Onderzoekers breken via internet in op auto

Op afstand inbreken in een VW Golf GTE en een Audi A3 – het kan! Onderzoekers van beveiligingsbedrijf Computest wisten via het multimediasysteem van de auto, dat aangesloten is op internet, in te breken in de auto’s. Om juridische problemen te voorkomen, onderzochten ze niet of ze de auto konden besturen of laten remmen. Bij de Audi konden ze contact leggen met de simkaart die in de auto zit, bij de VW lukte het via wifi. Of auto’s te hacken zijn, hangt volgens beveiligingsonderzoeker Daan Keuper af van de vraag hoe goed het mobiele netwerk de auto beschermd. De auto’s zijn ook te hacken door een aanval op de usb-poort in de auto. Keuper benadrukt dat ze alleen ín de auto zijn gekomen. In 2015 wisten andere onderzoekers een gehackte auto al te laten stoppen.

Advertenties

“Pornohacker” blijkt VVD-politicus

De politie blijkt de hacker te hebben opgepakt die naaktfoto’s en -video’s pikte uit computers van (bekende) Nederlanders. De verdachte is VVD-politicus Mitchell van der K. (33) uit Almere. Hij werd ontmaskerd door Telegraaf-journalist John van den Heuvel in het tv-programma Online Misbruik Aangepakt en zou, vanaf 2016, circa honderdtachtig (iCloud-)accounts van vrouwen hebben gehackt. De zaak kwam aan het licht toen vlogster Laura Ponticorvo aangifte deed nadat van haar tientallen seksbeelden online kwamen. Inmiddels hebben dertig vrouwen aangifte gedaan. De verdachte heeft zich per direct teruggetrokken uit de lokale politiek. Omroep Flevoland meldde al eerder dat Van der K., die op basis van de gemeenteraadsverkiezingen van maart jl recht had op een plek in die raad, al voor die verkiezingen zei dat niet te zullen doen wegens ‘zwaarwegende privéomstandigheden’. De VVD heeft hem inmiddels geroyeerd. Eind februari liet de politie weten dat een man was aangehouden die zich ‘toegang wist te verschaffen tot verschillende online opslagruimtes voor foto’s en video’s van enkele tientallen privépersonen’.
Inmiddels is ook bekend dat de man dertigduizend privéfoto’s in bezit had. Een deel van de foto’s kon worden geïdentificeerd omdat de vrouwen bekende Nederlanders zijn.

Experts pleiten voor “nationale firewall” tegen DDoS-aanvallen

Vijf beveiligingsexperts pleiten in een open brief voor een ‘nationale firewall’ die Nederland moet beschermen tegen DDoS-aanvallen en andere digitale criminaliteit. Die DDoS-aanvallen worden steeds groter en gaan ‘naar de terabit per seconde’, aldus SIDN-hoofd Cristian Hesselman, een van de vijf ondertekenaars. Veel organisaties nemen nog op eigen houtje maatregelen als er wat gebeurt maar betere samenwerking zou veel kunnen voorkomen. Ook UT-onderzoeker Jeroen van der Ham zegt dat de impact van DDoS-aanvallen groot is. ‘Je zou denken dat het nu wel goed geregeld is, maar je zag laatst weer met die DDoS-aanvallen dat dat tegenviel’. Het Nationaal Cyber Security Centrum herkent de zorgen en is positief over de plannen, zegt woordvoerder Anna Sophia Posthumus. Onbekend is of het NCSC zelf die firewall wil bouwen en onderhouden.

Twintig hackers opgepakt in zaak van één miljoen

In een grote Europese actie hebben de politie van Italië en Roemenië met hulp van Europol een bende hackers opgerold die meer dan 1 miljoen euro buitmaakte. De bende stuurde e-mails zogenaamd van belastingdiensten afkomstig, om daarmee bankgegevens van particulieren te bemachtigen. Opvallend is dat deze mails niet naar duizenden of miljoenen gebruikers gingen maar zeer specifiek naar bepaalde doelgroepen. Het politieonderzoek duurde twee jaar. Bij de actie zijn in totaal twintig verdachten opgepakt, elf in Italië en negen in Roemenië.

Criminelen hacken sleutels en roven daarna auto’s leeg

In de kop van Noord-Holland zijn in een maand tijd zeker 21 auto’s leeggeroofd. De boeven wisten de elektronische sleutels te hacken en gingen er vandoor met airbags en navigatiesystemen. Het scannen gebeurde soms door deuren en muren heen, meldt Bureau NH. Een autobedrijf in de regio meldt ‘een complete chaos’ en adviseert de sleutels veilig te bewaren, bijvoorbeeld in een koekblik.

Een Facebook-login? Slechts 4,20 euro

Volgens een recent rapport van content-marketeer Fractl is er steeds meer gebruikersdata gewoon te koop op het darkweb. Het bedrijf analyseerde fraudegerelateerde lijsten op de drie grootste darkwebs Dream, Point en Wall Street Market. Daar blijkt een facebook-account niet meer dan 4,20 euro te kosten. Voor dat geld krijgen kopers ook toegang tot honderden ‘vampierapps’ die met je fb-account toegankelijk zijn. Andere data is soms spotgoedkoop (81 cent voor een mailaccount, 5,67 euro voor een Uber-login), soms duurder (129 euro voor details over online bankieren, 200 euro voor een PayPal-account). Wil je iemands hele online identiteit overnemen, dan ben je voor 972 euro klaar, aldus een vergelijkbare studie van beveiliger Top10 VPN. Die onderzoekers vonden ook zogeheten fullz, gebundelde informatiepakketten met naw-gegevens, factuuradressen, familienamen, burgerservicenummers, geboortedatums en andere privégegevens.

Van computercriminaliteit wordt zelden melding gedaan

Cybercrime? Los van het feit dat het een steeds groter containerbegrip wordt, blijft ook de aanpak ervan een probleem. Verschijningsvormen van online criminaliteit – een betere omschrijving – veranderen continu en aan de zijde van politie en OM gaat ook nog van alles fout. Technisch gezien loopt de Nederlande politie voorop, zie de Hansa-zaak, maar bij justitie is het thema nog altijd niet ingeburgerd, reden voor het OM Noord-Nederland om alle (230) medewerkers op cybercrimecursus te sturen. Volgens het CBS wordt hooguit 8% van alle cybercriminaliteit gemeld. Volgens Officier van justitie Dirk ten Boer van het OM Noord-Nederland hebben burgers er ‘blijkbaar geen vertrouwen in’ dat hun zaak wordt opgelost. Toen hij zelf een keer met oplichtingsmails te maken kreeg, liet hij het er ook bij zitten, zegt hij. ‘Dat moet niet. Ik zou iedereen willen oproepen altijd aangifte te doen. Misschien lossen we de zaak niet op, maar dan weten we in elk geval wat er speelt en kunnen we ermee aan de slag’. En dat geldt dan zowel voor de ‘Microsoftscam’ die vrijwel niet op te lossen is, voor zogeheten CEO-fraude, waarbij iemand van een lokaal kantoor even een paar ton moet overmaken naar het ‘hoofdkantoor’, voor fraudes waarbij een webadres misbruikt wordt en zelfs voor sextortion-zaken.

“Bitcoinfabriek” aangetroffen

Waar agenten eerst nog dachten een hennepkwekerij aan te treffen, bleek het een ‘bitcoinfabriek’. Netbeheerder Enexis had een opvallend hoog stroomverbruik geconstateerd in een bedrijfspand in Rijen. In de loods bleken tientallen computers bezig met het minen – delven – van cryptovaluta, onduidelijk welke trouwens. Bij dat minen is veel rekenkracht nodig en dus veel computers en veel stroom. De huurder van het pand (37, uit Tilburg) is opgepakt voor diefstal van stroom en witwassen. Diens auto is in beslag genomen, net als alle apparatuur in het pand. Het minen zelf is overigens niet strafbaar.

VS: Politie gebruikt nieuwe iPhone-kraakdienst

Een iPhone, die is toch niet te kraken? Wel dus. Zelfs door agenten: de politie in de staat Indiana gebruikt software van het bedrijf Grayshift om iPhones van verdachten te kraken. Grayshift is naar eigen zeggen het tweede bedrijf dat iPhones kan kraken; een Israëlische bedrijf claimde eerder de primeur. Volgens techsite Motherboard blijkt uit documenten dat de agenten voor slechts vijfhonderd dollar een ‘ontgrendeling’ kochten en later voor 14.500 dollar een licentie afsloten, voor 300 iPhones.

VS: FBI arresteert ‘telefoonmaker voor drugssmokkelaars’

De FBI heeft topman Vincent Ramos van het Canadese it-bedrijf Phantom Secure opgepakt voor deelname aan een criminele organisatie en medeplichtigheid aan drugshandel. Ramos’ bedrijf zou BlackBerry- en Android-telefoons zó aanpassen dat ze niet meer te traceren zijn, schrijft Motherboard. Camera en microfoon zouden verwijderd worden en speciale versleutelingssoftware zou alle communicatie via HongKong en Panama laten lopen – landen die niet meewerken met de FBI. Wereldwijd zouden twintigduizend door Phantom aangepaste telefoons in gebruik zijn, onder meer bij het Mexicaanse Sinaloa-drugskartel.

Saunabezoekers, camerabeelden en voyeursites

In de soap rond ‘gluursauna’s’ duiken vrijwel dagelijks nieuwe incidenten op. Het begon met (oude) beelden van Nederlandse handbalsters. De politie deed onderzoek in die sauna en vond er nog één werkende en drie afgesloten camera’s – waar sauna-eigenaar Erik van Ingen Schenau eerder verklaarde dat alle camera’s weggehaald waren. De politie zegt veel mails te krijgen van bezorgde saunabezoekers: sta ik er op, waar moet ik zoeken en wat kan ik ertegen doen. Volgens een politiewoordvoerder zijn alle gevonden saunabeelden van de sekssites verwijderd ‘maar kunnen we niet uitsluiten dat ze ergens anders weer opduiken’. Tja. In Drachten kwam afgelopen weekend een man in beeld die het filmpje van de handbaldames verspreidde. Deze man, opgespoord via zijn ip-adres, is verhoord maar nog niet aangehouden, aldus de politie.
Een vrouw (32, uit Nijmegen) die eerder slachtoffer werd van de gehackte camera in Nederasselt, zegt tegen het AD dat haar aangifte ‘zinloos was’. Volgens de vrouw weigerde de politie zelfs haar aangifte op te nemen. De vrouw kreeg naar eigen zeggen in januari al te horen dat er naaktbeelden van haar op Xhamster stonden. ‘Je ziet me helemaal naakt, ik sta dichter bij de camera dan die handbaldames’. Ze vindt het raar dat ze geen aangifte kon doen, wel melding, en dat het bij de handbaldames binnen 24 uur wel geregeld was. De politie zegt dat de vrouw verkeerd is behandeld en doorverwezen had moeten worden naar een zedenrechercheur.
In een reactie op ‘saunagate’ zegt directeur Arda Gerkens van het EOKM dat ze de videoplatforms waarop zulke filmpjes te zien zijn, harder wil aanpakken. Ook bij het EOKM komen steeds meer meldingen van mannen die via e-mail worden afgeperst. Op sites als Pornhub en Xhamster zijn die stiekem gemaakte filmpjes razend populair, ze genereren soms meer verkeer dan YouTube en Netflix. Gerkens vindt dat zulke sites strenger aangepakt moeten worden; beelden van de handbaldames bleven nog tientallen uren online staan. Verder adviseert ze de webcam af te plakken. ‘Seksfilmpjes kijken maakt kwetsbaar’ en ook al doe je niks anders dan elke andere gezonde man, ‘je wilt niet dat de hele wereld meekijkt’.
Maar meegekeken wordt er. En hoe. ‘Geen vrouw is veilig voor de voyeurs’, schrijft NOS-journalist Joost Schellevis over het (in de VS geregistreerde) forum waar de handbalbeelden stonden. De beelden komen van gehackte beveiligingscamera, van gestolen telefoons of zijn gewoon stiekem opgenomen. Ze zijn simpel te vinden, iedereen kan zich op het forum (170.000 leden, 200.000 berichten) registreren, de plaatjes zijn gratis en voor een paar tientjes per maand zijn ook alle video’s te bekijken. Gebruikers wisselen er tips en trucs uit en geven commentaar op elkaars filmpjes. Filmers melden er trots hoe ze die ene dame weer in beeld hebben. ‘I got her again. Have fun with this wonderful and very unlucky lady. Tell me when you came on her’.

In Gent, België is rumoer ontstaan over filmpjes die mogelijk zijn gemaakt in een kleedkamer op de Hogeschool. Meerdere personen dienden klacht in bij de politie over de filmpjes die op een Nederlands internetforum staan. De Hogeschool zelf heeft aangifte gedaan nadat NOS-journalist Joost Schellevis ontdekte dat er bij Xhamster ook Vlaamse studentes te zien waren. Volgens Belgische media maakte de onbekende voyeur ook opnames in winkels, op zijn eigen werkplek en in een zwembad. Die beelden zette hij ook online, soms ondertekend met ‘Ninja Voyeur’ maar vooral onder zijn alias ‘dgreedb’, op een speciale shower-pagina nog wel; ze werden 170 duizend keer bekeken. In de filmpjes, soms van wel 19 minuten lang, becommentarieert de man zijn eigen werk. Gewone porno doet hem niet zo veel ‘maar een glimp door een schimmig venster om een borst te zien van een nietsvermoedend meisje, dat windt me wel op’. En ‘als we het meisje kennen, wordt het nog beter’. Om haar privacy geeft hij niet. ‘Net dat windt mij het meeste op’. Staatssecretaris voor Privacy Philippe De Backer (Open VLD) heeft de politie opgedragen ‘keihard achter de dader aan te gaan’. ”. Eenvoudig wordt dat zeker niet, waarschuwen computerspecialisten. Het ip-adres zou uitkomen in de staat Massachusetts in de VS. Mocht het lukken de man te vinden, dan wacht hem een celstraf van zes maanden tot vijf jaar voor voyeurisme. Op het ongewenst verspreiden van naaktbeelden staat dezelfde straf. Zijn er slachtoffers jonger dan 16, kan de straf oplopen tot vijftien jaar cel.
Ook uit België komt het verhaal van cafébaas Christophe B. (52) die jarenlang een camera op het toilet had hangen. Op een computer van de man, eigenaar van danscafé Bananas in Waregem, werden honderden filmpjes ontdekt van toiletterende gasten. De man is opgepakt op verdenking van voyeurisme en het verzamelen en verspreiden van kinderporno. Hij monteerde de beelden thuis, organiseerde die zorgvuldig – vrouwen die vaker plassend in beeld kwamen, kregen eigen mapjes op zijn computer. De politie zoekt nog naar andere slachtoffers.

Inhakend op de hype gaat er momenteel een e-mailtjes rond waarin de geadresseerde wordt verteld dat er ‘intime privébeelden’ zijn gemaakt. ‘Ik wil niemand veroordelen en denk niet dat het verkeerd is om jezelf van tijd tot tijd te bevredigen maar als je naasten hier getuige van zijn is die natuurlijk een grote schande’, begint de mail. De video wordt online verspreid als er niet binnen vijf dagen vijfhonderd euro – in bitcoins uiteraard – wordt betaald. De Fraudehelpdesk waarschuwt hier niet op te reageren – de criminelen hebben die beelden helemaal niet. Ook beveiligingsexpert Nico Cool doorziet de fraudepoging. ‘Ze vragen om 500 euro over te schrijven naar een Bitcoin Wallet. Meer dan 90% van de mensen heeft geen flauw benul hoe dat moet’. De hack is volgens Cool ook ‘quasi onmogelijk’, tenzij je echt naar een pornosite gesurft bent, verbinding hebt gemaakt met een webcam, expliciet de toestemming hebt gegeven aan een andere persoon om jou te zien en dan ook nog eens zelf naakt bent gegaan. ‘Bij gewoon gebruik is zo’n hack bijna onmogelijk’, zegt Cool. ‘Deze mail is meer bedoeld om op de gevoelens te spelen’.

Politie mag informatie spionagesoftware geheim houden

Van de Raad van State hoeft de politie niet bekend te maken hoe vaak de spyware is gebruikt waarmee computers van verdachten kunnen worden geïnfecteerd. De zaak, aangespannen door Bits of Freedom, speelt al enkele jaren. BoF deed een Wob-verzoek, de politie gaf info maar niet voldoende voor BoF dat daarop naar de rechter stapte. In 2016 gaf een rechtbank BoF gelijk, waarop de korpschef beroep aantekende en de zaak uiteindelijk bij de Raad van State terecht kwam. Die oordeelt nu dat het openbaar maken van sommige documenten onderzoeken naar strafbare feiten kan belemmeren.

Belgie: Politie slaat alarm over cyberaanvallen

België kampt met ‘een reëel risico’ dat er door een groot gebrek aan computerspeurders ‘geen gepast antwoord meer‘ kan worden geboden op cyberaanvallen. Volgens politiewoordvoerder Guy Theyskens is de federale politie onderbezet, ondanks beloften in het Nationaal Veiligheidsplan 2016-2019. De regering beloofde versterking van zowel de regionale computereenheden in de gerechtelijke arrondissementen als van de Federal Computer Crime Unit (+22%) maar bijna de helft van de plaatsen bij de FCCU blijkt nu niet ingevuld. Het aantal cyber-agenten moest van 36 naar 44 maar het zijn er nu 25. Zelfs bij telecomprovider Proximus werken méér cybersecuritymedewerkers, schrijven Belgische media cynisch. De diensten kennen een groot verloop of kiezen voor commerciële bedrijven, terwijl het aantal cyberzaken elk jaar toeneemt – van 3700 in 2011 tot bijna vijfduizend in de eerste helft van 2017.

Nederlanders beveiligen IoT-apparatuur niet

Van alle Nederlanders heeft maar liefst 92% op dit moment één of meer IoT-apparaat in huis. Daarvan zegt 82% te weten dat zulke apparaten gehackt kunnen worden maar op de een of andere manier heeft maar 71% daartegen ook maatregelen genomen, zo blijkt uit onderzoek van it-bedrijf BIT. En dat is zorgwekkend, aldus het rapport ‘Internet eigenwijs 2017‘. ‘Het is niet ongebruikelijk dat slecht beveiligde IoT-apparaten worden ingezet voor grote DDoS-aanvallen’. Bijna de helft van de Nederlanders heeft zich niet verdiept in de veiligheidsrisico’s van zulke IoT-apparaten en van de andere helft zegt nog geen derde dat ze maatregelen hebben getroffen.

AIVD ziet steeds meer en complexere digitale spionage en sabotage

Er zijn steeds meer landen die actief zijn met digitale spionage, schrijft de AIVD in het jaarverslag 2017. Volgens het verslag is digitale spionage ‘laagdrempelig, goedkoop, moeilijk traceerbaar en heeft [het] een groot potentieel bereik’. Doelwitten zijn het bedrijfsleven, de vitale infrastructuur en de overheid. Nederland is interessant als internationaal knooppunt, als lid van EU en NAVO en (dit jaar) van de VN-Veiligheidsraad. In 2017 zijn bij digitale inbraken terabytes aan vertrouwelijke gegevens gestolen. Die ‘hardnekkige digitale aanvallen’ bedreigen het economisch verdienvermogen van Nederland, aldus het rapport.