Cybercriminelen worden door slechts één ding gedreven, en dat is geld. Als organisaties iets meer inzicht krijgen in hoe deze boeven werken, kunnen ze effectievere maatregelen nemen en de oplichters vaak zelfs te slim af zijn. Paul Ducklin, senior security adviseur bij Sophos, legt uit hoe cybercrime werkt.
‘Zijn het tech-wizards? Supernerdy programmeurs? Spamkoningen of hardcore reverse engineers? Nee. Cybercriminelen hoeven weinig tot geen verstand te hebben van de achterliggende technologie. Het enige dat ze moeten bezitten is een vastberadenheid om de wet te overtreden en illegaal rijk te worden over de rug van onschuldige slachtoffers’, stelt security adviseur Paul Ducklin. Bovendien mag het vooruitzicht van een behoorlijke tijd in een cel dit soort oplichters niet deren. De kans is namelijk steeds groter dat ze een keer gepakt gaan worden.
Het feit dat ze zelf geen technische kennis hoeven hebben, komt doordat er een rijke, ondergrondse malware as a service-industrie bestaat, waar criminelen die wél technische kennis hebben hun in elkaar geknutselde malware verhuren en verkopen aan boeven die daar behoefte aan hebben. ‘Natuurlijk moet je je als ‘wannabe’-boef wel eerst bewijzen. Ze nemen niet zomaar het risico om hun spullen aan de eerste de beste te verkopen. Maar zodra je als crimineel hebt bewezen aan de slechte kant te staan, gaat er een (onder)wereld voor je open.’
Slachtoffers vinden
Cybercriminelen hebben verschillende manieren om hun slachtoffers geld af te troggelen. Daarvoor zijn vrij veel tussenstappen nodig. En juist al die tussenstappen bieden slachtoffers de mogelijkheid om een succesvolle aanval te onderbreken. De eerste stap die oplichters moeten nemen is het vinden van hun slachtoffers. Daar gebruiken ze zes kernmanieren voor.
Spam. Vaak starten digitale boeven met het versturen van spam. Hoewel de hoeveelheid spam vermindert, worden er dagelijks nog miljarden berichten verstuurd in de hoop dat een klein percentage door de spamfilters komt. En dan is het nog de truc een aantal mensen ervan te overtuigen om minder op hun hoede te zijn en op een link te klikken of geld over te maken. Waar malware voorheen vooral als attachment werd verzonden, wordt het tegenwoordig vooral via het web verspreid.
Phishing. Via email worden niet alleen spam-aanbiedingen gedaan, digitale oplichters gebruiken e-mail ook graag voor het achterhalen van persoonlijke en financiële gegevens van slachtoffers.
Social media. Zoals gezegd is de meeste spam naar het web verhuisd. Gebruikers klikken eerder op links in advertenties op sociale media als ze van een bekende of vriend lijken te komen.
Search poisoning. Oplichters proberen tegenwoordig ook zoekmachineresultaten te manipuleren. Dit wordt search poisoning, oftewel het vergiftigen van zoekresultaten, genoemd. Het leidt tot ‘vergiftigde’ resultaten die leiden naar exploits, malware en phishing sites.
Drive-by downloads. Het grootste aantal slachtoffers komt in handen van criminelen door websites te bezoeken die exploits bevatten. Dit worden ‘drive-by downloads’ genoemd. ‘SophosLabs ziet iedere dag dertigduizend nieuwe url’s die onschuldige internetters blootstellen aan een grote verscheidenheid aan kwaadaardige code die probeert om kwetsbaarheden te zoeken in besturingssystemen, browsers, plugins en applicaties.’
Malware. Wormen, virussen en andere malware worden ook nog steeds gretig gebruikt door cybercriminelen. Hoewel ze minder gangbaar zijn dan tien jaar terug, gebruiken oplichters ze nog immer om systemen te infecteren en de apparatuur van slachtoffers te kunnen gebruiken.
Activiteiten te gelde maken
Als cybercriminelen eenmaal hun slachtoffers hebben gevonden, zijn er verschillende manieren om geld te verdienen. De meest basale manier om geld te verdienen met malware, spam of een gecompromitteerde website is het verkopen van een product. Vaak gaat het niet eens om nepbedrijven, maar versturen ze namaakproducten die pretenderen Viagra, Rolex of Gucci te zijn.
Logins stelen. Door logins te bemachtigen kunnen oplichters eveneens geld verdienen. Criminelen maken gebruik van social engineering technieken die ze afkijken bij bekende grote merken. Zo verzamelen ze gebruikersnamen en wachtwoorden die worden geassocieerd met waardevolle websites zoals PayPal, banken, webmail en sociale media. Het is vrij eenvoudig voor de boeven om deze bedrijven na te doen, aangezien vrijwel alles tegenwoordig online en dus digitaal gaat. Ze stelen simpelweg de echte communicatie en veranderen de links in die berichten zodat deze verwijzen naar valse websites. Daar worden de inloggegevens van de slachtoffers afhandig gemaakt.
Advertentiefraude. Zodra cybercriminelen de computer van een slachtoffer hebben overgenomen, kunnen ze daarop malware installeren die internetverkeer manipuleert. Ze leiden de kliks van de gebruiker om naar advertenties op de webpagina van de oplichters. Zij verdienen vervolgens geld via advertentienetwerken door verkeer naar de advertenties van hun klanten te genereren.
Ransomware. Ransomware is malware die de bestanden op de computer van een slachtoffer gijzelt. Het versleutelt de bestanden en een gebruiker kan die alleen terugkrijgen door een som losgeld te betalen. Oplichters gebruiken de nieuwste encryptietechnologie en alleen zij hebben de beschikking over de sleutel die de encryptie van de bestanden kan opheffen.
Social media spam. Spam via e-mail bezorgen wordt met de dag lastiger. Spamfilters blokkeren vrijwel 99 procent van alle berichten. Bovendien weten gebruikers nep-afzenders steeds beter van echte afzenders te onderscheiden. Maar spammers hebben in Twitter en Facebook nieuwe, dankbare verspreidingsmethodes gevonden. Oplichters kunnen toegang tot gestolen inloggegevens kopen of gebruikers ervan overtuigen om de spamberichten voor hen te versturen. Het gaat ze om het sociale kapitaal van de slachtoffers, hoe meer vrienden en volgers iemand heeft, hoe meer mensen kunnen worden gespamd. Gebruikers zijn veel meer geneigd om op berichten te klikken waarmee ze een iPad kunnen winnen of op miraculeuze wijze twintig kilo kunnen afvallen als ze afkomstig zijn van iemand die ze kennen en vertrouwen.
Bankmalware. Er is een gespecialiseerde industrie ontstaan rondom het buitmaken van authenticatie-informatie waarmee gebruikers bijvoorbeeld online bankieren. Hoewel het begon als eenvoudige software waarmee de aangeslagen toetsen konden worden gelogd en waarmee vooral de gebruikersnaam en wachtwoord werden onderschept, is het inmiddels uitgegroeid tot een geavanceerd kat-en-muis-spel tussen criminelen en het bankwezen. Er zijn trojans die sms-berichten kunnen lezen en video’s kunnen maken van het beeldscherm terwijl een gebruiker inlogt. Deze video’s worden vervolgens geupload naar de cybercriminelen.
Sms-fraude. Social media spammers gebruiken veelal sms-diensten om slachtoffers geld afhandig te maken. Als een gebruiker op internet zijn mobiele nummer achterlaat om te worden ingelicht als er bijvoorbeeld iets gewonnen is, schrijven digitale boeven deze gebruiker in voor een dure sms-dienst. Ook apps in de Play Store kunnen uitgerust zijn met een extra programmaatje dat kostbare sms’jes stuurt naar nummers die in handen zijn van de oplichters.
Bescherm de organisatie tegen cybercriminelen
Zolang cybercriminelen geld kunnen verdienen, zullen ze dat niet nalaten. Hoewel de strijd tegen cybercrime af en toe ontmoedigend kan lijken, is het een gevecht dat te winnen is. Digitale oplichters moeten een serie stappen zetten om succesvol te zijn en die keten hoeft alleen maar onderbroken te worden om ze tegen te houden.
‘Natuurlijk is technologie belangrijk als het gaat om security’, stelt Ducklin. ‘Maar alles daaromheen is net zo belangrijk. Zorg dat systemen up-to-date zijn, dat er back-ups worden gemaakt en getest en, wellicht het meest belangrijke van allemaal, dat iedereen in het bedrijf beseft welke verantwoordelijkheid hij of zij heeft als het gaat om security. Uiteindelijk is de mens de zwakke schakel in dit geheel, dus bewustwording is enorm belangrijk.’
De meeste aanvallen die succesvol zijn, komen op een moment dat gebruikers en organisaties niet voldoende op hun hoede zijn. ‘Het is niet ‘set-and-forget’. Cybersecurity is niet zoals een verzekering. Een verzekering helpt je herstellen na een ramp. Cybersecurity is veel meer te vergelijken met een rookalarm. Het gaat erom dat organisaties zich bewust zijn van de risico’s die ze lopen. Dat ze weten waar hun kwetsbaarheden zitten en hun processen en systemen zo inrichten dat deze risico’s en kwetsbaarheden worden verkleind. Security moet altijd ‘top-of-mind’ blijven.’