Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Geldroof centrale bank Bangladesh via hack in Swift-software gepleegd'

Een bankroof in Bangladesh, waarbij 81 miljoen dollar is buitgemaakt, is waarschijnlijk gepleegd door de Swift-clientsoftware met malware te infecteren. Op die manier waren criminelen in staat om grote bedragen over te schrijven naar Filipijnse rekeningen.

Swift-logoEen woordvoerder van Swift liet aan persbureau Reuters weten dat de criminelen de Swift-clientsoftware genaamd 'Alliance Access' als doelwit hadden. De Swift-groep wil maandag naast een software-update ook een waarschuwing voor banken publiceren, om deze aan te zetten tot het beter bewaken van hun betalingssystemen. Het Britse beveiligingsbedrijf BAE Systems was eerder tot de conclusie gekomen dat de criminelen gebruikmaakten van Swift.

Tot nu toe werd vermoed dat de aanvallers toegang hadden verkregen tot het systeem van de centrale bank van Bangladesh en zo Swift-inloggegevens wisten te bemachtigen. Het onderzoek van BAE Systems zou echter aantonen dat de Swift-software zelf was gebruikt. BAE-onderzoekshoofd Adrian Nish stelt dat het om een geavanceerde aanval ging: "Ik kan mij geen andere zaak voor de geest halen, waarbij aanvallers zich in deze mate aan de omgeving hebben aangepast waarin zij te werk gingen." Het is tot nu toe niet duidelijk welke partij verantwoordelijk is voor de bankroof.

De gebruikte malware was aanwezig in het bestand 'evtdiag.exe' en was in staat om de sporen van de criminelen uit te wissen door informatie over overschrijvingsverzoeken in de Swift-database van de bank aan te passen. Op die manier konden logboeken van uitgaande verzoeken van de criminelen verwijderd worden en konden zij binnenkomende verzoeken onderscheppen. Het was daarnaast mogelijk om het saldo van bepaalde rekeningen aan te passen en ervoor te zorgen dat een printer gewijzigde afdrukken produceerde, zodat deze niet zouden opvallen.

Het systeem werd in de gaten gehouden vanaf een Egyptische server. Het is nog steeds onduidelijk op welke manier de aanvallers een overschrijving konden aanmaken. Het malwarebestand zou bovendien deel uitmaken van een uitgebreidere toolkit, zo stelt BAE Systems. In de loop van onderzoek zou zijn gebleken dat de bank onder andere gebruikmaakte van goedkope switches van rond de tien dollar, die zonder firewall aan het Swift-netwerk waren verbonden.

Bovendien hadden de aanvallers geprobeerd om in totaal 951 miljoen dollar over te schrijven, maar deze overschrijving werd door een medewerker van de Deutsche Bank ontdekt door een spelfout. In de naam van de ontvanger was het woord 'foundation' namelijk als 'fandation' gespeld.

Swift is een internationale organisatie waarin financiële instellingen informatie uitwisselen over transacties. Het platform is wereldwijd in gebruik bij 11.000 banken en andere instellingen. Een klein deel daarvan zet daarvoor de Alliance Access-software in.

Door Sander van Voorst

Nieuwsredacteur

25-04-2016 • 10:53

109 Linkedin Google+

Submitter: R0GGER

Lees meer

Reacties (109)

Wijzig sortering
Nee maar ik kan een ADSL abbo afsluiten met jou rekening nummer zonder dat de providers checken of deze rekening wel van mij is.
Bovendien wil ik helemaal niet dat een andere bank dat waar ik een rekening heb mijn naam weet.
Dat hoeft ook helemaal niet. Gewoon de naam invullen, en de ontvangende bank laten controleren met de echte naam die bij de rekening hoort. Komen ze niet overeen -> afkeuren, en terugmelding dat naam fout is. Maar niet de echte naam mee terug sturen.
Ook geen mogelijkheid geven om de naam bij een rekeningnummer op te vragen, zoals @DaMightyWackO aangeeft dat mogelijk is bij Equens. (en een alarmbel als er binnen een bepaalde periode meerdere malen een klein bedrag wordt geprobeerd te storten op rekening X, met steeds een iets andere naam).
Dit is niet gebruikelijk maar kan wel. Je kan bij Equens de tenaamstelling van rekeningen bij andere banken opvragen en zo een overboeking op voorhand controleren op naam.
De interne naam-nummer controle wordt nog vaak toegepast binnen ING, niet alleen voor overboekingen maar ook bij het aanvragen van producten.
Nee, paar euro.
Maar dat was voor IBAN en alleen naar ING, waar ING het controleerde. Daar zijn ze nu mee gestopt.
in belgie kan ik gewoon parkeerboete of gemeentebestuur invullen als naam. Nog nooit problemen mee gehad. Het is natuurlijk wel gerelateerd en een kleiner bedrag. Maar ik vermoed dat een klein bedrag naar p. puk ook wel zou gaan.
Deze database heeft Equens voor een deel al. Verder komt dit er wel aan (op Europees niveau), om dat er vanuit meerdere partijen belang bij is om te weten waar iemand zijn geld heeft staan en bankiert. Deurwaarders die beslag willen leggen bijvoorbeeld, zeker vanuit en naar het buitenland is dit bijna onmogelijk te doen. (leuker en praktischer voorbeeld dan terrorisme bestrijding wat teveel discussie op wekt)
BIj internationale transacties is dit ook het geval. Daar moet de voor/achternaam precies hetzelfde zijn en mag je zelfs geen fouten maken in volgorde of hoofd/kleine letters. Een afwijking is voldoende om de betaling "klem" te zetten en dan wordt die terug gestuurd.
Dan klik ik op nee. en zal ik een mail sturen naar H&M.

