Twee-factor authenticatie is voor de nieuwe generatie banking Trojans niet meer veilig, wat betekent dat de malware tegen steeds meer banken ingezet kan worden. En niet verwonderlijk gebeurt dat dan ook. De beruchtste rekeningplunderaar van dit moment is "Sinowal", een zeer complex stukje malware ontwikkeld in Rusland. Het Trojaanse paard kan meer dan 1000 banksites herkennen, maar als je de dubbele eraf haalt kom je op zo'n 750 banken uit, en daar zitten ook meerdere Nederlandse banken tussen, aldus Roel Schouwenberg, Senior Anti-virus onderzoeker bij Kaspersky Lab. Sinowal weet zich te verspreiden via drive-by downloads, en is dan ook een geliefde combinatie met "hacker toolkits" zoals MPack en Web-attacker, die niet alleen Windows en Internet Explorer lekken misbruiken, maar ook via oude QuickTime en WinZip installaties het systeem weten over te nemen.

En dan begint de ellende pas. Zodra de malware ziet dat het slachtoffer een bepaalde banksite bezoekt, wordt er contact met de Command 'n Control server gemaakt. De communicatie verloopt via een versleuteld kanaal, waardoor het voor onderzoekers lastig is te zien welke instructies het besmette systeem krijgt. Een veel gebruikte tactiek is HTML-injectie, waarbij er op de legitieme pagina een pop-up of ander venster verschijnt die bij de betreffende pagina lijkt te horen, maar in werkelijkheid alleen op de login en andere vertrouwelijke gegevens uit is. Postbank klanten kregen eind september met deze aanval te maken.

De nieuwe generatie gaat een stuk verder dan simpele HTML injectie, en Schouwenberg is dan ook onplezierig verrast dat de malware al zo ver is. "Ik had gehoopt dat we dit pas volgend jaar zouden zien", zo laat hij ons weten. Vergeet phishing websites op dubieuze servers en eenvoudige popups, de banking Trojans van de toekomst zijn voornamelijk lokaal actief. Door Windows systeembestanden zoals wininet.dll aan te passen en verkeer te sniffen, controleert de aanvaller wat erop het systeem gebeurt. De malware brengt eerst de werking van een bepaalde banksite in kaart, en maakt daarna aanpassingen die voor het oog van de gebruiker onzichtbaar zijn. Denk aan extra overschrijvingen die worden meegestuurd, of het aanpassen van rekeningnummers. De gebruiker heeft niets door, want hij heeft het SSL certificaat gecontroleerd, en ziet ook geen extra transacties in het overzicht staan.

Misleiding is een must
Sinowal zit zo "briljant" in elkaar dat het zich, succesvol of niet, na verloop van tijd weer verwijdert om detectie te voorkomen. Ook kan de malware zichzelf updaten om virusscanners te blijven misleiden. En daar blijft het misleiden van onderzoekers niet bij. Het Trojaanse paard gebruikt namelijk een speciaal algoritme, dat aan de hand van de datum, bepaalt met welke server contact moet worden opgenomen. Eugene Kaspersy vertelde ooit dat als er van een malware exemplaar minder dan 1000 stuks worden verspreid, geen enkele virusbestrijder de malware ooit zal opmerken. Schouwenberg laat weten dat de uitspraak van zijn baas misschien wat ver gaan, maar het geeft wel aan dat anti-virusleveranciers niet onfeilbaar zijn, en dat een crimineel met een paar honderd Trojaanse paarden zeer gericht en bijna onopgemerkt te werk kan gaan.

Donkere wolken uit het Oosten
Volgens Schouwenberg is het bestrijden van dit soort malware een uitdaging, zeker als er DLL bestanden gepatcht worden. Een belangrijke verdediging blijft het patchen van alle applicaties op het systeem en voorzichtig met het openen van bestanden te zijn. En de toekomst ziet er niet rooskleurig uit. De onderzoeker ziet aanwijzingen dat Chinese criminelen, die het nu nog op de accounts van online spellen zoals World of WarCraft en Lineage hebben voorzien, langzaam naar online bankieren opschuiven. Als je weet dat 70% van alle malware uit China afkomstig is, kan het niet zo zijn dat alleen gebruikers actie moeten ondernemen. Voor een deel van de problematiek ziet Schouwenberg een oplossing in een betere implementatie van de twee-factor authenticatie. Zoals het versturen van een extra challenge gebaseerd op het rekeningnummer waarnaar je het geld wilt overmaken. Gebruikers moeten dan wel voor elke transactie een aparte code invoeren, maar dat voorkomt dat er ongezien extra overboekingen worden meegestuurd.

Ook Swa Frantzen van Section66 ziet de dreiging van de nieuwe Banking Trojans. "Als de gebruiker met een Trojan besmet is kunnen de criminelen eigenlijk doen wat ze willen, de gebruiker heeft geen schijn van kans om nog de echte website van zijn bank te onderscheiden van een aanval." Het enige dat de gebruiker nog kan redden is een degelijke verificatie en gebruik van een digitale handtekening.

Gebruiksgemak moet inboeten
Frantzen voorspelt dat als de wapenwedloop verder gaat, dit met veel werk voor de gebruikers eindigt, tenzij de banken het echte verlies kunnen beperken en de slachtoffers blijven vergoeden. "Het ultieme van een digitale handtekening is dat de gebruiker zijn transactie moet tekenen met een digitale handtekening en daarbij het rekeningnummer van de overschrijving en het bedrag zal moeten overtikken op een off-line token, waarbij hem gevraagd zal worden beide te verifiëren. Overschrijvingen verzamelen in een soort van overzicht, en dat "tekenen" door enkel een getalletje als challenge is vandaag reeds niet meer genoeg om tegen de aanvallen te beschermen. Wat er in de omslag zit kan je namelijk enkel verifiëren op je scherm en als de Tojan zijn werk doet zie je daar de extra toegevoegde transacties niet staan."

De beveiligingsonderzoeker beseft dat hij een doembeeld lijkt te schetsen. "Misschien is dat zo. Maar in het licht van de recente incidenten lijkt het nuttig dat banken kijken naar een hoger niveau van beveiliging, waarbij strong authenticatie (2-factor), digitale handtekeningen, externe tokens en SSL niet meer als het volledige antwoord op de hedendaagse malware worden gezien." Voor echt goede beveiliging van internetbankieren zal de gebruiksvriendelijkheid verdwijnen, en dat zou kunnen leiden tot een oplossing waar je binnen limieten soepeler kan werken, en naarmate het
bedrag toeneemt, je almaar meer werk moet verrichten om een transactie uit te laten voeren.

3x authenticeren
Feit blijft dat internetbankieren één van de speerpunten van de hedendaagse malware is, en nu ook buitenlandse banken voor twee-factor authenticatie kiezen, de aanvallen op Nederlandse banken alleen maar zullen toenemen. Het is dus aan de banken om met een passend antwoord te komen, en op andere landen voorop te blijven lopen. Vorige week liet Gijs Boudewijn van de Nederlandse Vereniging van Banken nog weten dat er al aan drie-factor authenticatie wordt gewerkt, maar kon nog niet zeggen wanneer we dit kunnen verwachten. Tot die tijd blijft het oppassen, ook al heeft u drie keer geklopt.

Security.nl, 06-11-2007, Redactie