Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nieuwe trojans halen bankrekening leeg

Er is een nieuw type trojan opgedoken, dat geheel automatisch de bankrekening plundert van mensen die via internet bankieren. Internetbankieren is al langer het doelwit van trojans, maar daarbij werden tot dusver alleen de inlogcodes onderschept en verstuurd naar een ander systeem. De fraudeur gebruikte vervolgens deze codes om zich toegang tot het saldo van het slachtoffer te verschaffen. Bij de nieuwe trojans is dit proces geheel geautomatiseerd. Wanneer het slachtoffer heeft ingelogd op de banksite, verstuurt de trojan stiekem een opdracht om een geldbedrag over te schrijven naar een rekening van de fraudeur. Het maakt hierbij niet uit hoe geavanceerd de loginprocedure is: zo gauw het slachtoffer toegang heeft gekregen slaat de trojan zijn slag.

HackerVoor deze nieuwe manier van aanvallen moet de trojan specifiek geprogrammeerd zijn voor een bepaalde banksite. Veel reden tot gerustheid is dit niet, want de hackers programmeren er voortdurend nieuwe sites bij. Het kwaadaardige programma komt meestal aan in de vorm van een e-mail met daarin een onschuldig uitziende link, bijvoorbeeld naar een elektronische groet. Wanneer de gebruiker er op klikt wordt het programma gedownload, dat zich vervolgens installeert op de computer en wacht tot de gebruiker gaat internetbankieren. Waar de virus- en trojanschrijvers er vroeger op uit waren om te laten zien dat ze de technologie de baas waren, gaat het tegenwoordig vooral om geld. Een elektronische bankroof heeft voor de crimineel vele voordelen boven een fysieke. Hierbij loopt hij geen risico op lichamelijk letsel en de kans op arrestatie is veel kleiner. Om het vertrouwen van de gebruikers in internetbankieren te behouden zullen de banken ook tegen deze nieuwe aanval een verdediging moeten opwerpen.

DC++ met trojan horse
Vorig nieuwsartikel Volgend nieuwsartikel

Door Arie Jan Stapel

Nieuwsposter / PowerMod

Feedback • 19-02-2006 12:57 159

19-02-2006 • 12:57

159 Linkedin Google+

Bron: Cnet News

Lees meer

'Banktrojans blijven bijna maand actief op volledig beschermde pc' Nieuws van 23 oktober 2012
Rabobank weert besmette computers bij internetbankieren Nieuws van 31 januari 2008
'Russische maffia plundert Belgische bankrekeningen' - update Nieuws van 6 oktober 2007
Hackers kraken sms-beveiliging banken Nieuws van 5 mei 2007
F-secure wil veilige domeinextensie voor banken Nieuws van 3 april 2007
Zweedse bank slachtoffer van grote online roof Nieuws van 22 januari 2007
ABN Amro gesloten voor Windows 98-gebruiker Nieuws van 17 september 2006
Nieuwe trojan verstuurt data via ICMP Nieuws van 10 augustus 2006
Schotse universiteit start hackersopleiding Nieuws van 19 juni 2006
Pinpassen gaan over op EMV-chipstandaard Nieuws van 24 mei 2006
MS overweegt tussentijdse patch Word-kwetsbaarheid Nieuws van 23 mei 2006
MS Word-gebruikers bedreigd door vulnerability Nieuws van 20 mei 2006
Trojan eist betaling voor behoud bestanden Nieuws van 29 april 2006
Hackers verdacht van samenwerking met Russische maffia Nieuws van 7 november 2005
Drie man wegens zombie-netwerk voor de rechter Nieuws van 7 oktober 2005
Valse Windows Update-mail waart rond Nieuws van 8 april 2005
'Geld belangrijkste drijfveer nieuwe virusschrijvers' Nieuws van 25 januari 2005
Nieuw type trojan maakt screenshots van internetbankieren Nieuws van 17 april 2004
Meer producten en artikelen
Bedrijfsnieuws

Reacties (159)

-Moderatie-faq
-11590156+1123+212+33Ongemodereerd58
Wijzig sortering
+3Voidth
19 februari 2006 13:22
Nee, de nederlandse banksites zijn hier niet tegen beveiligd. Dit komt omdat de transactie en visuele feedback naar de gebruiker allemaal client side worden geprocessed (dit staat los van pincodes etc). Daar dit client side is, kan dit alles voor de gebruiker worden verdraaid. Dit betekend dat een klant denkt dat hij 1 opdracht verstuurd (en visueel voor zijn kiezen krijgt) terwijl onderwater heel wat anders gebeurd.
0Roland684

@Voidth19 februari 2006 14:06
De postbank verstuurt een SMS met het totaalbedrag, dat is toch echt niet clientside. Dan kan een hackers je alleen misleiden door je bestaande opdrachten te verminderen en een eigen opdracht voor dat bedrag toe te voegen. Anders zie je dat het totaalbedrag niet overeenkomt.
+2Darkvater
19 februari 2006 12:59
Gelukkig werkt dit niet bij ABN-AMRO waar je een opdracht alleen kan versturen als je met de E-Identifier een antwoord-code doet met behulp van je pinpas.
+3telefoontoestel
@Darkvater19 februari 2006 13:00
Tenzij deze dus een hidden opdracht doet. Je zult dus heel goed moeten opletten hoeveel opdrachten er in de wachtrij staan en hoeveel je er kan tellen.
+2witte papoea
@telefoontoestel19 februari 2006 14:02
Ik niet want ik bankier alleen met Knoppix.
+2RobT
@witte papoea19 februari 2006 14:59
Ik snap niet waarom de opmerking van witte papoea met 'grappig' beoordeeld is, ik ken mensen die praktisch altijd windows gebruiken maar voor telebankieren even knoppix booten.
Je laat geen sporen na en bent immuun voor dit soort trojans.

Op het moment ben je als linuxgebruiker (zoals ik) in elk geval niet in gevaar als het om deze trojans gaat, vandaar dat ik niet via knoppix telebankier.
Maar het is voor de modale gebruiker waarschijnlijk wel de gemakkelijkste manier om veilig te telebankieren.
+1Frash
@witte papoea19 februari 2006 17:25
Ik alleen met m'n hoedje van aluminiumfolie.
+1basset
@witte papoea20 februari 2006 11:05
Kun je dan niet beter even vmware player draaien. Hoef je niet te rebooten en zo. Gaat een stukje sneller.
0AngularMomentum
@witte papoea20 februari 2006 16:09
Ik heb voor mijn vrouw de VMplayer met een gestripte Ubuntu image geinstalleerd op haar computer, en het enige waar die image voor gebruikt word is dus internet bankieren. Hoef je niet te rebooten en ze kan "lekker" door gaan met dat eindeloze gekmakende getik op MSN chat...zonder de gratis VMplayer hadden we nu nog niet onze geldzaken beheerd via internet.
+2T4F.nl_Muad
@telefoontoestel19 februari 2006 13:40
bij de postbank krijg je een sms met een tan code, in deze sms staat ook het totaal bedrag vermeld van de overschrijvingen. Als deze dus afwijkt, is het opletten geblazen.

Overigens vind ik dat men keihard moet optreden tegen dit soort fraudeurs/hackers/hoe je ze noemen wilt. Deze mensen zorgen voor een enorm onveiligheidsgevoel.
+1rabartels
@T4F.nl_Muad20 februari 2006 08:15
Tevens vraagt de postbank om een random TAN-code, deze worden niet meer op volgorde gevraagd
+1sergefonville
@telefoontoestel19 februari 2006 13:20
Het lijkt mij dat je het ziet als er te veel tussen staat, en als hij een aparte verbinding maakt hoort daar ook een aparte code bij, dit lijkt mij dus alleen van toepassing op hen die niet opletten (hoop ik)
+1telefoontoestel
@sergefonville19 februari 2006 13:28
Als jij al een aantal opdrachten in de wachtrij hebt staan dan hoeft die trojan alleen nog maar af te wachten totdat jij die opdrachten doorvoert. Als de opdracht dan niet in het lijstje voorkomt met uit te voeren opdrachten en je hebt niet opgelet hoeveel er daadwerkelijk in de wachtrij staan en je ziet (al is dat ook niet zo moeilijk aan te passen) er een minder kun je dus beter maar even voorzichtig zijn.
+1aTmosh
@sergefonville19 februari 2006 16:58
Als jij al een aantal opdrachten in de wachtrij hebt staan dan hoeft die trojan alleen nog maar af te wachten totdat jij die opdrachten doorvoert.
Al is een trojan slim genoeg om een ander bedrag naar een andere rekening sturen dan degene die je in de verzendlijst hebt geplaats, bij een volgende check van de transactielijst is het gelijk duidelijk als er wat aan de hand is.

Tenzij.. de trojan dat ook faket, en dat doet over verschillende bezoeken, verschillende (besmette) computers d.m.v. een online database etc., maar eerlijk gezegd verwacht ik niet dat dit massaal het geval zal zijn. Je kunt altijd nog vanaf een veilige of vers geïnstalleerde machine checken.

Hoe dan ook zullen banken dit gewoon in de bedrijfskosten op moeten nemen, net als bij credit cards. Zo lang de fraude een klein percentage blijft en ze geld aan blijven verdienen is er niets aan de hand.
0svliegen
@sergefonville19 februari 2006 20:25
Als het een significant bedrag is valt het echt wel op. En bij bedragen boven de 1500 euro wordt er automatisch een extra check gedaan die je alleen met dat ABNAMRO pincode generatortje kunt uitvoeren. Dus dat lukt zeker niet ongemerkt.
0SPee
@sergefonville19 februari 2006 23:21
Het zijn er maximaal 10 (ofzo) en je kunt ze dus gewoon op 1 scherm zien.
+1raoul4one
@sergefonville20 februari 2006 18:40
Waarschijnlijk onderschept de trojan het hele proces en laat jou de ingevoerde dingen op het scherm zien.
Maar achterlangs doet hij heel wat anders met de bank zelf.
Dus jij ziet je bedragen wel kloppend op het scherm.
Maar de bank ontvangt hele andere opdrachten met de juiste codes ...
0MBV
@sergefonville20 februari 2006 20:29
vroeger hadden ze daar ook iets op: ze haalden uit de rekeningnummers en bedragen wat willekeurige cijfers, die je moest overtikken. Met pijltjes waar de cijfers vandaan kwamen. Dat is een jaar geleden weggehaald. Helaas, want dat had hiertegen kunnen beschermen...

En leg mij eens uit hoe ik een overschrijving kan doen zónder mijn e.dentifier. Die heb ik tot nu toe altijd nodig gehad, ook bij overschrijvingen van 1 euro...
0Rap2kx
@telefoontoestel19 februari 2006 13:10
iets met een spuit enzo, mod maar weg :9
+1justice strike
@Darkvater19 februari 2006 14:44
man in the middle attack.

-Je "logged in", de trojan wordt actief en logt in voor jou, waarna hij de eidentifier code's van je vraagt. Je ziet gewoon de abn site dus je denkt dat er niets aan de hand is.

-Zodra je een opdracht wil gaan uitvoeren maakt de trojan een andere opdracht aan naar een ander rekening nummer. Schotelt jou ondertussen met de abn-kloon site waarop jouw opdracht verschijnt.

-Zodra jij je eigen opdracht wil uitvoeren, vraagt de trojan om een challenge voor zijn opdracht. Stuurt deze door naar jou. Jij voert de challenge in op je eidentifier. vult het in, en de trojan heeft dan de code om zijn opdracht uit te voeren.

Eidentifier helemaal uitgeschakelt, vrij makkelijk te implementeren en ook de reden waarvoor ik eigenlijk geen internet bankieren wil gebruiken.
+1Sorcerer8472
@justice strike19 februari 2006 14:53
Ja precies, mits iemand echt heel slim zo'n trojan programmeert dan is het mogelijk. Zal wel redelijk extreem veel werk zijn om inderdaad een 'valse' https-site op die manier voor te schotelen!

Gewoon je systeem schoon houden en dus niet op allerlei enge warez-sites zitten, virusscanner up-to-date houden en bedacht zijn op vage gebeurtenissen op je pc.

Helaas zullen leken aan geen enkele van bovenstaande punten voldoen, tja :+
+1uid0
@Sorcerer847219 februari 2006 17:20
Maar het is extreem weinig werk om een browser plugin te maken die tussen de HTML engine en de SSL module van internet explorer kruipt.
Dit is al gedaan, en kan makkelijk opnieuw.

Maar zelfs dat is niet nodig, als je een soort GreaseMonkey voor internet explorer maakt, die z'n scrippies van een attacker server downloadt, kan je ook de complete output filteren zonder een MITM uit te voeren.
0trogdor
@Sorcerer847219 februari 2006 18:34
kan je ook de complete output filteren zonder een MITM uit te voeren.
Dat IS een man in the middle attack.
0Milt
@justice strike19 februari 2006 15:39
Bij een overschrijving bestaat de challenge code uit het rekeningnummer waar naar je geld gaat overmaken. Dus je hebt (als het goed is) dus door dat het rekeningnummer anders is dan wat je hebt ingevuld.

Oplettende gebruikers zijn dus niet vatbaar voor MITM attacks, maar er zal een behoorlijk deel gebruikers zijn dat er niet op let en die kunnen er dus mogelijk wel intrappen.
+1Gwaihir
@Milt19 februari 2006 16:51
Dat geldt alleen voor het overschrijven van grote bedragen dan wel het in het adresboek zetten van een nummer (ABN-AMRO).
0trogdor
@Milt19 februari 2006 18:40
Als er een hele lijst met overschrijvingen klaar staat wordt er maar een keer een challenge-response gedaan.
Weet niet hoe die challenge-response precies werkt, maar je ziet daar in iedergeval het rekening nummer niet in terug, en het is ook zeker mogelijk voor een kwaadwillende plugin om specifieke data uit je webpaginas te filteren zonder dat je dat niet merkt.

Dit is, imo, echt een heel groot probleem.
0Olaf van der Spek
@Milt19 februari 2006 17:45
Dus je hebt (als het goed is) dus door dat het rekeningnummer anders is dan wat je hebt ingevuld.
Ik vertrouw er liever niet op dan zo'n uiterst zwakke schakel voldoende is voor beveiliging.
0F-I-X
@justice strike19 februari 2006 16:34
wat je beschrijft is allemaal wel erg simpel gesteld.

Ik heb zelf geen idee hoe de communicatie tussen de https site precies werkt waar er zal best een stuke encryptie bijzitten.

Tevens als je zo'n trojan maakt met die functionaliteit dan word het een aardig programmatje wat wel op moet vallen.

en dan nog : Denk je dat ze zoveel moeite gaan doen om zoiets te maken voor het aantal mensen wat er enkel in nederland gebruik van maakt ? Dan gebruiken ze liever hun tijd aan de simpelere dingen zoals de eenvoudige login codes/passwords die in de USA gebruikt worden.

Als je echt gelooft dat wat jij beschrijft gaat of kan gebeuren denk ik dat je te paranoid bent om uberhaubt op het internet te komen.
+1thegve
@F-I-X19 februari 2006 20:50
De gemiddelde computeraar heeft al 120 MB aan geheugenruimte aan spyware(beetje lomp gesteld natuurlijk), de functionaliteit valt best mee. Wat in principe nodig is is een eigen webservertje met SSL ondersteuning. Requests naar (stel) abnamro.nl sluis je door naar je webservertje, en die is proxy maar faked er een aantal dingetjes bij. Kan met een 5 mb geheugengebruik en een programma van ongeveer evengroot.
+1surrie
@justice strike20 februari 2006 00:37
Tenzij het zo is dat de code die identifier genereert afhankelijk is van de gegevens waarmee je bankiert. Dus rekeningnummer van jezelf, bedrag en rekeningnummer van de ander op 1 of de andere manier verwerkt in de code die je in moet toetsen.
(Geen idee of dit goed mogelijk is, maar zo zou je deze stap kunnen voorkomen lijkt me)
0Fireshade
@justice strike21 februari 2006 13:49
als je inlogt bij de Postbank, zie je altijd je saldo, een lijst van meest recente mutaties en persoonlijke gegevens. hoe moet een nagabouwde site aan deze gegevens komen?
NAW gegevens kunnen ze misschien via-via aankomen en koppelen aan mijn e-mail adres (waar ik dan een trojan e-mail op zou moeten ontvangen). maar ik weet altijd ongeveer mijn saldo, en mijn mutaties zijn vaak wel herkenbaar. dat kunnen ze niet weten.
maar goed, het blijft dus wel je eigen alertheid.
0basz
@Darkvater19 februari 2006 22:46
Bij de abnamro moet je een rekeningnummer wat níét uit je adresboek komt altijd bevestigen met een challenge/response. Dat gebeurt pér overboeking, pér 'vreemd' rekeningnummer. Een stiekeme overboeking naar een nieuw rekeningnummer zal op die manier via abn dus niet lukken, of de gebruiker moet écht niet opletten en gewoon niet lezen wat er staat (want de abn beschrijft uitvoerig wáárom je die extra challenge/response moet uitvoeren). imo heeft de abn z'n applicatie netjes dichtgetimmerd. :D
0liberque
@basz20 februari 2006 12:25
Nee, helaas dat is enkel als je een rekening nummer toe wilt voegen aan je adresboek. Je hebt verder geen challenge/response nodig om een onbekend rekening nummer in te vullen. Toch snap ik nog niet helemaal de ophef. Na het inloggen zou het beestje beginnen met het maken van een transactie. Als je oplet dan zie je deze er direct tussen staan. Ja, en je moet opletten bij ABN/AMRO telebankieren.. immers als jij een fout bankrekening nummer invoert wat bestaat dan ben je je geld ook kwijt en kan je het geeneens terugvorden. *zie AV*. Wat betreft de man-in-the-middle-attack zou dit alleen kunnen werken als de trojan de challenge code die ABN/AMRO verstuurd onderschept en deze op zijn beurt aan jouw voorlegt en de response vraagt. Dit kan mijn inziens dan weer eenvoudig verholpen worden door de challenge-code niet in plain tekst te vragen (ook al is het SSL) maar door de challenge-code grafisch te genereren. Knappe trojan die dat uit kan lezen!
0EtHeO18
@liberque20 februari 2006 13:38
Op het moment dat de code grafisch verstuurd wordt, dan zal de trojan zelf het plaatje ophalen en doorsluizen naar de gebruiker. Zo omzeil je dit ook.
0SkyStreaker
@Darkvater19 februari 2006 19:21
Het wordt dus tijd voor het feit dat je nou ook eens telefonisch kan gaan controleren hoeveel opdrachten er te wachten staan. Of een soort controle systeem dat werkt op de hoeveelheid opdrachten.

Zeg maar dat jij er 5 gemaakt heb, het systeem tel er 6. Jij voert echter de code in die bij 5 geverifieerde opdrachten hoort en de site zegt dat het niet goed is. Dat zou mijn inziens toch een juiste controle bovenop een controle kunnen zijn.

Of inmiddels de verbeterde barcodes gaan gebruiken die enorm sterk encrypted zijn en enkel met je persoonlijk reader correct kan worden uitgelezen. Als controle bovenop een controle.

Het systeem gaat na of alle bankgegevens kloppen, zet de opdrachten naast elkaar in het gecodeerd bericht wat jij enkel en alleen jij kan uitlezen, middels de barcode. Lijkt mij dat je op deze manier vrij weinig tot vrijwel geen last kan hebben van trojans. Als de controle uiteindelijk extern aan de computer geverifieerd moet worden.

OF denk ik nu te vrij en te technisch onnozel.
+1scsirob
@SkyStreaker20 februari 2006 08:53
En wat nou als die trojan één van de kleinste echte betalingen er uit gooit om plaats te maken? Heb je er weer 5 en denk je dat alles in orde is. Pas als de kleinste rekening een aanmaning stuurt ga je je achter het oor krabben. Je rekening is dan al leeg.
+1DeKaluh
@Darkvater19 februari 2006 22:11
Afhankelijk van de geldigheidsduur van die code kan een trojan er toch in slagen om ongemerkt een transactie te versturen, zonder dat je het door hebt. Trojan makers, let op :P

Wacht met het versturen van je transactie, totdat de gebruiker het scherm voor zijn neus krijgt met de te versturen transacties en de vraag met de invoer van de bevestigingscode. Stuur daarna onderwater je illegale transactie.

De gebruiker stuurt de code terug naar de server en deze gaat de transactie (+ de illegale) uitvoeren. Klaar is kees.

Hoe dit te voorkomen. Let op ontwikkelaars bij de ABN :P.
Zorg dat de geldigheid van een verstuurde code eindigt op het moment dat er een nieuwe transactie wordt toegevoegd. Zodra de gebruiker zijn code terug stuurt, dan is deze niet meer geldig en krijgt hij de huidige lijst met transacties (inclusief de illegale) op zijn scherm.
0Rebels
@Darkvater19 februari 2006 17:37
wtf lezen jullie niet, of snap ik iets niet :?

[kwoot]Het maakt hierbij niet uit hoe geavanceerd de loginprocedure is: zo gauw het slachtoffer toegang heeft gekregen slaat de trojan zijn slag.
[/kwoot]
+2Boss
19 februari 2006 13:12
Ik denk dat er voor de gewone consument wel goed omheen te komen is. Gewoon even goed opletten wanneer je een betaling gaat valideren. Volgens mij krijg je bij alle systemen een samenvatting te zien van de betalinge ndie je gaat verrichten na het invoeren van de code. Als je per keer 1 a 2 betalingen doet gaat dat wel opvallen als er opeens iets tussen staat.

Echt lastig wordt het pas bij bedrijven die electronisch betalen. Een beetje handelsbedrijf verricht tientallen tot honderden betalingen per keer. Die worden vanuit een boekhoudprogramma gegenereerd en daarna overgepompt naar het online systeem. Als er dan opeens eentje tussen sluipt is het een stuk lastiger om die er tussenuit te pikken.
+1flipjevandejam
@Boss19 februari 2006 13:18
Zo'n fraudeur zal vaak meteen voor de jackpot gaan en niet in orde van 10-100 euro's denken, als er dus ineens een overschrijving van x000 euro tussen zit, moet dat wel opvallen lijkt me.
+1omixium
@flipjevandejam19 februari 2006 13:28
En naar welke rekening wordt dat geld overgemaakt?
En van wie is die rekening?
Internationaal opsporen van dergelijke criminelen moet gewoon een prio worden. Net als al die SPAM die uit Rusland en andere shoopie-woepie landen wordt verstuurd.
0Theo
@omixium19 februari 2006 15:10
wordt overgemaakt naar een rekening op chili ofzo, die op naam staat van een persoon met een vals adres en de meest voorkomende achternaam aldaar heeft.
Veel succces met zoeken dan.
+1ATS
@flipjevandejam19 februari 2006 13:28
Dat denk ik dus juist niet. Veel kleine overschrijvingen zijn veel minder opvallend dan één grote, en zullen dus minder snel ontdekt worden.
0GoVegan
@ATS19 februari 2006 15:00
net als in "office space" :D
+1Rap2kx
@Boss19 februari 2006 13:16
Gewoon alles optellen van het programma en controleren met het totaal over te schrijven bedrag. De twee waardes kun je toch gewoon vergelijken?
+2Schouw
19 februari 2006 13:25
Ik geloof dat de meesten hier deze criminelen nogal onderschatten.

Als je in staat bent dit soort Trojans te schrijven, dan is het ook niet zo lastig voor je om de betreffende transactie niet te laten weergeven door de browser.

Dit houdt dus in dat 'externe verificatie' (zoals SMS) benodigd is om dit op het spoor te komen.

In de meeste gevallen zal het afgeschreven bedrag niet supergroot zijn - dit valt te zeer op namelijk. Opvallen is het laatste dat je wil als crimineel.

We zien in USA vaker 'runs' voorbij komen waarbij er van tig accounts $9.95 afgeschreven wordt. De meeste slachtoffers valt dit nog geeneens op.
+1Sjah
@Schouw19 februari 2006 13:44
zijn ze bij ons Nederlanders aan het verkeerde adres, denk dat hier het wel 75% opvalt. :Y)
+2loweedje
19 februari 2006 17:03
Hoe een https site werkt:

Een dergelijke site werkt met een certificate.
Een certificate wordt bijvoorbeeld gemaakt en (offline) opgeslagen bij bedrijven als Tawte, Verisign, etc.

Dit uitgegeven certificate bestaat uit twee delen.
Een private en een public deel.

Jij krijgt als afnemer/koper van het certificate beide. Verisign houdt zelf een kopie van t public deel.

Het certificate wat je hebt gekregen installeer je op je website/server.
Zodra iemand contact met deze server ontvangt deze persoon de public key. Dit deel is gesigned door de uitgever. De signature wordt gematched met de lokaal geinstalleerde informatie over de uitgevers en op basis daarvan wordt er gecontroleerd of het ontvangen public key deel echt is.

De client zal vervolgens dmv https icm met de public key alle informatie versleuteld versturen naar de website.
Alle informatie versleuteld met deze public key kan alleen met de private key worden decrypt.

Zo is deze informatie veilig.

De MITM attack kan op deze manier niet zelf in het midden gaan zitten en doen alsof hij de webserver is, want:
- Hij moet de informatie van de webserver doorgeven aan jou zondat jou computer kan controleren of het certificaat echt is.
- Hij kan zich niet voordoen als uitgever van het certificaat want de referentie van de uitgever staat op jou computer geinstalleerd.
- Zodra de computer controleert bij de uitgever of de signature afkomstig is en vervolgens blijkt dat dat niet het geval is dan wordt de sessie verbroken.

De enige 'oplossing' voor de hacker in dat geval is om op je computer een nieuwe certificaatsignature te installeren.
Maar zodra dat het geval is dan is dat al meer moeite dan gewoon via je computer 'mee te liften' naar de website toe en mee te kijken.
0b19a
@loweedje20 februari 2006 01:01
Goed fijn, oke we weten nu wat HTTPS is, bedankt. Heb je al even naar de reacties hierboven gekeken?

Dat de Trojan andere dingen op het scherm toont dan de HTML die Internet Explorer binnen heeft gekregen? IE is zo lek als wat, dus door een eigen plugin te schrijven kun je heel wat bereiken!
+1BRAINLESS01
19 februari 2006 13:06
Als de extra opdracht word toegevoegd NADAT jij de opdrachten bevestigd hebt (dus dat je net niet ziet dat je hem gaat bevestigen, maar hij al wel in de wachtrij staat) zou het best kunnen dat je zonder het te weten veel geld overschrijft. Ik hoop dat de banken hier iets tegen gaan doen (dat gaat volgens mij heel makkelijk, want ze kunnen het geld gewoon terughalen van de rekening waar het heen is gegaan en wijgeren over te schrijven naar banken waar dit niet kan).
+2Gerco
@BRAINLESS0119 februari 2006 13:15
Dat kan niet bij de banken die met zo'n "rekenmachine" werken. De in te voeren verificatiecode is namelijk afhankelijk van het aantal transacties en het totaalbedrag.

Stuur jij nu verificatiecode 12345 op en de trojan verstuurt dan stiekem zijn transactie erbij, zal die code niet meer kloppen, maar 23456 moeten zijn.

Op die manier kun je alleen transacties goedkeuren die je ook in je overzicht kan zien en geen andere.
+1NoepZor
@Gerco19 februari 2006 13:28
Maar als die trojan wel de goede code laat zien, maar zijn eigen opdracht van het scherm haalt? Dan ben je alsnog de pisang.
0Blaise
@NoepZor19 februari 2006 21:20
Dan zie je nog steeds een veranderd totaalbedrag in je tancode SMS.

Maar er zijn ook mensen die tancodes op zo'n velletje papier hebben staan. Die lopen wél gevaar, want daar is de tancode niet afhankelijk van een bedrag of aantal transacties.
+1Bakove
@Gerco19 februari 2006 13:45
hmm... en wat dan als de trojan de reeds bestaande opdrachten wijzigt... het aantal opdrachten blijft gelijk... totaal bedrag ook... alleen de ontvanger wordt gewijzigd...
0XcIsIoN
@BRAINLESS0119 februari 2006 13:07
Klopt en daarbij staat in de sms met je code ook nog eens het totaal bedrag van de overboeking die je gaat doen

Dubbel checken kan dus nooit kwaad
+1sopsop
19 februari 2006 12:59
Dit zal toch nooit werken bij de postbank & rabobank, die een code nodig hebben om de daadwerkelijke transactie te voltooien. Bij de postbank krijg je die code via SMS en de rabobank heeft die randomizer. En de ABN de E-identifier.
+1Inflatable
@sopsop19 februari 2006 13:03
Klopt, je moet daar met de hand een code invoeren die van buiten je PC afkomstig is.. Deze trojan kan dus gelukkig nooit werken bij die banken..
+2PoisonouZ
@Inflatable19 februari 2006 13:06
Dat denk jij, bij de postbank kun je meerdere opdrachten onder één TAN code versturen. Als daar zo'n hidden opdracht bij zit, dan ben je dus de spreekwoordelijke lul.

Hoe dit werkt bij de ABN weet ik niet, maar ook daar zul je wel opdrachten kunnen bundelen.
+14play
@PoisonouZ19 februari 2006 13:20
als je een SMS bericht krijgt staat daarin het bedrag dat je wil gaan overmaken ook nog eens in als dat ineens 1000¤ meer is moet je even op je hoofd gaan krabben...

Volgnes mij is dit ook meer voor amerikaanse banken die hebben dacht ik gewoon een login en een paswoord en dat was het.. Omdat die amerikanen denken dat alles wel veilig is en zo niet... sue je ze toch ??!!

kan de trojan schrijver niet gewoon worden opgespoord zo door de rekening te tjekken waar het bedrag heen gaat???
+1Olaf van der Spek
@PoisonouZ19 februari 2006 17:47
als je een SMS bericht krijgt staat daarin het bedrag dat je wil gaan overmaken ook nog eens in als dat ineens 1000¤ meer is moet je even op je hoofd gaan krabben...
Als in de SMS alleen het bedrag staat dan kan de trojan de originele opdracht toch gewoon vervangen in plaats van een nieuwe opdracht toe te voegen?
+1Cybergamer
@PoisonouZ19 februari 2006 19:51
Nee volgens mij niet. Je kan namelijk niet de code gebruiken als er wijzigingen gemaakt zijn met een van de betalingen. Je moet met die code bevestigen, als je toch een wijziging aanmaakt heb je een nieuwe code nodig. En die krijg je dan weer via SMS...

Daarbij denk ik ook niet dat dit van toepassing is voor Nederlandse banken.
0narotic967
@PoisonouZ20 februari 2006 01:41
Je hoeft de opdrachten niet te wijzigen, aangezien de trojan in de eerste plaats al het rekeningnummer van de kwaadwillende kan versturen. Jij als gebruiker krijgt dan gewoon gefingeerde HTML voor je neus, waardoor het prima in orde lijkt. In theorie kunnen zowel de overschrijving, TAN bevestigings-SMS en lijst van overboekingen dus zo gemaakt worden dat de gebruiker niets in de gaten heeft. Totdat de aanmaningen in de bus gaan vallen natuurlijk...

Een eenvoudige, maar uiterst doeltreffende, oplossing die de Postbank toe zou kunnen passen is een overzicht van de overschrijvingen met de TAN code mee sms'en.
+1n4m3l355

@sopsop19 februari 2006 13:19
hij catched je code die jij intypt en slaat vervolgens zijn slag. dus dit gaat niet op. verder de zogenaamde TAN is 'random' in de zin van dat deze toch wel goed te calculeren is en zullen er wel een paar foute worden ingevuld maar uiteindelijk zul je alsnog wel kunnen slagen. dus deze tussentijdse codes zijn leuk maar niet onoverwinnelijk.
dit toont dan ook weer aan hoe veilig banken zijn en hoeveel ze voor hun veiligheid over hebben. en als jij geplunderd wordt zul jij moeten aantonen dat het ook nog zo is en mag je nog maar hopen dat banken ook nog tot uitkeren zullen neigen.
+1Roland684

@n4m3l35519 februari 2006 14:06
de TAN-code kun je niet calculeren. Net zo min dat te calculeren is welk getal je met een dobbel steen gaat gooien.
+3Patriot
@Roland68419 februari 2006 20:52
Nee, je krijgt 100 codes geloof ik, en al die codes hebben een volgnummer. De bank weet welke (random gegenereerde) code bij welk volgnummer hoort. De website geeft een volgnummer en jij moet daarbij de goede code invullen. Het is onmogelijk voor het programma om achter die TAN code te komen, zonder dat de bank wordt gehacked. En als de bank gehacked wordt, heeft de hacker echt geen trojan nodig.
+1Conqueror
@Roland68419 februari 2006 15:14
Wat denk je van het feit dat de centrale server de code die hij verstuurd onthoud en dit daarna controleerd????
0bszz
@Roland68420 februari 2006 09:51
(@ Jack Flushell)

Het inloggen is geregeld met een username/wachtwoord.

Je krijgt vervolgens, als je een transactie wilt doen, een TAN code per SMS toegestuurd. (Je mobiele nummer is al bekend bij de postbank.) Deze voer je in op de postbank site om je transactie te bevestigen.
0Roland684

@Roland68421 februari 2006 00:02
@conqueror:

Ik gooi met mijn dobelsteen, SMS pietje wat ik gegooid heb en schrijf dit zelf ook op een briefje. Als pietje zijn betaling doet, controleer ik of dit getal hetzelfde is als ik hem ge-smst heb.

En hoe maakt dat dat de code berekend zou kunen worden???
0Jack Flushell
@Roland68419 februari 2006 14:34
de TAN-code kun je niet calculeren. Net zo min dat te calculeren is welk getal je met een dobbel steen gaat gooien.
Hoe is het dan te controleren of degene die inlogd de goede is? Als het random was kan toch elke jan-piet-snot inloggen! |:(
+1WaterFire
19 februari 2006 13:02
Klopt, maar wie garandeert me dat als ik een eigen overschrijving doe, en mijn code intik, dat er dan geen twee transacties verstuurd worden, zonder dat je het ziet? Ik heb geen zin om iedere keer dat ik iets uitvoer mijn scherm uit moet spellen om te kijken of ik niet gehackt word...dat spul moet gewoon veilig zijn, klaar.
Al bekend welke banken er last van hebben?
+1sopsop
@WaterFire19 februari 2006 13:04
Bij de postbank zie je een overzicht van de betalingen die je met die code gaat doen, voordat je de transactie daadwerkelijk verzend.
+1soczol
@sopsop19 februari 2006 13:20
Maar het gaat er juist om dat dat scherm door de trojan gehijacked kan worden, waardoor hun opdracht voor jou ontzichtbaar is.

edit:
Daarnaast is het niet zomaar mogelijk om de beveiligde verbinding te manipuleren
Als een beetje spyware pagina's al zodanig aan kan passen dat er elementen worden toegevoegd die er niet horen, dan moet het lijkt mij, ook niet zo moeilijk zijn om elementen te verbergen.

Wat betreft het SMS verhaal, dat voordeel heb je bij de Postbank dan weer wel, maar bij een andere bank zul je zoiets niet zien? Ook zal een 'normale gebruiker' niet zo snel het SMSje controleren, ze hebben immers net alles ingevuld en op het scherm al gecontroleerd.
+1robert_paats
@soczol19 februari 2006 13:33
In het SMS bericht dat de Postbank naar je toestuurd met de transactie code wordt ook het totalen transactie bedrag vermeld dus als er een paar honderd Euro is toegevoegd dan zal je het direct opmerken.

Daarnaast is het niet zomaar mogelijk om de beveiligde verbinding te manipuleren. Het lijkt me eerder dat dit trojaanse paard bedoelt is voor banken die hun zaken minder goed voor elkaar hebben.

Wat bij de postbank wel een gevaar is zijn de nep sites waar je inlog user/password en een lijst TAN codes worden gevraagd. Maar dat is een totaal andere vorm van electroniese bankroof.
0ATS
@soczol19 februari 2006 13:26
Maar tegelijk krijg je in het SMSje met de TAN code die je krijgt ook het aantal en het bedrag van je overboekingen te zien. Dat moet dan natuurlijk wel kloppen met wat je op je scherm ziet.
0Killer
@sopsop19 februari 2006 15:47
Bij de Postbank kun je ook nog steeds gebruik maken van het oude Girotel. je weet wel inbellen met een modem. Eenvoudig systeempje erachter, dat niet aan het net zit geknoopt (bij mij nog een PII) en gaan met dat schip. Enige nadeel: Ik kan alleen vanaf huis electronisch bankieren. Maar goed, het aantal keren dat ik niet vanaf huis wil bankieren, maar vanaf een willekeurige andere plek, is per jaar op een halve hand te tellen denk ik.
0sopsop
@Killer20 februari 2006 00:27
Dan zou ik (als je het over niet-zakelijk-bankieren hebt tenminste) maar snel eens gaan overstappen:
Hoelang blijft Girotel voor zakelijke klanten nog bestaan?
Voor de zakelijke klant blijft Girotel bestaan. Postbank stopt per 1 oktober 2005 met elektronisch bankieren via Girotel Online voor particulieren, zij kunnen gebruik maken van Mijn Postbank.nl. Bij Postbank Zakelijk kunt u ook na 1 oktober elektronisch blijven bankieren met Girotel Zakelijk en Girotel Online.
+1--r-w--
19 februari 2006 13:47
Lijkt mij lastig voor ons soort banken.
Voor betalingen naar het buitenland heb ik een andere siteapplicatie nodig die ik vrijwel nooit gebruik waar ik al die swift en iban troep in kan vullen.
Bij overmaking binnen Nederland voel ik mij voldoende beschermd door de wet en de waakhonden van de banken.
0mashell
@--r-w--19 februari 2006 14:08
Niet zo snel... als je PC op deze manier gehacked wordt heb je wat de bank betreft zelf een overschijving gedaan en zullen zij zich niet verantwoordelijk voelen.

En die banken waakhond is ook een wassen neus. Immers machtigingen worden in Nederland niet gecontroleerd, je kunt alleen achteraf terug boeken (mits dat gaat). Je geeft in Nederland een machtiging af aan een bedrijf X, je verteld niet aan de bank dat bedrijf X van jouw per maand maximaal bedrag Y mag afschrijven. Dat laatste is voor een computer natuurlijk een makkie om te controleren maar de Nederlandse banken doen dat niet!

Je geld is minder veilig en minder zeker van jou dan je denkt!
0SWINX
@mashell19 februari 2006 17:47
Hier ben ik het niet mee eens.
Het gaat erom of je *bewust* een overschrijving hebt gedaan.

Neem dit voorbeeld:
- slachtoffer gaat pinnen
- dader legt briefje van 10 op de grond bij pinautomaat
- dader kijkt pincode af
- dader wijst slachtoffer op briefje van 10 op de grond
- dader wisselt pinpas om met een nep pas

Dader heeft nu de pinpas en pincode van het slachtoffer, maar slachtoffer is hier dus niet van op de hoogte. Als de dader hiermee gaat pinnen is dit geen bewuste keuze van het slachtoffer en staat het slachtoffer wel in zijn recht om dit geld terug te krijgen.
+1telefoontoestel
19 februari 2006 12:59
Zullen deze trojans ook direct worden herkend door je virusscanner? Het wordt anders wel heel gemakkelijk voor zulke lui om mensen te beroven.
+1gamepower2005
@telefoontoestel19 februari 2006 15:17
Een virusscanner is uit te schakelen, als een programma eenmaal binnen is. Het is vrij gemakkelijk om een virus zelfs als process onzichtbaar te maken.

Maar ik denk dat je redelijk veilig zit als je een goede firewall hebt, en voorzichtig bent met e-mails.
1 2 3 ... 8

Op dit item kan niet meer gereageerd worden.

Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True