Subruo

Ondermijnen

Peter Dedecker heeft een 'lumineus' idee gelanceerd in kader van de strijd tegen 'phishing' in België. Peter wilt het bestaande DNS-blokkeringssysteem in België hiervoor inschakelen en de macht van FCCU uitbreiden met de mogelijkheid om zonder bevel van een rechter sites toe te voegen aan de lijst van geblokkeerde sites. Een voorstel dat niets zal doen in de strijd tegen phishing en die een verfoeilijk systeem verder legitimaliseerd. 

Waarom zal dit voorstel niet werken? Hier zijn enkele redenenen:

Phishing mails zullen IP adressen gebruiken in hun mails

De meeste phishing aanvallen worden verspreid via emails die zodanig opgesteld zijn dat het lijkt alsof ze van de bank komen en moedigen de gebruiker aan om in te loggen op hun PC banking systeem om iets na te zien. Deze mails bevatten een link naar een site die lijkt op die van de bank maar eigenlijk een namaak site is. Log je op die site in dan ben je de pineut en zijn cyber criminelen gaan lopen met je centen. Of die link nu een dns naam gebruikt of een IP adres, dit verschil is voor de mensen die vallen voor phishing aanvallen verwaarloosbaar, ze klikten op de link en zullen nergens een foutmelding zien of krijgen.

Malware onderschept reeds DNS opzoekingen

Malware zijn geavanceerde programma's geschreven met als doel om zichzelf te verbergen én een ander totale controle te geven over je PC. Phishing aanvallen die malware gebruiken zullen de DNS lookups onderscheppen en ervoor zorgen dat de gebruiker op een site terechtkomt die lijkt op de PC banking site en zelfs de juiste domein naam toont in de browser maar eens ze inloggen zijn ze hun centjes kwijt. Deze aanval zal dus absoluut niets van hinder ondervinden van een DNS blokkage.

Hoe werkt phishing doorgaans?

Phishing bevat in basis 2 elementen, het zogenaamde social engineering, waarin men tracht om een persoon te foppen en zo gevoelige gegevens te bekomen en het technische aspect waar men die gegevens gaat exploiteren. Hoe gerichter de aanval, hoe hoger de slaagkansen. Het voorstel van Peter is echter vooral gericht op (Belgische) banken en deze aanvallen zien er doorgaans zo uit:

  1.  Persoon X ontvangt een email die zogezegd van de bank komt met de melding dat er iets verkeerd is en dat hij onmiddellijk moet inloggen op het PC banking systeem door op een link te klikken of door een applicatie te installeren (malware)
  2.  Persoon X logt in op de site maar krijgt een foutmelding. Zonder dat X het weet gaat deze site echter wél inloggen met X zijn gegevens op de echte PC banking site 
  3.  Persoon X voert opnieuw zijn Authenticatie uit en denkt ingelogd te zijn op de PC banking site. Met de tweede Authenticatie heeft X echter onwetend een overschrijving laten uitvoeren op zijn rekening
  4.  Persoon X logt uit 

Kortom, de ketting is alsvolgt:

Gebruiker => Phishing Systeem => Bank

Moet SSL dit niet opvangen?

NEEN! SSL heeft een andere doelstelling, namelijk voorkomen dat zogenaamde 'Man In The Middle' aanvallen en 'Snooping' mislukken door te garanderen dat de communicatie tussen Punt A & Punt B niet gewijzigd wordt. Gezien de gebruiker echter niet rechtstreeks verbonden is met het PC banking systeem zal hij ook geen fouten zien die melding maken van de bank haar SSL certificaat.  De communicatie tussen de phishing site (of malware) gebeurt bv wel via SSL maar de communicatie tussen de gebruiker en de phishing site niet of met een ander geldig certificaat. 

Wat kan men dan wel doen?

