image

Singaporese banken stoppen met one-time passwords voor deel klanten

maandag 15 juli 2024, 08:49 door Redactie, 5 reacties

Singaporese banken gaan de komende maanden voor een deel van de klanten stoppen met sms-gebaseerde one-time passwords, zo hebben de Association of Banks in Singapore (ABS) en Monetary Authority of Singapore (MAS) aangekondigd. Het gaat om klanten die via hun bank-app een digital token hebben ingesteld. Het token bevindt zich op de telefoon en is beveiligd met de gebruikte schermvergrendeling. Wanneer klanten hun telefoon verliezen moeten ze contact met de bank opnemen om hun digital token te ontkoppelen.

Volgens de Singaporese bankentoezichthouder en vereniging van banken zijn one-time passwords in de jaren 2000 geïntroduceerd als multifactorauthenticatie-optie, om zo voor extra bescherming te zorgen. "Technologische ontwikkelingen en meer geraffineerde social-engineeringtactieken hebben het mogelijk voor scammers gemaakt om eenvoudiger de one-time passwords van klanten te phishen, bijvoorbeeld via nepbankwebsites die erg op de echte website lijken."

Met een digital token moet het authenticatieproces worden versterkt en het lastiger worden gemaakt voor scammers om toegang te krijgen tot de bankrekeningen van klanten. Criminelen hebben bij het gebruik van digital tokens toegang tot de telefoon nodig om een transactie te bevestigen. De Singaporese The Straits Times meldt dat de maatregel niet gaat gelden voor bankklanten die fysieke tokens tijdens het inlogproces gebruiken, maar zij worden door de autoriteiten opgeroepen om ook op een digital token over te stappen.

Reacties (5)
15-07-2024, 09:46 door Anoniem
Van wie kwam die memo, dat alle QR's / readers en tokens / OTP's eruit moeten?
Zijn dat Apple & Google of de iluminatie?
Of is er een logische reden waarom dat alles nogal accuut verdwijnt?
15-07-2024, 10:35 door majortom
Wanneer klanten hun telefoon verliezen moeten ze contact met de bank opnemen om hun digital token te ontkoppelen.
Ben benieuwd hoe ze deze klanten dan identificeren als zijnde de echte klant (de kantoren daar zullen ook wel zo goed als opgeheven zijn neem ik aan). Ik zie al weer een identificatie mbt je adres en geboortedatum (staande praktijk in NL) of het opsturen van een kopie ID als methode opdoemen. Hoe slecht wil je het maken.
15-07-2024, 11:27 door Bitje-scheef - Bijgewerkt: 15-07-2024, 11:31
Zijn dat Apple & Google of de iluminatie?

De illuminatie natuurlijk, die zijn uit op jouw spaarcentjes om hun werelddominantie te financieren.
Je zult ook zien dat dadelijk geld opnemen bij de bank verboden wordt boven de 100 euro.
Wil je meer opnemen dan 50 euro moet je dat triple-acknowledged voor elkaar krijgen tegen het scannen van je ID.
Die grijze-oude-wollen-sok is zo slecht nog niet. Vergeet niet te lachen naar de camera.
15-07-2024, 11:41 door Anoniem
Door Anoniem: Van wie kwam die memo, dat alle QR's / readers en tokens / OTP's eruit moeten?
Zijn dat Apple & Google of de iluminatie?
Of is er een logische reden waarom dat alles nogal accuut verdwijnt?

Gewoon, capabele security architecten die kijken wat momenteel werkt en wat tegenwoordig NIET MEER WERKT.

Mensen die _wel_ snappen hoe security werkt (en niet werkt) voorspelden - en zagen - precies waarom sms en de token-calculators niet meer werken in dit soort massa-scenario's .
(en waarschijnlijk ook al niet in andere scenario's met heel erg gerichte aanvallen ).

Security begint met een realistisch threat-model : wat zijn in de hele keten kwetsbaarheden en risico's.
Welke kun je mitigeren, welke kun je (evt achteraf) tenminste herkennen als het faalt, welke moet je de aanname doen 'deze schakel is betrouwbaar' .

