USB e.dentifier van ABNAmro lek

Hackers kunnen ABNAmro-rekeningen plunderen omdat de software van de e.dentifier brak is. Volgens de bank gaat het om een theoretische aanval.

Hackers kunnen data uitlezen en transacties manipuleren van ABNAmro-klanten die gebruik maken van de e.dentifier2 die via USB gekoppeld is aan pc's. Dat meldt Nieuwsuur op basis van onderzoek van de Radboud Universiteit Nijmegen.

De meeste edentifiers of random readers worden los gebruikt, maar ABNAmro heeft een versie met een USB-kabel. Voor de werking hiervan is tevens installatie van aparte software nodig, beschikbaar voor Windows en Mac OS X.

Brakke software
En daarin zit het probleem. Want een trojan kan via de software eenvoudig alle benodigde authenticaties onderscheppen en zelf een andere begunstigde bankrekening en bedrag invullen, zonder dat de klant dit merkt. "Het systeem is absoluut niet veilig, een blunder", volgens onderzoeker Arjan Blom.

Er zijn in totaal zo'n 2,5 miljoen e.dentifiers2 in omloop, waarvan een half miljoen met usb-functie. Hiermee kan de klant sneller inloggen en transacties voltooien, omdat het invoeren van de nummerreeks voor het goedkeuren van een transactie niet nodig is.

Nieuwe e.dentifiers in de maak
De onderzoekers hebben ABNAmro een half jaar geleden op de hoogte gesteld van de kwetsbaarheid. Naar de klanten toe heeft de bank hierover niet gecommuniceerd, en ook de e.dentifiers met USB zijn nog volop in gebruik.

ABNAmro benadrukt dat de kraak nog niet in het wild voorkomt. "De universiteit heeft dit getest in een laboratoriumopstelling. Er is via een simulatie een transactie gedaan, maar de vorm van malware die ze hebben gebruikt, bestaat in het echt niet," aldus de woordvoerder tegenover ANP.

Wel zou de bank een bestelling van honderdduizenden e.dentifier2-apparaatjes hebben afbesteld, en sleutelen aan een nieuwe generatie, die niet meer kwetsbaar is.

Verkeerd beeld
Er is ook forse kritiek op het onderzoek of in elk geval de berichtgeving van Nieuwsuur, omdat onterecht de e.dentifier2 eruit wordt gepikt als enige onveilige variant. Zo stelt Nieuwsuur dat losse e.dentifiers wel veilig zijn, maar niets is minder waar.

Ook van bankklanten met losse e.dentifiers, random readers of tancodes wordt de rekening steeds vaker geplunderd door trojans en man-in-the-browser aanvallen. Zo doken in juni geavanceerde ZeuS-varianten op die grotendeels geautomatiseerd geld wegsluizen bij een internetbankiersessie. En ook Dorifel blijkt afgeleid van een banking trojan gericht op Nederlanders.

"Zwartmakerij @Nieuwsuur ABN AMRO terwijl dit bij ELKE internet transactie mogelijk is. USB e.dentifier2 doet er niet toe", reageert Erik Loman, security-expert by SurfRight dan ook op Twitter.