Nieuws
image

Bankrover omzeilt chipTAN Duitse banken

woensdag 5 september 2012, 10:53 door Redactie, 6 reacties

Een Trojaans paard dat Duitse gebruikers van internetbankieren aanvalt heeft een manier gevonden om de chipTAN van Duitse banken te omzeilen. De chipTAN maakt gebruik van een authenticator en de pinpas om een code te genereren die op zowel het bedrag als het rekeningnummer is gebaseerd. De Tatanga banking Trojan laat slachtoffers geloven dat de bank een chipTAN test uitvoert.

Rekeningoverzicht
Vervolgens wordt de gebruiker gevraagd om een een code voor de 'test' transactie te genereren en die in te voeren. Met de ingevoerde TANcode wordt vervolgens een frauduleuze transactie uitgevoerd. Na de transactie wijzigt het Trojaanse paard het rekeningoverzicht om het slachtoffer niets te laten merken.

"ChipTAN systemen worden als redelijk veilig beschouwd. omdat de gegenereerde TAN zowel rekening met de transactiegegevens en de door de bank uitgeven chip en pinpas. Deze aanval demonstreert dat door man-in-the-browser social engineering technieken financiële malware de chipTAN-beveiliging kan omzeilen", zegt Amit Klein van Trusteer.

Reacties (6)
05-09-2012, 10:56 door Anoniem
SNS in Nederland is hier ook gevoelig voor, lijkt me Gebruikt dezelfde techniek vzviw.
05-09-2012, 11:17 door Anoniem
ELK systeem is hier gevoelig voor. Het maakt helemaal niks uit hoe veilig dat kastje is, of welk kastje er gebruikt wordt.
05-09-2012, 11:53 door WhizzMan
Dit gaat niet om welke techniek er wordt gebruikt, maar om social engineering. De gebruiker wordt verleid om een code in te voeren zonder dat daar een login of transactie aan verbonden is. Deze code wordt vervolgens gebruikt om geld over te boeken. Ongeacht welke techniek hier gebruikt wordt, of het nu tan, eDentifier of een andere is, het werkt als de gebruiker er in trapt.
05-09-2012, 11:56 door Anoniem
De vraag is hoe en waar de gebruikers die Trojan hebben opgelopen. Ik bedoel niet hoe dat allemaal wel niet *kan*, maar hoe dat in het echt gebeurd is. Dat is minstens zo belangrijk.
05-09-2012, 12:03 door [Account Verwijderd]
[Verwijderd]
05-09-2012, 16:29 door Anoniem
Je kunt dit gedeeltelijk ondervangen door de TAN-procedure voor een echte transactie significant anders te laten verlopen dan voor andere handelingen zoals inloggen of testen. Daarbij helpt het ook om bij een transactie altijd het transactiebedrag als invoer voor de TAN te gebruiken en de gebruiker daar ook nadrukkelijk bewust van te laten zijn. Bijvoorbeeld door duidelijke knopjes op de authenticator. Als je dan tijdens een zogenaamde test op je authenticator op de knopjes "rek. nr." en "bedrag" moet drukken, dan gaan de alarmbellen bij de gebruiker sneller rinkelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure