Het SSL-encryptieprotocol dat de Belgische financiële instellingen gebruiken om communicatie met klanten te beveiligen, is niet zelden ver beneden peil. Dat ontdekte de Belgische securityblogger Yeri Tiete enkele weken geleden. Het gevaar is volgens hem reëel dat hackers meelezen of sessies kapen. ING kwam als één van de slechtste uit de bus, Rabobank en Triodos scoorden goed. Een aantal Belgische banken heeft hun leven inmiddels gebeterd.
Het nieuws komt tegelijk met het bericht dat Interpol, Europol en autoriteiten in verschillende landen hun krachten gebundeld hebben om het criminele netwerk Carbanak op te rollen. Het netwerk blijkt jarenlang verantwoordelijk geweest te zijn voor een enorme cyberbankroof waarbij rechtstreeks geld werd overgemaakt naar de criminele bankrekeningen. In twee jaar tijd wist de organisatie rond één miljard dollar te stelen van zo’n honderd financiële instellingen wereldwijd.
Volgens de met de autoriteiten samenwerkende Kaspersky Labs is het verbazingwekkend aan deze bankroven dat het niet uitmaakte welke software de banken gebruikten. Elke aanval begon met ‘spear phishing’ op één van de medewerkers, en het installeren van malware. De hackers baanden via de malware een weg naar het interne netwerk van de beheerders voor videobewaking en konden zo precies zien wat werknemers die overdracht van kasgeld onderhielden, deden. Ze konden zo alle werkpatronen van de bankmedewerkers tot in detail vastleggen en nabootsen en werden grote sommen kasgeld naar buiten gesluisd.
Banken moeten dus op hun hoede blijven, maar lijken dat, mede gezien de ontdekking van Yeri Tiete, niet of nauwelijks te zijn.
Grote boosdoener is volgens de Belgische blogger het niet op tijd installeren van bugfixes en updates van SSL-encryptie (https met een gesloten hangslotje). Hackers kunnen dan probleemloos communicatiesessies tussen bank en klant meelezen, sessies kapen én naar hartenlust data aanpassen.
