Fake phishing email KBC: “Uw huidige bankkaart vervalt voor gebruik”


MX Lab, http://www.mxlab.eu, started to intercept a new malware phishing campaign by email with the subject “Uw huidige bankkaart vervalt voor gebruik”. In this fake email, the reader is warned that his current banc card will expire and that a new card is available.

This email is send from the spoofed address “KBC Bank <noreply@kbc.be>” and has the following body:

Wordt deze e-mail niet volledig weergegeven, bekijk dan hier de online versie.

Het gebruik van een nieuwe bankkaart
Uw huidige bankkaart vervalt voor gebruik

Geachte KBC cliënt,

U ontvangt binnenkort een nieuwe bankkaart. Voordat wij u de nieuwe bankkaart toesturen, vragen wij u eerst om de nieuwe bankkaart kosteloos aan te vragen. De KBC Bank heeft een nieuwe bankkaart ontwikkeld en uit onze administratie blijkt dat u de nieuwe bankkaart nog niet heeft aangevraagd.

In verband met de veiligheid van onze klanten verplicht de KBC Bank het gebruik van de nieuwe bankkaart. Hierbij vragen wij u zo snel mogelijk om uw nieuwe bankkaart kosteloos aan te vragen. Het gebruik van uw huidige bankkaart vervalt per 30 juni 2016 voor gebruik. Klik hier om kosteloos de nieuwe bankkaart aan te vragen.

De nieuwe bankkaart van de KBC Bank is beter beveiligd tegen frauduleuze praktijken en voldoet zich aan de Europese veiligheidsvoorschriften betreft bankzaken. Met de nieuwe bankkaart kunt u betalen en geld opnemen zoals u gewend bent en contactloos betalen in meer dan 12.000 winkels in heel Europa. Ook bent u beter beschermd tegen skimming en bankkaart-fraude bij geldautomaten.

Wij vertrouwen erop u hiermee voldoende te hebben geïnformeerd en van dienst te zijn geweest.

Alvast hartelijk dank voor uw medewerking.

Met vriendelijke groet,

KBC Bank N.V.
Afdeling Service & Veiligheid

Dit bericht is afkomstig van KBC Bank N.V., statutair gevestigd te Antwerpen, Handelsregister nr. 334.772. Deze e-mail is automatisch verstuurd. Antwoorden op deze e-mail worden niet gelezen.

Screenshot of the email:

The email is written in Dutch and targeting KBC users in Belgium. The embedded URL leads to hxxp://wqd.nl/elzn and redirects the user to the site hxxp://www.kbc.be.tfds.nl/be/nl/bankkaart/.

The login screen requires input of your card number and the verification PIN code normally generated by your digipass.

We have submitted fake data and continued the process. On this form, your bank account number, current PIN cod, new PIN code, phone number and email address is requested.

When submitting fake data, you have the option to select how fast the new bank card needs to be sent to you combined with some instructions on how to return your old bank card. According to the instruction, you need to resend your current bank card on the date you have requested delivery of your new bank card in the following format to the postal address:

<Your name> and <your firstname>
Rue du Pont 42
4000 Liege

Afterwards, a screen confirms that the process is completed and that the bank card will be sent within 2 days (even if you have chosen 1 day delivery).

The screens are all images, except for the form part, and are stored on the service afbeeldinguploaden.nl. Example: hxxps://static.afbeeldinguploaden.nl/1606/174553/byEo4oXA.png. Also based on the headers, this phishing campaign is sent from servers in the Netherlands.

MX Lab recommends to be careful with emails like this. Banks will never request your card numbers, PIN codes and other details and provide instructions in this format. If you detect suspicious activity, make contact with your bank and request more information.