Met een nep-app die lijkt op de PostNL app proberen cybercriminelen bankgegevens zoals inlogcodes voor internetbankieren in handen te krijgen, zodat ze geld kunnen stelen.
Het beveiligingsbedrijf ESET meldt dat meer dan 600 slachtoffers de link naar de app hebben geopend. Hoeveel mensen de app daadwerkelijk geïnstalleerd hebben en daardoor ook geld zijn kwijtgeraakt is niet bekend.
De oplichters benaderen mensen via sms en sociale media. Ze sturen de beoogde slachtoffers een link naar de plaats waar ze de nep-app kunnen downloaden.
Onderscheppen tweetrapsverificatie
De app is vrij doordacht in elkaar gestoken, hij steelt niet alleen de wachtwoorden, maar kan ook SMS-jes voor tweetrapsverificatie lezen. Daarmee is de app in staat ook voorbij deze extra beveiligingsstap te komen. Bij tweestapsverificatie moet je naast je gebruikersnaam en wachtwoord ook een code invoeren. Sommige banken gebruiken de methode ook bij internetbankieren.
De kwaadaardige nep-app leest ook de contactenlijst en stuurt SMS-jes naar anderen en verspreid zichzelf op deze manier. Volgens ESET richt de app zich op het verzamelen van gegevens van onder meer klanten van Postbank, ING, PayPal, Ebay en Amazon. Ook probeert de app virtueel geld, zoals de Bitcoin te stelen. ESET heeft nog geen idee wie er achter de nep-app zitten.
Als je oplet voorkom je dat je slachtoffer wordt
Als je een app installeert let dan op de volgende dingen:
1) Installeer alleen apps uit de google play of Apple Stores
Bijna alle malware die op smartphones of tablets terecht komt, komt daar met software die buiten de officiële app-stores om worden geïnstalleerd. Hier kun je vaak “clones” van dure apps of games gratis downloaden. Deze apps vallen echter niet onder de zeer strenge controles van Apple en Google en je weet dus niet wat je wellicht aan ellende binnenhaalt en het komt zeer regelmatig voor dat deze goedkope “clones” kwaadaardige code bevatten.
2) Wie heeft de app gemaakt?
kijk even naar de maker van de app. Is de PostNL app door een ontwikkelaar met een Russische naam gemaakt? Dan weet je eigenlijk wel zeker dat dit niet klopt. Dit is misschien een wat flauw voorbeeld, maar het kan geen kwaad dit te checken.
3) Hoe lang bestaat de app al?
Hoe langer een app bestaat hoe kleiner de kans dat het een kwaadaardige app is. Kwaadaardige apps die bij Google en Apple door de mazen van de beveiliging slippen worden vrijwel altijd binnen een paar maanden ontdekt en verwijderd. Bestaat een app al een paar jaar? Dan is de kans dat hij kwaadaardig is klein.
4) Lees reviews
Heeft de app al veel reviews? En zijn ze positief? Heeft een app nog geen reviews let dan extra op of, beter nog, wacht tot er reviews verschijnen.
5) Vraagt de app om extra rechten?
Vraagt het om extra rechten? Bekijk dan goed welke rechten, en bij twijfel niet accepteren. Als bijvoorbeeld een app om foto's te editen om toegang tot je adresboek vraagt klopt er iets niet.
6) Zorg dat je apps altijd up-to-date zijn
Normaal gesproken worden apps automatisch ge-updated. Dit kun je echter uitschakelen om bijvoorbeeld op je databundel te besparen. Maar, dat is zeer onverstandig. Veel app updates bevatten ook beveiligingsupdates en die heb je nodig om zo veilig mogelijk te blijven.
7) Installeer een virusscanner
Heb je een android telefoon? Installeer dan een virusscanner en neem een abonnement op updates. Een goede virusscanner scant niet alleen op virussen, maar blokkeert ook kwaadaardige links en signaleert verdacht gedrag.
8) Geen notificatie inhoud op je vergrendelingsscherm
Zorg dat je notificaties geen inhoud tonen op je vergrendelingsscherm. Dit is zowel bij ios als Android in te stellen. Waarom? Als je de inhoud van notificaties op je vergrendelingsscherm toont zijn daar dus ook je SMS codes voor tweetrapsverificatie te zien. Dat kan niet zoveel kwaad zolang je je telefoon bij je draagt, maar kan gevaarlijk zijn als je hem ergens onbewaakt achterlaat.
Een kwaadwillend persoon (of een flauwe grappenmaker) kan bijvoorbeeld jouw WhatsApp overnemen. Hoe? Hij installeert WhatsApp op zijn telefoon en geeft jouw nummer op. Als de SMS meldingen dan zichtbaar zijn op jou vergrendelingsscherm, kan hij de code van je vergrendelingsscherm aflezen. Zo activeert hij jouw WhatsApp op zijn telefoon en wordt het op jouw telefoon gedeactiveerd.
Zie ook:
