Handel in digitale credentials van duizenden Nederlanders

Onderzoekers van de TU Eindhoven hebben een enorme en geavanceerde zwarte markt voor handel in online ‘vingerafdrukken’ ontdekt. Het gaat om gedetailleerde gebruikersprofielen die door criminelen worden gebruikt om authenticatiemethoden te omzeilen die online geheimen beveiligen.

Beveiliging op internet is een nooit eindigend kat-en-muisspel. Beveiligingsspecialisten bedenken voortdurend nieuwe manieren om gegevens te beschermen, maar ook cybercriminelen komen steeds met nieuwe en slimme manieren om die verdediging te ondermijnen. Onderzoekers van de TU / e hebben nu bewijs gevonden van een zeer geavanceerde Russische online marktplaats die honderdduizenden zeer gedetailleerde gebruikersprofielen verhandelt. Deze persoonlijke ‘vingerafdrukken’ stellen criminelen in staat om geavanceerde authenticatiesystemen te omzeilen, waardoor ze toegang krijgen tot waardevolle gebruikersinformatie, zoals creditcardgegevens.

Zeer winstgevende illegale handel
Onze online economie is afhankelijk van gebruikersnamen en wachtwoorden om ervoor te zorgen dat de persoon die iets koopt of geld overmaakt op internet, ook echt de persoon is die hij zegt. Deze beperkte manier van authenticatie is echter verre van veilig gebleken, aangezien mensen de neiging hebben om hun wachtwoorden te hergebruiken voor verschillende diensten en websites. Dit heeft geleid tot een enorme en zeer winstgevende illegale handel in gebruikersgegevens: volgens een recente schatting (uit 2017) werden in een jaar tijd ongeveer 1,9 miljard gestolen identiteiten verkocht via ondergrondse markten.

Complexere authenticatiesystemen
Het zal geen verrassing zijn dat banken en andere digitale diensten complexere authenticatiesystemen hebben bedacht, die niet alleen vertrouwen op iets dat de gebruikers weten (hun wachtwoord), maar ook op iets dat ze hebben (bijvoorbeeld een token). Dit proces, bekend als multi-factor authentication (MFA), beperkt de kans op cybercriminaliteit, maar heeft ook nadelen. Omdat het een extra stap toevoegt, nemen veel gebruikers niet de moeite om zich ervoor te registreren, waardoor slechts een minderheid van de mensen er gebruik van maakt.

Alternatief authenticatiesysteem
Om dit probleem te verhelpen, is onlangs een alternatief authenticatiesysteem populair geworden bij diensten zoals Amazon, Facebook, Google en PayPal. Dit systeem, bekend als Risk-based Authentication (RBA), kijkt naar ‘gebruikersvingerafdrukken’ om iemands inloggegevens te controleren. Dit kan basale technische informatie zijn, zoals type browser of besturingssysteem, maar ook gedragskenmerken, zoals muisbeweging, locatie en toetsaanslagsnelheid. Als de vingerafdruk voldoet aan wat van een gebruiker wordt verwacht – op basis van eerder gedrag – mag hij meteen inloggen met alleen zijn gebruikersnamen en wachtwoorden. Als dit niet het geval is, is aanvullende authenticatie via een token vereist.

Phishingkits
Cybercriminelen hebben natuurlijk snel manieren bedacht om RBA te omzeilen. Bijvoorbeeld door phishingkits te ontwikkelen die ook vingerafdrukken bevatten. Ze hebben het echter moeilijk gevonden om hiervan een effectief en winstgevend bedrijf te maken. Een van de redenen is dat deze gebruikersprofielen in de tijd en tussen services variëren en moeten worden verzameld via aanvullende phishing-aanvallen.

Russische marktplaats
Onderzoekers van de TU / e hebben nu bewijs gevonden van een grootschalige en zeer geavanceerde markt die deze grenzen lijkt te overwinnen. De marktplaats, die is gevestigd in Rusland, biedt meer dan 260.000 zeer gedetailleerde gebruikersprofielen, samen met andere gebruikersreferenties, zoals e-mailadressen en wachtwoorden. “Het unieke aan deze ondergrondse website is niet alleen de schaal, maar ook het feit dat alle profielen continu worden bijgewerkt, waardoor ze hun waarde behouden”, zegt Luca Allodi, onderzoeker bij de Security-groep van de afdeling Wiskunde en Computerwetenschappen, die samen met promovendus Michele Campobasso verantwoordelijk was voor het onderzoek. “Bovendien kunnen klanten de database doorzoeken, zodat ze precies de internetgebruiker kunnen selecteren die ze willen aanvallen, waardoor zeer gevaarlijke spearphishing-aanvallen mogelijk zijn. Ze kunnen ook software downloaden die automatisch de gekochte gebruikersprofielen laadt op de beoogde websites.”

Geavanceerde criminele marktplaats
Om de systematische aard van de website te benadrukken, hebben Allodi en Campobasso de term ‘Impersonation-as-a-service’ (IMPaaS) bedacht, in navolging van bekende cloud computing-services zoals SaaS (software-as-a-service) en IaaS (infrastructuur als een service). “Voor zover we weten is dit de grootste en meest geavanceerde criminele marktplaats om deze diensten systematisch aan te bieden.”
Onderzoek doen naar de markt was niet eenvoudig. Om toegang te krijgen tot de lijsten met beschikbare gebruikersprofielen, moesten de onderzoekers speciale uitnodigingscodes bemachtigen die door bestaande gebruikers werden gedeeld. Het verzamelen van de gegevens was ook moeilijk, aangezien de platformbeheerders actief toezicht houden op ‘malafide’ accounts. De onderzoekers hebben ook besloten om de echte naam van de website geheim te houden om het risico op vergeldingsacties van de marktdeelnemers te minimaliseren.

Prijs van een ‘virtuele identiteit’
De prijs van de ‘virtuele identiteit’ van een gebruiker op de markt varieert van 1 dollar tot ongeveer 100 dollar. Toegang tot cryptocurrency-profielen en webmoney-platforms lijkt het meest gewaardeerd te worden. “Alleen al de aanwezigheid van minstens één cryptogerelateerd profiel verdubbelt bijna de gemiddelde profielwaarde”, zegt Allodi.
Een andere belangrijke factor die de prijs opdrijft, is de rijkdom van het land waar de gebruiker zich bevindt. “Dit is logisch: aanvallers die gebruikersprofielen willen nabootsen en er geld mee willen verdienen, kennen een grotere waarde toe aan profielen die waarschijnlijk grotere financiële voordelen zullen opleveren, en deze zijn vooral te vinden in ontwikkelde landen”, aldus Campobasso.

Echte vingerafdrukken
Ook zeer gewaardeerd zijn gebruikersprofielen die toegang geven tot meer dan één service en profielen met ‘echte’ vingerafdrukken, in tegenstelling tot vingerafdrukken die door het platform worden ‘gesynthetiseerd’.
In hun paper beschrijven de onderzoekers ook enkele voorbeelden van hoe criminelen deze profielen ‘bewapenen’, die ze vonden op een geheim Telegram-kanaal dat wordt gebruikt door platformklanten. In een van de gemelde aanvallen beschrijft een aanvaller het instellen van filters voor de e-mailboxen van een slachtoffer, met als doel meldingen van Amazon te verbergen over aankopen die de aanvaller heeft gedaan met het Amazon-account van het slachtoffer.

Allodi en Campobasso presenteren hun onderzoek tijdens de virtuele ACM CCS security conference, die van 9 tot 13 november wordt gehouden. Het rapport is hier te downloaden.

Gedeeld

Geef een reactie