image

Virus steelt duizenden euro's van Zwanenburger

woensdag 15 augustus 2012, 08:13 door Redactie, 16 reacties

Een man uit het Noord-Hollandse dorp Zwanenburg is door een banking Trojan van duizenden euro's bestolen. De man wilde volgens de politie een flink bedrag overschrijven via de internetpagina van zijn bank, toen er plotseling een ander bedrag in grotere letters op zijn scherm verscheen. De man wiste de opdracht en ging verder met internetbankieren. Hierna werd meerdere malen aangegeven dat de man een foute code ingetoetst zou hebben.

Ook viel de man op dat de internetsite van zijn bank er iets anders uitzag dan normaal. De reden hiervan, zo verscheen in beeld, was dat dit een controlemiddel was van de bank zelf om te controleren of de computer van de man veilig was. Het slachtoffer is voor een paar duizend euro bestolen, zo laat de politie weten.

Aangifte
"Helaas is het zo dat computercriminelen uitermate vernuftig te werk gaan en bijvoorbeeld in de huisstijl van een bank bepaalde zaken toevoegen waardoor zij invloed hebben op de betaaltransacties. Als er (plotseling) iets veranderd is in de methode van telebankieren of het ziet er anders uit: wees dan extra alert", zo waarschuwt de politie.

Die wijst er tevens op dat de melding dat er een onjuiste code is gebruikt de gebruiker moet alarmeren. "Stop direct met de transactie en neem contact op met uw bank. Controleer of er daadwerkelijk iets veranderd is in de werkwijze of de internetsite van uw bank." De man uit Zwanenburg heeft aangifte gedaan van computercriminaliteit.

Reacties (16)
15-08-2012, 09:22 door MarcelvanderHorst
1) toen er plotseling een ander bedrag in grotere letters op zijn scherm verscheen.
2) Hierna werd meerdere malen aangegeven dat de man een foute code ingetoetst zou hebben.
3) Ook viel de man op dat de internetsite van zijn bank er iets anders uitzag dan normaal.

Wat wil je nog meer? Een zwaailicht met sirene op je monitor ofzo?

Duidelijk geval van 'niet-bewust-van-de-gevaren'..
Ondanks dat, toch sneu. Voorlopig vergoed de bank dit nog..
15-08-2012, 10:45 door Mysterio
Door MarcelvanderHorst: 1) toen er plotseling een ander bedrag in grotere letters op zijn scherm verscheen.
2) Hierna werd meerdere malen aangegeven dat de man een foute code ingetoetst zou hebben.
3) Ook viel de man op dat de internetsite van zijn bank er iets anders uitzag dan normaal.

Wat wil je nog meer? Een zwaailicht met sirene op je monitor ofzo?

Duidelijk geval van 'niet-bewust-van-de-gevaren'..
Ondanks dat, toch sneu. Voorlopig vergoed de bank dit nog..
De meneer gooit wel een beetje zijn eigen ramen in. Zeggen dat het er anders uit zag en dat er dingen vreemd waren en dan toch doorgaan zou door de bank kunnen worden opgevat als nalatigheid. Dan kun je fluiten naar je centen. (en terecht als je het mij vraagt)
15-08-2012, 11:38 door varttaanen
Natuurlijk is dat niet terecht, Mysterio. De man is simpelweg bestolen. En er zijn nog zat digibeten die geen idee hebben wat voor gevaren het internet met zich meebrengt.

Net zoals dat andere mensen auto-ongelukken krijgen, maar jij niet, want jij rijdt veilig. Er zijn er echt zat die dat nog denken...
15-08-2012, 11:45 door Mysterio
Door varttaanen: Natuurlijk is dat niet terecht, Mysterio. De man is simpelweg bestolen. En er zijn nog zat digibeten die geen idee hebben wat voor gevaren het internet met zich meebrengt.

