Winkelmand

Geen producten in de winkelwagen.

Hier vindt de strijd tegen internetfraude plaats

Meekijken met de strijd tegen internet­fraude in Tel Aviv. 'Wij moeten altijd slimmer zijn dan de fraudeur.'

Het is warm in Herzliya, een van de betere buitenwijken van Tel Aviv. De schaarse planten in de stad doen zich tegoed aan het regenwater dat een avond eerder is gevallen. Spoedig zal de middagzon alles wat groen is verbranden en wordt het land weer wat het de meeste maanden van het jaar is: een woestijn. Maar hoe droger de aarde, hoe drukker het wordt in het zenuwcentrum van IT-beveiligingsbedrijf RSA. Juist in de zomer zijn internetfraudeurs wereldwijd actiever dan ooit. Juni is traditioneel de drukste maand van het jaar in het zogeheten Anti-Fraude Commando Centrum, dat de digitale kluizen bewaakt van vooral Westerse banken en financiële instellingen. In veel landen bulken de spaarrekeningen van consumenten die maand van het vakantiegeld. Criminelen, de meesten werkzaam vanuit Rusland of China, proberen daar een online graai naar te doen. Vorig jaar telde het centrum op een gemiddelde junidag meer dan 200 gelijktijdige pogingen om fraude te plegen bij de klanten, zegt Daniël Cohen. Hij is verantwoordelijk voor de securitydivisie van moederbedrijf EMC: ‘Zo druk hebben we het nog niet eerder gezien.’

Maffia of opstandige puber?

CYBERCRIME EN HET LEGER

Dat de security-industrie in Israël belangrijk is, heeft te maken met het traditioneel grote defensieapparaat aldaar. Een op de drie werknemers van IT-beveiligingsbedrijf RSA heeft een achtergrond in het leger – de meest gespecialiseerde van hen zijn geplukt uit de cyber intelligence-eenheid van Israëls defensiekrachten: Sjmone-Mataim, ofwel: ‘Legereenheid 8200’. Deze eenheid houdt zich bezig met cyberwarfare tegen aangrenzende en verder weg gelegen buurstaten, is buitengewoon vruchtbare grond voor Israëls hightechsector. De oprichter van het centrum in Herzliya, dat vroeger Cyota heette, is zelf een product van de elite-spionage-eenheid Sayeret Matkal van het leger: Naftali Bennett verkocht Cyota in 2005 voor 165 miljoen dollar aan RSA en is sindsdien miljonair. Sinds begin dit jaar is Bennett bovendien minister van Economische Zaken
in Israël.

Fraude is een steeds groter probleem op internet. Officieel zou in Nederland 7,4 miljoen euro aan phishingfraude verloren zijn gegaan in 2012. Genoeg voor een 7de plaats op de door RSA opgestelde wereldranglijst. Het is maar een fractie van de totale fraude die banken treft. Dergelijke fraude via nepmails gaat gelijk op met andere vormen van online misdaad: DDos-aanvallen die de servers ontwrichten, inbraak in de data-archieven en ordinaire bedrijfsspionage door het hacken van accounts van werknemers. De georganiseerde online misdaad meet zich soms het imago aan van een opstandige puber of van een regelrechte maffia-organisatie. ‘Maar meestal zijn het ordinaire gauw­dieven’, zegt Limor Kessem van RSA: ‘En een dief is alleen geïnteresseerd in wat hem snel geld oplevert. Op internet is dat informatie.’ Alle informatie, van je creditcardnummer tot je meisjesnaam, het wachtwoord van je DigID tot je vluchtgegevens bij KLM, kan tegen je worden gebruikt. Het verschil met de zakkenroller op straat is dat het online dievengilde er steeds beter in slaagt zich te organiseren.

Koude oorlog

RSA in Tel Aviv is een van de vele IT-beveiligingsbedrijven die zich daartegen probeert te wapenen. Cohen toont het Commandocentrum van het bedrijf; een ruimte met de naam van een heuse war room uit de Koude Oorlog, maar in werkelijkheid meer wegheeft van een bescheiden dealingroom. In de zaal zitten vandaag tientallen jonge Israëli’s naar hun beeldschermen te turen. Aan de grote wand voor hen hangen vier grote schermen met daarop de aanvalsscore van de dag (78) en een permanent overzicht van de klanten waarop hackers op datzelfde moment hun aanvallen richten. Daaronder ook enkele Nederlandse banken, namen noemen is verboden. Op een verhoging naast hen houdt een supervisor toezicht over zijn team fraudebestrijders. Iedere werknemer heeft twee beeldschermen op zijn bureau, verbonden met elk een andere computer. De één laat zich bewust infiltreren en misbruiken door phishingmails en malware van hackers. De onbesmette computer daarnaast probeert in stilte een directe tegenaanval uit te voeren.

