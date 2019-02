We kunnen het model toepassen om financiële instellingen te helpen fraude te voorkomen. Door inzicht in een fraudeaanval kun je je namelijk effectiever wapenen. We onderscheiden vier fases van een aanval en per fase zijn er een aantal adviezen die financiële instellingen ter harte moeten nemen om de fraudeurs te slim af te zijn.

Fraudeurs kunnen tieners op hun zolderkamer zijn of professioneel georganiseerde criminele bendes, maar de stappen die ze doorlopen zijn in hoofdlijnen hetzelfde. We doorlopen hierna de verschillende fasen en bespreken wat je kunt doen.

1. Voorbereiding

In deze eerste fase bereidt de fraudeur zijn aanval voor. Er is dan nog geen contact gemaakt met de slachtoffers. Hier moeten we het onderscheid maken tussen aan de ene kant kwaadwillende hackers die proberen in te breken bij banken, en aan de andere kant fraudeurs die zich vaker richten op de klanten van de bank dan op de bank zelf. Fraudeurs ontwikkelen of kopen in deze stap malware of bouwen een phishingsite.

In sommige gevallen worden er ook tests uitgevoerd en dat is een belangrijke indicatie voor een financiële instelling. Wanneer je zulk testgedrag ontdekt, kun je soms al identificeren wie erachter zit of zien hoe de aanval er uit zal zien. Dit zorgt ervoor dat je kunt ingrijpen nog vóórdat een aanval daadwerkelijk is uitgevoerd.

Wat kun je doen?

Om erachter te komen of aanvallen worden voorbereid, is het belangrijk over intelligence en detectie te beschikken. Daarom denk ik dat financiële instellingen moeten zorgen dat intern goed wordt samengewerkt en er geen sprake is van een eilandcultuur. De helpdesk is in deze fase heel belangrijk, want een slachtoffer dat belt of mailt over een verdacht mailtje, biedt waardevolle informatie voor fraudeonderzoekers.

Daarnaast is inzicht in waar criminelen zich mee bezighouden, cruciaal. Zo kan een organisatie alert zijn op bepaalde activiteiten en kan die soms al weten wat er gaat gebeuren voordat de aanvallers toeslaan. Wanneer een bank er bijvoorbeeld achter komt dat een phisingsite wordt gebouwd, kan direct een 'take down'-procedure worden gestart. Dat is beduidend goedkoper dan wanneer de fraude succesvol wordt uitgevoerd en klanten moeten worden gecompenseerd.

Om zoveel mogelijk kennis te vergaren over criminele activiteiten en werkwijzen, is het belangrijk dat financiële instellingen nog meer gaan samenwerken. Vaak starten aanvallers in een bepaald land en breiden hun aanval dan verder uit. Wanneer een Scandinavische bank een mogelijke aanval signaleert en die kennis deelt met een Nederlandse bank, kan de Nederlandse bank alvast maatregelen treffen. Hoewel in landen zelf vaak wel informatie wordt uitgewisseld tussen financiële instellingen, is dat wereldwijd nog veel minder het geval. Daar valt een wereld te winnen.

2. Benadering

De volgende stap die fraudeurs nemen, is het benaderen van slachtoffers. Het liefst zo veel mogelijk. Er zijn verschillende manieren om dat te doen. Sommige fraudeurs verspreiden spammails naar miljoenen mailadressen uit naam van de bank of financiële instelling. Het merendeel van de mensen is inmiddels aardig getraind in het herkennen van phishingmails en spam, bovendien zijn er goede filters die veel van dit soort mailtjes tegenhouden. Maar er zijn helaas ook mensen die er toch intrappen.

Ook bekend zijn de telefoontjes die vanuit een callcenter in bijvoorbeeld India komen, waarin mensen worden verleid om informatie af te geven die ze voor zichzelf moeten houden. Het gebeurt soms ook dat websites worden gehackt waar ogenschijnlijk niets mee aan de hand is, maar waarlangs malware wordt verspreid zonder dat de beheerder van de site het doorheeft. Ook kunnen criminelen gebruikmaken van malvertising, waarbij de malware wordt verstopt in de advertenties op legitieme websites. Bij het laden van zo'n advertentie kunnen computers via gaten in verouderde software worden binnengedrongen.

Wat kun je doen?

Educatie is cruciaal in deze fase. Het is belangrijk dat de verschillende afdelingen van elkaar weten wat er speelt en relevante informatie uitwisselen. Een helpdeskmedewerker die begrijpt hoe een aanval werkt, kan klanten de juiste vragen stellen. Klanten kunnen inzicht bieden in een aanval door bijvoorbeeld screenshots te maken of viruslogs door te sturen. Het is belangrijk dat die informatie ook beschikbaar komt voor de mensen binnen de organisatie die daar iets mee kunnen. Bovendien moeten klanten worden voorgelicht over fraudescenario's. Wanneer zij weten hoe een aanvaller te werk gaat, kunnen ze alerter zijn en trappen ze minder vaak in valkuilen van aanvallers.

3. Uitvoering

Dan volgt het daadwerkelijk uitvoeren van de fraude waarin de aanvaller zijn slag slaat en geld probeert te stelen van slachtoffers. In veel gevallen kan de aanvaller inmiddels inloggen op het rekeningnummer van het slachtoffer, in andere gevallen wordt het slachtoffer gemanipuleerd om transacties te doen naar een bepaald rekeningnummer. In het geval van malware kan het zelfs zo zijn dat er geld wordt overgemaakt zonder dat daar enig menselijk handelen aan te pas komt. Dat laatste zien we de laatste jaren niet meer zoveel. De vorm die momenteel erg in zwang is, is de CEO-fraude. Een bekend voorbeeld daarvan is Pathé, dat ruim 19 miljoen euro verloor op deze manier.

Wat kun je doen?

Twee zaken zijn cruciaal in deze fase: realtime detectie en 'cross-channel correlation'. Zeker bij instant payments, waarbij geld razendsnel wordt overgeboekt, is het noodzakelijk dat data die wordt verzameld, direct wordt verwerkt, zodat verdacht gedrag wordt opgemerkt op het moment dat het plaatsvindt.

Met cross-channel correlation bedoelen we dat de financiële organisatie niet alleen naar specifieke kanalen moet kijken, maar dat het belangrijk is om het hele plaatje te overzien. Alle kanalen die klanten gebruiken moeten in de gaten worden gehouden, omdat in een aanval bijvoorbeeld zowel de website als de mobiele app wordt gebruikt.

Ook in deze fase is contact met de klant van belang. Bel klanten om ze te informeren over verdacht gedrag op hun rekening. Of wanneer je een verdachte transactie detecteert, stuur dan een rood scherm naar zijn mobiele app die een extra verificatie vraagt. Zo kun je voorkomen dat frauduleuze transacties tussen de mazen doorglippen.

4. Succes

Wanneer het geld is weggeboekt, moet de fraudeur zorgen dat hij niet wordt gepakt en dat het geld uiteindelijk bij hemzelf terecht komt. Dat kan bijvoorbeeld door cryptovaluta te kopen. Vaak worden ook katvangers gebruikt; mensen die hun rekening ter beschikking stellen van de aanvaller, waarna het geld door een heel netwerk van deze geldezels wordt overgeboekt voordat het naar het buitenland verdwijnt en zo goed als ontraceerbaar wordt. Maar het 'window of opportunity' tussen de uitvoerings- en succesfase wordt steeds korter. Met instant payments wordt het zelfs van dagen naar seconden teruggebracht.

Wat kun je doen?

Vanuit de financiële instelling geredeneerd, start hier het forensisch onderzoek naar de fraude. Het is belangrijk om volledig zicht te hebben op alle data, en wat er precies is gebeurd en gedetecteerd in de voorgaande stappen. Niet alleen de frauduleuze transactie, maar ook het gedrag in de dagen daarvoor en daarna. Bovendien is het belangrijk dat de detectiemaatregelen die de organisatie heeft ingesteld, zo snel mogelijk worden aangepast.

Als een fraude succesvol was, werken die maatregelen dus niet optimaal. Het is belangrijk dat dit snel kan gebeuren, want in de tussentijd zijn klanten minder goed beschermd. Vervolgens moet er onderzoek plaatsvinden en moeten slachtoffers eventueel worden gecompenseerd.

Tot slot, en dat klinkt heel logisch, maar gebeurt in veel gevallen niet: Stel de politie op de hoogte. Het idee heerst dat de politie niets met dit soort aangiftes kan doen, maar dat is niet waar. Hoewel het vaak niet mogelijk is om al het gestolen geld terug te krijgen, kan de aangifte er wel aan bijdragen dat de aanvallers worden opgespoord, veroordeeld en geen nieuwe slachtoffers meer maken.

Succesvol optreden tegen fraude

Hoe eerder een financiële instelling detecteert dat er ongewoon of verdacht gedrag op het systeem te zien is, hoe eerder ingegrepen kan worden. In de fraude kill chain geldt dan ook dat hoe eerder in de keten activiteiten worden ontdekt, hoe groter de kans is dat er succesvol tegen kan worden opgetreden.

Erik Biemans is Lead Analyst bij Fox-IT