Beveiligingslek banken maakte phishing mogelijk
Bij zeker tien internetpagina’s van Nederlandse banken is een beveiligingslek geconstateerd. Daardoor werd het internetfraudeurs mogelijk gemaakt om phishing-technieken toe te passen.
Dit ontdekte beveiligingsonderzoeker Wouter van Dongen van DongIT. Hij zag het beveiligingslek in eerste instantie bij zijn eigen bank. Hij is verder gaan zoeken en kwam hetzelfde probleem bij tien andere banken in Nederland tegen.
Cross-Site Scripting
De manier waarop bankensites zijn aangevallen heet Cross-Site Scripting (ook wel XSS genoemd). Met deze methode kunnen hackers een phishing-website over de echte internetpagina bouwen. Het verschil tussen de echte en de nepsite is vaak niet te zien. Als je dan op de pagina komt, krijg je ongemerkt last van virussen of worden de gegevens die je invoert onderschept.
Volgens Martin Knobloch van de Open Web Application Security Project, een organisatie die is gespecialiseerd in webbeveiliging, komt Cross-Site Scripting vaker voor: 'Dat komt met name doordat het probleem niet goed bekend is in alle voorkomende vormen', zegt hij. 'Helaas richt men zich bij het voorkomen alleen op de meest bekende vormen ervan.'
Overzicht van banken
Het beveiligingslek is bij de volgende banken geconstateerd:
- ABN AMRO
- Rabobank
- ING
- Binck
- Alex
- ASN
- Knab
- SNS
- Triodos
- Van Lanschot Bankiers (de Belgische site)
Alle banken hebben inmiddels de beveiligingsproblemen opgelost, zodat misbruik niet meer mogelijk is. Er is niets bekend over eventuele geleden schade.
Bron: Nu.nl