De geheimhouding door de politie en de getroffen bank deed aanvankelijk het ergste vermoeden, net als de formulering in het politiebericht dat “het systeem van de bank is gemanipuleerd”. Toch werd het gelijk al zeer onwaarschijnlijk geacht dat de computersystemen bij de bank zelf zijn gekraakt. Niet alleen door banken zelf. Cybercrime-projectleider Eward Driehuis van security-bedrijf Fox-IT geeft uitleg.

Beleggingssysteem gemanipuleerd

“Dit nieuws houdt ons ook erg bezig. Wij zijn ook nerds, dus supernieuwsgierig hiernaar.” Hij benadrukt dat deze grote zaak niet op één lijn gesteld moet worden met gangbare bankfraude, die normaliter via malware wordt gepleegd. “Dit zijn twee heel verschillende dingen.”

Inmiddels is al gebleken dat er inderdaad iets heel anders is gebeurd. In het beleggingssysteem van ABN Amro bleek een fout te zitten die van buitenaf viel te misbruiken. Er zou door de hoofdverdachte via een beleggingsrekening zijn geknoeid met premies op aandelenopties.

Driehuis vertelt dat de hoogte van het weggesluisde bedrag zeer uitzonderlijk is. “Doorgaans gaan de ‘bad guys’ meer voor de massa; liever 10.000 kleine transacties dan enkele grote.” Het doelwit is bij ‘gewone’ digitale bankfraude de consument. “Dus vele duizenden euro's in één keer overboeken gaat niet lukken, dat heeft de gemiddelde consument niet op zijn bankrekening staan”, zegt Driehuis.

Het gaat per slachtoffer dan ook om een paar honderd tot hooguit duizend euro, schat hij in. “5,6 miljoen wordt echt gedetecteerd door de banken!” De overboeking in maart dit jaar naar de rekening van een 26-jarige man in Wageningen is dan ook door de bank opgemerkt. Die heeft volgens politie-woordvoerster Marinke Kat enige tijd later aangifte gedaan. De ‘begunstigde’ is vorige maand, samen met 12 andere verdachten, gearresteerd.

Wat de mededeling van de politie over “manipulatie van het systeem van de bank” betreft, wijst Driehuis er in eerste instantie op dat ‘het banksysteem’ niet alleen de computers van en bij de bank omvat. “De client-pc is eigenlijk ook onderdeel ervan, net als bijvoorbeeld de calculator en de met https beveiligde website.” Het ‘systeem’ zou dan het ‘schema’ zijn voor de hele keten voor betalingen.

FUD-factor

Eerst werd er dan ook gedacht aan een gerichte malware-operatie, maar twee dingen spreken dat tegen. Ten eerste het door de politie gemelde feit dat de 5,6 miljoen euro in één keer is overgeboekt naar een rekening van de 26-jarige hoofdverdachte. Ten tweede dat de zaak niet onder de high-tech crime unit van de KLPD valt, maar onder gewone politiediensten (de Bovenregionale Recherche Noord- en Oost-Nederland).

Security-expert Roel Schouwenberg van securityleverancier Kaspersky dacht aanvankelijk ook aan een ‘targeted attack’, vooral omdat die hoge beloningen opleveren. Zoals de 5,6 miljoen die is buitgemaakt bij ABN Amro. “Directe aanvallen op banken worden normaliter uitgevoerd door ervaren mensen. Er gaat een hoop extra werk inzitten ten opzichte van het aanvallen van eindgebruikers, maar de beloning is des te hoger.”

Daar staat dan wel weer een hoger risico tegenover, vervolgt hij. “Bij elke (succesvolle) aanval zal er een diepgaand onderzoek door de politie gedaan worden. Dus de risico's voor de cybercriminelen zijn een stuk hoger.” Schouwenberg benadrukt dat hij geen extra informatie betreffende deze zaak heeft, net als cybercrime-expert Driehuis van Fox-IT voor zichzelf al aangaf.

‘Niet verrast’

Het nieuws dat er geen digitale inbraak is gepleegd bij de bank zelf verrast Driehuis dan ook niet. De beveiliging van en de detectie door banken heeft niet gefaald. Daar kwam wel even de FUD-factor; fear, uncertainty and doubt, om de hoek kijken, erkent Driehuis. “Hoe bang moet je zijn?”, stelt hij de hamvraag. “Iedereen, ook jij en ik - en ik ben securityspecialist, loopt kans dit te overkomen.”

“Maar! Je loopt minder kans als je je pc goed op orde houdt; alles, dus besturingssysteem, programma’s, antivirus, enzovoorts.” Dan nog is er een risico, alleen is dat klein, erg klein. Bovendien is er een groot verschil tussen de gangbare bankfraude, met als slachtoffer de klant van de bank, en deze fraude. “Een consument hoeft zich geen zorgen te maken over miljoenendiefstal.”

Goede detectie

“Nederlandse banken hebben hele goede detectiemiddelen, voor ‘afwijkende’ overboekingen. Het merendeel wordt tegengehouden, al in de netwerken van de banken onderling.” Volgens het meest recente halfjaarverslag van de Nederlandse Vereniging van Banken (NVB) zijn er 514 gevallen geweest in de eerste helft van dit jaar. “Het verschilt van bank tot bank.”

Schouwenberg vindt het lastig in te schatten hoe zeldzaam een grote digitale diefstal zoals de toproof bij ABN Amro eigenlijk is. “Grote bedrijven zoals banken staan niet om negatieve publiciteit te springen. Dus het grote merendeel van dit soort incidenten zal nooit de publiciteit behalen.”

De beveiliging van banken wordt ook benadrukt door de NVB. "In principe zijn banksystemen niet te manipuleren. Bij mijn weten is dat nog nooit voorgekomen", zegt woordvoerder Oscar Tutert tegen De Telegraaf. Volgens de krant “wijst alles er echter op” dat de bankrovers daar toch in zijn geslaagd. Driehuis: “Dat hangt er van af of je client-pc’s als onderdeel van het banksysteem beschouwd.”

Extern te misbruiken

Schouwenberg reageert nog op de nieuwste informatie, dat het om een fout in ABN’s beleggingssysteem gaat: “Het lijkt erop dat het om een lek gaat dat extern te exploiteren is geweest. Kwetsbaarheden in een webapplicatie kunnen (bijna) net zo goed extern gevonden worden als intern. Dat zou de aanval een stuk minder gecompliceerd maken ten opzichte van een aanval op de interne infrastructuur”, merkt hij op.

“Dit sluit insider-werk echter niet uit.” Het is in theorie mogelijk dat de zwakke plek door iemand binnen ABN is aangezet, of dat daar naar buiten toe over gelekt is. Onder de 13 gearresteerde verdachten bevinden zich echter geen medewerkers of ex-medewerkers van de bank, heeft NRC Next inmiddels achterhaald.

Ook zonder hulp van binnenuit is het mogelijk dat de dader zelf, en zelfs bij toeval, op de zwakke plek is gestuit. Een woordvoerder van ABN Amro wekt die indruk wel met uitlatingen tegenover Nu.nl: ''Er heeft een hekje opengestaan, iemand is langsgelopen en heeft daar gebruik van gemaakt."

Belang van ‘insiders’

Voor succesvolle digitale inbraken bij banken kan het hebben van een ‘insider’ wel de doorslag geven, zegt Schouwenberg . “Dat maakt een enorm verschil.” Het grote belang van ‘inside hulp’ - door een daadwerkelijke persoon of door buitgemaakte interne informatie - wordt volgens Schouwenberg aangetoond door de ontwikkelingen op zowel technisch als op social engineering-vlak. Technisch gezien wordt malware meer en meer gemaakt om informatie te vergaren en te benutten.

“Zonder insider zal bijna alle informatie door middel van malware verkregen moeten worden in combinatie met social engineering. Dit verlaagt de slagingskans, naast dat het aanzienlijk meer tijd zal kosten om de operatie uit te voeren”, legt de expert van Kaspersky uit.

Hij waarschuwt nog voor de risico’s van sociale netwerken, waar mensen veel informatie delen, met de hele wereld of met vertrouwd overkomende contacten. In juli dit jaar is al gebleken dat zelfs ict-beveiligers van het Amerikaanse leger makkelijk zijn te misleiden via sociale netwerken. Een niet bestaande jonge vrouw is via LinkedIn-, Facebook- en Twitter-profielen, vol met hints over deze penetratietest, erin geslaagd gevoelige informatie te bemachtigen.

Malwaremakers meden Nederland

“De zwakheid zit bij de consument”, concludeert Driehuis dan ook. “Banken zijn, na Defensie, de best beveiligde instanties ter wereld..” Driehuis vertelt dat Nederlandse banken dermate goed zijn beveiligd, dat malwaremakers jarenlang ons land hebben gemeden. Er was makkelijkere prooi elders te vangen.

“Dat is heel lang de waarheid geweest. Tot een paar weken terug. Toen is er gemeld dat bankfraude op internet groeit.” Die melding kwam vanuit politie en Justitie, en is eind oktober nog gestaafd door het Centraal Bureau voor de Statistiek. Kort daarvoor is gebleken dat Justitie cybercrime niet apart meet en dus inzicht mist. De positie van Europa als thuishaven voor cybercrime zit hoe dan ook in de lift, constateerde securityleverancier Trend Micro begin oktober al.

Bank-gerichte malware

Digitale bankfraude - de reguliere soort, dus niet deze miljoenenroof bij ABN Amro - gebeurt in de regel op twee manieren. “Óf ‘de helpdesk’ belt mensen om hen een nummer te laten invoeren op hun bank-calculator, en benadrukt daarbij dat ze nooit hun pincode moeten geven. Dat is de ouderwetse methode.”

“Óf er wordt gerichte bank-malware ingezet. Een pc kan besmet raken en als een consument dan gaat internetbankieren gaat die malware de transacties manipuleren of een eigen transactie ertussen zetten.” De expert van Fox-IT zegt dat er op dit moment enkele verschillende bank-gerichte malware-exemplaren rondwaren.

De malware zorgt er daarbij ook voor dat de gemanipuleerde transactie, bijvoorbeeld aan een andere ontvanger gericht, of de extra overboeking niet zichtbaar zijn in de browser van de getroffen gebruiker. “Op een ongeïnfecteerde pc, of als je pint ‘aan de muur’, is het dan wél te zien natuurlijk.”

Vertrouwen in banken

Bovendien is 5,6 miljoen weliswaar een ongekend hoog bedrag, maar erg klein vergeleken met de honderden miljarden die dagelijks door een bank gaan. “Dat wil niet zeggen dat de banken het niet heel serieus nemen”, zegt Driehuis. “De imagoschade, het vertrouwen in de banken, daar hoort internetbankieren gewoon bij.” Bovendien vergoeden de banken alle fraude aan consumenten, stelt hij nog gerust.