"Internetbankieren vanaf besmette pc altijd onveilig"
Het internetbankieren vanaf een besmette computer is altijd onveilig, ongeacht hoe de authenticator voor het versturen van betalingen wordt gebruikt. Dat zegt Mark Loman van het Nederlandse anti-virusbedrijf SurfRight tegenover Security.nl. Gisteren kwam Nieuwsuur met de onthulling dat onderzoekers van de Radboud Universiteit hadden aangetoond hoe malware de transactie van de e.dentifier2 kan manipuleren als die via USB is aangesloten.
Probleem
Volgens Loman is internetbankieren vanaf een besmette pc altijd onveilig. "Het gebruik van de e.dentifier2 met USB-kabel maakt bankieren niet onveiliger dan zonder. Er is een besmetting nodig om geld te stelen." Loman stelt dat het zwakke punt in de e.dentifier2 moet worden opgelost, maar dat dit niet de kern van het probleem is. Dat is nog altijd de geïnfecteerde pc.
Fraude
Zodra malware toegang tot de pc heeft kan het allerlei trucs uithalen om geld van de bankrekening te stelen. Dat blijkt wel uit de activiteit van allerlei banking Trojans die speciaal ontwikkeld zijn om inloggegevens en transactiecodes te stelen.
ABN AMRO liet eerder weten dat het de door de onderzoekers aangetoonde fraude kan detecteren.
Reacties (26)
17-08-2012, 10:45 door
bollie
Fijn dat hij het weer even helder tot de kern weet terug te brengen. Is af en toe nodig, voor je het weet gaat weer ieders aandacht naar zo'n usb kabeltje. Maar de computer/tablet/phone schoon houden is de basis.....
En dit is een "onafhankelijk bericht". Wat heb je nodig om te voorkomen dat een PC besmet wordt? juist de software van SurfRight.....
Een los apparaatje waarop je, onafhankelijk van de besmetting van de PC, de juistheid van de transactie kan vaststellen lijkt me wel een prima idee. (mits goed geimplementeerd natuurlijk) Als het detecteren van een manipulatie erg simpel is zal het merendeel van de klanten de transactie bij manipulatie afbreken. Dit verhindert de businesscase van de fraudeur aanzienlijk. En dan zullen de aanvallers wel op zoek gaan naar een andere bank of andere manier om rijk te worden.
Een los apparaatje waarop je, onafhankelijk van de besmetting van de PC, de juistheid van de transactie kan vaststellen lijkt me wel een prima idee. (mits goed geimplementeerd natuurlijk) Als het detecteren van een manipulatie erg simpel is zal het merendeel van de klanten de transactie bij manipulatie afbreken. Dit verhindert de businesscase van de fraudeur aanzienlijk. En dan zullen de aanvallers wel op zoek gaan naar een andere bank of andere manier om rijk te worden.
Ik heb vanaf het begin de USB kabel weggelaten. De opmerkingen over kwetsbaarheid zijn een open deur. Wanneer je zelf minder hoeft te doen, dan hoeft een ander ook niet zoveel te doen.
17-08-2012, 11:20 door
Fwiffo
Maar bij een losse identifier is geen software installatie van de gebruiker vereist. Banking-malware kan zich voordoen als een update van de ABN Amro software die de USB functionaliteit installeert. Desnoods via e-mail.
Ik zeg mijn vader: "Als je een mailtje krijgt om je banksoftware te updaten: weggooien, niet openen, niet lezen, niet doorsturen aan mij". Maar wat als het nu wel van de ABN Amro blijkt te zijn?
Ik zeg mijn vader: "Als je een mailtje krijgt om je banksoftware te updaten: weggooien, niet openen, niet lezen, niet doorsturen aan mij". Maar wat als het nu wel van de ABN Amro blijkt te zijn?
Door Fwiffo: Maar bij een losse identifier is geen software installatie van de gebruiker vereist. Banking-malware kan zich voordoen als een update van de ABN Amro software die de USB functionaliteit installeert. Desnoods via e-mail.
Ja, dus? Malware kan ook verspreid worden onder het mom van "-vul hier maar een onderwerp in- en klik hier" of je loopt het op doordat je een website bezoekt met verouderde software. Dat je bij een losse identifier geen software hoeft te installeren doet er compleet niet toe in een verhoging van het risico. Je bent bij internetbankieren gewoon kwetsbaar en als je niet voorzichtig bent nog meer.
17-08-2012, 11:56 door
WhizzMan
Als je externe kastje wel te vertrouwen is en de communicatie tussen dat kastje en de bank signed en encrypted gebeurt, wordt het wel heel lastig voor de computerbesmetter om transacties te manipuleren. Dat is het idee achter wel een kastje aan je computer koppelen.
Helaas is bij de ABN er voor gekozen om een deel van de autorisatie niet door het kastje (trusted hardware) af te laten handelen, waardoor je na het invoeren van je pincode overgeleverd bent aan de software op de PC om een transactie in te voeren en goed te laten keuren. Dat is de zwakheid hier. Als die software door een trojan gecontroleerd wordt, kan die trojan nadat jij je pincode invoert en zit te wachten op een transactie om "OK" op te geven snel z'n eigen transactie uit voeren, zonder dat jij op "OK" moet klikken en je geld is weg.
Hopelijk wordt dit opgelost in de volgende versie, zodat je ook daadwerkelijk veiliger dan met de "losse" e-dentifier kan internetbankieren.
Helaas is bij de ABN er voor gekozen om een deel van de autorisatie niet door het kastje (trusted hardware) af te laten handelen, waardoor je na het invoeren van je pincode overgeleverd bent aan de software op de PC om een transactie in te voeren en goed te laten keuren. Dat is de zwakheid hier. Als die software door een trojan gecontroleerd wordt, kan die trojan nadat jij je pincode invoert en zit te wachten op een transactie om "OK" op te geven snel z'n eigen transactie uit voeren, zonder dat jij op "OK" moet klikken en je geld is weg.
Hopelijk wordt dit opgelost in de volgende versie, zodat je ook daadwerkelijk veiliger dan met de "losse" e-dentifier kan internetbankieren.
17-08-2012, 11:58 door
Bitwiper
Door Redactie: Het internetbankieren vanaf een besmette computer is altijd onveilig, ongeacht hoe de authenticator voor het versturen van betalingen wordt gebruikt. Dat zegt Mark Loman van het Nederlandse anti-virusbedrijf SurfRight tegenover Security.nl.
Daar ben ik het niet helemaal mee eens. Vooropgesteld: het risico dat de implementatie niet deugt is altijd groot is als je een "veilig device" aansluit op een potentieel gecompromitteerde PC (dat dit vaak fout gaat is bekend, indien gewenst heb ik voorbeelden).
Maar als je dat wel goed voor elkaar hebt, en aanvallers nooit fysieke toegang hebben gehad tot dat device (evil maid attack) kan zo'n device, aangesloten op de PC (bijv. via USB), wel goede beveiliging bieden bij internetbankieren.
Voorwaarde is dat alle relevante gegevens van de overboeking op dat device zelf getoond worden, de gebruiker op dat device een "akkoord geeft" (bijv. door op een groene knop te drukken), en die gegevens vervolgens op dat device digitaal worden ondertekend of versleuteld (middels een aanwezige en geheime private key). Daarna kan zo'n betalingsopdracht probleemloos via een onveilige PC en/of netwerk(en) naar de bank worden gestuurd.
Kortom, een fysieke koppeling tussen zo'n device en de PC kan juist meerwaarde bieden (of de gebruiker zou ontzettend veel moeten overtikken, eerst overnemen van PC op device, dan het resultaat (bijv. de digitale handtekening) van device naar PC.
Zonder zo'n externe, PC-onafhankelijke validatie, is internetbankieren op een PC (ook met TAN codes en wat je ook bedenkt) een groot risico als de PC (of alleen het gebruikte account) gecompromitteerd zou kunnen zijn.
