middels spam/phishing
2.15 Stap 10 Acquire profit
De phisher heeft er belang bij dat slachtoffers niet in de gaten hebben dat ze slachtoffer zijn. Bij het maskeren van het aftappen van gegevens kan de phisher verschillende technieken toepassen. Eén methode is het slachtoffer naar de phishing site te lokken, daar de gegevens in te laten vullen en vervolgens het slachtoffer te verwijzen naar de reguliere website, die aangeeft dat het wachtwoord verkeerd is. Hierbij communiceert de spoof website niet met de reguliere website, maar verwijst slechts. De gebruikersnaam en het wachtwoord worden uiteraard opgeslagen. Voordeel van deze methode is dat het slachtoffer weinig argwaan zal koesteren, omdat het verkeerd invullen van wachtwoorden met regelmaat gebeurt.
“Om spoof sites zolang mogelijk in de lucht te houden, zullen (professionele) phishers proberen om slachtoffers niet te laten ontdekken dat ze gephisht zijn. Het doorlinken naar de echte site, is aan de kant van de betrokken instelling of organisatie te herkennen doordat er vaker dan gebruikelijk vanuit hetzelfde IP‐adres bepaald verkeer op de site terecht komt. Op het moment dat dit geen bekende gateway of proxy is, duidt dit op een spoof site die verkeer doorleidt.”
“Naarmate spoof sites langer in de lucht kunnen blijven, gaan ze opvallen doordat ze in search engines terechtkomen en bij de ISP host ineens meer verkeer gaan opleveren.”
Bank account abuse
Zijn de gegevens van slachtoffers verkregen en naar de phisher toegehaald dan kan hij ze gaan gebruiken. Een directe manier om misbruik te maken van inloggegevens vindt plaats bij zogeheten two‐factor authentification. Deze manier van toegangsbeveiliging wordt veel toegepast in het bankwezen. Klanten loggen niet in met een vaste combinatie van gebruikersnaam en wachtwoord, maar gebruiken hun rekeningnummer als gebruikersnaam. Het wachtwoord wordt gemaakt door een kleine console, die op basis van de gebruikte bankpas en de bijbehorende pincode een algoritme toepast en een toegangscode aan de gebruiker toont. Phishers kunnen toch misbruik maken van rekeningen die op deze manier beveiligd zijn. Ze creëren een spoof website die exact gelijk is aan de inlogpagina van de bank en daar ook 1‐op‐1 mee communiceert. Naast deze website creëren ze een sidescript dat als functie heeft om met de legitieme gebruiker mee naar binnen te glippen. Wanneer de gebruiker inlogt op zijn of haar rekening wordt het sidescript geactiveerd en gaat met de gebruiker, die nu onbewust slachtoffer is geworden, naar binnen. Het slachtoffer merkt niets, omdat de spoof website via de legitieme
website toegang geeft tot het beveiligde gedeelte van de website. Het slachtoffer doet zijn transacties en logt uit. Het sidescript blijft echter actief en houdt zo de deur open voor de phisher. Deze kan nu zijn gang gaan en geld overboeken naar andere rekeningen. Dat wordt gemaskeerd door ze de naam mee te geven van regelmatige betalingen, zoals gas/water/licht, huur, hypotheek, etc. De betalingen worden ook uitgevoerd rond de datums van de reguliere betalingen of precies tussen twee van deze betalingen in, zodat ze minder opvallen. Via nieuwe toepassingen als Ideal, kan de phisher ook aankopen doen op rekening van slachtoffers. Bij internetwinkels betaalt hij met de rekeninggegevens van het slachtoffer en laat producten naar zichzelf of mules opsturen.
Deze methode is weer een voorbeeld van de ‘man‐in‐the‐middle’‐techniek en is technisch redelijk moeilijk. Er zijn geen generieke tools voor te downloaden. De ‘man‐in‐the‐middle’ software moet duur gekocht worden of door een dure hacker gemaakt worden. Het is lastig voorstelbaar dat een scriptkiddy dit zou kunnen of dat een hacker het voor niets zou doen. Ook is het geen software waarvan men kan claimen dat men niet wist waar het voor was. Er is sprake van een soort wapenwedloop. De phisher stapelt anti‐detectiemaatregelen en de bestrijders bedenken detectiemaatregelen. Soms lijkt niet eens de moeite te worden genomen om detectie te vermijden. Het is voor de phisher altijd een afweging, veel eenvoudig doen of minder beter doen. Het is niet altijd duidelijk wat meer oplevert. Vooral phishers die echt investeren kunnen soms de open en bloot (snel en gevaarlijk) aanpak kiezen.
