'Boris' verkoopt nagemaakte Nederlandse banksites voor 262 euro

NOS
Geschreven door
Joost Schellevis
redacteur Tech

Wie ambitie heeft om internet-oplichter te worden, hoeft tegenwoordig niet meer van goeden huize te komen. Op schimmige hackfora bestaat een levendige handel in hulpmiddelen om mensen bijvoorbeeld op te lichten tijdens het internetbankieren.

Daaronder zijn kant-en-klare nagemaakte websites van banken; met een paar drukken op de knop kun je je voordoen als ING, Rabobank, ABN Amro of SNS. Als een onwetend slachtoffer op jouw nep-pagina zijn bankgegevens invult, kun je daarmee geld overmaken.

Nagemaakte bankpagina's

De NOS nam de proef op de som en vond op een Russisch hackforum 'Boris', die onder meer nagemaakte Nederlandse bankpagina's verkoopt. Van hem kochten we voor omgerekend 262 euro een nagenoeg perfecte imitatie van de ABN Amro-site, met ingebouwde ondersteuning om gebruikers op te lichten.

1/2De nagemaakte ABN Amro-website... NOS
2/2...en de echte website NOS

Boris is niet de enige aanbieder van dit soort software, maar wel een van de grotere spelers op deze relatief nieuwe markt van kant-en-klare oplichtingsproducten.

De kwaliteit van zijn werk is dan ook hoog: waar phishing ooit werd gekenmerkt door kromme teksten die duidelijk niet door Nederlandstaligen zijn geschreven, bevat het werk van Boris geen spelfouten. Ook zijn de door hem nagemaakte websites vrijwel niet te onderscheiden van de echte versies.

Populair

ABN Amro herkent dat oplichters dit soort kant-en-klare toolkits gebruiken. "Phishing is niet nieuw, maar deze manier om consumenten op te lichten groeit", zegt Richard Verbrugge van de bank.

Dat de drempel om internet-oplichter te worden zo laag is geworden, is een van de redenen dat phishing voor het eerst sinds jaren weer een toenemend probleem is, zo meldde de NOS eerder vandaag. Volgens Verbrugge van ABN worden phishing-toolkits vooral gebruikt om grotere groepen mensen in één keer aan te vallen.

Ook SNS ziet dat. "Het wordt voor criminelen makkelijker om deze mails uit te te sturen. Dit soort kant-en-klare toolkits maakt phishing toegankelijk voor mensen met weinig technische kennis", aldus een woordvoerder in een schriftelijke reactie. Ook ING en Rabobank zien phishing met kant-en-klare phishingtooltjes voorbijkomen.

De software die de NOS kocht, bevat een beheerpaneel waarmee aanvallers kunnen zien wie er inlogt op hun nepwebsite, en wat hun wachtwoorden zijn. Daartoe moeten slachtoffers er wel eerst toe worden verleid om de nepversie te bezoeken, bijvoorbeeld via een nepmail.

De toolkit is geschikt voor mensen met relatief weinig kennis van ict: basale kennis van de programmeertaal PHP en webhosting is genoeg om de software te gebruiken.

Als een slachtoffer inlogt op de nagemaakte site, dient de aanvaller snel in te loggen op de echte website van de bank, met de gegevens die het slachtoffer net heeft ingevuld. Vervolgens maakt de aanvaller een overboeking aan, waarbij hij het slachtoffer ertoe verleidt om de betaling te bevestigen.

Goed beveiligd

Normaliter is het afvangen van iemands gebruikersnaam en wachtwoord niet voldoende om een Nederlandse bank-klant op te lichten. De banksites zijn goed beveiligd en hebben extra beveiligingsmaatregelen, zoals de TAN-code bij ING, de e.dentifier bij ABN Amro, de Rabo Scanner van de Rabobank en de digipas van SNS Bank.

De software van Boris maakt het echter mogelijk om gebruikers om de tuin te leiden en die extra beveiligingslaag te omzeilen. Daardoor is het doen van betalingen of bijvoorbeeld het kopen van bitcoin mogelijk. De NOS lukte het in een testomgeving om inderdaad geld van een rekening af te halen.

