Het moderne financiële systeem draait op computers en het internet. Deze technologieën stellen banken in staat om wereldwijd en met ongekende snelheid geld te verplaatsen, klanten te bedienen en leningen te verstrekken. Maar deze tech heeft ook de manier waarop cybercriminelen te werk gaan veranderd. In plaats van banken te overvallen met bivakmutsen en wapens, maken ze nu steeds meer gebruik van digitale tools om rekeningen te plunderen zonder dat ze gepakt worden. In 2018 rapporteerde bijvoorbeeld meer dan twee derde van de financiële instellingen een stijging in het aantal cyberaanvallen.
Volgens beveiligingsbedrijf Carbon Black maakte 67% van de financiële instellingen in 2018 melding van een toename in het aantal cyberaanvallen. 79% zei dat cyberaanvallen steeds geavanceerder worden.
Hackaanvallen worden ook steeds gewaagder. Vaak worden hackers door overheden gesteund en beschermd tegen vervolging. Ze concentreren zich op zowel centrale als commerciële banken en proberen miljarden dollars te stelen door slim gebruik te maken van beveiligingslekken en fouten van bankmedewerkers. En zodra beveiligingsteams één toegangspunt hebben geblokkeerd, vinden cybercriminelen meestal al snel nieuwe manieren om de financiële systemen te hacken. Deze aanvallen kunnen enorme verwoesting aanrichten. En dan is het verlies van geld vaak nog het minst verontrustend. Om deze moderne ‘bankovervallen’ te overleven is het dus van cruciaal belang dat banken in cybersecuritysystemen investeren.
Cyberaanvallen vormen een bedreiging voor zowel grote banken als kleine startups
Cyberaanvallen groeien niet alleen in frequentie maar ook in complexiteit. Bijna 80 procent van de financiële instellingen rapporteert dat hackaanvallen steeds geavanceerder worden. Hackers zetten gerichte social engineering-aanvallen in en blijven steeds langer ‘bezig’ in een netwerk. Maar liefst 26 procent van de banken kreeg 2018 te maken met destructieve aanvallen. Tijdens deze aanvallen probeerden cybercriminelen belangrijke gegevens te vernietigen in plaats van geld te stelen. Het is niet alleen van belang om de beveiliging van hun eigen systemen te verbeteren, ook supply chain-partners van banken moeten goed gemonitord worden, omdat hackers deze soms gebruiken om bankinfrastructuur te infiltreren.
Grote retailbanken met miljoenen klanten zijn natuurlijk de belangrijkste doelwitten voor cybercriminelen. De legacy-systemen van deze instellingen hebben vaak enorme beveiligingsproblemen. Fintech-startups, daarentegen, lanceren hun bedrijven met de nieuwste digitale tools die speciaal ontwikkeld zijn voor cybersecurity. Dat leidt echter niet per se tot minder datalekken want fintech-startups kunnen op allerlei andere manieren beveiligingsfouten maken. Hackers hoeven er maar één te vinden om chaos aan te richten en in een oogwenk geld en data te laten verdwijnen.
Beveiligingsbedrijf Carbon Black zegt dat 26% van de financiële instellingen het doelwit was van cyberaanvallen in 2018, een toename van 160% procent in de loop van het jaar.
Zodra een bank is gehackt, escaleren problemen meestal razendsnel. Verlies van klantvertrouwen kan leiden tot een run op deposito’s, waarschuwt de Monetary Authority of Singapore (MAS), de centrale bank van het land. Grote aantallen geldopnames leiden vervolgens tot een destabilisatie van de bank, wat mogelijk een ineenstorting van de instelling betekent met allerlei andere desastreuze gevolgen voor het bredere financiële systeem. In zulke situaties moeten autoriteiten de markt tijdelijk sluiten om economische paniek in het land te voorkomen. En soms moet de centrale bank overwegen om commerciële financiële instellingen geld te geven om een liquiditeitscrunch te overleven.
Een van de grootste cyberovervallen in de geschiedenis
Hackers richten zich al tientallen jaren op banken, maar een van de grootste cyberovervallen gebeurde in 2016. Het begon allemaal toen nietsvermoedende werknemers van de Centrale Bank van Bangladesh (BCB) malware van een phishing-e-mail downloadden. Daardoor kregen criminelen toegang tot het netwerk van de bank en konden ze het systeem infiltreren. Daarna namen ze de controle van computers over die geautoriseerd waren om met SWIFT te communiceren, een wereldwijd interbancair berichtenplatform dat internationale geldoverboekingen mogelijk maakt.
