Hoe cybercriminelen van banken gestolen geld witwassen

Voordat dieven van hun via cybermisdaad verkregen inkomsten kunnen genieten, moeten ze eerst door een aantal hoepels springen. We bespreken hier wat daar allemaal bij komt kijken.

Voor sommige groepen cybercriminelen zijn aanvallen op banken en andere financiële instellingen als een soort lopende band. Veel mensen weten dat het traceren van gestolen geld normaal gesproken onmogelijk is, maar niet iedereen weet waarom dat zo is. Een gezamenlijk rapport van BAE Systems en onderzoekers van het betalingssysteem SWIFT leg uit hoe cybercriminelen hun gestolen geld witwassen.

Bron en bestemming van het geld

Er zijn twee scenario’s voor aanvallen op banken: aanvallen op de infrastructuur en rekeningen, of op pinautomaten en gerelateerde systemen. De verschillende manieren voor het stelen en vervolgens witwassen van het geld verschilt enigszins, maar de essentie en het doel zijn hetzelfde: crimineel verkregen geld terug in het legitieme financiële systeem krijgen.

Het witwasproces bestaat traditioneel uit drie fases:

  • Plaatsing: de eerste overschrijving van de rekening van een slachtoffer naar de rekeningen van de fraudeurs, of een storting van gestolen geld;
  • Versluiering: een reeks transacties ontworpen om de oorsprong van het geld en de echte eigenaar ervan te verdoezelen;
  • Integratie: investering van het nu witgewassen geld in legale of criminelen activiteiten.

De laatste fase, de herintegratie van het witgewassen geld in de economie, zou een aparte post kunnen vullen, dus die bespreken we hier niet in detail. Maar voor een succesvolle aanval is er lang voordat het geld wordt gestolen al zorgvuldige planning vereist en moeten deze legalisatie-mechanismes al klaarstaan. Dat is nog een fase: voorbereiding.

Voorbereiding

Om het snel verplaatsen van het gestolen geld mogelijk te maken openen cybercriminelen vaak tal van rekeningen die eigendom zijn van individuen of rechtspersonen. Deze rekeningen kunnen toebehoren aan nietsvermoedende slachtoffers die gehackt zijn, mensen die gedwongen zijn om deel te nemen aan de frauduleuze operatie, of vrijwilligers.

Deze laatste groep staat ook wel bekend als geldezels. Sommige criminelen gebruiken geldezels om rekeningen te openen met valse of gestolen documenten (een ingewikkelde taak waar een insider in de bank voor nodig is). Rekruteringsbureaus koppelen deze partijen aan elkaar met functieomschrijvingen met vage bewoordingen zoals “faciliteren van investeringen van financiën”. In veel gevallen weten geldezels dondersgoed dat wat ze doen niet helemaal pluis is, maar worden ze verblind door de beloning. Vaak worden dit soort “medeplichtigen” echter ook bedrogen.

Plaatsing

Zodra de cybercriminelen het gestolen geld hebben overgemaakt naar een rekening (met gebruik van malware, social engineering of een insider), is het de beurt aan de geldezels:

  • Ze verplaatsen het geld naar andere rekeningen om potentiële trackers op een dwaalspoor te brengen.
  • Ze kunnen goederen bestellen, naar hun eigen of een ander adres;
  • Ze kunnen het geld bij pinautomaten opnemen.

Een truc om onwetende geldezels aan te trekken is om ze aan te nemen om voor een bedrijf dat zogenaamd buitenlanders helpt om goederen in winkels te kopen die niet naar het buitenland leveren, en om dus pakketjes te ontvangen en door te sturen met de internationale post. Dit soort werk duurt een maand of twee, tot de politie op de deur komt kloppen.

Versluiering

Als medeplichtigen die op de hoogte zijn vervolgens de goederen of het geld ontvangen, gebruiken ze reeds lang bestaande criminele praktijken om de buit legaal te maken. Geld kan bijvoorbeeld worden ingewisseld voor vrij inwisselbare valuta (vaak dollars); goederen (vaak elektronica) worden vaak rechtstreeks aan kopers of tweedehandswinkels verkocht. Wisselkantoren en winkels die deze items kopen moeten natuurlijk bepaalde mechanismes hebben om illegale transacties te detecteren, maar die kunnen worden omzeild door ofwel nalatigheid of insiders. Vervolgens maakt een derde partij het geld over naar de organisatoren van het hele plan.

Hoewel geldezels kunnen worden gepakt en hun percentage in beslag kan worden genomen, blijft het grootste gedeelte van de opbrengsten, en dus ook de meesterbreinen die achter de hele operatie zitten, onder de radar.

Vervolgens maken de misdadigers gebruik van “klassieke” criminele methodes zoals het aanschaffen van juwelen of metalen (dit soort bedrijven geeft nog altijd vaak de voorkeur aan contant geld) of het kopen van chips in een casino om het geld wit te wassen.

Als het geld echter in digitale vorm blijft bestaan via verdere transacties, dan omvat het proces globaal opererende postbusbedrijven. Dit soort bedrijven is vaak gevestigd in landen waar er geen sprake is van strenge controle over financiële transacties, of waar er juist strenge wetten gelden die de geheimhouding van geldoverschrijvingen beschermen. Na nog een paar overschrijvingen, waarbij het geld wordt opgedeeld in verschillende valuta, wordt de herkomst van het geld nog verder verdoezeld. Deze firma’s zijn niet noodzakelijkerwijs onbetrouwbaar, maar vaak bedrijven waarvan de activiteiten gedeeltelijk legaal zijn.

Nog niet zo lang geleden kwamen ook cryptovaluta op de lijst van tools voor het witwassen van geld te staan. Cybercriminelen vinden die interessant omdat gebruikers geen persoonlijke gegevens hoeven te verstrekken om transacties te voltooien. Het gebruik van cryptovaluta voor het witwassen van geld is echter niet ideaal: de anonimiteit van gebruikers gaat samen met blockchain-transparantie, waardoor er voor het opnemen van geld veel transacties nodig zijn. In 2018 nam de groep Lazarus bijvoorbeeld 30 miljoen dollar op na het hacken van een cryptovaluta-uitwisseling, en maakte vervolgens 68 overschrijvingen in vier dagen tussen verschillende portemonnees.

Praktische conclusies

Zoals we kunnen zien hebben cybercriminelen complexe witwasprogramma’s gebouwd die uit meerdere fases bestaan, waarin ze met rekeningen, bedrijven, rechtsvormen, valuta en jurisdictie spelen, allemaal binnen een tijdsbestek van dagen, terwijl sommige bedrijven dan nog niet eens doorhebben dat ze aangevallen zijn.

Daarom is het logisch dat banken het heft in eigen hand nemen en dus cybersecurity-infrastructuren creëren die de risico’s van gehackte en gekaapte financiële systemen minimaliseren. Wij bieden een platform dat op maat is gemaakt voor banken en andere financiële instellingen: Kaspersky Fraud Prevention. Dit platform biedt niet alleen analyses van gebruikersgedrag en controle van financiële transacties, maar volgt ook pogingen om gestolen geld wit te wassen via organisaties van gebruikers. U kunt meer over deze oplossing lezen op de website.

Tips