Russische criminelen achter Postbank-aanval

Achter de e-mails waarin klanten van de Postbank dit weekend werd gevraagd om hun persoonsgegevens op een speciale site achter te laten, blijken dezelfde Russische criminelen te zitten die het eerder hadden gemunt op de Deutsche Bank. Dit stellen experts die de zogenoemde phishingmails hebben bestudeerd in diverse nieuwsgroepen.

De experts leiden dat onder meer af uit het feit dat als ’redirector’ ylz4ifw.da.ru is gebruikt. Hierbij worden HTTP-verzoeken omgeleid naar een andere webserver. Klanten van de Deutsche Bank werden vorig jaar augustus voor het eerst bestookt met phishing mails.

In de e-mail aan Postbank klanten stond een verwijzing naar een internetpagina, die erg leek op de echte site van de Postbank. Behalve gebruikersnaam en het wachtwoord moesten drie zogenoemde TAN-codes ingevuld worden, waarmee online transacties zoals afschrijvingen afgerond worden. De Postbank vond de mails ernstig genoeg om dit weekend aan al haar online klanten een waarschuwing te sturen. Cleanport, een bedrijf dat zestien miljoen e-mails per dag scant, zegt zaterdag ongeveer 30.000 van deze ’phishing e-mails’ te hebben onderschept.

Experts zeggen dat de phishing poging erg slordig was uitgevoerd. Het mailtje was niet in het Nederlands gesteld. Daarnaast worden TAN’s alleen nog bij Girotel via papier verstrekt; het gros van de Postbank-klanten ontvangt de TAN per SMS. Volgens de Postbank valt de schade mee. Er hebben zich voor zover bekend geen klanten gemeld die persoongegevens hebben achtergelaten. De Russische site is inmiddels uit de lucht gehaald.

Het neemt niet weg dat de pogingen van Russische criminelen om klanten te misleiden serieus worden genomen. Criminelen die zich op phishing-aanvallen richten verleggen hun werkterrein steeds meer van grote Amerikaanse naar kleinere Europese banken.

Op het eerder dit jaar gehouden eCrime Congres in Londen bleek dat phishing-aanvallen doorgaans erg winstgevend zijn. “We hebben gevallen meegemaakt waarbij criminelen in enkele maanden tijd zoveel geld buit hadden gemaakt dat ze zich een levensstijl à la stervoetballers konden veroorloven: ze kochten huizen en dure auto’s”, vertelde Bob Lewis, teamleider van Britse National Hi-Tech Crime Unit (NHTCU). “En dat waren vaak nog niet eens de opdrachtgevers.”

Sommige phishing-aanvallen zijn zelfs zo geraffineerd dat de NHTCU in maart de Britse supermarkten Tesco en Sainsbury heeft moeten waarschuwen dat hun websites wel eens het volgende doelwit van criminelen zouden kunnen worden. De Britse supermarkten wisselen inmiddels hun gegevens uit, zodat ze tijdig op eventuele aanvallen kunnen reageren.