Op 5 februari 2016 begonnen de hackers met het manipuleren van de BCB-systemen om SWIFT-berichten naar het New Yorkse filiaal van de Amerikaanse Federal Reserve (New York Fed) te sturen. Ze gaven vervolgens opdracht om $951 miljoen over te maken naar verschillende rekeningen in de Filipijnen en Sri Lanka. Gewoonlijk zouden de werknemers van BCB op de hoogte zijn geweest van de overboekingen via een opdracht die de New York Fed naar hun printers zou hebben gestuurd. Maar de hackers hadden de printers van de bank met malware uit weten te schakelen. Er was al rond de $81 miljoen overgeboekt toen de Deutsche Bank, een routeringsbank die de opdracht had gekregen om $20 miljoen over te boeken, contact opnam met de BCB vanwege een spelfout – ‘fandation’ in plaats van ‘foundation’. Hierdoor realiseerde de BCB dat er iets niet klopte en waarschuwde de New York Fed om de overboekingen stop te zetten. En hoewel de bank hierdoor wist te voorkomen dat er honderden miljoenen dollars werden gestolen, hadden de hackers inmiddels toch meer dan $80 miljoen buitgemaakt en op verschillende manieren witgewassen – onder andere via casino’s in Manilla. Volgens de centrale bank van Bangladesh was de cyberoverval het werk van Noord-Koreaanse hackers.
Mexicaanse banken verliezen meer dan $20 miljoen
In januari 2018 probeerde een groep hackers – waarvan vermoed wordt dat ze voor de door Noord-Korea gesponsorde groep Lazarus werken – $110 miljoen te stelen van de Mexicaanse bank Bancomext. Hoewel deze aanval niet succesvol was, werd het land slechts een paar maanden later wederom slachtoffer van een grote aanval. De nog niet geïdentificeerde groep cybercriminelen slaagde erin om de interne servers van verschillende Mexicaanse banken en het Mexicaanse SPEI-systeem (vergelijkbaar met het wereldwijde SWIFT-systeem) van Banco de México te infiltreren.
Dankzij zwakke beveiligingsprotocollen en gehackte inloggegevens van werknemers konden de hackers honderden nepoverschrijvingen initiëren en het betalingssysteem zo manipuleren dat de ontvangende banken deze betalingen accepteerden. De transactiebedragen waren niet hoger dan een paar honderd of duizend dollar, waardoor deze minder opvielen. Vervolgens deden honderden plaatselijke medeplichtigen die het geld op hun rekeningen ontvingen meerdere geldopnames. Uiteindelijk wist de groep criminelen Mexicaanse banken op deze manier ongeveer $15 tot $20 miljoen afhandig te maken. Er wordt gespeculeerd dat de plaatselijke medeplichtigen mogelijk hulp hebben gekregen van personeel van de bankkantoren, omdat dergelijke grote cash-opnames niet vaak voorkomen.
Hackers gebruiken rookgordijn om hun echte plan te camoufleren
En nu steeds meer banken hun cyberdefensie aanscherpen moeten hackers steeds creatiever worden. En dat lukt hen aardig. Cybercriminelen die de Bank of Chile wilden hacken plantten bijvoorbeeld eerst een virus waardoor de bank meer dan 9.000 computers in honderden filialen moest afsluiten om zijn klanten te beschermen. Helaas was het virus slechts een rookgordijn.
Terwijl het beveiligingsteam bezig was met het onderzoeken van de geïnfecteerde apparaten, wisten de hackers via de SWIFT-verbinding van de bank een aantal frauduleuze bankoverschrijvingen naar rekeningen in Hong Kong te initiëren. Het is hen gelukt om meer dan $10 miljoen naar buiten te sluizen voordat de bank de transacties uiteindelijk opmerkte en verdere transfers wist te blokkeren. Het geld is nooit meer boven water gekomen en volgens Microsoft, die een forensische analyse van de aanval uitvoerde, waren de criminelen waarschijnlijk afkomstig uit Oost-Europa of Azië.
