De misdaad verplaatst zich al decennia naar de digitale wereld, maar de opsporing volgt heel langzaam. Wat zijn de vormen van ‘cybercrime’ waarvan overheden, bedrijven en burgers last hebben? Wat kunnen ze doen?
Héél soms krijgt de internationale wereld van internetcriminelen opeens een gezicht. Ruim twee jaar lang was de Russische hacker Vladimir Drinkman (34) een speelbal van grootmachten. Nadat hij in 2012 in Amsterdam werd gearresteerd op verdenking van het hacken van 160 miljoen creditcardgegevens, vroegen de Verenigde Staten én Rusland om zijn uitlevering.
Ook werd hij samen met nog drie Russen en een Oekraïner verdacht van het plaatsen van malware – software die wordt gebruikt om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot een netwerk – bij onder meer de Amerikaanse aandelenmarkten Nasdaq en Dow Jones.
Daarnaast zou de groep in de periode 2005-2012 met het vervalsen van betaalpassen, oplichting en witwassen honderden miljoenen dollars hebben buitgemaakt en bij zeker drie bedrijven voor minstens 300 miljoen dollar aan schade hebben aangericht.
Het Openbaar Ministerie was geneigd hem aan Amerika te leveren, mede ingegeven door de angst dat de Russen Drinkman al gauw weer op vrije voeten zouden stellen. Zelf vocht Drinkman zijn uitlevering aan tot aan het Europese Hof. Zijn gezin woont in Rusland en daarom heeft dat land zijn voorkeur. Het mocht niet baten: begin dit jaar werd hij na ruim twee jaar juridisch getouwtrek alsnog uitgeleverd aan de Verenigde Staten. Daar zit hij vast in afwachting van zijn proces. Hij houdt vol onschuldig te zijn.
In de strijd tegen cybercriminaliteit boeken autoriteiten internationaal maar mondjesmaat succes. Hackers komen vaak uit landen met goed onderwijs maar een lage levensstandaard, zoals Brazilië, India, Pakistan en China. Vanuit kleine kamertjes maken de vaak jonge cybercriminelen zich schuldig aan het stelen van persoonsgegevens, identiteitsfraude, bedrijfsspionage, het online leegplunderen van bankrekeningen, digitale fraude en afpersing.
Vaak weten ze hun identiteit goed te verhullen en is de pakkans nihil, vooral omdat ze werken vanuit landen als China en Rusland, die internationale opsporingsdiensten geen toegang geven tot hun informatie en niet meewerken aan uitleveringsverzoeken. En soms werken overheden zelfs actief mee aan het hacken, omdat het een goede bron van inkomsten vormt.
Zo zou het Noord-Koreaanse leger inmiddels zesduizend professionele hackers in dienst hebben die nieuwe bronnen van deviezen voor de staat moeten aanboren.
Slimme jongens
Slechts zelden worden de grote vissen gevangen. Pas als zij zich ophouden in een land dat wel meewerkt aan uitleveringsverdragen, kunnen ze in de kraag worden gevat. De Turk Ercan Findikoglu (33) is daarvan een voorbeeld. Hij werd eind juni na anderhalf jaar voorarrest door Duitsland aan Amerika uitgeleverd.
Hij wordt verdacht van een van de grootste Amerikaanse bankdiefstallen ooit en zou in drie jaar omgerekend zo’n 50 miljoen euro hebben gestolen van JP Morgan Chase, MasterCard en het Amerikaanse Rode Kruis. Findikoglu zou hun systemen zijn binnengedrongen om opnamelimieten te verhogen en betaalpassen hebben aangevraagd.
In totaal nam hij met een team in 24 landen geld op bij pinautomaten. Op een zaterdag voor Kerst in 2012 nam zijn team zelfs in drie uur in totaal 400.000 dollar op bij 140 pinautomaten in New York.
Sommige vormen van cybercrime zijn slechts een digitale versie van misdaden die zich ook in de ‘echte’ wereld afspelen, zoals (bank)diefstal, bedrijfsspionage en identiteitsfraude. Andere vormen zijn nieuw, zoals het platleggen van bedrijven door middel van digitale sabotage. Ook in Nederland werden de afgelopen jaren bedrijven zoals Philips, KPN, KLM, verzekeringsmaatschappijen en de overheid het doelwit van kwaadwillende hackers. Het betalingsverkeer via iDeal werd meerdere malen platgelegd, en ook consumenten zijn inmiddels een gewilde doelgroep.
Jaarlijks wordt volgens het Centraal Bureau voor de Statistiek één op de acht Nederlanders het slachtoffer van een digitale misdaad. Onlangs werden bijvoorbeeld nog vijf verdachten uit Hoogvliet en Amsterdam door de politie aangehouden. Zij zouden 1 miljoen euro van bankrekeningen hebben geplunderd door middel van phishing. Met nepmails en telefoontjes waarin ze zich als bankmedewerkers voordeden, wisten ze van tientallen slachtoffers de inloggegevens te ontfutselen.
Ruwe schattingen
Harde cijfers over de werkelijke omvang van cybercrime ontbreken. Cijfers over het aantal gedupeerden, inclusief bedrijven, en de daadwerkelijke schade zijn er nauwelijks. En als ze er zijn, komen ze van belanghebbenden, zoals beveiligers.
Onderzoeksrapporten van het Amerikaanse virusscannersbedrijf Norton, die stelden dat cybercrime qua omzet inmiddels de internationale drugshandel evenaart, werden fors bekritiseerd omdat de cijfers vooral ruwe schattingen waren.
Bovendien nemen veel rapporten elkaars gegevens over. Zo bracht het Amerikaanse Center for Strategic and International Studies vorig jaar met computerbeveiligingsbedrijf McAfee een rapport uit waarin het stelde dat de jaarlijkse schade van cybercrime in Nederland zo’n 8,8 miljard euro bedraagt. Zij gaven in het rapport aan zich hierbij vooral te baseren op cijfers van onderzoeksorganisatie TNO, die weer aan het bedrag kwam door een Brits rapport naar de Nederlandse situatie te vertalen.
Wat de cijfers ook mogen zijn, de toegenomen aandacht van opsporingsdiensten voor cybercrime toont aan dat het een groeiend probleem is. In 2009 begon een speciale afdeling High Tech Crime bij het Korps Landelijke Politiediensten met dertig rechercheurs, eind 2015 moeten dit er 120 zijn.
Het is raar dat de gerichte opsporing zo langzaam op gang komt. Zelfs in de jaren zeventig, toen computers in opkomst waren maar nog geen wezenlijk onderdeel waren van het dagelijks leven, kwamen de eerste berichten over computersabotage en spionage al naar buiten.
In de jaren tachtig kwamen de eerste berichten over mogelijke economische schade die kon worden aangericht. Ian Murphy, ook wel bekend onder de naam Captain Zap, was de eerste Robin Hood-achtige figuur die in 1981 schuldig werd bevonden aan cybercrime. Hij hackte de telefoon van een Amerikaanse telefoonmaatschappij en verzette daar de internetklok – zodat klanten op piektijden goedkoop konden bellen.
Technologie
Met de opkomst van internet in de jaren negentig kwam ook de eerste discussie over de pakkans: cybercrime stopt immers niet bij landsgrenzen en werd een mondiaal probleem. Hoewel Spanje in 2001 al voor een Europese opsporingssamenwerking pleitte, werd er destijds slechts lauw op gereageerd.
Pas in 2012 kwam er voor het eerst een grondige en permanente internationale samenwerking op gang, toen de Europese Commissie bekendmaakte onder de vlag van Europol een European Cybercrime Centre in Den Haag te willen oprichten, dat vroegtijdig hightechcriminaliteit moet signaleren.
In 2013 opende het uiteindelijke centrum zijn deuren. Directeur Rob Wainwright zei bij de opening: ‘Georganiseerde misdaad, terroristische groeperingen en andere criminelen verkennen in snel tempo de mogelijkheden die de ontwikkelingen in technologie bieden. Voor de autoriteiten is de tijd nu rijp om hen een stap voor te zijn.’
Het is te hopen dat het vroegtijdig signaleren lukt, want ook computercriminelen veranderen vaak hun werkwijze. Aanvankelijk bestond cybercrime in de jaren negentig vooral uit het versturen van virussen die computers deden crashen, waarvoor virusscanners kwamen.
Een andere bekende vorm is het stelen van creditcardgegevens, maar die methode is niet meer in zwang sinds creditcardmaatschappijen razendsnel creditcards blokkeren wanneer er een aankoop in een buitenlandse webshop mee wordt gedaan of in een Nigeriaans internetcafé wordt gebruikt.
Een setje van duizend creditcardnummers kost daarom tegenwoordig nog ‘maar’ 6 euro. Ter vergelijking: een individuele set inloggegevens van een bankrekening met een spaaraccount kost al gauw 100 euro op de online zwarte markt, waarbij de aanbieder ook nog een percentage vangt.
Spookfacturen
Tegenwoordig lijken juist persoonsgegevens steeds meer van waarde, bijvoorbeeld omdat je ermee op andermans naam mobieletelefoonabonnementen en leningen kunt afsluiten, subsidie kunt aanvragen en spookfacturen versturen. En ook al vinden hackers vaak slechts splintertjes informatie, programma’s met wiskundige algoritmes zorgen ervoor dat gegevens uit andere databanken worden gekoppeld.
Bovendien wisselen databanken onderling veel informatie uit. Zo kan een hacker met iemands DigiD niet alleen toegang krijgen tot persoonsgegevens bij de gemeente, hij kan ook belastingaangiftes inzien en het declaratiegedrag bij de zorgverzekeraar opvragen. Informatie is altijd geld waard, je kunt er bijvoorbeeld iemand mee afpersen of diens rekeningnummer misbruiken.
Beveiligen kan. Mocht u toch een keer het slachtoffer worden van cybercrime, weet dan dat het de beste kan overkomen.
Anderhalve maand geleden werden de gegevens gestolen van miljoenen Amerikaanse ambtenaren en voormalige overheidswerknemers – schattingen lopen uiteen van 4 tot 32 miljoen pakketten persoonsgegevens, zoals sofinummers, functioneringsgesprekken en taakomschrijvingen, inclusief die van geheim agenten die undercoveroperaties uitvoeren. De mogelijke oorzaak? De beveiliging van de gegevens was uitbesteed aan goedkope partijen.
Elsevier nummer 27, 4 juli 2015