Helemaal terecht om dingen die niet werken - en wel een vals gevoel van veiligheid geven - uit te faseren .
Scheelt ook in de aansprakelijkheid , dan wek je als bank niet de indruk dat het ook wel veilig is . van de klant kun je dat niet verwachten .
15-07-2024, 17:27 door Erik van Straten
Door Anoniem: Of is er een logische reden waarom dat alles nogal accuut verdwijnt?
Ik waarschuw er al jaren voor (en word vaak voor gek uitgemaakt: 2FA/MFA zou altijd beter zijn) dat "zwakke MFA" steeds vaker (1) niet helpt tegen websites met een "zou-kunnen-zijn-van" domeinnaam (ik noem deze "evil proxies" (2)), en bovendien allerlei zelden onderkende risico's (3) met zich meebrengt. Oftewel, vooral schijnveiligheid oplevert.

(1) Cybercriminelen zetten steeds vaker tools als EvilGinx2 in, of huren gewoon een PhaaS (PHishing as a Service) waarbij alles voor hen geregeld wordt.
(2) Voor een beschrijving van de werking van zo'n "evil proxy" zie https://security.nl/posting/773644.

Een groot probleem van zwakke 2FA en van wachtwoorden (4) is dat de mens de domeinnaam van de website (ongeacht hoe zij/hij daarop uit is gekomen) moet checken, begrijpen hoe dat moet en moet zien te achterhalen (5) of die domeinnaam van de kennelijke eigenaar is.

(4) Als je een wachtwoordmanager gebruikt die de domeinnaam voor je checkt, loop je véél minder risico's (zie https://www.security.nl/posting/840236/Veilig+inloggen).
(5) In de praktijk is dit zelfs voor experts zeer lastig (een gegarandeerd werkend recept bestaat niet), vooral bij nepsites. Op internet kun je, anoniem of met vervalste identiteitsgegevens, voor weinig of geen geld supersimpel en bloedsnel elke willekeurige domeinnaam registreren, serverspace huren of een bestaande server hacken en er, binnen een oogwenk, een gratis https servercertificaat voor verkrijgen (6). Er zijn zat (gratis) tools te vinden waarmee je de inhoud van bestaande websites kunt kopiëren. Een nepsite is dan ook zó gemaakt en online gezet - met https servercertificaat.
(6) Een voorbeeld van een dubieuze website met "merch" gerelateerd aan Trump's "ear piercing" was gister begin van de avond al live, in https://www.virustotal.com/gui/domain/www.earstaysontrump.com/details onder "Last HTTPS Certificate" zie je één van de twee ervoor uitgegeven https servercertificaten (2024-07-14 17:24:47 UTC, dus 19:24 Nederlandse zomertijd) - allemaal bedacht, gemaakt en geregeld op een zondag. Als een domeinnaam op een blocklist terechtkomt, of zodra teveel virusscanners erop aanslaan, registreren cybercriminelen gewoon een nieuwe domeinnaam, en begint het spelletje overnieuw.

Voor aanvallen op zwakke 2FA zie bijv. https://thehackernews.com/2024/02/4-ways-hackers-use-social-engineering.html.

Ten slotte: als je nog geen account hebt op een website (terwijl je passkeys, een FIDO2 hardware key of een wachtwoordmanager gebruikt die op domeinnamen check) is het helemaal een nagenoeg onmogelijke opgave om nepwebsites van echte te onderscheiden.

Zo zijn er steeds meer phishing-berichten die "pakket kon niet worden afgeleverd" melden, en de geaddresseerde iets zou moeten betalen (invoerheffing, aanvullende porto of kosten voor herbezorgen) waarbij, als de geadresseerde daar intrapt, diens creditcard (of debitcard?) wordt geplunderd.

Bij cybercriminelen zijn ook scams betreffende "tickets" populair: het stikt van de websites die er fraai en geloofwaardig uit kunnen zien, met domeinnamen waarin bijv. "paris", "olympics", "2024", "24", "tickets", "kassa" e.d. worden gecombineerd - met diverse TLD's. Maar denk ook aan:
formula1-tickets[.]com
eurofootballchamp[.]com
tickets-depechemode[.]com
en idem voor zeer veel andere bands, artiesten of festivals. Vorige week schreef QuoIntelligence hierover (https://quointelligence.eu/2024/07/ticket-heist-olympic-games-and-sporting-events-at-risk/, bron en aanvullende info: https://www.bleepingcomputer.com/news/security/ticket-heist-fraud-gang-uses-700-domains-to-sell-fake-olympics-tickets/).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.