Beveiligingslek banken maakte hacken mogelijk
— 12 januari 2015Bij zeker tien Nederlandse banken maakte een lek het mogelijk om een phishing-website over de originele website te plaatsen. Dit ontdekte beveiligingsonderzoeker Wouter van Dongen van DongIT toen hij zelf niet kon inloggen.
Het onderzoek dat hierop volgde legde een zogenaamd cross site scripting probleem bloot. Na een simpele zoekactie bleek dat tien andere websites hetzelfde probleem vertoonden. Inmiddels hebben de betreffende banken het gat alweer gedicht. Met het lek is het mogelijk om in de browser opdrachten te geven en de werking van de website te beinvloeden.
Cyber-criminelen konden door het lek een zogeheten phishing-website over de website plaatsen. Een phishing-website is een nep site die gegevens ontfutselt aan de gebruiker. De phishing-website functioneert met alle echtheidskenmerken van de bank, zo is er op de phishing-website ook een beveiligingscertificaat aanwezig.
Misbruik
“Dit type fout wordt vaak onderschat. Maar hierdoor kan je bijvoorbeeld de opgeslagen wachtwoorden in browsers ophalen met een nepformulier”, zegt Van Dongen. “Ook zijn alle onderdelen van een website af te vangen en te manipuleren. Een aanvaller heeft dan volledige controle over de browser”, legt Van Dongen uit. Doordat alles eruit ziet als ‘echt’, valt de aanval niet op en is bijvoorbeeld misbruik voor phishing mogelijk. Bezoekers vullen zonder iets te vermoeden hun persoonlijke gegevens in, die vervolgens in handen van de cyber-criminelen vallen.
Veel gemaakte fout
Volgens Martin Knobloch van de Open Web Application Security Project is de fout waardoor de website gehackt kon worden een veelgemaakte. “Dat komt met name doordat het probleem niet goed bekend is in alle voorkomende vormen.Helaas richt men zich bij het voorkomen alleen op de meest bekende vormen ervan,” aldus Knobloch.
Het probleem is inmiddels verholpen. Eerder toonde Van Dongen beveiligingsfouten aan bij de website van DigiD.
Bron foto: androidapknews.com