Nederlandse banken zijn de dupe geworden van een poging door cybercriminelen om zeker 35,6 miljoen euro weg te sluizen van zakelijke rekeningen. Hierbij maakten zij gebruik van vernieuwde en geautomatiseerde technieken, waarmee een nog onbekend bedrag daadwerkelijk is gestolen. Minister Opstelten kondigt onderzoek aan.

Dat blijkt uit een onderzoek van beveiligingsbedrijf McAfee en Guardian Analytics. Naast Nederland zijn ook banken in andere Europese landen, de Verenigde Staten en Latijns-Amerika getroffen, waarbij cybercriminelen minstens 60 miljoen euro aan frauduleuze afschrijvingen probeerden weg te sluizen.

Bij de aanval werd door de internetcriminelen gebruik gemaakt van bestaande trojans zoals SpyEye en Zeus, met de toevoeging van nieuwe servercomponenten en verregaande automatisering. Dit betekent dat tussenkomst van handmatige handelingen onnodig werd en fysieke chip- en pinauthenticaties omzeild kunnen worden. Denk hierbij aan bijvoorbeeld de random reader van de Rabobank en de TAN-codes bij de ING.

Volgens McAfee hebben de criminelen in Nederland geprobeerd 35,6 miljoen euro van ongeveer 5000 rekeningen te stelen. Het ging hierbij voornamelijk om zakelijke rekeningen en de transacties hadden een gemiddelde waarde van 1923 euro. Twee banken zouden hierbij slachtoffer zijn geworden, welke dit zijn is niet bekendgemaakt. Ondanks dat de banken een deel van deze transacties tegen hebben kunnen houden, stelt McAfee dat er sowieso geld is buitgemaakt.

De aanval kwam aan het licht doordat de criminelen niet secuur genoeg omgingen met de gegevens die werden buitgemaakt. Deze stonden extern opgeslagen, waardoor slachtoffers aan de hand van logs over transacties geïdentificeerd konden worden. Waar de aanvallers vandaan komen is niet bekend, wel is duidelijk dat de servers die bij de aanval zijn ingezet in de Verenigde Staten stond.

Minister Opstelten heeft dinsdag aangekondigd dat er onderzoek wordt gedaan naar de fraude. "Deze informatie is vanmorgen in Nederland direct opgepakt, ook door het samenwerkingsverband van de Nederlandse politie, het Openbaar Ministerie, de Nederlandsche Bank en de banken, de zogenaamde Electronic Crimes Taskforce", aldus Opstelten. In eerste instantie zal het KLPD de zaak onderzoeken, het Openbaar Ministerie zal in actie komen zodra een strafrechtelijk onderzoek benodigd is.