17-08-2012, 12:07 door
[Account Verwijderd]
[Verwijderd]
@WhizzMan en Bitwiper
Precies. Het hele punt van versleutelde berichten is dat ze tussen twee veilige eindpunten over een onveilige verbinding gestuurd kunnen worden en toch vertrouwd kunnen worden. Als de e.identifier2 een veilig eindpunt vormt (en de onbetrouwbare pc onderdeel van de verbinding is), de volledige transactiegegevens toont en zonder omweg via de pc (alleen op basis van zijn eigen interactie met de gebruiker dus) transacties tekent met gebruik van sterke cryptografie dan kan het inleggen van transacties wel goed tegen manipulatie beschermd worden.
Een besmette pc helpt wel de vertrouwelijkheid van internetbankieren om zeep, natuurlijk.
Precies. Het hele punt van versleutelde berichten is dat ze tussen twee veilige eindpunten over een onveilige verbinding gestuurd kunnen worden en toch vertrouwd kunnen worden. Als de e.identifier2 een veilig eindpunt vormt (en de onbetrouwbare pc onderdeel van de verbinding is), de volledige transactiegegevens toont en zonder omweg via de pc (alleen op basis van zijn eigen interactie met de gebruiker dus) transacties tekent met gebruik van sterke cryptografie dan kan het inleggen van transacties wel goed tegen manipulatie beschermd worden.
Een besmette pc helpt wel de vertrouwelijkheid van internetbankieren om zeep, natuurlijk.
17-08-2012, 12:27 door
Bitwiper
Door exit: Gebruik van livecd's stimuleren en uitleggen aan het volk.
Live CD's verouderen waar je bij staat en mensen willen gewoon vanuit hun standaard omgeving met iDEAL kunnen betalen. Leuk voor nerds maar niet voor eindgebruikers.@fwiffo
Zorg dat de bank geen e-mail adres van je heeft, dan kan alle zogenaamde mail 'van de bank' rechtstreeks het putje in.
(Ideaal met een mail-filter op te lossen)
Willen ze met je communiceren dan doen ze dat maar als ik inlog of per snail-mail.
En Loman heeft natuurlijk gelijk, los van zijn objectiviteit, met een besmette PC kan je in theorie alles.
Zorg dat de bank geen e-mail adres van je heeft, dan kan alle zogenaamde mail 'van de bank' rechtstreeks het putje in.
(Ideaal met een mail-filter op te lossen)
Willen ze met je communiceren dan doen ze dat maar als ik inlog of per snail-mail.
En Loman heeft natuurlijk gelijk, los van zijn objectiviteit, met een besmette PC kan je in theorie alles.
17-08-2012, 12:35 door
Fwiffo
Door exit: Gebruik van livecd's stimuleren en uitleggen aan het volk.
Ja, dat gaat werken met het USB apparaat wat ABN Amro van je bankpas probeert te maken ;-)Serieus: Als de bank ziet dat je met een oudere versie van Firefox probeert te bankieren, sta je minder sterk als er toch wat mis mocht gaan (kan ook de schuld van de bank zijn).
17-08-2012, 14:29 door
[Account Verwijderd]
[Verwijderd]
17-08-2012, 14:30 door
Whacko
Live CD in een VM booten als je wilt bankieren? :P
17-08-2012, 14:43 door
Fwiffo
Door exit: Ubuntu heeft b.v elk half jaar een nieuwe livecd met de nieuwste FF, dus als mensen vanuit hun standaard omgeving met iDEAL willen betalen prima maar dan ook niet zeuren als er iets mis gaat.
Maar Firefox heeft elke 6 weken een nieuwe versie. Dus (in het gunstigste geval) loop je 3/4 van de tijd achter met Firefox.Ik heb al zitten denken of je Firefox kunt updaten onder Ubuntu. Dat kan vast wel, maar dan moet je alle updates waarvoor je moet rebooten uitschakelen (zelf niet geprobeerd). Plus dat opstarten van een LiveCD eindeloos duurt. Misschien bied USB wel uitkomst (ook niet geprobeerd). Wordt iig al snel vrij technisch voor de gemiddelde thuisbankier.
17-08-2012, 15:02 door
[Account Verwijderd]
[Verwijderd]
17-08-2012, 15:07 door
[Account Verwijderd]
[Verwijderd]
17-08-2012, 15:20 door
[Account Verwijderd]
[Verwijderd]
17-08-2012, 15:45 door
Mysterio
Door exit:
Zeker nooit met livecd's gewerkt, wat een onzin en trouwens mensen hebben niets te willen, het wordt ze opgedrongen.
Zo! Zeker met het verkeerde been uit bed gestapt? Live CD's zijn leuk, veilig en gedoe. Je denkt toch niet dat men voor elke transactie de PC weer gaat herstarten en het hele circus opstarten?Door Bitwiper:
Door exit: Gebruik van livecd's stimuleren en uitleggen aan het volk.
Live CD's verouderen waar je bij staat en mensen willen gewoon vanuit hun standaard omgeving met iDEAL kunnen betalen. Leuk voor nerds maar niet voor eindgebruikers.Zeker nooit met livecd's gewerkt, wat een onzin en trouwens mensen hebben niets te willen, het wordt ze opgedrongen.
17-08-2012, 16:00 door
[Account Verwijderd]
[Verwijderd]
17-08-2012, 16:08 door
Bitwiper
Door exit: Maar beter een schoon systeem en een FF die iets ouder is dan een pc die geïnfecteerd is met allerlei rotzooi.
Trouwens, even een update van FF doen en je hebt de nieuwste uitgave, 2 min werk.
Opstarten met de Linux Mint 13 livecd kost op mijn oude Dell 6400 exact 85 sec en dan heb ik 2 sec nodig om in te loggen op mijn router en ben ik veilig online, tja het is toch anderhalve minuut hé.
En je virusscanner dan? Check nog eens http://www.security.nl/artikel/34746/1/Juridische_vraag%3A_mag_bank_virusscanner_verplichten%3F.html.Trouwens, even een update van FF doen en je hebt de nieuwste uitgave, 2 min werk.
Opstarten met de Linux Mint 13 livecd kost op mijn oude Dell 6400 exact 85 sec en dan heb ik 2 sec nodig om in te loggen op mijn router en ben ik veilig online, tja het is toch anderhalve minuut hé.
En als jij het meent beter te weten en maar niet uit kunt sluiten toch beroofd te worden, check dan ook http://www.security.nl/artikel/40507/1/Banken_willen_eigen_risico_voor_internetbankieren.html.
Eventueel kun je de updates binnenhalen, rebooten is niet nodig in Linux.
Soms ziin reboots wel nodig (zie bijv. http://askubuntu.com/questions/84502/why-do-i-get-a-restart-to-complete-updates-warning).En ik heb een voorgevoel dat je niet wilt rebooten na het opstarten vanaf een CDROM en vervolgens downloaden van patches en antivirus (-updates) waarmee de vanuit (volatile) ramdisk draaiende OS en antivirus zijn bijgewerkt...
17-08-2012, 16:24 door
[Account Verwijderd]
[Verwijderd]
Loman zegt dat internetbankieren vanaf besmette pc altijd onveilig is, maar het (goede) idee van de e.dentifier met USB kabel was nou juist dat het ZELFS op een besmette PC veilig zou zijn, omdat je op de e.edentifier kan zien welke transactie er daadwerkelijk wordt verricht (zolang de e.dentifier niet is besmet, maar dat is errug lastig). Gemiste kans dus, met deze fout.
17-08-2012, 22:39 door
Security Scene Team
oh, ik downloadde altijd bewust malware. en vervolgens installeerde ik dat ook bewust, ik dacht dit is veiliger zo voorkom ik een stiekeme inbraak.. nou moet ik toch eens nadenken over hoe heet zo'n ding ook al weer.... virusscanner?
lame artikel.
lame artikel.
18-08-2012, 16:07 door
[Account Verwijderd]
[Verwijderd]
19-08-2012, 15:26 door
Nietsnut
Gewoon Windows blijven gebruiken het is gewoon allemaal stemmingmakerij niks aan de hand gewoon doorlopen.
Vooral geen Ubuntu of een andere Linux distro gaan gebruiken want dan gaan de criminele nerds misschien wel hun aandacht verleggen en moet ikzelf ook weer op gaan letten.
Vooral geen Ubuntu of een andere Linux distro gaan gebruiken want dan gaan de criminele nerds misschien wel hun aandacht verleggen en moet ikzelf ook weer op gaan letten.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.