In september 2007 ging het goed mis bij de Postbank. Elektronisch bankieren liep gevaar door een zogenaamde ‘man in de browser aanval’. De bank deed aangifte en stelde zo snel mogelijk een softwareprogramma van Kaspersky beschikbaar om het virus te elimineren.
| Als oplossingen problemen worden In deze serie worden ict-projecten belicht die bedrijven en/of overheden in een lastig parket hebben gebracht. |
Wie?
Postbank
Wanneer?
September 2007
Wat ging er mis?
Het veiligheidsimago van thuisbankieren heeft eind september 2007 een behoorlijke deuk opgelopen. De Postbank waarschuwde via de eigen website alle gebruikers van internetbankieren voor een ‘man in the browser aanval’, een virus dat persoonlijke gegevens steelt. Het virus dat door bezoek aan een besmette site kan worden opgelopen vraagt om een of meerdere Tan-codes, de steeds veranderende geheime codes die thuisbankiers gebruiken om transacties te doen. Direct na het inloggen op Mijn Postbank.nl verschijnt een vals invoerscherm waarin wordt gevraagd om een of meer Tan-codes in te voeren. Als de klant daar op ingaat, kunnen de verspreiders van het virus toegang krijgen tot de rekeningen en kunnen deze leegplukken. De Postbank benadrukt in het bericht dat het bij het inloggen nooit naar een Tan-code vraagt.
De bank heeft aangifte gedaan en biedt op de eigen website een verwijderingsprogramma (download) aan van Kaspersky Lab, producent van beveiligingssoftware. De bank stelt dat niemand door het virus is gedupeerd, maar voegt eraan toe dat eventuele slachtoffers schadeloos worden gesteld.
Hoe kwam het?
Volgens Mikko Hyppönen, hoofd beveiligingsonderzoek bij F-Secure, een Finse leverancier van antivirussoftware, vormen man-in-the-browser-aanvallen via trojans momenteel de grootste bedreiging voor online bankieren. Voorbeelden daarvan zijn Snatch, Haxdoor en Apophis. Hyppönen: "Het zijn commerciële malwaretools, ontwikkeld en verkocht door Russische en Braziliaanse criminele bendes. Zij bouwen tools die andere criminelen kunnen gebruiken om andermans geld te stelen. Criminelen verspreiden de malware bijvoorbeeld als e-mailbijvoegsel. Vaak ook is het bezoeken van een criminele website al voldoende om besmet te raken." De trojaanse paarden wachten totdat de gebruiker online gaat bankieren.
Hyppönen: "Als een bank slecht beveiligd is, is het voldoende om inloggegevens te stelen. Maar criminelen gebruiken ook andere methoden. Ze laten je bijvoorbeeld eerst inloggen en dan verschijnt er een popup in de lokale taal, waarin om bevestiging van de gebruikersinformatie wordt gevraagd. De derde techniek is het ergst: daarbij worden transacties aangepast zonder dat de gebruiker dat op zijn scherm ziet. Het Trojaanse paard voegt dan een overschrijving toe, maar verhindert dat deze zichtbaar wordt voor de gebruiker. Voor de bank lijkt het echter alsof de gebruiker opdracht heeft gegeven voor het doen van die betaling."
En nu?
Hyppönen: "Dit is een heel groot probleem. De gebruiker kan zes weken geleden tijdens het websurfen geïnfecteerd zijn geraakt. Hij of zij gebruikt het juiste webadres, de verbinding is SSL beveiligd en het certificaat van de bank is correct. Je kunt gebruikers waarschuwen voor relatief eenvoudige vormen van misbruik, zoals phishing. Maar voorlichting kan heel weinig uithalen tegen meer complexe vormen van misbruik zoals trojans voor online bankieren."
Kan dat niet anders?
Hyppönen bepleit het creëren van speciale internetdomeinen voor banken, zoals .bank, .secure of .safe. Banken die een website binnen zo’n domein willen verwerven, moeten eerst bewijzen dat ze echt de bank zijn die ze zeggen te zijn. Hyppönen: "Op dit moment maken de meeste banken, creditcardmaatschappijen en beurssites gebruik van .com- of landendomeinen. Maar iedereen kan elk .nl-domein openen, ook onder een valse naam, met een nepadres een een gestolen creditcardnummer. Daardoor is het voor gebruikers onduidelijk of een bepaalde url echt toebehoort aan een bepaalde bank."
Daarnaast heeft Hyppönen, die naar eigen zeggen al sinds 1990 online zijn rekeningen betaalt, heeft op zijn eigen computer rigoureuze maatregelen genomen om zich te beschermen tegen cyberaanvallen: "Vrijwel alle trojans voor online bankieren zijn tot nu toe geschreven voor Windows. Ik gebruik ook Windows, maar heb daarbovenop een virtuele machine van VMware geïnstalleerd, waarbinnen Ubuntu Linux draait. Van daaruit start ik een browser om te internetbankieren. Dus zelfs al zou mijn machine geïnfecteerd zijn, dan is de virtuele machine nog steeds veilig. Helaas is deze methode te ingewikkeld voor de gemiddelde gebruiker."
Een speciaal topleveldomein voor banken (.bank , .secure of .safe) is ook niet de oplossing, zolang een virus of zelfs spyware de DNS instellingen van de gebruiker kan aanpassen. Dat is dan ook een vals gevoel van veiligheid.
Niet alleen de Postbank had last van een dergelijke man-in-the-middle attack, maar ook de ABN en nog wel op een veel effectievere manier.
Zo heb je bij de ABN een paslezer waarop je een 8-cijferige code moet invullen en je krijgt een 6-cijferige code terug, die je dan op de site moet invullen. Deze handeling is echter gelijk voor het inloggen alswel als de bevestiging van de betaling. Dus de aanval bestond uit een vals inlogscherm, waarbij de eerste inlog altijd fout gaat. In de achtergrond gebruikt de aanvaller de door jou ingevulde code om werkelijk op de ABN-site in te loggen. Bij de 2e inlog poging bevestig je onbewust de betaling die al klaar gezet is door de software en ben je je geld kwijt.
De bewering dat de “rigoreuze maatregel” van Hypponen veilig is, is flauwekul.
Een Windows-virus kan gemakkelijk een virtuele disk van VMware infecteren en
zo de veilig geachte browser binnen Linux infecteren.
Het probleem ligt bij de onveiligheid van Windows: Windows is een OS dat niet
de baas over de computer is en geen beveliging biedt tegen ongeautoriseerde
programma’s. Linux en de meeste andere OS-en zijn wel de baas over de
computer. Dit is fundamenteel voor het bestaan van 99% van de virussen
onder Windows.
Marcus, de browser draait onder Linux, dus zou de trojan zowel Windows als Linux moeten aankunnen. Of beweer je dat de trojan de machine overneemt en op die manier de Linux-browser bestuurt?
Klinkt wel erg theoretisch, dus mij lijkt het toch wel een heel behoorlijke beveiliging.
Hr Kool,
Een trojaner, Windowsprogramma, heeft geen vat op een Linuxprogramma, de browser. Tussen Windows en Linux bestaat geen binaire compatibiliteit.
Voor u een maatregel als flauwekul af doet kunt u zich beter eerst informeren, een virtuele disk van VMware is alleen dan te infecteren wanneer deze een windows-besturingssyteem herbergt en ook nog als virtuele netwerkshare gestart wordt.
Voor een lezer van computable toont u weinig begrip.
Met alle respect, maar een virtuele disk is ook maar een bestand en kan dus aangepast worden. Het is natuurlijk niet nodig dat dit ook ‘officieel’ via VMware gebeurt. Het lijkt mijn dan ook geen principieel probleem om binnen de Windows host de VM-disk aan te passen.
Echter, er zijn waarschijnlijk heel weinig gebruikers, die zo’n constructie gebruiken, dus loont het waarschijnlijk niet voor virus-bouwers om dit te bouwen, omdat het natuurlijk wel een stuk complexer is.
Zelf gebruikte ik trouwens al zo’n constructie met nog een extra’tje: De virtuele disks zijn non-persistent, zodat opgedane virussen niet bewaard blijven.
Heb ik nog wel een vraag: Weet iemand een nog veiliger methode van internetbankieren?
Zelf heb ik dual boot met Xp en Ubuntu, dus ik (en ook de gemiddelde pc-gebruiker) kan opnieuw booten naar Ubuntu en dan internet-bankieren.
Er bestaan ook Linux-varianten die van CD opstarten en/of van een USB-stick.