Een paar jaar terug was sprake van de 'man-in-the-middle aanval waarbij malware werd geplaatst waarmee op afstand malafide transacties toegevoegd konden worden terwijl iemand aan het bankieren was.

Te laat updaten

Senior consultant Gijs Hollestelle van Deloitte liet recent tijdens een seminar in een demonstratie zien hoe hackers een computer volledig kunnen overnemen. In dit geval gebeurde dat doordat de gebruiker niet helemaal bij was met beveiligingsupdates en hackers eenvoudig de computer overnamen.

Hollestelle: "In de praktijk is het vrij lastig om altijd 100 procent bij te zijn met updates, ook omdat een gemiddelde pc software draait van een groot aantal derde partijen die vaak niet via het standaard patchproces worden geüpdated, denk bijvoorbeeld aan browserplugins als Flash.

Zero day

"Daarnaast komen er ook regelmatig zogenaamde zero day-lekken uit, dat zijn lekken waarbij er een exploit (programma om een lek te misbruiken) is voordat de leverancier een update uitbrengt. In dat geval is er dus een bepaalde periode dat een hele grote groep gebruikers kwetsbaar is."

Wanneer de computer volledig is overgenomen kan de hacker in principe alles uitvoeren op de computer en ook precies zien wat er gebeurt. Ook kan er een zogenaamde 'man-in-the-browser' aanval worden uitgevoerd.

Rekeningnummer aanpassen

Hollestelle: "Bij zo'n aanval wordt er een kwaadaardige 'plugin' geïnstalleerd in een browser die op bepaalde sites, met name banksites, de browser zich anders laat gedragen. Zo kan zo'n plugin bijvoorbeeld op het allerlaatste moment, een fractie van een seconde voor je op overboekt, het rekeningnummer waar je geld naar overmaakt aanpassen.

"Er zijn zelfs aanvallen die zo geavanceerd zijn dat ze ook op het rekeningoverzicht een ander rekeningnummer tonen dan de malafide rekening waarnaar het geld is overgemaakt. Deze aanvallen werken ook als er gebruik wordt gemaakt van een kaartlezer of sms-codes."

Hoog niveau beveiliging

Deze 'man-the-browser' aanval vereist wel veel technische kennis bij de aanvaller en een goede kennis van de manier waarop de banksite is opgebouwd, omdat voor iedere site een specifieke aanval moet worden gemaakt. Omdat Nederland een relatief kleine markt is met een hoog niveau van beveiliging komt dit in Nederland minder voor, volgens Hollestelle.

"Wat wel veel voorkomt zijn zogenaamde key-loggers die wachtwoorden en dergelijke afvangen. Deze loggers kunnen ook codes van een sms of een kaartlezer codes onderscheppen, maar deze kunnen dan niet meer door de hacker gebruikt worden omdat deze maar éém keer geldig zijn."

Spear phishing

In principe kan een goede en bijgewerkte virusscanner in combinatie met een pc met de meest recente beveiligsupdates dit soort aanvallen in 95 procent van de gevallen voorkomen, volgens de beveiligingsdeskundige van Deloitte. "Alleen in het geval dat er een specifieke aanval op een kleine groep wordt uitgevoerd, 'spear phishing', hebben virusscanners over het algemeen minder effect omdat ze werken op basis van 'signatures' van bekende kwaadaardige software."

"Als de kwaadaardige software dus nieuw is of maar weinig voorkomt zullen virusscanners deze niet herkennen. Meestal is dit echter niet het geval omdat er zeer grote groepen gebruikers worden aangevallen, waardoor antivirusbedrijven de aanval ook zien en hun virusscanners zo bijwerken dat ze de aanval kunnen blokkeren."

Nep-website

Wat de recente aanvallen op ING en de Rabobank betreft zegt Hollestelle: "Zonder te veel in te gaan op gevallen bij specifieke banken gaat het hier waarschijnlijk om een combinatie van twee componenten. Er is een technische component waarin zaken zoals de inloggegevens (gebruikersnaam, pasnummer, wachtwoord) worden gestolen. Dit kan worden gedaan op de manier zoals hierboven beschreven of, nog simpeler, door bijvoorbeeld een nep-website op te zetten en daar mensen heen te lokken en ze om die gegevens te vragen. "

"Het stelen van de statische gegevens wordt bij deze aanvallen gecombineerd met social engineering om de laatste beveiligingscomponent, de TAN-code of de code van een kaartlezer, te verkrijgen", zegt Hollestelle.

Geldigheid codes

"Hoe korter deze codes geldig zijn hoe moeilijker het is om een succesvolle aanval uit te voeren. Als een code maar een paar secondes geldig is, zou degene aan de telefoon dus in principe op datzelfde moment op de internetbankiersite moeten zitten om deze in te vullen. Vaak zijn er ook meerdere codes nodig om een transactie te doen (een om in te loggen en daarna nog een om de transactie te doen). Een kort geldige code verlaagt dus de kansen, maar sluit een aanval niet uit."

"Om het geld weg te krijgen kan de 'boef' als hij beschikt over toegang tot de internetbankierensite gewoon deze site gebruiken om geld over te maken. Een andere optie is om dit te doen via telefonisch bankieren dat bij sommige banken minder streng beveiligd is.

Money mule

Meestal wordt het geld overgemaakt naar de rekening van een 'katvanger' of 'money mule'. "Dit zijn mensen die bijvoorbeeld hoge schulden hebben en die gevraagd worden om de bedragen die op hun rekening worden gestort direct te pinnen en af te geven aan iemand of naar het buitenland over te maken. Hierbij mogen ze zelf een paar procent houden. Zie bijvoorbeeld Moneymules.nl."

"Dit gaat dus over de man-in-the-browser aanval. Ik denk dat de beschreven gevallen hier niet zoveel mee te maken hebben, aangezien het met deze aanval niet meer nodig is om een TAN-code of kaartlezercode te stelen via social engineering. Door het compleet overnemen van de browser vult de gebruiker gewoon zelf deze codes in en wordt alleen het bedrag of rekeningnummer op het laatste moment veranderd. Waarschijnlijk gaat het hier dus om simpelere aanvallen, aangevuld met social engineering om achter TAN-codes en kaartlezercodes te komen."

Fox IT

Volgens Jeroen Herlaar, business unit manager cybercrime bij Fox IT, is sinds 2007 man-in-the-browser-malware in Nederland niet meer gebruikt: "Destijds zijn er arrestaties gedaan in de Oekraïne en/of Wit-Rusland na speurwerk in Nederland. Dat heeft wellicht de internationale criminaliteit afgeschrikt." (zie video OM)

Herlaar durft zelfs de stelling aan dat de fraude met internetbankieren gebruikmakend van 'banking malware' in Nederland 'vrijwel nihil' is: "Banken zijn hier heel goed beveiligd met 'factor 2 authenticatie', beter dan sommige banken in andere Europese landen die gewoon met login en wachtwoord werken. Wellicht speelt ook de taal een rol, je moet Nederlandse connecties hebben."

Volgens Herlaar werkt vinden in Nederland momenteel nog uitsluitend phishing-aanvallen plaats op internetbankieren, met de tweetrapsraket van het klikken op een url met valse website vanuit de e-mail en vervolgens telefonisch real-time codes van de calculators ofwel een TAN-code verstrekken: "Technologisch kan het nog wel, maar het gebeurt niet meer. Blijkbaar is het voor criminelen niet interessant genoeg. Ze kiezen voor het lager hangend fruit in andere landen."

Gebruiker zwakke schakel

Hans van de Looy, partner bij ict-beveiliger Madison Gurkha in Eindhoven, vindt dat banken niets valt te verwijten: "Of ze nu met sms werken of dat de authenticatie met de calculators plaatsvindt, dat zijn op zich toch hele redelijke methodes om transacties te beveiligen. Dat geldt ook voor iDeal dat terecht een hoge vlucht heeft genomen als directe betaalmethode."

De banken leggen wat hem betreft het accent terecht op bewustmaking en voorlichting: "In feite gaat het maar om één regel: geef nimmer nummers en codes weg in e-mail, want de instelling zal je er nooit op die manier om vragen. M'n ouders bankieren ook via internet en die regel heeft ze altijd geholpen. Ze vertrouwen geen enkele phishing-mail."

Vlotte babbel

Maar de kracht van 'social engineering', het ontfutselen van gegevens met de vlotte babbel of perfect lijkende e-mail van de bank, is kennelijk niet uit te roeien bij de goedgelovigen. Van de Looy: "Als je het mensen vertelt, dan bevestigen ze het grote risico en dat ze erop zullen letten. Worden ze er later mee geconfronteerd dan tuinen sommigen er toch nog in. Eigenlijk heeft dat met beveiliging weinig te maken."

Technisch gezien ziet Van de Looy geen voetangels meer: "Een tijdje terug was er een lek in de SSL-verbinding waardoor je daarop met veel kennis van zaken op het juiste moment kon inbreken en dan code kon injecteren en een overschrijving kon bijplaatsen, maar die fout is opgelost." Daarmee wil hij trouwens niet zeggen dat een regelmatige controle onnodig zou zijn. "Er zullen altijd nieuwe aanvallen worden bedacht en elk stuk software bevat per definitie meerdere fouten die opgelost moeten worden. Het blijft een complexe materie."

Veilig proces

Dat bijvoorbeeld Rabobank nog dit jaar invoerde dat je ook het nummer van de bankpas moet intikken bij het inloggen vindt Van de Looy niet zo relevant: "Het is een stap extra in een proces dat op zich al veilig is. Bij ABN Amro moest je het pasnummer al een tijd lang ingeven. Verschillende banken gebruiken de informatie uit de chip op die betaalpas en dat is op dit moment veilig. Bij internetbankieren met SNS is er geen bankpas nodig, daar gaat alles via de Digipas en een pincode."

Recent publiceerde WebWereld over waarschuwingen door Rabobank, een geslaagde inbraak bij ING en geavanceerde phishing mail en een adequate aanpassing door ING.