Omvangrijke Russische internetbende opgerold

De Russische veiligheidsdienst en het ministerie van binnenlandse zaken in het land hebben acht personen opgepakt die zich op grote schaal schuldig gemaakt zouden hebben aan online-bankfraude. De bende zou ook in Nederland actief zijn geweest.

De bende zou vooral in de tweede helft van 2010 in Nederland hebben geopereerd. Opvallend is dat de Nederlandse Vereniging van Banken destijds een enorme stijging van de schade door fraude met internetbankieren rapporteerde. Volgens beveiligingsbedrijf Fox-IT, dat bij het onderzoek naar de criminelen betrokken was, is het aannemelijk dat er een verband bestaat tussen de activiteiten van de Russen en de stijging. Na 2010 zou de bende Nederland weer links hebben laten liggen.

Klanten van meer dan honderd banken wereldwijd werden slachtoffer en de bende wist voor miljoenen euro's te frauderen. Alleen al in het eerste kwartaal van 2012 wisten ze in thuisland Rusland drie miljoen euro buit te maken. De Russen braken in bij nieuwssites en internetwinkels om hun Carberp- en Rdpdor-malware te verspreiden. Via de malware kregen ze toegang tot besmette pc's, waarna ze gegevens voor internetbankieren wisten te onderscheppen. Hierna sluisden ze grote hoeveelheden geld door naar speciaal hiervoor opgezette accounts. De bende zou zelfs een kantoor hebben geopend en zich zo voorgedaan hebben als een bedrijf voor datarecovery.

Behalve aan het plunderen van bankrekeningen zouden de bendeleden zich schuldig hebben gemaakt aan het opzetten van botnets en het plegen van ddos-aanvallen. Volgens Fox-IT en het Russische veiligheidsbedrijf Group IB is het de eerste keer dat de hele criminele keten van een dergelijke organisatie internationaal is opgerold.

IT-banen

Reacties (28)

actionInvoke 20 maart 2012 17:21

"De Russen braken in bij nieuwssites en internetwinkels om hun Carberp- en Rdpdor-malware te verspreiden. Via de malware kregen ze toegang tot besmette pc's, waarna ze gegevens voor internetbankieren wisten te onderscheppen. Hierna sluisden ze grote hoeveelheden geld door naar speciaal hiervoor opgezette accounts."

Ik begrijp niet hoe ze dit hebben kunnen doen. Zelfs al zouden ze de inlogcodes bemachtigen, bij elke mutatie hebben ze een nieuwe code nodig (die alleen gegenereerd kan worden door de eigenaar van de account).
Hoe kunnen ze dit systeem omzeilen?

Keypunchie

Internet
Beveiliging

@actionInvoke • 20 maart 2012 17:27

Man-in-the-browser-aanval.

http://en.wikipedia.org/wiki/Man-in-the-browser

Jij denkt dat je een transactie van 100 euro naar je maat Pietje authoriseert. Maar in werkelijkheid heeft de "man in the browser" er een transactie van 1000 euro naar een rekening in Timboektoe van gemaakt.

(Of naar die van een zgn. katvanger).

De "man-in-the-browser" maakt dus van de getallen die je op je scherm ziet andere getallen dan die naar de server van de bank worden gestuurd. Het verzoek om authenticatie wordt wel 1-op-1 doorgestuurd, dus jij keurt goed wat je ziet, maar achter de schermen is het gewoon een andere transactie.

Als je een analoge vergelijking wil: Vroeger zette je voor een creditcard transactie je handtekening onder een bonnetje. Door middel van een carbonpapiertje kreeg je dan 2 bonnen. 1tje voor jezelf en 1tje voor het bedrijf, die ze aan de bank opstuurden.

Wat het onbetrouwbaardere restaurrantpersoneel dan nog wel eens pleegde te doen was om het tweede bonnetje te vervangen door een bonnetje met een ander bedrag. Zette jij je handtekening op het bonnetje van 100 euro, leverden zij bij de bank het bonnetje van 200 euro in.

(Natuurlijk kon je dan de transactie laten terugdraaien, maar vaak bleek de frauderende werknemer al gevlogen. Die had het verschil (de 100 euro) uit kas gehaald en in zijn zak gestoken: zijn werkgever had tot de bank belde het verschil mogelijk nog niet eens opgemerkt. Immers, bankrekening + kas telde gewoon op tot het juiste bedrag, op basis van de onvervalste bonnen!).

((Tenminste, ik geloof dat het zo werkte, weet de details ook niet meer. Heb zelf maar 1x in mijn leven nog met zo'n carbonpapier apparaat hoeven te betalen))

[Reactie gewijzigd door Keypunchie op 29 juli 2024 07:32]

SuperNull 20 maart 2012 15:45

Waarom zou een professionele bende zich bezig houden met het ddos gebeuren?
Je verdient er niets mee, het is meer voor smaad en activisme, toch?

Free rider @SuperNull • 20 maart 2012 15:55

Misschien wilden ze onderzoek frustreren of hun sporen vertroebelen - bv. de meeste logbestanden worden gewist als ze vol raken, en dat gebeurt juist met DDOS-aanvallen.

zvbhvb @Free rider • 20 maart 2012 16:16

Log bestanden vegen ze zo snel mogelijk schoon nadat zij een systeem gepenetreerd hebben.Immers hoe langer je er mee wacht des te groter de kans op ontdekking.

DDOS aanvallen worden eerder uit politieke overwegingen of als afpersings middel gebruikt.

Een server kan zijn logs mischien wel naar een aparte logserver sturen met wie weet hoeveel capaciteit.

Hatsjoe @SuperNull • 20 maart 2012 15:51

Botnets worden niet enkel gebruikt voor DDoS aanvallen, je kan als kwaadwillende ook het botnet huren zo gezegd. Dit om bijv. spam te laten versturen, DDoS aanvallen uitvoeren in opdracht van niet zo nette bedrijfen op concurenten om ze in een kwaad daglicht te zetten en ga zo maar door. Als je het goed doet, is het nog best lucratief ook.

Maar mooi dat deze gasten nu opgepakt zijn, ben alleen bang dat dit het topje van de ijsberg is, en hun echt niet de enige zijn die dit soort praktijken uithalen. Paar miljoen stelen is niks in vergelijking met wat er jaarlijks met dit soort praktijken gestolen wordt van hardwerkende mensen.

Anoniem: 447730 @SuperNull • 20 maart 2012 15:52

er zit vaak een ddos functie malware zoals deze, het is aantrekkelijk voor hun omdat nadat bankrekeningen zijn leeggehaald kan het slachtoffer dat dan in een botnet zit worden doorverkocht aan andere botherders.

Standeman @SuperNull • 20 maart 2012 16:02

Afpersing is ook een mogelijkheid. Je maakt nu $ 10.000 over of we dossen je service voor de komende tijd. Als je daar afhankelijk van bent heb je een probleem natuurlijk..

Kalief @SuperNull • 20 maart 2012 16:02

Afpersing. Als je niet betaalt dan leggen ze je site plat.

Anoniem: 434945 @SuperNull • 20 maart 2012 17:11

Afleiding? Ze focussen zich op de ddos aanval niet wetende dat ze gehacked worden..

jGS 20 maart 2012 15:41

bizar dat het zo lang moet duren. Als er frequent en/of in grote hoeveelheden geld wordt overschreven naar andere accounts, zou het toch niet zo moeilijk mogen zijn om dit te traceren en op te rollen ?

mystic101 @jGS • 20 maart 2012 16:23

Er zijn miljoenen transacties per dag. Daar pik je niet zo makkelijk 'verdachte' transacties uit.

3raser @mystic101 • 20 maart 2012 17:17

Je hoeft niet eens te letten op verdachte transacties. Pak gewoon een willekeurig slachtoffer wiens geld gestolen is en kijk waar het heen gaat. Iedere transactie heeft een tegenrekening nodig en dat is dus je eerste aanknopingspunt.

Helaas gaat het geld vaak naar het buitenland waar dan weer heel veel papierwerk bij komt kijken. Ze laten echt niet zomaar een willekeurige opsporingsdienst in hun bankgegevens neuzen. En gelukkig maar. Er zijn genoeg "opsporingsdiensten" die graag toegang zouden hebben tot al die gegevens zonder dat er een goede reden voor is.

Goed in ieder geval dat die gasten gepakt zijn. Dit soort misdaden lijkt toch regelmatig uit Rusland te komen. Fijn om te weten dat ze ook daar gepakt kunnen worden.

Dreamvoid @3raser • 20 maart 2012 21:51

Probleem is dat transacties niet altijd even duidelijke sporen achterlaten. Katvanger 1 boekt geld over naar Bermuda, katvanger 2 neemt het daar cash op en geeft het aan katvanger 3, die "koopt" via Ebay een lading overprijsde koffiemokken en betaalt via PayPal aan katvanger 4 in Rusland, en die geeft het geld weer cash aan de scammers. Voordat de politie dat spoor helemaal heeft gevolgd, ben je wel even verder.

