NSS Labs: Controlecodes via sms niet te vertrouwen

16 december 2013 Banken.nl

NSS Labs (onderzoeksbureau op het gebied op information security) waarschuwt voor controlecodes via de sms bij het autoriseren van betalingsopdrachten. Volgens het onderzoeksbureau onderhouden de hedendaagse telefoons grote aantallen oncontroleerbare IP-verbindingen met allerhande servers en zijn ze beladen met apps waarvan de gangen voor de gebruiker ondoorgrondelijk zijn. NSS concludeert in haar onderzoek dat er hierdoor weinig reden, voor banken en hun rekeninghouders, is om er op te vertrouwen dat het sms verkeer voor het autoriseren van betalingsopdrachten vertrouwelijk is.

Oncontroleerbare connectiviteit mobiele telefoon basis van het probleem

Voor internetbankieren werken banken veelal met een aparte token om in te loggen. Ook de meeste mobiele apps van banken regelen de (initiële) autorisatie via deze aparte token. Er zijn ook banken die een transactieautenticatie-code (TAN-code) via een smsje aan de rekeninghouder doorgeven. Dat werkte voortreffelijk in de tijd dat mobiele telefoons nog geen eigen internetconnectie hadden en dus nauwelijks te hacken waren. Maar nu telefoons in toenemende mate IP-verbindingen onderhouden met allerhande servers en beladen zijn met apps waarvan de gangen voor de gebruiker ondoorgrondelijk zijn, is er weinig reden meer om er op te vertrouwen dat het sms verkeer vertrouwelijk is, aldus NSS Labs.

TAN Code niet meer veilig

Kans op fraude zeer reëel

NSS Labs illustreert haar waarschuwing middels concrete voorbeelden van malware-producten die, vermomd als app, de gebruiker informatie ontfutselen waarmee hackers in staat zijn smsjes van de bank te herrouteren naar hun eigen telefoon of pc. Vaak ook werkt de truc in combinatie met PC-malware die zich aan de gebruiker presenteert als een beveiligingsupdate die naar gegevens over de gebruikte mobiele telefoon vraagt. Dat de kans op fraude zeer reëel is, blijkt  uit een in het NSS rapport afgedrukte screendump van een pop-up die valselijk voorzien is van de  naam en logo van het beveiligingsprogramma Trusteer, dat door veel (ook Nederlandse) banken als beveiligingsoplossing aan rekeninghouders wordt aanbevolen.

Vooral Android biedt ruimte voor ongeautoriseerde installaties

Volgens NSS Labs doet het probleem zich met name voor bij telefoons die gebruik maken van Googles besturingssysteem Android. Daarin spelen twee factoren een rol: 1) op Android telefoons zijn apps vrijelijk te installeren, zonder autoriserende instantie, zoals iOS die wel heeft in de vorm van de App Store van Apple. 2) Daarnaast blijkt veel van de mobiele malware te worden gebracht vanuit landen die voorheen deel uitmaakten van Sovjet Unie en in die landen is Android veel meer in gebruik dan iOS.

Nieuws