Crackers hebben het mkb ontdekt: kraken voor het grote geld

De grote criminele innovatie van 2012 is de volautomatische bankroof. Vooral de rekeningen van het mkb worden geplunderd. De reden is simpel: er valt doorgaans meer te halen dan bij consumenten. Tan-codes en cryptografische calculators blijken niet te helpen. Hoe gaat het precies in zijn werk en wat is ertegen te doen?

Net als witte zzp'ers en bedrijven willen ondernemende crackers graag een goede boterham verdienen. Daarbij worden ze geplaagd door de steeds betere verdediging van de jongste browsers en besturingssystemen. Goed digitaal hang- en sluitwerk maakt kraken niet onmogelijk, maar het verhoogt de criminele werkdruk. Daardoor wordt de jacht op kleine consumenten steeds minder aantrekkelijk.

Ze vormen een relatief makkelijk doelwit, maar de nadruk ligt op 'relatief'. De aandacht gaat daarom steeds vaker naar de beter gesitueerden, en naar het mkb. Want daar zijn dikke bankrekeningen te vinden. Bovendien kijkt de bank er niet van op als stevige bedragen worden overgemaakt.

In de eerste maanden van dit jaar werden vooral bedrijven getroffen door een golf van digitale bankovervallen, rapporteren McAfee en Guardian Analytics (pdf). De crackers werkten snel en buitengewoon efficiënt - ook als de bankrekening beveiligd was met tan-codes of een cryptografische calculator.

Na een voorzichtige start in Italië richtten de crackers hun automatische bankrover op Duitsland. Daar beperkten ze zich tot 176 bankrekeningen waarop gemiddeld 48000 euro stond. Het gestolen bedrag was gemiddeld circa 5500 euro, maar internationaal (binnen Europa) werden vaak tienduizenden euro's ineens overgeschreven.

En toen was Nederland aan de beurt. Hier werden 5016 zorgvuldig gekozen meest zakelijke rekeningen op twee banken gekraakt. Het totaal van de overschrijvingen was ongeveer 35,6 miljoen euro. Dezelfde crackers waren bovendien actief in Colombia en de Verenigde Staten, waar ze mikten op rekeningen met een saldo van honderdduizenden tot tientallen miljoenen dollars.

Nettoresultaat?

Een optelling van de frauduleuze overschrijvingen zegt weinig over de uiteindelijke winst, aangezien een waarschijnlijk fors deel van het geld bijtijds werd teruggehaald. Banken houden zulke informatie zoveel mogelijk onder de pet. De totale jaarlijkse verliezen als gevolg van bankroof via internet zijn wel bekend. Met 10 miljoen in 2010 en 35 miljoen in het afgelopen jaar is het de snelst stijgende kostenpost voor de Nederlandse banken.

Is er iets aan te doen, en vooral, is het de moeite waard om er iets aan te doen? Laten we eerst eens kijken hoe de crackers te werk gaan.

Speervissen

'Phishing' is zoals gewoonlijk de eerste stap. In dit geval een gemikte variant die 'spear phishing' wordt genoemd. De email wordt alleen verstuurd naar klanten van een specifieke bank en binnen die groep naar een kansrijke selectie. Het bericht lijkt afkomstig van een bekend en vertrouwd adres, zoals de bank in kwestie. Het onderwerp kan zoiets zijn als de aankondiging van nieuw beleid, met een verwijzing naar meer informatie. De tekst hoeft er slechts voor te zorgen dat het slachtoffer op een link klikt. Die stuurt zijn browser naar een onschuldig ogende webpagina uitgerust met een onzichtbare 'exploit kit'. Nog ergens op klikken is niet nodig. In de pagina verborgen software (javascript) gaat vanzelf op zoek naar kwetsbare versies van plugins zoals flash, Adobe Reader en java, en van de browser zelf. Wordt een gaatje gevonden, dan plaatst de kit een trojaan die op zijn beurt een van de bekende 'formgrabbers' installeert, Spyeye of Zeus.

De interactieve webpagina's van een bank zijn formulieren, waarop de klant van alles invult; naam, wachtwoord, bedragen, rekeningnummers enzovoort. Een formgrabber doet zijn werk in de browser zelf, tussen bank en klant. Het formulier dat de bank heeft verzonden, hoeft niet te lijken op wat de klant te zien krijgt. En ook wat de klant invult, kan door de formgrabber willekeurig worden gewijzigd. Een vercijferde verbinding (ssl, het slotje) biedt geen enkele bescherming, want die eindigt waar de malware begint.

Pakezel

Zodra het slachtoffer gaat internetbankieren, kijkt de formgrabber over zijn of haar schouder. Wat voor bankrekeningen zijn het, en staan er grote bedragen op? Is de vis groot genoeg, dan komt de bankrover bij de volgende gelegenheid in actie. Het slachtoffer ziet de vertrouwde webstek van zijn bank en verder weinig bijzonders. Maar zijn inlog en tan-code of berekende getallen worden misbruikt voor onzichtbare transacties. Rechtstreeks vanaf de betaalrekening, of eerst vanaf een spaarrekening naar de betaalrekening en dan naar de fraudeurs. Na afloop wordt de diefstal keurig gecamoufleerd. De webpagina van de bank toont het saldo dat het slachtoffer verwacht in plaats van het werkelijke bedrag. In overzichten komen de frauduleuze transacties niet voor.

Het geld gaat intussen naar de rekening van een 'mule' (pakezel), vaak in een ander Europees land, die het in contanten opneemt en via bijvoorbeeld Western Union naar de crackers stuurt, die hij niet kent. De mule weet vaak niet eens dat hij voor een criminele organisatie werkt. Hij heeft gereageerd op een nette email waarin een 'financieel agent' wordt gevraagd. Makkelijk thuiswerk, goede beloning.

Schaalvergroting

Bankroof met formgrabbers gebeurt al jaren, maar tot nu toe moest een cracker elke diefstal zelf begeleiden. Dat betekende lange werkdagen, genageld aan kijkpijp en ramplank. Zodra een slachtoffer begon met internetbankieren, meldde de formgrabber zich voor instructies en moest snel worden gehandeld. Veel transacties per dag waren alleen mogelijk als veel crackers werden ingeschakeld. Per cracker werd niet zoveel verdiend.

Maar in de nieuwe digitale bankroof is de cracker vervangen door software draaiend op een server, ergens op het net. Een heel mobiele server. In februari was hij gevestigd in de Russische stad Kemerovo. Begin maart verhuisde hij naar Phoenix, Arizona. Nog geen twee weken later werd hij gesignaleerd in Londrina, Brazilië, en vijf dagen daarna in San Jose, Californië. Een moeilijk te stoppen doelwit voor beveiligers. En de succesvolle automatisering betekent dat we soortgelijke criminele operaties op een veel grotere schaal kunnen verwachten. In dat geval is het zeker de moeite waard om in te grijpen. Maar wordt nog meer beveiliging niet veel te duur?

Gevaarlijk uitgangspunt

Er dreigt een serieus probleem, zegt ook het European Network and Information Security Agency (Enisa): 'Veel systemen voor internetbankieren, sommige werkend met tan-codes, calculators of smartcardlezers, gaan ervan uit dat de pc van de klant niet is geïnfecteerd. Gegeven de huidige staat van pc-beveiliging is dat een gevaarlijk uitgangspunt.'

Het Enisa stelt in essentie dat het kanaal pc-internet-bank onvoldoende betrouwbaar is voor financiële transacties (!) en adviseert: 'Het is daarom belangrijk dat het bedrag en de bestemming van overschrijvingen ter controle aan de gebruiker wordt getoond, via een betrouwbaar kanaal of apparaat. Zoals telefonisch, via een sms, of via een zelfstandige smartcardlezer met beeldscherm.'

Banken verantwoordelijk

Voor het mkb is van belang dat het Enisa (adviseur van Europese overheden) de banken primair verantwoordelijk stelt en een door de banken te implementeren methode aangeeft. In Nederland biedt de ING verificatie van het totaalbedrag in de sms die ook de tan-code bevat. Onvoldoende, want het Enisa vraagt niet zomaar om controle van bedrag én bestemming. 'Vergiftigde overschrijvingen' waarin een formgrabber alleen de bestemming verandert, zijn al gesignaleerd.

Als de sms ook de bestemming zou bevatten, is het lek dan boven? Niet voor een Australische zakenman, die veel te makkelijk werd beroofd van 45000 dollar. De crackers hadden vrij spel doordat ze zowel zijn bankrekening als zijn mobiele nummer konden overnemen.

Er kwamen twee telefoontjes aan te pas. Eerst werd zijn bedrijf gebeld door 'de belastingdienst', die wat persoonlijke informatie wilde verifiëren. Enkele dagen later belde een 'klant' zijn vaste lijn thuis voor dringende zaken. Zijn dochter gaf de man het mobiele nummer van haar vader. Met die informatie belden de fraudeurs Vodafone Australia, waar het mobiele abonnement liep.

Nummerbehoud

'Het schijnt dat de beller voldoende persoonlijke details wist om onze klantenservice ervan te overtuigen dat hij de abonnementhouder was', zegt Vodafone. 'De beller vroeg om beëindiging van het contract en overzetting van het mobiele nummer naar een nieuwe prepaid geleverd door een andere provider.' In Australië gaat dat binnen een dag. Hier gelukkig (nog) niet.

Terwijl de aanvraag in behandeling was, stuurden de crackers een sms naar de zakenman om hem te waarschuwen voor naderende storingen in het mobiele netwerk. Akkoord, het ging hier bepaald niet om een volautomatische kraak. Maar voor enkele dagen werk was hij wel voldoende lonend. De crackers zijn niet gepakt.

Het is hoe dan ook de vraag of een sms met tan-code, totaalbedrag en bestemming wel zoveel meer waarde heeft dan eentje die alleen een tan-code bevat. Mensen hebben vaak te veel haast om rekeningnummers te vergelijken. De Rabobank heeft misschien een betere oplossing gevonden: een cryptografische calculator die naast het controlegetal de invoer van het totaalbedrag en (in dubieuze gevallen) de bestemming accepteert. Op basis van die twee of drie getallen wordt een signeercode berekend. Als die klopt, weet de computer van de bank absoluut zeker dat de klant het werkelijke bedrag en het echte rekeningnummer van de begunstigde op het scherm heeft.

Voor de klant betekent het meer lees- en tikwerk. Maar dat zullen we ervoor over moeten hebben.