Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 57 reacties
Submitter: Henk007

Criminelen die deze zomer een nieuwe versie van de Zeus-trojan uitbrachten, hebben in het Verenigd Koninkrijk meer dan 800.000 euro buitgemaakt. Bij een niet nader genoemde bank werden minstens drieduizend rekeninghouders bestolen.

Volgens beveiligingsfirma M86 Security werden met de 'aanzienlijk geraffineerdere' vernieuwde Zeus-malware zeker drieduizend bankrekeningen bij een niet nader genoemde financiële instelling geplunderd. Met Zeus werden gemanipuleerde advertentiebanners gebruikt om browsers naar websites met exploit-kits te sturen. Deze kits bevatten code om zwakke plekken in onder andere Internet Explorer, Java en Adobe Reader aan te vallen. Hiermee zouden minstens zes aanvalsmogelijkheden kunnen worden gebruikt om kwetsbaarheden op pc's bloot te leggen.

Als de Zeus-trojan eenmaal op een systeem draait, neemt deze in feite de browser over zodra een site van een bepaalde bank wordt bezocht. Met behulp van een keylogger kan de malware dan inloggegevens onderscheppen, die  naar een command and control-server in Oost Europa worden verstuurd.

Na controle van het saldo van een rekeninghouder schrijft de code een bedrag over. Daarbij gaat het om relatief kleine bedragen om zo te voorkomen dat de fraudedetectie-mechanismen van de bank alarm slaan, zo stelt M86 Security. Het geld wordt overgemaakt naar rekeningen van stromannen die het op hun beurt weer doorsluizen naar andere rekeningen.

Volgens M86 Security zijn er bij deze aanvalsgolf zeker 280.000 computers besmet en in een botnet opgenomen. Daarbij gaat het grotendeels om Windows-systemen, maar ook OS X- en Linux-systemen zouden slachtoffer zijn geworden van de malware. Opmerkelijk genoeg zijn er ook enkele meldingen van besmette PlayStation 3- en Nintendo Wii-consoles.

BankTrojan

Moderatie-faq Wijzig weergave

Reacties (57)

Opmerkelijk genoeg zijn er ook enkele meldingen van besmette PlayStation 3- en Nintendo Wii-consoles.

hoe kan dat???
Ben niet het in bezit van een console maar is het misschien mogelijk dat je via een console ook bankverrichtingen kan doen?

Blijkbaar is het ook platform-independent. Wat ik wel raar vind is dat er ook linuxbakken ge´nfecteerd zijn geraakt. Als ik het artikel mag geloven kan dit alleen via een Java-exploit want IE zie ik nu niet direct hierop draaien...

Ze worden steeds geraffineerder moet ik zeggen.
Voor 800.000 euro kun je ook heel wat professionele programmeurs inhuren om e.e.a in elkaar te zetten!
Ja, voor de playstation 3 heb je een browser en je kan er ook een standaard USB keyboard aanhagen.


Vind het wel al ver gaan als we binnenkort AV-software gaan moeten installeren op consoles. :/
Waarschijnlijk omdat je kunt internetten via deze consoles. De gebruikers zullen dus de site van hun bank hebben bezocht via hun console.
Internetten met een apparaat is niet voldoende, de malware moet ook geinstalleerd kunnen worden. Dan zul je toch echt een compatibel OS moeten hebben draaien!
Internetten opzich niet nee. Maar aangezien er minimaal 6 manieren zijn om besmet te raken via de banners is de kans een stuk groter dat een apparaat dat kan internetten ook daadwerkelijk besmet raakt. Voor de IE exploits hoef je op de PS3 niet bang te zijn, maar dus wel voor minimaal ÚÚn van de andere.
De meeste exploit-kits die ik in het wild tegenkom (op gehijackte sites) bevatten meestal tussen de 50 en 100 unieke "exploits" niet "slechts minimaal 6" ... En "Oost-Europa" is meestal Rusland ;)
De Oekraine om precies te zijn, soms Wit Rusland. Dat is niet precies Rusland.

Vreemd dat er nog zoveel gepikt is, het is daar redelijk breed uitgemeten in de pers. Dit bericht is al van 26 april...
ik denk omdat java multi-platform is!
en neem aan dat ze hem ook in een multi-platform taal gescheven hebben!
Blijkbaar mensen die Linux op hun Wii of Playstation 3 draaien? Iets anders kan ik niet verzinnen.
Gelukkig hebben wij hier codes die we moeten gebruiken om transacties te voltooien :)

Dit zal dus nooit voor gaan komen bij de Rabobank of ING ( ik weet niet of andere banken ook met tan/whatever codes werken)
en een trojan moet dan wel zo geavanceerd zijn om ook de sms van ing te onderscheppen, die te lezen en dan ook nog eens de TAN-code in te voeren, dan moet eerst de ing-server besmet raken, dan de computer, haast onmogelijk
en een trojan moet dan wel zo geavanceerd zijn om ook de sms van ing te onderscheppen, die te lezen en dan ook nog eens de TAN-code in te voeren, dan moet eerst de ing-server besmet raken, dan de computer, haast onmogelijk
Of via bluethooth je mobiel besmetten, natuurlijk...

[Reactie gewijzigd door AMS76 op 11 augustus 2010 12:45]

Ik heb m'n TAN codes nog lekker op papier. Probeer dat maar is te onderscheppen ;)

Ik snap niet dat de Britten ook niet zo'n soort systeem hebben om transacties te voltooien. :S
Natuurlijk wel, als je systeem gecompromitteerd is, is alles mogelijk. Als de trojan ervoor zorgt dat het op je scherm lijkt alsof je een legitieme betaling doet en op de achtergrond deze halverwege cancelled en een eigen clandestiene betaling uitvoert met dezelfde TAN. Of aan de verzendlijst een extra transactie toevoegt, maar deze niet op het scherm toont, die jij vervolgens vrolijk met een TAN bevestigt. Toegegeven, het is lastig, want de trojan zal bijvoorbeeld de teksten van '3 betalingen met een totaalbedrag van 1400 euro' allemaal aan moeten passen en bovendien de browser zo moeten hacken dat deze de gekleurde Class 3 Extended Validation Certificates -adresbalk blijft weergeven tijdens de transactie.

edit:
In het SMS-je staat inderdaad het totaalbedrag, zoals hieronder door mensen wordt gemeld. Dan wordt het voor de Trojan heel moeilijk...

[Reactie gewijzigd door Henk007 op 11 augustus 2010 23:00]

Gelukkig hebben wij hier codes die we moeten gebruiken om transacties te voltooien
Zoals ik het lees worden nog niet verstuurde transacties gemanipuleerd.
De software verandert zonder dat de gebruiker het ziet het bankrekening nummer van de begunstigde.
Hardware tokens en TAN-codes bieden hiertegen geen enkele bescherming.
Begunstigde is inderdaad aan te passen, maar bedrag niet. Dat staat namelijk ook in het SMS-je, en kan (en moet!) je dus controleren.
Welk SMS'je ? Ik heb TAN codes op papier.
Overigens controleer ik alles dubbel dankzij deze oplichtingspraktijken. En ik kan me de ellende nog herinneren van het bestolen zijn van 25 Eurocheques. De sores die je er van hebt.
die tan-codes die jij op papier hebt zijn vastgelegd aangezien het geen e-paper is waar het op staat, en dus moet er een mogelijkheid zijn dat te onderscheppen, te reproduceren of domweg te gokken...

mijn mening dus een typisch voorbeeld van "security trough obscurity", in theorie is het een heel erg veilig systeem, maar de feilbaarheid hangt uiteindelijk volledig van die geheime lijst met tan-codes af, zodra dat gelekt of gekraakt is ben je gigantisch de sigaar...
Lijkt me inderdaad dat het bij de Rabo, Fortis, ABN (Random Reader), ING (Tan Code) niet zo snel zal gebeuren... tuurlijk.. als ze ECHT zouden willen zou de ING te doen zijn door in te breken op het SMS netwerk of zo. :+
Leuke gedachten oefening. We gaan er vanuit dat de malware volledige controle heeft over de browser en dus over alles wat het slachttofer ziet.

De malware wacht tot het slachttofer een betaling doet en zodra dat gebeurd maakt ie zelf ook een opdracht aan.

De malware verbergd die opdracht op alle manieren (verzendlijst, totaal bedrag, etc). Het slachttoffer gaat over tot verzending, krijgt TAN code en voert de tancode in.

De malware is zo slim dat hij het slachttofer zo lang mogelijk voor de gek houdt door constant een vals saldo en overzichten te tonen.

Dus tot het slachttofer bij een pinapparaat, met een niet besmette computer inlogt bij bv ING, zijn overzichtje krijgt of er onverwachts bij de winkel "onvoldoende saldo" staat weet ie van niks.

Komt geen SMS netwerk hacken aan te pas. Het is maar een theorie maar ik geloof heilig dat met genoeg kennis, kunde en wil elk systeem wel te omzeilen is. De zwakste schakel is en blijft een mens.

Tis maar een idee, denk je dat dit zou werken en hoe zou een bank zich hiertegen kunnen berschermen als het zou werken?

edit: sarcasme verwijderd.

[Reactie gewijzigd door TheNox op 11 augustus 2010 13:03]

leuk bedacht, maar nee.
Het smsje dat je krijgt bij de ING heeft het totaal bedrag van de verzendlijst erin staan.
Veel succes aan de 'hackers' om dat te laten doen.

nu kan je zeggen, smsjes lees je niet, je zoekt de code op.. maar daar gaat het nu niet om
Je hebt gelijk, nooit op gelet (niet zo slim) maar het staat inderdaad in het smsje. Maar je geeft eigenlijk zelf ook al aan dat er genoeg mensen zijn die daar niet actief op letten. Leuk dat ING er al (bewust of onbewust) rekening mee heeft gehouden.

Vond zelf ook leuk bedacht maar ik betwijfelde zelf ook of het uberhaubt mogelijk is zo'n nivo van controle over een browser te krijgen.
Leuke gedachtenoefening inderdaad.

De ING (of een andere bank) zou natuurlijk de TANcode af kunnen laten hangen van het bedrag en de tegenrekening(en), zonder dat de relatie tussen die drie duidelijk wordt natuurlijk.
Misschien doen ze zoiets al?
Nee en dat zal ook nooit gebeuren.
Als er een relatie zou bestaan, komt vroeger of later iemand wel achter het mechanisme. (Door bijvoorbeeld elke 10 minuten hetzelfde bedrag naar steeds dezelfde rekening over te boeken en tussendoor je saldo weer aan te vullen, om zo de Tancode te vergelijken. Enige variabele is nu nog het tijdstip)
Je kan dan steeds een andere variabele pakken en uiteindelijk een met redelijk percentage valide TAN codes kunnen berekenen. Met een botnet zoals in dit bericht van 280.000 computers zul je dan bij aardig wat klanten geld kunnen overschrijven.
MoneYou heeft als opdrachtbevestigingscode het wachtwoord dat ook nodig is om in te loggen. Da's al weer een stuk minder snugger.
Maar MoneYou is een spaarrekening, en je kan alleen naar je eigen betaalrekening boeken. Daar heb je als criminele hacker niet zoveel aan...
Wat waren die codes ook alweer? :+
ING wordt meestal gedaan door de wat kleinere jongens met meer tijd die al blij zijn met een paar rekeningen. Die lui passen wat Social Engeneering toe en dan zijn ING rekeningen van na´eve mensen ook leeg te roven.
besmete consoles :'(
en ook linux en osx gevalen betekent wel dat ze op alle groepen focusen echt iets om van te balen als je met unix gaat om juist geen virusen te krijgen

[Reactie gewijzigd door maarten12100 op 11 augustus 2010 12:17]

besmette consoles met linux mss? dat lijkt mij toch het meest voor de hand liggende.
Waarom is dat voor de hand liggend?
Zowel de PS3 als de Wii hebben gewoon een browser hoor?
Deze zouden theoretisch gewoon kunnen worden besmet.
(zie mijn andere opmerking....ik denk dat het niet helemaal zo gegaan is als hier wordt gesuggereerd)
Wat voor de land ligt is dat de java exploit script op de console genesteld de troian op het systeem gezet heeft. No shit java = java.
Maar dat dan de troiyan/keylogger/root kit waarschijnlijk helemaal de weg kwijt is omdat het een win32 binair zal zijn.

Linux ge´nfecteerd door virussen? daar voor heeft Linux te veel biodiversiteit. (in tegen stelling tot de windows familie die meestal allemaal vatbaar zijn voor dat digitale tuig)

BTW: De bank is minstens zo schuldig zonder een vorm van dongel/identificeer/tan codes/sms verificatie. transacties laten uitvoeren.

[Reactie gewijzigd door daft_dutch op 11 augustus 2010 17:14]

en ook linux en osx gevalen betekent wel dat ze op alle groepen focusen echt iets om van te balen als je met unix gaat om juist geen virusen te krijgen
Dit is geen virus maar een trojan!
Mac OS users: 3851/ Linux users: 359 / Windows users: 121582+106000+56826

lijkt er op dat de linux users nog wel veilig zitten. Een paar stomme users die op de verkeerde banner klicken of de verkeerde pdf downloaden. Ik vind het jamer dat de enige oplossing die ze bieden het in huren van hun dienst is. Logisch ook wel.
Er zijn natuurlijk ook veel minder Linux users dan Windows users. Ik denk dat dat een betere verklaring is.
Al zouden het maar 1% van de gebruikers zijn....kijk eens naar de getallen?
284408 windows gebruikers (ik gebruik even de getallen van AwesomeKid123)
1% daar van zou 28440 2844 gebruikers moeten zijn en niet 'maar' 359....
Dus alleen de hoeveelheid gebruikers is niet de verklaring

@ChrissieOne: Sorry :o |:( te snel getypt...

[Reactie gewijzigd door buzzin op 11 augustus 2010 14:12]

Mensen die Linux gebruiken zijn nu eenmaal van een andere 'slag' dan de reguliere Winows gebruikers. Ik bedoel hiermee, dat de mensen die weinig verstand van computers hebben en dus over het algemeen het minst beveiligd zijn Windows draaien. Ook de criminelen zullen hier rekening mee houden en vooral naar exploits voor Windows zoeken en toepassen.
Wordt dit een score 2 toegekend? 284408/100 = 2844, nog steeds 8x zoveel als Linux gebruikers, maarja, Linux users zijn meestal wat minder naief dan Windows users... (oftewel: meer naieve Windows users, ik gebruik ook windows maar heb geen enkel virus of trojan op mijn pc staan.... En dat terwijl de firewall uitstaat...)

Net zoals DarkTemple hierboven zegt dus :/

[Reactie gewijzigd door ChrissieOne op 11 augustus 2010 13:21]

Oh dus de users zijn stom omdat ze pdfjes downloaden of op banners klikken?
Ik dacht dat dat juist de bedoeling was?
Of leef jij soms ook in een grot (met wifi en een notebook)?
Wel benieuwd hoe ze van plan zijn besmette Wii's te kuisen. Ik heb nog niet echt een antivrius of malware detector gezien voor de Wii. Ook benieuwd of ze het geld nog gaan kunnen terugvinden.


Mss ben ik een semantisch zak maar volgens mij is plunderen niet echt de juiste woordkeuze. Plunderen is volgens mij toch leegroven. Even snel rekenen.

800.000/3000 = 266,67 euro

Ok Britten zijn niet rijk, maar ik ga er wel van uit dat iets meer geld dan dat op hun rekening zullen staan hebben
Daarbij gaat het om relatief kleine bedragen om zo te voorkomen dat de fraudedetectie-mechanismen van de bank alarm slaan
Het is jammer dat het artikel niet vermeld of de gedupeerden ook schadeloos zijn gesteld door de desbetreffende bank. Het lijkt mij zeer belangrijk om te weten of je al dan niet je geld terug krijgt na een dergelijk voorval..

Overigens is het een prima optie om een betaalrekening te hebben met daaraan een spaarrekening gekoppeld. Je kunt doorgaans niet direct overmaken vanaf een spaarrekening, je moet eerst overboeken naar een betaalrekening. Dat is een extra horde die genomen moet worden en wellicht is er dan nog tijd om schade te voorkomen ;)
800.000 euro stelt voor een beetje bank helemaal niks voor.
De negatieve naweeŰn van het niet uitkeren zullen veel meer kosten.
En uiteindelijk is dat de enige reden om wel of juist niet het geld terug te geven.

Ik ben zelf 1x geskimd voor 600euro en kreeg toen binnen een week mijn geld terug.

[Reactie gewijzigd door Sinned123 op 11 augustus 2010 18:52]

Als ik het document goed begrijp....zijn die linux/PS etc machines helemaal niet besmet perse. Ze hebben alleen de geinfecteerde banners/pdfs etc binnen gekregen.
Dat is nogal iets anders als de machine besmetten....

(please correct me if I am wrong)

[Reactie gewijzigd door buzzin op 11 augustus 2010 12:46]

De PS3 ken ik niet goed genoeg, maar met de Wii kun je verbinding maken met internet. Je raakt met Zeus ge´nfecteerd bij het bezoeken van een webserver waarop Zeus draait. Als je via je Wii naar naar deze webserver gaat, raakt je systeem ge´nfecteerd, als de firmware dit niet tegenhoud, wat in de meeste gevallen niet het geval is.
Met een exploit die via je browser wordt geladen, kan je shellcode laten uitvoeren op de machine. Waarom dit niet op een wii of PS3 zou kunnen, mag iemand me hier uitleggen.
Feit blijft dat het een geslaagde actie is; banken zijn hier toch tegen verzekerd dus echte slachtoffers zijn niet gemaakt. En bespaar me uw hoon betreffende het feit dat het zelfs dan gewoon stelen blijft; daar ben ik het mee eens. Maar ook dan kun je iets geraffineerd stelen of amateuristisch :P En vergeet hierbij niet dat banken ons al sinds hun geboorte een poot uitdraaien.

[Reactie gewijzigd door SjaakSjaaksma op 11 augustus 2010 12:21]

En vergeet hierbij niet dat banken ons al sinds hun geboorte een poot uitdraaien.
Dan stop je je geld toch lekker in een oude sok? Of je leent het persoonlijk uit aan iemand die je er rente over betaalt, dan krijg je het bijbehorende risico er gratis bij.

De 'echte slachtoffers' zijn de mensen die de verzekeringspremies opbrengen die voorzichtig genoeg zijn om dit niet te laten gebeuren. Je draait dus jezelf een poot uit.
Feit blijft dat iemand het zal moeten betalen en de premies voor die verzekeringen komen uiteindelijk ook gedeeltelijk uit de zakken van de klant.
Dan gaan de verzekeringspremies omhoog en dus de bankkosten... Uiteindelijk moet alles toch betaald worden door de consument.
Niet helemaal waar, de banken met de slechte beveiliging moeten nog steeds concurreren met andere banken, de slecht banken maken dus gewoon minder winst, de aandeelhouders betalen.
banken zijn hier toch tegen verzekerd dus echte slachtoffers zijn niet gemaakt
Uiteindelijk blijft het de consument, dus ook jij en ik, die indirect voor de schade op gaan draaien.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True