Tweestapsverificatie vingerafdruk te koop met e-mailadressen en wachtwoorden

Gepubliceerd op 31 oktober 2020 om 08:00
TU Eindhoven stuit op zwarte markt voor digitale fingerprints

"Beveiliging op het internet is een eindeloos kat-en-muisspel. Terwijl beveiligingsspecialisten voortdurend nieuwe manieren bedenken om onze digitale gegevens te beschermen, verzinnen cybercriminelen nieuwe sluwe manieren om die verdediging te omzeilen. Onderzoekers van de TU/e hebben nu bewijs gevonden van een geavanceerde Russische online marktplaats die honderdduizenden zeer gedetailleerde gebruikersprofielen verhandelt. Deze 'fingerprints' stellen criminelen in staat om ultramoderne tweestapsverificatie te omzeilen, waardoor ze toegang krijgen tot waardevolle gebruikersinformatie, zoals creditcardgegevens." aldus de TU/e

Beveiligingsonderzoekers van de TU Eindhoven hebben een website gevonden waar 'digitale fingerprints' worden verhandeld. Met deze gedetailleerde gebruikersprofielen kunnen hackers en cybercriminelen toegang krijgen tot onze online gegevens. Naar eigen zeggen bevat deze online marktplaats honderdduizenden zeer gedetailleerde gebruikersprofielen.

Anno 2020 zetten we meer persoonlijke informatie online dan ooit tevoren. Informatiebeveiliging en cybersecurity zijn daardoor belangrijker dan ooit. Je wilt toch immers niet dat jouw gegevens in de verkeerde handen vallen?

Gebruikersnamen en wachtwoorden

Sinds jaar en dag vertrouwen we hiervoor op gebruikersnamen en wachtwoorden. Omdat veel mensen hetzelfde wachtwoord voor meerdere online diensten gebruiken en lang niet altijd sterk zijn, is het een onbetrouwbare vorm van authenticatie. Naar schatting worden er jaarlijks 1,9 miljard inlognamen en wachtwoorden gestolen en verhandeld via het darkweb.

Beveiligingsexperts hebben daar iets op bedacht: tweestapsverificatie of meerfactorauthenticatie. Naast iets dat je weet (gebruikersnaam en wachtwoord) heb je tevens iets nodig dat je in bezit hebt (een toegezonden code). Daardoor zijn je online accounts en persoonsgegevens een stuk beter beveiligd. Voor de meesten gaat het echter nog een stap te ver om dit in te stellen voor hun online diensten.

Alternatief tweestapsverificatie

Banken en technologiebedrijven als Google, Apple, Amazon, PayPal en Facebook hebben een alternatief bedacht voor tweestapsverificatie: digitale ‘fingerprints’. Deze digitale vingerafdruk bevatten technische informatie om jouw identiteit vast te stellen, zoals de webbrowser en het besturingssysteem dat je gebruikt, de resolutie van je beeldscherm, je locatie, de snelheid waarmee je je computermuis gebruikt en typt, en ga zo maar door.

Als deze vingerafdruk overeenkomt met eerder vertoond gedrag, is inloggen met je gebruikersnaam en wachtwoord voldoende. Zo niet, dan is authenticatie door middel van een security token vereist. Een digitale fingerprint wordt ook wel Risk-Based Authentication (RBA) genoemd.

Digitale fingerprint omzeilen

Onderzoekers van de TU Eindhoven weten dat hackers en cybercriminelen een manier hebben gevonden om RBA te omzeilen. Het is mogelijk om digitale vingerafdrukken na te maken of te stelen. Zodoende kunnen ze alsnog toegang krijgen tot jouw online accounts.

Dat het geen verzinsel of ver-van-mijn-bedshow is, bewijst de TU Eindhoven. De onderwijsinstelling heeft een Russische online marktplaats gevonden waar fingerprints worden verhandeld. De site biedt meer dan 260.000 digitale vingerafdrukken aan, in combinatie met e-mailadressen en wachtwoorden. En dat is nog niet alles: deze database wordt voortdurend up-to-date gehouden, waardoor hij zijn waarde behoudt.

“Bovendien kunnen klanten de database doorzoeken, zodat ze precies de internetgebruiker kunnen vinden die ze willen benaderen”, aldus Luca Allodi van de faculteit Mathematics and Computer Science. “Zo worden heel gevaarlijke spearphishing-aanvallen mogelijk. Ook kunnen ze software downloaden die de aangekochte gebruikersprofielen automatisch laadt wanneer ze willen inloggen op de beoogde websites.”

Het onderzoek naar deze illegale zwarte markt ging niet zonder slag of stoot. In het persbericht vertelt Allodi dat hij samen met promovendus Michele Campobasso speciale uitnodigingscodes moest zien te bemachtigen, die door bestaande gebruikers worden uitgedeeld. De beheerders controleerden bovendien volop of er verdachte accounts actief waren op de site. Uit angst voor vergeldingsacties hebben de onderzoekers besloten om de naam van de website geheim te houden.

Allodi spreekt van Impersonation-as-a-Service (IMPaaS), een zelfbedachte variant op termen als Software-as-a-Service (SaaS) en Cybercrime-as-a-Service (CaaS). Volgens de beveiligingsonderzoeker is de site “de grootste en meest geavanceerde criminele marktplaats” die dit soort diensten aanbiedt.

Prijs afhankelijk van financieel gewin

Hoeveel hackers moeten neerleggen voor iemands ‘virtuele identiteit’, verschilt per geval. De prijzen lopen uiteen van één dollar tot honderd dollar per profiel. Als iemand een crypto wallet bezit, betaal je meer voor zijn digitale vingerafdruk. Die vlieger gaat ook op als iemand in een meer welvarend land woont. “Dit is logisch: aanvallers die gebruikersprofielen te gelde willen maken, kennen een grotere waarde toe aan profielen die waarschijnlijk grotere financiële voordelen opleveren, en die zijn vooral te vinden in ontwikkelde landen”, aldus Campobasso.”

Presentatie in november

Allodi and Campobasso presenteren hun onderzoek tijdens de virtuele ACM CCS-veiligheidsconferentie, die van 9 tot 13 november plaatsvindt.

2009 04344
PDF – 2,0 MB 505 downloads

Bron: arxiv.org, tue.nl, vpngids.nl