Het is onduidelijk hoeveel slachtoffers de hackers hebben gemaakt met hun virus: zowel de ING bank als de Nederlandse Vereniging van Banken doen daar geen mededelingen over. Een woordvoerder van de NVB zegt dat banken bekend zijn met de malware: "Die bestaat al langer en wordt telkens geraffineerder." De bewuste trojans blijken de afgelopen tijd inderdaad meer voor te komen bij ING-klanten, bleek tijdens een belrondje dat Tweakers.net deed onder reparatiebedrijven. Er zijn geen aanwijzingen dat het virus naast ING ook andere banken getroffen heeft.
Veel mensen hebben zich naar aanleiding van een oproep onder het artikel van donderdag over dit onderwerp gemeld bij de redactie van Tweakers.net. Uit een bloemlezing van de reacties blijkt hoe het virus te werkt gaat: nadat gebruikers inloggen op Mijn ING, krijgen ze een overlay op het scherm waarin wordt gevraagd om ter verificatie een TAN-code in te voeren. Vervolgens krijgen ze die tancode ook toegestuurd per sms. Oplettende gebruikers zien dat in dat sms'je een bedrag genoemd staat van 90 procent van het saldo. Dat gaat soms dus om duizenden euro's.
De transactie is op dat moment al op de achtergrond aangemaakt, terwijl de TAN-code zorgt voor de verificatie. Op de een of andere manier lijkt de trojan erin te slagen om de transactie te verbergen in het overzicht. Hoe SpyEye op pc's komt, is onbekend. De trojan kan worden bestuurd vanuit een command&control server, die normaal gesproken wordt gebruikt om botnets aan te sturen.
Kwaadwillenden hebben een licentie genomen op de op banken gerichte malware SpyEye, waarvan de broncode enkele dagen geleden uitlekte. De trojan is lastig te verwijderen, omdat die volgens een insider recent veelal via een rootkit op het systeem geïnstalleerd wordt, vermoedelijk Mebroot. Dan kan de gebruiker weinig anders doen dan een expert inschakelen of zijn harde schijf schoonvegen. Virusscanners kunnen de malware vanwege de rootkit niet verwijderen. Wel kan bijvoorbeeld de Cleaner van ING Bank de malware detecteren. Volgens veel gebruikers zien veel bekende virusscanners, zoals McAfee, de malware niet.
Het is niet ongebruikelijk dat kwaadwillenden aan de slag gaan met SpyEye, zegt Joost Bijl van Fox-IT. "Wie dat wil, kan een licentie nemen op SpyEye en aanpassen aan de bank in kwestie." De fraudezaak kwam in de publiciteit toen een Waalse krant donderdag publiceerde over de malware die klanten getroffen zou hebben. Banken in zowel Nederland als België vergoeden het bedrag dat mensen door het virus kwijtraken.
bron: tweakers.net