Marktplaats voor cybercriminelen: staat uw profiel te koop?

Als cybercriminelen toegang willen tot interne systemen van uw bedrijf, moeten ze eerst een ingang daartoe vinden. Aanvallers komen bijvoorbeeld binnen via een kwetsbaarheid in de applicatie die u gebruikt of met behulp van een aanval via e-mail. Maar met online marktplaatsen kan deze stap in het proces ook worden overgeslagen. Hierop worden namelijk profielen van nietsvermoedende gebruikers aangeboden voor een bedrag van luttele euro’s tot een paar honderd euro in digitale valuta (denk hierbij aan Bitcoin of Monero). Een crimineel hoeft eigenlijk alleen nog maar te bepalen wat hij met de gehackte accounts gaat doen.

Deze digitale profielen bevatten inloggegevens voor bijvoorbeeld online activiteiten; betaaldiensten, internetbankieren, webwinkels, filesharingdiensten en social media. Maar ook cookies en informatie over het browsertype en het besturingssysteem van de gebruiker. Die gegevens worden gestolen via malwarefamilies zoals Azorult, Racoon of andere generieke infostealers. Vervolgens kunnen andere cybercriminelen via een gebruiksvriendelijke interface een digitale identiteit naar keuze aanschaffen.

Fraude en gegevensdiefstal

Dan begint de ellende voor de gebruiker pas. De gestolen gegevens maken allerlei vormen van identiteitsdiefstal en -fraude mogelijk. De crimineel kan bijvoorbeeld uit naam van het slachtoffer bestellingen plaatsen, geld overmaken of officiële documenten indienen bij overheidsinstanties. Ook het stelen van privégegevens en gevoelige documenten behoort tot de mogelijkheden. In een ander scenario gebruikt de crimineel de zakelijke inloggegevens voor een aanval op de werkgever van het slachtoffer. Voorwerk is niet meer nodig: dat is al geregeld via de marktplaats.

Voor cybercriminelen hebben de profielen nog een belangrijk voordeel. Moderne antifraudesystemen controleren bij het verifiëren van de identiteit niet alleen de inloggegevens zelf. Ze detecteren ook abnormale activiteiten door naar andere details van de gebruiker en zijn computer te kijken. Door de fraude direct vanuit het gehackte systeem te initiëren en dat te combineren met toegang tot alle gebruikte accounts vanuit het desbetreffende systeem, kan een crimineel de rechtmatige eigenaar zo goed mogelijk nabootsen. De beheerders van de marktplaats claimen dat ze tientallen ‘antifraude’-systemen hebben bestudeerd, zodat ze precies weten welke detectiesystemen de fingerprints moeten omzeilen.

Duizenden Nederlandse profielen

In de afgelopen maanden kwam KPN Security tijdens onderzoeken een marktplaats tegen die zich heeft gespecialiseerd in het aanbieden van profielen. “We noemen de marktplaats niet bij naam, omdat we de beheerders niet wijzer willen maken en het gebruik niet willen stimuleren”, zegt Sander Peters, Head of Security Research bij KPN Security. “Door ons onderzoek hebben we een gedetailleerd beeld gekregen van deze marktplaats. Ook weten we nu dat er duizenden Nederlandse profielen, of fingerprints zoals ze het zelf noemen, te koop staan. Soms zijn die zelfs te herleiden naar specifieke bedrijven.”

Volgens Peters is dit slechts één variant van online marktplaatsen die direct of via darkweb te benaderen zijn. “Deze marktplaatsen zijn bijzonder professioneel ingericht. Allereerst werken ze samen met een netwerk van leveranciers, in dit geval de beheerders van een aantal malwarefamilies. Daarnaast valt op dat de marktplaatsen zeer klantvriendelijk zijn. Zo bevat de website die wij bestudeerd hebben een zoekmachine, een informatiepagina en een uitgebreide handleiding. Hoe werkt het precies? Welke tools moet je installeren? Allemaal in keurig Engels.”

Alhoewel de marktplaats zeer toegankelijk is, is wel enige technische kennis nodig om doelwitten te selecteren. “De aangeboden accounts zijn goed geanonimiseerd, wat het identificeren van bedrijven en individuele gebruikers bemoeilijkt”, vertelt het Head of Security Research. “Daarnaast krijgt niet iedereen zomaar toegang tot dergelijke marktplaatsen. Je moet uitgenodigd worden, of je moet je toegang kopen. Als je zelf een aantal aankopen hebt gedaan, mag je vervolgens andere mensen uitnodigen via een invitecode. Speciaal om de vertrouwenscirkel zo klein mogelijk te houden. Deze vertrouwde invitescodes worden grappig genoeg ook weer verhandeld op diverse forums.”

Gebruikers op de hoogte stellen

Peters en zijn team monitoren het aanbod op de marktplaats nauwgezet. “Daarbij ligt onze focus op Nederlandse organisaties. We zien dat wekelijks wel interessante profielen van onze partners en klanten verkocht worden. Inmiddels hebben we ook een aantal keer contact opgenomen met het bedrijf in kwestie. We vertellen dan wat we ontdekt hebben en geven instructies om de risico’s te beperken. Wat moet de gebruiker nu met zijn systeem doen? Naast het opnieuw installeren van het systeem of verwijderen van de malware is het algehele advies om voor alle accounts nieuwe wachtwoorden in te stellen.”

“Helaas is het niet eenvoudig om dit op grote schaal te doen”, vervolgt Peters. “Zo is het lastig om de identiteit van de eindgebruiker te achterhalen zonder het profiel daadwerkelijk te kopen. Een complicerende factor is dat er soms privéinformatie zichtbaar is. Meestal gaat het om mailaccounts en inloggegevens voor webwinkels, vliegmaatschappijen en hotels. Af en toe zien we bijvoorbeeld de hobby van het slachtoffer of zelfs gevoeligere zaken voorbijkomen die direct aan een persoon te koppelen zijn. Je kunt je voorstellen dat iemand dan nogal schrikt of er niet over wil praten.”

Geen zicht op de gevolgen

De onderzoekers van KPN Security maken zich wel zorgen over de criminele activiteiten die deze marktplaats faciliteert. “Als we zien dat er een Nederlands profiel wordt verkocht, worden we toch altijd een tikkeltje nerveus. Zijn we zojuist getuige geweest van een individuele actie gericht op één account of is dit een opstap naar een grotere cyberaanval, waarbij uiteindelijk bedrijfsgegevens gekopieerd worden, interne systemen worden versleuteld of zelfs de gehele organisatie in gijzeling wordt genomen?”

Na zo’n vondst stelt KPN Security de getroffen organisatie zo snel mogelijk op de hoogte. “Dan is het maar de vraag of die partij snel genoeg handelt. Dat leidt ook bij ons tot spannende situaties. Enige tijd geleden zagen we dat er van een bedrijf aantrekkelijke accounts werden aangeboden, en we konden de gebruiker identificeren. We hebben toen contact opgenomen met het desbetreffende bedrijf met een waarschuwing en instructies, waarna het een paar dagen stil was vanuit hun zijde. In die week verdween het profiel opeens van de marktplaats.”

“Dat kan twee dingen betekenen”, licht Peters toe. “Of het profiel is al enige tijd niet meer actief, waardoor het door de beheerders uit de etalage is gehaald. Dat leek ons niet logisch. Of iemand heeft het profiel daadwerkelijk aangeschaft. Maar wie heeft dat gedaan? Was dat het bedrijf zelf, naar aanleiding van onze melding, of is er een crimineel mee aan de haal gegaan? Uiteindelijk weten wij ook niet precies wat hier is gebeurd, al hoorden we wel dat de malware nog steeds op het apparaat stond bij de verificatieslag. Dan zijn we toch blij dat het bedrijf naar aanleiding van onze melding op de juiste manier gehandeld heeft.”

Maar volgens Peters is dit een druppel op een gloeiende plaat. “Vaak staan we machteloos. Het gaat om duizenden Nederlandse profielen en in sommige bedrijfstakken gaat het om een veelvoud aan besmette systemen. Als we dan tegen een grote organisatie zeggen dat een paar van hun tienduizenden computers geïnfecteerd zijn, kunnen zij daar niks mee. Gerichter adviseren is dan alleen mogelijk als we het profiel kopen. Juridisch gezien is dat riskant, en je kunt je ook afvragen of het ethisch is. De intentie is goed, maar je spekt daarmee wel de kas van de criminelen.”

Meer weten over cybersecurity?

Bekijk KPN Security