Kriminelle kan nå kjøpe seg tilgang til fullstendige brukerprofiler
Mange nordmenn har opplevd å bli svindlet på nett av noen som utgir seg for å være en annen, som sjefen, posten eller banken. Nå har de kriminelle tatt svindelen til et nytt nivå.
Kriminelle kan nå kjøpe seg tilgang til fullstendige brukerprofiler, som de kan bruke til nettsvindel.
Hundretusener av kompromitterte profiler, med fullstendig innloggingsinformasjon, brukeratferd, cookies og annen metadata kan kjøpes og misbrukes.
– Dette er neste nivå av ID-tyveri. Med dette arsenalet av brukerinformasjon har plutselig de kriminelle fått mulighet til ikke bare å bruke passord og brukernavn, men å etterligne folks online-atferd. Det gjør det mye vanskeligere å avsløre, sier forskningssjef Kai Roer i KnowBe4 Research, forskningssenteret til IT-sikkerhetsselskapet KnowBe4.
Profiler til salgs
Det var forskeren Michele Campobasso ved Eindhoven University of Technology som først offentliggjorde sitt forskningsarbeid om Impersonation-as-a-Service, IMPaaS.
Denne nye typen tjenester benyttes av kriminelle til å etterligne vanlige mennesker. Du kan kjøpe profiler på enkeltindivider, eller grupper i alle størrelser.
Hundretusenvis av profiler er til salgs.
I praksis vil en IT-kriminell kunne kjøpe seg en bruker til en spesifikk person og ta over denne personens online-tjenester som epost, nettbutikker, sosiale medier og nettbank.
IMPaaS brukes til å forbigå sikkerhetsmekanismer som engangspassord og risikobasert pålogging.
– Mange har blitt lurt av de enkle svindelforsøkene vi har sett frem til nå. Disse har man ofte kunnet oppdage ved å være observant. Nå blir det langt vanskeligere, nesten umulig, både for venner, arbeidskollegaer, men også for banker og andre nettaktører, sier Kai Roer.
De kriminelle kan med informasjonen gjenskape andre personer mye mer nøyaktig, og dermed unngå at nettopp endret atferd avslører svindelforsøkene.
Ny trussel
Det er ikke ofte man hører om helt nye tjenester og tilbud (as-a-service) for kriminelle innenfor IT-sikkerhet.
Man har sett slike tjenester innenfor skadevare (ransomware) og i organisering av phishing-angrep, men ikke på denne måten i ID-tyveri og etterligningssvindel.
– Denne nye trusselen viser behovet for at nordmenn må tenke seg enda bedre om rundt hvilken informasjon de legger inn på nett, hvordan de setter opp nettleserne sine og hvilke rutiner de har for brukernavn og passord. Den er også et varsko til virksomheter med tanke på hvilke kontrollrutiner de har, og hvordan de trener opp medarbeiderne i aktsomhet og oppdaterer dem på nye trusler, sier Kai Roer.