Nieuws - Door een beveiligingslek in de sites van grote Nederlandse banken waren met malicieuze wifi-hotspots transacties te manipuleren. De banken hebben maatregelen genomen, maar Internet Explorer blijft kwetsbaar.
Door versleutelde verbindingen automatisch uit te schakelen was het bij grote Nederlandse banken mogelijk om transacties van klanten in te zien en ze te manipuleren. Op die manier hadden criminelen geld kunnen stelen, melden it-journalist Brenno de Winter en beveiligingsbedrijf SecureLabs zaterdag in Vara's Kassa en op Nu.nl.
HTTPS
Het probleem werd veroorzaakt doordat de sites van banken aan de browsers niet doorgaven om alleen https-verbindingen te accepteren. Met speciale software en een aangepaste wifi-router, in dit geval de Pineapple, waren https-verbindingen steeds automatisch te veranderen in http. Dat gebeurde zonder dat de gebruiker dat kon zien, doordat de software een nep-slotje toevoegde, waardoor het leek te gaan om een https-verbinding.
De software pastte automatisch het IBAN-nummer van het bankrekeningnummer van de begunstigde aan, terwijl de gebruiker wel het 'juiste' rekeningnummer krijgt te zien. Het zou ook mogelijk zijn om de aanval op een gehackte router uit te voeren om zo geld van klanten van providers te stelen. Via mobiele apps voor internetbankieren werkte de aanval niet.
IE blijft kwetsbaar
De grote Nederlandse banken hebben inmiddels als maatregel het veiligere HTTP Strict Transport Security, afgekort HSTS, ingevoerd. Internet Explorer blijft kwetsbaar, omdat de Microsoft-browser nog geen HSTS ondersteunt. IE-gebruikers blijven dus kwetsbaar.
Bij een test met een nephotspot op een drukke locatie werden in een middag meer dan honderd sessies voor internetbankieren gestart, aldus De Winter. De banken vergoeden de schade alleen als aan de veiligheidsregels voor internetbankieren is voldaan. Veel banken zouden de transacties die met deze methode zijn gemanipuleerd inmiddels kunnen detecteren.
Waarschuwing NCSC
Het Nationaal Cybersecurity Centrum (NCSC) heeft zaterdagavond een advies gepubliceerd over het lek. 'De aanvalstechniek is gebaseerd op de al bekende techniek van SSL-stripping, maar is nu getoond als een werkende aanval waarbij beveiligde banktransacties kunnen worden gemanipuleerd.'
NCSC meldt dat de banken het veiligere HSTS hebben geďmplementeerd. 'Met deze techniek wordt de beveiliging van de verbinding afgedwongen en kunnen transacties niet meer worden gemanipuleerd.'
---
Wat ze niet schrijven: het is gewoon een 'man in the middle attack'.
Door niet zo te schrijven wordt het schandelijk falen van de banken een beetje buiten beeld gehouden.
Dit was te voorkomen geweest, het blijkt eens te meer dat bij de banken beveiliging niet hoog op de agenda staat.
Leuk is nu ook wel dat de Internet Explorer kwetsbaar blijft: en dat terwijl de ING die browser aanbeveelt. Eigenlijk moet ING daar nu op reageren...