Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 129, views: 27.522 •

Een criminele groepering heeft met een aanval op bankklanten zeker 36 miljoen euro buitgemaakt. Ze gebruikten malware die tan-codes onderschepten. De aanvallers, die mogelijk uit Oekra´ne afkomstig zijn, vielen ook Nederlandse internetbankierders aan.

Het botnet dat werd gebruikt om computers aan te vallen, werd ontdekt door beveiligingsbedrijf Versafe en werd in samenwerking met Check Point grotendeels offline gehaald. "We hebben alle domeinnamen waarvan we weten dat de malware er contact mee zocht, offline gehaald", zegt Tomer Teller van Check Point. Of het botnet kan herrijzen, is volgens Teller niet uit te sluiten, maar daar zullen de beheerders de nodige moeite voor moeten doen: ze zullen dan alle slachtoffers opnieuw moeten infecteren omdat de domeinnamen van de command-and-control-servers uit de lucht zijn gehaald.

In totaal is met de op de malware Zeus gebaseerde aanval, door de beveiligingsbedrijven Eurograbber genoemd, 36 miljoen euro buitgemaakt. Daarvan werden bankklanten in Italië, Duitsland, Spanje en Nederland de dupe. De schade in Nederland is het kleinst: de aanvallers maakten hier 1,2 miljoen euro buit. In Italië ging het om 16,4 miljoen euro en in Duitsland werd 12,7 miljoen euro ontfutseld. In totaal zijn 30.000 internetbankierders getroffen, waarvan 940 in Nederland. Gedupeerden verloren bedragen tussen de 500 en 250.000 euro; gemiddeld ging het om 1200 euro per persoon.

De malware was in staat om het systeem van tan-codes te omzeilen. In Nederland gebruikt ING tan-codes, voluit het transaction authentication number, om transacties beter te beveiligen: bij het overboeken van geld krijgt een gebruiker een tan-code per sms toegestuurd die hij moet invoeren om de transactie te bevestigen. Overigens kunnen de tan-codes desgewenst ook op een papieren lijst worden toegestuurd. Het is onbekend welke banken in Nederland zijn getroffen; of ING is getroffen, is niet duidelijk.

Eurograbber omzeilde het tan-verificatiesysteem door de gebruiker malware te laten installeren op de telefoon van de gebruiker. Bij het inloggen op de bankensite zorgde de malware ervoor dat er een mededeling werd getoond die er op aandrong om 'beveiligingssoftware' te installeren; in werkelijkheid onderschepte die software de tan-codes en stuurde ze door, zodat de aanvallers geld van de rekening konden stelen met de geldige tan-code. De mobiele malware was beschikbaar voor Android en BlackBerry OS.

EuroGrabberEuroGrabber

Reacties (129)

Reactiefilter:-11290125+177+28+32
Ben dan wel benieuwd hoe die malware op de telefoons terecht gekomen is.
Was het door gebruikt van custom-roms of door gebruik van illegaal verkregen apps?
ij het inloggen op de bankensite zorgde de malware ervoor dat er een mededeling werd getoond die er op aandrong om 'beveiligingssoftware' te installeren; in werkelijkheid onderschepte die software de tan-codes en stuurde ze door, zodat de aanvallers geld van de rekening konden stelen met de geldige tan-code. De mobiele malware was beschikbaar voor Android en BlackBerry OS.
Ja, dat heb ik gelezen, maar hoe komt die mededeling dan in beeld?
Zie de screenshots?
Ja, maar hoe krijg je die screenshot in beeld? Dan zul je toch of de site van de bank moeten hacken zodat die site je dat scherm voorschotelt (lijkt me sterk), of al een app op het toestel die er voor zorgt dat je op het moment dat je naar de site van je bank probeert te gaan een andere pagina te zien krijgt. Die app zou inderdaad in de vorm van een gratis appje (spelletje, gratis wallpaper, whatever) die de gebruiker zelf gedownload heeft op het toestel gekomen kunnen zijn en die heeft dan zelf geen of minder verdachte rechten nodig.
Vind het erg typisch dat alle mensen die naar mijn idee in de juiste richting denken omlaag gemod worden en de mensen die het volgens mij niet snappen omhoog. Los van het feit dat het modsysteem niet gebruikt zou moeten worden als eens/oneens systeem, ik zie helemaal geen off topic reacties hier.

edit @mhkool: Ik heb het woordje dat je gemist hebt even vet gemaakt voor je...

[Reactie gewijzigd door finraziel op 6 december 2012 14:40]

Als de browser gehackt is, hoef je de banksite niet meer te hacken. Dus: je gaat naar www.mijnbank.com en je browser modificeert de content een beetje en laat een melding verschijnen waarvan je denkt dat die van de bank is maar het dus niet is.
De TAN codes werden niet gebruikt voor andere zaken. Er werd malware op de telefoon gezet waar de TAN codes op binnen kwamen. Deze malware verzond de betreffende SMSjes gewoon door naar een geinfecteerd systeem dat klaar stond om met de codes de rest van de man-in-the-middle aanval uit te voeren.

En dit is dus waarom two-factor authenticatie alleen zin heeft wanneer je tweede controle factor een extern en gesloten systeem gebruikt. Zo ongeveer de enige bank in heel Nederland die dat begrepen heeft is de Rabobank.
Wat heeft de Rabobank dan? ABN heeft een apparaatje waar je je PIN-pas in moet steken, PIN invoeren, dan code van de ABN-website invoeren, en je krijgt een code terug uit het apparaatje, die je moet overtikken in de website. Het apparaatje is op geen enkele manier met iets anders verbonden, dus dat is onhackbaar. Alleen een man in the middle kan werken. Is dat niet hetzelfde als wat de Rabo heeft?
Zelfde systeem idd.

Enige manier om dat te hacken is het apparaatje open slopen en uitzoeken wat de wiskundige functie is dat het uitvoert. Daarna kun je weer hetzelfde truukje doen als in het geval in dit nieuwsbericht.

Die apparaatjes schijnen echter zo ontworpen te zijn dat ze onherstelbaar kapot gaan als je ook maar iets aan bewerkingen doet aan de behuizing.

Afaik.
Ja inderdaad, als je minder slim ben dan de gemiddelde tweaker dan is het je eigen schuld als criminelen je bankrekening plunderen 8)7

Dit is een veelgehoord, maar onzinnig argument. Per definitie is minstens 20% van de mensheid niet zo slim. Dit betekent niet dat ze dan zelf schuld hebben als iemand misbruikt van ze maakt. Hetzelfde argument wordt veel toegepast bij verkrachtings- en oplichtingszaken: als je korte rokjes draagt dan vraag je er ook om.....

Ook al laat ik mijn autoportier open en heb ik zo een grote kans dat mijn laptop wordt gestolen, betekent nog niet dat de schuld bij de eigenaar ligt. Natuurlijk had ik meer kunnen doen om het te voorkomen, maar de schuld ligt altijd bij de dader. Als 10-20% van de mensen in Nederland niet genoeg technische kennis heeft om te weten hoe je dit soort oplichting kan voorkomen dan is het aan de banken om oplossingen te zoeken zodat alle lagen van de bevolking veiling kunnen internetbankieren.
Daar zeg je het zelf al. Hoe zouden deze mensen aan ervaring moeten komen wanneer ze niet internetbankieren. Ik vind het een beetje een taak van de overheid worden om burgers hierover goed te informeren.

Hier op Tweakers neemt het af en toe een beetje het niveau aan van "wij tweakers zijn de meest intelligente, almachtige personen op aarde", maar gebruikers die hiermee de mist ingaan kunnen ook binnen hele andere vakgebieden actief, zelfs zeer bekwaam, zijn en daardoor/daarom niet zo bekend zijn met het internet an sich (zoals bijvoorbeeld ambachtslieden (en politici ;), dan minder bekwaam ) ).

Ik ben bijvoorbeeld op medisch gebied allesbehalve een expert. Zou een huisarts dan ook zeggen dat ik maar niet aan sporten moet beginnen zonder volledige kennis van mijn lichaam op het gebied van spieren, gewrichten, etc te hebben?

Je weet vaak pas wanneer het fout gaat op het moment dat dat al gebeurd is, en kunt dit meestal alleen door goede voorlichting voorkomen.
Een mooie reden om voor bankzaken een dumb-phone uit de kast te pakken.


Ontopic:

Zelf heb ik de voorkeur voor een los kastje waar je de codes genereert (zie SNS bank) Deze van SNS is met een eigen 5-cijferig pin beveiligd.

Overigens vraag ik me wel af of alle banken met tan-codes (internationaal) deze fraude vergoeden, ik begreep laatst dat de Rabo nogal eens schade door PC-malware steekt op onzorgvuldigheid van de klant.
Het is interessant om te vermelden dat deze methode gebruikt maakt van zowel een geinfecteerde computer als van een geinfecteerde telefoon.

In eerste instantie wordt de computer van de gebruiker geinfecteerd bv door middel van een phishingmail. Er wordt dan een trojan geinstalleerd die de eerstvolgende keer actief wordt als de gebruiker gaat internetbankieren. Op dat moment krijg je het eerste scherm hierboven voor je neus en wordt je gevraagd wat je smartphone OS is en je mobiele nummer. Omdat je net bent ingelogd denk je dat deze melding van de bank komt. Op het nummer dat je opgeeft krijg je dan een smsje met de link naar de 'security software', de malware dus. Als je dat installeert is ook je telefoon besmet met malware. Je computer vraagt dan om een activatiecode om te bevestigen dat de installatie goed is gegaan. De malware op je telefoon geeft die code aan jou en als je die invoert weten de criminelen dat je klaar bent om geplukt te worden.

Zodra je nu op je computer weer gaat internetbankieren wordt er een transactie klaargezet en naar de bank gestuurd. Je ziet er niets van omdat de malware op de computer dit afschermt. De bank stuurt dan een sms met de tan-code naar de telefoon. Maar omdat die ook is besmet wordt deze sms niet aan jou getoond en direct doorgestuurd naar een server. De malware op je computer kan dit ophalen en de transactie bevestigen. Zonder dat je het weet is nu geld van je rekening afgehaald. En dit gebeurt elke keer dat je inlogt zolang je er niets aan doet.

Een behoorlijk ingenieuze methode, waarbij twee malware programma's op twee platforms met elkaar samenwerken. En de nieuwe beveiligingslaag van de ING, de PAC code voor inloggen vanaf een onbekende computer, zou niet hebben geholpen in dit geval. De transactie wordt namelijk gewoon verstuurd vanaf je eigen 'vertrouwde' computer.

[Reactie gewijzigd door jona op 5 december 2012 14:47]

Inderdaad ingenieus! Eigenlijk zou elke computer en telefoon verplicht met anti-malware, anti-virus enz moeten komen die automatisch update zodra er een interneverbinding is, behalve bij roaming.

Elke telefoon moet verplicht 1x per week een scan doen, als je het snachts in de lader hebt.

Met dit soort ingenieuze methodes, kunnen er heel veel slachtoffers ontstaan. Mensen gaan niet goed om met hun computers en al helemaal niet goed om met hun telefoons qua software!
Dit zorgt alleen maar voor schijn veiligheid. Zelfs met een up-to-date virus scanner kan je nog met een phising email of met een zero-day vulnerability aangevallen worden. Wat nodig is, is dat de gebruikers worden opgevoed. Dat zal de enige manier zijn om dit soort dingen te voorkomen.
En dat is juist moeilijk. Slachtoffers zijn vaak niet technisch en hebben geen idee hoe dingen in elkaar zitten. Bij de tijd dat ze stap 2 hebben geleerd, zijn de criminelen bij stap 15.

Tan-codes via SMS lijken mij minder veilig dan een card-reader. Naar mijn mening zijn de banken ook niet goed bezig.
Eigenlijk zou elke computer en telefoon verplicht met anti-malware, anti-virus enz moeten komen die automatisch update zodra er een interneverbinding is, behalve bij roaming.
De mallware is er eerder dan de cure en de cure komt voor veel slachtoffers te laat.

Slimme mallware wordt niet meteen actief maar wacht een paar maanden om zich zo ongehinderd door mallwarescanners te kunnen verspreiden.
Criminelen kun dan in een paar weken hun slag slaan, tegen de tijd dat de malwarescanners zijn begewerkt zijn de criminelen bezig met de volgende versie van de mallware.

Ik zie het nog gebeuren dat je straks alleen nog maar kunt bankieren middels een door de bank verstrekt apparaat.

[Reactie gewijzigd door Carbon op 5 december 2012 15:29]

Dat is toch al zo. Bij ABN, SNS en Rabo heb je een card-reader nodig. Die allemaal geleverd worden door vasco.com
Dat is toch al zo. Bij ABN, SNS en Rabo heb je een card-reader nodig.
De Zeus trojan heeft aangetoond dat zo'n token + card-reader niet afdoende is!

Bankrekening-plunderende Zeus-trojan keert verbeterd terug
? Mag je mij uitleggen hoe het artikel waarnaar je refereert dit beschrijft. Dat gaat namelijk over malware wat zich simpelweg heel goed weet te verstoppen... Niks over hoe het trojan het gebruik van cardreader weet te omzeilen.
? Mag je mij uitleggen hoe het artikel waarnaar je refereert dit beschrijft.
Het artikel gaat inderdaad niet in op de werking van de mallware.

Maar als je even had gegoogled dan was je erachter gekomen dat het gaat om een MITM (Man in the middle) aanval welke slachtoffers heeft gemaakt bij o.a. de Rabobank.

De mallware wijzigde het bedrag en het rekeningnummer maar toonde de oorspronkelijke transactie gegevens aan de gebruiker.

Naar aanleiding hiervan heeft de Rabobank de authorisatie procedure wat aangepast zodat het bedrag niet meer stiekem gewijzigd kan worden.

Echter het is nog steeds mogelijk om onder water een ander bankrekeningnummer te gebruiken!
Waar Carbon op doelt, is denk ik meer iets wat ik hier verder op in het artikel voorstel http://tweakers.net/react...ting&ParentID=5956498.
Blijft toch raar he... Is het niet simpelweg op te lossen door een zwarte lijst te maken van banken die niet te vertrouwen zijn? Ik begrijp er maar weinig van. Om een bankrekening te hebben moet je toch staan ingeschreven staan en gelegitimeerd hebben. Mogelijk is dat in Oekraine allemaal minder goed nageleefd, maar dan maar gewoon geen geld meer overmaken of in ieder geval eerst een check doen voor dat de transactie wordt voltooid!
Bedankt voor de zeer duidelijke uitleg!

Dit lijkt alleen te werken als je virusscanner niet up to date is op je Windows systeem en als je (bewust) installaties van derden toe laat op je Android (instellingen->beveiliging->onbekende bronnen/installaties van andere apps dan Market-apps toestaan(vinkje aan/uit)).
Wat dat betreft zijn dus eigenlijk alleen mensen met een bewust geroot toestel kwetsbaar, mensen met een 2e hands toestel die door de vorige eigenaar is geroot of mensen met een out of de box geroot toestel zoals bij een aantal Chinese merken het geval is.
Een virusscanner op je toestel kan wel wat uitmaken, maar ik denk dat het de huidige toestellen trager maakt en over het algemeen is maar een heel klein percentage apps in de diverse stores kwetsbaar. Gezond boeren verstand is bij mobieltjes nog steeds belangrijk.
Onzin, je moet helemaal niet geroot te zijn om apk's te installeren.

Dat neemt natuurlijk niet weg dat het een enorm ingenieuze werkwijze is.
In dat geval geldt dit:
en als je (bewust) installaties van derden toe laat op je Android (instellingen->beveiliging->onbekende bronnen/installaties van andere apps dan Market-apps toestaan(vinkje aan/uit))
&
Gezond boeren verstand is bij mobieltjes nog steeds belangrijk.
Er wordt dan een trojan geinstalleerd die de eerstvolgende keer actief wordt als de gebruiker gaat internetbankieren. Op dat moment krijg je het eerste scherm hierboven voor je neus en wordt je gevraagd wat je smartphone OS is en je mobiele nummer. Omdat je net bent ingelogd denk je dat deze melding van de bank komt.
Nou denk het niet. Mijn bank vraagt nooit zomaar om mijn mobiele nummer. Als dat gebeurt dan moet er toch wel een lampje bij je gaan branden dat er iets goed fout zit 8)7
Mijn bank ook niet, maar gmail bijvoorbeeld weer wel. Krijg wel vaker de vraag om mijn telefoonnummer achter te laten voor als ik ooit mijn wachtwoord zou vergeten.

Probleem daarmee is dus dat er mensen zijn die niet raar opkijken als er om een telefoonnummer wordt gevraagd.
TAN codes per SMS versturen is waarschijnlijk bedacht toen smartphones nog niet bestonden of gangbaar waren. Wat het idee nu dus totaal achterhaald maakt. Want: je kunt immers op je smartphone de hele transactie doen, via de browser, en vervolgens de TAN code uit het SMS bericht kopieren en plakken in de webpagina van de bank. Terwijl de bedoeling juist was veiligheid te creŰren door 2 onafhankelijke platforms te gebruiken.
Wat ik niet begrijp ik dat er daadwerkelijk mensen zijn die zulke links zomaar aanklikken. Bij de banken in Nederland wordt overal expliciet duidelijk gemaakt dat een bank nooit zomaar gegevens zal opvragen of dat er "verplicht "software moet worden ge´nstalleerd.

Het is heel sneu voor de mensen dat ze zulke bedragen verliezen, maar wordt er niet overal zo gewaarschuwd dat je goed moet opletten bij bankzaken?
Dat begrijp ik ook nog steeds niet. Maar ik begrijp ook nog steeds niet waarom banken zomaar de schade blijft vergoeden.
Als ik een junk, de sleutel van mijn huis geef, of ik leg de sleutel onder de deurmat, dan krijg ik toch ook niets van de verzekering als mijn huis leeg gehaald is?
Ik denk om vooral van gezeur af te zijn met klanten en publiciteit zoveel mogelijk te mijden, hier gaat namelijk veel meer geld mee gemoeid als wij met zijn allen weten. Dit soort dingen komen ook veel vaker voor als dat in het nieuws komt. Als het iedere keer in het nieuws komt dan worden alle bankklanten nog veel zenuwachtiger..... Net als dat gedoe met skimmen komt ook vÚÚl meer voor als dat wat je er in het nieuws van hoort.
Dat begrijp ik ook nog steeds niet. Maar ik begrijp ook nog steeds niet waarom banken zomaar de schade blijft vergoeden.
Omdat internet bankieren veel goedkoper is voor een bank dan via de post (waar ook gewoon fraude mogelijk is), ze willen geen negatief nieuws over internet bankieren, dus lossen ze het snel op zodat het niet zo snel in de media komt...
Omdat de banken willen dat je vertrouwen blijft houden in mobiel/internet bankieren. Als je weet dat je een risico hebt dat je je geld niet terug krijgt bij een hack dan gebruikt je bijvoorbeeld niet meer iDeal ofzo.
En niet iedereen heeft een ICT knobbel in zijn hoofd, ken genoeg mensen die echt heel erg voorzichtig proberen te doen op het internet maar dan toch niet weten wat ze moeten doen bij deze mededelingen. Want soms zijn ze echt niet te onderscheiden van de echte websites.
Ze zijn verzekerd tegen diefstal dus tuurlijk vergoeden ze je.
Hoezo zouden de banken er voor verzekerd zijn? Zouden ze niet "gewoon" voor de schade opdraaien?
Het zou je maar overkomen. Ik denk dat iedereen, dus ook goede it-ers tegen dit probleem aan zouden kunnen lopen. Malware wordt steeds gerafineerder en gaat steeds sneller in omloop.

Ik denk dat je gewoon altijd alert moet blijven en altijd maar blij bent als het je weer wordt vergoed. Zou wat zijn. 1200 euro van je rekening, jij geen idee hoe het komt. Altijd al virusscanner/malware scanner erop gehad, voorzichtig te werk en TOCH gepakt. Blijkt na enige tijd dat de virusscanner nog niet het virus kende en daardoor tijdje ongemerkt te werk kon gaan. Maargoed, jij bent 1200 euro kwijt, wordt wantrouwig in alles en voelt je persoonlijk gepakt...
tot het jou overkomt!!!
ik ben altijd uiterst voorzichtig met pinnen, maar ben toch gescimd blijkbaar want er was ruim 800 euro in ameria opgenomen.
dan ben je blij dat de bank je geld terug geeft. ook nie tmeer dan logisch.
Je bent niet de enige. De skimmers zijn slim. In de rij bij de supermarkt word je er aan herinnerd dat je de code moet afdekken maar als je alleen bij de pomp staat dan zullen vele er niet altijd aan denken. Ik ben blij met een programma zoals Zembla:
http://zembla.vara.nl/Afl...2b423ee7151ef0d157d5a05a3


De mensen die deze site lezen geven geen objectieve weergave van de ICT kennis van de gemiddelede persoon en dat mag je ook niet van ze vragen. Zoals eerder al is aangegeven de banken pushen het internetbankieren. Wil je overschrijfkaarten de ING brengt hier nu een extra bedrag voor in rekening wil je 2 keer per maand een overzicht de ING brengt hier een extra bedrag voor in rekening. Bij elkaar wordt gewoon bankieren aardig wat duurder dan internetbankieren.
Dat doen ze ook niet. Tegenwoordig wordt er door de bank steeds vaker nul op rekest gegeven bij dit soort claims. Daar waren laatst nog enkele berichten/uitzendingen van Kassa! aan gewijd.

http://kassa.vara.nl/tv/a...tie-bij-phishing/speel/1/
http://kassa.vara.nl/tv/a...geen-compensatie/speel/1/
http://kassa.vara.nl/actu...toffer-internetbankieren/

Ik weet uit eigen ervaring dat hoe voorzichtig je ook bent, er toch een mogelijkheid is dat je geskimd wordt. Zelfs toen deed de Rabobank erg moeilijk en wilden ze het eerst niet vergoeden ivm nalatig handelen.

Uiteindelijk schandalig als ze dit niet vergoeden in mijn ogen, creditcardmaatschappijen werken al jaren op deze manier en hebben daar geweldig goede detectiemanieren voor ontwikkeld. Het is gewoon een feit dat de gebruikers, banken en andere instanties achter blijven lopen bij de makers van malware e.d.

[Reactie gewijzigd door SidewalkSuper op 5 december 2012 14:50]

Op zichzelf heb je gelijk dat banken achterlopen op fraudeurs. Echter is dat ook bijna onvermijdelijk. Kijk bijvoorbeeld naar de gewone betaalpassen. Daar zit een magneetstrip op. Super onveilig. Echter heb je die magneetstrip in bijvoorbeeld de VS nog nodig. Dus kunnen de banken de magneetstrip er niet zomaar vanaf halen.

De fraudeurs hoeven helemaal geen wereldwijd werkend systeem aan te bieden. Als je ergens een gat ontdekken, ge(mis)bruiken ze het.
Wat ik niet begrijp ik dat er daadwerkelijk mensen zijn die zulke links zomaar aanklikken. Bij de banken in Nederland wordt overal expliciet duidelijk gemaakt dat een bank nooit zomaar gegevens zal opvragen of dat er "verplicht "software moet worden ge´nstalleerd.
Dat valt ook wel mee volgens mijn met het waarschuwen van hun klanten, staat bij sns wat in rode tekst, maar weten allemaal dat rode tekst niet altijd gelezen word, valt dus nog hoop te verbeteren en is geen tijd om achterover te gaan zitten als bank, want meldingen werken schijnbaar nog niet goed genoeg, want zijn nog veel te veel mensen die niet goed zijn ingelicht, hoe dat komt maakt even niks uit feit is dat er nog bosjes mensen rond lopen die niet genoeg kennis hebben.

Zal dus iets beters moeten bedenken dan wat rode tekst van paar regels boven het inloggen, ik vind dat taak van de bank om er meer actief achteraan te zitten. Geregeld verplichte meldingen laten lezen, mensen vragen laten beantwoorden over de risico's voordat ze verder kunnen zou al behoorlijk vooruitgang zijn op het redelijke passieve houding van bepaalde banken.
De ING stuurt niet alleen TAN codes per sms, maar ook het nieuwe wachtwoord van je internetbankieren.


edit: voor degene die dit niet geloven staat hieronder de uitleg op de ING site

Hoe kan ik mijn wachtwoord per sms ontvangen?

Bent u uw wachtwoord voor Mijn ING (internetbankieren) vergeten? Dan hoeft u niet meer te wachten op een nieuw wachtwoord. U vult online enkele gegevens in en ontvangt vervolgens direct een sms-bericht met een tijdelijk wachtwoord. Met dit wachtwoord en uw gebruikersnaam kunt u meteen inloggen op Mijn ING (internetbankieren). Onder andere voor uw veiligheid is het tijdelijke wachtwoord slechts 30 minuten geldig. Het is dus belangrijk dat u het wachtwoord direct wijzigt.

[Reactie gewijzigd door ignitem op 5 december 2012 14:21]

Volgens mij niet, laatste keer - ongeveer een half jaar geleden - dat het mij overkwam werd mijn wachtwoord per post opgestuurd.
In Nederland gebruikt ING tan-codes, voluit het transaction authentication number, om transacties beter te beveiligen: bij het overboeken van geld krijgt een gebruiker een tan-code per sms toegestuurd die hij moet invoeren om de transactie te bevestigen. Overigens kunnen de tan-codes desgewenst ook op een papieren lijst worden toegestuurd. Het is onbekend welke banken in Nederland zijn getroffen.
Ik geloof niet dat er andere banken zijn die het gebruiken naast ING...

Oh en by the way: Dit is toch wel een van de nadelen van een 'open' smartphone OS. Ik ga niet zeggen dat het met iOS helemaal niet zou kunnen, maar het zou wel een stuk lastiger worden om het voor elkaar te krijgen bij non-jailbroken iPhones...
Er is een verschil tussen TAN codes gebruiken en getroffen zijn door deze bende.
Je kan bij iOS geen apps buiten de marketplace om installeren (that is non jailbroken).
Bij Blackberry & android wel...

Dus het maakt wel uit hoe open het is in dit opzicht.
Een app met malware zal minder makkelijk in de app store te krijgen zijn en moet geobfusceerd worden en moelijk worden gedaan zodat apple niet ruikt wat er gebeurt.

En waarom zou je ook op je windows pc iets moeten installeren?
Dat staat compleet buiten keif. Ja als je ook nog je bankzaken wil laten bespieden die je op je PC doet moet je idd ook daar meuk op installeren maar voor wat in dit artikel wordt besproken niet...

[Reactie gewijzigd door jozuf op 5 december 2012 14:40]

Ook biij android is het standaard niet mogelijk om externe software te installeren, je zult daarvoor zelf een instelling moeten aanpassen, gezien sommige van de untethered jailbreaks is het overigens best mogelijk dat er iets geinstalleerd kan worden op iOS door een speciaal geprepareerde website/file.
En waarom zou je ook op je windows pc iets moeten installeren?
Dat staat compleet buiten keif. Ja als je ook nog je bankzaken wil laten bespieden die je op je PC doet moet je idd ook daar meuk op installeren maar voor wat in dit artikel wordt besproken niet...
Als je logisch nadenkt (en het artikel leest) dan snap je dat dit niet alleen van een telefoon mogelijk is bij normaal internet bankieren (aangezien dat vanaf een computer gedaan wordt, zie ook de link)
Sterker nog, de link naar de telefoon malware wordt via een geinfecteerde windows pc (na input van de gebruiker: die moet zijn gegegevens doorgeven) naar de telefoon doorgezet via sms: waar dan een onbekende link moet worden geopend en je de malware zelf moet installeren...op android nadat je de beveiliging hebt uitgezet.
Met een business iOS developer account zou je het kunnen doen, maar dan weten ze je wel te vinden denk ik zo. En dan zou je nog een kernel exploit moeten vinden ook.
Als BB os "kwetsbaar" is dan zal iOS echt niet veel minder risico lopen (en "open" maakt dus helemaal niets uit).
BB gesloten <> iOS gesloten!

De gebruiker van een unmanaged BB toestel kan net als bij Android OTA apps installeren van een willekeurige bron, een feature waarvan dankbaar gebruik is gemaakt door deze criminelen.

iOS (zonder jailbreak) gebruikers kunnen alleen maar software installeren van de iTunes AppStore.

[Reactie gewijzigd door Carbon op 5 december 2012 14:47]

BB als OS is natuurlijk ook zo lek als een mandje, dat in schril contrast met de beveiliging van hun services. Dat heeft er natuurlijk mee te maken, niet zozeer het open vs gesloten verhaal. :)
iOS is het veiligste mainstream mobiele OS wat er is, dat bewijst zich in dit soort dingen heel goed.

Zodra een jailbreak mogelijk is, verandert dat natuurlijk, afhankelijk van de manier waarop de jailbreak mogelijk gemaakt is. Een userland jailbreak is bijvoorbeeld heel gevaarlijk en malware zou daarmee heel makkelijk kans kunnen krijgen.
De meeste jailbreaks vereisen echter real life interactie in de vorm van kabeltje aan de computer en DFU mode.

Daarom zal Apple ook nooit virusscanners en dergelijke toestaan in de App Store, het is gewoon niet nodig door het gesloten systeem, de sandboxing en de goede beveiliging (ASLR/KASLR/DEP etc) waarmee iOS devices zijn dichtgetimmerd.

[Reactie gewijzigd door SidewalkSuper op 5 december 2012 15:18]

Op non-jailbroken iOS apparaten is het NIET mogelijk om applicaties te installeren uit een andere bron dan Apple's eigen App Store.

De techniek die deze hackers toepassen door te werken met .apk voor Android en .jad voor BlackBerry OS gaat dus sowieso niet werken op iOS.

Zelfs een jailbroken iOS device weet standaard niet wat hij met een .ipa archief moet doen.

Kortom deze hackers moeten in ieder geval NOG creatiever te werk gaan dan ze al doen als ze bij het geld van de iOS gebruikers willen komen.

Ik ben wel onder de indruk hoe ze 36 miljoen hebben weten buit te maken door eerst iemands PC te infecteren en ook nog eens hun smartphone met behulp van de gebruiker zelf.
Eigenlijk hoeft het niet zo heel moeilijk te zijn.

1; link naar site die de iPhone jailbreakt (volgtens mij kan dit nog steeds via een site)
2; als de site de jailbreak kan uitvoeren met de hack, dan kan diezelfde hack vast ook gebruikt worden voor het installeren van malware
Oh en by the way: Dit is toch wel een van de nadelen van een 'open' smartphone OS.
BB is gesloten maar daar is het wel mogelijk, Android is open en is het mogelijk...

Dus 2 OSen waarvan de ene gesloten is en de ander open, en dan kan jij de conclusie trekken dat het een nadeel is van een open OS?

Had dit niet gebeurd als de Android source niet beschikbaar was denk je?

[Reactie gewijzigd door watercoolertje op 5 december 2012 14:21]

Natuurlijk is dit een nadeel van een open OS. Zodra de eindgebruiker op een niet zo zuivere link klikt gaat het al mis. De argeloze gebruiker dient tegen zichzelf in bescherming genomen te worden door bepaalde onderdelen van het OS dicht te timmeren. De echte Tweaker dient natuurlijk wel de mogelijkheid te krijgen het OS weer open te maken, zodat hij kan pielen wat 'ie wil.
Dat is toch ook precies het geval bij Android: om software buiten de Play store te installeren moet je je instellingen expliciet veranderen om dit mogelijk te maken...
Daarom moet je zelf ook de beveiliging uitschakelen voordat je programma's van buiten de market kan installeren.

Laten we wel wezen, de beperkingen van iOS maken het moeilijker om deze truc te gebruiken, maar dat neemt niet weg dat er nog wel andere manieren zijn: uiteindelijk zal bij ieder systeem waarbij de gebruikers keuzevrijheid hebben een groter risico zijn voor lakse gebruikers maar dat neemt niet weg dat die andere platformen nog steeds via een andere vector aangevallen kunnen worden.

Volgens mij is het primaire probleem hier de gebruiker, lijkt me onwenselijk om een OS dicht te timmeren alleen maar om de bonnie st. claire's van deze wereld tegen zichzelf in bescherming te nemen.
Laten we wel vaststellen eerst, dat het overgrote deel van de gebruikers een 'bonnie st. claire' is. Dat vergeet je snel, als je hier op Tweakers zit.. maar ik denk dat bij een voorzichtige schatting 95% van de gebruikers echt geen IT kennis heeft. Die mensen zijn wel op hun hoede, maar begrijpen simpelweg niet welke berichten wel/niet gevaarlijk zijn. Of ze letten niet op en klikken snel op iets, omdat ze door willen met hun bezigheid.

Dit is ook de reden waarom internet gerelateerde criminaliteit zo moeilijk te stoppen is. Als iemand quantum mechanische processen aan jou gaat dicteren, dan weet jij ook niet wat wel of niet echt is. Zo werkt het voor de meeste gebruikers ook.
Het probleem zit hem niet alleen in apps buiten de store wel of niet kunnen installeren maar in de store zelf.

Aangezien je dmv rechten (die 99% goedkeurt) via een legale app bij de sms berichten kunt komen kan je zelfs via een remote play store deze apps op een device krijgen
Mensen die hier nog steeds intrappen, zelfs al ben je een ouder persoon.. Dan leef je echt onder een steen naar mijn idee! (maar dan had je ook niet geinfecteerd kunnen worden)

Kijkend naar die plaatjes kun je mij niet wijsmaken dat er niet minimaal 1 keer in je leven tegen je verteld wordt dat banken geen software laten installeren of je gegevens opvragen tenzij je er ZELF bewust naar toe gaat..

Dit zou je zowat niet meer criminaliteit in verband brengen, maar eerder met giften van goedgelovige mensen! |:( Ik kan ook best begrijpen dat banken op een bepaald moment gaan zeggen: zelf ingetrapt, eigen schuld.
Helemaal mee eens, ik heb bij meerdere banken rekeningen en heb bij voortduring meldingen gekregen dat de bank NOOIT via een mail of op de inlog-site vraagt om een handeling te verrichten anders dan normaal in te loggen.
TV spots, programma's en geschreven media hebben hier vaak genoeg en nog aandacht aan besteed ergo, ergens is er ook een begin van eigen verantwoordelijkheid.
De malware was in staat om het systeem van tan-codes te omzeilen. In Nederland gebruikt ING tan-codes, (...) Het is onbekend welke banken in Nederland zijn getroffen; of ING is getroffen, is niet duidelijk.
Het feit dat alleen de ING TAN-codes gebruikt zou het toch wel duidelijk moeten maken dat zij ook getroffen zijn?
Ja maar dat mogen ze niet hardop roepen omdat de bank het ontkent of niet heeft bevestigd.

Harde cijfers zijn niet echt bekend, maar volgens ingewijden is de ING meer dan 2 x zo vaak betrokken bij internetfraude dan andere banken. Was paar maanden terug hele reportage over met anonieme figuren die vanuit de schaduw even uit de doeken deden.
In Nederland gebruikt ING tan-codes, voluit het transaction authentication number, om transacties beter te beveiligen: bij het overboeken van geld krijgt een gebruiker een tan-code per sms toegestuurd die hij moet invoeren om de transactie te bevestigen. Overigens kunnen de tan-codes desgewenst ook op een papieren lijst worden toegestuurd. Het is onbekend welke banken in Nederland zijn getroffen; of ING is getroffen, is niet duidelijk.
De ING is niet alleen in nederland operationeel. De vraag is alleen in welke andere landen ook TAN codes worden gebruikt of een andere vorm hiervan en welk percentage van de bevolking van dat land gebruik maakt van internetbankieren.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013