Beveiligingsleveranciers McAfee en Guardian Analytics hebben een wereldwijd opererende organisatie ontdekt die met geavanceerde systemen op zeer grote schaal financiële fraude pleegt. De organisatie doet dit met aanvallen die gebruikmaken van geavanceerde varianten van Zeus en SpyEye, waarbij fysieke authenticatiemethoden zoals PIN, TAN en authenticatie-apparaten omzeild worden. De aanvallen vereisen geen menselijke tussenkomst.
Ook in Nederland zijn banken en klanten het slachtoffer geworden. McAfee heeft vastgesteld dat getracht is om tientallen miljoenen euro's van duizenden Nederlandse zakelijke bankrekeningen weg te sluizen. Er wordt geschat dat deze criminele organisatie tot op heden heeft getracht om tussen de zestig miljoen en twee miljard euro te stelen van minstens zestig banken over de hele wereld.
De geschatte waarde van gestarte frauduleuze transacties in Nederland bedraagt 35.580.000 euro. Er zouden twee banken slachtoffer zijn, waarbij vijfduizend voornamelijk zakelijke bankrekeningen geplunderd zouden zijn. De gemiddelde waarde van frauduleuze transactie in Nederland bedraagt 1923 euro.
Operation High Roller
Deze criminele organisatie, die 'Operation High Roller' is gedoopt, heeft banksystemen over de hele wereld weten te bereiken door middel van geautomatiseerde systemen die geen tussenkomst van gebruikers vereisen. Deze systemen trachten grote bedragen te stelen van bankrekeningen met veel geld. De aanvallen van Operation High Roller richten zich op verschillende financiële instituten: kredietmaatschappijen, grote internationale banken en nationale banken, via vrij kleine, automatische transacties die minder snel gedetecteerd worden.
Volgens McAfee en Guardian Analytics voegt dit netwerk veel baanbrekende extra's toe, zoals het omzeilen van de fysieke chip- en pinauthenticatie, databases met geautomatiseerde neprekeningen, frauduleuze transacties vanaf servers en pogingen tot overschrijving van bedragen tot honderdduizend euro naar zakelijke neprekeningen. In tegenstelling tot standaardaanvallen van het type SpyEye en Zeus, waarbij gewoonlijk sprake is van directe (handmatige) interventies en fraudepogingen met behulp van de computer van het slachtoffer, hebben McAfee en Guardian Analytics nu al meer dan tien groepen ontdekt die gebruikmaken van servercomponenten en verregaande automatisering. Tijdens dit onderzoek zijn zestig servers aangetroffen waarop duizenden pogingen tot diefstal van grote zakelijke rekeningen en enkele vermogende particuliere rekeninghouders zijn verwerkt.
Automatische serveraanvallen
In maart 2012 richtten de oplichters hun aandacht op de Nederlandse banken en breidden hun aanpak uit met automatische aanvallen vanaf servers. Door de frauduleuze overschrijving aan de serverzijde uit te voeren konden de criminelen beveiligings- en bewakingstools en hindernissen van fraudeopsporingsteams bij de financiële instelling omzeilen. De server waarmee deze transacties werden uitgevoerd, stond in San Jose (Californië).
In dezelfde maand brachten McAfee en Guardian Analytics ook aan het licht dat de in San Jose ondergebrachte frauduleuze transactieserver, die was gebruikt tijdens de aanvallen in Nederland, nu werd gebruikt om banken in de Verenigde Staten op te lichten. Deze server bediende zich van client- en servercomponenten om geautomatiseerde aanvallen op Amerikaanse financiële instellingen te lanceren door opdracht te geven voor overschrijvingen van speciale handels- en beleggingsrekeningen. Dit zijn het soort rekeningen waar doorgaans voor tientallen miljoenen dollars aan assets op staat. Acht tot tien malwarevarianten zijn hebben exclusief Amerikaanse bedrijven tot doelwit.
Is er wat mis met de vertaling van dit wel erg warrige verhaal? Ik moet gaan destilleren wat er bedoeld wordt.
Dit bewijst maar weer eens: het wordt zeer hoog tijd dat we security by obscurity (lees: closed source software gebruiken) afschaffen.
Bij Open Source kan sowieso iedereen in de code kijken dus schijft men _automatisch_ betere code en sowieso code zonder malware erin. Ook onveilige zaken worden hard afgestraft als men die ontdenkt in Open Source.
Het probleem is dat alle banken, overheden, scholen en bedrijven bijna zonder uitzondering met Closed Source werken i.p.v. met Open Source.
En ja, natuurlijk zullen veel bedrijven dan omvallen omdat ze dan minder inkomsten hebben. Jammer dan. Niet de commercie moet voorop staan, maar eerlijkheid en veiligheid.
