SlideShare une entreprise Scribd logo

Digitaal rechercheren versus_identiteitsfraude

Paul Mulder
Paul Mulder
1  sur  31
Télécharger pour lire hors ligne
The Association of Certified Fraud Examiners (ACFE) TRIO SMC presenteert: Digitaal rechercheren versus Identiteitsfraude Paul Mulder RSE Trio SMC | Bekwaam in veiligheidsbewustzijn 1 © Trio SMC 24-01-2013
De inhoud van de presentatie • Welkom en even voorstellen • Identiteitsfraude: Een echt onderschat risico ? • Rapport ID Fraud prevention research 2012 • Identiteitsfraude kent geen grenzen • Aanvalcyclus van cybercriminelen • Paspoort kopen • Analyse van een phishing e-mail • Afsluiting Trio SMC | Bekwaam in veiligheidsbewustzijn 2
Welkom en even voorstellen Inlichtingen & Veiligheidsofficier Information & Security Expert Complexe veiligheidsonderzoeken Trio SMC - 2008 Trio SMC | Bekwaam in veiligheidsbewustzijn 3
Cybercrime en Identiteitsfraude Een onderschat risico! Trio SMC | Bekwaam in veiligheidsbewustzijn 4
Cybercrime en identiteitsfraude • Cybercrime is de afgelopen jaren flink gestegen en daarmee de financiële schade voor bedrijven. Het adagium ‘ken uw opponent’ geldt ook hier. Door de motivatie en methodes van cybercriminelen te begrijpen kunnen organisaties risico’s beter inschatten en acties ondernemen om zichzelf te beschermen. • Cybercriminelen worden steeds ondernemender. • Aanvallen worden meer en meer geautomatiseerd. • Aanvallen gericht op specifieke ondernemingen. Trio SMC | Bekwaam in veiligheidsbewustzijn 5
Rapport ID Fraud prevention research 2012 Ter oriëntatie: Identiteitsfraude binnen Europa Trio SMC | Bekwaam in veiligheidsbewustzijn 6
Ter oriëntatie: De facts  Opnieuw een toename aan incidenten  50% van de Nederlanders heeft ooit te maken gehad met een poging tot identiteitsfraude  12 % wordt daadwerkelijk slachtoffer  Het sturen van e-mails, met name afkomstig van uw bank zijn favoriet  Verzoek geld te doneren aan een goed doel Trio SMC | Bekwaam in veiligheidsbewustzijn 7
Ter oriëntatie: De criminele doelen  Betreft meestal het plunderen van de bankrekening  De aanvraag van een creditcard op naam van het slachtoffer  Het openen van een nieuwe bankrekening onder een valse naam  Het kopen van hoogwaardige hardware met een hoge verkoopwaarde  Het kopen van een huis op een andermans naam in buitenland Trio SMC | Bekwaam in veiligheidsbewustzijn 8
Ter oriëntatie: De ontdekking en schade  Gemiddeld duurt het 1½ jaar voordat het slachtoffer zich bewust wordt van de identiteitsfraude  Gemiddeld duurt het 11,8 maanden voordat de zaak is opgelost en afgewikkeld  Restschade bedraagt gemiddeld zo’n € 6000,-- per persoon* * Weergave van het Europese beeld Trio SMC | Bekwaam in veiligheidsbewustzijn 9
Identiteitsfraude kent geen grenzen Helft Nederlandse bedrijven aan te merken als slachtoffer  Nederlandse bedrijven zijn slecht voorbereid.  Gegevens worden gemakkelijk buitgemaakt.  Gebruikersnamen  Wachtwoorden  Creditcardgegevens  BSN  Etc Bron: http://pastebin.com/8Nejatz7 Trio SMC | Bekwaam in veiligheidsbewustzijn 10
Aanvalcyclus van cybercriminelen Complex, maar ook kinderlijk eenvoudig! Trio SMC | Bekwaam in veiligheidsbewustzijn 11
Aanvalscyclus van cybercriminelen  Het bepalen van het doel  Verzamelen en beoordelen van informatie  Plannen van de aanval  Verzamelen van het nog ontbrekende en strikt benodigde materiaal  Voorbereiding, testen software, berichten, paspoorten……..  Uitvoering van de aanval  Het uitwissen van sporen in de vorm van een virtuele vlucht  Uitvoering van de identiteitsfraude Trio SMC | Bekwaam in veiligheidsbewustzijn 12
Het bepalen van het doel De criminelen gaan systematisch te werk om te kijken waar er mogelijk problemen zijn op ICT-gebied in Nederland. Criminelen onderzoeken de hacking mogelijkheden van servers etc. Worden vaak geholpen door hobby-hackers Trio SMC | Bekwaam in veiligheidsbewustzijn 13
Verzamelen en beoordelen van informatie  Opvragen van alle beschikbare informatie uit commerciële open bronnen te beginnen in het handelsregister, zoals:  Naam van het bedrijf, eigenaar, soort bedrijf, BTW-nummer, KvK- nummer, bankgegevens, het websiteadres, etc.  Opvragen allerlei informatie uit open bronnen zoals social media (foto), pipl.com, gerelateerde afbeeldingen, etc aan de hand van de naam van betrokkene.  Het zoeken van het e-mailadres van betrokkene door middel van twee speciale zoekopdrachten.  *.@mijndomein.nl en “*.*@mijndomein.nl” Trio SMC | Bekwaam in veiligheidsbewustzijn 14
E-mailadressen  Gmail, Hotmail, Yahoo of AOL e-mailaccount  Zijn onder iedere naam aan te maken en gemakkelijk te vervalsen  Zijn gemakkelijk te kraken! Trio SMC | Bekwaam in veiligheidsbewustzijn 15
Coördinatie  Plannen van de aanval  Verzamelen van het nog ontbrekende…………  Inhuur van ICT-kennis  Voorbereiding, testen software, berichten, paspoorten…….. Trio SMC | Bekwaam in veiligheidsbewustzijn 16
Aanvalscyclus van cybercriminelen  Het bepalen van het doel  Verzamelen en beoordelen van informatie  Plannen  Verzamelen van het nog ontbrekende en strikt benodigde materiaal  Voorbereiding, testen software, berichten, paspoorten……..  Uitvoering van de aanval of uitvoering van de identiteitsfraude  Het uitwissen van sporen  Uitvoering van de identiteitsfraude Trio SMC | Bekwaam in veiligheidsbewustzijn 17
Uitvoering van de aanval Cybercriminelen hebben data gestolen bij ondernemerstijdschrift annex kennisnetwerk De Zaak. Vervolgens vuurden ze een overtuigende phishingmail met malware af op Nederlandse ondernemers. "Het gaat om een bestand in de webshop, met 38.000 records. Dat zijn e-mailadressen", bevestigt algemeen directeur Steenkamp van Small Business Publishing. Die uitgeverij zit achter De Zaak, zowel het tijdschrift voor ondernemers als het gelijknamige kennisnetwerk op de website. De daadwerkelijke inbraak is naar schatting vorige week gepleegd. Trio SMC | Bekwaam in veiligheidsbewustzijn 18
Paspoort kopen! Een eenvoudige zaak…. Trio SMC | Bekwaam in veiligheidsbewustzijn 19
Paspoort kopen!  Bron: http://pastebin.com/8u8sX0U0 Trio SMC | Bekwaam in veiligheidsbewustzijn 20
Paspoort kopen! Bron: http://pastebin.com/WhTfBER0 Trio SMC | Bekwaam in veiligheidsbewustzijn 21
Malware tooling Gewoon op afstand stelen! Trio SMC | Bekwaam in veiligheidsbewustzijn 22
Pixsteal trojan  Steelt geen documenten of wachtwoorden,maar foto's en andere afbeeldingen. De 'Pixsteal' Trojan zoekt naar .JPG en .JPEG-bestanden. De eerste 20.000 plaatjes worden geüpload naar een FTP-server. Sluipmoordenaar, verspreidt zich via andere malware of drive-by downloads * Doel: identiteitsdiefstal, chantage en afpersing (+ 23%) * Drive-by downloads zijn infecties die u oploopt tijdens het surfen en bezoeken van malafide website's en het klikken op dubieuze hyperlinks in bijvoorbeeld ... Trio SMC | Bekwaam in veiligheidsbewustzijn 23
Analyse van een phishing e-mail Doortrapt eenvoudig! Trio SMC | Bekwaam in veiligheidsbewustzijn 24
Recente phishing e-mail Trio SMC | Bekwaam in veiligheidsbewustzijn 25
Broncode en analyse van de e-mail X-AVG-Antispam-Info: 90,9,0,a248a64038c474e9,d41d8cd98f00b204, ab53b__s5bs352_7f5f32bvs5f3__@myning.nl,info@digitaalonderzoeken.nl, RULES_HIT:10:72:355:379:455:541:542:857:946:960:962:967:972:973:983:988:989: 994:1155:1160:1189:1208:1221:1260:1261:1304:1305:1308:1309:1313:1314:1345: 1390:1431:1432:1437:1516:1517:1518:1535:1543:1567:1570:1575:1588:1589:1594: 1623:1711:1714:1730:1776:1792:2194:2198:2199:2200:2525:2543:2568:2610:2629: 2682:2685:2741:2859:2933:2937:2939:2942:2945:2947:2951:2954:3022:3138:3139: 3140:3141:3142:3770:3868:3869:3889:3934:3936:3938:3941:3944:3947:3950:3953: 3956:3959:4117:4181:5007:6261:7266:7679:7875:8599:8603:8777:8957:9025:9115: 9388:9855:9908:9979:10004:10049:10210:10215:10400:11658:11817:12043:12294: 12310:12430,0,RBL:neutral,CacheIP:none,Bayesian:0.5,0.5,0.5,Netcheck:none, DomainCache:0,MSF:not bulk,SPF:fn,MSBL:0,DNSBL:neutral,Custom_rules:0:0:0 X-Antivirus: AVG for E-mail X-Envelope-From: <onkinera@server24.firstfind.nl> X-Envelope-To: <info@digitaalonderzoeken.nl> X-Delivery-Time: 1358469456 X-UID: 477 Return-Path: <onkinera@server24.firstfind.nl> X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0 X-Strato-MessageType: email X-RZG-CLASS-ID: mi Received: from webmail-mx02.firstfind.nl ([109.235.74.48]) by mailin.rzone.de (josoe mi82) (RZmta 31.12 OK) with ESMTP id C06ef5p0I0TFPQ for <info@digitaalonderzoeken.nl>; Fri, 18 Jan 2013 01:37:36 +0100 (CET) Received: from localhost (localhost [127.0.0.1]) by webmail-mx02.firstfind.nl (Postfix) with ESMTP id 64ECB1204BB for <info@digitaalonderzoeken.nl>; Fri, 18 Jan 2013 01:37:36 +0100 (CET) X-Amavis-Alert: BAD HEADER SECTION, Duplicate header field: "Reply-To" Received: from webmail-mx02.firstfind.nl ([127.0.0.1]) by localhost (webmail-mx02.firstfind.nl [127.0.0.1]) (amavisd-new, port 10024) with LMTP id miR3eOEgt8jY for <info@digitaalonderzoeken.nl>; Fri, 18 Jan 2013 01:37:36 +0100 (CET) Trio SMC | Bekwaam in veiligheidsbewustzijn 26
Broncode en analyse van de e-mail Received: from server24.firstfind.nl (server24.firstfind.nl [85.158.203.28]) by webmail-mx02.firstfind.nl (Postfix) with ESMTP id 52A361204B7 for <info@digitaalonderzoeken.nl>; Fri, 18 Jan 2013 01:37:36 +0100 (CET) Received: from server24.firstfind.nl (localhost [127.0.0.1]) by server24.firstfind.nl (8.14.3/8.14.3/Debian-9.4) with ESMTP id r0I0bZdV029007 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT) for <info@digitaalonderzoeken.nl>; Fri, 18 Jan 2013 01:37:36 +0100 Received: (from onkinera@localhost) by server24.firstfind.nl (8.14.3/8.14.3/Submit) id r0I0bZ3l029006; Fri, 18 Jan 2013 01:37:35 +0100 Date: Fri, 18 Jan 2013 01:37:35 +0100 Message-Id: <201301180037.r0I0bZ3l029006@server24.firstfind.nl> To: info@digitaalonderzoeken.nl Subject: Rekening geblokkeerd te lang ingelogd ABN AMRO Bank X-PHP-Originating-Script: 16068:sosa.php From: ABN AMRO <Ab53B__S5bS352_7F5f32bVs5F3__@myning.nl> Reply-To: Reply-To: X-Mailer: PHP v5.3.3-7+squeeze14 MIME-Version: 1.0 Content-Type: text/html Content-Transfer-Encoding: 8bit X-Virus-Scanned: by amavisd-new IP-adressen leiden naar een hosting provider in Alkmaar @myning.nl: Avaliani Sergi, sgegi87@gmail.com, Netbeat GmbH ,Max-Beckmann-straat 23, 81735, MUNCHEN, Duitsland Trio SMC | Bekwaam in veiligheidsbewustzijn 27
Analyse van de phishing e-mail Controle van de link: IP-adressen leiden naar hosting provider te Alkmaar @myning.nl: Avaliani Sergi, sgegi87@gmail.com, Netbeat GmbH, Max-Beckmann-straat 23, 81735, MUNCHEN, Duitsland Handtekening: http://imageshack.us/photo/my-images/571/tjssignatures.jpg/ www.postbec.nl: Christine Bakker, b2gcrew@hotmail.com, RegistrarCronon AG, Pascalstrasse 10, 10587, BERLIN, Duitsland Trio SMC | Bekwaam in veiligheidsbewustzijn 28
Afsluiting Conclusies en aanbevelingen:  Digitaal rechercheren blijft een belangrijk wapen  Phishers: gevaarlijke en ongrijpbare cybertegenstanders  Meer combinaties met phishing en malware b.v. e-cards, keyloggers, ‘redirector’ software, etc.  Ontwikkeling van ‘smishing’. (Sms- en mobiele phishing)  Bedrijven dienen massaal over schakelen naar SSL EV* beveiligingscertificaten  Veiligheidsbewustmaking van klanten en werknemers * Extended Validation Trio SMC | Bekwaam in veiligheidsbewustzijn 29
Handboek Digitaal Rechercheren Trio SMC Postbus 30023, 1303 AA Almere info@triosecurity.nl info@digitaalonderzoeken.nl www.triosecurity.nl www.digitaalonderzoeken.nl www.digitaalonderzoeken.be www.digitaalrechercheren.com Twitter: @triosecurity € 24,95 ISBN: 978 90 8185 3507 NUR: 988 Trio SMC | Bekwaam in veiligheidsbewustzijn 30
Afsluiting Mijn dank voor uw aandacht Trio SMC | Bekwaam in veiligheidsbewustzijn 31

Recommandé

BitSensor - How and when to start a business
BitSensor - How and when to start a businessBitSensor - How and when to start a business
BitSensor - How and when to start a business
IT Talent College
 
Boekomslag handboek Predictive profiling terrorisme
Boekomslag handboek Predictive profiling terrorismeBoekomslag handboek Predictive profiling terrorisme
Boekomslag handboek Predictive profiling terrorisme
Paul Mulder
 
Factsheet social engineering
Factsheet social engineeringFactsheet social engineering
Factsheet social engineering
Rob van Hees
 
Sebyde security quickscan
Sebyde security quickscanSebyde security quickscan
Sebyde security quickscan
Sebyde
 
Sebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet inSebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet in
Sebyde
 
Play it extra safe! Kies een goede cyberverzekering
Play it extra safe! Kies een goede cyberverzekeringPlay it extra safe! Kies een goede cyberverzekering
Play it extra safe! Kies een goede cyberverzekering
Combell NV
 
Cyber verzekeringen
Cyber verzekeringenCyber verzekeringen
Cyber verzekeringen
drs. Sjaak Schouteren SMP
 
cybercrime-awareness
cybercrime-awarenesscybercrime-awareness
cybercrime-awareness
Johan Sneek
 

Recommandé

BitSensor - How and when to start a business
BitSensor - How and when to start a businessBitSensor - How and when to start a business
BitSensor - How and when to start a business
IT Talent College
 
Boekomslag handboek Predictive profiling terrorisme
Boekomslag handboek Predictive profiling terrorismeBoekomslag handboek Predictive profiling terrorisme
Boekomslag handboek Predictive profiling terrorisme
Paul Mulder
 
Factsheet social engineering
Factsheet social engineeringFactsheet social engineering
Factsheet social engineering
Rob van Hees
 
Sebyde security quickscan
Sebyde security quickscanSebyde security quickscan
Sebyde security quickscan
Sebyde
 
Sebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet inSebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet in
Sebyde
 
Play it extra safe! Kies een goede cyberverzekering
Play it extra safe! Kies een goede cyberverzekeringPlay it extra safe! Kies een goede cyberverzekering
Play it extra safe! Kies een goede cyberverzekering
Combell NV
 
Cyber verzekeringen
Cyber verzekeringenCyber verzekeringen
Cyber verzekeringen
drs. Sjaak Schouteren SMP
 
cybercrime-awareness
cybercrime-awarenesscybercrime-awareness
cybercrime-awareness
Johan Sneek
 
Presentatie cybercrime
Presentatie cybercrimePresentatie cybercrime
Presentatie cybercrime
John van Hoften
 
10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit
Roger Losekoot RADI®
 
IJBM dec 2015 drukpoef laatste voor drukker [v-1b]
IJBM dec 2015 drukpoef laatste voor drukker [v-1b]IJBM dec 2015 drukpoef laatste voor drukker [v-1b]
IJBM dec 2015 drukpoef laatste voor drukker [v-1b]
Gert van der Beek
 
Zo Magazine.PDF
Zo Magazine.PDFZo Magazine.PDF
Zo Magazine.PDF
Christophe P
 
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs UtrechtJeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Infosecurity2010
 
Mandema partners cybercrime
Mandema partners cybercrimeMandema partners cybercrime
Mandema partners cybercrime
John van Hoften
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
Sebyde
 
Whitepaper cyber risicos
Whitepaper cyber risicosWhitepaper cyber risicos
Whitepaper cyber risicos
Henri Damen
 
Leaflet presentatie cybercrime
Leaflet presentatie cybercrimeLeaflet presentatie cybercrime
Leaflet presentatie cybercrime
Sebyde
 
Security Awareness & Weerbaarheid - Het zal mij toch niet overkomen
Security Awareness & Weerbaarheid - Het zal mij toch niet overkomenSecurity Awareness & Weerbaarheid - Het zal mij toch niet overkomen
Security Awareness & Weerbaarheid - Het zal mij toch niet overkomen
Edzo Botjes
 
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Xtandit_Marketing
 
Cyber Security - Wordt het veiliger of onveiliger?
Cyber Security - Wordt het veiliger of onveiliger? Cyber Security - Wordt het veiliger of onveiliger?
Cyber Security - Wordt het veiliger of onveiliger?
Sijmen Ruwhof
 
Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Dennis Koorn
 
Ineens Komt Een Internet Scenario Tot Leven...
Ineens Komt Een Internet Scenario Tot Leven...Ineens Komt Een Internet Scenario Tot Leven...
Ineens Komt Een Internet Scenario Tot Leven...
ReginavdBerg
 
Digitale veiligheid
Digitale veiligheidDigitale veiligheid
Digitale veiligheid
Dr. Frank Stumpe
 
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)
Avansa Mid- en Zuidwest
 
Cyberweerbaarheid mkb (SMEs) regio Den Haag
Cyberweerbaarheid mkb (SMEs) regio Den Haag Cyberweerbaarheid mkb (SMEs) regio Den Haag
Cyberweerbaarheid mkb (SMEs) regio Den Haag
Rick van der Kleij
 
Cyber security workshop - Proximus
Cyber security workshop - ProximusCyber security workshop - Proximus
Cyber security workshop - Proximus
Orbid
 
De beste virusscanner ben je zelf
De beste virusscanner ben je zelfDe beste virusscanner ben je zelf
De beste virusscanner ben je zelf
De Computerwacht
 
Veilig inloggen & wachtwoordbeheer (Monique Lefebvre / Christophe Ketels)
Veilig inloggen & wachtwoordbeheer (Monique Lefebvre / Christophe Ketels)Veilig inloggen & wachtwoordbeheer (Monique Lefebvre / Christophe Ketels)
Veilig inloggen & wachtwoordbeheer (Monique Lefebvre / Christophe Ketels)
Avansa Mid- en Zuidwest
 

Contenu connexe

Similaire à Digitaal rechercheren versus_identiteitsfraude

IJBM dec 2015 drukpoef laatste voor drukker [v-1b]
IJBM dec 2015 drukpoef laatste voor drukker [v-1b]IJBM dec 2015 drukpoef laatste voor drukker [v-1b]
IJBM dec 2015 drukpoef laatste voor drukker [v-1b]
Gert van der Beek
 
Mandema partners cybercrime
Mandema partners cybercrimeMandema partners cybercrime
Mandema partners cybercrime
John van Hoften
 
Whitepaper cyber risicos
Whitepaper cyber risicosWhitepaper cyber risicos
Whitepaper cyber risicos
Henri Damen
 
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)
Avansa Mid- en Zuidwest
 
Veilig inloggen & wachtwoordbeheer (Monique Lefebvre / Christophe Ketels)
Veilig inloggen & wachtwoordbeheer (Monique Lefebvre / Christophe Ketels)Veilig inloggen & wachtwoordbeheer (Monique Lefebvre / Christophe Ketels)
Veilig inloggen & wachtwoordbeheer (Monique Lefebvre / Christophe Ketels)
Avansa Mid- en Zuidwest
 

Similaire à Digitaal rechercheren versus_identiteitsfraude (20)

Presentatie cybercrime
Presentatie cybercrimePresentatie cybercrime
Presentatie cybercrime
 
10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit
 
IJBM dec 2015 drukpoef laatste voor drukker [v-1b]
IJBM dec 2015 drukpoef laatste voor drukker [v-1b]IJBM dec 2015 drukpoef laatste voor drukker [v-1b]
IJBM dec 2015 drukpoef laatste voor drukker [v-1b]
 
Zo Magazine.PDF
Zo Magazine.PDFZo Magazine.PDF
Zo Magazine.PDF
 
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs UtrechtJeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
 
Mandema partners cybercrime
Mandema partners cybercrimeMandema partners cybercrime
Mandema partners cybercrime
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
 
Whitepaper cyber risicos
Whitepaper cyber risicosWhitepaper cyber risicos
Whitepaper cyber risicos
 
Leaflet presentatie cybercrime
Leaflet presentatie cybercrimeLeaflet presentatie cybercrime
Leaflet presentatie cybercrime
 
Security Awareness & Weerbaarheid - Het zal mij toch niet overkomen
Security Awareness & Weerbaarheid - Het zal mij toch niet overkomenSecurity Awareness & Weerbaarheid - Het zal mij toch niet overkomen
Security Awareness & Weerbaarheid - Het zal mij toch niet overkomen
 
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
 
Cyber Security - Wordt het veiliger of onveiliger?
Cyber Security - Wordt het veiliger of onveiliger? Cyber Security - Wordt het veiliger of onveiliger?
Cyber Security - Wordt het veiliger of onveiliger?
 
Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...
 
Ineens Komt Een Internet Scenario Tot Leven...
Ineens Komt Een Internet Scenario Tot Leven...Ineens Komt Een Internet Scenario Tot Leven...
Ineens Komt Een Internet Scenario Tot Leven...
 
Digitale veiligheid
Digitale veiligheidDigitale veiligheid
Digitale veiligheid
 
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)
Wachtwoordbeheer e.a. authenticatiemethodes (Dries Terryn)
 
Cyberweerbaarheid mkb (SMEs) regio Den Haag
Cyberweerbaarheid mkb (SMEs) regio Den Haag Cyberweerbaarheid mkb (SMEs) regio Den Haag
Cyberweerbaarheid mkb (SMEs) regio Den Haag
 
Cyber security workshop - Proximus
Cyber security workshop - ProximusCyber security workshop - Proximus
Cyber security workshop - Proximus
 
De beste virusscanner ben je zelf
De beste virusscanner ben je zelfDe beste virusscanner ben je zelf
De beste virusscanner ben je zelf
 
Veilig inloggen & wachtwoordbeheer (Monique Lefebvre / Christophe Ketels)
Veilig inloggen & wachtwoordbeheer (Monique Lefebvre / Christophe Ketels)Veilig inloggen & wachtwoordbeheer (Monique Lefebvre / Christophe Ketels)
Veilig inloggen & wachtwoordbeheer (Monique Lefebvre / Christophe Ketels)
 

Digitaal rechercheren versus_identiteitsfraude

  • 1. The Association of Certified Fraud Examiners (ACFE) TRIO SMC presenteert: Digitaal rechercheren versus Identiteitsfraude Paul Mulder RSE Trio SMC | Bekwaam in veiligheidsbewustzijn 1 © Trio SMC 24-01-2013
  • 2. De inhoud van de presentatie • Welkom en even voorstellen • Identiteitsfraude: Een echt onderschat risico ? • Rapport ID Fraud prevention research 2012 • Identiteitsfraude kent geen grenzen • Aanvalcyclus van cybercriminelen • Paspoort kopen • Analyse van een phishing e-mail • Afsluiting Trio SMC | Bekwaam in veiligheidsbewustzijn 2
  • 3. Welkom en even voorstellen Inlichtingen & Veiligheidsofficier Information & Security Expert Complexe veiligheidsonderzoeken Trio SMC - 2008 Trio SMC | Bekwaam in veiligheidsbewustzijn 3
  • 4. Cybercrime en Identiteitsfraude Een onderschat risico! Trio SMC | Bekwaam in veiligheidsbewustzijn 4
  • 5. Cybercrime en identiteitsfraude • Cybercrime is de afgelopen jaren flink gestegen en daarmee de financiële schade voor bedrijven. Het adagium ‘ken uw opponent’ geldt ook hier. Door de motivatie en methodes van cybercriminelen te begrijpen kunnen organisaties risico’s beter inschatten en acties ondernemen om zichzelf te beschermen. • Cybercriminelen worden steeds ondernemender. • Aanvallen worden meer en meer geautomatiseerd. • Aanvallen gericht op specifieke ondernemingen. Trio SMC | Bekwaam in veiligheidsbewustzijn 5
  • 6. Rapport ID Fraud prevention research 2012 Ter oriëntatie: Identiteitsfraude binnen Europa Trio SMC | Bekwaam in veiligheidsbewustzijn 6
  • 7. Ter oriëntatie: De facts  Opnieuw een toename aan incidenten  50% van de Nederlanders heeft ooit te maken gehad met een poging tot identiteitsfraude  12 % wordt daadwerkelijk slachtoffer  Het sturen van e-mails, met name afkomstig van uw bank zijn favoriet  Verzoek geld te doneren aan een goed doel Trio SMC | Bekwaam in veiligheidsbewustzijn 7
  • 8. Ter oriëntatie: De criminele doelen  Betreft meestal het plunderen van de bankrekening  De aanvraag van een creditcard op naam van het slachtoffer  Het openen van een nieuwe bankrekening onder een valse naam  Het kopen van hoogwaardige hardware met een hoge verkoopwaarde  Het kopen van een huis op een andermans naam in buitenland Trio SMC | Bekwaam in veiligheidsbewustzijn 8
  • 9. Ter oriëntatie: De ontdekking en schade  Gemiddeld duurt het 1½ jaar voordat het slachtoffer zich bewust wordt van de identiteitsfraude  Gemiddeld duurt het 11,8 maanden voordat de zaak is opgelost en afgewikkeld  Restschade bedraagt gemiddeld zo’n € 6000,-- per persoon* * Weergave van het Europese beeld Trio SMC | Bekwaam in veiligheidsbewustzijn 9
  • 10. Identiteitsfraude kent geen grenzen Helft Nederlandse bedrijven aan te merken als slachtoffer  Nederlandse bedrijven zijn slecht voorbereid.  Gegevens worden gemakkelijk buitgemaakt.  Gebruikersnamen  Wachtwoorden  Creditcardgegevens  BSN  Etc Bron: http://pastebin.com/8Nejatz7 Trio SMC | Bekwaam in veiligheidsbewustzijn 10
  • 11. Aanvalcyclus van cybercriminelen Complex, maar ook kinderlijk eenvoudig! Trio SMC | Bekwaam in veiligheidsbewustzijn 11
  • 12. Aanvalscyclus van cybercriminelen  Het bepalen van het doel  Verzamelen en beoordelen van informatie  Plannen van de aanval  Verzamelen van het nog ontbrekende en strikt benodigde materiaal  Voorbereiding, testen software, berichten, paspoorten……..  Uitvoering van de aanval  Het uitwissen van sporen in de vorm van een virtuele vlucht  Uitvoering van de identiteitsfraude Trio SMC | Bekwaam in veiligheidsbewustzijn 12
  • 13. Het bepalen van het doel De criminelen gaan systematisch te werk om te kijken waar er mogelijk problemen zijn op ICT-gebied in Nederland. Criminelen onderzoeken de hacking mogelijkheden van servers etc. Worden vaak geholpen door hobby-hackers Trio SMC | Bekwaam in veiligheidsbewustzijn 13
  • 14. Verzamelen en beoordelen van informatie  Opvragen van alle beschikbare informatie uit commerciële open bronnen te beginnen in het handelsregister, zoals:  Naam van het bedrijf, eigenaar, soort bedrijf, BTW-nummer, KvK- nummer, bankgegevens, het websiteadres, etc.  Opvragen allerlei informatie uit open bronnen zoals social media (foto), pipl.com, gerelateerde afbeeldingen, etc aan de hand van de naam van betrokkene.  Het zoeken van het e-mailadres van betrokkene door middel van twee speciale zoekopdrachten.  *.@mijndomein.nl en “*.*@mijndomein.nl” Trio SMC | Bekwaam in veiligheidsbewustzijn 14
  • 15. E-mailadressen  Gmail, Hotmail, Yahoo of AOL e-mailaccount  Zijn onder iedere naam aan te maken en gemakkelijk te vervalsen  Zijn gemakkelijk te kraken! Trio SMC | Bekwaam in veiligheidsbewustzijn 15
  • 16. Coördinatie  Plannen van de aanval  Verzamelen van het nog ontbrekende…………  Inhuur van ICT-kennis  Voorbereiding, testen software, berichten, paspoorten…….. Trio SMC | Bekwaam in veiligheidsbewustzijn 16
  • 17. Aanvalscyclus van cybercriminelen  Het bepalen van het doel  Verzamelen en beoordelen van informatie  Plannen  Verzamelen van het nog ontbrekende en strikt benodigde materiaal  Voorbereiding, testen software, berichten, paspoorten……..  Uitvoering van de aanval of uitvoering van de identiteitsfraude  Het uitwissen van sporen  Uitvoering van de identiteitsfraude Trio SMC | Bekwaam in veiligheidsbewustzijn 17
  • 18. Uitvoering van de aanval Cybercriminelen hebben data gestolen bij ondernemerstijdschrift annex kennisnetwerk De Zaak. Vervolgens vuurden ze een overtuigende phishingmail met malware af op Nederlandse ondernemers. "Het gaat om een bestand in de webshop, met 38.000 records. Dat zijn e-mailadressen", bevestigt algemeen directeur Steenkamp van Small Business Publishing. Die uitgeverij zit achter De Zaak, zowel het tijdschrift voor ondernemers als het gelijknamige kennisnetwerk op de website. De daadwerkelijke inbraak is naar schatting vorige week gepleegd. Trio SMC | Bekwaam in veiligheidsbewustzijn 18
  • 19. Paspoort kopen! Een eenvoudige zaak…. Trio SMC | Bekwaam in veiligheidsbewustzijn 19
  • 20. Paspoort kopen!  Bron: http://pastebin.com/8u8sX0U0 Trio SMC | Bekwaam in veiligheidsbewustzijn 20
  • 21. Paspoort kopen! Bron: http://pastebin.com/WhTfBER0 Trio SMC | Bekwaam in veiligheidsbewustzijn 21
  • 22. Malware tooling Gewoon op afstand stelen! Trio SMC | Bekwaam in veiligheidsbewustzijn 22
  • 23. Pixsteal trojan  Steelt geen documenten of wachtwoorden,maar foto's en andere afbeeldingen. De 'Pixsteal' Trojan zoekt naar .JPG en .JPEG-bestanden. De eerste 20.000 plaatjes worden geüpload naar een FTP-server. Sluipmoordenaar, verspreidt zich via andere malware of drive-by downloads * Doel: identiteitsdiefstal, chantage en afpersing (+ 23%) * Drive-by downloads zijn infecties die u oploopt tijdens het surfen en bezoeken van malafide website's en het klikken op dubieuze hyperlinks in bijvoorbeeld ... Trio SMC | Bekwaam in veiligheidsbewustzijn 23
  • 24. Analyse van een phishing e-mail Doortrapt eenvoudig! Trio SMC | Bekwaam in veiligheidsbewustzijn 24
  • 25. Recente phishing e-mail Trio SMC | Bekwaam in veiligheidsbewustzijn 25
  • 26. Broncode en analyse van de e-mail X-AVG-Antispam-Info: 90,9,0,a248a64038c474e9,d41d8cd98f00b204, ab53b__s5bs352_7f5f32bvs5f3__@myning.nl,info@digitaalonderzoeken.nl, RULES_HIT:10:72:355:379:455:541:542:857:946:960:962:967:972:973:983:988:989: 994:1155:1160:1189:1208:1221:1260:1261:1304:1305:1308:1309:1313:1314:1345: 1390:1431:1432:1437:1516:1517:1518:1535:1543:1567:1570:1575:1588:1589:1594: 1623:1711:1714:1730:1776:1792:2194:2198:2199:2200:2525:2543:2568:2610:2629: 2682:2685:2741:2859:2933:2937:2939:2942:2945:2947:2951:2954:3022:3138:3139: 3140:3141:3142:3770:3868:3869:3889:3934:3936:3938:3941:3944:3947:3950:3953: 3956:3959:4117:4181:5007:6261:7266:7679:7875:8599:8603:8777:8957:9025:9115: 9388:9855:9908:9979:10004:10049:10210:10215:10400:11658:11817:12043:12294: 12310:12430,0,RBL:neutral,CacheIP:none,Bayesian:0.5,0.5,0.5,Netcheck:none, DomainCache:0,MSF:not bulk,SPF:fn,MSBL:0,DNSBL:neutral,Custom_rules:0:0:0 X-Antivirus: AVG for E-mail X-Envelope-From: <onkinera@server24.firstfind.nl> X-Envelope-To: <info@digitaalonderzoeken.nl> X-Delivery-Time: 1358469456 X-UID: 477 Return-Path: <onkinera@server24.firstfind.nl> X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0 X-Strato-MessageType: email X-RZG-CLASS-ID: mi Received: from webmail-mx02.firstfind.nl ([109.235.74.48]) by mailin.rzone.de (josoe mi82) (RZmta 31.12 OK) with ESMTP id C06ef5p0I0TFPQ for <info@digitaalonderzoeken.nl>; Fri, 18 Jan 2013 01:37:36 +0100 (CET) Received: from localhost (localhost [127.0.0.1]) by webmail-mx02.firstfind.nl (Postfix) with ESMTP id 64ECB1204BB for <info@digitaalonderzoeken.nl>; Fri, 18 Jan 2013 01:37:36 +0100 (CET) X-Amavis-Alert: BAD HEADER SECTION, Duplicate header field: "Reply-To" Received: from webmail-mx02.firstfind.nl ([127.0.0.1]) by localhost (webmail-mx02.firstfind.nl [127.0.0.1]) (amavisd-new, port 10024) with LMTP id miR3eOEgt8jY for <info@digitaalonderzoeken.nl>; Fri, 18 Jan 2013 01:37:36 +0100 (CET) Trio SMC | Bekwaam in veiligheidsbewustzijn 26
  • 27. Broncode en analyse van de e-mail Received: from server24.firstfind.nl (server24.firstfind.nl [85.158.203.28]) by webmail-mx02.firstfind.nl (Postfix) with ESMTP id 52A361204B7 for <info@digitaalonderzoeken.nl>; Fri, 18 Jan 2013 01:37:36 +0100 (CET) Received: from server24.firstfind.nl (localhost [127.0.0.1]) by server24.firstfind.nl (8.14.3/8.14.3/Debian-9.4) with ESMTP id r0I0bZdV029007 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT) for <info@digitaalonderzoeken.nl>; Fri, 18 Jan 2013 01:37:36 +0100 Received: (from onkinera@localhost) by server24.firstfind.nl (8.14.3/8.14.3/Submit) id r0I0bZ3l029006; Fri, 18 Jan 2013 01:37:35 +0100 Date: Fri, 18 Jan 2013 01:37:35 +0100 Message-Id: <201301180037.r0I0bZ3l029006@server24.firstfind.nl> To: info@digitaalonderzoeken.nl Subject: Rekening geblokkeerd te lang ingelogd ABN AMRO Bank X-PHP-Originating-Script: 16068:sosa.php From: ABN AMRO <Ab53B__S5bS352_7F5f32bVs5F3__@myning.nl> Reply-To: Reply-To: X-Mailer: PHP v5.3.3-7+squeeze14 MIME-Version: 1.0 Content-Type: text/html Content-Transfer-Encoding: 8bit X-Virus-Scanned: by amavisd-new IP-adressen leiden naar een hosting provider in Alkmaar @myning.nl: Avaliani Sergi, sgegi87@gmail.com, Netbeat GmbH ,Max-Beckmann-straat 23, 81735, MUNCHEN, Duitsland Trio SMC | Bekwaam in veiligheidsbewustzijn 27
  • 28. Analyse van de phishing e-mail Controle van de link: IP-adressen leiden naar hosting provider te Alkmaar @myning.nl: Avaliani Sergi, sgegi87@gmail.com, Netbeat GmbH, Max-Beckmann-straat 23, 81735, MUNCHEN, Duitsland Handtekening: http://imageshack.us/photo/my-images/571/tjssignatures.jpg/ www.postbec.nl: Christine Bakker, b2gcrew@hotmail.com, RegistrarCronon AG, Pascalstrasse 10, 10587, BERLIN, Duitsland Trio SMC | Bekwaam in veiligheidsbewustzijn 28
  • 29. Afsluiting Conclusies en aanbevelingen:  Digitaal rechercheren blijft een belangrijk wapen  Phishers: gevaarlijke en ongrijpbare cybertegenstanders  Meer combinaties met phishing en malware b.v. e-cards, keyloggers, ‘redirector’ software, etc.  Ontwikkeling van ‘smishing’. (Sms- en mobiele phishing)  Bedrijven dienen massaal over schakelen naar SSL EV* beveiligingscertificaten  Veiligheidsbewustmaking van klanten en werknemers * Extended Validation Trio SMC | Bekwaam in veiligheidsbewustzijn 29
  • 30. Handboek Digitaal Rechercheren Trio SMC Postbus 30023, 1303 AA Almere info@triosecurity.nl info@digitaalonderzoeken.nl www.triosecurity.nl www.digitaalonderzoeken.nl www.digitaalonderzoeken.be www.digitaalrechercheren.com Twitter: @triosecurity € 24,95 ISBN: 978 90 8185 3507 NUR: 988 Trio SMC | Bekwaam in veiligheidsbewustzijn 30
  • 31. Afsluiting Mijn dank voor uw aandacht Trio SMC | Bekwaam in veiligheidsbewustzijn 31