Cyberaanvallen: de mens is de zwakste schakel

Een groep internetcriminelen pleegde een van de grootste bankroven ooit, en gaat gewoon door met zijn aanvallen. Via computers, maar ook via personeel.

illustratie Mariette Twilt / Witte Verheul

Opsporingsdiensten weten al maanden dat het gebeurt, en toch lijken de criminelen niet te stoppen. Een groep cyberbankrovers over wie internetbeveiliger Kaspersky Lab gisteren een rapport publiceerde, is nog steeds bezig. „We zien dat de gebruikte malware en sommige IP-adressen nog actief zijn”, zegt Martijn van Lom, directeur Benelux van Kaspersky.

Het rapport schetst het beeld van een professionele internationale bende, door de onderzoekers Carbanak genoemd, naar de software die de criminelen gebruiken. Tot nu toe zou zeker 260 miljoen euro buit zijn gemaakt, waarschijnlijk meer. Ruim honderd banken in dertig landen zijn slachtoffer geworden. Het zou een van de grootste bankroven ooit zijn, al zijn de aantallen en bedragen niet te verifiëren omdat Kaspersky geen namen van banken geeft en opsporingsdiensten geen commentaar geven op een onderzoek dat nog aan de gang is. Wel maakten de onderzoekers bekend dat er geen Nederlandse banken beroofd zijn.

1 Wat doen banken om dit soort cybercriminaliteit te voorkomen?

De bende gebruikte een combinatie van misleiding van bankpersoneel (social engineering) en kwaadaardige software (malware) om door te dringen tot banksystemen. Daardoor konden ze geld naar zichzelf overmaken en geldautomaten manipuleren zodat die geld uitspuugden.

Eén bank werd slachtoffer doordat de criminelen erachter kwamen dat het bedrijf zou exposeren op een beurs. Ze spoorden de verantwoordelijke medewerker op via sociale media en deden zich voor als beursorganisator. In een e-mailbijlage moest de bankwerknemer nog even op een plattegrond aangeven waar de stand van de bank zou moeten staan. De bijlage was in werkelijkheid besmet met malware. „Ze gebruiken geavanceerde methodes, waar je niet in alle gevallen iets tegen kunt doen”, zegt Gijs Boudewijn, adjunct-directeur van Betaalvereniging Nederland.

Volgens Yvonne Willemsen, hoofd criminaliteitsbestrijding van de Nederlandse Vereniging van Banken (NVB), trainen banken hun personeel om geen bijlagen van onbekenden te openen en om verdachte interesse in vertrouwelijke informatie direct te melden. Ook werken banken samen met ‘ethische’ hackers die tegen een vergoeding lekken proberen te vinden. „Maar zit altijd een menselijke component in beveiliging, dus zullen er altijd lekken gevonden worden door criminelen. Dit soort criminaliteit helemaal voorkomen is onmogelijk”, zegt Boudewijn.

2 Wat merken klanten van Nederlandse banken er van?

„Nederlandse banken hebben geen schade geleden, en zelfs als dat zo zou zijn geweest, zouden ze schade voor klanten vergoeden”, zegt Willemsen van de NVB. Deze hackersgroep richt zich op banken, niet op klanten. Maar als banken tientallen miljoenen euro’s schade hebben, zullen ze dat toch linksom of rechtsom moeten terugverdienen, bijvoorbeeld door tariefsverhogingen.

3 Als banken kwetsbaar zijn, hoe zit het dan met andere vitale systemen?

Niet alleen banken zijn sterk afhankelijk van computersystemen, ook veel andere vitale infrastructuur, zoals energiecentrales of waterkeringen, worden aangestuurd door computers. „Ook buiten de financiële sector zijn de risico’s groot”, zegt Martijn van Lom van Kaspersky. Dat hij dit zegt, ligt commercieel voor de hand: het bedrijf verdient goed aan angst voor cyberaanvallen. Maar hij is niet de enige. Woordvoerders van Interpol, Europol en het Nederlandse Cyber Security Centrum aan dat de gevolgen van deze hack voor andere (nuts-)bedrijven worden onderzocht. De laatste jaren is daarvoor al vaker gewaarschuwd.

4 Waarom horen we nu pas over deze historisch grote bankroof ?

Kaspersky kwam de bende al in 2013 op het spoor. De NVB werd op 23 oktober op de hoogte gebracht „Voor ons is dit dus eigenlijk oud nieuws”, zegt Willemsen. Dat het nu pas wordt bekendgemaakt, verklaart Van Lom van Kaspersky met: „We wilden dit eerst melden aan de banken en opsporingsdiensten. Die kwamen met aanvullende informatie waardoor pas later duidelijk werd hoe groot dit was.” Ook de NVB zag geen noodzaak de zaak publiek te maken. Wel heeft ze doorlopend contact met opsporingsdiensten. Deze zaak leidt in de Verenigde Staten tot een discussie over een ruimere meldingsplicht van cyberaanvallen, in de EU speelt dat al langer.