Momenteel is het zo dat bij de meeste banken enkel de gebruiker zich moet authenticeren. De PC Banking site zelf moet zich niet authenticeren bij de gebruiker. De gebruiker wordt geacht om de site van de bank te vertrouwen. De vraag is echter, hoe verstandig is dit? In hoeverre is de gebruiker zeker dat zijn computer geen malware bevat? Dat de DNS server hem wel naar de échte banksite stuurde? Kan men de gebruiker aansprakelijk maken omdat hij de verkeerde site vertrouwde? Is het niet beter dat men een vorm van zekerheid heeft dat de site effectief die van de bank is?

Een werkbare oplossing: Authentificatie over meerdere kanalen

Door het invoeren van een tweede communicatie kanaal kan men ervoor zorgen dat de bank bevestigingen stuurt naar de gebruiker over een apart systeem, bv via SMS. De bank stuurt unieke codes via SMS naar de gebruiker die nodig zijn voor het inloggen en uitvoeren van verrichtingen. Door het toevoegen van een omschrijving aan de SMS is de klant perfect op de hoogte van wat hij toestaat en zonder controle over de computer en de GSM wordt het voor de cyber crimineel al een stuk moeilijker om aan de centjes van de gebruiker te komen.

Een voorbeeld van een sessie met authenticatie over een tweede kanaal:

  1.  Persoon X logt in op de PC banking site
  2.  Bank stuurt SMS met unieke code 
  3.  Persoon X bevestigd login met de ontvangen code
  4.  Persoon X wenst een overschrijving te doen en heeft alles in
  5.  Bank stuurt SMS met unieke code en omschrijving van de transactie
  6.  Persoon X bevestigd transactie met de code

Ook phishers kunnen SMS'en sturen!

Inderdaad, iedereen kan een SMS sturen. Het probleem is echter dat de phishers de SMS van de bank moeten kunnen onderscheppen, ze moeten dus meerdere systemen omzeilen. Niet onmogelijk uiteraard maar al een  heel stuk moeilijker. De ketting bij normaal gebruik ziet er als volgt uit:

Gebruiker => PC Banking => SMS systeem => Gebruiker.

Bij phishing:

Gebruiker => Phishing site => PC Banking => SMS systeem => Gebruiker.

Zolang ze het SMS systeem niet kunnen onderscheppen blijft de gebruiker dus op de hoogte van wat PC banking uitvoert en zonder de bevestiging van de klant en de SMS code kunnen phishers dus niets doen. Een mogelijkheid om de SMS te onderscheppen is bv via malware op de GSM en dat is al een stuk meer werk (maar niet onmogelijk, via social engineering kan men mensen véél laten doen). 

Is er een oplossing die 100% waterdicht is? Neen. De zwakste schakel blijft de mens. Het enige wat men kan doen is het systeem zo waterdicht mogelijk te maken.

Hoe ondermijnt dit voorstel het internet?

Het fundamentele probleem met dit voorstel is dat Peter opteert om FCCU meer macht te geven om zonder bevel van een rechtbank sites toe te voegen aan de 'black-list'. Het eventueel vermelden hoe men het systeem kan omzeilen (door bv de DNS servers van google te gebruiken) of de lijst openbaar maken is geen afdoende bescherming tegen misbruik van het systeem. Het is namelijk nogal betwijfelbaar dat de lijst van sites op die black-list ooit publiek zal zijn, kinderporno was nu eenmaal één van de argumenten om dit systeem initieel op te zetten (ironisch genoeg was de eerste site die erop kwam een site met een lijst van gekende pedofielen).

Niet alleen is de uitbreiding van macht van FCCU een probleem, maar elke legitimatie van zulke systemen verlaagt de drempel om nog meer zaken hieraan toe te voegen. Nu is het piraterij (PirateBay) en kinderporno. Na zijn voorstel komt daar phishing bij. Morgen kan Bert Ancieux langs komen met godslaster.... We kunnen het ons niet permiteren dat het Internet ondanks al zijn duistere hoeken gecensureerd wordt.