Dit blog gaat echt niet over jou

Deze gastbijdrage is geschreven door Christian van ’t Hof van het Rathenau Instituut en is ook daar te lezen.

Laatst kreeg ik een e-mail van een vriendin van me. Erboven stond: “Help!”.  Ze kwam via Google op een blog met haar naam erboven en een heel persoonlijk verhaal over een abortus. Nu heeft ze een vrij bijzondere naam, dus alle andere resultaten gingen wel over haar. Iedereen die haar zou Googlen, zou dus denken dat het abortusverhaal van haar was. Ze vermoedde dat iemand met haar naam aan de haal was gegaan, want een maand eerder was ook al haar e-mail account gehacked. Om te kijken wie hier achter zat, klikte ze op de site. Al snel gingen er allerlei alarmbellen af dat dit malware was.

Ze raakte in paniek en wilde er wat aan doen. “Hoe kan ik ervoor zorgen dat deze site zo snel mogelijk uit de lucht gaat? Ik heb geen idee waar ik moet beginnen…”, schreef ze in haar mail. Ik belde haar op en probeerde haar gerust te stellen. Voor echt kwalijke dingen op het internet is er zoiets is als een “notice and take down” procedure. Echter, toen ik zelf zocht op haar naam, kwam de gewraakte blog niet naar boven….

Toch zou de site volgens haar ook op computers van anderen wel te zien zijn… Vreemd. Gelukkig had ze nog snel een screenshot gemaakt en mij toegemaild. Het was inderdaad geen verhaal waar je je naam boven wil hebben. Vervolgens bleek ook een ander vriendin van haar ineens een blog te hebben, over dat ze ziek en depressief was.

Wat was hier aan de hand? We bedachten twee hypothesen. De eerste was dat er iets op haar computer zoektermen afvangt en automatisch in een nepsite zet. Het gebeurde immers niet op alle computers. De tweede hypothese was dat iemand een lijst met echte namen heeft, bijvoorbeeld via sociale netwerksites en daar een hele reeks tijdelijke nepblogs heeft aangemaakt. Om de één of andere reden verdween de site af en toe. Zou er een gevecht achter de schermen zijn tussen de boef en Google?

Vanuit het Rathenau Instituut ken ik gelukkig al aardig wat computerveiligheidsdeskundigen, dus stuurde ik de noodroep rond. De reacties waren eensluidend. Hypothese één kon verworpen worden. Automatisch sites genereren op je zoekterm is wel erg omslachtig en kan alleen als er al malware op staat. De tweede hypothesen werd door allemaal bevestigd, met interessante aanvullingen.

Malware verspreiden via websites met populaire zoektermen of plaatjes is een bekende methode. Je browser en Google proberen uiteraard die sites te blokkeren, maar dat lukt niet altijd. En klik je erop, dan kan er van alles geïnstalleerd worden, bijvoorbeeld software om je passwords te achterhalen. Dat de site verdwijnt en later weer opduikt is waarschijnlijk een bewuste strategie om de pakkans te verkleinen. Door steeds de naam en url te veranderen, is de site al weg voordat een melding nagetrokken wordt.

Het vooral het gebruik van persoonsnamen als lokkertje, wat dit geval zo interessant maakt. Een naam komt over het algemeen minder vaak voor in teksten dan gewone woorden. Een site met die naam komt dus sneller omhoog in de zoekresultaten. Bij deze site stond de naam ook nog eens zes keer op willekeurige plaatsen in de tekst, wat de relevantie verhoogt. Vervolgens zullen mensen die specifieke namen Googlen eerder geneigd zijn te klikken op aparte persoonlijke dingen, dan wanneer je bijvoorbeeld op een product zoekt. Zo’n obscure weblog trekt dan natuurlijk meteen de aandacht.

Dan zijn er nog de mensen die blijkbaar veel op namen zoeken. Dat ben je uiteraard in de eerste plaats zelf. Wie zou niet geneigd zijn om door te klikken op zijn “eigen weblog”? Maar bijvoorbeeld ook personeelsfunctionarissen bij grote bedrijven die veel sollicitanten screenen, of mensen die bij opsporings- of inlichtingendiensten werken. Interessante doelwitten, want die hebben waarschijnlijk veel interessante inlogcodes voor gevoelige informatie.

Maar hoe komt die cybercrimineel dan aan al die echte namen? De site kwam wisselend uit Roemenië en Rusland en de teksten waren grammaticaal verre van correct. Deze gasten zullen waarschijnlijk niet zien dat bijvoorbeeld “Christian” in het Nederlands wel een naam is van een persoon en “Christenen” niet. (Je begrijpt, mijn naam geeft soms bijzondere Engelstalige resultaten in Google). En hoe weten ze dat mijn vriendin uit Nederland komt? Ook daar waren de experts het over eens: de sociale media. Met name Facebook en LinkedIn. Daar gebruiken mensen vaak hun echte naam, juist omdat ze gevonden willen worden. Die naam is door de vormgeving van de site makkelijk automatisch op te zoeken, compleet met woonplaats.

Dat brengt me bij een probleem dat wellicht groter kan worden dan wat malware op je computer: de corruptie van onze persoonlijke namen. Stel dat deze methode effectief blijkt, dan zullen steeds meer hackers namen verzamelen om ingangen te vinden. Wat kun je nog meer doen met namen als lokkertje? Zullen we uit angst en wanhoop dan maar niet meer onze echte namen gebruiken? Gaan we toe naar een internet van wisselende pseudoniemen, totdat niemand meer weet wie iemand werkelijk is?

Met dank aan:

  • Pieter Rogaar van KPMG
  • Jaap Henk Hoepman, Sander Degen en André Smulders van TNO
  • Arnold Roosendaal TILT, Universiteit van Tilburg
  • Jacques Tuin, KLPD
  • Bart Schermer, Considerati, Universiteit Leiden

En uiteraard ben ik benieuwd wat de combinatie van deze namen in één tekst doet met de Google Ranks van dit artikel….

  1. 1

    Het is niet voor niets dat ik steeds blijer word van mijn nogal generieke voor- en achternaam. Zelfs de afwijkende voorletters zijn in de loop der internetjaren een blessing in disguise gebleken. Er is vast heel wat over me te vinden, maar het zal niet altijd even makkelijk zijn om het aan de juiste Eric te koppelen.

  2. 2

    “Gaan we toe naar een internet van wisselende pseudoniemen, totdat niemand meer weet wie iemand werkelijk is?”

    Je zou ipv ‘toe’ ook ‘terug’ kunnen gebruiken. Voor de opkomst van sociale netwerksites was het gebruik van pseudoniemen op ’t internet eerder regel dan uitzondering.

    Verder inderdaad een probleem dat aandacht vereist. Werkgevers e.a. die personen screenen door ze te Googlen zouden zich bewust moeten zijn van de beperkte betrouwbaarheid van informatie op ’t web.

  3. 5

    Terug naar een Internet van wisselende pseudoniemen? LOL.

    Ik gebruik overal een pseudoniem (altijd hetzelfde maar met wisselende spelling) behalve bij zakelijke aangelegenheden (linkedin, zakelijk twitteraccount, persoonlijke homepage). Daar is slechts zorgvuldig geselecteerde informatie aangedikt met vervalste informatie (inclusief onjuist adres in de whois-records, yay!) te vinden.

    Wat google toont als u op mijn echte naam zoekt is dan ook een zorgvuldig geregisseerd personage dat uitsluitend gericht is op het overeind houden van mijn zakelijke maar o zo fictieve image:P Het valt ook bijzonder moeilijk te koppelen aan mijn pseudoniem door zorgvuldig gebruik te maken van verschillende e-mailadressen. Googlen op de combinatie van mijn echte naam en mijn pseudoniem levert ook niets zinnigs ook.

    Daarnaast krijgt iedereen van mij een ander e-mailadres zodat ik van ongewenste koppelingen verschoond blijf;-) Sargasso kent mij enkel als [email protected], google ziet alleen [email protected] Spam is daardoor ook altijd te traceren naar degene die mijn e-mailadres heeft gelekt;-)

    En dan vind ik dat ik nog vrij slordig ben met mijn persoonsgegevens; u kunt op basis van dit postje met een beetje moeite mijn echte naam heus wel achterhalen. Lukt u dat, gelieve deze niet in de comments te plaatsen:) Om dit artikel kan ik dan ook alleen maar een beetje lachen…

  4. 6

    “Stel dat deze methode effectief blijkt, dan zullen steeds meer hackers namen verzamelen om ingangen te vinden.”

    Toen dat jongetje ‘Wolf!’ riep was het de eerste keer ook een effectieve manier om mensen te belazeren, maar na een tijdje besteedde men er gewoon geen aandacht meer aan. Als dergelijke sites vaker opduiken, zal iemand die sollicitanten screent via Google er na een ook tijdje geen aandacht meer aan besteden.

    Eigenlijk een voordeel voor ons dus, want je persoonlijke informatie is redelijk veilig bij een roddeltante die 99% van de tijd liegt en onzin verkondigt… toch niemand die ‘r gelooft.

  5. 7

    @Krekel,
    lijkt me juist, hoe meer dit soort ‘geintjes’ gemeengoed worden hoe voorzichtiger men wordt iets klakkeloos voor waar aan te nemen van wat er geschreven staat.
    En niet zozeer voorzichtiger met wat men zelf schrijft.
    Het internet als roddeltante,
    helemaal niet zo scheef gedacht.

  6. 8

    @5 lekkere lollie? ;)

    Het gaat ook niet om absolute anonimiteit, maar je kunt het dergelijke identiteits-dieven wel moeilijker maken. Ook ik ben heel makkelijk te vinden, maar mijn echte naam is lastiger.

    Het is net als je fiets vastzetten in Amsterdam: Gewoon zorgen dat je meer sloten hebt dan de fiets naast je, maar onsteelbaar is er geeneen.