Een beruchte groep internetcriminelen die de afgelopen jaren miljoenen euro's van banken en bedrijven wist te stelen is opnieuw actief waarbij organisaties in de horecasector via telefoongesprekken en Word-documenten met malware worden geïnfecteerd die creditcardgegevens steelt.

Daarvoor waarschuwt beveiligingsbedrijf Trustwave. Verschillende klanten van het bedrijf in de horecasector werden door een groep genaamd Carbanak aangevallen. De aanval begon met een telefoongesprek. De aanvallers belden de klantenservice en lieten weten dat het reserveringssysteem had aangegeven dat ze hun gegevens via e-mail moesten versturen.

Vervolgens stuurde de aanvaller een Word-document met kwaadaardige macro's en bleef net zolang aan de lijn totdat de werknemer van het bedrijf de bijlage had geopend en de macro's, wanneer ingeschakeld, malware op het systeem hadden geïnstalleerd. De malware kon allerlei systeem- en netwerkgegevens stelen. Ook werd het gebruikt om andere tools te downloaden waarmee het netwerk in kaart kon worden gebracht, zoals Nmap, FreeRDP, NCat en NPing. Het uiteindelijke doel van de aanvallers is het vinden van systemen met creditcardgegevens, die vervolgens worden gestolen.

Volgens Trustwave behoort de Carbanak-groep tot één van de meest geraffineerde cybercrimegroepen. De groep is aanhoudend en professioneel en gebruikt veelzijdige malware die maar weinig virusscanners opmerken. Daarnaast zijn de social engineering-aanvallen zeer gericht en worden uitgevoerd door aanvallers die perfect Engels spreken. De netwerkverkenning en laterale bewegingen door het netwerk zijn tevens snel en zeer effectief. Als laatste worden gegevens onopgemerkt en efficiënt gestolen, aldus het beveiligingsbedrijf.