FRAUDE: Phishing en malware gericht op internetbankieren Rabobank

De Hoax-Wijzer | 26/11/2013 | Update: 16/07/2014

Weer een beetje bekomen van de schrik van het leeghalen van mijn bankrekeningen.

De bank heeft alle betalingen geblokkeerd en de bankpassen worden vernieuwd.

Ik had niet gedacht dat dit mij ooit zou overkomen want ik ben zeer voorzichtig.

Wat is er nu eigenlijk gebeurd?

Eergisteravond laat wilde ik internetbankieren

Ik heb op de normale manier ingelogd bij de Rabo. Na inloggen kwam er een bericht dat de beveiliging werd gecontroleerd en dat dit enkele minuten kon duren.

Ik ben eventjes weggelopen om een sigaret te pakken en toen ik terug kwam was de internet Explorer afgesloten. Ik heb deze opnieuw opgestart en ben opnieuw naar internetbankieren gegaan. Na inloggen kreeg ik de melding dat mijn randomreader moest worden gesynchroniseerd met de computertijd. Ik heb de instructie die zoals altijd wordt weergegeven opgevolgd. Vervolgens kwam de melding "dit kan enige minuten duren". Daarna kwam de melding " synchronisatie mislukt, probeer opnieuw"

Pas na de derde keer was de synchronisatie gelukt. Toen verscheen er een een scherm "in verband met een computerstoring is Rabobank Internetbankieren tijdelijk niet beschikbaar. Onze excuses voor het ongemak".

Ik heb afgesloten en ben naar bed gegaan.

De volgende ochtend vroeg heb ik gecontroleerd of Rabo Internetbankieren weer beschikbaar was en kwam er toen achter dat er bedragen waren overgemaakt en wel op de volgende manier:

Tijdens de eerste zgn synchronisatie heb ik zonder het te weten al het geld van mijn spaarrekening overgemaakt naar mijn privérekening. Tijdens de tweede en derde synchronisatie heb ik zonder het te weten al het geld van mijn privérekening overgemaakt naar twee Poolse rekeningen. Alles weg dus !!! :-(

Op 22 november 2013 om 12:56 plaatste Dennis Van Heertum een gelijkaardige waarschuwing:

Delen svp zojuist 2500 euro armer door fraude via internetbankieren van Rabobank. Dus als je onderstaande melding krijgt niet inloggen!!

Deze waarschuwing werd vergezeld van een afbeelding waarop de bogus webpagina getoond wordt, en waarop volgende foutmelding op vermeld staat:

Vanwege een foutmelding bij toegang tot de internetbankieren word uw kaartlezer niet herkend. Om door te gaan is het van belang uw PC eenmalig te laten synchroniseren met uw kaartlezer. Voor het synchroniseren wordt een signeercode gevraagd.

Er bestaat nagenoeg geen reden om aan te nemen dat deze waarschuwing een hoax zou zijn, en we kunnen er vanuit gaan dat de bovenvernoemde personen helaas inderdaad het slachtoffer geworden zijn van fraude. Wanneer we de reacties op hun Facebook status bekijken, merken we dat het hier niet gaat om een status die zij van elders gedeeld hebben, maar wel om een voorval dat hen persoonlijk getroffen heeft. Peter Koopman meldde hierbij dat hij contact had opgenomen met Rabobank; Dennis Van Heertum heeft hetzelfde gedaan, en zou bovendien ook aangifte doen bij de politie.

PHISHING

Het is op dit moment niet duidelijk op welke manier niet duidelijk op welke manier de fraude heeft kunnen plaatsvinden. Een meest voor de hand liggende manier zou via phishing e-mails kunnen zijn. Dat is tegenwoordig immers de meest voorkomende manier van oplichting, aangezien er dagdagelijks e-mails worden gestuurd die beweren dat je "internetbankieren op slot is". In dat geval wordt er een link gegeven waar je op moet klikken, om dan terecht te komen op een website waarop je vervolgens je bankgegevens moet ingeven.

Hoewel deze website er vaak exact hetzelfde uitziet als die van de bank, bevind je je op een andere URL en dus niet op de echte website van de bank zelf. Op die manier tracht men bankgegevens te ontfrutselen, een techniek die aldus "phishing" genoemd wordt. Het doelwit van de oplichters is in dit geval niet enkel Rabobank klanten, maar ook rekeninghouders van talloze andere banken in zowel Nederland als België. De meeste banken waarschuwen dan ook al geruime tijd voor phishing-praktijken, vooral dan op de inlogpagina van het internetbankeren-gedeelte van hun website.

Opvallend is dat opgelicht.nl op 19 november 2013 nog een waarschuwing heeft gepubliceerd omtrent valse e-mails die beweren afkomstig te zijn van Rabobank. Deze phishing e-mails beweren dat er een "landelijke storing" heeft plaatsgevonden, en geven een link waarop je zou moeten klikken om je bankrekening terug te activeren. Het is niet zeker of Peter Koopman en Dennis Van Heertum het slachtoffer geworden zijn van deze welbepaalde e-mail, maar opgelicht.nl waarschuwt dat zulke e-mails verantwoordelijk kunnen zijn voor zowel phishing als malware.

MALWARE

Hoewel phishing de meest voor de hand liggende verklaring is voor wat Peter Koopman en Dennis Van Heertum overkomen is, staat dat nog niet met zekerheid vast. In een reactie op zijn eigen status, liet Dennis Van Heertum immers weten dat hij op een beveiligde pagina zat en niet via een link maar wel rechtstreeks naar de internetbankieren-pagina van Rabobank was gegaan. Dit lijkt de mogelijkheid tot phishing dan weer uit te sluiten.

Anderzijds zou de webpagina getoond op de afbeelding een perfect voorbeeld kunnen zijn van een phishing website. Helaas is de URL van die welbepaalde webpagina niet leesbaar op de afbeelding, en bestaat hier op dit moment aldus geen zekerheid over. Wel is duidelijk dat de foutmelding op die webpagina geenszins van Rabobank zelf afkomstig is: er staan immers taalfouten in zoals "de internetbankieren" en "word uw kaartlezer" i.p.v. "wordt". Taalfouten zoals deze zijn bijna altijd een signaal dat je te maken hebt met oplichting.

Als we vertrekken vanuit de veronderstelling dat deze webpagina niet verscheen na het klikken op een link via een phishing e-mail, maar wel na rechtstreeks op de Rabobank website naar het internetbankieren te surfen, is er duidelijk iets anders aan de hand. In dit geval wordt in eerste instantie gedacht aan "malware", software die zichzelf installeert zonder dat je als computergebruiker er iets van merkt. Malware kan in feite een soort van virus zijn en zich zo op zelfstandige basis verder verspreiden via bv. het internet. Het is wellicht niet onmogelijk dat er momenteel bepaalde malware in omloop is waarbij automatisch een popup-scherm verschijnt met een valse waarschuwingstekst om zo gebruikers van het internetbankieren te misleiden.

REACTIE VAN RABOBANK

Op dit moment is Rabobank heel voorzichtig met het formuleren van een reactie op de circulerende waarschuwingen. Op hun Facebook pagina plaatsten ze op 26 november 2013 volgende waarschuwing:

We krijgen klantvragen binnen over fraude bij Rabo Internetbankieren. Met name over malware (kwaadaardige software) en synchronisatie met de Random Reader. Dit geval betreft helaas geen hoax. Het is een mogelijke vorm van malware-besmetting op de computer van de klant. Als er sprake is van schade als gevolg van malware zal de Rabobank deze vergoeden. Om met zekerheid vast te stellen of het gaat om malware, raden wij aan om contact op te nemen met de Helpdesk Internetbankieren (telefoonnummer 0900-0905, lokaal tarief). Meer info:http://rabo.nl/x9lhn

Uiteraard werken alle banken, gezamenlijk en ieder apart, aan beveiligingsmaatregelen om deze vormen van fraude tot een minimum te beperken. Hierbij hebben wij ook jouw hulp nodig. Hierover communiceren wij regelmatig op onze website. Bekijk de volgende link voor meer aanvullende informatie over wat wij doen en wat je zelf kunt doen om veilig gebruik te maken van Rabo Internetbankieren: http://rabo.nl/otewh

Hier merken we op dat er wordt gesproken over een "mogelijke" vorm van malware-besmetting. Er is aldus nog geen uitsluiting wat betreft de manier waarop de slachtoffers van hun geld beroofd zijn. Ook op de website van Rabobank werd een update geplaatst wat betreft mogelijke vormen van fraude via internetbankieren:

Update fraude: Pop-up scherm internetbankieren

Sinds kort blijkt dat er tijdens internetbankieren ook een pop-up scherm verschijnt, waarin u gevraagd wordt om op een link te klikken. Doe dit niet!! Er wordt dan ook aangegeven dat binnenkort een medewerker van de Rabobank telefonisch contact met u opneemt. De persoon die contact met u opneemt, is geen Rabobank-medewerker. Verbreek de verbinding of als u twijfelt, bel de bank dan terug op het nummer dat u kent. Dit geldt natuurlijk ook voor alle andere partijen die u telefonisch benaderen.

Vanzelfsprekend waarschuwt Rabobank op haar website ook voor de andere en intussen meer bekende vormen van fraude.

Naar aanleiding van dit incident heeft de nieuwssite Tubantia.nl ook contact opgenomen met Rabobank-voorlichter Kees Nanninga. Die laatste antwoordde dat deze nieuwste truc nog niet bekend was, maar dat Rabobank nooit zal vragen om synchronisatie. Zoals ohwzo.nl ook aangeeft in hun eigen artikel hieromtrent, bestaat er bovendien niet zoiets als "synchroniseren van de PC met de kaartlezer". Het is immers de bedoeling van de kaartlezer dat men zou kunnen internet bankieren vanop eender welke computer die verbonden is met het internet, zonder dat er software dient te worden geïnstalleerd. Indien er geen software van de bank op je computer hoeft te staan, kan je er ook niet mee "synchroniseren".

ALERTHEID

Veel pogingen tot fraude via internetbankieren kunnen vaak worden ontweken door steeds alert te zijn wanneer je het internet gebruikt voor allerhande financiële transacties. Er zijn sowieso enkele zaken waarbij je meteen merkt dat het niet om een legitieme e-mail van een bank gaat:

- Een bank stuurt je sowieso GEEN e-mail omtrent cruciale zaken. Zij zullen je in dat geval uitnodigen (meestal per brief) om naar het bankkantoor zelf te komen.

- Een bank zal je nooit vragen om je bankgegevens door te geven via een e-mail of via telefoon.

- Phishing e-mails staan niet op naam: je wordt veelal aangesproken met "Geachte klant", terwijl eventuele officiële e-mails altijd gepersonaliseerd zijn op naam (en ook dan is het eventueel nog uitkijken).

- De link waar je naartoe gestuurd wordt, is in dit geval niet naar die van de bank zelf (bv. rabobank.be, rabobank.nl, ...). Het gaat echter om een totaal andere link waar enkel de naam van de bank in voorkomt, zoals bv. rabobank. onlinevalidation. gm6.com. De effectieve domeinnaam van de website waar de link je naartoe wil sturen, is in dit voorbeeld dus niet Rabobank.nl maar gm6.com.

Je kan ook steeds informatie inwinnen door rechtstreeks contact op te nemen met je bank. Indien je gebruik maakt van internet-bankieren, zal je bij de meeste banken ook een melding zien staan die waarschuwt voor dit soort fraude. Indien je echter toch het slachtoffer hiervan van geworden bent, hangt het veelal af van de goodwill van de bank of je het ontvreemde bedrag teruggestort krijgt, maar in feite ben je zelf verantwoordelijk, aangezien je vrijwillig je bankgegevens hebt doorgegeven aan iemand (ook al is het onder valse voorwendselen). In vele gevallen zal een bank echter toch het bedrag terugstorten als er geen sprake is van grove nalatenschap van de klant zelf.

Lees ook:https://sites.google.com/site/dehoaxwijzer/fraude/fraudeuwinternetbankierenopslote-mails

Bronnen:

- Eerste status Peter Koopman:http://www.facebook.com/peter.koopman.7/posts/420853751370842

- Tweede status Peter Koopman:http://www.facebook.com/peter.koopman.7/posts/421260714663479

- Foto en status Dennis Van Heertum:http://www.facebook.com/dennis.vanheertum/posts/554027031335899

- Waarschuwing Opgelicht.nl: http://www.opgelicht.nl/nieuws/mail-malware-phishing/detail-phishing/detail/6709/3082/

- Waarschuwing Rabobank op Facebook: http://www.facebook.com/photo.php?fbid=761227447224939

- Waarschuwing op website Rabobank:http://www.rabobank.nl/particulieren/lokalebanken/waterland/nieuws/items/fraudepogingen_via_phishing_mails

- http://www.tubantia.nl/regio/enschede/enschedese-rabo-klant-dupe-van-poolse-truc-1.4114295

- http://www.ohwzo.nl/opnieuw-bankfraude-online-bankieren-rabobank/

De volgende dag plaatste hij bijkomende status:

Wil je gisteravond laat even internetbankieren. Krijg je de melding dat er een storing is. Kijk je vanmorgen vroeg of de storing opgelost is, blijken al je rekeningen geplunderd te zijn en bedragen te zijn overgemaakt naar Polen. Zat om 7.15 al aan de telefoon met de bank. pas geblokkeerd, nog 1 euro in de knip. Nu wachten op telefoon van de bank en daarna nieuwe pas aanvragen. Het weekend begint al goed :-(

Via Facebook hebben twee slachtoffers zich bekend gemaakt d.m.v. het posten van een status. Op 22 november 2013 om 09:09 plaatste Peter Koopman volgende status:

Momenteel circuleren er op Facebook verschillende waarschuwingen van mensen die klant zijn bij Rabobank, en het slachtoffer werden van fraude via internetbankieren. Hoewel het op dit moment nog onduidelijk is op welke manier de fraude precies heeft plaats gevonden, is de circulerende waarschuwing hiervoor vooralsnog volkomen terecht. Het gaat dus NIET om een hoax.