Internetcriminelen hebben ruim 35 miljoen euro proberen te stelen van Nederlandse bankrekeningen. Daarbij werden vooral zakelijke gebruikers getroffen. Hoeveel geld de aanvallers precies hebben buitgemaakt, is onduidelijk.
De aanval, die ook gebruikers in andere Europese landen, de Verenigde Staten en Latijns-Amerika trof, was gebaseerd op verschillende versies van de bekende Zeus- en SpyEye-trojans. Dat blijkt uit onderzoek van McAfee en Guardian Analytics. In Nederland probeerden de aanvallers in totaal 35 miljoen euro van circa vijfduizend vooral zakelijke bankrekeningen te halen.
Zakelijke gebruikers waren het doelwit omdat die doorgaans meer geld op hun rekening hebben staan en transacties met grote bedragen minder snel tot argwaan leiden, zo redeneren de onderzoekers. Gemiddeld werd per bankrekening geprobeerd om 2500 euro te plunderen. Het is echter onduidelijk hoeveel geld de aanvallers daadwerkelijk hebben buitgemaakt. Uit het rapport blijkt dat in Nederland klanten van twee banken zouden zijn getroffen, maar welke dat zijn, blijft onvermeld.
Woordvoerder Daan Heijbroek van ING, de grootste bank van Nederland, herkent het geschetste scenario niet. "We herkennen SpyEye en Zeus wel", zegt Heibroek, "maar deze aanval en de genoemde bedragen niet." Als klanten bij ING toch slachtoffer zijn, wordt de schade in ieder geval vergoed, ook als het zakelijke gebruikers zijn. "We zullen alle zaken op individuele basis onderzoeken", aldus Heijbroek. "Als een klant te goeder trouw is, zullen we de schade vergoeden."
Bart van Leeuwen van de Nederlandse Vereniging van Banken benadrukt dat het gaat om 'pogingen, niet om daadwerkelijke aanvallen'. "De banken monitoren steeds beter en vangen daardoor veel fraude af, dankzij goede preventieve maatregelen", zegt hij. "Het onderzoek verbaast ons niet, het gebruik van malware is een bekend onderdeel van bankfraude."
De aanval werkt via malware die wordt geïnstalleerd op computers van gebruikers. De malware zorgt ervoor dat het proces van internetbankieren wordt onderschept. Daarbij valt in dit geval op in hoeverre het proces volledig geautomatiseerd is, schrijven McAfee en Guardian Analytics: er komen bijna geen handelingen van de aanvallers aan te pas.
Volgens de onderzoekers werden 426 varianten op ZeuS en SpyEye gebruikt. In tegenstelling tot de gebruikelijke implementatie van de Zeus- en SpyEye-malware, gebruikten de aanvallers eigen servers die uit naam van de klant frauduleuze transacties uitvoeren. Normaliter wordt die frauduleuze transactie op de computer van de gebruiker zelf uitgevoerd. Volgens McAfee reduceert de implementatie van deze aanvallers de kans dat de aanval wordt ontdekt.
Bij de aanval op Nederlanders werden gebruikers na het inloggen omgeleid naar een pagina waarop gebruikers werd verteld dat er bijvoorbeeld server-onderhoud was, waardoor ze een paar uur of zelfs dagen niet bij internetbankieren konden komen. In die tijd werd op de server van de aanvallers geheel automatisch een frauduleuze transactie gestart waarbij geld werd overgemaakt naar de aanvallers. Daarbij slaagden ze erin om de two-factor authentication van banken te omzeilen. Voorbeelden van two-factor authentication zijn de random reader bij de Rabobank en het systeem met tan-codes bij ING.
De aanval werd ontdekt doordat de criminelen een grote fout maakten: extern opgeslagen mappen met logs over slachtoffers en transacties waren niet goed genoeg beveiligd. Daardoor konden onder meer slachtoffers worden geïdentificeerd. Het is onduidelijk waar de aanvallers vandaan komen, al is wel bekend dat de server die werd gebruikt om Nederlanders aan te vallen in de Verenigde Staten stond. Of er al aanhoudingen zijn verricht, is nog niet bekend.
Update, 14:01: Reactie Nederlandse Vereniging van Banken toegevoegd.