“Indien er sprake is van direct gebruik van de gestolen data (bijvoorbeeld bij een bank) zal de dader in de meeste gevallen gebruik maken van katvangers (money mules). Daarnaast zijn de bedragen die bijgeschreven worden relatief klein en daardoor onopvallend.”
“Creditcard data wordt vaak via underground sites doorverkocht aan (Russische) bendes. Door middel van informatie van bekend geworden slachtoffers, kan via het daadwerkelijk misbruik van de creditcardgegevens, de link met de creditcard bende gelegd worden. Via de communicatie van deze bende met anderen, kan de phisher geïdentificeerd worden.”
“Inloggegevens voor sites waar geen direct financieel voordeel mee kan worden behaald (Hyves, Facebook, marktplaats), worden vaak gebruikt om met behulp van dezelfde inlog toegang te krijgen tot webshops waar via oneerlijke shopping goederen besteld kunnen worden. De veronderstelling hierachter is dat veel
gebruikers dezelfde inlognaam en wachtwoord bij verschillende sites gebruiken. De bestelling van goederen via andermans account kan vervolgens opvallen doordat een ander afleveradres gebruikt wordt (vaak van katvanger of een zogenaamde 'open brievenbus').”
Creditcard abuse
Het misbruiken van creditcardgegevens kan op verschillende manieren. Met de creditcard kan geld worden opgenomen of er kunnen producten op worden aangeschaft. Via Paypal kan ook rechtstreeks geld overgeboekt worden naar rekeningen in bezit of onder controle van de phisher. Een relatief nieuw fenomeen is webmoney. Het betreft een soort prepaid betaalmiddel waarmee een account kan worden opgeladen en vervolgens kan worden betaald. Met creditcard gegevens kunnen ook money transfers gedaan kunnen worden, alleen wordt er na de tweede betaling om identificatie gevraagd. Het stelen van creditcardgegevens kan ook een MO zijn in het phishingproces, bijvoorbeeld bij het betalen voor hosting of ingehuurde kennis en/of kunde (via Paypal).
Auction.trading abuse
Niet‐bancaire gegevens worden misbruikt in andere toepassingen. Eén van de onderzochte dossiers van het politiekorps Amsterdam‐Amstelland betrof een gekraakt Hotmail‐account ten laste waarvan op Ebay aankopen waren gedaan, vermoedelijk met gestolen creditcardgegevens. Zo is de phisher niet te achterhalen, omdat hij zich bedient van de gegevens van iemand anders. Via Ebay gebeurt hetzelfde, maar is de kans aanwezig dat de phisher via een klantprofiel niet alleen aankopen doet, maar deze ook betaalt via dat profiel. Het slachtoffer lijdt dan niet alleen immateriële schade in de vorm van identiteitsdiefstal, maar ook materiële schade doordat hij aankopen voor de phisher betaalt.
Abuse games credentials
Voor games en online applicaties gelden ook verzilver‐ en doorsluismogelijkheden. Internetcommunities als Habbo hotel zijn slachtoffer geworden van phishing waarbij accounts werden gehackt en virtuele punten, die met echt geld gekocht dienden te worden, overgeschreven werden naar accounts van de phisher, die ze vervolgens verzilverde ('Kisses', www.infonu.nl).
Voor spellen als World of Warcraft (WoW) kan iets dergelijks ook opgaan. Hier stoppen spelers veel tijd energie en soms geld in het ontwikkelen van hun virtuele karakters en het verkrijgen van tools en skills. Al die eigenschappen worden al voor geld op het web verhandeld en zijn dus ook interessant om te stelen. Als een
phisher een WoW account weet te kraken en de tools en skills steelt van een ander kan hij daar wellicht goed aan verdienen. Eén van de onderzochte dossiers had betrekking op een dergelijke kraak bij de bron: de ontwikkelaar van een spel dat al wel was aangekondigd maar nog niet op de markt was. In dat geval had een groepje gamers zich ten doel gesteld zoveel mogelijk spellen te kraken.
2.16 Stap 11 Activate mules
Wanneer een phisher op enig moment beschikt over creditcardgegevens of bankrekeninginformatie, is het niet handig deze direct te gebruiken voor persoonlijke uitgaven. Dit maakt de opsporing te eenvoudig. Phishers rekruteren daarom mules (ook ‘drops’ genoemd) die het geld ontvangen en doorsturen. Dit proces kan geheel giraal verlopen, maar wordt vaak via money transfers gedaan om het minder transparant te maken. In dat geval ontvangt de mule een bedrag op zijn rekening. Hiervan mag hij een percentage houden en de rest neemt hij contant op. Dit geld verstuurt de mule vervolgens per money transfer naar de bestemming die de phisher wil. Direct daarna belt of mailt hij de zogenaamde MTC‐codes door aan de phisher die het geld vervolgens bij elk kantoor van Western Union of Money Gram kan ophalen onder vermelding van het MTC‐nummer. De bedragen blijven dicht onder de meldgrens voor ongebruikelijke transacties. Identificatie is formeel vereist maar daarop wordt niet in alle landen even sterk toegezien en bovendien is een vervalst identiteitsbewijs voldoende om het risico op ontdekking te vermijden. Mules kunnen ook geheel te goeder trouw handelen, omdat phishers zich vaak voordoen als geheel legitieme partijen die hulp nodig hebben bij het doorgeven van geld.
“Mensen met weinig mutaties op bankrekeningen met een laag saldo die plotseling grotere bedragen krijgen bijgeschreven die heel snel worden opgenomen, hebben een grote kans als mule te worden ingezet. Helemaal als de rekening kort daarvoor is geopend zonder betaalpas af te nemen en verder niet meer wordt gebruikt.”
2.17 Stap 12 Receive money/laundering money
vervolgens witwassen. Een gedeelte van het verplaatsen van geld kan door middel van de mules gebeuren als hier voor omschreven. Zij verdoezelen het spoor en verkleinen de traceerbaarheid van het geld. In de landen waar de phishers uiteindelijk hun geld ontvangen, Oost‐Europa en derde wereldlanden, worden in ieder geval al weinig vragen gesteld betreffende de herkomst van geld. In dit soort landen betekent de ontvangst van het geld eigenlijk ook dat het is witgewassen.
Al snel valt de term underground banking maar daarvan bestaan tal van verschillende soorten, waarbij de meest bekende Hawala‐achtige19 systemen sterk zijn gekoppeld aan bepaalde bevolkingsgroepen die ook vrijwel uitsluitend leden uit die eigen bevolkingsgroep en daaraan gelieerde bestemmingen dienen (Van de Bunt & Siegel, 2009). Deze bevolkingsgroepen worden bijvoorbeeld in relatie tot Nigerianenscam aangetroffen en niet binnen phishingactiviteiten. Phishers kennen hun eigen vermoedelijk internetgerelateerde manieren van geld verplaatsen.
Money transfer
Ondanks alle evolutionaire ontwikkeling in het phishingproces blijkt de MO voor het doorsluizen van geld naar de phisher met behulp van moneymules volgens Nederlandse deskundigen immer populair (Workshop NICC‐actieonderzoek, 9 april 2009) en neemt ze volgens andere bronnen zelfs toe (o.a. Mills, 2008; SearchFinancialSecurity, 2009). Deze MO staat bij stap 11 beschreven.
Webmoney
Webmoney is de naam van een bedrijf20, maar wordt steeds meer gebruikt om bepaalde betaalfaciliteiten te duiden. Webmoney introduceerde een elektronisch geld en online betaalsysteem. Oorspronkelijk richtte Webmoney zich voornamelijk op Rusland (omdat weinig Russen een creditcard hebben). Inmiddels wordt het wereldwijd gebruikt, vooral ook in de wereld van pokergames. Inschrijven en geld ontvangen is gratis. Voor het versturen van geld is een fee verschuldigd bestaande uit een percentage van het verzonden bedrag. Betalingen kunnen worden beveiligd met een wachtwoord. Op die manier kan een gebruiker een betaling ophouden door een wachtwoord pas bekend te maken als de overeengekomen tegenprestatie is verricht. Een Webmoney account kan op verschillende manieren worden opgeladen: via een eigen bankrekening, andere online betaalsystemen, wisselkantoren (zoals GWK) en 19 Hawala is een, oorspronkelijk uit het Midden‐Oosten afkomstig, informeel banksysteem. 20 WM Transfer Limited, opgericht in 1998 en gevestigd in Belize.
door middel van in winkels verkrijgbare Webmoney kaarten van verschillende waarden. Webmoney is veilig omdat er geen creditcard account of bankrekening als tegenrekening nodig zijn. Ook is oplichting onmogelijk omdat gedane stortingen niet kunnen worden teruggedraaid. Accounts, ‘purses’ genoemd, maken gebruik van equivalenten in goud (WMG), dollars (WMZ), roebels (WMR), euro's (WME) of hryvnia's (WMU, Oekraïne)21. Accounthouders kunnen volledig anoniem blijven voor elkaar.
Webmoney
‘Snowwhite’
Op voorraad:
E-Gold - ongeveer 250 euro Webmoney - ongeveer 450 euro
Als je E-Gold of Webmoney wilt overnemen tegen een tarief van 0%, neem dan contact met ons op: www.snow-white.nl/nederland/contact.htm”
Bron: www.snow-white.nl, 2009
Webmoney wordt ook verhandeld zoals wordt geïllustreerd met vorenstaand voorbeeld van een internetadvertentie uit de wiethandel. Het bezit van Webmoney wordt zelfs vanuit ‘Snow‐white’ verklaard: het heeft wat E‐Gold en Webmoney in voorraad als gevolg van de zaadverkoop. “In toenemende mate wordt financieel gewin van criminaliteit op internet omgezet in zogenaamde webmoney. Of het gaat om het leveren van creditcard informatie, het huren van een botnet, het leveren van adressen, inloggegevens voor spelletjes of ftp sites; de meeste ruil vindt plaats met webmoney als virtueel geldmedium.”
Steeds meer goederen en diensten in de fysieke wereld kunnen met webgeld bekostigd worden (hotels, vliegreizen). Een manier om webgeld wit te wassen is dan bijvoorbeeld om hotelovernachtingen te boeken bij een online reisbureau dat betaald krijgt in legitiem geld maar de eigen betalingen via illegaal verkregen webgeld pleegt. Een ander specifiek voorbeeld van creativiteit gaat over iemand die het cadeaubon algoritme van de iTunes winkel had gekraakt en dat te gelde wilde maken (iTunes heeft namelijk een applicatie winkel waar programmeurs hun iPhone en iPod programma's kunnen verkopen). Hij probeerde daarvoor op een gameforum moneymules te werven die geld van iTunes krijgen. Zij krijgen zelfs 70%
21
van de omzet. De cybercimineel stelde het volgende voor: “ik koop zo vaak ik kan jouw programma, jij krijgt geld van Apple en we doen 50/50.” De crimineel hoopte dat de programmeur niet zo slim was dat hij/zij begreep wat Apple doet als ze zien dat ineens duizenden programma’s verkocht worden, allemaal met dezelfde valse cadeaubonnen (Dilger & McLean, 2009). Online product payment Met gestolen creditcard informatie en webmoney kan eenvoudig online gewinkeld worden. Het probleem is wel dat fysieke levering van de aangekochte goederen bij de dader, opsporing ervan kan vereenvoudigen. Stromannen, open brievenbussen bij flats en instellingen, en slecht beveiligde postbussen zijn oplossingen voor dit euvel. Zijn de goederen ontvangen dan worden ze bijvoorbeeld via Ebay weer te koop aangeboden.
“Gestolen creditcardinformatie wordt vaak niet direct aangewend voor online aankopen. In plaats daarvan wordt deze informatie doorgeleverd aan andere actoren in ruil voor een goed gevuld account van webmoney. Dit account kan vervolgens laagdrempeliger gebruikt worden om online te winkelen. De kans dat daarmee rechtstreeks geleverd wordt aan het adres van de dader zal dan groter zijn, zo is de verwachting.”
