Nieuws
image

Nederlandse bedrijven doelwit digitale bankrover

dinsdag 26 juni 2012, 09:07 door Redactie, 9 reacties

Een bende heeft via verschillende Trojaanse paarden geprobeerd om 35 miljoen euro van Nederlandse bedrijven te stelen. Via banking Trojans zoals Zeus en SpyEye, programma's speciaal ontwikkeld om geld van bankrekeningen over te schrijven, werden 5.000 voornamelijk zakelijke rekeningen gecompromitteerd. Daarbij ging het om klanten van twee banken, zo meldt McAfee. Om welke banken het gaat wil het anti-virusbedrijf niet zeggen. Ook is onduidelijk hoeveel de criminelen nu daadwerkelijk hebben buitgemaakt. Uit de logs blijkt dat de bende probeerde om 35 miljoen euro van Nederlandse bedrijven weg te sluizen. De totale waarde van de gecompromitteerde rekeningen bedroeg 141 miljoen euro.

De campagne zou in Italië begonnen zijn en verscheen in januari van dit jaar in Duitsland. In maart 2012 waren Nederlandse bedrijven aan de beurt. De aanvallers wijzigden hun aanpak en lieten de malware een geautomatiseerde server-side-aanval uitvoeren. Door de frauduleuze transactie aan de serverkant uit te voeren, konden de criminelen de beveiliging op de desktops omzeilen, alsmede de monitoring door de banken zelf.

Vanwege het lage aantal gecompromitteerde rekeningen in Nederland vermoedt McAfee dat de aanvallers niet op wilden vallen. Als alle waargenomen aanvallen succes waren, zou de totale schade wereldwijd 2 miljard euro bedragen.

Reacties (9)
26-06-2012, 09:39 door Anoniem
hoe weten ze dat ze voor 35 miljoen euro gingen en niet voor "zo veel geld als mogelijk"

wat kun je doen met specifiek 35 miljoen euro wat zo interesant is...
26-06-2012, 11:39 door RichieB
Het interessante deel is:
One difference from other publicly discussed attacks is the complex process that the fraudsters use to
defeat the physical two-factor system. In the typical GIRO transfer, there are two steps: an account login
and later, the authorization of the outbound payment. In the High Roller scheme, an extensive JavaScript
uses web injects to alter the login experience to collect all the information the fraudsters need for both
steps within the login step. Since the physical authentication information is gleaned during the login,
outside the context of a transaction, the victim is less likely to be suspicious—they just think the login
experience has been upgraded.
Dus eigenlijk heel goed te detecteren: als je direct na de login gevraagd wordt om een 2e code is er iets mis. Bij sommige banken is dat zelfs een andere toets op de calculator. Goed blijven opletten en nadenken bij het internetbankieren dus.

Volgens mij zitten de banken in een enorme spagaat. Eigenlijk moeten ze de gebruikers veel beter instrueren en waarschuwen, bijv: "gebruik nooit de S toets bij het inloggen!" Aan de andere kan willen ze graag mooi weer blijven spelen om klanten niet af te schrikken. De banken denken serieus dat als je klanten waarschuwt dat ze dan overstappen naar een andere bank. Want klanten zijn debiel en denken "die andere bank waarschuwt niet, dus daar hebben ze geen last van internet criminelen". Het wordt hoog tijd dat de DNB ingrijpt om uit deze impasse te komen.
26-06-2012, 12:38 door spatieman
/sarasme.
liefe meneer.
ik ben digitale bankrofer.
wilt u mij gelt overmaken...
26-06-2012, 16:14 door [Account Verwijderd]
[Verwijderd]
26-06-2012, 17:14 door Anoniem
Doe maar Peter V. En word heel rijk! Ô.ô
26-06-2012, 17:19 door regenpijp
Door Peter V: server-side-attack is naar ik meen, een vorm van Cross-site Scripting (XSS)

Dat betekent toch dat een fout in de beveiliging van de webapplicatie zit.
Vraag is en blijft: waarom wordt hier niets tegen gedaan?

Server-side is niet perse, kan ook door code/command injection of SSI komen, maar idd de beveiliging wankelt dan.
26-06-2012, 18:48 door [Account Verwijderd]
[Verwijderd]
27-06-2012, 11:23 door Anoniem
"/sarasme. liefe meneer. ik ben digitale bankrofer. wilt u mij gelt overmaken..."

Sarcasme ? Eerder een domme en nutteloze reactie.
27-06-2012, 13:19 door RichieB
Door Peter V: Het blijkt dat deze nieuwe Zeus- en SpyEye-variant geen inlogschermen laat zien, maar het Automatisch Transactie Systeem van de Bank infiltreert. De gebruiker merkt zelf hier niets van.

Alles gebeurt op de achtergrond en zonder interactie met de gebruiker.
Waar lees jij dat? Zonder interactie met de gebruiker kan alleen als er vooraf statische TAN codes gestolen zijn, of als het hele 2-factor authenticatiemechanisme is omzeild. Dat zou pas echt nieuws zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search