'Geldroof centrale bank Bangladesh via hack in Swift-software gepleegd'

Een bankroof in Bangladesh, waarbij 81 miljoen dollar is buitgemaakt, is waarschijnlijk gepleegd door de Swift-clientsoftware met malware te infecteren. Op die manier waren criminelen in staat om grote bedragen over te schrijven naar Filipijnse rekeningen.

Swift-logo Een woordvoerder van Swift liet aan persbureau Reuters weten dat de criminelen de Swift-clientsoftware genaamd 'Alliance Access' als doelwit hadden. De Swift-groep wil maandag naast een software-update ook een waarschuwing voor banken publiceren, om deze aan te zetten tot het beter bewaken van hun betalingssystemen. Het Britse beveiligingsbedrijf BAE Systems was eerder tot de conclusie gekomen dat de criminelen gebruikmaakten van Swift.

Tot nu toe werd vermoed dat de aanvallers toegang hadden verkregen tot het systeem van de centrale bank van Bangladesh en zo Swift-inloggegevens wisten te bemachtigen. Het onderzoek van BAE Systems zou echter aantonen dat de Swift-software zelf was gebruikt. BAE-onderzoekshoofd Adrian Nish stelt dat het om een geavanceerde aanval ging: "Ik kan mij geen andere zaak voor de geest halen, waarbij aanvallers zich in deze mate aan de omgeving hebben aangepast waarin zij te werk gingen." Het is tot nu toe niet duidelijk welke partij verantwoordelijk is voor de bankroof.

De gebruikte malware was aanwezig in het bestand 'evtdiag.exe' en was in staat om de sporen van de criminelen uit te wissen door informatie over overschrijvingsverzoeken in de Swift-database van de bank aan te passen. Op die manier konden logboeken van uitgaande verzoeken van de criminelen verwijderd worden en konden zij binnenkomende verzoeken onderscheppen. Het was daarnaast mogelijk om het saldo van bepaalde rekeningen aan te passen en ervoor te zorgen dat een printer gewijzigde afdrukken produceerde, zodat deze niet zouden opvallen.

Het systeem werd in de gaten gehouden vanaf een Egyptische server. Het is nog steeds onduidelijk op welke manier de aanvallers een overschrijving konden aanmaken. Het malwarebestand zou bovendien deel uitmaken van een uitgebreidere toolkit, zo stelt BAE Systems. In de loop van onderzoek zou zijn gebleken dat de bank onder andere gebruikmaakte van goedkope switches van rond de tien dollar, die zonder firewall aan het Swift-netwerk waren verbonden.

Bovendien hadden de aanvallers geprobeerd om in totaal 951 miljoen dollar over te schrijven, maar deze overschrijving werd door een medewerker van de Deutsche Bank ontdekt door een spelfout. In de naam van de ontvanger was het woord 'foundation' namelijk als 'fandation' gespeld.

Swift is een internationale organisatie waarin financiële instellingen informatie uitwisselen over transacties. Het platform is wereldwijd in gebruik bij 11.000 banken en andere instellingen. Een klein deel daarvan zet daarvoor de Alliance Access-software in.

IT-banen

Reacties (109)

BtM909 25 april 2016 12:43

Het komt nu over dat door 1 spellingsfout er 1 transactie werd tegengehouden van bijna 1 miljard, maar het ging om een batch van transacties van ieder rond de 20M (totale waarde $850-$870M).

De typfout is voor dat soort bedragen simpelweg de uitkomst van een routinecheck en zo kwam die ene transactie aan 't licht.

Tegelijkertijd vond de New York Federal Reserve het ook al verdacht dat er zoveel batches naar privé-entiteiten werd overgemaakt vs tussen- of eindbanken, dus die hadden de batch ook al on-hold gezet voor clarification.

Al met al, bizar dat deze hack succesvol is uitgevoerd. Dat geeft alleen maar aan dat de diverse onderdelen toch behoorlijk bekend zijn bij de hackers en dat geeft geen gerust gevoel.

Verwijderd @BtM909 • 25 april 2016 13:59

Misschien is het verhaal over de spellingfout een verhaal voor de pers maar zijn de transacties in werkelijkheid voorkomen door een beveiliging die swift geheim wil houden.

Cafe Del Mar

@Verwijderd • 26 april 2016 12:02

Er is helemaal niets geheims aan

.
Er werden 35 betalingen uitgestuurd voor een totaalbedrag van $951M. De FED blokkeerde $850M (30 transacties) omdat het "verdacht veel" transacties waren.
De FED had eerder al $101M laten passeren (5 transacties), maar verder in de keten besliste Deutsche Bank om toch even informatie op te vragen. Dat is de bewuste transactie met de spellingsfout "Shalika Fandation" ipv "Shalika Foundation".
De $81M die wel verwerkt is (4 transacties) zijn naar RCBC bank op de Filipijnen gestuurd, en van daaruit uitbetaald aan "Bloomberry resorts", "Eastern Hawaii Leisure Company" en ook aan Weikang Xu.
Opnieuw: er is dus niets geheim aan

. Alle informatie kan je gewoon in verschillende (buitenlandse) media vinden.

pauldebra 25 april 2016 11:06

martijnve @pauldebra • 25 april 2016 11:09

Het gaat hier wel over een grotere transactie dan jij en ik doen. Nogal logisch dat daar wel een handmatige check op kan en een transactie van €5,49 niet.

reuzekind @martijnve • 25 april 2016 11:14

Dit moet natuurlijk in een geautomatiseerd proces te doen zijn. Ik snap dat er geen handmatige controle plaats kan vinden bij kleine transacties, maar een simpele automatische check op naam moet gewoon mogelijk zijn.

Madden @reuzekind • 25 april 2016 11:31

Dit moet natuurlijk in een geautomatiseerd proces te doen zijn. Ik snap dat er geen handmatige controle plaats kan vinden bij kleine transacties, maar een simpele automatische check op naam moet gewoon mogelijk zijn.

Lastiger dan het klinkt.
Stel iemand maakt een bedrag X over naar iemand anders (genaamd Steven Antonius van Rijn). Wanneer keur je de transactie op basis van de naamcontrole goed? Als deze geadresseerd wordt aan:

Steven van Rijn,
S van Rijn,
S. van Rijn,
S.A. van Rijn,
Rijn, S.a. van
Van Rijn, S.

