Skip to Content

Blog Frank Diepmaat – Nieuwe ronde afpersing via e-mails

Frank Diepmaat is werkzaam op de Servicedesk en lid van het LOKO Security-team.

Nieuwe ronde afpersing via e-mails

Wat is er aan de hand?

Momenteel is er weer een nieuwe ronde aan afpersing door middel van e-mails gaande. De afgelopen maand hebben wij van meerdere klanten bezorgde berichten gehad over criminelen die claimen hun wachtwoord te hebben. Niet alleen wordt er geclaimd het wachtwoord te hebben, ook beweren zij vaak gênante foto’s, video’s en soms andere chantagemiddelen te bezitten.  Maar hoe komen deze criminelen aan deze data? Hebben zij echt ingebroken? Hieronder een voorbeeld van de e-mails die verzonden worden. Er zijn een aantal variaties in omloop, dit is een redelijk recente. De e-mails kunnen voor mensen erg overtuigend overkomen, of in ieder geval een naar gevoel geven. “Zouden ze echt wat hebben?”, “Maar ik zit nooit op zulke sites.. hoe dan?”.

Hoe onstaat dit?

De e-mail adressen en wachtwoorden die gebruikt worden voor dit soort acties zijn gestolen van vaak grote bedrijven als LinkedIn. Hackers stelen databases met wachtwoorden en proberen die vervolgens te ontsleutelen. Wanneer dat lukt hebben zij afhankelijk van de relevantie, omvang en leeftijd van de data een goudmijn in handen.

Deze data wordt vervolgens in verschillende vormen te koop aangeboden op het internet. Een goed voorbeeld hiervan dat echt inzage geeft in deze wereld is dit artikel van Brian Krebs: https://krebsonsecurity.com/2017/12/the-market-for-stolen-account-credentials/ Hij heeft in dit geval toegang tot een handelsportaal van iemand die geld verdient aan het stelen van credentials. In het artikel is te lezen dat iemand die hier handig mee is zo 300.000 euro per kwartaal binnen sleept.

Mensen die deze data kopen maken daar op verschillende manieren weer gebruik van. Wanneer de credentials erg recent zijn kan er mee ingelogd worden en geld overgemaakt, online aankopen gedaan, creditcards afsluiten enzovoorts. Al die opties kunnen echter nogal een spoor achter laten en dus risico met zich meebrengen. Om dit risico te verminderen en niet de hoofdprijs te betalen voor recente bank-credentials, hebben criminelen een afpersmethode gevonden die erg goed werkt.

De aanval

  1. Allereerst wordt er een verzameling credentials gekocht, gestolen of anderzijds verkregen. Het liefst van mensen in een land waar geld omgaat, arme mensen afpersen levert niet zoveel op. CEO fraude is niet voor niets populair, de eerste voedselbank phishing mail voor daklozen moet ik nog voorbij zien komen.
  2. Een e-mailbericht nieuw maken of een standaard template gebruiken. Deze wordt het liefst verzonden via een gehackte mailserver van een echt bedrijf, een gecompromitteerde Office365 omgeving of een tijdelijk spamdomein. Ook gmail en andere gratis mailservices worden hiervoor ingezet. Gezien de aard van deze scam is de mailservice minder belangrijk dan bijvoorbeeld voor CEO fraude.
  3. Een Bitcoin-wallet registreren en vermelden in de e-mail zodat slachtoffers geld over kunnen maken. Dit is altijd een vorm van crypto-currency zodat de eigenaar niet te achterhalen valt.
  4. De verzonden mail gaat het slachtoffer onder druk zetten. Deze mails bevatten dan ook altijd een aantal vaste kenmerken: We hebben iets van je, daar doen we iets mee als jij ……. niet uitvoert/overmaakt. Oja, daar heb je ….. de tijd voor. Het liefst nog met wat felle kleuren en een countdown klok.
  5. Slachtoffer krijgt de mail en vraagt zich serieus af waar dat wachtwoord vandaan komt. Doordat mensen wachtwoorden tegenwoordig vaak moeten wijzigen komt het niet altijd overeen, maar bijna altijd wel een groot deel. Dit komt doordat mensen hun wachtwoorden vaak zo opvolgen: Vakantie2017, Vakantie2018, Vakantie2018!, Vakantie2019.
  6. Slachtoffer besluit het zekere voor het onzekere te nemen. Die 200 euro wordt maar overgemaakt, want ja, ze weten mijn wachtwoord! En ach, dan weet ik ook gelijk hoe Bitcoin werkt…

De tegenaanval

Wat is er te doen tegen dit soort aanvallen? De criminelen stelen deze data van een bedrijf waar je zelf geen controle over hebt, je bent dus afhankelijk van hun kunde om zich veilig te houden. Door te begrijpen wat jouw credentials geld waard maken is het mogelijk je te beveiligen. Er zijn namelijk een tweetal zaken die echt bepalen of jouw gegevens wat op leveren en bruikbaar zijn: bron en ouderdom. Waar komen de gegevens vandaag? Een bankportaal, Facebook of de lokale voetbal vereniging. De ouderdom van de gegevens is belangrijk omdat de kans groter is dat het wachtwoord ongewijzigd is wanneer deze recent gebruikt is.

Voorkomen dat jouw gegevens gestolen worden is onmogelijk tegenwoordig. Je bepaald zelf namelijk niet of jouw belangrijkste data digitaal opgeslagen wordt. De overheid, banken en medische wereld bewaren alles ook digitaal, of je het nou wil of niet. Wat je wel kan doen is wachtwoorden blijven wisselen door gebruik te maken van een wachtwoordmanager. Zelf gebruik ik LastPass hiervoor.

  • Wissel wachtwoorden minimaal elk half jaar, zo is de kans dat gestolen wachtwoorden relevant zijn erg klein.
  • Gebruik daarnaast hetzelfde wachtwoord niet op meerdere plaatsen. Dit is waar de wachtwoord manager handig voor is, deze onthoud alle credentials voor je en kan ze in veel gevallen zelfs voor je wijzigen.
  • Multi-Factor-Authenticatie voor belangrijke accounts. Bijvoorbeeld bankportalen, e-mail accounts maar ook inlogportalen voor telecomproviders en gas-water-licht bedrijven.
  • Schrijf jezelf in bij Haveibeenpwd (https://haveibeenpwned.com/). Dit initiatief van beveiligingsonderzoeker Troy Hunt verzameld zoveel mogelijk gesloten credentials. Deze worden gebruikt om mensen zelf te laten controleren of ze bij een credential-hack betrokken waren. Alleen jijzelf krijgt het resultaat natuurlijk te zien.

Nawoord en bronnen

Internetcriminaliteit is tegenwoordig geen zolderkameraangelegenheid meer voor verveelde tieners. Het gaat om miljarden, om bedrijven groter dan de gemiddelde overheid en mensenlevens die verwoest worden door de gevolgen.

Worst case scenario: https://www.theregister.co.uk/2014/03/18/romania_ransomware_murder_suicide/

Multi Factor Authenticatie: https://computerworld.nl/advertorial/477-wat-is-multifactor-authenticatie-en-hoe-gebruikt-u-het

Prijzen gestolen credentials: https://krebsonsecurity.com/2017/12/the-market-for-stolen-account-credentials/

LastPass (wachtwoord manager): https://www.lastpass.com/nl

DashLane (andere wachtwoord manager): https://www.dashlane.com/nl

Haveibeenpwnd (kijk of jouw gegevens bij een hack zijn buitgemaakt): https://haveibeenpwned.com/

 

Om aan te tonen dat echt iedereen nu of in de toekomst bij een hack betrokken is/gaat zijn, heb ik één van mijn e-mailadressen door Haveibeenpwnd gehaald: