De sluwe phishingmail meldt onder het leeuwenlogo van ING het volgende:

"Amsterdam, 18 Juli 2010

Betreft: hackers actief op Mijn.ING.nl

Geachte heer/mevrouw,

Afgelopen vrijdag is onze server mijn.ING.nl aangevallen door hackers. Wij zijn bezig met ons onderzoek dat onlangs is ingesteld en hopen binnenkort deze hackers te ontmaskeren. Tijdelijk is het noodzakelijk dat alle ING klanten die gebruik maken van mijnING.nl nu momenteel op de onderstaande website inloggen.

U kunt inloggen met uw oorspronkelijke inloggegevens. Als u eenmaal met uw bestaande gegevens heeft ingelogd, ontvangt u na 24 uur een TAN-code/TAN-lijst per sms. Ook ontvangt u na 24 uur een e-mail met een link naar een andere website waar u uw Gebruikersnaam weer zal moeten invullen en dit keer samen met uw TAN-code/TAN-lijst. Let op dit TAN-code/TAN-lijst ontvangt u alleen als u al een keer op de nieuwe website bent ingelogd.

Na de ontvangst van uw TAN-code/TAN-lijst en het invullen daarvan op onze vernieuwde website is ons beveiligingsprocedure voltooid.

Wij raden u aan om na het openen van deze e-mail zo snel mogelijk op de nieuwe en tevens beveiligde website in te loggen met uw huidige inloggegevens.

Klik hier! Voor de beveiligd website

(Het kan zijn dat sommige computers het moeilijk hebben met de capaciteit van de website en niet alles meer zichtbaar is)

Bij voorbaat dank voor het medewerking van dit process.

Let op!

Bewaar deze brief/e-mail bij uw andere bankpapieren. Zo heeft u belangrijke informatie over uw ING bij de hand.

Hoogachtend,

ING Bank N.V.

Afdeling Fraude & Scam

ING Secure"


Opsporen

Tot zover de phishingmail. De website was tot vanmorgen half acht nog actief, relatief lang voor een phishingsite. In het adresveld van de browser was na het klikken op de link het domein 'ripway.com' zichtbaar. Dit is in 2003 geregistreerd en op 3 juli dit jaar nog gewijzigd. Het staat in de domeinregistratie op naam van 'Smith, Scott, Ripside Interactive, Inc., 1108 Mulberry Ln, Highlands Ranch, CO 80129, US'.

We belden vanmorgen met Scott Smith.

Op uw domein draait een phishing site van ING Bank in Nederland. Weet u dat?

Smith: "Dit is een gratis hostingdienst. Ik controleer de domeinen wel, maar met tienduizenden klanten lukt dat niet altijd. Als u het adres geeft, is de site binnen vijf seconden offline."

Bellen we u uit bed?

"Nee, ik was net op vanwege een melding van een eBay phishingsite. Er zijn veel criminelen actief."

Het traceren van de site leidt naar 110mb.com. Dit domein is geregistreerd via Key-Systems GmbH in Duitsland en staat op naam van RocketForce Media Group, LLC in Marion, Verenigde Staten. Op het opgespoorde telefoonnummer wordt niet aangepakt. In de registratie staan ook Leaseweb en Ocom BV in Amsterdam, die er inhoudelijk niets mee van doen hebben.

Reactie ING

ING was aanvankelijk niet bereikbaar voor commentaar. Later heeft de bank gereageerd:

"Phishing mails worden steeds geavanceerder. Vroeger waren die direct herkenbaar aan de typefouten, nu lijken ze heel echt. Maar aan de afzender is het nog goed te zien. Deze vorm kennen we en staat op onze website. Bovendien waarschuwen wij klanten aan de lopende band dat ze nooit vertrouwelijke gegevens moeten verstrekken."

Update:

Reactie ING toegevoegd.