Gaten in de beveiliging van online bankieren: operatie Emmental

Know Your EnemiesMijn collega David Sancho, Senior Threat Researcher bij Trend Micro, schreef een interessante blogpost over een nieuwe bedreiging voor online bankieren die we graag met je willen delen. Het originele bericht lees je hier.

Net zoals de Zwitserse Emmentaler kaas kan de manier waarop jouw online bank-account is beschermt ook vol zitten met gaten. Banken proberen al jaren te voorkomen dat kwaadwillenden toegang krijgen tot de online accounts. Wachtwoorden, PIN-codes, TAN’s en sessie-tokens, al deze middelen zijn ontwikkeld om bankfraude te voorkomen. Onlangs stuitte we op een criminele operatie die erop gericht is om één van deze tools te verslaan, namelijk sessie-tokens. Zo pakken ze dat aan:

Deze criminelen richten zich op banken die een sessie-token gebruiken, welke verstuurd wordt via een SMS. Dit is een twee-staps authenticatie methode waarbij verificatie via de telefoon van de gebruiker als tweede stap fungeert. Door in te loggen op de website van de bank, ontvangt de bank een seintje en stuurt daarop de gebruiker een SMS met een code. Gebruikers moeten die code vervolgens samen met hun gebruikelijke gebruikersnaam en wachtwoord invullen om de transactie te kunnen uitvoeren. Deze methode wordt standaard gebruikt bij een aantal banken in Oostenrijk, Zweden, Zwitserland en andere Europese landen.

Criminelen spammen gebruikers uit deze landen met malafide e-mails, waarbij zij zich voordoen als bekende online retailers. De gebruikers klikken vervolgens op een malafide link of de bijlage waarna hun computer wordt geïnfecteerd met malware. Tot nu toe is dit allemaal redelijk bekend en vanuit het bedreigingsperspectief een beetje saai.

Maar nu wordt het interessant. De computer van de gebruiker wordt namelijk niet echt besmet, althans niet met de gebruikelijke banking-malware. De malware verandert alleen de configuratie van de computer en verwijdert zichzelf vervolgens. De veranderingen zijn klein, maar de gevolgen groot.

Dit is hoe het werkt: de DNS-instellingen van de gebruikers’ computer worden veranderd en verwijzen naar een buitenlandse server, die beheerd wordt door cybercriminelen. De malware installeert een SSL-basiscertificaat in hun systemen, zodat de malafide HTTPS-servers vanaf dat moment standaard worden vertrouwd of als veilig worden bestempeld en er geen veiligheidswaarschuwing te zien is.

What happens in the 2-factor authentication process when the PC is infected in Operation Emmental

What happens in the 2-factor authentication process when the PC is infected in Operation Emmental

Wanneer een gebruiker met een geïnfecteerde computer toegang probeert te krijgen tot de website van hun bank, worden ze direct doorverwezen naar een kwaadwillende website die er exact uitziet als de website van de betreffende bank. Tot nu toe lijkt het gewoon een standaard phishing-aanval, maar deze criminelen zijn echter veel slinkser dan dat. Zodra de gebruiker zijn gegevens invoert, wordt er een app geïnstalleerd op zijn smartphone.

Deze malafide Android-app is vermomd als een generator van sessie-tokens van de bank. In werkelijkheid onderschept het de SMS-berichten van de bank en stuurt het de sms door naar een command-and-control (C&C) server of een andere mobiele telefoon. Dat betekent dat de cybercriminelen niet alleen de online bankgegevens van de gebruiker ontvangen via de phishing-website, maar daarnaast ook de sessie-tokens die nodig zijn voor het online bankieren. Kortom, cybercriminelen hebben hierdoor de volledige controle over de bankgegevens van het slachtoffer.

Wat dacht je daarvan, voor een grote malware operatie? Gelokaliseerde spam, non-persistent malware, rogue DNS servers, phishing-pagina’s, Android malware, C&C servers en back-end servers. Je kunt niet zeggen dat deze criminelen lui zijn.

De criminelen die hierachter zitten richten zich met name op internetgebruikers in Zwitserland, Oostenrijk en Zweden. Afgelopen mei voegden ze daar Japanse internetgebruikers aan toe. Wij zijn in staat geweest om de online nicknames te traceren: – = FreeMan = – en Northwinds. Deze accounts zijn sinds 2011 actief. Toen verspreidde zij “off-the-shelf” malware zoals SpyEye en Hermes. Als we kijken naar de binaries die recentelijk werden gebruikt, denken we dat zij gebruik maakten van tenminste twee verschillende crypting-diensten. Een daarvan wordt gerund door iemand uit Oezbekistan. De andere crypting-dienst hebben we niet kunnen identificeren.

Meer informatie over deze aanval vind je in de originele Engelstalige blogpost en het rapport Finding Holes: Operation Emmental.

 

 

 

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.