14-2-2010
Hoe besteel je de MKB’er via het Internet SuperTU/esday on Digital Security 11 februari 2010 Dr. Ir. Paul Overbeek RE
[email protected]
MKB • Gebruikers van Internet en ICT • Geen eigen professionele ICT-staf, veelal uitbesteed • Geen ICT-organisatie • ICT en Internet moeten werken, geen last maar lust zijn • Afhankelijkheid van Internet en ICT wordt veelal onderschat
1
14-2-2010
Manieren om geld te stelen • Cyberafpersing • Gegevens stelen en misbruiken • Betalingsverkeer misbruiken
Cyberafpersing • Domeinkaping • Rogue scanners • Denial of Service aanval
2
14-2-2010
Domeinkaping • Zoeken via Who-is database naar vrijkomende domeinnamen, vervolgens registreren • Domeinnamen waar men geen recht op heeft registreren onder valse naam • Kapers zoeken bij KvK naar net geregistreerde bedrijven en registeren dan het domein. • Kapers spelen eigendom steeds door tijdens rechtszaak, zodat steeds nieuwe rechtszaak nodig is.
Hoe levert dit geld op: Domeinnaam terug laten kopen of Diensten verkopen: website bouwen
KvK helpt: overzicht nieuwe inschrijvingen deze week
Voorbeeld
Vervolgens terug laten kopen
3
14-2-2010
Variatie domeinkaping: typosquatting • Voor websites met heel veel bezoekers • Registreer typefout-variaties van de domeinnaam en verdien aan de bekendheid van je concurrent • Belastingsdienst ipv Belastingdienst • monsterbord i.p.v. monsterboard • arifrance i.p.v. airfrance • e-bay i.p.v. ebay • Mcafie i.p.v. McAfee • Hotmaill, Hotmial, Hottmail
4
14-2-2010
5
14-2-2010
Waar waren we: Cyberafpersing • Domeinkaping – Typosquatting
• Rogue scanners • Denial of Service aanval
Kent u ze: Virus en spyware scanners? • • • • • • • • •
XP Antivirus 2008 XP Antivirus 2009 XP SpywareSheriff SpyFalcon Micro Antivirus 2009 Psguard, IEDefender AntiSpyware Expert Antivirus Lab 2009 Etc.
6
14-2-2010
7
14-2-2010
Rogue scanners a.k.a. Scareware • Vaak als gratis online scan • Of als gratis antivirus download • Geeft valse virus meldingen, en/of locked harde schijf • Dan kunt u de volledige versie kopen om de (niet bestaande) virussen en/of lock te verwijderen. • Er wordt meer afgeschreven op credit card dan vermeldt • Mogelijk bevat scanner nog meer malware
8
14-2-2010
Waar waren we: Cyberafpersing • Domeinkaping – Typosquatting
• Rogue scanners • Denial of Service aanval
9
14-2-2010
Denial of Service Voorbeeld op 7-11 februari
Denial of Service Attack: Smurfing •Gebruik PING signaal (vraag echo) •Stuur PING naar Broadcast adres van een netwerk • Spoof (vervals) de afzender •Gebruik adres slachtoffer •Resultaat: alle echo’s gaan naar slachtoffer
10
14-2-2010
Distributed denial of service: botnets • server uitschakelen door veel communicatie naar webserver te sturen. • Communicatie komt van bots: computers van gewone gebruikers die geïnfecteerd zijn met malware (trojan) waardoor botnet beheerders deze computers massaal in kunnen zetten in een aanval.
