Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 159 reacties
Bron: Cnet News

Er is een nieuw type trojan opgedoken, dat geheel automatisch de bankrekening plundert van mensen die via internet bankieren. Internetbankieren is al langer het doelwit van trojans, maar daarbij werden tot dusver alleen de inlogcodes onderschept en verstuurd naar een ander systeem. De fraudeur gebruikte vervolgens deze codes om zich toegang tot het saldo van het slachtoffer te verschaffen. Bij de nieuwe trojans is dit proces geheel geautomatiseerd. Wanneer het slachtoffer heeft ingelogd op de banksite, verstuurt de trojan stiekem een opdracht om een geldbedrag over te schrijven naar een rekening van de fraudeur. Het maakt hierbij niet uit hoe geavanceerd de loginprocedure is: zo gauw het slachtoffer toegang heeft gekregen slaat de trojan zijn slag.

HackerVoor deze nieuwe manier van aanvallen moet de trojan specifiek geprogrammeerd zijn voor een bepaalde banksite. Veel reden tot gerustheid is dit niet, want de hackers programmeren er voortdurend nieuwe sites bij. Het kwaadaardige programma komt meestal aan in de vorm van een e-mail met daarin een onschuldig uitziende link, bijvoorbeeld naar een elektronische groet. Wanneer de gebruiker er op klikt wordt het programma gedownload, dat zich vervolgens installeert op de computer en wacht tot de gebruiker gaat internetbankieren. Waar de virus- en trojanschrijvers er vroeger op uit waren om te laten zien dat ze de technologie de baas waren, gaat het tegenwoordig vooral om geld. Een elektronische bankroof heeft voor de crimineel vele voordelen boven een fysieke. Hierbij loopt hij geen risico op lichamelijk letsel en de kans op arrestatie is veel kleiner. Om het vertrouwen van de gebruikers in internetbankieren te behouden zullen de banken ook tegen deze nieuwe aanval een verdediging moeten opwerpen.

DC++ met trojan horse

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (159)

1 2 3 ... 8
Nee, de nederlandse banksites zijn hier niet tegen beveiligd. Dit komt omdat de transactie en visuele feedback naar de gebruiker allemaal client side worden geprocessed (dit staat los van pincodes etc). Daar dit client side is, kan dit alles voor de gebruiker worden verdraaid. Dit betekend dat een klant denkt dat hij 1 opdracht verstuurd (en visueel voor zijn kiezen krijgt) terwijl onderwater heel wat anders gebeurd.
De postbank verstuurt een SMS met het totaalbedrag, dat is toch echt niet clientside. Dan kan een hackers je alleen misleiden door je bestaande opdrachten te verminderen en een eigen opdracht voor dat bedrag toe te voegen. Anders zie je dat het totaalbedrag niet overeenkomt.
Gelukkig werkt dit niet bij ABN-AMRO waar je een opdracht alleen kan versturen als je met de E-Identifier een antwoord-code doet met behulp van je pinpas.
Tenzij deze dus een hidden opdracht doet. Je zult dus heel goed moeten opletten hoeveel opdrachten er in de wachtrij staan en hoeveel je er kan tellen.
Ik niet want ik bankier alleen met Knoppix.
Ik snap niet waarom de opmerking van witte papoea met 'grappig' beoordeeld is, ik ken mensen die praktisch altijd windows gebruiken maar voor telebankieren even knoppix booten.
Je laat geen sporen na en bent immuun voor dit soort trojans.

Op het moment ben je als linuxgebruiker (zoals ik) in elk geval niet in gevaar als het om deze trojans gaat, vandaar dat ik niet via knoppix telebankier.
Maar het is voor de modale gebruiker waarschijnlijk wel de gemakkelijkste manier om veilig te telebankieren.
Ik alleen met m'n hoedje van aluminiumfolie.
Kun je dan niet beter even vmware player draaien. Hoef je niet te rebooten en zo. Gaat een stukje sneller.
Ik heb voor mijn vrouw de VMplayer met een gestripte Ubuntu image geinstalleerd op haar computer, en het enige waar die image voor gebruikt word is dus internet bankieren. Hoef je niet te rebooten en ze kan "lekker" door gaan met dat eindeloze gekmakende getik op MSN chat...zonder de gratis VMplayer hadden we nu nog niet onze geldzaken beheerd via internet.
bij de postbank krijg je een sms met een tan code, in deze sms staat ook het totaal bedrag vermeld van de overschrijvingen. Als deze dus afwijkt, is het opletten geblazen.

Overigens vind ik dat men keihard moet optreden tegen dit soort fraudeurs/hackers/hoe je ze noemen wilt. Deze mensen zorgen voor een enorm onveiligheidsgevoel.
Tevens vraagt de postbank om een random TAN-code, deze worden niet meer op volgorde gevraagd
Het lijkt mij dat je het ziet als er te veel tussen staat, en als hij een aparte verbinding maakt hoort daar ook een aparte code bij, dit lijkt mij dus alleen van toepassing op hen die niet opletten (hoop ik)
Als jij al een aantal opdrachten in de wachtrij hebt staan dan hoeft die trojan alleen nog maar af te wachten totdat jij die opdrachten doorvoert. Als de opdracht dan niet in het lijstje voorkomt met uit te voeren opdrachten en je hebt niet opgelet hoeveel er daadwerkelijk in de wachtrij staan en je ziet (al is dat ook niet zo moeilijk aan te passen) er een minder kun je dus beter maar even voorzichtig zijn.
Als jij al een aantal opdrachten in de wachtrij hebt staan dan hoeft die trojan alleen nog maar af te wachten totdat jij die opdrachten doorvoert.
Al is een trojan slim genoeg om een ander bedrag naar een andere rekening sturen dan degene die je in de verzendlijst hebt geplaats, bij een volgende check van de transactielijst is het gelijk duidelijk als er wat aan de hand is.

Tenzij.. de trojan dat ook faket, en dat doet over verschillende bezoeken, verschillende (besmette) computers d.m.v. een online database etc., maar eerlijk gezegd verwacht ik niet dat dit massaal het geval zal zijn. Je kunt altijd nog vanaf een veilige of vers geïnstalleerde machine checken.

Hoe dan ook zullen banken dit gewoon in de bedrijfskosten op moeten nemen, net als bij credit cards. Zo lang de fraude een klein percentage blijft en ze geld aan blijven verdienen is er niets aan de hand.
Als het een significant bedrag is valt het echt wel op. En bij bedragen boven de 1500 euro wordt er automatisch een extra check gedaan die je alleen met dat ABNAMRO pincode generatortje kunt uitvoeren. Dus dat lukt zeker niet ongemerkt.
Het zijn er maximaal 10 (ofzo) en je kunt ze dus gewoon op 1 scherm zien.
Waarschijnlijk onderschept de trojan het hele proces en laat jou de ingevoerde dingen op het scherm zien.
Maar achterlangs doet hij heel wat anders met de bank zelf.
Dus jij ziet je bedragen wel kloppend op het scherm.
Maar de bank ontvangt hele andere opdrachten met de juiste codes ...
vroeger hadden ze daar ook iets op: ze haalden uit de rekeningnummers en bedragen wat willekeurige cijfers, die je moest overtikken. Met pijltjes waar de cijfers vandaan kwamen. Dat is een jaar geleden weggehaald. Helaas, want dat had hiertegen kunnen beschermen...

En leg mij eens uit hoe ik een overschrijving kan doen zónder mijn e.dentifier. Die heb ik tot nu toe altijd nodig gehad, ook bij overschrijvingen van 1 euro...
iets met een spuit enzo, mod maar weg :9
man in the middle attack.

-Je "logged in", de trojan wordt actief en logt in voor jou, waarna hij de eidentifier code's van je vraagt. Je ziet gewoon de abn site dus je denkt dat er niets aan de hand is.

-Zodra je een opdracht wil gaan uitvoeren maakt de trojan een andere opdracht aan naar een ander rekening nummer. Schotelt jou ondertussen met de abn-kloon site waarop jouw opdracht verschijnt.

-Zodra jij je eigen opdracht wil uitvoeren, vraagt de trojan om een challenge voor zijn opdracht. Stuurt deze door naar jou. Jij voert de challenge in op je eidentifier. vult het in, en de trojan heeft dan de code om zijn opdracht uit te voeren.

Eidentifier helemaal uitgeschakelt, vrij makkelijk te implementeren en ook de reden waarvoor ik eigenlijk geen internet bankieren wil gebruiken.
Ja precies, mits iemand echt heel slim zo'n trojan programmeert dan is het mogelijk. Zal wel redelijk extreem veel werk zijn om inderdaad een 'valse' https-site op die manier voor te schotelen!

Gewoon je systeem schoon houden en dus niet op allerlei enge warez-sites zitten, virusscanner up-to-date houden en bedacht zijn op vage gebeurtenissen op je pc.

Helaas zullen leken aan geen enkele van bovenstaande punten voldoen, tja :+
Maar het is extreem weinig werk om een browser plugin te maken die tussen de HTML engine en de SSL module van internet explorer kruipt.
Dit is al gedaan, en kan makkelijk opnieuw.

Maar zelfs dat is niet nodig, als je een soort GreaseMonkey voor internet explorer maakt, die z'n scrippies van een attacker server downloadt, kan je ook de complete output filteren zonder een MITM uit te voeren.
kan je ook de complete output filteren zonder een MITM uit te voeren.
Dat IS een man in the middle attack.
Bij een overschrijving bestaat de challenge code uit het rekeningnummer waar naar je geld gaat overmaken. Dus je hebt (als het goed is) dus door dat het rekeningnummer anders is dan wat je hebt ingevuld.

Oplettende gebruikers zijn dus niet vatbaar voor MITM attacks, maar er zal een behoorlijk deel gebruikers zijn dat er niet op let en die kunnen er dus mogelijk wel intrappen.
Dat geldt alleen voor het overschrijven van grote bedragen dan wel het in het adresboek zetten van een nummer (ABN-AMRO).
Als er een hele lijst met overschrijvingen klaar staat wordt er maar een keer een challenge-response gedaan.
Weet niet hoe die challenge-response precies werkt, maar je ziet daar in iedergeval het rekening nummer niet in terug, en het is ook zeker mogelijk voor een kwaadwillende plugin om specifieke data uit je webpaginas te filteren zonder dat je dat niet merkt.

Dit is, imo, echt een heel groot probleem.
Dus je hebt (als het goed is) dus door dat het rekeningnummer anders is dan wat je hebt ingevuld.
Ik vertrouw er liever niet op dan zo'n uiterst zwakke schakel voldoende is voor beveiliging.
wat je beschrijft is allemaal wel erg simpel gesteld.

Ik heb zelf geen idee hoe de communicatie tussen de https site precies werkt waar er zal best een stuke encryptie bijzitten.

Tevens als je zo'n trojan maakt met die functionaliteit dan word het een aardig programmatje wat wel op moet vallen.

en dan nog : Denk je dat ze zoveel moeite gaan doen om zoiets te maken voor het aantal mensen wat er enkel in nederland gebruik van maakt ? Dan gebruiken ze liever hun tijd aan de simpelere dingen zoals de eenvoudige login codes/passwords die in de USA gebruikt worden.

Als je echt gelooft dat wat jij beschrijft gaat of kan gebeuren denk ik dat je te paranoid bent om uberhaubt op het internet te komen.
De gemiddelde computeraar heeft al 120 MB aan geheugenruimte aan spyware(beetje lomp gesteld natuurlijk), de functionaliteit valt best mee. Wat in principe nodig is is een eigen webservertje met SSL ondersteuning. Requests naar (stel) abnamro.nl sluis je door naar je webservertje, en die is proxy maar faked er een aantal dingetjes bij. Kan met een 5 mb geheugengebruik en een programma van ongeveer evengroot.
Tenzij het zo is dat de code die identifier genereert afhankelijk is van de gegevens waarmee je bankiert. Dus rekeningnummer van jezelf, bedrag en rekeningnummer van de ander op 1 of de andere manier verwerkt in de code die je in moet toetsen.
(Geen idee of dit goed mogelijk is, maar zo zou je deze stap kunnen voorkomen lijkt me)
als je inlogt bij de Postbank, zie je altijd je saldo, een lijst van meest recente mutaties en persoonlijke gegevens. hoe moet een nagabouwde site aan deze gegevens komen?
NAW gegevens kunnen ze misschien via-via aankomen en koppelen aan mijn e-mail adres (waar ik dan een trojan e-mail op zou moeten ontvangen). maar ik weet altijd ongeveer mijn saldo, en mijn mutaties zijn vaak wel herkenbaar. dat kunnen ze niet weten.
maar goed, het blijft dus wel je eigen alertheid.
Bij de abnamro moet je een rekeningnummer wat níét uit je adresboek komt altijd bevestigen met een challenge/response. Dat gebeurt pér overboeking, pér 'vreemd' rekeningnummer. Een stiekeme overboeking naar een nieuw rekeningnummer zal op die manier via abn dus niet lukken, of de gebruiker moet écht niet opletten en gewoon niet lezen wat er staat (want de abn beschrijft uitvoerig wáárom je die extra challenge/response moet uitvoeren). imo heeft de abn z'n applicatie netjes dichtgetimmerd. :D
Nee, helaas dat is enkel als je een rekening nummer toe wilt voegen aan je adresboek. Je hebt verder geen challenge/response nodig om een onbekend rekening nummer in te vullen. Toch snap ik nog niet helemaal de ophef. Na het inloggen zou het beestje beginnen met het maken van een transactie. Als je oplet dan zie je deze er direct tussen staan. Ja, en je moet opletten bij ABN/AMRO telebankieren.. immers als jij een fout bankrekening nummer invoert wat bestaat dan ben je je geld ook kwijt en kan je het geeneens terugvorden. *zie AV*. Wat betreft de man-in-the-middle-attack zou dit alleen kunnen werken als de trojan de challenge code die ABN/AMRO verstuurd onderschept en deze op zijn beurt aan jouw voorlegt en de response vraagt. Dit kan mijn inziens dan weer eenvoudig verholpen worden door de challenge-code niet in plain tekst te vragen (ook al is het SSL) maar door de challenge-code grafisch te genereren. Knappe trojan die dat uit kan lezen!
Op het moment dat de code grafisch verstuurd wordt, dan zal de trojan zelf het plaatje ophalen en doorsluizen naar de gebruiker. Zo omzeil je dit ook.
Het wordt dus tijd voor het feit dat je nou ook eens telefonisch kan gaan controleren hoeveel opdrachten er te wachten staan. Of een soort controle systeem dat werkt op de hoeveelheid opdrachten.

Zeg maar dat jij er 5 gemaakt heb, het systeem tel er 6. Jij voert echter de code in die bij 5 geverifieerde opdrachten hoort en de site zegt dat het niet goed is. Dat zou mijn inziens toch een juiste controle bovenop een controle kunnen zijn.

Of inmiddels de verbeterde barcodes gaan gebruiken die enorm sterk encrypted zijn en enkel met je persoonlijk reader correct kan worden uitgelezen. Als controle bovenop een controle.

Het systeem gaat na of alle bankgegevens kloppen, zet de opdrachten naast elkaar in het gecodeerd bericht wat jij enkel en alleen jij kan uitlezen, middels de barcode. Lijkt mij dat je op deze manier vrij weinig tot vrijwel geen last kan hebben van trojans. Als de controle uiteindelijk extern aan de computer geverifieerd moet worden.

OF denk ik nu te vrij en te technisch onnozel.
En wat nou als die trojan één van de kleinste echte betalingen er uit gooit om plaats te maken? Heb je er weer 5 en denk je dat alles in orde is. Pas als de kleinste rekening een aanmaning stuurt ga je je achter het oor krabben. Je rekening is dan al leeg.
Afhankelijk van de geldigheidsduur van die code kan een trojan er toch in slagen om ongemerkt een transactie te versturen, zonder dat je het door hebt. Trojan makers, let op :P

Wacht met het versturen van je transactie, totdat de gebruiker het scherm voor zijn neus krijgt met de te versturen transacties en de vraag met de invoer van de bevestigingscode. Stuur daarna onderwater je illegale transactie.

De gebruiker stuurt de code terug naar de server en deze gaat de transactie (+ de illegale) uitvoeren. Klaar is kees.

Hoe dit te voorkomen. Let op ontwikkelaars bij de ABN :P.
Zorg dat de geldigheid van een verstuurde code eindigt op het moment dat er een nieuwe transactie wordt toegevoegd. Zodra de gebruiker zijn code terug stuurt, dan is deze niet meer geldig en krijgt hij de huidige lijst met transacties (inclusief de illegale) op zijn scherm.
wtf lezen jullie niet, of snap ik iets niet :?

[kwoot]Het maakt hierbij niet uit hoe geavanceerd de loginprocedure is: zo gauw het slachtoffer toegang heeft gekregen slaat de trojan zijn slag.
[/kwoot]
Ik denk dat er voor de gewone consument wel goed omheen te komen is. Gewoon even goed opletten wanneer je een betaling gaat valideren. Volgens mij krijg je bij alle systemen een samenvatting te zien van de betalinge ndie je gaat verrichten na het invoeren van de code. Als je per keer 1 a 2 betalingen doet gaat dat wel opvallen als er opeens iets tussen staat.

Echt lastig wordt het pas bij bedrijven die electronisch betalen. Een beetje handelsbedrijf verricht tientallen tot honderden betalingen per keer. Die worden vanuit een boekhoudprogramma gegenereerd en daarna overgepompt naar het online systeem. Als er dan opeens eentje tussen sluipt is het een stuk lastiger om die er tussenuit te pikken.
Zo'n fraudeur zal vaak meteen voor de jackpot gaan en niet in orde van 10-100 euro's denken, als er dus ineens een overschrijving van x000 euro tussen zit, moet dat wel opvallen lijkt me.
En naar welke rekening wordt dat geld overgemaakt?
En van wie is die rekening?
Internationaal opsporen van dergelijke criminelen moet gewoon een prio worden. Net als al die SPAM die uit Rusland en andere shoopie-woepie landen wordt verstuurd.
wordt overgemaakt naar een rekening op chili ofzo, die op naam staat van een persoon met een vals adres en de meest voorkomende achternaam aldaar heeft.
Veel succces met zoeken dan.
Dat denk ik dus juist niet. Veel kleine overschrijvingen zijn veel minder opvallend dan één grote, en zullen dus minder snel ontdekt worden.
net als in "office space" :D
Gewoon alles optellen van het programma en controleren met het totaal over te schrijven bedrag. De twee waardes kun je toch gewoon vergelijken?
Ik geloof dat de meesten hier deze criminelen nogal onderschatten.

Als je in staat bent dit soort Trojans te schrijven, dan is het ook niet zo lastig voor je om de betreffende transactie niet te laten weergeven door de browser.

Dit houdt dus in dat 'externe verificatie' (zoals SMS) benodigd is om dit op het spoor te komen.

In de meeste gevallen zal het afgeschreven bedrag niet supergroot zijn - dit valt te zeer op namelijk. Opvallen is het laatste dat je wil als crimineel.

We zien in USA vaker 'runs' voorbij komen waarbij er van tig accounts $9.95 afgeschreven wordt. De meeste slachtoffers valt dit nog geeneens op.
zijn ze bij ons Nederlanders aan het verkeerde adres, denk dat hier het wel 75% opvalt. :Y)
Hoe een https site werkt:

Een dergelijke site werkt met een certificate.
Een certificate wordt bijvoorbeeld gemaakt en (offline) opgeslagen bij bedrijven als Tawte, Verisign, etc.

Dit uitgegeven certificate bestaat uit twee delen.
Een private en een public deel.

Jij krijgt als afnemer/koper van het certificate beide. Verisign houdt zelf een kopie van t public deel.

Het certificate wat je hebt gekregen installeer je op je website/server.
Zodra iemand contact met deze server ontvangt deze persoon de public key. Dit deel is gesigned door de uitgever. De signature wordt gematched met de lokaal geinstalleerde informatie over de uitgevers en op basis daarvan wordt er gecontroleerd of het ontvangen public key deel echt is.

De client zal vervolgens dmv https icm met de public key alle informatie versleuteld versturen naar de website.
Alle informatie versleuteld met deze public key kan alleen met de private key worden decrypt.

Zo is deze informatie veilig.

De MITM attack kan op deze manier niet zelf in het midden gaan zitten en doen alsof hij de webserver is, want:
- Hij moet de informatie van de webserver doorgeven aan jou zondat jou computer kan controleren of het certificaat echt is.
- Hij kan zich niet voordoen als uitgever van het certificaat want de referentie van de uitgever staat op jou computer geinstalleerd.
- Zodra de computer controleert bij de uitgever of de signature afkomstig is en vervolgens blijkt dat dat niet het geval is dan wordt de sessie verbroken.

De enige 'oplossing' voor de hacker in dat geval is om op je computer een nieuwe certificaatsignature te installeren.
Maar zodra dat het geval is dan is dat al meer moeite dan gewoon via je computer 'mee te liften' naar de website toe en mee te kijken.
Goed fijn, oke we weten nu wat HTTPS is, bedankt. Heb je al even naar de reacties hierboven gekeken?

Dat de Trojan andere dingen op het scherm toont dan de HTML die Internet Explorer binnen heeft gekregen? IE is zo lek als wat, dus door een eigen plugin te schrijven kun je heel wat bereiken!
Als de extra opdracht word toegevoegd NADAT jij de opdrachten bevestigd hebt (dus dat je net niet ziet dat je hem gaat bevestigen, maar hij al wel in de wachtrij staat) zou het best kunnen dat je zonder het te weten veel geld overschrijft. Ik hoop dat de banken hier iets tegen gaan doen (dat gaat volgens mij heel makkelijk, want ze kunnen het geld gewoon terughalen van de rekening waar het heen is gegaan en wijgeren over te schrijven naar banken waar dit niet kan).
Dat kan niet bij de banken die met zo'n "rekenmachine" werken. De in te voeren verificatiecode is namelijk afhankelijk van het aantal transacties en het totaalbedrag.

Stuur jij nu verificatiecode 12345 op en de trojan verstuurt dan stiekem zijn transactie erbij, zal die code niet meer kloppen, maar 23456 moeten zijn.

Op die manier kun je alleen transacties goedkeuren die je ook in je overzicht kan zien en geen andere.
Maar als die trojan wel de goede code laat zien, maar zijn eigen opdracht van het scherm haalt? Dan ben je alsnog de pisang.
Dan zie je nog steeds een veranderd totaalbedrag in je tancode SMS.

Maar er zijn ook mensen die tancodes op zo'n velletje papier hebben staan. Die lopen wél gevaar, want daar is de tancode niet afhankelijk van een bedrag of aantal transacties.
hmm... en wat dan als de trojan de reeds bestaande opdrachten wijzigt... het aantal opdrachten blijft gelijk... totaal bedrag ook... alleen de ontvanger wordt gewijzigd...
Klopt en daarbij staat in de sms met je code ook nog eens het totaal bedrag van de overboeking die je gaat doen

Dubbel checken kan dus nooit kwaad
Dit zal toch nooit werken bij de postbank & rabobank, die een code nodig hebben om de daadwerkelijke transactie te voltooien. Bij de postbank krijg je die code via SMS en de rabobank heeft die randomizer. En de ABN de E-identifier.
Klopt, je moet daar met de hand een code invoeren die van buiten je PC afkomstig is.. Deze trojan kan dus gelukkig nooit werken bij die banken..
Dat denk jij, bij de postbank kun je meerdere opdrachten onder één TAN code versturen. Als daar zo'n hidden opdracht bij zit, dan ben je dus de spreekwoordelijke lul.

Hoe dit werkt bij de ABN weet ik niet, maar ook daar zul je wel opdrachten kunnen bundelen.
als je een SMS bericht krijgt staat daarin het bedrag dat je wil gaan overmaken ook nog eens in als dat ineens 1000¤ meer is moet je even op je hoofd gaan krabben...

Volgnes mij is dit ook meer voor amerikaanse banken die hebben dacht ik gewoon een login en een paswoord en dat was het.. Omdat die amerikanen denken dat alles wel veilig is en zo niet... sue je ze toch ??!!

kan de trojan schrijver niet gewoon worden opgespoord zo door de rekening te tjekken waar het bedrag heen gaat???
als je een SMS bericht krijgt staat daarin het bedrag dat je wil gaan overmaken ook nog eens in als dat ineens 1000¤ meer is moet je even op je hoofd gaan krabben...
Als in de SMS alleen het bedrag staat dan kan de trojan de originele opdracht toch gewoon vervangen in plaats van een nieuwe opdracht toe te voegen?
Nee volgens mij niet. Je kan namelijk niet de code gebruiken als er wijzigingen gemaakt zijn met een van de betalingen. Je moet met die code bevestigen, als je toch een wijziging aanmaakt heb je een nieuwe code nodig. En die krijg je dan weer via SMS...

Daarbij denk ik ook niet dat dit van toepassing is voor Nederlandse banken.
Je hoeft de opdrachten niet te wijzigen, aangezien de trojan in de eerste plaats al het rekeningnummer van de kwaadwillende kan versturen. Jij als gebruiker krijgt dan gewoon gefingeerde HTML voor je neus, waardoor het prima in orde lijkt. In theorie kunnen zowel de overschrijving, TAN bevestigings-SMS en lijst van overboekingen dus zo gemaakt worden dat de gebruiker niets in de gaten heeft. Totdat de aanmaningen in de bus gaan vallen natuurlijk...

Een eenvoudige, maar uiterst doeltreffende, oplossing die de Postbank toe zou kunnen passen is een overzicht van de overschrijvingen met de TAN code mee sms'en.
hij catched je code die jij intypt en slaat vervolgens zijn slag. dus dit gaat niet op. verder de zogenaamde TAN is 'random' in de zin van dat deze toch wel goed te calculeren is en zullen er wel een paar foute worden ingevuld maar uiteindelijk zul je alsnog wel kunnen slagen. dus deze tussentijdse codes zijn leuk maar niet onoverwinnelijk.
dit toont dan ook weer aan hoe veilig banken zijn en hoeveel ze voor hun veiligheid over hebben. en als jij geplunderd wordt zul jij moeten aantonen dat het ook nog zo is en mag je nog maar hopen dat banken ook nog tot uitkeren zullen neigen.
de TAN-code kun je niet calculeren. Net zo min dat te calculeren is welk getal je met een dobbel steen gaat gooien.
Nee, je krijgt 100 codes geloof ik, en al die codes hebben een volgnummer. De bank weet welke (random gegenereerde) code bij welk volgnummer hoort. De website geeft een volgnummer en jij moet daarbij de goede code invullen. Het is onmogelijk voor het programma om achter die TAN code te komen, zonder dat de bank wordt gehacked. En als de bank gehacked wordt, heeft de hacker echt geen trojan nodig.
Wat denk je van het feit dat de centrale server de code die hij verstuurd onthoud en dit daarna controleerd????
(@ Jack Flushell)

Het inloggen is geregeld met een username/wachtwoord.

Je krijgt vervolgens, als je een transactie wilt doen, een TAN code per SMS toegestuurd. (Je mobiele nummer is al bekend bij de postbank.) Deze voer je in op de postbank site om je transactie te bevestigen.
@conqueror:

Ik gooi met mijn dobelsteen, SMS pietje wat ik gegooid heb en schrijf dit zelf ook op een briefje. Als pietje zijn betaling doet, controleer ik of dit getal hetzelfde is als ik hem ge-smst heb.

En hoe maakt dat dat de code berekend zou kunen worden???
de TAN-code kun je niet calculeren. Net zo min dat te calculeren is welk getal je met een dobbel steen gaat gooien.
Hoe is het dan te controleren of degene die inlogd de goede is? Als het random was kan toch elke jan-piet-snot inloggen! |:(
Klopt, maar wie garandeert me dat als ik een eigen overschrijving doe, en mijn code intik, dat er dan geen twee transacties verstuurd worden, zonder dat je het ziet? Ik heb geen zin om iedere keer dat ik iets uitvoer mijn scherm uit moet spellen om te kijken of ik niet gehackt word...dat spul moet gewoon veilig zijn, klaar.
Al bekend welke banken er last van hebben?
Bij de postbank zie je een overzicht van de betalingen die je met die code gaat doen, voordat je de transactie daadwerkelijk verzend.
Maar het gaat er juist om dat dat scherm door de trojan gehijacked kan worden, waardoor hun opdracht voor jou ontzichtbaar is.

edit:
Daarnaast is het niet zomaar mogelijk om de beveiligde verbinding te manipuleren
Als een beetje spyware pagina's al zodanig aan kan passen dat er elementen worden toegevoegd die er niet horen, dan moet het lijkt mij, ook niet zo moeilijk zijn om elementen te verbergen.

Wat betreft het SMS verhaal, dat voordeel heb je bij de Postbank dan weer wel, maar bij een andere bank zul je zoiets niet zien? Ook zal een 'normale gebruiker' niet zo snel het SMSje controleren, ze hebben immers net alles ingevuld en op het scherm al gecontroleerd.
In het SMS bericht dat de Postbank naar je toestuurd met de transactie code wordt ook het totalen transactie bedrag vermeld dus als er een paar honderd Euro is toegevoegd dan zal je het direct opmerken.

Daarnaast is het niet zomaar mogelijk om de beveiligde verbinding te manipuleren. Het lijkt me eerder dat dit trojaanse paard bedoelt is voor banken die hun zaken minder goed voor elkaar hebben.

Wat bij de postbank wel een gevaar is zijn de nep sites waar je inlog user/password en een lijst TAN codes worden gevraagd. Maar dat is een totaal andere vorm van electroniese bankroof.
Maar tegelijk krijg je in het SMSje met de TAN code die je krijgt ook het aantal en het bedrag van je overboekingen te zien. Dat moet dan natuurlijk wel kloppen met wat je op je scherm ziet.
Bij de Postbank kun je ook nog steeds gebruik maken van het oude Girotel. je weet wel inbellen met een modem. Eenvoudig systeempje erachter, dat niet aan het net zit geknoopt (bij mij nog een PII) en gaan met dat schip. Enige nadeel: Ik kan alleen vanaf huis electronisch bankieren. Maar goed, het aantal keren dat ik niet vanaf huis wil bankieren, maar vanaf een willekeurige andere plek, is per jaar op een halve hand te tellen denk ik.
Dan zou ik (als je het over niet-zakelijk-bankieren hebt tenminste) maar snel eens gaan overstappen:
Hoelang blijft Girotel voor zakelijke klanten nog bestaan?
Voor de zakelijke klant blijft Girotel bestaan. Postbank stopt per 1 oktober 2005 met elektronisch bankieren via Girotel Online voor particulieren, zij kunnen gebruik maken van Mijn Postbank.nl. Bij Postbank Zakelijk kunt u ook na 1 oktober elektronisch blijven bankieren met Girotel Zakelijk en Girotel Online.
Lijkt mij lastig voor ons soort banken.
Voor betalingen naar het buitenland heb ik een andere siteapplicatie nodig die ik vrijwel nooit gebruik waar ik al die swift en iban troep in kan vullen.
Bij overmaking binnen Nederland voel ik mij voldoende beschermd door de wet en de waakhonden van de banken.
Niet zo snel... als je PC op deze manier gehacked wordt heb je wat de bank betreft zelf een overschijving gedaan en zullen zij zich niet verantwoordelijk voelen.

En die banken waakhond is ook een wassen neus. Immers machtigingen worden in Nederland niet gecontroleerd, je kunt alleen achteraf terug boeken (mits dat gaat). Je geeft in Nederland een machtiging af aan een bedrijf X, je verteld niet aan de bank dat bedrijf X van jouw per maand maximaal bedrag Y mag afschrijven. Dat laatste is voor een computer natuurlijk een makkie om te controleren maar de Nederlandse banken doen dat niet!

Je geld is minder veilig en minder zeker van jou dan je denkt!
Hier ben ik het niet mee eens.
Het gaat erom of je *bewust* een overschrijving hebt gedaan.

Neem dit voorbeeld:
- slachtoffer gaat pinnen
- dader legt briefje van 10 op de grond bij pinautomaat
- dader kijkt pincode af
- dader wijst slachtoffer op briefje van 10 op de grond
- dader wisselt pinpas om met een nep pas

Dader heeft nu de pinpas en pincode van het slachtoffer, maar slachtoffer is hier dus niet van op de hoogte. Als de dader hiermee gaat pinnen is dit geen bewuste keuze van het slachtoffer en staat het slachtoffer wel in zijn recht om dit geld terug te krijgen.
Zullen deze trojans ook direct worden herkend door je virusscanner? Het wordt anders wel heel gemakkelijk voor zulke lui om mensen te beroven.
Een virusscanner is uit te schakelen, als een programma eenmaal binnen is. Het is vrij gemakkelijk om een virus zelfs als process onzichtbaar te maken.

Maar ik denk dat je redelijk veilig zit als je een goede firewall hebt, en voorzichtig bent met e-mails.
1 2 3 ... 8

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True