Leaders in software testing

OWASP BeNeLux day

Leaders in software testing

OWASP BeNeLux day

OWASP BeNeLux day
Security testen
Steven Wierckx 21 februari 2014
0 reacties

Een aantal security specialisten en consultants in opleiding van Polteq bezochten in december de OWASP BeNeLux day in Amsterdam.

Deze dag werd georganiseerd door de OWASP federatie, die ook elk kwartaal een avondsessie organiseert rond security en meer specifiek rond web applicatie security. Dit jaar waren er 8 sprekers over de meest uiteenlopende onderwerpen. Hieruit heb ik als onderwerp ‘inside the mind of a fraudster’ gekozen om een verslag van te maken en aan te vullen met mijn eigen ideeën.

Dit onderwerp werd gepresenteerd door Jan Joris Vereijken die de Chief Security Architect is voor ING. Dit betekent dat hij onder andere instaat voor de beveiliging van de online betalingen en het bestrijden van fraude. Zijn voordracht ging voornamelijk over hoe een bank fraude bestrijdt en hoe dat in veel gevallen verschilt van de technische maatregelen die specialisten zouden verwachten.

Bij ING hebben ze om fraude te bestrijden eigenlijk maar 1 regel en dat is ‘make fraud unprofitable’. Het werd mij direct duidelijk dat de hele fraudebestrijding georganiseerd en gesteund wordt door managers; het voornaamste doel van de fraudebestrijding is namelijk niet het stoppen van de fraude; men wil er vooral voor zorgen dat het niet rendeert voor een crimineel waardoor die een andere (gemakkelijkere) bron van inkomsten gaat zoeken. De meeste technische testers zouden eerder opteren voor oplossingen die de fraude onmogelijk maken en kunnen daarbij soms de kosten-baten analyse uit het oog verliezen.

Dit credo wordt op twee niveaus toegepast: op de eerste plaats wilt ING de fraudeurs niet bij hun bank zien maar liever bij een andere bank, op de tweede plaats werken banken internationaal wel samen om fraude te bestrijden waarbij ze proberen fraude in het algemeen te stoppen.

Security testing - Polteq

Om dit credo verder te illustreren maakte Jan gebruik van volgende voorbeelden:

1. authenticatie is irrelevant

Fraude wordt niet gestopt door extra maatregelen op het login scherm of door het gebruik van dure beveiliging maatregelen, hoe een klant zich aanmeldt in een online bank applicatie is dus eigenlijk niet relevant, de hele opzet met een bakje en de bankkaart (two factor authentication) is eigenlijk alleen maar voor de show omdat dat de gebruikers een veiliger gevoel geeft. De banken maken gebruik van het feit dat ze een klant aan de hand van hun browser en IP adres en bankgewoonten uniek kunnen identificeren om fraude op te sporen.

De fraude die wel nog mogelijk is gebeurt eigenlijk alleen nog via social engineering, waarbij de gebruiker een bedrag overschrijft naar een rekening zonder dat hij weet dat hij de dupe is van een oplichting. Een praktijkvoorbeeld is een virus dat een bankoverzicht toont waarbij een groot bedrag op de rekening is gekomen, daarna volgt een email die vraagt om dat bedrag even terug te storten wegens een foutje van hun kant. Indien de gebruiker inderdaad dit bedrag terugstort en later zijn afschriften nakijkt, zal hij zien dat er nooit een bedrag op zijn rekening gestort is geweest. Maar omdat de meeste mensen van goede wil zijn, blijkt dit toch erg goed te werken.

Hierbij komen we dan ook bij het grootste pijnpunt voor een fraudeur; die moet namelijk geld op een rekening zien te krijgen waar hij later geld kan afhalen, want anders kan hij het niet gebruiken. Hiervoor worden zogenaamde ‘mules’ (Engels voor ezels) gebruikt. Een mule verbindt zich ertoe om bedragen die op zijn rekening komen er cash af te halen waarbij hij een klein bedrag mag houden. Door de goede samenwerking tussen banken en de fraude herkenningssystemen van de banken kunnen de meeste mules maar 1 keer een bedrag in cash omzetten voor ze gepakt worden en hun rekeningen worden geblokkeerd.

Dit leidt ons mooi tot het tweede voorbeeld:

2. fraude op grote schaal via bedrijven is niet mogelijk

Een bedrijf zoals Shell doet voor miljoenen euro per dag aan transacties, een overschrijving van een miljoen euro door fraude is technisch haalbaar tot zelfs vrij makkelijk. De reden waarom dit in de praktijk niet gebeurt, is dat je geen mule kan vinden die dat bedrag ook cash kan opnemen. Dit illustreert mooi dat er geen technische maatregelen nodig zijn om dit te stoppen want in de praktijk is het geen valabel ‘business model’ voor fraudeurs.

3. infecties zijn goedkoop, mules zijn duur

Uit studies door de banken is gebleken dat een PC infecteren met een virus dat banktransacties kan doen vrij gemakkelijk is en ook veel gebruikt wordt. Het aanmaken van voldoende mules om hiervan optimaal gebruik te maken is een stuk moeilijker. In de praktijk wordt een ratio van 100 besmettingen tegenover 1 fraudegeval gezien, dit wil zeggen dat 99 besmettingen niet tot fraude leiden doordat er geen mule beschikbaar is om het bedrag te innen. Dit komt omdat de banken een mule meestal na de eerste frauduleuze transactie al kunnen blokkeren.

4. online fraude is een ‘zero sum game

Een zero sum game betekent in deze situatie dat het bedrag waarvoor gefraudeerd wordt (of kan worden) niet verandert. Dit wil dus ook zeggen dat meer fraudeurs niet voor meer schade (in miljarden euro berekend) zorgen. Dit evenwicht wordt voornamelijk in de hand gehouden doordat er op elk gegeven ogenblik slechts een beperkt aantal mules beschikbaar is. Dit toont ook aan waarom er veel geld gaat naar het ontdekken van mules in de plaats van het voorkomen van fraude. Als er bij ING nieuwe anti-fraude maatregelen worden getroffen, zien ze een verschuiving van de fraude naar andere banken, totdat die andere banken dan weer nieuwe maatregelen nemen.

De nieuwste trend van ‘ransomware’ waarbij een virus de computer blokkeert tot een bedrag betaald is, probeert deze balans te doorbreken doordat die betalingen niet noodzakelijk via een bank gaan maar bijvoorbeeld via Western Union.

5. de mobiele applicatie voor online banking

De mobiele applicatie voor online banking is op zich niet super veilig, maar doordat elke bank zijn eigen applicatie heeft geschreven is het economisch niet rendabel voor een fraudeur om via de applicatie te proberen transacties uit te voeren zonder dat de gebruiker deze kan zien. Technisch gezien zou een fraudeur daarvoor in de applicatie van elke bank apart een fout moeten vinden en dat brengt dan nog weinig winst in het laatje. Ook hier blijven de fraudeurs zitten met het probleem om voldoende mules te vinden.

Dit onderwerp werd door Jan zeer duidelijk gebracht en was voor de meestal technische mensen in de zaal een ‘eye opener’ op het gebied van kosten-baten analyses.

Steven Wierckx, test consultant en security specialist  bij Polteq

 

Reageren

Om SPAM te voorkomen wordt uw bericht na goedkeuring door de webmaster geplaatst.

Het e-mailadres wordt niet gepubliceerd.


Reacties

Er zijn nog geen reacties.

Onderwerpen

Laatste reacties

Hoi Evie, ik zie jouw verhaal voorbij komen. Wat gaaf! Wat ontzettend fijn ...
› Lees verder

Nicolette

Beste Erik, helder verhaal waar ik volledig achter kan staan! groet Huub
› Lees verder

Huub Jansen

Zeer interessant interview
› Lees verder

Vaassen Joffrey
Polteq (NL)Printerweg 523821 AD AmersfoortNederlandT +31 (0) 33 277 35 22E info@polteq.com
Polteq (BE)Interleuvenlaan 623001 Heverlee (Leuven)BelgiëT +32 (0) 16 39 48 04E infobe@polteq.com