Malware installeert valse CA voor aanval op internetbankieren
Er vindt op dit moment een nieuwe golf van man-in-the-middle-aanvallen plaats, waarbij malware de DNS-instellingen van besmette computers verandert en een valse root Certificate Authority (CA) installeert, om zo klanten van meer dan 70 verschillende banken te kunnen aanvallen.
Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de DNS-instellingen te wijzigen kunnen de aanvallers zich tussen de gebruiker en de banksite waar hij op wil inloggen plaatsen. Om man-in-the-middle-aanvallen te voorkomen worden SSL-certificaten gebruikt. Deze certificaten worden door een CA uitgegeven.
De bank vraagt bij een CA een SSL-certificaat aan en gebruikt het voor de website. Het certificaat zorgt ervoor dat de verbinding met de gebruiker wordt versleuteld. Die kan tevens via het certificaat de identiteit van de website controleren. In het geval een aanvaller een man-in-the-middle-aanval uitvoert krijgt de gebruiker een waarschuwing van de browser, omdat de aanvaller niet over een geldig certificaat voor de banksite beschikt.
Malware
Bij de aanval die nu plaatsvindt hebben de aanvallers dit probleem opgelost. De malware die de DNS-instellingen wijzigt installeert in de browser ook een valse root CA. Alle certificaten die door deze CA zijn uitgegeven worden vervolgens door de browser als legitiem beschouwd, waardoor de aanvaller een man-in-the-middle-aanval kan uitvoeren zonder dat de gebruiker een waarschuwing te zien krijgt.
Een gebruiker krijgt naast de domeinnaam van de bank in de adresbalk van de browser nu ook een werkende SSL-verbinding te zien. Alleen door het controleren van het SSL-certificaat zou de gebruiker kunnen zien dat de handtekening van het certificaat niet overeenkomt met de identiteit van de legitieme CA die door de aanvallers wordt geïmiteerd.
Om de aanval uit te kunnen voeren moeten de aanvallers eerst de computer weten te infecteren. Dit gebeurt via e-mails die als bijlage een RTF-bestand met een ingebed uitvoer bestand hebben. Zodra een ontvanger van het bestand op dit ingebedde bestand dubbelklikt wordt de computer geïnfecteerd. Op welke banken de aanvallers het hebben voorzien wordt niet door beveiligingsbedrijf PhishLabs gemeld. Wel zouden de banken zich in Europa, Zuid-Amerika en Noord-Amerika bevinden.
Het laat dus vooral zien dat dit systeem van certificaaten (uitgegeven door vele verschillende partijen zonder enige relatie met wat ze zeggen te certificeren) zo stuk is dat het nooit echt heeft kunnen werken. Het heeft alleen een tijdje geduurd voordat er serieus misbruik van gemaakt begon te worden.
Saillant detail voor naast de onbruikbare obscuriteit van de verschillende "CA stores": Als je in windows probeert rootCAs weg te gooien die je niet wenst te vertrouwen, dan stopt de windows CA manager component die stilletjes weer terug de eerstvolgende keer dat er windows update gedraaid wordt. Wat dus regelmatig en volautomatisch gebeurt. Waarmee ik maar wil zeggen, als het systeem achter je rug om certificaten toevoegt, waarom malware dan niet? Het is kennelijk volstrekt normaal om dat te doen. En ook een groot gapend veiligheidsgat, dat ook.
Althans wanneer de gebruiker het internet bankieren met Explorer uitvoert.
Ik vroeg me af welke browser dit is omdat het me ook een bug van de browser lijkt als derden er ongevraagd certificaten aan kunnen toevoegen. Uit het artikel is dat echter niet te halen. Ik kan niet eens vinden dat ze in de browser geïnstalleerd worden en niet in het systeem. Heeft de redactie meer info dan dit artikel of gokken ze dit maar?
Op de mac beheert alleen Firefox zelf de certificaten terwijl Chrome en Safari dit aan het systeem overlaten. In de bron van dit artikel wordt geen OS genoemd, maar het stuk over .exe doet vermoeden dat het hier om Windows gaat.
Althans wanneer de gebruiker het internet bankieren met Explorer uitvoert.
Ik wens je succes om alleen microsoft tools te gebruiken..
Namelijk met een firewall rule,
en hoe je dat doet (onder je Os) moet je zelf even uitzoeken :
- Bepaal welke IP nummers je nodig hebt voor je internetbankieren over welke poort (80 en 443 neem ik aan).
- Sta voor de juiste internetbankieren url alleen connectie toe met die 1, 2 of 3 ip adressen waarvan je weet dat die van je bank zijn.
- Zorg ervoor dat je de juiste internetbankier url ergens hebt opgeslagen, in je favorieten of een tekstbestandje en vertrek vanuit daar en niet via een of andere doorverwijslink.
(De bank zou daarin een rol kunnen spelen door op de site aan te geven welke connectie met welk ip adres nodig is voor het internetbankieren, je hoeft daar natuurlijk niet op te wachten).
Nog veiliger is het een speciaal daarvoor te gebruiken aparte browser in te stellen waarbij het nog veiliger is om dat onder een apart beveiligd user account te doen.
Dan kan best een tweede browser van eenzelfde merk zijn die je dan voor de gelegenheid een aparte naam geeft zodat je weet dat je die browser voor internetbankieren gebruikt.
Goed werkbaar onder Mac OS X, andere os-en zelf graag testen op werkbaarheid en config.-wijze bepalen.
Die waarschuwt dan dat het certificaat veranderd is. Laat ook meteen de verschillen zien.
Op het moment dat je dat bij de banksite ziet ga je toch even een tweede keer nadenken voor je doorgaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.