:strip_icc():strip_exif()/u/172554/avatar60px.jpg?f=community){kind=avatar}
Meestal als er weer iets bekend is over een aanval op een bank dan is dat heel vaak ING, ik zit zelf bij de rabobank en daar hoor je een stuk minder over. Nu ben ik zelf developer en kan wel wat zaken bedenken waar potentiële problemen zitten en hoe je een en ander kunt manipuleren.
Ik kwam op een idee hoe je betalingen zou kunnen "onderscheppen". Het idee ontstond vanuit Firebug, daarmee kun je de html bewerken in de browser. Als firebug dat kan dan kan een virus/malware dat ook. Dus stel je gaat een geldbedrag overboeken, hierbij moet je het rekeningnummer invoeren. Hierna volgt een POST actie naar de rabobank. Een virus zou het indrukken van de verzend knop kunnen onderscheppen (javascript ofzo) en het banknummer aan kunnen passen naar iets anders. Hierna wordt het gewijzigde banknummer gepost. Op de andere overzichtsschermen die je te zien krijgt naar welk banknummer je geld overmaakt zou ook gemanipuleerd kunnen worden in de browser zodat je nog steeds denkt naar het juiste banknummer geld over te maken. Alle andere validaties zoals pincode, bankpas en geldbedragen blijven intact, je hebt niets in de gaten. Ook SSL zal nog steeds actief zijn, deze voorkomt alleen maar het onderscheppen van jouw pc naar de server van de bank en dus niet de wijzigingen die je doet in je browser. Er wordt feitelijk niets gekraakt of omzeild, uitsluitend de ingevoerde en getoonde data wordt gemanipuleerd in de browser.
Als een malwarebouwer dit virus enkele minuten kan activeren op het drukste betaalmoment van de dag... middels een botnet moet dat wel te doen zijn.
Mis ik iets in mijn idee? of zal alles net op tijd weggesluisd worden zodat de bank te laat is?
De oplossing die ik hiervoor heb bedacht is het volgende: bij het verzenden van een opdracht alle huidige beveiligingen toe blijven passen, dus bankpas + pincode + randomreader. Echter nu toegevoegd door een SMS met een overzicht van banknummers met bedragen. Op deze manier kan het banknummer niet gemanipuleerd worden. De SMS manipuleren lijkt mij bijna onmogelijk, maar wellicht dat er slimme koppen rondlopen die (bv middels social engineering) de SMS buiten spel kunnen zetten.
Alles wat zich afspeelt op het scherm van de gebruiker kan gemanipuleerd worden, inclusief de afbeeldingen die rabobank toont in plaats van tekst. Ook eventuele remote desktop sessies zouden gemanipuleerd kunnen worden zonder dat de gebruiker het ziet (wel aanzienlijk moeilijker)
Ofwel: is internetbankieren überhaupt wel veilig te krijgen? of moeten we uitsluitend gebruik maken van de computers van je bank?
Edit: iedere developer met een beetje gezond verstand zou dit moeten kunnen bedenken lijkt mij zo?
Ik kwam op een idee hoe je betalingen zou kunnen "onderscheppen". Het idee ontstond vanuit Firebug, daarmee kun je de html bewerken in de browser. Als firebug dat kan dan kan een virus/malware dat ook. Dus stel je gaat een geldbedrag overboeken, hierbij moet je het rekeningnummer invoeren. Hierna volgt een POST actie naar de rabobank. Een virus zou het indrukken van de verzend knop kunnen onderscheppen (javascript ofzo) en het banknummer aan kunnen passen naar iets anders. Hierna wordt het gewijzigde banknummer gepost. Op de andere overzichtsschermen die je te zien krijgt naar welk banknummer je geld overmaakt zou ook gemanipuleerd kunnen worden in de browser zodat je nog steeds denkt naar het juiste banknummer geld over te maken. Alle andere validaties zoals pincode, bankpas en geldbedragen blijven intact, je hebt niets in de gaten. Ook SSL zal nog steeds actief zijn, deze voorkomt alleen maar het onderscheppen van jouw pc naar de server van de bank en dus niet de wijzigingen die je doet in je browser. Er wordt feitelijk niets gekraakt of omzeild, uitsluitend de ingevoerde en getoonde data wordt gemanipuleerd in de browser.
Als een malwarebouwer dit virus enkele minuten kan activeren op het drukste betaalmoment van de dag... middels een botnet moet dat wel te doen zijn.
Mis ik iets in mijn idee? of zal alles net op tijd weggesluisd worden zodat de bank te laat is?
De oplossing die ik hiervoor heb bedacht is het volgende: bij het verzenden van een opdracht alle huidige beveiligingen toe blijven passen, dus bankpas + pincode + randomreader. Echter nu toegevoegd door een SMS met een overzicht van banknummers met bedragen. Op deze manier kan het banknummer niet gemanipuleerd worden. De SMS manipuleren lijkt mij bijna onmogelijk, maar wellicht dat er slimme koppen rondlopen die (bv middels social engineering) de SMS buiten spel kunnen zetten.
Alles wat zich afspeelt op het scherm van de gebruiker kan gemanipuleerd worden, inclusief de afbeeldingen die rabobank toont in plaats van tekst. Ook eventuele remote desktop sessies zouden gemanipuleerd kunnen worden zonder dat de gebruiker het ziet (wel aanzienlijk moeilijker)
Ofwel: is internetbankieren überhaupt wel veilig te krijgen? of moeten we uitsluitend gebruik maken van de computers van je bank?
Edit: iedere developer met een beetje gezond verstand zou dit moeten kunnen bedenken lijkt mij zo?
Ruisende versterker: schakel je subwoofer in.
/u/70160/herko-icon.png?f=community){kind=icon}
:strip_exif()/u/53157/thai4.gif?f=community)
:strip_icc():strip_exif()/u/75778/hellknight_avatar_small.jpg?f=community){kind=avatar}
:strip_icc():strip_exif()/u/2646/shine.jpg?f=community)
In vergelijking met bestaande oplossingen is die oplossing echter veel en veel duurder.