Je had er op kunnen wachten: cybercriminelen hebben social media ontdekt! En dan bedoel ik niet als doelwit, want dat weten we al heel lang. Nee, zij hebben social media ontdekt als plek om zich te verenigen. Om elkaar op de hoogte te houden. En om allerlei illegale zaken te koop aan te bieden. Het gebeurt allemaal openlijk, het dark web is hier helemaal niet voor nodig. Want het blijkt nog niet zo makkelijk om dit soort criminele verenigingen te verwijderen. Dat weten hun leden natuurlijk ook.
De afgelopen maanden heeft Talos, de ‘threat intelligence’-tak van Cisco, diverse groepen gevolgd die zich op Facebook bezig hielden met allerlei cybercriminele activiteiten. Veel van die groepen hebben namen die er niet om liegen: bijvoorbeeld ‘Spam Professional’, ‘Spammer & Hacker Professional’, ‘Facebook hack (Phishing) en ‘Buy Cvv On THIS SHOP PAYMENT BY BTC ??’. Ondanks dit soort namen blijkt dat enkele van die groepen er in zijn geslaagd jarenlang op Facebook actief te zijn. Ze hebben in de loop van de tijd tienduizenden groepsleden weten aan te trekken.
Aanbevelingen
Talos heeft 74 van dergelijk groepen in kaart gebracht. Zij houden zich bezig met onder meer de verkoop van accountgegevens, credit card- en bankgegevens, identiteitsbewijzen, lijsten met e-mailadressen en tools voor het versturen van spam. Ook worden diensten aangeboden voor het vervalsen van documenten, het verplaatsen van grote hoeveelheden cash en het overmaken van grote sommen geld zonder dat er een melding naar de autoriteiten gaat. In de monitoringgegevens van Talos zijn zaken die die in deze groepen worden aangeboden ook terug te zien. Dat betekent dat ze daadwerkelijk worden gebruikt om organisaties aan te vallen.
Samen hebben deze groepen ongeveer 385.000 leden. Zodra iemand zich voor zo’n groep heeft aangemeld komen de algoritmen van Facebook in actie om vergelijkbare groepen aan te bevelen. Het wordt de (potentiële) cybercrimineel wel erg makkelijk gemaakt.
Fijn gezelschap
Vanzelfsprekend is Talos in actie gekomen. We hebben samengewerkt met Facebook om deze groepen te laten verwijderen. De meeste werden direct verwijderd, maar we zagen dat er meteen weer nieuwe kwaadaardige groepen werden opgericht. De algoritmen zorgen er vervolgens voor dat deze groepen onder de aandacht worden gebracht. Het is ook niet altijd makkelijk om vast te stellen hoe succesvol dit soort activiteiten zijn en of individuele leden kwaad in de zin hebben. Fijn gezelschap is het elk geval niet, er komen veel klachten binnen van groepsleden die zijn opgelicht door hun medegroepsleden. Het doet me denken aan de moeite die het kost om criminele motorclubs uit te bannen. Het valt niet mee om aan te tonen dat de hele club criminele activiteiten onderneemt, of dat het ‘slechts’ enkele leden betreft. En als een club verboden wordt kunnen de leden de volgende dag gewoon een nieuwe club oprichten.
Actie social media platforms, hun gebruikers en securityleveranciers
Facebook is natuurlijk niet het enige social media platform dat door cybercriminelen wordt benut. Andere populaire platforms zijn Reddit, Twitter en YouTube. Ook een messaging service zoals Telegram trekt foute gebruikers. Deze platforms zullen hun inspanningen moeten opvoeren, maar de praktijk laat zien dat het weren van ongewenste zaken niet meevalt. Er zullen waarschijnlijk wel algoritmen komen waarmee deze platforms misbruik en criminele activiteiten beter kunnen opsporen of zelfs voorkomen. Maar zover is het nog niet en dat betekent dat er intensiever moet worden samengewerkt om kwaadaardige groepen op te sporen en te verwijderen. Uitwisseling van informatie is essentieel: tussen social media platforms, hun securityteams en securityleveranciers. Gebruikers van deze platforms kunnen een belangrijke rol spelen: meldt verdachte activiteiten direct!
Michel Schaalje, Directeur Security Cisco Nederland
