Cybercriminelen die geld willen verdienen zijn door de komst van Facebook niet meer aangewezen op het besmetten van eindgebruikers met malware, soms loont het meer om een criminele marketingexpert te zijn. Dat zegt Paul Judge, hoofdonderzoeker van Barracuda Labs, in een interview met Security.nl.

"Steeds meer aanvallers kiezen voor social engineering, en dan met name op sociale netwerken-gebaseerde aanvallen", aldus Judge. Drive-by downloads zijn nog altijd een geliefd wapen om internetgebruikers te infecteren, toch is een besmette computer niet het hoofddoel. Het gaat namelijk om geld verdienen en Facebook is met zo'n 900 miljoen gebruikers daarvoor de ideale plek.

"Het aantal gebruikers dat je eenvoudig en effectief op een sociale netwerksite kan bereiken is ongekend." Bij Facebook- en Twitter-gebaseerde aanvallen weten de aanvallers eenvoudig 250.000 'likes' binnen een week te halen. "Dan heb je een krachtig platform om je kwaadaardige links te verspreiden."

De links wijzen in veel gevallen niet naar malware, maar naar advertenties, enquêtes en andere 'money schemes', aldus Judge. De aanvallers worden door de adverteerders en partners voor elke klik die de kwaadaardige link of pagina oplevert betaald. "De aanvallers behoren tot de beste social marketingexperts." En met die kennis hebben ze allerlei mogelijkheden, gaat Judge verder.

Malware
Daar komt bij dat de aanvallen inmiddels zoveel opleveren, dat het kiezen is tussen het infecteren van de computer of het uitvoeren van een scam. "Als je naar de huidige markt kijkt, leveren inloggegevens die van besmette computers gestolen worden niet zoveel op. Als je dat vergelijkt met een partnerprogramma als iemand een enquête invult of een product afneemt, dan begint de grens waarmee aanvallers het meeste geld kunnen verdienen steeds meer te vervagen."

Die verschuiving werd volgens Judge al zichtbaar door de opkomst van nep-virusscanners. "Aanvallers wilden meteen geld verdienen. In dit geval door je een niet werkende virusscanner aan te bieden." Het uitmelken van de gebruiker gaat verder dan alleen de verkoop van zijn inloggegevens. "Cybercriminelen houden zich nog steeds met creditcarddiefstal bezig, maar ze kiezen vaker voor partnerprogramma's in plaats van malware."

Daardoor vervaagt ook de grens tussen wat legaal en illegaal is. Een klik door iemand die zich voor een creditcard aanmeldt is tussen de 5 en 20 dollar waard. Voor het aanschaffen van apparatuur bedraagt de commissie van een succesvolle verkoop 10%. Daarnaast leveren ook hotelboekingen en software flinke bedragen op. Een Facebook-gebruiker die op een link klikt omdat hij denkt een iPad te kunnen winnen, maar uiteindelijk een softwareprogramma koopt, levert de aanvaller 75% van het aankoopbedrag op.

Doelgroep
Bij sommige scams moeten Facebook-gebruikers zich eerst voor een creditcard aanmelden om kans op een iPad te maken. "Een student zal zich eerder voor nog een creditcard aanmelden om iets te kunnen winnen, dan dertig dollar voor een nep-virusscanner te betalen." Dit soort scams op Facebook sluiten dan ook goed bij de doelgroep van het platform aan. Sommige van de aanvallers lijken inmiddels zelfs op legitieme marketingbedrijven.

Voor veel gebruikers bestaat het internet alleen nog uit Facebook en Twitter. "Als aanvaller moet je dus op die platformen actief zijn. Daar zijn je slachtoffers te vinden. Het gaat om het geld verdienen aan je slachtoffers en niet het per definitie infecteren met malware, en als security-gemeenschap vergeten we dat nog weleens", merkt Judge op.

De security-gemeenschap zou zich te vaak storten op het analyseren van malware en het detectieniveau van beveiligingssoftware. "Daardoor vergeten we de intentie van onze tegenstander, en dat is geld verdienen. Het gaat ze niet om het omzeilen van onze polymorfische detectie, maar om het zo snel en zo eenvoudig mogelijk verdienen van geld." Daardoor missen beveiligers een deel van de problematiek.

Toekomst
Judge denkt niet dat malwareschrijvers zullen verdwijnen. Hij verwacht een specialisatie, waarbij een groep zich op grote, gerichte doelwitten richt, terwijl de minder ervaren cybercrimineel gebruikers op een andere manier probeert aan te vallen. "Een partnerprogramma bij Amazon levert meer op dan creditcardgegevens die voor 50 dollarcent per stuk worden verkocht."

Om het aantal scams op Facebook terug te dringen moeten Facebook, beveiligingsbedrijven en eindgebruikers samenwerken. In sommige gevallen gaat het om lastige beslissingen. Sociale netwerksites zijn juist ontwikkeld met gebruiksgemak in het achterhoofd. "Daardoor is het ook zo eenvoudig voor aanvallers om hun aanvallen uit te voeren", stelt Judge.

Inkomsten
Het gaat dan onder andere om het delen van content. "Als Facebook dat verandert, gaat het aantal pageviews naar beneden, en daarmee ook hun inkomsten." De uitdaging voor sociale netwerksites is dan ook het vinden van een inkomstenmodel dat niet eenvoudig door aanvallers is te misbruiken.

Voor eindgebruikers is het belangrijk dat ze bekend met dit soort scams raken. "Als de eindgebruiker niet weet dat dit soort dingen bestaan, zal hij er ook geen filter voor ontwikkelen. Dan blijft de gebruiker denken dat Facebook een veilig speelterrein is waar je zomaar met iedereen kan communiceren. Mensen moeten hun ogen open houden en alleen bekenden aan hun profiel toevoegen."