Cybercriminelen worden door slechts één ding gedreven, en dat is geld. Als organisaties iets meer inzicht krijgen in hoe deze boeven werken, kunnen ze effectievere maatregelen nemen en de oplichters vaak zelfs te slim af zijn. Paul Ducklin, senior security adviseur bij Sophos, legt uit hoe cybercrime werkt.
‘Zijn het tech-wizards? Supernerdy programmeurs? Spamkoningen of hardcore reverse engineers? Nee. Cybercriminelen hoeven weinig tot geen verstand te hebben van de achterliggende technologie. Het enige dat ze moeten bezitten is een vastberadenheid om de wet te overtreden en illegaal rijk te worden over de rug van onschuldige slachtoffers’, stelt security adviseur Paul Ducklin. Bovendien mag het vooruitzicht van een behoorlijke tijd in een cel dit soort oplichters niet deren. De kans is namelijk steeds groter dat ze een keer gepakt gaan worden.
Het feit dat ze zelf geen technische kennis hoeven hebben, komt doordat er een rijke, ondergrondse malware as a service-industrie bestaat, waar criminelen die wél technische kennis hebben hun in elkaar geknutselde malware verhuren en verkopen aan boeven die daar behoefte aan hebben. ‘Natuurlijk moet je je als ‘wannabe’-boef wel eerst bewijzen. Ze nemen niet zomaar het risico om hun spullen aan de eerste de beste te verkopen. Maar zodra je als crimineel hebt bewezen aan de slechte kant te staan, gaat er een (onder)wereld voor je open.’
Slachtoffers vinden
Cybercriminelen hebben verschillende manieren om hun slachtoffers geld af te troggelen. Daarvoor zijn vrij veel tussenstappen nodig. En juist al die tussenstappen bieden slachtoffers de mogelijkheid om een succesvolle aanval te onderbreken. De eerste stap die oplichters moeten nemen is het vinden van hun slachtoffers. Daar gebruiken ze zes kernmanieren voor.
Spam. Vaak starten digitale boeven met het versturen van spam. Hoewel de hoeveelheid spam vermindert, worden er dagelijks nog miljarden berichten verstuurd in de hoop dat een klein percentage door de spamfilters komt. En dan is het nog de truc een aantal mensen ervan te overtuigen om minder op hun hoede te zijn en op een link te klikken of geld over te maken. Waar malware voorheen vooral als attachment werd verzonden, wordt het tegenwoordig vooral via het web verspreid.
Phishing. Via email worden niet alleen spam-aanbiedingen gedaan, digitale oplichters gebruiken e-mail ook graag voor het achterhalen van persoonlijke en financiële gegevens van slachtoffers.
Social media. Zoals gezegd is de meeste spam naar het web verhuisd. Gebruikers klikken eerder op links in advertenties op sociale media als ze van een bekende of vriend lijken te komen.
Search poisoning. Oplichters proberen tegenwoordig ook zoekmachineresultaten te manipuleren. Dit wordt search poisoning, oftewel het vergiftigen van zoekresultaten, genoemd. Het leidt tot ‘vergiftigde’ resultaten die leiden naar exploits, malware en phishing sites.
Drive-by downloads. Het grootste aantal slachtoffers komt in handen van criminelen door websites te bezoeken die exploits bevatten. Dit worden ‘drive-by downloads’ genoemd. ‘SophosLabs ziet iedere dag dertigduizend nieuwe url’s die onschuldige internetters blootstellen aan een grote verscheidenheid aan kwaadaardige code die probeert om kwetsbaarheden te zoeken in besturingssystemen, browsers, plugins en applicaties.’
Malware. Wormen, virussen en andere malware worden ook nog steeds gretig gebruikt door cybercriminelen. Hoewel ze minder gangbaar zijn dan tien jaar terug, gebruiken oplichters ze nog immer om systemen te infecteren en de apparatuur van slachtoffers te kunnen gebruiken.
Activiteiten te gelde maken
Als cybercriminelen eenmaal hun slachtoffers hebben gevonden, zijn er verschillende manieren om geld te verdienen. De meest basale manier om geld te verdienen met malware, spam of een gecompromitteerde website is het verkopen van een product. Vaak gaat het niet eens om nepbedrijven, maar versturen ze namaakproducten die pretenderen Viagra, Rolex of Gucci te zijn.
Logins stelen. Door logins te bemachtigen kunnen oplichters eveneens geld verdienen. Criminelen maken gebruik van social engineering technieken die ze afkijken bij bekende grote merken. Zo verzamelen ze gebruikersnamen en wachtwoorden die worden geassocieerd met waardevolle websites zoals PayPal, banken, webmail en sociale media. Het is vrij eenvoudig voor de boeven om deze bedrijven na te doen, aangezien vrijwel alles tegenwoordig online en dus digitaal gaat. Ze stelen simpelweg de echte communicatie en veranderen de links in die berichten zodat deze verwijzen naar valse websites. Daar worden de inloggegevens van de slachtoffers afhandig gemaakt.
Advertentiefraude. Zodra cybercriminelen de computer van een slachtoffer hebben overgenomen, kunnen ze daarop malware installeren die internetverkeer manipuleert. Ze leiden de kliks van de gebruiker om naar advertenties op de webpagina van de oplichters. Zij verdienen vervolgens geld via advertentienetwerken door verkeer naar de advertenties van hun klanten te genereren.
Ransomware. Ransomware is malware die de bestanden op de computer van een slachtoffer gijzelt. Het versleutelt de bestanden en een gebruiker kan die alleen terugkrijgen door een som losgeld te betalen. Oplichters gebruiken de nieuwste encryptietechnologie en alleen zij hebben de beschikking over de sleutel die de encryptie van de bestanden kan opheffen.
Social media spam. Spam via e-mail bezorgen wordt met de dag lastiger. Spamfilters blokkeren vrijwel 99 procent van alle berichten. Bovendien weten gebruikers nep-afzenders steeds beter van echte afzenders te onderscheiden. Maar spammers hebben in Twitter en Facebook nieuwe, dankbare verspreidingsmethodes gevonden. Oplichters kunnen toegang tot gestolen inloggegevens kopen of gebruikers ervan overtuigen om de spamberichten voor hen te versturen. Het gaat ze om het sociale kapitaal van de slachtoffers, hoe meer vrienden en volgers iemand heeft, hoe meer mensen kunnen worden gespamd. Gebruikers zijn veel meer geneigd om op berichten te klikken waarmee ze een iPad kunnen winnen of op miraculeuze wijze twintig kilo kunnen afvallen als ze afkomstig zijn van iemand die ze kennen en vertrouwen.
Bankmalware. Er is een gespecialiseerde industrie ontstaan rondom het buitmaken van authenticatie-informatie waarmee gebruikers bijvoorbeeld online bankieren. Hoewel het begon als eenvoudige software waarmee de aangeslagen toetsen konden worden gelogd en waarmee vooral de gebruikersnaam en wachtwoord werden onderschept, is het inmiddels uitgegroeid tot een geavanceerd kat-en-muis-spel tussen criminelen en het bankwezen. Er zijn trojans die sms-berichten kunnen lezen en video’s kunnen maken van het beeldscherm terwijl een gebruiker inlogt. Deze video’s worden vervolgens geupload naar de cybercriminelen.
Sms-fraude. Social media spammers gebruiken veelal sms-diensten om slachtoffers geld afhandig te maken. Als een gebruiker op internet zijn mobiele nummer achterlaat om te worden ingelicht als er bijvoorbeeld iets gewonnen is, schrijven digitale boeven deze gebruiker in voor een dure sms-dienst. Ook apps in de Play Store kunnen uitgerust zijn met een extra programmaatje dat kostbare sms’jes stuurt naar nummers die in handen zijn van de oplichters.
Bescherm de organisatie tegen cybercriminelen
Zolang cybercriminelen geld kunnen verdienen, zullen ze dat niet nalaten. Hoewel de strijd tegen cybercrime af en toe ontmoedigend kan lijken, is het een gevecht dat te winnen is. Digitale oplichters moeten een serie stappen zetten om succesvol te zijn en die keten hoeft alleen maar onderbroken te worden om ze tegen te houden.
‘Natuurlijk is technologie belangrijk als het gaat om security’, stelt Ducklin. ‘Maar alles daaromheen is net zo belangrijk. Zorg dat systemen up-to-date zijn, dat er back-ups worden gemaakt en getest en, wellicht het meest belangrijke van allemaal, dat iedereen in het bedrijf beseft welke verantwoordelijkheid hij of zij heeft als het gaat om security. Uiteindelijk is de mens de zwakke schakel in dit geheel, dus bewustwording is enorm belangrijk.’
