Digitaal rechercheren versus_identiteitsfraude

Digitaal rechercheren

versus

Identiteitsfraude

Paul Mulder RSE

TRIO SMC presenteert:

© Trio SMC 24-01-2013 1

Trio SMC | Bekwaam in veiligheidsbewustzijn

The Association of Certified Fraud Examiners (ACFE)

De inhoud van de presentatie

• Welkom en even voorstellen

• Identiteitsfraude: Een echt onderschat risico ?

• Rapport ID Fraud prevention research 2012

• Identiteitsfraude kent geen grenzen

• Aanvalcyclus van cybercriminelen

• Paspoort kopen

• Analyse van een phishing e-mail

• Afsluiting

2 Trio SMC | Bekwaam in veiligheidsbewustzijn

Welkom en even voorstellen

Inlichtingen & Veiligheidsofficier

Information & Security Expert

Complexe veiligheidsonderzoeken

Trio SMC - 2008


Cybercrime

en

Identiteitsfraude

Een onderschat risico!


Cybercrime en identiteitsfraude

• Cybercrime is de afgelopen jaren flink gestegen en

daarmee de financiële schade voor bedrijven. Het

adagium ‘ken uw opponent’ geldt ook hier. Door de

motivatie en methodes van cybercriminelen te begrijpen

kunnen organisaties risico’s beter inschatten en acties

ondernemen om zichzelf te beschermen.

• Cybercriminelen worden steeds ondernemender.

• Aanvallen worden meer en meer geautomatiseerd.

• Aanvallen gericht op specifieke ondernemingen.


Rapport ID Fraud prevention

research 2012

Ter oriëntatie: Identiteitsfraude

binnen Europa


Ter oriëntatie: De facts

Opnieuw een toename aan incidenten

50% van de Nederlanders heeft ooit te maken gehad met een poging

tot identiteitsfraude

12 % wordt daadwerkelijk slachtoffer

Het sturen van e-mails, met name afkomstig van uw bank zijn favoriet

Verzoek geld te doneren aan een goed doel


Ter oriëntatie: De criminele doelen

Betreft meestal het plunderen van de bankrekening

De aanvraag van een creditcard op naam van het slachtoffer

Het openen van een nieuwe bankrekening onder een valse naam

Het kopen van hoogwaardige hardware met een hoge verkoopwaarde

Het kopen van een huis op een andermans naam in buitenland


Ter oriëntatie: De ontdekking en schade

Gemiddeld duurt het 1½ jaar voordat het slachtoffer zich bewust wordt

van de identiteitsfraude

Gemiddeld duurt het 11,8 maanden voordat de zaak is opgelost en

afgewikkeld

Restschade bedraagt gemiddeld zo’n € 6000,-- per persoon*


* Weergave van het Europese beeld

Identiteitsfraude kent geen grenzen

Helft Nederlandse bedrijven aan te merken als slachtoffer

Nederlandse bedrijven zijn slecht voorbereid.

Gegevens worden gemakkelijk buitgemaakt.

Gebruikersnamen

Wachtwoorden

Creditcardgegevens

BSN

Etc


Bron: http://pastebin.com/8Nejatz7

Aanvalcyclus

van

cybercriminelen

Complex, maar ook kinderlijk eenvoudig!


Aanvalscyclus van cybercriminelen Het bepalen van het doel

Verzamelen en beoordelen van informatie

Plannen van de aanval

Verzamelen van het nog ontbrekende en strikt benodigde materiaal

Voorbereiding, testen software, berichten, paspoorten……..

Uitvoering van de aanval

Het uitwissen van sporen in de vorm van een virtuele vlucht

Uitvoering van de identiteitsfraude


Het bepalen van het doel

De criminelen gaan systematisch te werk om te kijken waar er mogelijk

problemen zijn op ICT-gebied in Nederland.

Criminelen onderzoeken de hacking mogelijkheden van servers etc.

Worden vaak geholpen door hobby-hackers



Opvragen van alle beschikbare informatie uit commerciële open

bronnen te beginnen in het handelsregister, zoals:

Naam van het bedrijf, eigenaar, soort bedrijf, BTW-nummer, KvK-

nummer, bankgegevens, het websiteadres, etc.

Opvragen allerlei informatie uit open bronnen zoals social media (foto),

pipl.com, gerelateerde afbeeldingen, etc aan de hand van de naam van

betrokkene.

Het zoeken van het e-mailadres van betrokkene door middel van twee

speciale zoekopdrachten.

*[email protected] en “*.*@mijndomein.nl”


mailto:*[email protected]

mailto:*.*@mijndomein.nl

E-mailadressen

Gmail, Hotmail, Yahoo of AOL e-mailaccount

Zijn onder iedere naam aan te maken en gemakkelijk te vervalsen

Zijn gemakkelijk te kraken!


Coördinatie

Plannen van de aanval

Verzamelen van het nog ontbrekende…………

Inhuur van ICT-kennis



Aanvalscyclus van cybercriminelen

Het bepalen van het doel


Plannen

Verzamelen van het nog ontbrekende en strikt benodigde materiaal


Uitvoering van de aanval of uitvoering van de identiteitsfraude

Het uitwissen van sporen

Uitvoering van de identiteitsfraude


Uitvoering van de aanval

Cybercriminelen hebben data gestolen bij ondernemerstijdschrift

annex kennisnetwerk De Zaak. Vervolgens vuurden ze een

overtuigende phishingmail met malware af op Nederlandse

ondernemers.

"Het gaat om een bestand in de webshop, met 38.000 records. Dat zijn

e-mailadressen", bevestigt algemeen directeur Steenkamp van Small

Business Publishing.

Die uitgeverij zit achter De Zaak, zowel het tijdschrift voor ondernemers

als het gelijknamige kennisnetwerk op de website.

De daadwerkelijke inbraak is naar schatting vorige week gepleegd.


Paspoort kopen!

Een eenvoudige zaak….


Paspoort kopen!


Bron: http://pastebin.com/8u8sX0U0

Paspoort kopen!


Bron: http://pastebin.com/WhTfBER0

Malware tooling

Gewoon op afstand stelen!


Pixsteal trojan

Steelt geen documenten of wachtwoorden,maar foto's en andere

afbeeldingen.

De 'Pixsteal' Trojan zoekt naar .JPG en .JPEG-bestanden.

De eerste 20.000 plaatjes worden geüpload naar een FTP-server.

Sluipmoordenaar, verspreidt zich via andere malware of drive-by

downloads *

Doel: identiteitsdiefstal, chantage en afpersing (+ 23%)


* Drive-by downloads zijn infecties die u oploopt tijdens het surfen en bezoeken van malafide website's en het klikken op dubieuze hyperlinks in bijvoorbeeld ...

Analyse

van een

phishing e-mail

Doortrapt eenvoudig!


Recente phishing e-mail


Broncode en analyse van de e-mail


X-AVG-Antispam-Info: 90,9,0,a248a64038c474e9,d41d8cd98f00b204,

[email protected],[email protected],

RULES_HIT:10:72:355:379:455:541:542:857:946:960:962:967:972:973:983:988:989:

994:1155:1160:1189:1208:1221:1260:1261:1304:1305:1308:1309:1313:1314:1345:

1390:1431:1432:1437:1516:1517:1518:1535:1543:1567:1570:1575:1588:1589:1594:

1623:1711:1714:1730:1776:1792:2194:2198:2199:2200:2525:2543:2568:2610:2629:

2682:2685:2741:2859:2933:2937:2939:2942:2945:2947:2951:2954:3022:3138:3139:

3140:3141:3142:3770:3868:3869:3889:3934:3936:3938:3941:3944:3947:3950:3953:

3956:3959:4117:4181:5007:6261:7266:7679:7875:8599:8603:8777:8957:9025:9115:

9388:9855:9908:9979:10004:10049:10210:10215:10400:11658:11817:12043:12294:

12310:12430,0,RBL:neutral,CacheIP:none,Bayesian:0.5,0.5,0.5,Netcheck:none,

DomainCache:0,MSF:not bulk,SPF:fn,MSBL:0,DNSBL:neutral,Custom_rules:0:0:0

X-Antivirus: AVG for E-mail

X-Envelope-From: <[email protected]>

X-Envelope-To: <[email protected]>

X-Delivery-Time: 1358469456

X-UID: 477

Return-Path: <[email protected]>

X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0

X-Strato-MessageType: email

X-RZG-CLASS-ID: mi

Received: from webmail-mx02.firstfind.nl ([109.235.74.48])

by mailin.rzone.de (josoe mi82) (RZmta 31.12 OK)

with ESMTP id C06ef5p0I0TFPQ for <[email protected]>;

