Een virus dat bank- en creditcardgegevens steelt, is dinsdag via e-mail verspreid in Nederland. Minstens 40.000 mensen hebben op het gevaarlijke linkje in de e-mail geklikt. Hoeveel mensen het virus daadwerkelijk hebben geïnstalleerd, is niet duidelijk.

De e-mails lijken afkomstig van postbedrijven als PostNL en DHL. In de mail staat dat er een pakketje naar je onderweg is en dat je daarvoor de 'zending- en contactgegevens' moet bevestigen. RTL Nieuws deelde twee van deze e-mails met beveiligingsbedrijf Fox-IT, die de malware al op het spoor was.

Het linkje in de e-mails leidt naar verschillende www.goo.gl-webadressen, een dienst van Google waarmee je lange webadressen kunt verkorten. Daarmee proberen de criminelen de malafide website met de malware te verbergen. Uit statistieken van deze webadressen blijkt dat er meer dan 40.000 keer op de link is geklikt.

Een voorbeeld van de tekst in één van de e-mails

Beste heer/mevrouw,

UW ZENDING IS ONDERWEG ,Informatie Over Uw Zending is in dokument.

Controleer hieronder uw zending- en contactgegevens. Klik op om te bevestigen.

Bedankt dat u heeft gekozen voor On Demand Delivery.

DHL Express - Excellence. Simply delivered.

Nederlandse Post DHL Group

"De verstuurde mails ogen niet heel professioneel", zegt Mike Stokkel, beveiligingsonderzoeker bij Fox-IT, tegen RTL Nieuws: "Maar ondanks de spelfouten trappen er nog steeds veel mensen in." Mogelijk komt dat omdat de e-mails in december zijn verstuurd, een periode waarin veel mensen online cadeautjes bestellen en dus pakketjes van PostNL ontvangen.

Zip-bestand
Zodra het slachtoffer op het linkje in de mail drukt, wordt er een zip-bestand (contactgegevens%2012_2017_10_00_.zip) gedownload met zogenaamd de 'zending- en contactgegevens'. Daarin zit het bestand verstopt dat de malware op de computer installeert.

Het virus is een variant van de bekende Zeus-malware en heet Zeus Panda. De malware infecteert alleen Windows-computers. Mensen die het linkje in de e-mail op hun Mac-computer of smartphone of tablet hebben geopend, lopen daardoor geen gevaar.

Coolblue, Amazon, banken
Zeus Panda houdt in de gaten welke websites het slachtoffer bezoekt. Zodra je bijvoorbeeld de website van je bank of een webwinkel bezoekt, wordt de malware actief en besmet hij de website. De geïnfecteerde website stuurt dan de logingegevens en overboekingscodes van je bank of je creditcardgegevens naar de criminelen.

De malware is specifiek op Nederland gericht, blijkt uit de websites die Zeus Panda besmet. Het gaat om de websites van onder andere Coolblue, Booking.com, Otto, Amazon, De Volksbank (SNS, ASN en Regiobank), ING, ABN Amro, Knab, en Triodos.

Hoeveel slachtoffers Zeus Panda heeft gemaakt, is niet bekend. Als je alleen op het linkje hebt gedrukt maar niet het zip-bestand hebt geopend, loop je geen gevaar. Je moet het bestand in het zip-bestand hebben geopend om de malware op je computer te installeren.

Fox-IT raadt slachtoffers aan om één of meerdere virusscanners te draaien om Zeus Panda van de computer te verwijderen.