De verleiding van cybercriminaliteit

VERSLAG - Wat maakt een cybercrimineel succesvol? En hoe helpt dit inzicht ons om ze tegen te houden?

Van phishing tot virus of hack; cybercriminaliteit is overal. Door het internet lijkt het steeds gemakkelijker geworden voor criminelen. Zijn we nu allemaal een mogelijk slachtoffer? En wat kunnen we ertegen doen? Criminoloog Rolf van Wegberg (TU Delft) ziet de oplossing in het kijken naar hoe criminelen hun geld verdienen. Het blijkt dat online criminelen op hetzelfde punt kwetsbaar zijn als offline criminelen, en dat we ze daarop kunnen pakken.

Ransomware als businessmodel

Tegenwoordig staat je meest kostbare informatie online: je bankgegevens en overheidsdocumenten, maar bijvoorbeeld ook je geliefde vakantiefoto’s. “Het doel van cybercriminelen is om aan deze informatie te komen”, zegt Van Wegberg. Wanneer ze toegang hebben tot deze informatie kunnen ze er voor kiezen om er zelf mee aan de haal te gaan, of om het door te verkopen.

Er is echter nog een andere optie waarbij ze niets met de informatie hoeven te doen: het inzetten van ransomware. Dit is kwaadaardige software, die een computer blokkeert of bestanden versleutelt. Pas als je betaalt kan je de computer of de bestanden weer kunnen gebruiken, beloven de criminelen.

De crimineel kan zo gemakkelijk geld verdienen. Tenminste, als hij je weet te verleiden geld te betalen. Dit doet hij door onder andere een klok op het computerscherm te laten tikken, die laat zien hoeveel tijd je nog hebt om geld over te maken. Maar ook maakt de crimineel de drempel zo laag mogelijk om te betalen. “Vaak krijg je er een heel stappenplan bij over hoe je het geld moet overmaken”, stelt Van Wegberg.

Het is duidelijk hoe cybercriminelen met ransomware je proberen geld af te troggelen, maar hoeveel verdienen ze er echt mee? Volgens Van Wegberg draait hun verdienmodel allemaal om schaal. “Ransomware wordt vaak naar duizenden computers tegelijk gestuurd, en dan is er altijd wel iemand die betaalt,” legt Van Wegberg uit. “Dit hoeven er niet veel te zijn. Nu zijn het ook maar 3% van de mensen die betalen, en dat is genoeg om winst te maken. Uit onderzoek blijkt dat het zelfs genoeg is als maar 0,03% betaalt.”

Kan iedereen cybercrimineel worden?

Je zou misschien denken dat iedere cybercrimineel moet kunnen coderen, maar dit blijkt niet zo te zijn. Je hoeft de software niet zelf te maken; iedereen die op deze manier zijn geld wil verdienen kan de ransomware onderdelen kopen op de marktplaatsen van het ‘Dark Web’. Dit zijn sites waar goederen en diensten anoniem verhandeld worden. Het gaat hierbij vaak om drugs, maar er worden dus ook pakketten voor cybercrime verkocht. Dit wordt ook wel “cybercrime-as-a-service” genoemd; je hoeft zelf helemaal niet handig te zijn met computers, je koopt de cybercrime-software gewoon. Van Wegberg maakt de vergelijking met de Ikea: “Je kunt de pakketten gewoon van de plank pakken en zelf in elkaar zetten”.

Kan iedereen dan cybercrimineel worden? Volgens Van Wegberg ligt het toch lastiger. “Net als bij een Ikea-kast is het vaak veel ingewikkelder dan de beschrijving doet lijken”, zegt hij. “Vaak mist er een schroefje, of is het erg lastig om in elkaar te zetten.” Volgens Van Wegberg hoeven we dus niet bang te zijn voor een grote groei aan cybercriminelen. “Eigenlijk komt cybercriminaliteit ook nog relatief weinig voor”, stelt Van Wegberg. “Fietsendiefstal komt bijvoorbeeld veel meer voor”.

De geldkraan dichtdraaien

Er zijn verschillende stadia die een cybercrimineel moet doorlopen om succesvol te zijn: software ontwikkelen (of kopen), deze verspreiden, en als laatste moet je het geld dat betaald wordt bij jou laten eindigen. Deze laatste stap, “de cash-out stap”, is niet anders voor online criminelen dan voor offline criminelen. Of het nou gaat om drugshandel op straat of drugshandel op het internet: alle criminelen willen geld verdienen.

“Omdat het doel van online criminelen hetzelfde is als die van offline criminelen, heb je als politie helemaal geen nieuwe bevoegdheden nodig om cybercrime te bestrijden”, stelt Van Wegberg. “De politiedienst moet zich focussen op die laatste stap, dan ben je het meest effectief.” Want wanneer de geldkraan dichtgedraaid wordt, valt alles in elkaar. “Als je niets kan verdienen met cybercrime, waarom zou je het dan doen?” Om dit te bereiken is traditioneel, financieel rechercheerwerk nodig. En daar zijn we in Nederland eigenlijk heel goed in. Van Wegberg noemt het ook wel “het watermanagement van de nieuwe generatie”; we exporteren onze inzichten en methodes naar het buitenland.


Dit artikel van Pascalle Heijligenberg verscheen eerder op Studium Generale Utrecht. In De lezing van Rolf van Wegberg is hier terug te zien, waarin hij ook een paar tips geeft om je beter te beveiligen tegen cyberaanvallen
.