Identity theft in de ICT - Mylex

More documents

Recommendations

Info

ONDERZOEK NAAR DE WENSELIJKHEID VAN EEN BELGISCHE EN/OF EUROPESE REGELGEVING OVER "IDENTITY THEFT”. die zij vooropstelt. Zij kan met andere woorden de foto van een willekeurig persoon plaatsen bij eender welke advertentie, ook al schendt deze de morele waarden van de betrokken persoon (datingadvertenties, geweldadige content, dierenleed, enzoverder). AFDELING 3: PROFIELKAPING: MANIEREN § 1. Social engineering Social engineering, zoals reeds hierboven kort aangehaald, is een methode waarbij gebruikgemaakt wordt van de nieuwsgierigheid, angst of medeleven van het slachtoffer. Een van de bekendste hackers, Kevin Mitnick, wordt beschouwd als autoriteit op het gebied van social engineering. In zijn boek, ‘The Art of Deception’, worden de verschillende technieken bijzonder uitgebreid besproken. De drie meest voorkomende vormen worden hieronder kort beschreven. A Persoonlijk contact Voor diegenen met voldoende communicatieve vaardigheden is dit ongetwijfeld de meest effectieve vorm. De hacker doet zich voor als bankbediende, helpdeskmedewerker, politionele of justitiële medewerker, enzovoort. Actueel leveren zoekmachines en sociale netwerksites een schat van informatie om het slachtoffer correct te profileren (zo kan men eventueel ter staving van het verhaal bijkomende persoonlijke informatie meegeven). Het is dan ook sinds de opkomst en technische verbetering van zoekmachines dat personal social engineering met een zorgwekkend gemak kan worden gepleegd. Daar waar vroeger nog effectief moeite moest worden gedaan om persoonlijke informatie te achterhalen, leveren internetdiensten als pipl.com meteen een fysiek adres, webpagina’s, sociale netwerkprofielen, artikels en foto’s op. Een gedroomde tool dus. B E-mail Bij deze vorm stuurt de hacker of cracker e-mails die een breed pallet aan boodschappen kunnen bevatten. Bekende varianten zijn e-mails die afkomstig lijken van banken of andere financiële instellingen (zie supra), gewonnen loterijen of vakanties, valse giften voor rampen, enzovoort. Men roept in de e-mail op tot actie: men dient bijvoorbeeld te surfen naar een (valse) website, zeer frequent zal men op dergelijke valse website identiteits- of andere © 2010 Matthias Dobbelaere 46
ONDERZOEK NAAR DE WENSELIJKHEID VAN EEN BELGISCHE EN/OF EUROPESE REGELGEVING OVER "IDENTITY THEFT”. gevoelige gegevens (rekeningnummer, rijksregisternummer, pincodes, adresgegevens, et cetera) proberen te achterhalen. Uiteraard is de effectiviteit van bovenstaande procedure afhankelijk van de graad van detail bij de namaak van de website en de technische kennis van de hacker of cracker. De e-mail kan bovendien een besmette bijlage bevatten zoals een virus of trojan. Bij het openen van dergelijke bijlage (en bijhorende installatie ervan) stelt dit de verzender in staat om bijvoorbeeld de computer over te nemen (automatische algoritmen zoeken vervolgens naar persoonlijke informatie, kredietkaartgegevens, …) of de computer te plaatsen in een botnet. 77 Zeer recent nog werd het Mariposa botnet, één van de grootste in zijn soort, stilgelegd. 78 Het netwerk bestond uit maar liefst 12,7 miljoen computers. Het stal banken kredietkaartgegevens en infecteerde pc’s bij verschillende grote bedrijven en meer dan veertig banken. Het netwerk werd voor de eerste keer opgemerkt in december 2008, daarna werd het één van de grootste in zijn soort. C Dumpster diving Hoewel de oudste techniek is dit meteen ook de minst interessante voor dit onderzoek. Deze zeer vaak gebruikte en bijzonder gevaarlijke vorm bestaat erin – zoals de titel laat vermoeden – dat identiteitsdieven snuisteren in het (papier)afval van ondernemingen en in mindere mate ook in dat van particulieren. Facturen, rekeningen, offertes, orders en bankuittreksels leveren vanzelfsprekend enorm veel informatie. Gezien deze vorm geen affiniteit vertoont met de ICT wordt deze hier dan ook niet verder besproken. § 2. Automatische tools Er bestaan heden te dage enkele automatische tools voor het kraken van Facebook (e.a.) profielen. Een bekende tool is de Fbcontroller 79 welke een creatie is van de Indiase hacker Azim Poonowala. De Fbcontroller (v1 dateert van 6 mei 2009) is eigenlijk een network sniffer, gezien het de communicatie tussen Facebook en computers die interactie hebben 77 T. O’BRIEN, “Information Security Consultant Pleads Guilty to Federal Wiretapping and Identity Theft Charges”, U.S. Departement of Justice, 2008, (te consulteren via http://losangeles.fbi.gov/dojpressrel/pressrel08/la041608usa.htm). 78 M. DOBBELAERE, “Spanje arresteert botnetbeheerders”, MyLex, 2010, (te consulteren via http://www.ictrecht.be/blog/blog_ictrecht/spanje_arresteert_botnetbeheerders.html). 79 E. MILLS, “FBController allows for hijacking of Facebook accounts”, CNET, 2009, (te consulteren via http://news.cnet.com/8301-1009_3-10234720-83.html). © 2010 Matthias Dobbelaere 47
Page 2: ONDERZOEK NAAR DE WENSELIJKHEID VAN
Page 5 and 6: § 1. Privacy. ....................
Page 7 and 8: AFDELING 1: Federal Identity Theft
Page 10 and 11: ONDERZOEK NAAR DE WENSELIJKHEID VAN
Page 96 and 97:
ONDERZOEK NAAR DE WENSELIJKHEID VAN
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128 and 129:
Page 130 and 131:
Page 132 and 133:
Page 134 and 135:
Page 136 and 137:
Page 138 and 139:
Page 140 and 141:
Page 142 and 143:
Page 144 and 145:
show all

Identity theft in de ICT - Mylex

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?