Home Security De criminele waarde van gegevens

De criminele waarde van gegevens

Fox-IT -
169

De laatste maanden zijn cybercriminelen erin geslaagd grote hoeveelheden (persoons)gegevens te stelen. Die verkopen ze vervolgens via online marktplaatsen die te vinden zijn op het dark web. Af en toe slaagt de politie erin zo’n marktplaats op te rollen, het meest recente voorbeeld is Genesis Market die na onderzoek van FBI, Europol en de Nederlandse politie offline werd gehaald (Operation Cookiemonster).

Cybercriminelen vergaren grote hoeveelheden persoonsgegevens via een hack of  phishing. We zien ook het gebruik van kwaadaardige software (malware) die bijvoorbeeld in misleidende bestanden, applicaties of browser plug-ins kan zitten en die data wegsluist. Een slachtoffer kan deze onbewust op zijn computer of telefoon hebben geïnstalleerd.

Wat er bij datalekken precies wordt gestolen is lang niet altijd duidelijk. Voor de hand liggen gebruikersnamen, wachtwoorden, telefoonnummers, bankrekeningnummers of burgerservicenummers. Maar er is meer, want hoe persoonlijker en recenter de informatie verbonden is aan een slachtoffer, hoe waardevoller het is voor een crimineel. Denk hierbij aan een banksaldo, cryptowallet-gegevens, facturen van energiebedrijven of webshopaankopen. Op Genesis Market werden miljoenen gebruikersprofielen verhandeld en waren ook gegevens te koop zoals browser cookies en zogeheten sessie tokens. Dit zijn technische details met informatie over welke websites iemand bezoekt, met welke browser en verdere aanmeldgegevens en details van de gebruiker. Dat levert een profiel op met unieke informatie.

Op online platformen zoals Genesis Market kunnen criminelen terecht voor allerhande diensten, maar dat kan ook via social media of chat applicaties. Hier kunnen criminelen gestolen informatie, maar ook draaiboeken of uitgebreide handleidingen voor kwalijke zaken kopen en verkopen.

Hoe worden gestolen gegevens misbruikt?

Het soort informatie waar een aanvaller over beschikt bepaalt de aard van de aanval. Hoe meer informatie een aanvaller heeft over een persoon, hoe geavanceerder de trucjes kunnen zijn om het slachtoffer geld afhandig te maken. Dit gebeurt steeds vaker door middel van social engineering: het slachtoffer wordt overgehaald om, vaak met de nodige urgentie, bepaalde acties te verrichten.

Zo kan een aanvaller die beschikt over iemands (e-mail-)adres en telefoonrekening zich voordoen doen als een telefoonprovider om het slachtoffer over te halen om geld over te maken om afsluiting te voorkomen. Een aanvaller kan ook contact opnemen met een organisatie en zich voordoen als een legitieme klant en zo informatie ontfutselen. De kans dat dit allemaal lukt wordt een stuk groter als de aanvaller beschikt over de informatie die providers gebruiken voor het verifiëren van de klant (zoals geboortedatum, postcode, huisnummer). In WhatsApp-fraudes, doet de aanvaller zich zo betrouwbaar mogelijk voor als vriend of familie van het slachtoffer, wendt een precaire situatie voor en vraagt om geld. Ook hier: hoe meer de crimineel van het slachtoffer weet, hoe groter de kans op succes.

Op Genesis Market werden ook profielen aangeboden met persoonlijke browserinformatie. Hiermee kan de aanvaller de browsers van slachtoffers nabootsen, waardoor het tijdens het inloggen voor een webshop lijkt alsof de inlog komt van de bekende en vertrouwde computer van het slachtoffer. Dit helpt een aanvaller met het omzeilen van de standaard detectie van niet-legitieme logins.

Hoe kunnen organisaties zich beschermen? 

Organisaties met websites of applicaties kunnen verschillende maatregelen treffen tegen illegale logins om de veiligheid van hun klanten te waarborgen.

Ten eerste: een streng login- en wachtwoordbeleid hanteren. Dat betekent bijvoorbeeld dat het aantal karakters meer dan tien of twaalf moet zijn. Adviseer de klant dan om gebruik te maken van een ‘wachtzin’ in plaats van een wachtwoord. Beperk het aantal loginpogingen van een gebruiker binnen een bepaalde periode om brute force aanvallen tegen te gaan. Onder een streng loginbeleid valt ook het verplichten van een multi-factor authenticatie, bijvoorbeeld One Time Password tokens via SMS of een applicatie als Google Authenticator. Een tweede verificatiestap is voor aanvallers moeilijker te passeren. Daarnaast is het sterk aan te raden om lifetime browser cookies en permanente logins zo veel mogelijk te beperken. Dat maakt het moelijker voor aanvallers om een websessie over te nemen met behulp van gestolen browserdata.

Ten tweede: gevoelige informatie, zoals accountoverzichten, facturen en e-mails met een bestelbevestiging, zoveel mogelijk maskeren. Geef bijvoorbeeld telefoonnummer, adres of betaalrekening niet volledig weer. Als aanvallers zich toch toegang weten te verschaffen, krijgen zij minder in handen om een social engineering aanval succesvol uit te voeren.

Ten derde, voor organisaties met een website: zoveel mogelijk inzichten verkrijgen om normaal gebruikersgedrag te onderscheiden van frauduleus gedrag. Het helpt ook om klanten op de hoogte te stellen van actuele dreigingen en frauduleuze activiteiten. Een goed voorbeeld is hoe banken hun klanten gedetailleerd berichten wanneer fraudepogingen worden gedaan door aanvallers die zich voordoen als de helpdesk. Houd ten slotte in het achterhoofd dat aanvallers niet alleen slachtoffers direct benaderen, maar net zo goed via organisaties gevoelige, persoonsgebonden informatie kunnen verkrijgen.

Ariela Lopez, Fraude Analist bij Fox-IT’s afdeling voor fraudepreventie bij financiële instellingen

 

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in