Nieuw type trojan maakt screenshots van internetbankieren

Er zwerft een nieuwe trojan over het internet die, wanneer hij zich heeft geïnstalleerd op een computer, screenshots maakt van het actieve browservenster wanneer de site van Barclays Bank bezocht wordt. De Barclays-site maakt gebruik van een tweeledige loginprocedure om gebruikers in te laten loggen. Op de eerste loginpagina moeten gebruikers hun gebruikersnaam en wachtwoord opgeven. Als deze gegevens correct zijn, wordt een tweede loginpagina geopend. Op deze pagina zijn een aantal dropdownmenu's aanwezig die gebruikt moeten worden om een geheim woord te vormen. Het voordeel van deze methode is dat dit geheime woord nooit ingetypt wordt en het dus niet mogelijk is het woord te achterhalen met traditionele keyloggers.

De 'Purchase confirmation'-trojan, zoals hij op Codefish Spamwatch genoemd is, is echter verder ontwikkeld zodat ook de tweede loginpagina gekraakt kan worden. Wanneer een gebruiker inlogt op de Barclays-site, maakt de trojan screenshots van het geopende browservenster. Deze afbeeldingen worden bewaard en samen met het logboek van de keylogger naar de scammers verstuurd. De mannen van Codefish Spamwatch hebben de trojan uitgeprobeerd en geconcludeerd dat de trojan zijn werk goed deed. Iedere keer werd de correcte informatie als screenshot opgeslagen. Het succes van de trojan betekent echter een verlies van veiligheid. Tot op heden werd het Barclays-systeem veilig geacht omdat het gebruikmaakte van visuele elementen. Dit is nu niet meer het geval.

IT-banen

Reacties (94)

Belial_666 17 april 2004 22:13

maakt het nog uit welke browser ik gebruik?

Als Opera gebruiker heb ik een heel hoog veiligheidsgevoel

, is zelfs dat nu beschaamt?

PageFault @Belial_666 • 18 april 2004 10:06

Is het bekend welke bank sites allemaal ook op andere browsers werken dan Internet Explorer 6.x build xyz? Ik heb het zelf niet zo op IE, maar soms kom je er niet onderuit...

Overigens: Opera is helaas ook niet superveilig, in 7.23 waren er wat aardig wat lekken uitgehaald, in de versie ervoor kon een website toegang krijgen tot je harddisk en dingen wissen

YaPP @Belial_666 • 18 april 2004 11:28

maakt het nog uit welke browser ik gebruik?

Dit hoeft helemaal niet zo te zijn. Kort samengevat zijn dit mogelijkheden voor detectie:
- een browser monitoren. (MS-IE dus, omdat iedereen dit gebruikt)
- met een keylogger kijken of de gebruiker www.barclays.co.uk intikt.
- wachten totdat je OS een connectie opent naar www.barclays.co.uk

Ik denk echter dat het laatste gebeurd is, omdat dit het effectiefste is. Dan maakt het namelijk niet meer uit of je Firefox, Opera of MS-IE gebruikt.

In het voorbeeld is echter ook pijnlijk duidelijk hoe gevaarlijk het is als iedereen exact dezelfde software gebruikt; daar profiteren virussen en trojans ontzettend van. Een andere browser maakt vaak al een groot verschil, en een ander OS ook (dat wist iedereen al, maar het voorbeeld van een keylogger of netwerk-luisterer is een typisch voorbeeld waarom),

...hoewel het laatste [een ander os] vaak niet mogelijk is om zo de veiligheid met je internet bankieren te verhogen; beschamend eigenlijk!

veldmuis @YaPP • 18 april 2004 11:34

- wachten totdat je OS een connectie opent naar www.barclays.co.uk

Ik denk echter dat het laatste gebeurd is, omdat dit het effectiefste is. Dan maakt het namelijk niet meer uit of je Firefox of Opera gebruikt.

Een nette workaround zou dan dus zijn om gewoon te surfen via een proxy.

De URL intikken lijkt me ook niet reeel, als je ziet hoeveel mensen tegenwoordig ongeveer alle sites in hun bookmarks zetten.

YoNiE 17 april 2004 22:07

en dan te bedenken dat we in nederland nog 'gewoon' met enkele authenticatie werken dmv een code versleutelen met zon rekenmachine..

vraag me af in hoever dat op een dergelijke manier te 'kraken' is?

Scalle-- @YoNiE • 17 april 2004 22:09

Denk eigelijk dat het veiliger is (toch zoals bij Fortis België tenminste) waar elke code maar 1 keer kan gebruikt worden.

paknaald @Scalle-- • 17 april 2004 22:11

Maar hoe werkt dat als een paar miljoen mensen internetbankieren? Dan zijn hergebruikbare codes toch wel handig om het aantal getallen dat je in moet toetsen binnen de perken te houden. Zolang server-side de gevraagde reactie maar snel genoeg verloopt is er met een beperkt aantal getallen geen risico lijkt me.

Verwijderd @paknaald • 17 april 2004 23:21

Volgens mij zit in het apparaatje een interne klok die tevens gebruikt word. En de code is per rekening uniek, dus keuze genoeg zou ik zeggen. Inderdaad veiliger dan met een vaste combinatie inloggen.

Nadeel van deze methode is dat je altijd op reis moet met dit kastje en die kan kapot of de batterij kan leeg raken. Persoonlijk gaat mijn voorkeur uit naar de methode van de postbank. Inloggen via vaste combinatie welke ik regelmatig aanpas. Overmaken via TAN die via GSM wordt verzonden.

Verwijderd @paknaald • 18 april 2004 11:57

@paknaald

Codes kunnen wel opnieuw gebruikt worden hoor, net zoals meerdere mensen dezelfde PIN-code hebben.

Het gaat er maar om dat een specifieke code 1x gebruikt wordt, en er dus een kans van 1 op 4 miljard is (bij 32-bit) dat je die goed raadt.

Omdat de code iedere keer anders is is het niet mogelijk om gewoon uit te gaan proberen 1, 2, 3, 4, ...

De kans om het goede nummer te raden blijft dus altijd 1 op 4 miljard i.t.t. als het nummer blijft gelden: dan wordt de kans steeds een klein beetje groter (omdat je al weet dat bepaalde nummers niet goed zijn).

Verwijderd @paknaald • 17 april 2004 22:16

Volgens mij gebruikt mijn internet bankieren bij rabobank 10 cijfers als code. als je tien to de tiende doe heb je dus 10 miljard codes, dat is dus ruim voldoende voor die paar miljoen gebruikers.

tikimotel

@paknaald • 17 april 2004 22:28

Je vergeet dat je soms ook een 2de reeks moet in voeren voor je een opdracht verstuurd. Meestal moet je "OK" "OK", maar dan sla je de 2de invoer over...

jp @paknaald • 18 april 2004 02:28

Nadat jij je pincode hebt ingetoetst...

Countess @paknaald • 18 april 2004 11:03

Overmaken via TAN die via GSM wordt verzonden.

ik heb hier gewoon een tan code lijst liggen. vond ik toch handiger en veiliger.
nu zouden ze en mijn loggin gegevens moet zien te achterhalen (1 x gebruikers naam die windows onthoud en ik dus maar 1 keer in type die wel te zien is , 1 keer code die windows ook onthoud die niet te zien is en 1 code die ik zelf in voer.
en dan als ze binnen zijn dan moeten ze al ze een transactie wilden uitvoeren nog de goede TAN code van die lijst moeten weten, die ze dus bij mij zouden moeten halen. (en daarvoor zouden ze eerst precies moeten weten wie ik ben)

Verwijderd @paknaald • 18 april 2004 11:05

Ja bij ons bleven ze ook maar van die cardreaders opsturen...

Op de ABN site dus: rekening en pasnummer invoeren, dan krijg jij een code, die moet je, na je pincode en pinpas in je cardreader ingevoerd te hebben, in de cardreader intoetsen, die geeft een resultaat, en dat resultaat moet je weer naar ABN opsturen

Fairy @paknaald • 17 april 2004 23:40

Die van de ABN amro in elk geval niet, ik kan hier elke willekeurige cardreader pakken (liggen er hier 9 in huis

) en die doen het allemaal goed.

Verwijderd @paknaald • 18 april 2004 07:13

"Die van de ABN amro in elk geval niet, ik kan hier elke willekeurige cardreader pakken (liggen er hier 9 in huis ) en die doen het allemaal goed."

Misschien zit die logica niet in de cardreader, maar in je chip op je bankpas...

De klok zit in je cardreader, de andere data in je pas.

JMS 450 @paknaald • 20 april 2004 09:04

@ vincento

Om iets duidelijk te maken "er kan geen klok in die card reader zitten" er zijn hier voor twee simpele redennen.
één: als er een klok in zit verbruikt dat ding meer stroom en zal je sneller een nieuwe moeten aan vragen. is niet handig.
twee: als er een klok in zit moet die wel exact gelijk lopen aan de klok op de server. en wat heb je er aan als je de tijd er in versleuteld. ik tik bijvoorbeeld redelijk snel die code in, maar mijn oma doet er wel even langer over. Dus die tijd mee nemen in de code is wardeloos.
De tijd mee nemen in de code die jij moet invoeren in eerste instandie (dus die je van de abn krijgt en intikt) die kan wel met behulp van tijd gegenereert worden.

Hoe die code is opgebouwt (en ja ik heb geprobeert iets van die codes te snappen) ergens in die code staad info over hoe de "formule" wordt opgebouwt laten we voor het gemak zeggen het eerste getal is hier voor. nu staan er in die cardreader tien formules en met een bepaalde getallen reeks wordt de juiste formule gekozen. getallen in vullen rest spreekt voor zich.
(idee voor mensen met een ABN reader tik maar eens in 0000 0000, 1111 1111, 2222 2222, ... t/m 9999 9999)

ten minste zo werkt het volgens mij.

Verwijderd @Scalle-- • 17 april 2004 23:21

"veiliger", zoals jij het woord toepast, is een gevoel en geen technische kwaliteit. Big difference.

Bor Coördinator Frontpage Admins / FP Powermod @YoNiE • 17 april 2004 22:18

en dan te bedenken dat we in nederland nog 'gewoon' met enkele authenticatie werken dmv een code versleutelen met zon rekenmachine..

Dat is totaal onzin wat je zegt. 1 factor authenticatie is gebaseerd op iets wat je weet zoals username en password. 2 factor authenticatie voegt daarbij "iets wat je hebt" dus in dit geval je pinpas die je samen met het challenge response calculator systeem moet gebruiken om de response te berekenen.

Verwijderd @YoNiE • 17 april 2004 23:19

De huidige methodes staan open voor een "man in the middle" aanval. De premisse is dat de schermen die je ziet door de bank zijn gemaakt en dat jouw code daarbij past. Dit is echter niet zo.

Internetbankieren, in zijn huidige status, hangt meer van geluk dan van wijsheid aan elkaar.

Bor Coördinator Frontpage Admins / FP Powermod @Verwijderd • 17 april 2004 23:49

Internetbankieren, in zijn huidige status, hangt meer van geluk dan van wijsheid aan elkaar.

Sorry maar dat soort opmerkingen slaan de plank echt volledig mis. Wanneer je single sided authenticatie gebruikt op basis van SSL ben je inderdaad vatbaar voor een man in the middle attack maar in de praktijk werkt dat toch anders. Er moeten meerdere systemen worden beinvloed (denk aan dns / webservers etc) voordat dit uberhaubt een beetje uit te voeren is. Door gebruik te maken van bv een op rsa defender gebaseerde oplossing ben je al een heel stuk veiliger bezig. DNS spoofing is lang niet zo makkelijk als door sommige mensen word beweerd. Bovendien is het ook zaak om het certificaat te controlleren als eindgebruiker. Verder staat de bank in veel gevallen ook nog garant voor een deel (behalve bij grove nalatigheid van de kant van de klant of andere zaken welke in de gebruikersovereenkomst zijn beschreven).

Verwijderd @Bor • 19 april 2004 23:04

Ik vrees dat je het idee van een man in the middle niet goed begrijpt. Denk trojan.

mphilipp @Verwijderd • 18 april 2004 03:38

Internetbankieren, in zijn huidige status, hangt meer van geluk dan van wijsheid aan elkaar.

Daar ben ik het niet mee eens. Uiteraard kan alles gekraakt worden, maar de man in the middle methode is pas geluk hebben. Die man in the middle moet wél precies weten WIE er WANNEER met WELKE bank gaat internetbankieren. Bovendien gebruiken ze allemaal volgens mij HTTPS waardoor mijn verbinding niet ge-hijacked kan worden.

Als dit soort kraken zijn alleen in laboratoriumopstellingen uitgevoerd om het principe aan te tonen. Het daadwerkelijk uitvoeren van een dergelijke hack is zeer ingewikkeld en is naar mijn weten ook nog nooit 'in the wild' uitgevoerd. Het loont ook niet echt, want je moet er ontzettend veel moeite voor doen en je moet geld overmaken naar een eigen rekening om erover te kunnen beschikken. Daarmee maak je jezelf kwetsbaar. En aangezien het hoogst onwaarschijnlijk is dat je met een dergelijke kraak tonnen/miljoenen binnenharkt denk ik dat je niet al te slim bent als je het gaat proberen. En....als je niet slim bent, kun je het niet...

Een jaartje of wat geleden was er ook een zogenaamde hack mogelijk met ABN (dacht ik) telebankieren. Een trojan (die je via email opgestuurd kreeg) paste elke afschrijving aan waardoor alles op de rekening van de hacker kwam. Probleem met deze methode is duidelijk: het werkt hooguit een week. Er is altijd wel iemand die het meteen ziet aan de afschrijvingen en de bank belt. Omdat ook hier alles naar één rekening gaat is de dader snel gevonden. En ook hier is het niet zodanig lucratief dat je in 3 dagen een miljoen binnenhaalt. Dus...niet echt slim. Kun je beter benzinestations gaan beroven. Minder kans om gepakt te worden.

Kortom...a whole bunch of dog-doody,fud, bangmakerij en weetikwat.

Verwijderd @mphilipp • 19 april 2004 23:03

Jouw premisse is dat de "man in the middle" op het internet zit. Dat hoeft niet.

Drogo @YoNiE • 18 april 2004 10:56

Bij Natwest in UK krijg je per post een password. Bij het inloggen op de site wordt niet het hele pass gevraagd, maar alleen een paar willekeurige tekens uit het password. Op die manier hoef je dus ook niet meer een volledig pass door te geven.

Uberprutser 17 april 2004 22:08

Ben ik blij dat de meeste Nederlandse banken voor Online Banking een digipas nodig is (Rabobank, ABN Amro)

Dan is het iig een stuk moeilijker!

n4m3l355

Bedrijfsnieuws

@Uberprutser • 17 april 2004 22:19

helaas valt dat dus erg vies tegen...
de afscherming van de rekenings en betalingsgegevens zijn minimaal. onbekende wachtwoorden kunnen zo gewijzigdw orden nar bekende bekende passwords.. gedactiveerde accounts kunnen zo worden geactiveerd..
verder wordt er gebruikt gemakt van een proprietary hash die alleen het wachtwoord zelf als domein heeft.. ook zeer onveilig..
dan de 'calculator' makt gebruik van een proprietary algoritme die op zich uniek en tijdsafhankelijk is. abn maakt enkel gebruik van een tripple DES encryptie.. een single DES encryptie kraakte ik met m'n dual PII 400 mhz bruteforce al binnen een dagje dus ik wil niet weten hoe snel ik dit kan..
sessie encryptie dat wordt toegepast is client side based en dit is dus bekend hoe het werkt en nu mag je je wel eens afvragen of dit protocol wel veilig is tegen passieve en actieve aanvallen op de communicatielijn zelf. verder wordt er gebruik gemaakt van een DNS voor de adress listing.. dit is zeer gevoelig voor manipulatie als dit niet het geval was dan was een actieve aanval ook uit te sluiten.. helaas dus niet..

dit zijn maar een paar fragmenten van wat er zo onveilig is aan internet bankieren. ik kan er dan ook nog steeds niet overuit dat men dit promoot.. op de bank zullen ze ook niet vertellen hoevaak het fout gata aangezien dat toch geen goede reclame is.
maw n4m3l355 gaat nog lang niet internet bankieren zolang er mensen zijn met meer kennis van zaken dan mezelf

DaRealRenzel @n4m3l355 • 17 april 2004 23:08

en als laatste stelt de bank zich niet verantwoordelijk bij fouten en moet jij als gebruiker dus aantonen dat er iets fout is (net als met de pinpas overigens, jij moet bewijzen dat je correct met de pincode bent omgegaan). Maar toch een paar opmerkingen.

... De afscherming van rekeninggegevens.....

Lijkt er op dat je dus weet hoe de banken hun data beveiligen...

... de calculator....

Triple DES is een 168 Bit code. 64-Bit RC5 heeft 8 jaar geduurd (Distributed.net). 168 Bit kraak jij niet binnen je leven met je P-400, nog niet eens met je P-10.000. Daarnaast is de key uniek per sessie, dus ook al zou je het binnen een dag kraken, dan nog is elke sessie uniek.

... Sessie encryptie....

Die is nog altijd gebaseerd op SSL, en daar drijft de hele Secure Internet community op. Als we SSL niet meer kunnen vertrouwen, wat dan nog wel ?

... DNS...

Tja. Een paar jaar geleden ook al eens iets over in een blad gestaan. DNS Spoofing. Maar moet je als gebruiker niet bij elke SSL Site even het certificaat checken, en de werkelijke URL ? Doen we dat ? niet al te vaak....

justice strike @DaRealRenzel • 18 april 2004 03:58

triple des is de is eigenlijkeen dubbele beveiliging, niet een driedubbele zoals vele mensen denken.

triple des is namelijk gemaakt om met 2 sleutels 3 keer te coderen. Dit ivm met de backwards compatibility met des 1.

Je encodeert namelijk met sleutel a, daarna DECODEER je met sleutel b, en daarna encodeer je weer met sleutel a.

door sleutel a en b als dezelfde sleutel te kiezen, heb je heel eenvoudig backwards compatibility gerealiseerd.

Overigens valt des wel te kraken, bruteforce gaat dat in iedergeval niet. Maar door je pen en papier te pakken kan je in principe wel achter de codes komen. Echter op het moment dat je het af hebt (veel algebra en een portie geluk) dan is hij al niet geldig meer. En dat is nog met het feit dat je geen fouten maakt, met zulke lange getallen zullen fouten eerder normaal dan uitzondering zijn.

Domokoen

@DaRealRenzel • 18 april 2004 10:17

Effectief is 3DES 112 bits.
En van dat papier... dat is niet geheel juist. Met lineaire cryptoanalyse is gewoon DES (56 bits) in 2^37 combinaties te achterhalen, indien je een bekende cipher/plaintext paar hebt. Oftewel: DES is niet veilig meer.
3DES is nog wel veilig, maar ze kunnen maar beter overstappen op AES-Rijndeal, de opvolger van DES.

Mad_Demon @DaRealRenzel • 18 april 2004 17:53

Bovendien is de challenge maar voor 10-15 minuten geldig. Als je binnen die tijd de response niet hebt teruggestuurd vervalt de sessie en krijg je een nieuwe challenge. Dat zou dus inhouden dat je 3DES binnen die tijd zou moeten kraken.

burne @n4m3l355 • 17 april 2004 22:57

Over Triple-DES:

Als je even doorspaart voor een computer die 100.000.000 maal sneller is dan je PII-400: ongeveer 3.200.000.000.000 jaar.

Laat je het even weten als je zover bent?

Exigence @burne • 18 april 2004 13:23

Zullen we DPC dan maar inschakelen

Yngwie- @n4m3l355 • 17 april 2004 23:02

@n4m3l355: Hrm, je hebt het over verstand van zaken hebben maar wel aangeven dat je denkt 3DES binnen afzienbare tijd gekraakt te krijgen

Zoals burne al aangaf, dat gaat je in je mensenleven echt niet lukken! (Tenminste niet zolang er ongelofelijke sprongen in prestaties komen)

Tjoekbezoer @Yngwie- • 18 april 2004 14:05

En waar is de ondersteunende argumentatie die normaal gepaard gaat bij eendergelijk uitspraak?

Want zover ik nu begrijp wil je beweren dat op een andere manier dan het gebruik van brute-force 3DES dus wel te kraken is?

a.prinsen @Yngwie- • 18 april 2004 11:32

met brute rekenkracht niet.. maar dat is niet de eenigste manier van hacken..

Verwijderd @Yngwie- • 18 april 2004 20:53

@a_prinsen

Maar wel van cracken...

"hacken" heeft hier niets mee te maken..

Martin Sturm @n4m3l355 • 17 april 2004 23:01

Tot dusver wordt 3DES encryptie als onkraakbaar geacht binnen een redelijke termijn. Ik weet niet meer wat de theoretische termijn was (ongeveer 1 jaar geleden), maar ik dacht dat dit al rond de paar jaar lag met huis-tuin-en-keuken apparatuur (3DES is 168-bit dacht ik) en alles boven de 128 bit (hash) wordt als onkraakbaar geacht...

mphilipp @n4m3l355 • 18 april 2004 10:13

maw n4m3l355 gaat nog lang niet internet bankieren zolang er mensen zijn met meer kennis van zaken dan mezelf

Zolang jij je eigen FUD gelooft moet je dat vooral maar niet doen. Zoals ik in een reactie hierboven al opmerkte zijn al die zogenaamde zwakheden in de security theoretisch. In een lab kun je het allemaal doen, maar probeer het maar eens in het wild. Gaat je niet lukken. En nogmaals: het is de rotmoeite niet want je kunt geen enorme bedragen ophalen. Je hebt er immers een bankrekening voor nodig en dat gaat opvallen. Want jawel: de banken hebben software die dat soort dingen ziet. Als op een dag ineens 1000 rekeninghouders geld gaan overmaken naar jouw rekening gaan er allerlei bellen rinkelen en worden de transacties on hold gezet. CC maatschappijen doen dat ook. Verschillende mensen in mijn omgeving hebben wel eens een brief gehad van de CC maatschappij dat er een verdachte transactie heeft plaatsgevonden die ze hebben stopgezet. Zij zien namelijk dat iemand die geblacklist is of een anderzins dubieuze transactie plaatsvindt. Zo werken de banken ook.

Dus als je echt je gezond verstand gebruikt snap je dat internet bankieren veiliger is als je doet voorkomen. Maar ja...dit soort dingen verkondigen klinkt nu eenmaal erg interessant...

halfgaar @n4m3l355 • 19 april 2004 09:08

Internetbankieren is dan zo onveilig, maar overschrijvingskaarten zijn nog veel onveiliger. Corrupte postmedewerkers, volle brievenbussen waar je het zo uit kan pakken, banken die het niet controlleren als het onder de 1000 euro is, noem maar op.

Verwijderd @n4m3l355 • 17 april 2004 23:22

Ik ben blij dat er cluefull personen op deze wereld zijn :-).

/edit: behalve die DES dan.

tweaktubbie @Uberprutser • 19 april 2004 09:43

@GrizzTus: hoezo digipas veiliger? Digipas is zo'n rekenmachientje dat bij de Rabo is uitgerangeerd en vervangen door bankpas met chipreader/calculator.

En veiliger - er werd toch altijd geroepen dat de PIN-code niet in je magneetstrip zit? Chipknip heeft 'm ingebakken (moet je in die cardreader stoppen en herkent juiste of onjuiste code).

Via de telefoon bankieren is met via het vaste net (en als het kan ff unencryptred portable

) onveilig(er). Via mobiele net toch al stukkie beter.

Persoonlijk vind ik het via de Postbank wel veilig: je password, tancode via gsm (met bedragen) of naar keuze op een lijst, en dus een scheiden gegevensstroom. Bij ABN-Amro loopt 't via 1 site maar zijn de codes tijdgebonden (zowel bij inloggen als verzenden). Bij Rabo is alleen de 2e code (verzenden) tijdgebonden.

Opmerkingen hierboven over direct inbellen is net als bij alle banken/vormen een pro en contra; je hebt alleen authenticatie bij de verbinding maken/verzenden. Als er 'iets' opdrachten toevoegt zie je die in overzichten. Maar om nou gelijk weer je geld in het vriesvak te stoppen of in je matras.

Verwijderd @tweaktubbie • 20 april 2004 16:46

Bij Rabo is alleen de 2e code (verzenden) tijdgebonden.

ook bij de rabo word je er na een tijdje uitgegooit hoor. das heel normaal. hij zijkt ook als je het venster afsluit zonder de afsluitknop te gebruiken

Miletos 17 april 2004 22:24

Ok, dus nu dat niet meer veilig is...what's next? Inloggen met een microfoon waarin je hiss en klik geluiden moet maken?

- *pakt microfoon: "kggggg, tktktk, bzzz, tktk, mwiep, mwiep..."
-"welkom bij Rabo Telebankieren. Uw saldo is..."

Japs @Miletos • 18 april 2004 11:34

@steve_jacks

Misschien weer terug naar de oude situatie

Niet via internet, maar direct inbellen naar de servers van de bank met een aparte applicatie (zoals het oude girotel).

TD-er

@Japs • 18 april 2004 12:45

tsja en dan heb je een trojan die dat logged.
mischien zelfs wel een extra overboeking in de (door je zelf geautoriseerde) transfer erbij zet.

Mensen moeten gewoon beter opletten en zichzelf beschermen tegen trojans.

Eigenlijk ben ik wel blij dat nu een dergelijke trojan uit is gekomen, dan is de druk richting de browser-makers ook wat groter om meer aandacht te besteden aan dergelijke zaken.

Verwijderd @Japs • 18 april 2004 18:35

....naar de oude situatie

Girotel offline voor de zakelijke gebruiker bestaat nog volop hoor.
mits installed op een niet-internet pc en codes apart opgeborgen is dat nog steeds een veilige methode voor een groot deel van de middenstand.

Verwijderd @Japs • 18 april 2004 20:54

en dan bellen met telefonie over IP.. LOL

0rbit @Miletos • 17 april 2004 22:57

Gebruikersnaam en wachtwoord gecombineerd met een biometrie is al een stuk veiliger. Hierbij kun je denken aan het sturen van een fototje van je hoofd naar de server van de bank. En natuurlijk kan een trojan dat ook, maar de timing ervan moet dan wel perfect zijn...

Je kunt ook denken aan een handgebaar dat je moet maken om toegang te krijgen. Dit gebaar of een combinatie ervan is elke keer anders.

Zo zie je maar hoe belangrijk het is dat je een goede virusscanner hebt. Een trojan is als iemand die meekijkt over je schouder...

sugarcube @0rbit • 17 april 2004 23:24

biometrie is helemaal niet veilig.
slechtste wat er is. je biometrische gegevens kunnen namelijk niet vervangen worden !

Als de foto van je hoofd een maal gesnift is, wat doe je dan ? Dan kan de sniffer als jou inloggen. Maar de meeste mensen hebben maar 1 hoofd, en het is moeilijk om dat te vervangen. Dus kan je ook niet meer vermijden dat de sniffer zich als jou voordoet.

Een paswoord kan je tenminste veranderen als je denkt dat iemand het gezien heeft.

JayVee @sugarcube • 18 april 2004 01:56

Woah! Easy! Slechtste wat er is? Biometrie is juist het beste voor verificatie (ben jij wie je zegt te zijn?).

Het probleem met de toepassing over internet (in tegenstelling tot voor een deur staan) is dat je het kunt kraken door als 'af te luisteren' en dezelfde info nogmaals te sturen. Dat is een algemeen probleem, of je nou een wachtwoord of biometrie gebruikt.

Je biometrische 'fingerprint' is trouwens wel te veranderen: andere vinger, ander oog. Wel wat minder dan wachtwoorden okay.

Biometrie op zich is dus de beste manier om aanhand van data bekend bij de controlerende kant (deur, server) te kijken of iemand is wie hij zegt te zijn. Alleen de manier waarop deze informatie verstuurd wordt is onveilig. Maar dat is exact hetzelfde met wachtwoorden.

0rbit @sugarcube • 18 april 2004 09:03

Allemaal dikke onzin; Iedere foto is anders ook al is de persoon op de foto hetzelfde. Iedere meting aan je lichaam is net even anders.

Het enige wat je dus hoeft te doen is vaststellen dat een bepaalde realisatie van een biometrie niet bitsgewijs hetzelfde is aan een reeds gebruikte realisatie. Een kopie van een foto wordt daarmee in één klap waardeloos!

Als je beweert dat biometrie slecht is dan moet je bij ons op de vakgroep maar eens komen kijken.

RobT @sugarcube • 19 april 2004 11:57

Maar de meeste mensen hebben maar 1 hoofd, en het is moeilijk om dat te vervangen.

Zaphod Beeblebox had er 2.

En verder heb je nog nooit van Michael Jackson gehoord zeker...

Tsja, Zaphod is een alien.
Ik laat het aan andere bezoekers over om datzelfde te zeggen over wacko Jacko...

Frank-L @sugarcube • 18 april 2004 11:28

@ mr_atheist:

Het enige wat je dus hoeft te doen is vaststellen dat een bepaalde realisatie van een biometrie niet bitsgewijs hetzelfde is aan een reeds gebruikte realisatie. Een kopie van een foto wordt daarmee in één klap waardeloos

Dan roteer je die foto een paar graden, voegt wat ruis toe, klein beetje oprekken in x of y en je hebt een nieuwe identificatie. Toch?

florizla @sugarcube • 18 april 2004 11:36

Een kopie van een digitaal verstuurde foto is toch echt wel identiek aan het origineel, bit voor bit.

En als je de authenticatie gaat weigeren voor elk klein verschilletje, dan zullen mensen die zich twee dagen niet geschoren hebben bijvoorbeeld ook toegang geweigerd worden.

Ik vind biometrie helemaal niet veilig omdat het op eigenschappen test die altijd na te maken zijn. Bijvoorbeeld een foto van een gezicht is voor de computer moeilijk te onderscheiden van een echt gezicht, een afdruk van een vinger kan dezelfde eigenschappen hebben als de echte vinger, ....

Tjoekbezoer @0rbit • 18 april 2004 14:16

Maar ja, het wordt nog steeds omgezet in een digitaal signaal, wat een trojan dus kan nabootsen. Maar misschien zie ik wat over het hoofd.

Neem gewoon een goede virsusscanner, en let een beetje op waar je allemaal op klikt als je je PC gebruikt, dan loop je al een heel stuk minder gevaar.

Eigenlijk zou dáár nou eens een reclamecampagne voor moeten komen; in-het-wilde-weg-klik preventie

Verwijderd @Miletos • 17 april 2004 22:47

Dan neemt de trojan dat geluid toch op

ErectionJackson 17 april 2004 22:11

En ze kunnen natuurlijk het 'click' wachtwoord gaan gebruiken waarbij men op bepaalde plekken op een afbeelding moet klikken. Maar of dit uberhaupt fatsoenlijk te implementeren valt is nog maar de vraag. Evenals hoe lang dit dan werkt.

Verwijderd @ErectionJackson • 17 april 2004 22:46

Als de trojan dan screenshots maakt heb je nog hetzelfde probleem, lijkt me?

ErectionJackson @Verwijderd • 17 april 2004 22:53

Alleen als hij bij iedere click een screenshot maakt met de muiscursor erop inderdaad. Daar heb je gelijk in.

sugarcube 17 april 2004 23:15

tegen een trojan is helaas geen enkele vorm van "veilige authenticate" opgewassen. Elk systeem van internet bankieren gaat er van uit dat beide eindpunten (server@bank, pc@thuis) betrouwbaar zijn. De veiligheids methodes beschermen alleen het aanlogprocess en de communicatie tussen beide systemen.

Indien je een trojan hebt op je PC thuis kan die alles doen wat je thuis kan. Vandaar het grote belang aan goede firewalls (en vooral "personal firewalls" die de systeem integriteit waarborgen).

De beste systemen vandaag maken gebruik van een "token" om aan te loggen (bv digipass, of een certificaat op smart card). Dit is namelijke "hard", en kan door een trojan niet gekopieerd worden en over internet gestuurd.

probleem blijft : op het ogenblik dat jij een transactie uitvoerd, kan de trojan in de achtergrond een andere transactie uitvoeren, en je merkt er niets van. bye bye security.

@ psy & vincento :
indien je een transactie wil uitvoeren, simuleert de trojan in de voorgrond de afhandeling van de transactie die je denkt uit te voeren. In de achtergrond voert hij zijn eigen transactie uit, geauthenticeerd door de code uit jouw token, die je ingegeven hebt voor de transactie die je denkt uit te voeren. Indien de code informatie zou bevatten, hoeft de trojan dit zelfs niet te weten.

psy

@sugarcube • 17 april 2004 23:22

Dat laatste lijkt me stug; elke transactie heeft weer zijn eigen unieke code nodig van de digipass. Hoe komt de trojan daaraan? Zelf genereren...?

Axel666 @psy • 17 april 2004 23:37

stel jij voert rekening xxx in dan kan de trojan nog voor het de lijn op gaat en geencrypt word er rekening yyy van maken en op het moment dat je data terug krijgt deze nadat je browser het gedecrypt heeft er weer lekker rekening xxx van maken, dus jij voert dan braaf het codetje in en voila je hebt het geld naar de verkeerde rekening over gemaakt met het bedrag kan natuurlijk idem gedaan worden...

Verwijderd @Axel666 • 18 april 2004 00:58

^^
Dan nog de Rabobank dekt zich bv goed in met deze disclaimer
"Ga alleen verder als de adresregel begint met https://bankieren.rabobank.nl/...
U bent er dan zeker van dat u communiceert met de Rabobank."

Maar met alles geld, tegen domme mensen valt niet te beveiligen natuurlijk, hetzelfde met auto's, Saabs en Volvo's worden gezien als de veiligste auto's maar het belangrijkste veiligheidsaspect is nog altijd de chauffeur die veilig over de snelweg rijdt, het gaat ook op voor over de digitale snelweg, zorg dat je firewalls en virusscanners hebt welke up to date zijn, men kan het niet vaak genoeg zeggen.

Verwijderd @sugarcube • 17 april 2004 23:24

Een andere transactie is niet uit te voeren. Altijd wordt bij een token-site een lijst weergegeven van de transacties waarvoor wordt 'getekend'. En de code bevat een versleuteling van meerdere zaken waaronder het totaal aantal transacties en de waarde.

Verwijderd @sugarcube • 17 april 2004 23:31

Wat een gelul. Je hebt het bijna bij het goede einde, maar als je vervolgens zegt dat het _niet_ mogelijk is ga je de fout in.

Het probleem is dat je wat er in de computer gebeurt niet moet vertrouwen. De enige conclusie die je kan trekken is dat de authorisatie voor een bepaalde transactie buiten dit systeem moet plaatsvinden. Daarvoor moet een tweeweg communicatie tussen de bank en het authorisatie apparaat bestaan. Dat kan wel degelijk geimplementeerd worden.

TweakMij 17 april 2004 22:17

In Barclay's online-banking-demo wordt een afwijkend inlog-mechanisme uitgelegd: www.barclays.co.uk/online/demo/login.html

Verwijderd 17 april 2004 22:17

Volgens mij hebben sommige key-loggers ook een screendump mogelijkheid ...... voorbeeld perfekt keylogger

Verwijderd 17 april 2004 22:19

Ik vraag me af hoe de gebruiker aan dat geheime woord komt. Het idee van deze beveiliging is zeker dat je niets nodig hebt om veilig in te kunnen loggen. Lijkt me toch het veiligste als dat wel zo is want vroeg of laat bedenken ze voor elke beveiliging wel iets.

Verwijderd 17 april 2004 23:18

Het kraken van de e.dentifier van abn amro is praktisch onmogelijk, voornamelijk omdat de challenge en de response maar beperkt geldig zijn (hoe het met andere banken zit weet ik niet)

Btw, die site van Klaphek is onzin... HomeNet bestaat allang niet meer (kan iig niet gebruikt worden). HomeNet gebruikers moesten overgaan op OfficeNet (Plus of Extra).

Maar laten we wel wezen, als je gaat inet bankieren of je gebruikt een softwarepakket om betalingen mee te doen, dan moet je op zn minst begrijpen/ weten dat je je pc moet beveiligen te virussen. Sowieso, als je gevoelige informatie heb op je pc, dan is het niet meer dan logisch dat je je in de beveiliging ervan verdiept.
Die je dat niet, dan moet je niet zeuren als je problemen krijgt...
Ik bedoel, hack mijn pc maar! Ik heb geen virusscanner, geen firewall... Er staat geen ene donder aan belangrijke info op, en met het terugzetten van een Ghost-image ben ik binnen 20 minuten weer up to date en online...

Verwijderd @Verwijderd • 17 april 2004 23:33

tenzij ze je ghost image wissen

Verwijderd @Verwijderd • 17 april 2004 23:38

Dus die sla ik op op m'n server . . . kan de hdd nog een keer falen.

Verwijderd @Verwijderd • 17 april 2004 23:35

Volgens mij is het tijd voor een virus dat ghost images aanpast. Het tooltje wordt wat te populair de laatste tijd :-).

Verwijderd @Verwijderd • 20 april 2004 11:43

OfficeNet Plus is precies hetzelfde als homenet 2.0,
HomeNet is gewoon de vorige versie (DOS) en officenet is de windows versie. Het werkt via hetzelfde principe alleen via een ander inbel nummer (mits je inbellen gebuikt dan).

(heeft mn stage bij de abn elektronisch bankieren helpdesk toch nog is nut

)

Op dit item kan niet meer gereageerd worden.

Nieuw type trojan maakt screenshots van internetbankieren

Lees meer

IT-banen

Reacties (94)

Sorteer op:

Weergave: