Vergeet SQL-injectie, cross-site scripting en allerlei exploits, cybercriminelen gebruiken steeds vaker low-tech hackingtechnieken om bedrijven geld afhandig te maken. De technieken zelf zijn niet nieuw en in sommige gevallen al bijna tien jaar oud. Door het webmodel dat veel bedrijven toepassen, is het misbruiken van deze "logische fouten" lucratiever dan ooit tevoren, aldus beveiligingsonderzoeker Jeremiah Grossman.

Volgens Grossman is het goed mogelijk dat low-tech hacking SQL-injectie en cross-site scripting uiteindelijk qua populariteit van de koppositie zal verdrijven. "Criminelen kijken hoe ze via het web geld kunnen verdienen, dus zullen we vaker meemaken dat deze logische fouten in de komende twee jaar worden misbruikt. Ze zijn veel lastiger te herkennen." De aanvallen zouden niet door IDS zijn te detecteren en firewalls kunnen ze niet blokkeren. Grossman laat weten dat sommige criminelen met deze vorm van aanvallen al bedragen van zeven cijfers per maand verdienen.

Het gaat in de meeste gevallen om programmeerfouten of andere problemen waarmee de criminelen het systeem kunnen omzeilen. Een logische fout in de hostingprovider van een bank zorgde ervoor dat aanvallers geld naar elk account binnen het systeem konden overmaken. Uiteindelijk bleek dat aanvallers dit lek hadden misbruikt om 70.000 dollar naar een Oost-Europese rekening over te maken. Meer details over de aanval zal de onderzoeker volgende week tijdens de Blackhat Conferentie prijsgeven.

Toch is dit niet het enige voorval. Een andere techniek is het misbruiken van partnerovereenkomsten en barterdeals waarbij commissies en bonussen worden uitgedeeld als er bijvoorbeeld nieuwe klanten worden aangemeld. Door het aanmelden van fictieve klanten weten criminelen op die manier flink wat geld te verdienen, terwijl de marketingafdeling denkt dat het fantastisch gaat. "Marketingafdelingen moeten fraude-monitoringsystemen krijgen en met security-personeel samenwerken om ontwerpfouten tegen te gaan."