Pas op voor valse e-mail die uw bankgegevens steelt

Duizenden Nederlanders zijn mogelijk van hun betaalgegevens bestolen door een virus dat wordt verspreid via een e-mail die afkomstig lijkt te zijn van pakketbezorgers als DHL en PostNL. Het virus is op dinsdag 12 december 2017 in omloop gekomen en RTL Nieuws heeft 2 van deze e-mails met beveiligingsbedrijf Fox-IT gedeeld, dat de malware al op het spoor was.

Windows-gebruikers

De e-mails lijken afkomstig van postbedrijven als PostNL en DHL. In de mail staat dat er een pakketje naar u onderweg is en dat u de ‘zending- en contactgegevens’ moet bevestigen. Het virus richt zich specifiek op Windows-gebruikers. Doordat veel ontvangers een Mac-computer, Android-toestel of iOS-apparaat hebben is het aantal potentiële slachtoffers lager. Volgens RTL Nieuws hebben toch minstens 40.000 mensen op de link in de e-mail geklikt. Hoeveel mensen het virus daadwerkelijk hebben geïnstalleerd, is niet duidelijk. Mike Sokkel, beveiligingsonderzoeker bij Fox-IT, vertelt bij RTL Nieuws dat de verstuurde mails er onprofessioneel uitzien, maar toch trappen nog steeds veel mensen er in. “Mogelijk komt dat omdat de e-mails in december zijn verstuurd, een periode waarin veel mensen online cadeautjes bestellen en dus pakketjes van PostNL ontvangen,” zegt hij.

De tekst uit de bewuste mails:

Beste heer/mevrouw,

UW ZENDING IS ONDERWEG ,Informatie Over Uw Zending is in dokument.
Controleer hieronder uw zending- en contactgegevens. Klik op om te bevestigen.
Bedankt dat u heeft gekozen voor On Demand Delivery.
DHL Express – Excellence. Simply delivered.

Nederlandse Post DHL Group

Zip-bestand

Als op de link in de e-mail geklikt wordt, wordt er een zip-bestand gedownload. Daarin zit het bestand verstopt dat de malware op de computer installeert. Zo lang u het zip-bestand niet opent, loopt u geen gevaar. Het virus is een variant van de Zeus-malware en heet Zeus Panda. De malware infecteert alleen Windows-computers. Mensen met een Mac-computer of die het openen met een smartphone of tablet lopen daardoor geen gevaar.

Zo werkt het

Zodra iemand met een geïnfecteerde computer op de site van zijn of haar bank of webwinkel uitkomt, wordt het virus geactiveerd en diegene wordt naar een pagina geleid die afkomstig lijkt te zijn van de website. De complete opmaak ontbreekt echter op deze valse pagina en er zijn alleen invulvelden zichtbaar waar creditcardgegevens kunnen worden ingevuld. De malware is specifiek op Nederland gericht, blijkt uit de websites die Zeus Panda besmet. Het gaat om de websites van onder andere Coolblue, Booking.com, Otto, Amazon, De Volksbank (SNS, ASN en Regiobank), ING, ABN Amro, Knab, en Triodos.

Fox-IT raadt slachtoffers aan om één of meerdere virusscanners te draaien om Zeus Panda van de computer te verwijderen.

(Bron: RTL Nieuws, NOS)