Marktplaats voor gestolen profielgegevens laat criminelen RBA-systemen omzeilen

[Captain Kirk]

Onderzoekers van de Technische Universiteit Eindhoven (TU/e) hebben een online marktplaats bestudeerd waar uitgebreide gestolen profielgegevens worden verhandeld. Met de gegevens kunnen criminelen risk-based authentication (RBA)-systemen omzeilen en zo in naam van slachtoffers bijvoorbeeld online aankopen doen.

Internetbedrijven gebruiken risk-based authentication (RBA) om te bepalen of een gebruiker alleen met een wachtwoord moet inloggen of dat tweefactorauthenticatie is vereist. Hiervoor wordt er naar verschillende eigenschappen van de gebruiker die wil inloggen gekeken, zoals zijn browser, locatie en taalinstellingen. Het systeem maakt hiervan een "fingerprint" en wanneer de gebruiker een volgende keer inlogt wordt de huidige fingerprint met de eerder opgeslagen fingerprint vergeleken.

Is de fingerprint de tweede keer gelijk, dan weet het RBA-systeem dat het om dezelfde gebruiker gaat en laat hem alleen via een wachtwoord inloggen. Wanneer de verschillen te groot zijn zal het RBA-systeem de gebruiker via tweefactorauthenticatie laten inloggen. Onderzoekers van de TU/e onderzochten een marktplaats die dergelijke fingerprints aanbiedt. Ook wel "Impersonation-as-a-Service" (IMPaaS) genoemd.

Op deze marktplaats, waarvan de naam niet wordt genoemd, werden 260.000 gebruikersprofielen gevonden. Naast gestolen inloggegevens gaat het ook om de user-agent, systeemtijd, besturingssysteem, taalinstellingen, keyboardindeling, geïnstalleerde fonts en plug-ins, muisbewegingen, geolocatie en snelheid van toetsaanslagen. De data wordt verzameld via malware op het systeem van het slachtoffer.

De IMPaaS-marktplaats biedt klanten een softwarebundel die bestaat uit een browser en een browserextensie waarmee criminelen gekochte gebruikersprofielen op het betreffende platform kunnen gebruiken. De geleverde software imiteert de omgeving van het slachtoffer. Via proxydiensten wordt de gebruikelijke locatie van het slachtoffer gespooft, zo laten de onderzoekers weten. Op deze manier kan de crimineel, die ook het wachtwoord van het slachtoffer bezit, het RBA-systeem omzeilen en op het account van het slachtoffer inloggen, zonder dat hiervoor tweefactorauthenticatie is vereist.

De prijs van van de gebruikersprofielen varieert van 1 dollar tot ongeveer 100 dollar. "Impersonation-as-a-Service is een extra onderdeel van de cybercrime-economie, dat een systematisch model biedt om aan gestolen inloggegevens en profielen te verdienen", zo concluderen de onderzoekers in hun paper (pdf). Het onderzoek wordt tijdens de virtuele ACM CCS-veiligheidsconferentie, die van 9 tot 13 november plaatsvindt, gepresenteerd.

 

bron: security.nl