Nieuw type aanval op elektronische transacties in het nieuws

De website Nu.nl maakt melding van een nieuw type aanval op elektronische transacties, zoals internetbankieren. De Nederlandse banken en NCSC zijn hierover vroegtijdig geïnformeerd en met de melders is gewerkt aan de bescherming tegen dit type aanval. NCSC en de Betaalvereniging hebben informatie beschikbaar gesteld over de werking van de aanval en mogelijke maatregelen.

Werking van de aanvalstechniek

De aanvalstechniek is gebaseerd op de al bekende techniek van SSL-stripping, maar is nu getoond als een werkende aanval waarbij beveiligde banktransacties kunnen worden gemanipuleerd. De ‘proof-of-concept’ van deze aanval is ontwikkeld door het bedrijf SecureLabs en onderzoeksjournalist Brenno de Winter.

In de getoonde aanval zijn aanvallers in staat om online transacties van hun beveiliging te ontdoen en aan te passen, wanneer deze transacties via de bankwebsite worden uitgevoerd op een netwerk dat de aanvaller onder controle heeft. Dat kan bijvoorbeeld door apparaten van gebruikers ongemerkt verbinding te laten maken met een door de aanvaller opgezet WiFi-netwerk dat wordt aangeboden als Wifi-hotspot. Of door een netwerk aan te bieden met de naam van het WiFi-netwerk dat iemand thuis gebruikt. Apparaten zullen dan op basis van de naam automatisch verbinding maken met het netwerk.

Maatregelen getroffen

De ontwikkelaars van deze aanvalstechniek hebben in een vroegtijdig stadium de Nederlandse banken en het Nationaal Cyber Security Centrum geïnformeerd zodat deze maatregelen konden treffen. De Nederlandse banken hebben allereerst maatregelen ingericht zodat zij transacties die eventueel via deze methode zijn gemanipuleerd kunnen detecteren in hun systemen. Daarnaast hebben Nederlandse banken een nieuwe techniek op hun websites geïmplementeerd genaamd HTTP Strict Transport Security, afgekort HSTS. Met deze techniek wordt de beveiliging van de verbinding afgedwongen en kunnen transacties niet meer worden gemanipuleerd.

Informatie voor consumenten

Het Nationaal Cyber Security Centrum heeft documentatie beschikbaar gesteld die de techniek van de aanval beschrijft en de maatregelen die gebruikers kunnen treffen om zichzelf te beschermen:

De Betaalvereniging heeft op zijn website ook informatie beschikbaar gemaakt waarin consumenten worden geïnformeerd.

Meer informatie

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig