Beveiligingstest ING veroorzaakt paniek
Verdachte Javascript-code op de website van mijn.ing.nl blijkt geen kwaadaardige aanval te zijn die inloggegevens van klanten onderschept, maar een beveiligingstest van de bank zelf. Op de website voor internetbankieren werd een bestand vanaf het domein primebyte.net geladen. Deze server bevatte weer een Javascript-bestand dat een URL op het domein vsonicw.com aanriep. Het ging in beide gevallen om recent geregistreerde domeinnamen.
Klanten dachten dat kwaadwillenden erin waren geslaagd om hun code op de website van mijn.ing.nl te plaatsen, zo blijkt uit reacties op het Tweakers.net forum en Twitter. Tegenover de technologiesite bevestigt de bank dat er inderdaad Javascript-code van een extern domein werd opgevraagd. De website zou echter niet zijn gehackt. "We testen software die ons in staat stelt bepaalde vormen van fraude en phishing op te sporen", aldus een woordvoerder.
Waarom juist deze domeinnamen zijn gebruikt wil de zegsman uit "veiligheidsoverwegingen" niet zeggen. "Verder doen wij hier geen uitspraken over. We willen criminelen niet wijzer maken dan ze al zijn." Via Twitter laat het ING Webcare Team weten: "We testen op dit moment een softwareprogramma, het testen is een tijdelijke situatie."
Reacties (17)
Ik neem aan dat dit er ook de oorzaak van is dat SiteAdvisor mij pas toelaat tot ing.nl na een waarschuwing dat die site mijn informatie kan proberen te stelen?
04-08-2011, 20:04 door
spatieman
gutje.
niet te spreken over die 500 add boeren, en andere trackers.
niet te spreken over die 500 add boeren, en andere trackers.
04-08-2011, 21:38 door
Bitwiper
Beide sites (www.primebyte.net en www.vsonicw.com) waar via SSL scripts vandaan gehaald worden, ondersteunen nog SSL2.0 en zwakke cyphers (score "C" met 52/100 punten), zie
https://www.ssllabs.com/ssldb/analyze.html?d=www.primebyte.net (173.255.252.11 is getest)
https://www.ssllabs.com/ssldb/analyze.html?d=www.vsonicw.com (173.255.252.109 is getest)
Dat betekent dat MITM aanvallen mogelijk zijn waardoor een aanvaller zeker kwaadaardige code kan injecteren (voor zover de er nu al geen sprake is van kwaadaardige code). Als ing.nl niet gehacked is, is dit een stompzinnige actie die gebruikers nodeloos in gevaar brengt.
Overigens meldt Networking4All met vergelijkbare resultaten (minder details en geen IP-adressen):
http://www.networking4all.com/en/support/tools/site+check/report/?fqdn=www.vsonicw.com&protocol=https
http://www.networking4all.com/en/support/tools/site+check/report/?fqdn=www.primebyte.net&protocol=https
Of dit ook voor de andere IP-adressen geldt waaronder deze servers momenteel te bereiken zijn weet ik niet (vermoedelijk wel); zelf zie ik die adressen niet voorkomen in nslookups die ik doe (ik zie dezelfde adressen als in http://gathering.tweakers.net/forum/list_message/36519037#36519037, aangevuld met 1 extra:
www.primebyte.net: 178.79.150.4, 178.79.159.118, 178.79.160.63 en 178.79.159.123;
www.vsonicw.com: 178.79.159.124, 178.79.160.80, 178.79.159.121 en 178.79.160.51.
http://network-tools.com/default.asp?prog=dnsrec&host=www.primebyte.net meldt:
https://www.ssllabs.com/ssldb/analyze.html?d=www.primebyte.net (173.255.252.11 is getest)
https://www.ssllabs.com/ssldb/analyze.html?d=www.vsonicw.com (173.255.252.109 is getest)
Dat betekent dat MITM aanvallen mogelijk zijn waardoor een aanvaller zeker kwaadaardige code kan injecteren (voor zover de er nu al geen sprake is van kwaadaardige code). Als ing.nl niet gehacked is, is dit een stompzinnige actie die gebruikers nodeloos in gevaar brengt.
Overigens meldt Networking4All met vergelijkbare resultaten (minder details en geen IP-adressen):
http://www.networking4all.com/en/support/tools/site+check/report/?fqdn=www.vsonicw.com&protocol=https
http://www.networking4all.com/en/support/tools/site+check/report/?fqdn=www.primebyte.net&protocol=https
Of dit ook voor de andere IP-adressen geldt waaronder deze servers momenteel te bereiken zijn weet ik niet (vermoedelijk wel); zelf zie ik die adressen niet voorkomen in nslookups die ik doe (ik zie dezelfde adressen als in http://gathering.tweakers.net/forum/list_message/36519037#36519037, aangevuld met 1 extra:
www.primebyte.net: 178.79.150.4, 178.79.159.118, 178.79.160.63 en 178.79.159.123;
www.vsonicw.com: 178.79.159.124, 178.79.160.80, 178.79.159.121 en 178.79.160.51.
http://network-tools.com/default.asp?prog=dnsrec&host=www.primebyte.net meldt:
DNS servers
ns1.p30.dynect.net
ns3.p30.dynect.net
ns2.p30.dynect.net
ns4.p30.dynect.net
Answer records
www.primebyte.net A 178.79.150.4 150s
www.primebyte.net A 178.79.159.118 150s
www.primebyte.net A 178.79.159.123 150s
www.primebyte.net A 178.79.160.63 150s
www.primebyte.net A 178.79.160.70 150s
www.primebyte.net A 66.228.38.57 150s
www.primebyte.net A 173.255.252.11 150s
Authority records
primebyte.net NS ns3.p30.dynect.net 86400s
primebyte.net NS ns1.p30.dynect.net 86400s
primebyte.net NS ns2.p30.dynect.net 86400s
primebyte.net NS ns4.p30.dynect.net 86400s
en http://network-tools.com/default.asp?prog=dnsrec&host=www.vsonicw.com meldt (DNS servers en Authority records zelfde als boven):ns1.p30.dynect.net
ns3.p30.dynect.net
ns2.p30.dynect.net
ns4.p30.dynect.net
Answer records
www.primebyte.net A 178.79.150.4 150s
www.primebyte.net A 178.79.159.118 150s
www.primebyte.net A 178.79.159.123 150s
www.primebyte.net A 178.79.160.63 150s
www.primebyte.net A 178.79.160.70 150s
www.primebyte.net A 66.228.38.57 150s
www.primebyte.net A 173.255.252.11 150s
Authority records
primebyte.net NS ns3.p30.dynect.net 86400s
primebyte.net NS ns1.p30.dynect.net 86400s
primebyte.net NS ns2.p30.dynect.net 86400s
primebyte.net NS ns4.p30.dynect.net 86400s
Answer records
www.vsonicw.com A 178.79.159.124 150s
www.vsonicw.com A 178.79.160.51 150s
www.vsonicw.com A 178.79.160.76 150s
www.vsonicw.com A 178.79.160.80 150s
www.vsonicw.com A 66.228.38.58 150s
www.vsonicw.com A 173.255.252.109 150s
www.vsonicw.com A 178.79.159.121 150s
De site "retailingnl.112.2o7.net" (waar tevens tijdens de sessie met https://mijn.ing.nl/internetbankieren/SesamLoginServlet mee gecommuniceerd wordt, zo te zien door obfuscated code in https://mijn.ing.nl/internetbankieren/js/s_code.js), lijkt haar zaakjes qua SSL een stuk beter voor elkaar te hebben, zie https://www.ssllabs.com/ssldb/analyze.html?d=retailingnl.112.2o7.net, want elk van de 20 IP-adressen die aan de betrokken hostname gekoppeld zijn behalen dezelfde score als mijn.ing.nl zelf, nl. A (88) (zie https://www.ssllabs.com/ssldb/analyze.html?d=mijn.ing.nl).www.vsonicw.com A 178.79.159.124 150s
www.vsonicw.com A 178.79.160.51 150s
www.vsonicw.com A 178.79.160.76 150s
www.vsonicw.com A 178.79.160.80 150s
www.vsonicw.com A 66.228.38.58 150s
www.vsonicw.com A 173.255.252.109 150s
www.vsonicw.com A 178.79.159.121 150s
De beveiliging en jongens en meisjes security officers bij ING staan bij mij bekend als belabberd. Ze zitten daar meer op de centen dan dat ze een serieuze discussie over veiligheid en risico's aan willen gaan. En dat is niet sinds pas maar al heel lang. Helaas blijkt ook vandaag weer dat het amateurs zijn. Dat ze niets willen zeggen over hun blunder heeft niets met veiligheid te maken, meer dat ze domweg niet weten waar ze mee bezig zijn en zich totaal niet bewust zijn van de inhoud van die zogenaamde test en de gevolgen. Het is diep treurig om dit bij zo'n grote bank tegen te komen. Nog erger, dat daar kennelijk de cultuur hangt om niets te willen leren en te veranderen.
04-08-2011, 23:47 door
Bitwiper
Aanvulling: als je http://www.co-operativebank.co.uk/ opent, wordt eveneens met primebyte en vsonicw gecommuniceerd.
Eerst wordt http://www.primebyte.net/84401/papi.js opgehaald en daarna http://www.vsonicw.com/v4.0/84401/s0?em=http%3A//www.co-operativebank.co.uk&1=&2=0&A=ebc_ebc1961/ebc1961.asp/* (* is een boel crap met herkenbare maar incomplete hostnames van diverse banken), gevolgd door een POST naar http://www.vsonicw.com/v4.0/84401/s1.
Als je het te link vindt om hiermee te experimenteren kun je ook hier kijken: http://httparchive.org/viewsite.php?pageid=290467.
Ik hoop dat ING snapt dat de klagers niet doelen op de -deels- obfuscated code in https://mijn.ing.nl/internetbankieren/js/s_code.js en de communicatie met https://retailingnl.112.2o7.net/ (Omniture) en er zo langs elkaar heen gepraat is -- en mijn.ing.nl alsnog gekraakt blijkt...
Eerst wordt http://www.primebyte.net/84401/papi.js opgehaald en daarna http://www.vsonicw.com/v4.0/84401/s0?em=http%3A//www.co-operativebank.co.uk&1=&2=0&A=ebc_ebc1961/ebc1961.asp/* (* is een boel crap met herkenbare maar incomplete hostnames van diverse banken), gevolgd door een POST naar http://www.vsonicw.com/v4.0/84401/s1.
Als je het te link vindt om hiermee te experimenteren kun je ook hier kijken: http://httparchive.org/viewsite.php?pageid=290467.
Ik hoop dat ING snapt dat de klagers niet doelen op de -deels- obfuscated code in https://mijn.ing.nl/internetbankieren/js/s_code.js en de communicatie met https://retailingnl.112.2o7.net/ (Omniture) en er zo langs elkaar heen gepraat is -- en mijn.ing.nl alsnog gekraakt blijkt...
Snap niet dat ze software op de originele server testen en niet op een test server.
Blijkbaar werken er amateurs.
Hoe kun je zo meteen nog zien of het daad werkelijk de ing site is, of een goed gekopieerde nep ing site.
Mensen denken dadelijk ach ze testen weer wat.
Nee doe mij maar de amro.
Blijkbaar werken er amateurs.
Hoe kun je zo meteen nog zien of het daad werkelijk de ing site is, of een goed gekopieerde nep ing site.
Mensen denken dadelijk ach ze testen weer wat.
Nee doe mij maar de amro.
Ik snap de verbazing niet helemaal. Internetbankieren is niet veilig en zal niet veiliger worden dan nu het geval is. Zolang de banken de beveiliging zelf niet serieus nemen hoeven we als klant ook niet meer veiligheid te verwachten.
05-08-2011, 11:08 door
zaba
Iemand enig idee welk bedrijf hiervoor ingehuurd wordt? Kan me namelijk niet voorstellen dat ze dit allemaal zelf doen...
05-08-2011, 11:08 door
Preddie
lol een beveiligingstest op de productieomgeving, zo te zien heeft ING nog nooit gehoord van OTAP, testen worden dan uitgevoerd in de T-omgeving
Door zaba: Iemand enig idee welk bedrijf hiervoor ingehuurd wordt? Kan me namelijk niet voorstellen dat ze dit allemaal zelf doen...
Fox-IT ondersteunt ING op het gebied van security.
Van wat ik gisteren op http://gathering.tweakers.net/forum/list_messages/1467684 heb gelezen, stuurt de .js file je inlog pagina naar een ip adres in Amerika. Dit gebeurt zodra je op de 'inlog button' drukt (je inlog gegevens worden niet verstuurd). Verder zegt ING dat ze iets tegen fraude en phishing doen hiermee.
