Door versleutelde verbindingen automatisch uit te schakelen was het bij grote Nederlandse banken mogelijk om transacties van klanten in te zien en ze te manipuleren. Op die manier hadden criminelen geld kunnen stelen, melden it-journalist Brenno de Winter en beveiligingsbedrijf SecureLabs zaterdag in Vara's Kassa en op Nu.nl.

HTTPS

Het probleem werd veroorzaakt doordat de sites van banken aan de browsers niet doorgaven om alleen https-verbindingen te accepteren. Met speciale software en een aangepaste wifi-router, in dit geval de Pineapple, waren https-verbindingen steeds automatisch te veranderen in http. Dat gebeurde zonder dat de gebruiker dat kon zien, doordat de software een nep-slotje toevoegde, waardoor het leek te gaan om een https-verbinding.

De software pastte automatisch het IBAN-nummer van het bankrekeningnummer van de begunstigde aan, terwijl de gebruiker wel het 'juiste' rekeningnummer krijgt te zien. Het zou ook mogelijk zijn om de aanval op een gehackte router uit te voeren om zo geld van klanten van providers te stelen. Via mobiele apps voor internetbankieren werkte de aanval niet.

IE blijft kwetsbaar

De grote Nederlandse banken hebben inmiddels als maatregel het veiligere HTTP Strict Transport Security, afgekort HSTS, ingevoerd. Internet Explorer blijft kwetsbaar, omdat de Microsoft-browser nog geen HSTS ondersteunt. IE-gebruikers blijven dus kwetsbaar.

Bij een test met een nephotspot op een drukke locatie werden in een middag meer dan honderd sessies voor internetbankieren gestart, aldus De Winter. De banken vergoeden de schade alleen als aan de veiligheidsregels voor internetbankieren is voldaan. Veel banken zouden de transacties die met deze methode zijn gemanipuleerd inmiddels kunnen detecteren.

Waarschuwing NCSC

Het Nationaal Cybersecurity Centrum (NCSC) heeft zaterdagavond een advies gepubliceerd over het lek. "De aanvalstechniek is gebaseerd op de al bekende techniek van SSL-stripping, maar is nu getoond als een werkende aanval waarbij beveiligde banktransacties kunnen worden gemanipuleerd."

NCSC meldt dat de banken het veiligere HSTS hebben geïmplementeerd. "Met deze techniek wordt de beveiliging van de verbinding afgedwongen en kunnen transacties niet meer worden gemanipuleerd."