thinkstock_piraterij_internet_downloaden

Beveiligingslek banken maakt manipulatie transacties mogelijk

Posted on 18 juni 2014 · Posted in Beveiliging, Cybercrime, Internet, Internet fraude

Door het uitschakelen van versleuteling bij internetverbindingen blijkt het mogelijk om, bij alle grote Nederlandse banken, banktransacties van burgers in te zien en te manipuleren.
Beveiligingslek banken maakt manipulatie transacties mogelijk
Dat blijkt uit onderzoek dat NU.nl heeft uitgevoerd in samenwerking met het beveiligingsbedrijf SecureLabs.
In samenwerking met de banken zijn inmiddels maatregelen genomen om de kans op misbruik te beperken en de pakkans van criminelen te vergroten.

Voor het onderzoek is gebruik gemaakt van een Wifi-hotspot waarop programmatuur kan worden geïnstalleerd. Om vervolgens geld te stelen moeten drie stappen worden uitgevoerd.
Allereerst maakt de hotspot een versleutelde verbinding naar de gebruiker ongedaan, terwijl de verbinding naar de bank wel versleuteld is.
Als de website voor internetbankieren met een webbrowser wordt bezocht, vervangt het hotspot het icoon van de bank door een slotje. Hierdoor valt nauwelijks op dat er geen versleutelde verbinding is.
Als laatste stap past de software na een transactie automatisch het IBAN-bankrekeningnummer van de begunstigde aan in het internetverkeer naar de bank toe. De gebruiker krijgt vervolgens het bedoelde rekeningnummer te zien.
Blijvend probleem
Ook bij een volgende sessie zal de kwaadaardige software in de browser het bankrekeningnummer en de naam van de ontvanger blijven veranderen, waardoor het misbruik vermoedelijk pas veel later zal opvallen.
Er zijn diverse banken getest en de aanval blijkt universeel te zijn. Experts van SecureLabs hebben hetzelfde type aanval ook getest met boekingssites en webwinkels.
De gedemonstreerde aanval spitst zich specifiek toe op draadloze netwerken. “Deze aanval is eenvoudig in vorm. Je zou dit ook op een gehackte router op internet kunnen uitvoeren en dan zouden alle klanten van bijvoorbeeld een provider kunnen worden getroffen”, stelt Ronald Kingma van SecureLabs.
“Het vervelende is dat de gebruiker dit niet of nauwelijks kan ontdekken.”
Oplosbaar
Na het uitvoeren van het onderzoek is contact gezocht met het National Cyber Security Center (NCSC) van de Nationaal Coordinator Terrorisme Bestrijding en Veiligheid om de coördinatie te voeren bij het oplossen van de problematiek.
De meeste banken ondersteunen HSTS inmiddels bij internetbankieren en de intentie is dat alle banken dat gaan doen.
Nog niet iedere webbrowser ondersteunt echter HSTS. Zo verwacht Microsoft de ondersteuning pas in de volgende versie van zijn Internet Explorer voor elkaar te hebben. Wanneer dat beschikbaar is, kan of wil het bedrijf niet zeggen. Google’s Chrome, Apple Safari en Mozilla Firefox ondersteunen het protocol wel.
Veel gebruikt
NU.nl onderzocht op diverse locaties met een nephotspot hoe snel het mogelijk was een groter aantal internetbankierende mensen te bedienen zonder een aanval uit te voeren.
Daarvoor werd een hotspot op een drukke locatie aangeboden. Bij een test werden in een middag meer dan honderd sessies voor internetbankieren gestart.
Voor zover bekend is er nog geen geld middels deze techniek ontvreemd.
Als gevolg van de ontdekking van het beveiligingslek zijn banken wel extra alert op mogelijk misbruik. De banken zeggen allemaal toe eventuele schade te vergoeden, mits aan de voorwaarden wordt voldaan.
Betaalvereniging Nederland waarschuwt bankklanten om geen Internet Explorer meer te gebruiken bij het internetbankieren. Dat zei adjunct-directeur Gijs Boudewijn zaterdag in Kassa.

Voor het probleem wordt breed gewaarschuwd. De waarschuwingsdienst alarmeert voor het probleem in een advies dat NU.nl in samenwerking met SecureLabs en het NCSC heeft geschreven. Het NCSC heeft een gedetailleerde uitleg beschikbaar over de problemen met draadloze netwerken. Daarnaast komen de banken zelf ook met een advies.

Het probleem heeft alleen betrekking op webbrowsers. Tests naar apps voor internetbankieren blijken geen last van het probleem te hebben.
Om bedrijven te helpen met het te lijf gaan van draadloze hotspots komt SecureLabs binnenkort met een programma om nephotspots te kunnen detecteren.
Door: NU.nl/Brenno de Winter