Nieuws
image

Bank aangeklaagd wegens twee-factor authenticatie

woensdag 10 februari 2010, 08:48 door Redactie, 12 reacties

Een Amerikaan bedrijf heeft haar bank aangeklaagd wegens het gebruik van twee-factor authenticatie voor het beveiligen van internetbankieren. Experi-Metal Inc. (EMI) werd vorig jaar slachtoffer van een phishingaanval, waarbij aanvallers ruim 400.000 euro buitmaakten. In eerste instantie gebruikte de Comerica bank certificaten voor het beschermen van online bankrekeningen. Klanten kregen dan eens per jaar een e-mail met een link om een nieuw certificaat te downloaden. Vanwege de fraudegevoeligheid van dit proces besloot de bank in 2008 op twee-factor authenticatie over te stappen. Klanten kregen naast hun gebruikersnaam en wachtwoord ook een token voor het generen van codes.

Op 22 januari ontving een werknemer van EMI een phishingmail, die afkomstig van Comerica leek. De bank beweerde dat er werkzaamheden aan de banksoftware plaatsvonden en de ontvanger alleen via de vermelde link kon inloggen. De werknemer opende de vervalste pagina en logde in met de inloggegevens en gegenereerde security-token. Bijna meteen begonnen de aanvallers met het plunderen van EMI's rekening. In een periode van zo'n drie uur werden 47 transacties naar China, Estland, Finland, Rusland en Schotland gedaan. De bank zou na deze transacties EMI hebben ingelicht, waarop het bedrijf vroeg alle transacties te stoppen, maar uiteindelijk vonden er nog eens 38 transacties plaats. In totaal wisten de aanvallers 407.000 euro te stelen.

Acceptabel
"Op het moment dat Comerica EMI liet overstappen naar de secure token methodologie, wist of had Comerica moeten weten dat experts in de industrie de secure token methodologie, die twee-factor authenticatie gebruikt, al hadden bekritiseerd", aldus één van de aanklachten tegen de bank. Die beweert dat de phishingsite voor elke "alerte persoon" herkenbaar had moeten zijn. Daarnaast houdt het vol dat de gebruikte beveiliging acceptabel is, aangezien ook andere banken die gebruiken.

Reacties (12)
10-02-2010, 08:54 door Anoniem
Gebrek aan intelligentie van die medewerker is niet de schuld van die bank lijkt mij.
Het gedrag van de bank dat ze steeds meer beveiligen zal ze in de rechtbank veel helpen.
10-02-2010, 09:24 door Anoniem
Wanneer gaat iemand eens een bank aanklagen omdat ze nog steeds hun emails niet cryptografisch authenticeren? Dat maakt het wel erg simpel voor de vissers die niet kunnen spellen.
10-02-2010, 11:22 door Anoniem
Bank maakt beveiliging beter. Gebruiker trapt in phishing mail. Gebruiker klaagt *bank* aan?
... only in America...
10-02-2010, 12:11 door Anoniem
Het gaat hier wel om Amerika. Iedere normale europeaan zal geen huisdieren in een magnetron stoppen. In de VS staat dit uitdrukkelijk in de gebruiksaanwijzing, daar is al ooit een proces over verloren. Ook Porsche schijnt daar een lied over te kunnen zingen. Volgens verhalen (misschien broodje aap, maar je weet nooit) zou een vader zijn 18-jariege zoon voor het behalen van zijn rijbewijs een Porsche cadeau hebben gedaan. En raad eens? ... dat werd een dodelijk ongeluk. Dus???
10-02-2010, 13:44 door spatieman
dom klik volk heb je overal die niet de tijd nemen om te kijken waar de link op uitkomt,
10-02-2010, 14:11 door Anoniem
De bank is wel te verwijten dat de inlogpagina kennelijk http was en niet https. Anders zie ik geen kans voor een man in the middle.
10-02-2010, 15:32 door RichieB
De fout hier is natuurlijk dat ze wel 2 factor authenticatie gebruikten om in te loggen, maar niet voor het doen van betalingen. Dat is de bank wel degelijk aan te rekenen.
10-02-2010, 15:39 door Anoniem
Ik ga dit bericht maar bewaren voor in discussies met management.

De betere methodes waren vast veel te duur om te implementeren. En ach "wat kan ons nu overkomen"?

1) geld kwijt, verzekeringspremie dus omhoog
2) reputatie schade van hier tot ginder
3) en een mooi ingewikkeld proces aan de broek

Alles bij elkaar kost dit veel meer geld dan het implementeren van die betere technieken.

Volgende keer vooral niet luisteren naar je IT personeel!
10-02-2010, 16:33 door Anoniem
Door Anoniem: Het gaat hier wel om Amerika. Iedere normale europeaan zal geen huisdieren in een magnetron stoppen. In de VS staat dit uitdrukkelijk in de gebruiksaanwijzing, daar is al ooit een proces over verloren. Ook Porsche schijnt daar een lied over te kunnen zingen. Volgens verhalen (misschien broodje aap, maar je weet nooit) zou een vader zijn 18-jariege zoon voor het behalen van zijn rijbewijs een Porsche cadeau hebben gedaan. En raad eens? ... dat werd een dodelijk ongeluk. Dus???

Sorry, maar het huisdieren in de magnetron verhaal is (ook) een broodje aap. Dat is inmiddels algemeen bekend dacht ik? Het is (meen ik) wel een proef-rechtzaak geweest, die verloren is door de aanklager. Er is er nog een van een jongedame die haar haar wilde drogen in de magnetron en dat niet meer kon navertellen. Heerlijke verhalen waar veel mensen intrappen... Het is net een phishing-mail ;-)
10-02-2010, 21:07 door Anoniem
Ik heb nog geen betere combinatie van simpelheid en beveiliging gezien dan het Tan by SMS systeem van de postbank/ING .

Natuurlijk kan dit systeem gekraakt worden maar niet in de tijd die de standaard cyber crimineel eraan wil spenderen.
11-02-2010, 10:26 door Anoniem
"De bank is wel te verwijten dat de inlogpagina kennelijk http was en niet https. Anders zie ik geen kans voor een man in the middle."

Een MiTM attack is, ook wanneer HTTPS wordt gebruikt erg simpel, zolang de aanval maar plaats vindt op je desktop. Immers werkt vrijwel iedere banking trojan op deze wijze. De verbinding tussen je PC en de bank mag dan wel encrypted zijn; dat wil niet zeggen dat op je PC geen informatie onderschept kan worden, of dat je betaalopdrachten niet gemanipuleerd kunnen worden m.b.v. malware.
11-02-2010, 11:25 door cjkos
Door Anoniem:
Door Anoniem: Het gaat hier wel om Amerika. Iedere normale europeaan zal geen huisdieren in een magnetron stoppen. In de VS staat dit uitdrukkelijk in de gebruiksaanwijzing, daar is al ooit een proces over verloren. Ook Porsche schijnt daar een lied over te kunnen zingen. Volgens verhalen (misschien broodje aap, maar je weet nooit) zou een vader zijn 18-jariege zoon voor het behalen van zijn rijbewijs een Porsche cadeau hebben gedaan. En raad eens? ... dat werd een dodelijk ongeluk. Dus???

Sorry, maar het huisdieren in de magnetron verhaal is (ook) een broodje aap. Dat is inmiddels algemeen bekend dacht ik? Het is (meen ik) wel een proef-rechtzaak geweest, die verloren is door de aanklager. Er is er nog een van een jongedame die haar haar wilde drogen in de magnetron en dat niet meer kon navertellen. Heerlijke verhalen waar veel mensen intrappen... Het is net een phishing-mail ;-)


Net als die arabier met zijn cruise control.

Feit is dat er in Amerika ontelbaar waarschuwingen op bijvoorbeeld een ladder staan puur om zich in te denken tegen dit soort rechtszaken. Voor een niet amerikaan is dit vreemd en aanleiding tot dit soort broodje aap verhalen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search