Onder de noemer employees zijn de rollen bij elkaar gebracht die voor de initiator de uitvoerende activiteiten van het spam‐/phishingproces voor hun rekening nemen en die zich daar ook terdege van bewust zijn. Omdat het rollen betreft, kunnen deze ook samenvallen met het zijn van initiator. De instroom van employees in de wereld van spam/phishing loopt deels parallel met die van de initiators.
2.21.1 De ‘Webdesigner’
Om een spoof website te ontwerpen, heeft de phisher een ontwerper nodig. Dit moet zeker iemand zijn met de nodige ervaring, omdat de website exact gelijkend moet zijn aan het origineel. Bovendien moeten eventuele links uitkomen bij de juiste verwijzingen op de officiële pagina van de instelling die het doelwit is van de phishing aanval. Als de phisher zelf erg bedreven is in het ontwikkelen van websites, kan hij deze rol vervullen. Zo niet, dan moet hij iemand werven die dit voor hem doet. Op fora en nieuwsgroepen kan het eenvoudig zijn hier iemand voor te vinden. Aangezien het hier vooral draait om aanzien en het laten zien van de hoogstandjes waartoe men in staat is, is het uitdagen van een naïeve bezoeker om een exacte kopie te maken van een website niet heel moeilijk, zeker niet als er een vergoeding tegenover staat. Voor de initiators die dit zelf niet willen of kunnen, geldt dat zij ieder contact met enige computeraffiniteit kunnen vragen voor dit fenomeen. In de regel zullen dit scriptkiddies zijn.
2.21.2 De ‘Scriptkiddy’
De naam kiddy slaat in dit geval echt op de leeftijd. Als ‘employee’, is een kiddy voor de phisher een makkelijke kennisbron voor het verkrijgen van diensten en programmatuur in het phishingproces. Een scriptkiddy is te karakteriseren als een (jonger) persoon die op zoek is naar een beetje avontuur. Ze hebben zeker vaardigheid en kennis met betrekking tot IT, maar zijn niet zo goed of origineel dat ze voor doorgewinterde hacker kunnen doorgaan. Om aanzien en status ter verwerven, gaan ze aan de slag met alle voorhanden zijnde malware. Hiermee creëren ze virussen (het I‐love‐you virus was een eenvoudig gegenereerd virus van een scriptkiddy), bouwen massmail programmatuur en dergelijke. De basis voor dergelijke programmatuur is op het internet te vinden in nieuwsgroepen, op fora en via chatboxen. Omdat scriptkiddies niet origineel genoeg zijn, blijft de schade
door hun bijdrage aan aanvallen beperkt. Er zijn veel scriptkiddies, waardoor de kans dat ze toch iets gevaarlijks ontwikkelen aanwezig blijft. Vaak gaat het om een enkele aanpassing die een samenloop van reacties teweeg brengt die de grootste schade veroorzaakt. Een van de succesfactoren van het I‐love‐you virus was bijvoorbeeld dat het inspeelde op de emotie van de ontvanger. Voor de phisher kan de scriptkiddy van pas komen bij het ondersteunen van het hacken van servers, het harvesten of aanleveren van e‐mailadressen en het leveren van sidescripts waarmee gegevens uiteindelijk afgetapt kunnen worden.
“Zien we de scripkiddy als degene die hand en spandiensten voor de spammer verricht op een niet al te hoog gespecialiseerd ontwerpniveau, dan zou deze kunnen voldoen aan de volgende gedragskenmerken: bezoekt fora waar kennis is te vinden over spammen, phishen en afscherming, en download gratis harvesting en phishing tools (DIY‐kit), en/of checkt gestolen creditcardgegevens, en/of ontvangt kleine betalingen van sponsor, en/of actief gamer, en/of ICT’er (in opleiding of afgestudeerd).”
Het is al bekend dat het spam en phishingproces steeds minder als integrale bezigheid wordt gepraktiseerd. Activiteiten als harvesten zijn business op zich geworden. Deze versnippering van activiteiten kan betekenen dat de phisher zich alleen nog maar bezig gaat houden met het ophalen van de gewonnen gegevens en het omzetten hiervan in opbrengsten. Het wordt dan zeer aannemelijk dat hij voor kleine klussen, communicatie tussen partners en dergelijke, een handige jongen nodig heeft. Scriptkiddy’s lenen zich hier uitstekend voor. Zij hebben voldoende kennis om simpele stappen in het proces uit te voeren, zijn goedkoop en in overvloed aanwezig.
In een tweetal Opta dossiers en in een KLPD dossier komen hand‐ en spandiensten voor die passen onder de noemer scriptkiddy. De sponsor heeft iemand nodig die wat handige dingen voor hem doet en die hij bovendien kan vertrouwen. In het KLPD‐dossier komt de relatie naar voren met gaming. Netwerken met andere gamers worden onderhouden en men wisselt kennis uit.
Met als input een aantal fora en bekende sites waar DIY‐kits kunnen worden gekocht, kan op surfgedrag (ISP’s) en met name download‐gedrag (ISP’s) van scriptkiddies worden gemonitord. Het downloaden van phishing‐kits is de meest directe herleiding tot dat delict. Het checken van gestolen creditcardgegevens op
geldigheid (af te leiden uit logfiles) is op zichzelf al een verdachte activiteit die overigens niet alleen voor phishing opgaat. Grote kans dat de scripkiddy op gaming fora is te vinden onder zijn avatar‐naam.
Ook kunnen via universiteiten of hogescholen groepen ‘gesjeesde’ IT‐studenten worden geïdentificeerd. Met behulp van een check op money transfers of betalingsgedrag kan verdacht handelsgedrag bekeken worden. Als aan beide voorwaarden wordt voldaan, is aannemelijk dat de student zich bezig houdt met grijs internetgedrag.
De sriptkiddy is op zichzelf geen gevaarlijk individu. Zijn betrokkenheid bij het spam of phishingproces is slechts zijdelings. Valt een scriptkiddy uit, dan ondervindt het proces geen schade. Daarom kan via de scripkiddy beter gezocht worden naar het brein achter de aanval. Via hem zijn wellicht bots benaderbaar of kan uitgevonden worden waar de spoof website gehost wordt of welke instelling aangevallen gaat worden. Hierop zijn dan verdere interventies mogelijk, zoals preventief informeren van mogelijke slachtoffers of het voortijdig verwijderen van de spoof website.
2.21.3 De ‘Scout’
Bij professionele phishing activiteiten worden de targets niet beperkt tot een specifiek land. Vaak gedreven vanuit een technologische benadering die op een specifiek systeemplatform gericht is, wordt onderzocht welke banken, webshops en/of andere mogelijke internetdoelwitten in de verschillenden landen aanwezig zijn. Om aan deze onderzoeksbehoefte inhoud te geven, is er behoefte aan een rol als scout/verkenner in een specifieke markt. De personen die deze rol vervullen dienen een goed overzicht te hebben van de systemen die de mogelijke targets in de markt gebruiken, de mate van beveiliging en de wijze van handhaving en opsporing. “Succesvolle scouts kenmerken zich door een actueel en hoogwaardig kennisniveau van de technische infrastructuur van partijen in een markt, die zij opgedaan hebben in huidige of historische relaties als medewerker of adviseur van de desbetreffende partijen.” 2.21.4 De ‘Translator’ Wanneer sprake is van traditionele phishing, zal bij een internationale verzending van de e‐mail, behoefte zijn aan vertaalcapaciteit. In het verleden werd dit bij met name de amateuristische aanvallen opgelost door gebruik te maken van automatische vertaalprogramma’s en/of knullige vertalingen door anderstaligen.
Bij enkele professionele aanvallen zijn benaderingen gebruikt waarbij een eerste knullig mailtje (daags erna) werd opgevolgd door een zeer vakkundig opgesteld mailtje met de uitnodiging om een ‘patch’ voor het zogenaamde beveiligingslek te installeren. Voor een dergelijke benadering is niet alleen een vakkundige vertaling nodig maar ook een cultuur‐invoelend vermogen om consumenten letterlijk te verleiden om in te gaan op de uitnodiging. Voor het vervullen van de rol van translator op het professionele niveau, is de inzet noodzakelijk van gekwalificeerde medewerkers die goed ingevoerd zijn in de desbetreffende markt en het land.
“Professionele vertalers die zich in laten huren voor de marktspecifieke uitrol van traditionele phishing aanvallen zijn te vinden in dezelfde omgeving als waar ‘reguliere’ criminele organisaties hun zakelijke dienstverlening betrekken.”
2.21.5 De ‘Toolsupplier’
‘Toolsupplier’ is een verzamelnaam voor leveranciers van softwaretools die als onderdeel van de MO gebruikt kunnen worden. Op het WWW zijn diverse leveranciers te vinden die volledige doe‐het‐zelf phishing pakketten leveren. Tegen een goede prijs lijkt alles te koop26. Niet alleen doe‐het‐zelf phishing pakketten, maar ook virusontwikkelaars, massmail‐programma’s en dergelijke. Op vele plekken op het WWW is malware tegen een winkelprijs verkrijgbaar27. Ten behoeve van succesvolle malware distributie is de laatste tijd zelfs een speciale tak van leveranciers van packers opgezet die met een grote regelmaat nieuwe compressie‐ oplossingen aanbieden waardoor malware onzichtbaar blijft voor antivirus‐ software.
“Niet zelden bevat DIY‐malware een ingebakken stuk malware dat ervoor zorgt dat gestolen credentials niet alleen bij de specifieke gebruiker ervan terecht komt, maar ook bij de originele maker. Vanuit deze invalshoek kan technische analyse van de DIY‐malware kits aanknopingspunten opleveren voor opsporing van daadwerkelijke daders.”
Er zijn vele tool suppliers en we hebben geen idee in hoeverre die een Nederlandse oorsprong kennen. Uit de dossiers blijkt daarvan niets. Overigens wordt daar ook geen onderzoek naar gedaan. De aanbieders van DIY‐kits op het gebied van 26 www.blogs.zdnet.com/security/?p=1104&tag=btxcsim, laatst geraadpleegd op 5 juni 2008. 27 www.security.nl/article/18941/1/Bouw_je_eigen_%22kinderlokker‐webcam‐Trojan%22.html, laatst geraadpleegd op 26 juni 2008.
phishing kunnen desondanks toch interessant zijn om een vinger achter het fenomeen te krijgen. Zo zal de kit‐developer meeliften op de gebruiker van de kit en gegevens van gestolen identiteit naar zichzelf toe willen halen. Bovendien zitten in de kits al bepaalde financiële instellingen voorgestructureerd waarvan het interessant is om te kijken in hoeverre die in Nederland zijn gevestigd.
De relatie met Nederland lijkt zich te beperken tot afnemers van de kits die zich in Nederland bevinden. Het download‐verkeer van deze sites is interessant om te monitoren.
Interessant kan zijn om te bepalen wat de impact van de DIY‐kits is. Zeker kits die spoof websites meeleveren zijn aantrekkelijk voor een dergelijke analyse. Uit een scan op website karakteristieken kan bekeken worden in hoeverre spoof websites op elkaar lijken en of ze eenmalig gebrukt worden, evolueren of simpelweg steeds gekopieerd worden. Aan de hand van de websites die in een DIY‐kit zitten, kan bekeken worden of een phisher een dergelijke kit heeft gebruikt. Blijkt dat phishers dit niet doen, dan kan de hele toolsupplier hypothese op de schop. Blijkt dat phishers alleen maar kits gebruiken, dan kan hier meer onderzoek naar gedaan worden.
2.21.6 De ‘Moneymule’
Bij phishingaanvallen gericht op bancaire instellingen bestaat het verzilveren van de verkregen credentials er in principe uit om vanaf de desbetreffende bankrekening geld over te maken naar een rekening met de dader direct of indirect als begunstigde. Doordat de opspoorbaarheid van een overboeking naar een directe rekening nogal voor de hand ligt, wordt in de regel gebruik gemaakt van zogenaamde ‘money mules’. Deze stromannen wordt een vergoeding in het vooruitzicht gesteld om zijn of haar bankrekening te gebruiken als tussenstation richting de dader. Voor de afwikkeling van de finale overboeking naar deze dader wordt gebruik gemaakt van money transfers en/of fysiek geldtransport om de traceerbaarheid sterk te verminderen. In de praktijk worden bij succesvolle phishingaanvallen de mules door de politie van hun bed gelicht maar komen deze weg met geen of een lichte straf vanwege hun beperkte aandeel in het delict.
“Personen die als mule actief zijn kunnen in hun gedrag herkend worden doordat ze in bepaalde periodes hoog frequent hun bankrekeningstand controleren, in vergelijking met andere periodes.”
“Vanwege het schijnbaar evident malafide karakter van de propositie die potentiële mules wordt voorgespiegeld, zullen slechts laag opgeleide en/of personen met financiële problemen zich beschikbaar stellen voor deze rol.”
De inzet van money‐mules om wederrechtelijke opbrengsten door te sluizen wordt in Nederland regelmatig aangetroffen. Juist omdat het om kwetsbare groepen gaat waarvan het gedrag als mule afwijkt van het gewone gedrag, is de kans op detectie relatief groot. Daarmee is alleen de relatie naar phishingactiviteiten nog niet aangetoond. “De kans op het verrichten van diensten als een mule is groot wanneer het gaat om studenten, werklozen of bijstandsgerechtigden die: een laag rekeningsaldo kennen met lage en weinig frequente mutaties, of een nieuwe rekening hebben geopend zonder betaal‐pasfuncties, en de nieuwe rekening kortstondig gebruiken, grotere bedragen krijgen bijgeschreven dan in voorgaande twaalf maanden, en de bedragen afkomstig zijn van rekeninghouders met een grote geografische spreiding,
deze bedragen geheel of grotendeels (95%) kort na storting (tot 1 dag) opnemen,
money transfers doen op of rond de datum van opname waarvan het bedrag geheel of nagenoeg overeenkomt met het bedrag van de opname, en/of waaraan opgave van een begunstigde ontbreekt of waarvan de begunstigde een andere is dan die het geld uiteindelijk incasseert.”
De hypothese kent twee ingangen: de populatie en het saldo‐gedrag. Om nu alle studenten, werklozen en bijstandgerechtigden in een startpopulatie op te nemen om daarmee te gaan matchen zal op weinig steun kunnen rekenen. De tweede invalshoek leidt directer tot een ‘statistisch’ verdachte groep die atypisch gedrag vertoont. Het (inter)bancaire verkeer is daarvoor de belangrijkste gegevensbron. Dat zal waarschijnlijk rechtstreeks gemonitord moeten worden, omdat de money transfers die na de overboekingen en cash opnames plaatsvinden in ieder geval deels onder de meldgrens van ongebruikelijke transacties blijven. De statistisch verdachte groep zou vervolgens wel rechtstreeks met de money transferkantoren kunnen worden gematcht om het verband tussen opname en transfer te leggen.
Phishers laten de met identiteitsdiefstal verkregen gelden overboeken naar rekening van diverse mules die als tussenpersoon fungeren. Ze blijven zo zelf buiten schot. Mules worden gerecruteerd op verschillende wijze. Sommige wervingscamapagnes worden op een 4.1.9‐fraude‐achtige wijze benaderd per (e‐ )mail. In de mail wordt een voorstelling gemaakt van een groot bedrijfsresultaat,
erfenis of overheidsschuld die niet via reguliere bankkanalen zou kunnen worden verstuurd. De redenen die aangevoerd worden zijn divers, zoals corruptie, wantrouwen van het bankstelsel of politieke problemen. De rol die voor de mule is weggelegd is een zeer aantrekkelijke. Ze krijgen een bedrag gestort op hun rekening, waarvan ze 5‐8 % mogen houden. De rest moeten ze opnemen en per money transfer naar Oost‐Europa of Afrika sturen.
Er is een dossier bekend bij de politieregio Amsterdam‐Amstelland waarin een bedrijf haar eigen naam terugziet in mule recruitment mails. Website en mailadressen wijken mimaal af van haar officiële webadres en mailadressen.
Een tweede bekende wervingscamapagne verloopt via vacaturewebsites. Hierop wordt eenvoudig werk aangeboden. Na reactie op de vacature, blijk het om het verplaatsen van geld te gaan. Twee phishing‐dossiers van het KLPD wijzen op het gebruik van money mules in combinatie met money transfers, maar bij de banken zijn vele voorbeelden bekend. Verschillende dossiers uit Amsterdam‐Amstelland wijzen op het gebruik van bankrekeningen van scholieren als ‘tussenrekening’ voor het wegsluizen/witwassen van geld. In de dossiers van Amsterdam‐Amstelland zijn twee gevallen van mule recruitment bekend, waarbij meerdere mules waren betrokken. Hierbij zetten de banken waar de mules hun rekening hadden de transacties zelf stop en bevroren de tegoeden van de mule. Ook is er een meer amateuristisch voorbeeld te noemen waarbij de partner gedwongen wordt een rekening te openen ten behoeve van de grijze internetactiviteiten van de andere partner. Als laatste worden er ook via veilingsites mules gerecruteerd. In de dossiers van de politieregio Amsterdam‐Amstelland komt een geval voor waarbij de mule online een beeldje aan had geschaft. Na de verkoop wordt de koper benaderd door de verkoper om geld via een money transfer naar Rusland over te maken. Mules worden breder ingezet en niet alleen in relatie tot phishing. De hypothese probeert de phishing‐relatie te leggen door de geografische spreiding van rekeninghouders in te brengen. Volledig discriminerend is die toevoeging niet. Ook in het geval van Nigerianenfraude zien we bijvoorbeeld transacties die aan dit criterium voldoen, zij het dat ze eerder afkomstig zijn uit het buitenland.
Het uitschakelen van mules is weinig effectief. De pool van mensen die geïnteresseerd is in hoge opbrengsten voor weinig werk is groot. Voor iedere mule staan zo weer anderen klaar. Wat een betere aanpak lijkt is het blokkeren van money transfers en het bevriezen van mule tegoeden. Dit stagneert het geldverkeer van de phisher. Wat ook interessant lijkt is het terugvolgen van de geldstroom. Helaas zal dit binnen de scope van het ‘Hollandsch perspectief’ snel ophouden, omdat de geldstromen veelal via het buitenland lopen.
2.22 ‘The Facilitators’
De zogenoemde ‘facilitators’ zijn in de phishing activiteit op zichzelf niet betrokken. Zij leveren diensten, vooral infrastructuur, met behulp waarvan de initiator zijn aanval kan uitvoeren, en kijken daarbij niet al te nauw voor welk doel die diensten worden gebruikt.
2.22.1 De ‘Host’
De spoof website van de phisher moet op het WWW komen. Hiervoor is een DNS (Domain Name Server) provider nodig, die de phisher voorziet van een domeinnaam en ruimte op een webserver om de website te plaatsen. Het domein verkrijgt de phisher zoals gezegd legaal, via een DNS‐provider. Dit proces is volledig geautomatiseerd, dus moeilijke vragen krijgt een phisher niet. Een DNS‐provider is echter wel een autoriteit, zodat de phisher enige moeite moet doen om zijn identiteit te verhullen.
Het plaatsen van de website gebeurt via een Internet Service Provider (ISP). Aantrekkelijke ISP’s voor een phisher om diensten van af te nemen, zijn betrekkelijke kleine organisaties met een lage servicegraad die hun klanten niet teveel moeilijke vragen stellen. Het enige wat de phisher tenslotte nodig heeft, is een paar bytes aan ruimte en een redelijke garantie van dataverkeer op een korte termijn. Ook het illegaal plaatsen van een website zorgt ervoor dat er een ISP betrokken wordt, zij het zonder haar medeweten. De phisher verschaft zich, al dan niet met hulp van derden, illegaal toegang tot een webserver en plaatst daar zijn spoof website. In dat geval kan er nog een betrokkene zijn, namelijk de huurder van de ruimte die de phisher misbruikt voor het plaatsen van de spoof website.
Wordt voor phishing gebruik gemaakt van een nepwebsite dan wordt die ergens gehost. Weten waar die wordt gehost, is nu al essentieel voor succesvolle ‘notice and take down’. Meestal blijft het bij het uit de lucht halen van een spoof site, maar men zou ook kunnen proberen uit te komen bij de beheerder van deze site. De detectiehypothese voor de host is dan ook op de botnet beheerders van toepassing. Botnetbeheerders doen er alles aan om hun bot te vrijwaren van detectie. Hoe dan ook, ze moeten met die bots communiceren. Dat gebeurt via het IRC‐protocol (chatchannels) omdat dat zich zo goed leent voor het op afstand bedienen van computers.