image

Trojaans paard steelt mobiele TAN-codes

dinsdag 28 september 2010, 10:38 door Redactie, 13 reacties

Beveiligingsonderzoekers hebben een Trojaans paard ontdekt dat mobiele telefoons infecteert om zo sms-berichten met TAN-codes te onderscheppen, waardoor criminelen bankrekeningen kunnen plunderen. Het gaat om een nieuwe versie van de Zeus Trojan, die zowel computers als telefoons infecteert. Eenmaal op de computer actief steelt de malware de gebruikersnaam en wachtwoord voor internetbankieren.

Vervolgens laat Zeus een dialoogvenster zien waarin het om het telefoonnummer en de fabrikant van de mobiele telefoon vraagt. Het slachtoffer ontvangt dan een sms-bericht met een link naar een zogenaamd security certificaat. Het Spaanse beveiligingsbedrijf S21sec dat over de malware bericht, benadrukt dat alleen Symbian en BlackBerry telefoons worden aangevallen. De reden dat de iPhone ontbreekt, komt omdat applicaties hiervoor alleen via Apple AppStore zijn te downloaden. "Tenzij die gejailbreakt is, maar dat is een ander verhaal", aldus David Barroso.

Proxy
De applicatie die het slachtoffer op zijn telefoon installeert doet zich voor als Nokia update, maar is in werkelijkheid een backdoor die via sms-berichten wordt aangestuurd. De aanvaller gebruikt de computer van het slachtoffer als een soort socks/proxy om op de bankrekeningen in te loggen. Vervolgens wordt er een transactie klaargezet, die een mobiele TAN-code vereist. Aangezien ook de telefoon is besmet, stuurt de malware daar de TAN-code door naar de aanvallers, die zo de transactie kunnen bevestigen.

Provider
"Het is duidelijk dat de malware social engineering op verschillende niveaus gebruikt", merkt Barroso op. Ten eerste worden gebruikers misleid met het sms-bericht dat naar een nieuw security certificaat wijst. De mobiele applicatie in kwestie heet "Nokia update', iets wat de meeste gebruikers niet zullen wantrouwen. De malware kan ook de contacten en agenda manipuleren, waardoor verstuurde sms-berichten legitiem lijken.

"We werken met mobiele aanbieders om besmette telefoons te detecteren. Mobiele aanbieders zijn de sleutel bij deze aanval, omdat zij de enige zijn die besmette apparaten kunnen detecteren en alle verbindingen van en naar de mobiele C&C kunnen blokkeren", besluit Barroso."

Professionals
Sean Sullivan van F-Secure merkt op dat de Command & Control inmiddels niet meer online is, waardoor het lastig is om een volledig beeld van de dreiging te krijgen. "Maar gebaseerd op de analyse en configuratiebestanden, is dit niet een eenmalige aanval van een hobbyist. Het is ontwikkeld door individuen met een buitengewone kennis van mobiele applicaties en social engineering." De Finse virusbestrijder verwacht dat de makers van deze Zeus versie met de ontwikkeling zullen doorgaan.

Reacties (13)
28-09-2010, 12:15 door peanuty
Het Spaanse beveiligingsbedrijf S21sec dat over de malware bericht, benadrukt dat alleen Symbian en BlackBerry telefoons worden aangevallen.


Klinkt misschien luxe, maar ik heb een Limo besturing. Naar mijn weten is het van Linux.
Moet ik er nu vanuit gaan dat ik veilig ben? Of horen we morgen dat ie tóch ook andere OS'en aanvalt...
28-09-2010, 12:37 door Anoniem
Als het out-of-band-kanaal gecompromitteerd kan worden via het primaire kanaal, al dan niet met behulp van social engineering, dan moet je het niet meer als out-of-band beschouwen, het is niet meer onafhankelijk.

Dit soort dingen voedt mijn voorkeur voor apparaten die niet alles tegelijk proberen te zijn. Mijn telefoon gebruik ik om te telefoneren en sms'en, mijn muziekspelertje dient om muziek te spelen, tv kijk ik op de tv. Ik heb geen computer nodig die ook tv probeert te zijn, geen telefoon die ook webbrowser probeert te zijn, geen stofzuiger die ook spreadsheet probeert te zijn. De mogelijkheid om overal van alles op te installeren maakt dat er misbruik van gemaakt kan worden. Als je een general purpose-apparaat als een computer gebruikt om je bankzaken te regelen dan moet het apparaatje dat het veiliger maakt, of dat nou een token is of een telefoon, geen general purpose-apparaat zijn maar een ding waar niets extra's op te installeren valt.
28-09-2010, 13:28 door Eerde
TAN codes via SMS zijn sowieso een onzaligmakend idee :(
28-09-2010, 13:35 door Anoniem
Nog afgezien van het feit dat iedereen met een computer en de benodigde kennis de GSM-key kan brute-forcen... Heb je helemaal geen social engeneering meer nodig!
28-09-2010, 16:00 door Anoniem
ING dwingt mij om van een veiliger challenge response token over te schakelen naar dit onveiliger TAN over SMS systeem, en het interesseert ze niet dat ze daarmee klanten verliezen:

Wederom bedankt voor uw email.

Voor vragen of klachten omtrent veiligheidszaken of de overgang van Electronic Banking naar Ming Zakelijk, verwijs ik u door naar de MKB servicedesk. Deze desk heeft de verantwoordlijkheid van deze migratie.

Zij zijn bereikbaar op 0900 9242, op werkdagen van 8.00 tot 21.00.


Dhr. W.J. van der Star
Manager Verkoop en Service
28-09-2010, 16:43 door Bitwiper
Het wachten (?) is op malware op de PC die met smartphones synchroniseert of andersom, bijv. via USB, BlueTooth, WiFi of zelfs iRDA.

Als je devices (draadloos) aan elkaar knoopt is het geen 2-factor meer.
28-09-2010, 16:45 door Anoniem
Vertrouwde die mobiele TAN codes toch al nooit.
Ben blij dat ik nog gewoon zo'n papieren lijst heb.
28-09-2010, 17:37 door Anoniem
Ik vroeg vorige week de ING om een TAN-lijst in plaats van de sms'en met TAN codes, nadat ik had gelezen over het hacken van gsm's. Hun antwoord: "De ING kiest ervoor om TAN-lijsten niet meer aan te bieden aan onze klanten. Voordelen van TAN via mobiele telefoon: veiligheid, per sms ontvangt de klant de gebruikte TAN-code en het totaalbedrag van de betaling. (...)"
Ik schrijf de ING dus dat ik de voorkeur geef aan een ouder systeem omdat het sms-systeem onveilig is, en ze antwoorden me dat ze dat systeem gebruiken omdat het zo veilig is! Hoe kun je verdomme nog zorgen (resp. eisen) dat je eigen bankrekening zo veilig mogelijk is!?
28-09-2010, 18:00 door Anoniem
Ik heb geen mobiele telefoon, krijg ik dan wel tan-lijsten?
28-09-2010, 22:31 door Anoniem
Op naar de rabobank?
Die hebben het beter bekeken met hun randomreader.
29-09-2010, 07:18 door Anoniem
Door Anoniem: Ik vroeg vorige week de ING om een TAN-lijst in plaats van de sms'en met TAN codes, nadat ik had gelezen over het hacken van gsm's. Hun antwoord: "De ING kiest ervoor om TAN-lijsten niet meer aan te bieden aan onze klanten. Voordelen van TAN via mobiele telefoon: veiligheid, per sms ontvangt de klant de gebruikte TAN-code en het totaalbedrag van de betaling. (...)"
Ik schrijf de ING dus dat ik de voorkeur geef aan een ouder systeem omdat het sms-systeem onveilig is, en ze antwoorden me dat ze dat systeem gebruiken omdat het zo veilig is! Hoe kun je verdomme nog zorgen (resp. eisen) dat je eigen bankrekening zo veilig mogelijk is!?

Tan by SMS is het beste compromis tussen veiligheid en gebruiksgemak.

Voor het kraken van Tan by SMS moet je de computer hacken en de telefoon hacken.

