Europol: leden gearresteerd van bende die pinautomaten leegde via banknetwerk

Europol meldt dat zijn European Cybercrime Centre, oftewel EC3, heeft bijgedragen aan de arrestatie van vijf leden van een internationale bende. Zij drongen banknetwerken binnen en wisten op die manier geld te stelen uit pinautomaten.

europolVolgens de organisatie ging het om 'zeer geavanceerde aanvallen', die ervoor zorgden dat de pinautomaten hun volledige geldvoorraad uitgaven. Om dat te bereiken, verstuurden de criminelen eerst gerichte phishingmails met daarin malware. Op die manier wisten zij vervolgens het interne netwerk van een bank binnen te dringen en controle te verkrijgen over het netwerk van pinautomaten.

Daarnaast gebruikte de bende speciale software om zijn sporen uit te wissen. De arrestaties vonden plaats door de Roemeense, Taiwanese en Wit-Russische politie. In sommige van deze gevallen was de politie in staat om een deel van het gestolen geld terug te halen.

Europol meldt verder dat het onderzoek naar de criminelen in 2016 begon en dat de groepsleden online gerekruteerd werden. Zij beschikten over verschillende nationaliteiten, waardoor zij eenvoudig konden reizen tussen landen. De schade bij de banken zou zijn opgelopen tot drie miljoen euro.

Europol ondersteunt regelmatig internationale acties van verschillende politiediensten. Een jaar geleden was de organisatie betrokken bij de arrestatie van een bende die eveneens geldautomaten leeghaalde. Dit deed de groep met de zogenaamde Tyupkin-malware en niet via het interne banknetwerk.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 27-01-2017 17:4043

27-01-2017 • 17:40

43 Linkedin

Lees meer

Europol: RAT-malware werkt niet meer na gecoördineerde politieactie Nieuws van 5 februari 2018
Politiediensten verrichten aanhoudingen bij Europol-actie tegen malwareplatform Nieuws van 14 juni 2017
Politie verricht arrestaties in Nederland voor Black Box-aanval op pinautomaten Nieuws van 18 mei 2017
'OM en politie komen mensen en expertise tekort voor behandelen cybercrimezaken' Nieuws van 8 mei 2017
Beveiligingsbedrijf vindt geheugenmalware op 140 bedrijfsnetwerken Nieuws van 8 februari 2017
Politie start test met jongeren die online openbronnenonderzoek verrichten Nieuws van 31 januari 2017
Politie houdt vier jongeren aan voor ddos-aanvallen op een school Nieuws van 23 december 2016
Op jongeren gerichte anti-ddos-actie van Europol leidt tot 34 arrestaties Nieuws van 12 december 2016
Europol laat 'terroristische propaganda' offline halen Nieuws van 6 december 2016
Europol-actie tegen Avalanche-malwarenetwerk leidt tot arrestaties Nieuws van 1 december 2016
Europol-gegevens over terrorismeonderzoeken waren via internet toegankelijk Nieuws van 30 november 2016
Europol haalt meer dan 4500 domeinnamen van aanbieders namaakgoederen offline Nieuws van 28 november 2016
Gros EU-landen heeft vaak met encryptie te maken bij criminele onderzoeken Nieuws van 25 november 2016
Europese actie tegen webwinkelfraude levert 42 arrestaties op Nieuws van 31 oktober 2016
Meer producten en artikelen
Politiek en recht Netwerk en systeembeheer Bank Europol Security

Reacties (43)

-Moderatie-faq
43
42
32
5
0
2
Wijzig sortering
bilbob
27 januari 2017 17:48
lekker alles aan internet hangen.. voor het gemak..
Jism
@bilbob27 januari 2017 17:51
De zwakste schakel blijkt toch weer het personeel die klikt op links en bijlages.
Maurits van Baerle
@Jism27 januari 2017 18:38
Het klinkt als spearphishing, daar is nou eenmaal erg weinig aan te doen.

Bij spearphishing heb je het niet over algemene emails naar tienduizenden mensen in de hoop dat iemand hem open maakt (Check nude pics of Ariane Grande!!!111 in ariane.exe). Je hebt het over gerichte emails aan een specifiek uitgezocht persoon met veel kennis van het doelwit. Als jij op je werk email (waar je vriendin jou wel vaker op emailt, weet de aanvaller) een emailtje krijgt afkomstig van het emailadres van je vriendin, in het Nederlands, met de vraag of je na je werk even iets van [phishing link die lijkt op mediamarkt.nl] mee kunt nemen, ben je dan ook nog zo achterdochtig? De meeste mensen niet.

