image

Malware installeert valse CA voor aanval op internetbankieren

woensdag 26 maart 2014, 17:00 door Redactie, 7 reacties

Er vindt op dit moment een nieuwe golf van man-in-the-middle-aanvallen plaats, waarbij malware de DNS-instellingen van besmette computers verandert en een valse root Certificate Authority (CA) installeert, om zo klanten van meer dan 70 verschillende banken te kunnen aanvallen.

Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de DNS-instellingen te wijzigen kunnen de aanvallers zich tussen de gebruiker en de banksite waar hij op wil inloggen plaatsen. Om man-in-the-middle-aanvallen te voorkomen worden SSL-certificaten gebruikt. Deze certificaten worden door een CA uitgegeven.

De bank vraagt bij een CA een SSL-certificaat aan en gebruikt het voor de website. Het certificaat zorgt ervoor dat de verbinding met de gebruiker wordt versleuteld. Die kan tevens via het certificaat de identiteit van de website controleren. In het geval een aanvaller een man-in-the-middle-aanval uitvoert krijgt de gebruiker een waarschuwing van de browser, omdat de aanvaller niet over een geldig certificaat voor de banksite beschikt.

Malware

Bij de aanval die nu plaatsvindt hebben de aanvallers dit probleem opgelost. De malware die de DNS-instellingen wijzigt installeert in de browser ook een valse root CA. Alle certificaten die door deze CA zijn uitgegeven worden vervolgens door de browser als legitiem beschouwd, waardoor de aanvaller een man-in-the-middle-aanval kan uitvoeren zonder dat de gebruiker een waarschuwing te zien krijgt.

Een gebruiker krijgt naast de domeinnaam van de bank in de adresbalk van de browser nu ook een werkende SSL-verbinding te zien. Alleen door het controleren van het SSL-certificaat zou de gebruiker kunnen zien dat de handtekening van het certificaat niet overeenkomt met de identiteit van de legitieme CA die door de aanvallers wordt geïmiteerd.

Om de aanval uit te kunnen voeren moeten de aanvallers eerst de computer weten te infecteren. Dit gebeurt via e-mails die als bijlage een RTF-bestand met een ingebed uitvoer bestand hebben. Zodra een ontvanger van het bestand op dit ingebedde bestand dubbelklikt wordt de computer geïnfecteerd. Op welke banken de aanvallers het hebben voorzien wordt niet door beveiligingsbedrijf PhishLabs gemeld. Wel zouden de banken zich in Europa, Zuid-Amerika en Noord-Amerika bevinden.

Image

Reacties (7)
26-03-2014, 23:25 door Anoniem
Als je toch in je slachtoffer zijn computer zit, dan is dit volstrekt logisch natuurlijk. En wie controleert nou welk bedrijf het certificaat uitgegeven heeft waarmee je browserbalk groen gekleurd wordt? Er staat toch al "deze website is 100% te vertrouwen, echt waar, dat kun je zien aan de mooie kleur groen, kijk maar"?

Het laat dus vooral zien dat dit systeem van certificaaten (uitgegeven door vele verschillende partijen zonder enige relatie met wat ze zeggen te certificeren) zo stuk is dat het nooit echt heeft kunnen werken. Het heeft alleen een tijdje geduurd voordat er serieus misbruik van gemaakt begon te worden.

Saillant detail voor naast de onbruikbare obscuriteit van de verschillende "CA stores": Als je in windows probeert rootCAs weg te gooien die je niet wenst te vertrouwen, dan stopt de windows CA manager component die stilletjes weer terug de eerstvolgende keer dat er windows update gedraaid wordt. Wat dus regelmatig en volautomatisch gebeurt. Waarmee ik maar wil zeggen, als het systeem achter je rug om certificaten toevoegt, waarom malware dan niet? Het is kennelijk volstrekt normaal om dat te doen. En ook een groot gapend veiligheidsgat, dat ook.
27-03-2014, 08:54 door Anoniem
Door het Microsoft programma EMET te gebruiken kan dit worden voorkomen.
Althans wanneer de gebruiker het internet bankieren met Explorer uitvoert.
27-03-2014, 09:23 door Briolet - Bijgewerkt: 27-03-2014, 09:24
De malware die de DNS-instellingen wijzigt installeert in de browser ook een valse root CA.

Ik vroeg me af welke browser dit is omdat het me ook een bug van de browser lijkt als derden er ongevraagd certificaten aan kunnen toevoegen. Uit het artikel is dat echter niet te halen. Ik kan niet eens vinden dat ze in de browser geïnstalleerd worden en niet in het systeem. Heeft de redactie meer info dan dit artikel of gokken ze dit maar?

Op de mac beheert alleen Firefox zelf de certificaten terwijl Chrome en Safari dit aan het systeem overlaten. In de bron van dit artikel wordt geen OS genoemd, maar het stuk over .exe doet vermoeden dat het hier om Windows gaat.
27-03-2014, 15:15 door Anoniem
Door Anoniem: Door het Microsoft programma EMET te gebruiken kan dit worden voorkomen.
Althans wanneer de gebruiker het internet bankieren met Explorer uitvoert.

Ik wens je succes om alleen microsoft tools te gebruiken..
27-03-2014, 15:15 door Anoniem
Volgens mij moet / kun je dit probleem anders oplossen

Namelijk met een firewall rule,
en hoe je dat doet (onder je Os) moet je zelf even uitzoeken :

- Bepaal welke IP nummers je nodig hebt voor je internetbankieren over welke poort (80 en 443 neem ik aan).

- Sta voor de juiste internetbankieren url alleen connectie toe met die 1, 2 of 3 ip adressen waarvan je weet dat die van je bank zijn.

- Zorg ervoor dat je de juiste internetbankier url ergens hebt opgeslagen, in je favorieten of een tekstbestandje en vertrek vanuit daar en niet via een of andere doorverwijslink.

(De bank zou daarin een rol kunnen spelen door op de site aan te geven welke connectie met welk ip adres nodig is voor het internetbankieren, je hoeft daar natuurlijk niet op te wachten).

Nog veiliger is het een speciaal daarvoor te gebruiken aparte browser in te stellen waarbij het nog veiliger is om dat onder een apart beveiligd user account te doen.
Dan kan best een tweede browser van eenzelfde merk zijn die je dan voor de gelegenheid een aparte naam geeft zodat je weet dat je die browser voor internetbankieren gebruikt.

Goed werkbaar onder Mac OS X, andere os-en zelf graag testen op werkbaarheid en config.-wijze bepalen.
27-03-2014, 17:22 door Anoniem
Je kunt dit ook detecteren door een plug-in zoals Cert patrol (firefox) te installeren.
Die waarschuwt dan dat het certificaat veranderd is. Laat ook meteen de verschillen zien.

Op het moment dat je dat bij de banksite ziet ga je toch even een tweede keer nadenken voor je doorgaat.
01-10-2014, 17:45 door Anoniem
inlogknop abnamro ontbreekt trusteersysteem in orde actieveX uitgeschakeld kan onmogelijk internetbankieren
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.