Het programma om de 'nieuwe' aanval op internetbankieren uit te voeren die gisteren in het televisieprogramma Kassa werd gedemonstreerd bestaat al sinds 2009. Daarnaast is de aanval alleen mogelijk als onoplettende eindgebruikers uit zichzelf meewerken.
Dat laat Ronald Kingma, CEO van SecureLabs, tegenover Security.NL weten. Zijn bedrijf bouwde het uit 2009 stammende sslstrip verder uit zodat ook het internetbankieren van Nederlandse banken werd ondersteund en er automatisch transacties van bankgebruikers naar andere rekeningen konden worden overgemaakt. De aanval werkte echter alleen als eindgebruikers niet opletten en hun gegevens zelf op een onbeveiligde pagina invullen.
Om de aanval uit te voeren moet een aanvaller zich tussen de bank en de eindgebruiker plaatsen, bijvoorbeeld via een kwaadaardig wifi-hotspot of een aangepaste router of modem. De hotspot, de onderzoekers gebruikten de bekende Pineapple, zorgt ervoor dat als gebruikers naar hun banksite gaan die met HTTPS begint, ze naar een onversleutelde HTTP-versie worden doorgestuurd.
De gebruiker kan dit in de browser zien, bijvoorbeeld door het ontbreken van HTTPS in de adresbalk, het slotjes-icoon of een gekleurde adresbalk. Zodra de gebruiker op deze onbeveiligde pagina zijn gegevens invult zorgt de aangepaste sslstrip-versie ervoor dat de gegevens vervolgens automatisch naar de bank worden gestuurd, alleen met aangepaste rekeninggegevens.
Kingma merkt op dat veel eindgebruikers niet zullen opmerken als ze opeens op een HTTP-versie van de banksite uitkomen in plaats van HTTPS. Om de aanval verder te verfijnen stuurt de hotspot JavaScript naar de browser van de eindgebruiker. Deze JavaScript zorgt ervoor dat de gebruiker de oorspronkelijke transactie te zien krijgt die hij dacht gedaan te hebben in plaats van de aangepaste transactie van de hotspot. Aangezien deze JavaScript in de browser actief blijft, zal een gebruiker de frauduleuze transactie pas opmerken als hij op een andere computer gaat internetbankieren of zijn browsercache leegt.
Het probleem werd per toeval ontdekt toen de onderzoekers met de Pineapple aan het spelen waren. Vooral het uitbouwen van sslstrip en ervoor zorgen dat transacties van eindgebruikers automatisch werden aangepast vergde het nodige werk. Kingma merkt op dat deze vorm van het aanvallen van HTTPS al inderdaad sinds 2009 bestaat. Hij wilde met het onderzoek ook de maatschappelijke kant van het probleem aantonen. "Door de bankregels van januari is de bewijslast meer richting de eindgebruiker opgeschoven."
Toen de aanval eenmaal was uitgewerkt werd die aan het Nationaal Cyber Security Center en de banken gedemonstreerd. Kingma merkt op dat de banken het probleem zeer serieus namen, mede omdat ze de frauduleuze transacties zelf niet in hun systemen opmerkten. Ook bleek uit eigen onderzoek van SecureLabs, waarbij er een hotspot zonder de aanvalscode werd opgezet, dat eindgebruikers niet door hadden dat ze naar een onbeveiligde pagina werden doorgestuurd.
Om het probleem aan te pakken hebben de meeste banken nu HTTP Strict Transport Security (HSTS) geïmplementeerd, iets wat al sinds maart 2011 door Firefox wordt ondersteund. HSTS moet ervoor zorgen dat er automatisch een beveiligde verbinding wordt gemaakt, wat "man in the middle" aanvallen moet voorkomen. In november 2012 werd besloten om van HSTS een webstandaard te maken. Toch ondersteunt Internet Explorer, ondanks herhaaldelijke oproepen, nog altijd geen HSTS, hoewel wordt aangenomen dat dit bij de volgende versie wel het geval zal zijn.
Details over de aanval wil Kingma pas later vrijgeven, aangezien nog niet alle banken HSTS geïmplementeerd hebben. Gebruikers die zich willen beschermen krijgen dan ook het advies om altijd naar de aanwezigheid van HTTPS in de adresbalk te kijken en te controleren of de banksite over een geldig SSL-certificaat beschikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen? (Ben zelf tegen het gebruik van ...
Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...
Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.