Phishingaanval omzeilt beveiliging digipass
Eerste melding man-in-the-middle-aanval door phishers
13 juli 2006 | Nico Vandenabeele
Zelfs een digipass schrikt phisingcriminelen tegenwoordig niet meer af. Voor het eerst wordt melding gemaakt van een zogeheten ?man-in-the-middle?-aanval om de inloggegevens van Citibank-klanten te bemachtigen.
Phishingaanvallen, waarbij het de bedoeling is persoonlijke informatie als wachtwoorden of creditcardgegevens te bemachtigen, worden steeds geavanceerder. Zelfs voor oplettende internetgebruikers is het nu oppassen geblazen, zo blijkt na de ontdekking van een vernuftige phishingaanval op klanten van
CitiBusiness, een divisie van Citibank.
CitiBusiness maakt gebruik van
two-factor authenticatie (T-FA) op de inlogpagina. Bij T-FA moeten gebruikers op twee los van elkaar staande manieren hun identiteit en toegangsrechten bewijzen, bijvoorbeeld door eerst hun gebruikersnaam en wachtwoord in te voeren en vervolgens een code afkomstig van een digipass.
Deze vorm van beveiliging is gangbaar bij internetbankieren en wordt algemeen beschouwd als veilig. Maar beveiligingsexperst van Secure Science Corporation waarschuwen dat phishingcriminelen erin geslaagd zijn om ook deze beveiligingsmethode te ondergraven met een zogenoemde ?man-in-the-middle?-aanval.
Zoals bij een standaard phishingaanval worden slachtoffers via e-mail naar een webpagina gelokt die een exacte kopie is van authentieke inlogpagina voor klanten van CitiBusiness. Deze pagina's zijn meestal vrij statisch: ze dienen voor niets meer dan het verzamelen van de inloggegevens van hun slachtoffers. Het volstaat om een fictief wachtwoord in te voeren om de nepsite te ontmaskeren, omdat de ingevoerde gegevens toch niet gecontroleerd worden op hun echtheid.
Bij een man-in-the-middle-aanval gaan de oplichters nog eens stapje verder. De nepsite controleert stiekem de ingevoerde gegevens bij de echte website. Geeft de gebruiker een fout wachtwoord op, dan krijgt hij een foutmelding voorgeschoteld. Hierdoor lijkt de vakkundig nagebootste nepsite nog meer op het origineel.
Zelfs wantrouwige internetgebruikers die eerst de echtheid van de website testen door een verkeerd wachtwoord in te voeren, worden op die manier toch in de luren gelegd. Alleen door zorgvuldig de url te controleren, viel op te maken dat de gebruiker zich niet op de website van Citibank.com bevond, maar op een webpagina die werd gehost op de inmiddels offline gehaalde Russische site tufel-club.ru.
Beveiligingsspecialist F-Secure waarschuwt dat de techniek niet alleen geschikt is voor beveiliging met een digipass. Ook andere vormen van two-factor authenticatie kunnen op die manier in de luren worden gelegd, bijvoorbeeld eenmalige wachtwoordtabellen of tokens.
Lees meer artikels over :
phishing, digipass, wachtwoord, middle, aanval, citibank
bron: ZDNet, The Washington Post
