Slechte acteurs hacken duizenden inboxen om cadeaubonnen oneigenlijk te gebruiken

Onafhankelijk beveiligingsonderzoeker en journalist Brian Krebs publiceerde onlangs een intrigerend rapport en een onderzoek naar de activiteiten van een criminele bende die e-mailinboxen doorbreken om naar cadeaubonnen te vissen.

De informatie werd aan Krebs verstrekt door wat hij omschrijft als een "vertrouwde bron" die anoniem blijft, maar ook "zichtbaarheid" heeft in een netwerk dat actief door hackers wordt uitgebuit om hun sporen te maskeren en hun kwaadaardig webverkeer anoniem te houden.

Hackers nemen hun toevlucht tot bewezen brute force-aanvallen

De hackers gebruiken pure brute kracht en proberen elke dag miljoenen e-mailaccounts te doorbreken. Volgens de door Krebs aangehaalde bron is dit al drie jaar aan de gang.

Vanwege het feit dat de criminelen brute kracht gebruiken en niet geverifieerde gestolen inloggegevens, zijn de slagingspercentages die ze genieten laag als een percentielwaarde, maar bedragen ze nog steeds veel succesvol gehackte inboxen. Aangezien de schatting is dat ze elke dag tussen de vijf en tien miljoen inlogpogingen uitvoeren, zou een succespercentage van 0,1 procent nog steeds neerkomen op tienduizenden succesvol gehackte e-mails per dag.

Vreemd genoeg doen de hackers niets te drastisch met de toegang die ze hebben. Krebs noemt dit de "low and slow"-benadering - geen pogingen om contacten te phishing, geen spam, gewoon een script dat inboxen scant op opnieuw verkoopbare digitale cadeaubonnen.

Overval zonder blootstelling

Deze aanpak stelt de hackers in staat om relatief kleine sommen geld te stelen van individuele entiteiten gedurende een langere periode en heeft de neiging om de beveiligingsschijnwerpers niet zo veel op hun activiteit te richten als zoiets als een grote ransomware-klus. De gestolen kaarten worden later doorverkocht op verschillende online markten en zijn in wezen onmogelijk te traceren.

De opkomst van steeds meer platforms en systemen die dit soort cadeaubonnen of klantenkaartservices aanbieden, geeft dreigingsgroepen zoals degene die Krebs beschrijft een vruchtbare voedingsbodem om mee samen te werken.

Bovendien laat het zien dat criminelen die zich onopvallend proberen te houden soms jaren achtereen door kunnen gaan met hun kwaadaardige werk zonder grote problemen te krijgen met de rechtshandhaving, simpelweg omdat ze niet te veel proberen op te scheppen.

De brute-force-aanpak is ook heel gemakkelijk en stelt vergelijkbare "low and slow" slechte acteurs in staat om geld van individuen te blijven stelen zonder significant risico of teveel moeite.