Beheer

Security
Gehackt

Hack berooft bankklanten online

Hack van online-systemen Braziliaanse bank is waarschuwing dat bedrijven hun adressen in het Domain Name System beter moeten beveiligen.

© Pixab,  Geralt
11 april 2017

Hack van online-systemen Braziliaanse bank is waarschuwing dat bedrijven hun adressen in het Domain Name System beter moeten beveiligen.

Het is de ultieme 21e eeuwse variant van een bankoverval. Niks riskant gedoe met wapens in een bankfiliaal, vluchtauto's en het risico op een achtervolging door de politie. Je neemt gewoon de hele bank over via een hack. Of althans, dat deel dat de zaken online afhandelt.

Nog onbekende hackers sloegen op 22 november vorig jaar toe bij een Braziliaanse bank. Die bank raakte 5 tot 6 uur de controle over zijn systemen met internetconnectie volledig kwijt. Details van deze roofoverval werden onlangs vrijgegeven door medewerkers van Kaspersky Labs op zijn Security Analyst Summit.

De overvallers hadden het grondig aangepakt. Kaspersky Lab schat dat ze daar een maand of 6 mee bezig zijn geweest. In die tijd bouwden ze de systemen van de bank zeer precies na op Google Cloud. Het enige dat de bankklanten had kunnen waarschuwen was, dat hun banksystemen beter presteerden dan gebruikelijk. De overvallers maakten niet de fout om zelf alarm uit te lokken met een trage of ondermaatse website.

De cybercriminelen zorgden ook voor de nodige tooling. De bank in kwestie gebruikte bijvoorbeeld Trusteer - hier in Nederland ook in gebruik bij ING - om de communicatie tussen klant en bank te beveiligen. De criminelen zorgden voor een zogeheten .JAR-bestand dat zich voordeed als update van Trusteer om die bescherming buiten werking te stellen. Dat .JAR-bestand lanceerde vervolgens Avenger - een penetratietesttool - om de eventueel op de pc van de bankierende klant aanwezige beveiligingssoftware uit te schakelen.

Adressen in DNS, het adresboek van internet, gekaapt

Het klapstuk van de hack was echter de wijziging van de DNS-inschrijvingen van de bank bij Registro.br. Hoe dat precies lukte, is onduidelijk. NIC.br, dat eigenaar is van deze registrar, weerspreekt in ieder geval dat zijn systemen gehackt zijn. Mogelijk hebben de aanvallers de benodigde gegevens via phishing verzameld, of door het onderscheppen van e-mailverkeer, maar het bewijs daarvoor ontbreekt. Duidelijk is wel dat de hackers met die gegevens in staat waren  om 6 maanden voor de roofoverval certificaten te bemachtigen bij Lets Encrypt, dat gebruik van https-verbindingen stimuleert met de gratis certificaten; zelfs het slotje dat aangeeft dat de verbinding via https verloopt, ontbrak dus niet.

Op 22 oktober vorig jaar was het dus zo ver. De dieven namen om 1 uur 's middags alle 36 online-systemen van de bank over. Dat ging niet alleen om de websites voor online en mobiel bankieren, maar ook om de gelduitgifte-automaten, de betaalterminals en zelfs de e-mail- en ftp-servers. Daardoor kon de bank, toen deze in de gaten kreeg dat er wat mis was, zijn klanten niet eens waarschuwen. Medewerkers van de bank konden zelfs niet eens met elkaar communiceren via de systemen van de bank.

Omvang van de schade nog onduidelijk

De precieze omvang van de schade is niet gemeld. Duidelijk is wel dat de overvallers inloggegevens van bankklanten hebben buitgemaakt die inlogden in de periode dat ze betalingen deden. Ook verzamelden ze kaartgegevens van klanten die van de geldautomaten en betaalterminals gebruikmaakten. Daarnaast plaatsten de cybercriminelen malware op de systemen van klanten die online bankierden terwijl ze de systemen onder controle hadden. Die ging onder andere op zoek naar inloggegevens op de besmette systemen bij andere klanten en contactgegevens in Outlook en Exchange.

De naam van de bank is niet genoemd, maar het gaat niet om een kleintje. De bank zou honderden kantoren hebben, waarvan een aantal in de VS en de Kaaiman Eilanden; ze zou ruim 27 miljard dollar onder beheer hebben. Van zo'n bank mag je beter verwachten. Maar ze had nagelaten een drietal niet bijzonder ingewikkelde maatregelen te nemen die zo'n domeinroof voorkomen. Ze had er voor kunnen kiezen zijn DNS-inschrijvingen te beveiligen met two-factor authenticatie. In dat geval hadden medewerkers van de bank in ieder geval een waarschuwing gekregen dat er wijzigingen aangebracht werden in het internetadres. De bank had zijn domeinen ook kunnen beveiligen met DNSSEC. De security extensions op het adresboek van internet maken het een stuk lastiger om daarmee te rommelen.

Waarom de Braziliaanse bank dat niet gedaan heeft, is onduidelijk. Maar feit is dat adoptie van bijvoorbeeld DNSSEC traag verloopt. Nederland zit hier in de voorhoede, met een beveiligingsniveau van 46 procent van de adressen in het .nl-domein. Maar ook hier is maar 6 procent van de domeinnamen die banken in beheer hebben, beveiligd met DNSSEC.

Meer over de mogelijke maatregelen om internet veiliger te maken en de adoptie ervan lees je in AG Connect nr. 3 van 2017, die 13 april verschijnt.

Lees meer over
Zie ook Beheer op AG Connect Intelligence
3
Reacties
Evgeny 13 april 2017 16:21

Wel een grappig verhaal. )) Beveiligingsbedrijven moeten juist zulke mensen in dienst nemen. ;)

Reactie toevoegen