Crime chain
het verband tussen DDoS-aanvallen en Phishing (2021). M. Junger, A. Abhishta, L.J.M. Nieuwenhuis P&W verkenningen 86
Samenvatting
In dit specialistische onderzoek is gezocht naar het bestaan van online misdaadketens ofwel ‘crime chains’. Misdaadketens zijn omschreven als reeksen van verschillende type delicten die samen of in een bepaalde volgorde voorkomen en met elkaar verband houden om een gecoördineerde reeks acties uit te voeren. De huidige studie onderzoekt of er een statistisch verband bestaat tussen de tijdstippen van een DDoS-aanval en het gemiddeld aantal phishing e-mails rondom de DDoS periode.
Het onderzoek analyseert een set van 1.908.794 e-mails die zijn verzameld door de APWG en 23 DDoS aanvallen in dezelfde periode en waarover is gerapporteerd in de media.
De conclusie is dat bij ruim de helft van de bestudeerde 23 DDoS aanvallen DDoS meer phishing e-mails worden verzonden rondom de DDoS aanval. De onderzoekers stellen dat er soms coördinatie of afstemming plaatsvindt of dat een aanvaller gebruik maakt van de omstandigheden, zoals een DDoS aanval om een phishing campagne te lanceren. Samenwerking en/of coördinatie van aanvallen is gemakkelijker geworden dankzij het internet en allerlei vormen van samenwerking, zoals ‘crime-as-a-Service’ online zijn ontstaan. De huidige studie biedt statistische ondersteuning aan deze vaststelling.
Op basis van de huidige studie kan niet worden vastgesteld of het om bewuste coördinatie gaat van een of meerdere daders of dat verschillende daders reageren op wat zij online zien gebeuren. Natuurlijk kunnen beiden het geval zijn op verschillende momenten. Het onderzoek laat zien dat er statistische relaties in de tijd bestaan tussen phishing en DDoS. Maar een statistische samenhang betekent niet noodzakelijk causaliteit. Meer gedetailleerd onderzoek is nodig om te kunnen reconstrueren wat door wie en wanneer is gedaan.
De resultaten van dit onderzoek kunnen de opsporing versterken door de setting en de sequentie van delicten en gerelateerde gebeurtenissen beter te beschrijven en te begrijpen. Daardoor kan de focus van opsporing worden verscherpt. Daarnaast zou er meer aandacht kunnen zijn voor het feit dat de ene aanval de ander kan inluiden.
Dankzij een beter begrip van de misdaadketens en gerelateerde gebeurtenissen kunnen barrièremodellen worden ontwikkeld ten behoeve van de bestrijding van phishing en DDoS aanvallen. Dit gebeurt ook door de Nederlandse politie en initiatieven zoals de nationale anti-DDoS-coalitie.