Beveiligingslek banken maakte phishing mogelijk

Een lek bij zeker tien Nederlandse banken maakte het mogelijk om een zogeheten phishing-website over de originele website te plaatsen. Een gebruiker heeft die aanval nauwelijks door. 

Dat ontdekte beveiligingsonderzoeker Wouter van Dongen van DongIT, toen de website van zijn eigen bank niet goed bleek te functioneren.

Onderzoek legde vervolgens een zogenaamd cross site scripting probleem bloot. Via een simpele zoekactie kwamen vervolgens tien websites met hetzelfde probleem naar voren. De banken hebben het lek inmiddels gedicht.

Het ging om de sites van ABN AMRO, Rabobank, ING, Binck, Alex, ASN, Knab, SNS, Triodos en de Belgsiche site van Van Lanschot Bankiers. Met het lek is het mogelijk om in de browser opdrachten te geven en de werking van de website te beïnvloeden.

Kwaadwillenden kunnen de zwakheid gebruiken om een phishing-website (een 'nepsite' die gegevens ontfutselt aan de gebruiker) 'over de echte site heen' te bouwen, die functioneert met alle echtheidskenmerken van de bank.

Zelfs een groene zoekbalk en een beveiligingscertificaat lijken dan in orde. Hierdoor is fraude en oplichting met internetbankieren mogelijk.

Misbruik maken

"Dit type fout wordt vaak onderschat. Maar hierdoor kan je bijvoorbeeld de opgeslagen wachtwoorden in browsers ophalen met een nepformulier", zegt Van Dongen tegenover NU.nl.

"Ook zijn alle onderdelen van een website af te vangen en te manipuleren. Een aanvaller heeft dan volledige controle over de browser", legt hij uit. Doordat alles eruit ziet als 'echt', valt de aanval niet op en is bijvoorbeeld misbruik voor phishing mogelijk.

Bezoekers vullen dan nietsvermoedend hun persoonlijke gegevens in die de hackers vervolgens in handen krijgen.

Om de zwakheid van de bankensites te demonstreren zonder een echte phishing-aanval uit te voeren, heeft Van Dongen van de tien bankensites een voorbeeld gemaakt met de 'Harlem shake'.

Hierbij dansen de verschillende onderdelen op de website en is duidelijk dat onderdelen te vervangen zijn. NU.nl heeft een samenvatting van de filmpjes gemaakt:

Verholpen

Volgens Martin Knobloch van de Open Web Application Security Project is dit type fout een veelgemaakte. "Dat komt met name doordat het probleem niet goed bekend is in alle voorkomende vormen", zegt hij. "Helaas richt men zich bij het voorkomen alleen op de meest bekende vormen ervan."

Na contact met Van Dongen en NU.nl hebben alle banken het probleem inmiddels verholpen, zodat misbruik niet meer mogelijk is. Eerder toonde Van Dongen een vergelijkbare problematiek bij DigiD aan.

Tip de redactie