Categorie archieven: Cybermisdaad

E-dieven steeds actiever op het web

Geplaatst op door
Beantwoorden

De Australische beheerder van ontmoetingsstekken Cupid Media is volgens beveiligingsdeskundige Brian Krebs in januari j.l. slachtoffer geworden van omvangrijke roof van gebruikersgegevens. Het bedrijf beheert gespecialiseerde relatienetwerken. Het zou gaan om de gegevens van 42 miljoen gebruikers. Daarbij zouden wachtwoorden, e-@dressen, verjaarsdata en andere gegevens zijn ‘buitgemaakt’. Met deze gegevens zouden de dieven zich binnen de netwerken kunnen voordoen als legaal gebruiker en is voor de inbreker ook zijn e-post te lezen. Het bedrijf zou maatregelen genomen hebben en de wachtwoorden hebben laten veranderen. Volgens Krebs is de buit een goudmijn voor spammers.
Het heeft er alle schijn van dat er de laatste jaren steeds vaker wordt ingebroken op het wereldwijde web. De van Cupid Media gestolen gegevens zijn teruggevonden op een server waarop ook de ‘buit’ van de e-inbraak bij Adobe op werd aangetroffen, van PR Newswire en van NW3C (een organisatie die strijdt tegen webmisdaad). Bij Adobe werden 130 miljoen gebruikerswachtwoorden gestolen.

Bron: Le Monde

Goeie les: Bewaar je bitcoins niet op je webcomputer

Geplaatst op door
Beantwoorden
De Waag in Delft

De Waag in Delft (foto: Wikicommons)

De digitale munteenheid bitcoins die banken overbodig lijkt te maken is niet helemaal probleemloos. Ook die munt is te roven. Eind oktober werden er 4100bitcoins gepikt van ene TradeFortress (nee, we noemen geen namen), bij de huidige hoge omruilwaarde zo’n 1,2 mln dollar (ongeveer € 0,8 mln). “Ik zou niemand aanbevelen bitcoins op een computer op te slaan die met het web verbonden is”, zegt de anonymus die zich TradeFortress noemt. Dat klinkt raar voor een munt die voor het web ontworpen is.
Lees verder

“Openbaar maken NSA-documenten mogelijk terreurdaad”

Geplaatst op door
Beantwoorden
David Miranda

David Miranda (l) met zijn vriend Glenn Greenwald (foto: Guardian)

Als je het wedervaren van Edward Snowden en wat hij wereldwijd te weeg heeft gebracht een beetje hebt gevolgd, dan kun je toch regelmatig zien dat de normaal menselijke moraliteit door diverse overheden nogal eens binnenstebuiten wordt gekeerd. Wat er uit ziet als een misdaad (het ongeoorloofd afluisteren van burgers) is een daad van groot patriottisme en het bekend maken van misdragingen van overheidsdiensten is hoogverraad en mogelijk een terreurdaad. Zo karakteriseerde tenminste een advocaat, ingehuurd door de Britse overheid, het publiceren van de NSA-documenten door the Guardian. Hij rechtvaardigde daarmee het vasthouden van de David Miranda, de partner van Glenn Greenwald. Greenwald is dan weer de man die een groot aandeel gehad heeft in de openbaarmaking van de documenten. Lees verder

Vijf manieren om een bank te beroven via het web

Geplaatst op door
3

BankroversEerder dit jaar wandelde een man in Noord-Londen bij een filiaal van Barclays naar binnen en stal £1.3 miljoen (ruim € 1,5 miljoen) zonder een bankbiljet te hebben aangeraakt. Hij stelde zich voor als it-monteur en installeerde een apparaatje om het bedragje elektronisch te kunnen incasseren.  Geen gedoe meer met pistolen, maskers en gegijzelden. Lees verder

Hoe we een huis of auto e-kraken

Geplaatst op door
Beantwoorden

12disrupt-span-tmagArticleHet inbreken in je privésfeer kan betrekking hebben op je e-correspondentie of op je bankrekening. Dat laatste kost je zeer waarschijnlijk geld. Er zijn echter veel profijtelijker zaken die je kunt e-kraken: een huis of een auto, bijvoorbeeld. Hoe zou het voelen als je met een gangetje van 100 km/u opeens de macht over je stuur kwijtraakt? Niet doordat je in een onbeheersbare slip terechtkomt, maar doordat iemand je auto elektronisch overneemt. De Amerikaanse krant de New York Times voert twee mannen op, die op een Blackhat-congres over computerbeveiliging in Las Vegas uit de doeken deden hoe je elektronisch het ‘stuur’ van een auto kunt overnemen. Charlie Miller, beveiligingsonderzoeker bij Twitter, en Chris Valasek, hoofd beveiligingsintelligentie bij beveiligingsbedrijf IOActive, lieten de congresgangers zien hoe ze de bestuurder het stuur ‘uit handen’ sloegen: de auto remde niet meer en reageerde vreemd op het stuur. Dat alles met een druk op de knop. Ze deden dat bij hybride auto (verbrandingsmotor/elektrisch), maar ze vertelden hun gehoor dat tientallen modellen dat ook had kunnen overkomen. Inbreken in je in-vak is leuk, maar leuker en (mogelijk) lucratiever is het elektronisch inbreken in auto of huis. “Als je een enkele computer in een auto hebt overgenomen, dan verdwijnt veiligheid door het raam”, zegt Miller. Moderne auto’s hebben zo’n 10 tot 40 computersystemen. Tot voor kort waren er mogelijkheden om in die systemen in te breken beperkt, maar doordat steeds meer auto’s met het wereldwijde web worden verbonden, wordt het allemaal een stuk makkelijker, aldus Miller. Het wordt natuurlijk helemaal link als de zelfbesturende auto’s hun entree maken, maar Miller en Valasek deden hun kunstjes met een Toyota Prius een een Ford Escape. We hoeven niet op die zelfstuurders te wachten (grappig is dat automobiel zelfbewegend betekent).
De auto is niet het kwetsbaarst volgens veiligheidsdeskundigen, maar het eigen huis, dat is voorzien van een elektronisch slot . Neem de Lockitron, een slot dat je kunt openen met je slimtel. Dat is een leuke klus voor handige inbrekers. Het bedrijf moet erkennen dat geen e-slot onfeilbaar is, ook al heeft het er alles aan gedaan, ook volgens onafhankelijke veiligheidskundigen, om maximale veiligheid te verwezenlijken.
De e-krakers kunnen ook tv’s en webcamera’s gebruiken om de bewoners van een huis af te luisteren en te zien wat ze aan het doen zijn. Belichting, ijskasten, wc-potten, niets is veilig voor e-krakers als die eenmaal in huis in hun ‘slimme’ uitvoering zijn geïntroduceerd. Bij de ‘slimme’ wc-pot  INAX Satis kunnen e-krakers het spoelwater omhoog laten spuiten in plaats van omlaag. Grappig, maar dat lijkt alleen op het treiteren van de bewoners. Het bedrijf heeft al een ‘pleister’ voor dat beveiligingslek gemaakt.
Ja en dan zijn er natuurlijk de inmiddels gebruikelijke gaten in de ‘defensie’ van de slimtels. Op het Blackhat-congres liet Kevin McNamee, directeur van beveiligingsbedrijfKindsight Security Labs, zien hoe je via het spel Angry Birds een Android (de slimtel van Google) kan overnemen. Op die manier kon hij foto’s wissen of contactgegevens veranderen, zonder dat de eigenaar begreep wat er gebeurde. Je kunt wachtwoorden en e-berichten stelen van de Apple-simtel iPhone met de besturingsversie iOS7 via de voedingsadapter (het witte stroomdraadje). Je kunt rustig verder fantaseren: alle elektronische systemen die op de een of andere manier communiceren met de buitenwereld (en meestal doen ze dat, zeker de ‘slimme’) zijn kraakbaar. Hartgangmakers, vaak pacemakers genoemd, zijn dat, bijvoorbeeld ook. Barnaby Jack, die in de VS bekendheid kreeg doordat hij een geldautomaat zijn kostbare inhoud ontfutselde zonder daarbij het saldo van zijn bankrekening te verminderen, zou de congresgangers laten zien hoe je met een e-kraak van een hartgangmaker of een ander implantaat met communicatiemogelijkheden, iemand zou kunnen vermoorden. Jack, een dertiger, stierf voor hij zijn verhaal kon houden. Hoe is niet duidelijk. Het lijkt op het begin van een spannende thriller.
Is het dan allemaal zo link? De soep wordt meestal niet zo heet gegeten als ie wordt opgediend, maar onvermijdelijk lokken de ‘slimme’ systemen e-krakers met aanzienlijk mindere edele motieven dan die van Barnaby Jack (hij werd voor ethische kraker versleten). Volgens Miller hebben we de aanvallen tegen webrauzers nog steeds niet kunnen voorkomen, ondanks dat al vele jaren vele bedrijven bezig zijn een manier te vinden dat euvel met wortel en tak uit te roeien.”We zouden iets moeten doen voordat het echt fout gaat en ondertussen gebruik ik wel mijn auto en mijn koelkast.” Ik heb geen auto en mijn koelkast is, gelukkig, niet ‘slim’: hij koelt, heeft een thermostaat en voert het dooiwater af. Niks slims aan.

Bron: New York Times (foto NYT)

Overheid gaat (mogelijk) te ver bij bestrijding webmisdaad

Geplaatst op door
Beantwoorden

De plannen van de regering om webmisdaad te bestrijden, zijn mogelijk in strijd met het Europees verdrag voor de rechten van de mens, zo stelt de Raad voor de Rechtspraak in een advies (pdf-document). De Raad erkent de behoefte van de overheid meer mogelijkheden te krijgen om webmisdadigers in de kraag te vatten, maar is van mening dat dat de regel onverlet moet laten dat een verdachte niet hoeft mee te werken aan zijn eigen veroordeling. Met het zogeheten onsleutelingsbevel (bevel de code te leveren voor versleutelde gegevens) zou de overheid die regel overtreden. Minister van jusititie Ivo Opstelten is het daar niet mee eens, maar volgens de Raad zouden rechters daar wel eens anders over kunnen oordelen. De Raad legt er in zijn advies de nadruk op dat de extra bevoegdheden van de politie met alle waarborgen voor zorgvuldigheid, zoals de inschakeling van de rechter-commissaris, zullen worden omgeven.

Bron: Raad voor de Rechtspraak

Verzevenvoudiging kwaadaardige apps

Geplaatst op door
Beantwoorden

Slimtels (smartphones) zijn een gewild doelwit voor onverlaten. Dat heeft natuurlijk alles te maken met de gaten die apps vaak in het beveiligingssysteem van het mobieltje kunnen slaan. Het doel van de ‘inbreker’ kan commercieel zijn, maar ernstiger drijfveren zijn goed denkbaar. Tussen maart vorig jaar en dit jaar zou de hoeveelheid kwaardaardige progjes (malware) met ruim 600% zijn toegenomen, zo stelt het Amerikaanse bedrijf. Er zouden nu zo’n 276 259 kwaardaardige appjes in omloop zijn. Dat klinkt opmerkelijk exact, overigens.
Vooral Googles besturingssysteem Android wordt zwaar getroffen. Het overgrote deel van de aanvallen (92%) gaat om dit besturingssysteem, maar dat heeft er natuurlijk alles mee te maken dat dat zo populair is (tweederde van de markt in 2012). Het bewijst, volgens het Amerikaanse bedrijf, dat de beveiliging van Android allesbehalve waterdicht, maar ook ander besturingssystemen hebben zo hun kwetsbaarheden.
Het is de meeste aanvallers om geld te doen. Malefide bedrijven proberen via appjes gebruikers geld af te troggelen voor niet bestaande diensten. Ze incasseren en maken zich vervolgens onvindbaar. Vaak wordt de gebruiker overgehaald via een sms-je of e-mail een toepassing bij te werken, waarmee hij de webboef zijn kans geeft. Het merendeel van dit soort aanvallen vindt zijn oorsprong in Rusland en China.
Juniper constateert dat de kwaadaardige toepassingen ook steeds vernuftiger in elkaar steken, waardoor steeds handiger naar informatie kan worden gevist. Veel werknemers hebben toegang tot het netwerk van hun baas via hun slimtel. Dat geeft cyberboeven de kans via de telefoon in het netwerk in te breken. Volgens Juniper zouden er al vele digitale inbraken op die manier zijn gepleegd. Het bedrijf verwacht dat dat aantal nog wel zal stijgen, zo noteert Le Monde

Bron: Le Monde

Digitale bankroof levert $ 35 mln op

Geplaatst op door
Beantwoorden
Cybercriminelen maken 35 miljoen euro buit
Twee van de criminelen poseren met een stapel geld die ze hebben buitgemaakt. De foto werd gevonden op de telefoon van een van de mannen. Foto: AP

In New York zijn acht mannen aangeklaagd voor een cyberkraak die zo’n 35 miljoen euro opleverde (ongeveer $ 45 miljoen). De webboeven pasten de gegevens van bankkaarten aan en haalden in een gecoördineerde aanval honderden betaalautomaten leeg, zo valt te lezen in De Standaard.
De Amerikaanse cyberkraak was een onderdeel van een grotere wereldwijde aanval, gericht op banken in Oman en de Verenigde Arabische Emiraten. De overvallers kraakten bankkaarten met saldo, trokken de limieten op en haalden tussen oktober 2012 en april 2013 honderden betaalautomaten leeg. Dat leverde hen naar schatting zo’n 35 miljoen euro op.
Volgens de Amerikaanse aanklager in Boston Loretta Lynch is deze aanval de grootste in zijn soort. Er zijn zeven arrestaties verricht. Een achtste lid van de Amerikaanse tak van de bende is volgens de politie vorige maand vermoord in de Dominicaanse republiek.

Bron: De Standaard (foto: AP)

‘Hengelen’ in België groeit

Geplaatst op door
Beantwoorden

‘Hengelen’ naar toegangscodes blijkt in België steeds populairder te worden, zo meldt De Standaard, al is de totale schade nogal bescheiden. Waren er in heel 2012 1003 gevallen, waarbij in het totaal € 3 miljoen werd buitgemaakt, het eerste kwartaal van dit jaar werden al 473 gevallen genoteerd, waarbij de totale buit € 1,27 bedroeg. Hengelen, ook wel phishing genoemd, is een tamelijk doorzichtige methode waarin het slachtoffer via een e-bericht wordt gevraagd op een (nep)stek van bank of andere financiële instelling in te loggen, om zo de inlogcodes te achterhalen.

Bron: De Standaard

DigID moet veiliger

Geplaatst op door
Beantwoorden

DigID, de digitale toegangspoort van de overheid moet veiliger worden. Ronald Plasterk presenteerde woensdag zijn versie: de eID (waar het bedrijf e-ID in Vianen niet blij mee is). De eID-kaart is een identiteitskaart met chip die werkt volgens het principe van internetbankieren, zo meldt volkskrant.nl. Identiteitsfraude zou een groeiend probleem zijn waar het vorig jaar zo’n 800 000 mensen het slachtoffer zouden zijn geweest en die gezamenlijk een schade van een half miljard euro zouden hebben geleden. De nieuwe kaart zou die vorm van fraude moeten inperken. De eID-kaart is een persoonlijke kaart die bij elektronische transacties met de overheidsinstellingen als een ‘nagelvaste’ identificatie moet dienen, vergelijkbaar met de verzending van de elektronische handtekening voor een banktransactie TAN via sms.
D66 maakt zich zorgen over de privacygevoeligheid van het systeem. Amerikaanse bedrijven kunnen door hun eigen overheid gedwongen worden privacygevoelige gegevens te verstrekken. Het zou volgens Kamerlid Gerard Schouw beter zijn als er geen Amerikaanse bedrijven bij de totstandkoming van de eID-kaart zouden worden betrokken, maar volgens Plasterk kunnen die niet uitgesloten worden van een openbare aanbesteding, al wil hij wel uitzoeken of daar een juridische mouw aan te passen is.

Bron: volkskrant.nl