Nieuw virusgevaar voor Postbank-klanten

Kort nadat virusanalisten van Kaspersky Lab gisteren op hun weblog over enkele nieuwe internationale bank-Trojans spraken, ontdekte het Benelux Viruslab een nieuw virus dat specifiek Postbank-klanten aanvalt.

Een besmette gebruiker heeft het Kaspersky laboratorium een Trojan gestuurd met de naam Trojan-Spy.Win32.Agent.ew.

Analyse
Uit analyse van Kaspersky Lab onderzoeker Roel Schouwenberg bleek dat deze Trojan zich onder andere richt op gebruikers van de Nederlandse Postbank. De Trojan registreert alle toetsaanslagen die de gebruiker maakt in de webbrowser. Op deze manier worden gebruikersnamen, wachtwoorden en TAN-codes opgeslagen om doorgestuurd te worden naar de virusschrijver.

De Postbank maakt voor het verifiren van transacties gebruik van zogenaamde TAN-codes. Postbank klanten ontvangen de TAN-codes voor het bevestigen van een transactie in een document of per sms. Bij besmette Postbankklanten vangt de Trojan deze TAN-code af en genereert een foutmelding identiek aan die van de Postbank, waardoor de TAN-code geldig blijft voor gebruik. Gebruikers die hun TAN-codes op papier ontvangen lopen zo ook nog eens het gevaar meerdere TAN-codes onmerkbaar door te sturen naar de virusschrijver.

SMS-functie
Hoewel in eerste instantie leek dat alleen gebruikers met een TAN-code document gevaar liepen blijkt nu dat ook gebruikers van de SMS functie kwetsbaar zijn.

De Trojan maakt verder ook nog gebruik van zogenaamde Rootkit technologien, waardoor deze lastiger te detecteren is door antivirus fabrikanten. Het Kaspersky Laboratorium heeft onmiddellijk de virusdatabase bijgewerkt, waardoor Kaspersky Anti-Virus gebruikers geen gevaar lopen.

Phising mails
"De globale trend in de cybercriminaliteit die al enige tijd door Kaspersky Lab wordt aangegeven, zet zich dus ook in Nederland door. Cybercriminelen stappen af van massale phishing emails en maken Trojans die het werk stukken efficinter kunnen doen. Het was slechts een kwestie van tijd voordat er een Trojan zou opduiken die zich ook op een Nederlandse bank zou richten", aldus Roel Schouwenberg, Senior Research Engineer voor Kaspersky Lab Benelux.

TAN-codes
Het is niet de eerste keer dat de Postbank onder vuur ligt. Eerder was ze slachtoffer van een aantal phishing aanvallen, waarbij klanten naar een nagemaakte Postbank site gestuurd werden om zo gebruikersgegevens te achterhalen. "Zolang de Postbank TAN-codes blijft gebruiken zal dit zeker niet de laatste Trojan zijn die zich op de Postbank richt. De huidige implementatie heeft berhaupt een paar zwakheden, of in elk geval een paar punten waarop men kan verbeteren", waarschuwt Schouwenberg.

Reactie Postbank
Kaspersky Lab heeft contact gehad met de Postbank, die momenteel ontkent dat de Trojan op de Postbank gericht is.