• Onderzoek

Onderzoekers TU/e vinden enorme zwarte markt in online ‘fingerprints’

Beveiliging op het internet is een eindeloos kat-en-muisspel. Terwijl beveiligingsspecialisten voortdurend nieuwe manieren bedenken om onze digitale gegevens te beschermen, verzinnen cybercriminelen nieuwe sluwe manieren om die verdediging te omzeilen. Onderzoekers van de TU/e hebben nu bewijs gevonden van een geavanceerde Russische online marktplaats die honderdduizenden zeer gedetailleerde gebruikersprofielen verhandelt. Deze 'fingerprints' stellen criminelen in staat om ultramoderne authenticatiesystemen te omzeilen, waardoor ze toegang krijgen tot waardevolle gebruikersinformatie, zoals creditcardgegevens.

door
afbeelding Sapann Design / Shutterstock

De online economie vertrouwt op gebruikersnamen en wachtwoorden om te checken dat degene die spullen koopt of geld overmaakt op het internet, echt de persoon is die hij zegt te zijn. Deze beperkte manier van authenticatie is verre van veilig, omdat mensen de neiging hebben hun wachtwoorden te hergebruiken voor verschillende diensten en websites. Dit heeft geleid tot een massale en zeer winstgevende illegale handel in gebruikersgegevens: volgens een schatting uit 2017 worden er elk jaar zo'n 1,9 miljard gestolen identiteiten via ondergrondse websites verkocht.

Banken en andere digitale diensten hebben daarom complexere authenticatiesystemen bedacht, die niet alleen afhankelijk zijn van iets wat de gebruikers weten (hun wachtwoord), maar ook van iets wat ze hebben (bijvoorbeeld een code). Dit systeem staat bekend staat als tweestaps-verificatie en beperkt de kans op cybercriminaliteit flink, maar heeft ook nadelen. Omdat het een extra stap toevoegt, hebben veel mensen geen zin om zich ervoor te ervoor aan te melden, waardoor slechts een minderheid van de mensen er gebruik van maakt.

Fingerprints als eerste check

Om deze reden is de afgelopen jaren een alternatief authenticatiesysteem populair geworden bij bedrijven als Amazon, Facebook, Google en PayPal. Dit systeem, dat bekend staat als Risk-based Authentication (RBA), kijkt naar zogenoemde fingerprints om iemands identiteit te controleren. Fingerprints omvatten technische basisinformatie, zoals het type browser of besturingssysteem, maar ook gedragskenmerken, zoals muisbewegingen, de locatie en de snelheid van de toetsaanslag.

Als de fingerprint overeenkomt met wat - op basis van eerder gedrag - van een gebruiker wordt verwacht, mag die direct inloggen met alleen zijn gebruikersnaam en wachtwoord. Zo niet, dan is aanvullende authenticatie door middel van een token vereist.

Luca Allodi. Foto | Bart van Overbeeke
Michele Campobasso. Foto | TU/e

Natuurlijk hebben cybercriminelen snel manieren bedacht om ook RBA te omzeilen, door gebruikersprofielen aan te bieden met fingerprints. Tot dusver lukt het hen echter niet goed om hiervan een winstgevende business te maken. Gebruikersprofielen veranderen nogal snel en zijn afhankelijk van de dienst die je gebruikt. Bovendien is vaak een extra phishingaanval nodig om te verzamelen.

Impersonation-as-a-Service

Onderzoekers van de TU/e hebben nu bewijs gevonden van een grootschalige en zeer geavanceerde markt die hiervoor een oplossing heeft gevonden. De in Rusland gevestigde website biedt meer dan 260.000 zeer gedetailleerde fingerprints, samen met andere gebruikersreferenties, zoals e-mailadressen en wachtwoorden. "Het unieke aan deze ondergrondse website is niet alleen de schaal, maar ook het feit dat alle profielen voortdurend worden geüpdatet, waardoor ze hun waarde behouden", zegt Luca Allodi, onderzoeker bij de groep Security van de TU/e-faculteit Mathematics and Computer Science, die samen met promovendus Michele Campobasso verantwoordelijk was voor het onderzoek.

"Bovendien kunnen klanten de database doorzoeken, zodat ze precies de internetgebruiker kunnen vinden die ze willen benaderen. Zo worden heel gevaarlijke spearphishing-aanvallen mogelijk. Ook kunnen ze software downloaden die de aangekochte gebruikersprofielen automatisch laadt wanneer ze willen inloggen op de beoogde websites".

Om het systematische karakter van de website te benadrukken, hebben Allodi en Campobasso de term 'Impersonation-as-a-service' (IMPaaS) bedacht, in navolging van bekende clouddiensten als SaaS (software-as-a-service) en IaaS (infrastructure-as-a-service). "Voor zover we weten, is dit de grootste en meest geavanceerde criminele marktplaats die dit soort diensten systematisch aanbiedt."

Beeld | TU/e (klik voor een vergroting)

Het onderzoek naar de markt ging niet zonder slag of stoot. Om toegang te krijgen tot de lijsten met beschikbare gebruikersprofielen, moesten de onderzoekers speciale uitnodigingscodes zien te bemachtigen, die door bestaande gebruikers worden uitgedeeld. Het verzamelen van de gegevens uit de database was ook lastig, omdat de exploitanten actief toezicht houden op 'malafide' accounts. Ook hebben de onderzoekers besloten de echte naam van de website geheim te houden, uit angst voor mogelijke vergeldingsacties.

Prijs

De prijs van een 'virtuele identiteit' op de website varieert van 1 tot ongeveer 100 dollar. Toegang tot cryptocurrency-profielen en webmoney-platforms lijken het meest waard te zijn. "Alleen al de aanwezigheid van tenminste één crypto-gerelateerd profiel verdubbelt bijna de gemiddelde profielwaarde", zegt Allodi.

Een andere belangrijke factor die de prijs opdrijft, is de welvaart van het land waar de gebruiker zich bevindt. "Dit is logisch: aanvallers die gebruikersprofielen te gelde willen maken, kennen een grotere waarde toe aan profielen die waarschijnlijk grotere financiële voordelen opleveren, en die zijn vooral te vinden in ontwikkelde landen", aldus Campobasso. Ook duur zijn gebruikersprofielen die toegang geven tot meer dan één dienst en profielen met 'echte' fingerprints, in tegenstelling tot de door het platform 'gesynthetiseerde' fingerprints.

Gebruik van de profielen

In hun paper beschrijven de onderzoekers ook een paar voorbeelden van hoe criminelen deze profielen te gelde maken. Ze vonden deze voorbeelden op een geheim Telegram-kanaal dat door platformklanten wordt gebruikt. In een van de gemelde aanvallen beschrijft een aanvaller hoe hij in het e-mailaccount van een slachtoffer speciale filters instelt, zodat meldingen van Amazon van aankopen die de aanvaller heeft gedaan met behulp van het Amazon-account van het slachtoffer, worden verborgen.

Allodi and Campobasso presenteren hun onderzoek tijdens de virtuele ACM CCS-veiligheidsconferentie, die van 9 tot 13 november plaatsvindt. Het paper valt nu al te lezen op de site van Arxiv.

Deel dit artikel