Internetbankieren met beide billen bloot
Two-factor authenticatie, ofwel sterke authenticatie is een sterk groeiend standaard antwoordt op het verkrijgen van vertrouwen van miljoenen klanten van vele financiële Internetproducten waaronder Internetbankieren. Een nog onbekend aantal klanten van Citibank’s Citibusiness service hebben dat vorige week geweten. Een ijzersterk georganiseerde phising aanval gecombineerd met een zogenaamde "man in the middle" scenario heeft het vertrouwen in Two-factor authenticatie met het Internet als medium krachtig aangetast. De noodzakelijke extra en unieke code die het token van de Citibank klanten genereert wordt gewoon ingevoerd en door de aanvaller netjes doorgegeven aan de originele loginscherm van Citibank. Ook heeft de aanvaller slim rekening gehouden met foutmeldingen om zo het reeds gewonnen vertrouwen van de gebruiken te behouden.
Iedere zichzelf respecterende bank wist echter dat dit ging gebeuren, de vraag was enkel wanneer en met welke financiele instelling. Bruce Schneier (Counterpane) voorspelde uitvoering van deze methodiek voorjaar 2005, Ir. Barbara Oosterveld (NedSecure Solutions) begin 2005 reeds.
Uiteraard zijn er allerlei tegenmaatregelen bedacht in de hoop dit te kunnen voorkomen. Een voorbeeld hiervan is de sterke authenticatie via een ander medium te laten verlopen, bijvoorbeeld SMS authenticatie. Jammer dus, de “man in the middle” heeft er geen probleem mee als de gebruiker nog even de sterke authenticatie regelt, hij zit er toch tussen. Meer over deze two-factor spoofing:
http://blog.washingtonpost.com/securityfix/2006/07/citibank_phish_spoofs_2factor_1.html
Welke lessen willen wij maar niet leren?
1) (Remote) two-factor authenticatie lost vooral problemen op die we 10 jaar geleden hadden.
2) Het aanpassingsvermogen van cybercriminelen is vele malen hoger dan wij denken en hopen.
Jazeker, ook klanten van Nederlandse financiele dienstverleners kunnen, nee zullen slachtoffer worden van deze aanvalsmethodiek, feitelijk identiteitsfraude.
Zijn dit type dreigen dan op geen enkele manier te parreren? Gelukkig wel! Als je bijvoorbeeld two-factor authenticatie technologie combineert met kort levende client certificaten en het bovendien clients mogelijk maakt om phising sites te blokkeren op basis van een actuele database is er geen speld meer tussen te krijgen. Het Nederlandse TrustAlert heeft als onderdeel van ‘Resept’ specifiek hiervoor technologie ontwikkeld en gepatenteerd. Mogen wij allen best trots op zijn! Zie www.trustalert.nl voor meer informatie.
Two-factor authenticatie, ofwel sterke authenticatie is een sterk groeiend standaard antwoordt op het verkrijgen van vertrouwen van miljoenen klanten van vele financiële Internetproducten waaronder Internetbankieren. Een nog onbekend aantal klanten van Citibank’s Citibusiness service hebben dat vorige week geweten. Een ijzersterk georganiseerde phising aanval gecombineerd met een zogenaamde "man in the middle" scenario heeft het vertrouwen in Two-factor authenticatie met het Internet als medium krachtig aangetast. De noodzakelijke extra en unieke code die het token van de Citibank klanten genereert wordt gewoon ingevoerd en door de aanvaller netjes doorgegeven aan de originele loginscherm van Citibank. Ook heeft de aanvaller slim rekening gehouden met foutmeldingen om zo het reeds gewonnen vertrouwen van de gebruiken te behouden.
Iedere zichzelf respecterende bank wist echter dat dit ging gebeuren, de vraag was enkel wanneer en met welke financiele instelling. Bruce Schneier (Counterpane) voorspelde uitvoering van deze methodiek voorjaar 2005, Ir. Barbara Oosterveld (NedSecure Solutions) begin 2005 reeds.
Uiteraard zijn er allerlei tegenmaatregelen bedacht in de hoop dit te kunnen voorkomen. Een voorbeeld hiervan is de sterke authenticatie via een ander medium te laten verlopen, bijvoorbeeld SMS authenticatie. Jammer dus, de “man in the middle” heeft er geen probleem mee als de gebruiker nog even de sterke authenticatie regelt, hij zit er toch tussen. Meer over deze two-factor spoofing:
http://blog.washingtonpost.com/securityfix/2006/07/citibank_phish_spoofs_2factor_1.html
Welke lessen willen wij maar niet leren?
1) (Remote) two-factor authenticatie lost vooral problemen op die we 10 jaar geleden hadden.
2) Het aanpassingsvermogen van cybercriminelen is vele malen hoger dan wij denken en hopen.
Jazeker, ook klanten van Nederlandse financiele dienstverleners kunnen, nee zullen slachtoffer worden van deze aanvalsmethodiek, feitelijk identiteitsfraude.
Zijn dit type dreigen dan op geen enkele manier te parreren? Gelukkig wel! Als je bijvoorbeeld two-factor authenticatie technologie combineert met kort levende client certificaten en het bovendien clients mogelijk maakt om phising sites te blokkeren op basis van een actuele database is er geen speld meer tussen te krijgen. Het Nederlandse TrustAlert heeft als onderdeel van ‘Resept’ specifiek hiervoor technologie ontwikkeld en gepatenteerd. Mogen wij allen best trots op zijn! Zie www.trustalert.nl voor meer informatie.
posted by MotherExpert at 21:24
0 Comments:
Post a Comment
<< Home