Moet alleen de achternaam kloppen? Of ook de voorletters? Of de voornaam, als die opgegeven is? En ga zo maar door.
En dit is een simpele Nederlandse naam! Houdt daarbij ook nog eens rekening met anderstalige namen en naamsdeel volgordes, en je hebt al een behoorlijk aantal mogelijkheden die je moet controleren op alleen het naamveld.

Enige 'zinnige' oplossing zou mijns inziens zijn dat - net als bij de CC maatschappijen - ze overboekers verplichten om de naam exact gelijk te hebben aan de naam zoals die bij de ontvangende bank geregistreerd staat. Dan is een simpele check voldoende.

SunnieNL

@Madden • 25 april 2016 11:52

De ING deed het voor IBAN ook.
Ik heb wel eens wat zaken teruggekregen.

Je kunt ook een beetje matchen. Als jij geld overmaakt naar jou voorbeeld en ik tik in P. Puk als naam komt er gewoon helemaal niets overeen.

En anders moeten we bij overmaken van geld dat allemaal maar buiten de aanvraag houden. Wat heeft het voor nut dat ik een naam moet opgeven als ze er niets mee doen (net als plaatsnaam bij het overmaken nergens op slaat, wordt namelijk ook niet gecontroleerd)

Overigens is bij een CC de precieze naam ook niet verplicht. Als ik p.kaak invoer ipv mijn volledige voorletters wordt het ook geaccepteerd

[Reactie gewijzigd door SunnieNL op 23 juli 2024 21:19]

Maurits van Baerle @SunnieNL • 25 april 2016 12:00

Volgens mij deed de ING het alleen voor overboekingen binnen de ING. Ik heb voor zover ik me kan herinneren dat nooit gezien bij een overboeking van ING naar bijv. ABNAMRO.

Verwijderd @Maurits van Baerle • 25 april 2016 12:07

Klopt. Bovendien was de implementatie van ING behoorlijk onveilig. ALs je kwaad wilde kon je lijsten samenstellen van bankrekeningnummers met de namen van de rekeninghouders. Die deur wil je volgens mij niet weer openzetten... Bovendien wil ik helemaal niet dat een andere bank dat waar ik een rekening heb mijn naam weet.

RangedNeedles @Verwijderd • 25 april 2016 12:56

Maar wat nut heb je aan dat soort informatie? Ze weten dan welk rekeningnummer er achter een bepaalde naam hangt, of omgekeerd. Gaan ze als ze 'misdaad' geld op m'n rekening overschrijven?

Als er echt een gegronde reden voor is waarom dit potentieel gevaarlijk zou zijn, let ik vanaf nu wel op met wie ik m'n rekeningnummer deel. Maar voor zover ik weet, kunnen ze er erg weinig mee buiten me helpen rijk te maken

PolarBear @RangedNeedles • 25 april 2016 13:30

Je kan met die data, gecombineerd met andere data, phishing een stuk overtuigender doen.

MsG @RangedNeedles • 25 april 2016 13:36

Met een bankrekeningnummer + kloppende naam kan je behoorlijk veel. Je kan je voordoen als iemand, omdat je bijvoorbeeld dat soort dingen kan verifieren aan de telefoon. Je kan diegene machtigen voor betalingen. (de machtigingsgeldigheid wordt namelijk pas gecheckt nadat iemand aan de bel trekt.)

theBazz @RangedNeedles • 25 april 2016 14:01

Met behulp van deze informatie wordt het weer iets makkelijker om identiteitsfraude te plegen.

Heel veel hacks worden voor een deel via social engineering gedaan. Als ik nu naar jouw vrouw bel met de gegevens van jouw rekening en je naam, is de kans dat ze mij gelooft dat ik van de bank ben al groter.

Vervolgens hoef ik alleen maar te zeggen dat ik de rekening geblokkeerd heb omdat deze gehackt is en of ze even de tan-codes wil doorsturen met haar inloggegevens.

Niet iedereen trapt er in gelukkig, maar helaas veel wel. Laatst nog een nichtje van me overkomen.

batjes @RangedNeedles • 25 april 2016 15:43

Nee maar ik kan een ADSL abbo afsluiten met jou rekening nummer zonder dat de providers checken of deze rekening wel van mij is.

base_ @Verwijderd • 25 april 2016 13:13

Idd, tweakers verhaal over lekken rekeninghouders ING internetbankieren hier:
http://tweakers.net/nieuw...pfout-te-achterhalen.html

Madden @Verwijderd • 25 april 2016 19:17

Bovendien wil ik helemaal niet dat een andere bank dat waar ik een rekening heb mijn naam weet.

Dat hoeft ook helemaal niet. Gewoon de naam invullen, en de ontvangende bank laten controleren met de echte naam die bij de rekening hoort. Komen ze niet overeen -> afkeuren, en terugmelding dat naam fout is. Maar niet de echte naam mee terug sturen.
Ook geen mogelijkheid geven om de naam bij een rekeningnummer op te vragen, zoals @DaMightyWackO aangeeft dat mogelijk is bij Equens. (en een alarmbel als er binnen een bepaalde periode meerdere malen een klein bedrag wordt geprobeerd te storten op rekening X, met steeds een iets andere naam).

DaMightyWackO @Maurits van Baerle • 25 april 2016 18:17

Dit is niet gebruikelijk maar kan wel. Je kan bij Equens de tenaamstelling van rekeningen bij andere banken opvragen en zo een overboeking op voorhand controleren op naam.
De interne naam-nummer controle wordt nog vaak toegepast binnen ING, niet alleen voor overboekingen maar ook bij het aanvragen van producten.

jroz2001 @SunnieNL • 25 april 2016 11:58

Mijn ervaring met ING is toch anders. Van ING naar ING krijg (en kreeg) je de naam terug als je van ING naar ING overmaakte. ter check of dit klopte. Dit is een simpele check in hun eigen database.
Van ING naar een andere bank was er geen check. Ik spreek uit ervaring...

Het is op te lossen door 1 centrale database met naam + rekeningnummer. Je vult rekeningnummer in, en adhv die centrale database wordt de bijbehorende naam gevonden. Dit zal waarschijnlijk tegen teveel privacyissues aanlopen... Maar gaat fraude meer tegen. Je kan niet meer zeggen dat de naam J Jansen bij rekeningnummer xxx hoort, want je krijgt de juiste naam toch terug.

SunnieNL

@jroz2001 • 25 april 2016 12:24

Van Rabo naar ING kreeg ik het geld teruggestort met de mededeling dat de naam niet klopte.

MsG @SunnieNL • 25 april 2016 13:35

Dat is dan echt zeer uitzonderlijk. 99 van de 100 keer kan je gewoon wat invullen als naam "Flapdrol" etc. het werkte hier gewoon altijd. Was het toevallig een groot bedrag?

[Reactie gewijzigd door MsG op 23 juli 2024 21:19]

SunnieNL

@MsG • 25 april 2016 17:01

Nee, paar euro.
Maar dat was voor IBAN en alleen naar ING, waar ING het controleerde. Daar zijn ze nu mee gestopt.

Verwijderd @SunnieNL • 25 april 2016 18:42

in belgie kan ik gewoon parkeerboete of gemeentebestuur invullen als naam. Nog nooit problemen mee gehad. Het is natuurlijk wel gerelateerd en een kleiner bedrag. Maar ik vermoed dat een klein bedrag naar p. puk ook wel zou gaan.

DaMightyWackO @jroz2001 • 25 april 2016 18:23

Deze database heeft Equens voor een deel al. Verder komt dit er wel aan (op Europees niveau), om dat er vanuit meerdere partijen belang bij is om te weten waar iemand zijn geld heeft staan en bankiert. Deurwaarders die beslag willen leggen bijvoorbeeld, zeker vanuit en naar het buitenland is dit bijna onmogelijk te doen. (leuker en praktischer voorbeeld dan terrorisme bestrijding wat teveel discussie op wekt)

n4m3l355 @Madden • 25 april 2016 16:52

BIj internationale transacties is dit ook het geval. Daar moet de voor/achternaam precies hetzelfde zijn en mag je zelfs geen fouten maken in volgorde of hoofd/kleine letters. Een afwijking is voldoende om de betaling "klem" te zetten en dan wordt die terug gestuurd.

martijnve @reuzekind • 25 april 2016 11:20

Een automatische check kunnen ze makkelijk inbouwen. Maar dan gaan bijna alle transacties afgekeurd worden.
Jan Jansen
Jan Janssen
Jansen, Jan
J Jansen
J. Jansen
J.P. Jansen
Zes keer "dezelfde" naam, vijf mislukte transacties.

De eerste bank die dat implementeert krijgt de grootste ruzie met zijn klanten. En daar zit bij security ook het probleem. Technisch kun je vanalles bouwen maar je gebruikers gooien vaak roet in het eten.

Je kunt de matching ook minder strikt maken maar dan laat je transacties zoals in het artikel dus door.

Leuk verhaaltje voor alles waar "programmeren" "simpel" en "naam" in een zin staan: http://www.kalzumeus.com/...mers-believe-about-names/

[Reactie gewijzigd door martijnve op 23 juli 2024 21:19]

Atmosfeer @martijnve • 25 april 2016 12:26

En dat is dan alleen Nederlands. Ga je met andere talen werken met niet-latijnse karakters dan wordt het een enorme bende. Veel karakters in vreemde talen zoals Chinees of Koreaans hebben niet eens een officiele tegenhanger in het latijns omdat het klanken zijn die in ons alfabet niet bestaan. Dus dan moet je de namen in het originele schrift schrijven wil je het precies laten kloppen. Dat is geen doen. Plus al die ongein met dat achternamen en voornamen in sommige landen ook nog eens omgewisseld zijn.

[Reactie gewijzigd door Atmosfeer op 23 juli 2024 21:19]

Verwijderd @martijnve • 25 april 2016 11:40

Hmm...maak het bedrag van 4.500 euro maar over naar J. Janssen...

Maak jij het dan over naar J. Jansen?

B64

@Verwijderd • 25 april 2016 13:17

Niet iedereen is altijd even nauwkeurig. Zelfs de heer P. Precies maakt wel eens een foutje.

Bovendien is er een vrij grote groep mensen die last hebben van dyslectie. Sommigen zien helemaal het verschil niet tussen Jansen en Janssen, en dan zullen we het nog maar niet hebben over lange, rare of ingewikkelde bedrijfsnamen. Dan is een tikfout zo gemaakt.

ikvanwinsum @B64 • 25 april 2016 21:57

Dyslexie

jaapzb @Verwijderd • 25 april 2016 11:59

Jij maakt nooit typfoutjes

Verwijderd @jaapzb • 25 april 2016 13:25

Niet bij grotere overschrijvingen

loki504 @martijnve • 25 april 2016 12:04

Vroeger deden zit dit wel hoor. Maar sinds iban zijn ze er te lui voor. Je kreeg namelijk de naam van de rekening houder gewoon te zien als een vermelding. en kon je op oke klikken. en dit werkt prima.

stel ik wil iets overnamen naar H&M. en voer een verkeerd rekening nummer in. dan krijg je netjes de melding bedoelt u Fam. De jong? dan weet jij al dat er iets niet goed is. Maar als het rekening nummer wel klopt maar de naam niet. krijg je de melding bedoelt u H&M B.V.? Dan kan je prima op ja klikken en krijg je gewoon je geld. Zoals het vroeger ook ging. Maar banken zijn lui geworden. en doen niets voor je als je een fout maakt.

JackBol @loki504 • 25 april 2016 12:20

Dat werkte alleen in een beperkt aantal omstandigheden en was fraudegevoelig.

loki504 @JackBol • 25 april 2016 12:32

En helemaal geen check en mensen aan hun lot overlaten is niet fraude gevoelig? Ik zeg niet dat het ideaal was. Maar hoe het nu gaat werkt het ook niet.

giantgiantus @loki504 • 25 april 2016 17:00

Een typefout is normaal gesproken geen issue. Een foutje zorgt er namelijk gewoon voor dat het ibannr de 97 proef niet doorstaat.

MsG @loki504 • 25 april 2016 13:37

Dat was enkel bij klanten van dezelfde bank zo. En dat is juist een groot beveiligingslek dat dat kon.

loki504 @Edgarz • 25 april 2016 21:03

Dan klik ik op nee. en zal ik een mail sturen naar H&M.

En kan zijn dat het alleen bij de postbank was. En maakt de hoeveelheid transacties nog iets uit als het automatisch gebeurt?

loki504 @Edgarz • 25 april 2016 21:41

Ik ging even uit van het een correctie in beeld krijgen. Maar minimaal 50% van de letters goed. het achterhalen welke naam bij welk rekening nummer hoort is wat lastiger. Maar kan ook gewoon zijn x% van de letter goed > = goedgekeurt. < dan x% van de letter goed is na laten kijken door de bank waar het naar toe gaat. Ja dit zijn extra kosten. Maar misschien moeten die basen dan x deel inleveren. ze verdienen immers genoeg.

DaMightyWackO @Edgarz • 26 april 2016 07:22

Dit is automatisch deels heel goed te doen, zelfs in iets als Cobol

Giro 555 (Samenwerkende hulporganisaties) is een leuke uitzondering voor zakelijk; die wordt telkens voor een andere actie gebruik, welke mensen voor de tenaamstelling gebruiken. En dit gaat ook nog is in grote aantallen.

Verwijderd @reuzekind • 25 april 2016 12:11

En dan krijg je dit weer: nieuws: Privégegevens alle ING-klanten zijn door ontwerpfout te achterhalen

En de kans op problemen wordt alleen maar groter want als je dit tussen de bank gaat implementeren betekent dat dat er een API moet komen tussen de banken. Dat is weer een extra interface waar hackers misbruik van kunnen maken.

Je lost dan een zogenaamd probleem* op, maar introduceert problemen die waarschijnlijk veel groter zijn.

*) Je moet wel heel veel tikfouten maken om iets over te maken naar een verkeerde rekening. 1 digit verkeerd is niet voldoende, daar krijg je gewoon een melding van.

Verwijderd @pauldebra • 25 april 2016 13:33

Ook opvallend dat de Deutsche Bank blijkbaar wel de namen die bij een rekening kan verifiëren en dat ook doet, terwijl Nederlandse banken blijven beweren dat ze dit niet kunnen en dus ook geld overmaken naar rekeningnummers waarbij de bijhorende naam niet klopt...

Als je het hebt over betalingen moet je altijd een onderscheid maken tussen lokale (of SEPA) betalingen en internationale betalingen. Die worden op totaal verschillende manieren behandeld.

Verwijderd @pauldebra • 25 april 2016 11:41

Dat wordt ook gedaan, alleen grove fouten worden eruit gepikt... en ja automatisch.

Dutch_CroniC @pauldebra • 25 april 2016 12:15

Inderdaad, wat een bs zeg, maar blijkbaar moet er dus handmatig gecontroleerd worden of naam/rek matchen.
Maar een typfout zou niet duidelijk mogen maken of het wel of niet bevoegd is? Een typfoutje kan gebeuren, maar een compleet verkeerde naam komt er waarschijnlijk gewoon doorheen.

Brainiacs @pauldebra • 25 april 2016 15:34

Waarom is een naam check nog zo belangrijk?
Met IBAN is een fout rekening nummer intypen behoorlijk klein geworden door de check en bank naam in het totale rekening nummer als je dus een type fout maakt is de kans zeer groot dat de betaling niet wordt geaccepteerd. Tevens hoeft het van mij ook niet zo dat mijn naam overal aan een rekening nummer gekoppeld wordt. Dit ook omdat ik regelmatig dingen in buitenland betaal.

Malfoi @pauldebra • 25 april 2016 16:12

Heb een jaar of twee toch echt een keer een bedrag teruggestort gekregen met de melding "ontvanger niet bekend", toen ik inderdaad de naam verkeerd geschreven had.

Cafe Del Mar

@pauldebra • 26 april 2016 12:04

Dit gaat over grote bedragen, die vallen (configureerbaar) in een manuele queue om toch even naar te kijken. Als je alle transacties wil bekijken of enkel de $1M of meer: een groot verschil in tijdsbesteding én in impact. Als er €10 foutief van mijn rekening gaat: ach, dat zal de bank wel ophoesten. Als er $81M van mijn rekening (mocht ik dat al hebben) geboekt wordt, dat zal de bank niet zo graag aanzuiveren

Verwijderd 25 april 2016 11:04

Dus als bank kan je toegang tot het SWIFT systeem krijgen zonder een inhoudelijk deugdelijke audit? En over dat netwerk gaan dagelijks miljarden en is afhankelijk van de goedwillendheid van de gebruikers.

z1rconium @Verwijderd • 25 april 2016 11:24

Een bank gaat een behoorlijk process door om zaken via SWIFT te kunnen doen, hier zijn allerlei organisaties bij betrokken en de validiteit word uiteraard gecheckt. De veiligheid van de software moet ook worden gewaarborgd door bank zelf. Wie heeft access op die systemen ? Hoe kwam de malware erop ? Geen firewall ? Goedkope vulnerable switches ?

Er zit altijd een zwakke schakel ergens in een proces, zeker als je iets "goedkoop" wilt doen.

GeekK @z1rconium • 25 april 2016 11:29

Hoe kwam de malware erop ? Geen firewall ? Goedkope vulnerable switches ?

Yup:

Bangladesh police investigators said last week that the bank's computer security measures were seriously deficient, lacking even basic precautions like firewalls and relying on used, $10 switches in its local networks.

(http://www.reuters.com/ar...re-exclusiv-idUSKCN0XM0DR)

edit: stond al in nieuwspost.

[Reactie gewijzigd door GeekK op 23 juli 2024 21:19]

z1rconium @GeekK • 25 april 2016 11:47

Dat bedoelde ik ook te zeggen

GeekK @z1rconium • 25 april 2016 11:52

Ok.

latka @z1rconium • 25 april 2016 13:20

Mijn ervaring: meestal papieren tijgers en dure consultants ipv Boerenverstand. Mooi voor de bühne (en auditors) maar het gross is overbodig.

Koenwel @Verwijderd • 25 april 2016 11:50

Deugdelijke audits worden bij banken altijd wel gedaan.
Alleen is er weer iemand die iets geopend heeft wat niet had gemogen.
Daarnaast zorgt een audit of een bank compliant is op het gebied van security, als je medewerkers dan uiteindelijk niet goed genoeg getraind zijn gaat het alsnog mis.

