Dat blijkt uit onderzoek van beveiligingsexpert Wouter van Dongen van DongIT. Hij vond vorig jaar al vergelijkbare problemen bij de websites van tien banken.
Van Dongen heeft nu opnieuw zogenoemde ‘cross site scripting‘-lekken geconstateerd, bij ABN Amro, SNS Bank en Triodos.
Door misbruik te maken van deze kwetsbaarheid is het mogelijk om onderdelen van een website te vervangen door andere inhoud. Cybercriminelen kunnen bijvoorbeeld op de echte site van een bank een malafide inlogvenster tonen, die ingevoerde gegevens doorgeeft aan een eigen server.
Impact
Alleen zeer oplettende internetters zouden zo’n actie kunnen ontdekken. Om het probleem te illustreren heeft Van Dongen de kwetsbaarheid in een video gedemonstreerd. Hij laat zien hoe inloggegevens op de site van ABN worden onderschept, en hoe het lijkt alsof er met DigiD kan worden ingelogd, terwijl dat in het echt niet het geval is.
De aanval kan worden uitgevoerd terwijl het echte webadres van een bank in beeld staat, inclusief het groene slotje dat een beveiligde verbinding aanduidt. “De impact van deze kwetsbaarheid is juist het grootst op het hoofddomein of het bankierdomein van een bank, omdat deze bij de bezoeker bekend zijn en er banktransacties op plaatsvinden”, zegt Van Dongen tegen NU.nl.
“Vanwege het vertrouwde karakter kan je de bezoeker laten geloven dat zij bijvoorbeeld kunnen inloggen met DigiD, [maar] op de achtergrond worden de gegevens naar de aanvaller verstuurd.”
Verhelpen
Van Dongen wijst er op dat de kwetsbaarheid vrij simpel kan worden verholpen, door gebruik te maken van de zogenoemde Content Security Policy. Dat is een internetstandaard die er juist voor is gemaakt om dit soort aanvallen te blokkeren.
Van de zeventien banken die van Dongen heeft onderzocht bleken slechts vier deze techniek te gebruiken.
“Deze kwetsbaarheid komt relatief veel voor in websites, daarom is het zo belangrijk dat deze extra beveiligingsmaatregel wordt toegepast”, zegt hij. “Banken zouden de eerste websites moeten zijn waar dit toegepast zou moeten worden.”
Melding
Van Dongen meldde het lek bij de drie banken volgens zogenoemde responsible disclosure-regels. Die houden in dat ethische hackers kwetsbaarheden kunnen melden bij bedrijven zonder daarvoor in de problemen te komen.
Desondanks reageerde ABN Amro pas na enkele maanden en na aandringen door de onderzoeker, met de melding dat werd gewacht op een update van een leverancier. Na vragen van NU.nl concludeerde het bedrijf dat het toch zelf verantwoordelijk was, en werd het beveiligingsprobleem opgelost.
Toen bleek dat Van Dongen met het lek naar buiten wilde treden nadat het was opgelost, besloot SNS Bank om hem niet te belonen voor de vondst. Alleen Triodos Bank loste het probleem direct op.