Datalekken bij grote bedrijven zijn de nieuwe trend van 2011, reden voor consumenten om op wegwerp e-mailadressen en creditcardnummers over te stappen. Onlangs kwam Epsilon in het nieuws, maar daarvoor was het raak bij TripAdvisor, Play.com, SilverPop. "Een nieuw gebied dat niet eerder zo duidelijk bij criminelen in het vizier was", aldus Rik Ferguson van anti-virusbedrijf Trend Micro, in een interview met Security.nl. Het aantal aanvallen op grote doelwitten is kenbaar voor een trend, waarbij aanvallers de zwakke plekken in de beveiliging bij dit soort organisaties misbruiken. Ze gaan niet achter de websites in kwestie aan, maar de derde partij die de gegevens beheert.

Veel van de getroffen bedrijven zeggen dat er alleen maar e-mailadressen en namen zijn gestolen, maar dat is niet helemaal waar. "Ze hebben je naam, e-mailadres, weten waar je winkelt, verblijft, boeken koopt, op vakantie gaat." Met al die informatie is het voor aanvallers veel eenvoudiger om een gerichte aanval op te zetten. Sommige mensen waren bij meerdere websites het slachtoffer. Daardoor krijgen aanvallers een nog beter profiel.

Het gaat dan niet alleen om phishingmails, maar om legitiem lijkende berichten waarin een bepaalde aanbieding wordt gedaan, gebaseerd op de gegevens die over de klant zijn gestolen. De aanvaller is het daarbij niet om informatie te doen, maar om het slachtoffer een link of bijlage te laten openen. Via een drive-by download krijgt de aanvaller vervolgens controle over de computer. Daarbij kunnen de aanvallers ook naar bepaalde groepen zoeken, zoals e-mailadressen eindigend op .gov, .edu of .mil. "Het is een rijke bron voor gerichte aanvallen, en gerichte aanvallen zijn veel succesvoller."

Tijdelijk e-mailadres
Het lijkt alsof consumenten niets kunnen doen, aangezien veel bedrijven deze informatie tijdens registraties verplichten. Toch is er iets, zegt Ferguson, namelijk het gebruiken van verschillende e-mailadressen. Als een adres gestolen wordt, kun je het gewoon verwijderen, aangezien aanvallers er toch al toegang toe hebben. Daarnaast is het een beproefde methode als spamtrap, om te zien of iemand gehackt is of gegevens doorverkoopt.

Veel consumenten updaten hun pc niet en openen zonder nadenken links en bijlagen. Waarom zouden ze dan wel verschillende aliassen aanmaken. "Pas als mensen iets overkomt ondernemen ze actie. Dat is de motivatie die mensen beweegt", zegt Ferguson. E-mailproviders zouden daarbij ook een rol kunnen spelen door dit soort opties te vereenvoudigen. "Grote providers bieden het al aan, maar de optie zit meestal verborgen. Een stukje bewustzijn rondom deze optie zou zeker helpen."

Creditcardnummers
Een ander punt zijn eenmalige creditcardnummers. Gebruikers voeren de code in, die daarna niet meer te gebruiken is. Mocht de webwinkel worden gehackt, dan heeft dit geen verdere financiële gevolgen. Ferguson vergelijkt het met een verzekering. Mensen kijken naar de kosten en het risico. In dit geval zijn aliassen en wegwerpadressen gratis.

De virusbestrijder noemt als voorbeeld een vriend. Die wilde wat bij zeepwinkel Lush bestellen. De eerste keer werd zijn creditcard geweigerd, waarop de vriend een tweede creditcard probeerde die wel werkte. Lush werd gehackt, creditcardgegevens gestolen en met beide creditcards werd voor 4.000 pond gefraudeerd.

Het is volgens Ferguson dan ook logisch dat cybercriminelen zich van de "endpoint", de pc van de eindgebruiker, naar de webwinkel verplaatsen. Met malware kun je per pc vaak maar één creditcard stelen. Door direct een complete database te hacken, beschik je vaak over duizenden en soms zelfs miljoenen kaartgegevens. "Je krijgt meer waar voor je geld. Eén aanval, meerdere resultaten."