Een groep cybercriminelen heeft wereldwijd miljoenen dollars van meer dan 100 banken in 30 landen gestolen. De meeste getroffen banken bevinden zich in Rusland en de VS, gevolgd door banken in Duitsland, Oekraïne en China. In tegenstelling tot eerdere berichtgeving zouden Nederlandse banken geen doelwit zijn geweest.
Dat ontdekte het Russische anti-virusbedrijf Kaspersky Lab dat maandag een rapport over de operatie van de cybercriminelen zal publiceren, maar een deel van details al met de New York Times deelde. De Russische virusbestrijder kwam de criminelen op het spoor toen een geldautomaat in Kiev op willekeurige momenten geldbiljetten uitgaf, zonder dat er een pinpas in de automaat was gestoken. Onderzoek wees uit dat cybercriminelen het interne banknetwerk hadden geïnfiltreerd.
Door besmette e-mails te versturen, bijvoorbeeld een nieuwsbericht dat van een collega afkomstig leek, die door medewerkers werden geopend raakten de bankcomputers besmet. Via deze computers wisten de aanvallers toegang tot de systemen te krijgen die het bankpersoneel voor dagelijkse transacties en boekhouden gebruikte. Via de geïnstalleerde malware werd vervolgens de werkwijze van de bankmedewerkers opgenomen.
Deze informatie gebruikten de criminelen om zich als het bankpersoneel voor te doen, waarbij er miljoenen van banken in Rusland, Japan, Zwitserland en de Verenigde Staten naar rekeningen in andere landen werd overgemaakt. Om het geld ook op te nemen bestuurden de criminelen de geldautomaten van de bank, zodat die op een bepaalde moment de bankbiljetten uitgaven. Daarnaast werd het geld ook via online banksystemen overgemaakt.
De grootste bedragen werden echter gestolen door de boekhoudsystemen van de banken te hacken en tijdelijk het rekeningsaldo te wijzigen. Zo werd bijvoorbeeld een rekening met 1.000 dollar naar 10.000 dollar opgehoogd, waarna 9.000 dollar naar een andere bank werd overgemaakt. De oorspronkelijke rekeninghouder merkte hier niets van en de bank zou de fraude pas na enige tijd ontdekken. Veel banken bleken de rekeningen elke 10 uur te controleren. Binnen dit tijdsvenster konden de criminelen de rekeningen aanpassen en het geld overmaken.
In totaal zouden volgens Kaspersky Lab over een periode van bijna twee jaar meer dan 100 banken in 30 landen zijn aangevallen. Om welke banken het gaat wil het anti-virusbedrijf niet zeggen. Onderzoekers van de virusbestrijder zouden bewijs hebben gezien dat de bende 300 miljoen dollar heeft buitgemaakt en mogelijk zelfs het drievoudige hiervan. Deze schatting zou echter onmogelijk zijn om te bewijzen, omdat de criminelen een limiet van 10 miljoen dollar per transactie hanteerden.
Sommige banken zouden echter meerdere keren zijn getroffen. De New York Times meldt dat de meeste transacties bescheiden waren, waarschijnlijk om de waarschuwingssystemen van de banken niet af te laten gaan. "Als het om de tactieken en methoden gaan die de cybercriminelen gebruikten om onopgemerkt te blijven, dan is dit waarschijnlijk de meest geraffineerde cyberaanval die tot nu toe heeft plaatsgevonden", aldus Chris Doggett van Kaspersky Lab.
Kaspersky Lab laat tegenover Security.NL weten dat er geen Nederlandse bank of banken zijn getroffen zoals eerder werd gemeld, waarop het artikel is aangepast. Daarnaast zouden ook geen banken in België en Luxemburg het doelwit zijn geweest. In het artikel van de New York Times staat echter nog wel steeds vermeld dat er geld van één of meer Nederlandse banken is gestolen. Uit een overzicht van Kaspersky Lab blijkt dat na Rusland en de VS banken in Duitsland, de Oekraïne en China het zwaarst zijn getroffen.
Volgens de virusbestrijder gebruikten de aanvallers e-mails met als bijlage de "Carnabak-malware" en werden er ook e-mails met exploits gebruikt. Of deze exploits van onbekende lekken gebruik maakten of lekken waarvoor al een update beschikbaar was is nog niet bekendgemaakt. Wel zouden de aanvallers bij de banken honderden computers hebben geïnfecteerd om de computer van de systeembeheerder te vinden, waarmee vervolgens toegang tot de transactiesystemen werd verkregen.
Kaspersky Lab laat verder weten dat de New York Times de samenwerking tussen het anti-virusbedrijf en de Nederlandse National High-Tech Crime Unit (NHTCU) mogelijk verkeerd heeft geïnterpreteerd. De Russische virusbestrijder heeft informatie over de zaak naar de NHTCU gestuurd. Verder zal het rapport morgen tijdens de Kaspersky Security Analyst Summit (SAS) worden gepresenteerd, samen met Peter Zinn van de NHTCU.
Mogelijk heeft de Amerikaanse krant hierop gebaseerd dat ook Nederlandse banken het slachtoffer zijn geworden. Nederland staat in het rapport dat morgen verschijnt echter niet in de lijst van getroffen landen. Verder stelt Kaspersky Lab dat het ook geen aanwijzingen heeft dat er Nederlandse financiële instellingen het slachtoffer zijn geworden.
Deze posting is gelocked. Reageren is niet meer mogelijk.