Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord
abonneren

Hoe een aanval op online bankieren werkt

De gemiddelde mailbox krijgt dagelijks diverse valse e-mails te verwerken, die ervoor gemaakt zijn om je geld afhandig te maken. Veel van die e-mails verdwijnen in je spambox. Maar wat gebeurt er eigenlijk precies als je ingaat op zo'n e-mail? Wij hebben het getest.

Internetbankieren geniet in België steeds meer populariteit en dat hebben cybercriminelen goed in de smiezen. In 2012 zag Febelin het aantal aanvallen op online rekeningen van Belfius, ING, Rabobank en Bank van de Post in een jaar tijd verdubbelen. En het zal er in 2013 niet beter op worden.

Er zijn veel verschillende manieren waarop criminelen toegang kunnen krijgen tot je financiële gegevens, maar de zogenoemde phishingmail blijft een populair wapen. In naam van je bank krijg je verzoeken om persoonlijke informatie door te geven of direct in te loggen bij je internetbankieren.

De kwaliteit van deze mails wordt steeds beter: werd je een paar jaar nog aangesproken in slecht Engels of Duits, krijg je nu steeds meer verzoeken die zomaar eens van je bank afkomstig zouden kunnen zijn.

Zo ontving ik vorige week deze mail van BNP Paribas Fortis in mijn Outlook-account, zogenaamd afkomstig van het adres info@bnpparibasfortis.be. De boodschap was opgesteld in vrijwel foutloos Nederlands en zelfs na twee keer kijken zou je niet meteen zeggen dat het hier om een poging tot diefstal gaat.

Happen naar het aas
Met de hulp van malware-expert Vitaly Kamluk van het Russische beveiligingsbedrijf Kaspersky Labs heb ik willens en wetens op de link in de mail geklikt, om te zien wat er schuilgaat achter deze aanval op je internetbankieren. 

Zoals je ziet, is er weinig in deze boodschap te vinden dat onmiddellijk alarmbellen doet afgaan. Eigenlijk het enige vreemde aan de boodschap is de direct weblink naar de website cabinetgadgets.com, de eerste fout die de opsteller van de mail maakt.

Ik vroeg malwarespecialist Vitaly Kamluk om een kijkje te nemen naar de aanval. Hij opende de mail in een beveiligde virtuele omgeving en opende de link die volgens de mail nodig was om het beveiligingssysteem aan te passen.

Je komt nu terecht in een redelijk goed gemaakte dubbelganger van de loginpagina voor internetbankieren van BNP Paribas. Volgens Kalmuk zijn er enkele duidelijke aanwijzingen dat dit een neppagina is. “Je ziet dat sommige grafische elementen niet goed zijn overgenomen, waardoor bijvoorbeeld de kopbanner niet goed in beeld komt. Hij raadt daarnaast aan om om links naar andere pagina's binnen de site te klikken, omdat cybercriminelen vaak de moeite niet nemen om ook andere secties van de site te kopiëren.

Volgens Kamluk heeft de maker van de neppagina een zogenoemd iFrame gebruikt, een venster waarin de HTML-code van het oorspronkelijke loginvenster kan worden weergegeven. De screenshot die je hier ziet, was afkomstig van de Engelse versie, maar er was ook een perfect kloppende Nederlandstalige en Franstalige variant. 

Als je normaliter inlogt bij je internetbankieren wordt je gevraagd om pasnummer, logincode en een wachtwoord door te geven. Daarnaast moet je als extra beveiligingsmaatregel een eenmalige code invoeren, die je genereert door je pincode in een apart kastje te steken en je pincode in te tikken.

 

Doe je dit echter op deze redelijk goed nagemaakte neppagina, dan stuur je die geheime gegevens direct door naar de cybercrimineel, die daarvoor een speciaal aangemaakt mailadres heeft geregistreerd.

Daarmee krijgt de dief toegang tot je online bankrekening, maar dat betekent niet dat hij onmiddellijk kan beginnen met het leegplunderen van je rekeningen. Veel banken vragen hun klanten om bij een onbekende overschrijving immers opnieuw om een eenmalige code te genereren via het eerder genoemde kastje.

