Ny phishingmetode angriper nettbankkunder

[abene]

Det er oppdaget en ny type phisningforsøk som ikke bruker e-postmeldinger.

 

Les mer

[R@ge]

Vil ikke banken oppdage at serveren deres er hacket da mon tro??

 

Og at man befinner seg på en https:// side er vel også noe en bør notere seg før man drar frem kredittkortet vil jeg tro...

 

Uansett er det jo skumle saker da

[Timster]

Høres ikke hyggelig ut, men risikoen virket ikke så stor. Er vel ikke så ofte nettbanker blir brutt inn i.

 

leif var innom i innledningsteksten: "Phishning" stod det;)

[Dipso]

Tanken her er vel at du har flere sider oppe, og at den popup'en kommer fra en av de andre sidene?

[magicgunnar]

Når jeg er logget inn i nettbanken min, har jeg sjelden noen andre åpne vinduer i den nettleseren. Antar at javascripten ikke klarer å snoke på tvers av nettlesere

[sk0yern]

Det de egentlig diskuterer her er nok CSRF (cross site request forging).

For mer detaljer se:

http://www.freedom-to-tinker.com/sites/def.../files/csrf.pdf

[DarkSlayer]

Det de egentlig diskuterer her er nok CSRF (cross site request forging).

For mer detaljer se:

http://www.freedom-to-tinker.com/sites/def.../files/csrf.pdf

Leste rapporten fra hva som var problemet, og der forstod jeg det som at det finnes javascript funksjoner i ie, ff, chrome som verifiserer OM DU er innlogget på et spesielt sted. Og dette var i hovedsak problemet.

 

Bortsett fra den javascriptbiten så ligner CSRF i linken din på det som sto i dokumentet. Altså javascript verifiserer om du er innlogget på xxx, så kjører du post/get request mot tjenesten for å gjøre ting.

 

Mange nettbanker i norge er javabasserte, og man må ha java installert for å i det hele tatt å kunne logge inn. Vet ikke hvordan de forholder seg til dette.

 

Sparebank1 fortalte tidligere om hackeforsøk der "virus" hadde lagt seg inn i "mellom browser og nettbankforbindelsen" på pc'en, og mens brukeren surfet på nettbanken og gjorde sine ting, så tok viruset og gjorde andre ting - men byttet ut den ekte websiden med en falsk slik at du ikke fattet mistanke. (en av grunnene til at du nå må inne med bankid kode for å bekrefte betalinger etc).

Endret 14. januar 2009 av DarkSlayer

[jonnor]

Sparebank1 fortalte tidligere om hackeforsøk der "virus" hadde lagt seg inn i "mellom browser og nettbankforbindelsen" på pc'en, og mens brukeren surfet på nettbanken og gjorde sine ting, så tok viruset og gjorde andre ting - men byttet ut den ekte websiden med en falsk slik at du ikke fattet mistanke.

Kilde?

[dios]

Dette er jo egentlig bare nok en variant av XSS (cross-site scripting). Denne typen angrep har vært beskrevet av sikkerhetseksperter for mange (i web-sammenheng) år siden, bl.a. av Sverre H. Huseby.

 

Men det er fortsatt viktig å varsle om!

[GasMask]

Er det noen mulighet for at jeg kan oppdage om jeg blir utsatt for phishing når jeg er innlogget i min Sparebank 1 Nettbank?

 

Blir alltid nervøs når det er snakk om phishing.

Endret 14. januar 2009 av GasMask

[Loomy]

GasMask:

1. Følg med på adressefeltet i browseren. Hvis domenet ikke er "bankendin.no" er det bare å komme seg vekk. Typisk phishing-url er noe sånt som "blabla.tvilsomt-domene.com/blabla/Sparebank1/login.jsp".

2. Ikke stol på popups, hvis adressefeltet er skjult i en popup (som det ofte er) kan du sjekke hvilken URL den ligger på ved å høyreklikke og velge "Vis informasjon om siden" el.l.

 

Og sist, men ikke minst: Aldri, aldri, aldri oppgi bankopplysninger, enten det nå er kredittkortnumre eller brukernavn og passord, uten å være på et HTTPS-domene. ALLE som behandler slik informajon og er seriøse gjør denslags med HTTPS.

