Is cybercriminaliteit nog te stoppen?
Eerst wat goed nieuws. In Nederland was de schade als gevolg van bankroof via internet vorig jaar slechts 9,6 miljoen euro, terwijl de crackers in 2012 nog met bijna 35 miljoen naar huis gingen. En als recente Belgische cijfers een indicatie vormen, dan werd internetbankieren in althans de eerste helft van 2014 nog aanzienlijk veiliger.
Ook op andere fronten hadden crackers de wind tegen. Sinds september 2013 liet Cryptolocker een spoor van narigheid achter, door bestanden van slachtoffers grondig te vercijferen. Zo maakte de 'ransomware' Office documenten, foto's, pdf's enzovoort ontoegankelijk, op de harde schijf van de pc zelf en ook op aangesloten netwerkschijven.
Na voltooiing van die arbeid presenteerde Cryptolocker een aanbod dat vooral bedrijven niet altijd konden weigeren: betaal binnen 72 uur 300 euro voor de ontcijfering of vrees het ergste. Wie de betaling zo snel niet rond kreeg, mocht het vijfvoudige afrekenen. En betalen was niet zo heel eenvoudig - er kwamen bitcoins of een Moneypacknummer aan te pas, voor anonieme overschrijving via internet. De race tegen de klok werd vaak verloren.
Gameover Zeus
Maandenlang leken vele bestanden voorgoed onbruikbaar. Tot in augustus decryptcryptolocker.com op het web verscheen, een gratis ontcijferaar opgezet door de Nederlandse beveiliger Fox-IT en zijn Amerikaanse collega FireEye. Hoe dat kon? Eerder dit jaar ondervonden de criminelen achter het botnet Gameover Zeus - waarschijnlijk gebruikt voor de verspreiding van Cryptolocker - veel hinder van 'operatie Tovar', een internationale tegenkraak waarbij onder andere de Amerikaanse FBI en Europol betrokken waren.
In juni kregen de wetshandhavers en ingehuurde beveiligers tijdelijk vat op Gameover Zeus, destijds een half miljoen geïnfecteerde pc's. Daarbij raakte een kopie van de database met sleutels bedoeld voor betalende 'klanten' van Cryptolocker in de knel. Fox-IT wist hem te veroveren, zodat pakweg een half miljoen slachtoffers alsnog hun gegijzelde bestanden leesbaar kunnen maken.
Jevgeni Bogatsjov
Een happy end? Gameover Zeus is alweer in aanbouw, en de crackers zijn niet gepakt. In plaats daarvan hebben we er een 'held' bij: Jevgeni Bogatsjov, en die was al beroemd in kleine kring. Zijn betrokkenheid is aantoonbaar terwijl zijn collega's onbekend blijven, eenvoudig doordat Bogatsjov niet de moeite nam om zich te verbergen achter schuilnamen en wisselende ipnummers. Jevgeni lijkt nogal een ijdeltuit. Met als gevolg dat hij nu met foto's en al hoog op de 'most wanted' lijst van de FBI staat.
Maar tot nu toe heeft hij daar weinig last van. Journalisten van de Engelse krant The Telegraph gingen op bezoek in Anapa, een prettige badplaats aan de Zwarte Zee waar Bogatsjov een luxueus appartement heeft. Zijn buren beschrijven hem als een rustige, aimabele man, eigenaar van een zeiljacht in de plaatselijke haven. Als ze horen dat de FBI hem zoekt wegens digitale bankroof en afpersing, tonen ze niets dan bewondering. 'Wat een talent', was een typerende reactie.'Thuis aan zijn computer breekt hij in bij onze vijanden, maar hij doet zijn landgenoten geen kwaad.' De Amerikanen vroegen op het hoogste niveau om samenwerking, maar de Russische politie heeft weinig belangstelling. De buren zagen geen agenten aan de deur en op het bureau, 200 meter verderop, zegt een politieman: 'Ik zou hem een medaille geven.'
Kernactiviteit
Uit informatie afkomstig van operatie Tovar blijkt dat Bogatsjov & Co met hun Cryptolocker een dikke twee miljoen euro hebben verdiend. Misschien niet zo heel indrukwekkend, maar het viel bij de heren onder overige werkzaamheden. Hun kernactiviteit is digitale bankroof. Gameover Zeus is met afstand 's werelds meest effectieve trojaan voor het leeghalen van andermans bankrekeningen, en heel geschikt voor het passeren van tweefactorbeveiligingen zoals de cryptografische calculators en tancodes van Nederlandse banken. Daarvoor beschikken de crackers over circa 1500 verschillende webinjects, softwaremodules die de communicatie tussen bank en klant manipuleren, zodat overschrijvingen naar andere rekeningnummers gaan terwijl de klant niets bijzonders ziet.
De Deense beveiliger CSIS maakte een lijst van financiële instellingen waarvoor Gameover web-injects op maat bestaan. Wie er doorheen vlooit op zoek naar .nl-domeinen vindt onder andere ABN Amro, de Rabobank, ING en ICS Cards. Het Amerikaanse ministerie van justitie zegt dat criminelen hun slachtoffers 'via Gameover Zeus vaak meer dan een miljoen dollar ineens' afhandig maken. 'Minstens een frauduleuze transactie bedroeg 6,9 miljoen dollar.' Alleen al in de VS is de totale schade tot nu toe meer dan 100 miljoen dollar, schatten de wetsdienaren.
Een miljard wachtwoorden
Volgens de Europese Centrale Bank (ECB) nam het aantal frauduleuze internetbetalingen dit jaar voor het eerst sinds 2008 weer toe. Vooral in Frankrijk, Engeland en Luxemburg is de schade door fraude met betaalpassen groot, met als voornaamste oorzaak de snelle groei van de handel via internet.
Wat ongetwijfeld ook een rol speelt is het gemak waarmee allerlei crimineel bruikbare gegevens in verkeerde handen vallen. Augustus was tot nu toe de zwartste maand ooit - en gezien de getallen kan het nauwelijks nog zwarter. De Amerikaanse beveiliger Hold Security maakte bekend dat een database met 1,2 miljard combinaties van naam en wachtwoord was gevonden, samen met ruim een half miljard emailadressen. Uiteraard een kopie van informatie die nog steeds op de harde schijven van crackers staat. Onafhankelijke experts bevestigden intussen de echtheid van de inlogdata. Om die verzameling bij elkaar te krijgen hadden de criminelen 420.000 websites gekraakt, in de meeste gevallen zonder dat de eigenaars het merkten.
'Het gaat zeker niet alleen om Amerikaanse bedrijven', zegt Alex Holden van Hold Security. 'Ze pakten alles waar ze bij konden, vanaf de Fortune 500 tot heel kleine websites.' Hij besloot tot publicatie onder andere om al die duizenden bedrijven een kans te geven om hun beveiliging op orde te brengen. Ze elk afzonderlijk benaderen was geen doen.
Bewijslast
Volgens een studie gefinancierd door beveiliger McAfee zijn er in de voormalige Sovjetunie enkele tientallen criminele groepen actief die wat ICT betreft minstens zo competent zijn als de specialisten in dienst van nationale overheden. 'Deze groepen hebben meer dan eens laten zien dat ze vrijwel elke beveiliging kunnen passeren. Financiële misdaad via internet gebeurt nu op industriële schaal', waarschuwen de onderzoekers. Het kan nog een tikje overdreven zijn.
Maar het succes van meesterkrakers zoals Jevgeni Bogatsjov stemt tot nadenken. Als de websteks van honderdduizenden bedrijven met zulk gemak worden gekraakt - waaronder grote namen, elk met een serieuze, hardwerkende IT-staf - kunnen we er dan zonder meer van blijven uitgaan dat de administratie van de bank 'tot volledig bewijs strekt' tenzij de klant zijn onschuld spijkerhard kan aantonen? Je denkt dat bankiers volmaakt efficiënte geldwolven zijn die nooit een steekje laten vallen. Maar nee, het zijn mensen. Toen de ABN Amro de cryptografische calculator e.dentifi er2 introduceerde, was het motief vooral gebruikersgemak; handmatig intoetsen van allerlei getallen moest overbodig worden, afgezien van een pincode. Daarom werd het apparaatje via usb aan de pc geknoopt.
Maar is dat veilig, vroegen Arjan Blom en zijn collega's (Radboud Universiteit Nijmegen) zich af. Ze kwamen er snel achter dat een grove fout was gemaakt bij het ontwerp van de e.dentifi er2. Criminele software kon er gemakkelijk mee aan de haal gaan en onmerkbaar betalingen doen zonder goedkeuring van de gebruiker. Alleen dankzij hun initiatief werd snel een betere versie van de e.dentifi er2 geproduceerd.
Kinderlijk eenvoudig
Er zijn veel meer voorbeelden van technische fouten. En wat te denken van twee 14-jarige jochies, die bijna per ongeluk een flappentap kraken? In juni vonden Caleb Turon en Matthew Hewlett een ATM-gebruiksaanwijzing op het web. Tijdens hun lunchpauze stapten ze naar een kantoor van de Bank van Montreal (Canada) en probeerden voor de grap om de machine wijs te maken dat ze onderhoud kwamen doen.
Natuurlijk was een pincode nodig. In de gebruiksaanwijzing stond de fabriekscode, die de gebruiker hoort te vervangen. Zoiets als de 12345 van een Nokia mobieltje. De jongens probeerden de fabriekscode - en waren binnen. Ze stapten direct naar de balie van het kantoor. 'Meneer, we hebben uw fl appentap gehackt.' 'Wat, hebben jullie iemands pincode gestolen?' 'Nee, nee, nee, we hebben 'm in de onderhoudsmodus gezet.' 'Ga die onzin maar ergens anders verkopen.' 'Is het goed als we de machine het bewijs laten drukken?' 'Je doet je best maar. Zolang je niets kapot maakt en geen klanten lastig valt.'
De kinderen lieten de ATM afdrukken hoeveel geld er nog in zat, hoe vaak er geld was opgenomen, en hoeveel kosten er in rekening waren gebracht. Dat bedrag vonden ze nogal hoog, dus 'toen vonden we een manier om het tarief te verlagen. We maakten er 1 cent van.' Tot slot veranderden ze de tekst 'Welkom bij de ATM van BMO' in 'Ga weg. Deze ATM is gehackt.' Terug naar de balie, waar ze dit keer wel serieus werden genomen.
Maar intussen hadden ze zelf een probleem: Ze waren laat voor school. Of de bank ze misschien een briefje mee kon geven? Jawel. 'Wilt u de heren Caleb Turon en Matthew Hewlett excuseren voor hun late verschijnen als gevolg van hun werkzaamheden ten behoeve van de beveiliging van BMO', begon de brief. Waar het schoolhoofd nogal van opkeek.