Dit is geen nieuwe vooruitgang, het is ook wel bekend als een Man-in-the-browser (MITB) aanval, hierbij worden extra scripts (kan html, javascript, etc zijn) in de webpagina geinjecteerd die vooraf gedefineerd is, in dit geval ING, maar dit kan natuurlijk ook bij de websites van andere financieele instellingen.

Het is een vals gevoel van vertrouwen omdat de gebruiker normaal ingelogd is en op het zelfde moment de groene balk aanwezig is, sterker nog, de versleutelde verbinding is helemaal niet aangetast, met een netwerkdump zou je de inhoud niet kunnen zien. Wie controle heeft over de pc, kan alles aanpassen wat die wilt, dus ook de content van webpagina's in de browser.

IE en FF zijn in principe het kwetsbaarst voor mitb aanvallen, maar chrome en opera kunnen net zo goed aangetast worden.

Misschien is het nog verstandig om nog wat virusscans te draaien als je windows niet opnieuw wilt installeren. HitmanPro en MalwareBytes zijn ook wel redelijke 2nd opinion scanners.

Verder heb je helemaal gelijk dat de grote banken het zoveel mogelijk stil houden ook al is het een groot probleem, iemand in m'n familie heeft al een paar duizend euro zien verdwijnen na een pop-up, net zoals een docente en bij een vriendin van m'n moeder is het ook bijna gebeurd.

Meestal raakt je pc besmet via exploits tegen verouderde software (voornamelijk Java) die staan op gehackte websites, het is aan te raden om je software te updaten en waar mogelijk te verwijderen. Zelf gebruik ik Secunia PSI om m'n software up-to-date te houden.

Dit soort aanvallen kan inderdaad voor komen. Tip, probeer UAC gewoon aan te houden in Windows, dat scheelt al de helft. Hier daarmee al 3 keer dit soort dingen tegen gehouden (maar werk ook met een gewoon user account en geen Administrator account).

Zoals je zelf al stelt werkt het ook met een gewoon user account, deze malware is gemaakt om te werken zonder adminrechten, maar idd UAC is onderdeel van een geheel aan beveiligingsmaatregelen.

Het certificaat en het slotje hebben betrekking op de datacommunicatie tussen de browser en de website, maar ze zeggen niets over wat er in de browser zelf of op de rest van je computer nog meer gebeurt. De malware zat tussen jou als gebruiker en de beveiligde verbinding naar de bank in. De ketting is zo zwak als de zwakste schakel, en de beveiligde verbinding is niet de enige schakel.

Daar zijn heel veel (bekende) methodes voor. O.a. de door Regenpijp genoemde MITB aanval, maar de aanvallers kunnen zich het ook makkelijk maken door een nieuw SSL/TLS certificaat in jouw webbrowser te importeren en je DNS instellingen aan te passen (of een combinatie van MITB en genoemde technieken).

Of er Sinowal varianten bekend zijn die certificaten toevoegen weet ik niet (het zou me niks verbazen, de makers ervan wijzigen hun tactieken voortdurend), maar een voorbeeld van malware die dat doet vind je in http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWinREG%2FGowfi.A.

Daarmee kunnen ze elke gewenste website "vertrouwd" maken, en dat blijft vaak ook zo nadat jouw virusscanner de duidelijk herkenbare malwarebestanden en "autostart" registergegevens heeft verwijderd, maar van nepcertificaten en gewijzigde (afgezwakte) beveiligingsinstellingen is het nagenoeg onmogelijk vast te stellen dat deze door de malware zijn toegevoegd (dit zou ook door de gebruiker zelf gedaan kunnen zijn). Een voorbeeld van aangepaste beveiligingsinstellingen is het zonder vragen toestaan dat unsigned ActiveX plugins worden gedownload en uitgevoerd (maar er is nog veel meer denkbaar).

Een groot probleem hierbij is dat elke malwareinfectie uniek kan zijn. Antivirusboeren analyseren om te beginnen al niet het exacte gedrag van elk uniek malware exemplaar (er zijn er veel te veel van). Daarnaast zal bijna elke malware aanvullende malwarebestanden downloaden en uitvoeren; daardoor ontstaat een enorm aantal mogelijke scenario's - hetgeen het volledig "opruimen" achteraf nagenoeg onmogelijk maakt.

Kortom, bij "nare" malware blijven er, na "reinigen" door antivirus, vaak wel één of meerdere achterdeurtjes achter waarmee dezelfde (of andere) aanvallers in een later stadium je PC eenvoudig weer -eenvoudiger- kunnen terugkapen.

Daarom raad ik dringend aan om je PC opnieuw te installeren na zo'n besmetting!

Doe al een tijdje mijn ING met een (Linux)Live-CD. Weinig kans op besmetting of achterdeurtjes! ;)

Waar ik heel erg benieuwd naar ben is of het adres ook met https begon of met http !!!

Ik vind het altijd grappig dat mensen gelijk naar de bank gaan wijzen met een belerend vingertje... De bank probeert je te helpen, dus blijkbaar door iets te blokkeren. En het is altijd je eigen fout dat je besmet raakt met een trojan. En aangezien er tientallen trojans zijn waar blijkbaar de meeste antivirus producten ook geen oplossing zijn moet de bank het maar fixen... Kort door de bocht en lekker makkelijk...

Met papier betalen kan nog steeds hoor...

Voordeel van een gewoon User account is, inloggen als admin, documenten en desnoods favo's veiligstellen van betreffende acoount, profiel weg gooien en daarna is het gefixed.

Over het up-to-date houden van Java: erg belangrijk.
Maar je kan ook eens beginnen met Java gewoon te verwijderen. Als alle programma's blijven draaien was Java gewoon niet nodig. En anders gewoon weer erop zetten.

https

Dat mag ING dan wel eens duidelijk stellen. Ze wekken een beetje de indruk dat controle van adresbalk en certificate afdoende is.

De bank probeert inderdaad te helpen door rekening te blokkeren. Maar voor de rest is de hulp armzalig (cleaner werkt niet) en misleidend (suggestie dat cleaner eea oplost en dat controle adresbalk/certificate voldoende is). M.i. zouden de info en waarschuwingen veel duidelijker en specifieker moeten.

"Dus controle van de adresbalk en het 'slotje' garandeert dan niet meer het echte inlogscherm !"

Waarschijnlijk was het wel degelijk het echte inlogscherm, echter met een extra veld t.g.v. de malware op je PC. Overigens zegt de adresbalk en het slotje weinig. Als het afwijkt is er natuurlijk wel wat aan de hand, maar als er een trojan actief is op je PC dat je betaalopdracht aanpast, dan merk je helemaal niets op door te kijken naar het adres en het slotje.

"Dat mag ING dan wel eens duidelijk stellen. Ze wekken een beetje de indruk dat controle van adresbalk en certificate afdoende is."

Volgens mij is geen enkele bank transparant in dergelijke adviezen. Allemaal geven ze de indruk dat je met die check veilig bent tegen misbruik.

"Waar ik heel erg benieuwd naar ben is of het adres ook met https begon of met http !!!"

Een volstrekt irrelevante vraag wanneer je op de echte website zit, maar wanneer je betaalopdrachten t.g.v. een besmetting op je systeem worden aangepast. Overigens kan een fake website met een afwijkende url ook https gebruiken, en dus ook een slotje laten zien.

Dat de echte website https moet gebruiken klopt natuurlijk zonder meer, maar de redenatie dat een fake website geen https zou kunnen gebruiken is misplaatst.

Dat het adres met https begon vind ik een zorgwekkende ontwikkeling , ik heb linux op mijn computer maar De cleaner van ing heeft als extensie exe en daar heb ik dus niets aan , want daar kan ik geen gebruik van maken.
Linux is veilig , maar je moet overal rekening meehouden!

Ik gebruik Linux maar je moet idd toch alles in de gaten houden.
Wel heb je bij Linux duidelijker zicht op wat er gebeurd met je pc,dan met windows het geval is.