Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 52, views: 24.599 •

Een syndicaat van hackers onder aanvoering van enkele Russen bereidt een grootscheepse aanval voor op PayPal en alle grote Amerikaanse banken. Doel is om met behulp van nieuwe malware geld te stelen van klanten van die banken.

De aanval zou moeten worden uitgevoerd in de lente van 2013, meldt McAfee. De aanval onder de naam 'Project Blitzkrieg', maakt gebruik van nieuwe malware met de naam 'nah', een versie van Gozi Prinimalka. De malware is geavanceerder dan bekende bankenmalware als Zeus of SpyEye, omdat het maakt dat de criminelen kunnen inloggen via het ip-adres van de klant zelf, zodat de fraude lastiger kan worden opgespoord, meldt Computerworld. De malware zou in ontwikkeling zijn sinds 2008, al is het onduidelijk hoe de malware zich verspreidt.

Banken zouden dan ook alert moeten zijn of klanten inloggen op momenten dat ze dat normaal niet doen. Ook kunnen ip-adressen uit het buitenland worden gebruikt voor de fraude, maar dan is de fraude makkelijker op te sporen. Twee Russische hackers met de nicks VorVzakone en NSD presenteerden het plan in september op een forum en spoorden hackers aan mee te doen; als beloning zouden ze een deel van de opbrengst krijgen. De criminelen wilden telkens kleine bedragen overmaken om het niet te veel te laten opvallen. Eventuele juridische kosten van de hackers als gevolg van de aanval zouden door voVzakone worden gedekt.

De aanval is gericht op Amerikaanse banken en de tevens in Nederland actieve betaalservice PayPal. Het is onduidelijk of zulke grootscheepse aanvallen ook worden gericht op Nederlandse banken en bankklanten: vanwege de omvang van de Nederlandse bevolking en de taal vormt de Nederlandse bankenmarkt vermoedelijk een minder interessant doelwit voor groots opgezette aanvallen, al komen ook in Nederland geregeld uitbraken van malware voor waarbij kwaadwillenden proberen namens klanten van banken te internetbankieren.

Reacties (52)

Hť bah! dat ze dat u al weten, en er niks aan kunnen doen. :(
dit is gewoon puur misdaad. en nergens goed voor!
en nergens goed voor!
ook niet voor de aanvallers?
dit is gewoon puur misdaad. en nergens goed voor!
Ik vind het misdadiger dat de banken hebben toegestaan dat mijn geld zo onveilig is komen te liggen. Immers, je zet het geld op de bank omdat het daar veiliger is, althans dat was zo. Gezien de hoeveelheid aanvallen en de hoeveelheid gestolen geld durf ik te stellen dat mijn geld bij mij thuis in een oude sok veiliger ligt dan op de bank (tenminste, als je internetbankiert). Vroeger moest een fraudeur nog fysiek 'hengelen' om met overschrijfkaarten te frauderen en was de bank aansprakelijk bij misbruik. Nu koop of download je een kant en klare toolkit zoals Zeus of Carperb die zo eenvoudig en succesvol is dat de banken de verantwoording bij misbruik nu afschuiven op de klanten. PayPal is daarbij nog een extra aanvalsvector die vaak wordt misbruikt. Om nog maar te zwijgen van de lucratieve Chinees/Russische handel in skimming apparatuur (de Russen zetten de voorzetstukjes in AutoCAD, de Chinezen maken de mallen voor de spuit-giet machine). Voor een $8000,- Dollar heb je zo'n kit compleet, wat je in een drukke stad binnen een paar uur hebt terugverdiend. De banken zuiveren wel aan, maar dat is onze pasbijdrage en/of inflatietoename (geldontwaarding).
Misschien moet ik voor mezelf eens de afweging maken wat belangrijker is: snelheid vs veiligheid. En geld wordt 'zwart' zo gauw je het uit de muur pint, dus dat heeft ook zo zijn voordelen ;).
Ter leering ende vermaeck.

[Reactie gewijzigd door Rick2910 op 14 december 2012 10:04]

Je weet dat je nu tegen jezelf aan het schoppen bent? Die malware wordt namelijk niet bij de bank geinstalleerd, maar bij de klant.
bahaha een heel onzin verhaal terwijl het probleem gewoon bij de client licht

weet waar je op klikt en zorg ervoor dat je pc scanned met up to date virus scanners
Dat vind ik makkelijk gesteld. Stel dat een non-tweaker dit telefoontje krijgt, dan weet ik zeker dat veel mensen erin zouden trappen.
Fout van de client? Zeker. Kun je het de client kwalijk nemen? Vind ik niet. Van normale mensen paranoia verwachten vind ik wat ver gaan. De bank maakt zo van hun probleem jouw probleem. Ze willen het internetbankieren niet te moeilijk (en veiliger) maken omdat ze bang zijn anders klanten te verliezen, maar ze stellen je wel zelf aansprakelijk, of althans deels, als het mis gaat. En dat terwijl ik als klant 0 invloed heb over de manier waarop de bank zijn security policy inricht. Conclusie: de bank steld zijn eigen winstgevendheid (denk aan kostenreductie via internetbankieren) boven de veiligheid van het geld van zijn klanten.

[Reactie gewijzigd door Rick2910 op 14 december 2012 10:27]

Dus de banken moeten internetbankieren maar uitzetten (want dan is het "veiliger") omdat sommige gebruikers te laks/dom zijn en er zo misbruik kan worden gemaakt? lijkt me de omgekeerde wereld.
Dit is niet waar. Banken nemen zelf het verlies, het zou helemaal mooi worden wanneer banken dat niet meer doen, dan krijgen we morgen een bankrun.
Zover ik weet is er nog maar een enkele aanval geweest die zich binnen de banksystemen nestelde (zoals pinautomaten). Maar echt 'binnen' de banken komt het, buiten personeelsfraude, bijna niet voor. Malware, phishing, skimming enz zijn allemaal client-side aanvallen. Alleen dat was hengelen in feite ook, alleen nam de bank daar wel verantwoording voor. De huidige aanvallen zijn zo grootschalig dat het zelfs voor de banken te duur begint te worden, maar dat is een terugkeer naar de overschrijfkaarten en bankpersoneel ook, zeker nu ze die net allemaal ontslagen hebben en de kantoren hebben afgestoten.
Het probleem wat ik heb is dat mensen en masse - met lichte dwang - naar internetbankieren zijn gedreven, terwijl ook toen al papers bestonden die aangaven dat secure transacties over het publieke internet niet zo slim waren. Het is niet voor niets dat tot ongeveer 2005 veel pinterminals nog inbelden via een dedicated (non-internet) lijn. Daarmee vang je dat al af. Tegenwoordig zijn pinautomaten niet meer dan Windows CE of Windows XP embedded systemen die met een VPN werken. Die pijp is dan misschien wel veilig, maar die machine heeft nog steeds een public IP address. Dat icm een exploit in het systeem OS kan veel ellende betekenen.

[Reactie gewijzigd door Rick2910 op 14 december 2012 11:09]

Dit verhaal van jou, Rick, klopt voor geen meter.

Ten eerste is de omvang van elektronische fraude zeer beperkt. Die is namelijk helemaal niet zo groot, als dat jij in jouw wilde fantasiŽen bedenkt. In 2011 bedroeg de internet fraude 0,001% van alle online transacties, 0,03% voor skimming. Dat is zo'n 40-50 milioen euro op een totaal van 3,2 biljoen euro.

Het skimming percentage is overigens in 2012 al flink afgenomen door het gebruik van EMV gecertificeerde betaalpassen en betaalterminals. De banksys Xenta betaalterminals bijvoorbeeld (de kubussen) zijn EMV gecertificeerd. En die certificaten worden niet zomaar afgegeven.

Daarnaast moet je een beveiligde dienst afsluiten over de dataverbinding waarover PIN over IP transacties plaatsvinden. En is het IP-adres niet van buiten zichtbaar. Bovendien wordt skimming ook vergoed door de bank. Mijn baas is bijvoorbeeld geskimt in Kenia op vakantie voor 10.000 euro en dat is netjes vergoed door de bank.

Betaalterminals draaien trouwens meestal RISC. Dus geen windows CE of Windows XP Embedded. Dit in tegenstelling tot veel POS systemen waar jij mee in de war bent waarschijnlijk.

Maar veel succes met je sok.
Verder is de EMV chip natuurlijk prachtig, maar op alle pinpassen zit nog steeds een magneetstrip. Toen ik dit naavroeg bij mijn bank blijkt dat dit nodig is omdat vrijwel alle pinautomaten (waar geld uit komt) nog met de magneetstrip werken. De terminals in winkels zijn al wel vaak om. Deze bekende exploit blijft dus bewust open staan.
Mijn baas is bijvoorbeeld geskimt in Kenia op vakantie voor 10.000 euro en dat is netjes vergoed door de bank.
Daar betalen we wel allemaal voor via de rekeningkosten. En als de bank het geld ter plekke creŽert (wat technisch mogelijk is) dan worden de Euro's van de rest weer minder waard. Want die § 10k is toch echt andere andere kant gestolen. Dat jouw baas dat persoonlijk geen last van heeft doet niks af van het probleem.
Daarnaast moet je een beveiligde dienst afsluiten over de dataverbinding waarover PIN over IP transacties plaatsvinden.
Gaat de verbinding over het publieke internet?
Betaalterminals draaien trouwens meestal RISC. Dus geen windows CE of Windows XP Embedded. Dit in tegenstelling tot veel POS systemen waar jij mee in de war bent waarschijnlijk.
Ik had het inderdaad over pinautomaten (foto uit eigen archief).

[Reactie gewijzigd door Rick2910 op 14 december 2012 11:34]

Daar betalen we wel allemaal voor via de rekeningkosten.
Wat is het alternatief, niet betalen? Wat als er dan iets gebeurd? Ben je alles kwijt. Het is eenvoudig om te vloeken op die kosten van een bank, maar op het moment dat het misgaat (al dan niet door je eigen fout) ben je maar wat blij als een bank je schadeloos stelt.
Gaat de verbinding over het publieke internet?
Ken jij een ander landelijk netwerk dat zowat overal bereikbaar is? Er is niets mis met betalingsverkeer over het internet zolang de beveiliging van het verkeer in orde is.
Schade winkeldiefstallen in Nederland enkele miljarden per jaar. Daar verbleekt inderdaad dit soort fraude bij. Maar geen mens die zich druk maakt om die kleine ondernemer die schade heeft van diefstal. Maar als er eens geskimmed wordt staan de kranten bol.
Daar zorg je zelf maar voor als winkelier. Jouw toko, jouw verantwoordelijkheid. Als ze bij mij thuis iets weghalen is het ook alleen verzekerd als je echt veel maatregelen treft en dan nog wordt maar een fractie van de waarde uitbetaald (350 euro op 2200 waarde had ik onlangs gehoord). Winkeldiefstal heeft niks, maar dan ook niks te maken met internetfraude, skimmen of iets in die aard en is dus compleet offtopic.
Jawel, mensen moeten de gelegenheid hebben om cijfers in een juist perspectief te kunnen zien. Dan ga je kijken naar schade door fraude in andere sectoren. Die geef ik.
Ja als je onderverzekerd bent kan dat kloppen, en wat nou veel maatregelen nemen. SniperEye maakt een terechte vergelijking en jij komt met dikke duim verhalen.
De beveiliging van de meeste banken is echt wel in orde. Het zijn de klanten die nog altijd veel te laks omspringen met malware beveiliging.

Als de banken de schade van malware moeten gaan vergoeden als jij het vertikt een anti-virus te installeren geeft dat eerder de indruk dat je jezelf niet moet beveiligen.

0-day exploits blijven natuurlijk een risico, maar met een beetje up to date virusscanner blijft dat risico relatief beperkt.
Wat ik niet snap, is waarom virsscanner bedrijven niet allen de hand in een slaan en samen werken. Stel je voor een virusscanner met de beveiligingsdefinities van alle virusscanners die er zijn. Gratis en automatisch geupdate in windows.

En dan bedole ik niet dat je de updates handmatig uit kunt zetten, maar zodra je online gaat worden deze geupdate. Het kan wel veilig. maar weet iemand hier op deze website nou precies welke virus scanner je moet nemen? iedere scanner laat wel ergens een steekje vallen. Allemaal samen werken of op zijn minst de lijsten met elkaar delen zou een hoop schelen.

Ook ben ik van mening dat in de huidige generatie OS'sen zoals windows 7 en 8 een volledig ingebakken virusscanner hoort te zitten die minstens 5 jaar onbetaald volledige bescherming moet bieden, zonder dat de gebruiker dit kan uitschakelen. Het probleem van het kunnen uitschakelen is namelijk weer dat het dan dus weer niet veilig is. Must is dan wel dat het feilloos werkt.

De reden dat mensen niet goed beschermd zijn is gewoon omdat vele vaak wat oudere mensen geen benul hebben van wat er zich allemaal op het internet afspeelt. Je kunt dan wel zeggen ja die sukkels vragen er zelf om. maar eigenlijk is dit niet zo. je kunt er als burger tegenwoordig bijna niet meer omheen om wel online te betalen. acceptgiro's zijn er vaak al niet eens meer. fysieke banken? waar vind je tegenwoordig nog een ing bank? Bij het postkantoor? Die sluiten bij ons in de buurt iedere dag om 4 uur wat als je de hele dag moet werken?

Nee mensen de schuld geven dat ze onzorgvuldig zijn is een beetje kort door de bocht. In heel de wereld deze klootzakken hard aanpakken is naar mijn idee een veel beter plan. Maar landen als rusland bulgarije hongarijen en polen laten deze smeerlappen gewoon omliggende landen leegroven en doen verder niks, auto's ijzer, koper, skimmen en noem het maar op. Op klaar lichte dag huizen leeg roven. 100den bulgaarse criminele bendes. en wat zegt de regering, laat ze toch lekker allemaal binnen hier. Kom maar jongens kom ons land maar leeg roven we hebben toch genoeg!

Geloof mij dit is pas het begin. Die mensen daar hebben niks. Hier in nederland is genoeg. wanneer de winter aanbreekt en de tuinbouw op zijn gat ligt houd het werk voor deze mensen hier in nederland op... maar ja er moet toch geld komen om te kunnen eten... En wat is er nu makkelijker dan gewoon een huis leeg roven, of een hoogspannings kabel boven het spoor te demonteren. of ketels in nieuwbouw woningen eraf te schroeven... En wat gebeurt er als de politie on pakt? Oh niet veel je zit een weekje in de bajes en ze stampen je weer de straat op omdat er geen plek is. Vervolgens gaan ze vrolijk verder.

ik dwaal erg af van het onderwerp. maar dit is wel de realiteit. Deze criminelen moeten hard aangepakt worden. maar omdat ze niets hebben, hebben ze ook niets te verliezen. Dat is het punt met deze landen momenteel. En daar hebben wij behoorlijk last van.
Wat ik niet snap, is waarom virsscanner bedrijven niet allen de hand in een slaan en samen werken. Stel je voor een virusscanner met de beveiligingsdefinities van alle virusscanners die er zijn. Gratis en automatisch geupdate in windows.
Serieus? Virusscannerbedrijven zijn commercieel, het gaat hen niet om de beste oplossing voor jou als gebruiker maar om de winst. Samenwerken met de concurrent is dan geen optie en jij wilt dat alles ook nog gratis? Get real.
Ik heb gehoord van een collega in de business dat die (virusscan)bedrijven in beperkte mate toch al samenwerken hoor. De productdifferentatie zou zich niet meer zozeer afspelen in de kwaliteit van de virusdefinities - waar dus samenwerking op zou bestaan, maar de heuristiek, prijszetting, licentieverhaal en nog een paar andere.
Jouw geld? Sorry to burst your bubble maar tenzij je het fysiek onder het matras hebt liggen hebben je in het beste geval alleen een stel 1'tjes en 0'en. Zodra de computer kapot gaat heb je niets meer tenzij je met een papieren afschrift kunt bewijzen wat er op je rekening stond.

