Operation High Roller ontleed

Transcriptie

1 Operation High Roller ontleed Auteurs: Dave Marcus, directeur Advanced Research and Threat Intelligence, McAfee Ryan Sherstobitoff, Threat Researcher, Guardian Analytics Hoe de hightechmantra van automatisering en innovatie een wereldwijd fraudenetwerk helpt om zijn pijlen te richten op kapitaalkrachtige bedrijven en personen. Voortbouwend op de beproefde tactieken van Zeus en SpyEye, voegt dit netwerk veel baanbrekende extra s toe: het omzeilen van de fysieke chipen pinauthenticatie, databases met geautomatiseerde neprekeningen, frauduleuze transacties vanaf servers en pogingen tot overschrijving van bedragen tot naar zakelijke neprekeningen. Ofschoon Europa het primaire doelwit is van dit en andere financiële oplichtingsnetwerken uit het verleden, heeft ons onderzoek aan het licht gebracht dat de aanvallen zich nu ook buiten Europa verspreiden, onder andere in de Verenigde Staten en Colombia.

2 Inhoudsopgave Samenvatting... 3 Chronologisch verloop aan de hand van casestudy s... 1 Een geautomatiseerde aanval in Italië... 4 Campagne duikt op in Duitsland... 5 Oplichters slaan hard toe bij Nederlandse banken... 5 Oversteek naar Latijns-Amerika... 6 Oplichters Nederland ook actief in de Verenigde Staten... 7 Aanvallen op nieuwe hoogten: wat is nieuw vergeleken met SpyEye en Zeus?... 8 Vergaande automatisering... 8 Automatisering aan serverzijde... 9 Kapitaalkrachtige doelwitten... 9 Geautomatiseerd omzeilen van de dubbele fysieke authenticatie Technieken tegen standaard beveiligingssoftware Technieken om fraudedetectie te voorkomen Technieken om bewijs te verdonkeremanen Drie aanvalsstrategieën Strategie 1: geautomatiseerde aanvallen op consumenten Strategie 2: geautomatiseerde aanvallen vanaf servers Strategie 3: hybride geautomatiseerde/handmatige aanvallen op goedgevulde zakelijke rekeningen 16 Herstel- en verbeteringsinitiatieven Welke lessen hebben we geleerd? Bijlage De auteurs McAfee Guardian Analytics... 24

3 Samenvatting McAfee en Guardian Analytics hebben een zeer geraffineerde wereldwijde fraudecampagne aan het licht gebracht, die speciaal gericht is op financiële dienstverleners en inmiddels het Amerikaanse bankenstelsel heeft bereikt. Terwijl u dit onderzoeksrapport leest, werken wij samen met internationale opsporingsdiensten aan beëindiging van de aanvallen. In tegenstelling tot standaardaanvallen van het type SpyEye en Zeus, waarbij gewoonlijk sprake is van directe (handmatige) interventies en fraudepogingen met behulp van de computer van het slachtoffer, hebben we nu al meer dan tien groepen ontdekt die gebruikmaken van servercomponenten en verregaande automatisering. De aanvallen van deze fraudeurs zijn bedoeld om grote bedragen van goedgevulde bankrekeningen over te hevelen, vandaar de naam die voor dit onderzoek is gekozen: Operation High Roller (operatie Speler om het grote geld ). Zonder menselijke tussenkomst wordt elke aanval snel uitgevoerd en geruisloos opgeschaald. Hierbij gaat insidersinzicht in banktransactiesystemen zodanig gepaard met maatwerk- en standaardmalwarecode dat de kwalificatie georganiseerde misdaad op zijn plaats is. Tijdens dit onderzoek zijn 60 servers aangetroffen waarop duizenden pogingen tot diefstal van grote zakelijke rekeningen en enkele vermogende particuliere rekeninghouders zijn verwerkt. Naarmate het doelwit van de aanvallen verschoof van particulieren naar bedrijven, werden met zakelijke neprekeningen steeds meer pogingen tot overschrijving gedaan. Het gemiddelde overschrijvingsbedrag liep in de duizenden euro s. Sommige afschrijvingen bedroegen maar liefst ($ ) 1. Terwijl de aanvallen zich uitbreidden van de Europese Unie naar Latijns-Amerika en vervolgens de Verenigde Staten, is duidelijk geworden dat er drie verschillende aanvalsstrategieën worden toegepast. Het onderzoek prikt de gangbare mythe door dat alleen grote banken door dit type aanvallen worden getroffen. Er zijn fraudepogingen geconstateerd bij alle soorten financiële instellingen: kredietmaatschappijen, grote wereldbanken en regionale banken. Naar onze schatting hebben de criminelen tot nu toe geprobeerd tenminste 60 miljoen ($78 miljoen) aan frauduleuze afschrijvingen uit te voeren van rekeningen bij 60 of meer financiële instellingen. Als alle campagnes even succesvol zouden zijn geweest als het Nederlandse voorbeeld dat in dit rapport wordt beschreven, zou het totaalbedrag van de fraudepogingen 2 miljard kunnen zijn geweest. 2 1 In dit rapport wordt een wisselkoers van 1,00 = $1,30 gehanteerd. 2 Wij hebben 60 serverlogs bestudeerd, die tenminste 60 verschillende banken vertegenwoordigen. De in dit rapport beschreven research bevat de minimale en maximale aantallen en bedragen die we gebruiken om de totale omvang van de pogingen tot fraude te schatten. De logs geven aan welke bedragen naar de neprekeningen zijn weggesluisd. We hebben geen zicht op het eindtotaal van de geslaagde pogingen.

4 Verklarende woordenlijst Giro Een standaardmethode voor het doen van betalingen in Europa. In de Verenigde Staten wordt een soortgelijk transactiemodel gebruikt, genaamd Automated Clearing House. IBAN Een internationale standaard voor het identificeren van bankrekeningen. Frauduleuze transactieserver Een server die een interactie start met het bankportaal van de financiële instelling teneinde de eigenlijke transactie af te handelen (inclusief het inloggen). Webinjectie Een aanval waarbij extra HTMLcode en JavaScript wordt geïnjecteerd in een browservenster. Deze code kan tekst of afbeeldingen weergeven of velden aan een formulier toevoegen, zodat authenticatie-informatie kan worden verzameld. Zeus/SpyEye Toolkits die malware (kwaadaardige software) installeren om de besturing van computers en applicaties over te nemen. Vaak is sprake van een webinjectie om browserformulieren te wijzigen en inlog- en andere rekeninggegevens te verzamelen voor het doen van een overschrijving. Chronologisch verloop aan de hand van casestudy s Ons onderzoek betreft de ontdekking en analyse van diverse aanvallen. Hieronder vindt u een aantal specifieke voorbeelden die we gedetailleerd hebben onderzocht. Aansluitend gaan we nader in op de innovatie- en automatiseringsaspecten van de aanval. Tot slot geven we een stapsgewijze beschrijving van de drie soorten aanvalsstrategieën die we hebben blootgelegd. Een geautomatiseerde aanval in Italië De eerste reeks aanvallen die onze onderzoekers op het spoor kwamen, trof zowel privé- als zakelijke rekeningen bij een populaire bank in Italië. Bij de aanval werd gebruik gemaakt van de kwaadaardige software SpyEye en Zeus om geld over te schrijven naar een persoonlijke neprekening of naar een prepaid debitcard, zodat de dief het geld snel en anoniem kon opnemen. Ofschoon deze aanval op het eerste gezicht consistent leek met eerdere aanvallen op een clientcomputer, was er sprake van meer automatisering. In plaats van de gegevens te verzamelen en de transactie handmatig op een andere computer uit te voeren, implanteerde deze aanval een verborgen iframe-tag en werd de bankrekening van het slachtoffer overgenomen waardoor de transactie lokaal in gang werd gezet zonder actieve participatie van de aanvaller. In dit Italiaanse voorbeeld zocht de malwarecode naar de rekening van het slachtoffer met het hoogste saldo, bekeek het saldo en maakte hetzij een vast percentage (bijvoorbeeld 3%, verschillend per campagne) hetzij een betrekkelijk klein, vast bedrag van 500 over naar een prepaid debitcard of een bankrekening. Sommige van de getroffen consumenten waren wat wij high rollers (casinoterm: spelers die bijzonder hoog inzetten) noemen, met een gemiddeld rekeningsaldo van tot Sommige overschrijvingen vonden binnenlands plaats, andere gingen de grens over via een IBAN-betaling. Bij deze fraude was sprake van nog een belangrijke innovatie. Ofschoon de transacties fysieke authenticatie vereisten via een random reader, was het systeem in staat om de noodzakelijke extra informatie te verzamelen en

5 verwerken. Hiermee werd dit het eerste bekende geval van fraude waarbij deze vorm van dubbele authenticatie werd omzeild. Binnen 60 seconden wist een script dat op de girobetaalpagina was geplaatst, uit een database elders de informatie van een neprekening op te halen en de overschrijving te initiëren. Geen menselijke tussenkomst, geen vertraging, geen gegevensinvoerfouten. Footprint breidt uit Toen we eenmaal wisten naar welke aanvalspatronen we moesten zoeken, vonden we bewijs voor meer aanvallen op andere Europese banken en op Latijns-Amerikaanse banken. Deze aanvallen borduurden voort op de code die in Italië was aangetroffen, maar dan wel aangepast voor elke specifieke bank. Voor het eerst drong het tot ons door dat we met een wereldwijde fraude te maken hadden, en we vermoedden dat andere regio s mogelijk ook waren getroffen. Onze vermoedens werden bevestigd toen we achtereenvolgens bewijs vonden voor actieve campagnes in Colombia en de Verenigde Staten. De volgende voorbeelden uit Europa zijn indicatief voor de schaal van het totale aantal kleinere en grotere ondernomen pogingen tot fraude. Uitgaande van 60 gelokaliseerde servers en voornoemde schaal, schatten we de totale potentiële bandbreedte van de pogingen tot diefstal op 60 miljoen tot 2 miljard. Campagne duikt op in Duitsland Eind januari 2012 ontdekten we een replicatie van de aanval in Duitsland. De loggegevens op de server van het slachtoffer toonden aan dat de oplichters 176 bankrekeningen hadden gehackt en bijna één miljoen euro hadden proberen over te hevelen naar neprekeningen in Portugal, Griekenland en het Verenigd Koninkrijk. Het gemiddelde rekeningsaldo lag dicht bij , waaruit blijkt dat de focus lag op kapitaalkrachtige slachtoffers. Hoewel de gemiddelde transactie opliep tot circa 5.500, was er bij internationale transacties sprake van grotere bedragen, uiteenlopend van tot ruim via één enkele IBAN-betaling. Totaalbedrag van alle getroffen banksaldi Totaalbedrag van alle gestarte overschrijvingen naar neprekeningen Gemiddeld saldo van getroffen rekeningen ,43 Gemiddeld bedrag van gestarte overschrijvingen naar neprekeningen Oplichters slaan hard toe bij Nederlandse banken In maart 2012 richtten de oplichters hun aandacht op de Nederlandse banken en breidden hun aanpak uit met automatische aanvallen vanaf servers. Door de frauduleuze overschrijving aan de serverzijde uit

6 te voeren konden de criminelen beveiligings- en bewakingstools en hindernissen van fraudeopsporingsteams bij de financiële instelling omzeilen. De server waarmee deze transacties werden uitgevoerd, stond in San Jose (Californië). In deze campagne werden meer dan vooral zakelijke rekeningen bij twee Nederlandse banken getroffen. Uit de geanalyseerde logbestanden van de transactieserver bleek dat het bij de poging tot fraude in totaal naar schatting om ging. De verschuiving van particuliere naar zakelijke slachtoffers betekent dat de oplichters grotere bedragen kunnen overschrijven zonder tegen drempels of witwasbarrières op te lopen of alarmbellen te doen rinkelen (in de Verenigde Staten zouden ze bijvoorbeeld maximaal $ van een particuliere rekening kunnen overschrijven). Grotere telefonische overschrijvingen van handelsrekeningen zijn voor bedrijven heel gewoon; de omvang van de activiteiten en de aard van deze transacties maken dat de frauduleuze transacties onopgemerkt blijven. Vaak hebben de overschrijvingen grensoverschrijdende bestemmingen, waardoor de kans op ontdekking of vervolging nog kleiner wordt. Internationale overschrijvingen bieden twee voordelen. Ten eerste maken ze ontdekking en terugvordering aan de ontvangende zijde minder waarschijnlijk. Ten tweede wordt vervolging erdoor bemoeilijkt omdat de regels, de registratie en de opsporingsinspanningen van land tot land sterk verschillen. Totaalbedrag van alle getroffen banksaldi Totaalbedrag van alle overschrijvingen naar neprekeningen Gemiddeld saldo van de getroffen rekeningen Gemiddeld bedrag van de gestarte overschrijvingen naar neprekeningen Oversteek naar Latijns-Amerika Terwijl de campagnes zich als een olievlek verspreidden over Europa, maakten de oplichters de oversteek naar Latijns-Amerika. Op 3 maart 2012 ontdekten we een aanval, waarvan meer dan tien bedrijven in Colombia (zie afbeelding 1) het doelwit waren. Al deze bedrijven bankierden bij dezelfde bank en elk van hen had een rekeningsaldo variërend van US$ tot bijna US$

7 Afbeelding 1: De aanvallen concentreerden zich op Bogota, Colombia De frauduleuze transactieserver die deze campagne aanstuurde, werd gehost in Brea, Californië. Hoewel de meeste aanvallen door deze server werden geautomatiseerd, vonden we bewijs ervoor dat de oplichter vanuit Moskou inlogde om enkele transacties te manipuleren, in een poging om willekeurige bedragen van wel 50-80% van het saldo van het getroffen bedrijf weg te sluizen (zie Strategie 3 in onderstaande voorbeelden). Oplichters Nederland ook actief in de Verenigde Staten In maart 2012 brachten we ook aan het licht dat de in San Jose ondergebrachte frauduleuze transactieserver die was gebruikt tijdens de aanvallen in Nederland, nu werd gebruikt om banken in de Verenigde Staten op te lichten. Deze server bediende zich van client- en servercomponenten om geautomatiseerde aanvallen op Amerikaanse financiële instellingen te lanceren door opdracht te geven voor overschrijvingen van speciale handels- en beleggingsrekeningen het soort rekeningen waar doorgaans voor tientallen miljoenen dollars aan assets op staat. Dit was ons eerste bewijs voor aanvallen op Noord-Amerikaanse financiële instellingen, waarbij 109 bedrijven werden getroffen. Het bewijsmateriaal in de Verenigde Staten wijst erop dat er acht tot tien malwarevarianten zijn die exclusief Amerikaanse bedrijven tot doelwit hebben en die via commerciële transacties geld overhevelen naar neprekeningen. Eén innovatie die werd geconstateerd bij een aanval in de VS, betrof de geautomatiseerde overschrijving van geld van de bedrijfsspaarrekening van het slachtoffer naar diens rekening-courant, waarna het geld normaliter (tenminste in de alledaagse zakelijke praktijk) zou worden overgeschreven naar een andere bankrekening. In dit geval ging het geld naar een zakelijke rekening op naam van een katvanger in een ander land.

8 Aanval VS ontvouwt zich in 60 dagen Afbeelding 2: Ons onderzoek legde de globetrottersactiviteiten van één aanval in de VS bloot. Nadat de server eenmaal San Jose (Californië) had bereikt, maakte deze deel uit van campagnes in Nederland en de Verenigde Staten. Aanvallen op nieuwe hoogten: wat is nieuw vergeleken met SpyEye en Zeus? Omdat de aanvallen voortbouwen op SpyEye en Zeus, heeft Operation High Roller een bekende kern van geïmplanteerde webcode (verandert wat een rekeninghouder ziet tijdens de browsersessie), informatiediefstal (wegsluizen van geld van een rekening) en add-ons die de transactie aan het zicht onttrekken. 3 De oplichters zijn evenwel veel verder gegaan dan deze basisbestanddelen en hebben drie nieuwe strategieën ontwikkeld die unieke kenmerken toevoegen aan de bekende kern van Zeus- en SpyEye-aanvallen. Vergaande automatisering De meeste Zeus/SpyEye-aanvallen bestaan uit handmatige componenten en actieve deelname van de oplichter. Ze maken gebruik van social engineering en manipulatie op afstand om hostsystemen en online bankrekeningen kwetsbaar te maken. Ze installeren malware en voeren een man-in-thebrowser -aanval uit om vertrouwelijke informatie en formuliergegevens te verzamelen, en doen vervolgens een frauduleuze overschrijving vanaf de machine van het slachtoffer. 3 Zie en

9 Hoewel er bij het wegsluizen van grote bedragen sprake kan zijn van live tussenkomst, is het High Roller-proces grotendeels volledig geautomatiseerd; hierdoor kan het proces van diefstal worden herhaald zodra het systeem in stelling is gebracht tegen een bepaalde bank of een bepaald platform voor internetbankieren. Voordat bijvoorbeeld de overschrijving wordt gedaan, zoekt de code rekeninginformatie op in een database met actieve neprekeningen, zodat de informatie over de begunstigde actueel is. De mate van automatisering strekt zich ook uit tot sommige van de hieronder genoemde zaken, in het bijzonder het omzeilen van de dubbele fysieke authenticatie (zie kader hiernaast). Automatisering aan serverzijde De aanval maakt ook gebruik van geraffineerde automatisering aan de serverzijde om te verhullen welke methode het systeem gebruikt voor de interactie met het online bankplatform van het slachtoffer teneinde de frauduleuze transactie mogelijk te maken. In tegenstelling tot de aanvankelijke malware die in Europa werd ontdekt, verleggen de recentere aanvallen die in Nederland en de Verenigde Staten aan het licht zijn gebracht, de afhandeling van de frauduleuze transacties van de client naar de server. De frauduleuze activiteiten, inclusief het inloggen, worden uitgevoerd vanaf een server die zich bevindt bij een bulletproof ISP (met een voor criminelen vriendelijk gebruiksbeleid), die volledig is afgeschermd voor wijzigingen en regelmatig wordt verplaatst om ontdekking te voorkomen. Na elke verplaatsing worden de webinjecties bijgewerkt zodat deze verwijzen naar de nieuwe locatie. Kapitaalkrachtige doelwitten De slachtoffers in de Verenigde Staten waren stuk voor stuk bedrijven met handelsrekeningen met een saldo van ten minste enkele miljoenen dollars. Slachtoffers worden doorgaans gevonden via online speurwerk en gerichte ( spear ) phishing (zie afbeelding 3), ofschoon sommige aanvallen het hadden voorzien op reeds geïnfecteerde hosts. Wat is dubbele authenticatie? Naarmate oplichters innoveren, verbeteren financiële instellingen de authenticatie voor online banktoepassingen. Het gecombineerde gebruik van om het even twee van de volgende categorieën wordt gekwalificeerd als dubbele authenticatie. Wat u weet Wachtwoord 4-cijferige pincode TAN-code (Transactie Autorisatie Nummer) (verstrekt door een financiële instelling, hetzij in de vorm van een lijst op papier hetzij per keer gegenereerd en verstuurd via SMS hetzij een aparte sessie op de clientcomputer) Wat u hebt Eenmalig wachtwoord gegenereerd met een fysiek apparaat of via software die op het apparaat van de rekeninghouder is geïnstalleerd Digitale code die bijvoorbeeld met een bankpas en een random reader wordt gegenereerd een in Europa veelgebruikte oplossing die door financiële instellingen in de VS te omslachtig wordt gevonden Wie u bent Biometrische duimscan Irisscan Nieuw is het geautomatiseerd omzeilen van fysieke chip, reader en pin De bij Operation High Roller ontdekte malware is de eerste kwaadaardige software die de combinatie van bankpas/random reader+pin weet te omzeilen. Normaal plaatst het slachtoffer zijn pas in de random reader en voert zijn pincode in. Het systeem van de bank genereert vervolgens een code op basis van de gegevens op de bankpas en autoriseert een transactie. De malware omzeilt deze autorisatie door tijdens het inloggen een authentieke simulatie van dit proces te genereren om de code af te vangen. Om eventuele verdenking te verkleinen, verzamelt het script de code terwijl de gebruiker inlogt, niet tijdens het proces van autorisatie van de overschrijving. De digitale code wordt vervolgens later tijdens de online sessie gebruikt om de transactie te valideren; de gebruiker krijgt dan de melding Een moment a.u.b. te zien. Dit alles voltrekt zich zonder de actieve participatie van de aanvaller.

10 In gevallen waarin hosts al zijn geïnfecteerd met malware, verzamelen de oplichters via profilering (met behulp van SpyEye of Zeus) informatie, zoals het gebruikte platform voor internetbankieren en specifieke rekeninggegevens. Op basis daarvan kan een aanval op maat worden voorbereid. De oplichters laden malware met een speciaal ontworpen payload (de eigenlijke kwaadaardige code) in deze geïnfecteerde hosts, voeren de aanval uit en stellen de botnetbeheerders in staat om hun bestaande botnets verder te verzilveren. Afbeelding 3: Een voorbeeld van een gerichte phishing- . De link stuurt de gebruiker naar een malafide site waar het infectieproces begint. Geautomatiseerd omzeilen van de dubbele fysieke authenticatie Alle aanvallen die gebruik maakten van de High Roller-malware, waren in staat om complexe, meerdimensionale authenticatie te omzeilen. In tegenstelling tot recente aanvallen die eenvoudige authenticatiegegevens verzamelen, bijvoorbeeld over de beveiliging, een eenmalige code of de pincode, komt deze aanval voorbij de uitgebreide fysieke ( wat u hebt ) authenticatie, die vereist dat een bankpas in een reader wordt geplaatst en de gegenereerde code in een veld wordt ingevoerd (zie kader Wat is dubbele authenticatie? ). Tijdens de aanval wordt het slachtoffer gevraagd om de informatie te verstrekken die nodig is om het chip- en pinsysteem (de fysieke controle van bankpas plus reader plus invoer van pincode) te omzeilen en een eenmalig wachtwoord (of digitale code) te genereren. Analysedetails Deze werkwijze is geen kenmerkende toepassing van Zeus, wat ontdekking bijzonder lastig maakte. Ons speurwerk had succes omdat de oplichters één grote fout hadden gemaakt: ze vergaten de directorystructuur goed te beveiligen die de loggegevens van slachtoffers, transactiegegevens en informatie over neprekeningen bevatte. Deze gegevens boden ons een virtuele kaart van hun activiteiten. Bestudering van de loginformatie leverde ons belangrijke forensische informatie op, zoals de codeversie, de codedatum en het aantal slachtoffers. Tijdens ons onderzoek identificeerden we 426 onbekende varianten van SpyEye en Zeus: 4 unieke SpyEye-binaries bevatten passieve transactiemanipulatie; 16 unieke binaries bevatten de JavaScript-code; 44 unieke binaries bevatten bewijs voor JavaScript-code in EU-stijl.

11 Eén verschil met andere aanvallen die de publiciteit hebben gehaald, is het complexe proces dat de oplichters gebruiken om het dubbele authenticatiesysteem het nakijken te geven. Bij een typische girobetaling zijn er twee stappen: inloggen om toegang te krijgen tot de eigen rekening en later de autorisatie van de uitgaande betaling. High Roller bedient zich van een uitgebreid JavaScript dat gebruik maakt van webimplantaten om de inlogervaring te wijzigen en tijdens het inloggen alle informatie te verzamelen die de oplichters nodig hebben voor beide voornoemde stappen. Omdat de fysieke authenticatie-informatie wordt vergaard tijdens het inloggen, buiten de context van een transactie, is de kans minder groot dat het slachtoffer achterdochtig wordt hij of zij meent met een upgrade van de inlogervaring te maken te hebben. Nadat alle benodigde informatie voor de hele transactie is verzameld, zal de malware de gebruiker aan het lijntje houden en op de achtergrond de transactie uitvoeren met behulp van de legitieme digitale code. De oplichters kunnen dit geautomatiseerde proces herhalen en toepassen op meerdere bankrekeningen en binnen verschillende systemen, met als resultaat schaalvergroting. De overwinning op het dubbele authenticatieproces, waarbij fysieke apparaten worden gebruikt, is voor de oplichters een belangrijke doorbraak. Financiële instellingen moeten deze innovatie serieus nemen, vooral omdat de gebruikte techniek kan worden uitgebreid naar andere varianten van fysieke beveiligingsapparaten. Technieken tegen standaard beveiligingssoftware Uitgebreid maatwerk beschermt de code en infrastructuur van de aanvallen. Rootkits helpen de malware aan de clientzijde om zich diep in het systeem in te graven en zo ontdekking door antivirusscans te voorkomen. Bovendien zijn de eigenlijke binaries (de kwaadaardige software die voor elke bank op maat is gemaakt en in de browser wordt geïmplanteerd) in zeer beperkte mate verspreid onder een klein aantal slachtoffers. Toen onze onderzoekers eenmaal begonnen met het traceren van de binaries, daarbij gebruikmakend van de McAfee Global Threat Intelligence -database, bevestigde de betrekkelijk kleine populatie van geïnfecteerde systemen (zoals de 5016 bankrekeningen in Nederland) dat de oplichters de aanval onder de radar van detectiesystemen wilden houden. Door codering, comprimering en encryptie zitten de links en de code verborgen in het webimplantaat om detectie te voorkomen en inspecties te hinderen. En sommige webservers worden regelmatig verplaatst, waardoor zwarte lijst - en reputatietechnologieën niet effectief zijn. De servercomponenten (zowel de command- en controlservers als de frauduleuze transactieservers) zijn bijvoorbeeld verborgen opgesteld om classificatie door reputatiesystemen te voorkomen. Hierdoor kunnen deze servers voor langere tijd online blijven. Technieken om fraudedetectie te voorkomen De oplichters zijn duidelijk bekend met de banksector. Zij weten de drempels en de wettelijke barrières van de fraudedetectieprocessen bij banken zorgvuldig te vermijden. De geautomatiseerde transacties zullen bijvoorbeeld het saldo controleren en een vast percentage van het rekeningbedrag niet overschrijden en (in de meeste gevallen) niet meer dan één overschrijving per rekening doen. Het aanvalsalgoritme zal ook de navigatie op de pagina simuleren en de timing van elke transactie variëren

12 om de schijn te wekken van natuurlijke menselijke interactie. Verder vertonen de webimplantaten overeenkomsten met typische handelingen van een bankklant: de ingevoegde content zal verschillen naar gelang wat de klant doet: inloggen, het bekijken van een rekeningoverzicht of het starten van een transactie. Technieken om bewijs te verdonkeremanen Het gedrag na de verduistering zorgt ervoor dat het bewijs voor de transactie aan het zicht van de gebruiker wordt onttrokken. Zo zal de malware aan de clientzijde eventuele koppelingen naar afdrukbare overzichten verwijderen. De malware zoekt ook naar bevestigings- s en kopieën van het overzicht en verwijdert deze. Tot slot worden de transacties, de transactiebedragen en het rekeningsaldo in het schermoverzicht aangepast, zodat de rekeninghouder de bedragen ziet die hij of zij verwacht. Deze tactieken zijn weliswaar niet nieuw, maar het gebruik ervan in combinatie met de andere tactieken getuigt van een hoge mate van expertise. Drie aanvalsstrategieën De onderliggende technologieën van de aanval zijn meegegroeid met de verschuiving van het doelwit van individuele vermogende consumenten in Europa naar kapitaalkrachtige bedrijven in Latijns-Amerika en de Verenigde Staten. Strategie 1: geautomatiseerde aanvallen op consumenten Aanvankelijk was het infectiepatroon in Europa vergelijkbaar met andere fraudeactiviteiten op basis van SpyEye en Zeus, zij het dat er sprake was van geautomatiseerde transacties zonder menselijke tussenkomst. Dit is de standaard gang van zaken: - Een phishing- wordt verzonden naar personen of bedrijven die bankieren bij een bepaalde financiële instelling. - Het bericht bevat een verborgen link. Zodra het slachtoffer op de link klikt, gaat hij of zij naar een webpagina waar een kwaadaardig proces in gang wordt gezet: o De pagina bevat een blackhole exploit kit (een kit die misbruik maakt van softwarelekken) of een ander soortgelijk framework. De kit gaat op zoek naar een kwetsbare plek in de browser van het slachtoffer en zal, nadat deze is gevonden, scripts laden die de computer van het slachtoffer openstellen voor fraude. o Het script installeert een Downloader Trojan. o De Downloader Trojan installeert vervolgens SpyEye of Zeus op de machine van het slachtoffer. o De volgende keer dat het slachtoffer inlogt om te internetbankieren, controleert de malware bepaalde parameters, zoals het soort bankrekening en de rekeningsaldi. Als deze parameters voldoen aan wat de malware zoekt, neemt het Trojaanse paard SpyEye/Zeus contact op met de command- en controlserver en haalt het juiste

13 webinjectiecode binnen voor de financiële instelling waar het slachtoffer bankiert. Dit implantaat bevat een kwaadaardig JavaScript. - Het oplichtingsproces start zodra de rekeninghouder vanaf zijn of haar geïnfecteerde computer probeert in te loggen op de beveiligde omgeving voor internetbankieren. - Het slachtoffer ziet het standaard bankportaal, niet wetende dat het op maat gemaakte JavaScriptwebimplantaat van de oplichters wordt weergegeven om de informatie af te vangen die vereist is voor de bank van het slachtoffer. - Het geïmplanteerde script neemt de controle over de sessie over en neemt contact op met de server van de oplichters voor specifieke instructies. Tijdens de sessie voegt het script mogelijk content toe, bijvoorbeeld een transactieveld of een foutmelding. Terwijl het slachtoffer bijvoorbeeld inlogt, krijgt hij of zij het verzoek om een beveiligingsvraag te beantwoorden, waarna een foutmelding verschijnt. Deze foutmelding zorgt voor de vertraging waardoor de software van de oplichter de transactie kan uitvoeren. - Op dit punt aanbeland heeft het slachtoffer feitelijk nog niets geautoriseerd en wordt hij of zij doorgaans voor circa 60 seconden in de wacht gezet met een melding als Een moment a.u.b. (zie afbeelding 4). - Afbeelding 4: Zodra een consument inlogt op de omgeving voor internetbankieren, wordt mogelijk een nepscherm ( Een moment a.u.b. ) weergegeven. - Als de financiële instelling tijdens de geautomatiseerde aanval om een TAN-code vraagt, toont het webimplantaat aan de clientzijde een pagina met een nep-tan-code, waarna de malware als volgt verder gaat: o De malware neemt de TAN-code over van het scherm van het slachtoffer en presenteert de authentieke code aan de financiële instelling om de frauduleuze transactie mogelijk te maken, terwijl het slachtoffer in de wacht staat.

