Tag: Botnet

About Botnet

Subscribe Feeds

Is het strafbaar om je kwetsbare router uit 2016 te blijven gebruiken?

Geplaatst op in Security, 41 reacties

Een lezer vroeg me:

Naar aanleiding van de recente besmetting van oudere D-Link routers vroeg ik me af: is het blijven gebruiken van een besmet apparaat, waarmee bijvoorbeeld ddos-aanvallen worden uitgevoerd waar de eigenaar geen last van heeft, strafbaar? Ben je verplicht om bij een vastgestelde besmetting actie te ondernemen?
Die oudere D-Link routers blijken kwetsbaar voor de Mirai-botnetsoftware, en omdat hiervoor geen updates meer beschikbaar komen (al sinds 2016) is het een kwestie van tijd totdat ze besmet raken. Er is dus weinig aan te doen behalve je router vervangen, en dat is een lastige want voor de consument-gebruiker lijkt het ding nog prima te werken.

Er is althans op papier een mogelijkheid om het strafbaar te noemen dat je met zo’n apparaat door blijft werken. Art. 350b Strafrecht bepaalt namelijk in lid 2:

Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.
Malware zoals Mirai verspreidt zichzelf en heeft als doel schade aan te richten (door ddos-aanvallen, waar die router dan aan meedoet), dus dat valt onder het begrip ‘gegevens’ uit dit wetsartikel. De vraag is dan dus: heb je juridisch gezien “schuld” aan dat verspreiden als je een niet meer te updaten router aan laat staan, wetende dat Mirai actief zoekt naar (onder meer) dit type apparaat?

De term “schuld” is een trapje lager dan “opzet” (met daartussen de “voorwaardelijke opzet”). Kort door de bocht is de vraag of je dit risico redelijkerwijs had kunnen voorzien en het desondanks voor lief hebt genomen. Weet een gemiddeld gebruiker dat zijn D-Link router niet meer wordt bijgewerkt sinds 2016?

Daar komt bij: wat kon je redelijkerwijs doen om het gevaar af te wenden? De enige optie lijkt te zijn, de router vervangen. Voor 50 euro heb je al een prima router voor thuis, maar ik geef toe dat lang niet iedereen zo even 50 euro over heeft voor een nieuw apparaatje (dat is een modaal weekbudget boodschappen) als de oude het nog doet, nog los van de tijd (en ict-kennis) om zo je netwerk opnieuw in te richten.

En dat moet je dan tegenover de impact stellen: het is niet zo dat jóuw router wereldwijd enorme schade aanricht, je bent een klein deeltje van een enorm netwerk. Cynisch gezegd maakt het dan weinig uit dat enkel en specifiek jij je router vervangt, die aanval komt er toch wel want de totale massa aan geïnfecteerde systemen is enorm. Maatschappelijk is het gewenst dat iedereen die apparaten vervangt, maar daar is dus geen juridische prikkel voor.

Arnoud

Is de eigenaar (of fabrikant) van een Internet of Things-apparaat aansprakelijk voor de schade?

Geplaatst op in Ondernemingsvrijheid, 7 reacties

Een lezer vroeg me:

Stel dat je als consument een IoT-apparaat aanschaft en dit apparaat wordt gehackt. Is de fabrikant dan aansprakelijk voor de schade? Kan in sommige gevallen de consument zelf aansprakelijk zijn?
Het blijft om te huilen, die brakke beveiliging van internet-enabled apparaten zoals camera’s, videorecorders, televisies, thermostaten en ga zo maar door. Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft.

Recente wetgeving gaat hier hopelijk iets van verbetering in brengen, al blijft het in eerste instantie bij duidelijke informatie tot wanneer je updates krijgt. Maar een wettelijke plicht dat je als consument zelf een wachtwoord moet instellen, die is er nog steeds niet. Dus de kans dat je brakke apparaat met internettoegang (de Nederlandse vertaling van IoT-apparaat) ergens schade aanricht, is er nog steeds.

