Nalatigheid banken keihard afgestraft door cybercriminelen

    Cybercriminelen hebben met de recente ongekende mega-overval op 100 banken één ding duidelijk gemaakt : de mogelijkheden zijn onbegrensd. ‘Als ze eenmaal binnen zijn, kunnen ze de hele bank leegroven.' Nalatigheid wordt keihard afgestraft. 'Als de getroffen banken hun software up-to-date hadden, was er niks gebeurd.'

    ‘LOL BANK FUCKING,’ luidde een van benamingen waarmee de groep cybercriminelen de malware verspreidden om een van de grootste bankroven in de bancaire geschiedenis te plegen. De meer dan 100 banken, verspreid over 30 landen, konden de afgelopen twee jaar minder hardop lachen. Zij vielen ten prooi aan een groep van Russische, Oekraïense en Chinese cybercriminelen die de afgelopen twee jaar tussen de 300 miljoen en een miljard dollar wisten te roven van banken. ‘Het is erg zorgwekkend dat ze bij meerdere banken zo diep zijn doorgedrongen,’ zegt Jornt van der Wiel, security researcher bij IT-beveiligingsbedrijf Kaspersky Lab. Hij was betrokken bij het Carbanak-onderzoek naar de groep cybercriminelen. ‘De afgelopen jaren is het de trend geworden dat criminelen niet meer de klanten van banken aanvallen, met bekende malware zoals Zeus, maar de banken zélf. Ik hoop niet dat deze casus de opmars vormt voor meer aanvallen, maar we vrezen het ergste.’

    SWIFT-betalingen

    De modus operandi van de cybercriminelen was om eerst via zogeheten spear phishing –  emails met soms een ordinair, doch besmet, Word-document - toegang te krijgen tot de computer van front office medewerkers om langs die weg toegang te krijgen tot de computers en wachtwoorden van de systeembeheerders om op die manier steeds dieper door te dringen in de infrastructuur van de bank. De geïnfecteerde computers konden vervolgens op afstand gemonitord worden via de registratie van toetsaanslagen, het om de 20 seconden maken van screen dumps en het observeren van handelingen via video-opname software. Het eindresultaat: een ‘schaduwmedewerker’ die overboekingen kan doen en pinautomaten geld kan laten uitbetalen. De mogelijkheden waren onbeperkt, zo viel afgelopen weekend te lezen in een verbazingwekkend artikel in de New York Times waarin wordt geopend met een beschrijving van een pinautomaat in Kiev die eind 2013 geld begon uit te geven. Zónder dat er een pas in was gestoken. De hackers kregen ook zelfs zicht op de heilige graal van het financiële stelsel: het Swift-systeem waarmee internationale betalingen worden afgewikkeld. ‘Ze hebben niet direct Swift gehackt,’ verzekert Van der Wiel ‘maar ze hebben wel toegang gekregen tot de computer van een bankmedewerker die Swift-betalingen aanmaakte. Ze hadden ook zijn username en wachtwoord en via video-opnames hadden ze gekeken hoe hij werkte. En daardoor konden zij ook die Swift-opdrachten aanmaken. Het leek alsof de bank zelf de betaalopdrachten invoerde. Daardoor kon de groep ook zo lang ongedetecteerd zijn gang gaan. De standaard fraudesoftware dacht gewoon dat de bankmedewerker de betalingen uitvoerde.’
    'Als ze eenmaal binnen zijn, kunnen ze in principe de hele bank leegroven'
    De betalingen werden verricht naar twee rekeningnummers bij JPMorgan en de Agricultural Bank of China. ‘Het is bij Van der Wiel niet bekend of het geld daarna verder is doorgesluisd naar pakweg een offshore-rekening. ‘Het is bekend dat ze cashten door pinautomaten geld te laten uitspuwen of door rekeningen aan te maken voor geldezels [mensen die in opdracht van de criminelen het geld pinnen, red.] zodat die naar de pinautomaat konden om geld eruit te halen. Hun rekeningnummers werden via de gehackte computers aangemaakt.’ De aanvallers hebben opvallend genoeg nooit meer dan 10 miljoen per keer buitgemaakt. Van der Wiel: ‘Als ze eenmaal binnen zijn dan kunnen ze in principe de hele bank leegroven, maar dat hebben ze bewust niet gedaan. De banken krijgen tot 10 miljoen terug van de verzekering en hoeven er dan geen ruchtbaarheid aan te geven. Daardoor dachten de daders dat ze ongestoord door konden gaan.’ Kortom, het lijkt erop dat de cybercriminelen gebruik willen maken van de zwijgzame houding van banken die het slachtoffer zijn van cybercrime, iets waar Nederlandse banken ook van in de kramp schieten.

    Cyberterrorisme

    De G20 heeft vorige week financiële toezichthouders bij elkaar geroepen om de risico’s te in beeld te krijgen met betrekking tot terrorisme en onrust op de financiële markten. Een medewerker van de Bank of England waarschuwde al voor hackers die in opdracht financiële markten ontregelen. Volgens Van der Wiel is dat geen overtrokken reactie. 'Voor het gemak neem ik aan dat terroristen uit zijn op het “beschadigen” van een bank. Echter, wanneer dit gebeurt dan zullen de backups teruggezet worden en zal de bank weer redelijk snel “semi-operationeel” zijn. Ik zeg semi, omdat er grondig forensisch onderzoek gedaan moet worden naar de hele operatie. Wanneer dit echter gelijktijdig bij een aantal belangrijke financiële instellingen gebeurt - bijvoorbeeld een payment processor en een paar hele grote banken - dan wordt het een heel lastig verhaal.'
    'REKENINGNUMMERS WERDEN VIA DE GEHACKTE COMPUTERS AANGEMAAKT'
    De recente cyberoverval maakt duidelijk dat malware om bankprocessen over te nemen, voorhanden  is. In een vorig jaar uitgegeven rapport van de beveiligingsbedrijven Group-IB en Fox-IT wordt ook gedetailleerd ingegaan op de mogelijkheden van de ingenieuze bank-malware genaamd ‘Anunak’ dat vooral ingezet wordt voor aanvallen op banken en betalingssystemen. ‘The software called “Mimikatz” is built in this program. This is an open source software that allows to obtain passwords of user accounts logged in the Windows system. However, this software was considerably changed: while maintaining the capability to get account passwords the functions of user interaction and of information output for errors and program execution were eliminated. Thus, when the malicious program is executed on the server, it will secretly compromise all the domain and local accounts, including administrator accounts.’ En ook een handige functionaliteit: ‘There are also the functions to interact with the bank system iFOBS [online banking software, red].’

    En garde

    De digitale overvallen vormen een wake-upcall voor banken. Van der Wiel: ‘Als de getroffen banken hun software up-to-date hadden dan was er niks gebeurd. Ze hebben enkel gebruik gemaakt van bekende exploits waar al een patch voor is. De belangrijkste les die uit deze digitale bankoverval getrokken moet worden, is het up-to-date houden van software.’ De vorig jaar aan het licht gekomen hack bij Amerika's grootste bank JPMorgan Chase was ook te voorkomen geweest als er een relatief simpele reparatie was doorgevoerd in de beveiliging. Nalatigheid zorgde er echter voor dat maar liefst 83 miljoen klantgegevens in handen vielen van hackers.
    'Als de getroffen banken hun software up-to-date hadden dan was er niks gebeurd'
    Banken zullen volgens Van der Wiel nog meer op hun hoede moeten zijn. ‘Door alle aandacht is de kans groot dat de aanvallers het even rustig aan doen, maar het zal zeker niet ophouden, we gaan vaker dit soort digitale roven meemaken.’ Dat zou betekenen dat banken naast alle kapitaal- en compliance-eisen uit Bazel, Brussel en Den Haag ook meerwerk krijgen vanuit steden als St Petersburg. ‘Het is dermate verstorend, want als een grote bank een intel-rapport binnenkrijgt dan moeten ze gaan kijken naar de ioc's, de indicators of compromise. Die moeten ze allemaal nagaan in hun logfiles. Voor het dagelijkse proces van een bank is dat heel erg verstorend. En als blijkt dat ze geraakt zijn dan hebben ze helemaal een probleem, want dan komt er een forensisch team bij, die moet alle malware eraf halen, kijken waar het is binnengekomen en wat er heeft plaatsgevonden. Dat kost veel tijd, geld en moeite.’

    Deel dit artikel, je vrienden lezen het dan gratis

    Over de auteur

    Dennis Mijnheer

    Gevolgd door 1214 leden

    Ontspoorde bedrijfskundige die alles wil weten van mannen en vrouwen met witte boorden. Tags: fraude, witwassen, omkoping.

    Volg Dennis Mijnheer
    Verbeteringen of aanvullingen?   Stuur een tip
    Annuleren