Russische cybercriminelen hacken geldautomaten om onbeperkt geld op te nemen

Cybercriminelen richten hun pijlen steeds vaker op geldautomaten. Door IT-systemen van banken te kraken kunnen zij onbeperkt geld opnemen bij geldautomaten, zonder dat het opgenomen geld van de gebruikte rekening wordt afgeschreven. Dezelfde rekening kan hierdoor keer op keer worden gebruikt om geldautomaten te legen.

Dit meldt Kaspersky Lab. Het Russische beveiligingsbedrijf heeft verschillende groepen geïdentificeerd die zich bezig houden met deze vorm van cybercrime. De eerste is Metel, een cybercrimegroep die probeert computersystemen van banken over te nemen. De groep richt zich hierbij op systemen die toegang bieden tot geldtransacties, zoals systemen van de klantenservice of support afdeling.

Onbeperkt geld opnemen

Eenmaal binnen kan de groep via deze systemen transacties bij geldautomaten ‘ongedaan’ maken, waardoor geld dat wordt gepind direct weer wordt teruggestort op de bankrekening. De criminelen hebben het opgenomen bedrag echter wel contant in handen. Kaspersky Lab meldt dat deze cybercriminelen in auto’s rondrijden door Russische steden om met behulp van één bankpas meerdere geldautomaten van dezelfde bank te legen. De criminelen zouden uitsluitend ’s nachts actief zijn in een poging hun activiteiten te verhullen. In totaal zou Metel al bij 30 financiële organisaties zijn aangetroffen.

Ook een tweede groepering houdt zich bezig met het stelen van banken: GCMAN. Deze groep gebruikt spear phishing en malafide RAR-bestanden die worden vermomd als Word-document om systemen van banken binnen te dringen. De groep richt zich hierbij op systemen waarmee geld kan worden overgeschreven naar andere online betalingsdiensten.

Langzaam en voorzichtig te werk gaan

De groep kiest er bewust voor langzaam en voorzichtig te werk te gaan om veiligheidssystemen niet te laten afgaan. Zo zou de groep in één hack maar liefst 18 maanden hebben uitgetrokken om een bank binnen te dringen. Eenmaal binnen lieten zij iedere minuut geautomatiseerd een betaling van 200 dollar verrichten naar de rekening van een zogenaamde ‘geldezel’, iemand die tegen betaling zijn bankrekening afstaat aan cybercriminelen. Deze kleine betalingen blijken in de praktijk niet te worden geregistreerd op de systemen van banken en hierdoor alarmsystemen niet af te laten gaan. Kaspersky wijst erop dat in Rusland 200 dollar de limiet is voor betalingen die anoniem gedaan kunnen worden. Het beveiligingsbedrijf speculeert dat dit de reden is dan de transacties niet worden geregistreerd.

Ook wijst Kaspersky Lab op Carbanak, een campagne waarmee cybercriminelen in 2015 ruim een miljard dollar wisten te stelen van 100 verschillende financiële instellingen wereldwijd. In 2015 werd over de groep gepubliceerd, waarna de cybercriminelen hun activiteiten gestaakt leken te hebben. In september doken echter toch weer exemplaren van Carbanak op, waarna vier maanden later de malware werd aangetroffen bij een telecombedrijf en een financiële instelling. Kaspersky stelt dan ook dat de groep zijn werkwijze heeft gewijzigd. De malware zou vandaag de dag ook steeds vaker worden ingezet om budgetterings- en accountancybureau’s aan te vallen.