Fraudeurs omzeilen beveiliging ING

Fraudeurs hebben een gat ontdekt in de TAN-beveiliging van ING internetbankieren. Rekeninghouders van ING bank zijn de afgelopen tijd slachtoffer geworden van een listige bankfraude, waarbij de TAN-codes zijn omzeild. De fraudeurs maken daarbij gebruik van Paypal en Click&Buy. Crimesite werd getipt over deze methode en kreeg ook lijsten te zien met inlognamen en wachtwoorden van gedupeerde ING-rekeninghouders.

Rekeningen van ING-klanten werden geplunderd, waarbij bedragen van rekeningen werden gehaald zonder dat er door ING om een TAN-code werd gevraagd. Met zo’n code moet een klant normaal gesproken iedere transactie goed keuren. Waarschijnlijk zijn de gegevens van zeker honderden klanten van ING bij fraudeurs op internet bekend, maar mogelijk veel meer. Zie hier de reactie van ING.

Hoe werkt het?

Het eerste dat de fraudeur nodig heeft zijn de gebruikersnaam en het wachtwoord van de rekeninghouder. Er zijn verschillende manieren om daar aan te komen. Fishing mailtjes zijn de bekende emails waarin mensen worden verleid om op nep-websites hun gebruiksnaam en wachtwoord in te voeren. Fishing fraudes zijn het afgelopen jaar spectaculair gestegen.

Een tweede manier werkt met een botnet. Er is speciale software in omloop die het gemunt heeft op ING-gebruikers wiens computers geïnfecteerd zijn in een botnet. De software filtert uit de toetsaanslagen van gebruikers hun inlognaam en wachtwoord en stuurt die naar de computer van de fraudeur. De fraudeur kan normaal gesproken geen geld overmaken. Daarvoor is bij de ING namelijk een zogenoemde TAN-code noodzakelijk, die de bank op papieren lijsten stuurt of naar de mobiele telefoon van de klant zendt.

Maar nu is er een manier gevonden om dit te omzeilen en toch bedragen van nietsvermoedende rekeninghouders op te nemen.

Fraudemogelijkheid #1: PayPal

De fraudeur heeft toegang tot een ING-rekening, want hij weet de gebruiksnaam en het wachtwoord. Hij kan de bij- en afschrijvingen zien, maar nog geen betalingen doen. Vervolgens maakt hij een Paypal account aan en vult het ING rekeningnummer in bij Paypal. Paypal stuurt na een paar dagen twee kleine bedragen (tussen 0,01 en 0,20 eurocent) naar die ING rekening, om te verifieren dat degene die het Paypal account opent ook echt toegang tot de ING-rekening heeft. Maar de fraudeur kan de bijschrijvingen zien en zodra die bedragen zijn overgeboekt op de ING-rekening, vult de fraudeur die in op zijn Paypal-account. Daarmee verifiëert Paypal dat de ING-rekening van de fraudeur is.

Vervolgens kan de fraudeur bestellingen plaatsen en betalen met Paypal. De bedragen die met de Paypal rekening worden betaald, worden automatisch afgeschreven van de ING rekening. Er wordt niet om een TAN-code gevraagd.

Fraudemogelijkheid #2: Click and Buy

Met de ING-rekening kan de fraudeur een Click and Buy account openen. Ook die stuurt een klein bedrag naar de ING-bankrekening ter verificatie. Bij de overschrijving zit een code die de gebruiker online kan zien. De fraudeur vult de code in op de Click and Buy website en Clilck and Buy is actief. Hij gaat shoppen en bestellingen plaatsen.

Cashen

Als hij een afleveradres heeft kan de fraudeur de bestellingen laten bezorgen. Hij kan ook een nep-onderneming starten met een rekening bij PayPal. Vervolgens plaatst de fraudeur op naam van de iNG-klant en rekening nep-orders die via PayPal worden betaald.

Met Click and Buy is het ook mogelijk op Pokerstart, Partypoker of Full Tilt Poker dagelijks een voorschot van US $400 te krijgen, dat later van de bankrekening wordt afgeschreven. Pokersites houden onregelmatige speelwijzen wel in de gaten. Maar de systemen van die sites kunnen geen geleidelijke verliezen waarnemen als frauduleus. Zo kan een fraudeur door online te pokeren tegen vrienden onopvallend verliezen. Periodiek laat de fraudeur grotere bedragen uitbetalen.

Cash-outs
Het binnensmurfen van kleine bedragen zal de fraudeur systematisch aanpakken. Uiteindelijk wil hij de opbrengst laten verdwijnen en spoorloos blijven. Dat innen heet in jargon de cash-out

Op internet gaat het overschrijven van fraudegeld vaak via Moneybookers, Alertpay of Liberty Reserve. De reden daarvoor is eenvoudig: op die sites is overschrijven van emailadres naar emailadres mogelijk.

Niemand kan vaststellen wie er precies achter bepaalde transactie’s zitten.

Alleen bij ING

De afgelopen dagen heeft Crimesite uitgelegd hoe botnets werken en hoe die gebruikt worden bij het vergaren van persoonlijke gegevens van gebruikers.

Een informant zegt aan Crimesite: ‘Lijsten van gebruikers van banken zoals ING, mét hun wachtwoorden, zijn op internet te koop. Probleem voor de koper is natuurlijk dat die niet weet of die rekeningen al zijn afgesloten doordat er fraude is ontdekt.’

Deze vorm van fraude is alleen mogelijk bij banken die toegang bieden tot internetbankieren zonder dat het bankpasje nodig is om in te loggen. Bij bijvoorbeeld ABN-AMRO moet de gebruiker het bankpasje combineren met de e-dentifier en een code daarvan intikken in de pc. In Nederland is deze fraude alleen bij ING-bank en SNS Bank mogelijk. In Duitsland werkt het bij de Sparkasse evenals bij sommige andere Europese banken.

ING heeft altijd beweerd dat de TAN-codes veilig zijn en een laatste veiligheidsklep zijn tegen fraude. Deze nieuwe vorm van fraude bewijst dat ING internetbankieren ernstige lekken vertoont.

Hieronder de rekeningafschriften van een gedupeerde ING-klant van februari jongstleden, die Crimesite kreeg toegespeeld. Eerst worden er kleine bedragen gestort door Paypal en daarna wordt een bedrag van ruim 700 euro afgeboekt.