De donkere kant van het web: ddos aanvallen op banken, kaartfraude en bulletproof hosting van file-sharing

Op het e-Crime Congres van vorige week deelde de iDefense intelligence unit van Verisign een interessant rapport uit over de schaduwzijde van internet. Het rapport bevatte case studies over verschillende onderwerpen: ddos-aanvallen op banken als onderdeel van een strategie om online rekeningen te plunderen, forums en online marktplaatsen voor creditcardfraude en bulletproof hosting van illegaal materiaal.

De eerste case neemt ons mee naar het Russische domein. Verisign beschrijft de criminele praktijk van online bankrovers, die vaak gebeurt vanuit het .ru-domein. Technieken voor het inbreken in rekeningen worden eerst uitgeprobeerd op binnenlandse banken. Als dat werkt, slaan ze hun slag bij minder goed beveiligde banken in het Midden Oosten, of zelfs bij vestigingen van Westerse banken, die doorgaans meer moeite doen voor de beveiliging. Vaak wordt daarbij gebruik gemaakt van een ddos-aanval. Die aanval dient als afleiding: alle aandacht van de beveiliging is gericht op de ddos-aanval, wat de daders meer tijd geeft om de rekeningen te legen. De ddos-aanval wordt meestal uitgevoerd vanaf Chinese command and control (C&C) servers. Dat maakt het voor opsporingsdiensten een stap complexer omdat ze eerst de Chinese aanval aan de Russische daders moet verbinden en het een extra vraag over jurisdictie oproept.

Internetfraude is echter geen exclusief Russische bezigheid. De volgende case brengt ons in het Duitse taalgebied. Er zijn een aantal forums waarop informatie en apparatuur voor het plegen van creditcardfraude worden uitgewisseld. Bovendien wordt de buit van carding (het kopen van spullen, bijvoorbeeld laptops, met valse creditcardgegevens) op die fora verhandeld. Twee grote voorbeelden hiervan zijn carders.cc en swissfaking. Deze forums zijn het thuis van een actieve gemeenschap met eigen twitterfeeds en een blogsectie met allerlei informatie over carding, met onderwerpen als “how to spreaden”, waarin wordt uitgelegd hoe je malware kan verspreiden. De grootte van de gemeenschap op carding.cc wordt geschat op ongeveer 10.000 gebruikers. Veel van de informatie is gericht op leden met een betrekkelijk laag niveau, maar de technische kennis van een aantal gebruikers, stelt Verisign, “maakt deze fora een punt van vitaal belang voor het bijhouden van de ontwikkelingen in de bredere Europese carding scene.

De derde casus is bulletproof hosting. Het gaat hier om hosting providers die niet meewerken aan takedown verzoeken. Bulletproof hosting providers, die het liever hebben over “abuse immuniteit”, een term die minder aandacht op zich vestigt, maken op grote schaal illegale activiteiten mogelijk. Bijvoorbeeld spamming, verboden handel (zoals in nepgeneesmiddelen of verboden investeringsvormen), hacking en file-sharing.

Zulke hosts zijn er in veel verschillende vormen. De meeste vinden het acceptabel om activiteiten als malsware, adware, trojans, webspam, pornografische content, handel in ongecontroleerde medicijnen en de verspreiding van inbreukmakende content te hosten. Sommige gaan verder en zien geen bezwaar tegen het hosten van extremistische content of kinderporno. De reden dat deze dienstverlening ook in de Westerse wereld wijdverspreid is, is dat de aandacht is gericht op de producenten van de content. De hosting providers hullen zich tevreden in deze mistige anonimiteit.

22 maart 2010