2.22 ‘The Facilitators’
2.23.1 De ‘Online shop’
Kortom, elke site waar credentials van gebruikers geregistreerd worden, waarna deze direct of indirect omgezet kunnen worden in middelen. 2.23.2 Het ‘Victim’ De slachtoffers zijn in de breedste zin van het woord alle ontvangers van de spam e‐mail die namens de phisher verstuurd wordt. Hierbij mogen we de instelling die door de phisher als doelwit is gekozen ook niet vergeten, aangezien zij vaak voor de schade mag opdraaien die de phisher berokkent. De uiteindelijke slachtoffers zijn diegenen die de spam e‐mail openen, op de spoof link klikken en vervolgens hun gegevens invullen. Hiervan is niet iedereen direct slachtoffer, omdat er ook personen zijn die hier informatie invullen om de phisher dwars te zitten. Zij laten de phisher zien dat ze hem door hebben via de gebruikersnamen en wachtwoorden.
2.23.3 De ‘Money transfer agent’
Deze bedrijven faciliteren het overboeken van contant en giraal geld naar landen waar het bancaire systeem te wensen over laat. Geld wordt in land A bij kantoor a gedeponeerd, voorzien van een bestemming met land B en kantoor b. Vervolgens wordt er een wachtwoord afgesproken waarmee het geld bij kantoor b kan worden afgehaald. Dit wachtwoord wordt gecommuniceerd tussen de betrokken partijen, maar niet met het money transfer kantoor. Money transfer kantoren zijn een manier om snel en eenvoudig girale en contante overboekingen naar anonieme ontvangers over de hele wereld te doen.
2.23.1 De ‘Online shop’
Online winkels zijn een ideale plek voor phishers om buitgemaakte creditcardgegevens te gebruiken bij de aanschaf van producten. De online winkel kan dit nauwelijks voorkomen, omdat de betaling op zich volledig legitiem plaats vindt, via een legitiem kanaal. Dat de betaler op een illegale wijze aan de
betalingsgegevens is gekomen, kan de winkel niet zien. In sommige gevallen lijken online winkels of betalingspagina’s deel uit te maken van een phishing aanval.
2.24 Conclusies
Resumé Phishing doet zich voor in tal van modaliteiten waarbij de verschillende stappen, in de beschreven of in een andere volgorde, op een of andere manier steeds zullen voorkomen. Bovendien worden phishingaanvallen steeds gerichter. Slechts klanten van bank X ontvangen mail bij een phishing aanval op bank X. Dit lijkt logisch, maar vereist veel van de adressenverzamelaar en drijft de prijs voor aanvallen op. Daardoor ontstaat ook een noodzaak om per aanval de opbrengst zo groot mogelijk te maken. Het ‘targetten’ van een phishing aanval gebeurt door middel van sociale netwerksites of gerichte adresverzameling door het hacken van mailservers. Niet alleen voor banken geldt dat phishing aanvallen steeds specifieker worden, er is een tweede trend in het verpersoonlijken van phishing aanvallen. Hierbij wordt ’gespeeld’ met de verstuurder van de mail, zodat het lijkt alsof een waarschuwing betreffende wachtwoorden van een collega, de HR‐afdeling of iets dergelijks komt. Dit vergroot het vertrouwen van de ontvanger in de geloofwaardigheid van de boodschap in de phishingmail en dus ook de kans dat hij of zij slachtoffer wordt.De aandacht van toezichthouders en opsporingsorganisaties concentreert zich rond stap 7 van het phishingproces. Een stap waarin ook de phisher zich kwetsbaar en bespied weet zodat zijn evolutie qua gevolgde werkwijze en toegepaste afschermingtechnologie zich ook rond dit centrum beweegt. Het meer stabiele voor‐ en na‐traject biedt daardoor juist kansen voor de opsporing, terwijl de bestrijding daar veel minder op is gericht. Dat is ook begrijpelijk: een financiële instelling zal vooral de spoof website uit de lucht willen hebben (notice and take down) zodat de schade beperkt wordt. Bij de complexiteit van het vinden van daders in hun verschillende rollen heeft men zich al bijna neergelegd.
De processtappen en hun beschrijving en modaliteiten zijn te zien als hypothesen over de wijze waarop daders te werk gaan. Door het gebruik van DIY‐phishingkits wordt een aantal van die stappen niet handmatig uitgevoerd maar overgenomen door een stuk software, maar in essentie blijven het dezelfde stappen. Wel vallen daardoor rollen weg in het complex dat de dader om zich heen verzamelt. Vooral money mules zijn de achilleshiel in cybercriminaliteit.
“Interventies gericht op de specifieke rollen zijn effectiever dan die gericht op een (deel van de) MO.”
“Phishing wordt in de basis steeds eenvoudiger met de opkomst van DIY‐kits. Het verkrijgen van winst wordt echter steeds moeilijker, door de betere kennis van slachtoffers, het moeilijker worden van het krijgen van adressen, de hogere prijs voor gerichte adressenbestanden en de toenemende beveiliging van websites met gevoelige informatie. Kortom: sophisticated phishing is niet voor iedereen weggelegd.”
Ontwikkelingen
We hebben het phishingproces uiteengerafeld in een aantal stappen. Evolutie vindt vooral plaats in de stappen waarin gebruikers worden misleid en feitelijk hun gegevens worden ontfutseld. MO’s die actueel in trek zijn of zullen raken:
man‐in‐the‐browser aanvallen door middel van pop‐up schermen met verlopen sessieboodschap tijdens of na banktransacties en creditcardtransacties; malware installatie door het klikken op links in phishing mails;
drive‐by downloads ter verspreiding van malware via veelbezochte sites (nu.nl); SQL injectie (man‐in‐the‐browser); malware scripts verstopt in ad banners; analyse Doubleclick ads; betaling via gestolen creditcardgegevens en PayPal; VoIP phishing via de telefoon (vishing), en man‐in‐the‐target aanvallen waarbij de phisher malware weet te plaatsen in de website van de financiële instelling zelf.
De laatste twee ontwikkelingen lijken de meeste gevaarlijke. Aan de zijde van de cliënt verandert er niets en zij of hij logt gewoon in bij de financiële instelling. Op de site van de instelling zelf wordt de betaalopdracht gemanipuleerd of worden inloggegevens doorgestuurd.
Criminelen maken meer en meer gebruik van encryptie. Tenzij de encryptie niet goed is uitgevoerd, zijn deze gegevens onbereikbaar voor derden. Verder is er een trend waarneembaar naar continue verzilvering van kennis in geld. Zodra een vorm van phishing opgevolgd wordt door een meer geavanceerde vorm, verwerkt de oude werkwijze in een DIY‐kit. Dit heeft als voordeel dat hijzelf steeds over state‐of‐the‐art technieken beschikt, maar via de DIY kits die hij verkoopt nog geld verdient aan de oudere technieken. Bovendien bevatten de meeste DIY‐kits
een ingang (backdoor) die alleen de verkoper kent, zodat hij na de verkoop nog steeds mee kan profiteren van de resultaten van de door hem verkochte DIY kits. Zo kan de phisher met de nieuwste technieken zich in laten huren voor geavanceerde aanvallen, terwijl hij continu geld verdient met de iets oudere techniek via de verkoop van DIY kits, die hem ook nog eens van meer informatie voorzien.
Ontwikkeling VoIP
Voice+phishing=Vishing
Vishing is een variant op phishing die inspeelt op het wantrouwen dat gebruikers hebben in het internet en het vertrouwen dat de gebruiker nog heeft in de telefoonverbinding.
Een potentieel slachtoffer ontvangt een standaard spam bericht met veiligheidswaarschuwing en een opdracht zijn gegevens te controleren, maar hierin wordt niet gevraagd op een url te klikken, maar om een nummer te bellen. Dit brengt de visher twee voordelen: het potentiële slachtoffer verwacht niet dat dit een poging tot oplichting is en hij of zij zal minder bekend zijn met de telefoonnummers van banken en andere kwetsbare instellingen dan met hun url. Via Voice over IP (VOIP) is het voor de visher eenvoudig om de nummerweergave te saboteren, zodat het slachtoffer het correcte nummer in zijn display ziet, terwijl hij met een andere centrale wordt doorverbonden. Het slachtoffer krijgt een geautomatiseerde boodschap te horen en wordt gevraagd zijn creditcardnummer in te toetsen en vervolgens zijn veiligheidscode. De visher heeft nu alle benodigde gegevens om de creditcard te kunnen misbruiken.
Bron: www.en.wikipedia.org/wiki/Vishing
Het onderzoeksmateriaal
De instanties van wie de onderzoeksdossiers in het kader van het NICC‐onderzoek zijn onderzocht richten zich logischerwijs op dat stuk van de onrechtmatigheid waar het in de bewijsvoering en sanctionering om draait. Achtergrondinformatie, bijvoorbeeld over de wijze waarop adressen zijn verkregen voor de uit te voeren spamruns en uit welke bron die afkomstig zijn of hoe het geld wordt verplaatst, zijn voor die bewijsvoering sec niet van belang. Mede omdat naspeuringen al gauw ver over de grens reiken met forse consequenties qua tijd en geld, vindt onderzoek naar die achtergronden van phishing alleen plaats door het KLPD.
Vanwege de focus van de onderzochte dossiers op bewijsvoering en minder op voor‐ en na‐traject. moesten voor een reconstructie van het proces tal van andere bronnen worden geraadpleegd. Met name de inzichten van professionals en
verkenningen in de krochten van het internet zelf hebben het beeld aangevuld. Dat levert vooral een staalkaart op aan voorkomende modaliteiten en geen representatief beeld. Er wordt op internet veel beweerd en geclaimd, maar daarmee is het nog niet waar. Het zijn vooral de dominante spelers op het veld zelf (software vendors, internet securitybedrijven) die het beeld bepalen, waarbij zij nogal lijken te worden gedreven door nieuwswaarde en het aftroeven van de concurrent.