Reacties voor: ‘Criminelen vallen ING-rekeningen aan via iPhone’

De worm Ikee.B blijkt internetbankieren via ING riskanter te maken: de malware stuurt je door naar een phishingsite in Japan en verzamelt oude TAN-codes van ING-klanten.
Gonny van der Zwaag | iCulture.nl - · Laatst bijgewerkt:

Reacties: 50 reacties

  1. misschien kunnen / willen ze een logaritme afleiden uit de codes ? cross-refereren met de rekening nummers.. geen idee… :$ wel scary enigzins..

  2. Origineel geplaatst door Dantji
    misschien kunnen / willen ze een logaritme afleiden uit de codes ? cross-refereren met de rekening nummers.. geen idee… :$ wel scary enigzins..

    Denk het niet, het is nl. zeker niet de 1e keer dat dit soort acties met TAN codes etc. gedaan is en een ritme oid.. is er nooit aan afgeleid.

    Het was een kwestie van wachten wat het botnetwerk ging doen.. 🙂

  3. tja als je NU NOG NIET je root ww hebt veranderd terwijl je ssh gebruikt ben je gewoon echt super dom bezig. dan ben je echt gewoon LOMP!!

  4. Dus weer een probleem bij de botnet ontdekt vraag me af of paypal ook het doel is aangezien je daar ook betaaldingen kan doen.

    Het word toch wel enigsinds gevaarlijk om openssh te hebben of dergelijke.

  5. Je bent pas dom en lomp als je openSSH op je iphone hebt staan.

  6. Als je nou om de zoveel weken je yphone gaat herstellen, bestaat de kans dan dat je het kan ontwijken? Tuurlijk heb ik mijn ssh ww veranderd, maar toch blijft het eng!
    Mijn dank is groot voor dit bericht!

  7. Origineel geplaatst door shorty007dan ben je echt gewoon LOMP!!

    Dat is wel erg kort door de bocht. Niet iedereen heeft voldoende kennis van een *nix systeem om ermee te rommelen. En ja, zij zouden beter geen JB uitvoeren. Maar wat doe je eraan.
    Mocht Apple afstappen van de 2 vaste paswoorden kunnen al veel problemen vermeden worden.

  8. misschien een domme vraag, maar is de ipod touch nu ook in het gevaar?

  9. @Westbaas: Je root wachtwoord is in principe altijd te kraken met een brute force aanval (net zo lang combinaties proberen tot je toegang krijgt).
    Als je SSH niet perse nodig hebt dan zou ik overwegen om SSH gewoon te deïnstalleren. Als je SSH alleen gebruikt voor toegang tot je filesysteem kun je op je PC bijvoorbeeld ook iPhoneBrowser gebruiken of op je iPhone zelf iFile. Voor het uitvoeren van shell-commando’s op je iPhone zelf kun je ook Terminal gebruiken. Al deze programma’s hebben geen SSH nodig en zonder SSH ben je dan ook niet van buitenaf te benaderen.

  10. Als je TAN berichten uit je SMS gedeelte verwijdert, dan neem ik aan dat ze ook ‘weg’ zijn, en niet ergens verstopt?

  11. Origineel geplaatst door shorty007
    tja als je NU NOG NIET je root ww hebt veranderd terwijl je ssh gebruikt ben je gewoon echt super dom bezig.

    Dat is waar. Maar de grap is: over een halfjaar is iedereen alweer vergeten dat hij zijn wachtwoord moet veranderen en krijgen we het hele verhaal weer opnieuw.

  12. Mochten er mensen zijn die hun ww willen wijzigen en niet meer in hun root kunnen komen omdat het door de ‘hackers’ al is gewijzigd: het wachtwoord wat ze gebruiken is ‘ohshit’. Zo kom je weer in je root via je terminal en kun je je eigen ww instellen.

  13. @erik: Als je dat zo bekijkt wel ja. Die kans is groot dat het daadwerkelijk ook zal zijn.

  14. Origineel geplaatst door Gonny van der Zwaag
    over een halfjaar is iedereen alweer vergeten dat hij zijn wachtwoord moet veranderen en krijgen we het hele verhaal weer opnieuw.

    Om die reden zou het ook niet slecht zijn als Cydia bij het installeren van SSH zou afdwingen dat je het password van ‘root’ en ‘mobile’ moet veranderen.

  15. neee , ik heb een sms gekregen van ING en mijn openssh wachtwoord is veranderd wat moet ik doen?