Net zoals dat andere mensen auto-ongelukken krijgen, maar jij niet, want jij rijdt veilig. Er zijn er echt zat die dat nog denken...
Je hebt altijd nog je eigen verantwoordelijkheid en gezond verstand. Als er met een pinautomaat duidelijk is geknoeid ga je toch ook niet stug door met je transactie?
15-08-2012, 11:46 door RichieB
Natuurlijk besefte deze man zich *achteraf* dat het wel verdacht was. We moeten echt ophouden met de schuld van deze criminaliteit af te schuiven op de gebruikers. De banken moeten hun verantwoordelijkheid nemen en niet meer op deze aantoonbaar onveilige manier geld laten overschrijven. Er zijn talloze veiligere manieren te bedenken maar de banken zijn bang dat de klanten dan weglopen omdat het te moeilijk wordt.
15-08-2012, 11:49 door RichieB
Door Mysterio: Je hebt altijd nog je eigen verantwoordelijkheid en gezond verstand. Als er met een pinautomaat duidelijk is geknoeid ga je toch ook niet stug door met je transactie?
Waarom niet? In Nederland wordt nu toch gebruik gemaakt van de onkraakbare chip op de pinpas? Dat heb ik gelezen in een nieuwsbrief van mijn bank, dus ik hoef me nergens meer zorgen om te maken.
15-08-2012, 12:51 door Anoniem
"Natuurlijk is dat niet terecht, Mysterio. De man is simpelweg bestolen. En er zijn nog zat digibeten die geen idee hebben wat voor gevaren het internet met zich meebrengt. "

Het feit dat je bestolen bent impliceert niet altijd dat de bank voor de schade moet opdraaien. Je hebt ook een eigen verantwoordelijkheid, en de man geeft aan duidelijke signalen genegeerd te hebben. Leg eens uit waarom het ten alle tijde terecht is dat wanneer jij bestolen wordt, de bank de rekening moet betalen. Het is namelijk een vreemde logica.

"Natuurlijk besefte deze man zich *achteraf* dat het wel verdacht was. We moeten echt ophouden met de schuld van deze criminaliteit af te schuiven op de gebruikers."

De schuld ligt bij de criminelen, en niet bij de bank.

"De banken moeten hun verantwoordelijkheid nemen en niet meer op deze aantoonbaar onveilige manier geld laten overschrijven. Er zijn talloze veiligere manieren te bedenken maar de banken zijn bang dat de klanten dan weglopen omdat het te moeilijk wordt."

Onderbouw dat eens, immers gaat het hier om het systeem van de klant dat wordt gemanipuleerd, en de klant stuurt de (gemanipuleerde) opdracht door, en autoriseert deze. Voor de bank is het een legitieme opdracht. Hoe kunnen de banken voorkomen dat dit soort zaken plaats vinden ?
15-08-2012, 13:06 door Anoniem
Door RichieB: Natuurlijk besefte deze man zich *achteraf* dat het wel verdacht was. We moeten echt ophouden met de schuld van deze criminaliteit af te schuiven op de gebruikers. De banken moeten hun verantwoordelijkheid nemen en niet meer op deze aantoonbaar onveilige manier geld laten overschrijven. Er zijn talloze veiligere manieren te bedenken maar de banken zijn bang dat de klanten dan weglopen omdat het te moeilijk wordt.

Ha, weer een security architect op het forum.
Doe je best, beschrijf eens een van die talloos veiligere manieren.
15-08-2012, 14:46 door Anoniem
Door RichieB:
Door Mysterio: Je hebt altijd nog je eigen verantwoordelijkheid en gezond verstand. Als er met een pinautomaat duidelijk is geknoeid ga je toch ook niet stug door met je transactie?
Waarom niet? In Nederland wordt nu toch gebruik gemaakt van de onkraakbare chip op de pinpas? Dat heb ik gelezen in een nieuwsbrief van mijn bank, dus ik hoef me nergens meer zorgen om te maken.
Uiteraard, zolang de banken zelf nog beweren dat Internet bankieren veilig is wie ben je dan als consument om daaraan te twijfelen? Je twijfelt toch ook niet aan de arts in het ziekenhuis die zegt dat je gezond bent en oud zal worden?
15-08-2012, 19:50 door RichieB
Door Anoniem: Ha, weer een security architect op het forum.
Verkeerd gegokt, maar bedankt voor het compliment.
Doe je best, beschrijf eens een van die talloos veiligere manieren.
Het What-You-See-Is-What-You-Sign systeem wat ABN-Amro aanbiedt met het USB token kan door de huidige malware niet worden gemanipuleerd. Het token maakt namelijk een end-to-end versleutelde verbinding met de ABN-Amro server. Daardoor zie je altijd in het LCD scherm van het USB token waarvoor je toestemming verleent. Natuurlijk moet ABN-Amro dan wel alle andere niet-USB tokens niet meer toestaan, maar dat vinden ze eng.

Een ander heel voor de hand liggende oplossing is alleen overschrijvingen toestaan vanaf een bekend veilig OS, bijvoorbeeld door USB drives of DVDs uit te delen. De gebruikers moeten daarvan booten zodat de eventueel op de harde schijf aanwezige malware buiten spel wordt gezet.

Om er voor te zorgen dat hierdoor niet meteen een grote groep gebruikers afhaakt omdat die vinden dat dit te lastig is kan er ook een knip worden gelegd, kleine bedragen (tot 500 euro ofzo) kan onveilig, voor meer moet je een veilige methode gebruiken. Je zou er dan zelfs voor kunnen kiezen om voor de fraude die via de onveilige methode wordt gepleegd een eigen risico in te stellen. Wil je dat als klant niet? Gebruik dan de veilige methode die wel 100% door de bank wordt gedekt.
15-08-2012, 22:02 door Anoniem
Door Mysterio: Je hebt altijd nog je eigen verantwoordelijkheid en gezond verstand. Als er met een pinautomaat duidelijk is geknoeid ga je toch ook niet stug door met je transactie?
Ik zag een keer dat de ingang voor de pinpas er duidelijk anders uitzag dan op het scherm bij een geldautomaat. Ik liep de bank in om ze te waarschuwen. Reactie: oh, nee hoor, niets aan de hand, die kan je gewoon gebruiken. Met andere woorden: negeer de waarschuwingen. Ik wees de bankemployee er op dat het een heel slecht idee was om mensen die boodschap mee te geven, als er echt mee geknoeid is heb je mensen geleerd dat ze de signalen moet negeren. Maak er liever een punt van dat afbeelding en opening wél overeenkomen. Hij begreep duidelijk niet waar ik me druk om maakte.

En wat de eigen verantwoordelijkheid op Windows betreft: dat heeft door de jaren heen (al weet ik niet hoe de recentste versies zich in dit opzicht gedragen, ik werk er tegenwoordig niet mee) vaak een wat rare combinatie vertoond van initiatieven nemen en handjes vasthouden (de laat mij dat maar voor je doen-mentaliteit waarvan Clippy het toppunt was) en van de gebruiker antwoorden verwachten op vragen die hij niet begrijpt. De reactie die ik bij verschillende mensen heb gezien is een gelaten: "de computer zal het wel beter weten", die klikken zonder te begrijpen op Ok. Als mijn indruk klopt zijn heel wat mensen langs deze weg geconditioneerd om de verantwoordelijkheid juist bij de computer te leggen. Geen goede basis voor eigen verantwoordelijkheid.
16-08-2012, 00:14 door Anoniem
Reactie van Wie is de Wijste? :

dames en heren, we weten niet hoe oud deze man is. Als je 80 bent en bankiert via internet is dat een andere belevenis dan wanneer je 40 bent. Misschien had hij te veel vertrouwen... Of te weinig info i.d. , naïviteit...

Het internetbankieren is goedkoper. En makkelijker, zeker als je bijvoorbeeld 70 bent. Op die leeftijd hoef je dan niet naar de bank om een om een ondergetekend papiertje in te leveren.
Waarschuw je grootmoeder en - vader dat ze het niet zomaar moeten doen.

Zo zie je maar weer, nog een slachtoffer. Ik hoop dat hij de laatste is.

Wie is de Wijste?
16-08-2012, 22:03 door Above
Door RichieB:
Door Anoniem: Ha, weer een security architect op het forum.
Verkeerd gegokt, maar bedankt voor het compliment.
Doe je best, beschrijf eens een van die talloos veiligere manieren.
Het What-You-See-Is-What-You-Sign systeem wat ABN-Amro aanbiedt met het USB token kan door de huidige malware niet worden gemanipuleerd. Het token maakt namelijk een end-to-end versleutelde verbinding met de ABN-Amro server. Daardoor zie je altijd in het LCD scherm van het USB token waarvoor je toestemming verleent. Natuurlijk moet ABN-Amro dan wel alle andere niet-USB tokens niet meer toestaan, maar dat vinden ze eng.

