Veel ‘hacker-for-hire’-diensten zijn oplichters of inefficiënt

Veel online ‘hacker-for-hire’-diensten zijn oplichters of gaan erg inefficiënt te werk. Dit blijkt uit het onlangs gepubliceerde onderzoek ‘Hack for Hire: Exploring the Emerging Market for Account Hijacking’ van Google en wetenschappers van de University of California in San Diego, waar ZDNet over bericht.

De onderzoekers creëerden unieke ‘online buyer personas’ om contact te zoeken met de hackdiensten. Volgens het onderzoek reageerden 10 van de 27 benaderde hackdiensten nooit op hun vragen. 12 gaven wel antwoord, maar probeerden nooit een aanval te lanceren. Slechts 5 diensten lanceerden wel aanvallen op de ‘honeypot’ Gmail-accounts die de onderzoekers als doelwit opgaven.

Honeypot-accounts worden gebruikt om aanvallers te lokken. Het is een beveiligingsmechanisme om pogingen tot ongeoorloofd gebruik van informatiesystemen te detecteren of tegen te gaan. Ze lijken op het eerste gezicht legitiem, maar feitelijk worden deze geïsoleerd en gecontroleerd. Informatie die een waardevolle bron blijkt te zijn voor aanvallers, wordt vervolgend geblokkeerd. 

“Deze accounts stelden ons in staat belangrijke interacties vast te leggen met het slachtoffer en andere gefabriceerde aspecten van hun online persona die we hebben gemaakt (e.g. zakelijke webservers en e-mailadressen van vrienden of partner)”, aldus de onderzoekers.

Van de 12 hackdiensten die nooit een aanval uitvoerden, gaven 9 te kennen geen Gmail-accounts meer te hacken. De resterende 3 diensten bleken pure oplichters te zijn

Spearphishing

Hackdiensten vragen doorgaans bedragen tussen de 100 dollar en 400 dollar om een aanval uit te voeren. In 2017 lag de gemiddelde prijs nog rond de 125 dollar. Verder zouden de diensten geen gebruik maken van geautomatiseerde tools en hebben de aanvallen doorgaans betrekking op social engineering. Hierbij wordt gebruik gemaakt van spearphishing, waarbij aanvallers persoonlijke gegevens van het slachtoffer gebruiken om vertrouwen te winnen.

Een aantal hackers vroeg om meer informatie over het slachtoffer. Daarentegen deden anderen geen enkele moeite en kozen voor de makkelijke weg, door phishing-sjablonen opnieuw te gebruiken. Eén van de hackdiensten probeerde het fictieve slachtoffer te besmetten met malware in plaats van de accountgegevens van het slachtoffer te achterhalen.

Een andere aanvaller was geavanceerder en wist de tweestapsauthenticatie (2FA) te omzeilen, door het slachtoffer om te leiden naar een vervalste Google-inlogpagina. Deze pagina verzamelde wachtwoorden en SMS-codes om vervolgens de geldigheid van beide in realtime te controleren.

“Over het geheel genomen zien we echter dat het gecommercialiseerde ecosysteem voor accountkaping verre van volwassen is. We stuitten vaak op slechte klantenservice, trage reacties en onnauwkeurige advertenties voor prijzen. Verder kunnen de huidige technieken voor het overbruggen van 2FA worden beperkt door de goedkeuring van U2F-beveiligingssleutels”, besluiten de onderzoekers.