Home » Technology » Security » De cybercrimineel van de toekomst is een specialist

De cybercrimineel van de toekomst is een specialist

Tech Page One

De cybercrimineel van de toekomst is een specialist

 

Hoort u nog wel eens iets over skimming, ofwel het kopiëren van de magneetstripgegevens van bankpassen via pinautomaten? Waarschijnlijk niet. Dit komt doordat het gebruik van de magneetstrip van bankpassen in Nederland is geblokkeerd en de chip die nu wordt gebruikt niet meer zomaar gekopieerd kan worden. Bovendien kunnen passen standaard niet meer buiten Europa gebruikt worden, het zogenaamde ‘geoblocking’.

Fraudedetectie

Voor de verdere beveiliging van het betalingsverkeer zijn de banken ook niet stil blijven zitten. Zij introduceerden bijvoorbeeld nieuwe authenticatiemethoden voor mobiel bankieren, zoals het Secure Remote Password (SRP) protocol van de ING. Bovendien is de consument door awareness-campagnes zoals “hang op, klik weg, bel uw bank” steeds beter in staat om phishing te herkennen. Maar de belangrijkste ontwikkeling is dat banken en creditcardmaatschappijen veel intelligenter omgaan met het detecteren van fraude door betalingsgedrag te monitoren op basis van gebruikersprofielen. Als iemand bijvoorbeeld op een vreemde locatie of tijdstip een bovenmarginaal bedrag wil opnemen, valt dit buiten het profiel en wordt dit geblokkeerd. Is het een twijfelgeval, dan wordt de transactie door een mens beoordeeld. Voor cybercriminelen is het daardoor veel minder interessant om zich te richten op retail banking en individuele consumenten.

Er zijn echter nog genoeg alternatieve gaten in de beveiligingsketen waar criminelen gebruik van kunnen maken. Zo ontdekte het beveiligingsbedrijf FireEye onlangs nieuwe malware voor pinautomaten, genaamd ‘Suceful‘, dat alle informatie van de magneetstrip kan uitlezen, inclusief de chip, op commando de pinpas kan inslikken en de sensoren in de geldautomaten uitschakelt om detectie te voorkomen. De meest lucratieve businessmodellen voor cybercrime opereren echter op een nog veel geavanceerde niveau.

Grootste digitale bankroof ooit

De cybercrimineel van de toekomst is een specialistDe laatste jaren zien we steeds grotere bedragen bij individuele incidenten. Alom bekend is de digitale bankroof op een bank in Oman twee jaar geleden, waarbij maar liefst 30 miljoen euro werd buitgemaakt. Naast het feit dat hierbij een enorme groep aan medeplichtigen betrokken was, bleek dat er bij de bank was ingebroken via geïnfecteerde software van een Indonesisch ICT-bedrijf.

Een ander voorbeeld is de grootste digitale bankroof ooit, waarbij dit jaar zo’n 265 miljoen euro werd gestolen bij tientallen banken wereldwijd. Ditmaal werden de systemen van bankmedewerkers en beheerders geïnfecteerd met malware door middel van ‘spear phishing’. Zij hebben hoge rechten en vaak direct toegang tot betaalsystemen. In plaats van dus honderden of duizenden klanten van banken tegelijkertijd als doelwit te nemen, worden in dit type aanval slechts een aantal medewerkers of leveranciers geïnfecteerd, wat veel effectiever is. Wel is hier veel meer kennis van de interne werking van banken voor nodig.

Gespecialiseerde cybercrime

De wereld van de cybercrime professionaliseert, en omdat niemand in alles goed kan zijn, blijken criminelen zich steeds meer te specialiseren in specifieke onderdelen ervan. Sommige in het technische hacken, anderen in een veelvoud aan aanvullende diensten. Denk aan het opzetten van helpdesks tot het omzeilen van detectiesystemen en het aanbieden van ‘command&control’ via ‘peer2peer’-netwerken. Het succes van grote inbraken wordt grotendeels bepaald door de kennis van de keten en de bedrijfsprocessen. Die kennis wordt inmiddels ook als dienst aangeboden door cybercriminelen. Zo gebruiken veel Fortune 500 bedrijven zogeheten SWIFT-interfaces, waarmee razendsnel allerlei geautomatiseerde transacties worden uitgevoerd, soms wel honderden per seconde. Deze SWIFT-interfaces zijn in wijze niets anders dan een stukje software op een besturingssysteem. Zijn ze eenmaal gecompromitteerd, dan kunnen enorme geldbedragen gestolen worden, zonder menselijke interventie. Toekomstmuziek? Nee hoor, dit hebben wij tijdens penetratietesten al meerdere malen aangetoond. Het probleem voor echte aanvallers? Er worden ook nog controles achteraf gedaan, zoals consolidatie over de financiële rapportages. Ik verwacht daarom dat criminelen steeds meer van bedrijfsprocessen gaan leren en zo ook in staat zijn deze controles te omzeilen. Want uiteindelijk komen ook de consolidatiegegevens uit een computersysteem.

Maar ook dichter bij huis zien we die specialisatie. Zo blijkt dat de makers van ransomware, malware die data van slachtoffers versleutelt en tegen betaling weer vrijgeeft, heuse helpdesks gebruiken. Zij hebben immers de reputatie hoog te houden dat betalen ook daadwerkelijk leidt tot het weer terugkrijgen van je persoonlijke data. Die professionalisering in cybercrime zal doorzetten, en is een signaal dat bij beveiliging van het betalingsverkeer steeds dieper in de beveiligingsketen gedoken moet worden.

 

 

Martijn Sprengers

Martijn Sprengers

Martijn Sprengers MSc is werkzaam als IT Security Consultant bij KPMG IT Advisory. Hij studeerde af op het gebied van Computer Security en heeft meer dan 5 jaar relevante ervaring met IT-beveiliging. Hij is gespecialiseerd in de vele facetten van het beoordelen van IT-beveiliging: ethisch hacken, social engineering, penetratie testen, red teaming en IT-auditing. Klanten zijn onder meer grote bedrijven, zoals financiële instellingen, overheden en petrochemische organisaties. Onlangs heeft Martijn zich verder gespecialiseerd op het gebied van industriële IT-beveiliging (Industrial Control Systems), met een focus op nieuwe ontwikkelingen en bedreigingen.

Laatste Artikels:

 

Tags: Security, Technology