1/5De achterkant van de nagemaakte phishing-site NOS
2/5De phishing-toolkit heeft de mogelijkheid om de e.dentifier, TAN-code en Ramdom Reader te omzeilen NOS
3/5De phishing-toolkit kan ook worden gebruikt met ING... NOS
4/5...Rabobank... NOS
5/5...en SNS. NOS

De software van Boris is populair, merkt onderzoeker Remco Verhoef van DutchSec. Hij haalt in opdracht van bedrijven samen met hostingproviders phishing-websites offline. "Ik kom deze toolkit heel vaak tegen, op allerlei plekken", zegt Verhoef. "Dit is echt een van de grootste spelers op deze markt, zijn software is bij vele honderden phishing-aanvallen gebruikt."

De onderzoeker vond onder meer door Boris nagemaakte versies van een Nederlandse bank, een Australische bank en een bitcoin-beurs. "Omdat de phishing-toolkit soms niet goed is ingesteld, kunnen we dan live meekijken met een phishing-aanval", zegt Verhoef.

Alleen ABN Amro is 262 euro. Als je ze alle vier neemt krijg je korting, natuurlijk

Internetcrimineel via versleutelde chatdienst

Boris is dan ook een geroutineerde verkoper, die nagemaakte websites van banken op de plank heeft liggen voor potentiële kopers. "Rabobank, ING, ABN Amro heb ik al gemaakt", zegt hij in een versleuteld chatgesprek met de NOS. Die levert hij samen met de software waarmee de informatie kan worden onderschept.

Omgerekend kostte enkel de ABN-pagina de NOS-redactie 262 euro. "Als je ze alle vier neemt, krijg je natuurlijk korting en hoef je maar 700 dollar te betalen", aldus Boris. Dat is omgerekend krap 620 euro.

Op maat

Wie op oplichterspad wil gaan, hoeft zich niet te beperken tot Nederlandse banken. Ook nagemaakte sites van Britse, Duitse en Belgische banken zijn te koop bij Boris, net als loginpagina's van sociale media als Facebook, Instagram en WhatsApp. Wie digitale munten wil stelen, is bij Boris ook aan het goede adres: hij maakt ook nagemaakte versies van websites waar je je bitcoin kunt stallen.

Bij andere verkopers is het bovendien mogelijk om phishing-pagina's op maat te laten maken. Dat is vooral interessant voor gerichte vormen van phishing, waarbij bijvoorbeeld een bepaald bedrijf of persoon het doelwit is. Gebruikers kunnen recensies achterlaten om aan te geven hoe de nagemaakte pagina's bevielen; betalingen gaan in bitcoin of andere virtuele munten.

Waar moet je op letten?

Vroeger kon je phishing-mails herkennen aan slecht Nederlands of een ongeloofwaardig uiterlijk, maar dat is niet meer zo. Daarom adviseren banken hun klanten nu om nooit op links in e-mails te klikken: ze zullen je nooit vragen om in te loggen via een link in een mail.

Ook zijn veel phishing-mails te herkennen aan tijdsdruk: 'reageer nu, anders zal uw pinpas worden geblokkeerd'. Meer tips zijn te vinden op VeiligBankieren.nl.

Boris' diensten worden op prijs gesteld: hij heeft 97 recensies op het Russische hackersforum, hoofdzakelijk positief. Een bekende cybercrimineel, die zelf software levert waarmee Android-telefoons kunnen worden gehackt, schrijft in een recensie dat de websites de beste zijn die hij ooit heeft gebruikt.

De phishing-software blijk dan ook effectief. De NOS kreeg uit vertrouwelijke bron een gebruikte versie van de software in handen, die werd ingezet bij één aanval op klanten van een buitenlandse bank. In een maand tijd trapten 271 bankklanten in de nep-versie en vulden hun logingegevens in.

Russisch

Waar Boris zich bevindt, is niet bekend. Hij spreekt echter Russisch, en uit informatie die de NOS vertrouwelijk heeft verkregen, blijkt dat hij een Russisch telefoonnummer heeft. Maar dat laatste kan natuurlijk ook een bewust dwaalspoor zijn, om de autoriteiten op het verkeerde been te zetten.

Betaalverkeer richting een bitcoin-adres dat waarschijnlijk van Boris is, wijst er op dat hij het afgelopen jaar minstens 25.000 euro heeft omgezet. Dat was op slechts één adres; mogelijk heeft hij meer bitcoin-adressen.

Het is voor banken lastig om iets te doen tegen dit soort nepsites: iedereen kan op internet een nepsite beginnen. Offline halen van nepsites is een kat-en-muisspel: tegen de tijd dat een hostingprovider een nepsite uit de lucht heeft gehaald, heeft de aanvaller zijn biezen alweer gepakt en dezelfde nepsite elders ondergebracht.

Bij de versie van Boris' software die de NOS in handen kreeg, is het makkelijk om snel te veranderen van server, zodat de impact beperkt blijft als een website uit de lucht wordt gehaald. Ook is het bijvoorbeeld mogelijk om gehackte websites te gebruiken om de nepversies te hosten; toegang tot gehackte websites kan ook op fora worden aangeschaft.

Ook vervolging van digitale criminelen is lastig, omdat veel van hen zich verschuilen achter valse identiteiten en zich in het buitenland bevinden.

Reactie Boris

Als we Boris vertellen dat we van de media zijn, reageert hij geprikkeld. "Idioot! Laat je brein onderzoeken. Je wordt binnen een uur verbannen van het hackforum", zegt hij. Ook zegt hij dan dat hij ons een nep-versie van zijn software heeft verkocht. Verder wil hij zijn verhaal pas doen na betaling van 5000 dollar, waar we niet op ingingen.

"Mijn verhaal: ik heb 260 euro verdiend aan een domme journalist. Ik kan je nog wel wat extra nagemaakte bank-pagina's verkopen voor je verhaal?", besluit hij. "50 procent korting."

Twee onderzoekers bevestigen onafhankelijk van elkaar dat de software die we van Boris kochten authentiek is.

Boris is niet de echte naam van de phishing-verkoper.

Niet op het darkweb

Veel zaken die het daglicht niet kunnen verdragen spelen zich af op het zogeheten Tor-netwerk, dat versleuteld internetten mogelijk maakt en waar naast mensenrechtenactivisten en journalisten ook veel criminelen gebruik van maken. Het Russische hackforum waar de NOS phishing-software kocht, bevindt zich echter op het 'normale' internet.

"Vaak worden dit soort sites gehost door Oost-Europese bedrijven die er lang over doen om zo'n site offline te halen, al dan niet bewust", zegt Verhoef van DutchSec.

Waar het forum zich precies bevindt, is niet bekend, omdat het achter een firewall is geplaatst. Die firewall wordt geleverd door het Amerikaanse bedrijf Cloudflare, dat er daarmee medeverantwoordelijk voor is dat het forum in de lucht blijft.

Wij zijn slechts een doorgeefluik

Hoofd juridische zaken Cloudflare

Doug Kramer, het hoofd juridische zaken van Cloudflare, zegt tegen de NOS dat zijn bedrijf in principe geen websites uit de lucht haalt. "Ik ken deze website niet, maar we gaan in principe niet in op individuele zaken", aldus Kramer. "Maar in algemene zin: wij zijn slechts een doorgeefluik en hebben niets van doen met de inhoud", zegt hij.

"We willen geen precedent scheppen waarin wij moeten beslissen welk materiaal wel en niet door de beugel kan." Een uitzondering maakt Cloudflare voor gerechtelijke uitspraken en bepaalde extreme websites, zoals pagina's met kinderporno.

Verantwoording

Bij de NOS wilden we graag onderzoeken waarom voor het eerst sinds jaren het aantal gevallen van phishing weer toeneemt. Daarom besloten we uit te zoeken hoe makkelijk het is om phisher te worden.

We betaalden 90 euro in bitcoin om lid te worden van een Russischtalig hackforum, waarvan we de naam niet zullen noemen om mensen niet op verkeerde ideeën te brengen. Vervolgens contacteerden we 'Boris' en deden we ons voor als geïnteresseerde, waarna we 262 euro in bitcoin betaalden voor een nagemaakte versie van de website van de ABN Amro. Dat gebeurde in overleg met die bank.

Als je software als deze gebruikt om aanvallen uit te voeren, is dat strafbaar. Dat hebben we uiteraard niet gedaan. In een gecontroleerde omgeving hebben we een phishing-website opgezet en vanuit daar kleine hoeveelheden geld overgemaakt tussen rekeningen in beheer van NOS-medewerkers.

Het betalen van geld aan criminelen levert uiteraard wel een ethisch dilemma op. Toch hebben we dat gedaan, omdat we dat nodig vonden om uit te zoeken hoe makkelijk het daadwerkelijk is om aan een phishing-toolkit te komen.

STER Reclame