image

Hoe een rootkit je ABN AMRO rekening plundert

donderdag 22 december 2011, 17:39 door Redactie, 18 reacties

In de eerste helft van dit jaar wisten cybercriminelen bij Nederlandse internetgebruikers 11,2 miljoen euro van online bankrekeningen te plunderen. De meeste van deze aanvallen vonden via phishing plaats, aldus de Nederlandse Vereniging van Banken (NVB). Toch waren er ook gevallen waarbij malware werd ingezet. Onderzoekster Sasha-Helena van den Heetkamp ontdekte onlangs een variant van de SpyEye Trojan op één van haar machines.

Ze besloot de website van haar bank, de ABN AMRO, te bezoeken. "Tot mijn grote verrassing was de poging om mijn gegevens te kapen erg goed gedaan. Zelfs voor een ervaren beveiligingsonderzoeker als ik, was het lastig om te zien wat er gebeurde." Het Trojaanse paard injecteerde stukjes code in de browser. Als ze naar https://www.abnamro.nl ging, wat een beveiligde verbinding is, werd er code op de bankpagina geïnjecteerd.

Java
De geïnjecteerde code viel op door een venster met een voortgangsbalk. Vervolgens stuurde de malware een request naar een domein, om daar de gekaapte rekeningnummer en twee-factor authenticatiecodes naar toe sturen. "Dit soort aanvallen zijn zeer ernstig, dus heb ik het bij de ABN AMRO gemeld."

Hoe de machine besmet raakte weet Van den Heetkamp niet zeker, maar ze vermoedt een drive-by download-aanval op een ongepatcht Java-lek. Onlangs werd bekend dat SpyEye zich inderdaad via een recent Java-lek verspreidt. "De virusscanner detecteerde het niet. Het enige programma dat de infectie kon vinden was ComboFix."

Reacties (18)
22-12-2011, 21:04 door rodin
Over man-in-the-middle aanvallen gesproken: zijn er gevallen bekend van winkeliers met valse pin-automaten? Als ik een skimmer zou zijn, dan zou ik een gehackte pin-automaat in mijn (of iemand anders) winkel plaatsen.
22-12-2011, 22:18 door Anoniem
... zijn er gevallen bekend van winkeliers met valse pin-automaten?
Ja.
Mijn zus heeft een eigen zaak.
Iemand heeft haar benaderd met de vraag of hij een apparaatje op haar pinautomaat mocht aansluiten.
Zij heeft dat geweigerd omdat zij haar eigen klanten (die ze kent) niet wilde bestelen.

Er zullen vast wel winkeliers zijn die wat mider goed te vertrouwen zijn.
22-12-2011, 22:20 door Anoniem
windows is nou niet het meest betrouwbare OS om mee te internet bankieren.
als je een echt betrouwbaar OS wil hebben om mee te bankieren is Linux een aanrader.
23-12-2011, 07:10 door WhizzMan
Ik weet het niet zeker, maar volgens mij is er wel een aantal dingen meer nodig dan een pinautomaat vervangen om ook vanaf die locatie geld op de rekening van de crimineel te krijgen. Denk daarbij aan het MACadres van de pinautomaat wat aan een rekening gekoppeld zit, een IPnummer wat misschien gekoppeld is en dergelijke.

Los daarvan, je zal een "legitiem" contract met een pinboer moeten hebben en een legitieme rekening. Je moet een boel moeite nemen om geld op een rekening te krijgen die op z'n best op naam van een katvanger staat en meer dan een of twee dagen omzet pak je er niet mee. Dan wordt het weer alleen interessant als je op die ene dag heel veel pinautomaten tegelijk "in het veld" zet zodat je in ieder geval nog een hoge instroom van geld hebt. Dat geld moet je weer op legitieme wijze van die rekening af weten te sluizen, terwijl de pakkans wel veel hoger wordt met zoveel bronnen. Die winkeliers zullen 's avonds hun rekening/omzet bekijken, als ze dat niet al overdag doen. Er hoeft er maar eentje bij te zitten die gaat piepen en dan ben je ontdekt. Als jouw rekening ineens "ongewoon betalingsverkeer" laat zien in de mate waarin jij dat gaat willen om al deze moeite en investering interessant te maken, gaat er bij de bank ook wel een alarm af en zullen ze ook binnen uren in de gaten hebben dat je iets aan het doen bent wat niet hoort.

De preventieve maatregelen zijn "geheim" voor het publiek, maar je kan je voorstellen dat ze wel iets hebben ingebouwd waar dat mogelijk is. Dat is vast niet onoverkomelijk, maar het zal het wel lastiger maken voor de crimineel om een pinapparaat te swappen voor eentje die op z'n eigen rekening stort. De rest van de maatregelen zijn reactief, maar werken totdat het triviaal wordt om die pinapparaten te verkrijgen en te swappen.
23-12-2011, 09:29 door Anoniem
Er zijn inderdaad gevallen bekend van skimmers die pin-automaten in winkels hebben vervangen. Het gaat dan niet om het afvangen van de omzet van de winkel, maar om het kopiëren van de pinpas. Het is dus de rekening van de klant die (achteraf) geplunderd wordt.
23-12-2011, 11:08 door [Account Verwijderd]
[Verwijderd]
23-12-2011, 17:32 door S-q.
Juist Ja;
Boeiend al die verhalen over pinautomaten.

Kan het zijn dat het topic over internet bankieren gaat?

Ik vind het in iedergeval leerzaam op uitgebreide wijze te zien hoe zich deze "aanval" zich manifisteert.
Mijn dank daarvoor aan de redactie.

Laats ook 3 Java exploits op mijn machine gehad die zich doodliepen op een wel gepatchte Java.

Overigens nog steeds onderwerp van onderzoek op een ander forum.

Mvg.
23-12-2011, 21:44 door Ivanhoe
Blijkbaar zijn de heren criminelen al veel verder.
Net vanavond dit verhaal gehoord.
Een echt oude tante van mijn ex-vrouw, is dankzij het skimmen van haar pas duizenden euro's kwijt geraakt.
Het is volledig aan haar voorbij gegaan.
Enerzijds is ze gewoon ontzettend oud nu (te oud dus) en anderzijds kon ze vanaf haar gewone rekening nog steeds geld opnemen, dus ze heeft van het wegsluizen van het geld geen onmiddellijk ongemak gehad.
Het is ontdekt door een oplettend iemand bij de ING, die de 3 overboekingen van ettelijke duizenden euro's vanaf haar spaarrekening naar 3 x dezelfde rekening niet in haar uitgavenpatroon vond passen.
Nu is dit gebeuren natuurlijk niet zo uitzonderlijk, er zijn al onnoemelijk veel mensen zo tijdelijk gedupeerd geweest.
Het bijzondere aan dit verhaal is, dat de tante niet internetbankiert en in haar pinpas nauwelijks gebruikt om in winkels te betalen.
Het enige wat de criminelen dus gelukt is, is het skimmen van haar pas en het op dat moment achterhalen van haar pincode.
Dan lijkt het me dat ze OF enorm veel werk nog verzet moeten hebben OF tegenwoordig zeer professioneel te werk gaan (en veel professioneler dan nochtans door experts gedacht/ingeschat wordt).
23-12-2011, 21:44 door Ivanhoe
Blijkbaar zijn de heren criminelen al veel verder.
Net vanavond dit verhaal gehoord.
Een echt oude tante van mijn ex-vrouw, is dankzij het skimmen van haar pas duizenden euro's kwijt geraakt.
Het is volledig aan haar voorbij gegaan.
Enerzijds is ze gewoon ontzettend oud nu (te oud dus) en anderzijds kon ze vanaf haar gewone rekening nog steeds geld opnemen, dus ze heeft van het wegsluizen van het geld geen onmiddellijk ongemak gehad.
Het is ontdekt door een oplettend iemand bij de ING, die de 3 overboekingen van ettelijke duizenden euro's vanaf haar spaarrekening naar 3 x dezelfde rekening niet in haar uitgavenpatroon vond passen.
Nu is dit gebeuren natuurlijk niet zo uitzonderlijk, er zijn al onnoemelijk veel mensen zo tijdelijk gedupeerd geweest.
Het bijzondere aan dit verhaal is, dat de tante niet internetbankiert en in haar pinpas nauwelijks gebruikt om in winkels te betalen.
Het enige wat de criminelen dus gelukt is, is het skimmen van haar pas en het op dat moment achterhalen van haar pincode.
Dan lijkt het me dat ze OF enorm veel werk nog verzet moeten hebben OF tegenwoordig zeer professioneel te werk gaan (en veel professioneler dan nochtans door experts gedacht/ingeschat wordt).
23-12-2011, 21:45 door Ivanhoe
Okee, sorry voor de dubbele post.
Even modden graag.
24-12-2011, 02:38 door Anoniem
Door rodin: Over man-in-the-middle aanvallen gesproken: zijn er gevallen bekend van winkeliers met valse pin-automaten? Als ik een skimmer zou zijn, dan zou ik een gehackte pin-automaat in mijn (of iemand anders) winkel plaatsen.

Ik weet dat er een keer een filiaal manager van de exenos is opgepakt die had een kastje tussen de pin automaat geplaatst.
Volgens mij was dat in utrecht toen gebeurd.
24-12-2011, 06:53 door choi
Door Anoniem: windows is nou niet het meest betrouwbare OS om mee te internet bankieren.
als je een echt betrouwbaar OS wil hebben om mee te bankieren is Linux een aanrader.


Zucht.
Als je het achtergrondverhaal had gelezen dan wist je dat het om een 'test-box' ging. Ook beveiligingsexperts moeten Windows gebruiken om malware te onderzoeken.
24-12-2011, 14:16 door Rene V
Geen Java = geen exploit

Indien je Java niet echt nodig hebt (er zijn gevallen dat dit wel het geval kan zijn), dan gewoon niet installeren. Ik draai nu al een paar jaar zonder Java en ik mis het niet. ^^
25-12-2011, 21:25 door S-q.
Door René V: Geen Java = geen exploit

Ik heb het idee dat dit niet opgaat. Een Java exploit kan alleen niet effectief worden omdat er geen Java is.
Maar ik denk dat je die rommel wel op je HD kan hebben/krijgen.

Kan dat kloppen?
26-12-2011, 16:14 door Anoniem
Door Anoniem: windows is nou niet het meest betrouwbare OS om mee te internet bankieren.
als je een echt betrouwbaar OS wil hebben om mee te bankieren is Linux een aanrader.


wat een onzin uit het jaar nul. Als ik als root op linux door het leven ga en ik zet al mijn bestanden op www dan ben ik ook zo lek als een mandje. Windows users moeten leren niet als administrator door het leven te surfen maar als user.
27-12-2011, 11:16 door Anoniem
Door Anoniem: windows is nou niet het meest betrouwbare OS om mee te internet bankieren.
als je een echt betrouwbaar OS wil hebben om mee te bankieren is Linux een aanrader.

Ik wist niet dat Linux geen java had..
27-12-2011, 19:49 door [Account Verwijderd]
[Verwijderd]
28-12-2011, 21:54 door Anoniem
Beste mensen,

Of het programma Windows OS of Linux dat maakt absoluut niet uit voor je beveiligen. beide OS zijn even onveilig of even veilig. Je hebt altijd het touw in je eigen hand. Stel dat je een goed alarm systeem voor je huis koop, maar het hoofd code waarmee je kunt dit systeem uitschakelen is 0000. Als iets raar met je huis gebeurt wie is de schuldig?

Als je wilt echt je beste doen, doe dan het volgende:
1. Koop een mini laptop dat kost je ongeveer 250 EU en gebruikt deze alleen voor je alle bank zaken.
2. Instaleer je Windows Updates en laat ook de optie Windows automatisch update aan bijv. Elke dag
3. Installeer een goede AV dus de toppers zijn op dit moment veel
4. GEEN JAVA, Flash, Outlook, en enz. installeren. ALLEEN je Windows OS en een goede gekochte AV ook niet een gratis AV
5. Geef een goed wachtwoord voor administrator account.
6. Maak een tweede gebruiker aan met beperkte rechten. Zoals lid van groep gasten en log je dan altijd met dit account in je PC.
7. Zet alleen je bank website in favorieten gewoon je www.jebank.nl en als op de pagina bent dan klik zelf op de Internet bankieren op. let wel op dat je nu op de https:// van je bank site bent en krijg je ook niet eens een rare melden. Je ziet ook nu bij de meeste banken dat https:// je banksite.nl met een groene achtergrond verschijnt.
8.Geeft deze laptop niet vooral aan de kinderen. Zodra ben je klaar met je bank zaken even nog een extra hele schijf Virus scan doen en sluit direct af en bewaar het op slot vooral dat de kinderen kunnen niet bijkomen.

Extra dat wel is handig:

9. In je IE onder het internet optie vink optie Versleutelde pagina's niet op schijf slaan aan ook vinkt de optie de map met tijdelijke Internet bestanden leeg maken wanneer de browser wordt afgesloten aan.
10. Het is aangeraden om ook de optie Onbeveiligde afbeeldingen met andere gemengde inhoud blokkeren aan te vinken, maar wij gaan vanuit dat de webmaster van de bank website goed oplet. Mens is een mens en fouten horen eens bij de mens.
11. Een Firewall is echt onmisbaar en kan echt niet meer zonder een firewall, koop dan ook een modem/router dat ook een ingebouwde firewall heeft daar blokkeer alle porten dat je niet nodig hebt. Sommige van deze porten zoals DNS "UDP en TCP IP 53 openen alleen naar je DNS server IP van je Internet Provider.
12. Je hebt een betaal rekening en aan deze heb je ook een spaar rekening gekoppeld, dus zet in je betaal rekening niet veel geld zoveel dat je bijvoorbeeld voor een week hebt nodig. Wil je een grote aankoop doen, dan dag daarvoor overmaakt je koop bedrag van je spaarrekening naar je betaal rekening zelf kun je een uur ervoor doen.
13. Je draadloos "WiFi"goed beveiligen niet alleen de WPA2 AES codering gebruiken maar vooral de gebruikersnaam en het wachtwoord waarmee je draadloos router "WiFi"Configuratie pagina wil ingaat/opent.


14. Ben ik nu echt veilig het antwoord is NEE want je moet altijd denken dat 100% beveiligen bestaat niet en blijft uitkijken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.