Niet alle securitybedrijven verkopen beveiligingssoftware. In het huidige landschap maken steeds meer bedrijven gebruik van dienstverleners die hun beveiliging op verschillende manieren testen, of die undercover gaan om uit te vissen welke data er al gelekt zijn.

Wat gebeurt er met uw data als die ergens gestolen wordt? Bij Data News kunnen we wekelijks schrijven over datalekken en databanken vol gestolen gegevens die ergens online gevonden zijn. U kan zelf kijken of uw adres in een van die databanken zit, bijvoorbeeld op een site als haveibeenpwned.com, waar securityonderzoeker Troy Hunt de belangrijkste gelekte databanken verzamelt. Hij baseert zich daarbij voor een groot deel op ‘data dumps’, grote bestanden met losse gegevens die door hackers online worden gelost. Maar zo’n datadump is het eindpunt, en voor ze daar terechtkomen hebben uw gegevens vaak al een lange weg afgelegd, zegt Ted Ross. “Vaak zit er een jaar tot twee jaar tussen de initiële diefstal en die data dump. In die tijd hebben gesofisticeerde criminelen toegang tot de data.”

Ross is CEO en co-founder van SpyCloud, een bedrijf dat zichzelf verhuurt als online detective om bedrijven bijvoorbeeld te laten weten welke van hun gegevens online te grabbel liggen. Data News spreekt met hem op de Neteventsconferentie in San Jose. “We bouwen undercoverprofielen op die we gaan gebruiken om te communiceren met de echte criminelen en zo de data te verzamelen die zij stelen. Zo kunnen we onze klanten laten weten welke wachtwoorden ze moeten veranderen. De bedoeling is om met zo’n profiel een reputatie op te bouwen als expert, zodat criminelen ons gaan aanspreken als ze iemand nodig hebben om hen te helpen. We zijn nu drie jaar bezig en hebben gegevens van zo’n 30.000 datalekken in onze database verzameld. Jouw online identiteit zit daar waarschijnlijk tussen.”

Ergens is het logisch dat het even duurt voor een reeks gestolen gegevens wijdverspreid worden. Waarom zou u moeite doen om in te breken in een netwerk, of een exploit misbruiken op een website, als u de gevonden data meteen aan een lage prijs op het ‘dark web’ gooit? “Een goede hacker verbergt zichzelf en blijft jaren rondhangen, ” zegt security consultant en -onderzoeker Jan Guldentops. “De hackers van Belgacom bleven bijvoorbeeld vijf jaar op de systemen zitten.” Hij verwijst daarmee naar het schandaal dat in 2013 aan het licht kwam, en waarbij vermoedelijk Britse spionnen op de servers van het toenmalige Belgacom waren ingebroken.

De meeste lekken komen echter niet van spionnen, maar van ‘gewone’ criminelen. “De cybercriminelen waar wij mee bezig zijn, zijn georganiseerde groepen,” beaamt Thomas Edwards, special agent bij de Amerikaanse geheime dienst voor Homeland Security. U kent dat departement van Hollywood-films waarin de president verdedigd moet worden, maar het staat ook in voor cyber-gerelateerde financiële misdaad. “Of het nu om de publieke of private sector gaat, die mensen gaan voor het geld”, vertelt Edwards. “Ze willen persoonlijk identificeerbare informatie die ze kunnen omzetten in winst. Daarnaast zoeken ze credentials waarmee ze bijvoorbeeld in cloudservers kunnen geraken, om daar meer data te stelen en te verkopen.”

De weg van gestolen credentials

Stel, een georganiseerde groep breekt in op uw mailserver en gaat (vaak ongemerkt) aan de haal met een hoop log-ins. Wat gebeurt daar mee? “Vaak denken mensen dat ze met die gegevens je account gaan overnemen, maar dan onderschat je de creativiteit van de criminelen,” zegt Ted Ross. “Wanneer criminelen credentials stelen, nemen ze niet alleen je mails en wachtwoorden, ze nemen alles wat ze vast krijgen. Daar zitten bijvoorbeeld ook oude wachtwoorden bij, IP-adressen enzovoort. Die worden dan snel gedeeld met klein team om ze te monetizen.”

Dat verhandelen gaat in stappen, want niet iedereen is even belangrijk. “Eerst gaan ze er die mensen uitvissen waar ze iets mee zijn. Die info wordt gebruikt voor doelgerichte aanvallen.” De bende zal bijvoorbeeld proberen om in de account van een CFO te geraken, om met diens identiteit overschrijvingen aan te vragen. Daarbij drukt Ross erop dat het niet alleen het huidige account van de CFO zelf is, waar een hacker wat mee kan aanvangen. Met een oud paswoord kunnen ze misschien op, we zeggen maar wat, een oude Yahoo-account inloggen, en daar meer informatie verzamelen die ze later voor social engineering kunnen gebruiken. Of ze leren meer over de familieleden van de CFO, om via hen dichter bij het doelwit te geraken. “Werk-accounts zijn vaak goed beveiligd. Maar die mensen zitten thuis naast hun familie op het netwerk, en die partner en kinderen zijn vaak niet zo goed beschermd.”

Dat soort diepgaand onderzoek is echter niet voor iedereen weggelegd. “Al de rest wordt gebruikt in geautomatiseerde tools”, gaat Ross door. Denk daarbij aan aanvallen die bijvoorbeeld de hele lijst gestolen wachtwoorden gebruiken om ergens te proberen binnen te geraken. “Criminelen gaan bij een organisatie proberen inloggen met een botnet, en als je het botnet detecteert proberen ze iets anders, tot ze ongemerkt binnen zitten, en dan gaan ze je wachtwoord proberen,” zegt Ross.

Over het algemeen zijn de doelgerichte aanvallen echter veel gevaarlijker, aldus Ross. “Een van onze klanten is een financiële organisatie die onder meer met cryptomunten werkt. Tien procent van de aanvallen bij die organisatie zijn doelgericht, en ze leiden tot tachtig procent van de gestolen goederen.”

Ross schat dat zo’n criminele organisatie gemiddeld zo’n 500 dagen de gegevens zelf bijhoudt, voordat ze op een of ander forum worden gegooid, zodat de grotere gemeenschap aan hackers er hun zin mee kunnen doen. “Die mensen zijn niet gesofisticeerd, maar wel creatief”, zegt Ross. Daarna worden ze meestal nog gebundeld in een database en breed verspreid. Dat is het moment waarop wij er meestal over schrijven, niet in het minst omdat het dark web ook bezocht wordt door politiediensten, securitybedrijven en onderzoekers.