Wat schuilt er achter een phishinglink?
Steeds meer mensen krijgen te maken met phishing-berichten van verschillende banken. Onze collega Rick zocht uit hoe zo’n phishingaanval in z’n werk gaat. In één woord? Geraffineerd. Don’t try this at home, maar kijk gerust even met ons mee.
De nieuwsgierigheid won
De meeste mensen weten dat ze niet moeten klikken op dit soort links. Maar wij als ethical hackers konden onze nieuwsgierigheid niet bedwingen. Collega Rick klikte op https://klantprocedure-rabo.club/aanvraag en vond daarachter een website die identiek was aan de website van Rabobank. Door het achtervoegsel ‘/aanvraag’ weg te halen van het webadres, kwam hij tot zijn grote verbazing een ZIP-bestand tegen met back-up van de website, inclusief de bijhorende SQL-database.
Installatie website
Rick wilde de website analyseren en kijken hoe zo’n phishingaanval in zijn werk gaat. Zo begon hij met het installeren van een webserver. Hier is gebruikgemaakt van een LAMP-bundel bestaande uit Ubuntu, Apache, MySQL en PhpMyAdmin. Het volledige ZIP-bestand werd gebruikt als inhoud van de webserver en de bijhorende SQL-database werd ingeladen in MySQL.
De phishingaanval
Voordat de phish van start gaat, kopieert de aanvaller de webpagina’s die je op de echte Rabobank-site raadpleegt voor het vervangen van een betaalpas. De aanvaller zet een webserver op met daarin de gekopieerde webpagina’s en een dashboard. Vervolgens verstuurt de aanvaller phishingmails of phishingsms’jes naar meerdere potentiële slachtoffers. In deze phishingberichten staat dat je betaalpas van de Rabobank is vervallen en vervangen moet worden.
Beschrijving van hoe deze phishingaanval werkt
Het slachtoffer krijgt een phishingmail of ‑sms, waarin staat dat de Rabobank-betaalpas moet worden vervangen, inclusief een link. Deze link brengt het slachtoffer naar de website van de aanvaller en het slachtoffer vult zijn rekeningnummer en pasnummer in.
Op het dashboard van de aanvaller verschijnt een nieuwe rij met bijhorend rekening- en pasnummer. Daarnaast wordt ook het IP-adres en de User Agent van het slachtoffer opgeslagen.
De aanvaller gaat naar de echte inlogpagina van de Rabobank en vult daar het rekening- en pasnummer van het slachtoffer in. Hierna ontvangt de aanvaller een QR-code en kopieert deze. Vervolgens uploadt de aanvaller de ontvangen echte QR-code op de nepwebsite. Het slachtoffer ziet de gekopieerde echte QR-code op de neppagina verschijnen.
Toegang tot het account
Het slachtoffer scant de QR-code met zijn Rabo-scanner en krijgt een inlogcode van de scanner terug. Het slachtoffer vult de inlogcode op de pagina in en klikt op inloggen. De aanvaller ziet nu ook de inlogcode op zijn dashboard verschijnen. De aanvaller vult deze inlogcode in op de echte inlogpagina van de Rabobank en krijgt vervolgens toegang tot het internetbankierenaccount van het slachtoffer. Het slachtoffer gaat ondertussen verder met het aanvragen van een nieuwe bankpas op de nepsite. Deze stappen zijn puur bedoeld om het slachtoffer zo lang mogelijk af te leiden en om de aanvaller te voorzien van de pincode van de bankpas. Die pincode kan hij eventueel later gebruiken bij het internetbankieren.
Pincode in de pocket
Het slachtoffer komt op een nieuwe pagina. Daar krijgt hij de keuze of hij een nieuwe bankpas wil met de oude pincode of met een nieuwe. van een nieuwe bankpas met de huidige pincode of een nieuwe pincode. Welke keuze je als slachtoffer ook maakt, je maakt je pincode bekend:
De aanvaller ontvangt de pincode weer via zijn dashboard. Vervolgens krijgt het slachtoffer de overige informatie van het proces, die identiek zijn aan het echte proces van de Rabobank om een nieuwe bankpas aan te vragen en een bevestiging dat de aanvraag is verzonden.
Nieuwsgierig?
Ben je benieuwd of jouw werknemers goed weerbaar zijn tegen een phishingaanval? Maak dan snel een afspraak via Phishingtest, mail ons of bel ons op 071 – 204 0101.