De strijd tegen internetfraude in Tel Aviv

Massa is kassa

Dat werkt zo. Elke hacker die een argeloze klant erin wil luizen, zal proberen contact te leggen. Fraudeurs die in grote volumes denken, maken daarvoor gebruik van phishing. Ze sturen een nepmail namens een bank naar zoveel mogelijk adressen met de oproep tot inloggen op hun online account. Als reden wordt bijvoorbeeld aangevoerd dat er ongeregeldheden met hun bankrekening zijn opgemerkt. In de mail zitten vaak besmette attachments of hyperlinks naar websites die lijken op die van de bank. Maar in werkelijkheid spelen ze alle data naar de fraudeur door.

Standaard Chinees

Van elke phishingmail die bij het commandocentrum binnenkomt, trekken de fraudebestrijders de attachments en URL’s na, om niet alleen de route naar de werkelijke fraudeur te achterhalen, maar vooral om de nepsites zo snel mogelijk uit de lucht te trekken. De eigenaar van de nepsite, meestal een niets-vermoedend bedrijf of privépersoon, wordt gebeld met de vraag de site direct te blokkeren. Indien nodig stuurt RSA vanaf de onbesmette terminals juridische documenten die standaard in het Russisch of Chinees zijn vertaald. Zo moet een nepsite binnen enkele uren zijn afgesloten. RSA claimt gemiddeld 6 uur nodig te hebben om een nepsite te sluiten, na een tip over een phishingmail. Dat is 4 tot 5 uur sneller dan het mondiale gemiddelde.

Sneller en sneller

In de uren dat de site online staat, slaan fraudeurs hun slag. Zo rekent Cohen voor dat elk uur dat een dergelijke nepsite online staat, het de bank gemiddeld 300 dollar kost. Let wel: dit zijn de kosten van de bank. In landen waar de consument gedeeltelijk of volledig voor het verdwijnen van zijn tegoeden opdraait zoals Latijns-Amerikaanse landen, China of Rusland, ligt de schade veel hoger. De wereldwijde buit van hackers groeit exponentieel. Ter illustratie: in 2012 monitorde RSA in 2012 zo’n 250.000 phishingaanvallen. In de zeven jaren tussen 2005 en 2011 telde RSA er 500.000. Juni vorig jaar registreerde het commandocentrum gemiddeld 1 nieuwe aanval per minuut. Cohen: ‘De fraudeurs winnen aan snelheid.’

Marktplaats voor fraudeurs

Er is dan ook een heuse online fraude markt ontstaan, met marktplaatsen waar online fraudeurs hun gehackte ‘waren’ tegen steeds lagere prijzen aanbieden. Zo doet een creditcard op een gemiddelde marktplaats tussen 2 en 5 dollar, waarbij je bij wijze van extra service gratis gegevens van de eigenaar krijgt. Een garantie dat de card geblokkeerd is, is er niet, maar dat bedrijfsrisico zit bij de prijs inbegrepen. Extra diensten tegen een marge op de buit, om de gekochte creditcardgegevens in opdracht te hacken, zijn op de fora ruim voor-radig. Omdat bedrijven extra checkpoints met nog een mechaniek ter verificatie optuigen, moeten ook hackers steeds allrounder zijn om hun buit binnen te slepen. Daarom organiseren hackers zich steeds beter. Net als een ambitieuze ondernemer denken internetfraudeurs in grote volumes. Van dergelijke marktplaatsen zijn er dan ook honderden.

Cybercrime-as-a-service

Daaromheen is een dienstverlening ontstaan van drukkers van goud-, zilver- of zwartgekleurde plastic gekopieerde creditcards, compleet met UV-protectie, hologrammen en embossing. Ook ontstaan callcenterdiensten van vloeiend Nederlands sprekende fraudeurs die argeloze klanten rechtstreeks bellen om ze hun pincode te ontfutselen. Het gevolg: een bloeiende internationale Cybercrime-as-a-Service-markt. Limor Kessem: ‘Fraude is een diensten-economie geworden. Expertise die hackers zelf niet beheersen, kunnen ze inkopen. De rest doen ze zelf.’

Bonafide fraudeurs

Idan Aharoni is het prominentste wapen van RSA tegen de georganiseerde online-misdaad. Hij richtte in 2005 het Cyber Intelligence Lab op, de contraspionage-eenheid van het bedrijf. Daarin struint een dozijn medewerkers niet alleen de hackersfora af, maar legt ook contact met fraudeurs in de steeds populairder afgesloten chatrooms. Aharoni benadrukt dat online gangs oprollen niet zijn doel is. ‘We willen de bron opdrogen en de cash-out stoppen.’ Dat doet zijn team door zich te mengen in chatrooms waar fraudeurs hun buit delen, hun diensten aanbieden en vooral onderlinge dealtjes sluiten. De fraudeurs weten dat. Zij tuigen sinds vorig jaar massaal gesloten fora en chatrooms op, waar hackers pas toegang toe krijgen als ze zich als ‘bonafide’ fraudeur hebben bewezen. Aharoni: ‘Een administrator vraagt nieuwe leden enkele gestolen creditcards gratis in te brengen of om een nieuwe card te kraken voor hij je toelaat.’

Geheim

Of Aharoni en zijn team zelf de wet wel eens hebben overtreden? ‘Mijn methoden zijn natuurlijk geheim, maar je kunt je voorstellen dat wij met ons klantenbestand van banken de wet niet hoeven te overtreden om ons werk te kunnen doen.’ Hoe zijn team dan toch criminele transacties kan ontwrichten, is het geheim van het Cyber Intelligence Lab. Aharoni wil alleen kwijt ‘technieken van social engineering’ te beheersen ‘om de hacker te laten doen wat wij willen dat hij doet. Wij moeten altijd slimmer zijn dan de fraudeur.’

Reputatie

Op Aharoni’s bureaublad staat een twintigtal vensters open met discussies op fraudefora. Op het scherm zijn van elke hacker in een eigen kleur de berichten gemarkeerd. Zo zegt een gebruiker in gebrekkig Engels: ‘im good wu my share is only 20%’, waarbij ‘wu’ staat voor de betalingsmethode, Western Union. Een ander reageert: ‘i dont trust Pakistans ppl’, waarop een gebruiker, die zich aangesproken voelt, weer reageert dat Amerikanen onbetrouwbaar zijn. Wie op de fora tussen het onderlinge wantrouwen en de angst voor ontmaskering door leest, valt het op hoe zakelijk gebruikers communiceren. Alles is gericht op een deal, een snelle, zakelijke onderhandeling die wordt beklonken met een online handjeklap. Kessem: ‘Fraudeurs vestigen een zekere reputatie in hun carrière als crimineel. Soms zeggen ze bijvoorbeeld: “Ik heb al tien jaar ervaring in de markt.” Alsof het een net beroep is en niet om ordinaire misdaad gaat.’

Trojans

Maar volgens zowel Aharoni als Kessem zijn de gauwdieven niet de grootste dreiging van de internet­industrie. Kessem: ‘De echt sluwe criminelen opereren in stilte. Die doen niet aan borstklopperij, hebben niet de neiging zichzelf als het alfamannetje van een forum te presenteren. De grootste dreiging gaat uit van trojans.’ Een trojan is een programma dat een hacker ongezien op je pc installeert en vervolgens als een ware spion in de krochten van je operating system al je handelingen meeleest. De trojan registreert de wachtwoorden die je intypt, scant je e-mail op bruikbare informatie en is erbij als je inlogt op je bankrekening. Op het laatste moment waarschuwen trojans vanaf jouw computer hun meester – een hacker in Rusland, China of elders – via een sms’je. Die kan jouw computer in stilte doorleiden naar een nepwebsite, waar je gevraagd wordt je pincode en pasnummer in te vullen. De sleutel tot je complete bankrekening.

Dagelijks de nieuwsbrief van Management & Leiderschap ontvangen?



Door je in te schrijven ga je akkoord met de algemene en privacyvoorwaarden.

500 uit 500

Het is deze fraude waar de financiële sector zijn grootste problemen kent. Steeds vaker ontdekken organisaties spyware (software
Dit artikel is afkomstig uit de printeditie van MT. Vraag een abonnement aan.
die informatie aftapt) of malware (software die beschadigd) die al jaren in hun netwerk huist. Saillant voorbeeld: begin dit jaar werd het virus Red October ontdekt in overheids­netwerken in 69 landen. Het kon vijf jaar lang in stilte staatsgeheimen meelezen. Zolang de malware niets verdachts uitvoert, zal anti-virussoftware het ook niet ontmaskeren. Mikko Hypponen, Fins onderzoeker van beveiligingsbedrijf F-Secure, antwoordde vorig jaar op de vraag hoeveel van de 500 grootste multinationals ter wereld door malware waren geïnfecteerd: ‘Alle 500’. 

Kinderspel

Het internet maakt toegang tot bedrijfsgegevens kinderspel. En traditionele beveiligingsmiddelen zijn achterhaald. Daniël Cohen: ‘Virus­bescherming loopt altijd achter de feiten aan. Elke maand neemt het aantal in omloop zijnde virussen toe.’ Cohen bepleit dan ook een offensief tegen spyware. ‘Als je al het eigen dataverkeer leert analyseren, kun je verdachte transacties eruit lichten.’ Toch is hij pessimistisch over de toekomst: ‘Ik weet niet in wat voor wereld wij straks zullen leven. Maar de bedreiging van cybercriminaliteit is here to stay.’

Lees ook: