Wereldwijd aanhoudingen voor online identiteitsdiefstal miljoenen mensen

Vandaag heeft de Nederlandse politie in samenwerking met de FBI, Europol en andere politiediensten, een groot crimineel handelsplatform offline gehaald. Daarnaast zijn er wereldwijd honderden gebruikers van dit platform gearresteerd. Het platform, genaamd de Genesis Market, bood kopers gestolen gebruikersinformatie aan.

We leggen je graag uit hoe dit handelsplatform opereerde, wat je kunt doen om te controleren of ook jouw gegevens hier te koop werden aangeboden en welke rol onze security researchers in dit onderzoek hebben gespeeld.

Wat is de Genesis Market?

Platform de Genesis Market is een handelsplatform van criminelen voor criminelen. Uit het onderzoek van de FBI bleek dat op de Genesis Market de kopers vier jaar lang gestolen 'online fingerprints' konden aanschaffen. Met deze gestolen online fingerprints kunnen kopers inloggen op gebruikersaccounts (voor bijvoorbeeld PayPal, webwinkels, beleggingsrekeningen, crypto exchanges etc.) van hun slachtoffers. Het platform was alleen toegankelijk met een uitnodiging, waarbij reeds bestaande leden nieuwe leden konden uitnodigen.

Door de jaren heen zijn er meer dan 1,6 miljoen 'bots' (zoals de Genesis Market deze fingerprints noemt) aangeboden van vermoedelijk meer dan 2 miljoen slachtoffers wereldwijd. De gegevens werden gestolen van computers die zijn geïnfecteerd met malware, bijvoorbeeld omdat de gebruiker geïnfecteerde illegale software had gedownload en geïnstalleerd. Er zijn valse websites in omloop waar cybercriminelen mensen naartoe lokken om op het oog legale software te downloaden. Deze websites worden gepromoot via bijvoorbeeld via Google Ads zodat ze boven in de zoekresultaten terechtkomen en daardoor veel bezoekers trekken. De op het oog legale software op deze websites blijkt geïnfecteerde illegale software te zijn.

De prijs per bot op de Genesis Market werd bepaald door het soort gestolen gegevens van een slachtoffer. Zo werden creditcardgegevens of de gegevens van een account op een crypto-exchange een stuk duurder te koop aangeboden dan enkel inloggegevens voor een webwinkel die waren buitgemaakt. De prijzen liepen uiteen van een paar dollar tot enkele honderden dollars per bot.

Wat werd er precies verhandeld?

De Genesis Market handelde in zogeheten online fingerprints. Kort gezegd kregen kopers hiermee toegang tot informatie die opgeslagen was in de browser van een slachtoffer. Hieronder vallen bijvoorbeeld alle gebruikersnamen en de bijbehorende wachtwoorden die in je browser zijn opgeslagen. Kopers kunnen hiermee zelfstandig inloggen op één van je accounts. Daarnaast werden ook al je cookies gestolen. De kopers konden hiermee direct toegang krijgen tot nog actieve sessies. Mocht je bijvoorbeeld reeds ingelogd zijn op je (werk)mail, dan hoeven de cybercriminelen niet zelf in te loggen.

Kopers ontvingen ook een unieke online fingerprint van je systeem. Veel sites proberen namelijk te verifiëren of een inlogpoging afkomstig is van een vertrouwd systeem, bijvoorbeeld omdat je het systeem ooit eerder hebt gebruikt om in te loggen. Indien het systeem vertrouwd is kunnen eventuele extra verificatiestappen namelijk mogelijk worden overgeslagen. De dienst zal je dan bijvoorbeeld niet vragen om een multifactor-code in te voeren. Het na kunnen bootsen van een vertrouwd systeem kan een koper daarmee helpen om bepaalde verificatiestappen te omzeilen, en niet als verdacht te worden aangemerkt.

Wie kopen dit soort gegevens?

Accountgegevens en online fingerprints zijn vooral in trek bij criminelen die deze gegevens gebruiken voor verdere fraude. Denk hierbij aan het bestellen van artikelen bij webwinkels middels achteraf betalen of door het stelen van iemands crypto-wallet. Maar daarnaast zouden de gegevens ook gebruikt kunnen worden om toegang te krijgen tot een bedrijfsnetwerk, bijvoorbeeld voor het verspreiden van ransomware.

Controleer of ook jouw gegevens werden verhandeld

De politie heeft een speciale website in het leven geroepen waar je kunt controleren of ook jouw gegevens zijn aangeboden op de Genesis Market. Ga naar https://politie.nl/checkjehack en vul hier je e-mailadres in. Je ziet meteen de melding of je bent gehackt of niet.

Zit je ertussen? Dat is balen! Maar met deze tips zorg je ervoor dat criminelen weinig meer kunnen met jouw gegevens:

1. Log uit bij je meest belangrijke diensten, zoals bijvoorbeeld je (werk)mail. Hiermee zorg je ervoor dat de gestolen cookies niet meer geldig zijn.
2. Herinstalleer nu je computer. Helaas is dit nodig om er zeker van te zijn dat de malware volledig van je systeem is verwijderd. Het is belangrijk dat je deze stap volgt alvorens je doorgaat met de andere stappen.
3. Computer opnieuw geïnstalleerd? Super, de malware kan nu niet meer stiekem over je schouder meekijken. Dus nu snel overal je wachtwoorden wijzigen. Gebruik hiervoor unieke (sterke) wachtwoorden per website. We horen je denken, hoe moet ik al die wachtwoorden onthouden? Maak hiervoor gebruik van een wachtwoordmanager (voorbeelden zijn 1Password, Bitwarden of iCloud keychain).
4. Blijf de komende tijd alert op verdachte activiteiten. Bijvoorbeeld op meldingen van je pensioenfonds, crypto-exchange etc.
5. Haal rustig adem, je hebt alle waardevolle gegevens voor de criminelen weggenomen!
6. Lees ook nog even de onderstaande tips, om te zorgen dat dit je niet nog eens overkomt.

Voorkom dat je wordt gehackt

Zijn jouw gegevens niet te koop aangeboden op de Genesis Market? Top! Met deze tips zorg je ervoor dat de kans dat dit in de toekomst gebeurt zo klein mogelijk is:

1. Installeer altijd zo snel mogelijk beveiligingsupdates voor je systeem.
2. Maak gebruik van een virusscanner om te voorkomen dat virussen zich kunnen nestelen in je systeem.
3. De meeste van de infecties voor dit platform kwamen via het installeren van (illegale) software. Zorg er dus voor dat je enkel legale software gebruikt, en let goed op dat je deze download van de website van de fabrikant.
4. Gebruik unieke (sterke) wachtwoorden per website. We horen je denken, hoe moet ik al die wachtwoorden onthouden? Maak hiervoor gebruik van een wachtwoordmanager (voorbeelden zijn 1Password, Bitwarden of iCloud keychain).
5. Schakel multifactor authenticatie (ook wel two-factor authenticatie genoemd) in waar dit kan.

Wat heeft de politie gedaan?

Op 4 april zijn er wereldwijd op honderden plekken invallen gedaan om gebruikers van het platform te arresteren. Dit zijn gebruikers die worden verdacht van het aankopen en misbruiken van gestolen gegevens van slachtoffers. Tevens is het domein van het platform in beslag genomen om verder gebruik van het platform de Genesis Market te bemoeilijken.

Daarnaast probeert de politie nu slachtoffers te bereiken om ervoor te zorgen dat slachtoffers de juiste maatregelen kunnen nemen om zich te beschermen. Ga hiervoor naar https://politie.nl/checkjehack.

Hoe heeft Computest bijgedragen?

Om Nederland digitaal veilig te houden werkt de politie intensief samen met publieke en private partijen. Wij leveren hier graag een bijdrage aan. Naast ons heeft ook Trellix ondersteuning aangeboden. Tijdens het onderzoek van de politie is onze onderzoeksafdeling met ervaren security researchers gevraagd om ter ondersteuning technische expertise te leveren. Zij hebben de technische werking onderzocht van zowel de malware alsmede de tooling die kopers tot hun beschikking kregen om online fingerprints aan te schaffen. Een bijdrage leveren aan het onderzoek van de politie had als doel om te kijken hoe slachtoffers extra konden worden geholpen en hoe kopers op de Genesis Market nog verder kunnen worden geïdentificeerd.

• Lees de technische details en bevindingen van onze security researchers in het onderzoek naar handelsplatform de Genesis Market.