image

Hoe malware geld van je online bankrekening steelt

dinsdag 15 mei 2012, 13:29 door Redactie, 11 reacties

De schade door fraude met internetbankieren bedroeg vorig jaar 35 miljoen euro, wat deels door malware kwam. Er zijn inmiddels verschillende malware-exemplaren actief die het op Nederlandse gebruikers van internetbankieren hebben voorzien. Het gaat dan om malware-famlies als Zeus, Citadel en SpyEye. Security.nl interviewde Erik Loman van het Nederlandse Surfright over de werking van dit soort 'banking Trojans', zoals de malware ook genoemd wordt.

Wat doet een banking Trojan om rekeningen van Nederlandse bankklanten te legen?
Loman: De meeste financiële malware vereist geen beheerdersrechten en draait gewoon onder het account van de gebruiker (dus geen UAC prompts). De malware injecteert zichzelf in het geheugen van de web browser en eenmaal daar aanwezig nestelt de malware zich o.a. in de netwerk- en cryptografiefuncties van de browser middels zogenaamde API hooks. Met deze hooks heeft de malware volledige controle over de browser en kan het alle ingaande en uitgaande verkeer manipuleren, zonder dat de gebruiker dit ziet.

De meeste financiële malware werkt middels HTML injectie. Hiermee kan de malware extra HTML elementen aan de pagina toevoegen om zo extra om informatie te vragen (denk aan tancodes). Maar ook kan de malware de bedragen en de rekeningnummers (de begunstigde) wijzigen. Deze wijzigingen zijn dan niet zichtbaar op het scherm, waar de originele bedragen bijlven staan, maar onderwater worden de veranderingen doorgevoerd net voordat ze naar de bank verstuurd worden.

Omdat de malware in de browser zit, ziet de gebruiker gewoon de URL van zijn bank (of webshop) en wordt het SSL slotje netjes weergegeven want het verkeer wordt nog steeds netjes versleuteld tussen browser en bank. Immers de malware past het verkeer aan net voor dat het versleuteld naar de bank gestuurd wordt.

Loop je met een banking Trojan altijd risico? Oftewel gebeurt het legen automatisch, of is het een handmatige actie door de crimineel?
Loman: Hangt af van het malware familie. Sommige voegen HTML elementen toe om zo achter extra informatie te komen (denk aan tancodes). Andere malware veranderen het bedrag en rekeningnummer terwijl de klant een overboeking doet. Handmatige acties van de crimineel zijn niet noodzakelijk, alles is geautomatiseerd middels de malware.


Wat probeert de banking Trojan om detectie door de gebruiker te voorkomen, bijvoorbeeld dat die ziet dat er geld is afgeschreven?
Loman: Als je 10 EUR overmaakt naar tante Truus, dan veranderd de malware het bedrag en het rekeningnummer richting de bank. Omdat de malware de HTML kan aanpassen kan deze ook het bedrag en de begunstigde, welke aan de gebruiker op het scherm getoond worden, veranderen zodat de gebruiker gewoon 10 EUR en tante Truus blijft zien. De gebruiker heeft hier dus niets in de gaten.

Checkt een banking Trojan altijd het saldo op de rekening van zijn slachtoffers?
Loman: Niet altijd, hangt van de malware familie af. Sommige malware let wel op dat hij niet te veel afschrijft (houdt het bij 'kleine' bedragen) zodat de bank geen argwaan krijgt (rare transactie).

Komt het voor dat de crimineel meteen meelift met de sessie van de gebruiker (dus vanaf zijn eigen computer) of volstaat het gebruik van eerder ingevulde gegevens (tancodes etc.)?
Loman: Handmatige acties van de crimineel zijn niet noodzakelijk, alles is geautomatiseerd middels de malware. Handmatig meeliften is dus niet nodig.

Komt het ook voor dat Trojans de online afschriften manipuleren?
Loman: Zolang de malware op de computer aanwezig en dus controle heeft over de HTML zie ik niet in waarom de malware dit niet zou kunnen doen (online).

Is er een methode dat je toch veilig kunt internetbankieren als er een banking Trojan op je pc staat?
Loman: Bijvoorbeeld Trusteer Rapport probeert de malware uit de browser te houden, terwijl G Data BankGuard en HitmanPro.Alert voornamelijk informeren. Let wel, wanner de PC geïnfecteerd is, is het naar onze mening absoluut niet veilig om online te bankieren of online aankopen te verrichten. Het is dus belangrijk dat een gebruiker feedback krijgt als er een banking Trojan op zijn of haar machine gedetecteerd is.

Verder nog tips voor veilig internetbankieren?
Loman: Financiële malware is erg populair. De criminelen doen er alles aan om de zogenaamde droppers (het bestand waarmee malware op de computer wordt aangebracht) uniek te versleutelen zodat antivirussoftware deze zero-day malware niet meteen opmerkt. Sommige malware, zoals de open source trojan Citadel, hebben extra functies die de toegang tot antiviruswebsites blokkeren.

Hierdoor kan aanwezige antivirussoftware op geïnfecteerde machines geen definities/updates ophalen om zo de nieuwe malware te kunnen herkennen. Via omroepzeeland.nl werd de Citadel malware onlangs nog verspreid.

Software als Trusteer Rapport, G Data BankGuard en HitmanPro.Alert snijden financiële malware de pas af door te kijken of de browser geïnfiltreerd is. Dit doet de software door te kijken of de browser nog intact is. Indien dit niet het geval is, is het niet veilig om online te bankieren. Deze methode vereist geen definities die telkens bijgewerkt hoeven te worden.

Deze software vormt dus een belangrijke extra beveiligingslaag bovenop de aanwezige antivirussoftware en biedt extra zekerheid dat er niet iemand in je browser zit mee te kijken, zonder dat je het door hebt.

Reacties (11)
15-05-2012, 13:35 door Anoniem
Beste tip voor veilig bankieren: gebruik een Linux Live CD...
15-05-2012, 13:46 door SBBo
Gelukkig dat dhr. Loman oplossingen voor ons te koop heeft. Een prima staaltje van FUD
15-05-2012, 13:56 door Anoniem
De meeste financiële malware vereist geen beheerdersrechten en draait gewoon onder het account van de gebruiker (dus geen UAC prompts).
Sommige malware, zoals de open source trojan Citadel, hebben extra functies die de toegang tot antiviruswebsites blokkeren.
Weet iemand hoe dat zit? Heeft Citadel wel beheerdersrechten nodig, draait antivirussoftware onder de gebruikersaccount of is software die met de rechten van de gebruiker draait in staat om netwerkverkeer voor andere accounts te blokkeren?
15-05-2012, 14:10 door N4ppy
Die software ziet ook maar wat het geinfecteerde OS laat zien.

Een tweede device (iOS/Droid) met saldo check kan detectie bespoedigen.
Dan moeten ze in ieder geval twee devices besmetten.
15-05-2012, 14:15 door Erik Loman
Hier een filmpje van de BBC waarin wordt uitgelegd hoe financiële malware tegenwoordig te werk gaat:
http://www.youtube.com/watch?v=DUnZMwXCkyw
15-05-2012, 15:04 door Erik Loman
Door Anoniem:
De meeste financiële malware vereist geen beheerdersrechten en draait gewoon onder het account van de gebruiker (dus geen UAC prompts).
Sommige malware, zoals de open source trojan Citadel, hebben extra functies die de toegang tot antiviruswebsites blokkeren.
Weet iemand hoe dat zit? Heeft Citadel wel beheerdersrechten nodig, draait antivirussoftware onder de gebruikersaccount of is software die met de rechten van de gebruiker draait in staat om netwerkverkeer voor andere accounts te blokkeren?
Een web browser maakt gebruik van APIs. De malware die in een browser meedraait haakt o.a. in op DNS resolver functies en kan zo het resultaat van bijvoorbeeld www.symantec.com aanpassen. Zie ook deze screenshot:
https://twitter.com/#!/erikloman/status/185473596251058177/photo/1/large

De malware hoeft dus niet het netwerkverkeer te blokkeren. DNS aanvraag blokkeren op API niveau volstaat.
15-05-2012, 20:32 door Anoniem
Door Erik Loman: Hier een filmpje van de BBC waarin wordt uitgelegd hoe financiële malware tegenwoordig te werk gaat:
http://www.youtube.com/watch?v=DUnZMwXCkyw
Deel twee van het filmpje:

http://www.youtube.com/watch?v=14TZOjG97EM&feature=relmfu
16-05-2012, 00:30 door Bitwiper
Door Redactie: Software als Trusteer Rapport, G Data BankGuard en HitmanPro.Alert snijden financiële malware de pas af door te kijken of de browser geïnfiltreerd is. Dit doet de software door te kijken of de browser nog intact is. Indien dit niet het geval is, is het niet veilig om online te bankieren.
Als gebruiker wil je het omgekeerde weten: als die software zegt dat het veilig is, klopt dat dan ook?

De kans is groot, want er zijn verhoudingsgewijs weinig mensen die genoemde software draaien. Daarom ligt het niet zo voor de hand dat er malware verschijnt die hier omheen werkt. Echter...
Deze methode vereist geen definities die telkens bijgewerkt hoeven te worden.
Antimalware die niet hoeft te worden bijgewerkt zal vroeger of later door de malwaremakers worden omzeild. Malware kan wat de gebruiker kan. Als de gebruiker te veel kan (en dat is meestal zo, bijv. code injecteren in eigen processen, BHO's installeren etc.) is statische antimalware op termijn kansloos.

Feitelijk zijn multi-purpose PC's met moet-alles-kunnen webbrowsers totaal ongeschikt voor internetbankieren. Dweilen met de kraan open.
16-05-2012, 05:43 door Anoniem
Hier hebben we niet veel aan. De belangrijkste vragen blijven onbeantwoord, zoals:
Hoe komt malware op je pc terecht?
Waarom filteren de providers alle virussen en malware er niet uit?
Hoe verwijder je banking-trojans en malware van je pc?
Waarom worden sites die besmet zijn niet gelijk "uit de lucht" gehaald?
Waarom zitten die malwaremakers nog niet in de gevangenis, alles is toch te traceren tegenwoordig?

Ik ga echt geen 2e pc kopen om (mogelijk) iets veiliger te bankieren.
Als ik toch geld kwijtraak betaalt de bank het maar weer terug.
(hun systeem, hun risico)
16-05-2012, 16:38 door Anoniem
SpyEye Hosted on TOR + Blackhole = $$$
Zo kijk out wat je doet op het internet en update je java en ander plugins.
27-05-2012, 11:07 door Anoniem
Als ik dit lees over de malware in de browser. Klink het wel voor de online bankrekening dat men een andere voorkeur browser moet gebruiken naast de standaard browser.
De standaard browser wordt voor alles gebruikt behalve voor online bankrekening.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.