GlobalSign Blog

03 mei 2019

Cyber bankovervallen dragen bij aan 1 biljoen dollar aan verliezen door cybercriminaliteit

In een gedenkwaardige scène uit de film Butch Cassidy and the Sundance Kid proberen twee beruchte vogelvrijverklaarden (gespeeld door Paul Newman en Robert Redford) te ontkomen na hun laatste bankoverval, maar worden ze op de hielen gezeten door een onwrikbare sheriff die vastbesloten is ze voor het gerecht te brengen, ongeacht de kosten. Wanneer ze tijdens hun tocht te paard door het Westen van de VS en uiteindelijk Zuid-Amerika achtervolgd worden, blijven ze zich afvragen wie hun achtervolgers zijn, alsof het ondenkbaar is dat iemand zoveel moeite zou doen om twee mensen te stoppen die kleine hoeveelheden geld willen stelen op zo'n eenzame en vijandelijke plek.

Banken overvallen is iets van alle tijden. Hoewel deze misdaad vaak wordt opgehemeld in de literatuur en films, blijft het een kwalijke zaak en, alle kosten in beschouwing genomen, veroorzaakt dit grote verliezen bij consumenten (vergeet niet dat banken hun verliezen naar ons doorschuiven). Vandaag gebeuren bankovervallen digitaal en veel verfijnder en geniepiger dan vroeger, maar iedereen betaalt hiervoor. Over de meeste bankovervallen horen we zelfs niets omdat dit vrijwel dagelijks gebeurt.

Zoals vermeld in InsuranceJournal kosten cyberaanvallen financiële dienstverleners meer dan andere sectoren en het aantal inbreuken in de sector is de afgelopen vijf jaar verdrievoudigd, zo blijkt uit een rapport van Accenture and the Ponemon Institute.

Hun "Cost of Cyber Crime Study" gaat dieper in op de kosten die financiële dienstverleners oplopen ten gevolge van cybercriminaliteit en past vervolgens een kostenberekeningsmethode toe om jaarlijkse vergelijkingen te kunnen maken. Uit het onderzoek blijkt dat

de gemiddelde kosten van cybercriminaliteit voor financiële dienstverleners wereldwijd zijn toegenomen met meer dan 40 percent tijdens de afgelopen drie jaar, van 12,97 miljoen USD per bedrijf in 2014 tot 18,28 miljoen USD in 2017 — aanzienlijk hoger dan de gemiddelde kosten van 11,7 miljoen USD per bedrijf over alle onderzochte sectoren heen. De analyse richt zich op de directe kosten van de incidenten en gaat niet over de herstelkosten op langere termijn.

De jaarlijkse economische kosten van cybercriminaliteit, zoals hieronder aangegeven, worden inmiddels geschat op meer dan 1 biljoen dollar, een veelvoud van de totale kosten in het recordjaar 2017 van ca. 300 miljard dollar ten gevolge van natuurrampen.

Hieronder vindt u een overzicht van de statistieken over bancaire criminaliteit, afkomstig uit een recent rapport van Positive Technologies, een toonaangevende wereldwijde aanbieder van beveiligingsoplossingen voor bedrijven voor risicobeheer en conformiteitsbeheer. Het bedrijf is ook een expert op het gebied van incidenten- en dreigingsanalyse, en de beveiliging van toepassingen. Hun rapport bespreekt enkele voorbeelden van bankdiefstallen, de resultaten van penetratietesten en de beveiligingsanalyse van informatiesystemen voor banken tijdens de afgelopen drie jaar.

Het Wilde Westen van Online Bankovervallen

laag is. Dit inspireert steeds meer criminelen om 'online te gaan'. Terwijl sommige groepen uit elkaar vallen of betrapt worden door de cyberpolitie, nemen nieuwe groepen met meer verfijnde aanvalstechnieken hun plaats in.

Deze criminelen passen zich snel aan de veranderende omgeving. Ze zijn voortdurend op zoek naar de laatste kwetsbaarheden en grijpen hun kans sneller dan veiligheidsagenten updates kunnen installeren.

