25/05/2014
Beste mensen die bericht lezen: Brenno de Winter meldt:
Nieuw type mogelijk tegen online transacties, waaronder elektronisch
bankieren
Korte omschrijving
Een nieuw type aanval maakt het mogelijk om beveiligde online transacties, zoals bij elektronisch bankieren, te manipuleren wanneer deze via een onvertrouwd netwerk worden uitgevoerd. Via deze
aanval kunnen aanvallers misbruik maken van internetbankieren door bij uitvoeren van online transacties bankrekeningnummers aan te passen en in sommige gevallen ook bedragen aan te
passen. Op het scherm wordt de transactie getoond, zoals de gebruiker denkt deze uit te voeren waardoor de fraude niet direct opvalt. De aanval werkt op Wifi-netwerken, maar is ook toe passen
op bekabelde netwerken en via virussen en malware.
Wat kan er gebeuren?
Aanvallers kunnen internetverkeer onderscheppen en de versleuteling van verbindingen met websites ongedaan maken als zij het netwerk beheersen waar u gebruik van maakt. Dat is
bijvoorbeeld het geval wanneer aanvallers een malafide draadloos netwerk opzetten met een voor uw smartphone of tablet bekende naam, zodat uw apparaat daar automatisch verbinding mee
maakt. Dit kan omdat uw apparaat zelf zoekt naar netwerken door de naam van eerder gebruikte netwerken uit te zenden, zoals de naam van uw thuisnetwerk. Aanvallers kunnen dit opvangen en
dan met deze naam uw netwerk imiteren; uw apparaat zal automatisch verbinding maken met dit netwerk op basis van de naam. Bij deze aanval kan een aanvaller transacties aan te passen die over het netwerk gaan, ook als deze versleuteld zijn. Zo kan bijvoorbeeld het bankrekeningnummer van de ontvanger worden
aangepast en in sommige gevallen zelfs het bedrag. Daarbij kunnen aanvallers ook de gegevens aanpassen die in uw scherm worden getoond, om de manipulatie te verbergen. U ziet dan niet dat
geld bijvoorbeeld naar een andere rekening dan bedoelt wordt overgemaakt. Voor uitvoeren van de aanval wordt een versleutelde verbinding ongedaan gemaakt, waardoor het slotje van de versleuteling niet meer zichtbaar is. Door het icoon van de website een slotje te maken, oogt de site wel versleuteld. Waar https:// zou horen te staan staat vervolgens echter http://
en is de verbinding dus niet versleuteld. Hierdoor kunnen criminelen de informatie die langskomt manipuleren. Hierdoor kan geld worden overgemaakt naar andere rekeningen dan de bedoeling is.
Gebruikers die heel oplettend zijn kunnen detecteren dat een aanval plaats vindt, omdat het uitschakelen van de verbinding te herkennen is. De mobiele apps van de meeste banken zijn niet kwetsbaarh voor deze aanval. Omdat de aanval gebruik maakt van een algemene kwetsbaarheid in de beveiliging van websiteverbindingen, kan
deze aanval ook op andere soorten online transacties worden toegepast. Deze aanval is uit te voeren op transacties via de websites van banken en andere aanbieders van online diensten.
Hoe kan ik het voorkomen?
De meeste banken kunnen de aanvallen detecteren in hun systemen, zodat manipulatie van transacties niet onopgemerkt blijft. Dat is echter pas nadat de betaling is gedaan en de fraude al heeft plaatsgevonden. Een oplossing tegen deze aanval is een nieuwe technologie genaamd HTTP Strict Transport Security of kortweg HSTS, waarbij zeker wordt gesteld dat de versleuteling tot in de webbrowser werkt en deze de beveiliging ook echt afdwingt. Momenteel wordt dit nog niet door banken gebruikt, maar in aanloop naar het waarschuwen van het lek hebben de meeste Nederlandse banken besloten deze technologie binnenkort te gaan toepassen. Deze techniek wordt ondersteund door de meeste recente versies van Chromium, Google Chrome, Firefox, Opera en Safari. Microsoft Internet Explorer ondersteunt de techniek nog niet, maar verwacht bij de volgende versie dit te gaan ondersteunen. In aanvulling op de maatregelen van de banken (en andere aanbieders van online diensten), kunt u zelf het volgende doen om deze aanval te voorkomen:
• Vermijd indien mogelijk het gebruik van Wifi bij het internetbankieren. Als dat niet mogelijk
is, doe het dan alleen in vertrouwde omgevingen of bij vertrouwde hotspots.
