Spelfout verraadt bankhack van 1 miljard dollar
De centrale bank in Bangladesh is miljoenen kwijt nadat hackers valse overschrijvingen, onder meer via het Belgische SWIFT, hadden opgezet. Maar de schade kon veel erger zijn zonder een wel zeer flauwe vergissing.
Hackers slaagden er in om geld van de centrale bank in Bangladesh, dat wordt bewaard bij de Federal Reserve Bank in New York, over te schrijven rekeningen in andere landen. Bij 4 van die overschijvingen werd er voor 81 miljoen dollar gestolen.
Maar het kon nog erger: bij de 5e overschrijving, die zogezegd naar een NGO zou gaan, schreven de hackers ‘fandation’ in plaats van ‘foundation’. Dat zorgde voor een trigger waarbij een routineonderzoek werd opgestart die het misbruik blootlegde. In totaal waren er enkele tientallen overschrijvingen gepland, goed voor een totaalbedrag van een miljard dollar.
Swift & Deutsche Bank
Hoewel het ergste is voorkomen, blijft het wel opmerkelijk dat de overschrijvingen in eerste instantie wel gewoon werden aanvaard. Bangladesh wijst volgens Reuters naar de Federal Reserve omdat die inging op het verzoek. Maar die zegt op zijn beurt dat de eigen systemen niet gecompromitteerd zijn.
Het verhaal krijgt ook een Belgisch/Duits kantje: zo werden de transacties gedaan en gecontroleerd door het Belgische SWIFT, dat zich toelegt op dergelijke internationale transacties. Het probleem werd opgemerkt bij Deutsche Bank, dat de transactie begeleidde. Tegenover Reuters geven beide bedrijven geen commentaar.
Mogelijk kan het zijn dat hackers naast inloggegevens ook de werking van de bank hebben bestudeerd, met specifieke aandacht voor de processen bij een overschrijving. Maar vaak zijn dergelijke systemen ook beveiligd met tijdelijk gegenereerde wachtwoorden (zoals de cijfercodes op de digipass bij internetbankieren). De criminelen zijn dus zeer grondig te werk gegaan, tot ze ‘fandation’ in plaats van ‘foundation’ schreven op hun valse overschrijvingen.
In Data News van 18 maart gaan we dieper in op security, met onder meer extra voorbeelden van hoe ook bijzonder geavanceerde hackers zich laten vangen met banale foutjes.
Fout opgemerkt of meer nieuws? Meld het hier