Author profile picture

Onderzoekers van de TU/e hebben een Russische online marktplaats ontdekt waarop criminelen honderdduizenden zeer gedetailleerde gebruikersprofielen verhandelen. Deze zogenoemde ‘fingerprints’ stellen criminelen in staat om ultramoderne authenticatiesystemen te omzeilen. Daardoor krijgen ze toegang tot waardevolle informatie, zoals creditcardgegevens. 

Volgens een recente schatting (uit 2017) worden er elk jaar zo’n 1,9 miljard gestolen identiteiten via ondergrondse websites verkocht. Banken en andere digitale diensten hebben daarom complexe authenticatiesystemen bedacht. Dit systeem staat bekend staat als tweestaps-verificatie. 

‘Fingerpint’ van online gebruiker

Veel mensen vinden die extra handeling te veel moeite en melden zich er niet voor aan. Daarom hebben internetreuzen als Amazon, Facebook, Google en PayPal voor een ander systeem gekozen. Dit systeem, dat bekend staat als Risk-based Authentication (RBA), kijkt naar zogenaamde fingerprints om iemands identiteit te controleren. Fingerprints omvatten technische basisinformatie. Het gaat bijvoorbeeld om het type browser of besturingssysteem. Maar ook gedragskenmerken, zoals muisbewegingen, de locatie en de snelheid van de toetsaanslag.

Als de fingerprint overeenkomt met hoe de gebruiker zich bij een nieuwe inlogpoging gedraagt, dan zijn een gebruikersnaam en een wachtwoord voldoende. Klopt het niet, dan is er een extra bevestiging van de gebruiker nodig.

Profielen die hun waarde behouden

Tot dusver werkte dat goed. Onderzoekers van de TU/e hebben echter nu bewijs gevonden van een grootschalige en zeer geavanceerde online markt die deze beveiliging kan kraken. De Russische website biedt meer dan 260.000 zeer gedetailleerde fingerprints, samen met andere gebruikersreferenties, zoals e-mailadressen en wachtwoorden. 

“Het unieke aan deze ondergrondse website is niet alleen de schaal. Het gaat ook om het feit dat alle profielen voortdurend worden geüpdatet. Daardoor behouden ze hun waarde”, zegt Luca Allodi, onderzoeker bij de groep Security van de faculteit Mathematics and Computer Science. Hij was samen met promovendus Michele Campobasso verantwoordelijk oor het onderzoek.

“Bovendien kunnen criminelen de database doorzoeken, zodat ze precies de internetgebruiker kunnen vinden die ze willen benaderen. Zo worden heel gevaarlijke spearphishing-aanvallen mogelijk. Ook kunnen ze software downloaden die de aangekochte gebruikersprofielen automatisch laadt wanneer ze willen inloggen op de beoogde websites”.

Represailles

Het onderzoek naar de markt ging niet zonder slag of stoot. Om toegang te krijgen tot de lijsten met beschikbare gebruikersprofielen moesten de onderzoekers speciale uitnodigingscodes zien te bemachtigen, die door bestaande gebruikers worden uitgedeeld. Het verzamelen van de gegevens uit de database was ook lastig, omdat de exploitanten actief toezicht houden op ‘malafide’ accounts. Ook hebben de onderzoekers besloten de echte naam van de website geheim te houden, uit angst voor mogelijke vergeldingsacties.

De prijs van een ‘virtuele identiteit’ op de website varieert van 1 dollar tot ongeveer 100 dollar. Toegang tot cryptocurrency-profielen en webmoney-platforms lijken het meest waard te zijn. ” Ook duur zijn gebruikersprofielen die toegang geven tot meer dan één dienst en profielen met ‘echte’ fingerprints, in tegenstelling tot de door het platform ‘gesynthetiseerde’ fingerprints.

Veiligheidsconferentie

In hun paper beschrijven de onderzoekers ook een paar voorbeelden van hoe criminelen deze profielen te gelde maken. Ze vonden deze voorbeelden op een geheim Telegram-kanaal dat door platformklanten wordt gebruikt. In een van de gemelde aanvallen beschrijft een aanvaller hoe hij in het e-mailaccount van een slachtoffer speciale filters instelt, zodat meldingen van Amazon van aankopen die de aanvaller heeft gedaan met behulp van het Amazon-account van het slachtoffer, worden verborgen.

Allodi and Campobasso presenteren hun onderzoek tijdens de virtuele ACM CCS-veiligheidsconferentie, die van 9 tot 13 november plaatsvindt. Het paper valt nu al te lezen op de site van Arxiv.