De eigenaar van autoverkoper VdVeenusacars.nl uit Workum kreeg dinsdag een telefoontje. Of hij wist dat er in een phishingmail bestemd voor ING-klanten werd verwezen naar zijn site. Ja, dat wist hij inmiddels. Het bedrijf dat de site onderhoudt was er mee bezig.

Nepsite op andermans site

Hoe de oplichters toegang tot zijn site hadden gekregen en daar een webpagina hadden geplaatst waar ING klanten moesten 'inloggen', was nog even een raadsel. Slim was het wel, want de extra pagina waar ING-klanten geacht werden een update op te halen was gewoon toegevoegd. Aan de site zelf was niks veranderd.

De afgelopen dagen zijn er tal van mails binnengestroomd met als aanhef 'beste gewaardeerde klant. U hebt een nieuwe beveiligingsupdate van ING. Alstublieft. Log in op uw account om deze updat te bevestigen'. De in die mails opgenomen link verwees in veel gevallen naar een volstrekt willekeurige Nederlandse website.

Hostingbedrijf PCextreme verwijderde deze week een pagina bij Totalegekte.nl, een website van 'een vriendengroep uit de zuidwesthoek van Friesland!' Ook hier moesten klanten een 'update' die per mail werd aangekondigd ophalen. Weer een andere mail verwees naar kennisloket-zwf.nl.

Niet meer ver weg

Dat lijkt een nieuwe tactiek. In het verleden werden voor dit soort doeleinden immers aparte websites in het leven geroepen die werden gehost in China of Korea. Een nieuwe trend? "Nee", zegt ING-woordvoerder Daan Heijbroek.

"We zijn die combinatie met particuliere sites al eerder tegengekomen. Gelukkig maken deze mails niet zoveel slachtoffers meer doordat we regelmatig waarschuwen om vooral niet te reageren. Het slechte Nederlands is vaak ook al een duidelijke aanwijzing voor klanten dat er iets niet klopt. Maar op dit moment worden we weer even bedolven onder de phishingmails."

Volgens Jeroen Herlaar, manager managed security services bij Fox-IT, is de tactiek om particuliere sites voor dit soort doeleinden te kraken reeds schering en inslag. "De oplichters zorgen eerst dat pc's van gebruikers worden besmet met malware, waarna wachtwoorden en toegangscodes van websites worden vergaard."

"Vervolgens loggen ze met deze gegevens in bij ftp-servers of cms-servers, die vaak alleen maar met een wachtwoord zijn afgeschermd. Wij hebben de indruk dat ook het toevoegen van webpagina's op deze sites volautomatisch gebeurt. Het gaat ook om enorme volumes. Ook worden de sites gebruikt als besmettingshaarden voor malware."

Makkelijker voor phishers

De tactiek lijkt op het eerste gezicht omslachtig, maar dat is het volgens Herlaar allerminst. De oplichters hoeven geen eigen sites meer in te richten en zijn dus ook moeilijk traceerbaar. "Een bijkomend voordeel is dat het erg veel moeite kost om de eigenaren van de sites tijdig te achterhalen en er dus grote kans is dat de site ten minste enige uren in de lucht is voordat hij wordt verwijderd."

Maar webdesignontwikkelaar Xqlusive denkt dat er iets heel anders aan de hand is. Xqlusive verzorgde de website voor VdVeenusacars.nl. Die draait nog op een oude versie van het content management systeem Joomla.

Onbekend Joomla-lek

'Wat wij zien is dat er geen gebruik wordt gemaakt van gekraakte wachtwoorden. Op een of andere manier slagen ze erin om via een contactformulier op een site bestanden weg te schrijven naar de cache van Joomla, die gewoon open staat. Toen wij het contactformulier hebben uitgezet, was het probleem opgelost."

"Wat we ook zien is dat als je de bestanden verwijdert, ze vrijwel direct worden teruggezet. Meestal worden de sites besmet met meerdere scripts. Waarschijnlijk is dat het werk van bots." Xqlusive denkt dat recentere versies van Joomla dit probleem niet hebben. "We zijn het nog aan het monitoren. Vreemd genoeg vind je er niks over op het web."

Update:

Follow-up artikel over deze kwestie is in de maak.

Update2:

Follow-up staat nu live.