Hackers; Hoe wordt je een doelwit? De consument in de keten

Maat: px

Weergave met pagina beginnen:

Download "Hackers; Hoe wordt je een doelwit? De consument in de keten"

Michiel Lucas Michiels
7 jaren geleden
Aantal bezoeken:

1 .

2 Hackers; Hoe wordt je een doelwit? De consument in de keten Henri Hambartsumyan Pieter Westein Deloitte Cyber Risk Services 5 November 2015

3 Introductie Who-is-Who Henri Hambartsumyan - Deloitte 5 jaar ervaring in informatie beveiliging en ethical hacking Pieter Westein - Deloitte 2 jaar ervaring in informative beveiliging en ethical hacking, gespecialiseerd in digitale identiteiten met SAML 3

4 Introductie 4

5 Agenda Introductie Identiteitsfraude & Digitale zwarte markt Live Demo

6 Waarom zijn identiteiten waardevol? Hackers verkopen (digitale) identiteiten aan criminalen Criminelen gebruiken gestolen identiteiten voor criminele activiteiten en oplichtingen o CFO oplichting o Huur met gestolen identiteiten o e-overheid en tele-teleoverheid fraude o DigiD fraude Digitale identiteit wordt omgezet in geld o Direct o Indirect

7 Wat voor data wordt er gestolen?

8 Hoeveel wordt er gestolen?

9 Waar wordt deze informatie verhandeld? Publieke marktplaats Kleine hoeveelheden vaak op chat kanalen Gestolen accounts gegevens Creditcard data PII PHI Fullz 9

10 Waar wordt deze informatie verhandeld? Marktplaatsen op uitnodiging Enkel toegankelijk op uitnodiging Genodigde dient een reputatie te hebben opgebouwd Betere dienstverlening b.v. garantie op aankopen Meer handelswaar b.v. skimming hardware, virussen 10

11 Waar wordt deze informatie verhandeld? Private marktplaatsen Enkel op uitnodiging en goedkeuring van meerdere leden Genodigde dient een uitgebreide reputatie te hebben opgebouwd Handel met name gericht op maatwerk: Inbreken in specifieke doelwitten Op maat gemaakte virussen Data van specifieke personen 11

12 Hacker-Skills in the marketplace 12

13 De digitale zwarte markt Carderplanet, een van de eerste 13

14 De digitale zwarte markt Darkmarkt en Shadowcrew 14

15 De digitale zwarte markt Carders markt 15

16 De digitale zwarte markt Megasearch en Superget; CC s and PII 16

17 De digitale zwarte markt Home depot hack 17

18 De digitale zwarte markt Het aanbod Full Service Hackers; Botnets; DDoS as a service Initial Access Tools Exploit kit (hosted or as-a-service); Zero-day vulnerabilities (and weaponized exploits) Enabling Services Spam services; Phishing and spear-phishing services; Fake website development Digital Assets Credit cards; Account information; PII/PHI Digital Asset Commerce and Cyber Laundering Mule Services; Counterfeit goods and services (e.g., fake documents, identification, currency); Card cloners, fake ATMs; Credit card processor services; Forwarding products services 18

19 De digitale zwarte markt Prijzen Dienst/product Prijs Digitale identiteit $ $10 per identiteit Creditcards $1 - $150 Kwetsbaarheden $100 $ Botnets $100 - $ day kwetsbaarheden $ $ DDoS aanval $ $100 per minuut 19

20 Praktijkvoorbeeld Hoe data om te zetten in geld Hacker breekt in bij bedrijf X en steelt alle persoonlijke informatie in HR database. Hacker gebruikt deze data om op grote schaal fraudeleuze belastingaangiften te doen. Geldt wordt gestort op prepaid creditcards. Money mules nemen het geld op voor een kleine vergoeding. 20

21 The Internet is 4X larger than in

22 By billion devices are connected to the Internet 22

23 247 billion s are sent per day 23

24 of which 90% is spam 24

25 240 million new malicious programs 25

26 Cost to create a virus: $ Deloitte The Netherlands 26

27 Cost to buy a cup of coffee: $

28 Cost to buy a stolen credit card: $1 28

29 Size of global illegal drug market: $320 billion 29

30 Value of intellectual property stolen: $1 trillion (That is 1 million million) 30

31 Translation: It s 212% more profitable for criminals to steal data 31

32 Agenda Introductie Identiteitsfraude & Digitale zwarte markt Live Demo

33 Companies like yours Video 33

34 Companies like yours Feedback Leuk zo n video, maar Dit gaat ons nooit overkomen. Ons bedrijf is geen doelwit. Dit lijkt net James Bond, is niet realistisch. In het echt is dit heel lastig om uit te voeren. Het zijn maar acteurs. 34

35 Een demonstratie...

36 Information verzamelen 36

37 Information verzamelen Ally is system administrator. Ally verwacht foto s van Jim. 37

38 Overzicht Aanvaller neemt identiteit van doelwit 1 en 2 over 38

39 Wereldwijd Via het internet 39

40 Wereldwijd Via het internet 40

41 Cyber Security Evolved.

42 Wat hadden we kunnen doen?

43 Henri Hambartsumyan Security consultant Pieter Westein Security consultant

Vergelijkbare documenten

BootCamp. Template Powerpoint Datum

BootCamp. Template Powerpoint Datum Template Powerpoint Datum Patrick Brog! " Pre-Sales Consultant! " @pbrog_nl @SecureLinkNL! " #securitybc BYOD, gasten op het wireless netwerk Hoe borg ik de registratie en!voorkom ik threats? Oftewel hoe