Fout in Internet Explorer leidt tot steeds meer oplichting

UPDATE Een reeds eind vorig jaar ontdekt en nog altijd niet gedicht lek in Internet Explorer, is de oorzaak van een snelle opmars van goedlijkende nepsites, die vooral als doel hebben om internetgebruikers credit card-gegevens en pinpasnummers te ontfutselen.

Ruim een week geleden moest The Federal Deposit Insurance Corp, de nationale verzekeraar van de Amerikaanse banken, al de hulp van federale agenten inroepen om te voorkomen dat duizenden rekeninghouders van hun bezittingen zouden worden beroofd. De rekeninghouders werden via e mails naar een website gelokt waar ze persoonlijke gegevens moesten achterlaten. De server stond weliswaar in Pakistan, maar de adresregel van de browser vermeldde duidelijk www.fdic.gov.

Zogenoemde phishing scams, waarbij oplichters proberen pinpas- en rekeningnummers te bemachtigen via nagemaakte webpagina’s, bestaan al geruime tijd. Een oplettende gebruiker zag tot voor kort in de adresregel van de browser ten minste nog dat het adres niet klopt. Maar in Internet Explorer kan dat adres worden verstopt achter het adres van een bestaande onderneming of organisatie. Het adres www.citibank.com%01@211.239.150.170/login/login.htm wordt daardoor automatisch: www.citibank.com.

Het is een methode om wachtwoorden en gebruikersnamen in een URL mee te sturen. Die worden dan onzichtbaar gemaakt. Maar tegelijkertijd kan er ook misbruik van worden gemaakt. De truc wordt op deze site  toegelicht.

Sinds de ontdekking van de fout is het aantal goedlijkende nepsites fors gestegen. Onlangs moest Citibank zijn rekeninghouders al waarschuwen en Emerce zelf ontving een e-mail van het Yahoo! Billing Department met een verwijzing naar wallet.yahoo.com.

Microsoft zegt bezig te zijn het lek te dichten, maar wil de oplossing die hier  wordt toegelicht, pas vrijgeven als hij is getest. Vermoedelijk zal dat pas op 10 februari gebeuren. Omdat niet alle gebruikers hun software (tijdig) vernieuwen moet worden gevreesd dat de truc nog vele slachtoffers zal maken. Met groot gemak kan voortaan een nep winkel worden opgezet die bestellingen accepteert zonder dat er een artikel wordt geleverd.

Overigens waarschuwt Microsoft al wel voor mogelijke problemen. Gebruikers van sites die clear text authentication ondersteunen (het meesturen van gebruikersnamen en wachtwoorden) krijgen straks een foutmelding te zien.

Identiteitsdiefstal en online fraude heeft de Amerikaanse maatschappij vorig jaar alleen al zo’n 437 miljoen dollar gekost, zo heeft de Federal Trade Commission (FTC) onlangs berekend. In 2003 ontving de FTC meer dan een half miljoen klachten over oplichters en fraudeurs die via e-mail en websites hun slag proberen te slaan. Bijna de helft van de klachten had betrekking op identiteitsdiefstal, een stijging van 33 procent ten opzichte van het voorgaande jaar.