F-secure: banktrojaan groter gevaar dan phishing

.bank-domein kan veel verschil maken

30 mei 2007 | Janneke Scheepers Phishing is een groot probleem maar zogeheten 'banking trojans' zijn bedreigender. De hoeveelheden geld die Braziliaanse bendes met deze programmaatjes stelen, zijn veel groter dan wat phishers binnenhengelen.

Dat zegt Mikko Hypponen, chief researcher bij antivirusbedrijf F-secure, in gesprek met ZDNet. "Het verschil is dat phishing meer zichtbaar is. Mensen zién phishing, ze begrijpen het. Je kunt phishingsites opsporen en ze bestuderen. Banktrojanen zijn veel minder zichtbaar. Gebruikers hebben er geen idee van dat ze besmet zijn."

Dat komt omdat deze op maat gemaakte Trojaanse paarden zo geraffineerd te werk gaan. Eenmaal geïnstalleerd wacht zo'n programmaatje rustig af, tot de gebruiker online gaat bankieren. Dan kunnen ongemerkt grote bedragen worden afgeschreven. Volgens Hypponen is dit, anders dan bij phishing, door gebruikers bijna niet te voorkomen: "Daarom wordt dit één van de grootste problemen in de toekomst."

Hij beaamt dat met phishing veel geld wordt gestolen. De British Payments Association (APACS) schat dat Britse banken vorig jaar in totaal zo'n 33,5 miljoen pond lichter werden door online bankfraude. Dat is grotendeels te verklaren door een enorme toename van phishingaanvallen. Maar banktrojanen zijn effectiever. Hypponen wijst op een vorig jaar opgepakte Braziliaanse bende. Volgens de politie had deze bende eigenhandig tientallen miljoenen dollars gestolen met behulp van banktrojanen.

De Zweedse bank Nordea maakte begin dit jaar bekend dat zijn klanten voor bijna negenhonderdduizend euro zijn beroofd door een banking trojan. Beveiliger McAfee sprak van 'de grootste online bankoverval ooit'. "Ze gebruikten 122 money mules en sluisden het geld door Oekraïne en Wit-Rusland", licht Hypponen toe, "Dit soort praktijken zal alleen maar erger worden, want de meeste criminelen worden niet gepakt."

.bank-domein
Het zou een grote verbetering zijn wanneer er een .bank top-level domain (TLD) wordt ingevoerd, gelooft hij. Begin deze maand liet de onderzoeker dit ballonnetje voor het eerst op in een artikel voor Foreign Policy Magazine. Zijn motivatie is dat het voor criminelen veel te gemakkelijk is om .com-phishingsites te bouwen.

"We houden al lange tijd .com-registraties met banknamen in de gaten", verklaart hij, "Iedere dag worden twintig tot dertig nieuwe .com-domeinen geregistreerd met bijvoorbeeld de naam Bank of Amerika of PayPal erin. Steeds maar weer opnieuw. En het kan niemand iets schelen."