Er vindt op dit moment een nieuwe golf van man-in-the-middle-aanvallen plaats, waarbij malware de DNS-instellingen van besmette computers verandert en een valse root Certificate Authority (CA) installeert, om zo klanten van meer dan 70 verschillende banken te kunnen aanvallen.
Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de DNS-instellingen te wijzigen kunnen de aanvallers zich tussen de gebruiker en de banksite waar hij op wil inloggen plaatsen. Om man-in-the-middle-aanvallen te voorkomen worden SSL-certificaten gebruikt. Deze certificaten worden door een CA uitgegeven.
De bank vraagt bij een CA een SSL-certificaat aan en gebruikt het voor de website. Het certificaat zorgt ervoor dat de verbinding met de gebruiker wordt versleuteld. Die kan tevens via het certificaat de identiteit van de website controleren. In het geval een aanvaller een man-in-the-middle-aanval uitvoert krijgt de gebruiker een waarschuwing van de browser, omdat de aanvaller niet over een geldig certificaat voor de banksite beschikt.
Malware
Bij de aanval die nu plaatsvindt hebben de aanvallers dit probleem opgelost. De malware die de DNS-instellingen wijzigt installeert in de browser ook een valse root CA. Alle certificaten die door deze CA zijn uitgegeven worden vervolgens door de browser als legitiem beschouwd, waardoor de aanvaller een man-in-the-middle-aanval kan uitvoeren zonder dat de gebruiker een waarschuwing te zien krijgt.
Een gebruiker krijgt naast de domeinnaam van de bank in de adresbalk van de browser nu ook een werkende SSL-verbinding te zien. Alleen door het controleren van het SSL-certificaat zou de gebruiker kunnen zien dat de handtekening van het certificaat niet overeenkomt met de identiteit van de legitieme CA die door de aanvallers wordt geïmiteerd.
Om de aanval uit te kunnen voeren moeten de aanvallers eerst de computer weten te infecteren. Dit gebeurt via e-mails die als bijlage een RTF-bestand met een ingebed uitvoer bestand hebben. Zodra een ontvanger van het bestand op dit ingebedde bestand dubbelklikt wordt de computer geïnfecteerd. Op welke banken de aanvallers het hebben voorzien wordt niet door beveiligingsbedrijf PhishLabs gemeld. Wel zouden de banken zich in Europa, Zuid-Amerika en Noord-Amerika bevinden.
security.nl