Banken beroven vanachter een laptop

de gigantische digitale bankroof. Een internationale hackersbende heeft via misleiding en malware honderden miljoenen euro’s buitgemaakt. Hoe kwetsbaar zijn banken voor cybercriminaliteit?

Opsporingsdiensten weten al maanden dat het gebeurt, maar de criminelen lijken niet te stoppen. Een groep digitale bankrovers waarover gisteren een rapport verscheen van internetbeveiliger Kaspersky Lab is nog steeds actief. „We zien dat de gebruikte malware en sommige IP-adressen nog in gebruik zijn”, zegt Martijn van Lom, directeur Benelux van Kaspersky. Het rapport van zijn bedrijf schetst het beeld van een geavanceerde internationale bende, door de onderzoekers Carbanak genoemd – naar de kwaadaardige software waarvan de criminelen gebruikmaken. Tot nu toe zou zeker 263 miljoen euro buit zijn gemaakt, waarschijnlijk zelfs meer. Dik honderd banken in dertig landen zijn slachtoffer geworden. Daarmee zou het een van de grootste bekende bankroven ooit zijn, al zijn die aantallen en bedragen niet te verifiëren omdat Kaspersky geen namen van banken geeft. Opsporingsdiensten willen geen commentaar geven op een lopend onderzoek. Wel maakten de onderzoekers bekend dat er geen Nederlandse banken bij zitten. Vier vragen.

1 Wat doen banken om dit soort cybercriminaliteit te voorkomen?

De bende gebruikt een combinatie van misleiding van bankmedewerkers (social engineering) en kwaadaardige software (malware) om door te dringen tot banksystemen. Daardoor konden ze geld naar zichzelf overmaken, en geldautomaten manipuleren zodat die onterecht geld uitspuugden.

Eén bank werd slachtoffer doordat de criminelen uitvonden dat het bedrijf zou exposeren op een beurs. Ze spoorden de verantwoordelijke medewerker op via sociale media en deden zich voor als organisator van de beurs. In een e-mailbijlage moest de bankmedewerker nog even aangeven op een plattegrond waar de stand van de bank zou moeten staan. De bijlage was in werkelijkheid besmet met malware. „Ze gebruiken geavanceerde methodes, waar je niet in alle gevallen iets tegen kunt doen”, zegt Gijs Boudewijn, adjunct-directeur van Betaalvereniging Nederland.

Volgens Yvonne Willemsen, hoofd criminaliteitsbestrijding van de Nederlandse Vereniging van Banken (NVB), trainen banken hun medewerkers om geen bijlagen te openen van onbekenden, en verdachte interesse in vertrouwelijke informatie direct te melden. Ook werken banken samen met ‘ethische’ hackers die tegen een vergoeding lekken proberen te vinden. „Maar er zit altijd een menselijke component in beveiliging, dus zullen er altijd lekken gevonden worden door criminelen. Dit soort criminaliteit helemaal voorkomen is onmogelijk”, zegt Boudewijn.

2 Wat merken klanten van Nederlandse banken er precies van?

„Nederlandse banken hebben geen schade geleden, en zelfs als dat zo zou zijn geweest dan zouden ze verliezen van klanten in dergelijke gevallen vergoeden”, zegt Willemsen van de NVB. Maar als dit soort aanvallen hoge kosten met zich meebrengt voor banken, kan dat op termijn gevolgen hebben voor tarieven. Verliezen moeten namelijk ergens worden gecompenseerd.

3 Als banken kwetsbaar zijn, hoe zit het dan met andere vitale systemen?

Niet alleen banken zijn sterk afhankelijk van computersystemen, ook veel andere vitale infrastructuur – zoals energiecentrales of waterkeringen – wordt aangestuurd door computers. „Ook buiten de financiële sector zijn de risico’s groot”, zegt Martijn van Lom van Kaspersky. Dat hij dit zegt, ligt commercieel voor de hand: het bedrijf verdient goed aan angst voor cyberaanvallen. Maar hij is niet alleen. Woordvoerders van Interpol, Europol en het Nederlandse Cyber Security Centrum geven aan dat ze de gevolgen van deze hack voor andere (nuts)bedrijven onderzoeken en serieus nemen. De laatste jaren verschenen al veel rapporten die hiervoor waarschuwen.

4 Waarom horen we nu pas over deze grote bankroof ?

Kaspersky kwam de bende al in 2013 op het spoor. De NVB werd 23 oktober jl. op de hoogte gebracht „Voor ons is dit dus eigenlijk oud nieuws”, zegt Willemsen. Waarom wordt dit nu pas bekend? Van Lom: „We wilden dit eerst melden aan de banken en opsporingsdiensten. Die kwamen bij ons terug met aanvullende informatie, waardoor pas later duidelijk werd hoe groot dit was.” Ook de NVB zag er de noodzaak niet van in de zaak publiek te maken. Wel heeft ze doorlopend contact met opsporingsdiensten. In Amerika leidt deze zaak al tot een discussie over een ruimere meldingsplicht van cyberaanvallen.