Phishers vissen in virusvijver

InfoWorld bericht dat phishers steeds geavanceerdere technieken inzetten om achter de bankgegevens van gebruikers te komen. De nieuwste techniek is geleend van virusschrijvers en maakt gebruik van een bug in ActiveX. Bij het openen van het besmette mailtje wordt ongemerkt het Hosts-bestand aangepast. Hierna is het niet meer mogelijk om op de website van drie Braziliaanse banken te komen; automatisch wordt een nep-site bezocht. Hoewel het risico van JS/QHosts21-A meevalt, voor de bug is al een update beschikbaar en het virus komt niet veel voor, wordt het door experts wel een teken aan de wand genoemd voor wat komen gaat.

Fraude / Geld tellen Phishers maken niet slechts meer gebruik van nep-websites, maar ook van trojans met bijvoorbeeld een keylogger aan boord. Brazilië lijkt het proefgebied voor de oplichters, maar als de technieken aanslaan zal de rest van de wereld niet lang te hoeven wachten. Europese gebruikers van internetbankierenk lopen minder risico dan gebruikers in de rest van de wereld. Waar bij banken in bijvoorbeeld de Verenigde Staten een gebruikersnaam en wachtwoord volstaat om gebruik te maken van internetbankieren, moet bij veel Europese banken nog een tweede code worden ingevoerd, die bijvoorbeeld door een paslezer wordt bepaald.

IT-banen

Reacties (52)

Goofy 5 november 2004 22:08

Waarom gebruiken de Amerikaanse banken dan ook niet zo'n veiligheidssystemen zoals wij die in Europa kennen? Mensen hun online account beveiligen met enkel een username en een wachtwoord is imo ietsje te 'naïef' (kan even niet op een betere beschrijving komen

Johnny @Goofy • 5 november 2004 22:23

Omdat het niet zo makkelijk is.

Voor veel mensen is gebruiksgemak veel belangrijker dan veiligheid, natuurlijk veranderd dat wel nadat hun rekening is geplunderd...

Verwijderd @Goofy • 5 november 2004 22:27

Voordat we met zijn allen te positief gaan worden over het Europese systeem. Bij mijn bank in Denemarken kun je alle betalingen verrichten met een simpele user-code + wachtwoord.....en het ergste: het systeem werkt alleen maar met internet explorer!!.

Kortom deze bank is volstrekt vatbaar voor dit soort aanvallen. Dus ook in Europa is niet alles zo perfect.

.....(en als "buitenlander" heb je niet zo heel veel keus in welke bank je accepteert.)

Ik kan je vertellen dat ik verbaast was toen ik deze implementatie zag. Vooral omdat ik in Nederland de Rabobank gebruik, waarbij er al reserve beveiligings-stappen zichtbaar zijn die op dit moment niet worden gebruikt.

@Johny5 : Om eerlijk te zijn zie ik niet wat er voor de gebruiker zo moeilijk is aan het gebruik van een kaartlezer die gebruik maakt van je chipkaart zoals dat bij de Rabobank word gedaan. Het enige wat je moet onthouden is je pincode....en die heb je toch al nodig. Heeft daarbij als extra beveiliging dat je altijd de chipkaart nodig hebt om betalingen te kunnen uitvoeren.

Mijzelf @Goofy • 5 november 2004 22:55

Waarom gebruiken de Amerikaanse banken dan ook niet zo'n veiligheidssystemen zoals wij die in Europa kennen?

Tja wat wil je. We hebben het hier over de uitvinders van de creditcard.

gabaman @Goofy • 6 november 2004 09:58

Niet alleen amerikaanse banken gebruiken het, in Nederland is Alex een goed voorbeeld. Weliswaar kun je alleen overboeken naar vooraf opgegeven tegenrekeningen. Maar je moet er niet aan denken dat iemand anders met je portefeuille gaat 'spelen' .

Verwijderd @gabaman • 6 november 2004 21:18

Maar gelukkig kun je sinds kort voor ALEX ook de Firefox browser gebruiken. Je bent dan in ieder geval ietsje veiliger dan met IE+ActiveX

CyberArt @Goofy • 7 november 2004 00:04

euhm sorry?
zoals wij kennen?

bij mijn postbank.nl log ik gewoon met username en wachtwoord in hoor!
bij girotel (oude systeem, en voor zakelijk huidige systeem) nog wel extrat codes, maar bij mp.nl niet

Metten @CyberArt • 7 november 2004 16:53

Bij mijnpostbank kan je inderdaad inloggen met gebruikersnaam en wachtwoord, maar transacties moeten bevestigd worden dmv een TAN code. Deze code wordt (gratis) geSMSd door de postbank.

Verwijderd 6 november 2004 12:55

Een van de meest interessante dingen aan dit nieuws (en vergelijkbaar nieuws) is dat veel banken officieel nog steeds alleen IE supporten voor hun internet bankieren.

Ok, er zijn er bij die met andere browsers ook wel werken, maar officieel support is toch meestal niet aanwezig.

Dit maakt mijn vertrouwen in de gemiddelde bank er niet beter op. Natuurlijk kan cash-geld ook gestolen worden, en kwam pinpas-fraude ook voor, maar nu er zoveel mis gaat met electronisch bankieren (waarvan veel technieken op IE gericht zijn) zou je verwachten dat banken toch in een redelijk vroeg stadium stappen ondernemen om alternatieven te ondersteunen om e.e.a. veiliger te maken...

Verwijderd @Verwijderd • 7 november 2004 11:40

hmm geen enkele problemen gehad nog met snsbank en Firefox.
Zou ook niet moeten want net wat ManJarijnissen zij, als ze aan de W3C voldoen dan kan er niets fout zijn in geen enkele browser.

mae-t.net @Verwijderd • 7 november 2004 21:38

Doordat veel webdevelopers verzot zijn op user-side scripting en nog nooit van html forms en server side scripting gehoord hebben, krijg je van die ranzige, veel onderhoud vergende, websites... Dan heb ik het niet alleen over banken. Ik ben uitermate tevreden over het systeem van de rabobank met de digipass, maar heb al een paar keer meegemaakt dat het niet werkte onder Opera... Na de volgende fix (vrij snel, dat moet veel manuren kosten) werkte het weer prima.

Verwijderd @mae-t.net • 8 november 2004 11:08

De rabosite geeft onder firefox regelmatig aan dat de server down is voor onderhoud terwijl hij in IE dan wel werkt.

MLM @Verwijderd • 6 november 2004 23:32

Een van de meest interessante dingen aan dit nieuws (en vergelijkbaar nieuws) is dat veel banken officieel nog steeds alleen IE supporten voor hun internet bankieren.

Je kan de banken niet geheel ongelijk geven, IE wordt immers nog steeds door de meerderheid van de gebruikers van hun systeem gebruikt.

Dat sinds kort ook andere browsers populairder worden (oa. Firefox) is wel leuk en aardig, maar voor een bank kost het waarschijnlijk veel moeite (+ geld) om hun systeem compatibel te maken met die andere browsers.
Zelfs als ze dat zouden doen, dan kost dat toch nog wel heel wat tijd, dus voorlopig moet men met IE telebankieren om support te krijgen. Helaas...

Verwijderd @MLM • 7 november 2004 00:43

Ze hoeven het ook niet specifiek aan Firefox aan te passen, maar ze moeten gewoon zorgen dat het aan de W3C standaarden voldoet. Dan ligt het in ieder geval niet aan jou wanneer het niet werkt in een alternatieve browser.

Verwijderd @MLM • 8 november 2004 11:06

Als je gewoon een duidelijke klacht laat horen bij de rabobank dan dienen ze die serieus te nemen. je moet alleen wel weten hoe je op de juiste plek komt, want aan de balie begrijpen die mensen je niet. ik ben gaan bellen en uiteindelijk op het hoofdkantoor van de Rabo terechtgekomen. men zou er daar in duiken wat de consequenties zijn voor de site om ook mozilla/firefox te ondersteunen. aan de balie gaat namelijk al het licht uit als je het hebt over firefox (huh, wat vuurvos???)

