Zoals altijd, wanneer je niet weet, dat er iets moet gebeuren, voer je geen wachtwoord in. Variant op het alom bekende verhaal: klik weg, hang op, bel de bank. En als je iets wilt goedkeuren, controleer dan alles wat er klaar staat, anders lukt het ze nog.

Dus weer eens het opvoeden van gebruikers..... om problemen en kosten te voorkomen. Ben alleen benieuwd hoe banken in Nederland bij zoiets zouden reageren. Wentelen ze het verlies af op de klant, of vergoeden ze het. De klant kun je nalatig noemen, omdat hij niet controleert voor hij akkordeert, maar wanneer geen antivirussoftware het herkent, dan kan zelfs het meest up to date gehouden systeem worden besmet.

Volgens mijn bronnen zijn de computers niet gehackt maar wel besmet met een Dridex variant, een typische online Banking Trojan die elk security pakket zou moeten detecteren als de beveiliging bij deze bedrijven niet oud of uitgeschakeld is.

Een vergelijkbaar geval kan je terugvinden op onze G DATA Blog https://blog.gdatasoftware.com/blog/article/massive-spam-campaign-returns-cridex-successor-swatbanker-is-spread.html
De G DATA BankGuard technologie blokkeert pro-actief de actieve componenten van deze malware.

Eddy Willems, Security Evangelist, G DATA Security Labs

Exact. Anders gezegd;
1) Cybercriminelen passen hun malware telkens zó aan dat deze door geen enkel bekend security pakket wordt gedetecteerd op het moment dat zij deze malwarevariant verspreiden;
2) Daardoor bestaat er een periode (van variabele lengte) waarin (a) de gebruiker en (b) "de PC" kwetsbaar zijn.

Met (a) bedoel ik dat in de tijdspanne tussen starten en onschadelijk maken van de malware, de rekening van de gebruiker kan worden geplunderd.

Met (b) bedoel ik dat malware, na het starten ervan, afhankelijk van de privileges (user rights) die zij "erft" van de gebruiker, meer of minder instellingen op de PC kan wijzigen en (systeem-) software toevoegen, wijzigen of verwijderen. Geen enkel security pakket kan garanderen dat alle door malware aangebrachte wijzigingen ongedaan worden gemaakt, d.w.z. na detectie van malware die gedraaid heeft of nog draait. Dit wordt probleem wordt groter indien draaiende malware aanvullende malware downloadt en opstart.

Vragen, op welke manier probeert de G DATA software:
1. De gebruiker ervan te overtuigen dat hij/zij niet als admin moet werken (ongeacht de stand van de UAC slider)?
2. Op andere wijze te voorkomen dat eenmaal gestarte malware, Windows en/of G DATA instellingen/software zodanig kan wijzigen dat het G DATA security pakket zichzelf niet meer (volledig) kan bijwerken (updaten)?
3. Na detectie dat malware draait of heeft gedraaid, de PC weer veilig te krijgen? Ik bedoel, bestaan er scenario's waarin de gebruiker wordt geadviseerd Windows opnieuw te installeren?

"Pro-actief" wekt de suggestie dat G DATA BankGuard kwaadaardige activiteiten van alle toekomstige banking trojans zal herkennen, zal kunnen onderscheiden van legitieme gebruikershandelingen en zal kunnen blokkeren. En, ook als cybercriminelen actief op zoek gaan naar methoden om deze technologie te omzeilen, zij die niet zullen vinden.

Voor zover ik weet is dat fundamenteel onmogelijk, maar ik laat me graag met goede argumenten overtuigen als ik ongelijk heb!