Tevens kan een bank wel compliant zijn omdat ze alles hebben wat nodig is, maar als de security lagen niet samenwerken kan je nog gemakkelijk alles omzeilen.

EDIT
Nieuwe malware zonder dat je ergens op hoeft te klikken of te openen:
http://blog.talosintel.com/2016/03/samsam-ransomware.html

[Reactie gewijzigd door Koenwel op 23 juli 2024 21:19]

Joppiesaus2 25 april 2016 10:57

Dit doet je wel nadenken over de stabiliteit van de wereld-economie als het mogelijk wordt banken totaal te ontwrichten. Gaat nu om 81 miljoen, waarbij bijna 1 miljard + dollars is buitgemaakt....maar heb zo het idee dat het uiteindelijk ook mogelijk moet zijn veel grotere bedragen buit te maken.

Xanaroth @Joppiesaus2 • 25 april 2016 11:11

Nog een stapje verder: wie weet hoe lang dit al bestaat, als ook bij andere banken?
Potentieel zouden er al vele miljarden succesvol overgeschreven kunnen zijn op andere locaties, en mogelijk zelfs nog steeds bezig zijn.

Dat er niets anders is gevonden en er geen andere banken in het nieuws zijn, betekend niet dat er slechts 2 pogingen zijn gedaan.

Als ik zo kijk naar de bedragen, lijkt het mij dat ze er eerder al tientallen zullen hebben gedaan. Eerst met iets van 1 cent om niet op te vallen, bij succes opschalen, en dan neemt de hebberigheid het over. Wie weet hoeveel miljoenen/miljarden dat al was voordat de eerste keer aan de bel werd getrokken.

[Reactie gewijzigd door Xanaroth op 23 juli 2024 21:19]

Iblies @Xanaroth • 25 april 2016 11:31

Er zijn wel een aantal checks and balances, maar ik vraag me ook af in hoeverre die stand houd als er sprake is van goede gecoördineerde aanval en gebrek aan samenwerking tussen verschillende landen.

Zo moeten transacties van een bepaalde hoeveelheid worden gecontroleerd en mogelijk worden aangemerkt als ongebruikelijke transactie,
echter als het een zakelijke rekening is, is ongebruikelijk al gauw gebruikelijk en wordt de bedragen niet tijdelijk gestald voor controle.

Soms vloeken we hier over de euro,
alleen beseffen we niet dat de euro deel uitmaakt van een veel groter geheel waarbij er een systeem is ontworpen met heel veel potentiële valkuilen maar ook veel landen met zwakke systemen. De politiek is de partij die hier heel snel lering uit moet trekken want het grootste gevaar zal niet van buiten komen,
maar eerder van binnenuit waar het makkelijker is om met geld te schuiven. Nederland kan/moet hierbij een belangrijke rol in gaan spelen omdat we een belangrijke target zijn simpelweg omdat we hier zoveel knooppunten hebben.

En we moeten daarbij niet schromen om aan te kloppen bij de EU, NAVO en VN voor een bijdrage omdat het belang vele malen groter is dan alleen Nederland.

LopendeVogel @Iblies • 25 april 2016 11:58

Ja en dat is nou het mooie van bijv de Bitcoin, zoals hier hebben ze gewoon het saldo verhoogd van rekeningen ( althans dat was mogelijk ) en niet door er geld naartoe te sturen, maar door een paar cijfertjes toe te voegen aan het saldo (simpel gezegd).
Bij bitcoins kan je niet zomaar bitcoins maken die er niet zijn. Ik kan niet een hack uitvoeren en van 1 bitcoin even 10 bitcoins maken zoals ze bij de bank wel gedaan hebben / konden doen.
En dat is direct een punt waarbij je heel veel vraagtekens bij het huidige betaalsysteem kan zetten, het bestaat gewoon niet, er is niks. Je kan zo uit het niets even 1 miljoen euro tevoorschijn toveren indien je een goede hacker bent, zoals in dit artikel.

Stelen is dan nog niet eens zo het punt vind ik zelf, maar wel dat je zomaar even een saldo kan aanpassen zonder er geld heen te sturen.
Er wordt gewoon een paar cijfers toegevoegd, en je hebt ineens heel veel geld. Waar komt dat geld vandaan? Nergens omdat het allemaal niet bestaat.

Met bitcoins was ze dit niet gelukt, misschien wel het stelen, maar niet het zomaar toevoegen uit het niets. Zoals Amerika gewoon even een paar miljard uitprint uit het niets, enige wat nodig is zijn een paar bomen en kaboem je hebt weer een paar miljard dollar.
Nee nog een paar van dit soort praktijken met het huidige betaalsysteem en er zullen een hoop ogen opengaan.

Daarbij wil ik niet weten hoeveel banken onder leiding staan van de maffia (nee dit is geen sprookje of filmpje, maar de keiharde realiteit), dus het te vertrouwen hoef je sowieso niet te doen.

[Reactie gewijzigd door LopendeVogel op 23 juli 2024 21:19]

well0549 @LopendeVogel • 25 april 2016 13:02

Fout fout fout,

Dit kan namelijk wel.
Dit gebeurde o.a. bij Mt-Gox.

Hoe het precies werkte weet ik niet maar door heel veel transacties tegelijkertijd te starten met dezelfde bitcoin waren er ambiguous transactions.

zie : http://arxiv.org/abs/1403.6676

Dus ..........

cyberstalker @well0549 • 25 april 2016 13:13

Nee, jij begrijpt er duidelijk niets van.

Bij de hack op MtGox maakten de aanvallers gebruik van een lek dat in de officiele client-software al tijden was gefixt maar die ze bij MtGox niet hadden meegenomen. Hierbij werden uitgaande transacties in bepaalde omstandigheden dubbel uitgevoerd.

Er is dus geen dubbel geld gecreëerd, er is enkel dubbel overgemaakt, waarbij de rekening van MtGox natuurlijk ook dubbel zoveel XBT verdwenen is.

well0549 @cyberstalker • 25 april 2016 13:31

je kunt dus met Bitcoin ook frauderen. Dat was mijn punt.

Punt wat jeroenc aandroeg was dat het met bitcoin allemaal zoveel mooier was geweest.

Is dus niet waar.

Dat punt blijft gewoon overeind.

