image

Malware vereenvoudigt aanval op internetbankieren

maandag 11 februari 2013, 11:32 door Redactie, 3 reacties

Doordat verschillende banken de online sessie tussen de klant en de bankapplicatie in real-time monitoren, zijn verschillende banking Trojans uit de browser gevlucht. Deze digitale bankrovers, zoals Tinba en Tilon, verstopten zich voorheen in de browser, de zogeheten man-in-the-browser-aanval. Op deze manier kon de malware in real-time de sessie van de gebruiker kapen.

Vervolgens werden er allerlei andere betalingen in de achtergrond klaargezet, zonder dat slachtoffers dit door hadden. Om deze aanval te kunnen uitvoeren moet de malware de werking van de bankapplicatie kennen. De beveiligingssystemen van banken zouden deze anomalieën tijdens de sessie kunnen identificeren en zo de activiteiten van Tinba, Tilon, Shylock en andere banking Trojans kunnen blokkeren.

Beveiligingsbedrijf Trusteer ontdekte dat zowel Tinba als Tilon door hun makers zijn aangepast om niet op te vallen. In plaats van het in real-time aanpassen van de sessie, wordt er nu voor een eenvoudigere aanpak gekozen.

Zodra de gebruiker op zijn online bankrekening wil inloggen, laat de malware een valse webpagina zien die op de officiële en legitieme bankpagina lijkt. Zodra de gebruiker op deze phishingpagina zijn inloggegevens invult, worden die naar de cybercriminelen achter de malware doorgestuurd. Vervolgens krijgt de gebruiker een foutmelding te zien dat internetbankieren tijdelijk onbereikbaar is.

Phishing
In de tussentijd gebruiken de criminelen de inloggegevens om vanaf een andere machine als de gebruiker in te loggen en frauduleuze transacties uit te voeren. In het geval het inloggen of de transactie twee-factor authenticatie vereist, zoals one time password tokens, een authenticator of kaartlezer, probeert de malware deze gegevens als onderdeel van de valse inlogpagina te bemachtigen.

"Door deze tactiek te gebruiken zorgt de malware ervoor dat de gebruiker nooit de inlogpagina van de bank bereikt, wat voorkomt dat de backend-systemen van de bank de malware detecteren en de fraude identificeren", zegt Amit Klein van Trusteer.

De aanval lijkt op de traditionele phishingaanval via e-mail, alleen wordt hier de phishingpagina door de malware die al op het systeem actief is getoond. Volgens het beveiligingsbedrijf is het aantal aanvallen met de nieuwe varianten nog beperkt.

Reacties (3)
11-02-2013, 13:54 door Anoniem
Dit werkt uiteraard niet als er een apart kanaal is voor de two-factor authenticatie, zoals een SMS met TANcode.
(zeker zolang je niet vanaf je telefoon gaat bankieren)
11-02-2013, 21:30 door Anoniem
Door Anoniem: Dit werkt uiteraard niet als er een apart kanaal is voor de two-factor authenticatie, zoals een SMS met TANcode.
(zeker zolang je niet vanaf je telefoon gaat bankieren)

Ik ben bang van wel:
" In het geval het inloggen of de transactie twee-factor authenticatie vereist, zoals one time password tokens, een authenticator of kaartlezer, probeert de malware deze gegevens als onderdeel van de valse inlogpagina te bemachtigen."

Ze zullen dus een transactie doen en via de valse pagina aan de gebruiker vragen de code in te voeren, waarschijnlijk onder het mom van een veiligheidscheck.

Niet bekend is geloof ik of deze methode ook werkt op mobiele devices maar dat kan goed natuurlijk.
15-02-2013, 09:21 door Anoniem
Door Anoniem:
Door Anoniem: Dit werkt uiteraard niet als er een apart kanaal is voor de two-factor authenticatie, zoals een SMS met TANcode.
(zeker zolang je niet vanaf je telefoon gaat bankieren)

Ik ben bang van wel:
" In het geval het inloggen of de transactie twee-factor authenticatie vereist, zoals one time password tokens, een authenticator of kaartlezer, probeert de malware deze gegevens als onderdeel van de valse inlogpagina te bemachtigen."

Ze zullen dus een transactie doen en via de valse pagina aan de gebruiker vragen de code in te voeren, waarschijnlijk onder het mom van een veiligheidscheck.

Niet bekend is geloof ik of deze methode ook werkt op mobiele devices maar dat kan goed natuurlijk.
Dit zal niet werken als de aanvallers niet ook de mobiele telefoon hebben gehackt..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.