Cybercrime

Ergens medio 2010 vroeg John aan Ruud Goudriaan, oud-projectcollega en lid van het Corporate Security Office van ING, om voor NGI een lezing te houden over cybercrime. Ruud was enthousiast, alleen het duurde toch wel een tijd voordat een en ander ingepland was. In mei 2011 is het zover: Ruud spreekt een zaal met geïnteresseerde IT-professionals toe. Eerst wat achtergronden van het internet, het ontstaan, de ontwikkelingen, sociale media en internethandel, om via internetbankieren uiteindelijk natuurlijk bij het thema van de avond, cybercrime, uit te komen.

Cybercrime is in wezen niets bijzonders; het is zoals ander menselijk gedrag en wordt door allerlei menselijke emoties in stand gehouden: geld verdienen, macht, lust, wraak, etc. Maar zoals vaker bij internetgerelateerde dingen verschillen de reële en virtuele wereld in zaken als snelheid, (on)zichtbaarheid en impact.

Gezien de (verwachte) groei van internet is het aannemelijk dat cybercrime ook verder toe zal nemen. Er zijn twee soorten cybercrime te onderkennen: cybercrime gericht tegen eigendommen van mensen of bedrijven (virussen, Trojaanse paarden, etc.) en cybercrime gericht op het verkrijgen en misbruiken van iemands identiteit (Phishing, Information Warfare, etc.).

Via virussen en websites worden programmaatjes (in Java en/of Javascipt) verspreid die een computer zodanig 'infecteren', dat criminelen op afstand deze pc's kunnen overnemen om deel te nemen in een grootschalige aanval op een server, voor een zogenaamde '(Distributed) Denial of Service' (of (D)DoS) aanval. Deze computers worden via internet aan elkaar gekoppeld, waarbij ze over het algemeen allemaal dezelfde code uitvoeren en op hetzelfde doelwit (web server) gericht zijn. In de wereld van de cybercrime worden dit soort geïnfecteerde computers in blokken van honderden of duizenden tegelijkertijd 'geleaset', voor een tarief per uur, per dag of per week! Een verzameling geïnfecteerde computers die door dezelfde criminele bende wordt geëxploiteerd, wordt een 'botnet' genoemd. De eigenaars van de geïnfecteerde computers er over het algemeen geen benul van dat hun computer is geïnfecteerd en voor een botnet wordt misbruikt. Bij een DDoS wordt duizenden of meer keren per seconde via het internet een vraag aan een server gesteld. Hierdoor raakt de server overbelast. Omdat de aanval soms uren of dagen door kan gaan, kan de server ook niet zelf herstellen.

Soms worden beide gecombineerd, zoals bijvoorbeeld bij banken, waar enerzijds regelmatig betaalsites worden platgelegd (zodat elektronisch bankieren onmogelijk is) en anderzijds inloggegevens worden achterhaald en vervolgens de bijbehorende bankrekeningen worden geplunderd.

Het aantal potentiële slachtoffers neemt ook nog steeds toe. Niet alleen omdat steeds meer mensen op het internet zijn aangesloten, maar vooral ook omdat de technologie die cybercrime mogelijk maakt ook laagdrempelig beschikbaar is via internet. Er zit gewoon handel in de cybercrime-technolgie... Cybercrime is bovendien zeer goed georganiseerd. De cyberbendes opereren bij voorkeur vanuit landen die geen uitleveringsverdragen hebben of waar de overheid gewoon niet uitlevert.

Virussen, phishing mails en andere malware kunnen worden gebruikt om inloggegevens via elektronische weg te achterhalen. Echter dit is bij lange na niet de manier waarop dat soort informatie wordt verkregen. Regelmatig worden mensen ook gewoon telefonisch benaderd, zogenaamd vanuit de bank, met vragen over hun rekening. In zulke gesprekken worden dan de benodigde gegevens ontfutseld. Deze aanpak wordt eufemistisch 'Social Engineering' genoemd. Het is dus van groot belang om ook 'social engineering' in gedachten te nemen bij het nemen van beveiligingsmaatregelen, zowel in een bedrijfscontext als thuis.

Cybercrime is net een gewone bedrijfstak. In de Cybercrime value chain zijn er een paar specialistische spelers: ontwikkelaars van malware, gebruikers van malware en degenen die reële geldstromen operationeel beheren en de gelden wegsluizen: zogeheten katvangers, in het Engels Money Mules.

Criminelen die rekeninghouders nabellen, maken net als veel niet-criminele bedrijven gebruik van specialistische toeleveranciers, zoals (criminele) call centers. Er zijn situaties bekend waarbij de ene crimineel de toegangsgegevens van iemand telefonisch achterhaalt, terwijl de andere ernaast zit om direct de bankrekening te kunnen plunderen! Hierdoor is iemand die lont ruikt en na tien minuten of een uur gaat bellen met de bank, te laat. Het kwaad is reeds geschied!

Financiële instellingen en overheden slaan de handen in elkaar en beginnen eerdere initiatieven naar een geïntegreerd, landelijk niveau te trekken. Zo wordt er gewerkt aan een Nationale Cyber Security Strategie (NCSS). Ook is er een bankenteam gevormd, met daarin natuurlijk vertegenwoordigingen van banken, maar ook van de KLPD en het Landelijk Parket van het Openbaar Ministerie.

Los van de criminele voorbeelden die Ruud gaf, noemde hij ook een aantal uitermate voor de hand liggende zaken. Geef nooit, maar dan ook nooit, aan wie dan ook gegevens af waarmee iemand anders met behulp van jouw identiteit kan shoppen of bankieren. Dus geen pincodes, geen DigID, geen gebruikersnaam met wachtwoord voor een site. Ook niet aan iemand die zich voordoet als een medewerker van een bank of overheidsinstelling. Zij zouden dat niet doen, omdat ze het niet mogen, maar ook omdat ze die informatie intern nergens bij kunnen gebruiken! Schrijf dus ook geen pincodes, wachtwoorden, DigID's of wat dan ook op kladbriefjes, of als je dat al doet, vernietig dat briefje dan wanneer je er mee klaar bent! Gebruik verschillende pincodes en wachtwoorden en sla deze op een beschermde manier op, met een versleutelde digitale kluis (een password vault).

Samenvatting
Een meer dan leerzame avond. Schokkend! Ik ben geschrokken van een aantal zaken die naar voren kwamen en over de manier waarop de 'wedstrijd' tussen onder- en bovenwereld verloopt. De maatregelen die nu langzamerhand getroffen worden zijn een goede start, maar moeten zeker verder worden opgevolgd en uitgewerkt. Ik ben bang dat de potentieel grootschalig ontwrichtende effecten van cybercrime te gemakkelijk onderschat worden, alleen al door de invloed op elektronisch betalingsverkeer.

[Vorige]  [Volgende]  [Terug]
Laatst aangepast op dinsdag 28 juli 2015 08:01
Cybercrime