De meeste aanvallen die succesvol zijn, komen op een moment dat gebruikers en organisaties niet voldoende op hun hoede zijn. ‘Het is niet ‘set-and-forget’. Cybersecurity is niet zoals een verzekering. Een verzekering helpt je herstellen na een ramp. Cybersecurity is veel meer te vergelijken met een rookalarm. Het gaat erom dat organisaties zich bewust zijn van de risico’s die ze lopen. Dat ze weten waar hun kwetsbaarheden zitten en hun processen en systemen zo inrichten dat deze risico’s en kwetsbaarheden worden verkleind. Security moet altijd ‘top-of-mind’ blijven.’
Zolang we als gewone mensen aardig blijven en anderen willen helpen, en er boeven zijn die daar misbruik van willen maken, blijft er een flink gat zitten in de beveiliging.
De kunst is dus om te weten wat je wel en niet met derden kunt delen. Maar dat valt voor een gewone burger niet meer echt mee. Moet je nu wel een email of een brief van de bank geloven? en moet je als dat niet zo is dan echt dat telefoonnummer bellen dat in die email staat? of had je nog een ander nummer? Het wordt steeds moeilijker.
Neem de bank. In de portal zeggen ze continue dat ik mijn e-mail adres nog niet geactiveerd heb…. nu kunnen ze me geen spam sturen. Maar nu weet ik ook zeker dat er niets van klopt als ik toch e-mail van de bank krijg.
Deze dagen lopen de mailboxen weer vol met facturen. Wie is in staat het verschil te zien tussen een spam mail met onderliggende kwalijke bedoelingen en de factuur die wel echt betaald moet worden.
Ik denk dat er toch wel weer een paar mensen intrappen.
Wie weet trap ik er zelf ook nog eens in. Je kunt tenslotte niet tegen iedereen bot doen en de hele dag 100% scherp zijn.
Er zijn niet alleen op geld beluste criminelen op het internet actief, maar ook totalitaire overheden (zoals China), staten-binnen-de-staat (zoals de NSA) en ideologisch gemotiveerde groepen. Als je alleen naar het geld kijkt, is je blik echt te beperkt.
Het is natuurlijk een goede reminder weer eens te wijzen op de gevaren die het www en email met zich mee brengt. Overigens, de perikelen van de cybercrimisten volgend en en simulerend, heel veel mensen roepen namelijk met de regelmaat van de klok zomaar wat, is het uitgangspunt zeker in meer dan de helft van de gevallen financieel georiënteerd.
Spam
Wat ik ook criminaliteit vind is ongevraagde spam die geent is op, u voelt hem al aankomen, de content die ik links en recht bekijk. Er schijnt namelijk al een mogelijkheid te zijn dat wanneer ik een cookie accepteer, en u weet wel, ouderwetse organisaties enzichzelf ‘IT professionals’ noemende lieden die u en mij middels een pop up laten weten dat zij wettelijk verplicht zijn, u en mij op de hoogte te stellen dat zij gebruik maken van een cookie en dat we die moeten accepteren omdat…… email gegevens weten te distilleren waarna men dus overgaat tot het ongevraagd toezenden van allerlei nieuwsbrieven.
Overigens voor die Amateurs: Uw website word echt niet beter als ik uw cookie als of niet accepteer en nee, u maakt voor mij niet uit of ik uw website goed zou willen of om het even welk excuus u gebruikt om mij te dwingen uw cookie te accepteren. Uw cookie wordt namelijk meteen daarna middels een eenvoudig scriptje verwijderd.
Bewustwording
Als men nu nog niet weet dat banken/verzekeringen niet uit eigener beweging u emailen om financiële zaken te regelen, die vraagt er een beetje om. Maar dat ter zijde. Bij verschillende organisaties werkzaam te zijn, zie ik het nog steeds gebeuren dat a: de gebruiker nog steeds niet altijd bedacht is op de gevaren die www en email met zich meebrengen, overigens, ook wifi om maar even iets te noemen. En b. ik IT professionals nog steeds niet voldoende bedacht zijn op het veiligheidsaspect van hun individuele IT discipline. Neen beste IT professional en collega, u bent mede verantwoordelijk voor het verhogen van bewustzijn en veiligheid.
Als laatste hebben we dan nog niet genoemd de criminele afpersers die dreigen met minstens een Ddos o.i.d. om hun statement te maken of andere ideële zaken af te dwingen. Want ook dat zijn in mijn ogen best wel criminelen die een organisatie heel veel kwaad kunnen berokkenen.
Misschien moeten we dan toch maar stoppen met het byod verhaal?