Beste Erik,

1) G DATA geeft zo vaak mogelijk in communicatie naar pc-gebruikers aan dat het onverstandig is om de pc standaard met admin-rechten te gebruiken. Echter, wij kunnen dit niet afdwingen. Uiteindelijk is de gebruiker er zelf voor verantwoordelijk dat hij verstandige beslissingen neemt ten aanzien van de instellingen van zijn pc.
2) In de software van G DATA zit een rij aan proactieve technologieën waaronder heuristics, BankGuard, Keylogger beveiliging, exploit protectie en enkele andere, die bepaalde (schadelijke) gedragingen herkennen en blokkeren. Deze technologieën werken onafhankelijk van virushandtekeningen en hebben dus geen last van een ‘ zero-day’ effect, waarin nog geen virushandtekening voor een stuk kwaadaardige code beschikbaar is.
3) In de meeste gevallen is het mogelijk om de malware van het systeem te verwijderen. Er zijn echter gevallen waarbij malware (waaronder enkele technische zeer complexe banktrojanen) zich dermate in het systeem heeft genesteld, dat wij zullen aanraden om Windows opnieuw te installeren omdat mogelijk systeem bestanden corrupt zijn geworden. Dit is wel echt de uitzondering en komt haast niet voor.

Een garantie van 100% tot het einde ter tijde kan geen enkele bescherming geven. Maar doordat G DATA BankGuard bepaalde gedragingen van banktrojanen (die zij allemaal gemeen hebben, omdat zij zonder die gedragingen hun kwaadaardige werk niet kunnen doen) herkent en blokkeert, konden wij tot nu toe (in de drie jaar dat de module nu bestaat en in de jaren voorafgaand aan de introductie waarin de technologie getest werd) alle banktrojanen stoppen. En dus ook de Dridex-banktrojaan waar het in dit verhaal over gaat. Belangrijk om te vermelden is dat BankGuard niet verantwoordelijk is voor het stoppen van de infectie met de banktrojaan, daar is de rest van het beveiligingspakket verantwoordelijk voor. Vandaar dat het kan zijn dat VirusTotal enerzijds aangeeft dat G DATA een bepaalde trojaan wel doorlaat (als er een ‘zero day’-situatie is), terwijl onze gebruikers wel beschermd zijn tegen het kwaadaardige werk van de banktrojaan.

Eddy Willems,
G DATA Security Labs

Beste Eddy,

Dank voor de uitgebreide reactie! Makers van anti-malware pakketten doen ongetwijfeld hun stinkende best om complexe en diverse systemen van, ook onkundige, gebruikers te beschermen.

Helaas zijn er enkele fundamentele problemen, waaronder;
1) Onder Windows mag elk programma alles wat die gebruiker mag. Als de gebruiker denkt een screensaver te downloaden mag dat programma ook Word bestanden versleutelen, browserinstellingen wijzigen en spam verzenden. Het is lastig, zo niet onmogelijk, om met protectiesoftware vast te stellen of gedrag van software gewenst is door de gebruiker of juist niet.

2) Gebruikers accepteren het niet als antimalwaresoftware te veel resources gebruikt en handelingen te veel vertraagt. Concessies doen is onvermijdelijk, want de concurrentie is groot.

3) Ruwweg zijn er, voor zover ik weet, drie stadia: herkenning van bekende malware, gedragsanalyse in een sandbox (zie ook vorige punt) gevolgd door uitvoeren en monitoren van gedrag. Als "verse" malware, bijv. een nieuwe banking trojan, door gedrag wordt gedetecteerd, kan deze al andere malware hebben gedownload en/of instructies hebben gekregen om beveilingsinstellingen van de PC te wijzigen of op andere wijze het beveiligingsniveau te verlagen. Zie dat maar eens allemaal ongedaan te maken.

4) Malwaremakers onderzoeken voortdurend hoe zij beveiligingsmaatregelen kunnen omzeilen, en vaak kan dat door niet uit te sluiten gebruikergedrag te emuleren, maar ook vaak doordat technische maatregelen te omzeilen blijken.

Dit resulteert in een onvermijdelijk kat-en-muisspel. Hoe groter het marktaandeel van een antimalwarepakket, hoe meer inspanning malwaremakers zich zullen getroosten.

Ik vind het heel belangrijk dat gebruikers zich realiseren dat een anti-malwarepakket je nooit volledig beschermt (dergelijke claims zijn in het verleden gemaakt, maar zijn nu gelukkig een stuk zeldzamer). Sterker, het gebruik van beschermende software introduceert altijd nieuwe risico's en belast je systeem. De balans is meestal positief, maar ook G-DATA is niet de heilige graal, ook als het een prima onderdeel uitmaakt van maatregelen om een PC te beschermen tegen malware.

Mijn advies: wees eerlijk; medicijnen hebben ook bijwerkingen.