Gestolen inloggegevens spotgoedkoop op het darkweb
Op het darkweb, het 'ondergrondse internet', zijn gestolen inloggegevens te koop. Hoeveel kosten gehackte accounts op Spotify of Netflix?
Tal van grote sites zijn de afgelopen tijd gehackt, van Linkedin tot Tumblr. Ook verschijnen er regelmatig zogeheten dumps online: grote databestanden met verzamelde login-gegevens, bijvoorbeeld via malafide apps of malware. Daar is onder andere Twitter het slachtoffer van geworden, waardoor logingegevens van 32 miljoen accounts op het internet verschenen.
Veel van deze data worden verkocht via het darkweb, een soort internet waar alle verbindingen zijn versleuteld en iedereen anoniem is. De Tor-browser biedt toegang tot dit netwerk, waar sites alleen te bezoeken zijn via een zogeheten .onion-adres. De Tor-browser kan ook worden gebruikt om anoniem op het 'normale' internet te surfen. Op het darkweb zijn allerlei websites te vinden. Zo is Facebook te bezoeken via een .onion-adres, maar ook tal van digitale zwarte markten. Daar worden onder andere drugs en wapens verkocht, maar digitale goederen - zoals inloggegevens - worden ook actief verhandeld. Dat gebeurt op Ebay-achtige websites, waar je feedback voor verkopers kunt achterlaten en geschillen kunt oplossen via een intern chatsysteem.
Spotgoedkoop
De gestolen inloggegevens worden op twee manier aangeboden: als plaintext of hash. Bij plaintext is wachtwoord gewoon te lezen, bij een hash is het wachtwoord versleuteld. Dan verandert 'wachtwoord' bijvoorbeeld in '412c777db455b83eadd2'. Bij de meeste hacks worden e-mailadressen in plaintext en wachtwoorden in hashes buitgemaakt. Deze kun je in bulk kopen: zo kosten de 32 miljoen gestolen Twitter-accounts zo'n 5800 dollar, ongeveer 0,0002 dollar per stuk. Gehackte accounts van het zakelijke sociale netwerk Linkedin zijn nog goedkoper: 0,000002 euro per stuk, of 660 dollar voor 164 miljoen e-mailadressen met gehashte wachtwoorden. De lage prijs komt waarschijnlijk omdat deze dump al op het internet rondzwerft.
Het wordt voor criminelen pas interessant als ze een hash tegenkomen die al is gekraakt. Het kraken van hashes gebeurt meestal bij wachtwoorden die vaak voorkomen, zoals 'password', '1234' en 'qwerty'. Zo heb je met één gekraakte hash toegang tot een groot aantal accounts.
Spotify- en Netflix-accounts van anderen
Maar wat moet je als crimineel met het Linkedin- of Twitter-profiel van een onbekend persoon? Daar hebben ze iets op gevonden: ze vullen de gekraakte inloggegevens bij diensten in waar mensen op het darkweb wel voor willen betalen, zoals Spotify, Netflix en pornowebsite Bangbros. Op het darkweb worden onder andere Spotify-, Netflix- en Bangbros-accounts aangeboden voor respectievelijk 1,72, 0,13 en 0,40 dollar per stuk. Verkopers schrijven dat het bij gehackte Spotify-accounts soms kan gebeuren dat de muziek stopt met spelen. Dan is de persoon die voor de dienst betaalt bezig met muziek luisteren. "We zorgen ervoor dat je een account van iemand uit een compleet andere tijdzone krijgt", aldus één van de verkopers.
Netflix-accounts zijn - te zien aan de verkoopcijfers - het meest in trek. Bij Netflix kun je namelijk relatief onopgemerkt series en films streamen zonder dat de persoon die betaalt daarvan op de hoogte is. Een van de verkopers raadt aan om een eigen Netflix-profiel aan te maken, zodat de eigenaar van het account niet plotseling vreemde suggesties op basis van het kijkgedrag van de ander te zien krijgt.
Bij Bangbros stelt de verkoper dat je 'alleen maar plezier hebt' van een gehackt account: je kunt video's streamen en downloaden terwijl er meerdere mensen zijn ingelogd. De verkopers hebben nog wel één belangrijke tip: verander het wachtwoord niet, want dan ben je hoogstwaarschijnlijk je account kwijt. En als dat gebeurt heb je dikke pech, maar: "Je kunt altijd een nieuw account kopen met 50 procent korting."
Meer over het darkweb:
Lees gratis het hoofdstuk over ondergrondse marktplaatsen uit boek Dark Net