Tussen de buien door is het hier in Nederland al prima weer maar gelukkig komt de vakantie er weer aan. Lekker genieten van een hapje, een drankje en vooral veel zon op een prachtig eiland ergens midden in de Caraïben. Heerlijk…
Totdat je toch graag even je bankzaken wil controleren voor je naar dat ene net iets te luxe restaurant gaat. Want even je inloggegevens op de pc in dat kleine internetcafé op de hoek intypen is verre van verstandig.
Je bankzaken regelen in een internetcafé, waarom niet?
Dat is eigenlijk heel erg simpel. Het is bijzonder eenvoudig om op een (semi-) openbare pc een stukje soft- of hardware te installeren. De soft- of hardware houdt keurig bij welke toetsen allemaal aangeslagen zijn (een zogeheten keylogger) en zo achterhalen fraudeurs eenvoudig belangrijke informatie. Daarnaast slaat zo’n applicatie vaak ook nog eens periodiek op wat er op je scherm staat. Je kan het natuurlijk al raden. het woord ‘bank’ is voor mensen die zich toeleggen op deze praktijken natuurlijk erg snel terug gevonden.
Maar ik heb m’n eigen laptop meegenomen en internet gewoon via het wireless van m’n hotel…
Ook daar hebben fraudeurs iets op gevonden. Ze gaan met hun laptop ergens in de lobby zitten en laten hun laptop zich voordoen als de draadloze internetverbinding van het hotel. De laptop van de fraudeur is dan in veel gevallen de sterkste verbinding die beschikbaar is in de lobby. Uiteraard maak je in zo’n geval vaak niets vermoedend verbinding met deze ‘nep’ hotelverbinding. Dit soort fraudeurs werken dan met twee methoden.
Methode 1: Pagina (vaak met logo en kleuren van het hotel) verschijnt waarop gevraagd wordt om creditcard informatie. Of je met een fraudeur te maken hebt is vaak te herkennen aan het ontbreken van “https://” voor het webadres van de pagina die je ziet (https geeft aan dat je op een website met een beveiligde verbinding zit). Laat je overigens niet misleiden door plaatjes van bijvoorbeeld VeriSign. De meeste fraudeurs zijn bijzonder creatief en bouwen zorgvuldig de valse pagina’s, voorzien van alle logo’s die je normaal op een veilige pagina aantreft.- Methode 2: Je kan via de laptop van de fraudeur gewoon ‘gratis’ internetten maar alles wat je doet wordt eerst onderschept en opgeslagen. Ook hierbij zijn e-mail inloggegevens of bankgegevens zo achterhaald (zie ook dit artikel).
Wat kan je er tegen doen?
Uiteraard bestaan er simpele maar zeer doeltreffende oplossingen voor dit probleem.
- Controleer de pc of er geen hardware keyloggers tussen de muis/keyboard en de pc bevestigd zijn (Zie afbeelding rechts). Let wel op, er kan ook altijd een software keylogger actief zijn.
- Maak geen verbinding met wireless internet als je niet 100% zeker weet dat het ook daadwerkelijk met het hotel zelf is. Bij voorkeur vooraf betalen of op rekening, via de wireless verbinding met de creditcard voor internetten betalen is geen goed idee.
- Verwar de keylogger door heel erg veel extra letters en klikken met de muis als je belangrijke informatie moet invoeren. Stel dat je wachtwoord ‘lifehack’ is, klik dan eerst in de url- of zoekbalk van de brouwser en type +/-4 overbodige karakters bijvoorbeeld: ‘jlep’. Klik hierna in het wachtwoord veld op de webpagina en type de eerste letter van je wachtwoord, in dit geval de ‘l’. Type nu +/- 2 overbodige karakters in de url- of zoekbalk, klik nog een keer, type weer twee overbodige karakters en type dan de 2de letter van je wachtwoord in het wachtwoord veld op de webpagina in dit geval de ‘i’. (Probeer in het aantal muisklikken en overbodige karakters zo onvoorspelbaar mogelijk te maken… 3x klikken en elke keer 3 overbodig karakters invoeren om daarna 1 of 2 karakters van je echte wachtwoord in te voeren is prima). Uiteraard is het aan te raden deze techniek ook voor je gebruikersnaam toe te passen. Dit zorgt er voor dat het wel heel erg lastig wordt voor fraudeurs om iets bruikbaars te achterhalen.
- Gebruik het ‘On-Screen Keyboard’ dat standaard in zowel Windows, Linux als Mac OSx verwerkt zit. Doordat je enkel met de muis op de gewenste karakters klikt wordt het voor een hardware keylogger erg lastig om te achterhalen wat je ingevoerd hebt.
Voor Windows systemen kan je het on-screen keyboard eenvoudig oproepen door naar ‘Start’ – ‘Uitvoeren’ te gaan en daar osk.exe in te typen (Voor Linux kijk je hier, voor Mac OSx hier). Mocht osk.exe niet gevonden kunnen worden of zie je niet het onderstaande venster verschijnen dan is dat een vrij duidelijk signaal dat iemand niet wil dat je dat gebruikt… opzoek naar een ander internet cafe dus. Let hierbij wel op dat het onscreen-keyboard enkel een hardware-keylogger kan omzeilen. De meeste software-keyloggers kunnen tekst ingegeven door een onscreen-keyboard (en vele spraak/handschift herkenningssoftware) wel achterhalen. Gebruikt het onscreen-keyboard dus enkel in combinatie (en als aanvulling) op het genereren van veel overbodige karakters (met dank aan Ruud Vermeij voor de opmerking).
Wanneer een veilig draadloos netwerk open is (onbeveiligd) heeft het geen nut om dingen als een ‘On-Screen Keyboard’ te gebruiken. Alles wat je namelijk doet op het internet wordt onbeveiligd door de lucht gegooid. In theorie kan iedereen dan precies zien wat jij allemaal uitvoert (mits je natuurlijk op https zit!). Zo iemand hoeft alleen maar z’n laptop neer te zetten en het onbeveiligde netwerk sniffen.
@BlueWolf, bedankt voor je aanvulling. Ik ben het helemaal met je eens dat internet en in het speciaal wirelessnetwerken qua privacy soms nog al eens een zwart gat zijn. De effectiviteit van package sniffing leek met de komst van de switch ten einde, maar wireless netwerken hebben er weer voor gezorgd dat het een effectieve methode is om data te achterhalen. Voor het meeste internetverkeer is het ook helemaal niet zo heel erg dat er wat informatie onderschept kan worden (wat ik nu type staat over 1 min. online).
En gelukkig werken veel websites waar je gevoelige informatie op ingeeft zoals e-commerce websites en banken met https:// verbindingen wat package sniffing een heel stuk moeilijker maakt. Tegenwoordig heb je wel al veel wireless routers met aardige anti-sniffing opties ingebouwd maar misschien dat ik daar nog een keer apart aandacht aan ga besteden. anyway, bedankt voor de aanvulling!
De enige manier om een beetje veilig in het buitenland te internetten / geldzaken te regelen is om je eigen hardware te hebben die je voldoende beveiligd hebt. Vanaf deze hardware zet je vervolgens een versleutelde VPN verbinding op met een vertrouwde locatie, waarna je door de tunnel beveiligd je bankzaken kan doen.
Uiteraard kan dit ook met een SSL verbinding naar *NIX/MICROSOFT systeem, waar je port 80 forward.
Kinkt erg solide Sander (niet voor iedereen haalbaar uiteraard).
Enige wat je dan nog moet doen, is zorgen dat men niet over je schouder meekijkt.
Ik was eens in een hotel met een gratis te gebruiken PC, waar blijkbaar iedereen de rechten had van alles te installeren. Want op de desktop stonden allemaal iconen van wazige software.
Volgens mij kun je er rustig vanuit gaan dat een hotel/internetcafe PC nooit door jezelf te checken is op veiligheid.
Handig artikel Roel!
Ik ben het eens met de strekking van het artikel. Echter voor telebankieren gaat dit niet op.
Alle Nederlandse banken maken gebruik van “Strong Authentication” en “One Time passwords”
Het password wordt immers gegenereerd door bijv je random reader (Rabobank). Deze wachtwoorden zijn bovendien slechts 1 maal te gebruiken. Een “fraudeur” zou dus theoretisch gezien wel mee kunnen kijken wat je doet op de bank. (bij gebruik keylogger in een internet cafe) Maar je ingetikte password kan hij dus niet meer gebruiken. Om een nieuw password te krijgen zal hij eerst je random reader moeten hebben.
Dus je kunt vanuit een internet cafe veilig gebruik maken van telebankieren!
Je e-mail wachtwoord of creditcard gegevens zijn voor een potentiele fraudeur wel eenvoudiger te achterhalen.
@Dennis: Dat gaat niet helemaal op, bij de Postbank gebruik je elke keer dezelfde gebruikersnaam en hetzelfde wachtwoord om in te loggen op MijnPostbank.nl (afgezien dan van het feit dat je verplicht één keer per jaar je wachtwoord moet wijzigen).
Voor het daadwerkelijk uitvoeren van transacties moet je ter bevestiging nog wel een zescijferige TAN-code invoeren, maar of je hebt dan een papieren lijst bij waar er een aantal opstaan, of de TAN-code wordt per SMS toegezonden.
Als de dames en heren criminelen in staat zijn om netwerkverkeer te onderscheppen zullen ze er ook niet zo’n moeite mee hebben om die lijst respectievelijk je GSM te jatten. Waarna ze probleemloos je rekening kunnen plunderen.
Ik vermoed dat osk.exe key-messages verzend. Als dat zo is, dan ontvangt een keylogger dus exact dezelfde informatie als wanneer het gewone keyboard gebruikt wordt.
Kan iemand mijn theorie ontkrachten, of werkt deze lifehack niet? (En geeft het dus een misleidend en gevaarlijk gevoel van veiligheid…)
Dat klopt ja, een onscreen keyboard helpt niet echt tegen een beetje keylog programma.
@ Ruud: Bedankt voor je opmerking. Ik ben het direct op een windows machine nagegaan en voor het grootste deel heb klopt je theorie.
Het windows onscreen-keyboard verstuurd key-messages (evenals veel spraak-naar-tekst software en sommige handschrift herkenningsoftware blijkt). Voor een software keylogger biedt een onscreen-keyboard dus geen bescherming. Hardware keyloggers zijn niet in staat tekst wat je ingeeft door middel van het onscreen-keyboard te achterhalen.
Het onscreen-keyboard bied in 90% van de gevallen alleen veiligheid als het gebruikt wordt in combinatie met de andere tips. Ik pas het zo snel mogelijk in de post aan!
edit: is aangepast, ben er wel achter dat er handige andere tools zijn om keyloggers te omzeilen, dit vul ik vanavond direct aan.
Alle technieken, zelfs tunnels, zijn te hacken dmv man-in-the-middle aanvallen.
Alhowel tunnels wel lastig is.
Ik vind het een beetje kortzichtig en gevaarlijk om hier een artikel te plaatsen alsof het allemaal wel kan met wat truukjes.
Afgezien van de Rabobank waarbij 1 van de controlegetallen het bedrag is wat je wilt overboeken, zijn de andere systemen ook lek. De controlegetallen dienen daar alleen ter verificatie van de verzender, de hoogte van het bedrag wordt niet gecheckt. En dus kan een hacker zelfs nog een extra bedrag mee posten bij een overboeking.
@ Michael: Ben helemaal met je eens dat alles te kraken is. En dat bovenstaande tips verre van een waterdichtsysteem zijn.
Ik zou alleen niet weten waarom het kortzichtig en gevaarlijk is om mensen bewust te maken van de gevaren (waar veel mensen nooit bij stil staan) en enkele simpele tips te geven om iets veiliger te werken.
Ik denk niet dat mensen die de gevaren niet kennen beter af zonder de bovenstaande tips.
Ik werd laatst geattendeerd op Hotspot Shield. Volgens de site “Hotspot Shield creates a virtual private network (VPN) between your laptop and the wireless router. This impenetrable tunnel prevents snoopers and hackers from viewing your email, instant messages, credit card information or anything else you send over a wireless network. Which means you remain anonymous and protect your privacy.” via http://anchorfree.com/downloads/hotspot-shield/
Het programma heb ik nog niet geprobeerd maar zal dat zeker doen de volgende keer dat ik gebruik maak van een gratis wifi netwerk.
Er bestaan in Windows 1001 manieren om keyloggers te installeren. Ieder programma dat claimt hiertoe in staat te zijn doet minder dan half werk. Een keyboard filter driver is relatief eenvoudig te ontdekken. Maar in usermode bestaan er teveel mogelijkheden. Behalve keyhoard filter drivers zijn er user mode keyboard hooks, user mode keyboard low level hooks, user mode API hooks en message hooks van iedere denkbare soort mogelijk. Daarbij zijn er allerlei soorten rootkits mogelijk om dit soort zaken op alle mogelijke niveaus te verbergen. Het is een verloren race. Dat je met het onscreen keyboard veiliger af zou is is ontzettend betrekkelijk (onzin).
//Daniel
Werkt het niet om je inlognaam en wachtwoord in een tekstdocument te zetten en op een cd-tje te branden? Je opent het tekstdocument selecteerd je inlognaam CTRL+C en CTRL+V in het invulscherm, zelfde met het wachtwoord.
Volgens mij wordt dan alleen ctrl+C en ctrl+v geregistreerd door de keyloggers (hard- en software).
Je kunt geen virussen meekrijgen op een cd (daarom geen usb).
Verstandig is altijd om eenmaal thuis al je wachtwoorden weer te veranderen,
@Michael: even ter aanvulling voor de Postbank: het bedrag van de overboeking staat altijd in mijn smsjes met de tancode, daarmee controleer ik ook altijd of dat bedrag klopt..
Gebruik voor wachtwoorden een wachtwoordmanager als PassKey, hier kan je encrypted al je wachtwoorden in opslaan, programmaatje op een USB stick en je kan het nagenoeg overal openen, en je hoeft alleen maar naar de site te gaan waar je wil inloggen, klikken in het gebruikersnaamveld. Dan in PassKey het account aanklikken waar je mee wilt inloggen, op Ctrl-V drukken en je gebruikersnaam en wachtwoord wordt door het programma ingevuld. Niets aan het handje dus…
Behalve dat de data nog over het netwerk verstuurd moet worden…
Hebben programmaatjes die je toetsaanslagen versleuten (zoals Keyscrambler) zin?
Waarom niet gewoon een extensie installeren:
https://addons.mozilla.org/en-US/firefox/addon/3383
Have fun…..
Mijn mening:
Veiligst: Gebruik je eigen laptop met firefox en keyscrambler.
Anders: U3 usbstick met firefox geinstalleerd. Beveilig je usbstick met wachtwoord (is echter wel hardwarematig te omzeilen) en sla je wachtwoorden in firefox op met wachtwoord. Een keylogger kan dan wel je wachtwoorden voor je usbstick en firefox zien, echter is hij niet in bezit van je usbstick.
Daarnaast is het ook nog eens handig dat je je eigen firefox met addons en eigen instellingen kunt werken. Helaas werkt de addon keyscrambler niet, aangezien deze ook op de PC moet worden geinstalleerd. Belangrijke bestanden natuurlijk wel geencrypt opslaan, maar dat kun je beter online doen.
Of: Maak gebruik van Clipperz of Passpack. Een online programma waar je je logins allemaal in opslaat. Deze worden geencrypt naar de server verstuurd en opgeslagen. Wanneer je op een onveilige computer wilt inloggen bij Clipperz of Passpack kun je gebruik maken van éénmalig wachtwoord.
Zie ik nog onveiligheden over het hoofd?
Wat ontbreekt er op het onscreen-keyboard: @, /, :
Speciale (ontbrekende) karakters kun je toevoegen vanuit de Windows-character map (select/copy).
Als je meerdere speciale karakters nodig hebt, dan kun je deze achteereenvolgens in de Windows-character map selecteren en in z´n totaliteit kopiëren.
Bijv. een URL adres en vervolgens kopiëren in het URL-adres bij de browser.
Zo heb je een 2° On-screen keyboard.
Citaat:
De meeste software-keyloggers kunnen tekst ingegeven door een onscreen-keyboard (en vele spraak/handschift herkenningssoftware) wel achterhalen: Ruud Vermeij
Is dit ook het geval, als je de character map als On-screen keyboard gebruikt???