Cybercriminelen gebruiken de computers van breedbandgebruikers voor het hosten van phishingsites. Dat blijkt uit een analyse van een groot aantal phishingmails waarin de linkjes naar de IP-adressen van thuisgebruikers wijzen. Het gaat om gebruikers die Remote Desktop op Windows hebben ingeschakeld.

Via Remote Desktop is het mogelijk om op afstand toegang tot de computer te krijgen. Standaard staat dit niet ingeschakeld, maar er zijn volgens de onderzoekers genoeg mensen die het inschakelen. Het is voor aanvallers mogelijk om naar computers met RDP te zoeken. Vervolgens proberen ze via brute-force en het gebruik van veelvoorkomende en zwakke wachtwoorden op de computer in te loggen.

Zodra dit is gelukt wordt de PHP Triad webserversoftware geïnstalleerd voor het hosten van de phishingpagina. De geïnstalleerde software bevat echter allerlei beveiligingslekken en wordt zonder wachtwoorden geïnstalleerd, waardoor thuisgebruikers het risico lopen dat naast de phishers ook andere cybercriminelen toegang tot hun systeem krijgen.

Volgens PhishLabs dat de aanval ontdekte gaat het hier om een belangrijke trend, omdat phishingsites die op de computers van thuisgebruikers worden geïnstalleerd een langere levensduur hebben. In tegenstelling tot hostingproviders die snel kunnen ingrijpen als er een phishingpagina bij hen wordt gehost, zouden internetproviders veel meer tijd nodig hebben om hun klanten te waarschuwen dat hun computer is overgenomen en een phishingpagina host, zo stelt Don Jackson van PhishLabs.