middels spam/phishing
2.2.2 Sophisticated phishing
In de ‘sophisticated’ variant, draait het niet om een nepwebsite waar slachtoffers naar toe worden gelokt, maar om het installeren van malware op de computer van het slachtoffer. Die malware moet op de computer bijvoorbeeld een pop‐up venster laten zien. Dat venster wordt visueel ontworpen in stap 2 en de malware (Trojan) die het installeert wordt aangeschaft in stap 3b en 3c. Vervolgens kiest de phisher een weg of meerdere wegen om de computer van slachtoffers te infecteren [7b]. Is dat gelukt dan pakt de malware zich uit en installeert zich [8b]. Afhankelijk van het voorgeprogrammeerde gedrag, maakt de software slachtoffers [8], waarna het phishingproces ongeveer op dezelfde wijze verloopt als in de klassieke variant. De procesbeschrijving in de achtereenvolgende paragrafen is een optelsom van wat er zoal aan MO‐elementen tijdens het onderzoek is aangetroffen, zonder uitspraken te doen welke elementen vaker en welke minder vaak voorkomen. Men kan de MO‐elementen dan ook in wisselende combinaties en uiteenlopende frequentie in de praktijk tegenkomen. Ondertussen ontwikkelen methoden zich voortdurend, zij het dat opvallend genoeg (maar ook logisch) bepaalde processtappen redelijk ongewijzigd blijven: die aan het begin en die aan het eind van de procesgang.
2.3 Stap 1 Determine target
De eerste stap in het plegen van een phishing aanval is het bepalen van de instelling die aangevallen gaat worden. Vaak zijn dit banken, maar ook Ebay of andere veilingsites, Paypal en internet service providers, zoals AOL (America Online), worden veelvuldig gebruikt voor het plegen van phishing aanvallen. Op internet zijn maandelijkse rapportages te vinden van de meest aangevallen financiële instellingen. Voor de phisher gelden twee overwegingen voor de keuze van het phishing doelwit.
1. Mass: grote instellingen kennen veel klanten die men kan bereiken met een grote hoeveelheid weinig gerichte spam. De kans dat tussen dat brede schot hagel zich klanten bevinden van die instelling is groot. Deze vorm van spam is goedkoop, maar kent als keerzijde dat ze snel opvalt en dat grote instellingen zichzelf en hun klanten op allerlei manieren tegen aanvallen beschermen.
2. Spear: kleine instellingen kennen minder klanten. Wil men die bereiken dan moet de phisher met heel grote algemene bestanden werken of met kleine specifieke. Kan hij over het laatste beschikken, dan kan hij zijn kans op succes vergroten. Alleen zullen die bestanden duurder zijn. Kleine instellingen hebben voor de phisher ook als voordeel dat hun beveiliging misschien wat minder geavanceerd is.
“De keuze van het target (groot of klein) indiceert het soort phisher. Een klein target in combinatie met een klein adressenbestand indiceert dat de phisher over specifieke kennis ten aanzien van dat target beschikt en er relatief dicht bij in de buurt zit.”
“Het gebruik van een klein specifiek adressenbestand dat niet breed in spamruns voorkomt, indiceert de betrokkenheid van een insider van het target.”
“Het gebruik van een klein specifiek adressenbestand dat niet breed in spam voorkomt, indiceert een professionele phisher.”
De gebruikte instelling hoeft overigens niet altijd zelf slachtoffer te zijn van een phishing aanval. In het geval van een aanval op bijvoorbeeld Ebay, hoeft de organisatie zelf geen last te hebben van misbruik van gebruikersaccounts. Wel zal iedere instelling die gebruikt wordt voor een phishing aanval imagoschade oplopen. Vaak worden de instellingen door gedupeerde gebruikers na een phishing aanval aansprakelijk gesteld voor de door hen geleden schade waardoor de instellingen alsnog fysieke schade ondervinden.
