Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Omvangrijke Russische internetbende opgerold

De Russische veiligheidsdienst en het ministerie van binnenlandse zaken in het land hebben acht personen opgepakt die zich op grote schaal schuldig gemaakt zouden hebben aan online-bankfraude. De bende zou ook in Nederland actief zijn geweest.

De bende zou vooral in de tweede helft van 2010 in Nederland hebben geopereerd. Opvallend is dat de Nederlandse Vereniging van Banken destijds een enorme stijging van de schade door fraude met internetbankieren rapporteerde. Volgens beveiligingsbedrijf Fox-IT, dat bij het onderzoek naar de criminelen betrokken was, is het aannemelijk dat er een verband bestaat tussen de activiteiten van de Russen en de stijging. Na 2010 zou de bende Nederland weer links hebben laten liggen.

Klanten van meer dan honderd banken wereldwijd werden slachtoffer en de bende wist voor miljoenen euro's te frauderen. Alleen al in het eerste kwartaal van 2012 wisten ze in thuisland Rusland drie miljoen euro buit te maken. De Russen braken in bij nieuwssites en internetwinkels om hun Carberp- en Rdpdor-malware te verspreiden. Via de malware kregen ze toegang tot besmette pc's, waarna ze gegevens voor internetbankieren wisten te onderscheppen. Hierna sluisden ze grote hoeveelheden geld door naar speciaal hiervoor opgezette accounts. De bende zou zelfs een kantoor hebben geopend en zich zo voorgedaan hebben als een bedrijf voor datarecovery.

Behalve aan het plunderen van bankrekeningen zouden de bendeleden zich schuldig hebben gemaakt aan het opzetten van botnets en het plegen van ddos-aanvallen. Volgens Fox-IT en het Russische veiligheidsbedrijf Group IB is het de eerste keer dat de hele criminele keten van een dergelijke organisatie internationaal is opgerold.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 20-03-2012 15:33 28

20-03-2012 • 15:33

28 Linkedin Google+

Lees meer

Zware gevangenisstraf voor Russische cybercriminelen Nieuws van 22 april 2014
Vrees voor malwaregolf laait op na vrijkomen broncode Carberp-trojan Nieuws van 25 juni 2013
Veel minder schade door fraude met internetbankieren Nieuws van 2 april 2013
'Nederlandse bankklanten slachtoffer van miljoenenhack' - update Nieuws van 26 juni 2012
Rusland ontmantelt botnet van 4,5 miljoen computers Nieuws van 25 juni 2012
D66 is onduidelijk over toestaan ddos-aanvallen Nieuws van 25 juni 2012
'Nederlandse hacker naar Roemenië gelokt voor uitlevering VS' Nieuws van 16 juni 2012
Anonymous helpt Thuisbezorgd.nl ddos'ers op te sporen Nieuws van 14 mei 2012
Oekraïense politie sluit virusbibliotheek VX Heavens Nieuws van 28 maart 2012
Belgische justitie onderzoekt fraude internetbankieren Nieuws van 3 januari 2012
Aantal slachtoffers van fraude met internetbankieren stijgt fors Nieuws van 14 november 2011
Schade door fraude internetbankieren meer dan verdubbeld Nieuws van 13 oktober 2010
Justitie gaat internetoplichters sneller aanpakken Nieuws van 7 juni 2010
Raad van Europa wil wereldwijd maatregelen tegen cybercrime Nieuws van 26 maart 2010
Hacker bekent schuld aan kapen 250.000 pc's Nieuws van 10 november 2007
Nederlandse internetoplichters opgepakt in Delft Nieuws van 3 mei 2007
Meer producten en artikelen
Netwerk en systeembeheer Internet Beveiliging Hackers Rusland

Reacties (28)

-Moderatie-faq
-128028+119+21+30Ongemodereerd1
Wijzig sortering
+1actionInvoke
20 maart 2012 17:21
"De Russen braken in bij nieuwssites en internetwinkels om hun Carberp- en Rdpdor-malware te verspreiden. Via de malware kregen ze toegang tot besmette pc's, waarna ze gegevens voor internetbankieren wisten te onderscheppen. Hierna sluisden ze grote hoeveelheden geld door naar speciaal hiervoor opgezette accounts."

Ik begrijp niet hoe ze dit hebben kunnen doen. Zelfs al zouden ze de inlogcodes bemachtigen, bij elke mutatie hebben ze een nieuwe code nodig (die alleen gegenereerd kan worden door de eigenaar van de account).
Hoe kunnen ze dit systeem omzeilen?
+2Keypunchie

@actionInvoke20 maart 2012 17:27
Man-in-the-browser-aanval.

http://en.wikipedia.org/wiki/Man-in-the-browser

Jij denkt dat je een transactie van 100 euro naar je maat Pietje authoriseert. Maar in werkelijkheid heeft de "man in the browser" er een transactie van 1000 euro naar een rekening in Timboektoe van gemaakt.

(Of naar die van een zgn. katvanger).

De "man-in-the-browser" maakt dus van de getallen die je op je scherm ziet andere getallen dan die naar de server van de bank worden gestuurd. Het verzoek om authenticatie wordt wel 1-op-1 doorgestuurd, dus jij keurt goed wat je ziet, maar achter de schermen is het gewoon een andere transactie.

Als je een analoge vergelijking wil: Vroeger zette je voor een creditcard transactie je handtekening onder een bonnetje. Door middel van een carbonpapiertje kreeg je dan 2 bonnen. 1tje voor jezelf en 1tje voor het bedrijf, die ze aan de bank opstuurden.

Wat het onbetrouwbaardere restaurrantpersoneel dan nog wel eens pleegde te doen was om het tweede bonnetje te vervangen door een bonnetje met een ander bedrag. Zette jij je handtekening op het bonnetje van 100 euro, leverden zij bij de bank het bonnetje van 200 euro in.

(Natuurlijk kon je dan de transactie laten terugdraaien, maar vaak bleek de frauderende werknemer al gevlogen. Die had het verschil (de 100 euro) uit kas gehaald en in zijn zak gestoken: zijn werkgever had tot de bank belde het verschil mogelijk nog niet eens opgemerkt. Immers, bankrekening + kas telde gewoon op tot het juiste bedrag, op basis van de onvervalste bonnen!).

((Tenminste, ik geloof dat het zo werkte, weet de details ook niet meer. Heb zelf maar 1x in mijn leven nog met zo'n carbonpapier apparaat hoeven te betalen))

[Reactie gewijzigd door Keypunchie op 20 maart 2012 17:48]

+1SuperNull
20 maart 2012 15:45
Waarom zou een professionele bende zich bezig houden met het ddos gebeuren?
Je verdient er niets mee, het is meer voor smaad en activisme, toch?
+1Free rider
@SuperNull20 maart 2012 15:55
Misschien wilden ze onderzoek frustreren of hun sporen vertroebelen - bv. de meeste logbestanden worden gewist als ze vol raken, en dat gebeurt juist met DDOS-aanvallen.
+1zvbhvb
@Free rider20 maart 2012 16:16
Log bestanden vegen ze zo snel mogelijk schoon nadat zij een systeem gepenetreerd hebben.Immers hoe langer je er mee wacht des te groter de kans op ontdekking.

DDOS aanvallen worden eerder uit politieke overwegingen of als afpersings middel gebruikt.

Een server kan zijn logs mischien wel naar een aparte logserver sturen met wie weet hoeveel capaciteit.
+1Hatsjoe
@SuperNull20 maart 2012 15:51
Botnets worden niet enkel gebruikt voor DDoS aanvallen, je kan als kwaadwillende ook het botnet huren zo gezegd. Dit om bijv. spam te laten versturen, DDoS aanvallen uitvoeren in opdracht van niet zo nette bedrijfen op concurenten om ze in een kwaad daglicht te zetten en ga zo maar door. Als je het goed doet, is het nog best lucratief ook.

Maar mooi dat deze gasten nu opgepakt zijn, ben alleen bang dat dit het topje van de ijsberg is, en hun echt niet de enige zijn die dit soort praktijken uithalen. Paar miljoen stelen is niks in vergelijking met wat er jaarlijks met dit soort praktijken gestolen wordt van hardwerkende mensen.
+1Janglebyte
@SuperNull20 maart 2012 15:52
er zit vaak een ddos functie malware zoals deze, het is aantrekkelijk voor hun omdat nadat bankrekeningen zijn leeggehaald kan het slachtoffer dat dan in een botnet zit worden doorverkocht aan andere botherders.
+1Standeman
@SuperNull20 maart 2012 16:02
Afpersing is ook een mogelijkheid. Je maakt nu $ 10.000 over of we dossen je service voor de komende tijd. Als je daar afhankelijk van bent heb je een probleem natuurlijk..
+1Kalief
@SuperNull20 maart 2012 16:02
Afpersing. Als je niet betaalt dan leggen ze je site plat.
0IXyzyxI
@SuperNull20 maart 2012 17:11
Afleiding? Ze focussen zich op de ddos aanval niet wetende dat ze gehacked worden..
+1jGS
20 maart 2012 15:41
bizar dat het zo lang moet duren. Als er frequent en/of in grote hoeveelheden geld wordt overschreven naar andere accounts, zou het toch niet zo moeilijk mogen zijn om dit te traceren en op te rollen ?
+1mystic101
@jGS20 maart 2012 16:23
Er zijn miljoenen transacties per dag. Daar pik je niet zo makkelijk 'verdachte' transacties uit.
+13raser
@mystic10120 maart 2012 17:17
Je hoeft niet eens te letten op verdachte transacties. Pak gewoon een willekeurig slachtoffer wiens geld gestolen is en kijk waar het heen gaat. Iedere transactie heeft een tegenrekening nodig en dat is dus je eerste aanknopingspunt.

Helaas gaat het geld vaak naar het buitenland waar dan weer heel veel papierwerk bij komt kijken. Ze laten echt niet zomaar een willekeurige opsporingsdienst in hun bankgegevens neuzen. En gelukkig maar. Er zijn genoeg "opsporingsdiensten" die graag toegang zouden hebben tot al die gegevens zonder dat er een goede reden voor is.

Goed in ieder geval dat die gasten gepakt zijn. Dit soort misdaden lijkt toch regelmatig uit Rusland te komen. Fijn om te weten dat ze ook daar gepakt kunnen worden.
0Dreamvoid
@3raser20 maart 2012 21:51
Probleem is dat transacties niet altijd even duidelijke sporen achterlaten. Katvanger 1 boekt geld over naar Bermuda, katvanger 2 neemt het daar cash op en geeft het aan katvanger 3, die "koopt" via Ebay een lading overprijsde koffiemokken en betaalt via PayPal aan katvanger 4 in Rusland, en die geeft het geld weer cash aan de scammers. Voordat de politie dat spoor helemaal heeft gevolgd, ben je wel even verder.

[Reactie gewijzigd door Dreamvoid op 20 maart 2012 21:53]

+1Zethiel
@jGS20 maart 2012 15:43
Dat zou je zeggen ja, maar het papierwerk en onderzoek neemt schijnbaar wel veel tijd in beslag.
+1Dreamvoid
@jGS20 maart 2012 15:59
Dat kan je nog erg lastig doen, door het via diverse buitenlandse banken en katvangers te laten lopen. Voordat je bij de bankgegevens in Cyprus en de Kaaimaneilanden kan komen lopen er wel wat maanden aan verzoekjes heen en weer. Tis niet dat de politie in die landen totaal onwillig is, maar erg efficient gaat het daar ook weer niet (net zo min als hier, trouwens).

[Reactie gewijzigd door Dreamvoid op 20 maart 2012 16:15]

0jerrixftw
@jGS20 maart 2012 15:43
ze zijn altijd creatief
+1South_Styler
20 maart 2012 16:00
Het is goed om te zien dat een heel netwerk is opgerold. Het zal zeker niet gemakkelijk zijn geweest, aangezien ook de politie in Rusland aan bepaalde restricties en beperkingen zit, terwijl criminelen deze beperkingen niet hebben.
Ik hoop dat ze een lange gevangenisstraf krijgen. Waar ik vooral benieuwd naar ben is welke bewijzen ze tegen deze personen hebben en hoe ze deze hebben verkregen.
+1Baserk
@South_Styler20 maart 2012 18:14
“Our experts did an enormous amount of work, which resulted in identifying the head of this criminal group, the owner and operator of a specialized banking botnet, identifying the control servers, and identifying the directing of traffic from popular websites in order to spread malware infection,” noted Ilya Sachkov, Group-IB CEO.
Group-IB experts first encountered the activities of this group in November 2010, and in January 2011 the head of the criminal group was identified. However, a vast amount of effort was devoted to documenting his activities and identifying his accomplices. The investigation was complicated by the fact that the individual was constantly on the move throughout the country, and often was outside the Russian Federation. link (Van Russische Group-IB met wie FoXIT samenwerkte).

Niet zo heel slim om als Russen in hun eigen land herrie te schoppen en rekeningen leeg te trekken;
Alleen al in het eerste kwartaal van 2012 wisten ze in thuisland Rusland drie miljoen euro buit te maken.
Ze zullen daarom wel in de smiezen van de FSB zijn gelopen. Normaliter worden deze bendes redelijk met rust gelaten als ze hun eigen land(genoten) niet hinderen.
Niet voor niets wordt bij veel van dit soort malware door de ontwikkelaars hiermee rekening gehouden; indien een russisch toetsenbord(instelling) wordt opgemerkt, dan wordt de malware simpelweg niet actief.

[Reactie gewijzigd door Baserk op 20 maart 2012 18:15]

+1CapTVK
20 maart 2012 15:44
Vooral het feit dat ze doodleuk nog een bedrijf voor datarecovery hadden opgezet geeft aan brutaal ze waren. Ik kan me best voorstellen dat er mensen met een gecrashte HD intrappen.
+1InflatableMouse
20 maart 2012 15:47
Je zou es moeten weten als er buitenlandse rekeningen bij betrokken zijn, in een of ander corrupt afrikaans land (niet discriminerend bedoeld, maar daar zitten ze nou eenmaal graag, Senegal, Kenia bv).

Kost echt hopeloze hoeveelheden tijd en moeite want die criminele bendes hebben vaak lokaal steun van regionaal heersende stammen en dan kan je dus fluiten naar elke vorm van medewerking

Edit: was eigenlijk reactie op JgS hierboven, maar per abuis op de hoofd thread gereageerd.

[Reactie gewijzigd door InflatableMouse op 20 maart 2012 15:49]

0Ginz
20 maart 2012 16:03
Was Fox-IT niet het bedrijf wat zelf apparatuur en software aan landen als Iran/Syrië verkocht, waarmee die overheden zijn eigen mensen kunen bespioneren?
0zvbhvb
@Ginz20 maart 2012 16:17
Nee ik denk dat je in de war bent met STRATFOR.
+1stutrecht
@zvbhvb20 maart 2012 16:28
STRATFOR verkoopt geen apparatuur. Het is een denktank waar overheden, NOGO's en individuen zich op kunnen abonneren.

http://www.stratfor.com/about-us

Off topic: Zeer goed ook. Ik maak er veelvuldig gebruik van.

edit: in de link staat een interessant filmpje over wat stratfor precies doet.

[Reactie gewijzigd door stutrecht op 20 maart 2012 16:29]

0field33P
@stutrecht20 maart 2012 16:33
claimt te doen. ik lees het ook... via wikileaks
0pcrepairworld
20 maart 2012 15:35
En terecht dat ze opgepakt zijn, hun verdiende loon.
0IXyzyxI
@pcrepairworld20 maart 2012 17:12
Veroordeling is hun verdiende loon.. Opgepakt worden is t begin
0wfh
20 maart 2012 20:21
Lekker slim bezig. Als ze nou in Nederland al hun activiteiten deden, kwamen ze er met een taakstrafje van 16 uur van af.

[Reactie gewijzigd door wfh op 20 maart 2012 20:23]

Op dit item kan niet meer gereageerd worden.

Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True