  16. Origineel geplaatst door D.T.neee , ik heb een sms gekregen van ING en mijn openssh wachtwoord is veranderd wat moet ik doen?

    je rekening blokkeren en 3 weesgegroetjes bidden…

  17. Ik heb sowieso geen Open SSH geinstalleerd.
    Met diskaid kan ik ook alles aanpassen…

  18. Ze zouden via het botnet een binary kunnen uitrollen die SMS-verkeer met TAN-codes kaapt en niet doorgeeft aan de gebruiker. In plaats daarvan wordt de TAN-code doorgestuurd naar de hackers via het botnet. In principe heb je dan het ‘eenmalige gebruik’ van TAN-codes omzeilt.

  19. Origineel geplaatst door D.T.
    neee , ik heb een sms gekregen van ING en mijn openssh wachtwoord is veranderd wat moet ik doen?

    ik zou beginnen met gelijk je loginnaam en je passw van je ing account te wijzigen

  20. Met SBSettings kan je makkelijk open SSh aan en uitzetten.

  21. Origineel geplaatst door iKarnemelk@Westbaas: Je root wachtwoord is in principe altijd te kraken met een brute force aanval (net zo lang combinaties proberen tot je toegang krijgt).
    Als je SSH niet perse nodig hebt dan zou ik overwegen om SSH gewoon te deïnstalleren. Als je SSH alleen gebruikt voor toegang tot je filesysteem kun je op je PC bijvoorbeeld ook iPhoneBrowser gebruiken of op je iPhone zelf iFile. Voor het uitvoeren van shell-commando’s op je iPhone zelf kun je ook Terminal gebruiken. Al deze programma’s hebben geen SSH nodig en zonder SSH ben je dan ook niet van buitenaf te benaderen.

    Ik gebruik bijna tot nooit meer SSH, dus ga het der zo maar afgooien. Is SSH gewoon een app, of een deel van het os geworden?
    @ D.T gewoon ssh verwijderen!

    Harstikke bedank voor de feedback!!

  22. @D.T.: Als dit echt serieus bedoeld is: niet gaan internetbankieren nu en SSH deïnstalleren via Cydia. Daarna de worm verwijderen (wellicht het handigst is om je iPhone via iTunes to restoren en daarna opnieuw te jailbreaken).

  23. ik zet trouwens ssh altijd uit als ik het niet gebruik..ssh moet toch aan staan ook nog, om binnen te komen?

  24. maar ik heb nogmaals mijn ing gecheckt maar d’r is niks gestolen :S en ik heb dat sms al 1 week gekregen. dus wat nu?
    ik ga maar eens mijn iphone restoren

    ps: kan ik mijn iphone van 3.0 naar 3.1.2 updaten zonder dat ik naar dfu modus ga dus alleen ,maar gewoon via shift restore klikken

    tx

  25. Origineel geplaatst door Tripple
    Mocht Apple afstappen van de 2 vaste paswoorden kunnen al veel problemen vermeden worden.

    Dat gaat dus niet. Dan zouden ze voor iedere iPhone een aparte firmware moeten maken die een random wachtwoord heeft. Of het wachtwoord moet door de iPhone zelf gegenereerd worden wanneer hij voor het eerst aangaat. kan me voorstellen dat ze moeten inloggen op het device bij reparaties ofzo. dan kan je niet willekeurige wachtwoorden hebben voor elke iPhone.

  26. Verwijderd, trolling.

  27. Zijn er trouwens geen handige ontwikkelaars die dat ww kan veranderen met een gebruiksvriendelijke interface? Vooral voor mensen die (nog) geen verstand hebben van jb’en?

  28. Als je niet snapt hoe je je wachtwoord moet veranderen, dan moet er geen OpenSSH op je iPhone staan.
    Als je het niet doet ben je verder gewoon dom.

    Die van mij is veranderd en het staat eigenlijk altijd uit, maar ik gebruik het alleen voor browsen, misschien toch maar iPhonebrowser gebruiken.

  29. There is no App for that ?

    (Pfff, wat is er simpeler dan een routinetje in de appstore dat Apple’s eigen fout (vaste passwords, les 1 in de IT) repareert.
    Plus een oliebol voor degene die het verzonnen heeft)

  30. snap niet waarom je ssh zou uitzetten. je moet gewoon je ww veranderen. in de server-wereld is ssh normaalste zaak en ontzettend veilig. brute-force ww proberen? succes, daar zullen ze niet aan beginnen omdat je dan een paar jaar bezig bent. er zijn ook scripts die attacks herkennen en IPs uitsluiten van connecteren zodra ze merken dat het aan attacker is.

  31. Origineel geplaatst door Thom
    Als je niet snapt hoe je je wachtwoord moet veranderen, dan moet er geen OpenSSH op je iPhone staan.
    Als je het niet doet ben je verder gewoon dom.

    Als antwoord op AL dit soort reacties:
    Jailbreaken kan iedereen tegenwoordig. Blackra1n is bijvoorbeeld 1 druk op de knop. SSH installeren gaat daarna net zo makkelijk als een willekeurige applicatie uit de appstore installeren. Er is dus geen enkele drempel om eens met SSH te expirimenteren. Ik heb tijdens de installatie ook geen waarschuwing gezien of een popup waarin ik meteen mijn ww kon veranderen (dát zou handig geweest zijn). Nou heb ik mijn root pass wel veranderd, want dat was ik wel tegengekomen, en dat mag je ook wel verwachten van iemand die openssh installeert, maar dat van die user ‘mobile’ was ik nog niet eerder tegengekomen. 2 geinfecteerde iphones en abuse meldingen van xs4all later ben ik opmerkingen als bovenstaande ‘o wat is iedereen toch dom behalve ik’ opmerkingen wel aardig zat. Onwetendheid is niet hetzelfde als domheid!

  32. @Björn: Ok, daar heb je wel een punt. Jailbreaken is idd erg simpel tegenwoordig met de komst van blackra1n, en met de installatie van ssh krijg je geen waarschuwing of iets.
    En moet eerlijk zeggen dat ik ook pas later erachter kwam dat er ook nog een mobile useraccount was waarvan je het ww aan moest passen 😛 mja…het is wel al meerde malen uitgelegd hier in de laatste paar weken….

  33. Origineel geplaatst door Whacko
    Dat gaat dus niet. Dan zouden ze voor iedere iPhone een aparte firmware moeten maken die een random wachtwoord heeft. Of het wachtwoord moet door de iPhone zelf gegenereerd worden wanneer hij voor het eerst aangaat. kan me voorstellen dat ze moeten inloggen op het device bij reparaties ofzo. dan kan je niet willekeurige wachtwoorden hebben voor elke iPhone.

    En het wachtwoord opvragen tijdens de installatie is geen mogelijkheid? Zoals het desktop systeem dat netjes doet.

  34. Origineel geplaatst door shorty007
    @Björn: mja…het is wel al meerde malen uitgelegd hier in de laatste paar weken….

    Maar nog steeds: Niet iedereen volgt iphoneclub.nl toch?

  35. Origineel geplaatst door Jean-Paul Horn
    Origineel geplaatst door BjörnOrigineel geplaatst door shorty007@Björn: mja…het is wel al meerde malen uitgelegd hier in de laatste paar weken….Maar nog steeds: Niet iedereen volgt iphoneclub.nl toch?Hopelijk komt het niet arrogant over, maar ik schat in dat 99% van alle jailbreakers in Nederland op zeer regelmatige basis iPhoneclub.nl bezoekt.

    Zelfs als dat waar is.. Ik ben zelf een zeer actieve bezoeker (ik sla nagenoeg geen bericht over) maar ik had dat van die ‘mobile’ user nog steeds gemist. (ok misschien lees ik te snel ;))

    Het lijkt mij niet meer dan logisch dat OpenSSH tijdens de installatie vraagt om de nodige wachtwoorden aan te passen zodat deze per definitie aangepast worden. Lijkt me niet echt moeilijk te implementeren, en daarmee zouden een hoop problemen voorkomen worden. Iedereen loopt wel te roepen dat T-Mobile laks is etc. maar dat dit probleem ook te ondervangen is op deze manier hoor je niet of nauwelijks.

  36. Origineel geplaatst door iKarnemelk
    Origineel geplaatst door Gonny van der Zwaagover een halfjaar is iedereen alweer vergeten dat hij zijn wachtwoord moet veranderen en krijgen we het hele verhaal weer opnieuw.Om die reden zou het ook niet slecht zijn als Cydia bij het installeren van SSH zou afdwingen dat je het password van ‘root’ en ‘mobile’ moet veranderen.

    Ja inderdaad!

  37. Dit bewijst maar weer hoe gevaarlijk het systeem van de ING is. Bedenk wel dat SMSjes unencrypted zijn en dus met de juiste apparatuur af te luisteren zijn. Met een onbeveiligde iPhone is het dus nog makkelijker om de codes te jatten.

    Het systeem van Rabo en ABN (o.a.) is zoveel veiliger: de ingevoerde code gaat niet twee keer door de lucht/over het internet (zoals bij ING: ontvangen op je telefoon en daarna invoeren op de website), bij de Rabo en ABN gaat de code slechts 1 keer over het internet (bij het invoeren op de website).

  38. Je kan ook een lijst met tan codes aanvragen. Dan moet je er zelf elke keer 1 wegstrepen. Alleen zit je dan wel met een giga lijst in je zak wat ook niet echt veilig is. Met een gebruikte code kan je niks meer iig. Dit is toch hetzelfde als internetbankieren op een slecht beveiligde pc zonder scanner what so ever. Doe ik ook niet zo 1,2,3.

  39. Hoe kun je controleren of je geinfecteerd bent? Heb root veranderd en kwam er later achter dat mobile niet veranderd was. Alsnog gedaan. En wat kun je ertegen doen als je geïnfecteerd bent?

  40. Mijn standaard paswoord is niet verandert betekent dat dat ik niet geinfecteerd ben? (Wanneer er een worm op zou staan zou het paswoord daardoor automatisch verandert zijn?)

    Deze maand minstens 3x iets overgemaakt via ing.nl op iphone :’) Ben niet zeker of ik SSH wel uit had..

    Wanneer ik nu SSH de-installeer ben ik dan sowieso van de worm af/is de worm onschadelijk dan?

  41. @softijs

    thnx! Zo ze zien heb ik die files allemaal niet! Dus niet geïnfecteerd! Top:-)

  42. Looks like holland is a land of iphone haters with all these attacks on the iphones , as holland has the largest percent per owner of an iphone that is jailbroken looks like some looser is trying to steal from users , cant the prat get off his lazy ass and go and get a real job , least so far these attacks dont effect me as ive changed my password and dont use t-mobile or ing bank , who anyway would do online banking on an iphone , you must have a screw loose as mobiles are never a safe way to bank

  43. @Thumper_uk
    Holland is a provence, the country you are referring to is called The Netherlands.
    And thank you for the compliments.

  44. Origineel geplaatst door Blogem
    Dit bewijst maar weer hoe gevaarlijk het systeem van de ING is. Bedenk wel dat SMSjes unencrypted zijn en dus met de juiste apparatuur af te luisteren zijn. Met een onbeveiligde iPhone is het dus nog makkelijker om de codes te jatten.Het systeem van Rabo en ABN (o.a.) is zoveel veiliger: de ingevoerde code gaat niet twee keer door de lucht/over het internet (zoals bij ING: ontvangen op je telefoon en daarna invoeren op de website), bij de Rabo en ABN gaat de code slechts 1 keer over het internet (bij het invoeren op de website).

    Onzin.. de TAN-code via SMS is veilig. Die is namelijk ook maar 1 keer geldig. Het jatten van codes is dan ook tamelijk zinloos en ik begrijp niet wat de criminelen hiermee moeten; Eenmaal gebruikt, is de TAN code nutteloos, en de TAN code is bovendien maar een zeer beperkte tijd geldig. Persoonlijk vind ik het een prettiger systeem dan het gesjouw met die achterlijke kastjes van de andere banken.
    Het wordt pas link als de criminelen de SMS-berichten kunnen onderscheppen voordat ze op je telefoon binnenkomen, kunnen doorsturen naar hun eigen server en daarbij je user en password hebben, en dan kans zien om dit allemaal binnen een paar minuten geregeld te hebben.
    M.b.t. openSSH, ik denk dat 95-99% van alle iPhone gebruikers totaal geen nuttige toepassing hiervoor heeft. M.a.w. deinstalleren die handel, en alleen installeren op het moment dat je het nodig hebt. Ben je klaar met whatever je wilde doen, deinstalleren.

  45. Ik heb mijn Iphone Gejailbreakt met blaickra1n en erna cydia erop gezet..
    Ik zie nergens bij manage iets van SHH staan, wel open SSL.. Naar mijn wete heb ik ook nooit geprobeerd SHH erop te zetten, loop ik nu ook gevaar?
    Grtjes Jorn

  46. Origineel geplaatst door softijs
    @Bas: http://www.symantec.com/norton/security_response/writeup.jsp?docid=2009-112217-4458-99&tabid=2

    Dit is niet dezelfde worm, als waar hier over gesproken word.
    Op de website van Symantec wordt gesproken over de eerste iPhone worm die alleen je achtergrond (Wallpaper) en root password wijzigd.
    (Vandaar ook Risk – low).

    Deze worm is daarintegen wel wat gevaarlijker.

    Wat betreft de smsjes met de TAN code, deze vangen zij af waardoor jij niet eens meer een sms binnen krijgt.
    Zij loggen in op jou account van de ING en maken zodoende wat bedraagjes over en jij hebt in de overboekings periode niks in de gaten…

    Bericht van de ING: 23 november: Let op: aanval gericht op gekraakte iPhone

  47. De werkwijze zal ongeveer als volgt zijn:
    Door de inlog wordt je naar een valse ING site geleidt. Daar vul je de overschrijfgegevens in. Door de beheerders van de valse site wordt de echte ING site geactiveerd, waarbij de afgevangen gebruiksnaam en wachtwoord van jou gebruikt worden, het rekeningnummer waarnaar de overschrijving plaatsvind wordt gewijzigd. Het afgevangen sms-je met TAN code wordt vervolgens gebruikt om de overschrijving te laten plaatsvinden. Dat hij ook oude sms-jes met TAN codes verzend is slechts bijkomstigheid.

  48. Origineel geplaatst door Björn
    Onwetendheid is niet hetzelfde als domheid!

    Nee dat is inderdaad niet hetzelfde maar onwetendheid is helaas wel iets wat vaak als excuus wordt misbruikt. Mensen mogen dan ook wel eens een keer hand in eigen boezem steken en zich eens niet verschuilen achter onwetendheid. Een jailbreak alleen is niet genoeg, je moet als gebruiker zijnde expliciet een ssh server opsnorren in de repository en dan gaan installeren. Dat is al wat minder makkelijk dan het met 1 knopje jailbreaken van de iPhone. Veel mensen weten ook niet eens dat er een jailbreak is en dat ssh bestaat (laat staan wat het is). Wat doen die mensen? Die komen op sites als deze waar de nodige uitleg staat en waar toch wel heeeeeeeeeeel erg expliciet op wel heeeeeeeel veel manieren en ook wel heeeeeeeeel vaak de uiterst nadrukkelijke waarschuwing dat je bij het installeren van OpenSSH je wachtwoorden moet wijzigen inclusief HOE je dat moet doen. Alle informatie staat er gewoon en in 99% van de gevallen ook in dezelfde tutorial. Mensen lezen half tot niet en dat is het hele euvel in deze kwestie. Het is het niet (willen) lezen wat voor de problematiek zorgt, niet de onwetendheid want met zo godsgruwelijk veel waarschuwingen, hints en tips kun je absoluut niet meer spreken dat iemand er niets van wist. Nu met de brede uitmeting in het nieuws op diverse sites en in diverse kranten is onwetendheid al helemaal geen excuus meer geworden. Men wil het niet weten en dat is heel wat anders. Die houding is inderdaad dom gezien de risico’s.

    Je kunt een stukje techniek inzetten om daar wat aan te doen maar uiteindelijk is het nog altijd aan de mensen zelf. Als zij doelbewust alles negeren..sja, dan houdt het gewoon op. Het enige wat men qua techniek kan doen is zorgen dat een ssh server installeren niet mogelijk is zonder dat er vooraf eerst wachtwoorden worden gewijzigd in sterke niet-standaard wachtwoorden. Daarna is het zorgen dat ssh altijd uit staat en expliciet door de gebruiker aangezet moet worden waarbij het automatisch weer uitschakelt na bijv. 5 minuten idle te zijn geweest. En dan houdt het qua techniek wel zo’n beetje op.

    Origineel geplaatst door Peter
    Het jatten van codes is dan ook tamelijk zinloos en ik begrijp niet wat de criminelen hiermee moeten; Eenmaal gebruikt, is de TAN code nutteloos, en de TAN code is bovendien maar een zeer beperkte tijd geldig.

    TAN-codes zijn anders zeer nuttig, vooral als je ze afvangt doordat je in de sms database op een jailbroken iPhone kunt kijken. Zo kun je het 06 nummer wijzigen op de ING site en je kunt betalingen inschieten waarbij je de TAN-code uit die sms database hengelt. Alle aanvallen op ING klanten richten zich dan ook op het buit maken van de logincodes voor mijn.ing.nl en het afvangen van TAN-codes.

    Overigens bieden die speciale coderingskastjes van de RABO en ABN/AMRO ook lang niet altijd een goede veiligheid. In sommige gevallen zijn TAN-codes veiliger. Dat soort kastjes zijn wat gevoeliger voor dingen als skimmen. Er is dus geen waterdichte beveiliging maar door het stapelen van diverse beveiligingslevels en -mogelijkheden zorg je wel voor een maas aan maatregelen waardoor het uiteindelijk wel erg lastig is om de boel te kraken. Dat is eigenlijk ook de hoofdzaak van beveiliging: een kwaadwillende het zo lastig mogelijk maken.

Reacties zijn gesloten voor dit artikel.