De klanten van internetbank Knab, die de afgelopen week slachtoffer zijn geworden van een phishing aanval, hadden besmetting kunnen voorkomen als zij beschermd waren geweest door Cisco Umbrella.

Vanochtend kwam het bericht naar buiten dat zeker zes klanten van internetbank Knab deze week het slachtoffer zijn geworden van een gerichte phishing aanval door cybercriminelen. De klanten werden opgelicht door een nagemaakte advertentie op Google van de inlogpagina van Knab.

Knab klanten voor 11.000 euro opgelicht

Op het moment dat zij via Google zochten op ‘inloggen knab’ (zie afbeelding) verscheen er bovenaan de zoekresultaten een nepadvertentie met een link die er exact hetzelfde uitzag als de originele inlogpagina van Knab. Het enige verschil was een punt (www.persoonlijkknab.com i.p.v. www.persoonlijk.knab.nl). Zelfs het ‘groene slotje’ in de browserbalk was nagebootst, waardoor het leek alsof het domein correct en veilig was.

Klanten die op deze pagina hebben geprobeerd in te loggen gaven zo, ondanks dat het inloggen mislukte, hun volledige credentials aan cybercriminelen. Deze hebben de gegevens razendsnel gebruikt om geld te schuiven tussen spaar- en betaalrekeningen van de slachtoffers. In totaal is er voor zo’n 11.000 euro geld buitgemaakt.

Phishing in de bankenwereld

Het is zeker niet de eerste keer dat klanten van Knab worden getroffen door een phishing aanval. In januari 2016 al kregen klanten een mail met een malafide link om annulering van hun rekening ongedaan te maken en ook begin dit jaar kregen zij al twee keer soortgelijke mails met een ‘nieuw bericht’.

Vanuit het perspectief van internet security is het interessant om te bekijken of dit incident voorkomen had kunnen worden. Ten eerste mag gesteld worden dat een bank het niet zou moeten toelaten dat een inlogpagina nagemaakt kan worden en er ook nog inloggegevens kunnen worden gestolen. En ook Google treft enige blaam, aangezien zij nauwelijks maatregelen nemen om te voorkomen dat nagemaakte advertenties met besmette links worden getoond in de zoekresultaten.

Cisco Umbrella: Suspicious Domain

Daarnaast hadden gebruikers besmetting kunnen voorkomen als zij beschermd waren geweest door Cisco Umbrella. Umbrella is een cloud security platform dat beveiliging kan afdwingen door middel van recursive DNS. Zo kan Umbrella goedaardige domeinaanvragen inwilligen, kwaadaardige domeinen blokkeren en onbekende domeinen door een Proxy heen halen. Zo controleert Umbrella alle internetaanvragen die worden gedaan door de gebruikers.

Netwerk administrators kunnen in Umbrella zelf bepalen hoe sterk ze hun gebruiker willen beveiligen door bepaalde categorieën aan of uit te zetten. In het geval van de nagebootste inlogpagina van Knab, had Umbrella de aanvraag meteen geblokkeerd als de optie Potential Harmful Security Category zou zijn aangevinkt in ‘Categories to block’.

Bovendien had Umbrella Investigate – de research tool van Umbrella die standaard komt bij een uitgebreide licentie – snel de nodige informatie kunnen verschaffen over de reputatie van www.persoonlijkknab.com. Als je deze url binnen Investigate intypt geeft Umbrella meteen aan dat het hier om een Suspicious Domain gaat. In het screenshot hieronder zie je hoe dit er binnen Umbrella Investigate uitziet.

Zorg dat je goed beschermd bent!

Phishing aanvallen in de bankenwereld zijn niet nieuw. In een omgeving waar veel geld mee gemoeid is, zullen cybercriminelen zich altijd mengen. Grote banken hebben hier al lang strenge maatregelen tegen getroffen, maar voor kleinere internetbanken als Knab valt hier nog veel winst te behalen.

Zorg er daarom voor dat je altijd waakzaam bent bij mogelijke phishing berichten of advertenties van een bank en dat je beschikt over de security technologie van Cisco Umbrella.

Het implementeren van Umbrella is heel eenvoudig. Het enige dat je hoeft te doen is Umbrella licenties te kopen en de interne DNS-servers van je organisatie te forwarden naar de cloud-based DNS-service van Cisco Umbrella. Ook bestaat er een desktop client zodat gebruikers die niet op het interne netwerk zijn, alsnog beschermd zijn tegen dit soort aanvallen.