‘Onlinebankieren doe je beter met je smartphone’

Op het internet circuleert een handleiding om banken te hacken. Cybercrime-expert Mikko Hyppönen van het Finse beveiligingsbedrijf F-Secure legt uit wat dat betekent voor uw geld en hoe u zich kunt beschermen.

De allereerste elektronische bankoverval dateert van 25 jaar geleden. Het kostte de Rus Vladimir Levin weinig moeite om 400.000 dollar van buitenlandse Citibank-rekeningen naar zijn eigen rekening over te maken. Maar bij al zijn 40 latere pogingen liep het mis bij de uitbetaling. Waarom willen criminelen dan nog steeds van op afstand banken beroven?

Mikko Hyppönen: Bij een fysieke overval op een bank kun je relatief weinig buit maken en loop je enorme risico’s. De elektronische weg is veel interessanter.

Hoe gaat dat meestal in zijn werk?

Hyppönen: Er zijn twee totaal verschillende manieren. Je kunt echt doordringen in de systemen van een bank en daar het geld stelen. Dat was bijvoorbeeld het geval bij de aanvallen op het Swift-systeem.

U verwijst naar de centrale bank van Bangladesh, die ooit 101 miljoen dollar heeft verloren omdat haar communicatienetwerk Swift was gehackt en misbruikt?

Hyppönen: Ja, dat is dus een mogelijkheid. Maar het is veel gemakkelijker om bankklanten met Trojaanse paarden te hacken – zeker particulieren en kleine bedrijven die nog werken met Windows XP of soortgelijke verderfelijke programma’s. Van één slachtoffer krijg je niet veel geld, maar het loont wel als je duizend klanten kunt hacken. Voor de banken is dat een groot probleem, omdat het internet niet van hen is maar wij het wel allemaal gebruiken om onze bankzaken te regelen.

Hoe kan ik als particulier voorkomen dat criminelen mijn rekening leeghalen?

Hyppönen: Zoiets gebeurt meestal via schadelijke software op uw Windows-pc. Daarom moet je ervoor zorgen dat je altijd de meest recente beveiligingsupdates hebt geïnstalleerd. Als je niet zeker weet of dat zo is, kun je beter je iPad, tablet of smartphone gebruiken om online te bankieren. Die zijn veiliger dan uw computer met Windows of macOS. Veel mensen denken dat een ‘echte’ grote computer beter beveiligd is, maar het is net andersom.

‘Veel mensen denken dat een ‘echte’ grote computer beter beveiligd is dan een iPad of smartphone, maar het is net andersom.

In februari keurde het Europees Parlement de PSD2-richtlijn goed, die de dubbele authenticatie bij onlinebankieren invoert. Die bijkomende beveiliging moet voorkomen dat criminelen nog toegang kunnen krijgen tot andermans bankrekeningen.

Hyppönen: De dubbele authenticatie maakt de inzet van Trojaanse paarden moeilijker, maar niet onmogelijk. Dat verandert niets aan mijn advies.

Bestaat er zoiets als een trend in het hacken om financiële redenen?

Hyppönen: Als er de afgelopen vijf jaar één trend was, dan wel de toenemende aanvallen op platforms voor cryptomunten. Want zelfs als je erin slaagt de Cayman National Bank of Citibank te hacken, heb je daarna nog een groot probleem: hoe moet je het geld witwassen? Hoe betaal je je nieuwe Ferrari zonder betrapt te worden? Dat probleem heb je niet als je in plaats van dollars bitcoin, Monero of Zcash steelt. Dat geld is al witgewassen. Banken investeren bovendien fortuinen in de beveiliging van hun systemen, terwijl de cryptomuntplatforms vaak start-ups zijn met een veel kleiner beveiligingsbudget, die toch miljarden controleren. Wat is dan het makkelijkste, verleidelijkste doelwit?

Sinds kort staat er een ‘do-it-yourself handleiding voor een bankoverval’ op het internet, opgesteld door een persoon of groep van personen die zich Phineas Fisher noemt. Hebt u die gelezen?

Hyppönen: Ja, technisch gezien een behoorlijk indrukwekkende hack. Maar natuurlijk illegaal en crimineel.

Phineas Fisher zou naar eigen zeggen in 2016 de Cayman National Bank op het eiland Man gehackt hebben, hij vond dat ‘niet zo ingewikkeld’. Als dat klopt, wat houdt criminelen dan nog tegen om miljarden uit het wereldwijde financiële systeem te halen?

Hyppönen: Wie zo goed is dat hij een bank kan hacken – en ze zijn met velen die dat kunnen – kan in de meeste landen een goedbetaalde, legale baan vinden.

Volgens F-Secure leiden hackers de aandacht van de financiële instellingen af met ransomware of DDoS-aanvallen, dus door chantage met Trojaanse paarden en klassieke overbelastingsaanvallen. En als de IT’ers met de verdediging bezig zijn, volgt de eigenlijke aanval. Kunt u daar een voorbeeld van geven?

Hyppönen: Ik heb zo’n geval ooit meegemaakt bij een Europese bank. Het begon met een stortvloed aan e-mails, die bijna het hele mailsysteem lamlegde. Terwijl het beveiligingsteam aan de verdediging werkte, gebruikten de aanvallers hun toegang tot sommige systemen van de bank om daarlangs geld weg te sluizen. We hebben nooit kunnen bewijzen dat het om dezelfde daders ging, maar het is zeer waarschijnlijk.

Veiligheidsdiensten en bedrijven als F-Secure spreken ook van een doorsijpeleffect: hacktechnieken die vroeger alleen voor geheime diensten beschikbaar waren, komen in handen van gewone criminelen. Kan de beveiliging nog volgen?

Hyppönen: Criminelen zijn beter in het delen van informatie. De IT-beveiligingsindustrie begrijpt natuurlijk wel hoe belangrijk samenwerking is. Maar we delen alleen malwaresamples en enkele IP-adressen die gebruikt worden bij verdachte activiteiten. En dan reageert iedereen zo snel mogelijk om zijn klanten te helpen. Maar vanuit hun standpunt gezien zou het natuurlijk beter zijn dat we onmiddellijk onze codes zouden delen: ‘Hier, gebruik dit maar, hiermee kun je de nieuwe malware vinden.’ Maar dat doen we niet omdat we bedrijven zijn, vele zijn ook beursgenoteerd, en dus moeten we winst maken. IT-beveiliging is geen liefdadigheidsevenement.

(c) Der Spiegel