Dat is nu jammer. Dus wel gekraakt en onveilig! http://tweakers.net/nieuws/83797/fraude-mogelijk-bij-internetbankieren-abn-amro.html

Klanten zijn alleen kwetsbaar als het apparaat dat wordt gebruikt om hun identiteit te controleren, de e.dentifier2, via een usb-kabel aan de computer is gekoppeld. Via malware op de pc van een slachtoffer kan dan fraude worden gepleegd. Volgens de onderzoekers is er 'geblunderd' bij de ontwikkeling van het apparaat. Bankklanten die hun e.dentifier2 niet hebben aangekoppeld, zijn niet kwetsbaar, evenals klanten met oudere versies van het apparaat. Die kunnen namelijk niet via usb worden aangekoppeld.
16-08-2012, 22:30 door RichieB
Door Above: Dat is nu jammer. Dus wel gekraakt en onveilig! http://tweakers.net/nieuws/83797/fraude-mogelijk-bij-internetbankieren-abn-amro.html
Er zijn fouten gemaakt bij de uitwerking, maar het principe is wel beter dan een offline token. Het zou nog beter zijn als het token een eigen verbinding zou hebben met een server van de bank, bijvoorbeeld via GPRS. Het token installeren als software op een telefoon is dan weer niet aan te raden, omdat telefoons ook virussen en malware kunnen bevatten.

Dat een student een fout heeft gevonden in de communicatie met het USB token wil trouwens niet zeggen dat er meteen malware is die dit misbruikt. Als het een fundamentele fout is komt die helaas vast wel een keer.

De uitzending van Nieuwsuur was niet heel overtuigend, maar ik geloof de resultaten wel. Het statement dat de eDentifier zonder USB veiliger is dan met is natuurlijk onzin. Zonder USB zie je helemaal niet waar je toestemming voor geeft. Wat je op het scherm van je PC ziet is net zo makkelijk door malware te manipuleren.
17-08-2012, 10:37 door varttaanen
@ Mysterio en anderen

Ik wil ook niet beweren dat de banken hiervoor moeten opdraaien, maar de gebruiker de schuld geven is niet terecht. Niet iedereen is zo begaan met infosec als wij hier en sommigen weten amper hoe een iPad werkt, laat staan de gevaren van internetbankieren. Bovendien doen banken er alles aan om vertrouwen in internetbankieren te wekken (je moet zelfs je PIN intiepen in een speciaal machientje, en alleen jij weet je PIN, hoe kan dan mis gaan?). En doen de criminelen er juist alles aan om je zonder dat je het door hebt zo netjes mogelijk om de tuin te leiden. Dus als jij van niets weet en van je bank hoort dat het goed zit, dan kan je de schuld nooit op de gebruiker schuiven.
17-08-2012, 19:09 door Anoniem
Door RichieB:
Door Anoniem: Ha, weer een security architect op het forum.
Verkeerd gegokt, maar bedankt voor het compliment.

Grijns. Het was natuurlijk een hint dat beste-nerds-staat aan de wal makkelijk praten is


Doe je best, beschrijf eens een van die talloos veiligere manieren.


Het What-You-See-Is-What-You-Sign systeem wat ABN-Amro aanbiedt met het USB token kan door de huidige malware niet worden gemanipuleerd. Het token maakt namelijk een end-to-end versleutelde verbinding met de ABN-Amro server. Daardoor zie je altijd in het LCD scherm van het USB token waarvoor je toestemming verleent. Natuurlijk moet ABN-Amro dan wel alle andere niet-USB tokens niet meer toestaan, maar dat vinden ze eng.

Best mogelijk dat ABNAmro ook kijkt waar bezoekers vandaan komen, en als tablets (ipad) daar een behoorlijk deel van zijn maken ze klant niet blij met "kan niet vanaf de iPad".
Security is een _middel_ geen doel .

Dan heb je ook nog kantoor gebruikers. Voor e.dentifier2 moet software geinstalleerd worden op de computer.
(voor windows en mac. Jammer met je ultra locked down OpenBSD bankier pc ... )
Dat mensen op kantoor soms even wat prive zaken regelen is meestal wel geaccepteerd. Software installeren op de kantoor pc is een stuk minder gebruikelijk.

Wel is het een forse stap vooruit ten opzichte van de reguliere bank tokens.

Het algemene doel is om via een trusted pad de transactie *die de bank ontvangen heeft* terug te melden naar de gebruiker, en de gebruiker die transactie te laten goedkeuren.
En dan ook zo duidelijk dat de gebruiker snapt dat dat is wat er gebeurt, niet zomaar "overtikken van wat getallen" .

Bij normale banktokens is dat 'trusted kanaal' van bijzonder lage bandbreedte; Een scherm voor een paar karakters, en de "input" is wat je een gebruiker nog kunt vragen om in te tikken. Waarbij de gebruiker moet begrijpen dat hij feitelijk z'n transactie deels (over) tikt in het token om aan te geven dat dat echt is wat hij wil.

Het SMS-Tan model van ING heeft wat dat betreft een stuk hogere bandbreedte in het beschrijven van de belangrijke delen van de transactie.

Ik kan niet direct vinden hoeveel informatie op het e.dentifier2 scherm past, en wat er meegegeven wordt.
Als de bestemming (doelrekening) niet goed genoeg zichtbaar is, kan een malicious host waarschijnlijk die wijzigen zonder dat de gebruiker dat direct ziet.
Of als de batch transacties wat groter is dan goed in het scherm past.

Nu had ik het even druk om meteen te reageren , en prompt een hack van e.dentifier2 . Zucht.

Uit goede bron hoorde ik (je blijft je verbazen...) dat mensen zelfs in het SMS model een transactie nog authoriseren , hoewel de SMS dus andere data meldde dan wat ze wilden overmaken.
Gewoon routine, bankieren, en echt blindelings de tan uit de sms overtikken zonder die sms nog verder te lezen.

Echte security is gewoon _echt_ moeilijk. Security die technisch correct is en waarmee je naar iemand kunt wijzen bij falen "had je maar ..." wil eventueel nog wel lukken, maar het falen blijft.


Een ander heel voor de hand liggende oplossing is alleen overschrijvingen toestaan vanaf een bekend veilig OS, bijvoorbeeld door USB drives of DVDs uit te delen. De gebruikers moeten daarvan booten zodat de eventueel op de harde schijf aanwezige malware buiten spel wordt gezet.

Om er voor te zorgen dat hierdoor niet meteen een grote groep gebruikers afhaakt omdat die vinden dat dit te lastig is kan er ook een knip worden gelegd, kleine bedragen (tot 500 euro ofzo) kan onveilig, voor meer moet je een veilige methode gebruiken. Je zou er dan zelfs voor kunnen kiezen om voor de fraude die via de onveilige methode wordt gepleegd een eigen risico in te stellen. Wil je dat als klant niet? Gebruik dan de veilige methode die wel 100% door de bank wordt gedekt.

Er is wat proof of concept research aan hypervisor en bios malware, die eventueel een 'cold' boot kan ondervangen.
Vanuit de malware community is er natuurlijk nu geen noodzaak om daar actief aan te werken.
Verder zou malware gewoon een secure OS kunnen faken (hoe moeilijk kan het zijn, als er een paar miljoen in het veld zitten), transactie prepareren, en daarna de gebruiker die laten authoriseren.
De huidige social engineering, zelfs per telefoon blijkt ruim voldoende succesvol.
Dat er een transactie bezig is gedaan te worden hoeft de gebruiker niet eens te zien of te weten, als de authenticatie maar geleverd wordt. Opgebeld worden door een 'loterij van uw bank, kunt u even uw calculator pakken dan kunt u winnen' ?

Banken hebben al apps die zonder calculator kleinere transacties naar bekende [eerder gebruikte] rekeningen overboeken.
Ik denk dat dat een goede ontwikkeling is feitelijk.
Routine en alertheid staan haaks op elkaar. Als bekende, kleine en 'in het patroon passende' transacties zonder speciale handelingen verlopen, kan de gebruiker geen "onnadenkende" routine opbouwen in het overtikken van "een paar getallen" om "gewoon even de bankzaken te doen".
Dan wordt een TAN sms (of token display) hopelijk wel goed gelezen en wordt er nagedacht bij authorisatie.

Uiteindelijk moet het doel zijn om fraude terug te dringen, niet om de schuld te kunnen afschuiven naar de ander.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.