image

Nederlandse bank-apps doelwit van volautomatische Android-malware

vrijdag 10 maart 2023, 16:05 door Redactie, 36 reacties

De apps van verschillende Nederlandse banken zijn het doelwit van Android-malware die volautomatisch geld van bankrekeningen kan stelen. Dat laat securitybedrijf ThreatFabric in een analyse van de Xenomorph-malware weten. De malware wordt geïnstalleerd via een onschuldig lijkende app genaamd CoinCalc. Deze app vraagt gebruikers om een update of plug-in te installeren die zich voordoet als Google Protect, maar in werkelijkheid de malware is.

Eenmaal actief maakt Xenomorph gebruik van het ATS (Automated Transfer Systems) framework om de bankfraude te plegen. Via ATS is het mogelijk om de diefstal van inloggegevens, opvragen van het saldo van de rekening, stelen van MFA-tokens en afronden van de transacties volledig te automatiseren, zonder enige tussenkomst van een menselijke operator.

Volgens ThreatFabric nemen banken geleidelijk afscheid van sms voor multifactorauthenticatie. In plaats daarvan wordt er gebruikgemaakt van authenticator-apps. Vaak worden dergelijke apps op hetzelfde toestel gebruikt waarop de transactie plaatsvindt. Malware op een besmette telefoon kan een frauduleuze transacties uitvoeren, waarbij het gebruikmaakt van de aanwezige bank-app en op hetzelfde moment de MFA-code uit de authenticator-app uitleest. In totaal kan de malware fraude met vierhonderd bank-apps plegen, waaronder die van ABN Amro en ING.

Image

Reacties (36)
10-03-2023, 16:51 door Anoniem
Uit de afbeelding maak ik op dat CoinCalc niet in de Play-Store staat.
Dan neemt de gebruiker wel een risico door dit te installeren.
De banken zullen wel weer, onterecht, verantwoordelijk gehouden worden.
10-03-2023, 16:59 door Anoniem
Conclusie duidelijk. Op je rekening courant enkel aanhouden wat je courant gebruikt en nodig hebt. De rest eraf halen. Of anders desnoods vastzetten. Grote transacties hebben zelden haast.

Het is natuurlijk hartstikke cool dat als ik tegenwoordig iemand 100 euri moet betalen, dat het er gelijk aan de andere kant op staat. Maar met alles boven de 5000 moeten ze maar effies geduld hebben. Want dat blijft een hoop geld.
10-03-2023, 17:04 door Anoniem
Door Anoniem: Uit de afbeelding maak ik op dat CoinCalc niet in de Play-Store staat.
Dan neemt de gebruiker wel een risico door dit te installeren.
De banken zullen wel weer, onterecht, verantwoordelijk gehouden worden.

Maar Google/Android gebruikers willen toch vrijheid en kunnen installeren wat ze willen zonder beperkingen zoals bij Apple?
10-03-2023, 17:19 door majortom - Bijgewerkt: 10-03-2023, 17:20
Door Anoniem: Uit de afbeelding maak ik op dat CoinCalc niet in de Play-Store staat.
Dan neemt de gebruiker wel een risico door dit te installeren.
De banken zullen wel weer, onterecht, verantwoordelijk gehouden worden.
https://play.google.com/store/apps/details?id=com.samruston.flip. De afbeelding slaat op de installatie van de malware via de app uit de PlayStore zoals gesteld:
De malware wordt geïnstalleerd via een onschuldig lijkende app genaamd CoinCalc. Deze app vraagt gebruikers om een update of plug-in te installeren die zich voordoet als Google Protect, maar in werkelijkheid de malware is.
10-03-2023, 17:24 door Anoniem
Door majortom:
Door Anoniem: Uit de afbeelding maak ik op dat CoinCalc niet in de Play-Store staat.
Dan neemt de gebruiker wel een risico door dit te installeren.
De banken zullen wel weer, onterecht, verantwoordelijk gehouden worden.
https://play.google.com/store/apps/details?id=com.samruston.flip. De afbeelding slaat op de installatie van de malware via de app uit de PlayStore zoals gesteld:
De malware wordt geïnstalleerd via een onschuldig lijkende app genaamd CoinCalc. Deze app vraagt gebruikers om een update of plug-in te installeren die zich voordoet als Google Protect, maar in werkelijkheid de malware is.

Juist. Bedankt voor de uitleg.
10-03-2023, 17:54 door Anoniem
Kan bij mij gelukkig niet gebeuren:
de bank heeft mij een hardware token gegeven die niet zo makkelijk is te gebruiken voor dit soort fraude.
10-03-2023, 18:13 door Anoniem
Allemaal over naar de bank-app want het is zooooooo veilig.

Ik vraag me af hoelang we dit domme gedrag nog moeten tolereren van, mag ik hopen, professionele organisaties.

Inloggen bij je bank via een app op je GSM is niet veilig en zal het ook nooit worden.

Gewoon een random reader i.c.m. je bankpas is een heel stuk veiliger.
10-03-2023, 19:00 door Anoniem
De bank lokken dit soort problemen zelf uit, door alle bankhandelingen op hetzelfde (onveilige/kwetsbare) apparaat uit te willen voeren, want gemakkelijk en snel voor de gebruiker.
Vooral als de bank (ING) je dwingt om voor alle acties dezelfde beveiligingscode te gebruiken. (want gemakkelijk)
10-03-2023, 21:39 door Erik van Straten
Deze malware doet me denken aan de Godfather trojan ([1]), en het zou mij niet verbazen als ze dezelfde roots hebben: Anubis.

"Figure 7" in [1] is een animated GIF die duidelijk maakt hoe gebruikers worden misleid zodra zij zijn overgehaald om de feitelijke malware te downloaden.

[1] https://www.group-ib.com/blog/godfather-trojan/

Het lukt de makers kennelijk voortdurend om hun "droppers" in de Google Play Store te krijgen, uit [2]:
28 April 2021, door ThreatFabric: [...]
ThreatFabric has been tracking a strong group that has been very successful in spreading trojans on the Google Play Store using apps masquerading as “QR Scanners”. The main purpose of these so-called malware dropper apps is to spread a private/customized version of the Anubis Banking Trojan targeting over 1200 banking and cryptocurrency wallet apps.

The dropper apps have been successfully reappearing in the Google Play Store over a period of 13 months, regardless of our strong efforts in reporting these apps as malicious to Google.
[...]

[2] https://www.threatfabric.com/blogs/the-rage-of-android-banking-trojans.html
10-03-2023, 22:44 door Anoniem
Gelukkig dat de banken alle aparte hardware authenticators aan het wegbezuinigen zijn en vervangen door de apps.. waar je alles kan doen met een luttele pincode van 5 cijfers.
graag iedereen banken op een app, niet op een pc met een apart auth device nee...

zo gingen we van user+wachtwoord +hardware auth
naar alles en volledige controle op zo'n slecht beveiligd apparaat als een android telefoon met een 5 cijfer pin.
Ik herriner mij nog het hele pin code afkijken bij de pin automaat..

maar toe ik aankaarte dat de bank de 2 factor hiermee sloopte en pincodes letterlijk afkijken mogelijk maakte werd ik voor politiek correct gek uitgemaakt. 'is allemaal heel veilig want we voldoen aan de wetgeving' want die loopt nooit achter...
10-03-2023, 22:46 door Anoniem
Door Erik van Straten: Deze malware doet me denken aan de Godfather trojan ([1]), en het zou mij niet verbazen als ze dezelfde roots hebben: Anubis.

"Figure 7" in [1] is een animated GIF die duidelijk maakt hoe gebruikers worden misleid zodra zij zijn overgehaald om de feitelijke malware te downloaden.

[1] https://www.group-ib.com/blog/godfather-trojan/

Het lukt de makers kennelijk voortdurend om hun "droppers" in de Google Play Store te krijgen, uit [2]:
28 April 2021, door ThreatFabric: [...]
ThreatFabric has been tracking a strong group that has been very successful in spreading trojans on the Google Play Store using apps masquerading as “QR Scanners”. The main purpose of these so-called malware dropper apps is to spread a private/customized version of the Anubis Banking Trojan targeting over 1200 banking and cryptocurrency wallet apps.

The dropper apps have been successfully reappearing in the Google Play Store over a period of 13 months, regardless of our strong efforts in reporting these apps as malicious to Google.
[...]

[2] https://www.threatfabric.com/blogs/the-rage-of-android-banking-trojans.html
Dan zouden we google verantwoordelijk moeten stellen, zij faciliteren dit namelijk.
11-03-2023, 00:40 door Anoniem
Voor Google en Microsoft wordt het ook zo langzamerhand dweilen met de kraan van cybercrime open. Hoe gaan we dit oplossen en is het wel op te lossen?
11-03-2023, 01:37 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Het lukt de makers kennelijk voortdurend om hun "droppers" in de Google Play Store te krijgen [...]
Dan zouden we google verantwoordelijk moeten stellen, zij faciliteren dit namelijk.
Faciliteren is m.i. het verkeerde woord: het is (ga ik vanuit) geen kwade opzet dat het Google voortdurend niet lukt om alle malware uit de Play Store te houden (idem Apple uit hun App Store). "Best effort" zeg maar.

Niet onverwacht, want dit is een kat-en-muis-spel: als je ervoor kunt zorgen dat de Google testers en testprocedures geen kwaadaardig gedrag ontdekken, komt jouw app in de Play Store - totdat iemand aan de bel trekt (maar dan staat de volgende al klaar).

Bovendien, wat is malware? Het voordeel (niet voor gebruikers) van apps is dat je niet zoveel privacy-gezeik hebt als met websites, geen rekening hoeft te houden met verschillen tussen webbrowsers, geen last hebt van irritante adblockers of NoScript, makkelijk bij het clipboard, adresboek, locatie- en andere sensoren kunt, veel meer local storage hebt en ga zo maar door.

Voor gebruikers: elke app die je installeert is een gok. Het aantal downloads en het aantal + de soort reacties kunnen wat zeggen over de betrouwbaarheid van een app, maar dat hoeft niet (een app kan in veel landen prima werken maar kwaadaardig worden als je een specifieke bank-app gebruikt, maar ook allerlei andere "inputs" kunnen van invloed zijn, zoals ingestelde GUI-taal, locatie, telecom-provider etcetera).

En elke (automatische) update van elke app is opnieuw een gok - vooral als een app ondertussen (ongemerkt) van eigenaar is gewisseld.

Als een app plotseling om meer onlogische permissies vraagt, kan dat foute boel zijn. Apps die vragen "boven" andere apps te mogen verschijnen, het scherm mogen uitlezen en/of namens jou virtuele knoppen mogen indrukken en/of tekst mogen invoeren in velden, zijn potentieel AitM (Attacker in the Middle) apps - zij mogen en kunnen wat jij mag en kunt. Elke app met dergelijke rechten zul je voor 100% moeten kunnen vertrouwen.

Echte Android functionaliteit, zoals de ingebouwde "Google Play Protect", heeft "systeemrechten": dat is geen app die je ooit handmatig permissies hoeft te geven om geïnstalleerde apps op malware te kunnen scannen. Laat je niet foppen op een manier die je bijvoorbeeld in "Figure 7" in https://www.group-ib.com/blog/godfather-trojan/ kunt zien.
11-03-2023, 06:51 door Anoniem
Door Anoniem:
Door Anoniem: Uit de afbeelding maak ik op dat CoinCalc niet in de Play-Store staat.
Dan neemt de gebruiker wel een risico door dit te installeren.
De banken zullen wel weer, onterecht, verantwoordelijk gehouden worden.

Maar Google/Android gebruikers willen toch vrijheid en kunnen installeren wat ze willen zonder beperkingen zoals bij Apple?

Klopt. Dus maak je iedere keer een risicoafweging voordat je van die mogelijkheid gebruik maakt.
11-03-2023, 08:05 door Anoniem
Zijn er ook slachtoffers gevallen?
11-03-2023, 09:06 door Anoniem
Door Anoniem: Zijn er ook slachtoffers gevallen?

Als er genoeg tijd overheen gaat....
11-03-2023, 09:18 door Anoniem
Door Anoniem: Gelukkig dat de banken alle aparte hardware authenticators aan het wegbezuinigen zijn en vervangen door de apps.. waar je alles kan doen met een luttele pincode van 5 cijfers.
graag iedereen banken op een app, niet op een pc met een apart auth device nee...

zo gingen we van user+wachtwoord +hardware auth
naar alles en volledige controle op zo'n slecht beveiligd apparaat als een android telefoon met een 5 cijfer pin.
Ik herriner mij nog het hele pin code afkijken bij de pin automaat..

maar toe ik aankaarte dat de bank de 2 factor hiermee sloopte en pincodes letterlijk afkijken mogelijk maakte werd ik voor politiek correct gek uitgemaakt. 'is allemaal heel veilig want we voldoen aan de wetgeving' want die loopt nooit achter...

De uitleg die ik indertijd kreeg toen oa. de TAN-codes uitgefaseerd werden in ruil voor de App, was dat klanten de random 6 cijferige codes niet foutloos konden intypen. Een standaard 5 cijferige code die overal voor gebruikt moet worden, is dan een stuk makklelijker, En veel minder secure. Maar als het fout gaat, dan zal de schuld wel bij de klant gelegd worden.
Zoals altijd.

Bestond het loonzakje nog maar. (denk ik soms)

Ik heb de beveiliging steeds verder achteruit zien gaan.

Ook had je een inbelverbding nodig om electronsiche transacties naar de bank door te geven, met een random TAN-code authenticatie.
Zat de telefoonkabel niet in je modem, dan kon er niets verzonden worden.

Toen werd het internet bankieren via de website.
Je kon vanaf dat moment vanaf willekurig elke computer of laptop met toegang tot het internet bij je bankrekening.
Voor overboekingen had je nog steeds een random SMS-, TAN-, of Token-code nodig als extra beveiliging.

En toen kwam de bank-App.
Ook op telefoons waarvan toen al bekend was dat updates zwaar achter liepen of niet meer ontvangen werden (agv van telco's en fabrikanten).
Met alleen nog een enkele 5-cijferige code die overal voor gebruikt wordt.
Inloggen op de website is niet of zelden nog nodig. Bijna alles kan in de bank-app gedaan worden.

En dit moet dan veilig(er) zijn.
Welkom in de hypermoderne wereld van de 21e eeuw waarin alles zoveel beter is.
11-03-2023, 09:28 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Uit de afbeelding maak ik op dat CoinCalc niet in de Play-Store staat.
Dan neemt de gebruiker wel een risico door dit te installeren.
De banken zullen wel weer, onterecht, verantwoordelijk gehouden worden.

Maar Google/Android gebruikers willen toch vrijheid en kunnen installeren wat ze willen zonder beperkingen zoals bij Apple?

Klopt. Dus maak je iedere keer een risicoafweging voordat je van die mogelijkheid gebruik maakt.

Ach kom op, je weet wel beter.
11-03-2023, 09:45 door Anoniem
sapperdeflap wat een crap app

oplossing eenvoudig, laat bank maar alle 'incidenten' zelf betalen en zonder de prijzen voor 'service' te verhogen.
11-03-2023, 11:38 door Anoniem
Door Anoniem: Allemaal over naar de bank-app want het is zooooooo veilig.

Ik vraag me af hoelang we dit domme gedrag nog moeten tolereren van, mag ik hopen, professionele organisaties.

Inloggen bij je bank via een app op je GSM is niet veilig en zal het ook nooit worden.

Gewoon een random reader i.c.m. je bankpas is een heel stuk veiliger.
Krijgt Rian van Rijbroek toch gelijk.
11-03-2023, 12:41 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten: Het lukt de makers kennelijk voortdurend om hun "droppers" in de Google Play Store te krijgen [...]
Dan zouden we google verantwoordelijk moeten stellen, zij faciliteren dit namelijk.
Faciliteren is m.i. het verkeerde woord: het is (ga ik vanuit) geen kwade opzet dat het Google voortdurend niet lukt om alle malware uit de Play Store te houden (idem Apple uit hun App Store). "Best effort" zeg maar.
[...]
Daar ga ik al lang niet meer vanuit.
11-03-2023, 13:47 door Anoniem
Door Anoniem:
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten: Het lukt de makers kennelijk voortdurend om hun "droppers" in de Google Play Store te krijgen [...]
Dan zouden we google verantwoordelijk moeten stellen, zij faciliteren dit namelijk.
Faciliteren is m.i. het verkeerde woord: het is (ga ik vanuit) geen kwade opzet dat het Google voortdurend niet lukt om alle malware uit de Play Store te houden (idem Apple uit hun App Store). "Best effort" zeg maar.
[...]
Daar ga ik al lang niet meer vanuit.

Maar waar is en blijft de "best effort" van de banken?
Waarom geen MFA oplossingen met random codes voor elke betaal opdracht opnieuw invoeren. (vanaf een ander en veilig apparaat of token natuurlijk)
11-03-2023, 14:03 door Anoniem
oplossing eenvoudig, laat bank maar alle 'incidenten' zelf betalen en zonder de prijzen voor 'service' te verhogen.
Ik ben een voorstander dat directie en de aandeelhouders voor alle geleden schade moeten opkomen,
en de bank mag de eerste vijf jaar de kosten van een rekening niet meer verhogen.
11-03-2023, 16:06 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Uit de afbeelding maak ik op dat CoinCalc niet in de Play-Store staat.
Dan neemt de gebruiker wel een risico door dit te installeren.
De banken zullen wel weer, onterecht, verantwoordelijk gehouden worden.

Maar Google/Android gebruikers willen toch vrijheid en kunnen installeren wat ze willen zonder beperkingen zoals bij Apple?

Klopt. Dus maak je iedere keer een risicoafweging voordat je van die mogelijkheid gebruik maakt.

Ach kom op, je weet wel beter.

Spreek voor jezelf.
11-03-2023, 17:35 door Anoniem
Door Anoniem:
Door Anoniem:
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten: Het lukt de makers kennelijk voortdurend om hun "droppers" in de Google Play Store te krijgen [...]
Dan zouden we google verantwoordelijk moeten stellen, zij faciliteren dit namelijk.
Faciliteren is m.i. het verkeerde woord: het is (ga ik vanuit) geen kwade opzet dat het Google voortdurend niet lukt om alle malware uit de Play Store te houden (idem Apple uit hun App Store). "Best effort" zeg maar.
[...]
Daar ga ik al lang niet meer vanuit.

Maar waar is en blijft de "best effort" van de banken?
Waarom geen MFA oplossingen met random codes voor elke betaal opdracht opnieuw invoeren. (vanaf een ander en veilig apparaat of token natuurlijk)
Dat kan nog steeds hoor, maar het hoeft niet.

Het valt me wel op dat de responders hier wel denken verstand van security te hebben (en een enkeling heeft dat ook), maar geen idee hebben dat het om risico beheer gaat. Als het risico laag is, dan weinig security, als het risico hoog is, dat meer security maatregelen, maar nooit te veel. Het geld moet zinnig besteed worden.
De eerste betaal apps op de telefoon werkten met speciale sims en certificaten. Je genereerde (personaliseerde) een betaal kaart op je telefoon. Banken kwamen erachter dat deze hoge mate van security ingewikkeld was en niet noodzakelijk. Het risico is minder hoog dan gedacht, dus werd het minder secure en makkelijker gemaakt. Dit is in een aantal slagen gegaan.
Als je kijkt hoevaak het goed gaat tov dat het fout gaat en de (financiele) impact mee neemt, kun je uitrekenen of het nog binnen je risico profiel zit.
Kritiek op te weinig security maatregelen is eenvoudig, maar je moet (proberen) het hele plaatje te zien. Om security.nl te lezen heb je ook geen MFA met biometrie nodig. het kan zelfs zonder username en password ;-)
11-03-2023, 21:07 door Anoniem
Op het moment dat een currency omreken app (calculator) vraagt om een nieuwe ‘play protect app’ te installeren, zou ik mezelf toch wel afvragen of dat echt nodig is.
Blijft opletten dus.
11-03-2023, 21:32 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten: Het lukt de makers kennelijk voortdurend om hun "droppers" in de Google Play Store te krijgen [...]
Dan zouden we google verantwoordelijk moeten stellen, zij faciliteren dit namelijk.
Faciliteren is m.i. het verkeerde woord: het is (ga ik vanuit) geen kwade opzet dat het Google voortdurend niet lukt om alle malware uit de Play Store te houden (idem Apple uit hun App Store). "Best effort" zeg maar.
[...]
Daar ga ik al lang niet meer vanuit.

Maar waar is en blijft de "best effort" van de banken?
Waarom geen MFA oplossingen met random codes voor elke betaal opdracht opnieuw invoeren. (vanaf een ander en veilig apparaat of token natuurlijk)
Dat kan nog steeds hoor, maar het hoeft niet.

Het valt me wel op dat de responders hier wel denken verstand van security te hebben (en een enkeling heeft dat ook), maar geen idee hebben dat het om risico beheer gaat. Als het risico laag is, dan weinig security, als het risico hoog is, dat meer security maatregelen, maar nooit te veel. Het geld moet zinnig besteed worden.
De eerste betaal apps op de telefoon werkten met speciale sims en certificaten. Je genereerde (personaliseerde) een betaal kaart op je telefoon. Banken kwamen erachter dat deze hoge mate van security ingewikkeld was en niet noodzakelijk. Het risico is minder hoog dan gedacht, dus werd het minder secure en makkelijker gemaakt. Dit is in een aantal slagen gegaan.
Als je kijkt hoevaak het goed gaat tov dat het fout gaat en de (financiele) impact mee neemt, kun je uitrekenen of het nog binnen je risico profiel zit.
Kritiek op te weinig security maatregelen is eenvoudig, maar je moet (proberen) het hele plaatje te zien. Om security.nl te lezen heb je ook geen MFA met biometrie nodig. het kan zelfs zonder username en password ;-)

Maar Security.nl gaat niet over (mijn) geld. De bank app wel.
Dus aan een bank app mogen/moeten hogere security eisen gesteld kunnen worden.
Ongeacht de risico inschatting van de bank. Want die heeft een ander doel voor ogen dan de bulk van haar klanten. Namelijk winst maken. Niet het zorgvuldig omgaan met het geld dat haar toevertrouwd wordt. Dat is helaas een bijzaak geworden.
En de klanten hebben weinig keus. Zij moeten ergens hun salaris laten storten en hun beetje spaargeld stallen.
Zonder bank kan dat niet. Maar dat schijnen ze in Den haag niet te willen snappen.
12-03-2023, 06:35 door Anoniem
Om security.nl te lezen heb je ook geen MFA met biometrie nodig. het kan zelfs zonder username en password ;-)
Maar wel kennis, dan worden mensen die wel het heel plaatje zien niet met die onzinnige reacties weggehoond.
12-03-2023, 23:33 door Anoniem
Door Anoniem: Allemaal over naar de bank-app want het is zooooooo veilig.

Ik vraag me af hoelang we dit domme gedrag nog moeten tolereren van, mag ik hopen, professionele organisaties.

Inloggen bij je bank via een app op je GSM is niet veilig en zal het ook nooit worden.

Gewoon een random reader i.c.m. je bankpas is een heel stuk veiliger.

Contant geld in je portemonnee is ook niet 100% veilig. Dus wat wil je nu eigenlijk zeggen?
13-03-2023, 01:42 door Anoniem
Door Anoniem: Kan bij mij gelukkig niet gebeuren:
de bank heeft mij een hardware token gegeven die niet zo makkelijk is te gebruiken voor dit soort fraude.

Nooit app willen gebruiken heb ook zo'n Digipass voor autorisatie. Kennis en bezit was altijd veilig maar als je dat op 1 apparaat zet niet meer.
13-03-2023, 10:16 door Anoniem
Door Anoniem:
Door Anoniem: Allemaal over naar de bank-app want het is zooooooo veilig.

Ik vraag me af hoelang we dit domme gedrag nog moeten tolereren van, mag ik hopen, professionele organisaties.

Inloggen bij je bank via een app op je GSM is niet veilig en zal het ook nooit worden.

Gewoon een random reader i.c.m. je bankpas is een heel stuk veiliger.

Contant geld in je portemonnee is ook niet 100% veilig. Dus wat wil je nu eigenlijk zeggen?

Ik neem aan dat je niet de hele inhoud van je bankrekening in je portemonnee met je meedraagt?
Niemand kan je garanderen dat een bank-app veilig is voor andere apps die je kunt installeren op je GSM.
Eén foute app die de toegang tot je bank-app weet te bemachtigen en je bankrekening is waarschijnlijk leeg.

Je random reader heeft geen verbinding met het Internet en je bankpas ook niet, een bank-app wel.
En wat fout kan gaan gaat gewoon een keer fout, zo ook met het ontwikkelen van software als er ergens een foutje gemaakt wordt zoals we dat iedere dag weer op security.nl kunnen lezen.

En wat betreft een Andriod GSM of die nu zo veilig is voor bankzaken ......?
13-03-2023, 11:51 door Anoniem
Door Anoniem: [

Je random reader heeft geen verbinding met het Internet en je bankpas ook niet, een bank-app wel.

Waar het telkens mee fout ging bij die reader-apps is dat mensen een malware transactie die onder water op de PC gedaan is ermee autoriseren.
Of een koppeling van een ander management apparaat autoriseren.

*Omdat* er geen verbinding is met Internet , is het retour kanaal om veilig te laten zien *wat* je authoriseert niet (of met extreem weinig informatie) aanwezig .
Wat je in je browser ziet is - op een gehackt systeem - helemaal niet wat aan de bank aangeboden wordt als transactie .
En als er nou één systeem gemiddeld niet betrouwbaar is, is dat wel een standaard consumenten PC .

Zelfs het SMS systeem - waarbij in de SMS staat wat er aan geld waar naar toe gaat - bleek gewoon dat mensen letterlijk blindelings de code over tikken, ook al staat er in de SMS iets anders dan wat ze op de compu aan het overboeken waren.
Daar kunnen de security nerds dan arrogant over doen "lekker eigen schuld, moet je maar lezen" - maar het is gewoon een (ervarings)feit bij de banken die dat systeem gebruikten - mensen doen routine blindelings.
Op dezelfde manier faalt dat tweede-factor systeem waarop je met een push bericht een login moet authoriseren.
Genoeg pushes, doen authoriseert een slachtoffer wel een keer de aanvaller.


En wat fout kan gaan gaat gewoon een keer fout, zo ook met het ontwikkelen van software als er ergens een foutje gemaakt wordt zoals we dat iedere dag weer op security.nl kunnen lezen.

En wat betreft een Andriod GSM of die nu zo veilig is voor bankzaken ......?

Wie erg zenuwachtig is kan een dedicated device nemen waarop je geen andere apps installeert .
13-03-2023, 22:40 door Anoniem
Door Anoniem:
Door Anoniem: [

Je random reader heeft geen verbinding met het Internet en je bankpas ook niet, een bank-app wel.

Waar het telkens mee fout ging bij die reader-apps is dat mensen een malware transactie die onder water op de PC gedaan is ermee autoriseren.
Of een koppeling van een ander management apparaat autoriseren.

*Omdat* er geen verbinding is met Internet , is het retour kanaal om veilig te laten zien *wat* je authoriseert niet (of met extreem weinig informatie) aanwezig .
Wat je in je browser ziet is - op een gehackt systeem - helemaal niet wat aan de bank aangeboden wordt als transactie .
En als er nou één systeem gemiddeld niet betrouwbaar is, is dat wel een standaard consumenten PC .

Zelfs het SMS systeem - waarbij in de SMS staat wat er aan geld waar naar toe gaat - bleek gewoon dat mensen letterlijk blindelings de code over tikken, ook al staat er in de SMS iets anders dan wat ze op de compu aan het overboeken waren.
Daar kunnen de security nerds dan arrogant over doen "lekker eigen schuld, moet je maar lezen" - maar het is gewoon een (ervarings)feit bij de banken die dat systeem gebruikten - mensen doen routine blindelings.
Op dezelfde manier faalt dat tweede-factor systeem waarop je met een push bericht een login moet authoriseren.
Genoeg pushes, doen authoriseert een slachtoffer wel een keer de aanvaller.


En wat fout kan gaan gaat gewoon een keer fout, zo ook met het ontwikkelen van software als er ergens een foutje gemaakt wordt zoals we dat iedere dag weer op security.nl kunnen lezen.

En wat betreft een Andriod GSM of die nu zo veilig is voor bankzaken ......?

Wie erg zenuwachtig is kan een dedicated device nemen waarop je geen andere apps installeert .
En waarom niet gewoon zoals het was, de random reader van je bank? Geheel dedicated.
14-03-2023, 12:27 door Anoniem
Waar het telkens mee fout ging bij die reader-apps is dat mensen een malware transactie die onder water op de PC gedaan is ermee autoriseren.
Ja maar met die reader kan het nooit automatisch gaan, en inderdaad je moet voorzichtig zijn.
19-03-2023, 10:50 door Anoniem
Het gaat nooit 100% veilig zijn.

En het is niet zoveel onveiliger nu dan vroeger. Als de techniek helemaal was stil blijven staan aan de bank kant dan waren er nu wel andere aanvallen op random readers of TAN codes. En aan de andere kant stond een groep te schreeuwen dat de banken niet mee gaan met de techniek.

Dit blijft een afweging gemak vs veiligheid en vooral ook kosten. Dat beetje problemen nemen we al sinds het begin voor lief en blijven we doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.