Just a friendly reminder.

-1's zijn voor offensive postings, geen meningen waar je het niet mee eens bent

[Reactie gewijzigd door CobraVE op 14 december 2012 14:49]

-1's kunnen voor zoveel meer dienen. Als een antwoord totaal nergens op slaat zonder beledigend te zijn mag er ook gerust een -1 volgen, net zoals bij off-topic posts.

En ja, mijn geld. Dat geld moet niet fysiek onder mijn matras liggen. En ik denk dat als je zou zien hoe redundant alles word opgeslagen bij banken de dag van vandaag dat je snel zal merken dat je het niet kan verliezen.
Totdat iemand beslist jou rekening te blokkeren, dan ben je *poef* alles kwijt.
Als een serieus virus opduikt ben je ook alles kwijt.

Geld moet je in je zoveel mogelijk portemonee bewaren want de rente die je er op krijgt is zo minimaal dat het zich veelal niet loont. Wat wel loont is de inkomsten die de bank van jou geld krijgt met het doorsluizen en investeren.
Bizar verhaal, maar ik ben ergens wel heel benieuwd hoe dit dan is uitgelekt. Schijnbaar zat er een "verkeerd" persoon voor hun op het forum van hackers. Credits voor deze persoon wat mij betreft. Het getuigt van lef om tegen criminelen in te gaan.
er staat gewoon in de tekst dat ze zelf het plan op een forum hebben gepresenteerd

en op zulk soort forums zitten (denk ik) vaak wel ''verlinkers''

[Reactie gewijzigd door erik91 op 14 december 2012 08:11]

Al in oktober gingen de geruchten... Kennelijk omdat RSA (de firma die token-authenticatie diensten levert) er lucht van kreeg en een verhaal uitstuurde.

Overigens lijkt Nederland buiten schot te blijven - niet vanwege de taal maar omdat bijna alle Nederlandse banken een 2-factor authenticatie mechanisme hebben (token + pin). Amerikaanse banken gebruiken veelal nog alleen een wachtwoord - en dat is makkelijk te omzeilen...

Interessant genoeg heeft de 'aanvoerder' van het plan het lef om zich met foto en al te presenteren op het internet. Kennelijk niet bang als hacker van Amerikaanse banken voelt hij zich veilig in Rusland...

http://krebsonsecurity.com/tag/vorvzakone/

[Reactie gewijzigd door Tukkertje-RaH op 14 december 2012 09:46]

Ook two factor authenticatie is te kraken door een competente aanvaller. enige bescherming is nog te halen uit het analyseren van de transactie zelf. Wat dat betreft is er nog veel winst te halen. Een verdachte transactie ophouden en persoonlijk contact opnemen met de klant lijkt me beter dan meer technologie in de klant authenticatie, want een man in the middle laat de klant de authenticatie doen en kan daarna zijn slag slaan.
Tukkertje-RaH beweert dan ook helemaal niet dat two factor authenticatie niet te kraken is, alleen dat dat wat minder gemakkelijk is.
Zou dit niet een marketing opzet zijn van bv McAfee!!!! Wie gaat zoiets nu bekent maken!!!! 8)7
Vind het trouwens zelf opmerkelijk dat het nu pas op t.net wordt geplaatst. Het was op 4 oktober al naar buiten gekomen en nu komt tweakers er pas 2 maanden later (ongeveer tussen de bevinding en de aanval zelf in) later mee.

Desalniettemin best intressant
Klinkt vooral als katvanger zoeken, wat hier ook veel gebeurd door criminelen, die valse beloftes doen (zoals juridische kosten worden betaald). Want als die katvangers dan echt gepakt worden, zullen de echte daders met de noorderzon ťn het geld vertrokken zijn.
En dit soort aanvallen gebeurt ook al iedere dag, dus is ook niet echt nieuw.
Ook het laten lekken kan een tactiek zijn in het kader van social engineering. Als de doelen van dit verhaal nu acties ondernemen om hun beveiliging aan te passen, kan het zijn dat er juist informatie wordt verschaft over zwakkere plekken of de werking en reacties van security mechanismes die al in place zijn. Dit kan op zich een bewuste actie zijn van een hele andere groep.

Trouwens: voor client side targeting is NL wellicht niet interessant, maar op alle andere gebieden wel. ING is bijvoorbeeld een conglomeraat in de absolute top van de wereld.
En wat te denken van de fhishing die nu naar mensen uit kan gaan uit naam van de bank?
Iets van ; zoals u mogelijk hebt gehoord is er een grootscheepse aanval op komst. Wij als Paypal hebben een mogelijke oplossing. Daartoe is het wel belangrijk dat u uw account update. U doet dat via onderstaande link, blahblahblah.

Kan heel netjes passen in de social engineering. Tweakers zullen daar niet zo snel intrappen, maar ik weet vrij zeker velen, minder computertechnische mensen, wel.

[Reactie gewijzigd door maartend op 14 december 2012 08:50]

"Eventuele juridische kosten van de hackers als gevolg van de aanval zouden door voVzakone worden gedekt."... :o
Hoe naief kan je zijn, als mede-crimineel, dat je een andere criminele hacker vertrouwt die je alleen bij z'n bijnaam kent?
Is het mogelijk om je Paypal-account tijdelijk op te schorten totdat deze aanvalsgolf voorbij is?
Gewoon je bankrekeningnummer verwijderen en later, wanneer de golf voorbij is, diezelfde bankrekeningnummer weer toevoegen. Het toevoegen/verwijderen is een kleine moeite.

Ik heb in ieder geval mijn rekeningnummer verwijdert. Zo vaak gebruik ik PayPal niet en ik vind het een eng idee dat je enkel een login nodig hebt om transacties te kunnen maken.

[Reactie gewijzigd door Dark0z op 14 december 2012 09:07]

Dat zat ik gister nog te denken inderdaad. Al die banken met al die beveiligingen, en met Paypal kun je gewoon inloggen met e-mail adres en wachtwoord.

Maar als je je bankrekening weghaald en later weer toevoegd? Moet hij dan opnieuw gevalideerd worden? Waardoor je dus niet snel even iets kan kopen met paypal na het toevoegen.
Eventueel een nieuw bankaccount aanmaken, enkel met een minimum bedrag, specifiek te gebruiken voor aankopen via Paypal & internet en gelinkt aan je Visa?
Hmmm, I smell a rat. Vor V Zakone is de Russische maffia en iedereen die zich online zo noemt is er vermoedelijk geen lid van, gok ik. Met andere woorden, het zou best een 'serieus' plan kunnen zijn van hele domme mensen of een serieus plan met een heel ander oogmerk. Het heeft alles van een doelbewuste actie om mensen bewust te maken van de gevaren van online bankieren, zegt mijn paranoÔde kant.
Tweakers.net, lekker op tijd met de berichtgeving... dit nieuwsitem is van 2 maanden geleden;

Russians Set to Make Big Withdrawals from U.S. Banks — Without Having Bank Accounts. Cybercriminal Start-up Recruiting Botmasters for Massive Attack.
Posted on October 10th, 2012 by Dan Rampe

Bron: http://www.threatmetrix.com/fraudsandends/tag/vorvzakone/


Direct een antwoord waarom Amerikaanse banken wel en Europese niet;

Ahuvia says American banks were allegedly targeted for two reasons. One was an anti-American bias. Another was security. European banks require two-factor authentication for wire transfers; American banks only rarely do.

Op dit item kan niet meer gereageerd worden.



Populair: Samsung Gamecontrollers Smartphones Sony Microsoft Apple Games Consoles Politiek en recht Smartwatches

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013