2. De inhoud van de presentatie
• Welkom en even voorstellen
• Identiteitsfraude: Een echt onderschat risico ?
• Rapport ID Fraud prevention research 2012
• Identiteitsfraude kent geen grenzen
• Aanvalcyclus van cybercriminelen
• Paspoort kopen
• Analyse van een phishing e-mail
• Afsluiting
Trio SMC | Bekwaam in veiligheidsbewustzijn 2
3. Welkom en even voorstellen
Inlichtingen & Veiligheidsofficier
Information & Security Expert
Complexe veiligheidsonderzoeken
Trio SMC - 2008
Trio SMC | Bekwaam in veiligheidsbewustzijn 3
4. Cybercrime
en
Identiteitsfraude
Een onderschat risico!
Trio SMC | Bekwaam in veiligheidsbewustzijn 4
5. Cybercrime en identiteitsfraude
• Cybercrime is de afgelopen jaren flink gestegen en
daarmee de financiële schade voor bedrijven. Het
adagium ‘ken uw opponent’ geldt ook hier. Door de
motivatie en methodes van cybercriminelen te begrijpen
kunnen organisaties risico’s beter inschatten en acties
ondernemen om zichzelf te beschermen.
• Cybercriminelen worden steeds ondernemender.
• Aanvallen worden meer en meer geautomatiseerd.
• Aanvallen gericht op specifieke ondernemingen.
Trio SMC | Bekwaam in veiligheidsbewustzijn 5
6. Rapport ID Fraud prevention
research 2012
Ter oriëntatie: Identiteitsfraude
binnen Europa
Trio SMC | Bekwaam in veiligheidsbewustzijn 6
7. Ter oriëntatie: De facts
Opnieuw een toename aan incidenten
50% van de Nederlanders heeft ooit te maken gehad met een poging
tot identiteitsfraude
12 % wordt daadwerkelijk slachtoffer
Het sturen van e-mails, met name afkomstig van uw bank zijn favoriet
Verzoek geld te doneren aan een goed doel
Trio SMC | Bekwaam in veiligheidsbewustzijn 7
8. Ter oriëntatie: De criminele doelen
Betreft meestal het plunderen van de bankrekening
De aanvraag van een creditcard op naam van het slachtoffer
Het openen van een nieuwe bankrekening onder een valse naam
Het kopen van hoogwaardige hardware met een hoge verkoopwaarde
Het kopen van een huis op een andermans naam in buitenland
Trio SMC | Bekwaam in veiligheidsbewustzijn 8
9. Ter oriëntatie: De ontdekking en schade
Gemiddeld duurt het 1½ jaar voordat het slachtoffer zich bewust wordt
van de identiteitsfraude
Gemiddeld duurt het 11,8 maanden voordat de zaak is opgelost en
afgewikkeld
Restschade bedraagt gemiddeld zo’n € 6000,-- per persoon*
* Weergave van het Europese beeld
Trio SMC | Bekwaam in veiligheidsbewustzijn 9
10. Identiteitsfraude kent geen grenzen
Helft Nederlandse bedrijven aan te merken als slachtoffer
Nederlandse bedrijven zijn slecht voorbereid.
Gegevens worden gemakkelijk buitgemaakt.
Gebruikersnamen
Wachtwoorden
Creditcardgegevens
BSN
Etc
Bron: http://pastebin.com/8Nejatz7
Trio SMC | Bekwaam in veiligheidsbewustzijn 10
11. Aanvalcyclus
van
cybercriminelen
Complex, maar ook kinderlijk eenvoudig!
Trio SMC | Bekwaam in veiligheidsbewustzijn 11
12. Aanvalscyclus van cybercriminelen
Het bepalen van het doel
Verzamelen en beoordelen van informatie
Plannen van de aanval
Verzamelen van het nog ontbrekende en strikt benodigde materiaal
Voorbereiding, testen software, berichten, paspoorten……..
Uitvoering van de aanval
Het uitwissen van sporen in de vorm van een virtuele vlucht
Uitvoering van de identiteitsfraude
Trio SMC | Bekwaam in veiligheidsbewustzijn 12
13. Het bepalen van het doel
De criminelen gaan systematisch te werk om te kijken waar er mogelijk
problemen zijn op ICT-gebied in Nederland.
Criminelen onderzoeken de hacking mogelijkheden van servers etc.
Worden vaak geholpen door hobby-hackers
Trio SMC | Bekwaam in veiligheidsbewustzijn 13
14. Verzamelen en beoordelen van informatie
Opvragen van alle beschikbare informatie uit commerciële open
bronnen te beginnen in het handelsregister, zoals:
Naam van het bedrijf, eigenaar, soort bedrijf, BTW-nummer, KvK-
nummer, bankgegevens, het websiteadres, etc.
Opvragen allerlei informatie uit open bronnen zoals social media (foto),
pipl.com, gerelateerde afbeeldingen, etc aan de hand van de naam van
betrokkene.
Het zoeken van het e-mailadres van betrokkene door middel van twee
speciale zoekopdrachten.
*.@mijndomein.nl en “*.*@mijndomein.nl”
Trio SMC | Bekwaam in veiligheidsbewustzijn 14
15. E-mailadressen
Gmail, Hotmail, Yahoo of AOL e-mailaccount
Zijn onder iedere naam aan te maken en gemakkelijk te vervalsen
Zijn gemakkelijk te kraken!
Trio SMC | Bekwaam in veiligheidsbewustzijn 15
16. Coördinatie
Plannen van de aanval
Verzamelen van het nog ontbrekende…………
Inhuur van ICT-kennis
Voorbereiding, testen software, berichten, paspoorten……..
Trio SMC | Bekwaam in veiligheidsbewustzijn 16
17. Aanvalscyclus van cybercriminelen
Het bepalen van het doel
Verzamelen en beoordelen van informatie
Plannen
Verzamelen van het nog ontbrekende en strikt benodigde materiaal
Voorbereiding, testen software, berichten, paspoorten……..
Uitvoering van de aanval of uitvoering van de identiteitsfraude
Het uitwissen van sporen
Uitvoering van de identiteitsfraude
Trio SMC | Bekwaam in veiligheidsbewustzijn 17
18. Uitvoering van de aanval
Cybercriminelen hebben data gestolen bij ondernemerstijdschrift
annex kennisnetwerk De Zaak. Vervolgens vuurden ze een
overtuigende phishingmail met malware af op Nederlandse
ondernemers.
"Het gaat om een bestand in de webshop, met 38.000 records. Dat zijn
e-mailadressen", bevestigt algemeen directeur Steenkamp van Small
Business Publishing.
Die uitgeverij zit achter De Zaak, zowel het tijdschrift voor ondernemers
als het gelijknamige kennisnetwerk op de website.
De daadwerkelijke inbraak is naar schatting vorige week gepleegd.
Trio SMC | Bekwaam in veiligheidsbewustzijn 18
23. Pixsteal trojan
Steelt geen documenten of wachtwoorden,maar foto's en andere
afbeeldingen.
De 'Pixsteal' Trojan zoekt naar .JPG en .JPEG-bestanden.
De eerste 20.000 plaatjes worden geüpload naar een FTP-server.
Sluipmoordenaar, verspreidt zich via andere malware of drive-by
downloads *
Doel: identiteitsdiefstal, chantage en afpersing (+ 23%)
* Drive-by downloads zijn infecties die u oploopt tijdens het surfen en bezoeken van malafide website's en het klikken op dubieuze hyperlinks in bijvoorbeeld ...
Trio SMC | Bekwaam in veiligheidsbewustzijn 23
24. Analyse
van een
phishing e-mail
Doortrapt eenvoudig!
Trio SMC | Bekwaam in veiligheidsbewustzijn 24
26. Broncode en analyse van de e-mail
X-AVG-Antispam-Info: 90,9,0,a248a64038c474e9,d41d8cd98f00b204,
ab53b__s5bs352_7f5f32bvs5f3__@myning.nl,info@digitaalonderzoeken.nl,
RULES_HIT:10:72:355:379:455:541:542:857:946:960:962:967:972:973:983:988:989:
994:1155:1160:1189:1208:1221:1260:1261:1304:1305:1308:1309:1313:1314:1345:
1390:1431:1432:1437:1516:1517:1518:1535:1543:1567:1570:1575:1588:1589:1594:
1623:1711:1714:1730:1776:1792:2194:2198:2199:2200:2525:2543:2568:2610:2629:
2682:2685:2741:2859:2933:2937:2939:2942:2945:2947:2951:2954:3022:3138:3139:
3140:3141:3142:3770:3868:3869:3889:3934:3936:3938:3941:3944:3947:3950:3953:
3956:3959:4117:4181:5007:6261:7266:7679:7875:8599:8603:8777:8957:9025:9115:
9388:9855:9908:9979:10004:10049:10210:10215:10400:11658:11817:12043:12294:
12310:12430,0,RBL:neutral,CacheIP:none,Bayesian:0.5,0.5,0.5,Netcheck:none,
DomainCache:0,MSF:not bulk,SPF:fn,MSBL:0,DNSBL:neutral,Custom_rules:0:0:0
X-Antivirus: AVG for E-mail
X-Envelope-From: <onkinera@server24.firstfind.nl>
X-Envelope-To: <info@digitaalonderzoeken.nl>
X-Delivery-Time: 1358469456
X-UID: 477
Return-Path: <onkinera@server24.firstfind.nl>
X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0
X-Strato-MessageType: email
X-RZG-CLASS-ID: mi
Received: from webmail-mx02.firstfind.nl ([109.235.74.48])
by mailin.rzone.de (josoe mi82) (RZmta 31.12 OK)
with ESMTP id C06ef5p0I0TFPQ for <info@digitaalonderzoeken.nl>;
Fri, 18 Jan 2013 01:37:36 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
by webmail-mx02.firstfind.nl (Postfix) with ESMTP id 64ECB1204BB
for <info@digitaalonderzoeken.nl>; Fri, 18 Jan 2013 01:37:36 +0100 (CET)
X-Amavis-Alert: BAD HEADER SECTION, Duplicate header field: "Reply-To"
Received: from webmail-mx02.firstfind.nl ([127.0.0.1])
by localhost (webmail-mx02.firstfind.nl [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id miR3eOEgt8jY for <info@digitaalonderzoeken.nl>;
Fri, 18 Jan 2013 01:37:36 +0100 (CET)
Trio SMC | Bekwaam in veiligheidsbewustzijn 26
27. Broncode en analyse van de e-mail
Received: from server24.firstfind.nl (server24.firstfind.nl [85.158.203.28])
by webmail-mx02.firstfind.nl (Postfix) with ESMTP id 52A361204B7
for <info@digitaalonderzoeken.nl>; Fri, 18 Jan 2013 01:37:36 +0100 (CET)
Received: from server24.firstfind.nl (localhost [127.0.0.1])
by server24.firstfind.nl (8.14.3/8.14.3/Debian-9.4) with ESMTP id r0I0bZdV029007
(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT)
for <info@digitaalonderzoeken.nl>; Fri, 18 Jan 2013 01:37:36 +0100
Received: (from onkinera@localhost)
by server24.firstfind.nl (8.14.3/8.14.3/Submit) id r0I0bZ3l029006;
Fri, 18 Jan 2013 01:37:35 +0100
Date: Fri, 18 Jan 2013 01:37:35 +0100
Message-Id: <201301180037.r0I0bZ3l029006@server24.firstfind.nl>
To: info@digitaalonderzoeken.nl
Subject: Rekening geblokkeerd te lang ingelogd ABN AMRO Bank
X-PHP-Originating-Script: 16068:sosa.php
From: ABN AMRO <Ab53B__S5bS352_7F5f32bVs5F3__@myning.nl>
Reply-To:
Reply-To:
X-Mailer: PHP v5.3.3-7+squeeze14
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-Virus-Scanned: by amavisd-new
IP-adressen leiden naar een hosting provider in Alkmaar
@myning.nl: Avaliani Sergi, sgegi87@gmail.com, Netbeat GmbH ,Max-Beckmann-straat 23, 81735, MUNCHEN, Duitsland
Trio SMC | Bekwaam in veiligheidsbewustzijn 27
28. Analyse van de phishing e-mail
Controle van de link:
IP-adressen leiden naar hosting provider te Alkmaar
@myning.nl: Avaliani Sergi, sgegi87@gmail.com, Netbeat GmbH, Max-Beckmann-straat 23, 81735,
MUNCHEN, Duitsland
Handtekening: http://imageshack.us/photo/my-images/571/tjssignatures.jpg/
www.postbec.nl: Christine Bakker, b2gcrew@hotmail.com, RegistrarCronon AG, Pascalstrasse 10, 10587,
BERLIN, Duitsland
Trio SMC | Bekwaam in veiligheidsbewustzijn 28
29. Afsluiting
Conclusies en aanbevelingen:
Digitaal rechercheren blijft een belangrijk wapen
Phishers: gevaarlijke en ongrijpbare cybertegenstanders
Meer combinaties met phishing en malware b.v. e-cards, keyloggers,
‘redirector’ software, etc.
Ontwikkeling van ‘smishing’. (Sms- en mobiele phishing)
Bedrijven dienen massaal over schakelen naar SSL EV*
beveiligingscertificaten
Veiligheidsbewustmaking van klanten en werknemers
* Extended Validation
Trio SMC | Bekwaam in veiligheidsbewustzijn 29