Hackers richten pijlen op financiële instellingen, met SEC, Equifax en Deloitte als slachtoffers

De afgelopen maand zijn er maar liefst drie hacks geweest op bedrijven binnen de financiële wereld: SEC, Equifax en Deloitte.  Maar wat is er eigenlijk gebeurd en waarom worden nu juist deze bedrijven aangevallen?

Equifax was deze maand de eerste die bekendmaakte het slachtoffer te zijn geworden van een cyberaanval. Dit bedrijf is een van de drie grootste kredietbureaus in de Verenigde Staten. Het bedrijf controleert of mensen bijvoorbeeld een creditcardschuld hebben.

De hack bij Equifax

Op 8 september liet het kredietbureau weten dat hackers toegang hebben kunnen krijgen tot de persoonsgegevens van 143 miljoen Amerikanen. Het ging onder meer om burgerservicenummers, geboortedata en adressen. De kredietdatabase werd niet gekraakt, waardoor de kredietscores van klanten niet in de handen van de hackers vielen.

De aanval vond in mei plaats en maakte gebruik van een lek dat rond 29 juli pas gedicht werd. Wie er achter de aanval zit, is vooralsnog niet bekend. Opvallend is wel dat hooggeplaatste mensen binnen het bedrijf drie dagen nadat het lek ontdekt werd, 1,8 miljoen dollar aan aandelen verkochten. Het is echter verboden om aandelen te verkopen op basis van nog niet gepubliceerde informatie, en het lijkt er hier op dat dit wel gebeurd is. Equifax ontkent dit natuurlijk.

De hack kon volgens Equifax zelf plaatsvinden door een kwetsbaarheid in opensource-serversoftware. Het gaat om Apache Struts, dat gratis gedownload kan worden en sinds 2006 beschikbaar is. In die software zou een lek zitten waardoor code extern kan worden gestart, stelt beveiligingsbureau Symantec. Maar of het lek ook bij deze aanval misbruikt is, weet het beveiligingsbureau niet.

Equifax

SEC

SEC, de Amerikaanse beurswaakhond, was de tweede instelling die een cyberaanval meldde deze maand. Dit bedrijf gaf aan dat zijn database Edgar gehackt was. In die database moeten bedrijven onder meer hun belangrijke financiële documenten opslaan voor ze voor beleggers toegankelijk zijn. De database werd al in 2016 gehackt, maar dat is nu pas aan het licht gekomen.

De hackers konden binnendringen via een fout in de software. Ze kregen toegang tot documenten als het opslaan in het systeem werd getest. De data was op dat moment nog niet voor het bredere publiek beschikbaar.

Groot probleem met een hack als deze is dat er dus gevoelige en geheime beursinformatie in de handen van criminelen valt. SEC vermoedt dan ook dat er met voorkennis gehandeld is.

Deloitte

Dan is er tot slot Deloitte. Dit accountant- en adviesbureau werd het slachtoffer van een aanval waarbij vermoedelijk vertrouwelijke e-mails van klanten in handen van hackers zijn gevallen. Onder de slachtoffers zouden onder meer grote banken, mediabedrijven en Amerikaanse overheidsinstanties zitten.

Deloitte zelf zegt nog vrij weinig over de aanval. Het bedrijf heeft bevestigt dat er een hack is geweest en dat de criminelen toegang hebben gekregen tot de data van het e-mailplatform van het bedrijf. Ook is er inmiddels een intern onderzoek gestart. De hack zou in maart al ontdekt zijn, maar mogelijk hadden de criminelen al sinds oktober of november 2016 toegang tot het systeem.

Probleem hier was overigens dat je alleen een gebruikersnaam en een wachtwoord van de administrator nodig hebt om binnen te komen. Extra beveiligingsmaatregelen zijn er niet. En een gemiddelde hacker kan die vrij gemakkelijk afhandig maken.

Waarom zij?

Waarom zijn juist deze partijen het slachtoffer geworden van de aanvallen? Vooralsnog kunnen we alleen maar speculeren, aangezien er nog geen motieven ontdekt zijn. Maar over het algemeen is er een simpel antwoord: geld en macht.

Kijken we namelijk naar het verleden, dan zien we dat buitgemaakte informatie voor slechts twee dingen gebruikt wordt. Of de criminelen verkopen het op de zwarte markt door voor veel geld, of ze chanteren het bedrijf in kwestie (vaak voor veel geld). Kijk bijvoorbeeld naar de hack bij Netflix: hackers zeiden dat ze nog niet gepubliceerde afleveringen hadden gestolen en eisten geld van de streamingdienst. Betaalden ze niet, dan gingen de afleveringen online.

datalekken

Natuurlijk is niet iedere hacker bezig met afpersen. Een eenvoudigere manier om geld te verdienen is namelijk het verkopen van de informatie die gestolen is. Zo werd in 2016 duidelijk dat gestolen Netflix-wachtwoorden voor 25 cent over de toonbank gingen. Nu is dat nog een vrij laag bedrag, maar bedenk hier wel dat een Netflix-abonnement slechts tien euro per maand kost. De wachtwoorden zijn dan ook minder gewild.

Goudmijn

Kijken we echter naar SEC, Equifax en Deloitte, dan zien we dat deze bedrijven veel interessantere informatie hebben. Het gaat bijvoorbeeld om nog geheime informatie over beurzen en persoonlijke informatie van klanten. Informatie waar kwaadwillenden veel geld voor over hebben.

In het geval van Equifax is de gestolen informatie ontzettend waardeval. Justin Lie, CEO van CashShield, vertelt aan Fox Business dat alleen een gestolen creditcard al een dollar waard is op de zwarte markt. “Dat nummer vermenigvuldigd zich met vijf voor ieder extra stukje informatie dat gelinkt is aan deze creditcard.” Een creditcard met een adres is dus 5 dollar waard. Zit er ook nog een e-mailadres bij, dan kijken we al naar 25 euro per creditcard.

In het geval van Equifax is er echter ontzettend veel data gestolen, waardoor het ontzettend veel waard wordt. “Met meer informatie, kunnen hackers een vollediger profiel van een individu maken. Daardoor kunnen ze frauduleuze aankopen op het internet doen, meerdere bankrekeningen aanmaken of zelfs iemands belastingteruggave stelen”, zegt Lie. Met de gestolen data van Equifax hebben de hackers dus een echte goudmijn in handen.

Geld

Motief

Dus waarom werden juist deze bedrijven het slachtoffer van hacks? Vanwege het geld. Bedrijven als SEC, Equifax en Deloitte hebben ontzettend waardevolle informatie. Meer nog dan een gemiddeld PlayStation-account of webwinkel.

Met de gestolen informatie kunnen kwaadwillenden van alles doen: bedrijven onder druk zetten om te betalen, informatie verkopen, de informatie zelf gebruiken voor frauduleuze acties en met voorkennis handelen op de beurs. Een ding lijkt echter wel duidelijk: het draait om geld. Naar een motief hoeft dus niet lang gezocht te worden.