Open source als extra beveiliging is pure onzin. Het heeft te maken met de juiste risico aanpak en analyses die men vooraf maakt. Open source is dusdanig open dat ook criminelen daar toegang toe hebben, immers alles word gedeeld en criminelen hebben geen regels. Dus de stelling open source is safer dan closed source is echt pure onzin. En eerlijke criminelen ben ik nog niet tegen gekomen Het zijn de maatregelen die men neemt, als je rommel outsourced blijft het rommel en je bent kwetsbaar. kijk maar naar de engelse bank met 100miljoen transacties die ze kwijt zijn. Dus de totale set van maatregelen en controle daarop zijn van belang. En als je dat op een platform doet is het prima.
Het is algemeen bekend dat beveiliging geld kost. De banken calculeren nl de schade in. Hoe meer beveiliging hoe kleiner de winst. Het is een kwestie van kiezen.
@m
Wat een onzin om te stellen dat open source code per definitie beter is.
Tevens ook erg simpel van je om te impliceren dat in closed source malware verpakt zit. Malware is overal in te verpakken.
Noem eens een open source pakket dat primaire bankprocessen ondersteund met het daarbij behorende volume aan transacties.
Trouwens, alle code is in principe te exploiteren, ook “code zonder malware”.
Interessant artikel, maar waar gaat het over?
De geschatte schade bedraagt 35 miljoen, gemiddelde schade 1.923 euro. Ik mis even de echte koppeling met dit netwerk, is het zo dat het dit netwerk is gelukt om 35 mio te stelen of is dit de waarde van fraude in Nederland überhaupt.
Verder is er getracht om miljarden van rekeningen te halen, dit is kennelijk niet gelukt. kennelijk hebben de dieven heel precies aangegeven dat ze tussen de 60 mio en 2 miljard wilden stelen.
Daarnaast is er sprake van intelligentie: Er wordt getracht om bedragen van rekeningen met een hoog saldo te stelen. Daar is dus inzage voor nodig.
Dat je een server nodig hebt om software op te draaien lijkt mij logisch. Ik neem aan dat ook nog steeds van de client kant wordt getracht in te breken, dat blijkt uit de berichtgeving.
Ik denk dat het wel eenvoudig is om een transactie na te spelen, hoe dan binnen de security context van een bericht komt zonder interne kennis is raadselachtig, tenzij het man in the middle attacks zijn.
De vraag die onbeantwoord blijft is of Mcafee en Guardian die extern of intern hebben ontdekt en met of zonder medeweten van de bank. Antwoorden op deze vragen zouden het verhaal tot thriller hoogte kunnen doen stijgen.
Wel verontrustend allemaal, maar de waarheid zal nooit op tafel komen vrees ik.
Jahaaa het schip is lek en er komt niet alleen water binnen!!!
Interessante vraag is natuurlijk hoe de fraudeurs toegang tot de servers hebben gekregen.
Van binnen uit?
Dat hackers toegang kunnen krijgen tot een server die financiële transacties kan doen is natuurlijk zorgwekkend. Ik ben het met de andere respondenten eens dat IT systemen beter moet worden beveiligd. Daarbij is een geïntegreerde aanpak noodzakelijk. Het toepassen van Open Source software kan helpen om malware te ontdekken door bijvoorbeeld de software te verifieren tegen het originele certificaat. Deze controles kunnen zowel handmatig en automatisch periodiek worden uitgevoerd. Beveiliging van IT systemen is een opeenstapeling van allerlei verschillende maatregelen met betrekking tot mensen, systemen en netwerken, gebouwen en processen. Met de juiste keuze van maatregelen kan het de potentiele hacker wel heel moeilijk worden gemaakt om schade aan te richten. Onfeilbaar zal een dergelijke beveiliging nooit zijn. Het is een wedloop tussen beveiligers en hackers. Sterke authenticatie, met of zonder een smart card en/of biometrische identiteitsverificatie kan een van die maatregelen zijn, naast het inbouwen van andere controles, zoals bijvoorbeeld het toepassen van firewalls, logische toegangscontrole en stralingsdichte ruimtes.
Ronald Huijgens, Unisys
@UnisysNL
In 1983 was er de commodore-64 computer, software was duur en werd gecopieerd. Er kwam beveiligde software, die werd gekraakt. Van de gekraakte software werd het lek gedicht, enz. Dit spel gaat tot en met heden door, het is nog NOOIT iemand gelukt een definitieve beveiliging te maken en dit zal NOOIT lukken.
Ik stel dat iets beveiligen op een systeem dat door iedereen van buitenaf benaderd kan worden onmogelijk is, immers het de vindingrijkheid en denkkracht van alle criminelen op deze aarde staat tegenover die van de beveiligers.
Daarom is het doen van geautomatiseerde zakelijke transacties via servers enz. vragen om moeilijkheden, het geloof in de IT is zwaar overschat. Er moet naar een totaal andere werkwijze gezocht worden die criminelen echt buiten de deur houd, IT-systemen niet in een wereldwijd web laten functioneren, maar binnen fysiele afscheidingen zoals gebouwen enz.