Aanval op je internetbankieren: hoe ziet dat er uit? PDF Afdrukken E-mailadres

 

Aanval op je internetbankieren: hoe ziet dat er uit?

De ingewanden van een phishingaanval blootgelegd

Rowald Pruyn Bron

 

Internetbankieren geniet in België steeds meer populariteit en dat hebben cybercriminelen goed in de smiezen. In 2012 zag Febelin het aantal aanvallen op online rekeningen van Belfius, ING, Rabobank en Bank van de Post in een jaar tijd verdubbelen. En het zal er in 2013 niet beter op worden.

 

Er zijn veel verschillende manieren waarop criminelen toegang kunnen krijgen tot je financiële gegevens, maar de zogenoemde phishingmail blijft een populair wapen. In naam van je bank krijg je verzoeken om persoonlijke informatie door te geven of direct in te loggen bij je internetbankieren.

 

De kwaliteit van deze mails wordt steeds beter: werd je een paar jaar nog aangesproken in slecht Engels of Duits, krijg je nu steeds meer verzoeken die zomaar eens van je bank afkomstig zouden kunnen zijn.

 

Zo ontving ik vorige week deze mail van BNP Paribas Fortis in mijn Outlook-account, zogenaamd afkomstig van het adres Dit e-mailadres is beschermd tegen spambots. U heeft Javascript nodig om het te kunnen zien. . De boodschap was opgesteld in vrijwel foutloos Nederlands en zelfs na twee keer kijken zou je niet meteen zeggen dat het hier om een poging tot diefstal gaat.

 

Happen naar het aas

Met de hulp van malware-expert Vitaly Kamluk van het Russische beveiligingsbedrijf Kaspersky Labs heb ik willens en wetens op de link in de mail geklikt, om te zien wat er schuilgaat achter deze aanval op je internetbankieren.

 

Zoals je ziet, is er weinig in deze boodschap te vinden dat onmiddellijk alarmbellen doet afgaan. Eigenlijk het enige vreemde aan de boodschap is de direct weblink naar de website cabinetgadgets.com, de eerste fout die de opsteller van de mail maakt.

 

Ik vroeg malwarespecialist Vitaly Kamluk om een kijkje te nemen naar de aanval. Hij opende de mail in een beveiligde virtuele omgeving en opende de link die volgens de mail nodig was om het beveiligingssysteem aan te passen.

 

Je komt nu terecht in een redelijk goed gemaakte dubbelganger van de loginpagina voor internetbankieren van BNP Paribas. Volgens Kalmuk zijn er enkele duidelijke aanwijzingen dat dit een neppagina is. “Je ziet dat sommige grafische elementen niet goed zijn overgenomen, waardoor bijvoorbeeld de kopbanner niet goed in beeld komt. Hij raadt daarnaast aan om om links naar andere pagina's binnen de site te klikken, omdat cybercriminelen vaak de moeite niet nemen om ook andere secties van de site te kopiëren.

 

Volgens Kamluk heeft de maker van de neppagina een zogenoemd iFrame gebruikt, een venster waarin de HTML-code van het oorspronkelijke loginvenster kan worden weergegeven. De screenshot die je hier ziet, was afkomstig van de Engelse versie, maar er was ook een perfect kloppende Nederlandstalige en Franstalige variant.

 

Als je normaliter inlogt bij je internetbankieren wordt je gevraagd om pasnummer, logincode en een wachtwoord door te geven. Daarnaast moet je als extra beveiligingsmaatregel een eenmalige code invoeren, die je genereert door je pincode in een apart kastje te steken en je pincode in te tikken.

 

Doe je dit echter op deze redelijk goed nagemaakte neppagina, stuur je die geheime gegevens direct door naar de cybercrimineel, die daarvoor een speciaal aangemaakt mailadres heeft geregistreerd.

 

Daarmee krijgt de dief toegang tot je online bankrekening, maar dat betekent niet dat hij onmiddellijk kan beginnen met het leegplunderen van je rekeningen. Veel banken vragen hun klanten om bij een onbekende overschrijving immers opnieuw om een eenmalige code te genereren via het eerder genoemde kastje.

 

Nog meer informatie invullen

Daar komt het tweede scherm om de hoek kijken. Nadat je je inloggegevens hebt ingevuld, vraagt de ‘bank’ je om op het tweede scherm al je persoonlijke gegevens in te vullen, zoals adres en telefoonnummer.

 

Zogenaamd om je identiteit te bevestigen, maar in werkelijkheid geeft het de criminelen verschillende mogelijkheden om de begeerde M2-code te bemachtigen. Dat kan met een telefoontje of via een mailtje naar je persoonlijke adres. En waarom zou je geen B zeggen als je al A hebt gezegd?

 

Maar hoe zit het nu precies met de merkwaardige url in de oorspronkelijke mail?

 

Als Kamluk de website bezoekt die de vervalste pagina van BNP Paribas Fortis host, blijkt het om een doodgewone blog te gaan, die zich specialiseert in het schrijven van korte recensies over gereedschap.

 

“Vaak is het voor cybercriminelen een stuk eenvoudiger om een blog of site te kapen en de broncode uit te rusten met de benodigde PHP-elementen”, zegt Kamluk.

 

“Dat is een stuk goedkoper dan zelf een website te moeten registreren en het laat geen sporen achter”, voegt de specialist van Kaspersky toe.

 

Blitzkrieg

Toen ik de website echter na een paar dagen opnieuw bezocht, was de ‘gadgetblog’ al offline verdwenen. De kans is groot dat de auteur argwaan kreeg nadat Kamluk in de broncode begon te neuzen. Of de site was al van tevoren opgezet, enkel met het doel om als springplank te dienen voor aanvallen.

 

Als we alles bij elkaar optellen, zien we een redelijk goed nagemaakte nepmail,een minder goed nagemaakte loginpagina van een lokale bank en een gekaapte blog.

 

Als Kamluk iets dieper in de broncode van de aanval duikt, blijkt de maker niet zo goed te zijn in het uitwissen van zijn eigen sporen.

 

Naast het e-mailadres dat de gestolen bankkgegevens moet doorsturen, vinden we ook de alias terug van de crimineel. Met een beetje zoekwerk zou het in theorie mogelijk moeten zijn om meer te weten te komen over zijn identiteit.

 

Weinig tijd

Volgens Kamluk is het gros van de aanvallen op de internetrekeningen van bankklanten min of meer op dezelfde manier gemaakt: snel en slordig. Cybercriminelen proberen vaak om met minimale middelen zo veel mogelijk resultaat te behalen, omdat ze vaak weinig tijd hebben om mensen in de val te lokken.

 

Zo gaf Firefox al direct aan bij het openen van de valse link dat het hier om een fraudepagina ging.

 

Ik begrijp dat de meeste van onze lezers niet snel in dit trucje zullen trappen. Maar dit voorbeeld illustreert wel dat de aanvallen steeds meer op maat zijn gemaakt en dat cybercriminelen lokale handlangers gebruiken om de phishingmails authentiek te laten lijken.

 

En dit is nog een relatief onschuldig voorbeeld van een online zwendel, waarbij de makers geen gebruik maken van een nieuwe generatie financiële malware, zoals het beruchte Zeus. Dit soort indringers maakt gebruik van nog ongedichte lekken in populaire programma’s als Adobe Reader of Java om toegang te krijgen tot je computer en slaat pas toe wanneer je een overschrijving begint naar een andere rekening.

 

Dus zelfs als je verdacht bent op dit soort zwendels, zit het ongeluk dus in een klein hoekje. Deel dit artikel daarom met mensen die niet zo goed uit de voeten kunnen met een pc, zodat zij zich meer bewust worden van de tactieken die worden gebruikt om hen geld af te troggelen.

 

BNP Paribas Fortis is er zich overigens uitstekend van bewust dat hun klanten op dagelijkse basis te maken krijgen met dit soort praktijken.

 

Op zijn thuispagina waarschuwt de bank om nooit in te gaan op dergelijke mails of telefoontjes en vraagt om onmiddellijk contact op te nemen als iets dergelijks zich voordoet.

 

Vorig jaar schreven we al eens in een uitgebreid artikel wat je moet doen als jijzelf of iemand in je omgeving het slachtoffer wordt van online fraude.

 

Je inbox wordt dagelijks bestookt met vervalste mails van de bank, die je proberen te overtuigen je logingegevens door te geven. Maar wat gebeurt er nu als je ingaat op zo'n verraderlijk verzoek?

 

bron: ZDNet