Ik ben dus hoopvol in afwachting van hun reactie

Verwijderd 5 november 2004 22:08

En dan nog zijn er mensen die vinden dat een browser/mail/besturingssysteem integratie geweldig is. Zo blijkt maar weer dat dit niet het geval is.

Ik ben blij dat ik in mijn e-mail cliënt (Mozilla Mail) ALLES heb uitgezet wat automatisch kan worden uitgevoerd. Javascript in mail staat uit. ActiveX wordt zelfs niet eens gebruikt in Mozilla Mail. Alleen in HTML verzonden berichten worden ook als HTML weergegeven... (kan ik dat ook nog uitzetten of die HTML laten strippen? Die instelling vind ik nergens als hij er al is.)

Mail hoort er alleen te zijn voor TEKST, en bijlagen. Automatisch uitvoerbare rommel bij het lezen van een mail hoort er niet in. Executables laten uitvoeren al helemaal niet.

Daarnaast gebruik ik ook nog een virusscanner en een firewall die alle uitgaande verkeer tegenhoudt en daar melding van maakt; alle binnenkomende verkeer wordt standaard al geblokkeerd. De router waarachter deze computer hangt blokkeert ook al genoeg trouwens.

Het moge duidelijk zijn dat ik tot op heden geen last heb van spyware, nooit virussen heb, geen vage mails krijg (alles dat van voor mij onbekende domeinen afkomt betekent dat ik de afzenders niet ken -> autodelete), geen spam krijg (tot nu toe), en een Windows XP installatie draai die al ondertussen bijna een jaar oud is.

Naast het veelgehoorde "alleen een goed stel hersens is nodig" is een goede beveiliging óók nodig. Als je geen virusscanner draait, kun je toch virussen oplopen. Via mijn schoolnetwerk krijg ik nogal eens geïnfecteerde bijlagen (ja, ook van docenten, de virusscanners bij ons op school zijn niet alles), maar mijn eigen scanner filtert dat eruit.

Geen beveiliging -> problemen. Misschien zelfs het verlies van véél geld.

Zarc.oh @Verwijderd • 6 november 2004 10:34

k ben blij dat ik in mijn e-mail cliënt (Mozilla Mail) ALLES heb uitgezet wat automatisch kan worden uitgevoerd. Javascript in mail staat uit. ActiveX wordt zelfs niet eens gebruikt in Mozilla Mail. Alleen in HTML verzonden berichten worden ook als HTML weergegeven... (kan ik dat ook nog uitzetten of die HTML laten strippen? Die instelling vind ik nergens als hij er al is.)

In Thunderbird:
View - Messagebody as:
- Original HTML
- Simple HTML
- Plain text

In Mozilla Mail zou ik niet weten, gebruik het al niet meer sinds Phoenix en Thunderbird uitkwamen

Ik heb een RFE voor Thunderbird ingediend om verschillende security zones in the bouwen in Thunderbird (en Mozilla Mail natuurlijk), maar er is nog helemaal niet op gereageerd. Ze hebben het vast erg druk en ik kan (nog) geen XUL programmeren. Iemand hier op Tweakers die in XUL kan programmeren en zin heeft om dit te maken?

Bilbo827 5 november 2004 22:04

Het moet niet gekker worden. Ik ben benieuwd naar de reactie van de banken. Ik heb al diverse dingen horen roepen, in het verleden, van ons systeem is niet te kraken. Met andere woorden als het dan toch mis gaat dan is de klant zelf verantwoordelijk voor de ellende. Ik hoop deze keer op een goed antwoord, waar wij, de klanten, wel wat aan hebben

tweakerbee @Bilbo827 • 5 november 2004 22:59

Met het challenge-response systeem van de Rabobank kan een keylogger niet zoveel uithalen. Dan kun je hooguit een man-in-the-middle attack uitvoeren, maar ook die is praktisch niet te doen omdat de codes bij het overschrijven naar een andere bankrekening veranderen.

Je zou dan een aantal dingen aan moeten passen: bankrekeningnummer waar het heengaat, dus wat er naar de bank verzonden wordt, maar tegelijkertijd het 'goede' rekeningnummer op de website laten zien. Theoretisch allemaal mogelijk, maar echt makkelijk is het niet. Een ruitje inslaan en er met de autosleutels vandoor gaan is makkelijker.

