Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
ING zakelijk bankieren te kraken in 5 stappen?
10-11-2010, 15:42 door Consultant, 20 reacties
edit
stappenplan was niet zo simpel als gedacht.
Wel is toegang tot alle bankinfo slechts beschermd met username/password (zwakke authenticatie voor confidentiality), en het out of band kanaal voor de TAN niet veilig (gsm is gekraakt, en een telefoon is geen security device).
stappenplan was niet zo simpel als gedacht.
Wel is toegang tot alle bankinfo slechts beschermd met username/password (zwakke authenticatie voor confidentiality), en het out of band kanaal voor de TAN niet veilig (gsm is gekraakt, en een telefoon is geen security device).
Reacties (20)
Lekker duidelijk verhaal... Je kunt het slachtoffer ook gewoon bellen en vragen of je zijn mobiel mag lenen en by the way ook even zijn gebruikersnaam en wachtwoord mag lenen.
Onzin, je kan niet zomaar het telefoonnummer wijzigen waarop je TAN codes ontvangt. Je moet hiervoor eerst de mogelijkheid om TAN codes te gebruiken blokkeren, vervolgens krijg je een nieuwe aanvraagprocedure en via de post een code die je met ID moet afhalen bij kantoor. Daarna kan je pas een nieuw tel. nummer opgeven.
En inderdaad, dan is gewoon vragen naar de gegevens een stuk makkelijker zoals bovenstaande reactie al aangeeft.
En inderdaad, dan is gewoon vragen naar de gegevens een stuk makkelijker zoals bovenstaande reactie al aangeeft.
10-11-2010, 17:00 door
Bitwiper
Door Consultant: ING zakelijk bankieren kraken:
1. Maak een VOIP account aan voor een telefoonnumer
2. Infecteer slachtoffer via exploit toolkit
3. Malware op PC vangt gebruikersnaam en wachtwoord op
4. Het telefoonnummer kan na inloggen worden aangepast zodat de TAN code naar het aangemaakt voip accountje gaat
5. Bankrekening geplunderd...
Voldoende security?
Nee.1. Maak een VOIP account aan voor een telefoonnumer
2. Infecteer slachtoffer via exploit toolkit
3. Malware op PC vangt gebruikersnaam en wachtwoord op
4. Het telefoonnummer kan na inloggen worden aangepast zodat de TAN code naar het aangemaakt voip accountje gaat
5. Bankrekening geplunderd...
Voldoende security?
Het grootste probleem hier is echter niet het zondigen tegen het 2CA (http://acronyms.thefreedictionary.com/Two+Channel+Authentication) principe dat die kanalen bij de bron moeten splitsen en pas bij de gebruiker mogen samenkomen, maar het feit dat de PC gecompromitteerd is - en dus die trojan, ongeacht of deze zelf over de TAN codes beschikt, andere financiële transacties kan uitvoeren dan de gebruiker denkt te doen (zie http://www.schneier.com/essay-083.html).
Het grootste probleem is dat multi-purpose PC's inherent ongeschikt zijn voor risicovolle handelingen zoals internetbankieren. Wat jij aangeeft maakt het er natuurlijk niet beter op.
Als het allemaal nou zo simpel is... Hoe komt het dan dat ik in mijn omgeving de afgelopen jaren nog nooit iemand heb gekend die dit is overkomen? Ik ken 1 iemand wiens pinpas ooit is geskimd?! en die heeft in feite zonder gedoe alles teruggekregen van de bank, dit is dus hooguit vervelend en lastig voor een paar dagen, maar daar is ook echt alles mee gezegd. Ik ken deze verhalen ook alleen van internet feitelijk. Praktijkvoorbeeld van op bovenstaande manier gegevens en telefoonnummers veranderen heb ik persoonlijk nog niet meegemaakt en dus ook niemand in mijn omgeving. Theorie is makkelijk ja, maar praktijk iets complexer volgens mij. Wat is nu echt het percentage op alle inwoners van NL die dit heeft meegemaakt???
Zijn er uberhaupt mensen met real life voorbeelden van TAN code diefstal hier op het forum?
Zijn er uberhaupt mensen met real life voorbeelden van TAN code diefstal hier op het forum?
11-11-2010, 12:16 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem: Onzin, je kan niet zomaar het telefoonnummer wijzigen waarop je TAN codes ontvangt. Je moet hiervoor eerst de mogelijkheid om TAN codes te gebruiken blokkeren, vervolgens krijg je een nieuwe aanvraagprocedure en via de post een code die je met ID moet afhalen bij kantoor. Daarna kan je pas een nieuw tel. nummer opgeven.
En inderdaad, dan is gewoon vragen naar de gegevens een stuk makkelijker zoals bovenstaande reactie al aangeeft.
En inderdaad, dan is gewoon vragen naar de gegevens een stuk makkelijker zoals bovenstaande reactie al aangeeft.
Mee eens. Zó eenvoudig is het nou ook weer niet. Doet me twijfelen aan de kwaliteit van heer(?) Consultant.
Het klopt dat het theoretisch te doen is om bij iemands account in te breken, maar om er daarna nog wat mee te doen is nog weer heel wat anders, dan zul je ook nog eens de brief moeten onderscheppen die de ING opstuurt.
De schade die in eerste instantie opgelopen wordt is dat iemand je bankrekening kan zien, maar ik lees net in de krant dat de justitie daar toch al grondig in wil grasduinen, dus dat hoort toch al niet meer tot de privacy gevoelige zaken.
Kun je niet veel beter als Man-in-the-Middle bij een andere bank ertussen gaan zitten en een of andere transactie ertussen zetten? Andere banken gebruiken geen tweede kanaal voor de bevestiging van de transactie, dus dat moet mogelijk zijn.
Carol
11-11-2010, 12:30 door
carolined
Door Peter V: Voor banksites, ING en dergelijke kun je elke Banking-Trojan te slim af zijn door de Tool Rapport van Trusteer te installeren.
Dan kan er niets meer geplunderd worden.
Peter,Dan kan er niets meer geplunderd worden.
Hoe doet Tool Rapport dat dan? De verificatie van de website van de bank? Dat wordt me op de site van Trusteer niet duidelijk. Verifieeren ze het certificaat van de Bank-site?
12-11-2010, 00:16 door
MDMDumortier
Keylogger maken en doorsturen of op enkele computers zetten in bibliotheek of internet café
Ik vind het wel een aanfluiting dat dit soort onzin nu al voor de tweede dag op de hoofdpagina van security.nl staat. Zegt m.i. wel iets over deze site.
12-11-2010, 08:48 door
Mysterio
-zucht- dit is wel een erg simplistische weergave van een mogelijk scenario. Je vergeet dat (mocht het lukken) je het geld ergens naar toe dient over te maken. Het slachtoffer zal aangifte doen, aangeven wanneer hij voor het laatst is ingelogd, de overboekingen worden nagekeken en er is een redelijke kans dat je alsnog niet bij je vers gestolen geld kan komen.
Een misdrijf begaan is meestal niet de kunst, er mee wegkomen is dat vaak wel.
Een misdrijf begaan is meestal niet de kunst, er mee wegkomen is dat vaak wel.
Dit lijkt me een stuk makkelijker:
1. Stuur wat phishing mail (zonder taalfouten) rond naar een zooitje gebruikers en laat ze inloggen op een nepwebsite..
2. Log in op MijnING en bekijk het woonadres van de gebruiker.
3. Breek in bij de gebruiker en jat zijn telefoon of TANcode lijst.
4. Bankrekening geplunderd.
1. Stuur wat phishing mail (zonder taalfouten) rond naar een zooitje gebruikers en laat ze inloggen op een nepwebsite..
2. Log in op MijnING en bekijk het woonadres van de gebruiker.
3. Breek in bij de gebruiker en jat zijn telefoon of TANcode lijst.
4. Bankrekening geplunderd.
Door Anoniem: Dit lijkt me een stuk makkelijker:
1. Stuur wat phishing mail (zonder taalfouten) rond naar een zooitje gebruikers en laat ze inloggen op een nepwebsite..
2. Log in op MijnING en bekijk het woonadres van de gebruiker.
3. Breek in bij de gebruiker en jat zijn telefoon of TANcode lijst.
4. Bankrekening geplunderd.
1. Stuur wat phishing mail (zonder taalfouten) rond naar een zooitje gebruikers en laat ze inloggen op een nepwebsite..
2. Log in op MijnING en bekijk het woonadres van de gebruiker.
3. Breek in bij de gebruiker en jat zijn telefoon of TANcode lijst.
4. Bankrekening geplunderd.
Waarom zo moeilijk ?