[Reactie gewijzigd door Dreamvoid op 29 juli 2024 07:32]

Zethiel @jGS • 20 maart 2012 15:43

Dat zou je zeggen ja, maar het papierwerk en onderzoek neemt schijnbaar wel veel tijd in beslag.

Dreamvoid @jGS • 20 maart 2012 15:59

Dat kan je nog erg lastig doen, door het via diverse buitenlandse banken en katvangers te laten lopen. Voordat je bij de bankgegevens in Cyprus en de Kaaimaneilanden kan komen lopen er wel wat maanden aan verzoekjes heen en weer. Tis niet dat de politie in die landen totaal onwillig is, maar erg efficient gaat het daar ook weer niet (net zo min als hier, trouwens).

[Reactie gewijzigd door Dreamvoid op 29 juli 2024 07:32]

Anoniem: 401227 @jGS • 20 maart 2012 15:43

ze zijn altijd creatief

South_Styler 20 maart 2012 16:00

Het is goed om te zien dat een heel netwerk is opgerold. Het zal zeker niet gemakkelijk zijn geweest, aangezien ook de politie in Rusland aan bepaalde restricties en beperkingen zit, terwijl criminelen deze beperkingen niet hebben.
Ik hoop dat ze een lange gevangenisstraf krijgen. Waar ik vooral benieuwd naar ben is welke bewijzen ze tegen deze personen hebben en hoe ze deze hebben verkregen.

Baserk @South_Styler • 20 maart 2012 18:14

“Our experts did an enormous amount of work, which resulted in identifying the head of this criminal group, the owner and operator of a specialized banking botnet, identifying the control servers, and identifying the directing of traffic from popular websites in order to spread malware infection,” noted Ilya Sachkov, Group-IB CEO.
Group-IB experts first encountered the activities of this group in November 2010, and in January 2011 the head of the criminal group was identified. However, a vast amount of effort was devoted to documenting his activities and identifying his accomplices. The investigation was complicated by the fact that the individual was constantly on the move throughout the country, and often was outside the Russian Federation. link (Van Russische Group-IB met wie FoXIT samenwerkte).

Niet zo heel slim om als Russen in hun eigen land herrie te schoppen en rekeningen leeg te trekken;
Alleen al in het eerste kwartaal van 2012 wisten ze in thuisland Rusland drie miljoen euro buit te maken.
Ze zullen daarom wel in de smiezen van de FSB zijn gelopen. Normaliter worden deze bendes redelijk met rust gelaten als ze hun eigen land(genoten) niet hinderen.
Niet voor niets wordt bij veel van dit soort malware door de ontwikkelaars hiermee rekening gehouden; indien een russisch toetsenbord(instelling) wordt opgemerkt, dan wordt de malware simpelweg niet actief.

[Reactie gewijzigd door Baserk op 29 juli 2024 07:32]

CapTVK 20 maart 2012 15:44

Vooral het feit dat ze doodleuk nog een bedrijf voor datarecovery hadden opgezet geeft aan brutaal ze waren. Ik kan me best voorstellen dat er mensen met een gecrashte HD intrappen.

InflatableMouse 20 maart 2012 15:47

Je zou es moeten weten als er buitenlandse rekeningen bij betrokken zijn, in een of ander corrupt afrikaans land (niet discriminerend bedoeld, maar daar zitten ze nou eenmaal graag, Senegal, Kenia bv).

Kost echt hopeloze hoeveelheden tijd en moeite want die criminele bendes hebben vaak lokaal steun van regionaal heersende stammen en dan kan je dus fluiten naar elke vorm van medewerking

Edit: was eigenlijk reactie op JgS hierboven, maar per abuis op de hoofd thread gereageerd.

[Reactie gewijzigd door InflatableMouse op 29 juli 2024 07:32]

Ginz 20 maart 2012 16:03

Was Fox-IT niet het bedrijf wat zelf apparatuur en software aan landen als Iran/Syrië verkocht, waarmee die overheden zijn eigen mensen kunen bespioneren?

zvbhvb @Ginz • 20 maart 2012 16:17

Nee ik denk dat je in de war bent met STRATFOR.

stutrecht @zvbhvb • 20 maart 2012 16:28

STRATFOR verkoopt geen apparatuur. Het is een denktank waar overheden, NOGO's en individuen zich op kunnen abonneren.

http://www.stratfor.com/about-us

Off topic: Zeer goed ook. Ik maak er veelvuldig gebruik van.

edit: in de link staat een interessant filmpje over wat stratfor precies doet.

[Reactie gewijzigd door stutrecht op 29 juli 2024 07:32]