Phishers omzeilen beveiliging van online bankieren

  • Bron (c) 2006, VirusAlert

Enkele phishers hebben een nieuwe aanvalsmethode aangeboord om klanten te misleiden tijdens hun onlinebankieren. Ongeveer vijfendertig websites zouden opgezet zijn om zogenaamde ‘man-in-the-middle’-aanvallen uit te voeren. Bij wijze van verdediging tegen de vele pogingen tot phishing, voerden veel banken een systeem in dat gebaseerd is op tekens en tijdelijke wachtwoorden. Hierbij wordt met behulp van een apparaatje een code gegenereerd als antwoord op de door de banksite voorgestelde code. Zolang het algoritme waarmee dat antwoord gegenereerd wordt geheim blijft, kan men niet inloggen op de beveiligde site. Door gebruik te maken van een doorgeefluik, zouden de phishers er echter alsnog in slagen de rekeningen van hun slachtoffers te plunderen.

Zij zetten namelijk een website online ertussen die er volledig uitziet zoals de site van de geviseerde bank. In plaats van de inloggegevens te verzamelen, worden deze echter onmiddellijk doorgegeven naar de echte banksite, inclusief de gegenereerde tijdelijke code. Zo slagen de phishers er alsnog in controle over de rekeningen van het slachtoffer te krijgen.