Criminelen hebben vorig jaar via macro-malware 1,8 miljoen dollar van een Amerikaanse bank gestolen. Een jaar eerder werd er via een malafide e-mail 569.000 dollar bij The National Bank of Blacksburg buitgemaakt. Dat blijkt uit een rechtszaak die de bank tegen de verzekeringsmaatschappij heeft aangespannen. Aanleiding voor de rechtszaak is dat de verzekeringsmaatschappij de schade niet volledig wil vergoeden.

Volgens forensisch onderzoekers ontstond de hack in 2016 waarschijnlijk via een phishingmail waardoor de criminelen malware konden installeren. Vervolgens werd een tweede bankcomputer gecompromitteerd die toegang tot het STAR-netwerk had. Dit is een systeem dat de bank gebruikt voor het verwerken van debitkaarttransacties voor klanten. Deze tweede besmette computer kon rekeningen van klanten en hun gebruik van pinautomaten en bankkaarten beheren.

Met deze toegang schakelden de aanvallers verschillende anti-diefstal- en anti-fraudemaatregelen uit, zoals de viercijferige pincode, dagelijkse opnamelimiet, dagelijkse gebruikslimiet en fraudescorebescherming. Via honderden geldautomaten in de Verenigde Staten werd er geld van klantenrekeningen opgenomen voor een bedrag van ruim 569.000 dollar, zo blijkt uit de gerechtelijke documenten (pdf) waar it-journalist Brian Krebs over beschikt.

Macro-malware

Begin 2017 werd de bank opnieuw het slachtoffer van een aanval, die wederom met een e-mail begon. Dit keer hadden aanvallers een e-mail met een Microsoft Word-document als bijlage verstuurd. Dit Word-document bevatte een kwaadaardige macro die malware op de computer installeerde. Via de malware kregen de aanvallers niet alleen toegang tot het STAR-netwerk van de bank, maar ook tot Navigator.

Navigator is software die de bank gebruikt voor het beheren van banktransacties, waaronder opnames en stortingen van klantenrekeningen. Vervolgens werd er door de aanvallers op frauduleuze wijze 2 miljoen dollar op de rekeningen van sommige klanten gestort. Net als bij het eerste incident werden allerlei beveiligingsmaatregelen uitgeschakeld en het geld via honderden pinautomaten opgenomen. De schade bedroeg volgens de bank ruim 1,8 miljoen dollar.

Verzekering

De bank claimt dat het zich tegen cybercrime had verzekerd. Er was een dekking voor "computer and electronic crime" met een maximale dekking van 8 miljoen dollar. Daarnaast was er een dekking tegen verloren, gestolen, aangepaste of vervalste betaalkaarten van maximaal 50.000 dollar. Volgens de verzekeringsmaatschappij geldt voor beide gevallen de dekking van 50.000 dollar, in plaats van die van 8 miljoen dollar. De bank is het daar niet mee eens en besloot naar de rechter te stappen. Wanneer de rechter in deze zaak uitspraak doet is onbekend. Afgelopen vrijdag diende de verzekeraar een antwoord (pdf) in op de claim van de bank waarin het de beslissing uitlegt.