27
11
14-2-2010
Vele soorten DDoS • Mail bomb, Smurf attack, PING flood, Teardrop attack etc. • Zonder botnets: peer-to-peer attack using Napster, Gnutella, Freenet, Limewire etc. • Mydoom malware: hardwired ip en datum Toolkits beschikbaar: bv. Stacheldraht
28
Distributed denial of service: botnets
12
14-2-2010
Hoe kom ik aan een botnet? Hoe kom ik aan een botnet? Benodigd: –Command and Control server voor Attacker –Zombies (slaves) Eerst besmetten met malware die van een computer een bot of zombie maakt
Handel in Botnets • B.V. ‘Golden Cash Network (juni 2009): – Handel in geïnfecteerde PC’s (Bots) – Prijzen per 1000 stuks: UK $60, Australië 100$, V.S. $50 – Koper, verkopers, partner distributie netwerk – Toolkits
Gebruik blacklisting en proxyredirects om justitie en security research van de site te houden. 31
13
14-2-2010
Waar waren we? Manieren om geld te stelen • Cyberafpersing • Gegevens stelen en misbruiken • Betalingsverkeer misbruiken
Gegevens stelen en misbruiken • Gegevens stelen met malware • Hacken van je e-mail account • Gegevens stelen via een website
14
14-2-2010
Malware: malicious software • Zonder toestemming op je computer door: download, besmette website, e-mail (spam), peer2peer, problemen met browsers (flash), pdf-readers etc. • Doel: informatie stelen, computer kapen – gebruikersnamen en wachtwoorden stelen – computer gebruiken in botnet
Trojan horse Software met een onzichtbare payload: • Backdoor • Rootkit • Zombie client • Key-logger
15
14-2-2010
Back-door Bv. Back-orifice
Zombie cliënt Zoekt contact met server (drop zone) via: –Internet Relay Chat –Twitter –Live messenger –Eigen protocol
16
14-2-2010
Key logger • Klein programma dat alle toetsaanslagen registreert • Registratie wordt in een bestand gezet • Bestand kan worden opgehaald, gemaild of via IRC, MSN etc. worden verstuurd • Programma is voor normale gebruiker niet zichtbaar • Gratis te vinden op internet • Verspreiding rechtstreeks of via malware
17
14-2-2010
Waar zijn we: Gegevens stelen en misbruiken • Gegevens stelen met malware • Hacken van je e-mail account • Gegevens stelen via een website
Voorbeeld: E-mail hack Sarah Palin • Secret question attack • I forgot my password • Geheime vraag: Wat is de meisjesnaam van je moeder? • Google!!! • Wachtwoord gereset: e-mail gekraakt!
42
18
14-2-2010
E-mail staatssecretaris gehacked • Jack de Vries Staatssecretaris Defensie • Privé E-mail account gehacked door Nieuwe Revu
43
E-mail hack Jack de Vries • Men wilde een “brute force” poging doen, d.w.z. heel vaak het wachtwoord raden tot het een keer raak is. • Spelletje geschreven dat verspreidt werd via Hyves. Het werd 14.000 keer gedownload. Dit was een Trojan. •Hiermee werd een botnet gemaakt, waarbij elke bot gebruikt werd om wachtwoordpogingen te doen.
19
14-2-2010
Ipv. Brute force: Rainbowtables Wachtwoorden worden gecodeerd (hashed) opgeslagen. In theorie kun je die bewerking niet (nauwelijks) omkeren. Gebruik tabellen met hash-codes voor een heleboel wachtwoorden die vooraf berekend zijn. Tabellen werken veel sneller, maar gebruiken veel ruimte: Zet ze op Internet
Rainbow tables op het Internet
Statistieken Actieve machines: 1066 Online machines: 676 Huidige CPU kracht: 1352 GFLOPS Afgelopen 24 uur: 4270miljoen chains Huidige snelheid: 0.49bil links/seconde Datagroei: 71.58 GB Gekraakte hashes: 214176 MD5: 198555 NTLM: 8276 LM: 7345 Niet gekraakte hashes: 225224 MD5: 204067 NTLM: 13587 LM: 7570 Succespercentage: 48.74% MD5: 49.32% NTLM: 37.85%
20
14-2-2010
Rainbow table password hacking
Waar zijn we: Gegevens stelen en misbruiken • Gegevens stelen met malware • Hacken van je e-mail account • Gegevens stelen via een website
21
14-2-2010
Gegevens stelen via een website • • • •
Cross site scripting (XSS) Cross site request forging (CSRF) SQL Injections Phishing
Cross Site Scripting (XSS) • Legitieme web pagina met scriptje van aanvaller erin. Gebruiker denkt dat dit bij legitieme website hoort. • Bijvoorbeeld: Scriptje wordt verstopt in een forum bericht van een webshop. • Een gebruiker opent het bericht en het script wordt uitgevoerd op de computer van de nietsvermoedende gebruiker. • Het scriptje vraagt bijvoorbeeld om inloggegevens, maar omdat het lijkt of het van een legitieme website komt, vult die nietsvermoedende gebruiker die in.
22
14-2-2010
Cross-site scripting 1
Cross-site scripting 2
23
14-2-2010
Hoe kom je op de verkeerde websites: Phishing E-mails met het verzoek op een link te klikken of om je gegevens in te vullen en te verzenden
24
14-2-2010
SQL Injectie • SQL taal wordt gebruikt om webwinkels software met database te laten communiceren • Malafide gebruikers kunnen stiekem SQL taal invoeren op sites van webwinkels waardoor zij gegevens kunnen opvragen en wijzigen • Creditkaart gegevens worden zo gestolen of er wordt gratis gewinkeld
25
14-2-2010
Sql Injectie: Kaspersky
Gegevens stelen door gewoon te vragen • Te gek voor woorden? Neen
Quote Website gratisfietslicht.nl Voordat je verder gaat, vragen wij je nu om je vrienden op de hoogte te stellen van deze site door ze een tip te versturen (dit gaat automatisch en duurt hooguit 15 sec). Voor dit onderdeel moet je ingelogd zijn bij Windows Live. Als je dat nog niet bent wordt er gevraagd om in te loggen! Log mij safe in via Windows Live Verbinding
26
14-2-2010
Waar waren we? Manieren om geld te stelen • Cyberafpersing • Gegevens stelen en misbruiken • Betalingsverkeer misbruiken
Betalingsverkeer misbruiken • • • •
Nigerian Scam Credit card fraude Fraude met de automatische incasso De money mule
27
14-2-2010
Nigeriaanse oplichters
Vooruitbetalingsfraude: E-mail scam, nigerian fraud, 419 fraud Van: DR LAMIDO SANUSI [mailto:
[email protected]] Verzonden: zondag 6 september 2009 5:49 Onderwerp: YOUR IMMEDIATE RESPOND IS URGENTLY NEEDED.
YOUR IMMEDIATE RESPOND IS URGENTLY NEEDED. DR LAMIDO SANUSI (RTD) DELIVERY OF YOUR FUND FINACE MINISTER FEDERAL REPULIC OF NIGERIA. THIS IS TO NOTIFY YOU THAT AFTER WE MET TODAY WITH THE PRESIDENT, ACCOUNTANT GENERAL OF THE FEDERATION, OFFICE OF THE SENATE HOUSE, AND HOUSE OF REPRESENTATIVES WE CAME TO A CONCLUSION THAT WE HAVE TO PAY YOU THE SUM OF $12.5M AS YOUR CONTRACT ENTITLEMENT. THE PAYMENT WILL COME TO YOU VIA DIPLOMATIC COURIER SERVICE, THEREFORE YOU ARE TO REC-CONFIRM THE FOLLOWING; ( 1) FULL NAME (2) ADDRESS (3) PHONE NO# (4) BANK ACCOUNT BEST REGARDS, DR LAMIDO SANUSI (RTD) FINACE MINISTER FEDERAL REPULIC OF NIGERIA. call me at +234-808-669-2215
28
14-2-2010
Vooruitbetalingsfraude: E-mail scam, nigerian fraud, 419 fraud Deel 1 • Brief (sms, telefoon, e-mail etc.) • Grote hoeveelheid op bevroren rekening • Kan wel naar buitenlandse rekening • Jouw rekening! Mag je 40% houden. • Eerst je bankgegevens sturen. – Of je creditcard gegevens
• Dan sturen ze een fake cheque
29
14-2-2010
Fake deposit cheque
Vooruitbetalingsfraude: E-mail scam, nigerian fraud, 419 fraud Deel 2 • Met de bankgegevens wordt je bankrekening geplunderd of • Je moet wat onkosten vooruit betalen, als je die betaalt zie je er nooit meer iets van terug of • Als je voorzichtig meewerkt wordt je onder druk gezet, tot fysieke intimidatie aan toe of • Als je naar Nigeria reist voor overleg leidt dat tot beroving, afpersing en ontvoering.
30
14-2-2010
Vooruitbetalingsfraude: E-mail scam, nigerian fraud, 419 fraud • Nieuwe ontwikkeling – Caller ID Theft/Spoof • Vervalsen telefoonnummer zodat je gebeld wordt door een lokaal nummer, maar in werkelijkheid uit Nigeria (met gehackte telefoon)
– Doventelefoon • Gebeld worden door tussenkomst van de doventelefoon, zodat je niet kan horen dat iemand met een buitenlands accent je belt.
– SMS sturen namens KPN, Telfort etc. met de mededeling dat er een prijs op je wacht. – Hacken van je VOIP centrale op het internet • Van daaruit betaal-nummers 0900 laten bellen
Credit card fraude
31
14-2-2010
Soorten kaart fraude • Friendly: Goederen besteld via internet en dan melden: – Goederen niet ontvangen – Goederen niet overeenkomstig bestelling – Kosten voor webwinkelier
• Internal – Medewerker verduisterd creditkaartnummers en verkoopt deze op internet: skimming
• External – Bestellingen via Internet met valse of gestolen kaartnummers
32
14-2-2010
Identity theft •Application fraud
• gestolen documenten gebruiken of documenten vervalsen •Account takeover • Informatie over slachtoffer vergaren, dan creditkaartmaatschappij benaderen en adres wijzigen. Dan de kaart als gestolen opgeven en een nieuwe aanvragen
Fraude met automatische incasso • Fraude met automatische incasso – Bij veel internetshops kun je per automatische incasso te betalen. En daar kun je straffeloos het rekeningnummer van een ander invullen, waarna je keurig de artikelen ‘thuis’ gestuurd krijgt.
1 33
14-2-2010
Hoe komt het geld op de bankrekening van de criminelen: De ‘money-mule’
De advertentie
Hello. My name is Bark Jurison, I represent Jurison Bark Group company. We need representatives in Holland for full and part-time jobs (4 positions are available). We do not ask for any money, we are reputable company operating in Latvia and Sweden. You will get: - 5000 EUR guaranteed monthly income for full-time job - 3500 EUR guaranteed monthly income for part-time job - Comprehensive medical and life insurance for you and your dependents. You - will be receiving the Jurison Bark Group. Medicine card and all the paperwork in 2 weeks after successfully completing your probation period. - Travel charges returned GENERAL REQUIREMENTS: You have to be honest, loyal, responsible and hard-working. You have to comply with all reasonable and lawful instructions provided to you by our company. You are required minimal 5-7 hours during the week for communication. Residential address to receive correspondence (if any). Computer w/internet connection. Please, reply to
[email protected] if you are interested and I will send you job details. Thanks Bark Jurison Jurison Bark Group
34
14-2-2010
Stap 1:
Fraudeur zoekt per website/e-mail/chat/krant een financieel manager, ervaring niet noodzakelijk
Stap 2
Fraudeur neemt slachtoffer in dienst van fake bedrijf, soms met mooi contract.
35
14-2-2010
Stap 3
De money mule ontvangt geld op zijn rekening. Dit is afkomstig van frauduleuze praktijken
Stap 4
Money mule maakt dan geldt over via Western Union naar buitenlandse rekening minus kleine commissie
36
14-2-2010
Resultaat
•De telegrafische overschrijving is verder niet traceerbaar. •Alleen de money mule is traceerbaar en wordt altijd gepakt. •Een money mule is strafbaar en meestal wordt zijn bankrekening eerst bevroren en daarna opgeheven.
Waar waren we? Manieren om geld te stelen • Cyberafpersing • Gegevens stelen en misbruiken • Betalingsverkeer misbruiken
37
14-2-2010
Wat kun je er, als gebruiker, aan doen? • Computer beveiligen: anti-virus, firewall • Eerst domein registreren dan naar de KvK • Webwinkel laten ontwikkelen door professional • Nadenken bij het surfen. Niet zomaar gegevens intikken eerst checken • http://www.3xkloppen.nl/ • Bij creditcardbetalingen additionele gegevens vragen • Alleen automatische incasso bij vertrouwde klanten • If it looks too good to be true it probably is! 86
38
14-2-2010
Wat zou de TU moeten doen Meeste problemen ontstaan uit: • Ontwerpfouten – Design of Secure Systems
• Programmeerblunders, te veel vertrouwen in onderliggende technologie – Building reliable, fail safe software
• Cowboy gedrag – Kwaliteit moet ook uit het proces komen – Cultuur van ‘leren en verbeteren’
• OTAP en Q tijdens de lifecycle!
Vragen?
•
[email protected] • www.ois-nl.eu
39