De Technische Universiteit Eindhoven TU/e heeft een enorme zwarte markt ontdekt voor de handel in online fingerprints. De onderzoekers vonden bewijs van een geavanceerde Russische online marktplaats die honderdduizenden zeer gedetailleerde gebruikersprofielen verhandelt.
Deze fingerprints stellen criminelen in staat om ultramoderne authenticatiesystemen te omzeilen. Zo krijgen ze toegang tot waardevolle gebruikersinformatie, zoals creditcardgegevens.
Bewijs
Onderzoekers van de TU/e hebben bewijs van een grootschalige en zeer geavanceerde markt die een oplossing heeft gevonden voor de moeilijk te omzeilen fingerprints. De in Rusland gevestigde website biedt meer dan 260.000 zeer gedetailleerde fingerprints, samen met andere gebruikersreferenties, zoals e-mailadressen en wachtwoorden.
“Het unieke aan deze ondergrondse website is niet alleen de schaal, maar ook het feit dat alle profielen voortdurend worden geüpdatet, waardoor ze hun waarde behouden”, zegt Luca Allodi, onderzoeker bij de groep Security van de faculteit Mathematics and Computer Science. Samen met promovendus Michele Campobasso van de TU/e was ze verantwoordelijk was voor het onderzoek.
Om het systematische karakter van de website te benadrukken, bedachten Allodi en Campobasso de term ‘Impersonation-as-a-service’ (IMPaaS). Dit in navolging van bekende clouddiensten als SaaS (software-as-a-service) en IaaS (infrastructure-as-a-service). “Voor zover we weten is dit de grootste en meest geavanceerde criminele marktplaats die dit soort diensten systematisch aanbiedt.”
Slag of stoot
Het onderzoek naar de markt ging niet zonder slag of stoot. Om toegang te krijgen tot de lijsten met beschikbare gebruikersprofielen moesten de onderzoekers speciale uitnodigingscodes zien te bemachtigen, die door bestaande gebruikers worden uitgedeeld.
Het verzamelen van de gegevens uit de database was ook lastig, omdat de exploitanten actief toezicht houden op ‘malafide’ accounts. Ook hebben de onderzoekers besloten de echte naam van de website geheim te houden, uit angst voor mogelijke vergeldingsacties.
De prijs van een virtuele identiteit
De prijs van een ‘virtuele identiteit’ op de website varieert van 1 dollar tot ongeveer 100 dollar. Toegang tot cryptocurrency-profielen en webmoney-platforms lijken het meest waard te zijn. “Alleen al de aanwezigheid van ten minste één crypto-gerelateerd profiel verdubbelt bijna de gemiddelde profielwaarde”, zegt Allodi.
Welvaart
Een andere belangrijke factor die de prijs opdrijft, is de welvaart van het land waar de gebruiker zich bevindt. “Dit is logisch: aanvallers die gebruikersprofielen te gelde willen maken, kennen een grotere waarde toe aan profielen die waarschijnlijk grotere financiële voordelen opleveren, en die zijn vooral te vinden in ontwikkelde landen”, aldus Campobasso.
Ook duur zijn gebruikersprofielen die toegang geven tot meer dan één dienst en profielen met ‘echte’ fingerprints, in tegenstelling tot de door het platform ‘gesynthetiseerde’ fingerprints.
In hun paper beschrijven de onderzoekers ook een paar voorbeelden van hoe criminelen deze profielen te gelde maken. Ze vonden deze voorbeelden op een geheim Telegram-kanaal dat door platformklanten wordt gebruikt. In een van de gemelde aanvallen beschrijft een aanvaller hoe hij in het e-mailaccount van een slachtoffer speciale filters instelt, zodat meldingen van Amazon van aankopen die de aanvaller heeft gedaan met behulp van het Amazon-account van het slachtoffer, worden verborgen.
Aanleiding
De online economie vertrouwt op gebruikersnamen en wachtwoorden om te checken dat degene die spullen koopt of geld overmaakt op het internet, echt die persoon is. Deze beperkte manier van authenticatie is verre van veilig.
Mensen hebben de neiging hun wachtwoorden te hergebruiken voor verschillende diensten en websites. Dit leidt tot een massale en zeer winstgevende illegale handel in gebruikersgegevens. Volgens een recente schatting (uit 2017) worden er elk jaar zo’n 1,9 miljard gestolen identiteiten via ondergrondse websites verkocht.
Authenticatie
Banken en andere digitale diensten bedenken daarom complexere authenticatiesystemen die niet alleen afhankelijk zijn van iets wat de gebruikers weten (hun wachtwoord), maar ook van iets wat ze hebben (bijvoorbeeld een code). Dit systeem staat bekend staat als tweestaps-verificatie en beperkt de kans op cybercriminaliteit flink. Toch heeft ook dat nadelen. Omdat het een extra stap vergt, hebben veel mensen geen zin om zich ervoor te ervoor aan te melden, waardoor slechts een minderheid van de mensen er gebruik van maakt.
Daarom werd een alternatief authenticatiesysteem populair. Bedrijven als Amazon, Facebook, Google en PayPal voeren steeds vaker Risk-based Authentication (RBA) in. Dit kijkt naar zogenaamde fingerprints om iemands identiteit te controleren. Fingerprints omvatten technische basisinformatie, zoals het type browser of besturingssysteem, maar ook gedragskenmerken, zoals muisbewegingen, de locatie en de snelheid van de toetsaanslag.
Token
Als de fingerprint overeenkomt met wat – op basis van eerder gedrag – van een gebruiker wordt verwacht, mag die direct inloggen met alleen zijn gebruikersnaam en wachtwoord. Zo niet, dan is aanvullende authenticatie door middel van een token vereist.
Natuurlijk hebben cybercriminelen snel manieren bedacht om ook RBA te omzeilen, door gebruikersprofielen aan te bieden met fingerprints. Tot dusver lukt het hun echter niet goed om hier een winstgevende business van te maken. Gebruikersprofielen veranderen nogal snel, en zijn afhankelijk van de dienst die je gebruikt. Bovendien moet je ze vaak een extra phishingaanval nodig om te verzamelen.
“Bovendien kunnen klanten de database doorzoeken, zodat ze precies de internetgebruiker kunnen vinden die ze willen benaderen. Zo worden heel gevaarlijke spearphishing-aanvallen mogelijk. Ook kunnen ze software downloaden die de aangekochte gebruikersprofielen automatisch laadt wanneer ze willen inloggen op de beoogde websites”.
Lees ook:
- Word casual cybercrime de baas met Security by Design
- De pandemie te lijf met big data analytics / Hoe kun je onderzoekdata van anderen hergebruiken?