Nieuw type aanval op elektronische banktransacties

De website Nu.nl maakt melding van een nieuw type aanval op elektronische transacties, zoals internetbankieren. De Nederlandse banken en NCSC (Nationaal Security Centrum) zijn hierover vroegtijdig geïnformeerd en met de melders is gewerkt aan de bescherming tegen dit type aanval. NCSC en de Betaalvereniging hebben informatie beschikbaar gesteld over de werking van de aanval en mogelijke maatregelen.

Werking van de aanvalstechniek

De aanvalstechniek is gebaseerd op de al bekende techniek van SSL-stripping, maar is nu getoond als een werkende aanval, waarbij beveiligde banktransacties kunnen worden gemanipuleerd. De ‘proof-of-concept’ van deze aanval is ontwikkeld door het bedrijf SecureLabs en onderzoeksjournalist Brenno de Winter.

In de getoonde aanval zijn aanvallers in staat om online transacties van hun beveiliging te ontdoen en aan te passen, wanneer deze transacties via de bankwebsite worden uitgevoerd op een netwerk, dat de aanvaller onder controle heeft. Dat kan bijvoorbeeld door apparaten van gebruikers ongemerkt verbinding te laten maken met een door de aanvaller opgezet Wi-Fi-netwerk dat wordt aangeboden als Wi-Fi hotspot. Of door een netwerk aan te bieden met de naam van het Wi-Fi-netwerk, dat iemand thuis gebruikt. Apparaten zullen dan op basis van de naam automatisch verbinding maken met het netwerk.

(Foto Amstelveenweb.com - 2014)

De lampjes op de voorkant van een internetmodem kan u helpen om de status van uw modem en de internetverbinding visueel maken. De groene lichtjes betekenen, dat de communicatie tussen de modem en het netwerk in orde is

Maatregelen getroffen

De ontwikkelaars van deze aanvalstechniek hebben in een vroegtijdig stadium de Nederlandse banken en het Nationaal Cyber Security Centrum geïnformeerd, zodat deze maatregelen konden treffen. De Nederlandse banken hebben allereerst maatregelen ingericht, zodat zij transacties die eventueel via deze methode zijn gemanipuleerd kunnen detecteren in hun systemen. Daarnaast hebben Nederlandse banken een nieuwe techniek op hun websites geïmplementeerd genaamd HTTP Strict Transport Security, afgekort HSTS. Met deze techniek wordt de beveiliging van de verbinding afgedwongen en kunnen transacties niet meer worden gemanipuleerd.

Informatie voor consumenten

Het Nationaal Cyber Security Centrum heeft documentatie beschikbaar gesteld die de techniek van de aanval beschrijft en de maatregelen die gebruikers kunnen treffen om zichzelf te beschermen: Een bericht op Waarschuwingsdienst.nl onder de titel ‘Nieuw type aanval tegen online transacties, waaronder internetbankieren’, waarin consumenten kunnen lezen wat er kan gebeuren en waar ze op moeten letten om deze aanval te voorkomen. Een nieuwe versie van de NCSC-factsheet ‘Veilig gebruik van Smartphones en Tablets’. De Betaalvereniging heeft op zijn website ook informatie beschikbaar gemaakt, waarin consumenten worden geïnformeerd.

Wat kunt u doen?

De Nederlandse Vereniging van Banken raadt u aan om niet te internetbankieren via onbekende of onbeveiligde Wi-Fi-netwerken. Dit zijn Wi-Fi-netwerken, waarvan niet bekend is wie de eigenaar is en die niet om een veilig wachtwoord vragen. Vooral bij Wi-Fi-hotspots in openbare ruimten die voor iedereen toegankelijk zijn, moet u op uw hoede zijn.

Gebruikt u een gewone webbrowser om te internetbankieren, maak dan alleen verbinding met een vertrouwde en beveiligde Wi-Fi-hotspot. Mobiel bankieren via een app van de bank biedt ook een betere beveiliging tegen dit soort criminele praktijken.

(Screenshot Amstelveenweb.com - 2014)

Het adres van de website is geverifieerd via een Extended Validation (EV)-certificaat, in dit geval door VeriSign

Check altijd, of het groene slotje van de website van uw bank er staat en of dit op de adresbalk van uw webbrowser staat, samen met de volledige naam van uw bank. Dit slotje betekent, dat u een veilige verbinding met uw bank heeft. Bij manipulatie van de Wi-Fi-hotspots - of andere frauduleuze praktijken - staat het slotje soms niet in de adresbalk van de webbrowser, maar op de webpagina zelf. Het nep-slotje kan ook staan op de plek, waar uw bank doorgaans haar logo toont, bovenin de webbrowser. Dat zijn tekens, dat er iets niet klopt. Als u op het slotje klikt, check dan, of de naam van de bank juist vermeld staat. Er mogen geen waarschuwingen worden getoond. Als er wel een waarschuwing verschijnt, sluit dan direct de internetbrowser af.

Als u met uw muis op het adresbalk wijst, dan verschijnt de tekst: Geverifieerd door VeriSign, Inc. met een groen hangslot. Dat betekent, dat het adres van de website is geverifieerd via een Extended Validation (EV)-certificaat, in dit geval door VeriSign en dat de verbinding tussen de browser en de website is versleuteld om afluisteren te voorkomen. VeriSign Secure is een standaard beveiligingsvereiste voor e-commerce en websites voor online transacties om over een SSL-certificaat (Secure Sockets Layer) te beschikken. Als u op het hangslotje op uw adresbalk klikt en certificaten weergeven selecteert, kunt u de resterende details van het SSL-certificaat bekijken.