LopendeVogel @well0549 • 25 april 2016 16:46

Nee je snapt het niet, dat is geen frauderen.
Bij bitcoins kan je niet meer maken dan er zijn, bij deze hack konden ze dus wel een saldo verhogen, door gewoon niet bestaand geld te generen.
Je kan geen bitcoins generen die er niet zijn.

Iedereen kan zien hoeveel bitcoins er in omloop zijn, niemand kan hun bitcoin saldo even verdubbelen (zonder te stelen).

Oftewel met bitcoin is het inderdaad zoveel mooier op dat gebied, stel er zijn dadelijk 24.00.000 bitcoins in omloopt, dan kan niemand zeggen: oh ik maak er even 1.000.000 bij, kan niet.

Bij de euro, je zet de printer aan en hoppa er is weer geld uit het niets gemaakt ( ja van een boom .. )
Schijnbaar hoef je niet eens een printer aan te zetten en kan je vanaf je zolder kamer een bank hacken en even je saldo een paar cijfertjes aan toevoegen. Geld komt toch uit ''niets'', en kan oneindig gemaakt worden.

well0549 @LopendeVogel • 26 april 2016 11:19

Maakt toch niet uit HOE er fraude mogelijk is......

Ook bij bitcoins kunnen er ongewenste transacties plaats vinden.
Daar gaat het om.

Niet om HOE het werkt maar DAT het kan.

Nog even afgezien van het feit dat je je bitcoins wel ineens zomaar kwijt kunt zijn omdat een of andere malafide tussenpartij ermee aan de haal is gegaan. ( ja ik ben coins kwijtgeraakt bij mt-gox)

En een ongewenste incasso kan ik nog terugdraaien tot x dagen nadat het gebeurd is. Dat kan ook niet bij BitCoins.

Er hangen teveel onzekerheden aan de BitCoins.

Nog even afgezien van het feit dat als een coin weg is, deze ook voorgoed weg is. Leuk voor de mensen die nog wel coins hebben maar je kunt helemaal nergens op terug vallen. Over 50 jaar is er waarschijnlijk nog maar een fractie van de coins in omloop.

LopendeVogel @well0549 • 26 april 2016 11:28

Maar jij noemt problemen op die opgelost kunnen worden, je haalt allemaal dingen aan waar we het helemaal niet over hadden.

Jij gaat van een saldo uit het niets verhogen naar een ongewenste incasso?

Ik ben het er volledig mee eens, op dit moment zijn er nog onzekerheden, echter kunnen ze allemaal opgelost worden. Tot een punt die veel verder gaat dan het huidige betaalsysteem.

Nogmaals: hoe kan jij bitcoins maken die er niet zijn? Euro's kan je gewoon bijprinten, of de boel hacken en gewoon geld op een rekening zetten, geld wat nergens vandaan komt. Gewoon tik tak en hoppa paar miljoen erbij..

Zoiets als kinderen bij GTA doen, even een hack en hoppa je bent rijk.
Dit is uiteraard veeeeel geavanceerder wat bij de banken gebeurt is, maar het KAN, maakt niet uit HOE, het KAN. (jij doet trouwens DAT met hoofdletters, maar je moest KAN met hoofdletters doen). Bij Bitcoins KAN het NIET. Je kan niet zomaar even je saldo verhogen met een hack. Puur doordat je geen bitcoins kan hebben die niet bestaan, het huidige geld systeem kan je oneindig bijdrukken, of indien je zo handig bent als de hackers uit het artikel, pas je toch gewoon lekker je saldo aan.

Kom jij wel met een paar punten die nu inderdaad nog van toepassing zijn, zoals het incasso verhaal (hoe je erbij komt weet ik niet maar goed). Dit is wel iets wat op te lossen is door hetzelfde idee als banken toe te passen.
Er moet dus een instantie tussenkomen die deze zaken regelt.

Maar wel fijn om te weten dat IEDEREEN moet werken voor hun Bitcoins, en niet een bepaalde groep mensen zoiets hebben van ej ik heb nog een paar bomen in de tuin, laat ik die even omzetten naar een paar miljoen euro biljetten. Ik zeg niet dat het gebeurt (vast wel mja) maar het kan.

well0549 @LopendeVogel • 26 april 2016 14:30

Jij blijft maar hameren op het feit dat je met bitcoins geen geld kunt bijmaken.

Maar dat is mijn punt helemaal niet. Punt is dat Bitcoins werden aangedragen als oplossing voor dit soort problemen. m.i. is dat gewoon niet zo.

Ook als iedereen met bitcoins zou betalen loop je een bepaald risico.
Dat is wat ik wil aanstippen.

En dat risico kan best wel eens substantieel zijn.
zie : https://www.quora.com/How-can-Bitcoin-be-hacked

LopendeVogel @well0549 • 26 april 2016 14:54

Jij blijft maar hameren op het feit dat je met bitcoins geen geld kunt bijmaken.

Maar dat is mijn punt helemaal niet. Punt is dat Bitcoins werden aangedragen als oplossing voor dit soort problemen. m.i. is dat gewoon niet zo.

Ook als iedereen met bitcoins zou betalen loop je een bepaald risico.
Dat is wat ik wil aanstippen.

En dat risico kan best wel eens substantieel zijn.
zie : https://www.quora.com/How-can-Bitcoin-be-hacked

1 het is geen hack, het is een capaciteit hebben die groter is dan de wereld.
Wellicht dat de rijkste groep personen van de wereld dat kunnen, en dan nog hebben we het over enkele euro's die in het niets vallen bij alle fraude zaken die momenteel gaande zijn met het huidige betaalsysteem. De rente die deze mensen elke minuut van de dag trekken is veeel meer waard dan een mogelijke ''hack'' uit te voeren. Nah, totaal niet realistisch.

De ''hack'' waar in het artikel over gesproken wordt is helemaal niks vergeleken wat er nu allemaal mogelijk is.

[Reactie gewijzigd door LopendeVogel op 23 juli 2024 21:19]

well0549 @LopendeVogel • 26 april 2016 15:07

tenzij een of andere Einstein wel een algorithme weet te bedenken om SHA256 te hacken.

En dat gaat heus wel gebeuren, maak je geen zorgen.

Maar voor die tijd is de bitcoinn all dood omdathet verwerken van de blockchain teveel energie kost.

emnich @Xanaroth • 25 april 2016 11:26

Als je eenmaal binnen bent zou ik m'n tijd niet verdoen met een test van 1 cent met het risico dat het in een audit tóch naar boven komt. Ik zou ook direct voor de grote bedragen gaan.

Mathijs @emnich • 25 april 2016 18:12

Dan zul je ook al direct een plan moeten hebben waarlangs en waarnaartoe je het wegsluist en hoe het dus ontraceerbaar te maken.
Het digitaal stelen is volgens mij minder moeilijk dan er uiteindelijk ook over te beschikken zonder een spoor recht naar jezelf achter te laten.
Dit is vooraf zeer uitvoerig voorbereid.
Dat degenen die dit gedaan hebben uitvoerige inside kennis hebben staat ook zeker vast.
Die typo daar zullen ze zich wel over voor hun kop slaan, bereid je een enorme digitale bankroof voor, maak je waarschijnlijk in de stress een typo...
Nu is 81 miljoen nog niet slecht hoor als buit, ervan uitgaande dat er niet al teveel mensen aan meewerkten, maar het is wel minder dan 10% van het beoogde bedrag.

eL_Jay @Joppiesaus2 • 25 april 2016 11:27

Idd, is wachten tot een LulzSec, Anonymous, IS of unit 61486 de fundamenten onder de wereldeconomie wegslaan.

Tot die tijd. Lucratieve business

D-Day 25 april 2016 10:58

Door 2 foute letters is bijna 1 miljard dollar niet buitgemaakt. Die zullen wel gebaald hebben, dan is die 81 miljoen nog een schijntje...

Slavy @D-Day • 25 april 2016 11:00

Het verbaast mij sowieso dat de beredenering een simpele "spelfout" is. Je zou toch verwachten bij dit soort transities dat er op zijn minst iemand van de bank mede autorisatie moet geven.

Firefly III @Slavy • 25 april 2016 11:15

Op een gegeven moment kom je op een punt dat het werk ook echt gedaan moet worden. De transactie wordt ingeschoten, de betaling wordt gedaan, de rekening wordt geleegd.

Dat punt komt na alle autorisaties en toegangen en regels en beveiligingen. Op moment X gaat er een "doodgewone" transactie over de lijn. Vóór dat dat gebeurt moeten alle controles zijn geweest.

Als je als hacker precies op dat punt gaat zitten, kan je dus alle beveiligingen omzeilen.

Banken worden geacht hun SWIFT transacties zeer goed te controleren.

Nimja 25 april 2016 10:56

Oh nee, we zijn beroofd door grove fouten aan onze kant...

Eh... De hackers waren veel geavanceerder dan we eerst zeiden, heus!

J0rn 25 april 2016 11:06

Toch wel apart dat een financiële instelling als een centrale bank, zijn zaken niet op orde heeft.
Geen goede beveiliging, goedkope switches op de verkeerde plekken.
Zo breng je mensen nog op ideeën

flopdoc 25 april 2016 11:09

Hoeveel zou er al verdwenen zijn bij malafide acties zonder spelfout?

HADES2001 @flopdoc • 25 april 2016 14:11

dat vraag ik me dus ook al vanaf het begin af, hoe lang hebben deze mensen mischien al gebruik gemaakt van deze fout terwijl er geen typfouten waren.
De bank zelf geeft nu eigenlijk al tussen neus en lippen door dat als er geen typfout was die waarschijnlijk nooit handmatig was gechecked totdat het te laat was.

temp00 25 april 2016 13:44

Ik begrijp die switch in het hele gebeuren even niet. Natuurlijk kan het een zwakke plek zijn geweest bij die bank, maar ergens moet lokaal of van buitenaf nóg een zwakke plek hebben gezeten. Een probleem met die switch impliceert een enkel lokaal issue. Als je het probleem dan toch moet benoemen zou ik eerder speculeren dat hun router zonder firewalling aan het Swift-netwerk was verbonden.

majic 25 april 2016 10:59

Ach, aangezien dat geld bij banken toch virtueel is en uit het niets wordt gemaakt maar de diefstal er van eigenlijk ook niet uit...tenslotte als het niets kost om het te maken, dan kost het ook niets om het te verliezen (ok ok inflatie..dat wel)

watercoolertje @majic • 25 april 2016 11:04

De banken maken geen geld uit het niets, ze lenen geld uit het niets, ze moeten dat dus wel terug betalen...

Daarom is het ook zo verwonderlijk dat wij banken moeten redden terwijl ze gered kunnen worden met geld wat uit het niks gecreëerd wordt

[Reactie gewijzigd door watercoolertje op 23 juli 2024 21:19]

Blokker_1999

Netwerk en systeembeheer
Bank

@watercoolertje • 25 april 2016 11:58

Een bank maggeen geld uit het niets maken. Daarbestaan een hoop controle systemen voor. Enkel een centrale bank kan dit, in de Eurozone is dat trouwens het voorrecht van de Europese centrale bank en kunnen zelfs de nationale banken dat niet meer.

watercoolertje @Blokker_1999 • 25 april 2016 12:09

Moet je reactie niet op majic zijn oid, gezien je precies hetzelfde zegt als ik doe xD

Countess @majic • 25 april 2016 11:08

geld heeft waarde omdat mensen vertrouwen hebben in het feit dat het waarde heeft.

dit ondermijnt dat vertrouwen en dus de waarde.

majic @Countess • 25 april 2016 11:10

Maar het aanstellen van een negatieve rente op spaarleningen doet dat niet ? ;-) De banken zijn zelf bezig met het aantasten van het vertrouwen van mensen in geld, me dunkt..

SunnieNL

@majic • 25 april 2016 11:57

Negatieve rente kan idd wel als gevolg hebben dat mensen geld van de bank halen. Gedrukt geld wat ze niet hebben, jou geld is immers al uitgeleend aan iemand anders.
Echter,mee grote bedragen zullen blijven staan. Denk niet dat mensen een ton of meer in een sok onder het matras gaan leggen.
Hooguit dat die mensen het zelf gaan uitlenen en zo hun eigen bank worden.

Countess @majic • 25 april 2016 11:28

dat doet het ook, daarom stijgt de inflatie als de geld pers aan gaat (meestal). (negative spaar rente is een gevolg van het aanzetten van de persen, en dus niet bepaald door de banken maar de centrale bank)

maar dat bijdrukken gebeurt gecontroleerd, kan worden stop gezet als het nodig is, en is algemeen geaccepteerd als noodzakelijk. de hoeveelheid geld blijft gelimiteerd en daarmee 'schaars' en daarmee van waarde.

wat hier gebeurt is dat 1 partij ongelimiteerd geld kan opnemen, wat voor hen geld dus niet meer 'schaars' maakt.

[Reactie gewijzigd door Countess op 23 juli 2024 21:19]

Countess @Finder • 25 april 2016 11:30

ach, goud en zilver hebben ook alleen waarde omdat we bepaald hebben dat het waarde heeft. dat is bijna net zo FIAT als de euro.

als goud alleen waarde had vanwege zijn industriële toepassingen zou het beduidend goedkoper zijn.

Finder @Countess • 25 april 2016 11:55

Dat geeft aan dat je nog nooit een letter gelezen hebt over de geschiedenis van geld. Een fiat-currency is gebaseerd op vertrouwen, een commodity heeft intrinsieke waarde (bijv. olie) maar is geen geld omdat het niet draagbaar is.

Volgens Aristoteles zijn de 5 kenmerken van geld:

1- Duurzaam
2- Deelbaar
3- Intrinsieke waarde
4- Uitwisselbaar (niet uniek).
5- Draagbaar

Een bitcoin, of een euro voldoet aan al deze eisen, behalve intrinsieke waarde. Een gouden munt uit de Romeinse tijd is nu ongeveer nog net zoveel waard als nu. Een Colonial Dollar is nu alleen iets waard omwille van zijn verzamelwaarde. Er zijn geen enkele fiat-currency's die ooit een waarde vastgehouden hebben; ofwel de intrinsieke waarde van een Euro is nul.

Goud zou overigens veel duurder zijn dan het nu is, als de prijs ervan niet gemanipuleerd werd; dat heeft Deutsche onlangs zelf toegegeven.
Bron: http://uk.reuters.com/art...suit-metals-idUKKCN0XB2B8

Countess @Finder • 25 april 2016 12:13

mijn punt is dat het 'intrinsieke waarde' van goud niet zo intrinsieke is als mensen beweren (vooral die mensen die terug willen naar de goud standaard, want dat was zo'n feest... not.)

goud heeft een veel hogere 'intrinsieke waarde' als dat zijn werkelijke nut zou dicteren.

je link geeft overigens enkel aan de de prijs werd gemanipuleerd, niet dat hij veel hoger zou moeten zijn.

[Reactie gewijzigd door Countess op 23 juli 2024 21:19]

Finder @Countess • 26 april 2016 05:02

Ik beweer nergens terug te willen naar de goudstandaard: dat werkt in het nadeel van het volk; zie de Silver-movement in Amerika rond 1880. Wat wèl in voordeel spreekt van ècht geld (goud), is dat het waardevast is. Jij kunt het isschien niet zo vinden ("je kan het niet eten", of "het is maar wat de gek ervoor geeft"), dan spreek je tegen meer dan 5000 jaar menselijke geschiedenis. Er is geen enkel moment te vinden waar goud 'nul' was, bij fiat-currency is dat ALTIJD het einresultaat; er is een 100% failure-rate.

Mijn link geeft aan dat de prijs gemanipuleerd wordt, dat is toch al een enorme openbaring. En je hoeft geen raketgeleerde te zijn om te concluderen dat de prijs naar beneden gedrukt wordt. Er is enorme schaarste op de goud en zilvermarkt, de vraag is verviervoudigd de afgelopen jaren en toch daalt bijv. de prijs van zilver. (Tot begin deze week).

Om terug te komen op het onderwerp; alle currency's zijn te manipuleren; de goudstandaard ook, misschien de bitcoin niet, en ik ben zeer blij dat zelfs op tweakers er hierover gesproken wordt. Uiteindelijk verander of verbeter je de wereld met gezond geld; niet met onderdrukkende muntsystemen als de euro. Dé grote middenklasse-killer van nu.

knollemans @Finder • 26 april 2016 12:12

Interessante redenatie : goud heeft een intrinsieke waarde omdat de prijs van goud nu al 2000 jaar stabiel is (Romeinse munt zelfde waarde).
Maar dit geeft alleen aan dat goud schaars was en nog is. Meer mensen willen goud dan dat er is, en dit goud kan niet zomaar worden bijgemaakt, wat veel vertrouwen geeft. Dat goud nog schaars is komt omdat :
- er maar een beperkte hoeveelheid op aarde beschikbaar is, en er niet precies bekend is waar dit in de aardkorst zit
- delven veel moeite kost, en de arbeid die erin kan worden gestoken "eindig" is, waardoor goud maar beperkt op de markt komt, en daarmee word prijs alleen al "gemanipuleerd".
Ik (en vermoedelijk ook countes) hanteert een andere definitie van intrinsieke waarde : de intrinsieke waarde is de hoogste waarde, iets wat op zichzelf waardevol is en niet om iets anders nagestreefd hoeft te worden. Countes noemt bruikbaarheid / nut in industriële producten als criterium voor "op zichzelf waardevol" en dus intrinsieke waarde.
Ik vind dat ook correcter, dan de door jou aangehaalde waarde door de eeuwen heen, dat zegt alleen iets over schaarsheid.

OFFTOPIC :
Geld is niets meer dan een ruilmiddel voor arbeid en middelen tussen mensen, dat zorgt voor welvaart, om in ulltimo gezamenlijk zoveel mogelijk welzijn te genieten (en te kunnen samenwerken bij de verkrijging daarvan).
Geld dat word gecreëerd zonder dat er arbeid / middelen tegenover staan leidt dus per definitie tot inflatie.
Mijn observatie is dat de mens altijd vooruitgang wil, en daarmee economische groei, al is deze fictief...... Mijn pleidooi zou dan ook zijn voor enkel geld creëren op basis van verhoging productiviteit in een land.

Verwijderd @Finder • 25 april 2016 12:13

Een gouden munt uit de Romeinse tijd is nu ongeveer nog net zoveel waard als nu.

Alles is nu net zoveel waard als nu ;-)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (109)

Sorteer op:

Weergave: