Phishingverdachten gebruikten wifi-netwerk slachtoffers voor overboekingen
Criminelen hebben wifi-netwerken van phishingslachtoffers gebruikt voor het doen van frauduleuze overboekingen, zodat het voor de bank leek alsof de transactie van de slachtoffers afkomstig was. Tegen een hoofdverdachte heeft het Openbaar Ministerie een gevangenisstraf van vier jaar geëist, waarvan één voorwaardelijk.
Door middel van phishing werden niet alleen de inloggegevens voor internetbankieren van de slachtoffers ontfutseld, maar ook de wachtwoorden om toegang tot hun wifi-netwerken te krijgen. De verdachten maakten vervolgens verbinding met het wifi-netwerk van hun slachtoffers en voerden transacties uit, waardoor het voor de bank leek alsof die door de rekeninghouder waren gedaan.
Wifi-wachtwoord
De phishingaanval begon met een sms-bericht waarin stond dat er een pakket voor de ontvanger klaar lag maar dit nog moest worden betaald. De link in het bericht wees naar een phishingsite die om de bankgegevens van slachtoffers vroeg. Daarnaast moest ter verificatie het wifi-wachtwoord worden ingevuld. ING deed aangifte bij de politie dat 36 klanten op deze manier waren bestolen. Steeds werd gebruik gemaakt van het netwerk van de klanten. Dit alles speelde in de periode augustus 2020 tot januari 2021.
Uit het onderzoek dat de politie instelde kwamen twee verdachten in beeld die op 15 januari van dit jaar in een auto in Arnhem werden aangehouden. Op het moment van de aanhouding was de hoofdverdachte bezig met het versturen van phishing-sms'jes via zijn telefoon. In de woningen van de verdachten vond de politie onder andere laptops en telefoons, met daarop allerlei bewijs voor de phishingaanvallen.
Het ging onder andere om teksten van phishing-sms'jes, foto’s van frauduleuze overboekingen en handleidingen van phishingpanels. Via dergelijke panels kunnen criminelen de inloggegevens ontvangen die slachtoffers op phishingsites invoeren. Volgens het Openbaar Ministerie heeft de hoofdverdachten gedurende vijf maanden zich aan zeker zeventien gevallen van phishing schuldig gemaakt met een schadebedrag van 137.000 euro.
Tijdens de behandeling van de zaak stelde de officier van justitie dat phishing ernstige gevolgen voor slachtoffers heeft. Die ervaren grote stress, schamen zich of raken hun vertrouwen kwijt. Verder raakt het contact tussen de bank en het slachtoffer verstoord, als ook met andere instanties zoals in deze zaak PostNL. "Mensen weten niet meer welke berichten ze kunnen vertrouwen", aldus het OM.
De volgende stap is dat men leert hoe te onderzoeken of een bericht legitiem is. Dat is niet eenvoudig, maar het begint met gezond verstand gebruiken. Dus niet langer klakkeloos geloven wat je ontvangt.
(Ik neem aan dat de phishers in de praktijk geleerd hebben dat via het netwerk van de slachtoffers gaan nuttig of nodig is ).
Nu zal IP niet perfect zijn - dynamische IPs bij de provider, incidentele VPN freaks ,vakantie adres (laatste tijd minder natuurlijk) , en met name wisselen tussen mobiel en vast netwerk .
Maar blijkbaar wordt het dan door de banken gebruikt - en dwingt het de phishers deels tot fysieke nabijheid.
Of vragen ze om het wachtwoord van de gastenwifi waar geen MAC beveiliging op zit?
Of vragen ze om het wachtwoord van de gastenwifi waar geen MAC beveiliging op zit?
Hoeveel huis-tuin-en-keuken-WiFi-netwerkbeheerders zullen actief gebruik maken van een allow-list?
Of vragen ze om het wachtwoord van de gastenwifi waar geen MAC beveiliging op zit?
Of vragen ze om het wachtwoord van de gastenwifi waar geen MAC beveiliging op zit?
Hoeveel huis-tuin-en-keuken-WiFi-netwerkbeheerders zullen actief gebruik maken van een allow-list?
En _zeker_ in de categorie mensen die zich met deze vragen laat phishen .
Die hebben _echt_ geen WPA3 8021x met allow list en AAA server hangen.
Sommige posters hier moeten echt eens een verplichte sociale stage gaan krijgen, om een beetje wereldwijs te worden hoe dingen bij de meeste gebruikers werken.
Als ze pech hebben proberen ze een slim persoon te phishen. Die kan een wachtwoord doorgeven en vervolgens de politie inseinen. Daarna nog even een alarm instellen als geprobeerd wordt om op het betreffende wifinetwerk in te loggen.
De daders bevinden zich dan in een radius van een tiental meters rond het huis en kun je zo oppakken.
Als ze pech hebben proberen ze een slim persoon te phishen. Die kan een wachtwoord doorgeven en vervolgens de politie inseinen. Daarna nog even een alarm instellen als geprobeerd wordt om op het betreffende wifinetwerk in te loggen.
De daders bevinden zich dan in een radius van een tiental meters rond het huis en kun je zo oppakken.
Het risico op de combinatie
1) phishing van IT expert
2) Die zin en tijd heeft om ze erin te luizen (en niet de poging meteen negeert)
3) politie die de situatie snapt als de IT expert belt en iets roept van 'alarm op mac van wifi' en komt opdagen voor de heterdaad
Hoe hoog schat je dat gecombineerde risico zelf in ?
Naar mijn mening - van de risico's die in een crimineel loopt is dit toch echt één van de kleinere .
1) phishing van IT expert
2) Die zin en tijd heeft om ze erin te luizen (en niet de poging meteen negeert)
3) politie die de situatie snapt als de IT expert belt en iets roept van 'alarm op mac van wifi' en komt opdagen voor de heterdaad
Hoe hoog schat je dat gecombineerde risico zelf in ?
Naar mijn mening - van de risico's die in een crimineel loopt is dit toch echt één van de kleinere .
Moet ik toegeven, maar toch nog steeds realistisch. Bij een vergelijkbare fraude waarbij de criminelen de 'verouderde' betaalpas ophalen, wordt ook regelmatig de politie ingeseind. Twee week geleden heeft de politie, een paar straten bij mij vandaan, zo'n crimineel opgepakt.
Beide gevallen vereisen eigenlijk alleen dat er nattigheid gevoeld wordt en men tijdig de politie waarschuwt. Bij het gebruik van Wifi is het echter gemakkelijker om een geprepareerde Wifispot neer te zetten die je waarschuwt, om onnodig lang posteren bij het beoogde slachtoffer te voorkomen. De IT kennis is dus niet strikt nodig, maar bespaart observatietijd.
(of iets waar dat in voorkomt)
De volgende stap is dat men leert hoe te onderzoeken of een bericht legitiem is. Dat is niet eenvoudig, maar het begint met gezond verstand gebruiken. Dus niet langer klakkeloos geloven wat je ontvangt.
Het kernprobleem schuilt erin dat iedereen aan deze vorm van criminaliteit ten slachtoffer kan vallen.
De criminelen weten dat verdomd goed - het is de omgedraaide wereld - dus daarom blijft het lucratief.
Je geeft zelf al aan dat het niet eenvoudig is om aan te leren met welke parameters je kunt onderzoeken of een bericht legitiem is en dat is nu juist onze achilleshiel. Aan de basis ligt bij een poging tot phishing een zwakheid die iedere mens heeft. We zijn wezens die hoogstaand sociaal functioneren.
Wat ik daarmee wil zeggen is dat je wantrouwen niet kunt aanleren/exploiteren omdat de criminelen hun potentiële slachtoffers sociaal manipuleren. (social engineering)
Het klinkt bizar maar een hond die 'slechts' basaal sociaal functioneert zou misschien minder gevoelig zijn voor phishing, of juist meer? En daarmee kom ik aan je volgende opmerking, met betrekking tot gebruiken van je gezonde verstand.
Gezond verstand is een twijfelachtig begrip. Psychologen gebruiken deze kwalificatie nooit omdat het veel te ruimomvattend is. Wat voor de een een uiting van gezond verstand is geldt voor de ander als gedachteloos dom zijn, en dat met alle gradaties er tussenin.
Daarom ben ik al jaren van mening dat een wapenrusting tegen internetcriminaliteit bijna onmogelijk is.
Want achteraf kun je pas zeggen of je bestand was tegen social engineering. Nooit vooraf.
Net zo zeldzaam als gezond verstand .
Het werkt ook mooi in het Engels : Common sense is not so common
1) phishing van IT expert
2) Die zin en tijd heeft om ze erin te luizen (en niet de poging meteen negeert)
3) politie die de situatie snapt als de IT expert belt en iets roept van 'alarm op mac van wifi' en komt opdagen voor de heterdaad
Hoe hoog schat je dat gecombineerde risico zelf in ?
Naar mijn mening - van de risico's die in een crimineel loopt is dit toch echt één van de kleinere .
Moet ik toegeven, maar toch nog steeds realistisch. Bij een vergelijkbare fraude waarbij de criminelen de 'verouderde' betaalpas ophalen, wordt ook regelmatig de politie ingeseind. Twee week geleden heeft de politie, een paar straten bij mij vandaan, zo'n crimineel opgepakt.
Beide gevallen vereisen eigenlijk alleen dat er nattigheid gevoeld wordt en men tijdig de politie waarschuwt. Bij het gebruik van Wifi is het echter gemakkelijker om een geprepareerde Wifispot neer te zetten die je waarschuwt, om onnodig lang posteren bij het beoogde slachtoffer te voorkomen. De IT kennis is dus niet strikt nodig, maar bespaart observatietijd.
Misschien is mijn vooroordeel over de politie niet terecht meer, maar ik denk dat het verhaal "iemand van de bank zei dat ze mijn pas vrijdagmiddag komen ophalen" heel wat makkelijker uit te leggen is als 'verdacht en kans op heterdaad' dan een een IT'er die praat over mac filter, phishing, honeypot wifi access point , alarm trigger naar slack channel e.d.
Zonder de IT kennis kan het misschien ook (vage gasten in een auto of busje binnen wifi-bereik zijn er ook niet heel veel), maar dan vergt het wel een vrij snelle respons - ze staan min of meer in de buurt bij de phising.
Hoe zou dat logistiek werken eigenlijk, de phish - zouden ze echt altijd in de buurt staan wanneer ze phishen om meteen op de wifi te kunnen ?
Dan zullen ze toch best vaak voor jan lul ergens staan, want als iemand niet reageert staan ze voor niks.
Of zou het een soort getrapte phish zijn, met een soort van bel afspraak ? Dan weten ze alvast dat ze bijna zeker beet hebben, en rijden ze niet voor niks .
De gewone phish-economie berust op het feit dat je heel veel pogingen voor niks kunt uitzetten en dan in een klein percentage beet hebt .
Als je voor elke willekeurige poging ergens naar toe moet rijden draai je beslist verlies.
De heterdaad - het zou moeten kunnen , absoluut - alleen ik zie de combinatie van benodigde factoren niet snel samenkomen.
... en wat de providers niet vertellen is dat als je veel data gebruikt je een zeer slechte verbinding krijg. Dat is mijn ervaring
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
