Wat je vandaag in de media leest over ransomware en het gebruik van cryptomunten is maar het topje van de ijsberg van financiële cybercrime. Want de ‘grote jongens’ uit de cybercrimescène mikken veeleer op de traditionele financiële instellingen, hun online-diensten en… overschrijvingen.
In every crisis lies an opportunity. Iets wat cybercriminelen in tijden van Covid-19 ook ter harte nemen. Het aantal aanvallen daalde de voorbije maanden wel met zeventien procent maar cybercriminelen focusten zich op de wereldwijde pandemie. We registreren meer frauduleuze ‘corona’-websites en dergelijke domeinnamen hebben vandaag de helft meer kans om kwaadaardig te zijn. Om persoonlijke data te ontfutselen, zijn die criminelen zo inventief dat ze hun boodschap aanpassen aan de fase van de coronacrisis waarin we ons bevinden. Eerst zochten burgers info over het virus zelf, dan over thuiswerken, mogelijke vergoedingen en nu over de relance-plannen. Op die zoektermen adverteren die kwaadaardige websites zelfs. Of ze misbruiken de naam van bekende organisaties zoals de Wereldgezondheidsorganisatie in phishingmails.
Maar ook de cybercrimesector deelt in de klappen van de coronacrisis. Het grote probleem is het witwassen van hun geld. Reisrestricties en soms strenge lockdownmaatregelen in landen zoals China, Rusland en Nigeria – traditioneel uitvalbasissen van cybercriminelen – zorgen ervoor dat de loopjongens niet buiten mochten en de geldautomaat ook moeilijker bereikbaar was. Dat zorgt dus voor een – tijdelijke – vertraging in de cashflow.
Overschrijvingen onderscheppen
Een ‘business’ die hier iets minder last van heeft is frauduleuze overschrijvingen. Recent was er een Israëlische startup die van een Chinese investeerder – een echte venture capitalist – een som met zes nullen zou ontvangen. Die som is effectief overgeschreven, maar nooit aangekomen. Ze bleken na onderzoek niet alleen te zijn. Er waren al zo’n tien slachtoffers. Lijkt veel, maar de reden is dat dergelijke investeerders regelmatig veel geld geven aan contacten die ze amper kennen. Dus trachten cybercriminelen die overschrijvingen te onderscheppen en proberen ze midden in de betalingstransactie te staan.
En dat kan een langdurig proces zijn (de opbrengst is ook navenant). Het begint met een doelgerichte phishing-actie (naar één à twee personen), meestal via tools als Office 365. Ze hosten in de cloud een website die qua look and feel identiek is aan de officiële website, met in de domeinnaam de naam van het bedrijf verwerkt. Eenmaal het slachtoffer hierop klikt, start de tweede fase waarin ze ongezien alles observeren: met wie communiceren ze, welk taalgebruik hanteren ze, hoe zit het systeem voor de overschrijvingen in elkaar? Dit proces kan weken duren. Ze leiden de mails om naar hun lookalike-domein en ze creëren zelfs regels in de mailbox van het slachtoffer zodat de originele mails automatisch in een verborgen folder terechtkomen. Zonder dat het slachtoffer hier weet van heeft.
Eenmaal ze zich klaar achten met de voorbereiding, mailen ze dat de transactie dringend is en of het slachtoffer het geld meteen kan overschrijven. Die doet dat zonder erg, want hij of zij denkt dat de mail afkomstig is van de gekende tegenpartij. En de hackers hebben het geld in handen. Als het werkt, herhalen ze dit bij een nieuwe overschrijving of beginnen ze helemaal opnieuw.
Follow the money
Hoe pak je dat aan? De reactiesnelheid is cruciaal, want hackers handelen ook snel. Zo is er een case waarbij een bedrijf meer dan twee miljoen pond verloor binnen de 24 uur nadat iemand op een phishing-link had geklikt.
Gouden regel om het geld terug te zien, is dus ook binnen de 24 uur actie te ondernemen. In de volgende dertig dagen daalt dit spectaculair en nadien is er zo goed als niets meer terug te vinden. Tracht het proces te onderbreken en volg het geld. Onderzoek alle mailadressen, telefoonnummers en domeinnamen die ze gebruiken (en schakel die uit). Contacteer direct de eigen bank en de bank waar het geld naar wordt overgeschreven. Rapid Investigation, zowel technisch als juridisch.
Ransomware: dubbel prijs
Hackers blijven creatief in deze periode. Een nieuwe trend die sinds een paar maanden opduikt, is double extortion. Vooraleer cybercriminelen de bestanden van slachtoffers encrypteren, en daarna opnieuw decrypteren na de betaling van een fikse som losgeld (ransomware), downloaden ze gevoelige data. Ze dreigen deze bestanden publiek te maken als het bedrijf niet wil betalen voor de ontsleuteling van de bestanden. Hackers weten immers dat datadiefstal nefast is voor de reputatie van een bedrijf, om van de mogelijke GDPR-boetes en de daling van de beurswaarde nog maar te zwijgen.
Sommige cybercriminelen geven daarbij ook twee weken gratis ondersteuning via hun ‘dienst naverkoop’ om het decryptie-proces te begeleiden. Want ze weten ook: hoe vlotter het betalingsproces verloopt, hoe sneller zij hun geld hebben en bedrijven sneller opnieuw aan de slag kunnen.
Niet alleen die aftersalesafdeling is een uiting dat sommige criminele organisaties zich als een echt bedrijf profileren. Ze denken zelfs aan ‘maatschappelijk verantwoord ondernemen’. Zo proberen ze in deze moeilijke periode ‘goodwill’ te creëren bij de publieke opinie via de verspreiding van een officieel persbericht waarin ze beloven tijdens de coronacrisis geen zorginstellingen aan te vallen.
Je zou bijna medelijden krijgen met die cybercriminelen.
Christof Jacques, cybersecurity-evangelist bij Check Point Software Technologies
