Hoe gaan cybercriminelen te werk?

Internetbankieren is populair en niet zonder reden; vanachter je pc kun je eenvoudig je bankzaken regelen. Wat dat betreft heeft internetbankieren meer overeenkomsten met de trojan SpyEye dan op het eerste gezicht lijkt, want ook SpyEye is laagdrempelig en gebruiksvriendelijk. In deze demonstratie laat beveiligingsexpert Etay Maor van beveiligingsbedrijf RSA zien hoe je, zonder al te veel technische expertise, deze trojan kunt inzetten om bankfraude te plegen.

De SpyEye-trojan biedt kwaadwillenden de mogelijkheid om een gebruiker bankgegevens te ontfutselen, toetsaanslagen te registreren en screenshots te maken van wat een gebruiker aan het doen is. Zonder al te veel expertise kan de trojan worden bediend. De criminelen die de trojan gebruiken, zijn daardoor niet langer per se de bouwers van de trojan. In plaats daarvan kopen ze software, zoals SpyEye of ZeuS.

IT-banen

Reacties (194)

Booster 29 mei 2012 15:21

De extra velden worden geinjecteerd in het formulier van de bank, en dus ook naar de bank verzonden neem ik aan. Tenminste, ik zie geen manieren om dit in de trojan weer af te vangen on POST. Dit betekend dus dat een bank dergelijke injecties zou kunnen detecteren.

Het geven van een door de bank vooraf bepaalde random naam aan de HTML input fields zou dit mechanisme kunnen versterken: indien er vreemde velden in de POST zitten, is er een grote kans op de aanwezigheid van een trojan.

Ben benieuwd of dit momenteel al gebeurd.

wildewouter @Booster • 29 mei 2012 15:57

Maar dan is het al wel te laat voor de gebruiker. Maar het zou inderdaad gemakkelijk kunnen om de POST uit te lezen en te kijken of er niet teveel variabelen inzitten.

Booster @wildewouter • 29 mei 2012 16:19

Niet persee. De bank kan aan de hand van dergelijke gegevens, samen met andere signalen, de transacties blokkeren en daarmee de uiteindelijke fraude voorkomen.

Het is natuurlijk zo dat het geen preventieve maatregel is in de zin van: een waarschuwing voordat het onheil geschied is. Maar in dit stadium is ieder extra een nuttige extra, denk ik.

Coming to think of it, wellicht dat het met AJAX mogelijk is om, terwijl iemand een form invult, te checken welke formuliervelden er zich allemaal op de pagina bevinden en evt. 'vreemde' velden uit te sluiten van invoer. Het script dat dit doet zou vervolgens natuurlijk weer vervangen of verwijderd kunnen worden met een losse inject. Bottom line: het blijft een spelletje

--Andre-- @Booster • 29 mei 2012 20:34

als je een input tag zonder name property hebt, word deze wel weergegeven maar niet verstuurd naar de server. Als je trojan deze tekst wel kan vangen, ziet de kant van de bank er niks van

edit: "name" -> "name property"

[Reactie gewijzigd door --Andre-- op 24 juli 2024 18:49]

BastiaanN @Booster • 29 mei 2012 16:15

Dat is ook weer vrij eenvoudig ongedaan te maken. Je zou bijvoorbeeld met javascript de velden weer kunnen laten verwijderen (of via ajax ergens anders naartoe laten posten) zodra je op de submit button klikt en pas daarna het form laten submitten.

Wilbert de Vries @Booster • 29 mei 2012 16:58

Ik denk dat dit in de praktijk al wordt gedaan. Ik koppel daar in ieder geval al snel berichten aan nieuws: Beveiligingstest ING liet bezoekers denken dat site was geïnfecteerd in mijn achterhoofd

Anoniem: 109989 @Booster • 29 mei 2012 19:34

De extra velden worden geinjecteerd in het formulier van de bank, en dus ook naar de bank verzonden neem ik aan. Tenminste, ik zie geen manieren om dit in de trojan weer af te vangen on POST. Dit betekend dus dat een bank dergelijke injecties zou kunnen detecteren.

Het geven van een door de bank vooraf bepaalde random naam aan de HTML input fields zou dit mechanisme kunnen versterken: indien er vreemde velden in de POST zitten, is er een grote kans op de aanwezigheid van een trojan.

Ben benieuwd of dit momenteel al gebeurd.

Je zou ook bijvoorbeeld in javascript, wanneer er bijvoorbeeld een keydown event wordt getriggerd alle dom inputs kunnen opvragen en vergelijken met een lijst van inputs die er in horen te zitten. Als dit niet matched dan weet je dat deze extra velden geinjecteerd zijn voordat er gegevens in zijn gevuld, dus voordat de schade is ontstaan. Totdat spy eye en andere spyware inputs bijvoorbeeld gaan emuleren in flash of java...

Eigenlijk zouden alle dom elementen moeten worden gechecked op validiteit. wanneer er gevoelige informatie wordt ingetyped...

[Reactie gewijzigd door Anoniem: 109989 op 24 juli 2024 18:49]

Wmm @Booster • 29 mei 2012 22:12

Ik weet het niet zeker maar ik neem aan dat het injecten van de extra input velden in de html gebeurd door het netwerkverkeer te monitoren en daar al de html te includen, dus nog voordat het naar de browser gaat.

Het opvangen van de ingevoerde waardes zal dan waarschijnlijk op dezelfde manier maar omgekeerd gebeuren. Eventueel kan het daar dan ook weer de inputvelden uit wegpoetsen zodat ze uiteindelijk niet op de server van de bank aankomen. De trojan moet dan wel slim genoeg zijn om te zien dat jij inputvelden geinjecteerd hebt en deze in de postback kunnen herkennen.

Op 13:18 in het filmpje zie je ook dat ze de alle headers van de postback te zien krijgen, dus ik vermoed dat bovenstaande het geval is (maar dan zonder het verwijderen van de overbodige velden).

Zoals al door andere mensen aangegeven: het is inderdaad natuurlijk mogelijk voor de bank om te controleren hoeveel velden meegestuurd worden en alarm te slaan als er iets niet in de haak is. Dat geeft de gebruiker dan nog kans om zijn / haar CC te blokkeren en de trojan te verwijderen voordat er nog meer kwaad mee gedaan wordt.

Je andere opmerking om met AJAX wat controles uit te voeren (en dat geldt ook voor de opmerking van kajdijkstra), dat zou wel mogelijk zijn maar ook gemakkelijk te omzeilen. Er is dan voor de aanvaller ook makkelijk iets te injecteren dat de AJAX controle om zeep helpt. Alles wat aan clientside gebeurd is door deze trojan ongedaan te maken, dus is niet betrouwbaar. De enige 100% controle die de bank hierop kan doen is serverside controleren hoeveel en welke velden gepost worden.

Wat --Andre-- zegt, input elementen zonder name attribute, zullen voor de trojan weer niet werken als het versturen en onderscheppen van de data gebeurd zoals ik hierboven beschreef. Immers worden ze niet meegestuurd in de callback.

Centropy 29 mei 2012 11:32

Toch zie ik niet veel improvement met vroeger Backorfice en sub7 en dat soort... behalve dat het iets met de tijd mee is gegaan... Maar zoals aangegeven, dit is de meest gebruikte en gebruiksvriendelijke, er zijn nog veeeeel engere trojans die nog veel meer geavanceerde dingen doen, zoals je complete banktransacties on the fly aanpassen met een voor jouw legeitieme output, maar ondertussen betaal je niet 120,- euro aan je zorgverzekering maar je gehele banksaldo aan Vladimistko Snakovish in wit rusland.... (verzonnen naam)

Dat soort gein is allemaal mogelijk...

[Reactie gewijzigd door Centropy op 24 juli 2024 18:49]

3raser @Centropy • 29 mei 2012 13:24

Bij de Rabobank moet je bij hoge bedragen ook het bedrag zelf als bevestiging invoeren op je Random Reader. Je kan dus nooit ongezien 5000 euro overmaken als er in de transactie 120 euro wordt genoemd. Bij echt grote bedragen (geen idee hoe groot, maar dacht zo'n 2000+ euro) wordt ook het rekeningnummer van de ontvanger nog als bevestiging gevraagd.

Ik vraag me toch echt af in hoeverre dat systeem te kraken is. Iedere gebruiker moet daar toch direct kunnen zien dat er iets mis is.

NotSoSteady @3raser • 29 mei 2012 13:46

Het blijft er nog steeds voornamelijk op gericht op CC informatie te bemachtigen. De banken worden steeds slimmer al zullen er vast wel uitzonderingen zijn.

questo @NotSoSteady • 30 mei 2012 15:37

In dat geval zal het vrees ik een kwestie van tijd zijn voor ze dit soort trojans niet in gaan zetten op webpagina's van banken maar van bekende online winkelbedrijven. Niemand kijkt raar op als hij bij Dell al zijn creditcard informatie moet afgeven bij het doen van een bestelling.
Die trojan kan dan zonder dat het ook maar enige argwaan wekt creditcard informatie verzamelen.

Niosus @3raser • 29 mei 2012 14:16

Tweakers gaan dit rap doorhebben, maar mijn moeder ramt gewoon blind alle getalletjes in die gevraagd worden. Veel mensen nemen de tijd niet eens om het allemaal te lezen, waarom denk je dat er van die mooie logotjes bij staan die exact overeen komen met de knoppen.

aadje93 @3raser • 29 mei 2012 14:38

Je snapt zijn uitleg denk niet, het gaat erom dat "on the fly" (dus onderscheppen van data pakketen ~ modificeren ervan) gebeurt. Nadat jij leuk bevestigt hebt €120 te willen betalen word het even aangepast naar ook gelijk een transactie voor de man uit wit rusland

i7x @Centropy • 29 mei 2012 16:18

Zo, dat is oldskool. Ten minste voor mij dan. Geloof het of niet maar ik klootte, samen met vrienden, met die programmas toen ik nog in groep 7 van de basisschool zat. Niet dat we destijds naar creditcards aan het vissen waren. Het open en dicht doen van de CD drive was al lollig genoeg.

Ja, mooie tijden... ^^

aadje93 @i7x • 29 mei 2012 19:06

doet mij inderdaad ook terug denken aan dingen als netsend/cd-dvd drives van het hele computer lokaal tegelijk open laten gaan.

visual basic at its best

--Andre-- @aadje93 • 29 mei 2012 20:14

Oeh!! net send.... de stagain in het serverhok met de docent erbij, ik mijn scriptje aangezet die server spammen.

Dostar @Centropy • 30 mei 2012 22:19

Vroeger ook wel wat gespeeld (lees uit testen op en met toestemming van vrienden) met back Orrifice en Sub7, waren in die tijd wel leuk, vooral het spelen met hardware (cd-rom speler openen etc.).

Er is op zich niet zo heel veel veranderd zie ik nu, behalve dat je nu belachelijk veel betaald voor een trojan (en plugins) die je toen makkelijk gratis overal kon vinden

Gelukkig hoef je niet echt bang te zijn voor trojans als je goede AV aan hebt staan en tevens in een sandbox omgeving werkt en/of gewoon veilig browsed en geen vage linkjes en attachments opent zoals op het einde van het filmpje wordt verteld.

erikloman 29 mei 2012 11:50

Zie ook dit achtergrond-artikel van twee weken geleden over hoe malware geld van je online bankrekening steelt:
http://www.security.nl/ar..._bankrekening_steelt.html

En deze reportage van BBC Click:
Part 1: http://www.youtube.com/watch?v=DUnZMwXCkyw
Part 2: http://www.youtube.com/watch?v=14TZOjG97EM

Anoniem: 325202 29 mei 2012 12:49

Ja ze zeggen dat het heel makkelijk is maar ze laten ondertussen niet zien hoe het geld voor je zogenaamd binnenstroomd. Maar ze claimen wel dat dat juist zo makkelijk is! Ook jammer dat ze niet meer over de Zeus trojan praten die nog voor Spy-Eye was maar wel één van de bekendste banking trojans is. Beide zijn trouwens gewoon gratis te downloaden je hoeft er geen geld voor te betalen. Alleen misschien als je één unieke versie wil die nog niet gedetecteerd is.

Maar goed als je zo een versie download is die waarschijnlijk al wel gedetecteerd. Dan kun je hem met een hexeditor weer undetected maken voor 3 dagen en daarna is hij weer gedetecteerd. Dus zo makkelijk lijkt me dit niet. En je gaat er ook niet voor betalen want de kans dat je wordt opgelicht is behoorlijk hoog.

tc982 29 mei 2012 13:21

Dit laat dan ook aantonen dat virussen schrijven geen script kids, of gepassioneerde programmeurs zijn. Maar dat dit tegenwoordig een tak van de economie is. Bijvoorbeeld de makers van Zeus hebben dat goed gezien. Je kon deze kopen, met een garantie. Minstens 3 maand ondetecteerbaar, of je krijgt je geld terug.

Vervolgens verkopen ze dit onder gesloten fora's, aan mensen die aan het "shoppen" zijn. Er word gewoon verhandeld.

Een criminele organisatie ( en dat is het ondertussen echt wel, volledig in de handen van de maffia en consoorten ), gaan dan shoppen. Iemand die een botnet "harvest" gaat dus aan de slag met Zeus, en huurt iemand in om een payload te schrijven. Dit is dan het eigenlijke virus dat een bepaalde functie heeft. Zeus doet enkel de initiele besmetting en vervolgens de rest komt van de command / control servers.

Vervolgens worden deze dan ingehuurd door een organisatie die x-aantal miljoen pc's wilt. Je koopt er een paar gehackte RDP servers bij zodat je command / control servers kan installeren. Vervolgens huur je iemand in die de specifieke payload schrijft ( Keylogger, etc ).

Het is echt ongeloofelijk hoe deze onderwereld marcheert, volledig met erecodes en afspraken op digitaal papier.

Vergis je niet, het zijn geen kiddies meer, deze markt is volwassen!

Anoniem: 244101 29 mei 2012 11:24

Bankfraude, wat moet ik mij daarbij voorstellen? Aangezien je met login en password van bijvoorbeeld ING.nl nog niet veel kan aangezien je de TAN codes moet hebben.

darkmagic @Anoniem: 244101 • 29 mei 2012 11:25

het vraagt ook de tan-codes

braaibander @darkmagic • 29 mei 2012 11:27

Tan codes worden via de telefoon afgegeven wanneer je ze nodig hebt, en zijn maar eenmalig bruikbaar. Het meeste geld zit hem dan ook in creditcard gegevens.

CMG @braaibander • 29 mei 2012 12:32

Je kan dan ook een targeted script maken dat gewoon de tancode die je invult afvangt en ipv jouw actie te doen bedrag X overmaakt op willekeurige rekening en vervolgens op alle pages dat rekeningnummer uit de HTML filteren, is niet moeilijk.

mainvoid @CMG • 29 mei 2012 13:47

Je bedoelt dat je het rekeningnummer gewoon 'omwisselt' met een eigen rekeningnummer en het dan in de HTML vervangt door het originele rekeningnummer waar het heen zou moeten? Als dat mogelijk zou zijn, dan zou Rabobank daar ook vatbaar voor zijn. Daar moet je in de random reader namelijk een verificatiecode (en bij grote bedragen ook het bedrag) invullen.

Ik denk dat het veiliger zou zijn als je bij de Rabobank dan ook het rekeningnummer waarnaar het gaat voor een deel in de Random Reader zou moeten typen om dat ook te verwerken in de bevestigings code. Op deze manier zou je dit soort fraude redelijk kunnen voorkomen.

Sissors @mainvoid • 29 mei 2012 14:04

Dat is ook al het geval bij nog grotere bedragen. Maar je krijgt het altijd bestaande probleem van gebruikersvriendelijkheid <> veiligheid (en als iets erg gebruikersonvriendelijk is, wordt het er ook niet veiliger op, zie Vista's UAC, of de klachten over dat je iig bij sommige linux distros voor elk klein detail je wachtwoord moet invoeren).

mainvoid @Sissors • 29 mei 2012 14:42

Dat is zeker waar. Maar ik denk dat op het moment dat je er een goed verhaal bij hebt, dat gebruikers het wel doen.

De vergelijking met Vista gaat niet helemaal op, omdat je daar gewoon je wachtwoord in moest vullen. Hier moet je het bedrag wat je over wilt maken invullen en het rekeningnummer waarnaar. Dat is toch net iets anders.

questo @mainvoid • 30 mei 2012 15:29

Gezien het feit dat die trojan het toestaat om hele scripts te injecteren op een website, moet het wel mogelijk zijn om via Javascript een rekeningnummer te herschrijven. Dan zou je het pas zien als het afschrift op de mat valt (als dat nog gebeurt)

Bij hele grote betaalopdrachten wordt bij de Rabobank als derde challenge een van de rekeningnummers gevraagd waarnaar geld overgemaakt wordt. Ik geloof dat de limiet daarvoor op een totaal transactiebedrag 5000 euro ligt.

Die limiet zou je verder omlaag kunnen brengen maar dan beland je weer in een discussie over bruikbaarheid vs. veiligheid. Veel mensen verwerken meerdere betalingen in één opdracht. De kans dat er gevraagd wordt om het valse rekeningnummer in te tikken wordt dan kleiner. Als je alle rekeningnummers zou laten intikken, dan wordt het weer vervelend voor de gebruiker.

Misschien zouden banken na het bevestigen van betaalopdrachten direct een mail moeten sturen naar een gevalideerd e-mailadres waarin een overzicht van de betaalopdrachten weergegeven wordt. Dat systeem is ook niet waterdicht maar dan zie je het tenminste fout gaan zelfs als die trojan met wat handige scriptjes de valse betalingen weet te maskeren.

[Reactie gewijzigd door questo op 24 juli 2024 18:49]

Arietje @CMG • 29 mei 2012 13:04

Misschien dat ING hier dan nog veiliger is dan andere banken, omdat je in de SMS het bedrag ook ziet. Op die manier kan je dus niet het bedrag ongezien aanpassen waar je bij andere banken alleen met de veiligheidsnummers werkt. Als ING nou ook nog het rekening nummer in de SMS vermeld ben je helemaal compleet. Maar misschien dat daar andere overwegingen in meespelen.

Blacer @Arietje • 29 mei 2012 14:53

Dus als zij dan alleen precies hetzelfde bedrag naar hun eigen rekening doorsluizen, is er bijna geen manier dat je het als consument kunt opmerken.

ari @Blacer • 29 mei 2012 17:19

Tot je bericht krijgt dat het door jou overgemaakte bedrag nooit is aangekomen. Bovendien kan zo alleen geld worden gestolen dat je sowieso zelf al ergens aan wilde uitgeven, waardoor je niet in één keer je volledige saldo kwijt bent als je gegevens gestolen worden.

Mega-Druif @Blacer • 29 mei 2012 23:47

Er zijn 3 controle punten die de ING gebruikt, te weten:
- Totaalbedrag
- Volgnummer (van de overboeking)
- TAN code

Ik denk niet dat dit zo 1 2 3 af te vangen en om te leiden is.

Donool @Anoniem: 244101 • 29 mei 2012 11:27

Komt bij dat je een ING kan koppelen aan Paypal oid. zonder TAN codes en alsnog kan legen.

Iedereen kan een botnet beginnen, de download link is vrij simpel te vinden en de crack/patch ook, vet veel guides zijn er te krijgen als je weet waar te zoeken. Heb zelf een keer Spyeye op mn pc geopent om het te proberen(Virtueel systeem) en het werkte zoals de video als aangeeft super simpel.

Moet je je voorstellen dat elke willekeurige 17 jarige dit kan, dan heb je een serieus probleem want niet iedereen is verstandig genoeg om dit niet te gebruiken..

[Reactie gewijzigd door Donool op 24 juli 2024 18:49]

DaZi @Donool • 29 mei 2012 11:33

PayPal koppelt niet aan ING. Je geeft PayPal slechts toestemming om een automatische incasso uit te voeren. Dat had elk ander bedrijf or organisatie ook kunnen zijn.

aadje93 @DaZi • 29 mei 2012 14:36

Helaas kan iedereen zichzelf gewoon toestemming geven voor een automatisch incassotje. Je vult de rekeningshouder zijn/haar naam in. Het juiste nummer en legen maar.

Te gek voor woorden dat zoiets in NL mogelijk is

mainvoid @aadje93 • 29 mei 2012 14:43

Kan dit wel zomaar? Lijkt me dat daar al veelvuldig misbruik van gemaakt zou zijn dan.

i7x @mainvoid • 29 mei 2012 16:15

Ja dit kan zomaar en ja er is ook vaak misbruik van gemaakt. Ikzelf ken ook persoonlijk iemand die hier slachtoffer van in geworden. Zoals DaZi al aangaf komt dit omdat je toestemming geeft voor een automatisch incasso. Gewoon net als je telefoonrekening en zorgverzekering dus. Het enige verschil is dat de incasso nu van een andere bank komt en je vanaf daar zoveel kunt incasseren als je maar wilt.

--Andre-- @Anoniem: 244101 • 29 mei 2012 20:09

Andere banken zoals rabo en abn-amro hebben een kastje waar je pin-pas in moet en een code genereert. Maar ik kan me voorstellen dat niet elke bank zoiets heeft, vooral als je voorbij onze landsgrenzen kijkt.

Dynion 29 mei 2012 11:54

ben ik de enige die het eng vind dat dit zo openlijk wordt laten zien?

Bakko @Dynion • 29 mei 2012 12:09

Ach, de criminelen die dit doen of willen gaan doen komen er toch wel achter hoe het werkt. Bovendien is dit filmpje vrij oppervlakkig. Mij heeft het in ieder geval alleen maar bewust gemaakt hoe eenvoudig het eigenlijk is. Tijd voor een virusscan!

nst6ldr @Dynion • 29 mei 2012 12:21

Onterecht, deze tools zijn zó makkelijk te krijgen dat een media coverage meer of minder echt geen invloed heeft. Zoek zelf maar eens naar een hacker community via google, ga naar de marketplace boards en je komt genoeg topics tegen van programmeurs die hun trojan verkopen.

HellStorm666 @Dynion • 29 mei 2012 13:07

De verspreiding er van, zeker met tools als SpyEye tegenwoordig, is veel belangrijker dan hoe je even dit tooltje in stel, en dat laten ze gelukkig niet zien

Daarbij... Laat iemand maar zo dom zijn dit te proberen, want dan gebruiken ze hun eigen ip om de gegevens op te halen.
Met als gevolg dat ze snel gesnapt zullen worden.

i7x @Dynion • 29 mei 2012 16:24

Nee, als je iets wilt vinden zul je het op het op internet krijgen ook. Of deze video er nu wel of niet staat. Daarbij, hoe meer je dit soort dingen openbaart, des te meer aandacht het krijgt. En dan bedoel ik in de zin van oplettendheid. Zoals je in de video kunt zien vertrouwen mensen allerlij rare velden die normaal gesproken niet op de website voorkomen (expiratiedatum etc.). Nu vragen ze zich wellicht sneller af of dat allemaal wel klopt.

Anoniem: 244101 29 mei 2012 11:28

TAN codes krijg je op papier of via je mobiel bij ING?

HallonRubus @Anoniem: 244101 • 29 mei 2012 12:01

Via sms.

ocwil @Anoniem: 244101 • 29 mei 2012 14:21

Kan beide

highmastdon @Anoniem: 244101 • 29 mei 2012 15:45

Nummer 4

Je kan zowel op papier als via sms je TAN-code's verkrijgen

Pieterll 29 mei 2012 11:11

Leuke en interessante video! Wel leuk om zulke demonstraties te tonen.

kipneck @Pieterll • 29 mei 2012 11:14

jij kijkt een stuk van 17 minuten in 11 minuten?

mainvoid @kipneck • 29 mei 2012 13:41

ik heb hem ook afgekeken en vond het erg interessant. Zo hoor je het verhaal ook eens van de andere kant. Je weet wel dat je niet standaard als beheerder moet draaien en zelf op moet letten, maar nu zie je hoe makkelijk het eigenlijk is om zo iets te maken / geinfecteerd te worden door zo iets.

Wat ik me nu afvraag; stond UAC uit in de virtuele Windows 7 of had de trojan geen Admin rechten nodig?

haarbal @mainvoid • 30 mei 2012 11:59

dat vraag ik me ook af. Ik heb UAC aan en ik zat echt te wachten op de pop-up

Jammer dat er niet wordt ingegaan op hoe een pc nou daadwerkelijk wordt geinfecteerd, en of de nederlandse banken met random readers ook nog kwetsbaar zijn.

Ik heb een tijdje geleden m'n paypal account opgeheven (omzetten naar prepaid kon niet) omdat ik niet met username / password geld uit wou kunnen geven.

[Reactie gewijzigd door haarbal op 24 juli 2024 18:49]

questo @haarbal • 30 mei 2012 15:17

Deze trojan injecteert stukjes code op websites die je bezoekt. Dat zouden ze zelfs bij Nederlandse banken met Random readers kunnen doen.

In het filmpje werd iets simpels gedaan als het toevoegen van creditcard informatie. Daarvan heb je nog kans dat mensen er niet intrappen. Maar zoals gezegd werd kun je zelfs hele scripts aan een webpagina toevoegen.

Het zou daarom mogelijk moeten zijn om via zo'n injectie extra betaalopdrachten toe te voegen zonder dat de gebruiker het ziet. De trojan zou via de scripts deze betaalopdrachten voor de gebruiker visueel onzichtbaar kunnen maken. Zodra de betaling doorgegeven wordt, kan dan een bedrag overgemaakt worden naar de bad guy.

Ik weet niet hoe het bij andere banken zit maar bij Rabobank zal dit pas opvallen als het totaalbedrag van de betaling tenminste 1000 euro is. Op dat moment wordt er gevraagd om in de Random Reader het totaalbedrag van de transacties in te tikken.

Als die trojan nu alleen betaalopdrachten injecteert als het totaalbedrag klein genoeg is, dan kan dat ding onopgemerkt zijn werk doen. De gebruiker ziet niets van de extra betaalopdracht en valideert de betaling door zelf via zijn random reader de authorisatiecode door te geven.

Zodra het afgeschreven is, heb je het weliswaar snel genoeg in de gaten maar dan is het al te laat...

MoiZie @questo • 14 augustus 2012 12:07

Eehh nee, niet correct. De Rabobank vraagt sinds enkele weken (maanden?) altijd om verificatie van het totaalbedrag!

Zeer interessante video!

tmmke @mainvoid • 29 mei 2012 14:03

Wat ik me nu afvraag; stond UAC uit in de virtuele Windows 7 of had de trojan geen Admin rechten nodig?

Dat vraag ik me ook af, want bij mij staat UAC standaard af.
Maar als dat een trojan kan tegenhouden...

Verder is het een goede video, leuk om te horen hoe simpel het werkt!

djunicron @tmmke • 29 mei 2012 14:44

Natuurlijk gaat dit langs de UAC.

Dat is juist het hele probleem met de UAC, het vraagt om allerlei onzinnige goedkeuringen terwijl het wanneer nodig gemakkelijk te omzeilen is.

Daarnaast zijn trojans zoals deze vaak verpakt in dingen die je wél expres zelf bewust aanklikt, met name warez. Mensen die niet zo handig bezig zijn en allerhande illegale software op hun machine hebben staan hebben maar al te vaak dit soort infecties.

Joost @djunicron • 29 mei 2012 14:49

Natuurlijk gaat dit langs de UAC.

Want Windows is, net als andere software, onfeilbaar en dus kan iets als UAC nooit omzeild worden.

wootah

@Joost • 29 mei 2012 16:43

Ja punt is, dat UAC gewoon een kleine verandering is op wat windows normaal doet. Linux is bijvoorbeeld al standaard gebouwd met rechten, heeft je applicatie geen rechten? dan gaat het hele verhaal ook niet door.

Punt is, dat UAC eigenlijk een beetje voor de computer leek is, zodat ze niet zomaar alles gaan installeren, maar eerst eens even nadenken.

Ik heb deze trojan ook nog even proberen te downloaden samen met wat vrienden, om te kijken wat windows precies deed. Microsoft live essentials kent hem wel, maar dan moet je hem eerst even uitpakken.
De betaalde virusscanners zoals eset en kaspersky vingen hem direct op in de zip file.

Dat geeft wel aan hoe makkelijk het is om jezelf te beveiligen, maar voorkomen is altijd beter dan genezen.
En ja, deze ontwikkeling met userfriendly interface is zorgwekkend te noemen

Rinzwind @wootah • 29 mei 2012 21:42

Uhmmm Windows is ook standaard 'gebouwd met rechten'.
UAC moet je aan hebben staan. Dat heeft als effect dat je zelfs als administrator (ingebouwde admin uitgezonderd) als beperkte gebruiker werkt ookal gebruik je maar 1 account.
Probleem 1 is dat er ook al genoeg rommel geïnstalleerd kan worden in het gebruikersprofiel zelf waar je uiteraard schrijfrechten hebt. Dit is bij mac en linux niet anders. Je kan het verder dichttimmeren door executable code te beperken tot bepaalde submappen. Die functionaliteit is trouwens aanwezig, maar niet actief want daar zitten ook haken en ogen aan.
Probleem 2 is dat via via (lekken) programma's meer rechten kunnen verwerven dan mag.

Beste manier om te zorgen dat je veilig bent is niet klakkeloos overal op klikken, software uit betrouwbare bron gebruiken en alle updates bijtijds installeren. Een av-scanner is pas de evt. tweede linie en laat regelmatig hopeloos iets door....

Tokkes @Rinzwind • 31 mei 2012 21:55

Achnee, laat mensen toch gewoon overal snel op Ja-Next-Finish klikken zodat wat het ook is dat ze willen installeren ook 'werkt'.

Anders zit ik zonder inkomsten ;-)

Nee, even serieus: Je moet 16 zijn om alcoholhoudende dranken te mogen nuttigen, 18 en houder zijn van een rijbewijs om met de auto te mogen rijden, etc etc etc...

Maar elke zot met geld kan een computer kopen en een internetaansluiting aanvragen.
Nu heb ik het zelf ook geleerd door "maar wat te rotzooien", met als verschil dat ik het effectief wou leren.
Gros van de mensen tegenwoordig wilt enkel op facebook kunnen, eens een receptje afdrukken, en eventueel een mailtje nakijken. Als de bezochte site dan zegt dat je 40 toolbars moet installeren, doen die mensen dat gewoon.

kimborntobewild @wootah • 26 juni 2012 22:12

Punt is, dat UAC eigenlijk een beetje voor de computer leek is, zodat ze niet zomaar alles gaan installeren, maar eerst eens even nadenken.

Neen, want als je een UAC-popupje krijgt kan je alsnog handmatig toestemming geven zonder admin wachtwoord.

mainvoid @tmmke • 29 mei 2012 14:40

Nou ik vraag me af of het überhaupt iets helpt. Chrome installeert zichzelf zonder admin rechten, dus zou die trojan dat dan ook kunnen? Hiermee bedoel ik: kan hij zich in de %APPDATA% installeren en dan alles loggen? of heb je daar wel beheerdersrechten voor nodig.

HellStorm666 @kipneck • 29 mei 2012 13:02

Waarom zou hij niet?

Ik heb m ook volledig gekeken.
Een zeer interesante video om eens te zien wat een trojan precies doet.
Zorgt er voor dat we ons weer iets beter kunnen weren.

En al had hij 30 min. geduurd. Dan had ik hem nog helemaal gekeken.

(Geniaal dat ie de trojan builder SpyEye even crackt

)

ps. Stream liep soms helemaal vast. switchen van HD naar niet HD en anders om leek dit tijdelijk te verhelpen.

EDIT:
Aha, thnx Pisang, snap m nu... idd vreemd...

EDIT2:
Hoe kan dit off-topic zijn?

[Reactie gewijzigd door HellStorm666 op 24 juli 2024 18:49]

SKiLLa @HellStorm666 • 29 mei 2012 20:05

Hoezo 'geniaal dat ie SpyEve even crackt', hij dubbelklikt gewoon op patch.exe ???
Verder vind ik de video helemaal niet zo interessant, iedereen kan zo'n trojankit downloaden / kopen. De meeste malware-functionaliteit die hier weergegeven wordt, was tien jaar geleden ookal beschikbaar in 'het wild' ! Het enige voordeel is dat het awareness kweekt ...

Een handmatige desinfectie-video (waarop dus ingegaan wordt hoe deze te detecteren en te verwijderen is (dus zoals hij heel even met de Process Explorer search begon), lijkt me veel leerzamer voor de gemiddelde tweakert ...

robvanwijk

Netwerk en systeembeheer
Privacy

@SKiLLa • 30 mei 2012 01:54

Hoezo 'geniaal dat ie SpyEve even crackt', hij dubbelklikt gewoon op patch.exe ???

Ik vermoed dat HellStorm doelt op de absurditeit van een stuk software dat als enige doel heeft om virussen en aanverwante troep te creëren en aan te sturen maar vervolgens wel een kopieerbeveiliging heeft..., die vervolgens natuurlijk ook gekraakt wordt... en dat je er niet moeilijk over hoeft te doen om er voor uit te komen dat je die crack gebruikt aangezien de auteurs je ech niet aan zullen klagen.
Als je er te lang over nadenkt slaat het echt nergens op. (Het patchen zelf is inderdaad niet bijster interessant.)

Verder vind ik de video helemaal niet zo interessant, iedereen kan zo'n trojankit downloaden / kopen. De meeste malware-functionaliteit die hier weergegeven wordt, was tien jaar geleden ookal beschikbaar in 'het wild' ! Het enige voordeel is dat het awareness kweekt ...

Awareness kweken is nou juist het hele doel van deze video! Ik weet niet hoe het met jou zit, maar ik wist alleen dat deze troep akelig geavanceerd was geworden. Dat het ook dusdanig gebruiksvriendelijk is dat er nauwelijks meer technische kennis nodig is om een botnet op te kunnen zetten en beheren wist ik nog niet (maar is wel goed om in je achterhoofd te houden).

FvH @robvanwijk • 30 mei 2012 10:02

Off-topic: Neuh... aanklagen niet. Wellicht (als je er maar genoeg zo patched en er genoeg geld aan verdiend) dat ze ff een knok-ploegje oversturen

On-topic: Ben het helemaal eens met de awareness factor van deze video. Het is ook nog eens zo uitgelegd dat je dit rustig eens aan familie kan laten zien en je hoeft niet eens zo gigantisch veel uit te leggen daarna om ze duidelijk te maken dat beetje oog op beveiliging handig is.

[Reactie gewijzigd door FvH op 24 juli 2024 18:49]

Wampa1 @SKiLLa • 31 mei 2012 19:48

Ben ik het mee eens. Pro-Rat kon dit soort dingen ook al.
En ja nu zijn de dingen eenmaal meer user-friendly omdat mensen niet de tijd hebben om ellelange documentaties te lezen waarin wel heel goed uitgelegd word hoe het werkt, maar het niet echt aantrekt om een saai document van 50+ pagina's door te scrollen.

De mensen achter SpyEye zien dit ook in en dus maken ze alles klikbaar en user-friendly omdat anders haast niemand hun programma zou gebruiken. En dat zou 1. geen geld op leveren voor hen en 2. zonde van de tijd geweest zijn

Pisang @HellStorm666 • 29 mei 2012 13:11

Je mist de clue. De video stond om 11:00 online, is 17 minuten lang en de fipo is om 11:11

Maar Ontopic, weer wat te doen vanavond

[Reactie gewijzigd door Pisang op 24 juli 2024 18:49]

himlims_ @kipneck • 29 mei 2012 15:22

imho zijn de 'docus' van t.net nog te kort!

neem die van vorige week; met Mr. internet, 7min

had gerust een half uur mogen duren

Greggy @kipneck • 29 mei 2012 15:25

Busted

sjepper @kipneck • 29 mei 2012 22:11

Dat jij het geduld er niet voor hebt betekend niet dat andere mensen dat niet hebben

groene henk @Pieterll • 30 mei 2012 20:14

Dit is wel heel simpel!
Lijkt me wel een goede reden om windows dus links te laten liggen en over te gaan op OSX/Linux/Unix!

robinverl 29 mei 2012 11:14

Begon interessant, helaas lijkt de stream nu dood te zijn

Anoniem: 448446 @robinverl • 29 mei 2012 11:17

Inderdaad het is zeer interessant om te weten hoe mensen dit gebruiken en hoe simpel het wel niet is om in gebruik te nemen. Je hoeft eigenlijk bijna niks meer zelf te schrijven van code!

lasharor @robinverl • 29 mei 2012 11:23

uiteindelijk tot 6:45 gered.

Maar inderdaad wel erg intressant. Zo'n stukjes wil ik wel vaker op tweakers.net zien.

robinverl @lasharor • 29 mei 2012 11:43

Even togglen tussen HD / non-HD blijkt het meest effectief om verder te kunnen kijken.

bhillen @robinverl • 29 mei 2012 11:15

Gewoon paar keer herladen dat doet hij het zonder problemen.

EDIT: was nog niet bij het stuk waar hij vastloopt, denk dat ze ons niet willen laten zien hoe je het praktische deel uitvoert. Slimme tweakers.

[Reactie gewijzigd door bhillen op 24 juli 2024 18:49]

robinverl @bhillen • 29 mei 2012 11:16

Had ik al geprobeerd, nu lijkt hij het weer te doen. Wel goed voor de advertentie views

CMG @robinverl • 29 mei 2012 11:17

Probeer het opnieuw, hij doet het weer.

Op dit item kan niet meer gereageerd worden.

Hoe gaan cybercriminelen te werk?

Lees meer

IT-banen

Reacties (194)

Sorteer op:

Weergave: