Nieuws Phishing

Voor gestolen creditcardgegevens naar het darkweb? Ze staan gewoon op Facebook

Beeld Tom Galle

Cybercriminelen handelen niet meer alleen in gestolen creditcardgegevens in hun eigen hoekje op het darkweb. Dat doen ze ook gewoon op Facebook. 

De afbeelding is van een vishaak met een minuscuul visje eraan, begeleid door de tekst: ‘Ik als ik de resultaten in mijn inbox check.’ Het is een op Facebook geplaatste grap in een vorm waarin elke dag zoveel grappen op het platform verschijnen:

Beeld Talos

Maar deze grap is niet onschuldig. Het plaatje verwijst naar phishing, afgeleid van het woord ‘vissen’. Door malafide e-mails te sturen, vermomd alsof ze afkomstig zijn van bijvoorbeeld een bank, hopen internetcriminelen dat de ontvanger gegevens als wachtwoorden of zelfs betaalgegevens prijsgeeft. En als de slachtoffers niet bijten? Dan voel je je zoals de visser op het plaatje, met zijn waardeloze vangst. Andere leden van de Facebookgroep zullen erom hebben gegniffeld. Herkenbaar.

De afbeelding verscheen in de groep ‘Spammers Family II’. Het is een van de Facebookpagina’s waar cybercriminelen gestolen creditcardgegevens verkopen, evenals vervalste rijbewijzen en gijzelingssoftware die computers onklaar maakt. Mensen bieden zich aan als geldezel; tussenpersonen stellen hun bankrekening beschikbaar voor het witwassen van geld. Op bestelling kun je een site laten platleggen.

Beeld Talos
Beeld Talos

Wacht even. Gestolen creditcardgegevens? Het platleggen van websites? Doen dat soort praktijken zich niet voor in de diepe, donkere krochten van het internet, op het darkweb, ver van de argeloze, onschuldige internetgebruiker?

Niet dus, zagen ze bij Talos, de cyberveiligheidstak van netwerkleverancier Cisco. Tijdens het opsporen van dreigingen stuitten de onderzoekers op diverse Facebookgroepen waar criminele diensten werden aangeboden. Ze besloten de groepen nader te onderzoeken. ‘Daarbij werden ze geholpen door de Facebook-algoritmen die pagina’s aanraden op basis van je interesses’, grinnikt Michel Schaalje, directeur veiligheid bij Cisco. ‘In feite zeiden die: als je deze pagina met gestolen creditcardgegevens interessant vindt, hebben we deze ook nog voor je:’

Beeld Talos

74 groepen bracht Talos uiteindelijk in kaart, met weinig verhullende namen als ‘Spammer & Hacker Professional’ en ‘Facebook hack (Phishing)’. Bij elkaar opgeteld hadden ze zo’n 385 duizend leden, al zal er overlap zijn tussen groepen.

‘Je kunt deze pagina’s moeiteloos vinden’, vervolgt Schaalje. ‘Als je als jongere manieren zoekt om vals te spelen op je Playstation, kun je zomaar zo’n pagina aangeraden krijgen.’

Schimmige zaken spelen zich allang niet meer alleen op het darkweb af, ziet ook Dave Maasland, directeur van cyberveiligheidsbedrijf ESET. Dat komt mede doordat cybercriminele activiteiten de laatste jaren relatief makkelijk zijn uit te voeren. Criminelen bieden softwarepakketten aan, zodat zelfs de minder goed ingevoerde internetgebruiker naar wachtwoorden kan hengelen of computers kan gijzelen. Cybercrime as a service, heet dat. Dienstverlening, compleet met handleidingen en klantenservice.

‘Vroeger moest je hacker zijn om cybercrimineel te worden. Nu heb je slechts een internetverbinding en wat doorzettingsvermogen nodig’, vat Maasland samen. En in de openbaarheid vind je nou eenmaal meer klanten dan weggestopt op het darkweb.

Een ontwikkeling die ook het Nationaal Cyber Security Centrum zorgen baart. Cybercrime als dienst ‘is breder toegankelijk geworden’, schrijft het in zijn laatste Cybersecuritybeeld. Of het ook vaker openbaar staat aangeboden, houdt het NCSC niet in de gaten, mailt een woordvoerder. Het zou haar niets verbazen. ‘Voor cybercrime as a service is het open internet geschikter dan het darkweb.’

De onderzoekers van Talos bestudeerden de gevonden Facebookgroepen uitgebreid en brachten in kaart welke diensten zoal werden aangeboden. Ze zagen hoe oplichters op hun beurt werden opgelicht doordat aanbieders na betaling niets meer van zich lieten horen, met boze commentaren als gevolg. En ze zagen op Facebook aangeboden spamdiensten opduiken tussen de spam die ze in andere onderzoeken onderschepten, wat laat zien dat ze daadwerkelijk worden gekocht en ingezet:

Beeld Talos

Verschillen met de criminele marktplaatsen op het darkweb zijn er ook, ziet Michel Schaalje. Drugs, wapens en zelfs huurmoordenaars zijn daar wel te vinden, bij de onderzochte Facebookpagina’s was dit niet het geval; kennelijk zijn die toch te riskant om in de openbaarheid aan te bieden.

Na een paar maanden stapte Talos naar Facebook, dat de groepen verwijderde. Al is de vraag hoelang het duurt voordat ze weer opduiken. Vorig jaar wees onderzoeksjournalist Brian Krebs Facebook al op 120 van dit soort groepen, waarna het platform actie ondernam. Talos vond groepen die nadien waren opgericht met soortgelijke namen als de verwijderde groepen.

Het is lastig voor Facebook om de gigantische hoeveelheid inhoud te doorzoeken op schadelijke inhoud als dit, zegt Schaalje, maar op dit front vindt hij dat het beter kan. ‘Ze kunnen algoritmen die zoeken op niet-toegestane inhoud beter afstemmen op dit soort pagina’s. Sommige groepen konden jaren bestaan.’

‘We weten dat we waakzamer moeten zijn en we investeren zwaar in middelen om dit soort activiteiten aan te pakken’, reageert Facebook. Het bedrijf zegt volop mensen aan te nemen en technologie te ontwikkelen om ongewenste berichten op te sporen. Wat de door Talos ontdekte groepen betreft, zegt het platform ook gerelateerde pagina’s, groepen en accounts te verwijderen.

Overigens wordt niet alleen Facebook geplaagd door cybercriminelen die in de openbaarheid werken, stellen Schaalje en Maasland. Dat geldt net zo goed voor YouTube, Twitter, Reddit en allerlei internetfora. En jawel, één zoekopdracht bij YouTube en er verschijnt een rits uitlegfilmpjes over hoe je zelf phishingmailtjes programmeert.

Ook op Facebook kost het nog altijd geen enkele moeite groepen te vinden waar gebruikers om hackers vragen en spammers hun diensten aanbieden. Met aan de zijkant, onder ‘voorgestelde groepen’, netjes nog een aantal soortgelijke pagina’s uitgestald.

Drie tips tegen phishing

Deze drie tips helpen tegen phishingmails, berichten die van een officiële instelling lijken te komen, maar die zijn bedoeld om nietsvermoedende slachtoffers gevoelige gegevens te laten invullen om deze te stelen.

1.Phishingmails spreken de ontvanger vaak niet bij naam aan, bevatten regelmatig spelfouten en zetten vaak tijdsdruk. Als u niet binnen 30 dagen uw abonnement verlengt, verliest u al uw opgeslagen data, bijvoorbeeld. Log in deze gevallen niet in via de meegestuurde link, maar ga bij twijfel rechtstreeks naar de site van de desbetreffende organisatie of bel even.

2.Beweeg de muis over de meegestuurde link om te zien of de bron klopt. Verwijst een link in een mail van de Rabobank niet naar www.rabobank.nl, maar bijvoorbeeld www.rabo.bank.nl? Dan weet u genoeg.

3.Leidt de mail naar een website met een https-adres en groen slotje? Dat betekent niet gegarandeerd dat de site veilig is. Internetcriminelen kunnen ook namaaksites hiervan voorzien.

Zelf testen of u phishingpogingen herkent? Google maakte deze quiz om dat te testen. Die is allerminst eenvoudig.

Lees meer over cyberveiligheid

Hoe surf je veilig op internet? Lees deze nuttige tips van experts (en ja: gebruik een wachtwoordmanager).

Iedereen kan tegenwoordig cybercrimineel worden. En dan is de pakkans ook nog eens klein. Lees hier hoe het ervoor staat met cybercriminaliteit in Nederland.

Af en toe vindt er een megalek plaats. Zo werden afgelopen januari nog tientallen miljoenen mailadressen en wachtwoorden op internet gezet.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden