Loading

VEILIG DIGITAAL MAGAZINE JUNI 2020

INHOUD:

  • Phishingsites gemiddeld 25 uur online
  • Cyberaanvallen stelen data via de vibraties van koelventilatoren
  • Cybercriminelen gebruiken steeds vaker officiële reCAPTCHA muren voor phishing-aanvallen
  • De beste virusscan-apps voor Android
  • Voorjaarsschoonmaak: zo ruim je apps en bestanden op
  • Apple is het meest gebruikte merk bij phishing-pogingen
  • Nederland in top 10 van landen met meeste corona scam websites
  • Minister Grapperhaus: betaal geen cybercriminelen
  • Cruciale systemen infrastructuur niet goed beveiligd
  • Veilig surfen? Firefox krijgt nieuwe functie voor inloggen met anoniem mailadres
  • LockBit, de nieuwe ransomware
  • Cybercrime als supermarkt koopje
  • Google Tune filtert ongewenste inhoud uit social media
  • Privacy TikTok-gebruikers onderzocht
  • Optionele Windows-updates stopgezet door Microsoft
  • Locatie botnetservers verborgen in omschrijving van YouTube-kanalen
  • Overheid vraagt vaker om gebruikersgegevens Facebook
  • Politie voerde meer reguliere cybercrime-onderzoeken uit in 2019
  • Min. Grapperhaus onderzoekt mogelijkheid om toegang tot WhatsApp-berichten te krijgen

Phishingsites gemiddeld 25 uur online

De levensduur van een malafide website steeg het afgelopen jaar naar 25 uur. In 2018 duurde het 18 voordat een phishingsite of website met malware offline werd gehaald.

Dit heeft alles te maken met de toevoeging van nieuwe categorieën phishingsites en malware. Dat schrijft Stichting Internet Domeinregistratie Nederland (SIDN) in haar jaarverslag.

De SIDN is verantwoordelijk voor de registratie, onderhoud en veiligheid van .nl-domeinnamen. Volgens de stichting is het top-level domain (TLD) .nl “van groot maatschappelijk en economisch belang” voor Nederland. Dat is ook niet vreemd: een website met .nl in de domeinnaam wekt vertrouwen voor Nederlandse consumenten. Dit stimuleert de online verkoop, en daarmee onze economie. Niet voor niets investeert SIDN in de kwaliteit en veiligheid van .nl-domeinnamen. Om die reden is .nl al jaren een van de grootste, veiligste en meest betrouwbare landendomeinen ter wereld.

Het afgelopen jaar deden SIDN en partners hun uiterste best om de levensduur van phishingsites en websites die malware promoten te verkorten.

Phishing en malware

Om de kwaliteit van de .nl-domeinnaam te verbeteren, lanceerde SIDN de website abuse204.nl. Daarmee gaat de stichting samen met registrars en hostingproviders de strijd met .nl-websites die phishing en malware promoten. Phishing is een vorm van internetoplichting waarbij slachtoffers, vaak zonder dat ze er erg in hebben, cybercriminelen toegang geven tot hun persoonlijke informatie. Slachtoffers ontvangen dan een bericht via e-mail, sms of WhatsApp met het verzoek om via een link snel een bedrag over te maken. Wat ze niet weten is dat er een oplichter achter deze link schuilgaat die privégegevens of geld probeert buit te maken.

Het afgelopen jaar deden SIDN en partners hun uiterste best om de levensduur van phishingsites en websites die malware promoten te verkorten. Daar slaagden de partijen jammer genoeg niet in. “Door de toevoeging van nieuwe categorieën phishingsites en malware eind 2018, steeg de gemiddelde levensduur van 18 naar 25 uur”, zo staat te lezen in het jaarverslag. SIDN benadrukt dat dit voor de start van abuse204.nl de levensduur van malafide sites nog op 144 uur lag. In de maanden juni en juli was er een kortstondige piek. Toen waren er een aantal gevallen waarin SIDN het ‘disproportioneel’ vond om de websites direct offline te halen door ze te ontkoppelen van de nameservers. Daardoor bleven deze sites langer in de lucht.

Onlangs berichtte VPNgids.nl exclusief dat Nederland meer dan 1.400 corona scam sites telt. Dat klinkt als een groot aantal, maar valt in het niet als je dit vergelijkt met de Verenigde Staten. Bijna de helft van de wereldwijd onderzochte corona-gerelateerde websites wordt gehost vanuit de VS.

Cyberaanvallen stelen data via de vibraties van koelventilatoren

Israëlische onderzoekers ontdekten een nieuwe manier waarop hackers gevoelige gegevens van een goed beveiligde computer konden stelen: door gebruik te maken van de trillingen van een koelsysteemventilator.

Hoofd cybersecurity-onderzoeker Mordechai Guri van de Ben-Gurion Universiteit van de Negev zei dat gegevens die door hackers zijn gecodeerd in ventilatortrillingen, kunnen worden overgebracht naar een smartphone in de buurt van de beoogde computer.

"We zien dat computers trillen met een frequentie die overeenkomt met de rotatiesnelheid van hun interne ventilatoren," zei Guri. Malware kan computertrillingen beheersen door de interne ventilatorsnelheden te manipuleren, legde hij uit. 'Deze onhoorbare trillingen beïnvloeden de hele structuur waarop de computer is geplaatst.'

De heimelijk overgedragen trillingen kunnen worden opgevangen door een smartphone.

De heimelijk overgedragen trillingen kunnen worden opgevangen door een smartphone die op hetzelfde oppervlak als de computer rust. Omdat acceleratiemetersensoren in smartphones niet beveiligd zijn, zijn ze 'toegankelijk voor elke app zonder toestemming van de gebruiker, wat deze aanval zeer ontwijkend maakt', zei hij.

Guri demonstreerde het proces, genaamd AiR-ViBeR, met een computer met luchtopeningen. Air-gapped computersystemen zijn als veiligheidsmaatregel geïsoleerd van onbeveiligde netwerken en het internet.

Het onderzoeksteam zei dat drie maatregelen zouden helpen om een ​​computersysteem tegen een dergelijke aanval te beveiligen. Een daarvan zou zijn om de CPU continu op maximale stroomverbruiksmodus te laten draaien, waardoor hij het verbruik niet zou kunnen aanpassen. Een andere mogelijkheid is om ventilatorsnelheden voor zowel CPU als GPU in te stellen op één vaste snelheid. De derde oplossing zou zijn om CPU's te beperken tot één kloksnelheid.

Cybercriminelen gebruiken steeds vaker officiële reCAPTCHA muren voor phishing-aanvallen

Nieuw onderzoek van Barracuda Networks heeft aangetoond dat cybercriminelen steeds meer gebruik maken van officiële reCAPTCHA muren om malware te verhullen om nietsvermoedende gebruikers te misleiden.

reCAPTCHA muren worden meestal gebruikt om menselijke gebruikers te verifiëren voordat toegang tot web-inhoud wordt verleend.

Cybercriminelen beginnen deze reCaptcha service, welke eigendom is van Google, te gebruiken om geautomatiseerd URL onderzoek te dwarsbomen. URL onderzoek dient om de eigenlijke content van een website te onderzoeken. Door dit te dwarsbomen kan een phishing website niet benaderd en onderzocht worden. Hierdoor kan de inhoud niet beoordeeld worden. Ook wordt de phishing websitesite door de aanwezigheid van reCaptcha geloofwaardiger voor de bezoeker.

Tijdens een een enkele phishing-campagne werden 128.000 emails verzonden naar een verscheidenheid van organisaties en werknemers. Met behulp van reCAPTCHA muren werd getracht om nep Microsoft log-in pagina's te verbergen.

Steve Peake, Uk systems engineer manager bij Barracuda Networks, legt uit dat gebruikers op dit moment bijzonder gevoelig zijn voor phishing-aanvallen als gevolg van massaal werken op afstand en de grote aantallen COVID-19 gerelateerde oplichting pogingen. "In deze moeilijke tijd, het is geen verrassing om te zien dat cyber-criminelen op zoek zijn naar steeds geavanceerdere methoden voor het stelen van inloggegevens en gegevens van nietsvermoedende, externe werknemers."

De beste virusscan-apps voor Android

Het onafhankelijke virustest instituut AV-test heeft weer een Androidtest voor privégebruikers bekend gemaakt.

Deze keer zijn een 16-tal apps met elkaar vergeleken. 8 van hen haalden een 100% score. Opvallend was de lage score van Google Play Protect.

Onderstaande 6 behaalden de hoogste score, te weten 100%.
  1. AhnLab V3 Mobile Security 3.1
  2. Antiy Labs AVL 2.7
  3. Avira Antivirus Security 6.3
  4. Bitdefender Mobile Security 3.3
  5. GData Mobile Security 26.6
  6. NortonLifeLock Norton 360 4.8

Is Windows 10 Defender goed genoeg

Voorjaarsschoonmaak: zo ruim je apps en bestanden op

Nu we toch thuis zitten, is dit een goed moment om je smartphone, tablet of computer eens grondig op te ruimen. In deze video zie je hoe je snel overbodige apps en bestanden kan verwijderen.

Apple is het meest gebruikte merk bij phishing-pogingen

Check Point Software Technologies heeft zijn nieuwste Brand Phishing-rapport (Q1 2020) gepubliceerd.

Daarin stellen de onderzoekers van Check Point Research, de Threat Intelligence-tak van Check Point, onder meer een top tien op van merken die het meest werden misbruikt door cybercriminelen om persoonlijke of betalingsgegevens te stelen. Tijdens het eerste kwartaal van dit jaar was Apple het merk waar cybercriminelen zich het meest op richtten.

Apple bekleedt in het eerste kwartaal van 2020 de weinig benijdenswaardige eerste plaats.

Bij een brand phishing-aanval proberen criminelen de officiële website van een bekend merk na te bootsen. Ze gebruiken hiervoor vaak een vergelijkbare domeinnaam of URL - soms met slechts één letter of teken verschil - en het ontwerp van de website is identiek aan de echte site. De link naar de nepwebsite sturen de hackers via e-mail of sms gericht naar bepaalde personen. Of men wordt tijdens het surfen omgeleid - al dan niet via een advertentie. De link duikt ook op in frauduleuze mobiele apps. De nepwebsite bevat vaak een formulier dat bedoeld is om de gegevens van gebruikers, betalingsgegevens of andere persoonlijke informatie te stelen.

Top 10 van phishing-merken

Apple bekleedt in het eerste kwartaal van 2020 de weinig benijdenswaardige eerste plaats van merken waar cybercriminelen zich wereldwijd het meest op richtten. Apple steeg hiermee van de zevende plaats in Q4 2019 naar de top van de ranglijst. 10% van alle pogingen tot phishing had betrekking op de technologiegigant. In het vierde kwartaal van 2019 was dat nog maar 2%. Netflix neemt de tweede plaats in met 9% van alle phishingpogingen. Als mogelijke oorzaak zien de onderzoekers de toename van het aantal mensen dat de streamingdienst gebruikt tijdens de coronaviruspandemie.

“Het is verder opvallend dat de top tien volledig bestaat uit technologiebedrijven, financiële instellingen en media. Dit wordt in de hand gewerkt door de coronaviruspandemie en de daarmee gepaard gaande quarantaine. Mensen die thuiswerken worstelen met technologie die op afstand werkt. Mensen vrezen voor veranderingen in hun financiën, en door thuis te zitten maken ze veel meer gebruik van home entertainment zoals streamingdiensten”, aldus de onderzoekers van Check Point.

Dit is de volledige top tien:Apple (10%)

  1. Apple (10%)
  2. Netflix (9%)
  3. Yahoo (6%)
  4. WhatsApp (6%)
  5. PayPal (5%)
  6. Chase (5%)
  7. Facebook (3%)
  8. Microsoft (3%)
  9. eBay (3%)
  10. Amazon (1%)

Grote phishing-verschillen per platform

Check Point onderzocht ook de verschillen per platform. Web-phishing was met 59% het meest prominent aanwezig, gevolgd door mobile phishing als tweede meest aangevallen platform. De onderzoekers wijten dit aan het feit dat mensen meer tijd doorbrengen op hun smartphones tijdens de coronaviruspandemie, iets waar cybercriminelen duidelijk van profiteren.

Nederland in top 10 van landen met meeste corona scam websites

Wereldwijd proberen cybercriminelen een slaatje te slaan uit de coronacrisis. Zij registreren op grote schaal allerlei domeinnamen met corona-gerelateerde termen.

Deze sites verspreiden leugens, malware en faciliteren cybercriminaliteit en oplichting. Nederland staat in de top 10 van landen waar de meeste geregistreerde, corona-gerelateerde malafide domeinnamen vandaan komen. In totaal gaat het om ruim 1.400 domeinnamen.

Nederland staat in de top 10 van landen waar de meeste malafide sites staan geregistreerd; ruim 1400.

Een consortium van cybersecurity onderzoekers heeft tienduizenden domeinen wereldwijd geanalyseerd, op zoek naar scamsites gelinkt aan corona. Hierbij werd gekeken naar domeinregistraties waarbij termen als ‘covid’, ‘corona’, ‘virus’, ‘vaccine’ en ‘cure’ in de domeinnaam verwerkt waren.

Malware

Uit cijfers van VirusTotal blijkt dat cybercriminelen op grote schaal onbetrouwbare websites lanceren die iets met corona te maken hebben. Bezoekers die naar zo’n site surfen en hopen hier informatie te vinden omtrent het coronavirus, komen veelal bedrogen uit. Via dergelijke sites wordt onder meer nepnieuws verspreid, maar er worden ook mensen opgelicht. Denk aan de verkoop van mondkapjes, medicijnen en andere voorzieningen die nooit geleverd worden. Ook bevatten sommige sites malware, waarmee hackers toegang trachten te krijgen tot gevoelige persoons- of betaalgegevens.

Verenigde Staten zijn koploper corona-nepsites

Op het moment van schrijven heeft VirusTotal iets meer dan 80.000 domeinen die inspelen op de coronacrisis, als ‘malicious’ aangemerkt. Als we kijken naar de landen waar de eigenaren deze sites hebben geregistreerd, dan komt ons land er niet al te positief uit. Nederland staat namelijk in de top 10 van landen waar de meeste malafide sites staan geregistreerd. Het gaat in totaal om 1.433 websites, al verandert dit aantal met de dag. Er worden dagelijks nieuwe scamsites gelanceerd, maar ook domeinen uit de lucht gehaald.

Meer dan de helft van de malafide sites staan geregistreerd in de Verenigde Staten. Daarna volgen Duitsland, Canada, het Verenigd Koninkrijk en Rusland, met respectievelijk 5.813, 2.512, 2.055 en 1.452 malafide coronasites.

Onderzoeksmethode

De onderzoekers doorzochten de database van WHOIS op 5 zogeheten ‘text strings’: ‘covid’, ‘corona’, ‘virus’, ‘vaccine’ en ‘cure’. Daarvoor gingen ze terug naar het moment dat de pandemie uitbrak. Welke datum de internet security experts daarvoor hanteren, is onduidelijk, maar ze gaan in ieder geval terug tot begin januari. De database van WHOIS vermeldt zowel topleveldomeinnamen (TLD) als landdomeinnamen (ccTLD). De desbetreffende domeinen zijn door VirusTotal onderzocht aan de hand van zo’n 70 verschillende virusscanners en URL/domain blacklisting services.

Bij elk signaal van mogelijke malware of malafide praktijken wordt een site gekenmerkt als ‘malicious’. Het kan hier zowel gaan om websites die gevaarlijke malware herbergen of mensen oplichten, maar ook om sites die hun SSL-certificaat niet op orde hebben en waar een discutabele of onbetrouwbaar ogende partij achter zit. Sommige sites zijn nog niet eens in de lucht (503 error) maar worden toch aangemerkt als ‘malicious’ omdat er een partij achter de domeinregistratie zit die volgens URL/domain blacklisting tools onbetrouwbaar is. De kans is dus groot dat op die domeinen binnenkort malafide websites herrijzen.

Minister Grapperhaus: betaal geen cybercriminelen

Bedrijven kiezen er vaak voor criminelen te betalen na een aanval met ransomware, omdat dit minder geld kost dan herstel van de systemen.

Verzekeraars vinden dit ook en vergoeden daarom het ‘losgeld’. Minister Grapperhaus van Justitie & Veiligheid vindt dit een kwalijke ontwikkeling.

Het Verbond van Verzekeraars heeft de minister beloofd om over de kwestie met de leden in gesprek te gaan.

In een brief aan de Tweede Kamer laat minister Grapperhaus weten dat hij verzekeraars heeft opgeroepen om geen losgeld meer te vergoeden aan cliënten die getroffen zijn door ransomware. Nu blijken zij dat wel te doen, omdat de schade dan lager uitvalt dan wanneer de getroffen computersystemen hersteld moeten worden. De Universiteit van Maastricht maakte om die reden begin dit jaar zo’n 200.000 euro over aan de criminelen die niet alleen de computersystemen, maar ook de back-ups hadden versleuteld.

Steeds meer verzekeraars bieden een zogenoemde cyberpolis aan. Deze zijn bedoeld om de schade door incidenten te vergoeden, maar een onderzoek door nu.nl leerde dat ook betaald losgeld wordt vergoed. Zo komt het verzekeringsgeld terecht bij criminelen, die daarmee als het ware beloond worden voor hun manier van werken. Volgens Grapperhaus worden criminelen op deze manier gestimuleerd om nog vaker en harder toe te slaan. Daarmee komen nog veel meer organisaties in gevaar. De minister wil het vergoeden van losgeld niet verbieden, maar roept de verzekeraars wel op dat niet meer te doen. Liever ziet hij dat het geld gebruikt wordt om cliënten te helpen hun systemen beter te beveiligen. Het Verbond van Verzekeraars heeft de minister beloofd om over de kwestie met de leden in gesprek te gaan.

Cruciale systemen infrastructuur niet goed beveiligd

Belangrijke computersystemen in Nederland zijn niet goed genoeg beveiligd. De vitale infrastructuur is kwetsbaar voor bewuste aanvallen en voor "onopzettelijke uitval".

De beveiliging moet worden verbeterd en organisaties moeten daar hulp bij krijgen, stelt de Cyber Security Raad, een organisatie die de overheid adviseert over digitale veiligheid.

De onderzoekers willen dat de bedrijven en organisaties elkaar beter op de hoogte houden van dreigingen. Het komende kabinet zou een "meerjarenprogrammering" moeten invoeren, met voldoende geld.

Industriële systemen

De Cyber Security Raad waarschuwt voor de beveiliging van zogenoemde industriële automatiserings- en controlesystemen (IACS). Zulke systemen zorgen ervoor "dat onze sluizen en bruggen functioneren, energie en gas worden gedistribueerd, drinkwater wordt gereinigd, nucleair materiaal wordt verwerkt, treinen op bestemming komen, containers worden vervoerd en liften functioneren".

"Omdat IACS vaak indirect gekoppeld zijn aan het internet, kan een eventuele digitale aanval grote gevolgen hebben", aldus de Cyber Security Raad. "De huidige coronacrisis onderstreept de urgentie van cybersecurity; vitale diensten moeten kunnen blijven functioneren."

Veilig surfen? Firefox krijgt nieuwe functie voor inloggen met anoniem mailadres.

Mozilla werkt aan een add-on voor de internetbrowser van Firefox. Met deze dienst kunnen gebruikers willekeurige, anonieme e-mailadressen aanmaken om zich te registeren bij webdiensten. Zo komt veilig surfen weer een stapje dichterbij.

Private Relay maakt met één druk op de knop een online alias voor je aan.

Maak jij je zorgen dat hackers via een e-mail bij je kunnen inbreken? Mozilla wil mensen helpen veilig te surfen. Met ‘Private Relay’, een nieuwe functie voor Firefox, hoef je nooit meer je persoonlijke e-mailadres te delen.

Private Relay maakt met één druk op de knop een online alias voor je aan. De software genereert een random e-mailadres voor jou dat enkel werkt voor een bepaalde site. Daarna stuurt het alle e-mails automatisch door naar je echte e-mailadres. Het doel van Private Relay is om je gegevens te beschermen bij een hack.

‘Private Relay zorgt ervoor dat je persoonlijke e-mailadres niet kan worden achterhaald en vervolgens gekocht, verkocht, verhandeld of gecombineerd met andere gegevens om je persoonlijk te identificeren, te volgen en/of te targeten’, staat er te lezen op Github. De alias geeft je ook controle over de e-mails die je te zien krijgt. Als je bepaalde content niet meer wil ontvangen, kan je het valse adres uitschakelen of gewoon verwijderen.

Beschikbaarheid

Private Relay is verkrijgbaar als add-on in Firefox, maar zit momenteel nog in de experimentele fase. De bèta die online staat is invite-only en is dus niet beschikbaar voor het brede publiek. Momenteel werkt Mozilla wel aan een wachtlijst op de website waarop je je kan registreren.

LockBit, de nieuwe ransomware

Je hebt waarschijnlijk nog nooit gehoord van LockBit, maar dat gaat veranderen.

Ransomware is naar voren gekomen als een van de top bedreigingen waarmee grote organisaties in de afgelopen jaren te kampen hebben gehad. Onderzoek toont aan dat ransomware detecties ten opzichte van een jaar geleden zijn verviervoudigd.

Onderzoek leerde verder dat LockBit aanvallers begonnen met het onderzoeken van potentiële doelwitten met waardevolle gegevens en die de middelen hadden om grote uitbetalingen te doen wanneer ze geconfronteerd werden met het perspectief om de toegang ertoe te verliezen. De aanvallers gebruikten vervolgens een woordenlijst in de hoop toegang te krijgen tot een van de accounts. Uiteindelijk wonnen ze de jackpot: een administratief account dat vrij spel had over het hele netwerk. Het zwakke accountwachtwoord, gecombineerd met het ontbreken van multi-factor authenticatiebescherming, gaf de aanvallers alle systeemrechten die ze nodig hadden.

Veel LockBit-concurrenten zoals Ryuk vertrouwen op live menselijke hackers die, zodra ze ongeoorloofde toegang hebben verkregen, veel tijd besteden aan het onderzoeken en controleren van het netwerk van een doelwit en vervolgens de code vrijgeven die deze zal versleutelen. LockBit werkt anders.

LockBit: ransomware van de toekomst

"Het interessante van dit stuk ransomware is dat het volledig zichzelf verspreidt", zegt Patrick van Looy, cybersecurity-specialist bij Northwave, een van de bedrijven die op de infectie hebben gereageerd. 'Vandaar dat de aanvaller maar een paar uur in het netwerk zat. Normaal zien we dat een aanvaller dagen of zelfs weken in het netwerk zit en deze verkenning van het netwerk handmatig doet. ”

Na het binnenkomen gebruikte LockBit een dubbele methode om het slachtoffer netwerk in kaart te brengen en te infecteren. ARP-tabellen, die lokale IP-adressen toewijzen aan MAC-adressen van apparaten, hielpen bij het lokaliseren van toegankelijke systemen en het blokkeren van serverberichten, een protocol dat wordt gebruikt voor het delen van bestanden en mappen tussen netwerkmachines, zorgden ervoor dat de geïnfecteerde knooppunten verbinding konden maken met niet-geïnfecteerde knooppunten. LockBit zou dan een PowerShell-script uitvoeren dat de ransomware naar die machines verspreidde.

Het gebruik van SMB, ARP-tabellen en PowerShell is een steeds vaker voorkomende manier om malware over een netwerk te verspreiden. Omdat bijna alle netwerken op deze tools vertrouwen, is het voor antivirus- en andere netwerkverdedigingen moeilijk om kwaadaardig gebruik te detecteren. LockBit had een ander middel om heimelijk te blijven. Het schadelijke bestand dat door het PowerShell-script is gedownload, is vermomd als een PNG-afbeelding. In feite was het gedownloade bestand een uitvoerbaar programma dat de bestanden op de machine versleutelde.

LockBit had nog een slimme truc. Voordat de ransomware gegevens versleutelde, maakte deze verbinding met een door een aanvaller bestuurde server en gebruikte vervolgens het IP-adres van de machine om te bepalen waar deze zich bevond. Als het zich in Rusland of een ander land van het Gemenebest van Onafhankelijke Staten bevond, zou het proces worden afgebroken. De reden is waarschijnlijk om te vorkomen dat men in een van deze staten vervolgd ging worden.

LockBit wordt verkocht in ondergrondse handelsforums waar verkopers vaak een betaling moeten doen, die klanten kunnen terugkrijgen in het geval de waar niet doet wat men heeft beloofd.

Cybercrime als supermarkt koopje

Mocht je nog denken dat georganiseerde misdaadsyndicaten met meester-hackers aan de orde van de dag zijn op het gebied van cybercriminaliteit, dat is dus niet zo.

Ongetwijfeld zijn meerdere misdaadorganisaties bij van alles betrokken zoals phishing, hacking en afpersing. De dagelijkse realiteit een stuk alledaagser. Nieuw onderzoek, dat recent is gepubliceerd, onthult de echte reden waarom er zoveel cybercriminaliteit is: het vinden, kopen en implementeren van malware, ransomware en meer, is nog nooit zo eenvoudig of goedkoop geweest.

Darknet-forums zijn de online supermarkten van cybercriminaliteit geworden. Als in een supermarkt vind je criminele tools opstapelde tools en worden deze goedkoop verkocht. De lat voor toegang tot de cybercriminele club is nog nooit zo laag geweest. In feite kan iedereen meedoen; geavanceerde technische kennis is niet nodig, en diepe zakken ook niet. Deze darknet cybercrime-marktplaatsen bieden zelfs gratis updates en technische ondersteuning. Oh, en je kunt ze vinden met de eenvoudigste Google-zoekopdrachten.

Hoewel de onderzoekers ontdekten dat er tal van gratis malwaretools werden aangeboden, brengen deze het meeste risico met zich mee voor de gebruiker. Iedereen die serieus een professionele cybercrimineel wil worden, zal de freebies negeren. Het zorgwekkende is dat geavanceerde tools, compleet met gratis updates en technische ondersteuning, slechts $ 50 kosten en te vinden zijn op forums die vrij openlijk online werken. U hoeft geen programmeur te zijn om deze tools te gebruiken; het zijn echt kant-en-klare pakketten.

Een standaard modulaire malware-bot kan van jouw zijn voor $ 400

De onderzoekers van CyberNews ontdekten echter dat de "kwaliteit" van aanbiedingen van de gemakkelijkst te vinden, voor iedereen toegankelijke, marktplaatsen zeer ondergeschikt was aan die van producten die werden verhandeld op forums die alleen op uitnodiging waren. Deze laatste, meestal beheerd door ervaren Oost-Europese criminelen, is de plek waar de meest hoogwaardige malwaretools worden verkocht aan de meest serieuze criminelen.

De werkelijke kosten van cybercriminaliteit worden niet gemeten in hoeveel de daders voor hun gereedschap betalen, maar eerder in de ellende die wordt veroorzaakt aan slachtoffers, zowel grote als kleine, zakelijke en persoonlijke. De financiële kosten om een ​​cybercrime-speler te worden zijn echter deprimerend minimaal. Uit een onderzoek van CyberNews blijkt dat trojans voor het stelen van gegevens die wachtwoorden, creditcardgegevens en zelfs afbeeldingen van webcams kunnen bemachtigen, kunnen worden gekocht voor slechts $ 50, inclusief technische ondersteuning. Een standaard modulaire malware-bot kan van jouw zijn voor $ 400. Trojaanse paarden (RAT's) voor toegang op afstand die de volledige overname van een computer mogelijk maken zijn te koop vanaf $ 800 met ondersteuning.

Als het echter gaat om ransomware, bieden de meeste verkopers dit op basis van Cybercrime-as-a-Service (CaaS) aan, tegen een huurprijs. CyberNews-onderzoekers ontdekten dat het mogelijk was om ransomware-bouwpakketten te kopen die zijn ontworpen voor het aanvallen van grote bedrijven voor een maandelijkse vergoeding van $ 800 . De duurste items op het boodschappenlijstje voor cybercriminaliteit waren banktrojanen. Het type dat wordt vermomd als legitieme software, maar dat toegang heeft tot online bankrekeninggegevens, was te koop voor $ 5.000, inclusief technische ondersteuning.

Opsporingsintstanties hebben in het verleden succes geboekt bij het offline halen van darknet fora en markten. Er zijn er echter nog genoeg over.

Google Tune filtert ongewenste inhoud uit social media

Tune is een experimentele Chrome-extensie van Jigsaw waarmee mensen zelf kunnen bepalen hoeveel en welke ongewenste inhoud in reacties ze willen zien op internet.

Tune bouwt voort op dezelfde machine learning-modellen die Perspective (https://www.perspectiveapi.com) aandrijven, zodat mensen het 'volume' van gesprekken kunnen instellen op een aantal populaire platforms, waaronder YouTube, Facebook, Twitter, Reddit en Disqus .

De machine learning technologie welke Tune aandrijft, is experimenteel.

Met Tune kun je het volume van ongewenste opmerkingen verlagen tot "zen-modus" om opmerkingen volledig over te slaan, of hoger zetten om alles te zien; zelfs de gemene dingen. Je kunt ook het volume variabel instellen om het toxiciteitsniveau aan te passen (bijv. aanvallen, beledigingen, godslastering, enz.) naar het niveau wat jij bereid bent te zien in opmerkingen.

De machine learning technologie welke Tune aandrijft, is experimenteel. Het mist nog steeds enkele giftige opmerkingen en verbergt ten onrechte enkele niet-giftige opmerkingen. Er wordt voortdurend gewerkt aan het verbeteren van de onderliggende technologie en gebruikers kunnen eenvoudig rechtstreeks in de tool feedback geven om te helpen de algoritmen te verbeteren.

Tune is niet bedoeld als oplossing voor directe doelwitten van intimidatie (voor wie het zien van directe bedreigingen van vitaal belang kan zijn voor hun veiligheid), noch is Tune een oplossing voor alle toxiciteit. Het is eerder een experiment om mensen te laten zien hoe machine learning technologie nieuwe manieren kan creëren om mensen meer mogelijkheden te geven op hun eigen wijze online discussies te lezen. ook kan het handig hulpmiddel zijn in de strijd tegen cyberpesten.

Privacy TikTok-gebruikers onderzocht

De Autoriteit Persoonsgegevens start een onderzoek naar de socialemedia-app TikTok. De toezichthouder wil weten of de privacy van gebruikers wel goed gewaarborgd is.

TikTok is de eerste socialemedia-app uit China die is doorgebroken in het Westen. De app is met name onder kinderen en jongeren erg populair. Omdat zij in de privacywet worden gezien als een extra kwetsbare groep, wordt de app onder de loep genomen door de Autoriteit Persoonsgegevens.

In de Verenigde Staten klinkt al langer kritiek op de manier waarop TikTok omgaat met de privacy van gebruikers.

"We doen onderzoek naar de vraag of deze app privacyvriendelijk is ontworpen en ingericht. Daarnaast kijken we of de informatie die kinderen van TikTok krijgen bij het installeren en gebruiken van de app goed te begrijpen is en of er voldoende uitleg is over hoe TikTok hun persoonsgegevens verzamelt, verwerkt en verder gebruikt", zegt vicevoorzitter Monique Verdier van de toezichthouder. "Tot slot onderzoeken we of toestemming van ouders vereist is wanneer TikTok persoonsgegevens van kinderen verzamelt, opslaat en verder gebruikt"

Miljoenenboete

In de Verenigde Staten klinkt al langer kritiek op de manier waarop TikTok omgaat met de privacy van gebruikers. Begin vorig jaar troffen de makers een schikking met de Amerikaanse consumentenwaakhond FTC voor 5,7 miljoen dollar, omdat de app gegevens van kinderen zou hebben verzameld zonder toestemming te vragen van ouders. Het is de grootste boete die ooit in de VS is betaald in een kinderprivacyzaak.

De eerste resultaten van het onderzoek van de Autoriteit Persoonsgegevens worden waarschijnlijk later dit jaar bekend.

Microsoft stopt optionele Windows-updates

Microsoft zet vanaf mei alle optionele updates/zaken stop voor alle Windows-versies die Microsoft nog ondersteunt, dus inclusief Windows 10. Wat merk je daarvan?

Microsoft heeft aangegeven in de komende (corona-)tijd zich te focussen op de beveiliging van de door hun ondersteunde besturingssystemen, dus van Windows Server 8 tot en met Windows 10. Alle optionele zaken/updates worden stopgezet, tenzij zich problemen voordoen in werking of beveiliging.

Ga niet op zoek naar optionele updates (KB's).

Er zijn drie soorten updates: B, C en D (KB-updates). De belangrijkste is de B-update (beveiligingsupdate) die op Patch Tuesday verschijnt en ook gewoon zal doorgaan. Verder heb je dus de C- en D-updates die normaliter daarna in de derde (C) en vierde (D) week verschijnen. Deze worden vanaf mei voorlopig on hold gezet, maar het kan zomaar zijn dat er toch weer eentje moet vanwege de kritische status.

Normaal gesproken zul je hier geen hinder van ondervinden, want de beveiligingsupdates gaan door. Het zal dus nauwelijks of geen impact hebben op het dagelijks gebruik van Windows. Diverse gebruikers zijn bovendien juist opgelucht. Vaak losten cumulatieve updates het een en ander op, maar er ontstonden vaak direct weer nieuwe problemen.

Ga niet op zoek naar optionele updates (KB's). Laat alles gewoon normaal gebeuren. De KB’s die optioneel zijn hoef je dus ook niet te installeren, en dat voorkomt nogal wat problemen. Mensen die handmatig zoeken naar updates (de zogeheten seekers) en deze installeren, lopen dus een verhoogd risico op instabiliteit van het systeem. Wacht gewoon af, alles komt op Patch Tuesday automatisch.

De laatste grote update van Windows 10 voor Nederland en België is recentelijk in mei verschenen.

Locatie botnetservers verborgen in omschrijving van YouTube-kanalen

Cybercriminelen gebruiken de omschrijving van YouTube-kanalen om hun botnetservers te verbergen, zo hebben onderzoekers van Cisco ontdekt.

Een nieuwe variant van de Astaroth-malware gebruikt de omschrijving van bepaalde YouTube-kanalen om botnetservers te vinden waarmee besmette systemen worden aangestuurd. Dit moet detectie voorkomen, aldus de onderzoekers.

De aanval begint met een e-mail die bijvoorbeeld claimt dat de ontvanger nog een factuur moet betalen.

Astaroth is ontwikkeld om gegevens voor internetbankieren te stelen. De berichten bevatten een link naar een zip-bestand. Dit zip-bestand bevat weer een lnk-bestand. Wanneer de gebruiker het lnk-bestand opent wordt de Astaroth-malware op het systeem geïnstalleerd. Net als andere malware proberen de ontwikkelaars van Astaroth met besmette systemen te communiceren om die bijvoorbeeld van updates te voorzien. Hiervoor moeten de besmette systemen wel eerst de locatie van de botnetservers weten.

In het geval van Astaroth wordt hiervoor gebruikgemaakt van de omschrijving van YouTube-kanalen, wat een nieuwe methode is, aldus de onderzoekers van Cisco. De omschrijving van de YouTube-kanalen bevat een versleutelde en base64 gecodeerde lijst met domeinen waarmee de besmette computer verbinding moet maken. Volgens de onderzoekers proberen de criminelen op deze manier hun command en control-infrastructuur te verbergen. In het geval de communicatie met het YouTube-kanaal mislukt gebruikt de malware als back-up een hardcoded url die naar een botnetserver wijst.

Overheid vraagt vaker om gebruikersgegevens Facebook

Facebook kreeg in laatste zes maanden van 2019 vaker verzoeken om gebruikersgegevens in te zien dan het jaar ervoor. Dat blijkt uit de laatste editie van het transparantierapport van de techreus.

Volgens Facebook is het nog steeds zo dat ze elk verzoek zorgvuldig afwegen. Dit gebeurt zowel wat betreft hun eigen beleid als dat van de vragende partijen. Ook de juridische aspecten worden voor de techreus eerst bekeken voordat aan het verzoek gehoor wordt gegeven. Zo gaan ze niet in op vage en onvolledige verzoeken.

Overheden willen met het opvragen van de gebruikersgegevens vooral zware criminelen opsporen

Vorig jaar ging het om 793 verzoeken. In tachtig procent van de gevallen ging het netwerk akkoord en werd de informatie vrijgegeven. Het gaat daarbij vooral om namen,datum van aanmelding bij Facebook en of de betreffende gebruiker actief is en hoe lang. Soms gaat het ook om de afgifte van IP-adressen of inhoud van het account.

Opvallend is dat zeker 100 van de in totaal 793 verzoeken zogeheten noodverzoeken betrof. Hierbij vindt dan geen wettelijke procedure vooraf plaats. Dat gebeurt in gevallen dat er sprake is, of dreigt te zijn van bijvoorbeeld fysiek gevaar. De rest van de overheidsverzoeken ging wel via de reguliere procedure. In dat geval moet de vragende overheid eerst een bevelschrift krijgen en indienen om de data te kunnen krijgen.

Sinds 2017 steeg het aantal opgevraagde gegevens gestaag. Zo dienden de autoriteiten in de eerste helft van 2017 804 verzoeken in om data bij Facebook. Tot in de tweede helft van het jaar erop daalde dit tot 513. Daarna ging het aantal verzoeken weer stijgen.

Overheden willen met het opvragen van de gebruikersgegevens vooral zware criminelen opsporen, zo blijkt uit het rapport. Een groot deel van de informatie is dan ook bedoeld om te gebruiken in allerlei strafzaken.

Politie voerde meer reguliere cybercrime-onderzoeken uit in 2019

De politie heeft vorig jaar veel meer reguliere cybercrime-onderzoeken uitgevoerd dan als doel was gesteld.

Dat blijkt uit de jaarverslagen van de politie en het ministerie van Justitie en Veiligheid. Het doel was 310 reguliere onderzoeken naar cybercrime. Dat werden er 381. Het gaat hierbij om onderzoeken op regionaal niveau. In 2018 ging het nog om 299 gerealiseerde onderzoeken, terwijl het doel 310 onderzoeken was.

Het gaat dan bijvoorbeeld om de brede bestrijding van ransomware en helpdeskfraude.

Het ministerie van Justitie en Veiligheid spreekt dan ook over een goed resultaat (pdf). Daarnaast wordt opgemerkt dat de politie binnen de regionale eenheden nu meer capaciteit heeft voor de aanpak van cybercrime. Op dit moment is er geen sprake meer van onderbezetting van forensisch en digitaal specialisten. "Naast opsporing is ook ingezet is op alternatieve interventies, zoals preventie en verstoring om een zo groot mogelijk maatschappelijk effect te bereiken", aldus de politie (pdf).

Verder werden vorig jaar 21 fenomeenonderzoeken tactisch afgerond en bevinden zich 35 fenomeenonderzoeken in de tactische fase. Het doel was om 41 van dergelijke onderzoeken te hebben afgerond. Fenomeenonderzoeken zijn onderzoeken die zich richten op het bestrijden van cybercriminele fenomenen en dadergroepen die de individuele politie-eenheden overstijgen. Het gaat dan bijvoorbeeld om de brede bestrijding van ransomware en helpdeskfraude. Fenomeenonderzoeken kunnen worden gevolgd door preventiemaatregelen, verstoring van de cybercriminele activiteiten of het waarschuwen van slachtoffers.

Tevens hadden er vorig jaar twintig "high tech crime" onderzoeken moeten zijn afgerond. Dat werden er negentien. Naast deze negentien onderzoeken heeft het Team High Tech Crime (THTC) van de politie ook bijstand geleverd bij een groot aantal onderzoeken waar er sprake van een "complex cybercomponent" was. Deze onderzoeken zijn echter niet in de uitgevoerde high tech crime-onderzoeken meegeteld. Een ander punt dat de politie noemt is dat de onderzoeken van het THTC steeds complexer worden.

Min. Grapperhaus onderzoekt mogelijkheid om toegang tot WhatsApp-berichten te krijgen

Minister Grapperhaus van Justitie en Veiligheid onderzoekt de mogelijkheden om toegang tot versleuteld bewijs, WhatsApp-berichten en andere "Over The Top" diensten te krijgen.

Hierbij wordt wel het kabinetsstandpunt over encryptie in acht genomen. Volgens de minister spelen erbij de aanpak van cybercrime verschillende dilemma's en knelpunten, zoals de relatie tussen opsporing en het behoud van het vrije karakter van het internet.

"Ook gebruiken meerdere OTT-diensten end-to-end versleuteling waardoor voor effectieve toegang tot deze versleutelde data de voortgang van de in relatie tot encryptie bovengenoemde inventarisatie van belang is", laat Grapperhaus weten.

De minister merkt op dat in discussies over internetcriminaliteit en de opsporing in het digitale domein sommige mensen vinden dat erop het internet fundamenteel andere uitgangspunten gelden dan in de fysieke wereld, bijvoorbeeld op het gebied van anonimiteit en privacy.

Eén dilemma dat de minister in zijn brief noemt gaat over anonimiteit en encryptie. "Naast andere, overigens steeds vernieuwende, mogelijkheden voor personen om hun identiteit te verhullen, maakt encryptie het voor politie en justitie feitelijk moeilijk zicht te hebben op gegevens met betrekking tot strafbare feiten en om de herkomst van gegevens te herleiden naar personen die mogelijk bij strafbaar handelen zijn betrokken of daarvan weet hebben. Daardoor is het zeer geregeld niet mogelijk opsporingsonderzoeken op te starten of na verloop van enige tijd bewijs rond strafbare feiten te verkrijgen."

Nadat Facebook vorig jaar aankondigde dat het end-to-end encryptie voor verschillende berichtendiensten gaat uitrollen is de overheid samen met "private belanghebbenden" aan het kijken hoe er rechtmatig toegang kan worden verkregen tot versleuteld bewijs. Het kabinet heeft jaren geleden al een standpunt over encryptie ingenomen waarin het stelt geen beperkende wettelijke maatregelen te willen nemen wat betreft de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland.

WhatsApp

Encryptie komt ook terug in een ander punt dat Grapperhaus in zijn brief benoemt, namelijk de rol van serviceproviders, social media en andere aanbieders van diensten van de informatiemaatschappij. "Een ander dilemma dat is gerelateerd aan de rol van dienstverleners, betreft de zogenoemde "Over The Top" diensten, afgekort OTT. Dit zijn diensten die vertrouwelijke telecommunicatie tussen individuele gebruikers mogelijk maken, zoals WhatsApp of internettelefonie."

Deze OTT-diensten zijn niet verplicht om hun communicatie aftapbaar voor de overheid te maken, zoals bij traditionele providers wel het geval is. Volgens de minister is het effectief invoeren van een dergelijke verplichting voor OTT-diensten niet eenvoudig en vergt nadere uitwerking. Zo worden veel OTT-diensten door niet-Nederlandse bedrijven aangeboden. Een ander punt dat meespeelt is het gebruik van encryptie door OTT-diensten.

© 2020 VEILIG DIGITAAL

Created By
VEILIG DIGITAAL
Appreciate