Er zijn zelfs experimenten geweest met spearphishing aanvallen op mensen uit de cybersecurity community en zelfs daar is de successrate veel hoger dan je zou willen. Als je cyber security experts al om de tuin kunt leiden...

[Reactie gewijzigd door Maurits van Baerle op 27 januari 2017 18:40]

Anoniem: 55563
@Maurits van Baerle28 januari 2017 07:15
Is de moraal van het verhaal dan niet dat je je werk-emailadres niet moet uitdelen aan je privécontacten? Want dan ben je automatisch veel minder vatbaar voor dit verschijnsel. Je vriendin kan makkelijk emailen op je privéadres. Haar dat werkadres geven is nergens voor nodig.
Geim
@Anoniem: 5556328 januari 2017 09:25
Nee, de moraal is dat phishing steeds geniepiger wordt. Vriendin is maar een voorbeeld, maar een mailtje van je baas, die net in het buitenland zit, waarin een phishing link zit komt ook al voor. Namen, emailadressen, agenda's vaak allemaal bekend bij personen die ze op het oog hebben. En laten we eerlijk zijn, zo moeilijk maken we ze het ook weer niet met alle sociale media.
Anoniem: 855731
@Geim28 januari 2017 10:16
Het hoeft nog geeneens zo ingewikkeld. Je kunt ook denken aan zogenaamde mails van bijvoorbeeld bedrijven die seminars organiseren. Via diverse bronnen kan je vinden wie daar geweest zijn, en vervolgens stuur je heel gericht namens die organisatie phishingmails. Dat duurt ook wel even voordat IT dat doorheeft en de boel blokkeert.
WPNL
@bilbob27 januari 2017 17:50
Ze moesten het nog wel effe "analoog" ophalen ...
mashell
@WPNL27 januari 2017 18:40
Hoe moet ik me dat eigenlijk voorstellen? Met je bivak muts voor de pinautomaat. Dan B100 achter de computer bellen. B100 drukt op enter en de geldmachine spuugt al z'n inhoud uit?
FreshMaker
@mashell27 januari 2017 19:10
Op een manier dat een ingevoerd bedrag van bv 20€ gezien werd als uitbetaling 200.000€
Van de rekening 'netjes' - 20€, maar alle briefjes rammelden uit de geldlades

* FreshMaker had nog zo'n artikel gelezen, maar kan het niet meer terugvinden :|

Ze hadden de interne mechanische aansturing softwarematige aangepast, zodat de tellers verkeerd uitlazen.
SomerenV
@FreshMaker27 januari 2017 19:33
Eigenlijk best slim dus :) De gedupeerde heeft niks in de gaten, maar zij zijn duizenden euro's rijker.
FreshMaker
@SomerenV27 januari 2017 19:57
Eigenlijk best slim dus :) De gedupeerde heeft niks in de gaten, maar zij zijn duizenden euro's rijker.
Ik ben bang dat de CEO van de bank dit niet uit eigen zak zal betalen ....
Het komt dus op het bordje van de aandeelhouders ( minder uitbetalen ) wat weer uitwerking heeft in de kosten van de banken .... de 'gebruiker'
En zoals de laatste jaren gebeurde, een bail-out door de overheid - de belastingbetaler
Apppie3
@FreshMaker27 januari 2017 23:45
Afhankelijk van welke banken gedupeerd zijn hebben ze gewoonlijk miljarden winst per jaar, die 3 miljoen zullen ze dan ook niet verhalen op de overheid lijkt mij, misschien zijn ze ervoor verzekerd?
Bovendien zijn ze zelf verantwoordelijk voor hun beveiligingsbeleid.
Maar nietemin is dit weer een uitgekookt plan van een groep criminelen, die dit zonder inside information niet hebben kunnen plannen.
FreshMaker
@Apppie327 januari 2017 23:51
Verzekerd ?
Ja, maar een verzekering is ook een gedeeld medium.
Moet een verzekeraar veel uitkeren, gaan de premies omhoog.

Die 3 miljoen is misschien wel weinig op de miljarden, maar gemist geld is pijnlijk, dus wordt verhaald op de rekeninghouders.
Cerberus_tm
@FreshMaker28 januari 2017 14:13
Op de rekeninghouders? Dat lijkt me sterk, hoor. Het wordt gewoon ingeschreven als een verlies voor de bank.
dasiro
@Apppie328 januari 2017 00:04
inderdaad, een bank die 3 miljoen veel vindt is tegenwoordig die naam niet meer waardig
robvanwijk
@mashell27 januari 2017 22:46
Hoe moet ik me dat eigenlijk voorstellen? Met je bivak muts voor de pinautomaat. Dan B100 achter de computer bellen. B100 drukt op enter en de geldmachine spuugt al z'n inhoud uit?
Google naar "Jackpotting ATM". Hier is een Black Hat presentatie uit 2011 (gegeven door de inmiddels overleden Barnaby Jack; bij mijn beste weten de eerste die hier onderzoek naar heeft gedaan). Als je geen zin hebt in de hele uitleg eromheen, op 28 min en 32 minuten is de demo.
jorismathijssen
@robvanwijk30 januari 2017 10:25
Ook nog een interessante presentatie afgelopen CCC congres: https://www.youtube.com/watch?v=qPwirrZKJIY
Dennisdn
@mashell28 januari 2017 08:45
Dit zullen wel die gasten zijn die toen met honderden ingezette studenten tegelijk aan het pinnen waren.

*edit: deze site is wat twijfelachtig qua betrouwbare naam maar volgens mij was deze het: http://www.boevennieuws.nl/nieuws/hacken-van-geldautomaten/

[Reactie gewijzigd door Dennisdn op 28 januari 2017 08:49]

sympa
@bilbob27 januari 2017 17:58
Dit soort aanvallen werkt ook als iets niet aan internet hangt. Je valt de beheerder aan die de software moet updaten, en via een USB-stick of zo komt dan de 'verkeerde' software ergens terecht.

Overigens kan je malware dan tegengaan middels gesignde software. Maar voor configuraties is dat al moeilijker.

En dan nog, als iemand weet in te breken in het ontwikkel- of signing gedeelte is dit ook te corrumperen.
Meulugar
@sympa27 januari 2017 18:02
de meeste apparaten draaien dan ook nog op nt4
SPT
@Meulugar27 januari 2017 18:17
Fout! De meeste pinautomaten draaien op Windows XP (link). Windows nt4 komt nog uit hetzelfde tijdperk als Windows 95.
prutser001
@SPT27 januari 2017 18:59
Het gaat dan wel om de Embedded versie van XP.
Uberprutser
@SPT27 januari 2017 19:38
Draaien vaak XPe (of Windows 2009) welke beide nog steeds updates gepushed krijgen via Microsoft Updates.

Sterker nog, wanneer je XP opnieuw installeert en met regedit aanpast dat je os als XPe wordt herkent kan je nog steeds activeren en deze updates binnenhalen.
brammieman
@SPT27 januari 2017 18:49
Heb ook regelmatig XP windowtjes gezien op 'hangende' automaten. ( ben oud genoeg om met beide gewerkt te hebben dus herken ze snel genoeg). Geen idee of dat per bank verschilt of wat het meest geprefereerde OS is verder maar echt bij de tijd zijn ze niet nee. 😂
Edgarz
@brammieman28 januari 2017 00:23
XPe doet wat het moet doen, bevat security updates en de machines zitten in principe niet 'op internet' . In het buitenland zou het anders kunnen zijn maar in NL zijn de vaste GEA's niet direct benaderbaar via internet. Intern zijn de geldautomaten slechts zeer beperkt te configureren. Daarvoor zul je fysiek toegang moeten hebben tot het inwendige van de automaat.
WhiteDog
@Edgarz28 januari 2017 20:23
Als je Microsoft hoort dan is Windows 7 uit een ander tijdperk en fundamenteel niet veilig (te maken) voor gebruik. Microsoft adviseert dus enkel Windows 10.

Nou als Windows 7 al niet veilig meer is volgens de fabrikant, dan zal Windows XP Embedded dat ook wel niet meer zijn hoor. Updates krijgen voor bekende exploits is niet hetzelfde als er gewoon bestand tegen zijn :)
Edgarz
@WhiteDog28 januari 2017 20:36
Ze hangen niet aan internet, dus de bedreigingen zijn iets anders. Zoals XP voor non-internet gebruik ook nog veilig genoeg is.
Meulugar
@SPT27 januari 2017 18:21
Fout! De meeste pinautomaten draaien op Windows XP (link). Windows nt4 komt nog uit hetzelfde tijdperk als Windows 95.
ik zal even een screenshot magen de volgende keer. ik weet het verschil tussen nt4 en xp :P ik kom ze in ieder geval nog regelmatig tegen.
Damic
@Meulugar27 januari 2017 20:14
Ik heb er nog gezien met win 2k :+ machine vroeg om te herstarten, heb dat maar gedaan O-)
Ford Prefect
@SPT27 januari 2017 18:43
Het is natuurlijk verre van netjes dat pinautomaten nog op Windows XP draaien maar vergeet niet dat kasten zelf waar wij onze pas en code op invoeren niet de daadwerkelijke processing doet. Dit gebeurd "gewoon" op de backend servers van de bank in kwestie, dat is waar de meeste "interessante" dingen gebeuren. Het zou anders ook wel een erg enge bedoeling zijn geweest als ieder pinautomaat zelf instaat was om de autorisaties te doen.
denonman1
@SPT27 januari 2017 18:54
Dat was 2 jaar geleden...
Tom 1234
@SPT27 januari 2017 18:45
De abn heeft dat nog bij mijn weet
Ayporos
@bilbob27 januari 2017 18:50
En als het niet aan het internet hing dan was je er misschien pas over 2 jaar achter gekomen?...
SkyStreaker
27 januari 2017 19:10
Dus, toch op je werk dat 7z-zipje openen met een payload erachter of die onschuldig ogende PDF. Wordt het niet eens tijd dat mails slechts geopend worden in een dichtgetimmerde VM-omgeving?
GeoBeo
@SkyStreaker28 januari 2017 02:25
Dus, toch op je werk dat 7z-zipje openen met een payload erachter of die onschuldig ogende PDF. Wordt het niet eens tijd dat mails slechts geopend worden in een dichtgetimmerde VM-omgeving?
Kun je me updaten over wat er gevaarlijk is aan een PDF? Mijn naïeviteit (en gebrek aan kennis) zegt me dat een PDF uitsluitend gelezen wordt door je OS en niet kan schrijven/executen naar wat dan ook?

Of heeft PDF een soort van MSword macro functie die standaard aan staat?
SkyStreaker
@GeoBeo28 januari 2017 06:29
Uit mijn blote knar heeft de API (corrigeer mij gerust mensen, graag zelfs) die een PDF inleest toegang tot grotere rechten en via een exploit kan je code uitvoeren op de computer. Bijv. eentje die via je registry steeds een bestand download via een ftp en steeds opstart.

Daar zit hem het probleem. Ik weet het fijne er ook niet van, maar ook in een PDF kan een payload zitten.

[Reactie gewijzigd door SkyStreaker op 28 januari 2017 06:30]

Cerberus_tm
@SkyStreaker28 januari 2017 14:25
Net als in Office-documenten zoals doc en xsl. Maar volgens mij is het wel redelijk dicht te timmeren als je pdf geen url's laat uitvoeren, en Office geen macro's, dacht ik.
fre0n
@GeoBeo30 januari 2017 14:19
De pdf zelf doet niet veel maar is slechts de carier / stub van de payload. De payload is uiteindelijk de kwaadwillende code en draait na activeren (klikklik) onafhankelijk van de pdf
Dysmael
27 januari 2017 21:20
Inmiddels vrij oud filmpje maar daarom niet minder relevant:
https://www.youtube.com/watch?v=Ss_RWctTARU

Barnaby Jack - Jackpotting Automated Teller Machines Redux

Erg goede presentatie - RIP Barnaby Jack
CobraVE
27 januari 2017 23:48
Ach ja, is in ieder geval beter voor de consument want bij hem/haar wordt alleen het bedrag afgeschreven wat op de display gepinned is.

Scheelt een hoop gezeik met proberen te bewijzen dat je geskimmed bent en je niet je pas aan jan en alleman afgegeven hebt.
xiphoid
28 januari 2017 16:26
Dezelfde les uit 1996 : niet email openen met html erin, en helemaal niet als je niet om de email gevraagd hebt.

Maar ja. 20 jaar later is het dus nog steeds hetzelfde. Het boeit niemand dat hun klanten de pineut zijn.
Quilt
27 januari 2017 18:23
5 leden, 3 miljoen euro schade. Netto-inkomsten voor fraudeurs veel lager.

Met zo'n skills hadden ze beter legaal gewerkt.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee