Phishing-aanval omzeilt beveiliging met Digipass
Eerste melding 'man-in-the-middle'-aanval door phishers
12 juli 2006 | Nico Vandenabeele
Zelfs een Digipass schrikt phishing-criminelen niet meer af. Voor het eerst wordt melding gemaakt van een zogenaamde 'man-in-the-middle'-aanval om inloggegevens van Citibank-klanten te bemachtigen.
Phishing-aanvallen, waarbij het de bedoeling is persoonlijke informatie zoals wachtwoorden of kredietkaartgegevens te bemachtigen, worden steeds geavanceerder. Zelfs voor oplettende internetgebruikers wordt het oppassen geblazen, zo blijkt na de ontdekking van een vernuftige phishing-aanval op klanten van
CitiBusiness, een divisie van Citibank.
CitiBusiness maakt gebruik van
two-factor authentificatie (T-FA) op de inlogpagina. Bij T-FA moeten gebruikers op twee los van elkaar staande manieren hun identiteit en toegangsrechten bewijzen, bijvoorbeeld door eerst hun gebruikersnaam en wachtwoord in te voeren en vervolgens een code afkomstig van een Digipass.
Deze vorm van beveiliging is gangbaar bij internetbankieren en wordt algemeen beschouwd als een veilige authentificatiemethode. Maar beveiligingsexperts van Secure Science Corporation waarschuwen nu dat phishing-criminelen erin geslaagd zijn om ook deze beveiligingsmethode te ondergraven met een zogenaamde
man-in-the-middle-aanval.
Zoals bij een klassieke phishing-aanval worden slachtoffers via e-mail gelokt naar een webpagina die een exacte kopie is van de authentieke inlogpagina voor klanten van CitiBusiness. Deze pagina's zijn meestal vrij statisch: ze dienen voor niets meer dan het verzamelen van de inloggegevens van hun slachtoffers. Het volstaat om een fictief wachtwoord in te voeren om de nepsite te ontmaskeren, omdat de ingevoerde gegevens toch niet gecontroleerd worden op hun echtheid.
Maar bij een 'man-in-the-middle'-aanval gaan de oplichters nog eens stapje verder. De nepsite controleert op zijn beurt stiekem de ingevoerde gegevens bij de echte website. Geeft de gebruiker een fout wachtwoord op, dan krijgt hij effectief een foutmelding voorgeschoteld. Hierdoor lijkt de vakkundig nagebootste nepsite nog meer op de originele site.
Zelfs wantrouwige internetgebruikers die eerst de echtheid van de website testen door een fout wachtwoord in te voeren, worden op die manier toch in de luren gelegd. Alleen door zorgvuldig de URL in het webadres uit te spitten, viel op te maken dat de gebruiker zich niet op de website van Citibank.com bevond, maar op een webpagina gehost op de intussen offline gehaalde Russische site tufel-club.ru.
Beveiligingsspecialist F-Secure waarschuwt dat de techniek niet alleen geschikt is voor beveiliging met een Digipass. Ook andere vormen van two-factor authentificatie kunnen op die manier in de luren worden gelegd, bijvoorbeeld eenmalige wachtwoordtabellen of tokens.
Lees meer artikels over :
phishing, digipass, wachtwoord, middle, aanval, citibank
bron: ZDNet, The Washington Post
