Cyberbende pleegt een van de grootste bankovervallen ooit

Een internationale cyberbende heeft een van de grootste bankovervallen aller tijden gepleegd. Door honderd banken verspreid over de wereld te hacken hebben ze de afgelopen twee jaar tussen 300 miljoen en één miljard dollar buitgemaakt.

Beeld ThinkStock

Analisten van het Russische computerbeveiligingsbedrijf Kaspersky, dat het nieuws dit weekend naar buiten bracht, noemen het 'een bijzonder uitgekiende en professionele cyberbankroof'. Een woordvoerder van het Team High Tech Crime van de Nederlandse politie bevestigt de wereldwijde digitale overval. 'Dit is een heel brede operatie geweest.'

Tot dusver richtten op geld beluste computercriminelen zich meestal op individuele rekeninghouders, meestal door zich met nepmailtjes of nepwebsites als de bank voor te doen. In dit geval kozen de hackers de kortste weg naar het grote geld, door de banken zelf te infiltreren.

Ingenieus

In tegenstelling tot wat The New York Times zaterdag berichtte, lijken Nederlandse banken geen slachtoffer te zijn geweest, zegt Jornt van der Wiel van Kaspersky, die nauw betrokken was bij het onderzoek naar de hack. Ook de Nederlandse Vereniging van Banken (NVB) en de politie zeggen dat Nederlandse banken niet geraakt zijn. De meeste banken hebben de afgelopen weken wel intern onderzoek laten doen, nadat zij waren ingelicht over de hack.

In dertig andere landen zijn wel miljoenen weggesluisd door de Carbanak-bende, vernoemd naar de kwaadaardige software die de hackers gebruikten. Kaspersky noemt Rusland, de Verenigde Staten, Duitsland, China en Oekraïne als belangrijkste doelwitten.

Per bank werd maximaal 10 miljoen dollar weggehaald. 'Dat is het maximale bedrag dat een bank van de verzekering terugkrijgt', zegt Van der Wiel. 'Daarmee hebben de hackers het per bank relatief klein gehouden, om niet te veel alarmbellen te laten afgaan.'

De hackers gingen ingenieus te werk. Eerst stuurden ze een mailtje met een virus naar personeelsleden van de bank. Als een daarvan werd geopend, waren de hackers binnen. Overigens maakten ze daarbij gebruik van al enige tijd bekende softwarefouten in Microsoft Office en Word. 'Als de banken die gerepareerd hadden, was er niets gebeurd', zegt Van der Wiel. Eenmaal binnen probeerden de hackers bij een systeembeheerder te komen en diens wachtwoord te achterhalen. Daarna hadden ze toegang tot grote delen van het netwerk.

Methoden

Vervolgens bestudeerden de cybercriminelen de werkwijze van de bank gedurende twee tot vier maanden. Met zogeheten RAT's, remote access tools, keken ze mee op de geïnfecteerde computers en achterhaalden ze de toetsaanslagen (en dus de wachtwoorden) van belangrijke medewerkers. Ook kregen ze controle over camera's op de computers van de medewerkers, waardoor ze de praktische gang van zaken bij de betreffende bank haarfijn in kaart konden brengen.

Het cashen gebeurde op verschillende manieren. Het begon met het hacken van geldautomaten: zo stapte in Kiev, in een nacht in 2013, om 2.59 uur een man met een zwarte tas een halletje met pinautomaten binnen, die een minuut later spontaan biljetten begonnen uit te spuwen. Een andere methode was puur administratief: de hackers zetten even 10.000 euro op een rekening waar eigenlijk maar 1.000 euro op stond, en boekten vervolgens 9.000 euro over naar een bank in het buitenland.

Kaspersky kreeg de hackers in mei 2014 in het vizier. Het lijkt een Russisch-Oekraïense bende te zijn, met enkele leden in China.Waarschijnlijk is de bende niet door een land aangestuurd.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden