"Het gaat om een zogeheten man-in-the-browser-virus dat via sites wordt verspreid. Het virus nestelde zich op de pc en als mensen gingen internetbankieren konden er frauduleuze overboekingen plaatsvinden", bevestigt woordvoerster Brigitte Seegers van ABN Amro. Volgens haar werkte de trojan alleen met een 'verouderde versie van Windows'. Het zou hierbij gaan om versies vóór Windows XP, zonder recente updates.

Het virus dook vorige week op. De bank biedt inmiddels een schoonmaakprogramma aan op haar website. "We hebben direct maatregelen genomen om fraude te voorkomen. Een handvol klanten is slachtoffer geworden. Zij zijn schadeloos gesteld", aldus Seegers.

Welk bedrag de criminelen hebben buitgemaakt kan Seegers niet zeggen. De bank heeft ook aangifte gedaan bij de politie. Het is voor de tweede keer dat ABN Amro is getroffen door een virus dat specifiek op de bank was gericht.

Andere banken

Het virus, waarover Tweakers.net het eerst berichtte, werd ontdekt door virusanalist Roel Schouwenberg van Kaspersky. "Deze methode ben ik nog niet eerder tegengekomen. Het is heel geavanceerd en specifiek voor ABN Amro gemaakt." Volgens hem detecteert een deel van de anti-virussoftware de trojan al. Kaspersky biedt op zijn site een tool aan waarmee de malware verwijderd kan worden.

Schouwenberg waarschuwt dat het virus zodanig is ontworpen dat hij ook vrij snel kan worden aangepast voor gebruik bij andere banken. "Het is een kwestie van tijd voordat ook andere Nederlandse banken hiermee te maken krijgen. Daar kun je nu op wachten."

Foutmelding

De aanval werkte met een drietal malwareprogramma's. Een daarvan detecteerde beveiligde websessies, een andere stuurde die gegevens door naar een speciale server, die een derde trojan activeerde als het om de ABN Amro-site bleek te gaan.

Slachtoffers kregen een foutmelding te zien als ze inlogden op de internetbankiersite. Op de achtergrond werd echter stiekem een transactie klaargezet. Door opnieuw in te loggen bevestigden de slachtoffers als het ware deze overboeking.

De aanval was onder meer mogelijk doordat er bij ABN Amro geen verschil zat tussen de codes om in te loggen en een transactie te bevestigen. Bij de Rabobank moeten klanten bijvoorbeeld eerst wel een I of S op hun Random Reader kiezen om in te loggen of een transactie te doen.

Katvangers

Volgens Schouwenburg werken de criminelen achter het virus met katvangers, mensen die tegen betaling hun rekeningnummers beschikbaar stellen. De kwaadaardige transacties worden daar naartoe verzonden. Vervolgens zorgen de katvangers dat het geld naar de criminelen wordt doorgesluisd. ABN Amro wil overigens niet bevestigen dat de criminelen katvangers hebben ingezet.

Schouwenberg waarschuwde enkele maanden geleden al dat er spammails de ronde deden waarin in slecht Nederlands door criminelen stromannen voor dit soort praktijken werden geworven. Volgens Schouwenberg waren transacties van meer dan drieduizend euro per keer niet mogelijk, omdat daarvoor bij ABN Amro een extra code nodig is.