Test

Dit is een popup

De topics cloud & hosting worden gesponsord door

Cybercriminelen verkassen naar de cloud

In de zakenwereld is de ‘cloud’ al een tijdje een hype, maar nu beginnen ook cybercriminelen de voordelen te gebruiken van het hosten op andermans servers.

Beveiligingsbedrijf McAfee kwam een reeks geraffineerde aanvallen op het spoor, waarbij rijk gevulde bankrekeningen leeggeplunderd werden via geautomatiseerde overschrijvingen.

De aanvallen startten met een phishingmail, waarbij de afzender zich voordeed als een bankmedewerker en de ontvanger vroeg zijn wachtwoord van internetbankieren te veranderen via een (besmette) link. Vervolgens werd de notoire SpyEye/Zeus-trojan gedownload.

Tot zover niets nieuws, maar het vervolg van de aanvallen heeft McAfee nog niet eerder gezien. Wanneer een slachtoffer inlogde bij zijn internetbankieren, toonde de malware een niet van echt te onderscheiden interface en speelde de loginggegevens door naar een geprepareerde server. Terwijl een overschrijving werd gedaan, sluisde de aanvaller op de achtergrond grote bedragen weg naar geprepareerde rekeningen.

Omdat de malware alleen logingegevens doorspeelt en de servers al het andere werk doen, kon de betrokken bende de diefstal vrijwel geheel automatiseren. “De server is het brein en verricht alle transacties binnenin de bankrekening”, zegt Brian Contos van McAfee. De bende wist in veel gevallen de twee-factor authenticatie te omzeilen die veel Europese banken ter beveiliging gebruiken.

“De criminelen hoeven niets te wijzigen aan de gebruikerskant. Er is nog steeds wel malware op de machine van het slachtoffer, maar die is veel kleiner en minder intelligent zijn dan in het verleden”, vult Contos aan.

Domme handlanger
Volgens de analist maakt dit de aanval veel flexibeler en schaalbaar en loopt de bankierstrojan  tegelijk minder kans om gesnapt te worden door beveiligingssoftware. Het hoeft immers veel minder handelingen te verrichten dan voorheen en hoeft niet voortdurend contact te zoeken met zijn meester voor updates en instructies.

“De servers verblijven bij ISP’s die speciaal zijn ingesteld voor het plegen van fraude”, beweert Contos. Deze ‘kogelvrije’ providers verhuizen regelmatig van adres om ontdekking te voorkomen. McAfee wist samen met Guardian Analytics dat de servers, ruim zestig in totaal, te achterhalen dat de "roofservers" in Oost-Europse landen staan.

McAfee ziet in de aanval de toekomst van cybercriminaliteit. Net als legitieme online ondernemingen verhuizen zij naar de cloud om tijd en middelen uit te sparen. Zodra malware eenmaal op de pc staat, kunnen zij die computers voor verschillende operaties te gebruiken dankzij de flexibele serverstructuur.

In de zakenwereld is de ‘cloud’ al een tijdje een hype, maar nu beginnen ook cybercriminelen de voordelen te gebruiken van het hosten op andermans servers.

Beveiligingsbedrijf McAfee kwam een reeks geraffineerde aanvallen op het spoor, waarbij rijk gevulde bankrekeningen leeggeplunderd werden via geautomatiseerde overschrijvingen.

De aanvallen startten met een phishingmail, waarbij de afzender zich voordeed als een bankmedewerker en de ontvanger vroeg zijn wachtwoord van internetbankieren te veranderen via een (besmette) link. Vervolgens werd de notoire SpyEye/Zeus-trojan gedownload.

Tot zover niets nieuws, maar het vervolg van de aanvallen heeft McAfee nog niet eerder gezien. Wanneer een slachtoffer inlogde bij zijn internetbankieren, toonde de malware een niet van echt te onderscheiden interface en speelde de loginggegevens door naar een geprepareerde server. Terwijl een overschrijving werd gedaan, sluisde de aanvaller op de achtergrond grote bedragen weg naar geprepareerde rekeningen.

Omdat de malware alleen logingegevens doorspeelt en de servers al het andere werk doen, kon de betrokken bende de diefstal vrijwel geheel automatiseren. “De server is het brein en verricht alle transacties binnenin de bankrekening”, zegt Brian Contos van McAfee. De bende wist in veel gevallen de twee-factor authenticatie te omzeilen die veel Europese banken ter beveiliging gebruiken.

“De criminelen hoeven niets te wijzigen aan de gebruikerskant. Er is nog steeds wel malware op de machine van het slachtoffer, maar die is veel kleiner en minder intelligent zijn dan in het verleden”, vult Contos aan.

Domme handlanger
Volgens de analist maakt dit de aanval veel flexibeler en schaalbaar en loopt de bankierstrojan  tegelijk minder kans om gesnapt te worden door beveiligingssoftware. Het hoeft immers veel minder handelingen te verrichten dan voorheen en hoeft niet voortdurend contact te zoeken met zijn meester voor updates en instructies.

“De servers verblijven bij ISP’s die speciaal zijn ingesteld voor het plegen van fraude”, beweert Contos. Deze ‘kogelvrije’ providers verhuizen regelmatig van adres om ontdekking te voorkomen. McAfee wist samen met Guardian Analytics dat de servers, ruim zestig in totaal, te achterhalen dat de "roofservers" in Oost-Europse landen staan.

McAfee ziet in de aanval de toekomst van cybercriminaliteit. Net als legitieme online ondernemingen verhuizen zij naar de cloud om tijd en middelen uit te sparen. Zodra malware eenmaal op de pc staat, kunnen zij die computers voor verschillende operaties te gebruiken dankzij de flexibele serverstructuur.

clouddiefstalinternetbankierenkogelvrijmalwarenieuwsserverspyeyezeus

De topics cloud & hosting worden gesponsord door

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!