Fri, 18 Jan 2013 01:37:36 +0100 (CET)

Received: from localhost (localhost [127.0.0.1])

by webmail-mx02.firstfind.nl (Postfix) with ESMTP id 64ECB1204BB

for <[email protected]>; Fri, 18 Jan 2013 01:37:36 +0100 (CET)

X-Amavis-Alert: BAD HEADER SECTION, Duplicate header field: "Reply-To"

Received: from webmail-mx02.firstfind.nl ([127.0.0.1])

by localhost (webmail-mx02.firstfind.nl [127.0.0.1]) (amavisd-new, port 10024)

with LMTP id miR3eOEgt8jY for <[email protected]>;

Fri, 18 Jan 2013 01:37:36 +0100 (CET)

Broncode en analyse van de e-mail


Received: from server24.firstfind.nl (server24.firstfind.nl [85.158.203.28])

by webmail-mx02.firstfind.nl (Postfix) with ESMTP id 52A361204B7

for <[email protected]>; Fri, 18 Jan 2013 01:37:36 +0100 (CET)

Received: from server24.firstfind.nl (localhost [127.0.0.1])

by server24.firstfind.nl (8.14.3/8.14.3/Debian-9.4) with ESMTP id r0I0bZdV029007

(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT)

for <[email protected]>; Fri, 18 Jan 2013 01:37:36 +0100

Received: (from onkinera@localhost)

by server24.firstfind.nl (8.14.3/8.14.3/Submit) id r0I0bZ3l029006;

Fri, 18 Jan 2013 01:37:35 +0100

Date: Fri, 18 Jan 2013 01:37:35 +0100

Message-Id: <[email protected]>

To: [email protected]

Subject: Rekening geblokkeerd te lang ingelogd ABN AMRO Bank

X-PHP-Originating-Script: 16068:sosa.php

From: ABN AMRO <[email protected]>

Reply-To:

Reply-To:

X-Mailer: PHP v5.3.3-7+squeeze14

MIME-Version: 1.0

Content-Type: text/html

Content-Transfer-Encoding: 8bit

X-Virus-Scanned: by amavisd-new

IP-adressen leiden naar een hosting provider in Alkmaar

@myning.nl: Avaliani Sergi, [email protected], Netbeat GmbH ,Max-Beckmann-straat 23, 81735, MUNCHEN, Duitsland

mailto:[email protected]


Analyse van de phishing e-mail


Controle van de link:

IP-adressen leiden naar hosting provider te Alkmaar

@myning.nl: Avaliani Sergi, [email protected], Netbeat GmbH, Max-Beckmann-straat 23, 81735,

MUNCHEN, Duitsland

Handtekening: http://imageshack.us/photo/my-images/571/tjssignatures.jpg/

www.postbec.nl: Christine Bakker, [email protected], RegistrarCronon AG, Pascalstrasse 10, 10587,

BERLIN, Duitsland



http://www.postbec.nl/

http://www.postbec.nl/



Afsluiting


Conclusies en aanbevelingen:

Digitaal rechercheren blijft een belangrijk wapen

Phishers: gevaarlijke en ongrijpbare cybertegenstanders

Meer combinaties met phishing en malware b.v. e-cards, keyloggers,

‘redirector’ software, etc.

Ontwikkeling van ‘smishing’. (Sms- en mobiele phishing)

Bedrijven dienen massaal over schakelen naar SSL EV*

beveiligingscertificaten

Veiligheidsbewustmaking van klanten en werknemers

* Extended Validation

Handboek Digitaal Rechercheren


Trio SMC

Postbus 30023,

1303 AA Almere [email protected]

[email protected]

www.triosecurity.nl

www.digitaalonderzoeken.nl

www.digitaalonderzoeken.be

www.digitaalrechercheren.com

Twitter: @triosecurity

€ 24,95

ISBN: 978 90 8185 3507

NUR: 988



http://www.triosecurity.nl/

http://www.digitaalonderzoeken.nl/

http://www.digitaalonderzoeken.be/

http://www.digitaalrechercheren.com/

Afsluiting


Mijn dank voor uw aandachtMijn dank voor uw aandacht

Digitaal rechercheren versus_identiteitsfraude

Documents

Transcript of Digitaal rechercheren versus_identiteitsfraude