Klanten Belgische bank met Androidtelefoon doelwit social engineering-aanval
Klanten van de Belgische bank KBC die een Androidtelefoon gebruiken zijn het doelwit van een social engineering-aanval, waarbij oplichters proberen om slachtoffers een malafide app te laten installeren, zo waarschuwt de Belgische overheid. Het Centrum voor Cybersecurity België (CCB) spreekt van "een nieuwe vorm van telefonische oplichting".
Bij de aanval worden slachtoffers gebeld door oplichters die zich voordoen als medewerker van telecomprovider Proximus. De zogenaamde Proximus-medewerker laat weten dat de simkaart van het slachtoffer om veiligheidsredenen moet worden vernieuwd. Vervolgens stelt de oplichter dat het slachtoffer een app moet installeren die via WhatsApp wordt gestuurd. "Deze app is eigenlijk een kwaadaardig .apk-bestand (alleen mogelijk op Android)", aldus Safeonweb, een initiatief van het CCB.
Om het aangeboden .apk-bestand te installeren moeten slachtoffers het installeren van apps uit 'onbekende bronnen' toestaan. Iets dat standaard staat uitgeschakeld. Zodra de app is geïnstalleerd heeft de fraudeur controle over de telefoon. "Hij krijgt toegang tot je mobiele bankdiensten en kan frauduleuze overschrijvingen uitvoeren, soms met behulp van je pincode of de ITSME-app. Verschillende slachtoffers melden dat hun scherm zwart wordt en dat hun smartphone onbruikbaar wordt na de installatie van deze app", laat Safeonweb verder weten.
De Belgische overheidsinstantie adviseert mensen om nooit de instellingen van hun telefoon op verzoek van een onbekende aan te passen. Ook wordt aangeraden om nooit apps te installeren die via WhatsApp, sms of e-mail worden aangeboden. Ook zullen telecomproviders nooit hun klanten vragen om wegens veiligheidsredenen een app te installeren, aldus Safeonweb. Gebruikers die de aangeboden app hebben geïnstalleerd wordt aangeraden hun telefoon uit te schakelen en meteen contact met hun bank op te nemen. "Blijf alert: oplichters worden steeds overtuigender en gebruiken de naam van betrouwbare bedrijven om je te misleiden", laat Safeonweb afsluitend weten.
Wat ik eigenlijk heel graag zou zien is een standaard voor hardware-tokens, die net als de Rabo- en ING-scanners een camera, een display (what you see is what you sign) en een numeriek toetsenbordje voor een pincode hebben, maar wel een eigen pincode en niet die van een pas die je erin steekt, want die kan bij bankpassen buiten de deur worden afgekeken.
Wat ik anders zou willen dan de tokens van die banken is dat het een generiek apparaat is dat aan meerdere diensten gekoppeld kan worden, zoals dat met FIDO-tokens kan, met vergelijkbaar met U2F een opzet waarbij de url van de website waarmee je verbinding maakt mede bepalend is voor de sleutel voor die site, wat MITM-aanvallen via fake websites een heel stuk lastiger maakt. Het koppelen van zo'n token aan het soort diensten/functies waar het me om gaat moet dan geen nonchalant "koppel maar en we geloven het wel" zijn, dat moet dan op gemeentehuizen en bankkantoren gedaan worden, die koppeling moet betrouwbaar zijn.
Als zoiets een standaard is, met implementaties van verschillende fabrikanten die gecertificeerd worden voor dit soort gebruik, dan kan je met één token voor meerdere diensten werken, of naar eigen keuze met een token per dienst, en wie weet (net als met U2F/Fido) de mogelijkheid om meer dan een token te koppelen aan een dienst zodat je een backup hebt. Banken kunnen dan hun eigen tokendistrubutie en -beheer voor een flink deel afbouwen zonder dat ze klanten een smartphone opdringen.
Wat ik heel triest vind is dat zowel overheden die op papier streven naar open standaards als banken domweg niet op het idee lijken te komen om de ontwikkeling van zoiets in gang te zetten. Doe het samen met FIDO, streef naar iets dat wereldwijd ingezet kan worden. Iedereen lijkt te juichen bij standaardisatie maar vervolgens af te wachten tot commerciële partijen die supplier lock-in wel zien zitten met iets komen dat dus heel voorspelbaar tegen zal vallen qua openheid.
Wat ik eigenlijk heel graag zou zien is een standaard voor hardware-tokens, die net als de Rabo- en ING-scanners een camera, een display (what you see is what you sign) en een numeriek toetsenbordje voor een pincode hebben, maar wel een eigen pincode en niet die van een pas die je erin steekt, want die kan bij bankpassen buiten de deur worden afgekeken.
Ook wel bekend als een smartphone...
Wat ik anders zou willen dan de tokens van die banken is dat het een generiek apparaat is dat aan meerdere diensten gekoppeld kan worden, zoals dat met FIDO-tokens kan,
Keus uit 2 , iOS en Android. generiek genoeg ?
Oh, super generiek voor alles maar kan niks installeren ?
met vergelijkbaar met U2F een opzet waarbij de url van de website waarmee je verbinding maakt mede bepalend is voor de sleutel voor die site, wat MITM-aanvallen via fake websites een heel stuk lastiger maakt. Het koppelen van zo'n token aan het soort diensten/functies waar het me om gaat moet dan geen nonchalant "koppel maar en we geloven het wel" zijn, dat moet dan op gemeentehuizen en bankkantoren gedaan worden, die koppeling moet betrouwbaar zijn.
Voor overheidsdiensten is dat digid+NFC ID document . U vraagt, het is al gedraaid.
Als zoiets een standaard is, met implementaties van verschillende fabrikanten die gecertificeerd worden voor dit soort gebruik, dan kan je met één token voor meerdere diensten werken, of naar eigen keuze met een token per dienst, en wie weet (net als met U2F/Fido) de mogelijkheid om meer dan een token te koppelen aan een dienst zodat je een backup hebt. Banken kunnen dan hun eigen tokendistrubutie en -beheer voor een flink deel afbouwen zonder dat ze klanten een smartphone opdringen.
Als je niet zo'n blinde smartphone haat had, zie je zien dat dat precies is wat een smartphone bereikt.
Al die tokentjes met die onbegrijpelijke cijfercodes om over te tikken - totaal legacy .
Als je niet _echt_ een expert bent - snap je niet wat je doet en ben je dus - bewezen - kwetsbaar voor allerlei social engineering om dat magische token nummer over te tikken.
Dus iedereen (en ook de banken) blij dat dat beter kan.
Wat ik heel triest vind is dat zowel overheden die op papier streven naar open standaards als banken domweg niet op het idee lijken te komen om de ontwikkeling van zoiets in gang te zetten. Doe het samen met FIDO, streef naar iets dat wereldwijd ingezet kan worden. Iedereen lijkt te juichen bij standaardisatie maar vervolgens af te wachten tot commerciële partijen die supplier lock-in wel zien zitten met iets komen dat dus heel voorspelbaar tegen zal vallen qua openheid.
FIDO is totaal ongeschikt .
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?