Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nieuw type trojan maakt screenshots van internetbankieren

Er zwerft een nieuwe trojan over het internet die, wanneer hij zich heeft geďnstalleerd op een computer, screenshots maakt van het actieve browservenster wanneer de site van Barclays Bank bezocht wordt. De Barclays-site maakt gebruik van een tweeledige loginprocedure om gebruikers in te laten loggen. Op de eerste loginpagina moeten gebruikers hun gebruikersnaam en wachtwoord opgeven. Als deze gegevens correct zijn, wordt een tweede loginpagina geopend. Op deze pagina zijn een aantal dropdownmenu's aanwezig die gebruikt moeten worden om een geheim woord te vormen. Het voordeel van deze methode is dat dit geheime woord nooit ingetypt wordt en het dus niet mogelijk is het woord te achterhalen met traditionele keyloggers.

Barclays Bank logoDe 'Purchase confirmation'-trojan, zoals hij op Codefish Spamwatch genoemd is, is echter verder ontwikkeld zodat ook de tweede loginpagina gekraakt kan worden. Wanneer een gebruiker inlogt op de Barclays-site, maakt de trojan screenshots van het geopende browservenster. Deze afbeeldingen worden bewaard en samen met het logboek van de keylogger naar de scammers verstuurd. De mannen van Codefish Spamwatch hebben de trojan uitgeprobeerd en geconcludeerd dat de trojan zijn werk goed deed. Iedere keer werd de correcte informatie als screenshot opgeslagen. Het succes van de trojan betekent echter een verlies van veiligheid. Tot op heden werd het Barclays-systeem veilig geacht omdat het gebruikmaakte van visuele elementen. Dit is nu niet meer het geval.

Door Harm Hilvers

Freelance nieuwsposter

17-04-2004 • 22:06

94 Linkedin Google+

Submitter: jurri@n

Bron: Netcraft

Reacties (94)

Wijzig sortering
Is het bekend welke bank sites allemaal ook op andere browsers werken dan Internet Explorer 6.x build xyz? Ik heb het zelf niet zo op IE, maar soms kom je er niet onderuit...

Overigens: Opera is helaas ook niet superveilig, in 7.23 waren er wat aardig wat lekken uitgehaald, in de versie ervoor kon een website toegang krijgen tot je harddisk en dingen wissen :-(
maakt het nog uit welke browser ik gebruik?
Dit hoeft helemaal niet zo te zijn. Kort samengevat zijn dit mogelijkheden voor detectie:
- een browser monitoren. (MS-IE dus, omdat iedereen dit gebruikt)
- met een keylogger kijken of de gebruiker www.barclays.co.uk intikt.
- wachten totdat je OS een connectie opent naar www.barclays.co.uk

Ik denk echter dat het laatste gebeurd is, omdat dit het effectiefste is. Dan maakt het namelijk niet meer uit of je Firefox, Opera of MS-IE gebruikt.

In het voorbeeld is echter ook pijnlijk duidelijk hoe gevaarlijk het is als iedereen exact dezelfde software gebruikt; daar profiteren virussen en trojans ontzettend van. Een andere browser maakt vaak al een groot verschil, en een ander OS ook (dat wist iedereen al, maar het voorbeeld van een keylogger of netwerk-luisterer is een typisch voorbeeld waarom),

...hoewel het laatste [een ander os] vaak niet mogelijk is om zo de veiligheid met je internet bankieren te verhogen; beschamend eigenlijk!
Volgens mij zit in het apparaatje een interne klok die tevens gebruikt word. En de code is per rekening uniek, dus keuze genoeg zou ik zeggen. Inderdaad veiliger dan met een vaste combinatie inloggen.

Nadeel van deze methode is dat je altijd op reis moet met dit kastje en die kan kapot of de batterij kan leeg raken. Persoonlijk gaat mijn voorkeur uit naar de methode van de postbank. Inloggen via vaste combinatie welke ik regelmatig aanpas. Overmaken via TAN die via GSM wordt verzonden.
@paknaald

Codes kunnen wel opnieuw gebruikt worden hoor, net zoals meerdere mensen dezelfde PIN-code hebben.

Het gaat er maar om dat een specifieke code 1x gebruikt wordt, en er dus een kans van 1 op 4 miljard is (bij 32-bit) dat je die goed raadt.

Omdat de code iedere keer anders is is het niet mogelijk om gewoon uit te gaan proberen 1, 2, 3, 4, ...

De kans om het goede nummer te raden blijft dus altijd 1 op 4 miljard i.t.t. als het nummer blijft gelden: dan wordt de kans steeds een klein beetje groter (omdat je al weet dat bepaalde nummers niet goed zijn).
"veiliger", zoals jij het woord toepast, is een gevoel en geen technische kwaliteit. Big difference.
en dan te bedenken dat we in nederland nog 'gewoon' met enkele authenticatie werken dmv een code versleutelen met zon rekenmachine..
Dat is totaal onzin wat je zegt. 1 factor authenticatie is gebaseerd op iets wat je weet zoals username en password. 2 factor authenticatie voegt daarbij "iets wat je hebt" dus in dit geval je pinpas die je samen met het challenge response calculator systeem moet gebruiken om de response te berekenen.
Internetbankieren, in zijn huidige status, hangt meer van geluk dan van wijsheid aan elkaar.
Sorry maar dat soort opmerkingen slaan de plank echt volledig mis. Wanneer je single sided authenticatie gebruikt op basis van SSL ben je inderdaad vatbaar voor een man in the middle attack maar in de praktijk werkt dat toch anders. Er moeten meerdere systemen worden beinvloed (denk aan dns / webservers etc) voordat dit uberhaubt een beetje uit te voeren is. Door gebruik te maken van bv een op rsa defender gebaseerde oplossing ben je al een heel stuk veiliger bezig. DNS spoofing is lang niet zo makkelijk als door sommige mensen word beweerd. Bovendien is het ook zaak om het certificaat te controlleren als eindgebruiker. Verder staat de bank in veel gevallen ook nog garant voor een deel (behalve bij grove nalatigheid van de kant van de klant of andere zaken welke in de gebruikersovereenkomst zijn beschreven).
Internetbankieren, in zijn huidige status, hangt meer van geluk dan van wijsheid aan elkaar.
Daar ben ik het niet mee eens. Uiteraard kan alles gekraakt worden, maar de man in the middle methode is pas geluk hebben. Die man in the middle moet wél precies weten WIE er WANNEER met WELKE bank gaat internetbankieren. Bovendien gebruiken ze allemaal volgens mij HTTPS waardoor mijn verbinding niet ge-hijacked kan worden.

Als dit soort kraken zijn alleen in laboratoriumopstellingen uitgevoerd om het principe aan te tonen. Het daadwerkelijk uitvoeren van een dergelijke hack is zeer ingewikkeld en is naar mijn weten ook nog nooit 'in the wild' uitgevoerd. Het loont ook niet echt, want je moet er ontzettend veel moeite voor doen en je moet geld overmaken naar een eigen rekening om erover te kunnen beschikken. Daarmee maak je jezelf kwetsbaar. En aangezien het hoogst onwaarschijnlijk is dat je met een dergelijke kraak tonnen/miljoenen binnenharkt denk ik dat je niet al te slim bent als je het gaat proberen. En....als je niet slim bent, kun je het niet... ;)

Een jaartje of wat geleden was er ook een zogenaamde hack mogelijk met ABN (dacht ik) telebankieren. Een trojan (die je via email opgestuurd kreeg) paste elke afschrijving aan waardoor alles op de rekening van de hacker kwam. Probleem met deze methode is duidelijk: het werkt hooguit een week. Er is altijd wel iemand die het meteen ziet aan de afschrijvingen en de bank belt. Omdat ook hier alles naar één rekening gaat is de dader snel gevonden. En ook hier is het niet zodanig lucratief dat je in 3 dagen een miljoen binnenhaalt. Dus...niet echt slim. Kun je beter benzinestations gaan beroven. Minder kans om gepakt te worden.

Kortom...a whole bunch of dog-doody,fud, bangmakerij en weetikwat.
en als laatste stelt de bank zich niet verantwoordelijk bij fouten en moet jij als gebruiker dus aantonen dat er iets fout is (net als met de pinpas overigens, jij moet bewijzen dat je correct met de pincode bent omgegaan). Maar toch een paar opmerkingen.

... De afscherming van rekeninggegevens.....

Lijkt er op dat je dus weet hoe de banken hun data beveiligen...

... de calculator....

Triple DES is een 168 Bit code. 64-Bit RC5 heeft 8 jaar geduurd (Distributed.net). 168 Bit kraak jij niet binnen je leven met je P-400, nog niet eens met je P-10.000. Daarnaast is de key uniek per sessie, dus ook al zou je het binnen een dag kraken, dan nog is elke sessie uniek.

... Sessie encryptie....

Die is nog altijd gebaseerd op SSL, en daar drijft de hele Secure Internet community op. Als we SSL niet meer kunnen vertrouwen, wat dan nog wel ?

... DNS...

Tja. Een paar jaar geleden ook al eens iets over in een blad gestaan. DNS Spoofing. Maar moet je als gebruiker niet bij elke SSL Site even het certificaat checken, en de werkelijke URL ? Doen we dat ? niet al te vaak....
Over Triple-DES:

Als je even doorspaart voor een computer die 100.000.000 maal sneller is dan je PII-400: ongeveer 3.200.000.000.000 jaar.

Laat je het even weten als je zover bent?
En waar is de ondersteunende argumentatie die normaal gepaard gaat bij eendergelijk uitspraak?

Want zover ik nu begrijp wil je beweren dat op een andere manier dan het gebruik van brute-force 3DES dus wel te kraken is?
@steve_jacks

Misschien weer terug naar de oude situatie :)
Niet via internet, maar direct inbellen naar de servers van de bank met een aparte applicatie (zoals het oude girotel).
Woah! Easy! Slechtste wat er is? Biometrie is juist het beste voor verificatie (ben jij wie je zegt te zijn?).

Het probleem met de toepassing over internet (in tegenstelling tot voor een deur staan) is dat je het kunt kraken door als 'af te luisteren' en dezelfde info nogmaals te sturen. Dat is een algemeen probleem, of je nou een wachtwoord of biometrie gebruikt.

Je biometrische 'fingerprint' is trouwens wel te veranderen: andere vinger, ander oog. Wel wat minder dan wachtwoorden okay.

Biometrie op zich is dus de beste manier om aanhand van data bekend bij de controlerende kant (deur, server) te kijken of iemand is wie hij zegt te zijn. Alleen de manier waarop deze informatie verstuurd wordt is onveilig. Maar dat is exact hetzelfde met wachtwoorden.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True