Ja het kan maar het zal meestal teveel werk zijn voor de gemiddelde cyber-crimineel om dit te doen terwijl er gemakkelijker systemen zijn om te kraken.

Iemand die de moeite neemt om je computer & telefoon te hacken zal 9 van de 10 keer iemand zijn die je persoonlijk kent.
29-09-2010, 15:51 door Anoniem
Door Anoniem:
Door Anoniem: Ik vroeg vorige week de ING om een TAN-lijst in plaats van de sms'en met TAN codes, nadat ik had gelezen over het hacken van gsm's. Hun antwoord: "De ING kiest ervoor om TAN-lijsten niet meer aan te bieden aan onze klanten. Voordelen van TAN via mobiele telefoon: veiligheid, per sms ontvangt de klant de gebruikte TAN-code en het totaalbedrag van de betaling. (...)"
Ik schrijf de ING dus dat ik de voorkeur geef aan een ouder systeem omdat het sms-systeem onveilig is, en ze antwoorden me dat ze dat systeem gebruiken omdat het zo veilig is! Hoe kun je verdomme nog zorgen (resp. eisen) dat je eigen bankrekening zo veilig mogelijk is!?

Tan by SMS is het beste compromis tussen veiligheid en gebruiksgemak.

Voor het kraken van Tan by SMS moet je de computer hacken en de telefoon hacken.

Ja het kan maar het zal meestal teveel werk zijn voor de gemiddelde cyber-crimineel om dit te doen terwijl er gemakkelijker systemen zijn om te kraken.

Iemand die de moeite neemt om je computer & telefoon te hacken zal 9 van de 10 keer iemand zijn die je persoonlijk kent.


Het SSL kanaal heeft problemen omdat slechts de server geautenticeerd wordt en niet de client en omdat webserversers op ASP.NET een vette bug hebben, het GSM kanaal is gekraakt en mijn telefoon is geen security device en hangt rechtreeks aan internet met bovenstaande malware in the wild. En ING vindt dit een acceptable risk!
Ik verwacht van een bank dat ze steeds betere beveiliging maken, i.p.v. afbreken. Misschien leuk voor consumenten, maar niet voor zakelijke gebruikers (hogere impact).
29-09-2010, 19:14 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik vroeg vorige week de ING om een TAN-lijst in plaats van de sms'en met TAN codes, nadat ik had gelezen over het hacken van gsm's. Hun antwoord: "De ING kiest ervoor om TAN-lijsten niet meer aan te bieden aan onze klanten. Voordelen van TAN via mobiele telefoon: veiligheid, per sms ontvangt de klant de gebruikte TAN-code en het totaalbedrag van de betaling. (...)"
Ik schrijf de ING dus dat ik de voorkeur geef aan een ouder systeem omdat het sms-systeem onveilig is, en ze antwoorden me dat ze dat systeem gebruiken omdat het zo veilig is! Hoe kun je verdomme nog zorgen (resp. eisen) dat je eigen bankrekening zo veilig mogelijk is!?

Tan by SMS is het beste compromis tussen veiligheid en gebruiksgemak.

Voor het kraken van Tan by SMS moet je de computer hacken en de telefoon hacken.

Ja het kan maar het zal meestal teveel werk zijn voor de gemiddelde cyber-crimineel om dit te doen terwijl er gemakkelijker systemen zijn om te kraken.

Iemand die de moeite neemt om je computer & telefoon te hacken zal 9 van de 10 keer iemand zijn die je persoonlijk kent.


Het SSL kanaal heeft problemen omdat slechts de server geautenticeerd wordt en niet de client en omdat webserversers op ASP.NET een vette bug hebben, het GSM kanaal is gekraakt en mijn telefoon is geen security device en hangt rechtreeks aan internet met bovenstaande malware in the wild. En ING vindt dit een acceptable risk!
Ik verwacht van een bank dat ze steeds betere beveiliging maken, i.p.v. afbreken. Misschien leuk voor consumenten, maar niet voor zakelijke gebruikers (hogere impact).

Ik vind het omgekeerde. Consumenten staan minder sterk dan zakelijke gebruikers, en kunnen de ellendige nasleep van criminaliteit niet delegeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.