Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 129, views: 27.398 •

Een criminele groepering heeft met een aanval op bankklanten zeker 36 miljoen euro buitgemaakt. Ze gebruikten malware die tan-codes onderschepten. De aanvallers, die mogelijk uit OekraÔne afkomstig zijn, vielen ook Nederlandse internetbankierders aan.

Het botnet dat werd gebruikt om computers aan te vallen, werd ontdekt door beveiligingsbedrijf Versafe en werd in samenwerking met Check Point grotendeels offline gehaald. "We hebben alle domeinnamen waarvan we weten dat de malware er contact mee zocht, offline gehaald", zegt Tomer Teller van Check Point. Of het botnet kan herrijzen, is volgens Teller niet uit te sluiten, maar daar zullen de beheerders de nodige moeite voor moeten doen: ze zullen dan alle slachtoffers opnieuw moeten infecteren omdat de domeinnamen van de command-and-control-servers uit de lucht zijn gehaald.

In totaal is met de op de malware Zeus gebaseerde aanval, door de beveiligingsbedrijven Eurograbber genoemd, 36 miljoen euro buitgemaakt. Daarvan werden bankklanten in Italië, Duitsland, Spanje en Nederland de dupe. De schade in Nederland is het kleinst: de aanvallers maakten hier 1,2 miljoen euro buit. In Italië ging het om 16,4 miljoen euro en in Duitsland werd 12,7 miljoen euro ontfutseld. In totaal zijn 30.000 internetbankierders getroffen, waarvan 940 in Nederland. Gedupeerden verloren bedragen tussen de 500 en 250.000 euro; gemiddeld ging het om 1200 euro per persoon.

De malware was in staat om het systeem van tan-codes te omzeilen. In Nederland gebruikt ING tan-codes, voluit het transaction authentication number, om transacties beter te beveiligen: bij het overboeken van geld krijgt een gebruiker een tan-code per sms toegestuurd die hij moet invoeren om de transactie te bevestigen. Overigens kunnen de tan-codes desgewenst ook op een papieren lijst worden toegestuurd. Het is onbekend welke banken in Nederland zijn getroffen; of ING is getroffen, is niet duidelijk.

Eurograbber omzeilde het tan-verificatiesysteem door de gebruiker malware te laten installeren op de telefoon van de gebruiker. Bij het inloggen op de bankensite zorgde de malware ervoor dat er een mededeling werd getoond die er op aandrong om 'beveiligingssoftware' te installeren; in werkelijkheid onderschepte die software de tan-codes en stuurde ze door, zodat de aanvallers geld van de rekening konden stelen met de geldige tan-code. De mobiele malware was beschikbaar voor Android en BlackBerry OS.

EuroGrabberEuroGrabber

Reacties (129)

Reactiefilter:-11290125+177+28+32
De TAN codes werden niet gebruikt voor andere zaken. Er werd malware op de telefoon gezet waar de TAN codes op binnen kwamen. Deze malware verzond de betreffende SMSjes gewoon door naar een geinfecteerd systeem dat klaar stond om met de codes de rest van de man-in-the-middle aanval uit te voeren.

En dit is dus waarom two-factor authenticatie alleen zin heeft wanneer je tweede controle factor een extern en gesloten systeem gebruikt. Zo ongeveer de enige bank in heel Nederland die dat begrepen heeft is de Rabobank.
Het is interessant om te vermelden dat deze methode gebruikt maakt van zowel een geinfecteerde computer als van een geinfecteerde telefoon.

In eerste instantie wordt de computer van de gebruiker geinfecteerd bv door middel van een phishingmail. Er wordt dan een trojan geinstalleerd die de eerstvolgende keer actief wordt als de gebruiker gaat internetbankieren. Op dat moment krijg je het eerste scherm hierboven voor je neus en wordt je gevraagd wat je smartphone OS is en je mobiele nummer. Omdat je net bent ingelogd denk je dat deze melding van de bank komt. Op het nummer dat je opgeeft krijg je dan een smsje met de link naar de 'security software', de malware dus. Als je dat installeert is ook je telefoon besmet met malware. Je computer vraagt dan om een activatiecode om te bevestigen dat de installatie goed is gegaan. De malware op je telefoon geeft die code aan jou en als je die invoert weten de criminelen dat je klaar bent om geplukt te worden.

Zodra je nu op je computer weer gaat internetbankieren wordt er een transactie klaargezet en naar de bank gestuurd. Je ziet er niets van omdat de malware op de computer dit afschermt. De bank stuurt dan een sms met de tan-code naar de telefoon. Maar omdat die ook is besmet wordt deze sms niet aan jou getoond en direct doorgestuurd naar een server. De malware op je computer kan dit ophalen en de transactie bevestigen. Zonder dat je het weet is nu geld van je rekening afgehaald. En dit gebeurt elke keer dat je inlogt zolang je er niets aan doet.

Een behoorlijk ingenieuze methode, waarbij twee malware programma's op twee platforms met elkaar samenwerken. En de nieuwe beveiligingslaag van de ING, de PAC code voor inloggen vanaf een onbekende computer, zou niet hebben geholpen in dit geval. De transactie wordt namelijk gewoon verstuurd vanaf je eigen 'vertrouwde' computer.

[Reactie gewijzigd door jona op 5 december 2012 14:47]

? Mag je mij uitleggen hoe het artikel waarnaar je refereert dit beschrijft.
Het artikel gaat inderdaad niet in op de werking van de mallware.

Maar als je even had gegoogled dan was je erachter gekomen dat het gaat om een MITM (Man in the middle) aanval welke slachtoffers heeft gemaakt bij o.a. de Rabobank.

De mallware wijzigde het bedrag en het rekeningnummer maar toonde de oorspronkelijke transactie gegevens aan de gebruiker.

Naar aanleiding hiervan heeft de Rabobank de authorisatie procedure wat aangepast zodat het bedrag niet meer stiekem gewijzigd kan worden.

Echter het is nog steeds mogelijk om onder water een ander bankrekeningnummer te gebruiken!
TAN codes per SMS versturen is waarschijnlijk bedacht toen smartphones nog niet bestonden of gangbaar waren. Wat het idee nu dus totaal achterhaald maakt. Want: je kunt immers op je smartphone de hele transactie doen, via de browser, en vervolgens de TAN code uit het SMS bericht kopieren en plakken in de webpagina van de bank. Terwijl de bedoeling juist was veiligheid te creŽren door 2 onafhankelijke platforms te gebruiken.
Dat begrijp ik ook nog steeds niet. Maar ik begrijp ook nog steeds niet waarom banken zomaar de schade blijft vergoeden.
Omdat internet bankieren veel goedkoper is voor een bank dan via de post (waar ook gewoon fraude mogelijk is), ze willen geen negatief nieuws over internet bankieren, dus lossen ze het snel op zodat het niet zo snel in de media komt...
Dat doen ze ook niet. Tegenwoordig wordt er door de bank steeds vaker nul op rekest gegeven bij dit soort claims. Daar waren laatst nog enkele berichten/uitzendingen van Kassa! aan gewijd.

http://kassa.vara.nl/tv/a...tie-bij-phishing/speel/1/
http://kassa.vara.nl/tv/a...geen-compensatie/speel/1/
http://kassa.vara.nl/actu...toffer-internetbankieren/

Ik weet uit eigen ervaring dat hoe voorzichtig je ook bent, er toch een mogelijkheid is dat je geskimd wordt. Zelfs toen deed de Rabobank erg moeilijk en wilden ze het eerst niet vergoeden ivm nalatig handelen.

Uiteindelijk schandalig als ze dit niet vergoeden in mijn ogen, creditcardmaatschappijen werken al jaren op deze manier en hebben daar geweldig goede detectiemanieren voor ontwikkeld. Het is gewoon een feit dat de gebruikers, banken en andere instanties achter blijven lopen bij de makers van malware e.d.

[Reactie gewijzigd door SidewalkSuper op 5 december 2012 14:50]

Op non-jailbroken iOS apparaten is het NIET mogelijk om applicaties te installeren uit een andere bron dan Apple's eigen App Store.

De techniek die deze hackers toepassen door te werken met .apk voor Android en .jad voor BlackBerry OS gaat dus sowieso niet werken op iOS.

Zelfs een jailbroken iOS device weet standaard niet wat hij met een .ipa archief moet doen.

Kortom deze hackers moeten in ieder geval NOG creatiever te werk gaan dan ze al doen als ze bij het geld van de iOS gebruikers willen komen.

Ik ben wel onder de indruk hoe ze 36 miljoen hebben weten buit te maken door eerst iemands PC te infecteren en ook nog eens hun smartphone met behulp van de gebruiker zelf.

Op dit item kan niet meer gereageerd worden.



Populair: Nokia Websites en communities Lumia Smartphones Google Laptops Sony Apple Games Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013