image

Beveiligingstest ING veroorzaakt paniek

donderdag 4 augustus 2011, 19:06 door Redactie, 17 reacties

Verdachte Javascript-code op de website van mijn.ing.nl blijkt geen kwaadaardige aanval te zijn die inloggegevens van klanten onderschept, maar een beveiligingstest van de bank zelf. Op de website voor internetbankieren werd een bestand vanaf het domein primebyte.net geladen. Deze server bevatte weer een Javascript-bestand dat een URL op het domein vsonicw.com aanriep. Het ging in beide gevallen om recent geregistreerde domeinnamen.

Klanten dachten dat kwaadwillenden erin waren geslaagd om hun code op de website van mijn.ing.nl te plaatsen, zo blijkt uit reacties op het Tweakers.net forum en Twitter. Tegenover de technologiesite bevestigt de bank dat er inderdaad Javascript-code van een extern domein werd opgevraagd. De website zou echter niet zijn gehackt. "We testen software die ons in staat stelt bepaalde vormen van fraude en phishing op te sporen", aldus een woordvoerder.

Waarom juist deze domeinnamen zijn gebruikt wil de zegsman uit "veiligheidsoverwegingen" niet zeggen. "Verder doen wij hier geen uitspraken over. We willen criminelen niet wijzer maken dan ze al zijn." Via Twitter laat het ING Webcare Team weten: "We testen op dit moment een softwareprogramma, het testen is een tijdelijke situatie."

Reacties (17)
04-08-2011, 19:40 door Anoniem
Ik neem aan dat dit er ook de oorzaak van is dat SiteAdvisor mij pas toelaat tot ing.nl na een waarschuwing dat die site mijn informatie kan proberen te stelen?
04-08-2011, 20:04 door spatieman
gutje.
niet te spreken over die 500 add boeren, en andere trackers.
04-08-2011, 21:38 door Bitwiper
Beide sites (www.primebyte.net en www.vsonicw.com) waar via SSL scripts vandaan gehaald worden, ondersteunen nog SSL2.0 en zwakke cyphers (score "C" met 52/100 punten), zie
https://www.ssllabs.com/ssldb/analyze.html?d=www.primebyte.net (173.255.252.11 is getest)
https://www.ssllabs.com/ssldb/analyze.html?d=www.vsonicw.com (173.255.252.109 is getest)

Dat betekent dat MITM aanvallen mogelijk zijn waardoor een aanvaller zeker kwaadaardige code kan injecteren (voor zover de er nu al geen sprake is van kwaadaardige code). Als ing.nl niet gehacked is, is dit een stompzinnige actie die gebruikers nodeloos in gevaar brengt.

Overigens meldt Networking4All met vergelijkbare resultaten (minder details en geen IP-adressen):
http://www.networking4all.com/en/support/tools/site+check/report/?fqdn=www.vsonicw.com&protocol=https
http://www.networking4all.com/en/support/tools/site+check/report/?fqdn=www.primebyte.net&protocol=https

Of dit ook voor de andere IP-adressen geldt waaronder deze servers momenteel te bereiken zijn weet ik niet (vermoedelijk wel); zelf zie ik die adressen niet voorkomen in nslookups die ik doe (ik zie dezelfde adressen als in http://gathering.tweakers.net/forum/list_message/36519037#36519037, aangevuld met 1 extra:
www.primebyte.net: 178.79.150.4, 178.79.159.118, 178.79.160.63 en 178.79.159.123;
www.vsonicw.com: 178.79.159.124, 178.79.160.80, 178.79.159.121 en 178.79.160.51.

http://network-tools.com/default.asp?prog=dnsrec&host=www.primebyte.net meldt:
DNS servers
ns1.p30.dynect.net
ns3.p30.dynect.net
ns2.p30.dynect.net
ns4.p30.dynect.net

Answer records
www.primebyte.net A 178.79.150.4 150s
www.primebyte.net A 178.79.159.118 150s
www.primebyte.net A 178.79.159.123 150s
www.primebyte.net A 178.79.160.63 150s
www.primebyte.net A 178.79.160.70 150s
www.primebyte.net A 66.228.38.57 150s
www.primebyte.net A 173.255.252.11 150s

