Trojan injecteert TANcode-steler op website beveiligingsbedrijf
Een recent ontdekte variant van de Zeus Trojan wijzigt op besmette computers de websites van banken en een beveiligingsbedrijf, zodat slachtoffers uiteindelijk Androidmalware installeren die via sms verstuurde TANcodes kan stelen. De aanval door Zeus begint met de infectie van een Windowscomputer.
Zeus kan zich verspreiden via e-mailbijlagen en drive-by downloads, waarbij beveiligingslekken worden gebruikt die niet door de gebruiker zijn gepatcht. Zodra de besmette computergebruiker gaat internetbankieren, injecteert het Trojaanse paard lokaal op de banksite een melding dat de gebruiker beveiligingssoftware van Trusteer op zijn telefoon moet installeren, zo ontdekte beveiligingsonderzoeker Xylitol.
Melding
Als de gebruiker de link naar de officiële website van Trusteer volgt, wordt de website van het beveiligingsbedrijf ook lokaal op de computer aangepast. Zeus injecteert vervolgens een melding die de gebruiker vraagt om de beveiligingssoftware te installeren. Dit kan door een link via de Androidsmartphone te openen of een kwaadaardige QR-code te scannen. De aangeboden app lijkt op die van Trusteer, maar in werkelijkheid gaat het om een Zitmo (Zeus in the Mobile)-variant.
Deze mobiele malware kan inkomende sms-berichten onderscheppen, waaronder die met mobiele TAN-codes. De aanvallers omzeilen op deze manier de twee-factor authenticatie van banken, aangezien ze zowel de computer als de smartphone hebben geïnfecteerd. Via de onderschepte mobiele TAN-codes is het vervolgens mogelijk om ongeautoriseerde transacties te verrichten. Met name klanten van Duitse en Oostenrijkse banken zijn doelwit van de ontdekte Zeus-variant.
Windows en Android in combinatie met banktransacties via internet is vragen om problemen.
Banken hebben boter op het hoofd want ze stimuleren juist het bankieren via internet, via mobiel en zelfs via open draadloos wordt het (weer) toegestaan.
https://www.security.nl/posting/376929/Internetbankieren+via+open+wifi-netwerken+weer+toegestaan
Terug naar het overschrijfboekje en een rekeningoverzicht 1 keer per week ? Daar mag je als consument dan grof extra voor gaan betalen, want daar verdient een bank niet extra op.
Het lijkt me dat de banken deze ongeautoriseerde transacties via onderschepte TAN-codes volledig gaan vergoeden ? Aangezien ze niet echt iets doen om mensen meer op de hoogte te brengen van de gevaren die kunnen spelen op Windows & Android.
Ik ben het dan ook eens met onderstaande:
"Banken dienen samen met de overheid het kennis en bewustzijnsniveau van de klant / burger over de dreiging van online fraude te verhogen. Campagnes en voorlichtingsmateriaal moeten duidelijker uitleggen wat de dreiging is en voorbeelden van werkwijzen van criminelen bevatten. Banken dienen hun klanten hulpmiddelen aan te reiken om zich te wapenen.
Pas als al deze zaken geregeld zijn, kan er worden nagedacht over verantwoordelijkheid van de klant"
zie: https://www.security.nl/posting/379129/Aanbevelingen+aan+bank+en+overheid+voor+veilig+online+bankieren
Die TAN-codes zijn nu echt achterhaalt, iedere bank die daar nog mee werkt zou standaard alle schade moeten vergoeden door dit soort praktijken, je kunt nu eenmaal niet verwachten dat iedereen beveiligingsexpert is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.