Ik trek dan de conclusie dat de inlog pagina bij ING van iedere computer hier, in Amerika wordt vergeleken met andere inlog pagina's om zo te ontdekken welke klanten gephished zijn, en hoe de ING site er voor hen uit ziet.
Misschien werken ze samen met andere banken, omdat je dit maar een keer kan doen voor het bekend is dat dit gebeurt.
Misschien slaan ze ook alles forensisch op als bewijs materiaal tegen phishers.
Wel jammer dat dit een hoop onrust veroorzaakt op tweakers.net. Het zou mij ook niet lekker zitten als ik ING klant zou zijn geweest.
Ik trek dan de conclusie dat de inlog pagina bij ING van iedere computer hier, in Amerika wordt vergeleken met andere inlog pagina's om zo te ontdekken welke klanten gephished zijn, en hoe de ING site er voor hen uit ziet.
Misschien werken ze samen met andere banken, omdat je dit maar een keer kan doen voor het bekend is dat dit gebeurt.
Misschien slaan ze ook alles forensisch op als bewijs materiaal tegen phishers.
Wel jammer dat dit een hoop onrust veroorzaakt op tweakers.net. Het zou mij ook niet lekker zitten als ik ING klant zou zijn geweest.
Laat ze lekker experimenteren..
Als je slachtoffer wordt of bent van datgeen waardoor ze deze test doen, krijg je je geld sneller terug dan je een pagina kunt refreshen.
Geen zorgen, laat ze maar proberen geld te besparen. Het is tenslotte een bank?
Hoe meer ze sparen hoe gunstiger.
Soms moet ook alles maar afgekraakt worden om simpelweg maar afgekraakt te worden.
Als je slachtoffer wordt of bent van datgeen waardoor ze deze test doen, krijg je je geld sneller terug dan je een pagina kunt refreshen.
Geen zorgen, laat ze maar proberen geld te besparen. Het is tenslotte een bank?
Hoe meer ze sparen hoe gunstiger.
Soms moet ook alles maar afgekraakt worden om simpelweg maar afgekraakt te worden.
05-08-2011, 17:13 door
Bitwiper
In https://mijn.ing.nl/internetbankieren/SesamLoginServlet is het volgende stuk code verwijderd, waarmee er geen contact meer wordt gezocht met www.primebyte.net, en dus ook niet meer met www.vsonicw.com:
<script type="text/javascript">(function() {var snippetID = '33271',host = 'www.primebyte.net',
sn = document.createElement('script');sn.setAttribute('async', true);sn.setAttribute('type',
'text/javascript');sn.setAttribute('src', (document.location.protocol == 'https:' ? 'https:' : 'http:') +
'//' + host + '/' + snippetID + '/' + 'papi.js');var s =document.getElementsByTagName('script')[0];
s.parentNode.insertBefore(sn, s);})();</script>
- Klik in https://mijn.ing.nl/internetbankieren/SesamLoginServlet op "5 augustus - Veiligheidsnieuws Mijn ING"
- Klik linksonder op "Naar de website Veilig bankieren "
- Klik bovenaan op het menu "Internetbankieren" en dan "Werwijze crimineel" (http://www.veiligbankieren.nl/index.php?p=561830). Daar staat ondermeer:
<script type="text/javascript">(function() {var snippetID = '33271',host = 'www.primebyte.net',
sn = document.createElement('script');sn.setAttribute('async', true);sn.setAttribute('type',
'text/javascript');sn.setAttribute('src', (document.location.protocol == 'https:' ? 'https:' : 'http:') +
'//' + host + '/' + snippetID + '/' + 'papi.js');var s =document.getElementsByTagName('script')[0];
s.parentNode.insertBefore(sn, s);})();</script>
Door Anoniem (15:28): Soms moet ook alles maar afgekraakt worden om simpelweg maar afgekraakt te worden.
Dit is hersenloos gedrag van ING:- Klik in https://mijn.ing.nl/internetbankieren/SesamLoginServlet op "5 augustus - Veiligheidsnieuws Mijn ING"
- Klik linksonder op "Naar de website Veilig bankieren "
- Klik bovenaan op het menu "Internetbankieren" en dan "Werwijze crimineel" (http://www.veiligbankieren.nl/index.php?p=561830). Daar staat ondermeer:
In het eerste geval verandert de malware de routes die u op internet aflegt zo, dat u terechtkomt op de servers van criminelen. Bij het internetbankieren kunt u bijvoorbeeld onmerkbaar worden doorgelinkt naar een andere site dan die van uw bank.
"doorgelinkt naar een andere site dan die van uw bank" - dat is precies wat hier gebeurde."doorgelinkt naar een andere site dan die van uw bank" - dat is precies wat hier gebeurde.
niet helemaal. de bank kan meerdere sites hebben. dat het niet eindigt op ing.nl wil niet zeggen dat het niet van de bank is.
de sites waar op gedoeld wordt zijn de sites met andere bedoelingen dan jouw een betaling of transactie laten doen naar en van de bedoelde bronnen. (want dat transacties doet wordt als je naar de boefers gaat is een van de redenen dat ze (de boefers) het doen.)
Het is net als met veel andere bronnen denk ik gewoon noodzakelijk om meerdere servers te benaderen om transacties veilig rond te krijgen. het is het totaalplaatje waar je op moet letten. Denk aan de DigiD uitspraken die de belasting deed. "gebruik het DigiD van je buurman." tuurlijk. Het maakt dan bijna niet meer uit hoe veilig je het maakt. als er een dodo tussenzit (die niet is uitgestorven) die het makkelijk vind om alles openbaar te maken of alle wachtwoorden op een lijstje te zetten of een prutsgroep te gebruiken voor beveiliging.... tja... dan ben je de klos. (maar ik geloof dat ik van het onderwerp afdwaal. LOL
Voor mij zijn deze zaken vrij simpel: ik link niets en klik ook niet op de ING site op andere links. Ze sturen eerst maar een brief, zodat ik weet dat het legaal is. Er wordt uit naam van banken al zoveel geprobeerd, daar doe ik dus niet aan mee.
Dick
Dick
Geldt dit bijvoorbeeld ook voor http://www.ing.nl/particulier/internetbankieren/internetbankieren/mijn-ing/ of alleen https://mijn.ing.nl/internetbankieren/SesamLoginServlet?
Mijn.ING is slachtoffer van een geinsert Iframe dat om een Tan-code vraagt.
Het Iframe venster opent gewoon in de pagina van ING en heeft als titel
"Bevestig uw unieke digitale handtekening"
Het proces van de gegevensverzameling voor het opmaken van de unieke digitale handtekening, is voltooid.
Voor de installatie en het gebruik van de UDH, moet je de TAN opgeven. De volgende aanmelding bij het on-line banking zle met UDH verricht worden.
Bij het opgeven van uw TAN let goed op: na drie mislukte opgaven wordt het account geblokkeerd.
invul veld voor Tan-code *verplicht veld
Knop doorgaan
Via een Zeus infectie is het de hackers mogelijk gemaakt om de pagina aan te passen.
Op de ING pagina zelf wordt je nog niet gewaarschuwd voor dit bedriegelijke scherm, maar er is wel een programma te downloaden dat de infectie van je pc kan halen en waardoor het dialoog niet meer getoond wordt.
Op verschillende fora wordt al gewaarschuwd voor "unieke digitale hanteking met de hulp van TAN" en zijn er ook al slacht offers bekend waar bedragen zijn afgeschreven.
Het Iframe venster opent gewoon in de pagina van ING en heeft als titel
"Bevestig uw unieke digitale handtekening"
Het proces van de gegevensverzameling voor het opmaken van de unieke digitale handtekening, is voltooid.
Voor de installatie en het gebruik van de UDH, moet je de TAN opgeven. De volgende aanmelding bij het on-line banking zle met UDH verricht worden.
Bij het opgeven van uw TAN let goed op: na drie mislukte opgaven wordt het account geblokkeerd.
invul veld voor Tan-code *verplicht veld
Knop doorgaan
Via een Zeus infectie is het de hackers mogelijk gemaakt om de pagina aan te passen.
Op de ING pagina zelf wordt je nog niet gewaarschuwd voor dit bedriegelijke scherm, maar er is wel een programma te downloaden dat de infectie van je pc kan halen en waardoor het dialoog niet meer getoond wordt.
Op verschillende fora wordt al gewaarschuwd voor "unieke digitale hanteking met de hulp van TAN" en zijn er ook al slacht offers bekend waar bedragen zijn afgeschreven.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.