RSA: malwarebendes vergaren miljarden met overschrijvingen in Brazilië

Onderzoekers van beveiligingsbedrijf RSA zeggen dat een bende die zich richt op het Braziliaanse online-betaalsysteem Boleto in twee jaar tijd naar schatting 2,75 miljard euro heeft verdiend. De bende maakt daarbij op grote schaal gebruik van malware.

RSA Research zegt dat uit onderzoek een geraffineerd werkende bende naar voren is gekomen die zich specifiek richt op Boleto, een populair online-betaalmiddel in Brazilië. De criminelen hebben malware ontwikkeld die zich binnen Windows nestelt in Firefox, Internet Explorer en Chrome. De 'bolware' weet eventuele beveiligingsplug-ins van de banken uit te schakelen en is in staat om Boleto-transacties zo te manipuleren dat het rekeningnummer van de begunstigde wordt gewijzigd. Veelal wordt het transactiebedrag ongemoeid gelaten om zo de kans op ontdekking te verkleinen.

De onderzoekers van RSA Research heeft ontdekt dat een bolware-bende, die gebruik maakt van 8095 eigen Boleto-accounts, de afgelopen twee jaar bijna een half miljoen transacties heeft gemanipuleerd. Volgens een ruwe schatting zouden de internetcriminelen daarmee 3,75 miljard dollar, ofwel 2,75 miljard euro, hebben bemachtigd. RSA schat verder in dat meer dan 192.000 Windows-systemen zijn besmet met de kwaadaardige bolware-software. Bovendien speurt de malware op besmette pc's naar inloggegevens om vervolgens spam te versturen naar de buitgemaakte contactenlijst van een slachtoffer.

Beveiligingsblog Krebs on Security heeft inzicht gekregen in de activiteiten van een andere Boleto-bende die in Brazilië actief is. Uit screenshots van het botnet-adminpanel blijkt dat deze bende zich richt op het manipuleren van relatief kleine transacties, maar dat het in vijf maanden tijd wel circa 180.000 euro wist te verdienen.

Brazilianen die veilig Boleto-transacties willen uitvoeren wordt aangeraden om voorlopig mobiele apps van de banken te gebruiken. De bendes zouden er namelijk er nog niet in zijn geslaagd om de barcodes die bij Boleto-transacties worden gebruikt te manipuleren door middel van malware op een mobiele telefoon.

Boleto-transactieformulier

IT-banen

Reacties (38)

IceStorm 3 juli 2014 15:24

Volgens mij is de blog gewoon vrij spectaculair geschreven. Ik lees

Based on evidence gleaned from this fraud investigation, RSA Research discovered a Boleto malware or “Bolware” fraud ring that may have compromised 495,753 Boletos transactions over a two-year period. While the investigation did not yield evidence as to whether the fraudsters were successful in collecting on all of these compromised transactions, RSA researchers did find evidence of their value – estimated to be up to $3.75 Billion USD (R$ 8.57 Billion).

als:

Er zijn net geen 500.000 transacties mogelijk besmet. Die transacties hadden in totaal een waarde van 3,75 miljard dollar.

Er staat dus niet direct dat dat ook het bedrag is dat is buitgemaakt. Lijkt me (los van de kanttekening dat ik niet geloof dat de gemiddelde Braziliaanse transactie € 6000,- is) ook ongeloofwaardig. Er is geen bank die dat soort bedragen zomaar over het hoofd ziet. En als je 150 miljoen dollar per maand verliest geloof ik ook niet dat je een systeem nog 2 jaar in de lucht houdt.

TheDDGo 3 juli 2014 14:48

Als ik de foto die erbij staat moet geloven zijn het niet alleen kleine bedragen, want 18000 noem ik niet klein.

Blackeagle020 @TheDDGo • 3 juli 2014 14:51

Het is niet 18000 euro, maar 18000 reais, wat neerkomt op ongeveer 6000 euro, wat nog steeds wel een groot bedrag is.

SinergyX @TheDDGo • 3 juli 2014 14:49

Lijkt me een random screenshot hoe die bar-code op zo'n betaling eruit ziet.

TheDDGo @SinergyX • 3 juli 2014 14:52

Dan alsnog kan er niet gezegd worden dat het alleen kleine bedragen betreft, ik zie bijv. bij het artikel van Krebs ook bedragen van rond de 800.

Netrunner @TheDDGo • 3 juli 2014 14:50

18000 BRL = 6000 EU

Dwazer

@TheDDGo • 3 juli 2014 14:52

[knip]

[Reactie gewijzigd door Dwazer op 27 juli 2024 22:13]

.oisyn Moderator Devschuur® @Dwazer • 3 juli 2014 14:57

Je zit er een factor 1.000 naast.

Blackeagle020 @Dwazer • 3 juli 2014 15:00

Als je 18000 Braziliaanse Reaal omrekend naar Euro via de Valuta calculator op valuta.nl, geeft deze dat het 5909.97 Euro is en niet 5.95.

Overigens geeft google ook een getal in dergelijke orde van grote.

Kees BOFH

Netwerk en systeembeheer

@Dwazer • 3 juli 2014 15:02

Google is daar wel handig voor

Het is dus ~5963 euro.

Dat zijn geen kleine bedragen meer

TheDDGo @Dwazer • 3 juli 2014 14:55

Mhm, oke, dan zijn ze toch niet zo groot als ik gedacht had. Ik wist niet det de real zo weinig waard is euro' s

massareal @TheDDGo • 3 juli 2014 15:54

Was vroeger een stuk minder waard, maar is ten opzichte van de euro.
CPI is daar afgelopen jaren tussen de 6 & 9 % geweest.
12 jaar geleden kreeg je iets van 4,5 Reais voor 1 euro

mavamal @Dwazer • 3 juli 2014 14:57

Rekenfoutje gemaakt? ~5900 euro

Dwazer

@mavamal • 3 juli 2014 14:59

Euhh, jah, #@$%^&*(

Ik had bij die omrekentool 18.xxx ingevuld, vanuitgaand edat de '.' de scheiding voor duizendtallen zou zijn...

My bad

[Reactie gewijzigd door Dwazer op 27 juli 2024 22:13]

CrackSlet @Dwazer • 3 juli 2014 15:04

De koers is €0,0038 gestegen volgens mij, dat is niet de waarde van 1 BRL

Iftert 3 juli 2014 14:47

Wow. dat zijn geen kleine bedragen...Maar dat het zo lang onopmerkt is gebleven vind ik opmerkelijk

Ypho @Iftert • 3 juli 2014 14:50

Ja, als ik kijk wat er per maand op mijn afschriften staat snap ik dat je snel over een klein bedrag heen kijkt. Nu probeer ik zoveel mogelijk alles te verklaren. Maar ik zie vaak genoeg namen staan die me helemaal niet bekend voorkomen, maar dat is dan weer een tussenpersoon voor een bedrijf die gebruikmaakt van een betaalterminal van die tussenpersoon. Soms erg lastig. En voor kleine bedragen ga ik niet een half uur zoeken wat het precies is

Sylph-DS

@Ypho • 3 juli 2014 15:29

Maar het zijn dus helemaal niet zulke kleine bedragen. Half miljoen transacties met een totale opbrengst van 3.75 miljard dollar. 3.75 miljard / 0.5 miljoen = 7500 dollar! Ik kan me dit eigenlijk nauwelijks voorstellen, er zal wel iemand een foutje hebben gemaakt met tellen.

robvanwijk

Malware
Netwerk en systeembeheer

@Sylph-DS • 3 juli 2014 16:54

Het zijn twee nieuwsberichten in één:
- Een bende is al jaren bezig om Boleto te misbruiken (met alle overschrijvingen, zowel groot als klein) en heeft daar miljarden mee binnengeharkt
- Een andere bende heeft in een paar maanden flink wat geld (maar geen miljarden) bij elkaar gehaald door alleen kleine transacties te manipuleren

De titel van het artikel (op het moment dat ik dit schrijf "RSA: malwarebendes vergaren miljarden met kleine overschrijvingen in Brazilië") probeert beide zaken samen te nemen, met als resultaat dat de titel simpelweg foutief is.

aswelter @Sylph-DS • 3 juli 2014 16:24

Inderdaad dat was mijn eerste reactive bij het lezen ook. Deze cijfers kloppen ergens totaal niet.

2Dutch @Ypho • 3 juli 2014 14:56

Daarom is het ook handig om regelmatig even in te loggen op internetbankieren en te kijken wat er allemaal af is gegaan. Zo ben je er snel bij als er iets geks aan de hand is, bv snel een belletje naar de bank als je het niet vertrouwt. Hoe langer je wacht, hoe vager je geheugen wordt ("had ik nou iets besteld bij winkel X..of..") en hoe makkelijker foutjes er doorheen glippen onder het mom: het zal wel..

3raser @2Dutch • 3 juli 2014 15:32

Daarom vind ik de app van mijn bank ook zo handig. Ik controleer regelmatig het saldo en daarbij direct de laatste afschrijvingen. Als je dit eens per week zou doen dan is het een zeer kleine moeite en is de kans klein dat je een transactie niet herkent. Hoe langer je wacht, hoe minder goed je weet wat je overgemaakt hebt. En sommige betalingsproviders hebben zeer onduidelijke omschrijvingen, dus dan kan het verwarrend werken.