Zelfs gelaagde securitymodellen worden omzeild
Om te voorkomen dat cybercriminelen bankrekeningen hacken of gevoelige gegevens stelen, maken banken en veel andere bedrijven gebruik van gelaagde securitymodellen, zoals bijvoorbeeld tweefactorauthenticatie. Het idee is dat zelfs als indringers je gebruikersnaam en wachtwoord weten, ze geen toegang hebben tot je account en betalingen kunnen verrichten zonder een sms-code. Een gelaagd securitymodel is altijd beter dan alleen een gebruikersnaam en wachtwoord, maar hackers zijn er onlangs zelfs in geslaagd om sms-berichten naar klanten van de in het Verenigd Koninkrijk gevestigde Metro Bank te onderscheppen. Deze aanval was mogelijk dankzij zwakke punten in het SS7-protocol dat veel telecombedrijven gebruiken om met elkaar te communiceren. Het wordt ook gebruikt voor SMS en roaming. Zodra een hacker toegang krijgt tot SS7 kan hij gesprekken en SMS-berichten door het inschakelen van ‘call forwarding’ naar zijn eigen nummer doorsturen. Ook andere Britse banken werden slachtoffer van deze aanval, hoewel slechts een klein aantal klanten werd getroffen en de cybercriminelen het niet voor elkaar kregen om geld buit te maken.
Aanvallen op geldautomaten
Banken in India hadden minder geluk dan hun Britse collega’s, want in 2018 verloren ze miljoenen dollars aan cyberaanvallen. Hackers richtten zich vooral op de infrastructuur van geldautomaten. Dit deden ze door malware te planten op de ATM-servers van Cosmos Bank om bankpasinformatie van klanten te stelen. Vervolgens gebruikten ze deze gegevens om bankpassen te klonen en deze te distribueren naar criminelen in 28 landen. In de eerste fase van de aanval wisten medeplichtigen in zeven uur tijd bij 15.000 geldautomaten rond de $11,4 miljoen in contant geld op te nemen. In de daaropvolgende fase startten de hackers een frauduleuze SWIFT-transactie waarmee $1,93 miljoen naar rekeningen in Hong Kong overgemaakt werd. En hoewel de Indiase bank beweerde dat het geld van zijn rekeninghouders niet in gevaar was, moest internetbankieren wel een tijd stopgezet worden.
Een andere, steeds vaker gebruikte hackmethode is ATM jackpotting. Hierbij sluiten criminelen fysiek hun laptops aan op geldautomaten, waarna ze software installeren die ervoor zorgt dat de machine geld ‘uitspuugt’. Criminelen maken in sommige gevallen zelfs gebruik van een endoscoop om te onderzoeken waar ze hun computerkabel kunnen aansluiten. In de Keniase hoofdstad Nairobi wisten criminelen door middel van jackpotting binnen één dag meer dan $100.000 uit vier geldautomaten te stelen. Hoewel deze methode riskanter is voor hackers, omdat de kans groot is dat ze door bewakingscamera’s gefilmd worden, is de aantrekkingskracht van een mogelijke jackpot in veel gevallen groter dan de angst om gepakt te worden.
Cybercriminaliteit en het belang van samenwerking
Banken investeren honderden miljoenen dollars om hun beveiligingssystemen te optimaliseren en digitale dreigingen af te weren. Die uitgaven kunnen als kosten worden beschouwd, maar het zijn ook potentiële inkomstenbronnen. Deze systemen kun je namelijk doorverkopen aan bedrijven en instanties in andere sectoren. Threat intelligence-analisten Adrian Nish en Saher Naumaan wijzen erop dat “wetshandhavingsinstanties, banken en andere leden van de gemeenschap veel meer met elkaar moeten samenwerken. Zo maken ze de beste kans om de grootste bedreigingen te identificeren en het aanvallen van financiële systemen te voorkomen”. En in plaats van een passieve houding – pas in actie komen wanneer een aanval plaatsvindt – zou iedereen proactief te werk moeten gaan en beveiligingssystemen continu moeten verbeteren. Er staat gewoonweg teveel op het spel en het dreigingslandschap evolueert voortdurend.
Staat de wereldwijde economische groei op het spel?
Een stabiele banksector is een voorwaarde voor wereldwijde economische groei. Banken, valutaplatforms en beurzen spelen allemaal een rol bij het verbinden van kopers en verkopers van allerlei producten en diensten. Hackers vormen een gevaar voor dat systeem, omdat hun wereldwijde bereik en digitale wapens de stabiliteit van markten en grote bedrijven kunnen ondermijnen. En van cybercriminelen kom je niet zo snel af. Als ze geen creditcards (meer) kunnen hacken zoeken ze wel een andere manier om geld of data te stelen. Banken moeten dan ook continu op hun hoede blijven. Cybercriminelen, al dan niet gesteund door machtige overheidsactoren, zullen blijven proberen het financiële systeem in hun voordeel te manipuleren. Het is dan ook van cruciaal belang dat bedrijven en overheden de handen ineenslaan om ervoor te zorgen dat het cybercriminelen zo lastig mogelijk gemaakt wordt.
Bron: Diverse en Richard van Hooijdonk