Belgische hackers wilden 240 miljoen euro van Japanse bank roven

Een internationale bende is er in 2004 bijna in geslaagd om met behulp van keyloggers via een Japans banksysteem 240 miljoen euro virtueel te roven. De overboekingen mislukten echter door het invoeren van een verkeerd wachtwoord.

Voor de Snarebrook Crown Court-rechtbank in Londen staan momenteel zes verdachten terecht. De bende zou in 2004 een poging hebben gewaagd om honderden miljoenen euro's te stelen van een aantal grote bedrijven via het banksysteem van de Japanse bank Sumitomo Mitsui. Onder de beklaagden zijn twee Belgische hackers: Jan Van Osselaer en Gilles Poelvoorde. Zij zouden schuld hebben bekend, maar de overige bendeleden zeggen onschuldig te zijn. Poelvoorde was als fraudeur al een bekende van de Belgische justitie, zo meldt Het Nieuwsblad.

De criminelen kregen hulp van binnenuit, zo stelt de openbaar aanklager. Kevin O'Donoghue, veiligheidsbeambte bij de Japanse Bank, zou de twee Belgische hackers een aantal malen het pand van de Sumitomo Mitsui-bank hebben binnengelaten. De beveiliger had volgens de aanklagers ook met de bewakingscamera's gerommeld, waardoor dit voor andere bewakers verborgen bleef. Een argwanende collega kreeg van de veiligheidsbeambte te horen dat de twee Belgen vrienden van hem waren die langskwamen voor een avondje poker. Vervolgens installeerden de criminelen eind september op de bankcomputers keyloggers en software om heimelijk screenshots te kunnen maken. Hierdoor wisten ze wachtwoorden en rekeningnummers in handen te krijgen die nodig waren om transacties te kunnen autoriseren.

Een dag later, op vrijdag 1 oktober 2004, kwamen ze terug in een poging om geld over te boeken naar rekeningen van postbusfirma's die waren opgezet in Dubai, Hong Kong, Singapore en Spanje. Dit mislukte echter tot tienmaal toe, omdat een van de benodigde wachtwoorden diverse malen foutief werd ingevoerd. Een dag later werd een tweede poging gewaagd, maar door dezelfde fout slaagden ook deze transacties niet. De pogingen tot roof werden de bank duidelijk toen bankmedewerkers na het weekend weer op hun werk kwamen en ontdekten dat er met de computers was gerommeld. Ook zagen ze dat er kabels waren doorgesneden. De politie werd op de hoogte gesteld, waarna ze al snel de criminelen in het oog zouden hebben gekregen.

In totaal probeerden de criminelen 240 miljoen euro te stelen, zo stelt de openbaar aanklager. Als de diefstal zou zijn geslaagd, dan zou de roof een van de grootste digitale kraakpartijen ooit zijn geweest. Doelwit was onder andere Toshiba International; de hackers probeerden daar 10 miljoen euro te roven. De bankrekeningen waar het geroofde geld uiteindelijk naar toe zou moeten, zouden verwijzen in de richting van twee Britten en een Zweed. Zij werden gearresteerd en staan nu samen met de Belgen en de voormalig beveiliger terecht, maar het Brits/Zweedse drietal ontkent elke verantwoordelijkheid. Een 74-jarige werd als zevende verdachte ook aangeklaagd wegens betrokkenheid bij de poging tot roof, maar hij overleed onlangs, schrijft The Times. Onbekend is wanneer de rechter uitspraak in de zaak zal doen.

Door Dimitri Reijerman

Redacteur

26-01-2009 • 13:44

90

Reacties (90)

90
70
16
8
0
2
Wijzig sortering
Op twee achtereenvolgende dagen 10 keer een verkeerd wachtwoord invoeren?
Dat is op zich al heel vreemd.
Die criminelen hebben veel moeite gedaan om deze kraak te plegen en dan zouden ze over een simpel verkeerd wachtwoord intypen struikelen? Dat lijkt me erg onwaarschijnlijk.

Waarschijnlijk zijn ze over een hele andere beveliging gestruikeld waarvan men de details niet wil prijsgeven. Als namelijk alle beveiligingen van een bank zomaar op straat zouden liggen is dat niet zo verstandig.
Door de situatie nu anders voor te laten doen lijkt het net of de hackers de dombo's zijn.
Dat kan natuurlijk het kan ook zijn dat ze gewoon niet zo handig waren met een japans toetsenbord... het zou mij niet verbazen als ze met de keylogger gewoon het verkeerde wachtwoord hebben verkregen. En als alles dan in het japans is is het lastig herkennen dat het wel een hele vreemde verzameling tekens is, of dat de melding die daarna op het scherm verscheen een error was.

Door te doen als of de criminelen dom zijn kan je natuurlijk ook een flinke groep "slimere" mensen op een idee brengen, omdat ze denken toch wel slimmer te zijn dan die sukkels die het wachtwoord niet goed konden typen.

Uit eindelijk is en blijft beveiliging mensen werk en lag daar de zwakste schakel bij deze "kraak". Een computer systeem waar een externe partij voledige toegang to heeft is onmogenlijk veilig te maken wat een bank dan ook voor beveiligingen en andere maatregelen treft.
Ook al lijkt het me niet vreemd dat een bank zijn gebruikers accounts in het weekend gewoon diconnect en disabled om die pas op Maandag ochtend weer te enabelen, om op die manier mensen te dwingen netjes in te loggen hun wachtworden een in de zo veel tijd te veranderen en in het weekend niet even die vliegreis te boeken op kosten van Toshiba.
Een Japans toetsenbord is gewoon QWERTY :)
Anoniem: 80466 @HoppyF26 januari 2009 13:53
Op twee achtereenvolgende dagen 10 keer een verkeerd wachtwoord invoeren
Scripted misschien
Dat zou kunnen maar dan heb je wel een heel slecht script geschreven voor het inbreken bij een bank. Je zou na een gefaalde poging gewoon verder moeten gaan met een ander paswoord of moeten stoppen. Een script doet meestal precies hetzelfde bij uitvoeren, dus als je de eerste keer niet in kan loggen met het script kan dat de tweede keer ook niet (wachtwoord fout in bron zal niet zomaar veranderen bij meerdere keren runnen). Dan lijkt mij de optie van HoppyF realistischer, maar ik vind dat ze het wel wat geloofwaardiger in hadden kunnen pakken.
Vermoedelijk... Ga maar na, ze wilden 240 miljoen stelen, terwijl de grootste individuele roof 10 miljoen was... En verder moet het geld ook ergens weggesluisd worden. En dat gaat vast niet op één rekening, maar op talloze verschillenden.
Mee eens, dat slaat echt nergens op, je bereidt niet een hele roof voor van 240 miljoen en vergeet het password goed in te typen (of te scripten).
[...]
Waarschijnlijk zijn ze over een hele andere beveliging gestruikeld waarvan men de details niet wil prijsgeven.
Helemaal mee eens!
Waarschijnlijk onder het motto van de beveiligingsregel: "De bank is dicht, dus je hoeft dan ook geen overboekingen te maken via dit systeem!!!"
Zelfs al was het ze gelukt, hadden ze er dan geen rekening mee gehouden dat het overschrijven naar de rekening van die 2 britten en de zweed waarschijnlijk redelijk snel getraceerd kon worden? :p Zal aan mij liggen, maar betwijfel of die transfer gegevens in rook op gaan.

Behalve als die er buiten stonden en het de belgen niet zozeer om het geld ging maar om de adrenaline rush om zoiets als dit te kunnen flikken, gewoon willekeurige rekening nummers gebruikt om naartoe te sturen gevonden via google :p. Maar lijkt me onwaarschijnlijk dat ze het niet voor financieel gewin zouden hebben gedaan.
Als je naar de 'goede' landen geld overmaakt welke na een jaar pas 'tijd' heeft om openheid van transacties te geven kan je het voor een opsporingsteam toch vreselijk moeilijk maken. Let wel, niet ieder land werkt graag mee aan internationale onderzoeken. Electrionisch geld kan in pakweg enkele minuten de hele doorkruisen (heb ik me zo laten vertellen ;) ), nouja, witwassen is een vak apart.
Als je het voor de adrenaline rush doet, maak je een ton over of zo, maar geen 240 miljoen ;) Om 'aan te tonen dat het kan' hoef je niet meteen de hele bank leeg te roven, zolang het bedrag maar substantieel genoeg is om je punt duidelijk te maken.
Mwuah, een ton haal je waarschijnlijk geen headlines mee; 240 miljoen echter dan sta je toch echt internationaal op de voorpagina's. En ook al staan je namen er niet bij, is dat voor sommige sensatiezoekers waar het om draait.
Tijdens het gevang kunnen ze nog een boek over schrijven. Dat wordt dan verfilmd en vervolgens alsnog een "kaskraker".

Misschien zijn die Brit en Zweed geronseld via e-mail scams in Nigeriaanse stijl. Je weet wel, zogenaamd even geld parkeren op je rekening waarvoor je x procent krijgt.
kijk je toch even verbaast als je gaat internetbankieren en je ziet dat je over de 100 miljoen op je rekening heb staan
Meteen overschrijven naar de Kaaiman Eilanden en emigreren dan lijkt me. :)
Meteen overschrijven naar de Kaaiman Eilanden en emigreren dan lijkt me. :)
Dan moet je wel bijtijds beginnen met reserveringen maken hoor! Als je onverwacht een groot bedrag op je rekening ziet, is de kans dat je het bijtijds krijgt weggesluisd heel klein.

De meeste banken hebben (voor particuliere rekeningen iig) een daglimiet. Bij de postbank bijvoorbeeld is dat 50.000 euro. Je kan op één dag wel meerdere reserveringen van max 50k laten uitvoeren, maar je kan per dag slechts tot 50k aan reserveringen c.q. overboekingen ingeven.
En de rest van je leven een gezochte crimineel zijn in heel de beschaafde wereld? Liever niet eigenlijk...
Ik zat meer te denken aan (via een anoniem account) een mailtje naar je bank sturen "Hej luitjes, volgens mij is jullie systeem een beetje kapot. Als ik vertel op welke rekening het terecht is gekomen krijg ik dan 10% vindersloon?". Moet je natuurlijk wel even "vergeten" te vermelden dat je het over 10% van 100 miljoen hebt. :p
Hadden ze die bevriende beveiligingsbeambte niet even uit kunnen leggen hoe je die keylogger installeert? Dat had ze een hoop opvallende acties gescheeld. En de hackers zouden dan iets moeilijker op te sporen zijn geweest...

Verder inderdaad erg onwaarschijnlijk dat ze 10 keer het password verprutsen...

[Reactie gewijzigd door sys64738 op 23 juli 2024 05:51]

Verder inderdaad erg onwaarschijnlijk dat ze 10 keer het password verprutsen...
Misschien zaten in een password heel veel 1-en, l's, I's, 0-en, o's en O's (zie je het verschil?) :) Hoofd- en kleine letters kunnen ook een probleem zijn bij handgeschreven notities.

[Reactie gewijzigd door Fireshade op 23 juli 2024 05:51]

Maar als je dat password met een keylogger afvangt dan hoor je per karakter van het password de bijbehorende key combinatie te krijgen. Je moet dus enkel de key combinaties herhalen om hetzelfde in te voeren..

Als ze passwords zijn gaan invoeren aan de hand van screenshots ("********") dan zijn ze wel erg dom bezig geweest. (Enkel dan kun je bijvoorbeeld 1, I, /, |, etc verwisselen.)

Het zou logisch zijn geweest als ze met screenshots rekeninggegevens achterhaald hadden en de keyloggers voor het achterhalen van de passwords gebruikt hadden.


[edit.]
Waarschijnlijk ging het gewoon om teveel passwords, en hebben ze ergens wat verwisseld. Ook dom, maar goed.. :)

[Reactie gewijzigd door houseparty op 23 juli 2024 05:51]

Ja want die beveiligsbeambte zou dat natuurlijk graag doen, zijn nek er nog dieper in steken dat ie al deed...hoewel hij natuurlijk al crimineel bezig was hebben bepaalde mensen natuurlijk ook hun grens.
Waarom zoveel moeite, dit is 'old tech'? Via een schoonmaker (of de bewaker zelf) valt een USB of PS2 keylogger makkelijk te installeren en weg te halen. Valt niet op (PC's staan immers op de grond onder de tafel) en kost maar een euro'tje of 40.
Had dit verhaal al ergens anders gelezen en daar stond volgens mij een andere reden bij.
Niet dat ze de wachtwoorden 10maal foutief invoerde maar dat ze een verplicht veld niet invoerde(vergeten/nooit geweten?)

Daarbij had de bewaker geprobeerd om de video opnames te wissen , maar hij had ze niet allemaal gewist en zijn ze als nog tegen de lamp gelopen.
Ik begrijp sowieso niet dat een bank op zijn pc's welke gebruikt worden voor transacties van deze grote geen beveiliging d.m.v. certificates of one time password tokens doet :?
Dat moet toch niet zomaar remote kunnen lijkt me?
Hoezo remote? waar lees je dat? ze waren het bankgebouw fysiek binnen gegaan en hadden het daar allemaal geprobeerd.
lees aub...

staat nergens dat het remote is gedaan, staat juist dat ze 2x TERUG zijn gekomen om het te doen
Anoniem: 262143 26 januari 2009 20:16
waarschijnlijk was het dit waarschijnlijk was het dat...wat een crap allemaal
Anoniem: 245345 26 januari 2009 21:13
Als de onfortuinlijke daders een boek schrijven dat vervolgens verfilmd wordt zouden ze er misschien nog wat aan kunnen verdienen, maar het lijkt mij onwaarschijnlijk, want wie is geinteresseerd in stuntelende criminelen?

In de film lukt de roof natuurlijk wel, anders gaat er niemand kijken, en dat de filmmaker het idee van de dieven steelt zal ze weinig opleveren vrees ik.

Ik ben het wel eens met diegenen die zich afvragen hoe vaak zoiets wél is gelukt, want dan wordt er geen ruchtbaarheid aan gegeven om ons vertrouwen in de "solide" bankensector niet nog verder te reduceren.
Als je het originele bericht in de times leest,

Dan staat er heel netjes, zoals op tweakers helaas.

Dat ze VERGETEN(of geen kennis hadden) waren de SWIFT code in te voeren, hierdoor kon geen enkele actie geldig verklaard worden.

offtopic, stelletje noobs zal geen icter bijgezeten hebben want die had het wel gewoon ter plekken uitgevogeld. Je kunt mij niet wijs maken dat een groot internationaal programma als swift geen multi language support heeft, en ik geloof niet dat ze moeilijk gedaan zullen hebben met aparte taalpakketen etc.

Op dit item kan niet meer gereageerd worden.