Laten cybercriminelen Nederlandse banken met rust?

3 Connecties

Onderwerpen

Fraude Internetbankieren

Organisaties

ING Groep N.V.
4 Reacties

Internetbankieren is een cashcow aan het worden. Voor cybercriminelen. Overal slaan ze toe. Alleen Nederlandse banken claimen steevast dat ze niet gedupeerd zijn. Rara, hoe kan dit?

Alarmerende berichten van het internetbeveiligingsfront. Het gerenommeerde beveiligingsbedrijf McAfee bracht afgelopen week een rapport naar buiten waarin wordt gemeld dat er begin volgend jaar een grote cyberaanval staat gepland om massaal bankrekeningen te plunderen bij dertig Amerikaanse banken. Codenaam: Project Blitzkrieg. De fundamenten voor de aanval zijn volgens de McAfee-onderzoekers al in 2008 gelegd en tijdens verschillende try-outs is er inmiddels voor 5 miljoen dollar binnengeharkt. En de big bang moet nog komen; bij onder meer Citibank, Chase, Wells Fargo, eBay en PayPal.

Maart 2012: ‘36 miljoen buitgemaakt in Nederland’
Amerikaanse banken zijn voor cybercriminelen vaak een relatief makkelijk doelwit, want er is vaak enkel een inlognaam en wachtwoord vereist voor internetbankieren. Extra verificatie-codes afkomstig van een random reader (Rabobank), e.dentifier (ABN Amro) of tan-codes (ING) zijn jenseits nog geen gemeengoed. Desondanks worden Nederlanders niet gespaard. McAfee meldt in een ander recent rapport, getiteld ‘Operation High Roller’ dat er in maart van dit jaar volop geplunderd is bij twee, niet nader gespecificeerde Nederlandse banken. Cybercriminelen wisten geautomatiseerd toegang te krijgen tot vijfduizend rekeningen - volgens de McAfee-onderzoekers vooral zakelijke accounts. Daar werd vervolgens voor bijna 36 miljoen euro weggesluisd.

Eurograbber wist tan-codes te onderscheppen
Twee weken geleden was het weer raak in Nederland. De Israëlische beveiligingsbedrijven Check Point en Versafe brachten een rapport naar buiten waarin wordt gemeld dat er dit jaar bij drie Nederlandse banken voor ongeveer 1,2 miljoen euro van 940 bankrekeningen is afgeschreven. Het vond plaats met behulp van een banking trojan met de veelzeggende naam Eurograbber. Het virus bleek zelfs in staat om tan-codes te onderscheppen, de extra verificatie waar ING mee werkt. Wereldwijd wisten de cybercriminelen via het banking trojan bij in totaal dertigduizend rekeninghouders naar schatting 36 miljoen euro af te schrijven.

Hoe werkt Eurograbber?
De werkwijze van de trojan Eurograbber is ingenieus en effectief. Het begon met het infecteren van computers via bijvoorbeeld bijlagen of het bezoeken van geïnfecteerde webpagina´s vanaf een computer met niet geupdate software. Zodra er daarna vanaf de besmette computer werd ingelogd op de website van de bank, werden de gebruikersnaam en het wachtwoord automatisch onderschept. Vervolgens verscheen er op de banksite een Javascript-mededeling waarin werd gevraagd om het mobiele telefoonnummer en het mobiele besturingssysteem in te voeren (zie afbeelding onder). De opgevoerde reden was dat de bank een nieuw beveiligingssysteem in gebruik ging nemen om fraude op mobiele telefoons te voorkomen. Vervolgens kreeg de gebruiker een sms met een link toegestuurd om een zogenaamde beveiligingsupdate te downloaden. In werkelijkheid werd echter de Eurograbber malware geïnstalleerd op de smartphone. Daarmee kon de – door de bank per sms verstuurde - tan-code afgevangen worden. De sms werd automatisch doorgestuurd naar de cybercriminelen, de particulier kreeg zijn tan-code niet te zien op zijn telefoon. En de cybercriminelen hadden ondertussen alle benodigde informatie verzameld om een malafide banktransactie te doen (gebruikersnaam + wachtwoord + tan-code).

 

 

Foto: de Eurograbber-trojan liet de bovenstaande javascriptmelding verschijnen om smartphone-gegevens te achterhalen, een sms te sturen en de smartphone te infecteren.

ING?
Checkpoint-researcher Tomer Teller, betrokken bij het onderzoek naar Eurograbber, maakt zich zorgen. “We hebben zo’n complexe aanval nog niet eerder succesvol gezien. De gegevens van zowel een pc als een smartphone werden samengevoegd en daardoor is het mogelijk geworden om het 2 factor-beveiligingssysteem te kraken.” Teller geeft aan dat er contact is geweest met de betrokken Nederlandse banken, maar hij wil vanwege “de privacy” geen banken bij naam noemen. ING is de grootste bank die nog werkt met het versturen van Tan-codes per sms, maar laat FTM desgevraagd weten dat klanten niet gedupeerd zijn door het Eurograbber-trojan. “Het is een apart verhaal, maar we monitoren alles en deze zaak heeft ons niet getroffen,” aldus ING woordvoerder Karin van der Pol.

Banken downplayen de gevolgen
In augustus werden ING-klanten met zekerheid getroffen door het Dorifel-virus Onderzoeker Rickey Gevers van The Hacker Company kreeg inzage in de logfiles van de server en wist te melden dat er 1193 rekeningen van ING waren gecompromitteerd. De ING verspreidde vervolgens een persbericht met veel mitsen en maren. “Het is echter op dit moment nog niet duidelijk om welke gegevens het precies gaat en of hier daadwerkelijk misbruik van is gemaakt,” aldus ING in de verklaring.

Het is een standaardreactie op de uitkomsten van bovenstaande rapporten. Ondanks dat er grote fraudezaken gerapporteerd worden, banken als Rabobank en ING extra beveiligingsmaatregelen nemen, wordt er bij banken vooral gezwegen over de schade. Gevers:  “Helaas kunnen beveiligingsbedrijven vaak enkel vaststellen hoeveel klantgegevens er gestolen zijn. Maar het totale bedrag dat daadwerkelijk is afgeschreven, weet enkel de getroffen bank. Een eerlijk antwoord daarop kun je niet verwachten, want banken willen het vertrouwen in internetbankieren niet ondergraven. De meeste banken geven daarom aan dat ze voor 0,0 euro zijn getroffen.”

Cybercriminelen blijven onder de radar
De ratrace tussen banken en cybercriminelen is in volle gang. Vorige maand introduceerde ING de PAC-code, een extra code die gebruikt moet worden om in te loggen zodra een particulier afwijkend gedrag vertoont tijdens het internetbankieren. Dat kan variëren van een ongewoon IP-adres tot een ongebruikelijk tijdstip van inloggen. Aan de hand van honderden parameters worden ongebruikelijke patronen ontwaard.
Maar zorgwekkend is dat cybercriminelen ook steeds geavanceerdere methodes ontwikkelen om de interne controlesystemen van banken te omzeilen.
Het Operation High Roller-rapport geeft inzage in hoe geavanceerd de gehanteerde plundersystemen zijn. De gebruikte trojan haalde alles uit de kast om ‘normaal’ internetbankiergedrag na te bootsen. Zo werd bijvoorbeeld eerst automatisch het saldo gecheckt en vervolgens werd níet het hele bedrag afgeboekt – want dat zou alarmbellen kunnen doen rinkelen bij het alarmeringssysteem van banken – maar slechts een bepaald percentage. De ontwerpers hadden bovendien een algoritme opgesteld om de timing van clandestiene transacties te variëren en er was een algoritme dat op een normale manier over de internetpagina scrolde. Doel: het voorkomen van acties die red flags hijsen waarna de bank de gecompromitteerde rekening blokkeert en de bijbehorende klant op de hoogte stelt dat er inloggegevens zijn buitgemaakt.

27 miljoen schade in 6 maanden
De schade met betrekking tot internetbankieren neemt in Nederland toe. Uit cijfers van de Nederlandse Vereniging van Banken (NVB) blijkt dat in de eerste zes maanden van 2012 er in totaal voor 27,3 miljoen euro werd gefraudeerd met internetbankieren. Het betekent een stijging van 14 procent ten opzicht van een jaar eerder. In heel 2011 bedroeg de fraude met internetbankieren 35 miljoen euro. Het schadebedrag wordt niet uitgesplitst per bank.

 

dennis@ftm.nl

 

Deel dit artikel, je vrienden lezen het dan gratis

Over de auteur

Dennis Mijnheer

Gevolgd door 1332 leden

Ontspoorde bedrijfskundige die alles wil weten van mannen en vrouwen met witte boorden. Tags: fraude, witwassen, omkoping.

Verbeteringen of aanvullingen?   Stuur een tip
Annuleren