image

Routers aangepast voor fraude met internetbankieren

vrijdag 7 februari 2014, 13:33 door Redactie, 12 reacties

Criminelen hebben de instellingen van routers van Poolse internetgebruikers aangepast om fraude met internetbankieren te plegen. Door beveiligingslekken in de routers konden de criminelen de DNS-instellingen wijzigen, zo meldt het Poolse Community Emergency Response Team (CERT).

Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door het aanpassen van de DNS-instellingen lieten de criminelen de domeinnamen van verschillende banken naar andere IP-adressen wijzen.

Zodra slachtoffers de domeinnaam van hun bank in de browser typten werden ze automatisch naar een ander IP-adres doorgestuurd waar ze een nagemaakte banksite te zien kregen. Daarnaast werd er JavaScript op de nagemaakte banksites geïnjecteerd, die ervoor zorgde dat er extra velden verschenen waarin om gegevens zoals wachtwoorden en TAN-codes werd gevraagd.

SSL-certificaat

De gegevens die slachtoffers voor het internetbankieren op deze phishingpagina invoerden konden zo door de criminelen worden onderschept. Slachtoffers hadden de fraude kunnen opmerken, aangezien de websites niet over een SSL-certificaat beschikten, terwijl de banksites dat wel hebben. Daarnaast verscheen op een gegeven moment ook een andere hostnaam in de adresbalk van de browser, waardoor de phishingpagina opgemerkt had kunnen worden.

Of de aanval zich alleen op Poolse internetgebruikers richtte of dat ook gebruikers in andere landen het doelwit zijn geworden is onbekend. Ook laat het Poolse CERT niet weten welke routers zijn aangevallen. Gebruikers krijgen het advies om tijdens het internetbankieren goed op de aanwezigheid van het juiste SSL-certificaat te letten.

Daarnaast kunnen Poolse gebruikers via het nslookup-commando in Windows controleren of de domeinnaam van een bank wel op het juiste IP-adres uitkomt. De aanval richtte zich niet alleen op Windowsgebruikers, aangezien door de aanpassing van de routers ook gebruikers van iPhones en andere apparaten, die via de router verbinding met het internet maakten, met de frauduleuze websites te maken kregen.

Image

Reacties (12)
07-02-2014, 14:10 door Anoniem
Je kon er ook op wachten. Het heeft me altijd verbaasd dat ondanks het feit dat er ongelofelijk veel routers in open verbinding met internet staan, vaak zonder dat er ooit nog updates worden geïnstalleerd, er zo weinig malware voor in omloop is.
07-02-2014, 14:11 door Anoniem
Hier was het wachten op....

Ik zeg al een jaar, dat klanten modems veel interessanter worden, omdat daar een compleet Linux OS draait, en vaak niet naar gekeken wordt. De modem ligt over het algemeen ergens in een hoekje onder de stof. Zolang hij werkt, zullen er niet veel mensen na omkijken. Dus daar DNS aanpassen, of proxy software installeren, en je bent klaar!

@Arnoud Engelfriet
En jammer voor de banken, die hebben dit niet in de nieuwe voorwaarden staan, dus als gebruiker ben je dus _NIET_ nalatig, want je PC is up to date....?

Maar als men niet goed naar de url in de browser kijkt... tja... je vraagt er dan wel een beetje om.

Maar ik voorspel nog veel meer van dit soort hacks. Je kunt nl gelijk alle apparaten hacken in 1 huis. Dus 1 hack, alles gecomprimeerd.

TheYOSH
07-02-2014, 14:13 door Anoniem
Enige reden waarom "Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen." steeds weer opnieuw wordt toegevoegd als het over DNS gaat?

Neem aan dat het publiek wat hier zit dit wel weet (zou moeten weten)...
07-02-2014, 14:14 door Anoniem
Vervelend maar wel slimmer dan de phishing mails. Dit werkt ook bij de zgn veilige systemen en de enige preventie is inzicht van de gebruiker. En dat laatste is gemiddeld genomen te weinig. Blijft dus de noodzaak van campagnes die mensen bewust maken om op te letten.

Alleen ben ik bang, dat dit in het kader van de richtlijnen van de bank tot problemen kan leiden. Alles wat de gebruiker kan beveiligen is goed, maar de router is vaak een gesloten systeem voor hem/haar. Laat staan dat bekend is dat hier ook iets mee kan worden uitgehaald.
07-02-2014, 14:53 door Anoniem
Als je de DNS servers op alle clients handmatig hebt ingesteld voor Google DNS / OpenDNS, werkt deze aanval niet.
07-02-2014, 15:30 door NyctO
"het Poolse Community Emergency Response Team (CERT)" Community moet Computer zijn.

http://nl.wikipedia.org/wiki/Computer_emergency_response_team
07-02-2014, 19:18 door Anoniem
Het zou mooi zijn als de DNS in de router niet aanpasbaar zou zijn of de klant moet hier expliciet voor kiezen.

Verder zou niet mogelijk moeten zijn dat het configuratie scherm toegankelijk is van buitenaf of het zou via een VPN of het protocol moeten zijn welke voor de providers aanwezig is.
07-02-2014, 22:18 door Anoniem
Waarom wordt hier met geen enkel woord gerept over DNSSEC?
Uitgerekend DNSSEC beschermt tegen dit soort praktijken.
08-02-2014, 00:33 door Anoniem
De meeste mensen weten niet eens hoe ze een URL/hostnaam in de taakbalk moeten controleren.Dat daargelaten, de antivirus moet dit voorkomen danwel alarm slaan! En de internetproviders hebben ook boter op hun hoofd! Het enige wat hen interesseert is geld verdienen,veiligheid is nog steeds een ondergeschoven kindje. Z'n beetje het enige dat ze doen is op hun website vertellen dat mensen op hun pc een antivirus en firewall moeten hebben (het liefst die die zij zelf aanbieden),en dat ze vooral hun passwords niet mogen prijsgeven. Dat de gemiddelde antivirus machteloos staat tegenover keyloggers die op zeer geniepige wijze de pc worden binnengesluisd laten ze in het midden.Bovendien is het de taak vd internetproviders om te zorgen dat de modems en routers die zij verstrekken veilig (alles standaard op maximale veiligheid en privacy ingesteld!) zijn en door hen automatisch van updates/patches worden voorzien,danwel dat de apparatuur kosteloos door hen vervangen wordt bij ernstige lekken die niet,niet tijdig of maar ten dele verholpen kunnen worden. Een modem/router met UPC als gebr.naam en admin als password daar heeft de gemiddelde internet-leek niks aan, maar hackers des te meer!
08-02-2014, 01:27 door [Account Verwijderd]
[Verwijderd]
08-02-2014, 08:57 door Briolet
Door Anoniem:En jammer voor de banken, die hebben dit niet in de nieuwe voorwaarden staan, dus als gebruiker ben je dus _NIET_ nalatig, want je PC is up to date....?

Volgens mij valt dit wel onder de voorwaarden. Met de nieuwe voorwaarden mag je weer via een Wifi hotspot internetbankieren. Hier heb je dezelfde risico's dat de hotspot niet 100% te vertrouwen is. Daarom moet je de URL en uitgever van het certificaat controleren. Klopt dat allemaal dan maakt het niet zoveel uit of de router 'gekraakt' is.
03-03-2014, 15:47 door Anoniem
"En jammer voor de banken, die hebben dit niet in de nieuwe voorwaarden staan, dus als gebruiker ben je dus _NIET_ nalatig, want je PC is up to date....?"

In de regels die de banken hebben opgesteld, gaat het over ''apparatuur''. Dat kan je natuurlijk breder opvatten dan alleen je PC. En dat zal de bank dan ook ongetwijfeld doen, indien ze daar de kans voor krijgen -

'Zorg voor een goede beveiliging van de apparatuur die u gebruikt voor uw bankzaken.'
http://www.veiligbankieren.nl/nl/nieuws/regels-voor-veilig-internetbankieren-bij-alle-banken-gelijk.html

Men stelt de regels natuurlijk wel zo op, dat men het zo breed mogelijk kan interpreteren.....

"Daarom moet je de URL en uitgever van het certificaat controleren. Klopt dat allemaal dan maakt het niet zoveel uit of de router 'gekraakt' is."

Dat is jouw interpretatie. Of juristen bij de bank dat ook zo zullen zien.... waarschijnlijk niet.

"Maar als men niet goed naar de url in de browser kijkt... tja... je vraagt er dan wel een beetje om."

Je beseft je dat je met DNS poisoning *geen* verschil ziet in de URL in je browser ? Je ziet precies hetzelfde adres, enkel resolved het domein naar een ander IP.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.