Physical money transport
Om geen digitale sporen achter te laten, wordt nog steeds gebruik gemaakt van het fysieke transport van geld door geldkoeriers naar de uiteindelijke sponsor. Dat is moeilijk in administratieve zin te detecteren. In case R, werd geld dat afkomstig was van afpersing na diefstal van een database, overgemaakt met een money transfer, opgenomen en met een buschauffeur vanuit Nederland mee naar Riga vervoerd. De geldkoerier vervoegde zich bij de chauffeur en vroeg of hij een envelop mocht afgeven. Hij noteerde het kenteken van de bus en het telefoonnummer van de chauffeur, en gaf een code van 8 cijfers mee. Die code werd doorgebeld naar een handlanger op de plaats van bestemming, die met de code het geld van de chauffeur overhandigd kreeg.
2.18 Samenhang phishing met andere delicten
In het spraakgebruik lijkt phishing een enkelvoudig delict, maar in feite bestaat het uit een collectie van delicten zoals identiteitsfraude, creditcardfraude,
computervredebreuk, valsheid in geschrifte, oplichting, witwassen en spam. De samenloop van dit soort delicten met phishing is evident om een phishingoperatie te kunnen voltooien. Dit type samenhang zou men dan ook kunnen zien als steundelicten.
Als tweede vorm van samenhang onderscheiden we delicten die geen relatie hebben naar het phishingproces, maar die eenvoudig kunnen worden gepleegd wanneer men met phishingtechnieken vertrouwd is. De Griekse zaak ‘Avanturine’ is daarvan een voorbeeld (bron KLPD), waarbij het de phisher te doen was om in het bezit te komen van een game in ontwikkeling met de bijbehorende toegangscodes. In dit type intellectuele eigendomsfraude is het phishen min of meer synoniem geworden aan hacken. Andere voorbeelden zijn het hacken en het kraken van reguliere software. Verder vormen de zogenaamde Torrent hosts een bijzondere groep. Torrent hosts zijn coördinatoren voor het uitwisselen van torrents22. Dit zijn in de regel grote bestanden of verzamelingen van bestanden, zoals films of muziek. Gebruikers up‐ en downloaden direct naar elkaar (peer‐to‐peer). De kracht van torrents is dat up‐ en downloaden niet van een centrale locatie gebeurt, maar van heel veel verschillende gebruikers tegelijk, die allemaal een stukje aanleveren. Dit verhoogt de snelheid van zowel up‐ als download aanzienlijk. De host coördineert dit door torrents te lokaliseren en het verkeer te dirigeren. Dit is nog legaal en er is veel geld mee te verdienen. De groep die zich hiervan bedient zou op termijn naar andere vormen van gedrag kunnen opschuiven wanneer dit weer illegaal verklaard wordt. Dit soort delicten noemen we associatiedelicten (in de literatuur worden het ook cross‐overdelicten genoemd) omdat ze in het verlengde liggen van de phishingkennis en ‐vaardigheden.
Als derde vorm onderscheiden we samenhang die eveneens niet is gerelateerd aan het phishingproces maar als het ware dezelfde voedingsbodem heeft als phishing. Illustratief voor dit soort embryonale delicten, is de case van Leo Kuvayev. Deze Russische/Amerikaanse spammer houdt/hield zich bezig met versturen van spam voor illegale software, illegale medicijnen en porno. “Kuvayev en zijn bende zouden virussen ontwikkelen waarmee Pc’s als spamzombie gebruikt kunnen worden. Daarnaast koopt hij overal bulletproof hosting in Brazilië, China en Rusland. Hij is bekend van de enorme hoeveelheid domeinen (met valse informatie) die hij gebruikt, die elke drie uur roteren om detectie door filters te voorkomen. Hij mailt via proxy’s via bekende spamsoftware en is nauwe vriendjes met allerlei
22
botnetbeheerders, om zo nieuwe spamzombies te gebruiken.” (overgenomen van Security.nl, 2008).
Tot slot kan een vierde groep delicten worden onderscheiden die niet noodzakelijk is om een phishingproces te voltooien, maar die als het ware door het phishingproces wordt uitgelokt. Ze dienen om de eigen phishingactiviteiten af te schermen tegen die van concurrenten. De ripdeal waarvan het zogenaamde Sneker botnet deel uit bleek te maken is daarvan een voorbeeld (Libbenga, 2008), evenals de moord op de Russische spammer Vardan Kushnir in 2005 of concurrentie tussen botnet‐herders die elkaars zombies proberen af te pakken. Men zou deze vormen van samenhangende criminaliteit kunnen kwalificeren als verdringingsdelicten.