Klein merkt verder op dat de malware de configuratie niet op de harde schijf opslaat, een proces dat virusscanners zou af kunnen laten gaan, maar elke keer een nieuwe versie downloadt.

Microsoft geeft Autorun laatste doodsteek

USB-stick als fysieke encryptiesleutel

Reacties (18)

24-02-2011, 08:02 door Anoniem

Kennelijk hebben ze geen TAN codes nodig? Zijn er banken die die geen two factor authentication gebruiken?

24-02-2011, 08:38 door Anoniem

En wat valt daar tegen te doen?

24-02-2011, 08:40 door witje

Wat valt daar tegen te doen?

24-02-2011, 08:45 door Erwtensoep

Dit hebben jullie dinsdag ook al gepost:
https://secure.security.nl/artikel/36272/1/Vreemde_malware_neemt_sessie_over.html

24-02-2011, 09:40 door Anoniem

"Kennelijk hebben ze geen TAN codes nodig? Zijn er banken die die geen two factor authentication gebruiken?

Het is een man in the middle attack, jij en de bank sturen de codes door naar de aanvaller ipv elkaar, de aanvallers maar jullie twee.

24-02-2011, 10:22 door Syzygy

Door Anoniem: "Kennelijk hebben ze geen TAN codes nodig? Zijn er banken die die geen two factor authentication gebruiken?

Het is een man in the middle attack, jij en de bank sturen de codes door naar de aanvaller ipv elkaar, de aanvallers maar jullie twee.

Een(TAN) code is alleen geldig voor 1 sessie
Als jij de sessie afsluit (door te wachten op het volgende scherm) dan is de code tevens niet meer te gebruiken
Zo lang je maar wacht tot dat de sessie volledig is afgerond is er niks aan de hand en kan men met de gekaapte code niet op nieuw iets doen.

Dit is inderdaad een herhaling van dinsdag

24-02-2011, 11:37 door Anoniem

Rapport van Trusteer installeren en je sessie kan niet meer gekaapt worden.

24-02-2011, 11:39 door [Account Verwijderd]

[Verwijderd]

24-02-2011, 12:26 door Anoniem

Laat ik nou in de veronderstelling zijn dat de TAN code voor het overmaken van geld gegeneert wordt obv een hash met als variabelen: aantal opdrachten, bedrag, rek nrs, omschrijving etc. Niet dus?

24-02-2011, 14:19 door Syzygy

Door Anoniem: Laat ik nou in de veronderstelling zijn dat de TAN code voor het overmaken van geld gegeneert wordt obv een hash met als variabelen: aantal opdrachten, bedrag, rek nrs, omschrijving etc. Niet dus?

Nee want vroeger kreeg je een blad papier met allemaal TAN codes. Als je dan een transactie deed kreeg je bijvoorbeeld retour: Tan 24. Als je dan op dat blad keek stond achter 24 een TAN code (die was dus op voorhand al bepaald)
Ik heb toen ook nimmer een bepaalde TAN code meer dan 1 x gebruikt, het was steeds een ander.

24-02-2011, 16:18 door Anoniem

Bij ABNamro moet ik bij iedere transactie nogmaals op OK drukken op de e.dentifier2.
Kan me niet voorstellen dat ze dit kunnen op afstand.

24-02-2011, 17:59 door Anoniem

Bij ING krijg voor iedere transaktie een aparte TAN via mobiel/SMS. Hooguit kunnen ze meekijken, overmaken alleen als ze mijn mobiel (SIM kaart) hebben.

24-02-2011, 21:35 door Anoniem

"Bij ABNamro moet ik bij iedere transactie nogmaals op OK drukken op de e.dentifier2.
Kan me niet voorstellen dat ze dit kunnen op afstand."

Doen ze ook niet, dat doe jij. En zij zitten ertussen.

25-02-2011, 07:11 door Anoniem

Door Anoniem: Kennelijk hebben ze geen TAN codes nodig? Zijn er banken die die geen two factor authentication gebruiken?

Niet in nederland

25-02-2011, 07:38 door TD-er

Door witje: Wat valt daar tegen te doen?

De bank zou bijvoorbeeld ook een sessie kunnen koppelen aan een IP-adres en browser-ID. Dan kan het in elk geval niet remote overgenomen worden.
Als het alsnog via de trojan op jouw PC gaat, is het natuurlijk nog steeds geen oplossing. Maar dan zit je dus met een onbekend proces wat van de firewall toestemming heeft gekregen om te kunnen communiceren. (maar firewalls zijn voor menigeen veel te complex om goed te kunnen gebruiken)

Door Anoniem: Bij ING krijg voor iedere transaktie een aparte TAN via mobiel/SMS. Hooguit kunnen ze meekijken, overmaken alleen als ze mijn mobiel (SIM kaart) hebben.

Als je een man-in-the-middle attack hebt, zou je zelf ook nog wat betalingen kunnen toevoegen.
Maar in je SMSje staat ook het bedrag, dus bij een beetje opletten zou dat niet moeten lukken.

26-02-2011, 10:11 door adbc

Inloggen gebeurt met de inbreng van een code in de kaarlezer en zolang een overschrijving gebeurt naar bewaarde begunstigden is dit voldoende.
Bij een "nieuwe en onbekende begunstigde" moet de kaart terug in de lezer, Cijfers vanop de website worden overgenomen en die bestaan uit een deel van de nieuwe rekening en het bedrag, kunnen ze dan nog het bedrag en de rekening wijzigen ?
Na elke cessie verwijder ik ook altijd onmiddellijk alle cookies, verder gebruik ik Chrome die "nog" niet in de lijst staat van de geviseerde browsers.

28-02-2011, 18:02 door dennis0000

Mijn telefoon is pas gehacked ik heb al een nieuwe inlog aangevraagd en een nieuw mobviel gekocht. De tan van ing is 1 maal geldig dan moeten ze sneller dan jouw zijn bij betalingen. Dus snel je tancode verzenden en invoeren alles snel doen kans op fouten groter :(

01-03-2011, 12:31 door Leen_T

Die tancode die je snel hebt ingetypt, komt niet bij je bank maar bij de criminelen. Die kunnen hem dan voor
hun eigen transactie gebruiken (waarvoor die ook was aangevraagd).

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer