Gisteren is naar buiten gekomen dat er door een beveiligingslek in websites van grote Nederlandse banken met wifi-hotspots transacties konden manipuleren. De banken hebben aangegeven dat ze maatregelen hebben genomen, echter blijft de internetbrowser Internet Explorer kwetsbaar.
De versleutelde verbindingen werden automatisch uitgeschakeld en hierdoor werd het bij grote banken mogelijk om transacties van klanten te manipuleren en in te zien. Op deze manier was de mogelijkheid groot dat criminelen geld kunnen stelen.
HTTPS
Uit onderzoek is gebleken dat het probleem wat werd veroorzaakt door de browsers kwam die niet doorgaven om alleen https-verbindingen te accepteren. Door speciale software en een aangepaste wifi-router werden https-verbindingen automatisch veranderd in http. De gebruiker kon dit niet zien, omdat de software een nep-slotje toevoegde. Voor veel gebruikers leek het dan ook om een beveiligde https-verbinding te gaan.
De software die werd gebruikt paste automatisch het IBAN-nummer van het bankrekeningnummer aan, terwijl de gebruiker wel het ‚juiste’ rekeningnummer te zien krijgt. Zo was het ook mogelijk om de aanval op een gehackte router ui te voeren om zo geld van providers en klanten te stelen. Via mobiele apps voor internetbankieren werkte de aanval niet.
Internet Explorer blijft kwetsbaar
Nadat het bericht naar buiten kwam hebben grote Nederlandse banken inmiddels de veiligere HTTP Strict Transport Security ingevoerd. Hierdoor blijft Internet Explorer nog steeds kwetsbaar, omdat de browser gewoonweg HSTS nog niet ondersteunt. Mensen die Internet Explorer gebruiken blijven dus altijd kwetsbaar.
MEt een test met een nephotspot op een drukke locatie werden in een middag meer dan honderd sessies voor internetbankieren gestart, meldt Brenno de Winter. De banken hebben laten weten dat ze de schade vergoeden wanneer er alleen aan de veiligheidsregels voor internetbankieren voldaan is. De meeste banken hebben de transacties die door de aanval gemanipuleerd zijn inmiddels al door de banken gedetecteerd zijn.
NCSC waarschuwt
Het Nationaal Cybersecurity Centrum (NCSC) heeft zaterdagavond een advies gepubliceerd over het lek. “De aanvalstechniek is gebaseerd op de al bekende techniek van SSL-stripping, maar is nu getoond als een werkende aanval waarbij beveiligde banktransacties kunnen worden gemanipuleerd.”
NCSC heeft daarnaast ook gemeld dat de banken een veiligere HSTS geïmplementeerd worden.”Met deze techniek wordt de beveiliging van de verbinding afgedwongen en kunnen transacties niet meer worden gemanipuleerd.”
Geld stelen via hotspots kon door lek in internetbankieren
Geen opmerkingen:
Een reactie posten