Onderzoekers TU/e ontdekken zwarte markt voor handel in online fingerprints

27-10-2020 | door: Redactie

Onderzoekers TU/e ontdekken zwarte markt voor handel in online fingerprints

Beveiliging op het internet is een eindeloos kat-en-muisspel. Terwijl beveiligingsspecialisten voortdurend nieuwe manieren bedenken om onze digitale gegevens te beschermen, verzinnen cybercriminelen nieuwe sluwe manieren om die verdediging te omzeilen. Onderzoekers van de TU/e hebben nu bewijs gevonden van een geavanceerde Russische online marktplaats die honderdduizenden zeer gedetailleerde gebruikersprofielen verhandelt. Deze 'fingerprints' stellen criminelen in staat om ultramoderne authenticatiesystemen te omzeilen, waardoor ze toegang krijgen tot waardevolle gebruikersinformatie, zoals creditcardgegevens.

De online economie vertrouwt op gebruikersnamen en wachtwoorden om te checken dat degene die spullen koopt of geld overmaakt op het internet, echt de persoon is die hij zegt te zijn. Deze beperkte manier van authenticatie is verre van veilig, omdat mensen de neiging hebben hun wachtwoorden te hergebruiken voor verschillende diensten en websites. Dit heeft geleid tot een massale en zeer winstgevende illegale handel in gebruikersgegevens: volgens een recente schatting (uit 2017) worden er elk jaar zo'n 1,9 miljard gestolen identiteiten via ondergrondse websites verkocht.

Banken en andere digitale diensten hebben daarom complexere authenticatiesystemen bedacht, die niet alleen afhankelijk zijn van iets wat de gebruikers weten (hun wachtwoord), maar ook van iets wat ze hebben (bijvoorbeeld een code). Dit systeem staat bekend staat als tweestaps-verificatie en beperkt de kans op cybercriminaliteit flink, maar heeft ook nadelen. Omdat het een extra stap vergt, hebben veel mensen geen zin om zich ervoor te ervoor aan te melden, waardoor slechts een minderheid van de mensen er gebruik van maakt.

Om deze reden is de afgelopen jaren een alternatief authenticatiesysteem populair geworden bij bedrijven als Amazon, Facebook, Google en PayPal. Dit systeem, dat bekend staat als Risk-based Authentication (RBA), kijkt naar zogenaamde fingerprints om iemands identiteit te controleren. Fingerprints omvatten technische basisinformatie, zoals het type browser of besturingssysteem, maar ook gedragskenmerken, zoals muisbewegingen, de locatie en de snelheid van de toetsaanslag.

Als de fingerprint overeenkomt met wat - op basis van eerder gedrag -  van een gebruiker wordt verwacht, mag die direct inloggen met alleen zijn gebruikersnaam en wachtwoord. Zo niet, dan is aanvullende authenticatie door middel van een token vereist.

Natuurlijk hebben cybercriminelen snel manieren bedacht om ook RBA te omzeilen, door gebruikersprofielen aan te bieden met fingerprints. Tot dusver lukt het hun echter niet goed om hier een winstgevende business van te maken. Gebruikersprofielen veranderen nogal snel, en zijn afhankelijk van de dienst die je gebruikt. Bovendien moet je ze vaak een extra phishingaanval nodig om te verzamelen.

Onderzoekers van de TU/e hebben nu bewijs gevonden van een grootschalige en zeer geavanceerde markt die hiervoor een oplossing heeft gevonden. De in Rusland gevestigde website biedt meer dan 260.000 zeer gedetailleerde fingerprints, samen met andere gebruikersreferenties, zoals e-mailadressen en wachtwoorden. "Het unieke aan deze ondergrondse website is niet alleen de schaal, maar ook het feit dat alle profielen voortdurend worden geüpdatet, waardoor ze hun waarde behouden", zegt Luca Allodi, onderzoeker bij de groep Security van de faculteit Mathematics and Computer Science, die samen met promovendus Michele Campobasso verantwoordelijk was voor het onderzoek.

"Bovendien kunnen klanten de database doorzoeken, zodat ze precies de internetgebruiker kunnen vinden die ze willen benaderen. Zo worden heel gevaarlijke spearphishing-aanvallen mogelijk. Ook kunnen ze software downloaden die de aangekochte gebruikersprofielen automatisch laadt wanneer ze willen inloggen op de beoogde websites".

Om het systematische karakter van de website te benadrukken, hebben Allodi en Campobasso de term 'Impersonation-as-a-service' (IMPaaS) bedacht, in navolging van bekende clouddiensten als SaaS (software-as-a-service) en IaaS (infrastructure-as-a-service). "Voor zover we weten is dit de grootste en meest geavanceerde criminele marktplaats die dit soort diensten systematisch aanbiedt.

Het onderzoek naar de markt ging niet zonder slag of stoot. Om toegang te krijgen tot de lijsten met beschikbare gebruikersprofielen moesten de onderzoekers speciale uitnodigingscodes zien te bemachtigen, die door bestaande gebruikers worden uitgedeeld. Het verzamelen van de gegevens uit de database was ook lastig, omdat de exploitanten actief toezicht houden op 'malafide' accounts. Ook heb de onderzoekers besloten de echte naam van de website geheim te houden, uit angst voor mogelijke vergeldingsacties.

De prijs van een 'virtuele identiteit' op de website varieert van 1 dollar tot ongeveer 100 dollar. Toegang tot cryptocurrency-profielen en webmoney-platforms lijken het meest waard te zijn. "Alleen al de aanwezigheid van ten minste één crypto-gerelateerd profiel verdubbelt bijna de gemiddelde profielwaarde", zegt Allodi.

Een andere belangrijke factor die de prijs opdrijft, is de welvaart van het land waar de gebruiker zich bevindt. "Dit is logisch: aanvallers die gebruikersprofielen te gelde willen maken, kennen een grotere waarde toe aan profielen die waarschijnlijk grotere financiële voordelen opleveren, en die zijn vooral te vinden in ontwikkelde landen", aldus Campobasso.

Ook duur zijn gebruikersprofielen die toegang geven tot meer dan één dienst en profielen met 'echte' fingerprints, in tegenstelling tot de door het platform 'gesynthetiseerde' fingerprints.

In hun paper beschrijven de onderzoekers ook een paar voorbeelden van hoe criminelen deze profielen te gelde maken. Ze vonden deze voorbeelden op een geheim Telegram-kanaal dat door platformklanten wordt gebruikt. In een van de gemelde aanvallen beschrijft een aanvaller hoe hij in het e-mailaccount van een slachtoffer speciale filters instelt, zodat meldingen van Amazon van aankopen die de aanvaller heeft gedaan met behulp van het Amazon-account van het slachtoffer, worden verborgen.

Allodi and Campobasso presenteren hun onderzoek tijdens de virtuele ACM CCS-veiligheidsconferentie, die van 9 tot 13 november plaatsvindt. Het paper valt nu al te lezen op de site van Arxiv.

Terug naar nieuws overzicht
Security