
Wie onlangs in de webshop van de Republikeinse senaatsfractie een ‘Never Hillary’-sticker of een pro-Trump petje gekocht heeft, zal even contact op moeten nemen met zijn creditcardmaatschappij. Tenminste sinds maart worden alle creditcard-betalingen op die website onderschept en doorgestuurd naar een server in Rusland. De hack werd ontdekt door beveiligingsonderzoeker Willem de Groot, die zijn vondst deelde met Follow the Money. Deze gehackte gegevens zijn op de zwarte markt naar schatting 600.000 dollar waard.
Petjes, stickers, t-shirts, mokken — in de Amerikaanse presidentsverkiezingen wordt geen middel geschuwd om de voorkeur voor een kandidaat zichtbaar te maken. Ook het National Republican Senatorial Committee laat zich niet onbetuigd: zij heeft een eigen webshop voor politieke merchandise. Aan de webshop van de Republikeinse senaatsfractie is op het oog niks vreemds te zien, maar schijn bedriegt. ‘De online winkelsoftware is gekraakt. Er is een stukje extra code toegevoegd, die praktisch onzichtbaar werkt, maar alles doorstuurt wat bezoekers intypen,’ vertelt Willem de Groot. De Groot is medeoprichter van hostingbedrijf Byte en als IT-veiligheidsexpert adviseert hij webshops over de beveiliging van onder meer hun creditcard-gegevens. In deze video laat zien hij zien hoe de hack in elkaar steekt.
‘De meer gangbare hacks van websites zijn eenmalige inbraken,’ legt De Groot uit. Hackers breken in, en nemen de gegevens mee, zoals je naam en adres, emailadres en in het ergste geval je creditcardgegevens. Maar in de webshop van de Republikeinen is er volgens De Groot iets anders aan de hand. ‘Deze hack loopt continu door. Telkens als een klant zijn of haar creditcard-gegevens intoetst, stuurt de website deze data automatisch door. Het is eigenlijk de online versie van het skimmen van een pinpasje.’
Via Rusland en Belize naar Oekraïne
De Groot stuitte op de hack dankzij een scanner die een alert geeft bij bepaalde types inbraak. De hackers doen goed hun best om zich te verschuilen. Uit stukken die Follow the Money heeft ingezien, blijkt echter dat er toch een spoor te volgen is. Dat loopt van de Republikeinse website in de VS, naar een Russische server, via een brievenbusmaatschappij in Belize en eindigt in Oekraïne. De op de website geïnfiltreerde code stuurt de creditcard-gegevens in dit geval door naar een in Sint Petersburg geregistreerde server. Dat betekent volgens De Groot vrijwel zeker dat de server daar ook echt staat. ‘Een dergelijke registratie is bijna niet te vervalsen.’
De stukken die Follow the Money heeft ingezien wijzen duidelijk naar Oekraïne
De server in Rusland staat geregistreerd op naam van Dataflow, een bedrijf met een Russischtalige website. Maar het bedrijf zelf staat geregistreerd in Belize op een adres dat voorkomt in de Panama Papers. Het is een postadres waar verschillende brievenbusfirma’s zijn gevestigd. Op hetzelfde adres staat bijvoorbeeld ook een trustkantoor geregistreerd, Alpha Offshore.
De stukken die Follow the Money heeft ingezien wijzen duidelijk naar Oekraïne. Dat lijkt het land te zijn van waaruit Dataflow opereert. Ondanks het feit dat de sporen in de eigendomsgegevens van RIPE zijn uitgewist, geanonimiseerd of gelinkt zijn naar de postbus in Belize. ‘De servers en IP-adressen zijn zeker van Dataflow,’ zegt De Groot. ‘Dit bedrijf lijkt te worden gerund vanuit Oekraïne. Oudere bestanden wijzen naar een klein dorpje in de buurt van de Oekraïense hoofdstad Kiev. Een andere aanwijzing is het Skypeaccount van de support desk van Dataflow, dat Oekraïne als locatie toont. En het Dataflow netwerk maakt aantoonbaar verbinding met internet via twee andere netwerken: Telia uit Zweden en RETN uit Oekraïne.’
Het aantal creditcard-gegevens dat via de Republikeinse webshop ontvreemd is, is niet bekend, maar wel in te schatten. De website Archive.org bewaart de geschiedenis van websites en daaruit blijkt dat de webshop sinds maart 2016 gehackt is. De Groot vermoedt echter dat de kraak al eerder is gezet. ‘Op Traffic Estimates is te zien dat de webshop de afgelopen maanden ongeveer 350.000 bezoekers per maand telde. Het aantal bezoekers van de webshop dat iets aanschaft is niet bekend. Maar stel dat één procent van de bezoekers iets koopt, dan kom je gerekend vanaf maart uit op 21.000 gestolen creditcard-gegevens. Eén ding is zeker, het gaat om een groot aantal creditcards.’
Gestolen creditcard-gegevens worden online verkocht, bijvoorbeeld bij website Gold Bank Cards. Daar levert een eenvoudige Duitse creditcard 15 dollar op, en een Visa Black Card 120 dollar. Gerekend met een gemiddelde van 30 dollar per stuk, schat De Groot de potentiële totale opbrengst van de diefstal via de Republikeinse webshop op circa 600 duizend dollar.
De Groot zegt dat hij de toegevoegde code op 5800 websites heeft aangetroffen.
De Groot vermoedt dat niet alleen de webshop van de Republikeinse Senaatsfractie gehackt is, maar dat de schaal van dit type fraude veel groter is. Hij gebruikt een scanner waarmee hij op wereldniveau verdachte signalen kan oppikken. De Groot zegt dat hij de toegevoegde code op 5800 websites heeft aangetroffen.
Follow the Money heeft de Republikeinse partij op de hoogte gesteld van de bevindingen van De Groot en gevraagd om commentaar. Vooralsnog heeft de partij niet gereageerd, maar zo gauw de reactie binnen is, zullen we daar melding van maken. De Groot heeft ons deze ochtend gemeld dat de hack in de nacht van 5 op 6 oktober lijkt te zijn verholpen.
***** Update 7 oktober, 15:00 uur *****
Ondanks herhaalde verzoeken om commentaar hebben wij geen reactie ontvangen van de Republikeinse Senaatscommissie (NRSC). Het Amerikaans persbureau Reuters nam het nieuws van Follow The Money over. NRSC stond Reuters wel te woord. Woordvoerder Andrea Bozek bevestigt dat de website was getroffen door een "skimming operatie" en dat de website om die reden op donderdag offline is gehaald.
33 Bijdragen
Matthijs 11
Frans 5
MatthijsToont ook aan dat FTM liever een clickbait title gebruikt door Trump en Rusland in de titel met elkaar te verbinden dan bijv een titel als "Webshop republikeinen gehackt, credit card gegevens door gesluisd" of kan de onderzoeker hard maken dat de gegevens alleen worden doorgestuurd als je iets met Trump erop koopt?
Jan Willem de Hoop 12
Onthulling FTM past in lijn van onderstaand nieuws van vandaag.
'Volgend kabinet moet investeren in ict-beveiliging'
"Nederland moet "met spoed" meer doen tegen digitale bedreigingen, aldus een rapport dat is opgesteld in opdracht van de Cyber Security Raad, een adviesorgaan van het kabinet. Een volgend kabinet zou daarom een actieplan moeten opstellen om daarin te investeren, zo luidt het advies. ................................."
http://nos.nl/artikel/2136299-volgend-kabinet-moet-investeren-in-ict-beveiliging.html
Diny Pubben 9
Jan Willem de HoopLydia Lembeck 12
Diny PubbenKrijn Schramade 1
Jan Willem de HoopVriendelijke groet,
Krijn
M. van Deelen 11
Wat is de wereld toch klein en FTM groot(s) ;-)
Krijn Schramade 1
M. van DeelenVriendelijke groet,
Krijn
M. van Deelen 11
Ik heb gezien wat je met een telefoon kunt die iemand aan iemand cadeau deed. Ietwat later lagen ze in scheiding.
Monitorsoftware, volledig onzichtbaar, legaal te verkrijgen voor elke telefoon, pc of tablet.
Hier te zien voor telefoons: http://www.toptenreviews.com/software/privacy/best-cell-phone-monitoring-software/
Lydia Lembeck 12
M. van DeelenM. van Deelen 11
Lydia LembeckSaillant detail is dat wat Apple niet lukte op hun eigen telefoon, Israël wél kon. https://en.wikipedia.org/wiki/FBI%E2%80%93Apple_encryption_dispute
Heb jij een slimme meter? Een voorbeeld: misschien valt het de sociale dienst wel op dat er bij een alleenstaande 's morgens altijd tweemaal achter elkaar wordt gedoucht. Ik zeg niet dat 't gebeurt maar het kán.
Lydia Lembeck 12
M. van DeelenFred Raaks 5
Overigens uitstekend forensisch werk!
Krijn Schramade 1
Fred RaaksDank voor het compliment!
Vriendelijke groet,
Krijn
Fred Raaks 5
Krijn Schramadegeen ook geen 1
Diny Pubben 9
Wie leest mijn trage reactie nog dat de techneut erger is dan de econoom?
Krijn Schramade 1
Diny PubbenIk begrijp uw reactie niet. Wat manipuleert FTM in uw ogen?
Vriendelijke groet,
Krijn
Diny Pubben 9
Krijn SchramadeAls leidinggevende in de zorg simpel en van een heel andere orde. Uw data liggen ook overal.
Besloot al in 2010 naar de rechter te stappen voor de misstanden in het EPD-LSP, niet je vak neem ik aan, hier gaat het over creditcardgegevens, maar toch waarschuw ik op deze site al een aantal jaren om journalisten de ogen te openen over de zorg. Uw zorggegevens liggen ook overal en veel mensen in onze organisaties hebben een zwijgplicht, lastig om ze daarop te bevragen, ik probeer systeemvragen aan onze techneuten te stellen. Simpel gezien heb ik het over die overeenkomsten en vind dat ze op de politieke agenda moeten, waar anders?
Waarom die titel en gekoppeld aan een Trump-petje? Wat suggereer jij daarmee en komen jouw creditcard gegevens daar dan niet terecht of heb je geen creditcard? Dat dedain, waarom de Trump stemmers? Ban-Opticum aan het werk? Mocht jij geïnteresseerd zijn in die nieuwe machtstechnieken, filosoof B.C. Han, heeft daar goede woorden voor.
(Voor mij in combinatie met de badges, heb nog geen goede woorden voor dat intuïtieve weten.)
Krijn Schramade 1
Diny PubbenFeit 1: Op de website van NRSC kun je Trump petjes kopen.
Feit 2: De website is een half jaar lang gehackt, waardoor alle credit card gegevens van aankopen (zoals Trump-petjes) naar een server in Rusland zijn gestuurd.
Wij schrijven niet over aanhangers van Trump, wij geven alleen een feitelijke weergave van wat er gebeurd is. Waar haalt u vandaan dat dit artikel met dedain spreekt over aanhangers Trump?
Vriendelijke groet,
Krijn Schramade
Diny Pubben 9
Krijn SchramadeFeit is dat ik ook zo naar al onze zorggegevens cure en care kijk al een decennia.
Neem het onze bestuurders kwalijk dat ze zwijgen als ze zouden moeten spreken.
Hippocrates is van een andere orde dan een Trump petje en je creditcard.
Mijn persoonlijke omgang, sinds mijn kijken naar de zorgtechneut achter de schermen, met ICT zal zelfs nooit meer hetzelfde zijn.
Ernest Jacobs 6
Diny PubbenM. van Deelen 11
Diny PubbenDus inderdaad, bij de bestuurders moet je zijn.
http://amweb.nl/partners-722743/dirkzwager/britse-privacywaakhond-cyber-security-not-an-it-issue-it-is-a-boardroom-issue
Diny Pubben 9
M. van DeelenM. van Deelen 11
Diny PubbenDiny Pubben 9
Krijn Schramadeline 5
Line
M. van Deelen 11
lineZie www.ncsc.nl maar bijv. ook www.security.nl
Joost Versteegh 4
Als dit gemiddelde cijfers zijn, heeft de hackersgroep inmiddels gegevens van meer dan 100.000.000 cards. Als de limiet op elke card gemidddeld 5000 euri bedraagt, kan je de economie een duw van 500 miljard geven.
Ernest Jacobs 6
Joost VersteeghM. van Deelen 11
Ernest JacobsDe "halfwaardetijd" van de bruikbaarheid van de gestolen gegevens ligt hoog zoals te zien in de belendende artikelen bij de video. Bovendien zijn CC firma's zeer alert op ongebruikelijke bestedingen (locatie, bestedingspatroon, limieten). Zo'n vaart zit er dus inderdaad niet in.
Men is druk bezig met eye -, face - en voice recognition. Dit soort fraude sterft dan een stille dood maar er komt ongetwijfeld iets anders de kop opsteken.
Ernest Jacobs 6
M. van DeelenDus je hebt gelijk:-)
M. van Deelen 11
'250 NEDERLANDSE WEBSHOPS BESMET MET ONLINE SKIMMING'
http://www.bnr.nl/radio/bnr-internet-ochtend/10312002/250-nederlandse-webshops-besmet-met-online-skimming
Edit: lijsten met besmette shops (eerst verwijderd, daarna weer beschikbaar): https://gwillem.gitlab.io/2016/10/14/github-censored-research-data/