'Boris' verkoopt nagemaakte Nederlandse banksites voor 262 euro
Wie ambitie heeft om internet-oplichter te worden, hoeft tegenwoordig niet meer van goeden huize te komen. Op schimmige hackfora bestaat een levendige handel in hulpmiddelen om mensen bijvoorbeeld op te lichten tijdens het internetbankieren.
Daaronder zijn kant-en-klare nagemaakte websites van banken; met een paar drukken op de knop kun je je voordoen als ING, Rabobank, ABN Amro of SNS. Als een onwetend slachtoffer op jouw nep-pagina zijn bankgegevens invult, kun je daarmee geld overmaken.
Nagemaakte bankpagina's
De NOS nam de proef op de som en vond op een Russisch hackforum 'Boris', die onder meer nagemaakte Nederlandse bankpagina's verkoopt. Van hem kochten we voor omgerekend 262 euro een nagenoeg perfecte imitatie van de ABN Amro-site, met ingebouwde ondersteuning om gebruikers op te lichten.
Boris is niet de enige aanbieder van dit soort software, maar wel een van de grotere spelers op deze relatief nieuwe markt van kant-en-klare oplichtingsproducten.
De kwaliteit van zijn werk is dan ook hoog: waar phishing ooit werd gekenmerkt door kromme teksten die duidelijk niet door Nederlandstaligen zijn geschreven, bevat het werk van Boris geen spelfouten. Ook zijn de door hem nagemaakte websites vrijwel niet te onderscheiden van de echte versies.
Populair
ABN Amro herkent dat oplichters dit soort kant-en-klare toolkits gebruiken. "Phishing is niet nieuw, maar deze manier om consumenten op te lichten groeit", zegt Richard Verbrugge van de bank.
Dat de drempel om internet-oplichter te worden zo laag is geworden, is een van de redenen dat phishing voor het eerst sinds jaren weer een toenemend probleem is, zo meldde de NOS eerder vandaag. Volgens Verbrugge van ABN worden phishing-toolkits vooral gebruikt om grotere groepen mensen in één keer aan te vallen.
Ook SNS ziet dat. "Het wordt voor criminelen makkelijker om deze mails uit te te sturen. Dit soort kant-en-klare toolkits maakt phishing toegankelijk voor mensen met weinig technische kennis", aldus een woordvoerder in een schriftelijke reactie. Ook ING en Rabobank zien phishing met kant-en-klare phishingtooltjes voorbijkomen.
De software die de NOS kocht, bevat een beheerpaneel waarmee aanvallers kunnen zien wie er inlogt op hun nepwebsite, en wat hun wachtwoorden zijn. Daartoe moeten slachtoffers er wel eerst toe worden verleid om de nepversie te bezoeken, bijvoorbeeld via een nepmail.
De toolkit is geschikt voor mensen met relatief weinig kennis van ict: basale kennis van de programmeertaal PHP en webhosting is genoeg om de software te gebruiken.
Als een slachtoffer inlogt op de nagemaakte site, dient de aanvaller snel in te loggen op de echte website van de bank, met de gegevens die het slachtoffer net heeft ingevuld. Vervolgens maakt de aanvaller een overboeking aan, waarbij hij het slachtoffer ertoe verleidt om de betaling te bevestigen.
Goed beveiligd
Normaliter is het afvangen van iemands gebruikersnaam en wachtwoord niet voldoende om een Nederlandse bank-klant op te lichten. De banksites zijn goed beveiligd en hebben extra beveiligingsmaatregelen, zoals de TAN-code bij ING, de e.dentifier bij ABN Amro, de Rabo Scanner van de Rabobank en de digipas van SNS Bank.
De software van Boris maakt het echter mogelijk om gebruikers om de tuin te leiden en die extra beveiligingslaag te omzeilen. Daardoor is het doen van betalingen of bijvoorbeeld het kopen van bitcoin mogelijk. De NOS lukte het in een testomgeving om inderdaad geld van een rekening af te halen.
De software van Boris is populair, merkt onderzoeker Remco Verhoef van DutchSec. Hij haalt in opdracht van bedrijven samen met hostingproviders phishing-websites offline. "Ik kom deze toolkit heel vaak tegen, op allerlei plekken", zegt Verhoef. "Dit is echt een van de grootste spelers op deze markt, zijn software is bij vele honderden phishing-aanvallen gebruikt."
De onderzoeker vond onder meer door Boris nagemaakte versies van een Nederlandse bank, een Australische bank en een bitcoin-beurs. "Omdat de phishing-toolkit soms niet goed is ingesteld, kunnen we dan live meekijken met een phishing-aanval", zegt Verhoef.
Alleen ABN Amro is 262 euro. Als je ze alle vier neemt krijg je korting, natuurlijk
Boris is dan ook een geroutineerde verkoper, die nagemaakte websites van banken op de plank heeft liggen voor potentiële kopers. "Rabobank, ING, ABN Amro heb ik al gemaakt", zegt hij in een versleuteld chatgesprek met de NOS. Die levert hij samen met de software waarmee de informatie kan worden onderschept.
Omgerekend kostte enkel de ABN-pagina de NOS-redactie 262 euro. "Als je ze alle vier neemt, krijg je natuurlijk korting en hoef je maar 700 dollar te betalen", aldus Boris. Dat is omgerekend krap 620 euro.
Op maat
Wie op oplichterspad wil gaan, hoeft zich niet te beperken tot Nederlandse banken. Ook nagemaakte sites van Britse, Duitse en Belgische banken zijn te koop bij Boris, net als loginpagina's van sociale media als Facebook, Instagram en WhatsApp. Wie digitale munten wil stelen, is bij Boris ook aan het goede adres: hij maakt ook nagemaakte versies van websites waar je je bitcoin kunt stallen.
Bij andere verkopers is het bovendien mogelijk om phishing-pagina's op maat te laten maken. Dat is vooral interessant voor gerichte vormen van phishing, waarbij bijvoorbeeld een bepaald bedrijf of persoon het doelwit is. Gebruikers kunnen recensies achterlaten om aan te geven hoe de nagemaakte pagina's bevielen; betalingen gaan in bitcoin of andere virtuele munten.
Boris' diensten worden op prijs gesteld: hij heeft 97 recensies op het Russische hackersforum, hoofdzakelijk positief. Een bekende cybercrimineel, die zelf software levert waarmee Android-telefoons kunnen worden gehackt, schrijft in een recensie dat de websites de beste zijn die hij ooit heeft gebruikt.
De phishing-software blijk dan ook effectief. De NOS kreeg uit vertrouwelijke bron een gebruikte versie van de software in handen, die werd ingezet bij één aanval op klanten van een buitenlandse bank. In een maand tijd trapten 271 bankklanten in de nep-versie en vulden hun logingegevens in.
Russisch
Waar Boris zich bevindt, is niet bekend. Hij spreekt echter Russisch, en uit informatie die de NOS vertrouwelijk heeft verkregen, blijkt dat hij een Russisch telefoonnummer heeft. Maar dat laatste kan natuurlijk ook een bewust dwaalspoor zijn, om de autoriteiten op het verkeerde been te zetten.
Betaalverkeer richting een bitcoin-adres dat waarschijnlijk van Boris is, wijst er op dat hij het afgelopen jaar minstens 25.000 euro heeft omgezet. Dat was op slechts één adres; mogelijk heeft hij meer bitcoin-adressen.
Het is voor banken lastig om iets te doen tegen dit soort nepsites: iedereen kan op internet een nepsite beginnen. Offline halen van nepsites is een kat-en-muisspel: tegen de tijd dat een hostingprovider een nepsite uit de lucht heeft gehaald, heeft de aanvaller zijn biezen alweer gepakt en dezelfde nepsite elders ondergebracht.
Bij de versie van Boris' software die de NOS in handen kreeg, is het makkelijk om snel te veranderen van server, zodat de impact beperkt blijft als een website uit de lucht wordt gehaald. Ook is het bijvoorbeeld mogelijk om gehackte websites te gebruiken om de nepversies te hosten; toegang tot gehackte websites kan ook op fora worden aangeschaft.
Ook vervolging van digitale criminelen is lastig, omdat veel van hen zich verschuilen achter valse identiteiten en zich in het buitenland bevinden.
Niet op het darkweb
Veel zaken die het daglicht niet kunnen verdragen spelen zich af op het zogeheten Tor-netwerk, dat versleuteld internetten mogelijk maakt en waar naast mensenrechtenactivisten en journalisten ook veel criminelen gebruik van maken. Het Russische hackforum waar de NOS phishing-software kocht, bevindt zich echter op het 'normale' internet.
"Vaak worden dit soort sites gehost door Oost-Europese bedrijven die er lang over doen om zo'n site offline te halen, al dan niet bewust", zegt Verhoef van DutchSec.
Waar het forum zich precies bevindt, is niet bekend, omdat het achter een firewall is geplaatst. Die firewall wordt geleverd door het Amerikaanse bedrijf Cloudflare, dat er daarmee medeverantwoordelijk voor is dat het forum in de lucht blijft.
Wij zijn slechts een doorgeefluik
Doug Kramer, het hoofd juridische zaken van Cloudflare, zegt tegen de NOS dat zijn bedrijf in principe geen websites uit de lucht haalt. "Ik ken deze website niet, maar we gaan in principe niet in op individuele zaken", aldus Kramer. "Maar in algemene zin: wij zijn slechts een doorgeefluik en hebben niets van doen met de inhoud", zegt hij.
"We willen geen precedent scheppen waarin wij moeten beslissen welk materiaal wel en niet door de beugel kan." Een uitzondering maakt Cloudflare voor gerechtelijke uitspraken en bepaalde extreme websites, zoals pagina's met kinderporno.