Doe mij ook maar een nulletje erbij

Er zijn dagen dat je zou willen dat je een computercrimineel was. Wie zou er niet één keer in zijn leven, ach toe, echt maar één keer, een nul willen toevoegen aan het saldo van zijn bankrekening? Dat was de truc die hackers uithaalden bij meer dan honderd internationale banken. Van een rekening met 1.000 euro maakten ze met een welgemikte toetsaanslag 10.000 euro. Op hetzelfde moment stond een handlanger bij de geldautomaat klaar om 9.000 euro te pinnen. De rekeninghouder zelf zag niets aan zijn saldo.

Zo wisten hackers tussen de 300 miljoen en 1 miljard dollar buit te maken. Dat was de schatting van antivirusbedrijf Kaspersky Labs; genoeg om de geschiedenis in te gaan als De Grootste Bankroof Aller Tijden. Daar steekt de Great Robbery uit 1963 (buit: 2,6 miljoen Britse pond) schril bij af.

Niet eerder kwam zo duidelijk naar buiten dat financiële instellingen in het hart getroffen kunnen worden – daar waar ze de saldo’s en rekeningnummers bijhouden.

Tot nu toe merkte je als consument weinig van aanvallen op banken; hooguit dat iDeal er door een ddos-aanval uitligt. Zo’n distributed denial of service aanval is kwajongenswerk; inbreken op het grootboek is van een heel andere orde. Dat gaat ook de schade door skimmen, ramkraken of internetfraude ver te boven.

Het nieuws kwam strak geregisseerd naar buiten. The New York Times kreeg de scoop van Kaspersky Labs toegespeeld, daarna werden alle media verwezen naar een goedverzorgd rapport, compleet met grafieken en een aansprekende malafide naam voor de bende: Carbanak.

Zo’n klaargestoomd pakketje informatie toont aan dat, hoe urgent het nieuws ook lijkt, alle tijd is genomen om een verhaal voor de media samen te stellen. Want slecht nieuws is goed nieuws in de beveiligingswereld: elke nieuwe bedreiging moet weer bestreden worden en dat kan alleen maar met de jongens die er echt verstand van hebben – in dit geval Kaspersky Labs. Die willen mooi voor de dag komen. Handjeklap met de slachtoffers-annex-opdrachtgevers: er worden geen namen genoemd van getroffen banken. In de beveiligingsbranche gelden strenge non-disclosures.

Wat nog het meest verbaast is hoe flegmatiek de banken met de monsterhack omgaan. De hackers zijn al sinds 2013 in de weer; de bankensector wist al geruime tijd dat hackers rondneusden maar er werd – in ieder geval publiekelijk – geen alarm geslagen. Nederlandse banken die naar eigen zeggen niet getroffen zijn doen de inbraak af als ‘oud nieuws’.

Over de inbraakmethode: ach, die phishingmails van de Carbanak-bende waren zo geniepig, daar zou iedereen in getrapt zijn. Zeggen de banken die hun eigen klanten op het hart drukken om nooit, maar dan ook nooit op verdachte mailtjes te klikken. Waarom verzwijgen banken hun eigen missers zo lang? Was dat nodig om de daders te pakken (hetgeen niet gebeurde)?

Bedrijven zijn zelden happig om datadiefstal of elektronische inbraken te publiek te maken – bang voor imagoschade en klachten van klanten. Niet ten onrechte, want al zijn banken vermoedelijk verzekerd voor zulke akkefietjes, de verzekeringspremie zal er alleen maar hoger op worden.

Een andere reden om hacks in de doofpot te stoppen: een succesverhaal stimuleert andere criminelen die ook wel eens een nulletje extra willen.

Banken kunnen zich niet langer permitteren om hacks onder het kleed te vegen en vervolgens de schouders op te halen. Want uiteindelijk draaien de rekeninghouders op voor de rekening. Hoogste tijd voor compensatie: doe ons maar een nulletje erbij.