Cybercriminelen en spionnen mogen dan vaak anoniem via het internet opereren, aan de hand van het taalgebruik, toetsenbord en lettertype kan worden achterhaald waar ze vandaan komen. Beveiligingsbedrijf FireEye analyseerde 1500 campagnes waarbij phishingaanvallen en malware werden ingezet. Bij de meeste phishingaanvallen wordt een standaard toetsenbordindeling gebruikt.
In het geval de e-mail is getikt op een toetsenbordindeling die afwijkt, kan dit een aanwijzing zijn. FireEye ontdekte verschillende malware-campagnes waren ontwikkeld op een Mandarijns toetsenbord (GB2312) dat in China wordt gebruikt. Ook campagnes uit Noord-Korea zijn op deze manier te identificeren.
Het beveiligingsbedrijf erkent dat dit geen 100% bewijs biedt, aangezien iemand uit Rusland in theorie een Noord-Koreaans toetsenbord kan gebruiken om zijn sporen te verbergen.
Lettertype
Een andere aanwijzing kan worden gevonden in het lettertype dat in phishingmails en andere kwaadaardige documenten wordt aangetroffen. Zo bleek een in het Russisch geschreven document de Koreaanse Batang en KPCheongPong fonts te gebruiken. De keuze voor deze lettertypes onderbouwde ander bewijs dat de aanvallen vanuit Noord-Korea afkomstig waren.
Ook het taalgebruik dat de aanvallers voor hun phishingmails gebruiken, of in hun malware, kan weggeven waar iemand vandaan komt, zo blijkt uit een rapport dat het beveiligingsbedrijf publiceerde. Met deze gegevens zouden bedrijven beter op aanvallen kunnen anticiperen.
"In het huidige landschap van cyberbedreigingen is het identificeren van de vijand een cruciaal onderdeel van elk verdedigingsplan", zegt Ashar Aziz, CTO en oprichter van FireEye. En dat is toch enigszins opmerkelijk, aangezien zijn collega Rob Rachwald eerder nog weten dat het uitzoeken van de nationaliteit van een aanvaller zinloos is.
Deze posting is gelocked. Reageren is niet meer mogelijk.