Beveiligingslek banken maakt manipulatie transacties mogelijk
Door het uitschakelen van versleuteling bij internetverbindingen blijkt het mogelijk om, bij alle grote Nederlandse banken, banktransacties in te zien en te manipuleren. Dat blijkt uit onderzoek van beveiligingsbedrijf SecureLabs.
Er zijn diverse banken getest en de aanval blijkt universeel te zijn. Het probleem heeft alleen betrekking op webbrowsers. Tests naar apps voor internetbankieren blijken geen last van het probleem te hebben. De meeste banken ondersteunen HSTS inmiddels bij internetbankieren. HSTS moet het web veiliger maken door automatische overschakeling naar een versleutelde SSL-verbinding. De intentie is dat alle banken dat gaan doen. Microsoft verwacht de ondersteuning pas in de volgende versie van zijn Internet Explorer voor elkaar te hebben. Google Chrome, Apple Safari en Mozilla Firefox ondersteunen het protocol wel.
SecureLabs heeft dezelfde aanval ook getest met boekingssites en webwinkels, ook die blijken kwetsbaar te zijn. In samenwerking met de banken zijn inmiddels maatregelen genomen om de kans op misbruik te beperken en de pakkans van criminelen te vergroten.
Voor het onderzoek is gebruik gemaakt van een Wifi-hotspot waarop programmatuur kan worden geïnstalleerd. Om vervolgens geld te stelen moeten drie stappen worden uitgevoerd.
Allereerst maakt de hotspot een versleutelde verbinding naar de gebruiker ongedaan, terwijl de verbinding naar de bank wel versleuteld is. Als de website voor internetbankieren met een webbrowser wordt bezocht, vervangt het hotspot het icoon van de bank door een slotje. Hierdoor valt nauwelijks op dat er geen versleutelde verbinding is. Als laatste stap past de software na een transactie automatisch het IBAN-bankrekeningnummer van de begunstigde aan in het internetverkeer naar de bank toe. De gebruiker krijgt vervolgens het bedoelde rekeningnummer te zien.
Meer informatie: waarschuwingsdienst.nl