Afpersing

Rex Mundi slaat weer toe: "Sluwste hacker, domste methode"

Hackers lekken persoonlijke data van 6.000 Belgen

2 ©THINKSTOCK

Online HR-bedrijven, telco's, kredietmaatschappijen en nu ook interimkantoren: allemaal hebben ze de voorbije maanden en jaren al klantengegevens in handen zien vallen van de hacker (of hackersgroepering) Rex Mundi. Vooralsnog blijven de verantwoordelijken uit de handen van de politie. "Ze oogsten stevige bekendheid en dat wordt problematisch."

Nu zijn het interimbureaus als Tobasco of Z-Staffing, maar Rex Mundi zat al bij heel wat meer organisaties met zijn neus in de persoonlijke data van klanten. U wil namen? Telecombedrijven als Numéricable of VOO, de kredietverlener en Belfius-dochter Elantis, rekruteringsbedrijf Habeas, pizzaketen Domino's en ook enkele Amerikaanse, Canadese, Franse en Nederlandse organisaties. Telkens is de werkwijze dezelfde: Rex Mundi weet een databank te hacken en probeert met de gegevens die hij scoort bedrijven af te persen. Als ze geen losgeld betalen belanden de klantengegevens op de web.

"Dit is geen 'hacktivisme' (aanvallen als daad van protest, nvdr), maar pure afpersing", zegt Eddy Willems, securityexpert bij antivirusbedrijf G Data. "Ik heb ook de indruk dat Rex Mundi af en toe successen boekt en dat bedrijven effectief losgeld betalen, want hij blijft het doen."

Wie zit erachter?

Share

De meeste criminele hackers blijven binnen het eigen taalgebied, omdat ze daar hun kennis en kunde beter kunnen inschakelen om ergens binnen te geraken

Eddy Willems, securityexpert bij antivirusbedrijf G Data

Nog steeds hangt er een waas over Rex Mundi, hoewel de Federal Computer Crime Unit (FCCU) de hacker(s) al sinds 2012 probeert op te sporen. De vorige hacks werden via Twitter bekend gemaakt, met een account en een slogan (Non nobis, Domine, non nobis, sed nomini tuo da gloriam) die verwijzen naar de tempeliers en naar hackerscollectief Anonymous. Toch is een link met die beweging moeilijk te bewijzen.

Is het een groepering? Niemand weet het zeker, maar securityblogger en -activist Len Lavens, die Rex Mundi al sinds jaar en dag op de voet volgt, suggereert dat we ons niet moeten blindstaren op de 'wij'-vorm die in hun/zijn/haar communicatie wordt gehanteerd. "'We' schrijven, is gewoon anonimiserend."

Ooit gaf Rex Mundi zelf aan vanuit Zuid-Frankrijk te werken. Maar Eddy Willems gokt eerder op Franstalige Belgen. "Ik maak dat op uit hun doelwitten, die toch vaker Belgisch en Franstalig zijn. De meeste criminele hackers blijven binnen het eigen taalgebied, omdat ze daar hun kennis en kunde beter kunnen inschakelen om ergens binnen te geraken. Bovendien is het ook een troef om de waarde van de bemachtigde gegevens te kunnen inschatten." Maar Len Lavens durft dat niet te bevestigen: "Het feit dat Rex Mundi ook Nederlandse, Amerikaanse en Canadese sites heeft aangevallen, spreekt dat tegen."

Altijd hetzelfde trucje

Share

Je auto moet in orde blijven, anders geraak je niet door de technische controle. Zo zou dat ook voor online winkels en dienstenleveranciers moeten zijn

Securityblogger Len Lavens

Het enige echte aanknopingspunt is de manier van werken en die is altijd hetzelfde. Of zoals Lavens het verwoordt: "Het is een van de sluwste hackers die gebruik maakt van een van de domste methodes, en steevast voor finacieel gewin." Opgelet: het woord 'dom' betekent hier niet 'onverstandig', maar wel 'spotgemakkelijk'. "SQL-injectie heet dat, een zwakke plek van databanken die al gekend is sinds het jaar 2000. Door verkeerdelijk gegevens in te tikken in een online formulier, waarachter een databank zit, kan je makkelijk de volledige databank in je bezit krijgen."

Niet dat dat moeilijk te beveiligen is. "Daar bestaan eenvoudige handleidingen voor. Alleen slagen de grootste bedrijven - kredietverschaffers, verzekeringsmaatschappijen, noem maar op - erin om nog steeds onveilige formulieren online te plaatsen. Daar maakt Rex Mundi misbruik van." Willems bevestigt dat: "De geviseerde bedrijven hebben gewoon hun zaken niet op orde."

Len Lavens windt zich op als hij denkt aan hoe vaak hij al op dat probleem gewezen heeft. "De sectorfederaties hebben boter op het hoofd. Zij moeten hun leden voorwaarden opleggen, voor zij een online business opstarten. Dan haal je de cowboys, bandieten en klungelaars eruit. Nu kan iedereen eender wat doen op het internet, zonder enige controle. Meer nog: wat gebeurt er na een hack? Die bedrijven gaan gewoon voort. Als jij met auto in panne valt, ga je toch ook eerst naar de garage. En die auto moet in orde blijven, anders geraak je niet door de technische controle. Zo zou dat ook voor online winkels en dienstenleveranciers moeten zijn."

©THINKSTOCK

Imago

Share

Dit gaat niet alleen over hacking, maar ook over afpersing. Als ze ooit gevat worden, hangt hen zware straffen boven het hoofd

Eddy Willems, securityexpert bij antivirusbedrijf G Data

Volgens Eddy Willems moet het succes van Rex Mundi ons - en de autoriteiten - ernstige zorgen baren. "Losgeld vragen na hack, dat wordt stilaan een trend. Ze oogsten stevige bekendheid en dat wordt problematisch. Ik ben redelijk zeker dat er af en toe bedrijven losgeld betalen. Daarmee bouw je een imago op en vorm je een voorbeeld voor andere criminele hackers. Ik vrees dat er nog zullen volgen."

Toch lopen zulke criminele hackers grote risico's, zegt Willems. "Dit gaat niet alleen over hacking, maar ook over afpersing. Als ze ooit gevat worden, hangt hen zware straffen boven het hoofd."

Hoe merk je dat een online formulier onveilig is?

• Kijk naar de adresbalk: "Er moet altijd https:// voor staan. Die 's' wijst erop dat gegevens versleuteld worden, wat het voor een buitenstaander al een pak moeilijker maakt om ze te misbruiken", aldus Lavens.

Eerst inloggen met wachtwoord, dan pas persoonlijke gegevens doorgeven: "Formulieren die niet achter een login zitten, zijn onveilig."

• Vul enkel de informatie in die ze écht nodig hebben: "Vaak is dat enkel het e-mailadres", aldus Lavens. "De rest hebben veel bedrijven eigenlijk niet nodig, maar intussen geef je wel persoonlijke informatie vrij. Daarom vul ik in zo'n onveilige formulieren steevast verschillende geboortedata, geslachten en zelfs namen in. In een beveiligde omgeving kan je wel correcte gegevens invoeren. "

• Een bedrijf kan je niet verplichten om een onveilig online formulier in te vullen: "Als je het niet vertrouwt, maar je moet wel iets doorsturen? Gebruik desnoods een fax."

zine