D-Three @tweakerbee • 7 november 2004 11:52

Een ruitje inslaan en er met de autosleutels vandoor gaan is makkelijker.

Maar dat brengt dan ook minder op! Om veel meer te kunnen "verdienen", zullen ze ook wel wat meer moeite doen!

Olaf van der Spek @tweakerbee • 6 november 2004 01:54

Theoretisch allemaal mogelijk, maar echt makkelijk is het niet.

Ik zou liever niet op zo'n beveiliging vertrouwen.

Verwijderd @Bilbo827 • 6 november 2004 19:57

Ik denk dat de banken in deze gevallen de vernatwoordelijk af zullen schuiven. Immers, hun systeem is niet \\\\\\\'gekraakt\\\\\\\' bij een geval van phissing. Ze kunnen ook niet verantwoordelijk gehouden worden als je pin pas en code afhandig gemaakt worden.

Misschien moet internetbankieren toch maar niet via de browser plaatsvinden, of moeten er speciale plugins geschreven worden die alleen kunnen communiceren met de echte banksite. Wat ook misschien zou kunnen is de klanten laten browsen naar het ip adres, maar dat staat niet zo netjes. Ik verwacht als reactie een technologische oplossing.

MewBie 6 november 2004 02:06

gewoon je host file read only maken, of krijg je dan weer andere problemen?

hellbringer @MewBie • 6 november 2004 12:58

Goh, je host file read only maken, daar schikt een virus ook echt van.

Dan wordt er gewoon een variant van het virus gemaakt die eerst je ff hostfile niet meer read only maakt.
(Kan met standaard windows commando:
attrib -R C:\WINDOWS\system32\drivers\etc\hosts)

Verwijderd @hellbringer • 7 november 2004 12:52

Filesecurity.... Niet als admin draaien....

Verwijderd 5 november 2004 22:05

Ben ik even blij dat ik
A) Thunderbird gebruik (geen ActiveX) ondersteuning;

Banksoftware op een computer draai die niet het internet op kan.

pinockio @Verwijderd • 5 november 2004 22:10

En hoe wil je dan INTERNETbankieren?
Veel mensen vinden dat erg handig. En het is ook veilig, mits het gebeurt zoals de Europese banken het doen.

BikkelZ @pinockio • 5 november 2004 22:30

Er is ook zogenaamde off-line banksoftware, die direct inbelt bij de bankcomputer om gegevens uit te wisselen.

Wolfboy @BikkelZ • 5 november 2004 23:40

Dan is het nog geen internetbankieren hoor, dat heet telebankieren.

Sowieso denk ik niet dat het veel effect heeft met systemen zoals de abn-armo bank en de rabobank hebben (andere misschien ook maar die ken ik niet)
Daarbij is het zo dat je elke keer andere codes nodig hebt en de pincode niet via internet verstuurd word dus op die manier is het eigenlijk onmogelijk om iets er mee uit te halen.
Ze zouden misschien met een MITM attack wel een storting kunnen toevoegen maar het verzenden vereist nogsteeds verificatie van de gebruiker.
Daarom dus eigenlijk wel onmogelijk, dan is bedrijven chanteren makkelijker

tweakerbee @Verwijderd • 5 november 2004 23:00

Ach, als jij je daarbij veilig voelt moet je het gewoon zo doen. Zelf gooi ik lekker alles door elkaar: intranet, internet, beetje internetbankieren etc.

Risico is toch voor de banken, tenzij zij precies aankunnen tonen dat jij de fout hebt gemaakt.

Titusvh @tweakerbee • 5 november 2004 23:55

De banken vinden dat als iemand anders met jou gegevens inlogt, ze al hebben aangetoond dat je onzorgvuldig met je logingegevens bent geweest...

Of ze hier mee wegkomen als mensen er een zaak van maken is een tweede. Maar proberen zullen ze het zeker.

Padje @tweakerbee • 6 november 2004 21:47

Zeker nooit de kleine lettertjes gelezen?
Zal ik maar doen voor je het weten kom je nog een voor verassingen te staan in het leven...

Aansprakelijkheid Cliënt

Artikel 9
De Cliënt is aansprakelijk voor de gevolgen van alle gebruik van de Bankdienst(en) dat heeft plaatsgevonden tot het moment waarop de Cliënt een melding overeenkomstig artikel 5 sub d. van de Voorwaarden bij het door de Bank aangegeven meldpunt heeft gedaan. Voor door de Bank na het moment van de melding ontvangen Opdracht welke niet afkomstig is van de Cliënt is de Cliënt niet aansprakelijk voor zover de Cliënt heeft voldaan aan de Voorwaarde, Handleiding en instructies van de Bank.

Aansprakelijkheid Bank

Artikel 10
a. Behoudens opzet of grove schuld is de Bank is niet aansprakelijk voor schade, die direct of indirect voortvloeit uit:

- het geheel of (gedeeltelijk) niet beschikbaar zijn van de Bankdienst(en) dan wel wijzigingen, opschorting en/of beëindiging van één of meer Bankdiensten;
- het niet of niet tijdig uitvoeren van een Opdracht;
- verminking, niet ontvangen alsmede onbevoegde kennisneming of wijziging van een Opdracht;
- Onvolledigheid of onjuistheid van via de Bankdienst(en) tussen de Bank en de Cliënt gecommuniceerde gegevens;
- fouten gemaakt bij de instal-latie of het testen van de door de Cliënt te gebruiken Bankdienst(en)
- gebruik of misbruik van de Bankdienst(en) door de Cliënt of derden
- het niet of gebrekkig functioneren van een Communicatiemiddel, Smartcard, Kaartlezer en of de bijgeleverde programmatuur, dan wel de in artikel 3 bedoelde apparatuur .

b. Niet tegenstaande artikel 10 sub a., is de Bank is uitsluitend aansprakelijk voor directe schade. De Bank is nimmer aansprakelijk voor indirecte schade, gevolgschade en/of voor gederfde winst.

c. De Bank behoudt zich het recht voor de verstrekte en/of geraadpleegde gegevens te wijzigen indien en voor zover deze naar het oordeel van de Bank onjuist of onvolledig mochten blijken te zijn.

d. Uitsluitend de boekhouding van de Bank, zoals die blijkt uit door de Bank aan de Cliënt gezonden afschriften, strekt – behoudens tegenbewijs – tot volledig bewijs. Aan de door de Bankdienst(en) verstrekte gegevens kan door de Cliënt geen bewijs worden ontleend.

e. De Bank is bevoegd om de toegang tot de Bankdienst(en) te blokkeren indien zij weet of vermoedt dat onbevoegd gebruik en/of misbruik van de Bankdienst(en) kan worden gemaakt. De Bank stelt de Cliënt hiervan zo spoedig mogelijk op de hoogte.

troje 5 november 2004 22:10

Waar bij banken in bijvoorbeeld de Verenigde Staten een gebruikersnaam en wachtwoord volstaat om gebruik te maken van internetbankieren, moet bij veel Europese banken nog een tweede code worden ingevoerd, die bijvoorbeeld door een paslezer wordt bepaald.

Ook bij de postbank is het mogelijk om met alleen een username en wachtwoord in te loggen, dus dit is niet alleen beperkt tot de banken in de Verenigde Staten.

De hacker kan dan veel doen, maar geld overmaken is alsnog erg moeilijk omdat voor elke transaktie een unieke code benodigd is die naar je (bij de bank bekende) mobiele telefoon wordt verstuurd als SMS bericht.

Eddey910 @troje • 5 november 2004 22:14

Ook bij de postbank is het mogelijk om met alleen een username en wachtwoord in te loggen, dus dit is niet alleen beperkt tot de banken in de Verenigde Staten.

Bij de ASN Bank is dat ook zo. Dat is de enige beveiliging. Maar dat is een spaarrekening met een vaste tegenrekening. Dus ze kunnen het geld hooguit naar m'n betaalrekening overmaken. En díe (Rabo) is dan weer met zo'n paslezer beveiligd...

Bovendien werk ik met Firefox, up to date virusscanner en firewall, dus ik maak me geen zorgen.

Truus @troje • 5 november 2004 22:19

Of je hebt van tevoren al honderd codes op papier toegestuurd gekregen

Het vervelende aan MijnPostbank is dat ze je eventueel wél enorm kunnen gaan treiteren door al je geld van je girorekening naar je spaarrekening over te schrijven waardoor je (automatische) betalingen in de soep lopen en je misschien wel bij de kassa staat en je boodschappen niet kunt betalen

. Lijkt me ook niet fijn. Okee, het is totaal nutteloos om zoiets te doen, maar dat zijn veel virussen ook.

Goofy @Truus • 5 november 2004 22:30

Lijkt me ook niet fijn. Okee, het is totaal nutteloos om zoiets te doen, maar dat zijn veel virussen ook.

Virusschrijvers zullen zich gewoon amuseren door (al dan niet nutteloze) virussen te schrijven, maar het aantal mensen dat voor de lol moeite gaat doen om jou eigen bankrekeningen door elkaar te gooien is volgens mij kleiner. Dus zou ik me over zoiets nog niet te veel zorgen maken

Interstice 6 november 2004 10:52

lol een virus dat iedere euro op een spaarrekening los overboekt naar de tegenrekening

dan krijg je een leuk stapeltje bankafschriften aan het einde van de maand :

SkyFlyer

@Interstice • 6 november 2004 18:11

Zou bij mij niet zo'n grote stapel worden hoor... misschien 2 velletjes...

Verwijderd 6 november 2004 00:48

Iets zegt me dat geheime diensten zulke trojans ook helemaal niet erg vinden.
Maar als je alleen met user/wachtwoord in hoef te loggen is misschien een goede telescoop en gluren naar een flat aan de overkant ook goed te doen.
Dan lijken me biometrische beveiligingen me wel een stukje fijner. Hopelijk dat de europeese banken hier kritisch naar blijven kijken en op tijd pro-aktief aan de slag gaan.

Verwijderd 6 november 2004 02:35

had de rabobank dan niet ook die digipass in gebruik??

da's toch een systeem dat je verplicht om een extern instrument te gebruiken dat met zijn eigen randomizer (en dus eigen key generator) een digitaal paswoord aan te maken dat zowel in de centrale (die jouw digipass en bijhorende code kent) als je digipass bekend is en tijdsafhankelijk is??

da's toch wat anders dan inloggen met username en paswoord en dan geld pompen...

Fortis heeft naar mijn weten al heel wat moeite geinvesteerd in het beveiligen van transacties over het internet, en ze zijn niet de enigen. als je enkel vertrouwt op de goede wil van je gebruikers dan ben je volgens mij een redelijk naief, zeker als bank...

_JGC_ @Verwijderd • 6 november 2004 15:20

Rabobank is afgestapt van het digipass systeem, omdat ze samen met de ABN een ander systeem in gebruik hebben genomen: de Random Reader.

De digipass was een rekenmachine met een eigen PIN code en een eigen gebruikersnummer. Gebruikersnummer invullen op site, 5 cijferige PIN op apparaatje en dan inloggen met je code uit dat apparaatje.

Ik heb er ongeveer 2 jaar mee gewerkt, en ik vond het super irritant, omdat ik nu 4 dingen moest onthouden:
- bankrekeningnummer
- PIN code
- digipass gebruikersnummer
- digipass PIN

Verder als je je digipass kwijt was of kapot ging, had je een probleem, want dat ding was aan je gebruikersnummer gebonden.

Het nieuwe systeem is gewoon een stuk simpeler: je pin pas is de sleutel. Je hebt een random reader, daar stop je je pas in, PIN code erin, vervolgens met rekeningnummer en de code van je random reader invullen.
Random reader stuk of kwijt? gewoon nieuwe halen of die van een vriend gebruiken. Nix geen geflikker meer met extra gebruikersnummers en extra pin codes, gewoon de dingen gebruiken die je eerst ook al had.

Op dit item kan niet meer gereageerd worden.

Phishers vissen in virusvijver

Lees meer

IT-banen

Reacties (52)

Sorteer op:

Weergave: