Sophisticated phishing

In de ‘sophisticated’ variant, draait het niet om een nepwebsite waar slachtoffers  naar toe worden gelokt, maar om het installeren van malware op de computer van  het  slachtoffer.  Die  malware  moet  op  de  computer  bijvoorbeeld  een  pop‐up  venster laten zien. Dat venster wordt visueel ontworpen in stap 2 en de malware  (Trojan) die het installeert wordt aangeschaft in stap 3b en 3c. Vervolgens kiest de  phisher een weg of meerdere wegen om de computer van slachtoffers te infecteren  [7b]. Is dat gelukt dan pakt de malware zich uit en installeert zich [8b]. Afhankelijk  van het voorgeprogrammeerde gedrag, maakt de software slachtoffers [8], waarna  het phishingproces ongeveer op dezelfde wijze verloopt als in de klassieke variant.    De procesbeschrijving in de achtereenvolgende paragrafen is een optelsom van wat  er  zoal  aan  MO‐elementen  tijdens  het  onderzoek  is  aangetroffen,  zonder  uitspraken te doen welke elementen vaker en welke minder vaak voorkomen. Men  kan  de  MO‐elementen  dan  ook  in  wisselende  combinaties  en  uiteenlopende  frequentie  in  de  praktijk  tegenkomen.  Ondertussen  ontwikkelen  methoden  zich  voortdurend,  zij  het  dat  opvallend  genoeg  (maar  ook  logisch)  bepaalde  processtappen  redelijk  ongewijzigd  blijven:  die  aan  het  begin  en  die  aan  het  eind  van de procesgang. 

2.3 Stap 1 Determine target

De  eerste  stap  in  het  plegen  van  een  phishing  aanval  is  het  bepalen  van  de  instelling  die  aangevallen  gaat  worden.  Vaak  zijn  dit  banken,  maar  ook  Ebay  of  andere  veilingsites,  Paypal  en  internet  service  providers,  zoals  AOL  (America  Online),  worden  veelvuldig  gebruikt  voor  het  plegen  van  phishing  aanvallen.  Op  internet  zijn  maandelijkse  rapportages  te  vinden  van  de  meest  aangevallen  financiële  instellingen.  Voor  de  phisher  gelden  twee  overwegingen  voor  de  keuze  van het phishing doelwit.  

1. Mass:  grote  instellingen  kennen  veel  klanten  die  men  kan  bereiken  met  een  grote  hoeveelheid  weinig  gerichte  spam.  De  kans  dat  tussen  dat  brede  schot  hagel zich klanten bevinden van die instelling is groot. Deze vorm van spam is  goedkoop, maar kent als keerzijde dat ze snel opvalt en dat grote instellingen  zichzelf en hun klanten op allerlei manieren tegen aanvallen beschermen. 

2. Spear:  kleine  instellingen  kennen  minder  klanten.  Wil  men  die  bereiken  dan  moet  de  phisher  met  heel  grote  algemene  bestanden  werken  of  met  kleine  specifieke. Kan hij over het laatste beschikken, dan kan hij zijn kans op succes  vergroten. Alleen zullen die bestanden duurder zijn. Kleine instellingen hebben  voor  de  phisher  ook  als  voordeel  dat  hun  beveiliging  misschien  wat  minder  geavanceerd is. 

“De keuze van het target (groot of klein) indiceert het soort phisher. Een klein target  in  combinatie  met  een  klein  adressenbestand  indiceert  dat  de  phisher  over  specifieke  kennis  ten  aanzien  van  dat  target  beschikt  en  er  relatief  dicht  bij  in  de  buurt zit.”  

“Het  gebruik  van  een  klein  specifiek  adressenbestand  dat  niet  breed  in  spamruns  voorkomt, indiceert de betrokkenheid van een insider van het target.” 

“Het  gebruik  van  een  klein  specifiek  adressenbestand  dat  niet  breed  in  spam  voorkomt, indiceert een professionele phisher.” 

De  gebruikte  instelling  hoeft  overigens  niet  altijd  zelf  slachtoffer  te  zijn  van  een  phishing  aanval.  In  het  geval  van  een  aanval  op  bijvoorbeeld  Ebay,  hoeft  de  organisatie zelf geen last te hebben van misbruik van gebruikersaccounts. Wel zal  iedere instelling die gebruikt wordt voor een phishing aanval imagoschade oplopen.  Vaak  worden  de  instellingen  door  gedupeerde  gebruikers  na  een  phishing  aanval  aansprakelijk  gesteld  voor  de  door  hen  geleden  schade  waardoor  de  instellingen  alsnog fysieke schade ondervinden. 

2.4 Stap 2 Design for web

Spoofsite 

Na het bepalen van het target, moet de phisher beschikken over een aantal web‐ representaties.  Bij  klassieke  phishing  moet  hij  een  website  tot  zijn  beschikking  hebben  die  een  exacte  kopie  is  van  de  officiële  website  van  de  targetinstelling.  Slachtoffers mogen uiteraard niet vermoeden dat ze een andere website bezoeken  dan de officiële website van de instelling. De enige afwijking aan deze zogenaamde  spoof website is dat de inloggegevens van de gebruiker worden opgeslagen of dat  de  phisher  in  staat  is  mee  te  surfen  met  de  gebruiker  naar  het  beschermde 

gedeelte  van  de  authentieke  website  om  daar  gegevens  weg  te  halen.  Uit  onderzochte  dossiers  (ABNAMRO,  Postbank,  ING)  blijkt  dat  de  spoofwebsites  in  korte tijd steeds beter zijn geworden.    “Op basis van eenzelfde stijl, typefouten, lay‐out van pagina’s en gebruikte kleuren  in een spoof is het in theorie mogelijk pagina’s te onderscheiden naar de generator  waarmee ze zijn gemaakt. Naarmate er meer kopieën van dezelfde spoof circuleren,  indiceert dat het gebruik van eenzelfde Do–It‐Yourself (DIY) kit waarmee de spoof is  gegenereerd.”    “Bezoek aan een target site zonder in te loggen of inloggen op een targetsite zonder  uitvoerende handelingen te verrichten, kunnen duiden op een verkenning van site‐ kenmerken  of  het  testen  van  een  spoof  website,  ter  voorbereiding  van  een  of  meerdere phishing aanvallen.” 

Recruitment site 

Het phishingproces draait om geld, dat met behulp van gehengelde inloggegevens  van  slachtoffers  afhandig  wordt  gemaakt  van  de  targetinstelling.  Zoals  uit  processtap  11  blijkt,  is  het  gebruik  van  katvangers  als  tussenschakel  nog  altijd  populair. Alleen moeten die wel ‘klaar staan’ op het moment dat met behulp van  gestolen  inloggegevens  geld  wordt  overgeboekt.  Met  het  verstrijken  van  de  tijd  tussen diefstal van gegevens en een onrechtmatige overboeking neemt namelijk de  kans op ontdekking toe. Deze katvangers of money mules worden daarom vooraf  geworven. Daarvoor kan een recruitment site nodig zijn die ogenschijnlijk reguliere  banen aanbiedt, maar in feite werft voor tussenschakels in een phishingproces.    Message  Parallel aan het verkrijgen van de software om massaal e‐mailberichten te kunnen  zenden  moet  de  phisher  een  boodschap  (message)  hebben  om  de  potentiële  slachtoffers  over  te  halen  naar  de  spoof  website  te  surfen  en  daar  hun  gegevens  achter  te  laten.  De  berichten  die  phishers  sturen,  spelen  meestal  paradoxaal  genoeg in op de angsten van internet gebruikers met betrekking tot de veiligheid  van  hun  bankgegevens.  De  boodschap  in  het  spambericht  heeft  bijvoorbeeld  de  strekking: ‘Geachte klant, op server …… van onze online webservice XXX is een fout  opgetreden.  Om  uw  account  te  behouden  moet  u  direct  naar  www.supersecure.instelling.domein.nl gaan om uw account opnieuw te activeren. U  moet  dit  binnen  ...  uur  doen,  anders  gaan  uw  gegevens  verloren.’  Het  is  voor  de  phisher zeker van belang dat het slachtoffer op de URL in zijn spambericht klikt of  dat de phisher de computer van de argeloze gebruiker zo beïnvloedt dat zelfs als de 

gebruiker de URL overtikt in zijn browser, toch de phishing site bezocht wordt. Om  detectie  door  spamfilters  te  voorkomen,  worden  boodschappen  in  plaats  van  als  plain  text,  ook  in  de  vorm  van  een  in  een  e‐mailbericht  opgenomen  plaatje  verstuurd. Een dergelijk plaatje is eigenlijk niets anders dan een foto van een tekst.   

Als een gebruiker een web adres in zijn browser kiest, stuurt zijn pc een request en  krijgt  daarop  als  respons  het  IP‐adres  van  de  desbetreffende  website.  De  phisher  kan, tegelijkertijd met zijn spambericht, bij voorbaat een respons sturen naar de pc  van het slachtoffer, zodat deze ook via zijn browser op de spoof website belandt.   

“Bij phishing worden vaak kopieën van eerdere phishing mails gebruikt. Dat heeft te  maken met het noodzakelijke redigeer‐ en vertaalwerk en met DIY‐kits die worden  gebruikt  en  dezelfde  output  genereren.  Kenmerken  van  phishing  mails  zijn  te  gebruiken als footprints om:  ‐ te achterhalen uit welke bron/generator ze afkomstig zijn;  ‐ de mate van verspreiding vast te stellen.”    “Knullige mailtjes met fouten zijn een voorbode van een phishing aanval.”    Ad’s/pop‐up 

Sophisticated  phishing  maakt  gebruik  van  malware  om  in  de  browser  van  een  geïnfecteerde  PC  banners  met  reclame  of  pop‐up  vensters  te  laten  verschijnen.  Deze  banners/pop‐ups  zijn  kleine  (Java)scripts  die  gebruik  maken  van  kwetsbaarheden in browsers. Het ontwerp van deze scripts is een vorm van ‘design  for  web’  en  op  zichzelf  legaal  en  veel  voorkomend  binnen  softwareontwerp.  Tutorials zijn vrij te downloaden via het internet. Detectie van de distributie van dit  soort  malware  wordt  bemoeilijkt  door  het  gebruik  van  zogenaamde  packers  die  door  virusscanners  worden  doorgelaten.  Dit  soort  packers  komt  binnen  via  bestandsoverdracht of het bezoek aan bepaalde websites (zie stap 7b en § 2.7).   

2.5 Stap 3a Staff recruitment

Zoals uit de beschrijving van het rollencomplex uit § 2.19 en verder zal blijken, kan  (of  moet)  de  phisher  zich  bedienen  van  bepaalde  deskundigheden  of  rollen  waarover hijzelf niet beschikt of die hij zelf met het oog op eventuele ontdekking  en  herleiding  niet  wil  vervullen.  Die  deskundigheden  of  rollen  moeten  worden  verworven.  Dat  kan  op  een  aantal  manieren,  bijvoorbeeld  via  rekrutering‐  of 

jobapplicationsites waarop mensen zich voor bepaalde werkzaamheden aanbieden  of  waarin  opdrachtgevers  mensen  met  een  bepaalde  deskundigheid  vragen  (bijvoorbeeld www.rentacoder.com). 

Mule recruitement

“Hello, would like to propose you a FINANCIAL AGENT vacancy”

My name is Mindy Darling and I'm the Chief Manager of Department of employment in Rest Pro Company (RPC). I am pleased to offer you a vacant position of Financial Manager in RPC. Let me tell you about our company. We are engaged in selection and delivery of technical equipment and goodies in various offices and organizations. We take all troubles about choosing and delivering appropriate technical equipment to client's office, under our responsibility. RPC was established in 2002 and earned quite good reputation on the market. At the moment we have some plans for the further development, we plan to broaden our services and add an international network to serve clients in all over the world.

To offer to our foreign clients more favorable and comfortable conditions we have made the decision to create an international network of regional agents. We have opened a set of employees in various areas of the world. It has allowed our clients to get access to a wider assortment of the goods, than before. In fact, earlier, many suppliers refused to work with us for the reason of bureaucracy that occurred then registration of legal documents were needed to transport equipment, or transfer money.

The Duties of the financial manager consists of reception of money resources from clients of our company and transferring them to us. For every transaction, we pay 8 % from the total sum.

Work Requirements: minimal knowledge of personal computer and internet/E-mail, Bank account, Legal age, Will to work at home 2-3 hrs per day, Crime-free background (background check will be made before accepting on the position). There is not any starting payments or pledges for the goods!

Please replay to this e-mail if you are interested in this opening, we will send you an employment agreement within nearest 24 hours, feel free to ask questions.

restprocompany@googlemail.com Best Regards Mindy Darling Bron: www.4.1.9legal.org/archive-emails-sent-4.1.9legal/69379-about-financial-agent-vacancy.html  

Alternatieve  bronnen  voor  het  werven  van  employees  zijn  sociale  netwerken;  specifieke  fora  waarop  mensen  met  een  bepaalde  interesse  of  deskundigheid  elkaar ontmoeten of peer groups die kunnen variëren van familieleden, kennissen,  oud  klasgenoten,  tot  de  deelnemers  aan  een  bepaald  (technisch  georiënteerd)  congres.  

In de geanalyseerde case ‘G’ werden mules geworven door middel van spam. Grote  hoeveelheden gecompromitteerde e‐mailadressen en proxy's richtten zich met een  spammail  tot  werklozen,  mensen  die  bij  krap  bij  kas  zaten,  scholieren  en  ook  zeelieden, om ze naar een  job recruitment site te lokken. Daar konden ze zich in  schrijven  voor  het  simpelweg  fungeren  als  doorgeefluik  van  geld.  Er  vond  zowel  telefonisch  als  schriftelijk  contact  plaatsvond  met  de  recruiters  wat  een  sterk  gevoel  van  authenticiteit  opriep  bij  de  baanzoekenden.  Er  werd  zelfs  een  arbeidscontract opgesteld. Als dekmantel zou het gaan om het afhandelen van het  betalingsverkeer tussen de klant van een af te leveren product en de leverancier.  Daarvoor werd het geld vanaf de rekening van het phishing slachtoffer gestort op  de  rekening  van  de  mule,  die  een  seintje  kreeg  dat  het  contant  moest  worden  opgenomen  en  direct  als  money  transfer  moest  worden  verzonden  na  aftrek  van  het honorarium (5% van het overgeboekte bedrag). 

Een grote phishingzaak die is behandeld door het KLPD kwam aan het rollen nadat  een politieman in ging op een soortgelijk spambericht als in de case G, waarin hij  zoals  vele  anderen  werd  benaderd  voor  het  verrichten  van  ‘financiële  werkzaamheden’. 

2.6 Stap 3b Acquire addresses

Om de slachtoffers te kunnen benaderen moet de klassieke phisher e‐mailadressen  zien  te  verzamelen  van  potentiële  slachtoffers.  De  mailadressen  moeten  aan  een  aantal criteria voldoen om vooral bruikbaar te zijn:  - ze moeten geldig zijn;  - ze moeten het verzonden bericht niet als spam beschouwen, en  - de gebruiker moet een band hebben met de instelling die in de aanval gebruikt  wordt.    Er zijn verschillende methoden om aan dit soort adressen te komen, waarvan we er  enkele beschrijven.