[GasMask]

Takk for tips Loomy

[PoPSiCLe]

Og, bare for å klare opp en liten misforståelse - JAVA og Javascript har overhodet ingenting med hverandre å gjøre. Det at banker bruker JAVA som språk og krever at man har SUNs J2EE (eller hvilken som nå er forbrukerversjonen, for tiden) installert, har ingenting med Javascript å gjøre. Nothing, nada, ingenting.

 

Ok?

Javascript er et dynamisk klientside scriptspråk som kan benyttes for å utføre oppgaver på websider.

[qualbeen]

Sparebank1 fortalte tidligere om hackeforsøk der "virus" hadde lagt seg inn i "mellom browser og nettbankforbindelsen" på pc'en, og mens brukeren surfet på nettbanken og gjorde sine ting, så tok viruset og gjorde andre ting - men byttet ut den ekte websiden med en falsk slik at du ikke fattet mistanke.

Kilde?

Ikke virus, men en annen versjon av java-klienten kanskje? Ja, det er nemlig ikke noe problem for meg å lage min egen java-applet som designmessig er urolig lik f.eks. BankID sin applet. Men dette er jo akkurat det samme som god gammeldags phishing: Lure folk til å tro du bruke tjeneste X mens informasjonen i virkeligheten sendes til tjeneste Y.

 

Nuja, vet ikke om jeg orker å snakke så mye om java-appletten som tidligere ble brukt. Så lenge URL'en tilhører banken din, skal man være rimelig trygg..

 

Har også en kommentar til Loomy ang. https: Du har helt rett i at alle seriøse aktører benytter https. Det du glemmer er at det er veldig enkelt å sette opp ett https-domene. Hvis jeg en vakker dag fikk lyst til å lure til meg brukernavn og passord, ville jeg såklart ha gjort det over https, slik at de som kun ser etter https går rett i fella

 

Så en god regel er rett og slett å aldri følge linker for å komme seg inn til nettbanken. Skriv inn adressen manuelt, eller bruk bokmerker hvor du vet adressen er korrekt!

 

---

 

Og så over til denne artikkelen: Dette er overhode ikke noe nytt! Javascript har i veldig mange år kunne lese f.eks. cookies på tvers av domener, og det er dermed lett å finne ut om noen er logget inn på www.example.com. Pop-up-vinduer kan vel heller ikke akkurat kalles noen ny oppfinnelse, og jeg er imponert over hvordan hw.no klarer å få dette til å fremstå som en ny form for phishing-teknikk.

 

Men for å berolige bekymrede sjeler: Ja, en cookie (som er bankens måte å identifisere deg på) kan hentes ut av andre enn banken din vha javascript. Dette fordi standard-verdiene for å opprette en cookie tilbyr nettopp dette. Men: det er mulig å sende med et parameter som sier at: "denne cookien skal kun leses og overføres til https://www.minbank.no/". Siden en cookie ligger lagret på din maskin, er det opp til din nettleser å sørge for at dette blir overholdt. Og her kommer vi til sakens kjerne: Yahoos artikkel omhandler en bug i enkelte nettlesere. Denne buggen lar javascript hente ut cookie-info, til tross for at de ikke skulle fått lov til det.

 

Er du rammet? Siden feilen gjelder de store nettleserne, er det meget sannsynlig at man er i faresonen. Jeg aner ikke hvor lang tid Microsoft kommer til å bruke på oppdatere IE7, eller hvor lang tid Mozilla trenger på oppdatering til Firefox. Men det er slettes ikke vanskelig å sjekke om du har nyeste versjon av programvaren iallefall. Er du så uheldig å sitte på IE6 har jeg bare ett råd: Bytt til Opera/Safari/Firefox/Chrome/IE7/IE8 snarest mulig, da IE6 ikke kommer til å bli oppdatert noen sinne...

 

Hvis du lider av angst og paranoia: Husk at de mindre populære nettleserne mye sjeldnere blir utsatt for angrep, og sårbarheter oppdages (og utnyttes!) ikke så ofte. Dette kan dog slå ut negativt, men stort sett blir iallefall den lille norske nettleseren Opera regnet for å være temmelig sikker. Men ei heller Firefox er noe dårlig valg. Chrome, Safari og IE7 har jeg dessverre ikke noe grunnlag for å omtale, men jeg antar/håper jo at de også er temmelig up-to-date hva gjelder sikkerhet.