Hoe besteel je de MKB er via het Internet

14-2-2010

Hoe besteel je de MKB’er via het Internet SuperTU/esday on Digital Security 11 februari 2010 Dr. Ir. Paul Overbeek RE [email protected]

MKB • Gebruikers van Internet en ICT • Geen eigen professionele ICT-staf, veelal uitbesteed • Geen ICT-organisatie • ICT en Internet moeten werken, geen last maar lust zijn • Afhankelijkheid van Internet en ICT wordt veelal onderschat

1

14-2-2010

Manieren om geld te stelen • Cyberafpersing • Gegevens stelen en misbruiken • Betalingsverkeer misbruiken

Cyberafpersing • Domeinkaping • Rogue scanners • Denial of Service aanval

2

14-2-2010

Domeinkaping • Zoeken via Who-is database naar vrijkomende domeinnamen, vervolgens registreren • Domeinnamen waar men geen recht op heeft registreren onder valse naam • Kapers zoeken bij KvK naar net geregistreerde bedrijven en registeren dan het domein. • Kapers spelen eigendom steeds door tijdens rechtszaak, zodat steeds nieuwe rechtszaak nodig is.

Hoe levert dit geld op: Domeinnaam terug laten kopen of Diensten verkopen: website bouwen

KvK helpt: overzicht nieuwe inschrijvingen deze week

Voorbeeld

Vervolgens terug laten kopen

3

14-2-2010

Variatie domeinkaping: typosquatting • Voor websites met heel veel bezoekers • Registreer typefout-variaties van de domeinnaam en verdien aan de bekendheid van je concurrent • Belastingsdienst ipv Belastingdienst • monsterbord i.p.v. monsterboard • arifrance i.p.v. airfrance • e-bay i.p.v. ebay • Mcafie i.p.v. McAfee • Hotmaill, Hotmial, Hottmail

4

14-2-2010

5

14-2-2010

Waar waren we: Cyberafpersing • Domeinkaping – Typosquatting

• Rogue scanners • Denial of Service aanval

Kent u ze: Virus en spyware scanners? • • • • • • • • •

XP Antivirus 2008 XP Antivirus 2009 XP SpywareSheriff SpyFalcon Micro Antivirus 2009 Psguard, IEDefender AntiSpyware Expert Antivirus Lab 2009 Etc.

6

14-2-2010

7

14-2-2010

Rogue scanners a.k.a. Scareware • Vaak als gratis online scan • Of als gratis antivirus download • Geeft valse virus meldingen, en/of locked harde schijf • Dan kunt u de volledige versie kopen om de (niet bestaande) virussen en/of lock te verwijderen. • Er wordt meer afgeschreven op credit card dan vermeldt • Mogelijk bevat scanner nog meer malware

8

14-2-2010

Waar waren we: Cyberafpersing • Domeinkaping – Typosquatting

• Rogue scanners • Denial of Service aanval

9

14-2-2010

Denial of Service Voorbeeld op 7-11 februari

Denial of Service Attack: Smurfing •Gebruik PING signaal (vraag echo) •Stuur PING naar Broadcast adres van een netwerk • Spoof (vervals) de afzender •Gebruik adres slachtoffer •Resultaat: alle echo’s gaan naar slachtoffer

10

14-2-2010

Distributed denial of service: botnets • server uitschakelen door veel communicatie naar webserver te sturen. • Communicatie komt van bots: computers van gewone gebruikers die geïnfecteerd zijn met malware (trojan) waardoor botnet beheerders deze computers massaal in kunnen zetten in een aanval.

27

11

14-2-2010

Vele soorten DDoS • Mail bomb, Smurf attack, PING flood, Teardrop attack etc. • Zonder botnets: peer-to-peer attack using Napster, Gnutella, Freenet, Limewire etc. • Mydoom malware: hardwired ip en datum Toolkits beschikbaar: bv. Stacheldraht

28

Distributed denial of service: botnets

12

14-2-2010

Hoe kom ik aan een botnet? Hoe kom ik aan een botnet? Benodigd: –Command and Control server voor Attacker –Zombies (slaves) Eerst besmetten met malware die van een computer een bot of zombie maakt

Handel in Botnets • B.V. ‘Golden Cash Network (juni 2009): – Handel in geïnfecteerde PC’s (Bots) – Prijzen per 1000 stuks: UK $60, Australië 100$, V.S. $50 – Koper, verkopers, partner distributie netwerk – Toolkits

Gebruik blacklisting en proxyredirects om justitie en security research van de site te houden. 31

13

14-2-2010

Waar waren we? Manieren om geld te stelen • Cyberafpersing • Gegevens stelen en misbruiken • Betalingsverkeer misbruiken

Gegevens stelen en misbruiken • Gegevens stelen met malware • Hacken van je e-mail account • Gegevens stelen via een website

14

14-2-2010

Malware: malicious software • Zonder toestemming op je computer door: download, besmette website, e-mail (spam), peer2peer, problemen met browsers (flash), pdf-readers etc. • Doel: informatie stelen, computer kapen – gebruikersnamen en wachtwoorden stelen – computer gebruiken in botnet

Trojan horse Software met een onzichtbare payload: • Backdoor • Rootkit • Zombie client • Key-logger

15

14-2-2010

Back-door Bv. Back-orifice

Zombie cliënt Zoekt contact met server (drop zone) via: –Internet Relay Chat –Twitter –Live messenger –Eigen protocol

16

14-2-2010

Key logger • Klein programma dat alle toetsaanslagen registreert • Registratie wordt in een bestand gezet • Bestand kan worden opgehaald, gemaild of via IRC, MSN etc. worden verstuurd • Programma is voor normale gebruiker niet zichtbaar • Gratis te vinden op internet • Verspreiding rechtstreeks of via malware

17

14-2-2010

Waar zijn we: Gegevens stelen en misbruiken • Gegevens stelen met malware • Hacken van je e-mail account • Gegevens stelen via een website

Voorbeeld: E-mail hack Sarah Palin • Secret question attack • I forgot my password • Geheime vraag: Wat is de meisjesnaam van je moeder? • Google!!! • Wachtwoord gereset: e-mail gekraakt!

42

18

14-2-2010

E-mail staatssecretaris gehacked • Jack de Vries Staatssecretaris Defensie • Privé E-mail account gehacked door Nieuwe Revu

43

E-mail hack Jack de Vries • Men wilde een “brute force” poging doen, d.w.z. heel vaak het wachtwoord raden tot het een keer raak is. • Spelletje geschreven dat verspreidt werd via Hyves. Het werd 14.000 keer gedownload. Dit was een Trojan. •Hiermee werd een botnet gemaakt, waarbij elke bot gebruikt werd om wachtwoordpogingen te doen.

19

14-2-2010

Ipv. Brute force: Rainbowtables Wachtwoorden worden gecodeerd (hashed) opgeslagen. In theorie kun je die bewerking niet (nauwelijks) omkeren. Gebruik tabellen met hash-codes voor een heleboel wachtwoorden die vooraf berekend zijn. Tabellen werken veel sneller, maar gebruiken veel ruimte: Zet ze op Internet

Rainbow tables op het Internet

Statistieken Actieve machines: 1066 Online machines: 676 Huidige CPU kracht: 1352 GFLOPS Afgelopen 24 uur: 4270miljoen chains Huidige snelheid: 0.49bil links/seconde Datagroei: 71.58 GB Gekraakte hashes: 214176 MD5: 198555 NTLM: 8276 LM: 7345 Niet gekraakte hashes: 225224 MD5: 204067 NTLM: 13587 LM: 7570 Succespercentage: 48.74% MD5: 49.32% NTLM: 37.85%

20

14-2-2010

Rainbow table password hacking

Waar zijn we: Gegevens stelen en misbruiken • Gegevens stelen met malware • Hacken van je e-mail account • Gegevens stelen via een website

21

14-2-2010

Gegevens stelen via een website • • • •

Cross site scripting (XSS) Cross site request forging (CSRF) SQL Injections Phishing

Cross Site Scripting (XSS) • Legitieme web pagina met scriptje van aanvaller erin. Gebruiker denkt dat dit bij legitieme website hoort. • Bijvoorbeeld: Scriptje wordt verstopt in een forum bericht van een webshop. • Een gebruiker opent het bericht en het script wordt uitgevoerd op de computer van de nietsvermoedende gebruiker. • Het scriptje vraagt bijvoorbeeld om inloggegevens, maar omdat het lijkt of het van een legitieme website komt, vult die nietsvermoedende gebruiker die in.

22

14-2-2010

Cross-site scripting 1

Cross-site scripting 2

23

14-2-2010

Hoe kom je op de verkeerde websites: Phishing E-mails met het verzoek op een link te klikken of om je gegevens in te vullen en te verzenden

24

14-2-2010

SQL Injectie • SQL taal wordt gebruikt om webwinkels software met database te laten communiceren • Malafide gebruikers kunnen stiekem SQL taal invoeren op sites van webwinkels waardoor zij gegevens kunnen opvragen en wijzigen • Creditkaart gegevens worden zo gestolen of er wordt gratis gewinkeld

25

14-2-2010

Sql Injectie: Kaspersky

Gegevens stelen door gewoon te vragen • Te gek voor woorden? Neen

Quote Website gratisfietslicht.nl Voordat je verder gaat, vragen wij je nu om je vrienden op de hoogte te stellen van deze site door ze een tip te versturen (dit gaat automatisch en duurt hooguit 15 sec). Voor dit onderdeel moet je ingelogd zijn bij Windows Live. Als je dat nog niet bent wordt er gevraagd om in te loggen! Log mij safe in via Windows Live Verbinding

26

14-2-2010


Betalingsverkeer misbruiken • • • •

Nigerian Scam Credit card fraude Fraude met de automatische incasso De money mule

27

14-2-2010

Nigeriaanse oplichters

Vooruitbetalingsfraude: E-mail scam, nigerian fraud, 419 fraud Van: DR LAMIDO SANUSI [mailto:[email protected]] Verzonden: zondag 6 september 2009 5:49 Onderwerp: YOUR IMMEDIATE RESPOND IS URGENTLY NEEDED.

YOUR IMMEDIATE RESPOND IS URGENTLY NEEDED. DR LAMIDO SANUSI (RTD) DELIVERY OF YOUR FUND FINACE MINISTER FEDERAL REPULIC OF NIGERIA. THIS IS TO NOTIFY YOU THAT AFTER WE MET TODAY WITH THE PRESIDENT, ACCOUNTANT GENERAL OF THE FEDERATION, OFFICE OF THE SENATE HOUSE, AND HOUSE OF REPRESENTATIVES WE CAME TO A CONCLUSION THAT WE HAVE TO PAY YOU THE SUM OF $12.5M AS YOUR CONTRACT ENTITLEMENT. THE PAYMENT WILL COME TO YOU VIA DIPLOMATIC COURIER SERVICE, THEREFORE YOU ARE TO REC-CONFIRM THE FOLLOWING; ( 1) FULL NAME (2) ADDRESS (3) PHONE NO# (4) BANK ACCOUNT BEST REGARDS, DR LAMIDO SANUSI (RTD) FINACE MINISTER FEDERAL REPULIC OF NIGERIA. call me at +234-808-669-2215

28

14-2-2010

Vooruitbetalingsfraude: E-mail scam, nigerian fraud, 419 fraud Deel 1 • Brief (sms, telefoon, e-mail etc.) • Grote hoeveelheid op bevroren rekening • Kan wel naar buitenlandse rekening • Jouw rekening! Mag je 40% houden. • Eerst je bankgegevens sturen. – Of je creditcard gegevens

• Dan sturen ze een fake cheque

29

14-2-2010

Fake deposit cheque

Vooruitbetalingsfraude: E-mail scam, nigerian fraud, 419 fraud Deel 2 • Met de bankgegevens wordt je bankrekening geplunderd of • Je moet wat onkosten vooruit betalen, als je die betaalt zie je er nooit meer iets van terug of • Als je voorzichtig meewerkt wordt je onder druk gezet, tot fysieke intimidatie aan toe of • Als je naar Nigeria reist voor overleg leidt dat tot beroving, afpersing en ontvoering.

30

14-2-2010

Vooruitbetalingsfraude: E-mail scam, nigerian fraud, 419 fraud • Nieuwe ontwikkeling – Caller ID Theft/Spoof • Vervalsen telefoonnummer zodat je gebeld wordt door een lokaal nummer, maar in werkelijkheid uit Nigeria (met gehackte telefoon)

– Doventelefoon • Gebeld worden door tussenkomst van de doventelefoon, zodat je niet kan horen dat iemand met een buitenlands accent je belt.

– SMS sturen namens KPN, Telfort etc. met de mededeling dat er een prijs op je wacht. – Hacken van je VOIP centrale op het internet • Van daaruit betaal-nummers 0900 laten bellen

Credit card fraude

31

14-2-2010

Soorten kaart fraude • Friendly: Goederen besteld via internet en dan melden: – Goederen niet ontvangen – Goederen niet overeenkomstig bestelling – Kosten voor webwinkelier

• Internal – Medewerker verduisterd creditkaartnummers en verkoopt deze op internet: skimming

• External – Bestellingen via Internet met valse of gestolen kaartnummers

32

14-2-2010

Identity theft •Application fraud

• gestolen documenten gebruiken of documenten vervalsen •Account takeover • Informatie over slachtoffer vergaren, dan creditkaartmaatschappij benaderen en adres wijzigen. Dan de kaart als gestolen opgeven en een nieuwe aanvragen

Fraude met automatische incasso • Fraude met automatische incasso – Bij veel internetshops kun je per automatische incasso te betalen. En daar kun je straffeloos het rekeningnummer van een ander invullen, waarna je keurig de artikelen ‘thuis’ gestuurd krijgt.

1 33

14-2-2010

Hoe komt het geld op de bankrekening van de criminelen: De ‘money-mule’

De advertentie

Hello. My name is Bark Jurison, I represent Jurison Bark Group company. We need representatives in Holland for full and part-time jobs (4 positions are available). We do not ask for any money, we are reputable company operating in Latvia and Sweden. You will get: - 5000 EUR guaranteed monthly income for full-time job - 3500 EUR guaranteed monthly income for part-time job - Comprehensive medical and life insurance for you and your dependents. You - will be receiving the Jurison Bark Group. Medicine card and all the paperwork in 2 weeks after successfully completing your probation period. - Travel charges returned GENERAL REQUIREMENTS: You have to be honest, loyal, responsible and hard-working. You have to comply with all reasonable and lawful instructions provided to you by our company. You are required minimal 5-7 hours during the week for communication. Residential address to receive correspondence (if any). Computer w/internet connection. Please, reply to [email protected] if you are interested and I will send you job details. Thanks Bark Jurison Jurison Bark Group

34

14-2-2010

Stap 1:

Fraudeur zoekt per website/e-mail/chat/krant een financieel manager, ervaring niet noodzakelijk

Stap 2

Fraudeur neemt slachtoffer in dienst van fake bedrijf, soms met mooi contract.

35

14-2-2010

Stap 3

De money mule ontvangt geld op zijn rekening. Dit is afkomstig van frauduleuze praktijken

Stap 4

Money mule maakt dan geldt over via Western Union naar buitenlandse rekening minus kleine commissie

36

14-2-2010

Resultaat

•De telegrafische overschrijving is verder niet traceerbaar. •Alleen de money mule is traceerbaar en wordt altijd gepakt. •Een money mule is strafbaar en meestal wordt zijn bankrekening eerst bevroren en daarna opgeheven.


37

14-2-2010

Wat kun je er, als gebruiker, aan doen? • Computer beveiligen: anti-virus, firewall • Eerst domein registreren dan naar de KvK • Webwinkel laten ontwikkelen door professional • Nadenken bij het surfen. Niet zomaar gegevens intikken eerst checken • http://www.3xkloppen.nl/ • Bij creditcardbetalingen additionele gegevens vragen • Alleen automatische incasso bij vertrouwde klanten • If it looks too good to be true it probably is! 86

38

14-2-2010

Wat zou de TU moeten doen Meeste problemen ontstaan uit: • Ontwerpfouten – Design of Secure Systems

• Programmeerblunders, te veel vertrouwen in onderliggende technologie – Building reliable, fail safe software

• Cowboy gedrag – Kwaliteit moet ook uit het proces komen – Cultuur van ‘leren en verbeteren’

• OTAP en Q tijdens de lifecycle!

Vragen?

• [email protected] • www.ois-nl.eu

39

Hoe besteel je de MKB er via het Internet

Recommend Documents