Verwijderd @2Dutch • 3 juli 2014 16:10

Toevallig kwam ik er gister achter dat ik in een WEEKEND weg bij het inloggen op de gratis hotspot in luxemburg (totaal 1 uur ofzo? voor routebeschrijving) dat ze men Apple ID en wachtwoord hebben gejat.

Afgelope maand in totaal voor 55euro aan itunes besteed vanuit de apple store in Luxemburg stad. Gelukkig gemakkelijk mijn geld teruggekregen!!!

bstard @Ypho • 3 juli 2014 14:59

Ik keek ooit zelden, tot ik merkte dat er wat onterechte zaken afgeschreven werden. Alles uitgezocht, en de paar overgebleven onbekende ibans geblokkeerd. Nooit wat van gehoord.

Dat vond ik ook al. €2,75 miljard verdienen met 0,5 miljoen transacties. Dat is gemiddeld €5500,- per transactie...

Ik snap de link met "kleine overschrijvingen" dan ook niet, tenzij "miljard" een vertaalfout is en "miljoen" had moeten zijn.

3raser @RemcoDelft • 3 juli 2014 15:34

Het lijkt me eerder dat het een half miljard transacties moeten zijn, in plaats van een half miljoen. Het bedrag wordt meermalen genoemd en dat zal dus wel kloppen.

AmigaWolf @Iftert • 3 juli 2014 21:37

Wow. dat zijn geen kleine bedragen...Maar dat het zo lang onopmerkt is gebleven vind ik opmerkelijk

Hehe het is Brazilië, dan moet je nergens raar van opkijken, corruptie is heel erg groot daar, en dat zie je all door de steden te loopt, dan schrik je hoe GROOT het verschil is tussen de arme en de rijken, en dat je niet echt veilig bent in die grote steden, en nog veel meer.

Dat is ook een van de rede dat ik nooit (ik weet zeg nooit nooit) naar zulke landen ga.

Nyarlathotep 3 juli 2014 15:13

Maar ik lees dus éérst in her artikel dat transacties ongemoeid worden gelaten om ontdekking te vermijden.
Verderop in het artikel staat dat een andere bende klein transacties 'manipuleert'.

Bij dat laatste neem ik aan dat ze een (paar) cent(en) van het bedrag 'af snoepen' wellicht? En zo langzaamaan een leuk bedrag bijeen schrapen?
Wat deed die andere bende dan?

Panama @Nyarlathotep • 3 juli 2014 16:08

Als je de begunstigde wijzigt, manipuleer je de transactie ook, misschien gaat het daar over.

dbartling 3 juli 2014 15:06

USD 3.750.000.000 / 495.753 = USD 7564,25 per transactie.
Zouden ze er niet een factor 1000 naast zitten, of kopen mensen ook huizen en auto's via Boleto?

buutske 3 juli 2014 15:25

Wat ik raar vind is dat het zolang heeft het kunnen plaatsvinden.
De (rechtmatige) ontvanger zal toch ook aankloppen bij de partij die moest betalen als blijkt dat het bedrag open blijft staan

Verwijderd 3 juli 2014 16:53

Kleine misvatting in het tweakers artikel:

"Uit screenshots van het botnet-adminpanel blijkt dat deze bende zich richt op het manipuleren van relatief kleine transacties, maar dat het in vijf maanden tijd wel circa 180.000 euro wist te verdienen."

Moet zijn:
Uit screenshots van het botnet-adminpanel blijkt dat deze bende zich richt op het manipuleren van relatief kleine transacties, maar dat het in vijf maanden tijd wel circa 180.000 euro wist te stelen.

Ik weet wel dat criminaliteit steeds normaler word gevonden en dat geld gestolen met dit soort fraude daarom al snel het stempel verdienen krijgt maar dit heeft natuurlijk niets te maken met verdienen. Het geld is en blijft gestolen. Wat die gasten wel verdienen is gevangenisstraf.

Verdienen: het recht op een beloning of bestraffing verwerven

[Reactie gewijzigd door Verwijderd op 27 juli 2024 22:13]

biglia 3 juli 2014 17:25

Ook offline wordt dit toegepast. In België bijvoorbeeld zijn er bendes actief die je snailmail onderscheppen. Ze openen de brieven met rekeningen en veranderen de bankrekeningnummer waarnaar gestort moet worden. Je moet dus al echt opletten.

Edgarz 4 juli 2014 07:54

Het lijkt mij sterk dat er nu pas iemand wakker wordt als er al voor 2.5 mld gefraudeerd is. Dat is zo ongeveer de grootste hack ooit. Dit moet eerder opgevallen zijn.

mutley69 4 juli 2014 14:14

Betalen met apps nooit van m'n leven - betalen via de pc - dat kan nog (omdat je kan starten van een cdrom, die is hopelijk veilig).

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (38)

Sorteer op:

Weergave: