PR-buro Visa misbruikt voor phishingaanval
Gepubliceerd: Dinsdag 13 december 2011
Auteur: Jasper Bakker
Nederlandse phishingmails voor Visa doen de ronde, met als afzender het Nederlandse pr-bureau voor Visa. De phishers maken via Moldavië sluw misbruik van een valide mailadres.
Webwereld heeft Nederlandstalige phishingmails ontvangen voor Visa-creditcards, verzonden door Visa's Nederlandse pr-bureau Bex Communicatie. Die afzender is niet de echte: in de headers van de mail valt een Moldavisch .net-adres met bijbehorend ip-adres te vinden. De echte afzender is volgens de mailservers van Gmail "neither permitted nor denied by best guess record for domain of visa@bexcommunicatie.nl".
Officieel adres, bestaat niet
Nader onderzoek door Webwereld wijst uit dat dit mailadres officieel niet bestaat. Dit ondanks het feit dat Visa het zelf wel opgeeft als contactadres voor persvragen. Het door de phishers misbruikte pr-bureau moet nog reageren op vragen van Webwereld hierover, gesteld per mail en voor de zekerheid via de telefoon.
In de malafide mail wordt een link aangereikt met de bekende phisherstruc: "start het update-proces" voor "nieuwe beveiligingsupdates op uw online credit card". De rest van de mailboodschap is opgesteld in gebrekkiger Nederlands.
De wereld rond
De in de mail aangeboden update is een link naar gehackte pagina op een webwinkel voor Uggs. Wie klikt, wordt door die pagina direct doorgeleid naar een pagina op weer een andere site. Daar draait een malafide Visa-login, om goedgelovigen hun creditcarddata te ontfutselen. Die loginmodule is een Java-applet die bezoekers de keuze geeft om hun Visa- of MasterCard-gegevens op te geven.
Invullen van gegevens via die niet-beveiligde verbinding en op 'verder' klikken, leidt naar de echte - en wel beveiligde - site van creditcardverstrekker ICS (International Card Services). Die firma verzorgt de uitgifte, promotie, administratie en transactieverwerking van Visa- en MasterCard-creditcards. Op de website waar de phishers hun slachtoffers uiteindelijk heenvoeren, zijn onder meer waarschuwingen voor phishing te vinden.
Gehackte websites
De eigenlijke phishingpagina vermeldt "Welkom op www.veiligonlinebetalen.nl", maar draait op een heel andere site. Dat is in eerste instantie de maar half functionerende website van een winkelcentrum (mall), die geregistreerd staat in de Amerikaanse staat Washington. In tweede instantie leidt de redirect naar een subpagina op de website van een fotografe.
De domeinnaam van de direct doorlinkende Australische webwinkel is geregistreerd in China. Noch deze misbruikte websites noch de gehackte pagina's daarop waren maandagmiddag geblokkeerd. In de namiddag blijkt Google voor zijn webbrowser Chrome de subpagina op de fotografiesite wel te hebben geblokkeerd. Webwereld heeft de webwinkel op de hoogte gesteld van de phishingacties, de webwinkel heeft nog niet gereageerd.
Update:De Uggs-webwinkel waarlangs phishing-slachtoffers worden doorgestuurd, heeft nog gereageerd op Webwerelds melding. Medewerker Yu Winpong weten dat de zaak wordt onderzocht. Dat antwoord komt echter vanaf een Gmail-adres, waarin de merknaam Uggs verkeerd is gespeld.
Bovendien doet datzelfde mailadres ook dienst voor een hele reeks andere Uggs-sites, met uiteenlopende domeinnamen waaronder enkele met tikfouten in de naam. Controle door Webwereld bij de site-checker van Ugg leert dat dit nepsites zijn. Webwereld heeft de officiële Ugg-eigenaar hiervan op de hoogte gesteld.
