Eindhovense onderzoekers hebben een online marktplaats gevonden voor digitale fingerprints: unieke kenmerken van de browser en het systeem van een gebruiker. Ze noemen het een nieuw fenomeen, al is het niet voor het eerst dat dergelijke data worden verkocht.
Het onderzoek heeft de toepasselijke titel 'Impersonation-as-a-service', een verwijzing naar hoe niet alleen software, maar tegenwoordig ook malware als 'dienst' beschikbaar is. Onderzoekers Michele Campobasso en Luca Allodi van de Technische Universiteit Eindhoven bestudeerden een relatief nieuw fenomeen waarbij niet alleen inlogcredentials werden verkocht, maar ook de bijbehorende fingerprints. Dat is een unieke set gegevens waarmee een website of dienst een gebruiker kan identificeren.
"Online datasets met inlogcredentials zijn natuurlijk al decennia oud", zegt Michele Campobasso tegen Tweakers. "Maar wat we nu zien is nieuw. Niet alleen worden de credentials verkocht, dus de gebruikersnamen en wachtwoorden, maar ook unieke fingerprints die daarbij horen. Dat maakt inloggen met die accounts een stuk gemakkelijker, bijvoorbeeld als je als aanvaller probeert in te breken via een proxybrowser. De aanvaller wordt normaal gesproken niet herkend en dat kan zorgen voor extra beveiligingschecks waardoor inloggen op het account van een slachtoffer niet meer mogelijk is, maar de fingerprints maken het mogelijk dit te omzeilen.
Fingerprints zijn unieke kenmerken van een gebruiker. Het gaat vaak over eenvoudig te achterhalen informatie, zoals de grootte van een beeldscherm, de provider waarmee verbinding wordt gemaakt en andere netwerkactiviteiten, en muisbewegingen en interacties tussen de gebruiker en een website. Adverteerders kunnen dergelijke informatie bijvoorbeeld gebruiken voor semilegitieme doelen om een gebruiker te profileren, maar ze hebben binnen de beveiliging een belangrijker doel. Diensten als Google, Facebook en Reddit gebruiken fingerprints als een extra authenticatiemethode. Een gebruiker krijgt dan een extra verzoek om zijn wachtwoord in te voeren als hij inlogt vanaf een andere computer dan Google herkent.
260.000 credentials
Volgens Campobasso en Allodi is die informatie dus nuttig voor criminelen. Die kunnen zich met een fingerprint voordoen als een gebruiker en vallen daardoor minder op. De onderzoekers ontdekten een Russische website waar een enkele verkoper de credentials van 260.000 gebruikers verkocht. Campobasso wil niet zeggen welke site hij precies ontdekte, maar wel hoe dit werkte. "Het was geen marktplaats zoals je die vaker ziet waar meerdere verkopers iets aanbieden, of een hackersforum. Het gaat om een website met één verkoper die hele pakketten aanbood."
In zo'n pakket zaten inlogcredentials en een hele reeks fingerprintgegevens. Een koper koopt dus de gebruikersnaam en het wachtwoord van een Gmail-account, en krijgt daarnaast ook een hele rits data, zoals de schermgrootte en netwerkgegevens van die persoon. De kopers hoeven vervolgens niet zelf aan de slag met het maken van cookies, zegt Campobasso. "Je krijgt een plug-in voor je browser geleverd waarmee je in een keer al die informatie kan doorgeven aan de dienst." Kopers kunnen op de site bovendien heel gericht zoeken naar specifieke gebruikers, stellen de onderzoekers.
Malware
De informatie voor de fingerprint wordt verzameld door malware, zegt Campobasso. "Het gaat om een information stealer die binnen kan komen via phishing of malvertising, eigenlijk op alle andere manieren waarop malware binnen kan komen." Wel zegt Campobasso dat hij niet heel veel over de malware kan zeggen. Hoe die bijvoorbeeld te werk gaat, is bijvoorbeeld niet helemaal duidelijk. "We zijn zelf geen malwareonderzoekers."
Opvallend is dat de malware persistent is, zeggen de onderzoekers. Dat betekent dat die op het systeem blijft staan, en constant wordt bijgewerkt via een command-and-controlserver. Daardoor is de informatie op de site altijd actueel, ook als het slachtoffer een andere hardwareconfiguratie neemt.
De malware gebruikt 'echte' en 'synthetische' fingerprints
Op het systeem zoekt de malware naar informatie, maar daarbij wordt onderscheid gemaakt tussen twee soorten informatie. "Aan de ene kant zijn er wat we echte fingerprints noemen, waarbij de informatie rechtstreeks uit bijvoorbeeld de browser wordt gehaald", zegt de onderzoeker. Dat zijn bijvoorbeeld cookies waarin die fingerprint is opgeslagen. Die vorm komt amper voor. In slechts 4,3 procent van de gevallen werd een pakket met een dergelijke fingerprint verkocht. In het overgrote merendeel van de gevallen worden er wat Campobasso 'synthetische fingerprints' noemt, verkocht. Dat is gewoon een lange reeks aan gegevens over het systeem en het surfgedrag van het slachtoffer. Als die worden samengevoegd, is de kans groot dat de fingerprint tijdens een sessie geaccepteerd wordt.
De onderzoekers erkennen dat het verkopen van fingerprints geen volledig nieuw fenomeen is. Ook andere beveiligingsonderzoekers wijzen daarop. Begin 2019 ontdekte Kaspersky bijvoorbeeld al het Genesis-netwerk, een webshop die toen nog de fingerprints van 60.000 gebruikers bevatte. Tot nu toe zijn er geen publieke gevallen bekend waarbij die informatie heeft geleid tot een effectieve phishingcampagne, maar van de andere kant is dat ook vrijwel niet te controleren. Het is daarnaast ook sterk de vraag hoe nuttig de fingerprintgegevens in de praktijk zijn. Als een aanvaller een wachtwoord al heeft, is het grootste obstakel al genomen.