image

Twee factor authenticatie niet veilig voor phishers

dinsdag 11 juli 2006, 09:58 door Redactie, 7 reacties

Al jaren roepen security experts dat banksites, en dan met name in het buitenland, geen gebruikersnaam en wachtwoord moeten gebruiken, maar op twee factor authenticatie moeten overstappen. Dit voorkomt dat gebruikers het slachtoffer van phishers worden, althans, zolang de criminelen dit ook niet vervalsen.

Er is een nieuwe phishing aanval ontdekt die zich richt op de Citibusiness klanten van de Amerikaanse Citibank. Om toegang tot hun online rekening te krijgen moeten deze klanten naast een gebruikersnaam en wachtwoord ook een speciale code invoeren. De code is afkomstig van een "calculator" die de klant heeft, en elke minuut een nieuwe code genereert.

In de phishing mail worden de klanten gewaarschuwd dat iemand heeft geprobeerd in te loggen op hun bankrekening, en dat ze nu hun gegevens moeten controleren. De phishing website is identiek aan de originele en vraagt net als de echt banksite om logingegevens en de speciale code.

Die gegevens worden dan direct door de phishing website op de echte banksite geprobeerd. Geeft men een verkeerde code, dan geeft de phishing site dit door aan de gebruiker, waardoor het lijkt alsof hij op de echte site zit. Het is voor het eerst dat een "man in the middle" aanpak op deze manier door phishers wordt gebruikt. (SecurityFix)

Reacties (7)
11-07-2006, 10:57 door Anoniem
Het was slechts een kwestie van tijd. Het idee is al langer bekend, het was
alleen wachten op iemand met teveel vrije tijd om dit werkelijk in te gaan
zetten.
11-07-2006, 11:20 door Anoniem
en wat kunnen ze dan met die rekening?
bij de abn moet je voor elke transactie de code invoeren.
dan zijn ze dus wel ingelogd maar ze kunnen niets
overmaken,maar misschien is dit bij andere banken anders.
11-07-2006, 11:54 door dman
het lijkt mij dat je bij een transactie x je op je eigen scherm idd de juiste
gegevens ziet -> de phising tool scrambelt dat om een groot bedrag naar
een verre rekening te zetten -> bank accepteert dat en geeft een code
hiervoor -> de code stuurt de phistingtool terug -> klant voert dat in en
voila..
zo kan een transactie van een euro, een flop worden van duizenden keren
meer?
11-07-2006, 13:09 door Anoniem
Door Anoniem
en wat kunnen ze dan met die rekening?
bij de abn moet je voor elke transactie de code invoeren.
dan zijn ze dus wel ingelogd maar ze kunnen niets
overmaken,maar misschien is dit bij andere banken anders.

Dan nog zou die persoon (met teveel tijd) op het moment dat hij opnieuw
een code heeft een fake mail kunnen sturen. Gaat ver, maar theoretisch en
op security presentaties prima uitvoerbaar.
13-07-2006, 08:48 door Anoniem
Het kan wel 100% veilig zijn dmv Host Verification. Op die manier krijgt de
gebruiker een extra code te zien op het scherm van zijn pc en op het
display van zijn token. Als die beide gelijk zijn dan weet men dat men direct
met de server praat zonder "man in the middle".
21-07-2006, 19:06 door spatieman
krigj je weer fan tie herlieke emiel bericden die verdaalt
sijn ,om liefe klanden te waarshuwen tad er ieamd heb
probeed in te loggen in you bank gegevens.
07-12-2007, 20:25 door Anoniem
Er is een gouden regel. Reageer nooit direkt (via reply) op een email van
een financiele organisatie. Altijd opnieuw zelf een email sturen naar het
email adres van de bank, zelfs al zou het een betrouwbare waarschuwing
of vraag lijken. Kijk, als iemand een website kan "hacken" dan houdt
natuurlijk alles op, maar dan ben je er ook niet rechtstreeks bij betrokken.
Ook geregeld kijken naar spyware die theoretisch alle toets aanslagen zou
kunnen registreren, hoewel dat bij de zg. "twee-factor" niet zou moeten
spelen. Ik ga nu een borrel drinken op de goede afloop.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.