image

Bankmalware gebruikt nieuwe techniek om browser te manipuleren

maandag 28 mei 2018, 09:59 door Redactie, 25 reacties

Onderzoekers hebben bankmalware ontdekt die een nieuwe techniek gebruikt om de browser te manipuleren en zo geld van bankrekeningen te stelen. De meeste banking Trojans injecteren zich in de processen van de browser om zich zo te verbergen en gegevens voor internetbankieren te stelen.

De BackSwap-malware kaapt echter verschillende events van de "Windows message loop". De malware zoekt vervolgens naar objecten waarin vermeld staat dat de gebruiker een transactie gaat uitvoeren. Zodra de malware ziet dat een gebruiker geld naar een rekening overmaakt wordt er voor de specifieke bank kwaadaardige JavaScript-code geladen.

Deze code vervangt in de achtergrond het rekeningnummer waar het slachtoffer geld naar wil overmaken. Op het scherm wordt echter het originele rekeningnummer weergegeven. "Beveiligingsmaatregelen tegen ongeautoriseerde transacties, zoals tweefactorauthenticatie, zullen in dit geval niet helpen, aangezien de rekeninghouder de transactie wil uitvoeren", zegt Michal Poslusny van anti-virusbedrijf ESET.

Volgens de onderzoeker heeft de nieuwe techniek als voordeel voor de malware-auteur dat de code niet afhankelijk van de browserarchitectuur is en geen speciale rechten vereist. De BackSwap-malware verspreidt zich via e-mailbijlagen en heeft het op vijf banken in Polen voorzien, waaronder ING. Alleen als het slachtoffer een bedrag in een bepaalde bandbreedte overmaakt wordt de malware actief en zal het rekeningnummer wijzigen. Meestal gaat het om een bedrag tussen de 2300 en 4600 euro.

Reacties (25)
28-05-2018, 10:14 door Anoniem
En hierom is het zo waardevol om transacties te ondertekenen met een los apparaatje als de Raboscanner, waarbij je de transactiegegevens op het scherm van het apparaatje te zien krijgt en kan controleren op een plek waar trojans geen vat op hebben.
28-05-2018, 10:31 door Anoniem
Volgens de onderzoeker heeft de nieuwe techniek als voordeel voor de malware-auteur dat de code niet afhankelijk van de browserarchitectuur is en geen speciale rechten vereist.
Als je in de "windows message handler loop" zit, praat je vrij direct met het OS, niet de browser. Maar welke browser staat dat toe?

Dus is dit nou echt iets nieuws of een mineure variant van "man in the browser" en zijn browsers echt zo ongelofelijk stom?
28-05-2018, 10:42 door Anoniem
Een reden te meer om te bankieren met je telefoon.
28-05-2018, 10:47 door Anoniem
Handige van de RaboScanner, die geeft een samenvatting van wat ja aan wie wil overmaken, inclusief banknummer.
28-05-2018, 10:59 door Anoniem
Moraal van het verhaal : gebruik een Live CD OS en je hebt meteen geen last meer.
https://www.privacytools.io/#live_os
28-05-2018, 10:59 door Anoniem
Dit is wel echt uitgekookt. Ik begrijp uit het verhaal dat de malware gebruik maakt van een specifiek stukje code van het Windows OS. Zit ik met Linux in elk geval goed in dit geval.
28-05-2018, 11:14 door Anoniem
Door Anoniem: En hierom is het zo waardevol om transacties te ondertekenen met een los apparaatje als de Raboscanner, waarbij je de transactiegegevens op het scherm van het apparaatje te zien krijgt en kan controleren op een plek waar trojans geen vat op hebben.

Volgens mij is de malware zodanig dat ie onderhuids het rekeningnummer aanpast maar dat jij gewoon het juiste nummer ziet. Maar ik begrijp niet goed of dat alleen voor het pc scherm geldt of ook voor het rekeningnummer op de reader.
Bij ABNARMO zie je het rekeningnummer overigens niet op de reader...
28-05-2018, 11:15 door Anoniem
Door Anoniem: Een reden te meer om te bankieren met je telefoon.

Klopt maar niet alle klanten hebben die. Vooral ouderen met Windows zullen hier weer de dupe van worden.
28-05-2018, 11:22 door Anoniem
Door Anoniem: Handige van de RaboScanner, die geeft een samenvatting van wat ja aan wie wil overmaken, inclusief banknummer.
De Rabo kontroleert toch ook het rekeningnummer met de naam, benieuwd of dit ook in Nederland werkt.
28-05-2018, 11:24 door Anoniem
Door Anoniem: Handige van de RaboScanner, die geeft een samenvatting van wat ja aan wie wil overmaken, inclusief banknummer.
Leest u even wat in de topic staat.
Deze code vervangt in de achtergrond het rekeningnummer waar het slachtoffer geld naar wil overmaken. Op het scherm wordt echter het originele rekeningnummer weergegeven. "Beveiligingsmaatregelen tegen ongeautoriseerde transacties, zoals tweefactorauthenticatie, zullen in dit geval niet helpen, aangezien de rekeninghouder de transactie wil uitvoeren", zegt Michal Poslusny van anti-virusbedrijf ESET.
28-05-2018, 11:42 door Anoniem
ING Betaal app gebruiken. Heb je geen last van dit voorval mocht je geinfecteerd zijn.
28-05-2018, 13:39 door Anoniem
Door Anoniem: Handige van de RaboScanner, die geeft een samenvatting van wat ja aan wie wil overmaken, inclusief banknummer.
Net-zolang totdat dat de normale modus operandi wordt, dan zijn we alsnog terug bij af...
28-05-2018, 14:26 door Anoniem
Door Anoniem: Leest u even wat in de topic staat.
Deze code vervangt in de achtergrond het rekeningnummer waar het slachtoffer geld naar wil overmaken. Op het scherm wordt echter het originele rekeningnummer weergegeven. "Beveiligingsmaatregelen tegen ongeautoriseerde transacties, zoals tweefactorauthenticatie, zullen in dit geval niet helpen, aangezien de rekeninghouder de transactie wil uitvoeren", zegt Michal Poslusny van anti-virusbedrijf ESET.
Dat gaat over wat de webbrowser van de klant toont. Bij de tweefactorauthenticatie zal men denken aan digipassen, SMS'jes met voor de klant betekenisloze tancodes en dergelijke. De Raboscanner laat de transactiegegevens die de klant kent op zijn eigen schermpje zien, en dat maakt het een heel ander verhaal.

Het gaat zo:
• Klant legt transactie in (dit kan worden aangepast door de trojan).
• Klant gaat naar ondertekenen (de trojan kan weer zorgen dat de getoonde gegevens terug aangepast worden).
• De bank genereert en toont ook een plaatje, een soort QR-code in kleur waarin de transactiegegevens zoals die bank die kent gecodeerd zijn.
• De klant steekt zijn pas in de scanner, toetst zijn pincode op de scanner in en scant het plaatje.

Nou zijn er twee mogelijkheden: de trojan weet ook dat plaatje aan te passen of niet. Als de trojan het plaatje niet aanpast:
• De scanner toont op zijn eigen scherm de transactiegegevens zoals de bank die kent, de aangepaste transactiegegevens dus. De oplettende klant ziet dat die niet kloppen en breekt het ondertekenen af. Aanval mislukt.

Als de trojan wel het plaatje aanpast (en dat goed doet):
• De scanner toont op zijn eigen scherm de transactiegegevens zoals de klant die verwacht. Die ziet dat alles goed is en bevestigt dat.
• De scanner met bankpas genereert een code die de klant in de website invult.
• De code wordt ontvangen door de bank en die blijkt geen geldige ondertekening te zijn voor de transactie zoals de bank die kent. De bank geeft een foutmelding en de transactie is niet ondertekend.

Ik weet niet of dat laatste scenario wel mogelijk is, wie weet is er in dat plaatje een digitale handtekening van de bank verwerkt en dan kan de aanvaller geen geldige plaatjes produceren en loopt het daar al op stuk. Maar het is niet eens nodig. Als beide eindpunten maar de dingen controleren die ze moeten controleren (de bank doet dat automatisch en de klant moet goed doorhebben dat de inhoud van het schermpje van de scanner er echt toe doet) dan is daar niet tussen te komen zonder de encryptie van het systeem te kraken.
28-05-2018, 14:29 door Anoniem
Door Anoniem: ING Betaal app gebruiken. Heb je geen last van dit voorval mocht je geinfecteerd zijn.

Niet iedereen gebruikt een app of wil dat.
28-05-2018, 14:30 door Anoniem
Door Anoniem: Een reden te meer om te bankieren met je telefoon.
Waarom, ik gebruik een desktop alleen om te bankieren fijn groot toetsen bord groot beeldscherm er staat geen mail
of iets anders op.
Ik vind dit weer typisch zo'n opmerking van ING, iedereen moet aan de smartphone zo dat ze meer informatie van je
hebben en dat brengt weer meer geld in het laatje.
28-05-2018, 14:50 door Anoniem
Door Anoniem: En hierom is het zo waardevol om transacties te ondertekenen met een los apparaatje als de Raboscanner, waarbij je de transactiegegevens op het scherm van het apparaatje te zien krijgt en kan controleren op een plek waar trojans geen vat op hebben.

En daarom gaat de Rabobank er mee stoppen. Veel te veilig.
28-05-2018, 14:53 door Briolet
Door Anoniem:
Door Anoniem: Handige van de RaboScanner, die geeft een samenvatting van wat ja aan wie wil overmaken, inclusief banknummer.
Leest u even wat in de topic staat.
Deze code vervangt in de achtergrond het rekeningnummer waar het slachtoffer geld naar wil overmaken. Op het scherm wordt echter het originele rekeningnummer weergegeven. "Beveiligingsmaatregelen tegen ongeautoriseerde transacties, zoals tweefactorauthenticatie, zullen in dit geval niet helpen, aangezien de rekeninghouder de transactie wil uitvoeren", zegt Michal Poslusny van anti-virusbedrijf ESET.

Wat wil je daarmee zeggen? Bij de RaboScanner zal het bedrag en het rekeningnummer in de gegenereerde tan verwerkt zitten. De gegenereerde code zal zijn voor het nummer dat de scanner laat zien.

Of heb jij meer info dat de scanner anders werkt?
28-05-2018, 15:10 door Anoniem
Door Anoniem: Een reden te meer om te bankieren met je telefoon.
En jij denkt dat dat "app" op je telefoon niet vatbaar is voor "man in the phone"-aanvallen? Veel "apps" zijn gewoon javascript onder de "app"-saus.
28-05-2018, 15:53 door Anoniem
Door Briolet:
Door Anoniem:
Door Anoniem: Handige van de RaboScanner, die geeft een samenvatting van wat ja aan wie wil overmaken, inclusief banknummer.
Leest u even wat in de topic staat.
Deze code vervangt in de achtergrond het rekeningnummer waar het slachtoffer geld naar wil overmaken. Op het scherm wordt echter het originele rekeningnummer weergegeven. "Beveiligingsmaatregelen tegen ongeautoriseerde transacties, zoals tweefactorauthenticatie, zullen in dit geval niet helpen, aangezien de rekeninghouder de transactie wil uitvoeren", zegt Michal Poslusny van anti-virusbedrijf ESET.

Wat wil je daarmee zeggen? Bij de RaboScanner zal het bedrag en het rekeningnummer in de gegenereerde tan verwerkt zitten. De gegenereerde code zal zijn voor het nummer dat de scanner laat zien.

Of heb jij meer info dat de scanner anders werkt?

Het idee van de scanner (en de SMS van ING) is feedback via een ander kanaal van de transactie _die de bank heeft ontvangen_ .
De scanner moet wat dat betreft het valse rekeningnummer laten zien , en het bedrag dat daarnaar toe gaat .

Of de onderzoeker dat ook bedoeld in z'n commentaar dat 2-factor niet helpt is niet duidelijk. Een twee-factor systeem dat alleen de gebruiker authenticeert is zeker twee factor, en helpt niet als de gebruiker een onzichtbare valse transactie goedkeurt.
(er zijn veel banken in de wereld, met verschillende authorisatie systemen . Gezien de onderzoeker en het bedrijf kun je er niet vanuit gaan dat het commentaar specifiek voor Nederlandse banken laat staan specifiek voor de Rabobank geldt).

Overigens - Ook met een (rabo)scanner die bestemmingsrekening laat zien kun je nog steeds veel succesvolle trojans verwachten.

De ervaring in de bancaire sector (en overal) is dat routinematige handelingen (DUH) routinematig uitgevoerd worden, en mensen gewoon blindelings een TAN overtikken en tekst niet (meer) lezen.
Ook al wil je dan reageren met 'eigen schuld moet je maar lezen wat je ondertekent' , je moet toch proberen het beter te doen, en niet alleen maar de schuld bij de gebruiker te kunnen leggen.
Niet mijn favoriete boodschap - maar er kunnen nuttige bijdragen aan security komen uit de psychologische/gedragswetenschappelijke hoek .

[Er zijn wat dat betreft analogiën met cockpit design, controlekamers met [te] veel meters e.d. - mensen alert houden op een afwijking tussen heel veel normale signalen is lastig.)
28-05-2018, 18:27 door Anoniem
Ook al wil je dan reageren met 'eigen schuld moet je maar lezen wat je ondertekent' , je moet toch proberen het beter te doen, en niet alleen maar de schuld bij de gebruiker te kunnen leggen.
Het probleem licht ook bij de banken, wat zeggen ze, er is niets zo veilig als met een smartphone te bankieren.
Het probleem is dat veel mensen dat dan ook geloven en nergens meer naar om kijken in de veronstelling dat het veilig is.
Zelfs hier op een beveiligings Side geloven mensen dat.
28-05-2018, 22:33 door Anoniem
Door Anoniem: Dit is wel echt uitgekookt. Ik begrijp uit het verhaal dat de malware gebruik maakt van een specifiek stukje code van het Windows OS. Zit ik met Linux in elk geval goed in dit geval.
Ik zou er maar niet al te veel op vertrouwen. Misschien bestaat er ook wel een Linux-versie van dit programmaatje. Lijkt me een kleine moeite om dat te schrijven.
29-05-2018, 00:38 door Anoniem
Door Anoniem: ING Betaal app gebruiken. Heb je geen last van dit voorval mocht je geinfecteerd zijn.

Geen ING gebruiken.
29-05-2018, 06:24 door Anoniem
Door Anoniem: Een reden te meer om te bankieren met je telefoon.

Ik denk niet dat een mobiele telefoon veiliger is dan een pc. Schoudersurfen, draadloos (dus niet veilig door een draadje) en dan heb je nog dat gepriegel op een klein scherm waardoor je makkelijk fouten maakt. Om nog maar te zwijgen van het risico dat je accu leeg raakt als je bent ingelogd...
29-05-2018, 10:21 door Briolet
Door Anoniem:
Door Anoniem: Een reden te meer om te bankieren met je telefoon.

Ik denk niet dat een mobiele telefoon veiliger is dan een pc. Schoudersurfen, draadloos ...

Bij een eigen app heeft de bank de veiligheid helemaal in eigen hand. Je kunt b.v. de controle op url of IP adres harcoded in de app zetten.

Bij werken via een browser, blijft de bank afhankelijk van de browser die de klant gebruikt. Zolang de banken geen eigen app ontwikkelen voor de PC zal de eigen app voor de telefoon vast veiliger zijn dan een browser op de PC.
29-05-2018, 11:55 door Anoniem
Bij werken via een browser, blijft de bank afhankelijk van de browser die de klant gebruikt. Zolang de banken geen eigen app ontwikkelen voor de PC zal de eigen app voor de telefoon vast veiliger zijn dan een browser op de PC.
Als ik het verhaal goed heb gelezen ben je met lunix hier ook veilig voor.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.