Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Veiligheid internetbankieren

Pagina: 1
Acties:
  • 556 views sinds 30-01-2008
  • Reageer

donderdag 3 augustus 2006 09:41

Acties:
  • ralpje
  • Registratie: November 2003
  • Laatst online: 29-11 10:08

ralpje

Deugpopje

Topicstarter
Een behoorlijke tijd geleden werd er in Kan internetbankieren veilig zijn? gesproken over de veiligheid van internetbankieren: phishing was hot, maar er was een nog groter gevaar volgens de experts hier: de man in the middle attack.
Grote vraag, kan ik me herinneren uit dat topic, was of dat haalbaar was: was de vertraging, ontstaan door het opvragen en doorgeven van code's niet te groot om nog zonder foutmeldingen door de login te komen?
Op nu.nl lees ik nu het volgende:
http://www.nu.nl/news/794...s_niet_waterdicht%27.html
'Internetbankieren nog steeds niet waterdicht'

Uitgegeven: 2 augustus 2006 17:12

AMSTERDAM - Computercriminelen hebben een nieuwe methode gevonden om geld afhandig te maken van consumenten die internetbankieren. Dat zegt beveiligingsbedrijf Trend Micro.

De nieuwe truc lijkt gedeeltelijk op het traditionele 'phishing'. Hierbij worden bankklanten door middel van een e-mail naar een nagemaakte banksite geleid. De oplichters krijgen op deze manier de beschikking over hun gebruikersnaam en wachtwoord, met alle gevolgen van dien.


Inmiddels maken vrijwel alle banken al gebruik van een extra beveiliging: gebruikers krijgen met hun pas en een klein apparaatje een toegangscode toegestuurd om toegang te krijgen en transacties te kunnen verrichten.

Vrij spel

De nieuwe oplichterstruc waarvan Trend Micro melding maakt, heeft hier een oplossing voor. De nepsite die in de e-mails vermeld wordt, vraagt ook om de toegangscode en voert deze direct achter de schermen in op de echte banksite. Afhankelijk van verdere beveiligingsmaatregelen van de bank, hebben de oplichters vervolgens vrij spel.

Beveiliging met een bankpas, een pincode en een transactiecode wordt gezien als de meest betrouwbare beveiligingsmethode, maar blijkt dus wel degelijk zwakke plekken te hebben. Volgens de Nederlandse Vereniging van Banken moeten consumenten om problemen te voorkomen, altijd op hun hoede blijven. Enkele eenvoudige tips op de website veiligbankieren.nl kunnen voorkomen dat het banksaldo in handen van criminelen valt.
Als ik het persbericht op de site van trend micro lees, lijkt het echter meer een gevalletje leuke publiciteit voor trend micro.

Wat denken jullie, is de MITM-attack echt een 'bedreiging' voor de veiligheid van het internetbankieren? Zijn er daadwerkelijk gevallen bekend, waarbij op deze manier gehandeld werd? Of is het slechts een theoretisch probleem?

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

donderdag 3 augustus 2006 09:46

Acties:
  • Gerco
  • Registratie: Mei 2000
  • Laatst online: 30-11 06:38

Gerco

Professional Newbie

ralpje schreef op donderdag 03 augustus 2006 @ 09:41:
Wat denken jullie, is de MITM-attack echt een 'bedreiging' voor de veiligheid van het internetbankieren? Zijn er daadwerkelijk gevallen bekend, waarbij op deze manier gehandeld werd? Of is het slechts een theoretisch probleem?
Het kan in theorie zo gaan:

- Op de 1 of andere manier weet een phisher jou naar zijn nepsite te leiden en te overtuigen van diens echtheid. Afhankelijk van de gebruiker is dit eenvoudig tot onmogelijk.
- Je inlog word onderschept en de nepsite gaat werken als een soort "proxy" voor de banksite
- Je transacties worden veranderd (alleen het rekeningnummer waar het naartoe moet) en je mag netjes signeren met je apparaatje (totaalbedrag is niet veranderd, dus de SMSjes van de Postbank bieden hier geen bescherming tegen).
- Je schrijft geld over naar de phisher ipv je oma, terwijl jij op je scherm alleen ziet wat je verwacht te zien.

Alles staat of valt met punt 1. Als de phisher een voldoende overtuigende website kan neerzetten (dat is minder moeilijk dan het lijkt, een proxy-site is zo gemaakt) en jou ervan kan overtuigen dat het de echte banksite is hebben ze "vrij spel" (niet helemaal, maar je kan dan dus opgelicht worden).

Ik maak me er verder geen zorgen om, spyware krijgen ze bij mij niet geinstalleerd, want ik gebruik geen Windows en tegen de tijd dat ze de DNS cache van mijn provider kunnen beïnvloeden, hebben ze mijn banksaldo niet meer nodig, dan gaan ze voor groter geld :D

[edit]
Eigenlijk hebben ze niet eens een proxysite nodig, maar alleen een proxy op jouw PC. Als ze spyware kunnen installeren die het adres van de bank naar hun site omleid, kunnen ze net zo goed gewoon met de echte banksite gaan praten en via een filtertje de gegevens veranderen naar wat zij willen dat jij ziet. Google Desktop doet dit ook, dus het is zeker mogelijk.

[ Voor 10% gewijzigd door Gerco op 03-08-2006 09:49 ]

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

donderdag 3 augustus 2006 10:36

Acties:

Verwijderd

ralpje schreef op donderdag 03 augustus 2006 @ 09:41:

Wat denken jullie, is de MITM-attack echt een 'bedreiging' voor de veiligheid van het internetbankieren?
Yep.
Zijn er daadwerkelijk gevallen bekend, waarbij op deze manier gehandeld werd?
Nou, MITM is 'oud nieuws'. Ik snap dan ook niet dat Trend daar nu nog mee komt.
Bij MITM nieuws zou je ook nog een verwijzing naar certificaten verwachten.

MITM via phishing websites is eigenlijk nog niet eens zo heel interessant, 'lokale' MITM via malware is gevaarlijker. Phishing emails zijn lang niet meer zo succesvol als vroeger, het gebruik van malware is veel efficiënter.

De implementatie van lokale MITM kan variëren. Zo kun je bijvoorbeeld naar een andere website gestuurd worden, maar kan de Trojan ook gewoon het netwerkverkeer van/naar je bank manipuleren.

Dit is geen toekomstmuziek, maar keiharde realiteit.

donderdag 3 augustus 2006 10:52

Acties:
  • Gerco
  • Registratie: Mei 2000
  • Laatst online: 30-11 06:38

Gerco

Professional Newbie

Verwijderd schreef op donderdag 03 augustus 2006 @ 10:36:
De implementatie van lokale MITM kan variëren. Zo kun je bijvoorbeeld naar een andere website gestuurd worden, maar kan de Trojan ook gewoon het netwerkverkeer van/naar je bank manipuleren.
Mja, zo lang je onder een limited user account draait (OS is onbelangrijk denk ik), is dat geen risico. Die accounts hebben helemaal niet de mogelijkheid om een filter en/of proxy te installeren op het netwerkverkeer, noch om de hostsfile of dns cache te veranderen.

MITM via malware lijkt me in zo'n scenario onmogelijk tenzij er een local privilege escalation exploit voor dat platform bestaat (wat voor de meeste platforms, zo niet alle, wel het geval is). Het risico lijkt me aanwezig, maar klein. Iig niet groter dan iemand die je handtekening vervalst op een overschrijvingskaart.

[ Voor 5% gewijzigd door Gerco op 03-08-2006 10:52 ]

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

donderdag 3 augustus 2006 11:12

Acties:
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 27-11 09:24

frickY

Je zit altjid nog met het SSL certificaat welke nie tklopt.
De certificate issuers die standaard in de trusted list van de grotere browsers staan, zouden slim genoeg moeten zijn om geen certificaten vij te geven voor domenen als postbamk.nl etc.

Er hoeft echter maar 1x een fout gemaakt te worden bij 1 van deze bedrijven dat een signed certificaat wordt uitgegeven voor een bank-domein aan de verkeerde persoon (of die persoon op andere wijze aan het certificaat en privatekey weet te komen) en MTM-attacks worden een echte bedreiging.

donderdag 3 augustus 2006 11:14

Acties:

Verwijderd

Gerco schreef op donderdag 03 augustus 2006 @ 10:52:
[...]

Mja, zo lang je onder een limited user account draait (OS is onbelangrijk denk ik), is dat geen risico. Die accounts hebben helemaal niet de mogelijkheid om een filter en/of proxy te installeren op het netwerkverkeer, noch om de hostsfile of dns cache te veranderen.
Ik denk dat je je daar op verkijkt. Er zijn exploits die gewoon werken op een LUA en waarbij in sommige gevallen de malware wordt gedropt waar LUA schrijf en execute rechten heeft.

Over wat er in usermode kan - om maar eens wat te noemen, usermode rootkits kunnen dan nog geïnstalleerd worden.
Aangezien browsers ook in usermode draaien, is het niet (helaas) niet zo'n groot probleem voor de hacker om om LUA heen te werken en de malware zo ook te laten werken.
Iig niet groter dan iemand die je handtekening vervalst op een overschrijvingskaart.
De meeste malware houdt geen rekening met LUA, maar niet alle. :)

donderdag 3 augustus 2006 11:15

Acties:
  • Gerco
  • Registratie: Mei 2000
  • Laatst online: 30-11 06:38

Gerco

Professional Newbie

frickY schreef op donderdag 03 augustus 2006 @ 11:12:
Je zit altjid nog met het SSL certificaat welke nie tklopt.
Simpel: Je phising site niet via SSL laten werken. Dan krijgt de user geen waarschuwing en is dus nergens alert op. Dat jij als tweaker nu altijd controleert of je banksite op SSL draait betekent niet dat de bakker om de hoek dat ook doet, die heeft ws geen idee wat SSL is.

Overigens is dat bij malware-based phising geen issue, want die malware importeert dan vrolijk zijn eigen certificaat en/of vervalst gewoon het netwerkverkeer tussen je app en de SSL library in.
Verwijderd schreef op donderdag 03 augustus 2006 @ 11:14:
Over wat er in usermode kan - om maar eens wat te noemen, usermode rootkits kunnen dan nog geïnstalleerd worden.
Usermode rootkits, is dat mogelijk? Een rootkit heeft toch altijd maximale rechten nodig om zijn werk te doen? Een lokale escalation vulnerability dus?
Aangezien browsers ook in usermode draaien, is het niet (helaas) niet zo'n groot probleem voor de hacker om om LUA heen te werken en de malware zo ook te laten werken.
Om het maar op zijn linux te zeggen:
code:
1

user@bak ~ $ LD_PRELOAD="~/.malware/malware.so" firefox

Zoiets bedoel je? Sockscap onder Windows kan dat ook inderdaad, daar had ik niet aan gedacht. Is het mogelijk om je hiertegen te wapenen of moet je dan maar gewoon geen malware installeren? :)

[ Voor 39% gewijzigd door Gerco op 03-08-2006 11:28 ]

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

donderdag 3 augustus 2006 11:33

Acties:
  • Polster
  • Registratie: Oktober 2004
  • Laatst online: 30-11 18:22

Polster

MITM attack in je lokale LAN (onbeveiligd wifi netwerk, op je werk, internetcafe) is vrij makkelijk en lastig tegen te gaan. Maar als gebruiker wordt je bij bankwebsites wel gewaarschuwd omdat ie problemen gaat geven bij het certificaat. Weet niet helemaal meer hoe het zit maar toen ik het een tijd terug zelf probeerde in mijn thuisnetwerk kreeg ik bij de postbank telkens een certificaat pop-up welke ik moest accepteren maar ik kwam er uiteindelijk niet in. Webmail sessies en dergelijke waren schrikbarend makkelijk te onderscheppen.

donderdag 3 augustus 2006 12:16

Acties:

Verwijderd

Gerco schreef op donderdag 03 augustus 2006 @ 11:15:
[...]

Simpel: Je phising site niet via SSL laten werken. Dan krijgt de user geen waarschuwing en is dus nergens alert op.
De melding kan gemakkelijk onderdrukt worden.
Dat jij als tweaker nu altijd controleert of je banksite op SSL draait betekent niet dat de bakker om de hoek dat ook doet, die heeft ws geen idee wat SSL is.
Als ie al een idee heeft wat SSL heeft, hoeft ie geen idee te hebben of het een juist cert is.
[...]

Usermode rootkits, is dat mogelijk?
Sure.
Een rootkit heeft toch altijd maximale rechten nodig om zijn werk te doen?
Niet noodzakelijk. Het ligt eraan wat het doel is. Kernel-mode rootkits zijn echter 'krachtiger'.
Zoiets bedoel je? Sockscap onder Windows kan dat ook inderdaad, daar had ik niet aan gedacht.
Bijvoorbeeld.
Is het mogelijk om je hiertegen te wapenen of moet je dan maar gewoon geen malware installeren? :)
Ligt eraan, tricky. Geen malware installeren is het beste. ;)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq