Een groot lek bij zeker tien Nederlandse banken maakte het mogelijk om een zogeheten phishing-website over de originele website te plaatsen. Hierdoor heeft een gebruiker de aanval nauwelijks door. Dit heeft beveiligingsonderzoeker Wouter van Dongen van DongIT, toen de website van zijn eigen bank niet goed bleek te functioneren.
Onderzoek legde vervolgens een zogenaamd cross site scripting probleem bloot. Via een simpele zoekactie kwamen vervolgens tien websites met hetzelfde probleem naar voren. De banken hebben het lek inmiddels gedicht.
Het ging om de sites van ABN AMRO, Rabobank, ING, Binck, Alex, ASN, Knab, SNS, Triodos en de Belgsiche site van Van Lanschot Bankiers. Met het lek is het mogelijk om in de browser opdrachten te geven en de werking van de website te beïnvloeden.
Hierdoor kunnen de kwaadwillende de zwakheid gebruiken om een nep website over de echt website heen te bouwen, die functioneert met alle echtheidskenmerken van de bank. Zelfs een groene zoekbalk en een beveiligingscertificaat lijken dan in orde. Hierdoor is eenvoudig fraude en oplichting met internetbankieren mogelijk.
Misbruik maken
“Dit type fout wordt vaak onderschat. Maar hierdoor kan je bijvoorbeeld de opgeslagen wachtwoorden in browsers ophalen met een nepformulier”, zegt Van Dongen tegenover NU.nl.
“Ook zijn alle onderdelen van een website af te vangen en te manipuleren. Een aanvaller heeft dan volledige controle over de browser”, legt hij uit. Doordat alles eruit ziet als ‘echt’, valt de aanval niet op en is bijvoorbeeld misbruik voor phishing mogelijk.
Veel bezoekers vullen nietsvermoedend hun persoonlijke gegevens in die de hackers vervolgens dan in handen krijgen, Om de zwakheid van de verschillende banken websites te demonstreren zonder een echte phishing-aanval uit te voeren, heeft van Dongen van de tien banken websites een voorbeeld gemaakt met de ‚Harlem Shake’.
Hierbij dansen de verschillende onderdelen op de website en is duidelijk dat onderdelen te vervangen zijn.
Verholpen
Volgens Martin Knobloch van de Open Web Application Security Project is dit type fout een veelgemaakte. “Dat komt met name doordat het probleem niet goed bekend is in alle voorkomende vormen”, zegt hij. “Helaas richt men zich bij het voorkomen alleen op de meest bekende vormen ervan.”
Na contact met Van Dongen hebben alle banken het probleem inmiddels verholpen, zodat misbruik niet meer mogelijk is. Eerder toonde Van Dongen een vergelijkbare problematiek bij DigiD aan.
Beveiligingslek banken maakte phishing mogelijk
Geen opmerkingen:
Een reactie posten