Plofkraken en skimmen achterhaald: cybercrimineel rooft steeds sluwer digitaal

Hoewel er nog steeds geldautomaten via plofkraken worden beroofd, raakt die gewelddadige vorm van criminaliteit achterhaald. Ook het skimmen van passen is niet meer van deze tijd, omdat cybercriminelen banken tegenwoordig sluw digitaal beroven. Kevin Bocek, VP Security Strategy & Threat Intelligence van Venafi waarschuwt voor toenemende aanvallen op geldautomaten en ‘Point-of-Sale’-systemen.

Cybercriminelen gebruiken succesvol steeds geavanceerdere digitale aanvalsmethoden. Dat blijkt uit het Cybersecuritybeeld 2016, dat staatssecretaris Dijkhoff onlangs aanbood aan de Tweede Kamer. “Dijkhoff maakt zich terecht zorgen, omdat digitale veiligheid de vertrouwensbasis vormt voor al onze e-commerce en communicatie”, zegt Bocek. “Nederland loopt voorop in het beschermen en informeren van inwoners en bedrijven via het Nationaal Cyber Security Center (NCSC), de Fraudehelpdesk en de Nationale anti-DDoS Wasstraat.” Het aantal cyberincidenten groeit echter explosief en uit een recent rapport van ons Centraal Planbureau wordt jaarlijks al zo’n 11 procent van alle Nederlanders daar slachtoffer van. “De snelle groei van cybercriminaliteit vraagt om meer aandacht voor de beveiligingsfundering van het Internet, zijnde digitale certificaten en encryptiesleutels”, pleit Bocek.

020-021-Venafi3-300x167

Spelfout voorkomt megabankroof

Een simpele spelfout in de naam van een geldontvanger heeft bij de centrale bank van Bangladesh een onderzoek in gang gezet waardoor frauduleuze transacties zijn ontdekt. Met als resultaat dat in plaats van bijna een miljard slechts zo’n 80 miljoen dollar is weggesluisd. Doordat criminelen de clientsoftware van het internationale SWIFT-betalingssysteem wisten te infecteren met malware, konden ze een tijdlang onzichtbaar transacties uitvoeren. “Het SWIFT-systeem is ontworpen voor het hoogste veiligheidsniveau, waarbij alle software en transacties geauthentiseerd en versleuteld worden met moderne technologie, waaronder digitale certificaten”, licht Bocek toe. “Om het SWIFT-systeem te kunnen misleiden, zijn complexe en geavanceerde hacktechnieken nodig, die sluw misbruik maken van de fundering van online vertrouwen. Oftewel, onzichtbaar inbreken met gekraakte encryptiesleutels en digitale certificaten. Omdat banken in de hele wereld diezelfde technologie gebruiken, lopen ze een vergelijkbaar risico.”

Database van Qatar National Bank gelekt

Bij de Qatar National Bank (QNB) zijn hackers erin geslaagd om circa 1,4GB aan interne documenten te stelen. Deze bevatten net als bij de Panama-papers honderdduizenden persoon- en bankgegevens, maar ook enkele mappen met vertrouwelijke documenten over spionnen en Al-Jazeera journalisten. “Hoewel er weinig bekend is over hoe de documenten van QNB zijn ontvreemd, lijkt het er ook hier op dat de aanvallers onzichtbaar zijn binnengekomen”, vervolgt Bocek. “Dat kan door bepaalde ‘vertrouwde’ digitale certificaten te misbruiken, zoals steeds vaker bij cyberincidenten gebeurt. Zoals eerder vermeld gebruiken alle banksystemen in de wereld dezelfde beveiligingsfundering, gebaseerd op certificaten en encryptiesleutels. Criminelen die erin slagen vertrouwde certificaten te misbruiken om toegang te krijgen tot systemen en zich vervolgens verbergen in versleuteld netwerkverkeer, kunnen een tijdlang onzichtbaar hun gang gaan.”

Malware in versleuteld verkeer

Uit recent onderzoek van A10 Networks en het Ponemon Institute, blijkt dat 80% van alle ondervraagde grote organisaties in de VS en Europa het afgelopen jaar slachtoffer zijn geweest van cyberaanvallen. Bijna de helft daarvan werd uitgevoerd door malware in versleuteld verkeer te verstoppen, met als doel ontdekking te voorkomen. De fundering van cybersecurity rammelt volgens Bocek. “Een groot deel van alle firewalls en andere beveiligingsoplossingen waarop organisaties vertrouwen, laten versleuteld verkeer blindelings ongecontroleerd door. Anders verwoord veel securityoplossingen geven een gevoel van schijnveiligheid, waarvan cybercriminelen steeds sluwer misbruik weten te maken. Een belangrijke reden daarvoor is dat zowel de Internet-ontwikkelingen als het gebruik van digitale certificaten en encryptie zo ontzettend snel groeien, dat veel organisaties door de bomen het bos niet meer zien. Beheerders hebben geen idee wie ze waarvoor gebruiken en wanneer ze verlopen.”

Geldautomaten en Point-Of-Sale systemen

Trustnet-300x212 Eind augustus werd bekend dat cybercriminelen in Thailand circa € 300.000 hebben gestolen door geldautomaten van onder andere NCR te infecteren met Ripper-malware. Voor het pinnen gebruikten ze een speciaal gemaakte pinpas met EMV-chip (Europay Mastercard Visa) als authenticatiemiddel. “Retailers en banken signaleren een nieuwe generatie ATM- en POS-aanvallen, die malware gebruiken om detectie te voorkomen”, vertelt Bocek. “Criminelen willen namelijk niet alleen systemen infecteren, maar als het lukt zo lang mogelijk de volledige controle ervan proberen over te nemen. Omdat ATM- en POS-systemen de voorlopers zijn van het snelgroeiende Internet of Things (IoT), is het van cruciaal belang te weten hoe cybercriminelen erin slagen hun succesvolle aanvallen uit te voeren.” In Thailand kon Ripper de netwerkinterface van geldautomaten uitschakelen en is het programma sdelete gebruikt om forensische sporen van de bankroof te wissen.

Beheer sleutels en certificaten verbeteren

Uit alle bovenstaande voorbeelden blijkt dat cybercriminelen steeds sluwer banken digitaal beroven. Op dezelfde wijze kunnen ze ook inbreken op websites, infrastructuren, clouds en mobiele apparatuur, of communicatie afluisteren waarvan mensen denken dat die veilig is. Vanwege het feit dat alle systemen al twintig jaar dezelfde beveiligingsfundering gebruiken: encryptiesleutels en digitale certificaten. “Door het toenemend gebruik van encryptietechnologie en digitale certificaten, onder andere via leveranciers van gratis cloudservices, wordt het rookgordijn dat criminelen graag benutten ondoorzichtiger en groter”, waarschuwt Bocek. “Alleen als organisaties alle digitale sleutels en certificaten beter gaan beheren en deze bij incidenten in korte tijd geautomatiseerd kunnen vervangen, zijn cyberaanvallen en inbraken effectiever tegen te houden. Certificaten en sleutels blijven voorlopig namelijk de basis voor online vertrouwen, waarvan zowel alle mensen als IP-apparaten merendeels blindelings gebruik maken.”