De schade door fraude met internetbankieren bedroeg vorig jaar 35 miljoen euro, wat deels door malware kwam. Er zijn inmiddels verschillende malware-exemplaren actief die het op Nederlandse gebruikers van internetbankieren hebben voorzien. Het gaat dan om malware-famlies als Zeus, Citadel en SpyEye. Security.nl interviewde Erik Loman van het Nederlandse Surfright over de werking van dit soort 'banking Trojans', zoals de malware ook genoemd wordt.

Wat doet een banking Trojan om rekeningen van Nederlandse bankklanten te legen?
Loman: De meeste financiële malware vereist geen beheerdersrechten en draait gewoon onder het account van de gebruiker (dus geen UAC prompts). De malware injecteert zichzelf in het geheugen van de web browser en eenmaal daar aanwezig nestelt de malware zich o.a. in de netwerk- en cryptografiefuncties van de browser middels zogenaamde API hooks. Met deze hooks heeft de malware volledige controle over de browser en kan het alle ingaande en uitgaande verkeer manipuleren, zonder dat de gebruiker dit ziet.

De meeste financiële malware werkt middels HTML injectie. Hiermee kan de malware extra HTML elementen aan de pagina toevoegen om zo extra om informatie te vragen (denk aan tancodes). Maar ook kan de malware de bedragen en de rekeningnummers (de begunstigde) wijzigen. Deze wijzigingen zijn dan niet zichtbaar op het scherm, waar de originele bedragen bijlven staan, maar onderwater worden de veranderingen doorgevoerd net voordat ze naar de bank verstuurd worden.

Omdat de malware in de browser zit, ziet de gebruiker gewoon de URL van zijn bank (of webshop) en wordt het SSL slotje netjes weergegeven want het verkeer wordt nog steeds netjes versleuteld tussen browser en bank. Immers de malware past het verkeer aan net voor dat het versleuteld naar de bank gestuurd wordt.

Loop je met een banking Trojan altijd risico? Oftewel gebeurt het legen automatisch, of is het een handmatige actie door de crimineel?
Loman: Hangt af van het malware familie. Sommige voegen HTML elementen toe om zo achter extra informatie te komen (denk aan tancodes). Andere malware veranderen het bedrag en rekeningnummer terwijl de klant een overboeking doet. Handmatige acties van de crimineel zijn niet noodzakelijk, alles is geautomatiseerd middels de malware.

Wat probeert de banking Trojan om detectie door de gebruiker te voorkomen, bijvoorbeeld dat die ziet dat er geld is afgeschreven?
Loman: Als je 10 EUR overmaakt naar tante Truus, dan veranderd de malware het bedrag en het rekeningnummer richting de bank. Omdat de malware de HTML kan aanpassen kan deze ook het bedrag en de begunstigde, welke aan de gebruiker op het scherm getoond worden, veranderen zodat de gebruiker gewoon 10 EUR en tante Truus blijft zien. De gebruiker heeft hier dus niets in de gaten.

Checkt een banking Trojan altijd het saldo op de rekening van zijn slachtoffers?
Loman: Niet altijd, hangt van de malware familie af. Sommige malware let wel op dat hij niet te veel afschrijft (houdt het bij 'kleine' bedragen) zodat de bank geen argwaan krijgt (rare transactie).

Komt het voor dat de crimineel meteen meelift met de sessie van de gebruiker (dus vanaf zijn eigen computer) of volstaat het gebruik van eerder ingevulde gegevens (tancodes etc.)?
Loman: Handmatige acties van de crimineel zijn niet noodzakelijk, alles is geautomatiseerd middels de malware. Handmatig meeliften is dus niet nodig.

Komt het ook voor dat Trojans de online afschriften manipuleren?
Loman: Zolang de malware op de computer aanwezig en dus controle heeft over de HTML zie ik niet in waarom de malware dit niet zou kunnen doen (online).

Is er een methode dat je toch veilig kunt internetbankieren als er een banking Trojan op je pc staat?
Loman: Bijvoorbeeld Trusteer Rapport probeert de malware uit de browser te houden, terwijl G Data BankGuard en HitmanPro.Alert voornamelijk informeren. Let wel, wanner de PC geïnfecteerd is, is het naar onze mening absoluut niet veilig om online te bankieren of online aankopen te verrichten. Het is dus belangrijk dat een gebruiker feedback krijgt als er een banking Trojan op zijn of haar machine gedetecteerd is.

Verder nog tips voor veilig internetbankieren?
Loman: Financiële malware is erg populair. De criminelen doen er alles aan om de zogenaamde droppers (het bestand waarmee malware op de computer wordt aangebracht) uniek te versleutelen zodat antivirussoftware deze zero-day malware niet meteen opmerkt. Sommige malware, zoals de open source trojan Citadel, hebben extra functies die de toegang tot antiviruswebsites blokkeren.

Hierdoor kan aanwezige antivirussoftware op geïnfecteerde machines geen definities/updates ophalen om zo de nieuwe malware te kunnen herkennen. Via omroepzeeland.nl werd de Citadel malware onlangs nog verspreid.

Software als Trusteer Rapport, G Data BankGuard en HitmanPro.Alert snijden financiële malware de pas af door te kijken of de browser geïnfiltreerd is. Dit doet de software door te kijken of de browser nog intact is. Indien dit niet het geval is, is het niet veilig om online te bankieren. Deze methode vereist geen definities die telkens bijgewerkt hoeven te worden.

Deze software vormt dus een belangrijke extra beveiligingslaag bovenop de aanwezige antivirussoftware en biedt extra zekerheid dat er niet iemand in je browser zit mee te kijken, zonder dat je het door hebt.