Nog meer informatie invullen
Daar komt het tweede scherm om de hoek kijken. Nadat je je inloggegevens hebt ingevuld, vraagt de ‘bank’ je om op het tweede scherm al je persoonlijke gegevens in te vullen, zoals adres en telefoonnummer.

Zogenaamd om je identiteit te bevestigen, maar in werkelijkheid geeft het de criminelen verschillende mogelijkheden om de begeerde M2-code te bemachtigen. Dat kan met een telefoontje of via een mailtje naar je persoonlijke adres. En waarom zou je geen B zeggen als je al A hebt gezegd?

Maar hoe zit het nu precies met de merkwaardige url in de oorspronkelijke mail?

Als Kamluk de website bezoekt die de vervalste pagina van BNP Paribas Fortis host, blijkt het om een doodgewone blog te gaan, die zich specialiseert in het schrijven van korte recensies over gereedschap.

“Vaak is het voor cybercriminelen een stuk eenvoudiger om een blog of site te kapen en de broncode uit te rusten met de benodigde PHP-elementen”, zegt Kamluk.

“Dat is een stuk goedkoper dan zelf een website te moeten registreren en het laat geen sporen achter”, voegt de specialist van Kaspersky toe.

Blitzkrieg
Toen ik de website echter na een paar dagen opnieuw bezocht, was de ‘gadgetblog’ al offline gegaan. De kans is groot dat de auteur argwaan kreeg nadat Kamluk in de broncode begon te neuzen. Of de site was al van tevoren opgezet, enkel met het doel om als springplank te dienen voor aanvallen.

Als we alles bij elkaar optellen, zien we een redelijk goed nagemaakte nepmail, een minder goed nagemaakte loginpagina van een lokale bank en een gekaapt blog.

Als Kamluk iets dieper in de broncode van de aanval duikt, blijkt de maker niet zo goed te zijn in het uitwissen van zijn eigen sporen. 

Naast het e-mailadres dat de gestolen bankkgegevens moet doorsturen, vinden we ook de alias terug van de crimineel. Met een beetje zoekwerk zou het in theorie mogelijk moeten zijn om meer te weten te komen over zijn identiteit.

Weinig tijd
Volgens Kamluk is het gros van de aanvallen op de internetrekeningen van bankklanten min of meer op dezelfde manier gemaakt: snel en slordig. Cybercriminelen proberen vaak om met minimale middelen zo veel mogelijk resultaat te behalen, omdat ze vaak weinig tijd hebben om mensen in de val te lokken.

Zo gaf Firefox al direct aan bij het openen van de valse link dat het hier om een fraudepagina ging. 

Ik begrijp dat de meeste van onze lezers niet snel in dit trucje zullen trappen. Maar dit voorbeeld illustreert wel dat de aanvallen steeds meer op maat zijn gemaakt en dat cybercriminelen lokale handlangers gebruiken om de phishingmails authentiek te laten lijken.

En dit is nog een relatief onschuldig voorbeeld van een online zwendel, waarbij de makers geen gebruik maken van een nieuwe generatie financiële malware, zoals het beruchte Zeus. Dit soort indringers maakt gebruik van nog ongedichte lekken in populaire programma’s als Adobe Reader of Java om toegang te krijgen tot je computer en slaat pas toe wanneer je een overschrijving begint naar een andere rekening.

Dus zelfs als je verdacht bent op dit soort zwendels, zit het ongeluk in een klein hoekje. Deel dit artikel daarom met mensen die niet zo goed uit de voeten kunnen met een pc, zodat zij zich meer bewust worden van de tactieken die worden gebruikt om hen geld af te troggelen.

BNP Paribas Fortis is er zich overigens uitstekend van bewust dat hun klanten op dagelijkse basis te maken krijgen met dit soort praktijken.

Op zijn thuispagina waarschuwt de bank om nooit in te gaan op dergelijke mails of telefoontjes en vraagt om onmiddellijk contact op te nemen als iets dergelijks zich voordoet.

Geschreven door: Rowald Pruyn op

Category: Nieuws, Security

Tags: Ing, ddos, Abn Amro, Fraude, Rabobank, Internetbankieren

Nieuws headlines

donderdag 30 november

donderdag 09 november

Laatste reactie