1. Aanbellen
2. Naar binnen stormen en kinderen meenemen
3. Dreigen en overtuigen dat ze al haar geld moet opnemen
4. Gelf afnemen en klaar
5. Kinderen terug geven
Sjeetje... lijkt de wilde westen wel hou aub op met dit soort gedoe met je in 5 stappen
12-11-2010, 18:46 door
Bitwiper
Ik vind de kritiek op Consultant hierboven absurd (ik heb bijna spijt van m'n eigen bijdrage, maar die is in elk geval inhoudelijk en niet op de man gespeeld). Veel kwetsbaarheden worden gevonden door er met meerder mensen over te brainstormen, met name als daarbij sprake is van meerdere kleine "issues".
De vergelijking met "slachtoffers bellen" is onjuist omdat dit op een ander type slachtoffer van toepassing kan zijn, en de vergelijking met "Naar binnen stormen en kinderen meenemen" is helemaal uit z'n verband gerukt omdat de aanvaller daarvoor fysiek ter plaatse moet zijn (bovendien worden daar meer politiemensen "op" gezet en de kans ik groot dat je opsporing verzocht haalt).
Precies zoals Mysterio zegt is de "kunst" van een misdrijf ermee wegkomen. Alleen zijn er zoveel verschillende banking trojans in omloop dat ik vermoed dat geld, dat is overgeboekt via een aantal tussenrekeningen, niet valt terug te halen. Ik vrees dat dit gewoon een lucratieve business is. Het is beter dat we zelf bedenken hoe aanvallers zouden kunnen werken dan erop wachten tot zij dat doen.
Het is me niet duidelijk hoe je een mobiel nummer naar een VIOP nummer zou kunnen doorschakelen. Overigens bestaan er wel andere enge diensten waar je misschien beter geen gebruik kunt maken als je internetbankiert, zie bijvoorbeeld http://blackberry.pdassi.nl/49467/Advanced_Forwarder_voor_BlackBerry.html:
De vergelijking met "slachtoffers bellen" is onjuist omdat dit op een ander type slachtoffer van toepassing kan zijn, en de vergelijking met "Naar binnen stormen en kinderen meenemen" is helemaal uit z'n verband gerukt omdat de aanvaller daarvoor fysiek ter plaatse moet zijn (bovendien worden daar meer politiemensen "op" gezet en de kans ik groot dat je opsporing verzocht haalt).
Precies zoals Mysterio zegt is de "kunst" van een misdrijf ermee wegkomen. Alleen zijn er zoveel verschillende banking trojans in omloop dat ik vermoed dat geld, dat is overgeboekt via een aantal tussenrekeningen, niet valt terug te halen. Ik vrees dat dit gewoon een lucratieve business is. Het is beter dat we zelf bedenken hoe aanvallers zouden kunnen werken dan erop wachten tot zij dat doen.
Het is me niet duidelijk hoe je een mobiel nummer naar een VIOP nummer zou kunnen doorschakelen. Overigens bestaan er wel andere enge diensten waar je misschien beter geen gebruik kunt maken als je internetbankiert, zie bijvoorbeeld http://blackberry.pdassi.nl/49467/Advanced_Forwarder_voor_BlackBerry.html:
Advanced Forwarder schakelt gesprekken en SMS berichten automatisch door naar een andere telefoon. Deze doorschakeling kan direct op uw telefoon worden geactiveerd of op afstand via SMS, wanneer u de telefoon thuis bent vergeten of kwijt bent geraakt.
Door MDMDumortier: Keylogger maken en doorsturen of op enkele computers zetten in bibliotheek of internet café
Mensen die Internet bankieren in een bibliotheek of internet cafe vragen er om....
Het is me niet duidelijk hoe je een mobiel nummer naar een VIOP nummer zou kunnen doorschakelen. Overigens bestaan er wel andere enge diensten waar je misschien beter geen gebruik kunt maken als je internetbankiert, zie bijvoorbeeld http://blackberry.pdassi.nl/49467/Advanced_Forwarder_voor_BlackBerry.html:
Wanneer je een portering van je nummer aanvraagt bij provider B, dan hoef je volgens mij geen bevestiging te geven bij provider A. Je ontvangt alleen een bevestiging van het beëindigen van je contract. Wil je de portering dan stoppen dan zul je zelf actie moeten ondernemen. Wellicht bied dit mogelijkheden wanneer mensen bijvoorbeeld op vakantie zijn?
Eeehmm nee niet makkelijk , want zodra je het telefoon nummer veranderd , word je account geblokkeerd , en krijgt de eigenaar , na een week ofzo , per post een brief van de ING om zijn account te her-activeren.
Deze eigenaar ziet natuurlijk meteen dat het nieuwe telefoon nummer niet klopt en activeerd dus zijn account niet.
Of hij activeert zijn account wel en veranderd gelijk het telefoon nummer , en moet vervolgens weer een week wachten om zijn account te kunnen her-activeren.
Kortom de eigenaar kan 2 weken zijn account niet gebruiken , en degene die probeerde het account over te nemen kan nog niks.
Deze eigenaar ziet natuurlijk meteen dat het nieuwe telefoon nummer niet klopt en activeerd dus zijn account niet.
Of hij activeert zijn account wel en veranderd gelijk het telefoon nummer , en moet vervolgens weer een week wachten om zijn account te kunnen her-activeren.
Kortom de eigenaar kan 2 weken zijn account niet gebruiken , en degene die probeerde het account over te nemen kan nog niks.
"5. Bankrekening geplunderd."
6. Politie voor de deur, handboeien om en hup naar de bajes.
Tenzij je natuurlijk ook nog een goede constructie hebt met katvangers en dergelijke om uit handen van justitie te blijven - of denk je dat er geen aangifte wordt gedaan zodat je hiermee zonder probleem wegkomt ?
"Ik vind het wel een aanfluiting dat dit soort onzin nu al voor de tweede dag op de hoofdpagina van security.nl staat. Zegt m.i. wel iets over deze site."
Het zegt enkel dat jij niet weet hoe een forum werkt. Indien jij nu een onzin topic aanmaakt, dan staat het net zo goed op de hoofdpagina.
6. Politie voor de deur, handboeien om en hup naar de bajes.
Tenzij je natuurlijk ook nog een goede constructie hebt met katvangers en dergelijke om uit handen van justitie te blijven - of denk je dat er geen aangifte wordt gedaan zodat je hiermee zonder probleem wegkomt ?
"Ik vind het wel een aanfluiting dat dit soort onzin nu al voor de tweede dag op de hoofdpagina van security.nl staat. Zegt m.i. wel iets over deze site."
Het zegt enkel dat jij niet weet hoe een forum werkt. Indien jij nu een onzin topic aanmaakt, dan staat het net zo goed op de hoofdpagina.
..Het telefoonnummer kan na inloggen worden aangepast ..
24-11-2010, 19:07 door
Syzygy
ING zakelijk bankieren kraken: (waarom "zakelijk" ??)
1. Maak een VOIP account aan voor een telefoonnummer (wat bedoel je hiermee precies)
2. Infecteer slachtoffer via exploit toolkit (ja en dat is zo gebeurd want hij heeft geen beveiliging, je kent zijn email adres zeker of gooi je een DVD-je door de brievenbus met een briefje "Installeer effe dan rip ik je")
3. Malware op PC vangt gebruikersnaam en wachtwoord op (logisch anders heb je er niks aan)
4. Het telefoonnummer kan na inloggen worden aangepast zodat de TAN code naar het aangemaakt voip accountje gaat (wat heeft dat VOIP er mee te maken, je neemt toch gewoon een pre-paidje)
5. Bankrekening geplunderd... (want je maakt het over naar je eigen rekening, on nee dat kan niet want dan komt de pliesie bij langs)
Redactie, even de "bullshit filters" wat aanscherpen s.v.p.
1. Maak een VOIP account aan voor een telefoonnummer (wat bedoel je hiermee precies)
2. Infecteer slachtoffer via exploit toolkit (ja en dat is zo gebeurd want hij heeft geen beveiliging, je kent zijn email adres zeker of gooi je een DVD-je door de brievenbus met een briefje "Installeer effe dan rip ik je")
3. Malware op PC vangt gebruikersnaam en wachtwoord op (logisch anders heb je er niks aan)
4. Het telefoonnummer kan na inloggen worden aangepast zodat de TAN code naar het aangemaakt voip accountje gaat (wat heeft dat VOIP er mee te maken, je neemt toch gewoon een pre-paidje)
5. Bankrekening geplunderd... (want je maakt het over naar je eigen rekening, on nee dat kan niet want dan komt de pliesie bij langs)
Redactie, even de "bullshit filters" wat aanscherpen s.v.p.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.