Cybercrime / computercriminaliteit / www.alertonline.nl

[Live]

Wet computercriminaliteit III noodzakelijk in de opsporing van criminelen

27 januari 2016 - Openbaar Ministerie

Het is voor het Openbaar Ministerie en de politie noodzakelijk dat de wet computercriminaliteit III wordt aangenomen, om de opsporing en vervolging van cybercriminelen te versterken.

De ontwikkelingen op het terrein van technologie, internet en communicatie gaan razendsnel. Ook criminelen hebben toegang tot steeds meer en verder ontwikkelde digitale middelen en technieken. Ze gebruiken onder meer encryptie om bestanden te beveiligen, beveiligde communicatiediensten (zoals Whatsapp, Skype en Viber en Telegram), anonieme hotspots en cloud computing diensten.

Daarmee proberen ze hun criminele activiteiten te verhullen en uit handen te blijven van Openbaar Ministerie (OM) en politie. Daarnaast zijn burgers en bedrijven zich nog onvoldoende bewust van de gevaren van een computervredebreuk. Daardoor is de kans op grote hacks reëel met alle risico’s en gevolgen van dien.

Top 10
Nederland staat in de top 10 van landen ter wereld met de meeste cyberaanvallen. De uitstekende infrastructuur van snel, goedkoop en stabiel internet in Nederland trekt wereldwijd cybercriminelen aan, die de servers in ons land gebruiken voor hun illegale praktijken.

De bestaande bevoegdheden van OM en politie zijn onvoldoende toegesneden op de voortschrijdende technologische ontwikkelingen. Het OM acht het om die reden noodzakelijk dat de wet computercriminaliteit III wordt aangenomen en ingevoerd, om de opsporing en vervolging van (computer)criminelen te verbeteren en te versterken.

Wet opsporing computercriminelen
De wet computercriminaliteit III biedt essentiële bevoegdheden voor de opsporing en vervolging van (cyber)criminaliteit. Deze wet voor de opsporing van (computer)criminelen stelt de heling van gegevens strafbaar. Tevens creëert deze een bevoegdheid voor opsporingsambtenaren om de computer van criminelen binnen te gaan, om ernstige strafbare feiten op te sporen en tegen te gaan dat (computer)criminelen meer ernstige feiten plegen.

Bovendien stelt de wet het strafbaar om (online) minderjarigen te benaderen met als doel ontuchtige handelingen met hen te plegen. Maar ook om op internet goederen en diensten te koop aan te bieden zonder te leveren. Tot slot bouwt de wet de bevoegdheden van de officier van justitie uit om te bevelen dat gegevens op internet ontoegankelijk worden gemaakt. Dat gebeurt altijd met machtiging van de rechter-commissaris.

Niet te kraken
De huidige strafvorderlijke bevoegdheden zijn vooral gericht op communicatie die te onderscheppen is. Dus door een lopende stroom van communicatie te onderscheppen (tap, OVC) of (in beslaggenomen) gegevensdragers te onderzoeken.

Voor de niet te kraken gegevens en de huidige –en in de toekomst steeds meer te verwachten – ongrijpbare (gecrypte) communicatie, bieden de bestaande bevoegdheden van opsporingsambtenaren onvoldoende soelaas.

[zwelgje]

Bodegraven - De politie heeft dinsdagmorgen 16 februari vier mannen van 17, 18, 20 en 20 jaar uit Bodegraven aangehouden op verdenking van oplichting via Marktplaats. De politie was vanaf november 2013 een onderzoek gestart na een groot aantal meldingen van oplichting die bij het Landelijk Meldpunt Internet Oplichting waren ontvangen. Het spoor leidde naar de verdachten in Bodegraven.

De mannen worden er van verdacht tussen november 2013 en najaar 2015 meerdere personen te hebben opgelicht. Benadeelden reageerden op de Marktplaatsadvertenties en kochten een product (zoals smartphones en concertkaartjes), betaalden deze, maar kregen het echter niet opgestuurd. De politie heeft 58 aangiften opgenomen. Uit het onderzoek is ook gebleken dat vermoedelijk slechts een deel van de benadeelden daadwerkelijk een melding van oplichting heeft gedaan.

bron: politie.nl

[zwelgje]

In het kader van de bewustwording die Alert-online nastreeft, onderstaande nogmaals ter illustratie van de onveiligheid van publieke wifi-netwerken.

Tijdens een test met gratis wifi op het vliegveld van Barcelona hebben meer dan 2.000 gebruikers verbinding met verschillende openbare wifi-netwerken gemaakt die op het eerste gezicht betrouwbaar leken, maar in werkelijkheid al het wifi-verkeer van gebruikers analyseerden.

Avast stelt dat niet alle gebruikers opzettelijk verbinding maakten. Vaak staan mobiele apparaten zo ingesteld om automatisch met bekende netwerknamen verbinding te maken. "Hoewel gemakkelijk voor veel mensen, heb je met deze feature het risico om te worden bespioneerd door cybercriminelen die malafide wifi-netwerken met veelvoorkomende netwerknamen opzetten. Daarnaast is het verkeer bij wifi-netwerken die geen wachtwoord vereisen voor iedereen zichtbaar"

(Dit is op het vliegveld in Barcelona, maar een vergelijkbare test is meermaals in Nederland gedaan.)

Dit illustreert waarom je dus nooit automatisch verbinding moet maken met publieke wifinetwerken. Laat staan via publieke (wifi)netwerken inloggen op websites en fora welke geen gebruik maken van beveiligde verbindingen. Een beveiligde verbinding in een browser is te herkennen aan "https" ipv "http" en een slotje in/naast de adres balk.

Bij een niet beveiligde verbinding is het verkeer qua inhoud te onderscheppen door de beheerder van het wifinetwerk. Dat geldt dus ook voor het via een browser inloggen op dit forum terwijl je verbonden bent met een (publiek) wifinetwerk. Bij bepaalde manieren van inloggen worden je gebruikersnaam en wachtwoord onbeveiligd verstuurt naar de server.  Indien de beheerder het verkeer onderschept zijn beide als gewone tekst te lezen.

[zwelgje]

Bij een internationale operatie tegen verschillende fora voor computercriminelen zijn negen aanhoudingen verricht en 69 woningen en bedrijven doorzocht. Via de fora, die alleen via het "darknet" waren te bezoeken, werden illegale goederen zoals wapens, drugs, valse identiteitskaarten, waaronder ook Nederlandse id-documenten, vals geld en gestolen creditcardgegevens en gegevens voor internetbankieren aangeboden. Dat heeft de Duitse politie vandaag laten weten.

Uit het artikel bij de bron blijkt ook dat er servers in Nederland in beslag zijn genomen.

Het Duitse persbericht is o.a. hier te vinden : http://www.presseportal.de/blaulicht/pm/7/3263408 Daaruit blijkt dat hoofdverdachte een 27 jarige Bosniërs is die in dat land is aangehouden.

[zwelgje]

De politie heeft de afgelopen maand honderden slachtoffers van ransomware met het ontsleutelen van hun bestanden geholpen. Via de website NoMoreRansom biedt de politie verschillende decryptietools aan. Gisteren werd er een decryptietool voor de op Nederland gerichte WildFire-ransomware toegevoegd.

De website werd een maand geleden gelanceerd en moet slachtoffers zowel helpen bij het ontsleutelen van bestanden als het voorkomen van infecties. Toch lijkt het dat, gezien het door de politie genoemde aantal, veel slachtoffers de website nog niet weten te vinden, hun bestanden zelf al via een back-up hebben teruggezet of het losgeld hebben betaald. NoMoreRansom helpt slachtoffers van de ransomware-varianten Shade, WildFire, Chimera, CoinVault, TeslaCrypt, Rannoh en Rakhni.

Bij de bron ook een overzicht van de geschatte aantallen slachtoffers...

Zie ook het persbericht van de Nationale Politie : https://www.politie.nl/nieuws/2016/augustus/23/ransomware-slachtoffers-bezoeken-massaal-portal-no-more-ransome.html

[zwelgje]

In aanvulling op bovenstaande. De Politie heeft eerder een server offline gehaald welke gebruikt werd voor de communicatie met de crypto malware:

De politie heeft een server op het Tor-netwerk offline gehaald die criminelen achter de WildFire-ransomware gebruikten en zo de decryptiesleutels van 5800 slachtoffers bemachtigd, waarvan zo'n 3.000 Nederlanders en 2100 Belgen. Dat is vanavond bekendgemaakt.

In samenwerking met beveiligingsbedrijven Intel Security en Kaspersky Lab is er nu op de website NoMoreRansom.org een decryptietool ter beschikking gesteld. Met deze tool kunnen slachtoffers kosteloos hun bestanden terugkrijgen. De WildFire-ransomware werd in juli voor het eerst opgemerkt. De ransomware werd via e-mail verspreid en richtte zich vooral op Nederlandstalige internetgebruikers. De e-mail deed zich voor als een bericht van een transportbedrijf en liet ontvangers weten dat er een pakket niet kon worden afgeleverd. Via een link in de e-mail kon er een document worden gedownload om een nieuwe afspraak te maken. Het ging om een Word-document met een kwaadaardige macro.

Voor een volledige uitleg zie de bron van dit artikel.

[Live]

Anti-malware initiatief 'No More Ransom' met nog eens 13 nationale politiekorpsen uitgebreid

Laatste update: 17-10-2016 | 11:28

Driebergen - Slechts 3 maanden na de succesvolle lancering van het No More Ransom-project hebben wetshandhavingsinstanties uit nog eens 13 landen zich aangesloten om samen met de particuliere sector de strijd aan te gaan tegen ransomware. Het wereldwijde initiatief heeft inmiddels meer dan 2500 slachtoffers in staat gesteld om hun data te decoderen, en in totaal 1,35 miljoen euro aan losgeld te besparen.

Agent onderzoekt pc
De nieuwe leden zijn: Bosnië en Herzegovina, Bulgarije, Colombia, Frankrijk, Hongarije, Ierland, Italië, Letland, Litouwen, Portugal, Spanje, Zwitserland en het Verenigd Koninkrijk. Naar verwachting zullen zich de komende maanden meer wetshandhavingsinstanties en organisaties uit de particuliere sector bij het programma aansluiten. Hun samenwerking zal ertoe leiden dat meer gratis decryptie-tools beschikbaar komen, zodat nog meer slachtoffers hun apparaten kunnen decoderen en hun gekaapte data terugkrijgen. Op deze manier treffen we de cybercriminelen waar dit het meest pijn doet: in hun portemonnee.
De doelstellingen van het project worden ondersteund door Eurojust en de Europese Commissie, waaruit de bezorgdheid van de EU blijkt over de toenemende dreiging van ransomware.

www.nomoreransom.org
No More Ransom ging van start op 25 juli 2016, als initiatief van de Nederlandse Nationale Politie, Europol, Intel Security en Kaspersky Lab. Het introduceerde een nieuw samenwerkingsniveau tussen rechtshandhaving en de particuliere sector om gezamenlijk ransomware te bestrijden. Het doel van het online portal www.nomoreransom.org is een nuttige hulpbron te bieden aan slachtoffers van ransomware. Gebruikers kunnen er informatie vinden over wat ransomware is, hoe het werkt en, belangrijker nog, hoe ze zich ertegen kunnen beschermen.
Gedurende de eerste twee maanden slaagden meer dan 2.500 personen erin om hun data te ontsleutelen zonder de criminelen te betalen, met behulp van de belangrijkste decryptie-tools op het platform (CoinVault, WildFire en Shade). Dit heeft cybercriminelen naar schatting 1.35 miljoen euro aan losgeld gekost.

Ontsleutelen
Hoe meer wetshandhavingsinstanties en partners uit de particuliere sector samenwerken, hoe meer decryptie-tools er kunnen worden gemaakt en ter beschikking gesteld. Op dit moment staan er vijf decryptie-tools op de portal.

Sinds de lancering van de portal in juli, is de WildfireDecryptor toegevoegd en zijn twee decryptie-tools bijgewerkt: RannohDecryptor (bijgewerkt met een decryptor voor de ransomware MarsJoke oftewel Polyglot) en RakhniDecryptor (bijgewerkt met Chimera).

Grotere uitdagingen
"Europol ondersteunt de uitbreiding van het No More Ransom-project binnen de EU en internationaal volledig, om op een effectieve en gecoördineerde wijze op ransomware te kunnen reageren", zegt Steven Wilson, hoofd van het European Cybercrime Centre. "Ondanks de steeds grotere uitdagingen heeft het initiatief aangetoond dat een gecoördineerde aanpak van de EU-rechtshandhaving door alle relevante partners gezamenlijk kan resulteren in aanzienlijke successen in de strijd tegen deze vorm van criminaliteit, waarbij we ons richten op de belangrijke gebieden preventie en bewustwording. Ik heb er alle vertrouwen in dat deonline portal de komende maanden nog verder verbeterd wordt. Alle politiekorpsen worden van harte aangemoedigd om zich bij deze strijd aan te sluiten."

Gebundelde krachten
De strijd tegen ransomware lukt het best als wetshandhavingsinstanties en de particuliere sector hun krachten bundelen. Onderzoekers kunnen bredere malwareanalyse en diensten verstrekken, zoals internet scanning, en helpen om verbindingen te vinden tussen verschillende gegevens. Dit geeft de politie de mogelijkheid om de voor het uitvoeren van de aanval gebruikte servers te lokaliseren en in beslag te nemen. In sommige gevallen kan het inzicht van onderzoekers ook helpen bij het opsporen en arresteren van de verantwoordelijke criminelen. De in beslag genomen servers kunnen decryptiesleutels bevatten. Door deze te delen met particuliere bedrijven kunnen ze worden omgezet in decryptie-tools die slachtoffers helpen om hun data te ontgrendelen zonder daarvoor losgeld te betalen. Informatie-uitwisseling is dus de sleutel tot effectieve samenwerking tussen de politie en beveiligingsonderzoekers.

Om de doelgroep verder te verbreden en de resultaten nog beter te maken, wordt de portal momenteel aangepast om verschillende talen te ondersteunen. In een tweede fase verwelkomt het project ook nieuwe bedrijven uit de particuliere sector. Hiervoor is veel interesse en ontving het project al talloze verzoeken.

Losgeld
Ransomware is een vorm van malware die de computer van slachtoffers vergrendelt en hun gegevens versleutelt, waarna losgeld moet worden betaald om de controle over het getroffen apparaat of de bestanden terug te krijgen. Ransomware is een belangrijke bedreiging voor de rechtshandhaving in de EU: bijna tweederde van de EU-lidstaten voert onderzoek uit naar deze vorm van malware-aanvallen. Hoewel de doelwitten vaak apparaten van individuele gebruikers zijn, worden ook bedrijven en zelfs overheidsnetwerken erdoor beïnvloed.

[Live]

Politie haalt in samenwerking met Europol geavanceerd botnet offline

Laatste update: 01-12-2016 | 16:10

Driebergen - De politie heeft gisteren bij een internationaal gecoördineerde actie in samenwerking met onder andere Europol, Eurojust, FBI en de Duitse politie Lüneburg een geavanceerd botnet offline gehaald. Het gaat om het Avalanche-botnet, dat door cybercriminelen gebruikt werd om wereldwijd meer dan 20 soorten banking malware en ransomware te verspreiden. Het Avalanche-botnet bestond gemiddeld uit 500 duizend geïnfecteerde computers.

Agent onderzoekt pc
Om het botnet uit te schakelen zijn gisteren 800.000 domeinen in beslag genomen of geblokkeerd. Deze domeinen werden door de malware gebruikt om met besmette computers te communiceren. Het verkeer tussen geïnfecteerde computers en het botnet is in bepaalde gevallen omgeleid om slachtoffers te kunnen informeren, een werkwijze die ook wel "sinkholen" wordt genoemd.

Nederland
Het internationale onderzoek begon vier jaar geleden in Duitsland nadat ransomware een groot aantal computers in het land had geïnfecteerd en/of geblokkeerd. Duits onderzoek wees uit dat het botnet uit een grote hoeveelheid geïnfecteerde computers bestond die gedurende een bepaalde periode zijn aangestuurd vanuit diverse cruciale servers in Nederland. Deze werden onder andere gebruikt als command and control-server (centrale server waarmee cybercriminelen het botnet konden aansturen). Deze servers zijn gisteren offline gehaald bij zes verschillende hosting providers.

Money mules
Het team High Tech Crime van de Landelijke Eenheid van de politie heeft via Duitse rechtshulpverzoeken internettaps geplaatst op verschillende (command and control) servers. Ook wordt nog verder onderzoek verricht naar de huurders van de servers en naar Nederlandse verdachten. Deze verdachten hielden zich met name bezig met de financiële kant van het criminele proces. Zij fungeerden bijvoorbeeld als ‘money mule' door hun rekeningen beschikbaar te stellen aan criminelen om gestolen geld te kunnen ontvangen en doorsturen.

Wereldwijde resultaten
In totaal zijn in 30 landen acties uitgevoerd, waarbij vijf verdachten werden aangehouden. Daarnaast zijn 39 servers in beslag genomen en 221 servers offline gehaald. In meer dan 180 landen werden infecties aangetroffen.

Vandaag verschijnt op de website van Europol een persbericht over de internationaal gecoördineerde actie: www.europol.europa.eu/newsroom

[Live]

Politie investeert in professionaliseren digitaal rechercheurs

Laatste update: 30-11-2016 | 16:52

Arnhem - ‘Rond 700 digitaal forensisch specialisten delen kennis en kunde op de Dutch Cyber Conference op 29 en 30 november’. Dit twitterde Theo van der Plas, hoofd Operatiën Landelijke Eenheid en portefeuillehouder digitalisering en cybercrime, op 29 november bij de start van de twee themadagen over digitaal opsporen. Op Papendal in Arnhem kwamen de afgelopen twee dagen cybercrimespecialisten van binnen en buiten de politie samen om hun expertise uit te wisselen.

Tweedaagse
Sinds 1995 wordt jaarlijks een tweedaagse georganiseerd voor digitaal forensische specialisten van de politie, Marechaussee, Belastingdienst, overige opsporingsdiensten en NFI. Het programma bestond uit diverse hoog technische workshops op het gebied van beeldonderzoek en biometrie, forensische big data-analyse en presentaties van onder meer Laura Chappell en Dany Mekic. Uit de Verenigde Staten namen enkele topexperts uit Digital Forenensic deel.

Complexe cyberonderzoeken
Theo van der Plas: “Bijna alle vormen van criminaliteit digitaliseren, dit stelt de politie voor nieuwe uitdagingen. Om die wereld te doorgronden, hebben we goed opgeleide specialisten nodig die grootschalige en complexe cyberonderzoeken op kunnen lossen. Met al deze workshops en lezingen anticiperen we op de meest recente ontwikkelingen in de digitale wereld. Door kennis met elkaar te delen over de nieuwste forensische tools, professionaliseren onze digitale rechercheurs zich verder”.

Red nose hacker en cyberspecialisten
De inhoud van het congres is volledig samengesteld door een netwerk van cyberspecialisten. Erik Akerboom sloot de eerste dag af en twitterde maandagavond 29 november ‘The red nose cyber challence 2016” 150 specialisten in teams tegen een red nose hacker tot diep in de avond, veel adrenaline bij de start!’ Het was de afsluiting van de dag, waarbij een groot aantal deelnemers technische digitale opdrachten uitvoerde en de challenge met elkaar aanging.  Dinsdag 30 november gaf onder meer Laura Chappell (de absolute netwerkspecialiste uit de Verenigde Staten) een presentatie over de gevaren van het gebruik van open wifibronnen. Peter R. de Vries sloot het congres af en gaf tips aan de aanwezige digitale experts.

[zwelgje]

Politie haalt in samenwerking met Europol geavanceerd botnet offline

Zie ook : https://www.security.nl/posting/494601/Politie+haalt+botnet+met+800_000+domeinen+offline?channel=rss

Daaruit wat achtergrond informatie over wat Avalanche nu deed/was:

Cybercriminelen konden de servers van Avalanche huren en gebruiken voor het lanceren van malwarecampagnes, bijvoorbeeld door het versturen van e-mails, maar ook phishingmails en e-mails voor het rekruteren van geldezels werden via de servers verstuurd. Wat betreft de malware ging het om ransomware en banking Trojans die gegevens voor internetbankieren stelen. Met de gestolen gegevens werd vervolgens gefraudeerd. Op het hoogtepunt werd het netwerk gebruikt voor het hosten van allerlei verschillende soorten malware, zoals Citadel, Goznym, Virut, Rovnix, Teslacrypt en Vawtrack. Verder waren er dagelijks zo'n 500.000 computers wereldwijd onderdeel van het botnet. Volgens het Duitse Bundesamtes für Sicherheit in der Informationstechnik (BSI) bestond het botnet voornamelijk uit Windowscomputers en Androidtelefoons.