image

Marktplaats voor gestolen profielgegevens laat criminelen RBA-systemen omzeilen

dinsdag 27 oktober 2020, 10:43 door Redactie, 1 reacties

Onderzoekers van de Technische Universiteit Eindhoven (TU/e) hebben een online marktplaats bestudeerd waar uitgebreide gestolen profielgegevens worden verhandeld. Met de gegevens kunnen criminelen risk-based authentication (RBA)-systemen omzeilen en zo in naam van slachtoffers bijvoorbeeld online aankopen doen.

Internetbedrijven gebruiken risk-based authentication (RBA) om te bepalen of een gebruiker alleen met een wachtwoord moet inloggen of dat tweefactorauthenticatie is vereist. Hiervoor wordt er naar verschillende eigenschappen van de gebruiker die wil inloggen gekeken, zoals zijn browser, locatie en taalinstellingen. Het systeem maakt hiervan een "fingerprint" en wanneer de gebruiker een volgende keer inlogt wordt de huidige fingerprint met de eerder opgeslagen fingerprint vergeleken.

Is de fingerprint de tweede keer gelijk, dan weet het RBA-systeem dat het om dezelfde gebruiker gaat en laat hem alleen via een wachtwoord inloggen. Wanneer de verschillen te groot zijn zal het RBA-systeem de gebruiker via tweefactorauthenticatie laten inloggen. Onderzoekers van de TU/e onderzochten een marktplaats die dergelijke fingerprints aanbiedt. Ook wel "Impersonation-as-a-Service" (IMPaaS) genoemd.

Op deze marktplaats, waarvan de naam niet wordt genoemd, werden 260.000 gebruikersprofielen gevonden. Naast gestolen inloggegevens gaat het ook om de user-agent, systeemtijd, besturingssysteem, taalinstellingen, keyboardindeling, geïnstalleerde fonts en plug-ins, muisbewegingen, geolocatie en snelheid van toetsaanslagen. De data wordt verzameld via malware op het systeem van het slachtoffer.

De IMPaaS-marktplaats biedt klanten een softwarebundel die bestaat uit een browser en een browserextensie waarmee criminelen gekochte gebruikersprofielen op het betreffende platform kunnen gebruiken. De geleverde software imiteert de omgeving van het slachtoffer. Via proxydiensten wordt de gebruikelijke locatie van het slachtoffer gespooft, zo laten de onderzoekers weten. Op deze manier kan de crimineel, die ook het wachtwoord van het slachtoffer bezit, het RBA-systeem omzeilen en op het account van het slachtoffer inloggen, zonder dat hiervoor tweefactorauthenticatie is vereist.

De prijs van van de gebruikersprofielen varieert van 1 dollar tot ongeveer 100 dollar. "Impersonation-as-a-Service is een extra onderdeel van de cybercrime-economie, dat een systematisch model biedt om aan gestolen inloggegevens en profielen te verdienen", zo concluderen de onderzoekers in hun paper (pdf). Het onderzoek wordt tijdens de virtuele ACM CCS-veiligheidsconferentie, die van 9 tot 13 november plaatsvindt, gepresenteerd.

Image

Reacties (1)
27-10-2020, 14:39 door Anoniem
De IMPaaS-marktplaats biedt klanten een softwarebundel die bestaat uit een browser en een browserextensie waarmee criminelen gekochte gebruikersprofielen op het betreffende platform kunnen gebruiken. De geleverde software imiteert de omgeving van het slachtoffer. Via proxydiensten wordt de gebruikelijke locatie van het slachtoffer gespooft, zo laten de onderzoekers weten. Op deze manier kan de crimineel, die ook het wachtwoord van het slachtoffer bezit, het RBA-systeem omzeilen en op het account van het slachtoffer inloggen, zonder dat hiervoor tweefactorauthenticatie is vereist.
Een methode om dit te frustreren is het gebruik van een VPN (waarbij je steeds een andere server instelt) bijvoorbeeld in combinatie met het gebruik van andere profielen, zoals een ander mac-adres die je steeds aanpast. Hierdoor kan men bij de bad guys niet inloggen met het gekaapte profiel en is tweefactor-authenticatie noodzakelijk. Aangezien ze de tokens niet in bezit hebben, is inloggen voor hen niet meer mogelijk.

Een tweede methode is om altijd tweefactor-authenticatie in te schakelen bij elke inlog. Wie geen hardware token heeft, kan dit nog wel doen via een software token, zoals FreeOTP bijvoorbeeld.

Ik beweer niet het ei van Columbus te hebben uitgevonden, maar het is wel degelijk mogelijk om deze criminelen in de wielen te rijden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.