Beveiligingsleveranciers McAfee en Guardian Analytics hebben een wereldwijd opererende organisatie ontdekt die met geavanceerde systemen op zeer grote schaal financiële fraude pleegt. De organisatie doet dit met aanvallen die gebruikmaken van geavanceerde varianten van Zeus en SpyEye, waarbij fysieke authenticatiemethoden zoals PIN, TAN en authenticatie-apparaten omzeild worden. De aanvallen vereisen geen menselijke tussenkomst.
Ook in Nederland zijn banken en klanten het slachtoffer geworden. McAfee heeft vastgesteld dat getracht is om tientallen miljoenen euro's van duizenden Nederlandse zakelijke bankrekeningen weg te sluizen. Er wordt geschat dat deze criminele organisatie tot op heden heeft getracht om tussen de zestig miljoen en twee miljard euro te stelen van minstens zestig banken over de hele wereld.
De geschatte waarde van gestarte frauduleuze transacties in Nederland bedraagt 35.580.000 euro. Er zouden twee banken slachtoffer zijn, waarbij vijfduizend voornamelijk zakelijke bankrekeningen geplunderd zouden zijn. De gemiddelde waarde van frauduleuze transactie in Nederland bedraagt 1923 euro.
Operation High Roller
Deze criminele organisatie, die 'Operation High Roller' is gedoopt, heeft banksystemen over de hele wereld weten te bereiken door middel van geautomatiseerde systemen die geen tussenkomst van gebruikers vereisen. Deze systemen trachten grote bedragen te stelen van bankrekeningen met veel geld. De aanvallen van Operation High Roller richten zich op verschillende financiële instituten: kredietmaatschappijen, grote internationale banken en nationale banken, via vrij kleine, automatische transacties die minder snel gedetecteerd worden.
Volgens McAfee en Guardian Analytics voegt dit netwerk veel baanbrekende extra's toe, zoals het omzeilen van de fysieke chip- en pinauthenticatie, databases met geautomatiseerde neprekeningen, frauduleuze transacties vanaf servers en pogingen tot overschrijving van bedragen tot honderdduizend euro naar zakelijke neprekeningen. In tegenstelling tot standaardaanvallen van het type SpyEye en Zeus, waarbij gewoonlijk sprake is van directe (handmatige) interventies en fraudepogingen met behulp van de computer van het slachtoffer, hebben McAfee en Guardian Analytics nu al meer dan tien groepen ontdekt die gebruikmaken van servercomponenten en verregaande automatisering. Tijdens dit onderzoek zijn zestig servers aangetroffen waarop duizenden pogingen tot diefstal van grote zakelijke rekeningen en enkele vermogende particuliere rekeninghouders zijn verwerkt.
Automatische serveraanvallen
In maart 2012 richtten de oplichters hun aandacht op de Nederlandse banken en breidden hun aanpak uit met automatische aanvallen vanaf servers. Door de frauduleuze overschrijving aan de serverzijde uit te voeren konden de criminelen beveiligings- en bewakingstools en hindernissen van fraudeopsporingsteams bij de financiële instelling omzeilen. De server waarmee deze transacties werden uitgevoerd, stond in San Jose (Californië).
In dezelfde maand brachten McAfee en Guardian Analytics ook aan het licht dat de in San Jose ondergebrachte frauduleuze transactieserver, die was gebruikt tijdens de aanvallen in Nederland, nu werd gebruikt om banken in de Verenigde Staten op te lichten. Deze server bediende zich van client- en servercomponenten om geautomatiseerde aanvallen op Amerikaanse financiële instellingen te lanceren door opdracht te geven voor overschrijvingen van speciale handels- en beleggingsrekeningen. Dit zijn het soort rekeningen waar doorgaans voor tientallen miljoenen dollars aan assets op staat. Acht tot tien malwarevarianten zijn hebben exclusief Amerikaanse bedrijven tot doelwit.
Misschien moet het nog wel anders. Als ik ongevraagd geld overmaak van jouw naar mijn rekening staat morgen de politie bij mij voor de deur. Deze criminelen zijn in staat met een stelsel van rekeningen het geld zo hard rond te pompen dat het ‘verdwijnt’. Als we dat gat nu eens dichten? Volgens mij is dit slechts ten dele een IT probleem…
Hoewel de materie wat vaag (uitgelegd) is, krijg ik ten eerste de indruk dat er sprake moet zijn van veel inside information. Ik ben dan ook niet geheel verbaasd dat daar wat te kraken valt.
Wat grotere zorg baart is dat virussen als Zeus of afgeleiden daarvan infiltreren in het thuisbankieren, waarbij de werkelijke transacties worden gemaskeerd en de gebruiker denkt dat alles in orde is. Dit klinkt als een man in the middle attack via de besmetting van een virus. De gebruiker voert dan al zijn codes in, maar weet niet dat die in werkelijkheid eerst even naar een criminele server geleid word, die de transacties manipuleert en dan naar de bank stuurt.
Het professionalisme wat hier achter zit lijkt al verder te zijn dan het professionalisme die bij de banken zelf zit. Het is dan ook een kwestie van tijd dat zoiets tot zware ongelukken gaat leiden.