Waar schade is, ruiken advocaten aansprakelijkheid. En terecht, want in de wet staat immers dat je schade moet vergoeden – tenminste, als die door een “onrechtmatige daad” is toegebracht. Dat is een daad die niet hoorde te gebeuren, zeg maar even, iets dat tegen de wet is of tegen wat we de “maatschappelijke zorgvuldigheid” noemen.

Een hele lastige is natuurlijk hoe je de eigenaar van zo’n apparaatje achterhaalt, want dat is wel een voorwaarde voordat je schadeclaims kunt indienen. Met een IP-adres uit een botnetaanval bijvoorbeeld kan dat in theorie (via de provider) maar dat is een hoop, duur werk en of je de héle schade bij die ene bot z’n onwetende baasje kunt neerleggen, daar zijn juridische scripties over te schrijven. Dus praktisch gezien zie ik dit niet echt gebeuren.

De fabrikant is iets makkelijker aansprakelijk te stellen, al krijg je daar het probleem dat de schade ook door andere dingen veroorzaakt kan zijn. Updates niet bijgewerkt, de firewall niet conform de handleiding dichtgezet, ga zo maar door. En natuurlijk de vraag of het fair is dat een stilgevallen elektriciteitscentrale (door een ddos-aanval met brakke koelkasten) voor rekening van de koelkastfabrikant moest komen.

Praktisch gezien zie ik het dus niet echt gebeuren, niet tegen consumenten in ieder geval. Bij fabrikanten zal er vast over een paar maanden een interessante zaak komen, maar verwacht geen kortetermijnuitkomsten.

Arnoud

Kun je de IoT-eigenaren van een botnet aansprakelijk stellen voor je schade?

Geplaatst op in Security, 12 reacties

Een lezer vroeg me:

Stel dat je als partij wordt aangevallen door een botnet dat is geactiveerd vanuit allerlei IoT-systemen. En stel dat ik een aantal van die systemen kan herleiden tot hun Nederlandse eigenaren, laten we zeggen professionele partijen (bedrijven). Kun je dan die eigenaren aansprakelijk stellen voor je schade?

Wanneer je in Nederland schade lijdt door iemands onrechtmatig handelen, dan kun je dat inderdaad verhalen. Het uitvoeren van een denial-of-service aanval (wat ik maar even als invulling van die aanval kies, een computervredebreuk met datavernieling kan natuurlijk ook) is onrechtmatig want strafbaar, dus de dader(s) van zo’n aanval kun je aansprakelijk stellen.

Meestal is het grootste probleem dat je die aanvallers niet kunt achterhalen, maar bij een botnet dat bestaat uit gehackte IoT-apparaten (lees: nalatig slecht ontworpen en geupdatete kastjes) kan dat inderdaad wel eens anders komen te liggen. Daar wordt nul moeite gedaan de afkomst te verhullen, en als de IP-adressen van die apparaten ook nog eens tot bedrijven te herleiden zijn dan heb je inderdaad vrij snel het adres voor een civielrechtelijke dagvaarding.

Het probleem hier is denk ik lastiger: in hoeverre kun je deze IoT-eigenaren juridisch een verwijt maken? Oftewel hebben zij wel onrechtmatig gehandeld? Zij hebben niet zelf de aanval geïnitieerd of gecoördineerd, dat was de botnet-herder immers. Op eerste gezicht zijn ze dan als willoos werktuig (prachtige juridische term) aan te merken, en daarmee niet aansprakelijk.

Als je de strafwet erbij pakt, dan is er wellicht nog een haakje: artikel 350b Strafrecht verklaart het strafbaar als het jouw schuld is dat een aanval zorgt voor schade (zoals ontoegankelijk zijn van een dienst of gewist worden van gegevens) bij een slachtoffer. Schuld is hier een trapje lager dan opzet (dat staat in 350a), dus kan ook mensen treffen die geen aanval wilden uitvoeren maar dat toch verweten kan worden.

De analyse of sprake is van schuld is juridisch een heel verhaal maar kort door de bocht komt het er voor mij op neer dat ze hun gedrag eigenlijk gewoon hadden moeten aanpassen. Hoe kon je dat nou laten gebeuren, had nou even nagedacht.

Persoonlijk ben ik van mening dat als je als bedrijf zogenaamde smart spullen in gebruik neemt, je moet zorgen voor een goede beveiliging daarvan. Anno 2019 moet iedereen (zakelijk dan) weten dat die apparaten zo lek als een mandje zijn, dus daar moet je dan maatregelen tegen nemen. Doe je dat niet, dan ben je nalatig en wat mij betreft aansprakelijk voor schade. Daar staat tegenover dat je door de leveranciers snel omver geblazen wordt met mooie taal dat die apparaten veilig zijn, en het is vaak gewoon lastig na te gaan óf je apparaten veilig zijn, de laatste firmware hebben et cetera.

Als laatste kanttekening geldt wel dat je als zo’n schuldige alleen aansprakelijk bent voor de schade van jóuw bijdrage, niet voor de gehele schade die al die kastjes samen hebben aangericht. Dat zal bij een gemiddelde aanval nog eens best beperkt zijn, als je überhaupt al een getal kunt plakken op de precieze bijdrage van dat ene kastje van die ene strandtent met gehackte surfweercam of die smart koelkast van die hippe startup.

Arnoud

Microsoft haalt No-IP-domeinen offline vanwege malwaredistributie

Geplaatst op in Ondernemingsvrijheid, Security, 22 reacties

botnetMicrosoft heeft maandag ruim twintig domeinen van No-IP, een veelgebruikte ddns-provider, offline laten halen, meldde Tweakers. No-IP biedt dynamische domeinnamen die volgens Microsoft veel gebruikt worden door de Bladabindi- en Jenxcus botnets. Met een ex parte temporary restraining order (TRO) heeft Microsoft het voor elkaar gekregen beheerder van 23 domeinnamen in beheer bij No-IP te worden, om zo de controle over die botnets over te kunnen nemen. Maar wacht even, sinds wanneer kan een private partij domeinnamen afpakken?

Hoewel Microsoft zich beroept op strafwetgeving, is het bevel gebaseerd op het civiele recht. De strafwet overtreden is ook onrechtmatig, oftewel daar mag je een schadeclaim over indienen. Kort gezegd dus: Microsoft en haar klanten lijden schade door het nalatig handelen van No-IP, en de nalatigheid volgt uit die strafrechtartikelen zoals computervredebreuk. En wie schade veroorzaakt, moet daarmee stoppen (en de schade vergoeden). Op zich niet heel bijzonder. In Nederland zou Microsoft een kort geding tegen No-IP beginnen.

Een TRO lijkt een beetje op ons kort geding: er is spoed en er moet nú een maatregel komen om het probleem op te lossen. Ons kort geding is echter een ‘echte’ rechtszaak, met hoor en wederhoor. Een TRO aanvraag is makkelijker te krijgen en de procedure is korter. Zeker als je deze ex parte aanvraagt: dan wordt de wederpartij niet eens gehoord. Dat is in Amerika te rechtvaardigen als er echte bloedspoed is, en rechters zijn er niet happig op dat te erkennen.

In de Microsoft-TRO werd genoeg bloedspoed ontwaard om deze toe te staan, zelfs zonder No-IP te horen. No-IP is daar best boos om: Microsoft zou haar nooit zelfs maar gebeld hebben, en hadden ze dat gedaan dan zou No-IP’s abuseafdeling meteen in actie zijn gekomen. Microsoft zegt dat ze No-IP wél gecontacteerd hebben en dat het bedrijf niets heeft gedaan. Een lastige welles/nietes (lees ook de comments bij het Tweakersartikel met vele gezichtspunten) waarbij ik geen idee heb wie er gelijk zou hebben.

Is de maatregel op zich gepast? Tsja. Als No-IP werkelijk niet adequaat reageert op de botnets bij haar klanten, en Microsoft (en diens klanten) lijden daar werkelijk schade door, dan komt er een moment dat dit een gepaste maatregel is. Botnetschade is serieus en een botnet tegenhouden lijkt me dan ook een goede grond voor juridische acties.

Het alternatief is natuurlijk No-IP dwingen zélf de domeinnamen te blokkeren of verkeer daarheen te filteren (wat Microsoft zelf nu doet). Ik denk dat in Nederland dat eerder opgelegd zou worden bij een kort geding. Het voelt logischer om de schadebeperkende maatregelen op te leggen aan de eigenaar van het spul. Alleen: wie kán dit het beste, Microsoft of No-IP? En wat te denken van het argument dat de domeinnaamhoster zou profiteren van de malware. Dan wil je zeker niet dat zij de opdracht krijgen te gaan filteren.

Wat vinden jullie? Had No-IP gedwongen moeten worden dit zelf te doen? Hoe had dit wél opgelost moeten worden?

Arnoud

Microsoft verwijdert Tor-software in strijd tegen botnet, mag dat?

Geplaatst op in Security, 9 reacties

microsoft-botnet-tor-sefnit-bestrijdingOm het Sefnit-botnet tegen te houden, heeft Microsoft op zo’n twee miljoen computers de anonimiteitssoftware Tor verwijderd, zo las ik bij Daily Dot (via). Sefnit communiceerde via het Tor-netwerk waarmee een hoog niveau van anonimiteit kan worden behaald. Toen Microsoft dit doorhad, was het een kwestie van de Tor software toevoegen aan de detectie van haar Safety Scanner en zien hoe het aantal installaties achteruit ging. Maar mag dat?

De reden dat Tor wordt verwijderd, is omdat oude versies daarvan lek blijken te zijn, en daardoor eenvoudig te infecteren door het botnet. Zo te lezen worden enkel die oude versies geraakt, wie een recente versie van Tor heeft, zou nergens last van moeten hebben.

In Nederland hebben we het concept zaakwaarneming: “Het zich willens en wetens en op redelijke grond inlaten met de behartiging van eens anders belang” zonder daartoe bevoegd te zijn, artikel 6:198 BW. Het standaardvoorbeeld is bij de afwezige buren het overkokende pannetje melk van het gas halen, waarbij het zelfs toegestaan is de achterdeur te forceren. Maar het principe geldt voor alle soorten handelingen, dus er is geen principiële reden waarom het niet zou gelden op computers of internet.

Wel geldt er een noodzakelijkheidsvereiste en een proportionaliteitsvereiste. Je moet niet anders kunnen, dus de buren moeten écht met vakantie zijn en er moet niemand zijn die snel de sleutel kan pakken. En je mag niet verder gaan dan nodig om direct de situatie op te lossen; het huis voorzien van brandmelders en blusinstallatie gaat te ver en is dus geen zaakwaarneming.

In 2010 verwijderde de politie de Bredolab-botnetsoftware van geïnfecteerde computers, na toegang te hebben gekregen tot command&control servers daarvan. Ook daar kon ik niets anders bedenken dan zaakwaarneming om dit te rechtvaardigen.

Microsoft zou wellicht nog kunnen zeggen dat zij via de EULA van Safety Scanner het recht heeft dit te doen. Die zegt immers

The software will check for and remove certain high severity malicious software (“Malware”) stored on your device when you select this action. …
The software will only remove or disable low to medium severity Potentially Unwanted Software if you agree.

Maar is dat genoeg? We hebben immers een cookiewet die expliciete toestemming eist (oftewel niet slechts in een EULA of privacyverklaring opgeëist) voordat je gegevens mag opslaan of uitlezen via een netwerk. Oh, hee, dat is wel apart: het verwijderen van gegevens staat daar niet bij. Dan val je terug op de algemene regel dat er een grond moet zijn, en een EULA kan op zich best een grond geven om acties op een computer uit te voeren.

Dus hm. Het lijkt te mogen, zeker gezien die EULA. Maar toch voelt het als erg vérgaand. Zeker als (wat me niet duidelijk is) het om Tor als zodanig gaat, in plaats van enkel om geïnfecteerde versies van Tor. Het verwijderen van geïnfecteerde software vind ik minder ernstig dan het verwijderen van infecteerbare software.

Update: in de comments wordt gemeld dat het hier enkel ging om Tor-installaties die meegekomen waren met de Sefnit-malware. Andere versies (en waarschijnlijk zelfs de betreffende versie als deze anderszins geinstalleerd was) werden met rust gelaten.

Arnoud

Toxbot-verspreider pleegde computervredebreuk en “gemeen gevaar” voor financiële dienstverlening

Geplaatst op in Security, 11 reacties

De uitspraak van het Gerechtshof tegen de Nederlandse hacker die enkele jaren geleden werd veroordeeld voor het verspreiden van het W32.Toxbot-virus om zo een botnet te bouwen, is door de Hoge Raad vernietigd. Dat meldde ISPam.nl gisteren. Het Gerechtshof had de verkeerde toets aangelegd om te bepalen of sprake was van “gemeen gevaar” voor het verlenen van diensten. Maar het binnendringen in een ongepatchte Windows XP Servicepack 0-computer is wel degelijk computervredebreuk, want “[de Hoge Raad] heeft geoordeeld dat elke consumentenversie van het computerbesturingssysteem Windows XP is voorzien van enige beveiliging in de zin van art. 138a, eerste lid aanhef en onder a, (oud) Sr.”

In 2005 rolde de Nationale Recherche een botnet op van meer dan 100.000 gehackte computers dat opgebouwd was uit Toxbotbesmette computer. Het netwerk werd gebruikt als springplank voor computervredebreuk maar ook voor het kapen van Ebay- en Paypalaccounts. Dankzij onder meer een oplettende SARA-systeembeheerder kon een onderzoek gestart worden, waar onder meer uit bleek dat meneer flink de pé in had omdat hij het virus “codbot” wilde noemen en “stomme av’s” hadden gekozen voor “toxbot”. Maar, iets relevanter: dat hij updates van Toxbot verstuurde naar een medeverdachte en dat beiden commando’s gaven aan het botnetwerk dat zij beheerden om nieuwe versies van het virus te verspreiden.

Onder de toenmalige Wet Computercriminaliteit kon slechts sprake zijn van computervredebreuk als een beveiliging werd doorbroken. En dat stond hier ter discussie, omdat Windows van vóór SP2 naar deskundige meningen zo lek als een mandje (zonder onderkant) geacht wordt. Maar dat maakt niet uit. Zodra het slachtoffer van computervredebreuk kan aantonen dat er sprake is van enige reële beveiliging dan is dat voldoende. Omdat Microsoft de optie van administratortoegang van buitenaf bij de introductie van XP bewust geblokkeerd had, en Toxbot toch met adminprivileges kon draaien, was daarmee sprake van doorbreken van een beveiliging.

In haar arrest had het Gerechtshof daarbij geconstateerd

Zoals uit de wetsgeschiedenis blijkt kan daarbij worden gedacht aan het plaatsen van een tekst op het beeldscherm dat toegang voor onbevoegden verboden is. Maar omdat deze woorden een per ongeluk tot stand gekomen toegang niet uitsluiten, bevat voornoemd artikel 138a onder meer ook het aanvullende vereiste dat sprake moet zijn van enige beveiliging, ofwel een kenbare drempel zodat onbevoegden zich niet simpelweg de toegang kunnen verschaffen.

De Hoge Raad stemt daarmee in en voegt daaraan toe:

dat onder het doorbreken van enige beveiliging, zoals bedoeld in art. 138a, eerste lid onder a, (oud) Sr, mede dient te worden verstaan het tegen de wil van de rechthebbende binnendringen in een computer langs een weg die de aanwezige beveiliging niet of onvoldoende afsluit. Daarbij is, anders dan de steller van het middel betoogt, niet van belang of die opening inherent is aan het systeem of is veroorzaakt door andere ‘aanvallers’.

Onder het huidige recht geldt een nóg lagere standaard: je hoeft niet eens een beveiliging te doorbreken, genoeg is “het tegen de wil van de rechthebbende binnendringen in een computer”. (Hoewel in april 2010 binnendringen op een draadloos netwerk niet strafbaar werd geacht.)

Het Gerechtshof had bij de gekaapte Ebay- en Paypalaccounts geoordeeld dat geen sprake was van het veroorzaken van “gemeen gevaar” voor dienstverlening. Dat artikel (ook ingezet bij DDoS-aanvallen) was niet van toepassing volgens het Hof omdat alleen de computers van de eindgebruikers waren verstoord, en niet de servers die de dienst leveren. Zolang die servers gewoon draaien, is er geen “gemeen gevaar”, zeg maar.

Dat onderscheid is echter irrelevant volgens de Hoge Raad. Het gaat er niet om of servers dan wel clients verstoord worden, maar of er sprake is van “gevaar voor een ongestoorde dienstverlening aan een onbestemd doch aanmerkelijk aantal afnemers.” Het gaat erom of van de opzettelijk veroorzaakte stoornis gemeen gevaar te duchten was voor een ongestoorde dienstverlening. En dat kan ik wel billijken: als je een groot deel van de clients weet te compromitteren dan breng je toch de dienstverlening in gevaar, zelfs als de servers ongestoord doordraaien. De dienst wordt op die manier onbetrouwbaar omdat mensen hun vertrouwen erin verliezen – en dat is eigenlijk erger dan dat de servers er om de haverklap uitliggen.

Arnoud

Crimineel computernetwerk ontmanteld, mag dat?

Geplaatst op in Regulering, Security, 51 reacties

infected-pc-waarschuwingsdienst.pngEen speciaal team van de nationale recherche heeft maandag een crimineel computernetwerk platgelegd, meldde nu.nl. Na klachten over het Bredolab-botnet vorig jaar werd een onderzoek ingesteld, waarbij maar liefst 143 command-and-controlservers aangetroffen werden. Deze werden maandag offline gehaald door provider Leaseweb. Het brein achter het botnet zou ook zijn gearresteerd.

Bij Tweakers laat men weten dat men de komende tijd gebruikers wil gaan waarschuwen dat hun pc geïnfecteerd is. En daar is men al mee bezig: klik maar op het plaatje om te zien wat je dan in beeld krijgt (dank aan Com-connect). Je krijgt dus als slachtoffer van dit botnet een redirect naar de server van de nationale recherche, en bent daardoor min of meer verplicht om je PC te gaan opschonen.

Ik vraag me af of dit kan. Het lijkt me niet echt de bedoeling dat de politie bij mensen gaat inbreken immers. Tegelijkertijd lijkt het wel netjes dat de politie je waarschuwt als er iets mis is met je beveiliging en je daardoor slachtoffer van een misdadiger bent geworden. Vroegah kreeg je ook wel eens briefjes door de deur “Tijdens uw afwezigheid stond het keukenraam open” of “Er liggen waardevolle zaken in deze auto, doe dat nou niet”. Zou er daarmee een parallel te trekken zijn?

We kennen in het recht de figuur ‘zaakwaarneming‘. Je mag andermans problemen gaan oplossen als daar een goede reden voor is en die persoon dat niet zelf kan doen. Als je buren op vakantie zijn en de kat zit hongerig alleen thuis, dan mag je de deur forceren en het dier naar een dierenarts of asiel brengen. (En de rekening is dan voor je buren.) Dat is dan geen inbraak maar een gerechtvaardigd binnentreden op grond van zaakwaarneming. Het lijkt me dat als dat mag, je ook virtueel naar binnen mag om te zeggen “hoi u heeft een botnet, doe er wat aan”.

Wie trouwens kan uitleggen waarom dit botnet a) 143 servers had en b) al haar servers bij 1 resellertje had staan, mag het zeggen.

Arnoud

KLPD waarschuwt slachtoffers botnet

Geplaatst op in Security, 5 reacties

In samenwerking met antivirusbedrijf Kaspersky gaat het Team High Tech Crime van de Nederlandse politie mensen informeren over het feit dat hun PC’s besmet zijn geraakt met malware en onderdeel uitmaken van een botnet, zo meldde ISPam donderdag. Dit is voor zover bekend de eerste keer dat een politiedienst via een botnet de slachtoffers inlicht.

Kaspersky heeft voor de politie een speciaal programma ontwikkeld waarmee berichten gestuurd kunnen worden naar de eigenaren van geïnfecteerde computers. Het bericht vertelt wat zij moeten doen om de besmetting van hun computer ongedaan te maken. Ook wordt verwezen naar een speciaal voor dat doel ontwikkelde site van de KLPD en het Landelijk Parket.

Intrigerend vond ik wel dat de politie hiermee feitelijk binnendringt op de geinfecteerde PC’s. Pleegt de politie computervredebreuk, zo vroegen een paar lezers me dit weekend. Dat denk ik niet. Het is pas computervredebreuk als iemand wederrechtelijk binnendringt. In dit geval lijkt me daar geen sprake van te zijn. De politie is bezig met bestrijding en ontmanteling van een botnet, en daarbij is het gerechtvaardigt dat men slachtoffers waarschuwt die onbewust lid waren van dit botnet.

Wel vraag ik me af hoe lang het zal duren voor de eerste phishers mails gaan rondsturen die zogenaamd van De Politie afkomstig zijn met daarin vergelijkbare instructies, die alleen toevallig een nieuw botnet installeren op je PC.

Arnoud

Geautomatiseerde diefstal van creditcards

Geplaatst op in Security, nog geen reacties

Het stelen van financiële informatie is een professionele activiteit geworden. Waar we twintig jaar geleden hooguit bang moesten zijn voor een uit de prullenbak gevist creditcard-bonnetje, zijn nu complete netwerken met geinfecteerde PC’s te huur. Dat gebeurt met Trojaans paard-software zoals Gozi, volgens CorCom Security Analysing een van de meest complexe en lastig te detecteren Trojans aller tijden. CIO magazine beschrijft in een uitgebreid artikel hoe Gozi ingezet wordt om op grote schaal datadiefstal te plegen.

Subscribers could log in with their assigned user name and password any time during the 30-day project. They’d be met with a screen that told them which of their bots was currently active, and a side bar of management options. For example, they could pull down the latest drops — data deposits that the Gozi-infected machines they subscribed to sent to the servers, like the 3.3 GB one Jackson had found.

A project was like an investment portfolio. Individual Gozi-infected machines were like stocks and subscribers bought a group of them, betting they could gain enough personal information from their portfolio of infected machines to make a profit, mostly by turning around and selling credentials on the black market. (In some cases, subscribers would use a few of the credentials themselves).

Mocht u Russisch spreken, dan komt u in aanmerking voor een gratis proefrit.

Lees verder in Who’s Stealing Your Passwords? Global Hackers Create a New Online Crime Economy bij CIO Magazine.

Via Schneier on Security.

Arnoud

Innovatie van spam, malware en phishing

Geplaatst op in Innovatie, Security, nog geen reacties

Goed artikel op Ars Technica over de innovatie van spam, malware en phishing door de jaren heen:

Computer viruses have been around almost as long as there have been computers. But these days, writing malware is no longer exclusively the domain of a few socially maladjusted computer nerds. What was once primarily an intellectual exercise is now seriously big business.

The enemy adapts: the state of spam, malware, and phishing scams.

De meest opvallende ontwikkeling is het gebruik van Web 2.0 sites als Myspace om via nep-profielen persoonlijke informatie van mensen los te praten. Of om stiekem Trojans of andere rotzooi te installeren.

De oplossing: wees skeptisch bij alles wat je binnenkrijgt.

Arnoud