Op ondergrondse webforums kan iedereen vrij software kopen om een aanval uit te voeren (met uitgebreide gebruiksinstructies) en contact leggen met gewetenloze bankmedewerkers en witwassers van geld. Als een aanvaller met een beperkte technische kennis zich goed voorbereidt, kan hij miljoenen stelen door binnen te dringen in een banknetwerk, hoewel dergelijke netwerken vrij goed beveiligd zouden moeten zijn.

Voorbeelden van Bankdiefstallen:

Hoewel de grenzen van een banknetwerk doorgaans streng bewaakt worden, blijkt uit deze bevindingen dat in 100 procent van de gevallen die werden onderzocht door Positive Technologies, de penetratietesters de volledige controle konden krijgen over de netwerkinfrastructuur van een bank. Bij meer dan de helft van de geteste banken (58 percent) kwamen de aanvallers binnen via ongeautoriseerde toegang tot financiële applicaties. En bij 25 percent van de banken slaagden penetratietesters erin om de werkstations, gebruikt voor ATM-management, te misbruiken. Hieronder vindt u enkele recente voorbeelden van cybercriminaliteit met links naar meer details over de cybergangsters, hun misdaad en hoe ze het deden:

  • Diefstal van 100 miljoen dollar - begin 2017 was er een toename van het aantal aanvallen gericht op kaartverwerking in Oost-Europa.
  • Diefstal van 60 miljoen dollar - in het najaar van 2017 vielen indringers de Far Eastern International Bank in Taiwan aan door geld over te schrijven naar rekeningen in Cambodja, Sri Lanka en de VS.
  • Diefstal van 4 miljoen dollar - terwijl de banken in Nepal gesloten waren wegens vakantie,gebruikten criminelen SWIFT om geld op te nemen. De banken slaagden erin transacties te traceren en konden een groot gedeelte van het gestolen geld recupereren door tijdig te reageren.
  • Diefstal van 1,5 miljoen dollar - begin december 2017, begonnen openbare bronnen melding te maken van de MoneyTaker-bende, die anderhalf jaar lang financiële instellingen in Rusland en de Verenigde Staten aanviel. Criminelen vielen kaartverwerkingssystemen en interbancaire betalingssystemen aan, met diefstallen van gemiddeld 500.000 dollar in de VS en RUB 72 miljoen (ca. 1,26 miljoen dollar) in Rusland.
  • Diefstal van 100.000 dollar – in december 2017 doken er ook meldingen op over de eerste succesvolle SWIFT-aanval op een Russische bank. Het slachtoffer van de hackingaanval was Globex, een dochteronderneming van VEB. De verdachte is hackergroep Cobalt, die gespecialiseerd is in cyberaanvallen op banken.

Wie doet dit?

Enkele van de meest actieve bendes cybercriminelen van de afgelopen drie jaar zijn:

  1. Cobalt
  2. Carbanak
  3. Lazarus
  4. Lurk
  5. Metel
  6. GCMAN

De bevindingen van de experten van Positive Technologies bij de penetratietesten geven een duidelijk beeld van de planningsmethodologie voor aanvallen en de kwetsbaarheden die de bovenstaande bendes misbruikten en die het vaakst voorkomen bij banken ... en welke daarvan aanvallen mogelijk maken. Aanvallers plannen aanvallen doorgaans in vijf fasen:

  1. Verkenning en voorbereiding.
  2. Binnendringen in het interne netwerk.
  3. De aanval uitbreiden en een vaste voet krijgen in het netwerk.
  4. De banksystemen aantasten en geld stelen
  5. Sporen uitwissen.

Voor de eerste fase, verkenning en voorbereiding, verzamelt de aanvaller de volgende informatie over de bank:

  • Informatie over de perimetersystemen en software van het netwerk,
  • gegevens van werknemers (inclusief e-mailadressen, telefoonnummers, functies en namen),
  • namen van partners en aannemers, alsook hun systemen en werknemers,
  • bedrijfsprocessen, en
  • voorbeelden van voorbereidende acties.

De aanvallers gebruiken deze informatie voor het volgende:

  • Kwaadaardige software ontwikkelen of aanpassen voor de software- en besturingssysteemversies gebruikt in de bank.
  • Phishingmails opstellen,
  • infrastructuur opzetten (inclusief domeinregistratie, server verhuur en de aankoop van exploits),
  • de infrastructuur voorbereiden voor het witwassen en opnemen van geld,
  • zoeken naar katvangers en
  • de infrastructuur en kwaadaardige software testen.

Details over de andere fasen en hoe aanvallers zwakke plekken misbruiken worden ook uitgelegd in het rapport, waar u ze op gemak kunt lezen.

Meer Bevindingen van de Penetratietesten

  • 100% van de banken had kwetsbaarheden in webapplicaties, onvoldoende netwerkbeveiliging en fouten in de serverconfiguratie.
  • Bij 58% van de banken werden tekortkomingen vastgesteld in het beheer van de gebruikersaccounts en wachtwoorden.
  • Bij 22% van de banken slaagden experten erin om in de netwerkperimeter binnen te dringen in externe penetratietesten.
  • 75% van de banken is gevoelig voor social engineeringaanvallen.
  • Bij 100% van de banken werd de volledige controle over de infrastructuur overgenomen.
  • Bij 58% van de banken kregen experten toegang tot de banksystemen.

Welke specifieke zwakke plekken maakten het mogelijk om binnen te dringen in de banksystemen van meer dan de helft van de getest banken?

  • Onvoldoende beveiliging tegen het herstel van gebruikersgegevens uit het geheugen van het besturingssysteem.
  • Woordenboek wachtwoorden.
  • Gevoelige gegevens opgeslagen in cleartext.
  • SQL-injectie.
  • Gebruik van omkeerbare code.
  • Gebruikersgegevens opgeslagen in de broncode van applicaties.
  • Hergebruik van gebruikersgegevens voor meerdere hulpmiddelen.
  • Onvoldoende beveiliging van de hoofdaccount.

Kwetsbaarheden in de Netwerkperimeter

Naarmate het rapport meer in detail treedt, "kunnen de belangrijkste kwetsbaarheden en gebreken in beveiligingsmechanismen die vaak voorkomen in de netwerkperimeter van banken, worden ingedeeld in vier categorieën: kwetsbaarheden in webapplicaties, onvoldoende netwerkbeveiliging, fouten in de serverconfiguratie, en tekortkomingen in de beheersoftware voor gebruikersaccounts en wachtwoorden. Doorgaans moet een aanvaller slechts deze vier tekortkomingen gebruiken om binnen te dringen in het interne netwerk van een bank en toegang te krijgen tot de elektronische kroonjuwelen", zo blijkt uit het rapport.

In het rapport worden vier conclusies getrokken:

  1. Vergeet niet dat wanneer een aanval tijdig gedetecteerd en gestopt wordt, indringers kunnen worden tegengehouden. Verliezen voorkomen is mogelijk in elke fase, op voorwaarde dat geschikte beveiligingsmaatregelen worden genomen.
  2. Bijlagen bij e-mails moeten in een geïsoleerde omgeving (sandbox) worden gecontroleerd, in plaats van enkel te vertrouwen op antivirusoplossingen voor eindpunten.
  3. Het is belangrijk om meldingen van beveiligingssystemen te configureren en onmiddellijk op meldingen te reageren.
  4. Beveiligingsgebeurtenissen moeten worden gemonitord door een intern of extern Security Operations Center (SOC) met behulp van Security Information and Event Management (SIEM)-oplossingen, die de verwerking van informatie over beveiligingsgebeurtenissen aanzienlijk vereenvoudigen.

Het algemene advies van het rapport van Positive Technologies is een van bewustzijn, transparantie en samenwerking tussen de CISO's van banken, beveiligingsdiensten en bankmedewerkers:

Cybercriminaliteit blijft snel evolueren en vooruitgang boeken. Daarom is het belangrijk om incidenten niet te verbergen, maar om de kennis van banken te verzamelen door informatie te delen over aanvallen, en zo meer te leren over relevante aanvalsindicatoren en het bewustzijn in de sector te vergroten..

Voor verdere informatie over het tegenhouden van bankovervallers in het cybertijdperk raden we u aan de volgende artikelen te lezen in onze reeks van technische blog artikelen:


door Ted Hebert

Share this Post