melsonnandela
Inlägg: 8
Blev medlem: 03 apr 2015, 11:00

bankID-kapningar

30 nov 2016, 22:07

http://www.tv4.se/nyheterna/artiklar/sv ... 668d001192

Vänner - vet ni någonting om detta?

melsonnandela
Inlägg: 8
Blev medlem: 03 apr 2015, 11:00

Re: bankID-kapningar

30 nov 2016, 22:17

Klassiskt social hacking?

esac
Inlägg: 7
Blev medlem: 06 aug 2016, 17:58

Re: bankID-kapningar

02 dec 2016, 20:56

Verkar som att själva bankid inte hade koll på sin session så om någon samtidigt som du försöker logga in med ditt personnummer så kommer båda sessionerna bli godkända och inloggade när du verifierat med din kod

Användarvisningsbild
sebastian
Inlägg: 139
Blev medlem: 29 apr 2016, 10:05
Områden: proxy,antivirus
Kontakt: Twitter

Re: bankID-kapningar

04 dec 2016, 03:07

esac skrev:.

nej.
Snarare en "race-attack".
Det går ut på att angriparen ringer upp offret via telefon och säger att dem kommer från banken. Och "Gå in på din internetbank, ditt konto är tömt".
Offret sätter sig vid datorn, knappar in bankens adress manuellt, kommer till bankens riktiga inloggningssida. Därefter fyller offret i sitt personnummer.
Under tiden har angriparen också fyllt i offrets personnummer på bankens hemsida.

Det går också observera offret på avstånd, t.ex. om offer och angripare sitter på ett café, offret påbörjar en inloggning på banken. Angriparen tar en kikare, tittar på personnumret, och sedan använder det för att blixtsnabbt hinna trycka "nästa" innan offret. Behövs inte ens avlyssna wifi, offret kan t.o.m. sitta över mobilt bredband + VPN + HTTPS för att attacken ska lyckas. Enda som krävs är att angriparen kan observera offrets skärm eller på annat sätt få reda på när offret loggar in.

Och sedan är det bara ifråga om vem som trycker "Nästa" först. Om bedragaren trycker "Nästa" först, så kommer offret få den sedvanliga "Godkänn inloggning" i BankID-appen, och godkänna i tron om att det är offret själv som loggar in, men i själva verket loggar offret in angriparens session.

Offrets session förblir oinloggad, men kan inget göra, då det finns oftast inga verktyg för att "kicka" en session, utan då måste man ringa banken och spärra sitt internetbankkonto helt, (inte bara BankIDt), vilket innebär massa strul med ny dosa, ny brevkod, att alla BankID blir spärrade m.m.

Observera att detta INTE handlar om någon Vishing, eftersom offret inte lämnar ut några uppgifter över telefon, och offret loggar INTE medvetet in angriparen i tron om att det är banken som ringer. En del offer har altså lärt sig att vara vaksam mot sådant och själv logga in på kontot.

Och det är här som det brister. Dvs det är en säkerhetsrisk att även SJÄLV logga in på kontot. Det räcker med att en angripare vet personnumret OCH att angriparen med en noggranhet på några sekunder, kan avgöra om offret är påväg att logga in på BankID, för att attacken ska lyckas.

Och det ska ju inte vara en säkerhetsrisk att själv logga in på kontot.... eller hur? Då innebär det ju att man inte ens själv skall göra någonting om någon ringer, och istället vänta på ett brev från banken, och då kan det redan vara försent om samtalet visar sig vara äkta och banken ringer för att stoppa ett bedrägeri. Bankerna säger ju själv att "om någon ringer och utger sig för vara banken, logga in själv på kontot och kolla istället för att lämna ut känsliga uppgifter över telefon."


Bristen är altså att det inte finns en "Challenge" som måste slås in i BankID-appen. Egentligen borde BankID vara konstruerat att du måste scanna en QR-kod eller slå in en "Frågekod" i appen (som syns på skärmen).
Helt enkelt, att personnummerinmatningen tas bort, och istället så får man upp antingen en scannbar QR-kod, eller en sifferkod på skärmen som man måste fylla i sin BankID-app och sedan godkänna.
Då hade det varit omöjligt för angriparen att göra något. Givetvis måste användarna vara noga med att "aldrig slå in en frågekod som någon annan gett dem".

Vad BankID har gjort, är att den detekterar om det kommer två stycken inloggningsförfrågningar på raken, och då varnar appen för ett bedrägeri.

esac
Inlägg: 7
Blev medlem: 06 aug 2016, 17:58

Re: bankID-kapningar

04 dec 2016, 22:35

sebastian skrev:


Tackar för info, en utförlig sådan :) (y)

Användarvisningsbild
ak
Inlägg: 275
Blev medlem: 29 dec 2015, 11:45
Områden: Vakta orten
Kontakt: Twitter

Re: bankID-kapningar

19 dec 2016, 12:45

sebastian skrev:
Snarare en "race-attack".


Har detta hänt mycket på "stan" eller är det som jag tror,
att detta mest rapporterats av säkerhetsanalytiker/bugbounty-jägare som kommit på denna typ av attack?

Tyvärr har folk för lite kunskap kring IT-brottslighet och rycker därför på axlarna, och tänker "äsch ingen är ju ute efter mig" eller "Jag har ju ett antivirus som kostar skjortan minsan"... Mer kunskap till folket i form av inslag på TV istället för Dressmann reklamer och maskara reklamer tycker jag! ;)
Min blogg | https://akboy.se/

Cub3
Inlägg: 21
Blev medlem: 06 dec 2016, 18:32

Re: bankID-kapningar

19 dec 2016, 13:11

ak47 skrev:" rycker därför på axlarna, och tänker "äsch ingen är ju ute efter mig" eller "Jag har ju ett antivirus som kostar skjortan minsan"...


Haha när man ska hålla en diskussion med såna angående it-säkerhet...

dom är så ignorant och korkade så man vill bara skalla dom. Och dom tar fan inte åt sig heller "för antivirus har ju alla och är känt sedan länge, omöjligt att det är dåligt"

Användarvisningsbild
ak
Inlägg: 275
Blev medlem: 29 dec 2015, 11:45
Områden: Vakta orten
Kontakt: Twitter

Re: bankID-kapningar

19 dec 2016, 14:14

Cub3 skrev:Haha när man ska hålla en diskussion med såna angående it-säkerhet...

dom är så ignorant och korkade så man vill bara skalla dom. Och dom tar fan inte åt sig heller "för antivirus har ju alla och är känt sedan länge, omöjligt att det är dåligt"


Hehe, jag har svårt att bli arg på en sån person då det faktiskt handlar om okunskap, förklarar istället vad som kan hända eventuellt visar ett enklare scenario för personen för att visa allvaret. Det är oftast då personen får en "åh herre..." upplevelse och börjar inse att riskerna finns överallt, inget är säkert till 100%.

Men ja, jag har stött på dom som tror sig veta allt om datorer och är skit kaxiga och börjar yttra sig om att ingen någonsin har hackat sig in i deras dator... Såna har jag svårt för då dom inte verkar veta hur en attack fungerar mot ett system, och hur man väljer offer och varför man väljer just det offret. Många faktorer som spelar roll liksom. Hade en sån diskussion för inte så länge sedan, höll på att bryta ihop då det var som att prata med en vägg. :'(
Min blogg | https://akboy.se/

Användarvisningsbild
blueberry
Respekterad Medlem
Inlägg: 291
Blev medlem: 16 feb 2015, 03:24

Re: bankID-kapningar

23 dec 2016, 13:03

Jag håller med om att det är jobbigt diskutera säkerhet med personer som utgår från att de kommer inte bli utsatta för det av olika anledningar. En del är så trygga i sina säkerhetslösningar medan andra tänker att de är väl ingen som bryr sig att attackera just mig.

Själv försöker jag utgå från att jag är attackerad. Jag vet det finns så många olika sätt och möjligheter att göra det, men jag tycker det känns vettigt för mina lösningar blir därefter. T ex någon lyckas stjäla min dator, vad gör jag (i förväg) för att minimera skadan?

Eller att jag råkar av någon anledning få in en ransomware, vad gör jag ( i förväg ) för att minimera den skadan och kanske i idealfallet inte alls behöva betala en lösensumma för att få krypteringsnyckeln?

Poängen är att jag förutsätter att det går åt helvete, men försöker hitta lösningen som gör att skadan är minimerad.

I fallet med bankID-kapning så får man fundera över hur mycket kan den som kapat min bankID göra? Ganska mycket skada uppenbarligen och det räcker inte att JAG gör vad som krävs för att skydda mig utan även att de som ansvarar för hela systemet runt bankID gör sitt jobb och är tydliga med vad som krävs av mig eller någon annan för att starta igång skyddsmekanismerna om jag eller någon annan upptäcker att bankID är kapat. Givetvis ska man hela tiden även jobba på att förebygga att det ens är möjligt att göra en lyckad attack.