Digitale bankroof vaak kinderspel voor cybercriminelen
’Naïeve veiligheid bij banken’
4 uur geleden Ruben Eg
AMSTERDAM - Met de huidige computersystemen en controleprocessen is een digitale bankroof bijna kinderspel voor alle ingenieuze cybercriminelen. Het is ’hopen op het beste en voorbereiden op het ergste’, constateren hackers.
Jérôme Kerviel was op de handelsvloer van Société Générale niet bepaald een hoogvlieger. Maar de kennis van het computer- én controlesysteem van de Franse bank kwam goed van pas toen de administratief medewerker het als effectenhandelaar mocht proberen. Kerviel ging voor hoge bedragen long op de financiële markten, zonder die verplicht af te dekken met tegenovergestelde posities. Hij ging ongestoord zijn gang door lage nepbedragen in te boeken om na de controle de juiste in te voeren. „Het was verslavend”, verklaarde Kerviel tijdens zijn proces over de €50 miljard waarmee hij aan het gokken was. Hij viel pas door de mand toen de beurzen in 2008 kelderden en Société Générale voor €4,9 miljard het schip in ging.
Een bank die zijn eigen ‘Kerviel’ denkt te voorkomen met de verhuizing van papier en persoonlijke controle naar volledig geautomatiseerde computersystemen is naïef bezig, stelt de Franse hacker en beveiligingsexpert Ayoub Elaassal. „Hoe meer je automatiseert, hoe groter de kans dat iemand het systeem weet te manipuleren. Het gaat niet alleen om computerkennis. Bij te veel bevoegdheden voor één persoon is manipulatie al eenvoudig.”
Elaassal ziet in de praktijk dat de beveiliging van banksystemen vooral is gericht op aanvallen van buiten door cybercriminelen, terwijl het grootste en meest logische risico in zijn ogen van binnenuit komt. Hij vindt dat een beveiligingsmuur net zo sterk is als de interne controleprocessen: „Als iemand bijvoorbeeld toegang heeft of zichzelf toegang kan verschaffen tot zowel het controleren als valideren van geldtransfers, dan is het kinderlijk eenvoudig om miljoenen weg te sluizen. Precies wat Kerviel bij Société Générale deed, maar dan nóg geraffineerder.”
Op het vorige maand in Amsterdam gehouden hackersevenement Hack In The Box toonde Elaassal hoe hij zich bij een bank toegang kan verschaffen tot een centraal computersysteem, een mainframe, om zo financiële transacties naar zijn hand te zetten. De Poolse hacker Slawomir Jasek van het beveiligingsbedrijf SecuRing liet zien hoe relatief simpel het is om betaalapplicaties van banken en Google Pay te klonen op smartphones met het Android-besturingssysteem. Zo zou hij op een andere telefoon mobiele betalingen met rekeningen van anderen kunnen verrichten, zelfs zonder pincode.
Banken zijn volgend jaar, als de nieuwe Europese bankenwet PSD2 van kracht is, verplicht om apps van andere bedrijven toegang te geven tot bankrekeningen van klanten die daar specifiek toestemming voor geven. Jasek: „Ik ken ongelooflijk veel start-ups die niet kunnen wachten om apps voor betalen en bankieren te lanceren. Als ik die jonge ontwikkelaars vraag naar de veiligheidschecks in hun apps, dan fronzen ze vaak de wenkbrauwen.”
De belangrijkste beveiliging is volgens de twee het goed op orde hebben van controleprocessen. Elaassal: „De beveiliging van een bank moet je vergelijken met die van een luchthaven, waar talloze in- en uitgangen zijn. Je voorkomt dat iemand er eenvoudig in komt. En als dat toch gebeurt, dan is het zéér belangrijk om verdachte zaken snel op te merken en te isoleren. Systemen die niets met elkaar te maken hebben moet je van elkaar loskoppelen, zodat het niet mogelijk is om bij een hack toegang tot alles te krijgen. Maar het grootste gevaar is een bankmedewerker die toegang heeft tot alles. Dat is echt vragen om problemen.”
Dergelijke veiligheidsrisico’s ziet ook Jasek als hij in opdracht van banken nieuwe apps voor digitaal bankieren test. De oplossing is volgens hem simpel: „Focus niet alleen op de beveiliging van de app, maar ook op zwakke plekken in de controleprocessen. Kijk bij het ontwerpen niet alleen naar apps als gebruiker, maar ook als hacker. Een beveiligde sleutel is uiteindelijk altijd te hacken of zelfs gewoon simpel te omzeilen. Het gaat erom dat je opmerkt dat dit is gebeurd.”
Met alleen al ‘slimme JavaScripten’ is zoiets volgens Jasek al te herkennen: „Bijvoorbeeld als een klant opeens bankiert met een oudere versie van Android. Dat is een signaal dat de app op een andere telefoon staat. Of als een Nederlandse klant opeens de taal van de app omzet naar Engels en vervolgens betalingen gaat verrichten. Ook dan kun je vermoeden dat een hacker, doorgaans uit het buitenland, bezig is. Zulke kleine, verdachte veranderingen zijn eenvoudig op te merken. Door de opdracht te blokkeren en bij de klant navraag te doen, is fraude te voorkomen.”
Toch benadrukt Elaassal dat paniek onder consumenten nu nog niet nodig is: „Ik heb het ergste gezien, maar heb ook gewoon een bankrekening. Het depositogarantiestelsel zorgt er altijd voor dat je je geld terugkrijgt.” Datzelfde zegt Jasek over mobiel en contactloos betalen: „Ja: het is mogelijk betaalapps te hacken. Maar nu is dit voor cybercriminelen nog niet interessant. Het is nog veel lucratiever om bijvoorbeeld telefoons te gijzelen via malware en losgeld vragen. Maar hoe meer mensen met hun mobiele telefoon gaan betalen, des te interessanter het voor criminelen wordt.”