image

Malware maakt gehakt van internetbankieren

maandag 17 maart 2008, 13:09 door Redactie, 19 reacties

Internetbankieren is inmiddels voor de meeste Nederlanders de manier waarop ze hun bankzaken regelen, maar in hoeverre is het nog veilig en moeten banken slachtoffers van een geplunderde rekening vergoeden? Security.NL vroeg het aan een panel van experts, te weten: Roel Schouwenberg, Senior Anti-Virus Researcher van Kaspersky Lab, Righard Zwienenberg, Chief Research Officer bij Norman Data Defense Systems, Marius van Oers, virusdeskundige van McAfee, Frank Mulder, Technical Support Manager van Panda Security, Rik Ferguson, Solutions Architect bij Trend Micro en Tom Welling, beveiligingsspecialist bij Symantec.

Al sinds januari 2004 zijn Nederlandse bankklanten het doelwit van phishing scams. In eerste instantie waren alleen Postbankklanten het doelwit, maar later ook klanten van de ABN Amro. De onschuldig ogende phishing aanvallen kregen in 2006 een heel ander karakter toen voor het eerst Trojaanse paarden werden ingezet voor het stelen van logingegevens. Wederom waren eerst Postbankklanten het slachtoffer, gevolgd door die van de ABN Amro. Bij een aanval installeerden zeker 200 mensen de malware, waarna aanvallers volledige toegang tot de rekening hadden. De Nederlandse banken houden vol dat internetbankieren in Nederland veilig is, wat ook de 3x kloppen campagne duidelijk moest maken.

Twee-factor authenticatie is kinderspel

Toch zijn bankklanten gewaarschuwd, want de twee-factor authenticatie die de meeste Nederlandse banken gebruiken staat onder druk. “Wat mij opvalt is dat er steeds meer banker trojans zijn die in staat zijn two-factor authentication succesvol te verslaan. Jaren geleden gingen er al Proof of Concepts rond die omschreven hoe two-factor op allerhande manieren te verslaan is. Echter nu meer banken wereldwijd op two-factor overgaan, zien we deze methodes ook daadwerkelijk in steeds meer trojans toegepast,” zegt Schouwenberg.

Volgens de onderzoeker laat deze trend zien dat two-factor niet de oplossing is waarvan sommigen nog steeds denken dat het is. “Veel is echter afhankelijk van de implementatie. Zo kunnen de authenticatiestappen uitgebreid worden en/of meer complexe tokens gebruikt worden. Op die manier zou je dus bijvoorbeeld rekeningnummers als challenge kunnen gaan gebruiken, wat voor de oplettende gebruiker genoeg is om op te merken dat er iets mis is. Dat geeft ook direct de zwakte van dit systeem aan, het hangt af van de oplettendheid van de gebruiker.”

Ook van Oers ziet een taak voor de gebruiker, die daarbij wel moet worden ondersteund door de banken en anti-virusbedrijven. “Voorkomen van het plunderen van je bankrekening is een taak van alle partijen. De Bank heeft een belang omdat zij graag een veilig product bieden en tevens het gebruik van internetbankieren willen stimuleren. Daarnaast kunnen zij geen negatieve publiciteit gebruiken omdat het imago veelal vertrouwen uit moet stralen. De gebruiker dient uiteraard zelf verantwoording te nemen en alert te zijn. Uiteindelijk gaat het om zijn geld en transacties. Anti-virusbedrijven kunnen inspelen op de specifieke behoeften en daar hun producten op aan passen.

Welling ziet verdere mogelijkheden voor het verfijnen van de beveiliging aan de achterkant van de bankiersystemen. “Bij transactie monitoring kan men bijvoorbeeld op basis van bepaalde algoritmes afwijkend geldverkeer detecteren en eventueel (tijdelijk) blokkeren. Een (te eenvoudige) vergelijking is bijvoorbeeld het telefoontje van de creditcard maatschappij als er binnen een korte tijd veel afwijkende transacties hebben plaatsgevonden. Dit omdat je voor een tijdje aan van hotel naar hotel aan het rondtrekken ben tijdens je vakantie. Combineer dit met een lijst van 'verdachte' rekeningnummers, bepaalde landen en andere zaken die automatisch te controleren zijn en je hebt weer een extra vangnet. Daar bovenop zou je zelfs het normale surfgedrag van een gebruiker mee kunnen laten tellen, tijden, gebruikte browser, ip nummers, klikgedrag e.d. Je kunt het natuurlijk zo spannend en complex maken als je zou willen, maar zoals eerder aangegeven moet de drempel wel te nemen zijn door de klant. False positives zullen hieraan niet meewerken, en deze zijn ook erg bewerkelijk voor de banken zelf natuurlijk. Verder gebeuren er nog veel zaken achter de schermen, maar als ik jullie dat allemaal ga vertellen dan ben ik daarna verplicht om jullie te deleten. ;-)”

De bank je computer laten scannen

En die producten worden ook in hoog tempo ontwikkeld. Panda Security kondigde vorig jaar een speciale scanner voor banken aan waarmee ze de computers van klanten kunnen scannen, natuurlijk wel met toestemming. “Banken kunnen zich uiteraard ook bewapenen. Zo ontwikkelden wij Panda Security for Internet Transactions en Targeted Attack Alert Service,” gaat Mulder verder.

Zwienenberg ziet echter geen zilveren kogel die in één keer alle problemen oplost. “Antivirus software kan hier enigszins werken, maar is niet geheel zaligmakend. Het kan alleen de client-side beveiligen. Bij een Root-DNS aanval zal antivirus software niets kunnen stoppen.” Hij krijgt bijval van Schouwenberg: “Er is een aantal vendors die (ActiveX) scanners aanbieden die banken kunnen gebruiken om een scan uit te laten alvorens een klant toegang te verlenen tot het online bankieren. Zelf heb ik mijn twijfels over deze aanpak. Voornamelijk de houdbaarheid van zo'n oplossing is iets wat me dwars zit. Zodra zo'n product populair wordt, zal het door de cybercriminelen aangevallen worden en zal het snel tot een marketinggimmick vervallen.

Het is dan ook een combinatie van oplossingen die uiteindelijk effect kunnen sorteren. “Andere oplossingen kunnen meer server-side zijn. Denk aan software die verdachte transacties kan bespeuren. Dit kan gerelateerd zijn aan het IP adres - denk aan MitM aanvallen - of aan het bestedingspatroon, noem maar op. De rol van de anti-virus bedrijven in deze is natuurlijk primair om ervoor te zorgen dat de banker malware gedetecteerd dan wel gestopt wordt,” gaat de analist van Kaspersky Lab verder.

Explosieve toename banking Trojans

Panda Security detecteerde in 2007 maar liefst 463% meer Banker Trojans dan in 2006. “Banken proberen e-banking te promoten om kosten te drukken. Maar door malware attacks komt het imago daarvan in het gedrang,” aldus Mulder. Toch zijn de aanvallen al enige tijd gaande. “Password stealers zijn er eigenlijk altijd al geweest, echter sinds 2005 is er echt een focus op adware en trojans met als hoofddoel om er geld mee te verkrijgen. “Banking trojans” zijn momenteel een erg grote hoofdgroep binnen de malware area en zal naar verwachting zo blijven voor de komende jaren,” merkt van Oers op.

Sinds 2004 is banking malware enorm geëvolueerd. “In eerste instantie ging het om eenvoudige keyloggers die alle niet-bankgerelateerde input filterden,” laat Ferguson weten. De keyloggers werden snel opgevolgd door Trojaanse paarden die screenshots van schermen maakten en niet veel later one-time wachtwoord systemen kraakten. “We zien nu Trojans die de sessie van de gebruiker kapen en one-time wachtwoorden onderscheppen voordat ze de bank bereiken. Op deze manier kan de aanvaller de login nog een keer gebruiken of bij de gebruiker de transactie wijzigen, zodat het geld naar zijn rekening wordt overgemaakt.” Het is volgens Ferguson duidelijk dat als de banken een nieuwe technologie uitrollen de virusschrijvers hierop inspelen.

Het is juist de ontwikkeling die de experts zorgen baart. Welling: “Banking Trojans en malware in het algemeen worden ook steeds geavanceerder, neem nou de Trojan.Silentbanker of Trojan.Mebroot. Het ontwikkelproces van dergelijke malware lijkt ook aan evolutie onderhevig te zijn, alles wijst erop dat hier inmiddels complete projecteams aan werken. Compleet met versiebeheer, prototype tests in het wild en alles wat nog meer om de hoek komt kijken bij het professioneel ontwikkelen van software. Je ziet dan ook een afname van veelvoorkomende programmeerfouten waardoor vroeger regelmatig een potentieel ingenieus virus zichzelf de das om deed.”

Blijven vergoeden

In verschillende landen overwegen banken om malware slachtoffers wiens rekening geplunderd is niet meer te vergoeden en dan met name als ze besturingssysteem niet up to date is en beveiligingssoftware onbreekt. “In Nieuw-Zeeland is dit al officieel, maar ook bij banken in de UK en Duitsland vangen klanten bot. Het probleem met vooraf zeggen dat schade wordt vergoed, is dat de motivatie bij veel gebruikers vervalt. Immers kosten de meeste OSen en security software geld,” en daarmee slaat Schouwenberg de spijker op de kop. Het kan de meeste consumenten helemaal niets schelen en dat wordt door de houding van de banken alleen maar bevorderd.

Het niet vergoeden van consumenten gaat de meeste experts te ver. “Banken moeten zeker niet stoppen met het vergoeden van slachtoffers. Ze moeten zeker wel meer tijd besteden aan hun beveiliging, maar hoe goed de beveiliging ook is, er kan nooit een garantie worden gegeven dat een rekening niet geplunderd kan worden,” meldt Zwienenberg.

Van Oers is het met hem eens. “Het belang van de Bank is ook groot om zijn/haar klanten naar online banking te krijgen. Denk hierbij aan kostenbesparingen omdat het verkeer naar de locaties afneemt. Zo kunnen de besparingen wel eens groter zijn dan de kosten van vergoedingen. Ook gebruikt een bank die veel diensten levert via het internet dit vaak om een imago van vooruitstrevend en modern neer te zetten. Banken zouden wel bepaalde minimale waarden neer kunnen zetten (clausules) waaraan hun klanten moeten voldoen willen ze in aanmerking komen voor een vergoeding bij eventuele schade. Mogelijk dat dit al gebeurt overigens.

Het lijkt daarom ook slechts een kwestie van tijd voordat de strengere maatregelen voor internetbankieren verschijnen. “Ik kan me voorstellen dat banken steeds strengere (technische) regels aanhouden wat betreft het gebruik van online bankieren. Denk hierbij aan het technisch afdwingen van een bepaald niveau van beveiliging op de computers die gebruikt worden door de klanten om te bankieren. Bijvoorbeeld minimale systeemvereisten wat betreft het gebruik van bepaalde besturingssystemen, servicepacks en patchniveaus en zelfs misschien het gebruik van (tijdelijke) beveiligingssoftware? Technisch is dit allemaal mogelijk, maar het is natuurlijk verschrikkelijk belangrijk om de drempel (gebruikersvriendelijkheid en technisch) voor de klant zo laag mogelijk te houden, en deze maatregelen kunnen hiermee conflicteren.

Schouwenberg is van mening dat banken in ieder geval niet automatisch de schade moeten vergoeden. “Dit zou echter wel gepaard dienen te gaan met goede voorlichtingcampagnes. Immers weten nog steeds veel mensen niet van online fraude af, hoewel dat met de 3x kloppen campagne ongetwijfeld een flink stuk verbeterd is.”

Reacties (19)
17-03-2008, 13:52 door Anoniem
Ik zal het nog een keer zeggen: De Rabobank heeft al een
clausule die zegt dat ze niet verantwoordelijk zijn voor
schade ten gevolg van softwareproblemen op de client,
<em>maar ook op hun server</em>. Vooralsnog ga ik dus niet
bij hun internetbankieren. Ik ga niet opdraaien voor hun
geklooi, alleen maar omdat zij geld willen besparen!
17-03-2008, 13:59 door Anoniem
Ze moeten bij de calculator een Bootable CDROM leveren met
software erop die alleen vanuit die CDROM en en werkgeheugen
kan werken. Dan is bankieren altijd booten, so what dat doen
de meeste windows machines toch wel minimaal 2 keer per dag.
Het operating system op de CDROM moet dan niet meer dan open
software implementatie zijn zodat iedereen ook in de source
kan kijken of de disks niet benaderd worden en de bank al
je prive upload.
Of eventueel de harde schijf van te voren uit de BIOS halen
via die software...(tijdelijk)
Ik boot nu al voor het bankieren een suse LIVE CDROM.
17-03-2008, 14:57 door Anoniem
Malware doet dat niet enkel bij het internetbankieren...

OOK DiGiD en de belastingaangifte hebben daar problemen mee !
17-03-2008, 15:16 door Anoniem
yep, ik en mijn hele familie en al mijn collegas heb ik dit aangeraden en iedreen
gebruikt het met vreugde.

bootable linux cdtje .... clean environment ... zeer secure.

als nu je router maar niet gehacked word door een malicious flash file over upnp
:)
17-03-2008, 16:05 door Anoniem
Upnp uit (altijd) en je moet toch naar een IPV6 router dus
dan ff een wat betere kopen en dan cd CDROM natuurlijk.
17-03-2008, 16:27 door Anoniem
Het zou toch van de gekken zijn dat ik voor mijn bankzaken
verplicht ben om een bepaald OS met een bepaald patchlevel
te gebruiken ? Hoe bedoel je monopoliepositie misbruiken ?!

Worden de kosten voor de banken dan niet toch nog extra hoog
omdat ze Mac, Windows, Linux (in tig vormen) en *BSD (om er
maar een paar te noemen) moeten supporten?

Zo'n bootable LiveCD lijkt me een beter plan; scheelt ook
weer als er nieuwe threads opduiken, een unwritable medium
om je bankzaken mee te doen is welliswaar omslachtig, maar
een stuk veiliger dan je reguliere OS te gebruiken.
17-03-2008, 16:34 door Jan-Hein
Ik heb hier al enkele malen eerder aangegeven dat banken de belofte van
vergoedingen niet lang zullen kunnen waarmaken met de huidige
beveiligingstechnieken; kennelijk begint het langzaam door te dringen, maar
ik denk dat ze de meest dodelijke aanval nog niet eens in beeld hebben.
Wel een beetje zielig voor de experts: ze weten (in elk geval Roel
Schouwenberg) dat er wel degelijk een goede (bestand tegen alle phishing
attacks, incl. Root-DNS) twee factor authenticatie mogelijkheid bestaat, die
makkelijker in het gebruik en veel goedkoper dan de huidige systemen is.
Het enige probleem is dat het zo'n gesloten wereldje is, dat ze letterlijk niet
willen kijken naar die mogelijkheid; ik noem dat gevaarlijke geslotenheid.
Terugvallen op de ervaring van de credit card industrie (met krankzinnige
kosten voor monitoring processen) is een absurd zwaktebod; dan kunnen we
net zo goed weer volledig terug naar de onaangename wereld van de credit
card, waarin meer van delen van risico's dan van het bestrijden ervan sprake
is.
Spyware van banken verplicht stellen is de prelude voor het verplicht stellen
van de volledige controle over PC's door de overheid (nodig voor ons geliefde
DiGiD en in de strijd tegen het kwaad in het algemeen); ook geen prettig
vooruitzicht.
Natuurlijk is het eigenlijk allemaal de schuld van de gebruiker, die zijn
verantwoordelijkheid niet neemt en dus opgevoed moet worden, eventueel
met hard financieel ingrijpen.
Klop, klop, klop: iemand thuis?
17-03-2008, 22:24 door Anoniem
Voor alle Linux initiatieven voor Inet bankieren, DAT IS ER AL !!

Asus levert een mobo (P5E3 DeLuxe) met Linux embedded, een
Browser (FireFox rebranded) en een versie van Skype die binnen 5
seconden!! kant en klaar staan voor o.a. Inet bankieren zonder
malware.....

Geen gedoe met live-cdtjes of usb stick....

Lees er meer over op:
http://www.phoronix.com/scan.php?page=article&item=869&num=1[

Fred
17-03-2008, 22:53 door Gutsy Gibbon
Ik gebruik gewoon knoppix hoor voor inet bankieren.
En met netstat/iptraf kijk ik of het blok ip-adres klopt, dat ken ik wel
uit mijn hoofd.
17-03-2008, 23:27 door [Account Verwijderd]
[Verwijderd]
18-03-2008, 21:26 door spatieman
de bank je pc laten scannen.
en in tussen wordt de bank met een iframe injectie
geinfecteerd, en je PC ook.
19-03-2008, 00:00 door Anoniem
Door rookie
Door Gutsy Gibbon
Ik gebruik gewoon knoppix hoor voor inet bankieren.
En met netstat/iptraf kijk ik of het blok ip-adres klopt,
dat ken ik wel
uit mijn hoofd.

ghehe diehard.

Maar dan nog kan de malware in theorie zich in de hardware
gaan nestelen (ook bij die tip van Fred) dunkt mij.


Alleen als daar schrijfrechten zijn, en dat lijkt mij zeer
onwaarschijnlijk.

'Linux embedded' betekend dus dat er van een flashgeheugen o.i.d.
gebruik word gemaakt om instellingen op te slaan en ja er KAN daar
iets gaan zitten waar je dat niet wilt maar ook dat is zeer
onwaarschijnlijk.

Maar goed, niets is onmogelijk..

Fred
19-03-2008, 09:33 door Anoniem
/*
Asus levert een mobo (P5E3 DeLuxe) met Linux embedded, een
Browser (FireFox rebranded) en een versie van Skype die binnen 5
seconden!! kant en klaar staan voor o.a. Inet bankieren zonder
malware.....

Geen gedoe met live-cdtjes of usb stick....
/*

Klopt maar in de overgangs situatie ........ en de banken
hebben het al zo slecht dus die gaan niet
betalen.....mischien wel voor een CDtje dat als het geboot
is alleen een browser laat zien...
19-03-2008, 13:31 door Anoniem
Gewoon mijnpostbank.nl gebruiken en Internet Explorer fishing filter
aanzetten. Code is toch elke keer anders.
19-03-2008, 13:32 door Anoniem
Geef eens een PoC voor een trojan horse voor MijnPostbank.nl.
De enige mogelijk heid is phising. Met een goed phising filter is er niets aan
de hand.
21-03-2008, 00:43 door Anoniem
Je kan met een linux-pc niet eens inloggen bij de Rabo en de
Postbank.. Heel erg raar. Ben je actief bezig met een
veilige PC, is het te veilig om te kunnen internetbankieren!?
21-03-2008, 14:33 door Gutsy Gibbon
Door Anoniem
Geef eens een PoC voor een trojan horse voor MijnPostbank.nl.
De enige mogelijk heid is phising. Met een goed phising filter is er
niets aan
de hand.

Een goed phising filter die je met internetbankieren gebruikt is de
eindgebruiker en geen programma die false positives geeft en die
toch nooit 100% waterdicht kunnen zijn.
23-03-2008, 15:17 door Anoniem
Door Anoniem
Je kan met een linux-pc niet eens inloggen bij de Rabo en de
Postbank.. Heel erg raar. Ben je actief bezig met een
veilige PC, is het te veilig om te kunnen
internetbankieren!?

postbank werkt prima onder linux hoor, je moet alleen wel
java geinstalleerd hebben
25-03-2008, 13:19 door Anoniem
Door Anoniem
Je kan met een linux-pc niet eens inloggen bij de Rabo en de
Postbank.. Heel erg raar. Ben je actief bezig met een
veilige PC, is het te veilig om te kunnen
internetbankieren!?

Ik gebruik ubuntu zowel bij de postbank en de rabobank
werkt bij beiden .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.