2.4 Stap 2 Design for web
Spoofsite
Na het bepalen van het target, moet de phisher beschikken over een aantal web‐ representaties. Bij klassieke phishing moet hij een website tot zijn beschikking hebben die een exacte kopie is van de officiële website van de targetinstelling. Slachtoffers mogen uiteraard niet vermoeden dat ze een andere website bezoeken dan de officiële website van de instelling. De enige afwijking aan deze zogenaamde spoof website is dat de inloggegevens van de gebruiker worden opgeslagen of dat de phisher in staat is mee te surfen met de gebruiker naar het beschermde
gedeelte van de authentieke website om daar gegevens weg te halen. Uit onderzochte dossiers (ABNAMRO, Postbank, ING) blijkt dat de spoofwebsites in korte tijd steeds beter zijn geworden. “Op basis van eenzelfde stijl, typefouten, lay‐out van pagina’s en gebruikte kleuren in een spoof is het in theorie mogelijk pagina’s te onderscheiden naar de generator waarmee ze zijn gemaakt. Naarmate er meer kopieën van dezelfde spoof circuleren, indiceert dat het gebruik van eenzelfde Do–It‐Yourself (DIY) kit waarmee de spoof is gegenereerd.” “Bezoek aan een target site zonder in te loggen of inloggen op een targetsite zonder uitvoerende handelingen te verrichten, kunnen duiden op een verkenning van site‐ kenmerken of het testen van een spoof website, ter voorbereiding van een of meerdere phishing aanvallen.”
Recruitment site
Het phishingproces draait om geld, dat met behulp van gehengelde inloggegevens van slachtoffers afhandig wordt gemaakt van de targetinstelling. Zoals uit processtap 11 blijkt, is het gebruik van katvangers als tussenschakel nog altijd populair. Alleen moeten die wel ‘klaar staan’ op het moment dat met behulp van gestolen inloggegevens geld wordt overgeboekt. Met het verstrijken van de tijd tussen diefstal van gegevens en een onrechtmatige overboeking neemt namelijk de kans op ontdekking toe. Deze katvangers of money mules worden daarom vooraf geworven. Daarvoor kan een recruitment site nodig zijn die ogenschijnlijk reguliere banen aanbiedt, maar in feite werft voor tussenschakels in een phishingproces. Message Parallel aan het verkrijgen van de software om massaal e‐mailberichten te kunnen zenden moet de phisher een boodschap (message) hebben om de potentiële slachtoffers over te halen naar de spoof website te surfen en daar hun gegevens achter te laten. De berichten die phishers sturen, spelen meestal paradoxaal genoeg in op de angsten van internet gebruikers met betrekking tot de veiligheid van hun bankgegevens. De boodschap in het spambericht heeft bijvoorbeeld de strekking: ‘Geachte klant, op server …… van onze online webservice XXX is een fout opgetreden. Om uw account te behouden moet u direct naar www.supersecure.instelling.domein.nl gaan om uw account opnieuw te activeren. U moet dit binnen ... uur doen, anders gaan uw gegevens verloren.’ Het is voor de phisher zeker van belang dat het slachtoffer op de URL in zijn spambericht klikt of dat de phisher de computer van de argeloze gebruiker zo beïnvloedt dat zelfs als de
gebruiker de URL overtikt in zijn browser, toch de phishing site bezocht wordt. Om detectie door spamfilters te voorkomen, worden boodschappen in plaats van als plain text, ook in de vorm van een in een e‐mailbericht opgenomen plaatje verstuurd. Een dergelijk plaatje is eigenlijk niets anders dan een foto van een tekst.
Als een gebruiker een web adres in zijn browser kiest, stuurt zijn pc een request en krijgt daarop als respons het IP‐adres van de desbetreffende website. De phisher kan, tegelijkertijd met zijn spambericht, bij voorbaat een respons sturen naar de pc van het slachtoffer, zodat deze ook via zijn browser op de spoof website belandt.
“Bij phishing worden vaak kopieën van eerdere phishing mails gebruikt. Dat heeft te maken met het noodzakelijke redigeer‐ en vertaalwerk en met DIY‐kits die worden gebruikt en dezelfde output genereren. Kenmerken van phishing mails zijn te gebruiken als footprints om: ‐ te achterhalen uit welke bron/generator ze afkomstig zijn; ‐ de mate van verspreiding vast te stellen.” “Knullige mailtjes met fouten zijn een voorbode van een phishing aanval.” Ad’s/pop‐up
Sophisticated phishing maakt gebruik van malware om in de browser van een geïnfecteerde PC banners met reclame of pop‐up vensters te laten verschijnen. Deze banners/pop‐ups zijn kleine (Java)scripts die gebruik maken van kwetsbaarheden in browsers. Het ontwerp van deze scripts is een vorm van ‘design for web’ en op zichzelf legaal en veel voorkomend binnen softwareontwerp. Tutorials zijn vrij te downloaden via het internet. Detectie van de distributie van dit soort malware wordt bemoeilijkt door het gebruik van zogenaamde packers die door virusscanners worden doorgelaten. Dit soort packers komt binnen via bestandsoverdracht of het bezoek aan bepaalde websites (zie stap 7b en § 2.7).
2.5 Stap 3a Staff recruitment
Zoals uit de beschrijving van het rollencomplex uit § 2.19 en verder zal blijken, kan (of moet) de phisher zich bedienen van bepaalde deskundigheden of rollen waarover hijzelf niet beschikt of die hij zelf met het oog op eventuele ontdekking en herleiding niet wil vervullen. Die deskundigheden of rollen moeten worden verworven. Dat kan op een aantal manieren, bijvoorbeeld via rekrutering‐ of
jobapplicationsites waarop mensen zich voor bepaalde werkzaamheden aanbieden of waarin opdrachtgevers mensen met een bepaalde deskundigheid vragen (bijvoorbeeld www.rentacoder.com).
Mule recruitement
“Hello, would like to propose you a FINANCIAL AGENT vacancy”
My name is Mindy Darling and I'm the Chief Manager of Department of employment in Rest Pro Company (RPC). I am pleased to offer you a vacant position of Financial Manager in RPC. Let me tell you about our company. We are engaged in selection and delivery of technical equipment and goodies in various offices and organizations. We take all troubles about choosing and delivering appropriate technical equipment to client's office, under our responsibility. RPC was established in 2002 and earned quite good reputation on the market. At the moment we have some plans for the further development, we plan to broaden our services and add an international network to serve clients in all over the world.
To offer to our foreign clients more favorable and comfortable conditions we have made the decision to create an international network of regional agents. We have opened a set of employees in various areas of the world. It has allowed our clients to get access to a wider assortment of the goods, than before. In fact, earlier, many suppliers refused to work with us for the reason of bureaucracy that occurred then registration of legal documents were needed to transport equipment, or transfer money.
The Duties of the financial manager consists of reception of money resources from clients of our company and transferring them to us. For every transaction, we pay 8 % from the total sum.
Work Requirements: minimal knowledge of personal computer and internet/E-mail, Bank account, Legal age, Will to work at home 2-3 hrs per day, Crime-free background (background check will be made before accepting on the position). There is not any starting payments or pledges for the goods!
Please replay to this e-mail if you are interested in this opening, we will send you an employment agreement within nearest 24 hours, feel free to ask questions.
restprocompany@googlemail.com Best Regards Mindy Darling Bron: www.4.1.9legal.org/archive-emails-sent-4.1.9legal/69379-about-financial-agent-vacancy.html
Alternatieve bronnen voor het werven van employees zijn sociale netwerken; specifieke fora waarop mensen met een bepaalde interesse of deskundigheid elkaar ontmoeten of peer groups die kunnen variëren van familieleden, kennissen, oud klasgenoten, tot de deelnemers aan een bepaald (technisch georiënteerd) congres.
In de geanalyseerde case ‘G’ werden mules geworven door middel van spam. Grote hoeveelheden gecompromitteerde e‐mailadressen en proxy's richtten zich met een spammail tot werklozen, mensen die bij krap bij kas zaten, scholieren en ook zeelieden, om ze naar een job recruitment site te lokken. Daar konden ze zich in schrijven voor het simpelweg fungeren als doorgeefluik van geld. Er vond zowel telefonisch als schriftelijk contact plaatsvond met de recruiters wat een sterk gevoel van authenticiteit opriep bij de baanzoekenden. Er werd zelfs een arbeidscontract opgesteld. Als dekmantel zou het gaan om het afhandelen van het betalingsverkeer tussen de klant van een af te leveren product en de leverancier. Daarvoor werd het geld vanaf de rekening van het phishing slachtoffer gestort op de rekening van de mule, die een seintje kreeg dat het contant moest worden opgenomen en direct als money transfer moest worden verzonden na aftrek van het honorarium (5% van het overgeboekte bedrag).
Een grote phishingzaak die is behandeld door het KLPD kwam aan het rollen nadat een politieman in ging op een soortgelijk spambericht als in de case G, waarin hij zoals vele anderen werd benaderd voor het verrichten van ‘financiële werkzaamheden’.
2.6 Stap 3b Acquire addresses
Om de slachtoffers te kunnen benaderen moet de klassieke phisher e‐mailadressen zien te verzamelen van potentiële slachtoffers. De mailadressen moeten aan een aantal criteria voldoen om vooral bruikbaar te zijn: - ze moeten geldig zijn; - ze moeten het verzonden bericht niet als spam beschouwen, en - de gebruiker moet een band hebben met de instelling die in de aanval gebruikt wordt. Er zijn verschillende methoden om aan dit soort adressen te komen, waarvan we er enkele beschrijven.