Dit gaat niet over jou

Sargasso plaatst bijdragen van het Rathenau Instituut over intieme technologie. De serie is ook te lezen op het weblog van het Rathenau Instituut. Vandaag vertelt senior onderzoeker Christian van ’t Hof over een opmerkelijk geval van phishing.

Laatst kreeg ik een e-mail van een vriendin van me. Erboven stond: “Help!”.  Ze kwam via Google op een blog met haar naam erboven en een heel persoonlijk verhaal over een abortus. Nu heeft ze een vrij bijzondere naam, dus alle andere resultaten gingen wel over haar. Iedereen die haar zou Googlen, zou dus denken dat het abortusverhaal van haar was. Ze vermoedde dat iemand met haar naam aan de haal was gegaan, want een maand eerder was ook al haar e-mail account gehacked. Om te kijken wie hier achter zat, klikte ze op de site. Al snel gingen er allerlei alarmbellen af dat dit malware was.

Ze raakte in paniek en wilde er wat aan doen. “Hoe kan ik ervoor zorgen dat deze site zo snel mogelijk uit de lucht gaat? Ik heb geen idee waar ik moet beginnen…”, schreef ze in haar mail. Ik belde haar op en probeerde haar gerust te stellen. Voor echt kwalijke dingen op het internet is er zoiets is als een “notice and take down” procedure. Echter, toen ik zelf zocht op haar naam, kwam de gewraakte blog niet naar boven….

Toch zou de site volgens haar ook op computers van anderen wel te zien zijn… Vreemd. Gelukkig had ze nog snel een screenshot gemaakt en mij toegemaild. Het was inderdaad geen verhaal waar je je naam boven wil hebben. Vervolgens bleek ook een ander vriendin van haar ineens een blog te hebben, over dat ze ziek en depressief was.

Twee hypothesen

Wat was hier aan de hand? We bedachten twee hypothesen. De eerste was dat er iets op haar computer zoektermen afvangt en automatisch in een nepsite zet. Het gebeurde immers niet op alle computers. De tweede hypothese was dat iemand een lijst met echte namen heeft, bijvoorbeeld via sociale netwerksites en daar een hele reeks tijdelijke nepblogs heeft aangemaakt. Om de één of andere reden verdween de site af en toe. Zou er een gevecht achter de schermen zijn tussen de boef en Google?

Vanuit het Rathenau Instituut ken ik gelukkig al aardig wat computerveiligheidsdeskundigen, dus stuurde ik de noodroep rond. De reacties waren eensluidend. Hypothese één kon verworpen worden. Automatisch sites genereren op je zoekterm is wel erg omslachtig en kan alleen als er al malware op staat. De tweede hypothesen werd door allemaal bevestigd, met interessante aanvullingen.

Malware verspreiden via websites met populaire zoektermen of plaatjes is een bekende methode. Je browser en Google proberen uiteraard die sites te blokkeren, maar dat lukt niet altijd. En klik je erop, dan kan er van alles geïnstalleerd worden, bijvoorbeeld software om je passwords te achterhalen. Dat de site verdwijnt en later weer opduikt is waarschijnlijk een bewuste strategie om de pakkans te verkleinen. Door steeds de naam en url te veranderen, is de site al weg voordat een melding nagetrokken wordt.

Lokmiddelen

Het is vooral het gebruik van persoonsnamen als lokkertje, wat dit geval zo interessant maakt. Een naam komt over het algemeen minder vaak voor in teksten dan gewone woorden. Een site met die naam komt dus sneller omhoog in de zoekresultaten. Bij deze site stond de naam ook nog eens zes keer op willekeurige plaatsen in de tekst, wat de relevantie verhoogt. Vervolgens zullen mensen die specifieke namen Googlen eerder geneigd zijn te klikken op aparte persoonlijke dingen, dan wanneer je bijvoorbeeld op een product zoekt. Zo’n obscure weblog trekt dan natuurlijk meteen de aandacht.

Dan zijn er nog de mensen die blijkbaar veel op namen zoeken. Dat ben je uiteraard in de eerste plaats zelf. Wie zou niet geneigd zijn om door te klikken op zijn “eigen weblog”? Maar bijvoorbeeld ook personeelsfunctionarissen bij grote bedrijven die veel sollicitanten screenen, of mensen die bij opsporings- of inlichtingendiensten werken. Interessante doelwitten, want die hebben waarschijnlijk veel interessante inlogcodes voor gevoelige informatie.

Maar hoe komt die cybercrimineel dan aan al die echte namen? De site kwam wisselend uit Roemenië en Rusland en de teksten waren grammaticaal verre van correct. Deze gasten zullen waarschijnlijk niet zien dat bijvoorbeeld “Christian” in het Nederlands wel een naam is van een persoon en “Christenen” niet. (Je begrijpt, mijn naam geeft soms bijzondere Engelstalige resultaten in Google). En hoe weten ze dat mijn vriendin uit Nederland komt? Ook daar waren de experts het over eens: de sociale media. Met name Facebook en LinkedIn. Daar gebruiken mensen vaak hun echte naam, juist omdat ze gevonden willen worden. Die naam is door de vormgeving van de site makkelijk automatisch op te zoeken, compleet met woonplaats.

Naam gestolen
Dat brengt me bij een probleem dat wellicht groter kan worden dan wat malware op je computer: de corruptie van onze persoonlijke namen. Stel dat deze methode effectief blijkt, dan zullen steeds meer hackers namen verzamelen om ingangen te vinden. Wat kun je nog meer doen met namen als lokkertje? Zullen we uit angst en wanhoop dan maar niet meer onze echte namen gebruiken? Gaan we toe naar een internet van wisselende pseudoniemen, totdat niemand meer weet wie iemand werkelijk is?

Met dank aan:

  • Pieter Rogaar van KPMG
  • Jaap Henk Hoepman, Sander Degen en André Smulders van TNO
  • Arnold Roosendaal TILT, Universiteit van Tilburg
  • Jacques Tuin, KLPD
  • Bart Schermer, Considerati, Universiteit Leiden

En uiteraard ben ik benieuwd wat de combinatie van deze namen in één tekst doet met de Google Ranks van dit artikel…

  1. 3

    Iedereen is een potentiële celeb op het internet. Met dank aan de roddelbladen/phishers/enz. #gaap

    En dan heb ik het nog niet eens gehad over de “virusverwijderaars” die je in dit verband een gunstige aanbieding doen die je niet kunt weigeren.

    Google dat maar.