Digitaal rechercheren versus_identiteitsfraude
-
Upload
paul-mulder -
Category
Documents
-
view
560 -
download
1
Transcript of Digitaal rechercheren versus_identiteitsfraude
Digitaal rechercheren
versus
Identiteitsfraude
Paul Mulder RSE
TRIO SMC presenteert:
© Trio SMC 24-01-2013 1
Trio SMC | Bekwaam in veiligheidsbewustzijn
The Association of Certified Fraud Examiners (ACFE)
De inhoud van de presentatie
• Welkom en even voorstellen
• Identiteitsfraude: Een echt onderschat risico ?
• Rapport ID Fraud prevention research 2012
• Identiteitsfraude kent geen grenzen
• Aanvalcyclus van cybercriminelen
• Paspoort kopen
• Analyse van een phishing e-mail
• Afsluiting
2 Trio SMC | Bekwaam in veiligheidsbewustzijn
Welkom en even voorstellen
Inlichtingen & Veiligheidsofficier
Information & Security Expert
Complexe veiligheidsonderzoeken
Trio SMC - 2008
3 Trio SMC | Bekwaam in veiligheidsbewustzijn
Cybercrime
en
Identiteitsfraude
Een onderschat risico!
4 Trio SMC | Bekwaam in veiligheidsbewustzijn
Cybercrime en identiteitsfraude
• Cybercrime is de afgelopen jaren flink gestegen en
daarmee de financiële schade voor bedrijven. Het
adagium ‘ken uw opponent’ geldt ook hier. Door de
motivatie en methodes van cybercriminelen te begrijpen
kunnen organisaties risico’s beter inschatten en acties
ondernemen om zichzelf te beschermen.
• Cybercriminelen worden steeds ondernemender.
• Aanvallen worden meer en meer geautomatiseerd.
• Aanvallen gericht op specifieke ondernemingen.
5 Trio SMC | Bekwaam in veiligheidsbewustzijn
Rapport ID Fraud prevention
research 2012
Ter oriëntatie: Identiteitsfraude
binnen Europa
6 Trio SMC | Bekwaam in veiligheidsbewustzijn
Ter oriëntatie: De facts
Opnieuw een toename aan incidenten
50% van de Nederlanders heeft ooit te maken gehad met een poging
tot identiteitsfraude
12 % wordt daadwerkelijk slachtoffer
Het sturen van e-mails, met name afkomstig van uw bank zijn favoriet
Verzoek geld te doneren aan een goed doel
7 Trio SMC | Bekwaam in veiligheidsbewustzijn
Ter oriëntatie: De criminele doelen
Betreft meestal het plunderen van de bankrekening
De aanvraag van een creditcard op naam van het slachtoffer
Het openen van een nieuwe bankrekening onder een valse naam
Het kopen van hoogwaardige hardware met een hoge verkoopwaarde
Het kopen van een huis op een andermans naam in buitenland
8 Trio SMC | Bekwaam in veiligheidsbewustzijn
Ter oriëntatie: De ontdekking en schade
Gemiddeld duurt het 1½ jaar voordat het slachtoffer zich bewust wordt
van de identiteitsfraude
Gemiddeld duurt het 11,8 maanden voordat de zaak is opgelost en
afgewikkeld
Restschade bedraagt gemiddeld zo’n € 6000,-- per persoon*
9 Trio SMC | Bekwaam in veiligheidsbewustzijn
* Weergave van het Europese beeld
Identiteitsfraude kent geen grenzen
Helft Nederlandse bedrijven aan te merken als slachtoffer
Nederlandse bedrijven zijn slecht voorbereid.
Gegevens worden gemakkelijk buitgemaakt.
Gebruikersnamen
Wachtwoorden
Creditcardgegevens
BSN
Etc
10 Trio SMC | Bekwaam in veiligheidsbewustzijn
Bron: http://pastebin.com/8Nejatz7
Aanvalcyclus
van
cybercriminelen
Complex, maar ook kinderlijk eenvoudig!
11 Trio SMC | Bekwaam in veiligheidsbewustzijn
Aanvalscyclus van cybercriminelen Het bepalen van het doel
Verzamelen en beoordelen van informatie
Plannen van de aanval
Verzamelen van het nog ontbrekende en strikt benodigde materiaal
Voorbereiding, testen software, berichten, paspoorten……..
Uitvoering van de aanval
Het uitwissen van sporen in de vorm van een virtuele vlucht
Uitvoering van de identiteitsfraude
12 Trio SMC | Bekwaam in veiligheidsbewustzijn
Het bepalen van het doel
De criminelen gaan systematisch te werk om te kijken waar er mogelijk
problemen zijn op ICT-gebied in Nederland.
Criminelen onderzoeken de hacking mogelijkheden van servers etc.
Worden vaak geholpen door hobby-hackers
13 Trio SMC | Bekwaam in veiligheidsbewustzijn
Verzamelen en beoordelen van informatie
Opvragen van alle beschikbare informatie uit commerciële open
bronnen te beginnen in het handelsregister, zoals:
Naam van het bedrijf, eigenaar, soort bedrijf, BTW-nummer, KvK-
nummer, bankgegevens, het websiteadres, etc.
Opvragen allerlei informatie uit open bronnen zoals social media (foto),
pipl.com, gerelateerde afbeeldingen, etc aan de hand van de naam van
betrokkene.
Het zoeken van het e-mailadres van betrokkene door middel van twee
speciale zoekopdrachten.
*[email protected] en “*.*@mijndomein.nl”
14 Trio SMC | Bekwaam in veiligheidsbewustzijn
E-mailadressen
Gmail, Hotmail, Yahoo of AOL e-mailaccount
Zijn onder iedere naam aan te maken en gemakkelijk te vervalsen
Zijn gemakkelijk te kraken!
15 Trio SMC | Bekwaam in veiligheidsbewustzijn
Coördinatie
Plannen van de aanval
Verzamelen van het nog ontbrekende…………
Inhuur van ICT-kennis
Voorbereiding, testen software, berichten, paspoorten……..
16 Trio SMC | Bekwaam in veiligheidsbewustzijn
Aanvalscyclus van cybercriminelen
Het bepalen van het doel
Verzamelen en beoordelen van informatie
Plannen
Verzamelen van het nog ontbrekende en strikt benodigde materiaal
Voorbereiding, testen software, berichten, paspoorten……..
Uitvoering van de aanval of uitvoering van de identiteitsfraude
Het uitwissen van sporen
Uitvoering van de identiteitsfraude
17 Trio SMC | Bekwaam in veiligheidsbewustzijn
Uitvoering van de aanval
Cybercriminelen hebben data gestolen bij ondernemerstijdschrift
annex kennisnetwerk De Zaak. Vervolgens vuurden ze een
overtuigende phishingmail met malware af op Nederlandse
ondernemers.
"Het gaat om een bestand in de webshop, met 38.000 records. Dat zijn
e-mailadressen", bevestigt algemeen directeur Steenkamp van Small
Business Publishing.
Die uitgeverij zit achter De Zaak, zowel het tijdschrift voor ondernemers
als het gelijknamige kennisnetwerk op de website.
De daadwerkelijke inbraak is naar schatting vorige week gepleegd.
18 Trio SMC | Bekwaam in veiligheidsbewustzijn
Paspoort kopen!
Een eenvoudige zaak….
19 Trio SMC | Bekwaam in veiligheidsbewustzijn
Paspoort kopen!
20 Trio SMC | Bekwaam in veiligheidsbewustzijn
Bron: http://pastebin.com/8u8sX0U0
Paspoort kopen!
21 Trio SMC | Bekwaam in veiligheidsbewustzijn
Bron: http://pastebin.com/WhTfBER0
Malware tooling
Gewoon op afstand stelen!
22 Trio SMC | Bekwaam in veiligheidsbewustzijn
Pixsteal trojan
Steelt geen documenten of wachtwoorden,maar foto's en andere
afbeeldingen.
De 'Pixsteal' Trojan zoekt naar .JPG en .JPEG-bestanden.
De eerste 20.000 plaatjes worden geüpload naar een FTP-server.
Sluipmoordenaar, verspreidt zich via andere malware of drive-by
downloads *
Doel: identiteitsdiefstal, chantage en afpersing (+ 23%)
23 Trio SMC | Bekwaam in veiligheidsbewustzijn
* Drive-by downloads zijn infecties die u oploopt tijdens het surfen en bezoeken van malafide website's en het klikken op dubieuze hyperlinks in bijvoorbeeld ...
Analyse
van een
phishing e-mail
Doortrapt eenvoudig!
24 Trio SMC | Bekwaam in veiligheidsbewustzijn
Recente phishing e-mail
25 Trio SMC | Bekwaam in veiligheidsbewustzijn
Broncode en analyse van de e-mail
26 Trio SMC | Bekwaam in veiligheidsbewustzijn
X-AVG-Antispam-Info: 90,9,0,a248a64038c474e9,d41d8cd98f00b204,
[email protected],[email protected],
RULES_HIT:10:72:355:379:455:541:542:857:946:960:962:967:972:973:983:988:989:
994:1155:1160:1189:1208:1221:1260:1261:1304:1305:1308:1309:1313:1314:1345:
1390:1431:1432:1437:1516:1517:1518:1535:1543:1567:1570:1575:1588:1589:1594:
1623:1711:1714:1730:1776:1792:2194:2198:2199:2200:2525:2543:2568:2610:2629:
2682:2685:2741:2859:2933:2937:2939:2942:2945:2947:2951:2954:3022:3138:3139:
3140:3141:3142:3770:3868:3869:3889:3934:3936:3938:3941:3944:3947:3950:3953:
3956:3959:4117:4181:5007:6261:7266:7679:7875:8599:8603:8777:8957:9025:9115:
9388:9855:9908:9979:10004:10049:10210:10215:10400:11658:11817:12043:12294:
12310:12430,0,RBL:neutral,CacheIP:none,Bayesian:0.5,0.5,0.5,Netcheck:none,
DomainCache:0,MSF:not bulk,SPF:fn,MSBL:0,DNSBL:neutral,Custom_rules:0:0:0
X-Antivirus: AVG for E-mail
X-Envelope-From: <[email protected]>
X-Envelope-To: <[email protected]>
X-Delivery-Time: 1358469456
X-UID: 477
Return-Path: <[email protected]>
X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0
X-Strato-MessageType: email
X-RZG-CLASS-ID: mi
Received: from webmail-mx02.firstfind.nl ([109.235.74.48])
by mailin.rzone.de (josoe mi82) (RZmta 31.12 OK)
with ESMTP id C06ef5p0I0TFPQ for <[email protected]>;
Fri, 18 Jan 2013 01:37:36 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
by webmail-mx02.firstfind.nl (Postfix) with ESMTP id 64ECB1204BB
for <[email protected]>; Fri, 18 Jan 2013 01:37:36 +0100 (CET)
X-Amavis-Alert: BAD HEADER SECTION, Duplicate header field: "Reply-To"
Received: from webmail-mx02.firstfind.nl ([127.0.0.1])
by localhost (webmail-mx02.firstfind.nl [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id miR3eOEgt8jY for <[email protected]>;
Fri, 18 Jan 2013 01:37:36 +0100 (CET)
Broncode en analyse van de e-mail
27 Trio SMC | Bekwaam in veiligheidsbewustzijn
Received: from server24.firstfind.nl (server24.firstfind.nl [85.158.203.28])
by webmail-mx02.firstfind.nl (Postfix) with ESMTP id 52A361204B7
for <[email protected]>; Fri, 18 Jan 2013 01:37:36 +0100 (CET)
Received: from server24.firstfind.nl (localhost [127.0.0.1])
by server24.firstfind.nl (8.14.3/8.14.3/Debian-9.4) with ESMTP id r0I0bZdV029007
(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT)
for <[email protected]>; Fri, 18 Jan 2013 01:37:36 +0100
Received: (from onkinera@localhost)
by server24.firstfind.nl (8.14.3/8.14.3/Submit) id r0I0bZ3l029006;
Fri, 18 Jan 2013 01:37:35 +0100
Date: Fri, 18 Jan 2013 01:37:35 +0100
Message-Id: <[email protected]>
Subject: Rekening geblokkeerd te lang ingelogd ABN AMRO Bank
X-PHP-Originating-Script: 16068:sosa.php
From: ABN AMRO <[email protected]>
Reply-To:
Reply-To:
X-Mailer: PHP v5.3.3-7+squeeze14
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-Virus-Scanned: by amavisd-new
IP-adressen leiden naar een hosting provider in Alkmaar
@myning.nl: Avaliani Sergi, [email protected], Netbeat GmbH ,Max-Beckmann-straat 23, 81735, MUNCHEN, Duitsland
Analyse van de phishing e-mail
28 Trio SMC | Bekwaam in veiligheidsbewustzijn
Controle van de link:
IP-adressen leiden naar hosting provider te Alkmaar
@myning.nl: Avaliani Sergi, [email protected], Netbeat GmbH, Max-Beckmann-straat 23, 81735,
MUNCHEN, Duitsland
Handtekening: http://imageshack.us/photo/my-images/571/tjssignatures.jpg/
www.postbec.nl: Christine Bakker, [email protected], RegistrarCronon AG, Pascalstrasse 10, 10587,
BERLIN, Duitsland
Afsluiting
29 Trio SMC | Bekwaam in veiligheidsbewustzijn
Conclusies en aanbevelingen:
Digitaal rechercheren blijft een belangrijk wapen
Phishers: gevaarlijke en ongrijpbare cybertegenstanders
Meer combinaties met phishing en malware b.v. e-cards, keyloggers,
‘redirector’ software, etc.
Ontwikkeling van ‘smishing’. (Sms- en mobiele phishing)
Bedrijven dienen massaal over schakelen naar SSL EV*
beveiligingscertificaten
Veiligheidsbewustmaking van klanten en werknemers
* Extended Validation
Handboek Digitaal Rechercheren
30 Trio SMC | Bekwaam in veiligheidsbewustzijn
Trio SMC
Postbus 30023,
1303 AA Almere [email protected]
www.triosecurity.nl
www.digitaalonderzoeken.nl
www.digitaalonderzoeken.be
www.digitaalrechercheren.com
Twitter: @triosecurity
€ 24,95
ISBN: 978 90 8185 3507
NUR: 988
Afsluiting
31 Trio SMC | Bekwaam in veiligheidsbewustzijn
Mijn dank voor uw aandachtMijn dank voor uw aandacht