En kan zijn dat het alleen bij de postbank was. En maakt de hoeveelheid transacties nog iets uit als het automatisch gebeurt?
Ik ging even uit van het een correctie in beeld krijgen. Maar minimaal 50% van de letters goed. het achterhalen welke naam bij welk rekening nummer hoort is wat lastiger. Maar kan ook gewoon zijn x% van de letter goed > = goedgekeurt. < dan x% van de letter goed is na laten kijken door de bank waar het naar toe gaat. Ja dit zijn extra kosten. Maar misschien moeten die basen dan x deel inleveren. ze verdienen immers genoeg.
Dit is automatisch deels heel goed te doen, zelfs in iets als Cobol ;)
Giro 555 (Samenwerkende hulporganisaties) is een leuke uitzondering voor zakelijk; die wordt telkens voor een andere actie gebruik, welke mensen voor de tenaamstelling gebruiken. En dit gaat ook nog is in grote aantallen.
Waarom is een naam check nog zo belangrijk?
Met IBAN is een fout rekening nummer intypen behoorlijk klein geworden door de check en bank naam in het totale rekening nummer als je dus een type fout maakt is de kans zeer groot dat de betaling niet wordt geaccepteerd. Tevens hoeft het van mij ook niet zo dat mijn naam overal aan een rekening nummer gekoppeld wordt. Dit ook omdat ik regelmatig dingen in buitenland betaal.
Heb een jaar of twee toch echt een keer een bedrag teruggestort gekregen met de melding "ontvanger niet bekend", toen ik inderdaad de naam verkeerd geschreven had.
Dit gaat over grote bedragen, die vallen (configureerbaar) in een manuele queue om toch even naar te kijken. Als je alle transacties wil bekijken of enkel de $1M of meer: een groot verschil in tijdsbesteding én in impact. Als er €10 foutief van mijn rekening gaat: ach, dat zal de bank wel ophoesten. Als er $81M van mijn rekening (mocht ik dat al hebben) geboekt wordt, dat zal de bank niet zo graag aanzuiveren :).
Maakt toch niet uit HOE er fraude mogelijk is......

Ook bij bitcoins kunnen er ongewenste transacties plaats vinden.
Daar gaat het om.

Niet om HOE het werkt maar DAT het kan.

Nog even afgezien van het feit dat je je bitcoins wel ineens zomaar kwijt kunt zijn omdat een of andere malafide tussenpartij ermee aan de haal is gegaan. ( ja ik ben coins kwijtgeraakt bij mt-gox)

En een ongewenste incasso kan ik nog terugdraaien tot x dagen nadat het gebeurd is. Dat kan ook niet bij BitCoins.

Er hangen teveel onzekerheden aan de BitCoins.

Nog even afgezien van het feit dat als een coin weg is, deze ook voorgoed weg is. Leuk voor de mensen die nog wel coins hebben maar je kunt helemaal nergens op terug vallen. Over 50 jaar is er waarschijnlijk nog maar een fractie van de coins in omloop.
Jij blijft maar hameren op het feit dat je met bitcoins geen geld kunt bijmaken.

Maar dat is mijn punt helemaal niet. Punt is dat Bitcoins werden aangedragen als oplossing voor dit soort problemen. m.i. is dat gewoon niet zo.

Ook als iedereen met bitcoins zou betalen loop je een bepaald risico.
Dat is wat ik wil aanstippen.

En dat risico kan best wel eens substantieel zijn.
zie : https://www.quora.com/How-can-Bitcoin-be-hacked
Jij blijft maar hameren op het feit dat je met bitcoins geen geld kunt bijmaken.

Maar dat is mijn punt helemaal niet. Punt is dat Bitcoins werden aangedragen als oplossing voor dit soort problemen. m.i. is dat gewoon niet zo.

Ook als iedereen met bitcoins zou betalen loop je een bepaald risico.
Dat is wat ik wil aanstippen.

En dat risico kan best wel eens substantieel zijn.
zie : https://www.quora.com/How-can-Bitcoin-be-hacked
1 het is geen hack, het is een capaciteit hebben die groter is dan de wereld.
Wellicht dat de rijkste groep personen van de wereld dat kunnen, en dan nog hebben we het over enkele euro's die in het niets vallen bij alle fraude zaken die momenteel gaande zijn met het huidige betaalsysteem. De rente die deze mensen elke minuut van de dag trekken is veeel meer waard dan een mogelijke ''hack'' uit te voeren. Nah, totaal niet realistisch.

De ''hack'' waar in het artikel over gesproken wordt is helemaal niks vergeleken wat er nu allemaal mogelijk is.

[Reactie gewijzigd door LopendeVogel op 26 april 2016 14:55]

tenzij een of andere Einstein wel een algorithme weet te bedenken om SHA256 te hacken.

En dat gaat heus wel gebeuren, maak je geen zorgen.

Maar voor die tijd is de bitcoinn all dood omdathet verwerken van de blockchain teveel energie kost.
Dan zul je ook al direct een plan moeten hebben waarlangs en waarnaartoe je het wegsluist en hoe het dus ontraceerbaar te maken.
Het digitaal stelen is volgens mij minder moeilijk dan er uiteindelijk ook over te beschikken zonder een spoor recht naar jezelf achter te laten.
Dit is vooraf zeer uitvoerig voorbereid.
Dat degenen die dit gedaan hebben uitvoerige inside kennis hebben staat ook zeker vast.
Die typo daar zullen ze zich wel over voor hun kop slaan, bereid je een enorme digitale bankroof voor, maak je waarschijnlijk in de stress een typo...
Nu is 81 miljoen nog niet slecht hoor als buit, ervan uitgaande dat er niet al teveel mensen aan meewerkten, maar het is wel minder dan 10% van het beoogde bedrag.
dat vraag ik me dus ook al vanaf het begin af, hoe lang hebben deze mensen mischien al gebruik gemaakt van deze fout terwijl er geen typfouten waren.
De bank zelf geeft nu eigenlijk al tussen neus en lippen door dat als er geen typfout was die waarschijnlijk nooit handmatig was gechecked totdat het te laat was.
Interessante redenatie : goud heeft een intrinsieke waarde omdat de prijs van goud nu al 2000 jaar stabiel is (Romeinse munt zelfde waarde).
Maar dit geeft alleen aan dat goud schaars was en nog is. Meer mensen willen goud dan dat er is, en dit goud kan niet zomaar worden bijgemaakt, wat veel vertrouwen geeft. Dat goud nog schaars is komt omdat :
- er maar een beperkte hoeveelheid op aarde beschikbaar is, en er niet precies bekend is waar dit in de aardkorst zit
- delven veel moeite kost, en de arbeid die erin kan worden gestoken "eindig" is, waardoor goud maar beperkt op de markt komt, en daarmee word prijs alleen al "gemanipuleerd".
Ik (en vermoedelijk ook countes) hanteert een andere definitie van intrinsieke waarde : de intrinsieke waarde is de hoogste waarde, iets wat op zichzelf waardevol is en niet om iets anders nagestreefd hoeft te worden. Countes noemt bruikbaarheid / nut in industriële producten als criterium voor "op zichzelf waardevol" en dus intrinsieke waarde.
Ik vind dat ook correcter, dan de door jou aangehaalde waarde door de eeuwen heen, dat zegt alleen iets over schaarsheid.

OFFTOPIC :
Geld is niets meer dan een ruilmiddel voor arbeid en middelen tussen mensen, dat zorgt voor welvaart, om in ulltimo gezamenlijk zoveel mogelijk welzijn te genieten (en te kunnen samenwerken bij de verkrijging daarvan).
Geld dat word gecreëerd zonder dat er arbeid / middelen tegenover staan leidt dus per definitie tot inflatie.
Mijn observatie is dat de mens altijd vooruitgang wil, en daarmee economische groei, al is deze fictief...... Mijn pleidooi zou dan ook zijn voor enkel geld creëren op basis van verhoging productiviteit in een land.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Apple

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True