Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 129, views: 27.430 •

Een criminele groepering heeft met een aanval op bankklanten zeker 36 miljoen euro buitgemaakt. Ze gebruikten malware die tan-codes onderschepten. De aanvallers, die mogelijk uit Oekra´ne afkomstig zijn, vielen ook Nederlandse internetbankierders aan.

Het botnet dat werd gebruikt om computers aan te vallen, werd ontdekt door beveiligingsbedrijf Versafe en werd in samenwerking met Check Point grotendeels offline gehaald. "We hebben alle domeinnamen waarvan we weten dat de malware er contact mee zocht, offline gehaald", zegt Tomer Teller van Check Point. Of het botnet kan herrijzen, is volgens Teller niet uit te sluiten, maar daar zullen de beheerders de nodige moeite voor moeten doen: ze zullen dan alle slachtoffers opnieuw moeten infecteren omdat de domeinnamen van de command-and-control-servers uit de lucht zijn gehaald.

In totaal is met de op de malware Zeus gebaseerde aanval, door de beveiligingsbedrijven Eurograbber genoemd, 36 miljoen euro buitgemaakt. Daarvan werden bankklanten in Italië, Duitsland, Spanje en Nederland de dupe. De schade in Nederland is het kleinst: de aanvallers maakten hier 1,2 miljoen euro buit. In Italië ging het om 16,4 miljoen euro en in Duitsland werd 12,7 miljoen euro ontfutseld. In totaal zijn 30.000 internetbankierders getroffen, waarvan 940 in Nederland. Gedupeerden verloren bedragen tussen de 500 en 250.000 euro; gemiddeld ging het om 1200 euro per persoon.

De malware was in staat om het systeem van tan-codes te omzeilen. In Nederland gebruikt ING tan-codes, voluit het transaction authentication number, om transacties beter te beveiligen: bij het overboeken van geld krijgt een gebruiker een tan-code per sms toegestuurd die hij moet invoeren om de transactie te bevestigen. Overigens kunnen de tan-codes desgewenst ook op een papieren lijst worden toegestuurd. Het is onbekend welke banken in Nederland zijn getroffen; of ING is getroffen, is niet duidelijk.

Eurograbber omzeilde het tan-verificatiesysteem door de gebruiker malware te laten installeren op de telefoon van de gebruiker. Bij het inloggen op de bankensite zorgde de malware ervoor dat er een mededeling werd getoond die er op aandrong om 'beveiligingssoftware' te installeren; in werkelijkheid onderschepte die software de tan-codes en stuurde ze door, zodat de aanvallers geld van de rekening konden stelen met de geldige tan-code. De mobiele malware was beschikbaar voor Android en BlackBerry OS.

EuroGrabberEuroGrabber

Reacties (129)

Reactiefilter:-11290125+177+28+32
Dit bericht bevestig de slechte beveiling mbv TAN codes. Ik hoop dat de TAN codes nou eens eindelijk definitief de deur uit gaan!
goh en al weer zijn de TAN codes de reden.
Ik zou maar eens stoppen met TAN codes als ik ING was.
Dat het liefst 30 miljoen heeft opgeleverd, is natuurlijk erg bemoedigend voor criminelen om meer in dit soort cybermisdaad te 'investeren', dat steeds geavanceerder zal worden.
Interessant dat dit steeds vaker opduikt in het nieuws. Ik ben hier vorig jaar druk mee bezig geweest en begin dit jaar op dit onderwerp afgestudeerd.

Het probleem is inderdaad dat de veiligheid nu gewaarborgd wordt doordat er 2 fysieke aparte apparaten gebruikt worden die in principe geen relatie met elkaar kennen. De manier van aanvallen is in dit geval gedaan met behulp van de gebruiker. Deze identificeert het toestel waardoor de aanvaller gericht een virus kan sturen naar de gebruiker.

Het gevaarlijke is dat mobile devices steeds vaker informatie achterlaat over het andere device (computer of smartphone) waardoor de "hulp" van een gebruiker op een gegeven moment niet meer nodig is. Een mooi voorbeeld hiervan is dat in de backups van een iPhone ip addressen/account informatie/telefoon nummers eenvoudig te achterhalen zijn. Aangezien een iPhone vaak met de computer verbonden wordt is het aannemelijk dat deze info door een ge´nfecteerde computer uit te lezen is. Gelukkig is de beveiliging van een iPhone redelijk op orde waardoor de kans dat malware op de iphone te vinden is (op jailbreak na) zeer klein is.

Bij Android ligt het andersom. Een Android bevat wat vaker een virus (kijk maar naar de persberichten van de afgelopen tijd) maar bevat minder vaak gevoelige informatie die nodig is om de bijbehorende computer de identificeren.

Bij Android is het echter "gevaarlijk" dat het device gekoppeld is aan het Google account. Door middel van dit Google account kan ik eenvoudig applicaties pushen naar het device van het slachtoffer. Stel ik plaats als crimineel boer malware in de Google App store (wat tegenwoordig al een stuk lastiger is geworden), dan kan ik deze op de mobiele telefoon installeren van het slachtoffer. Het enige wat ik daarbij nodig heb is het Gmail account van het slachtoffer wat te achterhalen is door bijvoorbeeld malware op de computer van het slachtoffer.

Indien mensen het interessant vinden hier mijn scriptie:
http://www.ru.nl/publish/pages/578936/laurens_koot_s4035186_-_master_thesis.pdf

[Reactie gewijzigd door laurens0619 op 5 december 2012 16:29]

Misschien offtopic
Daarom vind ik het ook zo vreemd dat Android de optie "Op achtergrond synchroniseren" heeft verwijderd, Ik had deze standaard altijd uit, versie 2.3.x. Als ik iets wilde downloaden van de store moet ik dit eerst aanzetten. Sinds versie 4, misschien versie 3 ook al wel maar dit kan ik niet meer nakijken, is er geen extra beveiliging. Je telefoon staat nu altijd open om iets uit te store te downloaden, de optie is verwijderd. Hieraan is het Google account gekoppeld.
Dat wist ik niet, inderdaad erg vreemd dat je het niet kan uitzetten, nog vreemder dat het standaard aan staat en de gebruiker geen popup krijgt dat een app via remote wordt geinstalleerd
Het is vrij helder in dit geval dat de aanvallers zeer complexe kennis overal over hadden. Dat lukt een gewone crimineel simpelweg niet.
Het is vrij helder in dit geval dat de aanvallers zeer complexe kennis overal over hadden. Dat lukt een gewone crimineel simpelweg niet.
Ten eerste: wat maakt het voor een slachtoffer of het een 'gewone' of 'ongewone' crimineel is geweest die je bankrekening heeft geplunderd?
Ten tweede: het is steeds 'gewoner' dat een crimineel zijn tools op de zwarte markt koopt en zelf alleen maar voor bijv. een tijdelijke doorsluisbankrekening hoeft te zorgen. Hacktools die eenmaal zijn verschenen zullen dienst blijven doen zolang ze werken. En als ie niet meer werkt zal de programmeur die zijn tools wil verkopen, gewoon een updateje uit proberen te brengen (wat natuurlijk niet altijd zal slagen).
Ten derde: het waren toch sowieso al nooit 'gewone' criminelen die digitale bankaire fraude pleegden?

Wat ik in elk geval probeer te zeggen: het is nogal gevaarlijk en ignorant te denken dat digitale bankfraude (zeer) beperkt zal blijven omdat een 'gewone' crimineel zulks niet kan uitvoeren. Want die bewering spreekt een beetje uit jouw reactie.
Digibeten, bejaarden, mensen die geen zin hebben om een waarschuwing te lezen die er belangrijk uitziet. Spijtig genoeg hoeft bij dit soort praktijken meestal maar 1% van de targets erin te trappen.
Zijn die criminelen nou ook in de gevangenis beland? En is het geld (of wat er nog van over was) weer teruggevordered?
Je bedoelt, als ze al hebben uitgevogeld wie erachter zat.

Deze operatie was hoog complex. Geheid dat ze 't gaan herhalen ook dit foefje.

Je trekt niet zo maar eventjes wat programmeurs en experts uit de kast die dit crimineel voor je uitvoeren.

We praten over een enorm bedrag dat weg is. Dat is natuurlijk ook iets wat je niet zo maar eventjes regelt.

Minimaal 15 jaar brommen voor elke persoon hierbij betrokken wordt dat en de MIVD'ers betrokken hierbij een autoongeluk.

De belangrijkste vraag in dit complot is toch: wie heeft het gedaan?
Dat geld moet ergens naartoe gesluisd zijn.

Ukraine?

Dan kan het dus ook Rusland zijn. De grens ukraine/rusland is voor dit soort criminele feiten niet zo helder gedefinieerd.

Hoe ga je ze vinden? Met zoveel geld kopen ze bijna iedereen simpeltjes om.

De actie lijkt ontzettend goed voorbereid te zijn. Heel professioneel uitgevoerd om het VOORZICHTIG te zeggen. Je kunt er donder op zeggen dat er overheidslieden bij betrokken zijn geweest.
Persoonlijk denk ik dat banken moeten gaan denken aan een apparaat waarop niet geschreven kan worden, maar die wel uitgevoerd kan worden. Je zou dan kunnen denken aan een applicatie die Sandboxed, geheel los van het hele besturingssysteem, wordt uitgevoerd. Waar ook aangedacht kan worden, is een boot-cd met een apart besturingssysteem. Hoe dit precies uitgewerkt kan worden, is natuurlijk nog even de vraag. En ook dan zullen er manieren worden gevonden om het systeem binnen te komen, alhoewel dat mijns inziens een stuk ingewikkelder zal worden.
Die hadden ze allang.

ING bank had voor ze overgingen op 't TAN systeem van de postbank natuurlijk een eigen beveiligingscalculator.

Als je TAN codes verstuurt per mobiele telefoon, dan is de liquiditeit hoger.

Hogere liquiditeit is an sich fijn voor het financieel systeem - kortom banken zullen continue op het randje gaan zitten van wat net veilig is en waar toch weer een slimme truuk voor valt te verzinnen.
Dit is dus de reden dat ik mijn mobiele telefoon NOOIT voor bankzaken gebruik. De beveiliging laat duidelijk nog te wensen over. Internetbankieren doe ik gewoon op mijn pc met een papieren lijst waar alleen ik bij kan.
Mocht ik midden in de stad ineens willen weten hoeveel er nog op mijn rekening staat (wat bijna nooit voorkomt) dan ga ik wel naar een pin-automaat, daar kun je het ook opvragen.
Want je pc kan niet besmet worden met een virus...? Overigens is het zelfs bij Rabobank mogelijk om geld af te troggelen met internetbankieren. En daar wordt nu juist geen gebruik gemaakt van je mobiel. ABN Amro imo. Feit blijft gewoon dat je altijd kwetsbaar kan zijn. Dat je je mobiel niet voor mobiele zaken gebruikt is natuurlijk je goed recht. Echter ligt daar niet de oplossing. Ook bij het pin-automaat kan het misgaan. En al zou je alle digitale middelen mijden, dan gaat de 'echte' crimineel wel weer over op ouderwets geld stelen. Je kan het proberen zoveel mogelijk te voorkomen, maar ook niet meer als dat. En om nu je geld weer in een oude sok te doen is ook zo wat...
Het ironische is dat internet bankieren zelf via een app weer veel veiliger is dan internet bankieren via de computer. "mallware" (vaak apps met teveel rechten) kunnen wel via sms bij de tan komen maar door het sandbox model niet zomaar bij de internet bankieren app
ik laat tan codes gewoon naar mijn oude dumb phone per sms sturen. al die smart phones zijn too smart.
snap dan ook niet dat mensen dit mobiel doen.
er zijn nog steeds bedrijven die hun belangrijke transacties en/of bank zaken met een 56kbit modempje via de telefoonlijn doen. Ik doe nooit mijn bankzaken via draadloos internet alles wat draadloos is kan onderschept worden.

Op dit item kan niet meer gereageerd worden.



Populair: Mobiele netwerken Gamecontrollers Smartphones Apple Sony Microsoft Games Besturingssystemen Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013