Actualiteiten

Hoe een cybercriminele organisatie fraude op verschillende niveaus heeft gepleegd

7 minuten leestijd

door Romy Tump

Een kijkje onder de motorkap van een cybermisdaadoperatie en wat je kunt doen om te voorkomen dat je een gemakkelijk doelwit wordt voor soortgelijke tactieken

Ze hackten e-mails van bedrijven, hebben geld gestolen van mensen en bedrijven en misleidden anderen om de buit over te maken. De Nigeriaanse staatsburgers Solomon Ekunke Okpe en Johnson Uke Obogo voerden een geavanceerd fraudeprogramma uit dat slachtoffers tot 1 miljoen dollar schade toebracht. Een Amerikaanse rechtbank veroordeelde het duo onlangs tot respectievelijk vier jaar en één jaar gevangenisstraf.

Hun criminele operatie hield zich bezig met een verscheidenheid aan frauduleuze oplichtingen, waaronder BEC (Business Email Compromitting), thuiswerkfraude, chequefraude en creditcardfraude. Ze richtten zich meer dan vijf jaar lang op nietsvermoedende slachtoffers over de hele wereld.

In dit artikel lees je hoe ze de oplichterspraktijken uitvoerden en, nog belangrijker, hoe jij kunt voorkomen dat je slachtoffer wordt van soortgelijke tactieken.

 

Stap 1 - e-mailaccounts hacken

Om toegang te krijgen tot de e-mailaccounts van de slachtoffers lanceerden Okpe en medeplichtigen e-mailphishingaanvallen waarbij ze duizenden e-mailadressen en wachtwoorden verzamelden. Daarnaast verzamelden ze grote hoeveelheden creditcardgegevens en persoonlijk identificeerbare informatie van de nietsvermoedende personen.

Over het algemeen bestaat de meest voorkomende vorm van phishing uit het verzenden van e-mails. Deze e-mails lijken officiële berichten te zijn met een gevoel van urgentie, afkomstig van betrouwbare instellingen zoals banken, e-mailproviders en werkgevers. Door valse berichten te sturen en een gevoel van urgentie op te roepen, proberen ze gebruikers te verleiden om hun geld, inloggegevens, creditcardgegevens of andere waardevolle gegevens af te staan.

Een andere techniek om in te breken in iemands account is simpelweg het omzeilen van een zwak wachtwoord, denk aan een wachtwoord dat ofwel te kort is of bestaat uit een te eenvoudige set tekens. Scammers kunnen dit gemakkelijk kraken met behulp van "brute-force technieken". Dit zijn technieken waarbij iemand door het systematisch proberen van alle mogelijke combinaties van wachtwoorden, pincodes of sleutels probeert om toegang te krijgen tot een beveiligd account, apparaat of systeem. Het gekaapte bedrijfsaccount kan worden gebruikt voor vervolg phishingaanvallen op klanten of voor het in gevaar brengen van zakelijke e-mail. 

Als je wachtwoord bijvoorbeeld acht tekens lang is en alleen uit kleine letters bestaat, kan een geautomatiseerd hulpprogramma het in een paar seconden raden. Een wachtwoord dat complex is, maar uit slechts zes tekens bestaat, kan net zo snel worden gekraakt.

Hackers maken ook vaak misbruik van de neiging van mensen om wachtwoorden te maken die extreem makkelijk te raden zijn zonder hulp van speciale tools. Volgens een database van 3 TB met wachtwoorden die bij beveiligingsincidenten zijn gevonden, was het populairste wachtwoord in 30 landen,  "wachtwoord". Op de tweede plaats kwam "123456", gevolgd door het iets langere (maar niet veel betere) "123456789". De top vijf werd afgesloten door "guest" en "qwerty". De meeste van deze log-ins kunnen in minder dan een seconde worden gekraakt.

Gebruik altijd lange, complexe en unieke wachtwoorden of wachtzinnen om te voorkomen dat je wachtwoord gemakkelijk geraden of geforceerd kan worden.

 

Stap 2 - zakenpartners aanvallen

Nadat ze toegang hadden gekregen tot de rekeningen van het slachtoffer, stuurden Okpe en zijn team e-mails naar werknemers van bedrijven die zaken deden met het slachtoffer. In deze mails droegen ze de doelwitten op om geld over te maken naar bankrekeningen die werden beheerd door de kwaadwillenden. Deze e-mails leken afkomstig te zijn van het slachtoffer, maar waren instructies voor ongeautoriseerde overboekingen door Okpe en zijn collega’s.

Deze aanvallen, die 'business email compromise attacks' worden genoemd, zijn een vorm van spearphishing. Terwijl bij reguliere phishingaanvallen het net breed wordt uitgespreid en onbekende slachtoffers het doelwit zijn, richt spearphishing zich op een specifiek persoon of een specifieke groep mensen. Kwaadwillenden bestuderen alle online beschikbare informatie over een beoogd persoon en passen hun e-mails daarop aan.

Dit maakt het natuurlijk moeilijker om zulke e-mails te herkennen, maar er zijn een aantal duidelijke aanwijzingen. Deze berichten komen bijvoorbeeld vaak uit het niets, roepen een gevoel van urgentie op of gebruiken andere druktactieken en bevatten bijlagen of (verkorte) URL's die naar dubieuze sites leiden.

Als een spearphishing-campagne erop gericht is om je gegevens te stelen, kan tweefactorauthenticatie (2FA) je een heel eind op weg helpen om veilig te blijven. Het vereist dat de gebruiker naast de gebruikersnaam en het wachtwoord nog andere informatie verstrekt, meestal een eenmalige toegangscode. De populairste optie is een verificatiecode via een sms-bericht, maar speciale 2FA-apps en fysieke sleutels bieden een hoger beveiligingsniveau.

Als jou als werknemer wordt gevraagd om overboekingen te doen, vooral onder een krappe deadline, controleer deze verzoeken dan nogmaals met de persoon die het verzoek zou doen.

 

Stap 3 - mensen verleiden om gestolen geld over te maken

Bij de "thuiswerk" zwendel deed de bende zich voor als online werkgevers en plaatsten zij advertenties op vacaturesites en forums onder verschillende fictieve online personas. Ze deden alsof ze grote aantallen mensen uit de hele Verenigde Staten wilden inhuren voor thuiswerkfuncties.

Hoewel de functies als legitiem werden aangeprezen, lieten de oplichters de werknemers taken uitvoeren die de zwendel van de groep vergemakkelijkten. Zo hielpen de slachtoffers de oplichters onbewust met het aanmaken van bankrekeningen en rekeningen voor het verwerken van betalingen, het overmaken of opnemen van geld van rekeningen en het verzilveren of storten van valse cheques.

Om te voorkomen dat je in een thuiswerkoplichterij trapt, moet je onderzoek doen. Zoek de naam, het e-mailadres en het telefoonnummer van het bedrijf op en controleer of er klachten zijn over het gedrag en de praktijken van het bedrijf. Als je online een baan zoekt, begin dan bij legitieme vacaturesites en andere betrouwbare bronnen.

 

Er is meer:

Bovendien hielden Okpe en medesamenzweerders zich bezig met zwendel op het gebied van romantiek. Ze creëerden fictieve identiteiten op datingwebsites en begonnen romantische relaties met mensen die op zoek waren naar liefde. Nadat ze het vertrouwen van hun slachtoffers hadden gewonnen, gebruikten Okpe en anderen hen om geld over te maken naar het buitenland en geld te ontvangen van frauduleuze overschrijvingen.

Veel romantische oplichters gebruiken hetzelfde draaiboek, waardoor het makkelijker is om hun trucs te herkennen en er alert op te zijn. Kijk uit voor online minnaars die:

  • Slachtoffers veel persoonlijke vragen stellen, maar ontwijkend zijn als ze vragen krijgen over hun eigen leven
  • Snel hun liefde verklaren
  • Het gesprek snel van de datingsite naar een privéchat verplaatsen
  • Ingewikkelde smoesjes verzinnen om niet persoonlijk af te spreken of een videogesprek te starten
  • Zeggen dat ze in het buitenland wonen of werken
  • ‘Perfecte’ profielfoto's hebben
  • Zielige verhalen vertellen over waarom ze geld nodig hebben, bijvoorbeeld om reiskosten of medische kosten, visa en reisdocumenten te betalen.

Wees voorzichtig met ongevraagde online communicatie en let op de signalen van online fraude.