14 o De malware gebruikt de onderschepte vertrouwelijke informatie om een heimelijke overboeking te doen naar een (particuliere of zakelijke) neprekening of, zoals in één geval, naar een prepaid debitcard. o De malware zoekt een geldige neprekening op in een aparte database en automatiseert daarmee een van oudsher handmatige stap in het proces. De transactie wordt uitgevoerd in een verborgen iframe, een parallelle variant van de online banksessie op de client die op de achtergrond draait. De code navigeert naar de transactiepagina en start de geautomatiseerde indiening van een formulier met de gegevens van de neprekening. - De gebruiker mag doorgaan met de sessie. - De katvanger neemt het geld op en maakt het via Western Union of Liberty Reserve over naar de oplichter. De katvanger houdt een klein percentage van de buit en het geld is binnen enkele dagen niet meer te traceren. - Om de diefstal te camoufleren, blijft de malware in het geheugen van de computer van het slachtoffer. De malware zal het rekeningoverzicht van de gebruiker aanpassen om een vals saldo weer te geven, regels verwijderen die samenhangen met de transactie en het afdrukken van overzichten tegenhouden die het juiste rekeningsaldo en de juiste transacties zouden weergeven. Strategie 2: geautomatiseerde aanvallen vanaf servers Bij het tweede soort aanval wordt de fraudelogica verplaatst naar de serverzijde om de logica van de oplichter zoveel mogelijk aan het zicht te onttrekken. Sommige aanvallen in de VS richten zich op specifieke platforms voor internetbankieren, met als resultaat dat er geautomatiseerde aanvallen kunnen worden gelanceerd op financiële instellingen van elke grootte. De oplichters investeren tijd in het uitzoeken van welke financiële instellingen gebruik maken van welke platforms voor internetbankieren en wie de klanten van die instellingen zijn. De malware automatiseert achtereenvolgende frauduleuze overschrijvingen met behulp van webimplantaten aan serverzijde. Dit is de standaard gang van zaken: - De infectie en compromittering van de client gebeuren op dezelfde wijze als bij strategie 1, en met de malware worden op maat gemaakte webimplantaten gedownload. - Terwijl de consumentenversie het slachtoffer in staat stelt om na 60 seconden door te gaan en de beoogde transactie uit te voeren, krijgt de zakelijke gebruiker bij deze versie meestal een melding te zien in de trant van Systeem in onderhoud of Even geduld a.u.b. (zie afbeelding 5) en wordt hij of zij voor langere tijd op een zijspoor gezet. Het slachtoffer krijgt bijvoorbeeld te zien dat hij het nogmaals kan proberen over 12 uur of zelfs twee dagen, waardoor de oplichter de transactie kan uitvoeren zonder dat het slachtoffer iets ongewoons opmerkt. - Bij deze aanval wordt de frauduleuze transactie uitgevoerd vanaf een server, niet vanaf de computer van het slachtoffer. De server logt in op het online bankportaal van de financiële instelling en voert de transactie uit; van authenticatie door het slachtoffer is geen sprake. - Nadat de transactie is uitgevoerd, verdwijnt de melding Systeem in onderhoud uit beeld. Het slachtoffer kan nu weer het authenticatieproces starten en moet zijn inloggegevens opnieuw invoeren.

15 - Evenals bij strategie 1 wordt het geld weggesluisd naar een neprekening, waar het van afgehaald wordt binnen enkele uren nadat het is bijgeschreven. Het complete proces neemt 1-3 dagen in beslag. Afbeelding 5: Bij oplichting van bedrijven moeten gebruikers veel langer wachten, zoals in dit geval meer dan zes uur, zodat de transactie kan worden uitgevoerd zonder dat de gebruiker een onverwachte verandering van het saldo opmerkt. Bovendien hebben we een methode geobserveerd, bekend onder de naam transactievergiftiging, die een bekende online escrow-onderneming als doelwit had uitgekozen. In plaats van nieuwe overschrijvingen te doen uit naam van geïnfecteerde slachtoffers modificeerde deze aanval in het geniep transacties die door de legitieme rekeninghouder werden geïnitieerd. De oorspronkelijke transacties zouden van een Noord-Amerikaanse rekening naar een derdenrekening voor geveilde voertuigen in het Verenigd Koninkrijk gaan, maar het geld werd weggesluisd naar een neprekening (zie schermafdrukken). Deze aanval maakte gebruik van een script op afstand dat de noodzakelijke informatie achter de legitieme gegevens aanbracht, zodat de frauduleuze transactie onzichtbaar bleef voor de rekeninghouder. Het script veranderde de volgende velden: 1. Banknaam 2. Sorteercode 3. Swiftcode 4. IBAN-code 5. Rekeningnummer 6. Adres begunstigde

16 Afbeelding 6: Webimplantaten van SpyEye voor het invoegen van adresgegevens van een katvanger in het VK. Afbeelding 7: De adresgegevens van de katvanger worden ingevoegd. Deze methode stelt oplichters in staat om bankcontroles te omzeilen waarbij gebruik wordt gemaakt van call backs om de transactie te verifiëren. Indien de call back alleen het bedrag maar niet de ontvanger zou bevestigen, dan zou de gekaapte transactie doorgang vinden. Strategie 3: hybride geautomatiseerde/handmatige aanvallen op goedgevulde zakelijke rekeningen Wat betreft gegoede slachtoffers, vooral goedgevulde zakelijke rekeningen en chique banken die vermogende particulieren van dienst zijn, bracht ons onderzoek aan het licht dat de oplichters soms actiever participeren in een semihandmatige parallelle sessie. De oplichters bedienen zich van deze parallelle sessie om extra beveiligingscontroles te omzeilen, zoals bankspecifieke technologie, systemen of beleidsregels. Deze strategie maakt het ook mogelijk om beperkingen te negeren die de oplichters zichzelf hebben opgelegd, zodat van elke rekening passende bedragen kunnen worden weggesluisd.

17 Dit is de standaard gang van zaken: - De computer van het slachtoffer wordt gecompromitteerd zoals in de eerdere voorbeelden. - De oplichters volgen de activiteiten van potentiële slachtoffers. - Zodra de gebruiker probeert in te loggen, attendeert de malware de oplichter erop dat hij of zij de sessie moet overnemen (de client verstuurt een Jabber, instant message of SMS-bericht naar de oplichter). - De malware aan de clientzijde weerhoudt de gebruiker van authenticatie, terwijl de oplichter de beveiligingsvragen in stelling brengt en transacties op de achtergrond uitvoert. - Wanneer de oplichters extra informatie nodig hebben, kunnen ze verzoeken plaatsen in de sessie van het slachtoffer. - Op dit punt aanbeland kunnen de oplichters het transactiebedrag handmatig aanpassen als ze meer willen wegsluizen dan het in de malware geprogrammeerde vaste bedrag of vaste percentage van het rekeningsaldo. - De server verwerkt de frauduleuze transactie en presenteert de onder Strategie 2 beschreven melding Systeem in onderhoud om het slachtoffer aan het lijntje te houden, terwijl het geld wordt weggesluisd en van de neprekening afgehaald. - In sommige gevallen willen de oplichters een bepaald bedrijf mogelijk vaker bestelen. Zij zouden dan een wijziging kunnen doorvoeren in het script van het webimplantaat op de client, zodat naar een andere server wordt verwezen en detectie door blacklisting-software wordt voorkomen. Ze zouden slachtoffers ook kunnen doorsturen naar een nieuwe server of deze kunnen upgraden met nieuwe functionaliteit. Door deze interventies kunnen de aanvallen doorgaan. Herstel- en verbeteringsinitiatieven In maart 2012, toen de omvang van de fraude duidelijk werd, begon het team actief samen te werken met opsporingsdiensten om de locatie van bekende, door criminelen aangestuurde servers in de Verenigde Staten te rapporteren en anderen voor te lichten over de aanval. Momenteel zijn we bezig om de verdedigingsstrategie van financiële klanten van McAfee en Guardian Analytics door te lichten en te verbeteren. Deze aanval zou niet succesvol mogen zijn als bedrijven hun controles en detectiesoftware op de juiste manier gelaagd hebben aangebracht. We werken momenteel aan het in kaart brengen van de juiste beveiligingsconfiguraties, zoals activering van real-time threat intelligence op clienthosts en de toepassing van hardwaregesteunde beveiliging om de omtrekkende bewegingen van malware te stuiten. Het succes van Operation High Roller maant iedereen tot herbeoordeling van de eigen beveiligingsmaatregelen en -aannames. Veel regionale banken en credit unions hebben geen fraudedetectiesoftware en zijn dus bijzonder kwetsbaar voor deze aanval. Ondernemingen moeten zowel hun beveiligingsmaatregelen als de voorlichting over social engineering en phishing-aanvallen verbeteren.

18 Consumenten zijn weliswaar niet het primaire doelwit, maar zouden toch hun computerbeveiliging moeten versterken en op peil houden en zouden alert moeten blijven op onverwachte veranderingen tijdens internetbankieren. Fundamenteel moet beveiligingssoftware of deze nu is ontworpen om de toegang te controleren, anomalieën op te sporen of aanvallers af te weren gelaagd worden aangebracht in zichzelf versterkende systemen. Aangezien aanvallen zoals Operation High Roller meerdere tactieken en vergaande automatisering gebruiken, moeten meerdere uiteenlopende beschermingsmaatregelen worden toegepast om de verschillende aspecten van een aanval op te sporen en te verstoren. Niet één tool biedt een allesomvattende oplossing. Meer dan één laag is vereist voor effectieve risicoreductie en een geautomatiseerde verdedigingsstrategie is dé manier om gelijke tred te houden met geautomatiseerde aanvallen. Veel banken, bijvoorbeeld, menen dat blacklisting-systemen en het uit de lucht halen van servers effectieve buffers zijn tegen dit soort risico s. Maar uit onze analyse blijkt dat sommige van deze serversystemen een dynamisch verplaatsingspatroon te zien geven en blacklisting-technologieën met hun onvermijdelijke achterstand te slim af zijn. Verder toont de geconstateerde vooruitgang in beveiligingsfuncties, zoals het omzeilen van de fysieke authenticatie en het coderen en verdoezelen van links, dat de oplichters technologisch vooroplopen met de ontwikkeling van malware. Welke lessen hebben we geleerd? Hoewel de grotere financiële instellingen over goed opgetuigde afdelingen voor fraudeopsporing beschikken, is de inzet daarvan geen garantie voor veiligheid. In ons onderzoek hebben we niet alleen succesvolle aanvallen aangetroffen bij kleine, gespecialiseerde kredietmaatschappijen en regionale banken die misschien dachten dat ze een te onbeduidend doelwit zouden zijn, maar ook bij de meest respectabele financiële instellingen. Dankzij de inzet en efficiency van online platforms voor elektronisch bankieren kunnen de aanvallers banken van elke grootte oplichten. Financiële instellingen moeten zich instellen op meer automatisering, verduistering en steeds creatievere vormen van fraude. Botmasters zullen hoogstwaarschijnlijk bestaande met Zeus/SpyEye besmette machines upgraden om nog meer gebruik te kunnen maken van geautomatiseerde processen. Ook zullen verschillende betalingsmodellen doelwit worden, waaronder clearing- en betaalopdrachten. Zoals dit rapport een verschuiving laat zien van client- naar serveraanvallen, zo zullen oplichters hun model aanpassen en het grootste deel van hun fraudelogica naar de server verplaatsen. Hierdoor wordt het voor beveiligingsaanbieders veel moeilijker om preventiestrategieën te ontwikkelen. Toch bestaan er oplossingen voor fraudepreventie waarvan is bewezen dat ze werken, zelfs tegen de zeer geraffineerde en geautomatiseerde aanvallen die hier beschreven zijn. Omdat elke rekeninghouder uniek is, zullen de oplichters altijd iets anders, iets onverwachts doen in vergelijking met legitiem gedrag. Oplossingen voor de detectie van afwijkingen blijken een zeer breed scala van fraudeaanvallen te kunnen constateren, zowel handmatige als automatische en niet alleen bekende maar ook nieuwe technieken. Deze oplossingen bewaken alle online en mobiele bankactiviteiten van elke rekeninghouder

19 en vergelijken hun online gedrag van inloggen tot uitloggen om legitieme patronen vast te stellen. De Amerikaanse Federal Financial Institutions Examination Council (FFIEC) heeft de effectiviteit van de afwijkingsdetectie ter preventie van bankfraude versterkt door deze in 2011 in zijn Guidance Supplement op te nemen als minimumvereiste voor een beveiligingsoplossing op meer niveaus. Onze onderzoekers zijn tot de conclusie gekomen dat de oplichters uitgaan van een traag en onsamenhangend detectiesysteem op basis van ethische hackers. Maar het model dat is gebruikt om Operation High Roller bloot te leggen laat zien hoeveel effect de samenwerking van het bedrijfsleven tegen fraude kan hebben. Guardian Analytics en McAfee hebben met verschillende technische middelen en gegevens bijgedragen aan het onderzoek op basis van complementaire perspectieven, klantprofielen en competenties. Door partnerschappen als dit kan de onderzoeksgemeenschap beter werk maken van het traceren van het geld tot de bron van de aanval. De beveiligingssector moet snel antwoord kunnen geven op vragen als: Waar gaat de transactie heen? Waar staat de transactieserver? Hoe moeten we samenwerken met wetshandhavers? Hoe kunnen we actuele dreigingsinformatie snel overbrengen aan bedreigde bedrijven (inclusief softwareleveranciers)? Hoe kunnen we het complexe gedrag van een aanval en het ecosysteem ervan sneller in kaart brengen? Tegenwoordig zijn sommige beveiligingsonderzoekers nog altijd simpelweg op zoek naar kwaadaardige binaire toolkits zoals SpyEye. Anderen besteden hun leven aan gedragsanalyse en de detectie van polymorfe malware. Malware is echter slechts een deel van het probleem. We moeten het systeem in elke fase bestrijden. McAfee investeert al op de onderstaande gebieden, maar onze onderzoekers en de rest van de beveiligingsgemeenschap zullen verder en sneller moeten gaan: Phishing: uitfilteren van verdachte s en kwaadaardige afzenders. Webservers: de webservers voor de automatische overschrijvingen niet na een paar maanden, maar in enkele minuten vinden en uitschakelen. Netwerk: gedragsgegevens vanuit het perspectief van het netwerkverkeer classificeren en protocollen en patronen (niet alleen binaries) in kaart brengen. Endpoint: het gedrag van de code eerder in het opstartproces beoordelen om rootkits en geheugenmanipulatie te herkennen, zwakke plekken in browsers en software (die aanvallers toegang bieden) detecteren en lijsten van toegelaten applicaties handhaven om het aanvalsbereik te verkleinen. We kunnen het. Het systeem bestaat al. Met McAfee Global Threat Intelligence kunnen sensoren bijvoorbeeld miljarden gegevenspunten in de cloud verzamelen. Onze systemen kennen nu al reputaties

20 toe aan kwaadaardige sites. Dit systeem kan ook worden gebruikt om verdachte transactieservers te herkennen en te blokkeren, een nieuwe toepassing van uitsluiting op basis van reputatie. De informatie die Operation High Roller heeft opgeleverd, heeft meer licht geworpen op de strategieën en de reikwijdte van innovatie in de wereld van financiële criminelen. Wij nodigen andere beveiligingsaanbieders en het mondiale bankwezen uit om in actie te komen tegen dit uitdijende fraudesyndicaat en soortgelijke toekomstige aanvallen door de detectie en informatie-uitwisseling te verbeteren. Hopelijk geeft dit rapport ook aanleiding tot meer gevoeligheid en alertheid bij de kapitaalkrachtige bedrijven en particulieren wier rekeningen worden geplunderd.

21 Bijlage De volgende kaarten illustreren waar de fraudeactiviteiten wereldwijd hebben plaatsgevonden. We hebben hoge concentraties van kwaadaardige servers aangetroffen in Oost-Europa, maar ook strategisch geplaatste servers in andere landen. De kaart van de aanval op de Verenigde Staten geeft een veel grotere footprint van de aanval te zien dan in de lijn van de verwachting lag gezien het uitblijven van soortgelijke aanvallen voorafgaand aan dit rapport. Afbeelding 8: Hostinglocaties van de servers die de frauduleuze transacties hebben uitgevoerd.

22 Afbeelding 9: De spreiding van command- & controlservers die zijn gebruikt tijdens de geautomatiseerde aanvallen op het banksysteem in de VS (analyse op basis van 16 varianten). Afbeelding 10: De spreiding van command- & controlservers die zijn gebruikt tijdens de geautomatiseerde aanvallen op het Europese banksysteem (analyse op basis van 44 varianten).

23 Afbeelding 11: Locaties van getroffen bedrijven in de VS die via een actieve campagne zijn opgespoord. De auteurs Dave Marcus is directeur Advanced Research and Threat Intelligence van McAfee Labs. Zijn aandachtsgebieden zijn onder meer open source -software en sociale media, SCADA- en ICS-systemen en onderzoek naar het gebruik van technologieën op basis van silicium voor het opsporen van bedreigingen. Tot zijn verantwoordelijkheden behoren verder betrokkenheid bij en onderzoek naar technologie voor sociale media. In zijn vrije tijd verzamelt hij gitaren, is hij een enthousiaste gewichtheffer en is hij medeoprichter van Unallocated Space, een hackerdomein in Maryland. Hij beoefent ook graag de kunst van lockpicking (schadeloos openen van sloten zonder sleutel) en demontage. Ryan Sherstobitoff is Threat Researcher bij Guardian Analytics. Voordien was hij Chief Security Strategist bij Panda Security, waar de strategische respons van de VS op nieuwe en opkomende bedreigingen onder zijn beheer viel. Ryan Sherstobitoff wordt alom erkend als beveiligings- en cloudexpert. McAfee McAfee, een 100% dochteronderneming van Intel Corporation (NASDAQ:INTC), is s werelds grootste, in beveiligingstechnologie gespecialiseerde bedrijf. McAfee levert beproefde proactieve oplossingen en services die helpen om systemen, netwerken en mobiele apparaten te beveiligen, wereldwijd; hierdoor kunnen gebruikers veilig verbinding maken met het Internet, browsen en winkelen op het Web. Het bedrijf beschikt over ongeëvenaarde

24 kennis van wereldwijde dreigingen en kan daardoor innovatieve producten maken die thuisgebruikers, bedrijven, overheidsinstellingen en service providers in staat stellen om aan regelgeving te voldoen, gegevens te beschermen, verstoringen te voorkomen, kwetsbare plekken te identificeren en onafgebroken hun beveiliging te bewaken en verbeteren. McAfee is onvermoeibaar gericht op het vinden van nieuwe manieren om onze klanten beschermd te houden. Guardian Analytics Guardian Analytics is opgericht en volledig gefocust op fraudepreventie voor financiële dienstverleners. Het vervult ons met trots om banken en kredietinstellingen van dienst te kunnen zijn die zich proactief opstellen en het voortouw nemen op het gebied van fraudepreventie. Onze klanten nemen hun belofte van veiligheid zeer serieus als een essentieel onderdeel van hun merknaam, hun reputatie en hun commitment om zowel zichzelf als hun rekeninghouders te beschermen tegen fraude. Onze oplossing FraudMAP voor het opsporen van anomalieën op basis van gedrag is ontwikkeld uitgaande van de directe en uitgebreide kennis en ervaring van onze medewerkers met fraudepreventie bij elektronisch bankieren, inclusief het oplossen van daadwerkelijke fraudegevallen. Deze kennis en ervaring is naast uitgebreide investeringen in intellectuele eigendom opgebouwd in de loop van vele jaren. McAfee, McAfee Labs, McAfee Global Threat Intelligence en het McAfee-logo zijn gedeponeerde handelsmerken of handelsmerken van McAfee, Inc. of diens dochterondernemingen in de Verenigde Staten en andere landen. Guardian Analytics en FraudMAP zijn gedeponeerde handelsmerken van Guardian Analytics, Inc. Andere merken en merknamen zijn mogelijk eigendom van andere partijen. De productplannen, - specificaties en -beschrijvingen in onderhavig document zijn uitsluitend ter informatie bedoeld, kunnen gewijzigd worden zonder voorafgaande kennisgeving en worden verstrekt zonder enige vorm van garantie, expliciet noch impliciet. Copyright 2012 McAfee, Inc. (logo) McAfee 2821 Mission College Boulevard Santa Clara, CA