Zeker vijftig banken doelwit van online aanval

De aanval is uitgevoerd door een groep hackers die voor de oplichting meer dan vijftig look-a-like-websites hebben gecreëerd, zo stelt Henry Gonzalez, beveiligingsonderzoeker van Websense.

De hackers maken gebruik van een kritiek lek dat vorig jaar ontdekt werd in Microsoft-software. Gebruikers die de patch voor het lek nog niet hebben gedownload lopen gevaar het slachtoffer te worden van de aanval.

De hackers lokken gebruikers naar een gemanipuleerde website, waar een Trojaans paard genaamd 'iexplorer.exe' wordt gedownload die vervolgens nog vijf extra bestanden downloadt van een Russische server. De website vertoont alleen een foutmelding en de gebruiker wordt aangeraden om de firewall en de virusscanner uit te schakelen.

Indien een gebruiker op een geïnfecteerde computer vervolgens een van de reguliere banksites die door de hackers is nagebouwd bezoekt, wordt de gebruiker automatisch naar de valse site gestuurd. Op die manier ontfutselen de hackers de inloggegevens van de gebruikers. Vervolgens wordt de gebruiker weer doorgestuurd naar de originele banksite, waar hij dan ook daadwerkelijk ingelogd is. Hierdoor is de aanval zo goed als onzichtbaar voor gebruikers.

Pharming

Deze techniek staat bekend als 'pharming' en lijkt veel op phishing. Bij pharming wordt een gebruiker automatisch doorgestuurd naar de namaaksite, zelfs als het adres van de originele site ingetypt wordt in de browser.

"Deze methode vergt veel tijd voor hackers, maar is erg slim", aldus Gonzalez. De gemanipuleerde websites werden gehost in Duitsland, Estland en het Verenigd Koninkrijk. Donderdagochtend zijn de sites door de providers uit de lucht gehaald.

Vooralsnog is het onduidelijk hoeveel mensen gedupeerd zijn. Ook is onduidelijk of er Nederlanders bij betrokken zijn.

Afgezien van de pharming-aanval is ook een bot op de pc's geïnstalleerd, waardoor de aanvallers toegang kregen tot de pc. Volgens Websense zijn er zeker duizend pc's per dag geïnfecteerd.