Authority records
primebyte.net NS ns3.p30.dynect.net 86400s
primebyte.net NS ns1.p30.dynect.net 86400s
primebyte.net NS ns2.p30.dynect.net 86400s
primebyte.net NS ns4.p30.dynect.net 86400s
en http://network-tools.com/default.asp?prog=dnsrec&host=www.vsonicw.com meldt (DNS servers en Authority records zelfde als boven):
Answer records
www.vsonicw.com A 178.79.159.124 150s
www.vsonicw.com A 178.79.160.51 150s
www.vsonicw.com A 178.79.160.76 150s
www.vsonicw.com A 178.79.160.80 150s
www.vsonicw.com A 66.228.38.58 150s
www.vsonicw.com A 173.255.252.109 150s
www.vsonicw.com A 178.79.159.121 150s
De site "retailingnl.112.2o7.net" (waar tevens tijdens de sessie met https://mijn.ing.nl/internetbankieren/SesamLoginServlet mee gecommuniceerd wordt, zo te zien door obfuscated code in https://mijn.ing.nl/internetbankieren/js/s_code.js), lijkt haar zaakjes qua SSL een stuk beter voor elkaar te hebben, zie https://www.ssllabs.com/ssldb/analyze.html?d=retailingnl.112.2o7.net, want elk van de 20 IP-adressen die aan de betrokken hostname gekoppeld zijn behalen dezelfde score als mijn.ing.nl zelf, nl. A (88) (zie https://www.ssllabs.com/ssldb/analyze.html?d=mijn.ing.nl).
04-08-2011, 21:57 door Anoniem
De beveiliging en jongens en meisjes security officers bij ING staan bij mij bekend als belabberd. Ze zitten daar meer op de centen dan dat ze een serieuze discussie over veiligheid en risico's aan willen gaan. En dat is niet sinds pas maar al heel lang. Helaas blijkt ook vandaag weer dat het amateurs zijn. Dat ze niets willen zeggen over hun blunder heeft niets met veiligheid te maken, meer dat ze domweg niet weten waar ze mee bezig zijn en zich totaal niet bewust zijn van de inhoud van die zogenaamde test en de gevolgen. Het is diep treurig om dit bij zo'n grote bank tegen te komen. Nog erger, dat daar kennelijk de cultuur hangt om niets te willen leren en te veranderen.
04-08-2011, 23:47 door Bitwiper
Aanvulling: als je http://www.co-operativebank.co.uk/ opent, wordt eveneens met primebyte en vsonicw gecommuniceerd.

Eerst wordt http://www.primebyte.net/84401/papi.js opgehaald en daarna http://www.vsonicw.com/v4.0/84401/s0?em=http%3A//www.co-operativebank.co.uk&1=&2=0&A=ebc_ebc1961/ebc1961.asp/* (* is een boel crap met herkenbare maar incomplete hostnames van diverse banken), gevolgd door een POST naar http://www.vsonicw.com/v4.0/84401/s1.

Als je het te link vindt om hiermee te experimenteren kun je ook hier kijken: http://httparchive.org/viewsite.php?pageid=290467.

Ik hoop dat ING snapt dat de klagers niet doelen op de -deels- obfuscated code in https://mijn.ing.nl/internetbankieren/js/s_code.js en de communicatie met https://retailingnl.112.2o7.net/ (Omniture) en er zo langs elkaar heen gepraat is -- en mijn.ing.nl alsnog gekraakt blijkt...
04-08-2011, 23:56 door Anoniem
Snap niet dat ze software op de originele server testen en niet op een test server.
Blijkbaar werken er amateurs.
Hoe kun je zo meteen nog zien of het daad werkelijk de ing site is, of een goed gekopieerde nep ing site.
Mensen denken dadelijk ach ze testen weer wat.
Nee doe mij maar de amro.
05-08-2011, 11:01 door Anoniem
Ik snap de verbazing niet helemaal. Internetbankieren is niet veilig en zal niet veiliger worden dan nu het geval is. Zolang de banken de beveiliging zelf niet serieus nemen hoeven we als klant ook niet meer veiligheid te verwachten.
05-08-2011, 11:08 door zaba
Iemand enig idee welk bedrijf hiervoor ingehuurd wordt? Kan me namelijk niet voorstellen dat ze dit allemaal zelf doen...
05-08-2011, 11:08 door Preddie
lol een beveiligingstest op de productieomgeving, zo te zien heeft ING nog nooit gehoord van OTAP, testen worden dan uitgevoerd in de T-omgeving
05-08-2011, 11:24 door Anoniem
Door zaba: Iemand enig idee welk bedrijf hiervoor ingehuurd wordt? Kan me namelijk niet voorstellen dat ze dit allemaal zelf doen...

Fox-IT ondersteunt ING op het gebied van security.
05-08-2011, 12:44 door Anoniem
Van wat ik gisteren op http://gathering.tweakers.net/forum/list_messages/1467684 heb gelezen, stuurt de .js file je inlog pagina naar een ip adres in Amerika. Dit gebeurt zodra je op de 'inlog button' drukt (je inlog gegevens worden niet verstuurd). Verder zegt ING dat ze iets tegen fraude en phishing doen hiermee.

Ik trek dan de conclusie dat de inlog pagina bij ING van iedere computer hier, in Amerika wordt vergeleken met andere inlog pagina's om zo te ontdekken welke klanten gephished zijn, en hoe de ING site er voor hen uit ziet.

Misschien werken ze samen met andere banken, omdat je dit maar een keer kan doen voor het bekend is dat dit gebeurt.
Misschien slaan ze ook alles forensisch op als bewijs materiaal tegen phishers.

Wel jammer dat dit een hoop onrust veroorzaakt op tweakers.net. Het zou mij ook niet lekker zitten als ik ING klant zou zijn geweest.
05-08-2011, 15:28 door Anoniem
Laat ze lekker experimenteren..
Als je slachtoffer wordt of bent van datgeen waardoor ze deze test doen, krijg je je geld sneller terug dan je een pagina kunt refreshen.

Geen zorgen, laat ze maar proberen geld te besparen. Het is tenslotte een bank?
Hoe meer ze sparen hoe gunstiger.

Soms moet ook alles maar afgekraakt worden om simpelweg maar afgekraakt te worden.
05-08-2011, 17:13 door Bitwiper
In https://mijn.ing.nl/internetbankieren/SesamLoginServlet is het volgende stuk code verwijderd, waarmee er geen contact meer wordt gezocht met www.primebyte.net, en dus ook niet meer met www.vsonicw.com:

<script type="text/javascript">(function() {var snippetID = '33271',host = 'www.primebyte.net',
sn = document.createElement('script');sn.setAttribute('async', true);sn.setAttribute('type',
'text/javascript');sn.setAttribute('src', (document.location.protocol == 'https:' ? 'https:' : 'http:') +
'//' + host + '/' + snippetID + '/' + 'papi.js');var s =document.getElementsByTagName('script')[0];
s.parentNode.insertBefore(sn, s);})();</script>
Door Anoniem (15:28): Soms moet ook alles maar afgekraakt worden om simpelweg maar afgekraakt te worden.
Dit is hersenloos gedrag van ING:
- Klik in https://mijn.ing.nl/internetbankieren/SesamLoginServlet op "5 augustus - Veiligheidsnieuws Mijn ING"
- Klik linksonder op "Naar de website Veilig bankieren "
- Klik bovenaan op het menu "Internetbankieren" en dan "Werwijze crimineel" (http://www.veiligbankieren.nl/index.php?p=561830). Daar staat ondermeer:
In het eerste geval verandert de malware de routes die u op internet aflegt zo, dat u terechtkomt op de servers van criminelen. Bij het internetbankieren kunt u bijvoorbeeld onmerkbaar worden doorgelinkt naar een andere site dan die van uw bank.
"doorgelinkt naar een andere site dan die van uw bank" - dat is precies wat hier gebeurde.
08-08-2011, 16:22 door Anoniem
"doorgelinkt naar een andere site dan die van uw bank" - dat is precies wat hier gebeurde.

niet helemaal. de bank kan meerdere sites hebben. dat het niet eindigt op ing.nl wil niet zeggen dat het niet van de bank is.
de sites waar op gedoeld wordt zijn de sites met andere bedoelingen dan jouw een betaling of transactie laten doen naar en van de bedoelde bronnen. (want dat transacties doet wordt als je naar de boefers gaat is een van de redenen dat ze (de boefers) het doen.)

Het is net als met veel andere bronnen denk ik gewoon noodzakelijk om meerdere servers te benaderen om transacties veilig rond te krijgen. het is het totaalplaatje waar je op moet letten. Denk aan de DigiD uitspraken die de belasting deed. "gebruik het DigiD van je buurman." tuurlijk. Het maakt dan bijna niet meer uit hoe veilig je het maakt. als er een dodo tussenzit (die niet is uitgestorven) die het makkelijk vind om alles openbaar te maken of alle wachtwoorden op een lijstje te zetten of een prutsgroep te gebruiken voor beveiliging.... tja... dan ben je de klos. (maar ik geloof dat ik van het onderwerp afdwaal. LOL
09-08-2011, 08:56 door Anoniem
Voor mij zijn deze zaken vrij simpel: ik link niets en klik ook niet op de ING site op andere links. Ze sturen eerst maar een brief, zodat ik weet dat het legaal is. Er wordt uit naam van banken al zoveel geprobeerd, daar doe ik dus niet aan mee.
Dick
15-08-2011, 11:51 door Anoniem
Geldt dit bijvoorbeeld ook voor http://www.ing.nl/particulier/internetbankieren/internetbankieren/mijn-ing/ of alleen https://mijn.ing.nl/internetbankieren/SesamLoginServlet?
18-08-2011, 11:51 door Anoniem
Mijn.ING is slachtoffer van een geinsert Iframe dat om een Tan-code vraagt.
Het Iframe venster opent gewoon in de pagina van ING en heeft als titel

"Bevestig uw unieke digitale handtekening"
Het proces van de gegevensverzameling voor het opmaken van de unieke digitale handtekening, is voltooid.
Voor de installatie en het gebruik van de UDH, moet je de TAN opgeven. De volgende aanmelding bij het on-line banking zle met UDH verricht worden.

Bij het opgeven van uw TAN let goed op: na drie mislukte opgaven wordt het account geblokkeerd.

invul veld voor Tan-code *verplicht veld

Knop doorgaan

Via een Zeus infectie is het de hackers mogelijk gemaakt om de pagina aan te passen.

Op de ING pagina zelf wordt je nog niet gewaarschuwd voor dit bedriegelijke scherm, maar er is wel een programma te downloaden dat de infectie van je pc kan halen en waardoor het dialoog niet meer getoond wordt.

Op verschillende fora wordt al gewaarschuwd voor "unieke digitale hanteking met de hulp van TAN" en zijn er ook al slacht offers bekend waar bedragen zijn afgeschreven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.