Cybercriminelen hebben hun eigen variant op 'het nieuwe pinnen'. Skimmen is voor amateurs, en het hacken van een enkele pinautomaat zet geen zoden aan de dijk. De nieuwe aanvalsvector op banken is het control panel voor pinautomaten, de backend waar alle parameters voor pintransacties worden vastgesteld. Zet alle beperkingen uit, en hackers kunnen met gekloonde passen tientallen, soms honderden pinautomaten (ATM's) tegelijkertijd en volledig leegtrekken. Hiervoor waarschuwt de Federal Financial Institutions Examination Council (FFIEC).

Sluwe combi van skimmen en hacken

De ATM control panels zijn veelal webbased, hier wordt bepaald hoeveel geld klanten kunnen pinnen binnen welke periode, eventuele geofencing of geoblocking, en logfiles van pintransacties, al dan niet verdacht.

Hackers krijgen toegang tot zo'n panel via accountgegevens van bankmedewerkers, die op hun beurt zijn bemachtigd met een combinatie van social engineering, spearphishing en malware.

Eenmaal binnen op het control panel worden alle beperkingen voor een select aantal rekeningen en pinpassen uitgezet, passen die de criminelen eerder hebben geskimd en vervolgens honderden keren gekloond. Vervolgens gaan tientallen of honderden katvangers simultaan pinnen met de gekloonde passen. Ze timen dit pinoffensief ook nog eens vlak voor een vakantie, als banken hun pinautomaten extra hebben volgestopt met cash.

Moeder aller cyberkraken

In een recent geval is zo met slechts 12 geskimde passen 40 miljoen dollar buitgemaakt. Het is niet duidelijk of de FFIEC hierbij refereert aan de 'moeder aller cyberkraken' van vorig jaar, of dat er sindsdien meer van deze aanvallen, Unlimited Operations gedoopt, succesvol zijn uitgevoerd. Autoriteiten hebben overigens de meeste katvangers van die enorme overval achterhaald, het gaat onder meer om een Haagse 'cel' van katvangers, die in Duitsland ging pinnen.