image

ABN Amro klanten doelwit van malware aanval *update*

donderdag 22 maart 2007, 10:18 door Redactie, 42 reacties

Na de phishing scam van gisteren zijn ABN Amro klanten weer het doelwit van een aanval. Dit keer gaat het om een massaal gespamde e-mail naar Nederlandse e-mailadressen waarin gevraagd wordt of de ontvanger een .exe bestand wil installeren. In de zeer overtuigende e-mail, die afkomstig lijkt van support@abnamro.nl, wordt gebruikers uitgelegd dat "een groep vakmensen op het gebied van computerveiligheid is te weten gekomen van een grove fout in het protocol SSL, die door een hacker kan worden gebruikt om toegang te krijgen tot uw bankrekening.

Vanaf morgen wordt er in het toegangsysteem tot klantenrekeningen een nieuw protocol SSL3 in gebruik genomen, dat op het huidige moment als het meest veilig wordt beschouwd. De klanten die gebruik maken van Internet-browsers zonder SSL3 kunnen dus geen toegang krijgen tot hun bankrekeningen via het Intenet." zo is in de e-mail te lezen. Security.NL kreeg van verschillende organisaties te horen dat ze honderden van dit soort e-mails hebben ontvangen.

Volgens de phishers moeten ontvangers van het bericht hun browser vernieuwen met het ms_ssl3_upd.exe bestand. De phishers hebben het meegestuurde bestand echter een andere naam gegeven. Uit overzicht van Virustotal blijkt dat bijna geen enkele virusscanner het bestand als malware herkent. Alleen eSafe denkt dat het mogelijk om een Trojaans paard gaat en volgens Webwasher-Gateway hebben we met Virus.Win32.FileInfector.gen te maken. Geen enkele scanner weet echter precies om wat voor malware het gaat.

*Update 14:30*
De ABN Amro waarschuwt inmiddels ook op haar eigen website voor de nepmail en raadt gebruikers aan om de e-mail niet te openen. Inmiddels wordt de malware ook herkend door AntiVir, ClamAV, F-Secure, Ikarus en Kaspersky.


Update: Virustotal vermeld

Reacties (42)
22-03-2007, 10:51 door Anoniem
Volgens mij mis ik in dit overzicht TrendMicro en die maakt
er een TSPY_AGENT.POA van met de volgende patterns:

Virus pattern - 4.359.00
Spyware pattern - 0.471.00
IntelliTrap pattern - 0.103.00
IntelliTrap exceptions - 0.183.00
22-03-2007, 10:53 door Walter
Ach, ABN AMRO heeft al meermalen per brief aan hun particuliere klanten
laten weten dat er nooit per mail gecommuniceerd wordt, dus de mensen
zouden dit zelf al wel moeten weten.

Daarnaast bestaat het E-mail adres [email]support@abnamro.nl[/email] niet, dus als
mensen op de mail reageren en ze krijgen een foutmelding, zouden ze
moeten snappen dat de mail niet in de haak zit.

Ik ben geen ABN Amro klant, en heb de mail ook ontvangen, snel even op
de website van de bank gekeken, en ik moet zeggen dat ze de stijl van het
stukje internetbankieren op de website goed hebben over genomen, dus
dat is dan wel weer overtuigender.
22-03-2007, 11:23 door Anoniem
Nou even serieus...dit is overtuigend? Wel eens goed de mail
gelezen? Ik citeer:

Onze bank houdt regelmatig toezicht OVER de laatste
vorderingen ter TEGENSTRIJDING van netpiraten en treft
steeds preventiemaatregelen om zijn klanten tegen
OPSCHEPPERS te beschermen.

Aangezien het er niet minder erg op wordt, mag je wel een
ENORME kluns worden genoemd als je dit als echt beschouwd.
Man man man, wat een slechte vertaling!

De module is aan deze brief BIJGELEGD :P
22-03-2007, 11:31 door Anoniem
Het belabberde Nederlands zou ook al een hint kunnen zijn:
...ter tegenstrijding van netpiraten... ...is te
weten gekomen van... ...toegangsysteem... ...is aan deze
brief bijgelegd... ...U hoeft gewoon de programma-module te
starten...
Deze tekst lijkt regelrecht uit een (Belgische?)
vertaalmachine te zijn ontsproten.
22-03-2007, 11:34 door Mark T
Hier zijn we maar weer hoe goed de heurics van de meeste
virusscanners zijn.
Helaas blijven we afhankelijk van de definities.

Noujah........
22-03-2007, 11:40 door Anoniem
Maar goed dat executables door mijn mailserver worden geweerd, zo ben
ik niet afhankelijk van een virusscanner en de (missende) updates.
22-03-2007, 11:41 door Anoniem
Door Mark T
Hier zijn we maar weer hoe goed de heurics van de meeste
virusscanners zijn.
Helaas blijven we afhankelijk van de definities.

Noujah........

Gelukkig beschikken wij, security professionals, wel over de nodige
heurics :-)
22-03-2007, 11:43 door Anoniem
Komt dit overzicht bij Virustotal.com vandaan? Had wel even
vermeld mogen worden. Ere wie ere toekomt...
22-03-2007, 11:43 door Anoniem
Walter,

Je kunt er tegenwoordig echt niet meer vanuit gaan dat mensen argwaan
moet krijgen als ze per email door een instantie (in dit geval een bank)
worden benaderd. Email verkeer krijgt tenslotte een steeds formeler
karakter. Ook niet als ze daar per brief op gewezen worden. En of een
email adres wel of niet bestaat is natuurlijk voor niemand zomaar te
achterhalen.

Daanaast moeten we ons wel realiseren dat het overgrote deel van de
klanten geen deskundigen zijn bij het gebruik computers in combinatie
met dit soort diensten. En dan druk ik me nog voorzichtig uit.

Het blijft dus zaak om alle (beveiligings)expert en deskundige zeer alert te
blijven en er voor te zorgen dat er voldoende middelen zijn om snel actie te
kunnen ondernemen zoals het uit lucht halen van een nepsite. Hiervoor is
wel internationale samenwerking noodzakelijk.

En ja, het blijft van belang om de gebruikers keer op keer te informeren
hoe er exact met hen wordt gecommuniceerd zodat ze vreemde zaken zelf
direct kunnen opmerken.

Jeroen
22-03-2007, 11:45 door Anoniem
Ze liggen nu plat ook volgens mij. http://www.abnamro.nl is not at home...
22-03-2007, 11:52 door Anoniem
Stel je voor dat het mailtje wel in correct Nederlands was
geschreven. Het SSL3 idee is wel een geloofwaardig concept,
in ieder geval origineel gevonden.

De logo's en stijl zijn verder wel geheel ABN Amro.

En ABN Amro stuurt wel eens mail aan klanten, zij het over
nieuwsbrieven (voor MKB). Moet zeggen dat die mail eigenlijk
nog meer op een scam leek, de afzender was een vage
'noreply' en om je aan te melden voor de nieuwsbrief moest
je naar een of andere mailsecuredev.onzeservers.nl website.

AAB site is trouwens down.
22-03-2007, 12:21 door Anoniem
Weet iemand al wat dat ding doet?

Lijkt me interessant om te weten wat er in zit qua techniek.
22-03-2007, 12:37 door [Account Verwijderd]
[Verwijderd]
22-03-2007, 12:39 door Anoniem
Als de Mailservers (in Nederland) nou eens gaan controleren
op e-mail adressen.
Ik zag in Poptray dat het email verstuurd is uit .sk d.i.
Slowakije,
terwijl ABN Amro .nl het verzend adres zou wezen.

Scheelt echt veel heel veel spam!
22-03-2007, 12:42 door Anoniem
Reguliere site ligt plat ja, maar internetbankieren kom ik gewoon op.
22-03-2007, 12:44 door Anoniem
Net voor 12 uur haalde ik een dergelijk ABNAMRO-phising email binnen
mijn F-secure antivirus kwam direct in actie en heeft de trojan verwijderd
(melding in het logboek van f-secure: "Malicious code found in file
D:PROGRAM FILESQUALCOMMEUDORAEMBEDDED498.EXE.
Infection: Trojan-Spy:W32/Agent.QY Action: The file was deleted.")
22-03-2007, 13:04 door Anoniem
Als de verstuurders slim zijn zorgt het paard ervoor dat
iedere keer dat jij abnamro.nl intypt dat je dan niet naar
de website van de abnamro gaat maar naar hun eigen site.
Zonder dat de gebruiker dit kan zien. Vrij simpel te realiseren.

Die server stel je dan zo in dat die alle gegevens vraagt en
via dezelfde of een andere besmette pc aangepaste commando's
stuurt naar de abnamro website die in plaats van geld over
te schrijven naar pietje het naar hen overschrijft.

Dus je gebruikt de besmette pc's om aan de gegevens te komen
en tegelijkertijd gebruik je diezelfde of een andere
besmette pc om de opdrachten aan abnamro te geven.

Bovenstaande is dus hypothetisch. Ik ben niet op de hoogte
wat het paard echt doet.
22-03-2007, 13:05 door Anoniem
hoe weten ze nou welk email adres bij welke bank hoort ??

en b.t.w.

De mail is ook nog afkomstig van:
[email]uqlhcmhudt@ahlqvistsoftware.com[/email]

op : http://ahlqvistsoftware.com/ staan ook deze plaatjes...

[img=http://ahlqvistsoftware.com/bilder/datorjobb.jpg]afbeelding[/img]]

[img=http://ahlqvistsoftware.com/bilder/erik.jpg]afbeelding[/img]
22-03-2007, 13:10 door [Account Verwijderd]
[Verwijderd]
22-03-2007, 13:25 door Anoniem
Avast virusscanner versie 4.7.942 herkende dit mailtje wel
degelijk als geinfecteerd.
22-03-2007, 13:39 door Anoniem
Het staat ook al op de ORGINELE website, van abn amro.

http s !! werkt nog wel, maar linksboven in staat een link
fout, zet er een s voor http en je kan het lezen...

https://www.abnamro.nl/nl/overabnamro/internetcriminaliteit.html?pos=lb_20070321_nepsite
22-03-2007, 13:54 door Anoniem
Toch leuk dat ik als ABN AMRO klatn geen mail hierover
gekregen heb.
Hoe moet ik nu naar de bank gaan ?
22-03-2007, 14:20 door Anoniem
Hoe zit het met de Mac, is die ook kwetsbaar voor deze trojan?
22-03-2007, 14:33 door Anoniem
Door Anoniem
Hoe zit het met de Mac, is die ook kwetsbaar voor deze
trojan?
Nee
22-03-2007, 14:47 door Anoniem
Door Anoniem
Toch leuk dat ik als ABN AMRO klatn geen mail hierover
gekregen heb.
Hoe moet ik nu naar de bank gaan ?

En hoe had u het onderscheid willen maken tussen het echte
bericht en de phishing mail..? (m.u.v. de spelvauten dan..)
22-03-2007, 15:09 door Anoniem
Opzich als je een beetje vlot over het mailtje leest, dan vallen de
schrijffouten ook niet super goed. Je kan hooguit een vaag vermoeden
hebben, maargoed er zijn nog zat mensen die dat niet begrijpen en
doodleuk de malware installeren.
22-03-2007, 16:48 door Anoniem
Als het Trojaans paard ervoor gaat zorgen dat er toetsaanslagen worden
bekeken, dan kan men volgens mij met een gerust hart doorgaan met
Internet Bankieren via ABN AMRO. Om in te loggen zijn er geen codes of
wachtwoorden nodig: er wordt gewerkt met de eigen PIN-code (die men
niet intoetst op het toetsenbord), bankpas en responsecodes die elke
keer weer uniek zijn. Het feit dat er toetsaanslagen worden 'bekeken' zou
natuurlijk wel consequenties kunnen hebben wanneer je bijvoorbeeld je
creditcardgegevens in dient te toetsen. Voor zover ik weet is ABN AMRO
Internet Bankieren net zo veilig als bijvoorbeeld RABO Internet Bankieren.

Met vriendelijke groeten,
Jaap
22-03-2007, 16:54 door G-Force
Heb MailWasher.....vangt hem mooi af.
22-03-2007, 17:19 door Anoniem
VTEST resultaat van 14:58

====================================================

Scan report of: 391.exe

@Proventia-VPS -
AntiVir TR/Spy.Banker.cmb
Avast! -
AVG -
BitDefender -
ClamAV Trojan.Spy-2819
Command -
Dr Web -
eSafe Trojan/Worm [100] (suspicious)
eTrust-VET -
eTrust-VET (BETA) -
Ewido -
F-Prot W32/Banker.AEMT
F-Secure Trojan-Spy:W32/Agent.QY
F-Secure (BETA) Trojan-Spy:W32/Agent.QY
Fortinet suspicious
Fortinet (BETA) suspicious
Ikarus Win32.Outbreak
Kaspersky Trojan-Spy.Win32.Banker.cmb
McAfee -
McAfee (BETA) Spy-Agent.bw trojan
Microsoft -
Nod32 -
Norman -
Panda Generic Trojan
Panda (BETA) Trj/Wsnpoem.L
QuickHeal Suspicious (warning)
Rising -
Sophos Troj/BanSpy-C
Symantec -
Symantec (BETA) -
Trend Micro TSPY_AGENT.POA
Trend Micro (BETA) TSPY_AGENT.POA
UNA -
VBA32 -
VirusBuster -
WebWasher Trojan.Spy.Banker.cmb
YY_Spybot Smitfraud-C.,,Installer

====================================================

The following updates have been used for the test (all times in GMT):

@Proventia-VPS VPS.rar 2007-03-13 19:45
AntiVir ivdf_fusebundle_nt_en.zip 2007-03-22 15:12
Avast! 400.vps 2007-03-21 13:32
AVG avg7mmav407a980.zip 2007-03-22 08:33
BitDefender cumulative.zip 2007-03-22 08:11
ClamAV daily.cvd 2007-03-22 11:04
Command DEFFILES.ZIP 2007-03-21 23:14
Dr Web drwtoday.zip 2007-03-22 15:42
eSafe com_evsvsp_vtest.upd 2007-03-22 13:45
eTrust-VET fv_nt86.exe 2007-03-22 10:50
eTrust-VET (BETA) fv_nt86.exe 2007-03-22 11:27
Ewido ewidoscan.zip 2007-03-22 14:31
F-Prot antivir.def 2007-03-22 15:42
F-Secure latest.zip 2007-03-22 09:57
F-Secure (BETA) latest.zip 2007-03-22 09:35
Fortinet vir_high 2007-03-22 14:51
Fortinet (BETA) vir_high 2007-03-22 14:28
Ikarus t3sigs.vdb 2007-03-22 14:26
Kaspersky av-i386-daily.zip 2007-03-22 15:40
McAfee dat-4989.zip 2007-03-21 17:10
McAfee (BETA) win_netware_betadat.zip 2007-03-22 15:41
Microsoft scnAVdaily11624244.cab 2007-03-22 15:48
Nod32 minnt.exe 2007-03-22 13:39
Norman nvc5oem.zip 2007-03-22 12:02
Panda pavexp_sig.zip 2007-03-21 20:24
Panda (BETA) pav.zip 2007-03-22 15:45
QuickHeal qhadvdef.zip 2007-03-22 15:44
Rising RavDef.zip 2007-03-22 08:50
Sophos ides.zip 2007-03-22 15:15
Symantec 20070321-018-i32.exe 2007-03-21 16:53
Symantec (BETA) symrapidreleasedefsi32.exe 2007-03-22 15:40
Trend Micro lpt361.zip 2007-03-22 11:49
Trend Micro (BETA) lpt361.zip 2007-03-22 11:50
UNA latestwin.zip 2007-03-16 20:04
VBA32 vba32w-latest.rar 2007-03-22 09:00
VirusBuster vdb9.exe 2007-03-22 14:18
WebWasher ww-latest-windows.zip 2007-03-22 15:12
YY_Spybot includes-all.zip 2007-03-21 11:03

====================================================

Scan report based on the VTEST system, Copyright (c) 2007 AV-Test
GmbH.
22-03-2007, 19:55 door Anoniem
Door Anoniem
Als de verstuurders slim zijn zorgt het paard ervoor dat
iedere keer dat jij abnamro.nl intypt dat je dan niet naar
de website van de abnamro gaat maar naar hun eigen site.
Zonder dat de gebruiker dit kan zien. Vrij simpel te realiseren.

Die server stel je dan zo in dat die alle gegevens vraagt en
via dezelfde of een andere besmette pc aangepaste commando's
stuurt naar de abnamro website die in plaats van geld over
te schrijven naar pietje het naar hen overschrijft.

Dus je gebruikt de besmette pc's om aan de gegevens te komen
en tegelijkertijd gebruik je diezelfde of een andere
besmette pc om de opdrachten aan abnamro te geven.

Bovenstaande is dus hypothetisch. Ik ben niet op de hoogte
wat het paard echt doet.

Ik weet niet hoe diep je FF/IE kan patchen, maar de
eigenschap van https is oa dat het de identiteit van de
beide pc's vaststelt. Dus normaal gezien zouden de browsers
moeten gaan piepen, wanneer je ineens met een andere pc
verbinding gaat maken.
De vraag is natuurlijk of het een gebruiker op zou vallen
dat het certificaat niet meer klopt, wanneer hij zo "stom"
was om het te installeren.
22-03-2007, 22:48 door G-Force
Internet Service Provider xs4all heeft het volgende bericht
uitgegeven.

2 Maart 2007

Op internet gaat een phishing mail rond, een vervalste mail
die afkomstig lijkt te zijn van ABN AMRO. De spamfilters van
XS4ALL hebben de e-mails tegengehouden. Abonnees van XS4ALL
die het spamfilter hebben aanstaan, hebben deze dus niet
ontvangen.

In de mail wordt aan klanten van ABN AMRO gevraagd om op een
link te klikken en bepaalde software te installeren. Als zij
dat doen wordt een trojan op hun computer geinstalleerd, een
virus dat de controle over de computer overneemt.

Hebt u het spamfilter van XS4ALL niet geactiveerd en de
e-mail ontvangen? Klik dan niet op de link in de e-mail,
maar verwijder de phishing mail direct. Bovendien adviseren
we u om het spamfilter aan te zetten in het Service Centre.

Daarnaast vindt u op onze veiligheidspagina's uitgebreide
informatie en tips over hoe u veiligheidsrisico's kunt
herkennen en voorkomen. Als u uw computer beveiligt,
beschermt u uzelf en anderen.
22-03-2007, 22:52 door Anoniem
Heb vandaag ook een SSL3 mail ontvangen van een zogenaamde
afzender [email]ypmrxkyd@aioinfo.com[/email], maar mijn provider Casema heeft
kennelijk een prima Phishing Filter: die had de inhoud en bijlage al
verwijderd. Hulde voor Casema!
22-03-2007, 23:48 door G-Force
De volgende virusscanners zijn bijgewerkt (do 22 maart 2007, 19:00)
Zie ook http://www.waarschuwingsdienst.nl/

* AntiVir
* Authentium
* CAT-QuickHeal
* ClamAV
* eSafe
* F-Prot
* F-Secure
* Fortinet
* Ikarus
* Kaspersky
* McAfee
* Panda
* Sunbelt
* Symantec
* Webwasher-Gateway
23-03-2007, 14:32 door Anoniem
Die mail kwam waarschijnlijk van Barclay's. een klein
voorproefje alvast ;))
26-03-2007, 11:10 door spatieman
als je ziet hoe dom mensen zijn, er er toch nog op klikken.
dan zijn ze het zelf schuld..
26-03-2007, 15:02 door Anoniem
Door Walter
Daarnaast bestaat het E-mail adres
[email]support@abnamro.nl[/email] niet, dus als
mensen op de mail reageren en ze krijgen een foutmelding,
zouden ze
moeten snappen dat de mail niet in de haak zit.
Waarom? Klanten zijn helemaal getraind om email te krijgen
van afzender adressen die niet responden (hoeveel
[email]donotreply@[/email] afzenders heb je wel niet in je
mail box zitten?

Bovendien, [email]security@abnamro.nl[/email] en
[email]abuse@[/email] bouncen ook (en met een erg
ondoorzichtige Notes melding die heel lastig de originele
email te koppelen is). Ja ik heb ABN-AMRO op de hoogte
proberen te stellen hiervan, maar ze zijn duidelijk niet
geinteresseerd in dit soort meldingen uit het veld.

De phishing mail was overigens best goed: geen duidelijke
taalfouten, officieel klinkend en vroeg niet om naar een
vage website te gaan of direct je persoonsgegevens te geven.
26-03-2007, 16:21 door Anoniem
Donotreply afzenders voor bulk mail naar consumenten zijn illegaal in
Nederland. Afzender adressen moeten werken.

De phishing mail was niet zo goed voor mensen die het Nederlands
machtig zijn, er zaten duidelijke taal- en stijlfouten in.
26-03-2007, 19:45 door Anoniem
Door Anoniem
Door Walter
Daarnaast bestaat het E-mail adres
[email]support@abnamro.nl[/email] niet, dus als
mensen op de mail reageren en ze krijgen een foutmelding,
zouden ze
moeten snappen dat de mail niet in de haak zit.
Waarom? Klanten zijn helemaal getraind om email te krijgen
van afzender adressen die niet responden (hoeveel
[email]donotreply@[/email] afzenders heb je wel niet in je
mail box zitten?

Bovendien, [email]security@abnamro.nl[/email] en
[email]abuse@[/email] bouncen ook (en met een erg
ondoorzichtige Notes melding die heel lastig de originele
email te koppelen is). Ja ik heb ABN-AMRO op de hoogte
proberen te stellen hiervan, maar ze zijn duidelijk niet
geinteresseerd in dit soort meldingen uit het veld.

De phishing mail was overigens best goed: geen duidelijke
taalfouten, officieel klinkend en vroeg niet om naar een
vage website te gaan of direct je persoonsgegevens te geven.


Geen duidelijke taalfouten lol het was aan fouten aan elkaar hangende
hemeltergend stukje babelfisch vertaling.
Dus een beetje oplettende lezer zou hier zo doorheen moeten prikken,als
je hierin trapt moet je gauw je PC het raam uit gooien en weer met
overschrijvingskaarten gaan werken of telefonisch.
En een bank die vraagt een stukje software te installeren ??????
26-03-2007, 21:34 door Anoniem
tja uh, gewoon werken met Linux. Daar kan je uberhaupt geen exe bestand openen.
28-03-2007, 11:32 door Anoniem
Als de Mailservers (in Nederland) nou eens gaan
controleren
op e-mail adressen.
Dat kan wel maar zitten daar wat
haken en ogen aan.

Tiscali gebruikt ook zender-verificatie, maar omdat hun
servers (die het zend-adres trachtten te verifiëren) in
bloklijsten staan, wordt hun verificatieaanvraag bij menig
server geweigerd. Dit heeft tot gevolg dat aan Tiscali
verzonden post dan niet door Tiscali verwerkt wordt en dus
niet door de geadresseerde wordt ontvangen.

Maar voor wie wil weten hoe zender-adres-verificatie werkt
en hoe dit gerealiseerd kan worden, zie
http://www.postfix.org/ADDRESS_VERIFICATION_README.html
18-03-2012, 11:01 door Anoniem
Er zit een intern menselijk lek bij de ABN AMRO Bank, en of bij AMDOCS die de facturering doet bij de ABN AMRO Bank.

De vraag is dan ook, hoe kunnen internet criminelen aan de e-mail adressen komen van deze bank klanten welke worden opgeslagen in de ABN AMRO data bases. Kortom het ABN AMRO bank systeem is lek, en daar kunnen we lang en breed over praten, de bank blijft ontkennen weat het gaat haar enkel om klanten en geld.

Jerry, overheid kan IP adres opvragen website beheerder.
13-06-2012, 20:04 door Anoniem
Momenteel circuleren ook mails onder de email beveiliging@abn.nl
Niet openen en direct verwijderen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.