Wat doet een phisher met uw informatie?

Wat doet een phisher met uw informatie?

DearBytesBlogWat doet een phisher met uw informatie?

woensdag 12 augustus 2015

DearBytes doet regelmatig onderzoek naar phishingwebsites die informatie proberen te ontfutselen van bezoekers. Het betreft dan bijvoorbeeld inloggegevens van een e-maildienst (Gmail, Outlook, Yahoo), PayPal-inloggegevens of creditcardgegevens.

DearBytes heeft onderzocht wat er gebeurt met de informatie nadat deze bemachtigd is door een phisher.

Creditcard-phishing

In de eerste fase van het onderzoek hebben we vooral gekeken naar creditcardgegevens. Hiervoor hebben we gebruikgemaakt van een prepaid card met een saldo van € 0,00. Op deze manier konden we zien:

  • Of er een transactie was uitgevoerd.
  • Wanneer deze transactie was uitgevoerd.
  • Bij welke webshop of winkel dit was gebeurd.

Hierbij moeten we wel opmerken dat transacties boven een bepaald bedrag hoogstwaarschijnlijk niet zichtbaar waren, zodat we misschien interessante transacties gemist hebben.

In eerste instantie hebben we de creditcardgegevens handmatig ingevuld op phishingwebsites. Hieruit bleek dat binnen enkele uren de eerste phishers gebruik probeerden te maken van de creditcard. De eerste bestellingen die gedaan zijn met de creditcardgegevens, zijn o.a.:

  • Hide My Ass Pro VPN account (12 maanden) t.w.v. € 71.44.
  • Steam games t.w.v. € 59.99.
  • NETTELLER prepaid account t.w.v. € 183.42.
  • Tickets t.w.v. € 272.66/ € 273.07.

Conclusie phishers: hoog amateurgehalte

Dit zijn slechts enkele transacties, zie voor een overzicht de volledige transactiegeschiedenis na creditcard-phishing. In dit transactieoverzicht zijn een aantal opmerkelijke betalingen te zien. Zo is er bijvoorbeeld geprobeerd om een transactie uit te voeren van € 2117,14 bij de Chelsea Tower 1 in Dubai. Deze transactie valt op omdat het een zeer modern en luxe hotel betreft.

Andere phishers probeerden voor € 311,41 online vitamines te kopen. Daarnaast trachtten veel phishers voor honderden euro’s aan kleren te kopen. Het is voor ons onduidelijk of dit voor eigen gebruik of doorverkoop was.

De bestellingen bij online webshops zijn opmerkelijk, aangezien deze op een fysiek adres bezorgd moeten worden. Op het moment dat de betaling nagetrokken wordt bij de webshop, kan eenvoudig een adres en eventueel een IP-adres opgevraagd worden.

Bovenstaand gedrag doet vermoeden dat de desbetreffende phishers weinig aandacht besteedden aan het verhullen van hun identiteit. Het amateurgehalte is hoog. Zo wijst bijvoorbeeld de aanschaf van een Steam-game eerder op een gamer die daarnaast ook wat phishingsites host, dan op een doorgewinterde crimineel.

E-mailaccount-phishing

Naast het invullen van creditcardgegevens hebben we ook verschillende e-mailaccounts aangemaakt bij Google en Microsoft om te kijken wat aanvallers hiermee doen. Google en Microsoft bieden functionaliteiten aan waardoor wij de volgende informatie van de aanvallers kunnen verzamelen:

  • IP-adres
  • Land
  • Webbrowser
  • Datum/tijd login

Google biedt extra functionaliteiten om informatie over een gebruiker te verzamelen. Deze moeten wel specifiek ingeschakeld worden. Dit betreft de volgende informatie:

  • Zoekopdrachten en browse-activiteit
  • Locatie
  • Gegevens van apparaten
  • Gesproken zoek- en overige opdrachten
  • Zoekopdrachten Youtube
  • Bekijken video’s Youtube

DearBytes heeft een script ontwikkeld dat geautomatiseerd deze e-mailaccounts van Google en Microsoft invult op phishingsites. In de meeste gevallen logden de phishers binnen 30 minuten in op de desbetreffende e-mailaccounts. Er hebben phishers ingelogd met IP-adressen die afkomstig zijn uit de volgende landen:

  • Chili
  • Frankrijk
  • Hongkong
  • Italië
  • Marokko
  • Mauritius
  • Nigeria
  • Nederland
  • Rusland
  • Tsjechië
  • Verenigde Arabische Emiraten
  • Verenigde Staten
  • Zuid-Afrika

DearBytes heeft ook vastgesteld dat gebruik is gemaakt van verschillende zakelijke verbindingen uit Nederland. Het gaat hierbij waarschijnlijk om bedrijven waarvan de verbinding misbruikt wordt om op gehackte mailboxen in te loggen. Mogelijk zijn deze bedrijven zelf ook slachtoffer van een hack. DearBytes heeft met deze bedrijven contact opgenomen om hen op de hoogte te stellen van onze bevindingen.

Wat doen de phishers met uw mailbox?

De phishers hebben verschillende acties uitgevoerd met de gehackte mailboxen. Zo hebben wij gezien dat ze:

  • Spam versturen via de e-mailbox.
  • Op zoek gaan naar gevoelige informatie, zoals creditcardgegevens.
  • Forwards toevoegen aan de e-mailpostbus.
  • Met onze e-mailbox de contactpersonen phishen.
  • Zich mengen in mailconversaties voor geldelijk gewin.

In de meeste gevallen bleek dat phishers wachten op interessante e-mailberichten om hier vervolgens actie op te ondernemen. Wij hebben een dergelijk bericht verstuurd vanaf een ander e-mailadres dat in ons bezit is. Onderstaande screenshot geeft de inhoud van dit e-mailbericht weer.

 

1_1

Met dit e-mailbericht probeerden wij de phisher uit te lokken om zich te mengen in de conversatie, om zo inzicht te krijgen in de werkwijze. Binnen een uur werd er gereageerd door onze phisher, die aangaf dat het geld overgemaakt kon worden naar een neef in Turkije.

 

1_2

Wij hebben deze mailconversatie een tijd aangehouden. Ondertussen hebben wij met behulp van de functionaliteiten van Google de internetgeschiedenis van de phisher opgehaald. Onderstaande schermafdruk laat zien welke Google-zoekopdrachten de phisher heeft uitgevoerd terwijl hij ingelogd was in onze e-mailbox:

1_3

Uit deze Google-resultaten kunnen we opmaken dat de phisher verschillende keren naar vertalingswebsites heeft gezocht, om de e-mails van de conversatie te vertalen. Daarnaast heeft hij gezocht op een aantal gegevens in onze mailbox, zoals een IBAN-nummer en “Kaartnr”. Ook zien we dat de phisher op Bet9ja zit, een Nigeriaanse gokwebsite voor sportwedstrijden.

Uit de verzamelde informatie zouden we kunnen opmaken dat de onderzochte phisher iemand uit Nigeria is. Tijdens de e-mailconversatie kwamen namelijk Nigeriaanse IP-adressen naar voren, en hij bezocht Nigeriaanse gokwebsites terwijl hij ingelogd was in onze e-mailbox.

Conclusie onderzoek naar phishing

We kunnen concluderen dat met creditcards veel verschillende items besteld worden, bijvoorbeeld tickets, kleren, VPN-accounts en volledige computersystemen.

Met de e-mailaccounts wordt vaak geprobeerd om interessante gegevens te vinden in de e-mailbox, om vervolgens een e-mailconversatie over te nemen. Op het moment dat er overboekingen uitgevoerd worden, zal een ander rekeningnummer opgegeven worden om het geld te ontvangen.

Wat kunt u doen tegen phishing?

Bestand zijn tegen phishingaanvallen komt in veel gevallen neer op het herkennen ervan. Let bijvoorbeeld op het taalgebruik, op de afzender en op de links die in een phishingbericht aanwezig zijn. DearBytes heeft flyers voor personeel en beheerders beschikbaar gesteld met tips om phishingmails te herkennen en te voorkomen.

Wilt u uw personeel echt weerbaar maken tegen phishing? kijk dan eens naar de phishingservice van DearBytes.

Door uw medewerkers te onderwerpen aan een geregisseerde phishingaanval – en de resultaten hiervan terug te koppelen – vergroot u hun bewustzijn van deze gevaren. Daarnaast verkrijgt u inzicht in het huidige niveau van medewerkers en hun vermogen om weerstand te bieden tegen deze aanvallen.