Video: Bank hackers pull off $1 billion cyberheist (November 2024)
Bankoverval is gewoon niet meer wat het was. Gaten maken in muren, beveiligingscamera's ontwapenen, kluisjes kraken… dat is zooo jaren 1990. De moderne dief heeft cybervaardigheden nodig. Een Remote Access Trojan (RAT) is effectiever dan een mol op het bankkantoor. En waarom zou u de kluis kraken als u het geld draadloos kunt overboeken? Een groep banken en multinationals in Frankrijk werd geraakt met alleen dit soort hightech overval en Symantec heeft het hele drama gedocumenteerd.
Het begon allemaal met een eenvoudig e-mailbericht dat de administratief medewerker van een VP opdracht gaf om een bepaalde factuur af te handelen. Aangezien de factuur buiten het bedrijf werd gehost, op een site voor het delen van bestanden, had de beheerder misschien geaarzeld. Enkele minuten later kreeg diezelfde assistent echter een telefoontje van een andere vice-president die haar aanspoorde de factuur te versnellen. Voor de gek gehouden door het frauduleuze telefoontje opende ze het, waardoor een RAT binnen het bedrijfsnetwerk werd vrijgegeven. De agressieve combinatie van spear-phishing e-mail en frauduleus telefoongesprek trok de belangstelling van Symantec-onderzoekers; ze groeven dieper en vonden meer en erger aanvallen op andere Franse bedrijven.
Verdedigde verdedigingen
In een vandaag gepubliceerde blogpost onthulde Symantec hoe aanvallers erin slaagden om alle beveiligingsmaatregelen van één bedrijf tegen ongeautoriseerde geldoverdrachten te verslaan. Het leest echt zoals het script voor een overvalfilm.
Om te beginnen gebruikten ze de hierboven beschreven tweevoudige social engineering-aanval om een RAT op de pc van de assistent van een beheerder te laden. De RAT verzamelde bedrijfsinformatie, inclusief het rampenplan van het bedrijf en de details van zijn telecomaanbieder. Met behulp van de gestolen informatie riepen de boeven het rampenplan in en claimden ze een fysieke ramp. Hiermee konden ze alle telefoons van de organisatie omleiden naar een nieuwe reeks telefoons die ze beheren.
Vervolgens faxten ze een verzoek naar de bank van het bedrijf voor meerdere grote fondsenoverdrachten naar offshore-rekeningen. Uiteraard belde de bankvertegenwoordiger om te bevestigen; de boeven onderschepten de oproep en keurden de transactie goed. Zodra het geld op die offshore-rekeningen verscheen, hieven ze het uit. Onheil gelukt!
Symantec heeft nog een aantal andere gevallen ontdekt, waarvan vele veel minder uitgebreid. Eén aanvaller belde bijvoorbeeld eenvoudigweg het slachtoffer en verklaarde dat regelmatig onderhoud vereist dat tweefactorauthenticatie tijdelijk werd uitgeschakeld voor overboekingen. Een ander liet het slachtoffer weten dat voor computerupgrades een "test" -overschrijving nodig was; de "test" voerde echt geld in op een offshore-account. Duidelijk goedgelovige mensen zijn het zwakke punt in veel beveiligingssystemen.
Whodunnit?
Wetende dat dit soort chicanery plaatsvond, slaagde het Symantec-team erin om leiding te krijgen over een lopende operatie, een kappertje dat ze "Francofoon" noemden. Ze slaagden erin het commando- en controleverkeer door Oekraïne naar IP-adressen uit Israël te traceren.
Bij het analyseren van de gebruikte IP-adressen zagen ze twee eigenaardigheden. Ten eerste kwamen de adressen uit een blok dat specifiek was toegewezen aan MiFi-kaarten - GSM-radio's die kunnen worden gebruikt om internettoegang via het mobiele netwerk te bieden. Ten tweede waren ze constant aan het veranderen, wat betekent dat de slechteriken rond reden, verschillende celtorens passeerden. De telecom kon een bewegend doel niet trianguleren en de MiFi-verbindingen waren blijkbaar anoniem en prepaid, dus er was geen manier om de boeven te vangen.
Ik kan niet wachten op de filmversie!
