Ze zijn in de twintig, geldbelust, hebben een goede it-opleiding genoten en kraken in een handomdraai uw netwerk. En o ja: de meesten komen uit Rusland. Maak kennis met de criminelen van de eenentwintigste eeuw en lees wat ú moet doen om ze buiten te houden.
Een gamefabrikant had een nieuwe versie van zijn meest succesvolle online spel ontwikkeld. En die week (in november vorig jaar) zou de release plaatsvinden.
‘Wij hebben de beveiliging van jullie nieuwe release gekraakt. Als jullie niet binnen acht uur 25.000 dollar overmaken op het volgende bankrekeningnummer, dan maken we het spel online voor iedereen gratis beschikbaar.’ Spoedvergadering in het managementteam, waar aanvankelijk ongeloof en kwaadheid overheersen, maar al snel de conclusie wordt bereikt dat betalen de beste optie is. Vergeleken bij de opbrengsten die de game moet gaan genereren, is die 25.000 dollar een fooi. En aangifte doen bij de politie levert maar reputatieverlies op. Trouwens: de politie kon er toch niks mee. Betalen dus.
Phising-aanval
Op 30 april jongstleden kreeg de Postbank een phishing-aanval te verduren. 39.000 valse e-mails naar klanten van de bank werden onderschept. Daarin het verzoek om op een link in de mail te klikken en op de daarachter verschijnende Postbank-website inlog- en andere persoonlijke gegevens opnieuw in te vullen. De timing was slecht, want het was Koninginnedag, dus waren er weinig mensen thuis. Een grootscheepse aanval (85.000 mails) op de Postbank in juni vorig jaar leverde echter aanzienlijke schade op en het onderzoek naar de daders is nog in volle gang.
Begin oktober werden in Rusland drie twintigers voor acht jaar in de gevangenis gegooid, met nog een boete van 3700 dollar. Ze hadden 4 miljoen euro los weten te krijgen van Britse bedrijven, door te dreigen hun websites plat te leggen. Wereldwijd hadden ze 54 van dergelijke aanvallen gepleegd in dertig landen.
Succesje
Tot slot een succesje van de Nederlandse politie: vorig jaar oktober werden drie twintigers aangehouden die met behulp van een botnetwerk (zie kader) dat wel 1,5 miljoen pc’s omvatte, dreigden de websites plat te leggen van twee Amerikaanse bedrijven. Daarnaast gebruikten ze hun trojaanse paard W32.Toxbot, dat zich via internet in pc’s nestelde om toetsaanslagen te registreren en te zoeken naar wachtwoorden. Ze hebben grote hoeveelheden creditcard-en andere gegevens zoals eBay- en Paypal-accounts doorverkocht aan webcriminelen in Rusland, die hun betaalden via een rekening in Estland. Ook bleken ze toegang te hebben tot het computernetwerk Sara, dat de toegang beheert tot de netwerken van Nederlandse ziekenhuizen, bedrijven, overheidsinstellingen en universiteiten.
Mbo-scholier
Het brein van het drietal is de twintigjarige S. B., een mbo-scholier uit Loon op Zand. B. heeft tot op de dag van vandaag geen bekentenis afgelegd en is in afwachting van de rechtszaak in vrijheid gesteld.
Geëxplodeerd
Hackers doen het allang niet meer voor de lol. Computercriminaliteit is een bezigheid geworden van mensen die puur en alleen op geld uit zijn. Ze opereren steeds slimmer, onopvallender, doelgerichter en professioneler. Ze organiseren zich in online bendes, ze werken hier en daar samen met de reguliere maffia en ze weten enorme bedragen buit te maken.
Al in 2004 zetten online criminelen wereldwijd meer om dan de drugsmaffia. Onlangs maakte de FBI bekend dat de verzamelde computermisdaad de Amerikaanse economie jaarlijks zo’n 400 miljard dollar kost. Het Britse Department of Trade and Industry heeft geen cijfers, maar schat dat de schade de laatste twee jaar met 50 procent is toegenomen. En in Nederland? Hier hebben we geen cijfers. Door de beroerde staat van automatisering van de Nederlandse politie is er geen realistisch beeld van de vlucht die de online misdaad heeft genomen.
Maar cybercrimebestrijders in Nederland zijn het eens: de laatste paar jaar is het verschijnsel ook hier geëxplodeerd. En men is het er ook over eens dat de politie er nauwelijks iets aan kan doen. “Ach, iedereen loopt achter de feiten aan. Er is wel een aantal mensen bij de politie die weet van de hoed en de rand, maar die hebben momenteel erg veel op hun bord liggen,” zegt technisch directeur Simon Hania van XS4All daarover. “Overal in de wereld waar breedband internet doorbreekt, zie je de online criminele activiteiten enorm toenemen en in 2003 en 2004 was dat in Nederland het geval.”
Russen
Het probleem met cybercriminelen is dat ze overal kunnen zitten. Een Rus kan via een gekraakte Chinese computer een Nederlands netwerk binnendringen en vandaaruit een aanval ondernemen op het netwerk van een Amerikaanse creditcardmaatschappij. Zie die Rus maar eens te vinden nadat hij zijn slag heeft geslagen. In veruit de meeste gevallen staan de autoriteiten machteloos. Trouwens, over Russen gesproken: zij zijn het die de internationale webmaffia aanvoeren. Profiel: briljante twintigers met een goede it-opleiding en geen cent te makken. Gezien de armoede van de Russische bevolking, het hoge niveau van de technische opleidingen in Rusland en de totale onverschilligheid van de Russische overheid is het niet zo vreemd dat de cybermaffia zich in het grootste land ter wereld zo heeft kunnen ontwikkelen.
Beginner op het web
Desalniettemin hoeft een computercrimineel niet eens meer briljant te zijn om zijn slag te kunnen slaan. Fabrikant van beveiligingssoftware Symantec deed onderzoek naar hoe moeilijk het is voor een crimineel om als ‘beginner’ op het web aan de slag te gaan. De onderzoekers vonden een levendige handel in creditcardgegevens, bankrekeningnummers, wachtwoorden, e-mailadressen, virussen en zelfs digitale beeldbestanden van valse bankbiljetten. Daarnaast alle benodigdheden om anoniem internetpagina’s na te bouwen en phishing-mails te verzenden. Creditcardinformatie doet 1,5 à 2 dollar per kaart, een virus waarmee een netwerk van zombiecomputers (netbots) kan worden opgezet, kost zo’n 1000 dollar.
Onwetendheid
Wat betekent dat allemaal? Dat wie zich onbeschermd op internet begeeft en vervolgens met z’n creditcard inkopen gaat doen, ervan uit mag gaan dat die gegevens razendsnel in handen komen van een crimineel. In het actualiteitenprogramma Nova werd eind vorig jaar een splinternieuwe pc aangesloten op internet, zonder firewall of anti-virussoftware. Binnen een kwartier was het apparaat geïnfecteerd met kwaadaardige code. Een goede wake-up call voor particuliere pc-bezitters, om de beveiliging van hun computer nog eens grondig te herzien.
Voor bedrijven ligt dat allemaal wat ingewikkelder. Grote bedrijven hebben grote ict-afdelingen, waar mensen zitten die de veiligheid van het netwerk kunnen waarborgen. Maar ook daar is het besef van de digitale gevaren en kwetsbaarheden vaak onder de maat, om van het midden- en kleinbedrijf maar te zwijgen “Bedrijven kunnen er niet meer van uitgaan dat hun informatie alleen van hen is,” zegt Nienke van den Berg. Ze is oprichtster van internetsecurity-consultant A51 en was tot eind 2004 directeur van het National High Tech Crime Center (NHTCC); een door de overheid opgericht expertisecentrum voor de bestrijding van cybermisdaad, dat dit jaar is opgegaan in de nieuwe High Tech Crime Unit van het Korps Landelijke Politie Diensten (KLPD). “Als iemand de informatie wíl vinden, dan kan hij dat, daar moet je vanuit gaan. En dat kan zijn uit criminele motieven, of bedrijfsspionage.” Wat Van den Berg veel tegenkomt bij bedrijven, is onwetendheid. “Langzamerhand begint het bij de Nederlandse manager te dagen dát hij niets weet. Dat noem ik vooruitgang.”
USB-sticks
Wat Van den Berg bedrijven en organisaties adviseert, is het laten doen van een volledige ict-scan, zowel extern als intern. “Dat softwaresystemen robuust moeten zijn en bestand tegen aanvallen van buitenaf, dat snapt de gemiddelde manager nog wel. Maar wat vaak vergeten wordt, zijn de risico’s die je loopt door het handelen van eigen mensen. Het downloaden van van alles, van porno tot muziek; het creëren van eigen draadloze netwerkjes; het aansluiten van mp3-spelers; het synchroniseren van Palm-organizers. Maar ook: hoe betrouwbaar is je systeembeheerder? Het zal niet de eerste keer zijn dat iemand uit, laten we zeggen, Australië met een strafblad vanwege digitale criminaliteit hier gewoon als systeembeheerder aan de slag gaat. Geen haan die ernaar kraait.”
Ze gaat door: “Mensen moeten getraind worden. Ze moeten leren zichzelf elke keer dat ze met it-gestuurde bedrijfsprocessen bezig zijn, af te vragen of ze het systeem niet aan het compromitteren zijn.” Ze noemt het voorbeeld van een bedrijf waar iemand op de parkeerplaats USB-sticks had rondgestrooid. Medewerkers wilden weten wat erop stond, plugden ze in hun pc op kantoor en binnen de kortste tijd was het hele systeem geïnfecteerd.
Kritieke processen
Onderbelicht zijn volgens Van den Berg ook de zogenaamde Scada-systemen (Supervisory Control And Data Acquisition). Dit zijn software-systemen die vaak kritieke processen beheren, zoals de productie en distributie van drinkwater, olieproductie en –transport, elektriciteitsvoorzieningen, spoorwegbeveiliging enzovoorts. Doorgaans zijn deze systemen slecht beveiligd en worden ze beheerd door elektrotechnici die van it-beveiliging geen kaas hebben gegeten. Volgens Nienke van den Berg worden dergelijke systemen wel degelijk actief aangevallen vanaf het internet. “In het nieuws hoor je dan dat iets was uitgevallen vanwege een ‘technische storing’. Ik zal je zeggen: in zo’n geval is er een kans van 95 procent dat er een Worm in een Scada-systeem is terechtgekomen.”
Ze kan de voorbeelden zo noemen: een grote elektriciteitsstoring in Canada en de VS in 2003, als gevolg van de Blasterworm. Of die keer dat in Australië een miljoen liter vervuild rioolwater in het milieu terechtkwam, als gevolg van een aanval op het beheerssysteem door een ex-medewerker van de betreffende dienst. Van den Berg: “Nog zoiets: medewerkers die wraak willen nemen. Dat is een groeiend probleem.” In een Amerikaans onderzoek blijkt dat het aantal bedrijven dat last heeft van ‘insiders’ is gegroeid van 39 procent in 2005 naar 55 procent dit jaar.
Webwinkeltje
Bedrijven die een verhoogd risico lopen om met online criminaliteit te maken te krijgen, zijn financiële dienstverleners, internetserviceproviders en natuurlijk het groeiende aantal bedrijven dat zijn zaken volledig via internet regelt: en met name de kleintjes onder hen. Van den Berg: “Als ik als crimineel aan creditcardgegevens wil komen, val ik niet Amazon aan, waar een hele batterij specialisten me zit op te wachten, maar een klein webwinkeltje dat minder veiligheidsmaatregelen heeft getroffen. Een beetje slimmerik heeft aan een à twee dagen genoeg om de hele database met creditcardgegevens buit te maken.”
Van de Nederlandse financiële instellingen heeft volgens de Global Security Survey van Deloitte (juli 2006) 83 procent te maken gehad met een inbreuk op hun beveiliging in het jaar daaraan voorafgaand. Helaas denkt maar zo’n 42 procent van hen de competenties in huis te hebben om er effectief op te kunnen reageren. Misschien is dat de reden dat – behalve de grote phishing-aanvallen die de Postbank dit en vorig jaar meldde – we er nooit iets van horen.
Aangifte
Want dat is het volgende punt waar iedereen die iets van het onderwerp weet het over eens is: in niet meer dan 5 procent van de gevallen doen bedrijven aangifte van schade door cybercrime. Jan-Willem van Empel van it-dienstverlener NDI, dat onder andere webhostingservices verzorgt voor bedrijven, kan daarover meepraten. “Er was op een server van een bedrijf kinderporno terechtgekomen. Binnen de kortste tijd zat het hier vol consultants van een securitybureau die die server onmiddellijk in quarantaine zetten. Een geheimzinnig sfeertje en toen het klaar was, hoorde je er niets meer van.”
Doofpot
De belangrijkste reden voor dit geheimzinnige gedrag: bedrijven willen geen reputatieschade leiden. Hoe leg je aan de buitenwereld uit dat die kinderporno buiten je medeweten op je webserver terecht is gekomen? Precies… in de doofpot ermee dus. Net als met een gijzeling van het netwerk van een creditcardmaatschappij. Daarnaast geloven bedrijven überhaupt niet dat aangifte doen enig effect sorteert. De politie is machteloos, zo luidt de consensus en die staat helaas dicht bij de waarheid. Het is een vicieuze cirkel want zo komt de politie ook moeilijk aan de kennis die ze nodig heeft om haar achterstand in te kunnen lopen.
Vandaar dat Nienke van den Berg bedrijven dringend adviseert wél aangifte te doen. “Ik heb niet het idee dat de Postbank door aangifte te doen van die phishing-aanvallen grote hoeveelheden klanten heeft verloren. En daarnaast: de politie – die met de dag meer leert – wil weten wie de grote jongens zijn en hen daadwerkelijk oppakken, ook al moet dat in samenwerking met buitenlandse diensten en kost het jaren speurwerk. Dat kan alleen als ze zoveel mogelijk informatie krijgt. Als bedrijf word je daar misschien niet meteen wijzer van, maar je draagt wel bij aan de wereldwijde bestrijding van dit voorlopig hard groeiende probleem.”
Cybercrime for dummies
Cybercriminelen gebruiken verschillende instrumenten die ze steeds verder verfijnen en ook in steeds vernuftiger combinaties gebruiken. Het ‘gewone’ virus is op z’n retour. Een overzicht.
Spam
Ongevraagde e-mail, in enorme hoeveelheden gebruikt voor marketingdoeleinden. E-mailbeveiliger Cleanport berichtte onlangs dat de hoeveelheid spam nog altijd stijgt: een angstaanjagend record van 84 procent van het totale e-mailverkeer werd bereikt. Bij sommige bedrijven is de hoeveelheid zo groot, dat hun bedrijfsvoering in gevaar komt, aldus Cleanport.
Phishing
E-mails, opzettelijk gelijkend op die van een groot bedrijf (zoals met Koninginnedag de Postbank) waarin de klant wordt verzocht zijn persoonlijke gegevens in te vullen, of op een link te klikken die hem naar de nepwebsite leidt. Aldaar mag klant alsnog z’n gegevens invullen (bankrekeningnummer), waarna de criminelen hun gang kunnen gaan.
Pharming
Als phishing, maar met slimmere software. Bij pharming ontvangt de klant geen e-mail meer, maar belandt hij na het invullen van de url van de website van zijn bank automatisch op een nepwebsite.
Trojaans paard (trojan)
Een stukje software dat zich via websites of e-mail in de pc nestelt en via een achterdeurtje contact zoekt met zijn maker/verspreider, bijvoorbeeld om identiteitsgegevens te stelen. ‘Identity theft’ wordt gezien als dé misdaad van de eenentwintigste eeuw.
Key logging
Software die vaak met een trojan samen op een pc belandt en toetsaanslagen kan lezen voor bovengenoemd doel.
Worm
Kwaadaardige software die zich verspreidt via it-netwerken (via e-mail of peer-to-peer netwerken). Bekende wormen waren Mydoom en Sasser, die ieder voor honderden miljoenen schade hebben aangericht.
Botnet
Bots zijn stukjes software die zich op een pc nestelen en in contact blijven staan met hun verspreider en wachten op commando’s. Cybercriminelen infecteren soms miljoenen pc’s van nietsvermoedende particulieren om daarmee aanvallen te ondernemen op bedrijfswebsites. Volgens onderzoekers worden bots steeds multifunctioneler en kunnen ze naar wens gebruikt worden voor zaken als keylogging.
Ddos-aanval
Een aanval vanaf een groot aantal ‘zombie-computers’ die met bots besmet zijn, bedoeld om een website van een bedrijf of overheidsorganisatie plat te leggen. Cybercriminelen persen bedrijven af door hen met Ddos-aanvallen te bedreigen.
Spyware / Adware
Software, vaak via een website onbewust gedownload, die zich vastzet op de harde schijf van een pc en op gezette tijden commerciële pop-ups op het scherm plaatst. Kan ook uitgerust worden om privéinformatie te stelen.