Er zijn weinig apps zo veilig als software voor telebankieren op mobiele apparaten, maar deze apps kunnen nog steeds jouw meest waardevolle en gevoelige informatie aan hackers doorspelen, zoals logingegevens en contactinformatie.
Met clickjacking is het stelen van gevoelige privéinformatie net zo snel en simpel als het inloggen bij een app. Malware als Svpeng illustreert hoe doeltreffend – en wijd verbreid – dit type misdaad is.
Bij clickjacking creëert een hacker een onzichtbare gebruikersinterfacelaag tussen jouw vingertop en wat je op het scherm ziet.
Je denkt misschien dat je een scherm van de bank ziet nadat je jouw gebruikersnaam en wachtwoord hebt ingevoerd, maar in werkelijkheid zie je een replica van dat scherm dat daar overheen is gelegd.
Als je dan privégegevens invoert, gaan die gegevens niet naar de bank, maar naar bestandsservers waarop de cybercriminelen gestolen toegangsinformatie van accounts opslaan.
Clickjacking om geld
Roman Unuchek, een senior malwareanalist bij Kaspersky Lab, rapporteerde in juli 2017 op de blog van SecureList dat de Svpeng-malware “viraal ging”. Svpeng dook voor het eerst op in 2013, toen het bankgegevens van gebruikers van Android-apparaten stal. Zodra het op een mobiel apparaat was gedownload, clickjackte het gebruikersdata. Maar het probleem gaat veel dieper dan dat.
Zodra de malware toegang heeft tot beheerdersbevoegdheden, kan deze kiezen welke overlayschermen worden gebruikt, sms-berichten versturen en ontvangen, telefoneren en contacten lezen.
Vervolgens stuurt de malware screenshots en al het andere gehijackte materiaal van het apparaat naar de command-and-controlserver van de hackers. Hieronder bevinden zich bijvoorbeeld contacten, geïnstalleerde apps, oproeplijsten en sms-berichten. Vooral die laatste zijn problematisch, omdat banken gewoonlijk verificatiecodes via sms-berichten naar gebruikers sturen.
Volgens Unuchek had Svpeng zich binnen een week over 23 landen verspreid.
Clickjacking komt op bijna alle platforms voor
Hoewel vooral Android-telefoons gevoelig lijken te zijn voor clickjacking, kan het zich voordoen op ieder apparaat dat toegang heeft tot het internet: mobiele apparaten, tablets, desktopcomputers en laptops.
Midden 2016 verwijderde Google advertenties met transparante lagen die miljoenen gebruikers zover kregen dat ze op links naar ongewenste websites klikten. In veel gevallen bevatten deze websites malware, adware en zelfs spyware, die werd gedownload en geïnstalleerd, soms zonder medeweten van de gebruikers.
Gewetenloze bedrijven kunnen geclickjackte pagina’s gebruiken om 1-click-bestellingen bij Amazon te plaatsen. Ze creëren nep-“vind-ik-leuks” bij berichten op sociale media als Facebook (wordt ook wel “likejacking” genoemd) of ze werven nietsvermoedende volgers op Twitter. Volgens MarketingLand.com dowloaden clickjackers ook malware die gebruikers dwingen om op onzichtbare, frauduleuze advertenties te klikken.
Wat je tegen clickjacking kunt doen
Clickjacking-software komt meestal via doelgerichte e-mails op apparaten terecht. In een wereld waarin hackers met klantcontactgegevens miljoenen euro’s van rekeningen hebben gestolen, kost het cybercriminelen helaas maar een paar cent per rekening om die gegevens te kopen. De kans is groot dat cybercriminelen ten minste jouw e-mailaccount en de naam van jouw bank in een bestand hebben staan.
Pas op voor e-mails in jouw elektronische postvak die beweren dat er een urgent probleem is waar je beslist naar moet kijken. Deze e-mails vragen je om op een link te klikken en die link kan je naar een website leiden die eruitziet als de site van jouw bank of een andere officiële instantie. Daar wordt je gevraagd om de laatste versie van hun app te downloaden of om je profielinformatie in te vullen.
Als het doel is om je een app te laten downloaden, dan bevat die app waarschijnlijk malware die al jouw gegevens buitmaakt. In andere gevallen kan de website zelf de bron zijn van de malware die zich stiekem op jouw apparaat nestelt. Ongeacht hoe het gebeurt, de malware creëert nepschermen met velden die je moet invullen.
Vermijd ook om advertenties op Google of Facebook aan te klikken die rare nieuwsitems aanbevelen, of aanbiedingen die te mooi zijn om waar te zijn. In sommige gevallen linkt zo’n advertentie naar een website die clickjacking-software naar jouw computer downloadt. Het is beter om het nieuws op een ander kanaal te bekijken, zoals de website van een gerenommeerde krant. Als het nieuws waar is, zal het niet moeilijk zijn om het ook op deugdelijke media te vinden.
Download apps altijd van geautoriseerde appwinkels. Deze winkels zetten zowel software als personen in om malware te bestrijden en betrouwbare content te behouden. Het is niet altijd eenvoudig om onzichtbare schermen of nepinterfaces te herkennen, maar een gezonde kritische houding bij het omgaan met alles wat internet aangaat, kan in belangrijke mate bijdragen aan een positieve gebruikerservaring.
Gerelateerde artikelen:
- Wat is adware?
- Wat is een trojan?
- Feiten en veelgestelde vragen over computervirussen en malware
- Spam en phishing