ING-virus wijzigt sms voor kapen TAN-codes

07-10-2011,12:24 doorRedactie

Er is een variant van de SpyEye Trojan ontdekt, die een nieuwe manier toepast om TAN-codes voor internetbankieren te kapen. De malware is in staat om klanten van de ING en andere Nederlandse banken aan te vallen. De nieuwste variant wijzigt het mobiele telefoonnummer dat aan de bankrekening is gekoppeld en waarop de TAN-codes binnenkomen. Vervolgens kunnen de aanvallers dan transacties uitvoeren zonder dat het slachtoffer dit doorheeft.

In het geval van ING, waar klanten in augustus nog door SpyEye werden getroffen, blijkt de malware het telefoonnummer niet te kunnen wijzigen. De bank gebruikt hiervoor een procedure waarbij klanten bij een ING-kantoor of postkantoor een activeringscode moeten ophalen. Vervolgens kan men dan een nieuw mobiel nummer invoeren en via de activeringscode de TAN-functie weer activeren.

De eerste stap van de aanval bestaat uit het stelen van de gegevens voor het internetbankieren, iets dat standaard voor banking Trojans zoals Zeus en SpyEye is. Zo kunnen de aanvallers inloggen, maar nog geen transacties uitvoeren. De tweede stap is het wijzigen van het telefoonnummer. Om deze aanval uit te voeren heeft de aanvaller de bevestigingscode nodig die de bank naar de originele telefoon van de klant stuurt.

Waterdicht
Om deze code te stelen past de aanvaller de nodige social engineering toe. SpyEye injecteert als eerste een frauduleuze pagina tijdens het internetbankieren. Deze pagina stelt dat de bank een nieuw beveiligingssysteem heeft ingesteld waarvoor de klant zich moet registreren. De website legt uit dat de klant een nieuw telefoonnummer krijgt en via de post een speciale simkaart zal ontvangen.

De gebruiker wordt vervolgens gevraagd om een persoonlijke bevestigingscode in te voeren die ze op de mobiele telefoon ontvangen. Dit is de door de bank verstuurde code waarmee de aanvallers het mobiele nummer kunnen wijzigen.

Nu de aanvallers de TAN-codes via hun eigen telefoonnetwerk ontvangen, kunnen ze transacties uitvoeren zonder dat dit door fraudedetectiesystemen wordt opgemerkt, aldus beveiligingsbedrijf Trusteer. De beveiliger stelt dat op sms-gebaseerde oplossingen dan ook niet waterdicht zijn.

Update 13:19 - ING procedure toegevoegd

SP wil 'crash team' voor acute ICT-problemen

Apache dicht ernstig Reverse Proxy Bypass-lek

Reacties

07-10-2011,

13:08 door

Anoniem

+0 Rating:

Quote deze reactie | Reactie niet OK

Welk systeem is waterdicht als je social engineering toepast?

Het hele betalingssysteem is niet waterdicht, want je kunt ook gewoon een valse factuur sturen. Die wordt in veel gevallen ook gewoon betaald.

Peter

13:49 door

choi

Geen enkel systeem is waterdicht maar met die TAN codes kan je wachten op ongelukken.
Een poos terug ging mijn Android vreemd doen op het moment dat ik het bericht met de TAN code opende en ineens was mijn interface in het Pools. Sessie gelijk maar afgesloten en cache geleegd....

Inmiddels kunnen ze met simpele javascript ook zien waar en wanneer je bent ingelogt. Met een beetje fantasie kan je daar ook weer leuke dingen mee doen: https://grepular.com/Abusing_HTTP_Status_Codes_to_Expose_Private_Information

14:03 door

Leuke malware

Er is nog steeds gebruikersinteractie & social engineering nodig om dit toe te passen.

Elk systeem kan gekraakt wordt maar niet elk systeem kan even snel & gemakkelijk gekraakt worden.

Tan by SMS is in mijn optiek nog steeds het beste compromis tussen security & gebruiksgemak

16:25 door

Bestaat het soort mens nog dat überhaupt persoonlijke, "geheime" informatie invoert of zaken bevestigd op een site waar ssl niet klopt, zaken er niet vertrouwd uitzien en waar twijfelachtige vragen worden gestuurd.

Tot slot, de enige veiligheid is de illusie van veiligheid. Mensen zijn altijd de zwakste schakel!

08-10-2011,

03:42 door

uit de reacties begrijp ik dat het risico bij smartphones en draadloze wifi communicatie ligt. Is dat zo? Dan is de remedie toch ook eenvoudig?

09:08 door

huh sinds wanneer kun je het 06 nummer bij ING wijzigen zonder dat dit een week duurt voordat je een afhaal bericht in de bus krijgt?

09:51 door

Door Anoniem: uit de reacties begrijp ik dat het risico bij smartphones en draadloze wifi communicatie ligt. Is dat zo? Dan is de remedie toch ook eenvoudig?

Nee, per sé.
Deze variant van SpyeEye is malware die je computer besmet en ook gebruik maakt van een nep website.

Het voorbeeld van m'n Android was meer om aan te geven dat TAN via SMS i.c.m andere technieken wel eens heel erg kwetsbaar kan worden voor nieuwe aanvallen.

Laatst gewijzigd: 08-10-2011, 09:51

17:55 door

johanw

+1 Rating:

Het blijft opvallend dat het iedere keer ING is dat aangevallen wordt. ING roept wel dat het TAN systeem net zo veilig is als het systeem met random readers dat alle andere Nederlandse banken gebruiken maar in de praktijk blijkt dat dus niet zo te zijn.

19:27 door

Obi1r

Als ik dan op een andere site terecht kom terwijl ik betalen wil die zegt: 'Dat ik een nieuw telefoonnummer krijg en via de post een speciale simkaart zal ontvangen' moet je wel van een andere planeet komen wil je geen argwaan krijgen!

09-10-2011,

08:50 door

Blij dat ik bij de Rabo zit!

12:34 door

Ik krijg ook regelmatig e-mails die zogenaamd over mijn ING-rekening gaan. Ze vallen meteen op door een spelfout in de subject-regel. Maar .. ik ben al 15 jaar niet meer bij ING resp de Postbank. Blijkbaar deze mensen strooien hun e-mails breed rond - erg amateuristisch. Of ze zouden in staat zijn heel diverse gegevens aan elkaar te koppelen: mijn 15 jaar oude Postbank-rekeningnummer met mijn huidige e-mailadres bij een andere provider dan toen. Dat lijkt mij sterk.

10-10-2011,

13:58 door

welke oelewapper accepteert klakkeloos het bericht dat men een nieuw sim-kaartje zal ontvangen met nieuw telefoonnummer....
Dat moet wel de grootste boer op aarde zijn.

16:36 door

Night

Door Anoniem: welke oelewapper accepteert klakkeloos het bericht dat men een nieuw sim-kaartje zal ontvangen met nieuw telefoonnummer....
Dat moet wel de grootste boer op aarde zijn.

Er zijn aardig wat "boeren" op deze aarde. Het is één van de grootste beroepsgroepen. Ik ben zelf ICT-er van beroep maar ook de zoon van een agrariër en ik heb een beeld bij het woord boer, maar ik begrijp niet wat het woord boer te maken heeft met mensen die in social engineering trappen.

12-10-2011,

22:19 door

Het ING systeem en netwerk is zo lek als een mandje. Niet alleen beschikken de op dit moment nog steeds actieve fraudeurs over vertrouwelijke gegevens die alleen bij klant en bank bekend zijn, maar verkrijgen deze informatie via de op de webpagina's van de ing geïnjecteerde javascripts. Dus geen lokaal virus maar gewoon ICT-broddelwerk wat al MAANDEN LANG aan de hand is en wordt stilgehouden.... Een wonder dat een zo kapitaalkrachtige instelling zo weinig investeert in zijn eigen beveiliging.

En wat doet de bank naar zijn klanten? Men zwijgt in alle toonaarden. Dit is geen grapje!

05-11-2011,

10:56 door

DgHlmnd

Ik ben het daar mee eens. Ik adviseer niet om tim te installeren. Een keer doen en je bent gekaapt.

E-mail:
Wachtwoord:
Blijf 30 dagen ingelogd
Wachtwoord kwijt? Account aanmaken

Login