‘Bestrijd breaches en breach moeheid’
Dankzij de voortdurende stroom aan datalekken nemen we het verschijnsel bijna voor lief. Breaches zijn tegenwoordig zo gewoon dat de wereld er een nieuwe term voor heeft: data breach moeheid. We weten dat onze persoonlijke informatie nou eenmaal af en toe wordt gelekt, als antwoord daarop beschermen we netjes onze identiteit door regelmatig onze wachtwoorden te veranderen en niet op verdachte linkjes in rare e-mails te klikken. We denken aan de film ‘1984: ‘Big brother is watching you’. We accepteren het maar gewoon, zoals het is. Maar dat zouden we niet moeten doen, zegt Bart van Aanholt, Country Director bij Level 3.
Aanvallen op grote, bekende doelen zoals Yahoo, of incidenten zoals in april bij de gemeente Utrecht, waarbij gegevens van 5000 tot 140.000 Utrechters werden gelekt en het verliezen van de controle over miljoenen gegevens door aanvallen op databases van bedrijven over de hele wereld hebben een ongekende hoeveelheid informatie over mensen beschikbaar gemaakt op het ‘dark web’. Het deel van het internet dat niet rechtstreeks vindbaar is voor de zoekmachines. Die informatie vormt de basis van ‘profiel samenstellingen’, identiteitsvervalsing voor duistere doeleinden
“E-mail adressen, samen met de wachtwoorden die erbij horen, geboortedatums, BSN-nummers, bankrekeningnummers, huisadressen en werkadressen, de naam van de partner, kinderen, de antwoorden op ‘security vragen’ en een zee van andere data ligt er voor het grijpen voor mensen die creatieve manieren zoeken om daar geld mee te kunnen verdienen”, zegt Bart van Aanholt.
Dark web
“De informatie is gratis beschikbaar, of soms tegen betaling. Er is een database genaamd LeakedSource, waarin twee miljard wachtwoorden staan en die je kunt doorzoeken voor maar twee euro. Er zijn heel veel dark web veilingen die dienstdoen als een marktplaats voor kopers en verkopers van persoonlijke informatie, drugs, gestolen intellectueel eigendom, enzovoort. Veel van deze sites bestaan al jaren en worden zelfs beoordeeld door gebruikers op klantervaring, veiligheid, betaalmogelijkheden en kosten.”
Tijd is geld en in de business van cybercriminaliteit is dat al helemaal het geval. “De meeste cybercriminelen focussen zich op de laaghangende vruchten “, vervolgt Van Aanholt. “Dat zijn kwetsbare doelen die het meeste geld opleveren, met het minste werk. Hele geavanceerde hacks, die resulteren in het type data breach dat vervolgens de krant haalt kosten veel tijd en vragen geavanceerde kennis.”
Social engineering
“Nu beveiliging steeds beter wordt en steeds wijder geïmplementeerd, richten cyber criminelen zich op ‘social engineering’ technieken om toegang te krijgen tot informatie. Dit is waar al die informatie op het dark web relevant wordt. Het wordt makkelijker voor cybercriminelen om die data te gebruiken en te doen alsof ze iemand anders zijn. Daar is helemaal geen geavanceerde Stuxnet-achtige malware ontwikkeling voor nodig. Met het gemak waarmee dit soort informatie toegankelijk wordt en waarmee een schrikbarende hoeveelheid gegevens over een specifiek doelwit kan worden samengesteld is het geen wonder dat social engineering toeneemt in populariteit.”
Fraudevormen
De doeleinden waarvoor Persoonlijke Identificatie Informatie (PII) voor te gebruiken valt zijn volgens hem in verschillende aspecten in te delen. Allereerst Identiteitskloning, dus het aannemen van een geheel andere identiteit, soms van overledenen) om als een ander door het leven te kunnen gaan. Daarnaast voor Lookalike-identiteitsfraude: gebruikmaken van een identiteit of identiteitsgegevensdrager van iemand op wie men lijkt, om toegang te verkrijgen tot bijvoorbeeld een land, arbeid of diensten. Ook Medische identiteitsfraude, bedoeld om medische hulp te verkrijgen, komt veel voor.
Financiële identiteitsfraude is een bekende vorm, bedoeld om krediet of andere financiële diensten te verkrijgen. Bij commerciële identiteitsfraude worden zonder betaling goederen of diensten besteld. Criminele identiteitsfraude tenslotte, heeft als doel om de eigen identiteit te verhullen wanneer men wordt aangehouden of vervolgd. Een op de twintig Nederlanders is inmiddels het slachtoffer geweest van identiteitsfraude, blijkt uit onderzoek van de Universiteit Leiden.
Technologie
Van Aanholt: “De veelheid aan verschillende oplichtingspraktijken, waarbij gebruik wordt gemaakt van PII data op het dark web, wordt alleen begrensd door de creativiteit van cybercriminelen. In sommige gevallen wordt PII gebruikt in phishing e-mails. Maar, er is een significante toename in het gebruik van PII voor call center fraude. Volgens Pindrop’s 2016 Call Center Fraud Report is call center fraude toegenomen met 45 procent in twee jaar.”
“De reden hiervoor zit hem voornamelijk in het steeds meer gebruiken van credit card chip technologie en de mogelijkheid om gestolen PII gegevens te gebruiken om een call center medewerker te laten geloven dat een ze met een bepaald persoon spreken, terwijl dat niet het geval is.”
Malware
“Een aanvaller heeft maar een paar gegevens van iemand nodig (zoals bijvoorbeeld een telefoonnummer, een e-mail adres, geboortedatum, credit card nummer, de meisjesnaam van je moeder of de laatste vier cijfers van je BSN) om een call center medewerker een bankrekening te laten openen, een extra credit card uit te laten geven, een telefoonabonnement te laten afsluiten en toegang te geven tot beveiligde systemen.”
Hij besluit: “De meeste organisaties zijn bijna geobsedeerd bezig om zichzelf te beschermen tegen malware, maar er moet meer focus komen op cybercriminaliteit die gebruikmaakt van de enorme rijkdom en groeiende voorraad aan vrij toegankelijke persoonlijke informatie. Het gebruik van sterkere, multifactor authenticatietechnieken, e-mail en VOIP anti-spoofing, governance en risicobeperking. Veranderingen in regelgeving en industry compliance standaarden zouden overwogen moeten worden om dit groeiende risico te beperken. Nieuwe technologieën zullen worden ontwikkeld om dit probleem te lijf te gaan en om personen en bedrijven te beschermen tegen identiteitsdiefstal. Level 3 zal daar een vooraanstaande rol in blijven spelen. ”