Phishing, ransomware en andere vormen van internetfraude beginnen allemaal op dezelfde manier: de gebruiker wordt ertoe verleid op een valse link te klikken. Naast e-mail en sms worden de laatste tijd vooral communicatie-apps zoals WhatsApp gebruikt om slachtoffers te benaderen. Daarbij gaan de appjes er steeds vertrouwder uitzien. Cybercriminelen weten deze berichtjes zo samen te stellen dat ze van een bekend persoon of een vertrouwde organisatie lijken te komen, waar het slachtoffer vaker contact mee heeft gehad. KPN Security heeft ontdekt dat via anonieme Telegram-kanalen massaal inloggegevens en persoonlijke data worden aangeboden.
Deze omstreden berichtendienst die ook mogelijkheden biedt tot versleutelde chats, blijkt een grote aantrekkingskracht te hebben op cybercriminelen. Het OM bevestigde onlangs dat binnen deze netwerken een levendige handel in data bestaat, die worden ingezet bij cybercrime zoals gerichte phishing en gijzelsoftware.
Criminele economie
Volgens Sander Peters en Ed Nunes, respectievelijk head of security research en ethische hacker bij KPN Security, is op Telegram een hele criminele economie ontstaan. Daar worden drugs, vals geld, nepkleding, gestolen sieraden en andere illegale waren aangeboden. Via chatkanalen worden grootscheeps diensten aangeboden ter ondersteuning van internetfraude.
Als iemand bijvoorbeeld een grote Nederlandse bank wil aanvallen dan koopt die persoon de bankrekeningnummers van klanten. Uit andere bron haalt hij mailadressen, mobiele telefoonnummers of WhatsApp-accounts van slachtoffers. Ook informatie van online veilingen en marktplaatsen kan van pas komen. Die gegevens worden vervolgens met elkaar gecombineerd.
Zo kan een groep klanten gericht worden benaderd. Ook de phishing-panels, bedrieglijk echt lijkende webpagina’s van banken, zijn gewoon te koop.
Afgeschermde kanalen
Ed Nunes: “Vroeger zochten criminelen elkaar vooral op fora en black markets op, maar tegenwoordig vinden de ontmoetingen plaats op afgeschermde kanalen. Via die kanalen kunnen beginnende criminelen ook tips en uitleg krijgen. Er wordt precies verteld hoe je bepaalde groepen slachtoffers het beste kunt benaderen, welke gegevens daarbij nodig zijn en waar je die kunt halen.”
De gegevens zijn veelal afkomstig van gelekte of gestolen databases. De klantenservices van nutsbedrijven, grote e-commercebedrijven en online diensten blijken vaak lek. Hun medewerkers laten zich omkopen om klantgegevens prijs te geven. Aan de hand daarvan kunnen criminelen weer gemakkelijk nepfacturen maken. Wanneer die spookfacturen lijken te komen van bedrijven waarmee men een klantrelatie heeft, dan zal het slachtoffer eerder geneigd zijn te betalen.
Paradijs voor oplichters
Ook hotelketens blijken veel waardevolle klantgegevens te hebben. Ze beschikken over creditcardnummers, bankgegevens, e-mailadressen en reisgegevens van hun klanten. Ed Nunes: “Een paradijs voor oplichters.” Met deze informatie kunnen fraudeurs boodschappen samenstellen die precies aansluiten bij de ontvangers en zodoende vertrouwd overkomen.
Wat Peters en Nunes vooral verontrust is dat criminelen per bank of andere organisatie gewoon complete lijsten met naam-, adres- en woonplaatsgegevens kunnen bestellen en die gegevens gemakkelijk kunnen verrijken. Anonieme kanalen zoals Telegram die aanbiedt, zijn in een mum van tijd gestart. Gebruikers kunnen naar hun interesses zoeken, de kanalen versterken elkaar. Criminelen vinden daar ook de adressen waar ze valse bestellingen kunnen laten afleveren en geldezels kunnen vinden om betalingen risicoloos af te wikkelen. Volgens Peters is sinds het uitbreken van Covid-19 de fraude via WhatsApp, sms en andere berichtenapps sterk toegenomen. In april en mei steeg het aantal fraudezaken met 200 procent vergeleken met de twee maanden daarvoor.
Valse links
Minister Grapperhaus van Justitie en Veiligheid luidde onlangs in de nota Voortgang integrale aanpak van cybercrime de noodklok en sprak van een forse toename. Door valse links in een whatsapp bericht te plaatsen kunnen criminelen gemakkelijk informatie zoals telefoonnummers en inloggegevens aan nietsvermoedende burgers ontfutselen.
“Phishing is vaak de eerste stap voor een aanval,” stelt Peters. Naast e-mail, sms en berichtenapps worden zelfs Google Alerts en WeTransfer misbruikt om inloggegevens buit te maken. Criminelen kunnen deze persoonlijke informatie gebruiken om toegang te krijgen tot bankrekeningen, maar daarnaast zijn (bedrijfs)systemen op die manier binnen te dringen. Een werknemer wordt gevraagd een actie uit te voeren waardoor de aanvaller het systeem kan compromitteren en bijvoorbeeld een virus kan installeren.
Bedrijven worden steeds vaker doelwit van phishing, zo bleek onlangs nog uit het artikel cybercrime binnen mkb. KPN Security raadt ondernemers aan hun mensen regelmatig bewust te maken van de gevaren. Klik niet zomaar op links. Alles begint bij oplettendheid van de werknemer. Bel bij twijfel even naar de afzender. Het instellen van spamfilters voorkomt dat alles zomaar binnenkomt. Antivirussoftware vormt de tweede verdedigingslinie, die beschermt tegen malware. Ook het netwerk moet goed worden beveiligd. Belangrijk is dat je zicht hebt op wat daar gebeurt.