Hackers probeerden miljoenen van bankrekeningen te halen

Cybercriminelen die gebruikmaken van een nieuwe geavanceerde techniek hebben geprobeerd 35,6 miljoen euro van Nederlandse bankrekeningen te halen. Dat meldden beveiligingsbedrijven McAfee en Guardian Analytics gisteren in een rapport. Toch hoeven we ons niet direct enrstige zorgen te maken, volgens hoogleraar internet en veiligheid Michel van Eeten van de TU Delft.

1Hoe hebben de hackers toegeslagen?

De beveiligingsbedrijven, die hun onderzoek hebben omgedoopt tot Operation High Roller, zeggen zestig servers te hebben ontdekt waarvandaan duizenden pogingen zijn ondernomen om bankgegevens van particulieren over de hele wereld te onderscheppen. In maart dit jaar waren er ook twee Nederlandse banken doelwit.

De diefstal ging als volgt: hackers braken in op computers en vroegen de klanten met een smoes (‘vanwege verbetering van de veiligheid’) om twee keer hun inlogcode in te vullen. De eerste keer om in het systeem te komen, de tweede om een transactie naar een speciale rekening te voltooien. Dit ging volledig automatisch. Dat is anders dan de reguliere inbraak bij internetbankieren, waarbij de dief via een programmaatje ‘live’ meekijkt over de schouder van een klant en zo de codes handmatig ontfutselt.

De hackers kozen voor zakelijke rekeningen: zodat ze niet gebonden waren aan een maximum aan overschrijvingen. De beveiligingsbedrijven zeggen dat er overschrijvingen van 100.000 euro zijn gedaan. Welke Nederlandse banken zijn aangevallen, is onbekend. ING, Rabobank en ABN Amro willen niet zeggen of zij tot de getroffenen behoren.

2Betekent dit nu dat er veel geld gestolen is?

Niet per sé, zegt Van Eeten van de TU Delft. „Het onderzoek is van beveiligingsbedrijven en beveiligingsbedrijven hebben nogal eens de neiging tot overdrijven.” Een belangrijk element wordt niet benadrukt in het rapport, legt Van Eeten uit: hoeveel geld er daadwerkelijk gestolen is. „Van alle ontoelaatbare overschrijvingen wordt 90 procent nog door de banken onderschept”, zegt Van Eeten. „De schade is dus waarschijnlijk een factor tien lager dan gesuggereerd.”

3Welke maatregelen worden er nu genomen?

Minister Opstelten (VVD, Justitie) meldde gisteren in een reactie op Kamervragen dat het zogenoemde ‘bankenteam’ een onderzoek naar de fraude heeft ingesteld. Het bankenteam is een samenwerking tussen de Nederlandse politie, OM, De Nederlandsche Bank en de banken om cybercriminaliteit tegen te gaan.

Van Eeten verwacht dat de banken de schade van gedupeerden zullen vergoeden. „Dat doen ze meestal. Ze nemen de kosten. De beveiliging vergroten kost nu eenmaal meer dan schade van gedupeerden vergoeden.”

4Hoe vaak komt deze vorm van cybercriminaliteit voor?

Volgens De Nederlandse Vereniging van Banken (NVB) worden banken jaarlijks geconfronteerd met vele hackpogingen, hoeveel is niet duidelijk. De NVB maakte eerder bekend dat in 2011 banken 35 miljoen euro schade door internetfraude hebben geleden. Dat is een fractie van de honderden miljarden die jaarlijks in het internetbankieren omgaan.

5Wat moet je doen als gebruiker om diefstal te voorkomen?

Zorg ervoor dat software van Windows of Apple automatisch een update krijgt en installeer altijd een virusscanner.

En, misschien wel het belangrijkst: reageer nooit op mails als deze, die gisteren binnenkwam bij een redacteur van nrc.next: ‘Geachte klant, wij hebben een aanvraag gekregen om 500 euro van Uw Rabobank rekening af te schrijven om de levering van de documenten te betalen. Het afschrijven van het geld en het sturen van de documenten zal in 48 uren gebeuren. Om details van de bestelling te zien, klik a.u.b. *hier*’

    • Stijn Bronzwaer