Hoe iedereen een hacker kan worden
De hoeveelheid malware die internetgebruikers lastigvalt, is de voorbije jaren spectaculair gestegen. Steeds meer mensen proberen geld te verdienen aan criminele hackingactiviteiten, wat zich laat voelen in het aantal aanvallen. John Shier, een Senior Security Expert bij Sophos, laat tijdens de Sophos Day zien hoe eenvoudig het is om een hacker te worden.
Deep web
Het eerste obstakel dat je als leek moet overbruggen, is om op het deep web te geraken. Criminelen van alle slag verstoppen zich achter de anonimiteit van deze duistere kant van het internet en bieden allerhande koopwaar aan, gaande van drugs tot malware.
[related_article id=”217628″]Uit de presentatie van Shier blijkt dat dit eerste obstakel erg eenvoudig te overwinnen is. Een simpele Google-opdracht haalt verschillende websites naar boven die tot in de puntjes uitleggen hoe je het duistere web kan betreden. Voor je er erg in hebt, zet je je eerste stappen op het dark net.
Geld
Op het deep web kan je op zoek gaan naar een malwarepakket. Hackers bieden erg gebruiksvriendelijke tools aan, waarmee iedereen een aanval kan opzetten. Door geld te geven aan zo’n malwareaanbieder krijg je een licentie om hun software voor een bepaalde tijd te gebruiken. Veel van de websites bieden eveneens ondersteuning aan om hun klanten te helpen.
Shier laat zien dat budget geen probleem zou mogen zijn wanneer je als cybercrimineel aan de slag wil gaan. “Veel cybercriminelen beschermen hun software niet goed,” legt de securityexpert uit, terwijl hij een deel van een URL inkort. De gelikte webpagina wordt plotsklaps vervangen door een lijst met bestanden. “Vaak kan je zomaar alle nodige files gratis van het net plukken,” aldus Shier.
Zelfs wanneer de malware die jij wilt gebruiken goed beschermd is, kan je met relatief weinig geld aan de slag gaan. Shier bezoekt een website die erg hard aan Amazon of andere online winkels doet denken. Op de startpagina worden verschillende promoties in de kijker gezet en kan je op zoek gaan naar jouw gewenste product. Aangezien we ons op het dark web bevinden, beperkt het aanbod zich niet tot speelgoed en kledij; ook drugs en gestolen waar kan je zonder problemen kopen. Shier gaat tijdens de Sophos Day op zoek naar goedkope kredietkaartgegevens, wat blijkbaar in grote getalen wordt aangeboden.
“Vaak zijn er promoties, waardoor je erg goedkoop kredietkaartgegevens kan kopen. Ik kan de kredietkaartgegevens op websites als Coinmama gebruiken om bitcoins te kopen,” legt Shier uit.
Malware
Tijdens zijn presentatie laat Shier zien hoe je met gekochte (of gestolen) hackingtools een aanval kan opzetten. In de eerste plaats plukt hij slecht beveiligde phishingsoftware van het web. De software bootst Docusign na en is daardoor ideaal voor allerhande soorten aanvallen. “De website ziet er net echt uit. Slachtoffers zullen dan ook hun e-mailadres, wachtwoord en zelfs de gegevens voor hun tweede authenticatiemethode opgeven. Wat Docusign zo interessant maakt, is dat gebruikers verwachten dat ze een bestand moeten downloaden. Dat kan je gebruiken om je malware te verspreiden,” legt Shier uit.
Vervolgens gaat Shier naar een website waar hij ransomware kan kopen. De software die op de website wordt aangeboden, kan je naar jouw noden aanpassen. Je kan bepaalde landen uitfilteren en de kostprijs per land variabel maken. Bovendien heb je de mogelijkheid om de tekst die slachtoffers te zien krijgen aan te passen. “Wanneer je de boodschap naar een nieuwe taal vertaalt, krijg je korting. Daardoor stijgt het aantal ondersteunde talen erg snel,” aldus Shier.
Inkomsten
De bitcoins die je verdient aan ransomware zijn ‘vuile bitcoins’ en wil je zo snel mogelijk kwijt. “Veel mensen denken dat bitcoins volledig anoniem zijn, maar dat is niet volledig het geval,” aldus Shier. De expert gaat naar Helix, een bitcoinmixer die je vuile bitcoins aanneemt en deze vervangt door bitcoins van andere mensen. “Je moet er wel op vertrouwen dat ze je schone bitcoins teruggeven.”
Volgens Shier kan je op deze manier genoeg geld verdienen, al zullen de meeste mensen geen miljonairs worden. “Een erg kleine hoeveelheid cybercriminelen verdient erg veel geld,” besluit de securityexpert van Sophos.