Bankier Trojans opnieuw gebruikt om Portugese bankrekeningen te hacken | VPNoverview.com

Mensen die rekeningen hebben bij Portugese banken worden opnieuw gehackt met Banker Trojans. De aanvallen zijn afkomstig van een Braziliaanse hackgroep die bankrekeningen hackt die zijn beveiligd met authenticatie in twee stappen.


Aanvallen op Portugese banken in opkomst

Aanvallen op Portugese banken die Banker Trojans gebruikten, waren het afgelopen jaar stil geworden. Dit is echter veranderd. In het eerste kwartaal van 2020 zijn er al vijf aanvallen geweest op vijf verschillende Portugese banken. Deze aanvallen lijken allemaal afkomstig te zijn van dezelfde Braziliaanse hackgroep.

Bij de nieuwe hackcampagnes is gebruik gemaakt van phishing en smishing om slachtoffers te targeten. Smishing is vergelijkbaar met phishing, behalve dat sms-berichten worden gebruikt in plaats van e-mails om persoonlijke informatie zoals aanmeldingsgegevens te stelen. Het e-mailadres of mobiele telefoonnummer van de slachtoffers dat in deze campagnes wordt gebruikt, is waarschijnlijk afkomstig van eerdere datalekken.

De recente campagnes gebruiken echter niet langer alleen maar eenvoudige phishing-pagina’s die zich voordoen als de daadwerkelijke inlogpagina’s van de online bank van de doelbank. Door de introductie van 2-Factor Authentication gebruiken hackers nu phishing-e-mails die zich voordoen als Portugese banken om Banker Trojans in te zetten. In het geval van de Portugese banken die de afgelopen maanden zijn aangevallen, zijn Android Banker Trojans gebruikt.

Wat zijn Banker Trojans

Banker Trojans zijn programma’s die zijn ontwikkeld om gebruikersaccountgegevens te stelen van systemen voor online bankieren, e-betaling en creditcardbetalingen. De Trojan steelt de inloggegevens van de slachtoffers en stuurt ze vervolgens door naar de kwaadwillende actor die de Trojan onder controle heeft.

Authenticatie in twee stappen kan niet worden gehackt?!

Tegenwoordig gebruiken internetbankieren niet alleen de traditionele aanmeldingsmethode waarbij gebruik wordt gemaakt van een gebruikersnaam en wachtwoord. De meesten gebruiken nu ook een tweede authenticatiemethode.

Banken gebruiken meestal een 2-Factor Authentication (2FA) -methode waarbij een authenticatiecode wordt verzonden naar de mobiele telefoon van de accounteigenaar. De rekeninghouder moet deze code vervolgens opnieuw invoeren in de bankapplicatie om toegang te krijgen tot zijn rekening. Als een kwaadwillende acteur het account van een slachtoffer wil hacken, moet hij daarom deze code stelen.

Kan het niet worden gedaan? Denk nog eens na

Er zijn eigenlijk veel manieren om bankauthenticatiecodes te stelen. SIM Swap-oplichting wordt bijvoorbeeld vaak door hackers gebruikt voor dit doel. Bij dergelijke oplichting wordt het mobiele telefoonnummer van het beoogde slachtoffer opnieuw toegewezen aan een simkaart in een apparaat dat in het bezit is van de aanvaller. Dus wanneer de authenticatiecode wordt verzonden vanaf de bank van een slachtoffer, wordt deze niet langer ontvangen door het slachtoffer, maar door de aanvaller. De aanvaller kan zich vervolgens aanmelden bij de account van het slachtoffer, hun geld stelen en de inloggegevens opnieuw instellen om ze van hun bankrekening te blokkeren.

In het geval van de recente Portugese aanvallen is een Android Bank-trojan gebruikt om de bankauthenticatiecodes van het slachtoffer te stelen. De slachtoffers worden misleid om de Banker Trojan te installeren via een nep-bestemmingspagina die de echte bestemmingspagina van een doelbank nabootst. Het slachtoffer wordt via een phishing-e-mail naar de nep-bestemmingspagina geleid.

Door de Banker Trojan op hun smartphone te installeren, geven de slachtoffers de Trojan leestoegang tot sms-berichten die op hun telefoon zijn ontvangen. De Trojan past ook de instellingen van de mobiele telefoon aan om te voorkomen dat deze trilt of wakker wordt wanneer er sms-berichten worden ontvangen. De Banker Trojan kan dus bankauthenticatiecodes exfiltreren uit sms-berichten die zonder hun medeweten naar de slachtoffers worden gestuurd.

Proces gebruikt om 2FA Protected Bank Accounts te hacken

Hieronder staan ​​de stappen die aanvallers gebruiken om een ​​2FA-beveiligde bankrekening te hacken:

  • Het slachtoffer ontvangt een phishing-e-mail die hem naar een nep-bestemmingspagina leidt
  • Slachtoffer voert zijn inloggegevens in op de nep-bestemmingspagina, die vervolgens naar de aanvaller wordt gestuurd
  • Het slachtoffer klikt op een knop op de nep-bestemmingspagina die de Banker Trojan op hun smartphone installeert. Het slachtoffer meent bijvoorbeeld dat ze een nieuwe beveiligingsapplicatie installeren die hun bank nodig heeft om toegang te krijgen tot hun rekening
  • De aanvaller gaat naar de echte inlogpagina van de bank die door het slachtoffer wordt gebruikt en voert de gestolen gegevens in
  • Het slachtoffer ontvangt de authenticatiecode via een sms-bericht naar zijn geïnfecteerde mobiele telefoon. Het slachtoffer weet echter niet dat hij een bericht heeft ontvangen
  • De Trojan exfiltreert de authenticatiecode van het SMS-bericht en stuurt deze naar een server die wordt beheerd door de aanvaller
  • De aanvaller voert de authenticatiecode in op de echte code-authenticatiepagina van de bank
  • De aanvaller heeft toegang tot het account van het slachtoffer, kan het geld van het slachtoffer stelen en hen van hun bankrekening blokkeren

De enige manier waarop gebruikers zichzelf kunnen beschermen tegen dergelijke oplichting, is door niet te klikken op links in e-mails die zogenaamd verbinding maken met de website van hun bank. Gebruikers wordt geadviseerd om naar de website van hun bank te gaan en daar berichten te openen.

Meer informatie over hoe u kunt voorkomen dat u in het algemeen het slachtoffer wordt van phishingfraude, vindt u op deze site onder deze link.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me