40.000 Nederlanders trappen in virusmail

40.000 Nederlanders trappen in virusmail

12-12-2017 17:10 Laatste update: 26-04-2018 15:06

Een virus dat bank- en creditcardgegevens steelt wordt vandaag via e-mail verspreid in Nederland.

Minstens 40.000 mensen hebben op het gevaarlijke linkje in de e-mail geklikt. Hoeveel mensen het virus daadwerkelijk hebben geïnstalleerd, is niet duidelijk.

De e-mails lijken afkomstig van postbedrijven als PostNL en DHL. In de mail staat dat er een pakketje naar je onderweg is en dat je daarvoor de 'zending- en contactgegevens' moet bevestigen. RTL Nieuws deelde twee van deze e-mails met beveiligingsbedrijf Fox-IT, die de malware al op het spoor was. 

Het linkje in de e-mails leidt naar verschillende www.goo.gl-webadressen, een dienst van Google waarmee je lange webadressen kunt verkorten. Daarmee proberen de criminelen de malafide website met de malware te verbergen. Uit statistieken van deze webadressen blijkt dat er meer dan 40.000 keer op de link is geklikt.

"De verstuurde mails ogen niet heel professioneel", zegt Mike Stokkel, beveiligingsonderzoeker bij Fox-IT, tegen RTL Nieuws: "Maar ondanks de spelfouten trappen er nog steeds veel mensen in." Mogelijk komt dat omdat de e-mails in december zijn verstuurd, een periode waarin veel mensen online cadeautjes bestellen en dus pakketjes van PostNL ontvangen.

Zip-bestand

Zodra het slachtoffer op het linkje in de mail drukt, wordt er een zip-bestand (contactgegevens%2012_2017_10_00_.zip) gedownload met zogenaamd de 'zending- en contactgegevens'. Daarin zit het bestand verstopt dat de malware op de computer installeert.

Het virus is een variant van de bekende Zeus-malware en heet Zeus Panda. De malware infecteert alleen Windows-computers. Mensen die het linkje in de e-mail op hun Mac-computer of smartphone of tablet hebben geopend, lopen daardoor geen gevaar. 

Coolblue en Amazon

Zeus Panda houdt in de gaten welke websites het slachtoffer bezoekt. Zodra je bijvoorbeeld de website van je bank of een webwinkel bezoekt, wordt de malware actief en besmet hij de website. De geïnfecteerde website stuurt dan de logingegevens en overboekingscodes van je bank of je creditcardgegevens naar de criminelen.

De malware is specifiek op Nederland gericht, blijkt uit de websites die Zeus Panda besmet. Het gaat om de websites van onder andere Coolblue, Booking.com, Otto, Amazon, De Volksbank (SNS, ASN en Regiobank), ING, ABN Amro, Knab, en Triodos.

Slachtoffers

Hoeveel slachtoffers Zeus Panda heeft gemaakt, is niet bekend. Als je alleen op het linkje hebt gedrukt maar niet het zip-bestand hebt geopend, loop je geen gevaar. Je moet het bestand in het zip-bestand hebben geopend om de malware op je computer te installeren. 

Fox-IT raadt slachtoffers aan om één of meerdere virusscanners te draaien om Zeus Panda van de computer te verwijderen.