Postbank machteloos onder phishing aanvallen

Tienduizenden klanten van de Postbank ontvingen afgelopen weekeinde een spam e-mail waarmee internetboeven inloggegevens probeerden af te pakken, phishing. De ING-dochter staat net als haar concurrenten in de banksector machteloos tegenover deze vorm van internetfraude.

Tienduizenden Nederlanders ontvingen afgelopen weekeinde  e-mails, schijnbaar afkomstig van de Postbank, waarin ze gevraagd werden hun inloggegevens en andere persoonlijke gegevens via internet op te sturen. Het bleek echter geen bericht van de Postbank te zijn maar om een zogeheten phishing aanval te gaan. Dat is een poging van criminelen om internetters met authentiek lijkende e-mail naar een site te loodsen om daar hun persoonlijke gegevens af te snoepen. Die gegevens kunnen vervolgens gebruikt worden voor malafide aankopen of om direct geld te stelen.

Een kopie van de e-mail is te zien op Postbank.nl. Anders dan werd gesuggereerd, leidde het gemailde internetadres niet naar de Postbank-site, maar naar een van tientallen gehackte webservers. Die gehackte servers fungeren als virtuele stromannen voor de boeven.

E-mailfilterbedrijf Cleanport signaleerde de eerste phishing mails in de nacht van zaterdag op zondag. Het bedrijf heeft aparte mailservers en servers bij klanten waarop ze opmerkelijkheden kan constateren. Jeroen Oostendorp: "De laatsten zagen we maandagochtend nog. Maar de bulk vond zaterdag plaats. In totaal vonden we ruim 39.000 Postbank phishing e-mails." Tijdens de grootschalige phishing aanval op Postbank-klanten in juni 2005, nu bijna een jaar geleden, verwerkte Cleanport een kleine 85.000 fraudemails.

De Postbank zelf werd zaterdagavond op de hoogte gebracht van de phishing aanval door beveiligingsbedrijf Symantec, ruim een halve dag na het begin van de aanval.

Het zal lastig worden om de oplichters aan de hand van technische informatie te herleiden. De boeven hanteerden namelijk gekaapte computers van particulieren en bedrijven om hun berichten op spamachtige wijze te versturen. Zonder dat de eigenaren van de computers het weten is hun computer met een virus geïnfecteerd Die virussen maken een soort spampostbode van die machines, zonder dat de coördinator van de virusmachines te traceren is. Dat maakt Cleanports Oostendorp op uit technische informatie uit de onderschepte mails.

De mailexpert: "De phishing aanvallen worden inhoudelijk gezien beter. De manier van schrijven is verzorgd, de e-mail is ondertekend met de naam van een directeur en er wordt gecommuniceerd over een nieuwe dienst. Ik kan me voorstellen dat ontvangers er een zekere verbondenheid mee voelen."

Hoe aantrekkelijk de fraudemail ook geschreven is, geen enkele Postbank-klant heeft zijn inloggegevens aan de boeven afgestaan. Althans, voor zover bekend niet. De woordvoerster wijdt dat een het feit dat de mails op Koninginnedag verstuurd werden. Dan zijn er relatief weinig mensen online. Mochten er toch gedupeerden zijn, dan raadt ze hen aan aangifte te doen van diefstal. Immers, zo stelt zij, er is niet enkel financiële informatie gepikt maar ook informatie over Sofi-nummers en geboortegegevens van de rekeninghouder.

De spamrun is de eerste dit jaar waarbij de berichten pogingen tot fraude waren. Vorig jaar werd de Postbank in totaal 4 keer getroffen door een phishing aanval. Ook Rabobank, SNS Bank en ABN Amro hebben er in mindere of meerdere mate mee te kampen. Nederlandse internetters krijgen gemiddeld iedere maand een phishing mail, stelt Cleanport. Meestal om eBay- of Paypal-gegevens af te pakken.

De Postbank deed vorig jaar aangifte bij de politie na de phishing aanval. Een woordvoerder van de ING-dochter liet begin dit jaar weten dat het onderzoek nog steeds liep. Hij kon geen antwoord geven op de vraag of er verdachten waren geïdentificeerd en of zij waren aangehouden.

Gisteren liet de Postbank weten nog te overwegen of ze aangifte gaat doen. Daarover was gisterenavond nog geen uitsluitsel.

Volgens een ruwe schatting vindt er jaarlijks voor 1 miljard euro aan fraude plaats op internet in Nederland. Dat cijfer is echter nooit door een onafhankelijke instantie gestaafd.

De Nederlandse Vereniging van Banken (NVB) beklaagde zich vorig jaar over het feit dat ze met hun klachten over cybercrime moeilijk terecht konden bij de Nederlandse overheid. NVB liet gisteren weten nog steeds met de overheden en het bedrijfsleven samen te werken aan preventie en opsporing van internetmisdaad.

Een woordvoerder van de NVB licht via e-mail toe: "Door middel van experimenten wordt in het kader van het NICC-programma ervaring opgedaan ten aanzien van cybercrime en worden elementen van de nationale infrastructuur ontwikkeld en beproefd. Een experiment dat direct gerelateerd is aan de bancaire sector is het 'Notice and take Down'-experiment. Daarbij worden door Govcert.nl, de NVB en haar leden bancaire phishing sites 'uit de lucht' gehaald. Het NICC programma is sinds februari van 2006 operationeel en vloeit mede voort uit het werk van het NHTCC."