Phishing, kinderporno en advance-fee internet fraud - WODC
Phishing, kinderporno en advance-fee internet fraud - WODC Phishing, kinderporno en advance-fee internet fraud - WODC
- Page 2 and 3: Phishing, Kinderporno en Advance-Fe
- Page 5 and 6: Phishing, Kinderporno en Advance-Fe
- Page 7 and 8: INHOUDSOPGAVE Begripsomschrijvingen
- Page 9 and 10: 3.6.5 Advertenties ................
- Page 11: 4.22 ‘The Facilitators’ .......
- Page 14 and 15: Hacker Een computerexpert die in st
- Page 16 and 17: Trojan Two‐factor authentificatio
- Page 18 and 19: Onvermijdelijk levert een kijk in d
- Page 20 and 21: haar daders. Dit zogenaamde NICC‐
- Page 22 and 23: 3. Welke typen (mogelijke) daders z
- Page 24 and 25: strafbaar wordt gesteld’ (Mooij &
- Page 26 and 27: daders worden opgespoord c.q. vroeg
- Page 28 and 29: het voortbrengen van werkzame inter
- Page 30 and 31: de ‘krochten’ van het internet.
- Page 32 and 33: cybercrime te hoeven beschrijven. D
- Page 35 and 36: Hoofdstuk 2 Gegevensdiefstal middel
- Page 37 and 38: ekend maakt. In deze vorm van klass
- Page 39 and 40: Gillnet phishing Gilnetting wordt d
- Page 41: zelf buiten schot te blijven [7a].
- Page 45 and 46: 2.2.2 Sophisticated phishing In de
- Page 47 and 48: gedeelte van de authentieke website
- Page 49 and 50: jobapplicationsites waarop mensen z
- Page 51 and 52: 2.6.1 Crawl/harvesting De phisher k
<strong>Phishing</strong>, Kinderporno <strong>en</strong><br />
Advance-Fee <strong>internet</strong> Fraud
Erratum<br />
Op pagina 159 wordt de ‘Ver<strong>en</strong>iging voor acceptatie ouder<strong>en</strong>-kinder<strong>en</strong> relaties’<br />
‘Martijn’, e<strong>en</strong> <strong>kinderporno</strong>netwerk g<strong>en</strong>oemd, <strong>en</strong> e<strong>en</strong> relatie gelegd naar de<br />
‘International boyloverday’. Die suggestie is door meerdere respond<strong>en</strong>t<strong>en</strong> gedaan, <strong>en</strong><br />
had conform de opbouw van het rapport als hypothese moet<strong>en</strong> word<strong>en</strong> gebracht, of<br />
aangehaald moet<strong>en</strong> word<strong>en</strong> als uitspraak van respond<strong>en</strong>t<strong>en</strong>.
<strong>Phishing</strong>, Kinderporno <strong>en</strong><br />
Advance-Fee <strong>internet</strong> Fraud<br />
Hypothes<strong>en</strong> van cybercrime <strong>en</strong> haar daders<br />
Wyns<strong>en</strong> Faber<br />
Sjoerd Mostert<br />
Jelmer Faber<br />
Noor Vrolijk
Dit onderzoek is uitgevoerd in opdracht van het programma Nationale<br />
Infrastructuur CyberCrime (NICC) <strong>en</strong> het Wet<strong>en</strong>schappelijk Onderzoek‐ <strong>en</strong><br />
Docum<strong>en</strong>tatiec<strong>en</strong>trum van het Ministerie van Justitie (<strong>WODC</strong>).<br />
ISBN 9789080690547<br />
NUR 824<br />
Augustus 2010, Faber organisatievernieuwing b.v. , NICC, <strong>WODC</strong><br />
Auteursrecht voorbehoud<strong>en</strong>. Behoud<strong>en</strong>s de door de wet gestelde uitzondering<strong>en</strong>,<br />
mag niets uit deze uitgave word<strong>en</strong> verveelvoudigd, opgeslag<strong>en</strong> in e<strong>en</strong><br />
geautomatiseerd gegev<strong>en</strong>sbestand <strong>en</strong>/of op<strong>en</strong>baar gemaakt, in <strong>en</strong>ige vorm of op<br />
<strong>en</strong>ige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnam<strong>en</strong> of <strong>en</strong>ige<br />
andere manier zonder voorafgaande schriftelijke toestemming van Faber<br />
organisatievernieuwing b.v (FO). Hypothesis Directed Interv<strong>en</strong>tion (HDI) is e<strong>en</strong><br />
geregistreerd handelsmerk van FO.<br />
Aan de totstandkoming van deze uitgave is uiterste zorg besteed. Voor informatie<br />
die desondanks onvolledig of onjuist is opg<strong>en</strong>om<strong>en</strong> aanvaard<strong>en</strong> de auteurs ge<strong>en</strong><br />
aansprakelijkheid. Voor ev<strong>en</strong>tuele correcties van feitelijkhed<strong>en</strong> houd<strong>en</strong> de auteurs<br />
zich graag aanbevol<strong>en</strong>.
INHOUDSOPGAVE<br />
Begripsomschrijving<strong>en</strong>/afkorting<strong>en</strong> ......................................................................11<br />
VOORWOORD ............................................................................................. 15<br />
HOOFDSTUK 1 INTRODUCTIE ......................................................................... 17<br />
1.1 Probleemstelling ......................................................................................18<br />
1.2 Operationalisatie ......................................................................................21<br />
1.3 Theoretisch kader .....................................................................................23<br />
1.4 Werkwijze .................................................................................................25<br />
1.5 Onderzoeksresultaat ................................................................................29<br />
1.6 Strami<strong>en</strong> van het rapport .........................................................................30<br />
HOOFDSTUK 2 GEGEVENSDIEFSTAL MIDDELS SPAM/PHISHING ....................... 33<br />
2.1 Begrip‐ <strong>en</strong> plaatsbepaling phishing ..........................................................34<br />
2.2 Modus operandi .......................................................................................38<br />
2.2.1 Klassieke phishing .........................................................................38<br />
2.2.2 Sophisticated phishing ..................................................................43<br />
2.3 Stap 1 Determine target ...........................................................................43<br />
2.4 Stap 2 Design for web ..............................................................................44<br />
2.5 Stap 3a Staff recruitm<strong>en</strong>t .........................................................................46<br />
2.6 Stap 3b Acquire addresses .......................................................................48<br />
2.6.1 Crawl/harvesting ...........................................................................49<br />
2.6.2 Server hacking ...............................................................................51<br />
2.6.3 Malware ........................................................................................52<br />
2.7 Stap 3c Acquire facilities ..........................................................................54<br />
2.8 Stap 4 Acquire domain .............................................................................57<br />
2.9 Stap 5 Acquire site hosting .......................................................................59<br />
2.10 Stap 6 Upload web cont<strong>en</strong>t ......................................................................64<br />
2.11 Stap 7a Acquire mail delivery ...................................................................65<br />
2.12 Stap 7b Method of infection ....................................................................68<br />
2.13 Stap 8 Acquire victims ..............................................................................70<br />
2.14 Stap 9 Receive cred<strong>en</strong>tials........................................................................73<br />
2.15 Stap 10 Acquire profit ..............................................................................76<br />
2.16 Stap 11 Activate mules .............................................................................79<br />
2.17 Stap 12 Receive money/laundering money .............................................79<br />
2.18 Sam<strong>en</strong>hang phishing met andere delict<strong>en</strong> ...............................................82<br />
2.19 Roll<strong>en</strong> .......................................................................................................84<br />
2.20 ‘The Initiators’ ..........................................................................................89<br />
2.20.1 Instroom vanuit de ICT‐omgeving .................................................89<br />
5
2.20.2 Instroom vanuit de porno‐wereld .................................................90<br />
2.20.3 Instroom vanuit de marketing .......................................................91<br />
2.20.4 Instroom vanuit ervar<strong>en</strong> <strong>internet</strong> gebruik .....................................92<br />
2.20.5 Gradaties qua professionaliteit .....................................................93<br />
2.20.6 De ‘Sponsor’ (produc<strong>en</strong>t phishingproces) ......................................94<br />
2.20.7 De ‘Spammer’ (regisseur phishingproces) .....................................96<br />
2.21 ‘The Employees’ .....................................................................................100<br />
2.21.1 De ‘Webdesigner’ ........................................................................100<br />
2.21.2 De ‘Scriptkiddy’ ...........................................................................100<br />
2.21.3 De ‘Scout’ ....................................................................................102<br />
2.21.4 De ‘Translator’ .............................................................................102<br />
2.21.5 De ‘Toolsupplier’ .........................................................................103<br />
2.21.6 De ‘Moneymule’ ..........................................................................104<br />
2.22 ‘The Facilitators’ .....................................................................................107<br />
2.22.1 De ‘Host’ ......................................................................................107<br />
2.22.2 De ‘Harvester’, ‘Administrator’, ‘Supplier’ <strong>en</strong> ‘Insider’ ................109<br />
2.22.3 De ‘Botnet herder’ .......................................................................113<br />
2.22.4 De ‘Malware distributor’ .............................................................113<br />
2.22.5 De ‘Access provider’ ....................................................................114<br />
2.22.6 De ‘Hacker’ ..................................................................................115<br />
2.23 ‘The Targets’ ...........................................................................................115<br />
2.23.1 De ‘Institution’ .............................................................................115<br />
2.23.2 Het ‘Victim’ ..................................................................................116<br />
2.23.3 De ‘Money transfer ag<strong>en</strong>t’ ..........................................................116<br />
2.23.1 De ‘Online shop’ ..........................................................................116<br />
2.24 Conclusies ...............................................................................................117<br />
HOOFDSTUK 3 KINDERPORNO EN GROOMING .............................................. 121<br />
3.1 Begrip‐ <strong>en</strong> plaatsbepaling <strong>internet</strong>gerelateerde <strong>kinderporno</strong> ...............122<br />
3.2 Modus operandi .....................................................................................124<br />
3.3 Stap 1 Acquire connection .....................................................................130<br />
3.4 Stap 2a Acquire id<strong>en</strong>tity .........................................................................130<br />
3.5 Stap 2b Acquire accounts .......................................................................134<br />
3.5.1 Primary account ..........................................................................134<br />
3.5.2 Secondary accounts ....................................................................137<br />
3.6 Stap 3 Victim selection ...........................................................................137<br />
3.6.1 ‘Offline’ ........................................................................................137<br />
3.6.2 Modell<strong>en</strong>sites ..............................................................................138<br />
3.6.3 Sociale netwerksites ....................................................................139<br />
3.6.4 Chat .............................................................................................140<br />
6
3.6.5 Advert<strong>en</strong>ties ................................................................................142<br />
3.7 Stap 4 Grooming .....................................................................................143<br />
3.8 Stap 5 Consolidation...............................................................................144<br />
3.9 Stap 6 Staff recruitm<strong>en</strong>t .........................................................................145<br />
3.10 Stap 7 Keuze locatie ...............................................................................146<br />
3.11 Stap 8 Abuse ...........................................................................................147<br />
3.12 Stap 9 Abuse‐recording ..........................................................................149<br />
3.13 Stap 10a Editing ......................................................................................150<br />
3.14 Stap 10b Coding .....................................................................................151<br />
3.14.1 Hide: Steganography ...................................................................152<br />
3.14.2 Hide: Encryption ..........................................................................153<br />
3.14.3 Create: Games .............................................................................153<br />
3.14.4 Create: Patches ...........................................................................156<br />
3.14.5 Create: H<strong>en</strong>tai‐manga .................................................................157<br />
3.15 Stap 11 Acquire domain <strong>en</strong> stap 12 Acquire hosting .............................158<br />
3.16 Stap 13a Acquire customers ...................................................................159<br />
3.17 Stap 13b Aquire addresses <strong>en</strong> stap 13c Aquire mail delivery ................160<br />
3.18 Stap 14 Paym<strong>en</strong>t ....................................................................................160<br />
3.19 Stap 15 Distribution ................................................................................163<br />
3.20 Stap 16 Storage ......................................................................................169<br />
3.21 Sam<strong>en</strong>hang <strong>kinderporno</strong> met andere delict<strong>en</strong> ......................................171<br />
3.21.1 Steundelict<strong>en</strong> ...............................................................................172<br />
3.21.2 Associatiedelict<strong>en</strong>........................................................................173<br />
3.21.3 ‘Embryonale’ delict<strong>en</strong> ..................................................................174<br />
3.21.4 Verdringingsdelict<strong>en</strong> ...................................................................176<br />
3.22 Roll<strong>en</strong> .....................................................................................................177<br />
3.23 ‘The Initiators’ ........................................................................................183<br />
3.23.1 De ‘Producer’ ...............................................................................184<br />
3.23.2 De ‘Victimsupplier’ ......................................................................186<br />
3.23.3 De ‘Staffrecruiter’ ........................................................................187<br />
3.23.4 De ‘Abuser’: zes categorieën misbruikers ....................................188<br />
3.23.5 De <strong>internet</strong> gerelateerde abusers: de ‘Breeder’<br />
<strong>en</strong> de ‘Choreographer’ ............................................................................193<br />
3.23.6 De ‘Distributor’ ............................................................................200<br />
3.23.7 De ‘Spectators’: de ‘Sightseer’ <strong>en</strong> de ‘Addict’ ..............................202<br />
3.23.8 De ‘Collector’ ...............................................................................206<br />
3.23.9 De ‘Exchanger’ ............................................................................208<br />
3.23.10 De 'Moderator’ ..........................................................................210<br />
3.24 ‘The Employees’ .....................................................................................215<br />
3.24.1 De ‘Photographer/cameraman’ <strong>en</strong> de ‘Editor’ ............................215<br />
7
3.24.2 De ‘Lighting technician’ ...............................................................222<br />
3.24.3 De ‘Coder’ ....................................................................................223<br />
3.24.4 De ‘Graphic designer’ ..................................................................224<br />
3.25 ‘The Facilitators’ .....................................................................................226<br />
3.25.1 De ‘Location supplier’ ..................................................................227<br />
3.25.2 De ‘Billing company’ ....................................................................228<br />
3.25.3 De ‘Application provider’ .............................................................230<br />
3.26 ‘The Targets’ ...........................................................................................230<br />
3.26.1 Het ‘Victim’ ..................................................................................230<br />
3.27 Conclusies ...............................................................................................232<br />
HOOFDSTUK 4 ADVANCE-FEE INTERNET FRAUD (AFIF) ................................ 239<br />
4.1 Begrip‐ <strong>en</strong> plaatsbepaling <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> ..........................240<br />
4.2 Modus operandi .....................................................................................242<br />
4.3 Stap 1 Choose type of <strong>fraud</strong> ...................................................................247<br />
4.4 Stap 2 Determine target .........................................................................248<br />
4.5 Stap 3 Acquire addresses .......................................................................249<br />
4.6 Stap 4 Mule recruitm<strong>en</strong>t ........................................................................250<br />
4.7 Stap 5 Acquire script ..............................................................................251<br />
4.8 Stap 6 Acquire id<strong>en</strong>tity ...........................................................................252<br />
4.9 Stap 7 Acquire connection .....................................................................253<br />
4.10 Stap 8 Acquire account ..........................................................................255<br />
4.11 Stap 9 Introduction.................................................................................256<br />
4.12 Stap 10 Intake .........................................................................................257<br />
4.13 Stap 11 Persuading .................................................................................258<br />
4.14 Stap 12 Transaction ................................................................................259<br />
4.15 Stap 13 Acquire profit ............................................................................260<br />
4.16 Stap 14 Activate mules ...........................................................................260<br />
4.17 Stap 15 ‘Ship’ money ..............................................................................261<br />
4.18 Sam<strong>en</strong>hang AFiF met andere delict<strong>en</strong> ...................................................264<br />
4.19 Roll<strong>en</strong> .....................................................................................................266<br />
4.20 ‘The Initiators’ ........................................................................................273<br />
4.20.1 De ‘Maec<strong>en</strong>as’.............................................................................273<br />
4.20.2 De ‘B<strong>en</strong>eficiary’ ...........................................................................276<br />
4.20.3 De ‘Job‐owner’ <strong>en</strong> de ‘Scammer’.................................................277<br />
4.21 ‘The employees’ .....................................................................................279<br />
4.21.1 De ‘Cast’ ......................................................................................279<br />
4.21.2 De ‘Forger’...................................................................................280<br />
4.21.3 De ‘Translator’.............................................................................283<br />
4.21.4 De ‘Boy’ .......................................................................................283<br />
8
4.22 ‘The Facilitators’ .....................................................................................284<br />
4.22.1 De ‘Internetcafé‐holder’ ..............................................................284<br />
4.22.2 De ‘Broker’...................................................................................285<br />
4.22.3 De ‘Carrier’ <strong>en</strong> de ‘Money‐trafficker’ ..........................................286<br />
4.22.4 De ‘Shelter‐supplier’ ....................................................................286<br />
4.23 ‘The Targets’ ...........................................................................................288<br />
4.23.1 De ‘Victim’ ...................................................................................288<br />
4.24 Conclusies ...............................................................................................289<br />
HOOFDSTUK 5 SAMENVATTING EN CONCLUSIES .......................................... 293<br />
5.1 Hypothes<strong>en</strong> <strong>en</strong> ‘darknumber’ als vertrekpunt .......................................293<br />
5.2 Modus operandi: werkwijze, organisatiegraad, <strong>en</strong> specialisatie ...........295<br />
5.3 Vindplaats<strong>en</strong> daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> cyberdelict<strong>en</strong> ..................................301<br />
5.4 Daders: typ<strong>en</strong>, k<strong>en</strong>merk<strong>en</strong> <strong>en</strong> profiel<strong>en</strong> ................................................304<br />
5.5 Sam<strong>en</strong>loop verschill<strong>en</strong>de vorm<strong>en</strong> van (cyber‐)criminaliteit ..................306<br />
5.6 K<strong>en</strong>nislacune: daders <strong>en</strong> modus operandi .............................................309<br />
5.7 De bijdrage van hypothes<strong>en</strong> aan beïnvloeding van cybercrime ............311<br />
5.8 Hypothes<strong>en</strong> van daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> modus operandi als<br />
risicoprofiel<strong>en</strong>? ....................................................................................................313<br />
5.9 Onderzoekservaring<strong>en</strong> ...........................................................................314<br />
5.9.1 Onderzoeksbeperking<strong>en</strong> ..............................................................314<br />
5.9.2 Bruikbaarheid onderzoeksmethodiek .........................................314<br />
5.10 De ‘Nationale Infrastructuur teg<strong>en</strong> Cybercrime’ ....................................317<br />
5.11 “The proof of the pudding is in the eating”. ..........................................319<br />
SUMMARY ‘PHISHING, CHILD PORN AND ADVANCED-FEE INTERNET<br />
FRAUD’ ........................................................................................... 321<br />
BIJLAGEN ........................................................................................... 343<br />
I. Sam<strong>en</strong>stelling begeleidingscommissie ...................................................345<br />
II. Geïnterviewd<strong>en</strong> ......................................................................................347<br />
III. Bronn<strong>en</strong> ..................................................................................................350<br />
IV. Toelichting op rol‐ <strong>en</strong> actor gerelateerde gegev<strong>en</strong>sbronn<strong>en</strong> .................363<br />
V. Gegev<strong>en</strong>sbronn<strong>en</strong> phishing: actor‐gerelateerd .....................................368<br />
VI. Gegev<strong>en</strong>sbronn<strong>en</strong> phishing: rol‐gerelateerd .........................................374<br />
VII. Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>kinderporno</strong>: actor‐gerelateerd ...............................383<br />
VIII. Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>kinderporno</strong>: rol‐gerelateerd ...................................390<br />
IX. Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>: actor‐gerelateerd ........401<br />
X. Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>: rol‐gerelateerd ............405<br />
9
Begripsomschrijving<strong>en</strong>/afkorting<strong>en</strong><br />
Adware<br />
G<strong>en</strong>ereert ongevraagde reclameboodschapp<strong>en</strong> <strong>en</strong> popups<br />
op e<strong>en</strong> scherm, vaak als ‘part of the deal’ voor het<br />
gebruik van gratis software.<br />
Backdoor<br />
Achterdeur in e<strong>en</strong> programma om als maker nog<br />
toegang tot het programma te hebb<strong>en</strong>.<br />
Bot<br />
Het overnem<strong>en</strong> van e<strong>en</strong> computer zodat die kan word<strong>en</strong><br />
ingezet voor phishing activiteit<strong>en</strong>.<br />
Botnet<br />
Netwerk van bots die e<strong>en</strong> geheel vorm<strong>en</strong>. De beheerder<br />
van het botnet kan zo aanvall<strong>en</strong> coördiner<strong>en</strong> op web‐ of<br />
mailservers of het botnet inschakel<strong>en</strong> voor<br />
spammethod<strong>en</strong>.<br />
Browser hijacker Programma of instelling dat e<strong>en</strong> start‐/zoekpagina kaapt<br />
<strong>en</strong> de gebruiker steeds omleidt naar e<strong>en</strong> ongew<strong>en</strong>ste<br />
pagina. Er kunn<strong>en</strong> ook extra zoekbalk<strong>en</strong> aan e<strong>en</strong> browser<br />
word<strong>en</strong> toegevoegd.<br />
Chatroom<br />
E<strong>en</strong> plek op het <strong>internet</strong> waar met (willekeurige)<br />
<strong>internet</strong>gebruikers kan word<strong>en</strong> gesprok<strong>en</strong>. Soms zijn<br />
deze gesprekk<strong>en</strong> gericht op specifieke onderwerp<strong>en</strong>,<br />
afhankelijk van het type chatroom.<br />
Copine<br />
Combating Paedofile Information Networks in Europe.<br />
Defacing<br />
Het zonder toestemming verander<strong>en</strong> of vervang<strong>en</strong> van<br />
e<strong>en</strong> (deel van e<strong>en</strong>) website.<br />
Dialer<br />
E<strong>en</strong> programma dat eerst de <strong>internet</strong>verbinding met de<br />
provider verbreekt, om vervolg<strong>en</strong>s e<strong>en</strong> andere<br />
<strong>internet</strong>verbinding via e<strong>en</strong> ander nummer tot stand te<br />
br<strong>en</strong>g<strong>en</strong>. Meestal is dit is e<strong>en</strong> 0906‐/0908‐nr of e<strong>en</strong><br />
buit<strong>en</strong>lands betaalnummer.<br />
DIY kits<br />
Do‐it‐yourself softwarepakkett<strong>en</strong> voor bijvoorbeeld het<br />
vergar<strong>en</strong> van mailadress<strong>en</strong> of het g<strong>en</strong>erer<strong>en</strong> van<br />
complete spoof websites.<br />
DNS<br />
Domain Name Server (zie Host server).<br />
Domein<br />
E<strong>en</strong> plaats op het <strong>internet</strong> die geclaimd wordt door e<strong>en</strong><br />
persoon die daarvoor betaalt.<br />
Exploit E<strong>en</strong> stukje code dat gebruik maakt van e<strong>en</strong><br />
kwetsbaarheid in software of hardware om die voor<br />
onbedoelde doel<strong>en</strong> te misbruik<strong>en</strong>.<br />
11
Hacker<br />
E<strong>en</strong> computerexpert die in staat is tot het inbrek<strong>en</strong> in<br />
computersystem<strong>en</strong>.<br />
Harvesting<br />
Het vergar<strong>en</strong> van e‐mail‐ of postadress<strong>en</strong>.<br />
Hijacking (browser) Het beïnvloed<strong>en</strong> van de computer van de gebruiker<br />
zodat dieg<strong>en</strong>e boodschapp<strong>en</strong> te zi<strong>en</strong> krijgt, wordt<br />
doorgestuurd naar bepaalde sites, de startpagina wordt<br />
aangepast of dat banners die op het scherm verschijn<strong>en</strong><br />
e<strong>en</strong> andere inhoud meekrijg<strong>en</strong>.<br />
Host server<br />
E<strong>en</strong> grote computer waarop websites opgeslag<strong>en</strong> zijn.<br />
Hosting<br />
E<strong>en</strong> di<strong>en</strong>st voor het verschaff<strong>en</strong> van de mogelijkheid om<br />
e<strong>en</strong> website op e<strong>en</strong> server te plaats<strong>en</strong>.<br />
Integration<br />
Integratie: de derde <strong>en</strong> laatste fase van witwass<strong>en</strong><br />
waarbij het vermog<strong>en</strong> in de bov<strong>en</strong>wereld wordt<br />
geïnvesteerd.<br />
IP‐adres<br />
E<strong>en</strong> 9‐cijferige code die e<strong>en</strong> computer toegewez<strong>en</strong> krijgt<br />
als deze contact maakt met e<strong>en</strong> webserver.<br />
IRC<br />
Internet Relay Chat.<br />
ISP<br />
Internet Service Provider.<br />
Keylogger<br />
Programma dat de aanslag<strong>en</strong> op het toets<strong>en</strong>bord of<br />
scre<strong>en</strong>shots kan 'noter<strong>en</strong>' <strong>en</strong> doorstur<strong>en</strong> naar de maker<br />
of e<strong>en</strong> c<strong>en</strong>trale databank.<br />
Kinderporno<br />
E<strong>en</strong> gegev<strong>en</strong>sdrager, bevatt<strong>en</strong>de e<strong>en</strong> afbeelding van e<strong>en</strong><br />
seksuele gedraging, waarbij iemand die k<strong>en</strong>nelijk de<br />
leeftijd van achtti<strong>en</strong> jaar nog niet heeft bereikt, is<br />
betrokk<strong>en</strong> of schijnbaar is betrokk<strong>en</strong>.<br />
Layering<br />
Versluiering: de tweede fase in witwass<strong>en</strong> waarbij e<strong>en</strong><br />
ope<strong>en</strong>volging van soms complexe financiële transacties<br />
wordt uitgevoerd met als doel de oorsprong van het<br />
vermog<strong>en</strong> te verhull<strong>en</strong>.<br />
Malware Malicious software: verzamelnaam voor allerlei<br />
ongew<strong>en</strong>ste, kwaadaardige programma's zoals spyware,<br />
viruss<strong>en</strong>, trojans, hijackers, etc.<br />
Mass mailer<br />
E<strong>en</strong> computerprogramma dat snel veel e‐mailbericht<strong>en</strong><br />
kan verstur<strong>en</strong>.<br />
Mule<br />
E<strong>en</strong> persoon in e<strong>en</strong> witwaspraktijk die geld voor<br />
criminel<strong>en</strong> transporteert of besteedt.<br />
Mule farming<br />
Het verzamel<strong>en</strong> van mules om zo de opbr<strong>en</strong>gst<strong>en</strong> van<br />
criminaliteit beschikbaar te krijg<strong>en</strong>.<br />
Node<br />
Datastructuur.<br />
Packer<br />
E<strong>en</strong> drager van malware die e<strong>en</strong> virus op de computer<br />
12
installeert.<br />
Parafilie<br />
Het hebb<strong>en</strong> van seksuele gevoel<strong>en</strong>s bij zak<strong>en</strong> die over<br />
het algeme<strong>en</strong> niet direct seksueel word<strong>en</strong> geassocieerd.<br />
Verzamelterm waaronder ook pedofilie wordt<br />
geschaard.<br />
Pedofiel Meerderjarige die zich aangetrokk<strong>en</strong> voel<strong>en</strong> tot<br />
minderjarig<strong>en</strong> of seksueel nog niet geslachtsrijpe<br />
kinder<strong>en</strong>.<br />
Pedofilie<br />
Seksuele omgang tuss<strong>en</strong> e<strong>en</strong> kind <strong>en</strong> e<strong>en</strong> volwass<strong>en</strong>e.<br />
Pharming<br />
Het misleid<strong>en</strong> van <strong>internet</strong>gebruikers door hun verkeer<br />
met e<strong>en</strong> bepaalde server ongemerkt om te leid<strong>en</strong> naar<br />
e<strong>en</strong> andere server.<br />
<strong>Phishing</strong> Het viss<strong>en</strong> (h<strong>en</strong>gel<strong>en</strong>) naar inloggegev<strong>en</strong>s <strong>en</strong><br />
persoonsgegev<strong>en</strong>s van gebruikers.<br />
Placem<strong>en</strong>t<br />
Plaatsing: de eerste fase in het witwass<strong>en</strong> waarbij het<br />
contante geld in het financiële verkeer wordt gebracht.<br />
Proxy<br />
Proxy’s zijn schakels (servers) in het <strong>internet</strong> waarop<br />
(bijvoorbeeld bij e<strong>en</strong> ISP) vaak geraadpleegde websites<br />
word<strong>en</strong> opgeslag<strong>en</strong>. Daardoor kunn<strong>en</strong> veelgebruikte<br />
sites sneller word<strong>en</strong> gelad<strong>en</strong>.<br />
Scam<br />
E<strong>en</strong> vorm van oplichterij waarbij <strong>fraud</strong>eurs prober<strong>en</strong> e<strong>en</strong><br />
som geld afhandig te mak<strong>en</strong> onder valse voorw<strong>en</strong>dsel<strong>en</strong>.<br />
Scriptkiddy Computerexperim<strong>en</strong>teerders met e<strong>en</strong> buit<strong>en</strong>gewone<br />
computerk<strong>en</strong>nis, maar die zelfstandig niet in staat zijn<br />
tot ernstige criminaliteit.<br />
Spam<br />
Ongew<strong>en</strong>ste mailbericht<strong>en</strong> met e<strong>en</strong> reclameboodschap.<br />
Spoof website E<strong>en</strong> website om gegev<strong>en</strong>s van slachtoffers te<br />
ontfutsel<strong>en</strong>. E<strong>en</strong> spoof website lijkt vaak als twee<br />
druppels water op e<strong>en</strong> officiële bank of verzekeringssite.<br />
De spoof website bevat mogelijkhed<strong>en</strong> om de<br />
inloggegev<strong>en</strong>s van person<strong>en</strong> te kopiër<strong>en</strong> <strong>en</strong> te verz<strong>en</strong>d<strong>en</strong><br />
naar de crimineel.<br />
Spyware Verzamelt ongemerkt persoonlijke gegev<strong>en</strong>s, zoals e‐<br />
mailadress<strong>en</strong>, bezochte websites, surfgedrag <strong>en</strong> stuurt<br />
deze zonder medewet<strong>en</strong> van de rechthebb<strong>en</strong>de door.<br />
Torr<strong>en</strong>t<br />
Systeem om peer‐to‐peer gegev<strong>en</strong>s uit te wissel<strong>en</strong>,<br />
gebruik mak<strong>en</strong>d van e<strong>en</strong> c<strong>en</strong>trale locatie die de<br />
gegev<strong>en</strong>s coördineert, maar zelf ge<strong>en</strong> bestand<strong>en</strong> levert.<br />
Download<strong>en</strong> gebeurt dec<strong>en</strong>traal door uitwisseling van<br />
bestand<strong>en</strong> tuss<strong>en</strong> de led<strong>en</strong> van de gebruikersgroep.<br />
13
Trojan<br />
Two‐factor<br />
auth<strong>en</strong>tification<br />
WACN<br />
Webserver<br />
Whois database<br />
World Wide Web<br />
(WWW)<br />
Worm<br />
E<strong>en</strong> og<strong>en</strong>schijnlijk nuttig programma dat zich op e<strong>en</strong><br />
harde schijf nestelt <strong>en</strong> onzichtbaar software installeert<br />
die bijvoorbeeld poort<strong>en</strong> op<strong>en</strong>zet waardoor<br />
ongeautoriseerde toegang mogelijk is tot de computer.<br />
E<strong>en</strong> manier van website beveiliging die veel gebruikt<br />
wordt door bank<strong>en</strong>. Hierbij toets<strong>en</strong> gebruikers hun<br />
wachtwoord niet rechtstreeks in op de website, maar op<br />
e<strong>en</strong> apparaatje voor hun computer. Dit apparaatje<br />
berek<strong>en</strong>t e<strong>en</strong> toegangscode op basis van het<br />
wachtwoord.<br />
West‐Afrikaanse Criminele Netwerk<strong>en</strong>.<br />
E<strong>en</strong> grote computer waardoor computers toegang<br />
krijg<strong>en</strong> tot het <strong>internet</strong>.<br />
Database waarin domeinnam<strong>en</strong> <strong>en</strong> hun houders staan<br />
geregistreerd.<br />
Het onderdeel van het <strong>internet</strong> dat gebruikt wordt door<br />
het grote publiek.<br />
"Write once, read many". Deze vorm van malware maakt<br />
gebruik van 'voortplanting' om zoveel mogelijke<br />
gasther<strong>en</strong> (computers) te besmett<strong>en</strong>. E<strong>en</strong> worm<br />
verspreidt zich niet via bestand<strong>en</strong>, maar van PC naar PC<br />
via e<strong>en</strong> netwerk of e‐mailverbinding.<br />
14
Voorwoord<br />
‘Hypothes<strong>en</strong> van cybercrime <strong>en</strong> haar daders’ doet verslag van e<strong>en</strong> onderzoek dat is<br />
uitgevoerd in opdracht van het Programma Nationale Infrastructuur Cybercrime<br />
(het NICC‐programma) 1 <strong>en</strong> het Wet<strong>en</strong>schappelijk Onderzoek‐ <strong>en</strong><br />
Docum<strong>en</strong>tatiec<strong>en</strong>trum van het Ministerie van Justitie (<strong>WODC</strong>). De onderligg<strong>en</strong>de<br />
vraagstelling heeft e<strong>en</strong> complexe aanleiding maar is terug te br<strong>en</strong>g<strong>en</strong> tot de vraag:<br />
‘wat is de meerwaarde van informatiedeling voor de bestrijding van cybercrime?’<br />
Cybercrime is e<strong>en</strong> verzamelwoord voor zeer uite<strong>en</strong>lop<strong>en</strong>de delict<strong>en</strong>, maar wordt in<br />
dit onderzoek gebruikt in de betek<strong>en</strong>is van ‘<strong>internet</strong>gerelateerde criminaliteit’.<br />
Het onderzoek heeft e<strong>en</strong> sterk functionele inslag gek<strong>en</strong>d. Er is gezocht naar<br />
aanknopingspunt<strong>en</strong> voor detectie van bepaalde vorm<strong>en</strong> van cybercrime. Niet met<br />
de bedoeling toekomstig misdadig gedrag te prognosticer<strong>en</strong>, maar om criminele<br />
activiteit<strong>en</strong> te specificer<strong>en</strong> in het hier <strong>en</strong> nu. Het doorgrond<strong>en</strong> van MO’s <strong>en</strong><br />
daderroll<strong>en</strong> vormde daarvoor het uitgangspunt. Vervolg<strong>en</strong>s is de niet in dit rapport<br />
behandelde vraag aan de orde: welke van die detectiemogelijkhed<strong>en</strong> kunn<strong>en</strong> <strong>en</strong><br />
mog<strong>en</strong> onder welke voorwaard<strong>en</strong> <strong>en</strong> op welke wijze word<strong>en</strong> b<strong>en</strong>ut?<br />
Inher<strong>en</strong>t aan het doel <strong>en</strong> het karakter van het onderzoek, is dit rapport niet<br />
‘definitief’. Hypothes<strong>en</strong> zijn bedoeld om feitelijk te word<strong>en</strong> getoetst (dat<br />
onderscheidt ze ook van opinies), <strong>en</strong> die toetsing heeft nog niet plaats gevond<strong>en</strong>.<br />
Het rapport is dan ook eerder e<strong>en</strong> begin dan e<strong>en</strong> afgerond resultaat. Bov<strong>en</strong>di<strong>en</strong><br />
evoluer<strong>en</strong> het <strong>internet</strong> <strong>en</strong> dus de daaraan gerelateerde hypothes<strong>en</strong> over<br />
cybercrime, voortdur<strong>en</strong>d.<br />
Diverse betrokk<strong>en</strong> organisaties hebb<strong>en</strong> de onderzoekers e<strong>en</strong> ongeclausuleerde kijk<br />
in hun keuk<strong>en</strong> gegund om materiaal te verzamel<strong>en</strong>. Weer ander<strong>en</strong> hebb<strong>en</strong> op de<br />
voorlopige onderzoeksresultat<strong>en</strong> gereflecteerd. Als gevolg daarvan kond<strong>en</strong><br />
onderzoeksgegev<strong>en</strong>s uit heel verschill<strong>en</strong>de bronn<strong>en</strong> op elkaar word<strong>en</strong> gelegd. Onze<br />
dank gaat in het bijzonder uit naar h<strong>en</strong> die dat mogelijk hebb<strong>en</strong> gemaakt: het team<br />
Internetveiligheid van de Opta, het team High Tech Crime van het KLPD, IPOL, het<br />
Functioneel Parket, de politieregio Amsterdam‐Amstelland, de Bov<strong>en</strong>regionale<br />
Recherche Noord‐Oost Nederland <strong>en</strong> de Bov<strong>en</strong>regionale Recherche Noord‐West <strong>en</strong><br />
Midd<strong>en</strong> Nederland.<br />
1 Het NICC‐programma valt onder de verantwoordelijkheid van het Ministerie van Economische Zak<strong>en</strong>.<br />
15
Onvermijdelijk levert e<strong>en</strong> kijk in de keuk<strong>en</strong> van betrokk<strong>en</strong> actor<strong>en</strong> ook inzicht<strong>en</strong> op<br />
over mogelijke interne verbetering<strong>en</strong> binn<strong>en</strong> hun organisatie of werkprocess<strong>en</strong>.<br />
Zoveel als mogelijk zijn die inzicht<strong>en</strong> rechtstreeks geadresseerd aan deg<strong>en</strong><strong>en</strong> die er<br />
wellicht hun voordeel mee kunn<strong>en</strong> do<strong>en</strong> <strong>en</strong> niet in dit rapport verwerkt. De<br />
onderzoekers hebb<strong>en</strong> het vooral als hun taak gezi<strong>en</strong> om de inhoudelijke k<strong>en</strong>nis van<br />
bepaalde verschijningsvorm<strong>en</strong> van cybercrime bije<strong>en</strong> te br<strong>en</strong>g<strong>en</strong> <strong>en</strong> te vergrot<strong>en</strong>,<br />
om daaraan vervolg<strong>en</strong>s op hoofdlijn<strong>en</strong> beleidsaanbeveling<strong>en</strong> te koppel<strong>en</strong> over de<br />
organisatie van de bestrijding van die verschijningsvorm<strong>en</strong>.<br />
De Begeleidingscommissie, die als gevolg van het sam<strong>en</strong>gaan van twee<br />
onderzoek<strong>en</strong> pas gaandeweg het onderzoekstraject in de uiteindelijke vorm is<br />
geïnstalleerd, zegg<strong>en</strong> wij ev<strong>en</strong>zeer dank. Haar vermog<strong>en</strong> om flexibel <strong>en</strong> snel k<strong>en</strong>nis<br />
te nem<strong>en</strong> van de complexe <strong>en</strong> deels technische materie, past bij de dynamische<br />
omgeving van het <strong>internet</strong>. Ze vormt e<strong>en</strong> mooi voorspel voor waar het feitelijk om<br />
gaat: effectvolle actie!<br />
Oss, augustus 2010<br />
Wyns<strong>en</strong> Faber<br />
Sjoerd Mostert<br />
Jelmer Faber<br />
Noor Vrolijk<br />
16
Hoofdstuk 1 Introductie<br />
De snelheid van communicatie <strong>en</strong> de mede als gevolg daarvan snel verander<strong>en</strong>de<br />
<strong>en</strong> globaliser<strong>en</strong>de sam<strong>en</strong>leving is voor m<strong>en</strong>ig beleidsdocum<strong>en</strong>t <strong>en</strong><br />
onderzoeksrapport e<strong>en</strong> relevant vertrekpunt. Onze afhankelijkheid van<br />
elektronische verbinding<strong>en</strong> <strong>en</strong> middel<strong>en</strong> is groot. En daarmee ook de<br />
kwetsbaarheid. Op dat laatste wordt in tal van campagnes uit prev<strong>en</strong>tief oogpunt<br />
gewez<strong>en</strong>. E<strong>en</strong> belangrijk middel, juist omdat de opsporing van cybercrime t<strong>en</strong><br />
opzichte van klassieke criminaliteit zoveel extra complicaties k<strong>en</strong>t. Het<br />
territorialiteitsbeginsel geeft weinig houvast als dader 1 in Moskou zich bedi<strong>en</strong>t<br />
van door Chinese dader 2 in 50 land<strong>en</strong> gestol<strong>en</strong> creditcardgegev<strong>en</strong>s <strong>en</strong> er e<strong>en</strong><br />
door Amerikaanse dader 3 gecreëerd zombi<strong>en</strong>etwerk op nahoudt van 65.000<br />
computers ev<strong>en</strong>e<strong>en</strong>s verdeeld over tal van land<strong>en</strong>, met behulp waarvan<br />
miljo<strong>en</strong><strong>en</strong> phishing mails word<strong>en</strong> verzond<strong>en</strong> met e<strong>en</strong> door dader 4 ontwikkelde<br />
phishing ‘Do it yourself’ kit, <strong>en</strong> de opbr<strong>en</strong>gst<strong>en</strong> word<strong>en</strong> teruggesluisd via<br />
geïnfecteerde servers in meerdere land<strong>en</strong>. De cybercriminel<strong>en</strong> mak<strong>en</strong> dankbaar<br />
gebruik van deze territorialiteitsverwarring. Soms via ingewikkelde geschakelde<br />
criminele gedraging<strong>en</strong>, maar in het geval van Nigerian<strong>en</strong>scam ook heel<br />
e<strong>en</strong>voudig: de crimineel in Nederland b<strong>en</strong>adert vooral slachtoffers in<br />
bijvoorbeeld Engeland <strong>en</strong> di<strong>en</strong>s ‘collega’ in Engeland vooral slachtoffers in<br />
Nederland. Op die manier spel<strong>en</strong> zij in op het geringe <strong>en</strong>thousiasme dat de<br />
autoriteit<strong>en</strong> van beide land<strong>en</strong> zull<strong>en</strong> voel<strong>en</strong> bij opsporing <strong>en</strong> vervolging op<br />
andermans grondgebied.<br />
Teg<strong>en</strong> deze achtergrond is het ontwerp van e<strong>en</strong> ‘Nationale Infrastructuur Teg<strong>en</strong><br />
Cybercrime’ (NICC) in 2006 tot stand gekom<strong>en</strong>. Met als c<strong>en</strong>traal doel om juist<br />
vanwege de moeizame verhouding tuss<strong>en</strong> cybercrime <strong>en</strong> het<br />
territorialiteitsbeginsel te kom<strong>en</strong> tot andere middel<strong>en</strong> voor effectieve<br />
beïnvloeding dan uitsluit<strong>en</strong>d het strafrecht. E<strong>en</strong> noodzakelijkheid die wordt<br />
versterkt door de beperkt beschikbare opsporings‐ <strong>en</strong> vervolgingscapaciteit, de<br />
lastige bewijsbaarheid van del<strong>en</strong> van de cybercrime <strong>en</strong> de geringe doorwerking<br />
van het Nederlandse strafrecht op het geheel van bij cybercrime betrokk<strong>en</strong><br />
daders.<br />
De principes van het ontwerp van de Nationale Infrastructuur hebb<strong>en</strong> model<br />
gestaan voor het design van het onderzoek naar hypothes<strong>en</strong> van cybercrime <strong>en</strong><br />
17
haar daders. Dit zog<strong>en</strong>aamde NICC‐actieonderzoek had als doel om de nieuwe<br />
d<strong>en</strong>kwijze achter de Nationale Infrastructuur in de praktijk te beproev<strong>en</strong>,<br />
alvor<strong>en</strong>s tot structurele oplossing<strong>en</strong> te besluit<strong>en</strong>. Gaandeweg het onderzoek is<br />
dat doel gaan schuiv<strong>en</strong> in de richting van het ontwikkel<strong>en</strong> van inzicht in de modus<br />
operandi (MO’s) van cybercrime <strong>en</strong> k<strong>en</strong>merk<strong>en</strong> van haar daders.<br />
Dit introducer<strong>en</strong>de hoofdstuk zet de probleemstelling uite<strong>en</strong> waarop het<br />
onderzoek is gefundeerd, om over te gaan op het onderzoeksdesign <strong>en</strong> te<br />
eindig<strong>en</strong> met e<strong>en</strong> leeswijzer.<br />
1.1 Probleemstelling<br />
Doelstelling<br />
Onder de vlag van het to<strong>en</strong>malige NPAC 2 ‐project is e<strong>en</strong> ontwerp gemaakt voor<br />
gestructureerde informatiedeling rond cybercrime dat de uitwisseling van<br />
informatie tuss<strong>en</strong> ongelijksoortige actor<strong>en</strong> faciliteert <strong>en</strong> e<strong>en</strong> aantal risico’s dat<br />
daarmee mogelijk sam<strong>en</strong>gaat, minimaliseert (Faber, Mostert, & Oude Alink, 2006).<br />
Het ontwerp vertrekt vanuit de basisveronderstelling dat vergaande<br />
informatiedeling <strong>en</strong> het op elkaar betrekk<strong>en</strong> van gegev<strong>en</strong>s uit uite<strong>en</strong>lop<strong>en</strong>de<br />
bronn<strong>en</strong> leidt tot e<strong>en</strong> effectievere aanpak van het probleem cybercrime.<br />
Vooralsnog ging het om e<strong>en</strong> theoretisch ontwerp. De onderligg<strong>en</strong>de principes van<br />
dat ontwerp war<strong>en</strong> ontle<strong>en</strong>d aan wet<strong>en</strong>schappelijk onderzoek van multi‐ag<strong>en</strong>cyvraagstukk<strong>en</strong><br />
in de s<strong>fee</strong>r van de rechtshandhaving (Faber, 2004), maar war<strong>en</strong> niet<br />
beproefd op de thematiek van cybercrime <strong>en</strong> de omgeving<strong>en</strong> waarin dit thema zich<br />
voordoet <strong>en</strong> getracht wordt het teg<strong>en</strong> te gaan. Bij de opdrachtgever van het NICC 3 ‐<br />
programma, de rechtsopvolger van het NPAC, bestond de w<strong>en</strong>s om het ontwerp in<br />
de praktijk toe te pass<strong>en</strong> <strong>en</strong> om na te gaan of het ontwerp ook daadwerkelijk tot de<br />
veronderstelde positieve effect<strong>en</strong> zou leid<strong>en</strong>. Zo ja, dan werd ook gevraagd om in<br />
te vull<strong>en</strong> op welke wijze het werk<strong>en</strong> volg<strong>en</strong>s het ontwerp zou kunn<strong>en</strong> word<strong>en</strong><br />
geïnstitutionaliseerd.<br />
Met het NICC‐actieonderzoek is getracht aan de w<strong>en</strong>s van de opdrachtgever<br />
tegemoet te kom<strong>en</strong>. In e<strong>en</strong> actieonderzoek laat de onderzoeker zijn doorgaans<br />
afstandelijke houding var<strong>en</strong> <strong>en</strong> probeert juist door handel<strong>en</strong>d optred<strong>en</strong> verband<strong>en</strong><br />
2 NPAC: Nationaal Platform Criminaliteitsbeheersing Project Aanpak Cybercrime.<br />
3 NICC: Nationale Infrastructuur teg<strong>en</strong> CyberCrime.<br />
18
te legg<strong>en</strong> <strong>en</strong> conclusies te trekk<strong>en</strong>. Aanvankelijk was het de bedoeling om het<br />
ontwerp voor informatiedeling in de s<strong>fee</strong>r van cybercrime in de dagelijkse praktijk<br />
toe te pass<strong>en</strong>, onder gelijktijdige bestudering van de inhoudelijke <strong>en</strong><br />
veranderkundige effect<strong>en</strong>. E<strong>en</strong> andere ontwikkeling sloot daar nauw op aan.<br />
Halverwege het jaar 2007 ontstond bij het <strong>WODC</strong> 4 de behoefte aan verdere<br />
toetsing <strong>en</strong> verdieping van de geïnv<strong>en</strong>tariseerde daderk<strong>en</strong>merk<strong>en</strong> zoals die uit e<strong>en</strong><br />
in 2008 versch<strong>en</strong><strong>en</strong> literatuurstudie (Hulst & Neve, 2008) naar vor<strong>en</strong> war<strong>en</strong><br />
gekom<strong>en</strong> 5 . De methodiek die het <strong>WODC</strong> daarbij voor og<strong>en</strong> stond kwam overe<strong>en</strong><br />
met de aanpak van del<strong>en</strong> uit het actieonderzoek. Beslot<strong>en</strong> werd om het lop<strong>en</strong>de<br />
NICC‐actieonderzoek <strong>en</strong> de onderzoeksw<strong>en</strong>s van het <strong>WODC</strong> met elkaar in één<br />
onderzoek te combiner<strong>en</strong>. Met als doel ‘e<strong>en</strong> bijdrage lever<strong>en</strong> aan prev<strong>en</strong>tie,<br />
handhaving <strong>en</strong> toezicht, opsporing <strong>en</strong> vervolging van hightech crime.’<br />
C<strong>en</strong>trale vraagstelling<br />
Het NICC onderzoek voorzag in het opstell<strong>en</strong> van hypothes<strong>en</strong> over de k<strong>en</strong>merk<strong>en</strong><br />
van daders <strong>en</strong> hun gedraging<strong>en</strong>. De c<strong>en</strong>trale vraagstelling voor het<br />
geme<strong>en</strong>schappelijke NICC/<strong>WODC</strong>‐onderzoek vloeide daaruit voort:<br />
Welke hypothes<strong>en</strong> over k<strong>en</strong>merk<strong>en</strong> van daders van cybercrime <strong>en</strong> de door h<strong>en</strong><br />
gepleegde delict<strong>en</strong>, kunn<strong>en</strong> di<strong>en</strong><strong>en</strong> als basis voor beïnvloeding, teg<strong>en</strong>houd<strong>en</strong> of<br />
opsporing?<br />
Bij wijze van eerste operationalisatie is de c<strong>en</strong>trale vraagstelling opgesplitst in e<strong>en</strong><br />
aantal relevante inhoudelijke deelvrag<strong>en</strong> <strong>en</strong> is er e<strong>en</strong> aantal meer beleidsmatige<br />
deelvrag<strong>en</strong> aan toegevoegd waarvan de beantwoording niet zozeer bijdraagt aan<br />
de vorming van hypothes<strong>en</strong> als wel betrekking heeft op de bruikbaarheid van die<br />
hypothes<strong>en</strong> voor beleid <strong>en</strong> strategie.<br />
Deelvrag<strong>en</strong><br />
1. Wat is bek<strong>en</strong>d over de werkwijze, organisatiegraad <strong>en</strong> specialisatie van de<br />
daders van de verschill<strong>en</strong>de verschijningsvorm<strong>en</strong> van cybercrime <strong>en</strong><br />
hoe/waar zijn hiervoor aanwijzing<strong>en</strong> te signaler<strong>en</strong>?<br />
2. Wat is er op grond van de Nederlandse registraties, onderzoek<strong>en</strong> <strong>en</strong><br />
strafdossiers te concluder<strong>en</strong> over daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> delictsoort<strong>en</strong> van<br />
cybercrime?<br />
4 Wet<strong>en</strong>schappelijk Onderzoek‐ <strong>en</strong> Docum<strong>en</strong>tatiec<strong>en</strong>trum van het Ministerie van Justitie.<br />
5 Verkorte startnotitie <strong>WODC</strong> ‘Risico‐indicator<strong>en</strong> van high‐tech crime: daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> werkwijz<strong>en</strong>’,<br />
22 november 2007.<br />
19
3. Welke typ<strong>en</strong> (mogelijke) daders zijn er te tracer<strong>en</strong>, welke k<strong>en</strong>merk<strong>en</strong><br />
(sociaaldemografisch, motivatie, gedrag, gebruikte hulpbronn<strong>en</strong>, criminele<br />
carrière) typer<strong>en</strong> (mogelijke) daders (patroonherk<strong>en</strong>ning)?<br />
4. In hoeverre houd<strong>en</strong> (de verschill<strong>en</strong>de typ<strong>en</strong>) daders zich (tegelijkertijd)<br />
met meerdere vorm<strong>en</strong> van cybercrime bezig?<br />
5. Welke verschijningsvorm<strong>en</strong> van cybercrime zijn aan te merk<strong>en</strong> als ‘witte<br />
vlekk<strong>en</strong>’ in term<strong>en</strong> van k<strong>en</strong>nis over daders?<br />
6. Hoe kunn<strong>en</strong> typologieën <strong>en</strong> inzicht<strong>en</strong> in daderk<strong>en</strong>merk<strong>en</strong> bruikbaar <strong>en</strong><br />
nuttig zijn/word<strong>en</strong> bij de bestrijding (prev<strong>en</strong>tie, opsporing, handhaving,<br />
vervolging) van cybercrime?<br />
7. Zijn daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> criminele activiteit<strong>en</strong> zodanig gerelateerd dat er<br />
risicoprofiel<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> aangegev<strong>en</strong> of ontwikkeld? Zo ja, welke<br />
profiel<strong>en</strong> zijn dat?<br />
De beantwoording van deze vrag<strong>en</strong> di<strong>en</strong>de voor het NICC ter beoordeling van de<br />
w<strong>en</strong>selijkheid van vorm<strong>en</strong> van operationele informatiedeling tuss<strong>en</strong> partij<strong>en</strong> die bij<br />
de bestrijding van cybercrime betrokk<strong>en</strong>, of te betrekk<strong>en</strong>, zijn. Voor het <strong>WODC</strong><br />
vormde het e<strong>en</strong> basis ter beoordeling van de bruikbaarheid van dadertypologieën<br />
<strong>en</strong> risicoprofiel<strong>en</strong> voor de opsporing <strong>en</strong> ter mogelijke aanvulling van de bevinding<strong>en</strong><br />
uit de literatuurstudie van Van der Hulst & Neve (2008). In beide gevall<strong>en</strong> is<br />
beantwoording bedoeld om specifiek crimineel gedrag te kunn<strong>en</strong> onderscheid<strong>en</strong><br />
van bonafide gedrag zonder het reguliere communicatieverkeer <strong>en</strong> haar gebruikers<br />
te treff<strong>en</strong>.<br />
Onderzoeksbeperking<br />
E<strong>en</strong> belangrijke beperking voor het onderzoek is dat het heeft moet<strong>en</strong> plaatsvind<strong>en</strong><br />
in Nederland. De bronn<strong>en</strong> van veel cybercrime <strong>en</strong> daarmee ook de bestrijding aan<br />
die bron, zijn terug te voer<strong>en</strong> op andere land<strong>en</strong> dan Nederland. De productie van<br />
<strong>kinderporno</strong> wordt bijvoorbeeld sterk herleid naar Roem<strong>en</strong>ië, Hongarije <strong>en</strong><br />
Bulgarije <strong>en</strong> de oorsprong van phishing <strong>en</strong> creditcard<strong>fraud</strong>e wordt gesitueerd in<br />
Rusland. K<strong>en</strong>nisname van bijvoorbeeld onderzoeksdossiers uit deze land<strong>en</strong> is niet<br />
mogelijk geweest, ev<strong>en</strong>min als het in persoon consulter<strong>en</strong> van inhoudelijk<br />
deskundig<strong>en</strong> uit o.a. deze land<strong>en</strong>. Dat is e<strong>en</strong> bepal<strong>en</strong>d gemis als we alle<strong>en</strong> al afgaan<br />
op de k<strong>en</strong>nis die door Nederlandse deskundig<strong>en</strong> is ingebracht over del<strong>en</strong> van MO’s<br />
die zich binn<strong>en</strong> hun gezichtsveld voordo<strong>en</strong> <strong>en</strong> die niet uit boek<strong>en</strong> is af te leid<strong>en</strong>.<br />
Slechts t<strong>en</strong> dele kon dit gemis word<strong>en</strong> gecomp<strong>en</strong>seerd door uitgebreide<br />
<strong>internet</strong>research.<br />
20
1.2 Operationalisatie<br />
Na e<strong>en</strong> eerste operationalisatie in deelonderzoeksvrag<strong>en</strong>, is het onderzoek verder<br />
ingekaderd qua begripsbepaling <strong>en</strong> focus.<br />
Het begrip cybercrime<br />
De literatuurinv<strong>en</strong>tarisatie van het <strong>WODC</strong> (Hulst & Neve, 2008) spreekt e<strong>en</strong><br />
voorkeur uit voor het hanter<strong>en</strong> van de term hightech crime in plaats van<br />
cybercrime vanwege het bredere <strong>en</strong> dynamische perspectief ‘dat beter zou<br />
aansluit<strong>en</strong> bij de snelle technologische ontwikkeling<strong>en</strong>’ (p.37). Ondertuss<strong>en</strong>, in<br />
navolging van Furnell (2001) ook constater<strong>en</strong>d, dat in wet<strong>en</strong>schap <strong>en</strong> praktijk e<strong>en</strong><br />
ars<strong>en</strong>aal aan terminologie wordt gebruikt, dat zorgt voor ‘verwarring, willekeurige<br />
toepassing <strong>en</strong> overlap’. Waarop dit gebrek aan e<strong>en</strong>duidigheid mogelijk is terug te<br />
voer<strong>en</strong>, blijft binn<strong>en</strong> het onderzoek impliciet.<br />
Op basis van de vele definities die wij onder diverse actor<strong>en</strong> in het veld zijn<br />
teg<strong>en</strong>gekom<strong>en</strong>, stell<strong>en</strong> wij in de eerste plaats vast dat de keuze voor e<strong>en</strong> bepaalde<br />
definitie sterk afhangt van de toepassing in het kader waarvan e<strong>en</strong> definitie wordt<br />
gehanteerd. Of anders gezegd: het is moeilijk zo niet onmogelijk e<strong>en</strong> algem<strong>en</strong>e<br />
e<strong>en</strong>duidigheid te bereik<strong>en</strong> over bijvoorbeeld het onderscheid in cybercriminaliteit<br />
<strong>en</strong> computercriminaliteit als m<strong>en</strong> zich niet afvraagt waaraan dat onderscheid<br />
di<strong>en</strong>stbaar moet zijn. Voor bijvoorbeeld de bestrijdingspraktijk is het van weinig<br />
betek<strong>en</strong>is om botnets als computercriminaliteit te beschouw<strong>en</strong> waar die nooit op<br />
zichzelf staan maar altijd e<strong>en</strong> MO vorm<strong>en</strong> voor iets anders zoals o.a.<br />
creditcard<strong>fraud</strong>e (cybercriminaliteit volg<strong>en</strong>s het <strong>WODC</strong>‐rapport) of phishing<br />
(computercriminaliteit volg<strong>en</strong>s het <strong>WODC</strong>‐rapport). Daarmee mak<strong>en</strong> we e<strong>en</strong> opstap<br />
naar e<strong>en</strong> eig<strong>en</strong> afbak<strong>en</strong>ing die vooral is ingegev<strong>en</strong> door wat met het NICConderzoek<br />
voor og<strong>en</strong> stond: het waar mogelijk creër<strong>en</strong> van inhoudelijke<br />
sam<strong>en</strong>hang in de feitelijke bestrijding (waartoe voor dit mom<strong>en</strong>t gemakshalve ook<br />
teg<strong>en</strong>houd<strong>en</strong> <strong>en</strong> voorkom<strong>en</strong> word<strong>en</strong> gerek<strong>en</strong>d) van e<strong>en</strong> aantal in het oog<br />
spring<strong>en</strong>de delict<strong>en</strong>. Die sam<strong>en</strong>hang <strong>en</strong> vooral de feitelijkheid, vraagt om e<strong>en</strong> sterk<br />
functionele invalshoek <strong>en</strong> e<strong>en</strong> daarop aansluit<strong>en</strong>de definitie. Teg<strong>en</strong> deze<br />
achtergrond is cybercrime in dit NICC‐onderzoek kortweg gedefinieerd als<br />
<strong>internet</strong>gerelateerde criminaliteit. ‘Criminaliteit’, eerder gebruikt in de betek<strong>en</strong>is<br />
van onrechtmatigheid, dan volg<strong>en</strong>s het criterium van strafbaarstelling of<br />
strafwaardigheid zoals c<strong>en</strong>traal staat in de door het KLPD gehanteerde definitie van<br />
cybercrime als ‘elke strafbare <strong>en</strong> strafwaardige gedraging, voor de uitvoering<br />
waarvan het gebruik van geautomatiseerde werk<strong>en</strong> bij de verwerking <strong>en</strong><br />
overdracht van gegev<strong>en</strong>s van overweg<strong>en</strong>de betek<strong>en</strong>is is’. Onder strafwaardig moet<br />
word<strong>en</strong> verstaan: ‘gedrag waarvan verwacht wordt dat het binn<strong>en</strong> afzi<strong>en</strong>bare tijd<br />
21
strafbaar wordt gesteld’ (Mooij & Werf, 2002).<br />
Clustering cybercrime<br />
Waar m<strong>en</strong> in het onderzoeksveld verschijningsvorm<strong>en</strong> van cybercrime vooral<br />
pres<strong>en</strong>teert als zelfstandige delict<strong>en</strong>, is in dit onderzoek zoveel mogelijk gezocht<br />
naar sam<strong>en</strong>hang. Eén van de onderligg<strong>en</strong>de argum<strong>en</strong>t<strong>en</strong> heeft te mak<strong>en</strong> met de<br />
urg<strong>en</strong>tiebeleving zoals die in het veld is aangetroff<strong>en</strong>. Spam als zelfstandig delict<br />
beschouwd, kan nauwelijks rek<strong>en</strong><strong>en</strong> op prioriteit onder bestrijders <strong>en</strong> spreekt qua<br />
veroorzaakte schade weinig tot de verbeelding. Wordt spam gezi<strong>en</strong> als onderdeel<br />
van de MO in het kader van bijvoorbeeld phishing, dan ontstaat ine<strong>en</strong>s e<strong>en</strong><br />
teg<strong>en</strong>overgesteld beeld; zowel qua ernstbeleving, als de onderligg<strong>en</strong>de schade.<br />
Binn<strong>en</strong> de gr<strong>en</strong>z<strong>en</strong> van ons onderzoek zijn drie clusters van sam<strong>en</strong>hang<strong>en</strong>de<br />
vorm<strong>en</strong> van cybercrime onderscheid<strong>en</strong> waarbij de aard van de sam<strong>en</strong>hang<br />
overig<strong>en</strong>s per cluster verschilt.<br />
Gegev<strong>en</strong>sdiefstal <strong>en</strong> misbruik<br />
Het eerste cluster is gevormd rond het delict phishing waarbij spam, spoofing,<br />
pharming, defacing, malware of aanverwante begripp<strong>en</strong> in e<strong>en</strong> gezam<strong>en</strong>lijke<br />
context van gegev<strong>en</strong>sdiefstal <strong>en</strong> misbruik zijn geplaatst. De schade van dit soort<br />
delict<strong>en</strong> is vooral fysiek <strong>en</strong> economisch.<br />
Kinderporno, grooming<br />
Het tweede cluster is gevormd rond delict<strong>en</strong> die niet zozeer fysieke of economische<br />
schade met zich meebr<strong>en</strong>g<strong>en</strong> als wel psychologische. De vervaardiging van<br />
<strong>kinderporno</strong> <strong>en</strong> grooming grijpt diep in op de persoonlijke <strong>en</strong> lichamelijke<br />
integriteit van slachtoffers <strong>en</strong> hun omgeving. Vanwege die gezam<strong>en</strong>lijke noemer<br />
zijn ze bije<strong>en</strong>gebracht in hetzelfde cluster, waaronder ook niet specifiek in dit<br />
onderzoeksrapport beschrev<strong>en</strong> vorm<strong>en</strong> als <strong>internet</strong>stalking <strong>en</strong> cyberpest<strong>en</strong> kunn<strong>en</strong><br />
word<strong>en</strong> begrep<strong>en</strong>. Dat heeft overig<strong>en</strong>s ook e<strong>en</strong> risico: door ze binn<strong>en</strong> hetzelfde<br />
cluster te pres<strong>en</strong>ter<strong>en</strong> kan de indruk ontstaan dat ze zich in de praktijk ook<br />
sam<strong>en</strong>hang<strong>en</strong>d voordo<strong>en</strong>. Voor grooming <strong>en</strong> <strong>kinderporno</strong> kan dat ook zeker het<br />
geval zijn, maar cyberpest<strong>en</strong> bijvoorbeeld staat vooral ook op zichzelf. Hoewel niet<br />
beschrev<strong>en</strong> in dit rapport, zijn mogelijke interv<strong>en</strong>ties wel deels aan elkaar verwant.<br />
Internet<strong>fraud</strong>e<br />
Het derde cluster is gevormd door de criminaliteit waarbij het <strong>internet</strong> functioneert<br />
als economische handelszone. Internet<strong>fraud</strong>e vormt de focus van dit cluster <strong>en</strong> dan<br />
specifiek de <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> (of voorschot<strong>fraud</strong>e).<br />
Ook voor de clusterindeling geldt dat ze vooral bruikbaar moet zijn in het kader van<br />
de te beantwoord<strong>en</strong> vraagstelling. De indeling heeft weinig wet<strong>en</strong>schappelijke<br />
22
pret<strong>en</strong>tie, ook al is e<strong>en</strong> belangrijk deel van wat we maatschappelijk aan cybercrime<br />
teg<strong>en</strong>kom<strong>en</strong> er in onder te br<strong>en</strong>g<strong>en</strong>. Onder elk van de clusters kunn<strong>en</strong> meer<br />
vorm<strong>en</strong> van cybercrime word<strong>en</strong> geschaard dan in dit rapport plaatsvindt. De<br />
indeling moet dan ook vooral word<strong>en</strong> gezi<strong>en</strong> als hulpmiddel voor de afbak<strong>en</strong>ing van<br />
het onderzoek, die bov<strong>en</strong>di<strong>en</strong> recht doet aan e<strong>en</strong> aantal categorieën van<br />
cybercrime die de Directie Rechtshandhaving <strong>en</strong> Criminaliteitsbestrijding van het<br />
Ministerie van Justitie, als opdrachtgever van het <strong>WODC</strong>, graag in het onderzoek<br />
betrokk<strong>en</strong> zag.<br />
1.3 Theoretisch kader<br />
Het onderzoek op zichzelf, de gevolgde methodiek <strong>en</strong> de wijze van notatie in<br />
diverse modell<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> gekarakteriseerd als e<strong>en</strong> systeemtheoretische<br />
b<strong>en</strong>adering. Deze b<strong>en</strong>adering ziet gedrag niet alle<strong>en</strong> als context‐afhankelijk<br />
(bestudering van de relaties tuss<strong>en</strong> het te bestuder<strong>en</strong> f<strong>en</strong>ome<strong>en</strong> <strong>en</strong> de omgeving<br />
zijn voorwaardelijk om dat gedrag te kunn<strong>en</strong> plaats<strong>en</strong>), maar ook als emerg<strong>en</strong>t<br />
waarbij e<strong>en</strong> als geheel beschouwd systeem zich anders gedraagt dan de opgetelde<br />
del<strong>en</strong> waaruit dat systeem bestaat. In het onderzoek is deze b<strong>en</strong>adering<br />
omgekeerd gebruikt door vanuit de bek<strong>en</strong>de totale functie van<br />
voortbr<strong>en</strong>gingsprocess<strong>en</strong> van cybercime de onbek<strong>en</strong>de schakels binn<strong>en</strong> die<br />
process<strong>en</strong> te construer<strong>en</strong>.<br />
De bedrijfskundige, logistieke <strong>en</strong> functionele b<strong>en</strong>adering in dit onderzoek, met e<strong>en</strong><br />
grote nadruk op exploratie, is o.a. terug te voer<strong>en</strong> op de Soft System Methodology<br />
van Checkland (Checkland & Scholes, 1990). Op zichzelf staat die volledig los van<br />
het teg<strong>en</strong>gaan van criminaliteit. Toch heeft de b<strong>en</strong>adering ook in deze context haar<br />
meerwaarde bewez<strong>en</strong>. In eerste instantie binn<strong>en</strong> e<strong>en</strong> laboratoriumexperim<strong>en</strong>t met<br />
ongebruikelijke transacties (Faber, 2004) gevolgd door e<strong>en</strong> uitgebreid<br />
exploratieonderzoek naar de aard <strong>en</strong> omvang van 11 criminaliteitsterrein<strong>en</strong> op<br />
Curaçao <strong>en</strong> Bonaire (Faber, Mostert, Nel<strong>en</strong>, & la Roi, 2006). Daarna heeft<br />
toepassing zich verbreid, om vervolg<strong>en</strong>s uit te kristalliser<strong>en</strong> in e<strong>en</strong> methodiek (zie<br />
volg<strong>en</strong>de paragraaf) die is terug te vind<strong>en</strong> in e<strong>en</strong> informatiedelingmodel (het<br />
‘bloemblaadjesmodel’) zoals ontworp<strong>en</strong> voor het NPAC (Faber, Mostert, & Oude<br />
Alink, 2006). De aangehaalde onderzoek<strong>en</strong> hebb<strong>en</strong> aangetoond dat vele partij<strong>en</strong><br />
vaak zonder zich daarvan bewust te zijn, over stukjes informatie beschikk<strong>en</strong> van<br />
MO’s <strong>en</strong> daders. Bundeling van die stukjes leidt tot betek<strong>en</strong>isvolle informatie die<br />
meer is dan de som van de afzonderlijke del<strong>en</strong>. Hierdoor kunn<strong>en</strong> meer delict<strong>en</strong> <strong>en</strong><br />
23
daders word<strong>en</strong> opgespoord c.q. vroegtijdig word<strong>en</strong> beïnvloed. In de aangehaalde<br />
onderzoek<strong>en</strong> blek<strong>en</strong> partij<strong>en</strong> niet alle<strong>en</strong> vergaand bereid om die informatie uit te<br />
wissel<strong>en</strong>, maar was die uitwisseling ook duidelijk in relatie te br<strong>en</strong>g<strong>en</strong> tot e<strong>en</strong> eig<strong>en</strong><br />
belang. Dankzij de gerichte hypothes<strong>en</strong> was in het aangehaalde onderzoek<br />
betreff<strong>en</strong>de Curaçao/Bonaire, het malafide handel<strong>en</strong> te scheid<strong>en</strong> van het bonafide,<br />
met als groot voordeel dat de bestrijdingsaandacht ook daadwerkelijk kon word<strong>en</strong><br />
gefocust op de ‘kwad<strong>en</strong>’; daarbij de ‘goed<strong>en</strong>’ ongemoeid lat<strong>en</strong>d. Met het afnem<strong>en</strong><br />
van het risico dat de ‘goed<strong>en</strong>’ word<strong>en</strong> getroff<strong>en</strong>, nam de bereidheid tot het del<strong>en</strong><br />
van informatie sterk toe <strong>en</strong> als gevolg daarvan ook de kwaliteit <strong>en</strong> bruikbaarheid<br />
van die informatie. Bov<strong>en</strong>di<strong>en</strong> kon die informatieuitwisseling binn<strong>en</strong> de<br />
uitzondering<strong>en</strong> word<strong>en</strong> gebracht waarin juridische kaders vaak voorzi<strong>en</strong> als het<br />
gaat om het beschikbaar stell<strong>en</strong> van gegev<strong>en</strong>s in het geval van evid<strong>en</strong>t misbruik.<br />
De gedachte achter zog<strong>en</strong>aamde barrièremodell<strong>en</strong> 6 , dat plegers van<br />
cybercriminaliteit zijn te ontmoedig<strong>en</strong> door het h<strong>en</strong> moeilijk te mak<strong>en</strong> op die<br />
elem<strong>en</strong>t<strong>en</strong> van hun MO’s die hoge kost<strong>en</strong> <strong>en</strong> e<strong>en</strong> geringe vervangbaarheid met zich<br />
meebr<strong>en</strong>g<strong>en</strong>, is terug te voer<strong>en</strong> op de economische transactiekost<strong>en</strong>theorie<br />
(Williamson, 1981). De productieactiviteit<strong>en</strong> van cybercrime zijn te zi<strong>en</strong> als<br />
transacties <strong>en</strong> zull<strong>en</strong> volg<strong>en</strong>s deze theorie plaatsvind<strong>en</strong> waar de kost<strong>en</strong> het laagst<br />
zijn. Kost<strong>en</strong> zijn niet alle<strong>en</strong> financiële uitgav<strong>en</strong>, maar bijvoorbeeld ook risico’s als de<br />
kans op ontdekking. Op twee manier<strong>en</strong> is dit principe in het onderzoek gebruikt.<br />
Enerzijds om bepaalde criminele handeling<strong>en</strong> te koppel<strong>en</strong> aan land<strong>en</strong> of locaties<br />
waar ze vermoedelijk goedkoop <strong>en</strong> ongestoord plaatsvind<strong>en</strong>, <strong>en</strong> anderzijds om<br />
zwakke plekk<strong>en</strong> te lokaliser<strong>en</strong> in de voortbr<strong>en</strong>gingsprocess<strong>en</strong> van cybercrime, met<br />
e<strong>en</strong> geringe vervangbaarheid. In wez<strong>en</strong> is de transactiekost<strong>en</strong>theorie ook de basis<br />
voor de d<strong>en</strong>kwijze achter barrièremodell<strong>en</strong>, ook al zull<strong>en</strong> Bachrach <strong>en</strong> Baratz als<br />
grondleggers van deze modell<strong>en</strong> andere toepassing<strong>en</strong> voor og<strong>en</strong> hebb<strong>en</strong> gestaan<br />
(Bachrach & Baratz, 1970). Hun barrièremodel bestond namelijk uit e<strong>en</strong> bestuurlijk<br />
ag<strong>en</strong>davormingsmodel waarin systematisch aandacht wordt gegev<strong>en</strong> aan de<br />
teg<strong>en</strong>spoed die e<strong>en</strong> bepaald thema op zijn weg van lat<strong>en</strong>te behoefte tot uitgevoerd<br />
beleid kan teg<strong>en</strong>kom<strong>en</strong>.<br />
Pass<strong>en</strong>d bij de functionele <strong>en</strong> bedrijfskundige b<strong>en</strong>adering vann dit onderzoek, zijn<br />
twee criminologische theorieën als uitgangspunt gehanteerd: de rationele<br />
keuzetheorie <strong>en</strong> de geleg<strong>en</strong>heidstheorie. Bij de rationele keuzetheorie wordt e<strong>en</strong><br />
dader vooral gezi<strong>en</strong> als berek<strong>en</strong><strong>en</strong>d <strong>en</strong> calculer<strong>en</strong>d (homo economicus). Het<br />
6 Het opwerp<strong>en</strong> van barricades teg<strong>en</strong> prefer<strong>en</strong>te criminele handeling<strong>en</strong> <strong>en</strong> de weg<strong>en</strong> waarlangs die<br />
handeling<strong>en</strong> word<strong>en</strong> uitgevoerd.<br />
24
winstoogmerk achter criminaliteit staat c<strong>en</strong>traal. Winst moet in dit geval breed<br />
word<strong>en</strong> uitgelegd als elke vorm van opbr<strong>en</strong>gst, die moet opweg<strong>en</strong> teg<strong>en</strong> de risico’s<br />
of kost<strong>en</strong>. Voor de produc<strong>en</strong>t van <strong>kinderporno</strong> bestaat die opbr<strong>en</strong>gst uit geld; voor<br />
de downloader van <strong>kinderporno</strong> bestaat ze uit bevrediging van e<strong>en</strong> seksuele<br />
prikkel. De geleg<strong>en</strong>heidstheorie k<strong>en</strong>t ongeveer e<strong>en</strong>zelfde vertrekpunt, maar focust<br />
op het geheel aan situationele omstandighed<strong>en</strong> die de kans op het plaatsvind<strong>en</strong><br />
van e<strong>en</strong> delict bevorder<strong>en</strong> of juist verminder<strong>en</strong> (Bov<strong>en</strong>kerk & Leuw). Criminaliteit<br />
vindt volg<strong>en</strong>s deze b<strong>en</strong>adering plaats omdat er de geleg<strong>en</strong>heid toe is (occupational<br />
crime) <strong>en</strong> niet omdat de persoon crimineel van aard is. Zoals de <strong>internet</strong>marketeer,<br />
die zijn reguliere bedrijfsvoering qua k<strong>en</strong>nis <strong>en</strong> activiteit<strong>en</strong> vrijwel zonder<br />
aanpassing ook gebruikt voor illegale doeleind<strong>en</strong> waaronder het verspreid<strong>en</strong> van<br />
spam. Waar het aan feitelijke k<strong>en</strong>nis van ‘dark number’ of ‘unknown off<strong>en</strong>der’ van<br />
de onderzochte cybercrime vorm<strong>en</strong> ontbrak, is voor het opstell<strong>en</strong> van hypothes<strong>en</strong><br />
veelvuldig gebruik gemaakt van de geleg<strong>en</strong>heidstheorie. Bijvoorbeeld over daders<br />
als de opgevoerde <strong>internet</strong>marketeer, die met hun activiteit<strong>en</strong> meelift<strong>en</strong> op hun<br />
legale, reguliere, bedrijfsvoering. Wellicht zelfs in dusdanige mate dat di<strong>en</strong>s<br />
reguliere bedrijfsvoering voornamelijk nog di<strong>en</strong>t om de illegale activiteit<strong>en</strong> te<br />
masker<strong>en</strong>. Bij de hypothesevorming is vaak gezocht naar juist die variabele of<br />
variabel<strong>en</strong> die discriminer<strong>en</strong> naar bijvoorbeeld de professionele fotograaf die zich<br />
niet inlaat met <strong>kinderporno</strong> <strong>en</strong> deg<strong>en</strong>e die dat wel doet.<br />
Voor de onderzoekbaarheid van onze probleemstelling hebb<strong>en</strong> deze twee<br />
theorieën als voordeel dat zij uitgaan van het concrete dynamische gedrag van<br />
daders, in plaats van bijvoorbeeld meer statische persoonlijkheids‐ of<br />
sociaaldemografische k<strong>en</strong>merk<strong>en</strong>. Dat sluit goed aan op de w<strong>en</strong>s binn<strong>en</strong> het<br />
actieonderzoek om onrechtmatige activiteit<strong>en</strong> <strong>en</strong> hun plegers administratief te<br />
detecter<strong>en</strong> in grote gegev<strong>en</strong>sbestand<strong>en</strong>.<br />
1.4 Werkwijze<br />
Hypothesis Directed Interv<strong>en</strong>tion® (HDI)<br />
Qua onderzoeksvorm is aansluiting gezocht bij de HDI‐methodiek zoals die o.a. is<br />
gehanteerd bij analyse van onveiligheid op de Nederlandse Antill<strong>en</strong> (Faber,<br />
Mostert, Nel<strong>en</strong>, & la Roi, 2006). De methodiek is te zi<strong>en</strong> als e<strong>en</strong> concrete invulling<br />
van de gedacht<strong>en</strong> achter Informatie Gestuurde Opsporing, met dit verschil dat ze<br />
uitgaat van concrete delictvorm<strong>en</strong> <strong>en</strong> daarover bek<strong>en</strong>de of veronderstelde<br />
inzicht<strong>en</strong>, zich niet beperkt tot opsporings‐ <strong>en</strong> vervolgingsinstanties <strong>en</strong> is gericht op<br />
25
het voortbr<strong>en</strong>g<strong>en</strong> van werkzame interv<strong>en</strong>ties. Waar politie <strong>en</strong> OM, maar ook<br />
slachtoffers, vooral zijn gericht op afzonderlijke cases, word<strong>en</strong> binn<strong>en</strong> de HDImethode<br />
k<strong>en</strong>nis van m<strong>en</strong>s<strong>en</strong> <strong>en</strong> k<strong>en</strong>nis uit dossiers of system<strong>en</strong>, op elkaar<br />
betrokk<strong>en</strong>. Net zolang of zoveel totdat er zo rijk mogelijke hypothes<strong>en</strong> ontstaan die<br />
k<strong>en</strong>nis omsluit die in de loop van de tijd is opgedaan <strong>en</strong> van veronderstelling<strong>en</strong><br />
over criminele werkwijz<strong>en</strong> die word<strong>en</strong> vermoed. Uiteindelijk is het strev<strong>en</strong> om door<br />
toetsing het hypothetisch karakter meer <strong>en</strong> meer te vervang<strong>en</strong> door feitelijke<br />
k<strong>en</strong>nis (‘knowledge directed interv<strong>en</strong>tion’). Daarin komt e<strong>en</strong> belangrijke<br />
vooronderstelling van het onderzoek tot uiting: informatiedeling met ander<strong>en</strong> is<br />
e<strong>en</strong> voorwaarde voor het toek<strong>en</strong>n<strong>en</strong> van betek<strong>en</strong>is door afzonderlijke partij<strong>en</strong> aan<br />
door h<strong>en</strong> beheerde gegev<strong>en</strong>s.<br />
De HDI‐aanpak bestaat uit 13 stapp<strong>en</strong> waarvan de eerste vijf in het onderzoek naar<br />
cybercrime zijn toegepast.<br />
1. Inv<strong>en</strong>tarisatie van k<strong>en</strong>nisbronn<strong>en</strong> <strong>en</strong> vindplaats<strong>en</strong><br />
Om de probleemstelling te onderzoek<strong>en</strong> zijn k<strong>en</strong>nisbronn<strong>en</strong> nodig. De<br />
persoonlijke k<strong>en</strong>nis van professionals die vaak in het hoofd zit, maar ook k<strong>en</strong>nis<br />
die onder de plegers van onrechtmatighed<strong>en</strong> schuil gaat, dossiers<br />
(bijvoorbeeld dossiers van opsporingsonderzoek<strong>en</strong> of klacht<strong>en</strong>),<br />
onderzoeksrapportages (de uitkomst<strong>en</strong> van al of niet wet<strong>en</strong>schappelijk<br />
gefundeerd f<strong>en</strong>ome<strong>en</strong>onderzoek, criminaliteitsbeeldanalyse, dreigingsanalyse,<br />
risicoanalyse) of bestuurlijke rapportages (prev<strong>en</strong>tie‐/preparatieadviez<strong>en</strong><br />
gebaseerd op toezicht of opsporing). In de methodiek wordt k<strong>en</strong>nis uit deze<br />
bronn<strong>en</strong> gebruikt voor twee opvolg<strong>en</strong>de analyses. De eerste maal om de<br />
probleemstelling te operationaliser<strong>en</strong> <strong>en</strong> de tweede maal om hypothes<strong>en</strong> te<br />
toets<strong>en</strong>. In dit onderzoek hebb<strong>en</strong> we ons beperkt tot de eerste analysevorm.<br />
2. K<strong>en</strong>nisexploratie<br />
Zijn bronn<strong>en</strong> gedetecteerd <strong>en</strong> geïnv<strong>en</strong>tariseerd dan word<strong>en</strong> ze binn<strong>en</strong> de<br />
methodiek vanuit vier invalshoek<strong>en</strong> geëxploreerd (met per invalshoek tuss<strong>en</strong><br />
haakjes het product van die exploratie):<br />
a. deg<strong>en</strong><strong>en</strong> die (vermoedelijk) delict<strong>en</strong> of onrechtmatighed<strong>en</strong> pleg<strong>en</strong> (model<br />
van roll<strong>en</strong> <strong>en</strong> actor<strong>en</strong>);<br />
b. de wijze waarop de onrechtmatigheid plaatsvindt (model van MO’s);<br />
c. de oorzakelijke compon<strong>en</strong>t<strong>en</strong> die de MO mogelijk mak<strong>en</strong> (oorzaak‐gevolg<br />
model), <strong>en</strong><br />
d. de maatregel<strong>en</strong>, hun sam<strong>en</strong>hang <strong>en</strong> veronderstelde effect<strong>en</strong> die op de<br />
onrechtmatigheid kunn<strong>en</strong> word<strong>en</strong> losgelat<strong>en</strong> (maatregel‐effect model).<br />
De substapp<strong>en</strong> 2a. <strong>en</strong> 2b. zijn in het onderzoek toegepast.<br />
26
3. Vorming detectiehypothes<strong>en</strong><br />
Analyse is ge<strong>en</strong> doel op zich, maar stuurt de hypothesevorming over<br />
actor<strong>en</strong>/roll<strong>en</strong> <strong>en</strong> MO aan. De inzicht<strong>en</strong> zoals geg<strong>en</strong>ereerd in stap 2 vorm<strong>en</strong> de<br />
opstap voor hypothes<strong>en</strong>. Bij voorkeur zodanig geformuleerd dat actor<strong>en</strong>/roll<strong>en</strong><br />
<strong>en</strong> activiteit<strong>en</strong> die aan de hypothese zoud<strong>en</strong> beantwoord<strong>en</strong> e<strong>en</strong> grote kans<br />
hebb<strong>en</strong> om daadwerkelijk betrokk<strong>en</strong> te zijn in het onrechtmatig gedrag van<br />
waaruit de probleemstelling is vertrokk<strong>en</strong>. De methodiek onderscheidt<br />
verschill<strong>en</strong>de soort<strong>en</strong> hypothes<strong>en</strong>, maar in stap 3 gaat het om hypothes<strong>en</strong> ter<br />
detectie van actor<strong>en</strong> <strong>en</strong> van activiteit<strong>en</strong> die in relatie staan tot de<br />
onrechtmatigheid uit de probleemstelling.<br />
4. Operationalisatie hypothes<strong>en</strong><br />
Operationalisatie betek<strong>en</strong>t in dit geval het beantwoord<strong>en</strong> van de vraag welke<br />
gegev<strong>en</strong>sbronn<strong>en</strong> nodig zijn om welk deel van de hypothes<strong>en</strong> te toets<strong>en</strong>. In<br />
stap 4 laat m<strong>en</strong> in het midd<strong>en</strong> of de w<strong>en</strong>selijke gegev<strong>en</strong>sbronn<strong>en</strong> ook feitelijk<br />
bestaan. Vooralsnog probeert m<strong>en</strong> te bed<strong>en</strong>k<strong>en</strong> over welke bronn<strong>en</strong> m<strong>en</strong><br />
idealiter zou will<strong>en</strong> beschikk<strong>en</strong> (vergelijkbaar met e<strong>en</strong> ‘to‐be‐situatie’).<br />
5. Id<strong>en</strong>tificatie/creër<strong>en</strong> gegev<strong>en</strong>sbronn<strong>en</strong><br />
Waar in stap 4 bewust werd geabstraheerd van de vraag of w<strong>en</strong>selijke<br />
gegev<strong>en</strong>sbronn<strong>en</strong> ook daadwerkelijk bestaan, wordt in stap 5 de werkelijkheid<br />
weer ingebracht. Er wordt onderscheid gemaakt in gegev<strong>en</strong>sbronn<strong>en</strong> die al<br />
bestaan (<strong>en</strong> die m<strong>en</strong> zou will<strong>en</strong> explorer<strong>en</strong>) <strong>en</strong> w<strong>en</strong>selijke gegev<strong>en</strong>sbronn<strong>en</strong><br />
die niet bestaan, maar die m<strong>en</strong> zou will<strong>en</strong> creër<strong>en</strong>.<br />
De overige acht, niet gevolgde, stapp<strong>en</strong> betreff<strong>en</strong> het daadwerkelijk toets<strong>en</strong> van<br />
detectiehypothes<strong>en</strong>, het ontwikkel<strong>en</strong> <strong>en</strong> toepass<strong>en</strong> van interv<strong>en</strong>ties, <strong>en</strong> het<br />
continue actualiser<strong>en</strong> van de hypothes<strong>en</strong>.<br />
De output van HDI bestaat uit hypothes<strong>en</strong> die vooral beschrijv<strong>en</strong> wat er aan<br />
cybercrime is te detecter<strong>en</strong>. Hoe die detectie in zijn werk zou kunn<strong>en</strong> gaan <strong>en</strong> met<br />
inschakeling van welke techniek<strong>en</strong> is situatieafhankelijk <strong>en</strong> wordt niet beschrev<strong>en</strong>.<br />
De uitkomst<strong>en</strong> word<strong>en</strong> in modell<strong>en</strong> ondergebracht (zie de toelichting bij stap 2). De<br />
vormgeving van die modell<strong>en</strong> is geïnspireerd op de rich picture b<strong>en</strong>adering (zij het<br />
wat minder speels) die op zijn beurt onderdeel is van de Soft System Methodology<br />
(Checkland & Scholes, 1990).<br />
Veldonderzoek<br />
Het veldonderzoek is de invulling van stap 1 <strong>en</strong> 2 uit de HDI‐methodiek <strong>en</strong> heeft<br />
bestaan uit interviews, inhoudsanalyse <strong>en</strong> <strong>internet</strong>research tot af <strong>en</strong> toe letterlijk in<br />
27
de ‘krocht<strong>en</strong>’ van het <strong>internet</strong>. Uitgangspunt vormd<strong>en</strong> de volg<strong>en</strong>de vrag<strong>en</strong>: Wat zijn<br />
k<strong>en</strong>merk<strong>en</strong> van bepaalde soort<strong>en</strong> cybercrime?, Wat zijn k<strong>en</strong>merk<strong>en</strong> van de plegers?,<br />
Van welke MO’s bedi<strong>en</strong><strong>en</strong> zij zich?, Hoe kunn<strong>en</strong> plegers <strong>en</strong> hun activiteit<strong>en</strong> word<strong>en</strong><br />
gedetecteerd?. In totaal zijn ruim 40 repres<strong>en</strong>tant<strong>en</strong> van het veld geïnterviewd (zie<br />
bijlage). De inhoudsanalyse heeft plaatsgevond<strong>en</strong> op de volg<strong>en</strong>de dossiers die in de<br />
periode van 2005 tot <strong>en</strong> met 2008 actueel war<strong>en</strong>:<br />
122 onderzoeksdossiers van de Opta naar vooral spam <strong>en</strong> beperkt naar<br />
spyware 7 ;<br />
124 zak<strong>en</strong> van zog<strong>en</strong>aamde 4.1.9 <strong>fraud</strong>e (voorschot<strong>fraud</strong>e) geg<strong>en</strong>ereerd<br />
door het sam<strong>en</strong>werkingsverband van de Bov<strong>en</strong>regionale Recherche<br />
Noordwest <strong>en</strong> Midd<strong>en</strong> Nederland <strong>en</strong> de di<strong>en</strong>st IPOL van het KLPD (het<br />
“Apollo‐onderzoek”);<br />
9 bestuurlijke dossiers van de Bov<strong>en</strong>regionale Recherche gebaseerd op<br />
opsporingsonderzoek naar West‐Afrikaanse netwerk<strong>en</strong> (vooral in relatie<br />
tot voorschot<strong>fraud</strong>e);<br />
5 complexe zak<strong>en</strong> zoals behandeld door het Team High Tech Crime van het<br />
KLPD (phishing, hacking <strong>en</strong> rechtshulpverzoek<strong>en</strong>);<br />
3 grote opsporingsonderzoek<strong>en</strong> naar <strong>kinderporno</strong>;<br />
11.274 signal<strong>en</strong> (melding<strong>en</strong> <strong>en</strong> aangift<strong>en</strong>) uit het<br />
bedrijfsprocess<strong>en</strong>systeem (X‐pol) van het politiekorps Amsterdam‐<br />
Amstelland die na beoordeling op relevantie <strong>en</strong> geblek<strong>en</strong> redundantie,<br />
kond<strong>en</strong> word<strong>en</strong> teruggebracht tot 233 voorvall<strong>en</strong> die er in verschill<strong>en</strong>de<br />
mate toe ded<strong>en</strong> 8 .<br />
Daarnaast is globaal gekek<strong>en</strong> naar de honeypots 9 die Govcert beheert. De<br />
bevinding<strong>en</strong> zijn afgezet teg<strong>en</strong> honeypots die word<strong>en</strong> beheerd door de organisatie<br />
QNL. Beide organisaties bezitt<strong>en</strong> 20 a 30 pots; QNL voornamelijk in Nederland <strong>en</strong><br />
Govcert ook in onder andere de Ver<strong>en</strong>igde Stat<strong>en</strong>, Latijns Amerika, Rusland <strong>en</strong><br />
China.<br />
7 Onderverdeeld naar amateur spam (59%), professionele spam (15%), amateur spyware (1%),<br />
combinatie van criminele activiteit<strong>en</strong> (14%) <strong>en</strong> overige dossiers (bijvoorbeeld overgedrag<strong>en</strong> aan andere<br />
di<strong>en</strong>st<strong>en</strong>: 13%).<br />
8 Van de 233 zak<strong>en</strong> hadd<strong>en</strong> er 4 betrekking op chantage, 3 op huisvredebreuk, 1 op pornografie, 75 op<br />
bedreiging, 71 op oplichting, 19 op computercriminaliteit <strong>en</strong> 60 viel<strong>en</strong> in de verzamelcategorie ‘overig’.<br />
De meeste zak<strong>en</strong> kunn<strong>en</strong> getypeerd word<strong>en</strong> als amateuristisch. De meest professionele gevall<strong>en</strong> betrof<br />
Nigerian<strong>en</strong><strong>fraud</strong>e <strong>en</strong> diefstal van persoonlijke gegev<strong>en</strong>s. In vijf zak<strong>en</strong> werd gebruik gemaakt van<br />
technologisch geavanceerde werkwijz<strong>en</strong>.<br />
9 Computersystem<strong>en</strong> die zich bewust kwetsbaar opstell<strong>en</strong> voor cyberaanvall<strong>en</strong>.<br />
28
De uitkomst<strong>en</strong> van de analyses war<strong>en</strong> niet bedoeld om e<strong>en</strong> repres<strong>en</strong>tatief beeld te<br />
gev<strong>en</strong>, maar om als basis te di<strong>en</strong><strong>en</strong> voor het sam<strong>en</strong>stell<strong>en</strong> van e<strong>en</strong> staalkaart van<br />
wat er in e<strong>en</strong> aantal variant<strong>en</strong> van cybercrime aan MO’s <strong>en</strong> daderroll<strong>en</strong> wordt<br />
aangetroff<strong>en</strong>.<br />
1.5 Onderzoeksresultaat<br />
De beschrijving<strong>en</strong> van MO’s <strong>en</strong> van daderk<strong>en</strong>merk<strong>en</strong> zijn op zichzelf hypothes<strong>en</strong>,<br />
ev<strong>en</strong>als de wijze van detecter<strong>en</strong> van deze MO’s <strong>en</strong> daders. Sommige elem<strong>en</strong>t<strong>en</strong> uit<br />
die hypothes<strong>en</strong> zijn geblek<strong>en</strong> uit opsporingsonderzoek<strong>en</strong>, andere zijn ontle<strong>en</strong>d aan<br />
wet<strong>en</strong>schappelijk onderzoek <strong>en</strong> oordel<strong>en</strong> van deskundig<strong>en</strong>, <strong>en</strong> weer andere zijn<br />
ontsprot<strong>en</strong> aan de creativiteit van de onderzoekers. Volg<strong>en</strong>s onze<br />
systeemtheoretische b<strong>en</strong>adering gaat het niet alle<strong>en</strong> om die afzonderlijke<br />
sam<strong>en</strong>stell<strong>en</strong>de del<strong>en</strong>, maar vooral ook om het inzicht dat het totaal geeft. M<strong>en</strong><br />
zou dat het plot kunn<strong>en</strong> noem<strong>en</strong> dat niet uit de afzonderlijke scènes is te lez<strong>en</strong><br />
maar uit het op elkaar betrekk<strong>en</strong> daarvan. Juist dat plot is belangrijk voor het<br />
kunn<strong>en</strong> invull<strong>en</strong> van de witte vlekk<strong>en</strong> binn<strong>en</strong> de totale MO van e<strong>en</strong> cybercrime<br />
delict.<br />
Consist<strong>en</strong>t met de ontwikkeling van de cybercrime waarop het betrekking heeft, is<br />
ook dit rapport niet af. Tal van onderdel<strong>en</strong> van MO’s <strong>en</strong> daderroll<strong>en</strong> kond<strong>en</strong> niet of<br />
slechts beperkt word<strong>en</strong> voorzi<strong>en</strong> van adequate hypothes<strong>en</strong>. De lezer wordt vooral<br />
aangemoedigd om daarop aan te vull<strong>en</strong>. Ondertuss<strong>en</strong> zijn dagelijks duiz<strong>en</strong>d<strong>en</strong><br />
m<strong>en</strong>s<strong>en</strong> gelijktijdig aan het programmer<strong>en</strong>, ontwerp<strong>en</strong> <strong>en</strong> implem<strong>en</strong>ter<strong>en</strong> binn<strong>en</strong><br />
het World Wide Web. E<strong>en</strong> aanzi<strong>en</strong>lijk deel daarvan laat zich inspirer<strong>en</strong> door de<br />
mogelijkhed<strong>en</strong> tot niet toegestane zelfverrijking. Daarmee gelijke tred houd<strong>en</strong> door<br />
middel van e<strong>en</strong> schriftelijk docum<strong>en</strong>t is ondo<strong>en</strong>lijk. Het rapport wil e<strong>en</strong> basis bied<strong>en</strong><br />
die aan de hand van tr<strong>en</strong>ds <strong>en</strong> vermoed<strong>en</strong>s steeds kan word<strong>en</strong> geactualiseerd als<br />
vorm van k<strong>en</strong>niscumulatie.<br />
Inher<strong>en</strong>t aan het will<strong>en</strong> detecter<strong>en</strong> van de cybercrime die schuil gaat in de ‘dark<br />
number’, is de inhoud van het rapport deels speculatief. M<strong>en</strong> wil immers niet alle<strong>en</strong><br />
naar de werkelijkheid kijk<strong>en</strong> vanuit wat er tot op dat mom<strong>en</strong>t in feitelijke<br />
onderzoek<strong>en</strong> aan MO’s <strong>en</strong> daderk<strong>en</strong>merk<strong>en</strong> is geblek<strong>en</strong>, maar zo mogelijk ook<br />
andere vorm<strong>en</strong> die buit<strong>en</strong> het gezichtsveld zijn geblev<strong>en</strong>, detecter<strong>en</strong>. Dat vereist<br />
e<strong>en</strong>zelfde inv<strong>en</strong>tiviteit als waarvan de cybercrimineel zich bedi<strong>en</strong>t, zij het dat die<br />
zich kan conc<strong>en</strong>trer<strong>en</strong> op één <strong>en</strong>kele succesvolle methode zonder het hele veld van<br />
29
cybercrime te hoev<strong>en</strong> beschrijv<strong>en</strong>. De beschrijving<strong>en</strong> <strong>en</strong> hypothes<strong>en</strong> uit dit rapport<br />
die daar het resultaat van zijn lat<strong>en</strong> zich in het kader van de vraag ‘hoe verder na<br />
het rapport’, aan de hand van drie vrag<strong>en</strong> beoordel<strong>en</strong>:<br />
1. Is de onderligg<strong>en</strong>de probleemstelling relevant?<br />
2. Is wat de hypothese stelt plausibel? <strong>en</strong> zo ja:<br />
3. Is ze de moeite van het nader onderzoek<strong>en</strong> (toepass<strong>en</strong> <strong>en</strong> toets<strong>en</strong>) waard?<br />
1.6 Strami<strong>en</strong> van het rapport<br />
Aan elk van de drie cybercrime clusters is in het rapport e<strong>en</strong> hoofdstuk gewijd. De<br />
hoofdstukk<strong>en</strong> zijn op dezelfde manier opgebouwd, te beginn<strong>en</strong> met e<strong>en</strong> korte<br />
begrips‐ <strong>en</strong> plaatsbepaling van wat de beschrev<strong>en</strong> vorm van cybercrime inhoudt <strong>en</strong><br />
hoe die zich mogelijk verhoudt tot andere vorm<strong>en</strong> van criminaliteit. Daarbij is<br />
aang<strong>en</strong>om<strong>en</strong> dat de lezer niet helemaal blanco staat t<strong>en</strong> opzichte van het<br />
onderwerp <strong>en</strong> wordt voor verdere basale uitleg verwez<strong>en</strong> naar alternatieve<br />
bronn<strong>en</strong>.<br />
Vervolg<strong>en</strong>s word<strong>en</strong> twee t<strong>en</strong>tatieve modell<strong>en</strong> geïntroduceerd <strong>en</strong> globaal in de vorm<br />
van overviews toegelicht. De modell<strong>en</strong> zijn in het Engels opgesteld omdat het nu<br />
e<strong>en</strong>maal de <strong>internet</strong>voertaal is, deze begripp<strong>en</strong> het meest bek<strong>en</strong>d zijn, <strong>en</strong> de<br />
professionals die actief zijn met prev<strong>en</strong>tie <strong>en</strong> bestrijding zich vooral van deze taal<br />
bedi<strong>en</strong><strong>en</strong>. Het eerste model beschrijft de MO’s (<strong>en</strong> de variaties daarop) zoals die in<br />
relatie tot de desbetreff<strong>en</strong>de verschijningsvorm van cybercrime zijn geblek<strong>en</strong> of<br />
word<strong>en</strong> verondersteld. Het tweede model beschrijft de verschill<strong>en</strong>de daderroll<strong>en</strong><br />
<strong>en</strong> hun sam<strong>en</strong>hang, zoals die in relatie tot de beschrev<strong>en</strong> vorm van cybercrime zijn<br />
onderscheid<strong>en</strong>. Daderroll<strong>en</strong> die door dezelfde of door verschill<strong>en</strong>de actor<strong>en</strong><br />
kunn<strong>en</strong> word<strong>en</strong> vervuld. Leun<strong>en</strong>d op deze modell<strong>en</strong> <strong>en</strong> de toelichting per<br />
onderdeel, gaan de hoofdstukk<strong>en</strong> meer de diepte in. De MO’s <strong>en</strong> deg<strong>en</strong><strong>en</strong> die<br />
daarin e<strong>en</strong> rol spel<strong>en</strong> word<strong>en</strong> beschrev<strong>en</strong>. Algem<strong>en</strong>e hypothes<strong>en</strong> <strong>en</strong> hypothes<strong>en</strong><br />
over detectie <strong>en</strong> daderk<strong>en</strong>merk<strong>en</strong> word<strong>en</strong> geïntroduceerd. Om deze van de overige<br />
tekst te onderscheid<strong>en</strong>, zijn ze steeds cursief gedrukt <strong>en</strong> tuss<strong>en</strong> dubbele<br />
aanhalingstek<strong>en</strong>s geplaatst. E<strong>en</strong> aantal elem<strong>en</strong>t<strong>en</strong> uit MO’s is niet specifiek voor<br />
één vorm van cybercrime <strong>en</strong> komt bij alle drie vorm<strong>en</strong> voor. Die elem<strong>en</strong>t<strong>en</strong> word<strong>en</strong><br />
op één plaats toegelicht om er naar te verwijz<strong>en</strong> op het mom<strong>en</strong>t dat hetzelfde<br />
elem<strong>en</strong>t ook in andere MO’s e<strong>en</strong> rol speelt.<br />
30
Het rapport sluit af met e<strong>en</strong> sam<strong>en</strong>vatting waarin ook de deelvrag<strong>en</strong> <strong>en</strong> de c<strong>en</strong>trale<br />
vraagstelling word<strong>en</strong> beantwoord. Daarbij wordt nadrukkelijk gereflecteerd op de<br />
kwaliteit van het onderzoeksmateriaal, de bruikbaarheid van de gevolgde<br />
methodiek <strong>en</strong> de beantwoording van de vraag ‘hoe verder’.<br />
31
Hoofdstuk 2 Gegev<strong>en</strong>sdiefstal<br />
middels spam/phishing<br />
Van de drie in dit rapport beschrev<strong>en</strong> vorm<strong>en</strong> van <strong>internet</strong>gerelateerde<br />
cybercrime, is phishing de meest dynamische. In vergelijking tot <strong>kinderporno</strong> <strong>en</strong><br />
<strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>, zijn ook meer van de verschill<strong>en</strong>de processtapp<strong>en</strong><br />
binn<strong>en</strong> het phishingproces aan het <strong>internet</strong> gerelateerd. Het <strong>internet</strong> <strong>en</strong><br />
<strong>internet</strong>applicaties word<strong>en</strong> op zich gemalverseerd, terwijl het <strong>internet</strong> in de<br />
andere twee vorm<strong>en</strong> eig<strong>en</strong>lijk instrum<strong>en</strong>teel gebruikt wordt waarvoor het is<br />
bedoeld. Met gebruikmaking van dossieronderzoek, interviews <strong>en</strong> in‐depth<br />
<strong>internet</strong> research, is het phishingproces over de onderzoeksperiode in kaart<br />
gebracht. Phishers bed<strong>en</strong>k<strong>en</strong> ondertuss<strong>en</strong> steeds nieuwe variant<strong>en</strong> op het<br />
h<strong>en</strong>gel<strong>en</strong> naar gegev<strong>en</strong>s waarvan e<strong>en</strong> aantal is ontdekt, maar waarschijnlijk e<strong>en</strong><br />
belangrijk aantal ook niet. Binn<strong>en</strong> de evolutie van deze variant<strong>en</strong> zijn twee<br />
onmisk<strong>en</strong>bare basisprincipes of, beter gezegd, motiev<strong>en</strong> terug te vind<strong>en</strong>,<br />
uitgedrukt in het strev<strong>en</strong> van phishers om steeds onopgemerkter voor de<br />
gebruiker gegev<strong>en</strong>sstrom<strong>en</strong> af te tapp<strong>en</strong>. Het hoofdstuk begint met het<br />
beschrijv<strong>en</strong> van deze principes <strong>en</strong> illustreert die met e<strong>en</strong> paar voorbeeld<strong>en</strong>. Die<br />
vorm<strong>en</strong> de opmaat voor het definiër<strong>en</strong> <strong>en</strong> vooral specificer<strong>en</strong> van het<br />
phishingproces. Volg<strong>en</strong>s het basisstrami<strong>en</strong> is het hoofdstuk opgedeeld in twee<br />
hoofdmot<strong>en</strong>. De eerste beschrijft MO’s van phishers in e<strong>en</strong> aantal processtapp<strong>en</strong><br />
die opvall<strong>en</strong>d constant zijn; ondanks de variatie per processtap. In de MO’s wordt<br />
onderscheid gemaakt in klassieke <strong>en</strong> meer geavanceerde phishing. Waar mogelijk<br />
word<strong>en</strong> MO‐elem<strong>en</strong>t<strong>en</strong> voorzi<strong>en</strong> van hypothes<strong>en</strong> over de wijze waarop ze<br />
mogelijk kunn<strong>en</strong> word<strong>en</strong> gedetecteerd. Het onderbr<strong>en</strong>g<strong>en</strong> van dat soort<br />
hypothes<strong>en</strong> in e<strong>en</strong> onderzoeksverslag, verhoudt zich moeilijk tot het dynamische<br />
karakter van de handeling<strong>en</strong> waarop ze betrekking hebb<strong>en</strong>. Terughoud<strong>en</strong>dheid is<br />
daarom betracht. Het tweede deel betreft het complex aan roll<strong>en</strong> dat in relatie<br />
tot phishing is te onderscheid<strong>en</strong>. Die roll<strong>en</strong> blijk<strong>en</strong> veel minder te evoluer<strong>en</strong> dan<br />
de MO’s. Beide invalshoek<strong>en</strong> word<strong>en</strong> ondersteund door schema’s die inzicht<br />
gev<strong>en</strong> in de onderlinge relatie van MO‐elem<strong>en</strong>t<strong>en</strong> <strong>en</strong> van roll<strong>en</strong>.<br />
Procesbeschrijving <strong>en</strong> roll<strong>en</strong>complex zijn sam<strong>en</strong>gesteld uit interviews, extracties<br />
uit bedrijfsprocess<strong>en</strong>system<strong>en</strong>, onderzoeksdossiers, <strong>internet</strong>bronn<strong>en</strong> <strong>en</strong> ‘filling in<br />
the blanks’. Het resultaat daarvan is voorgelegd aan e<strong>en</strong> groep van Nederlandse<br />
anti‐phishingdeskundig<strong>en</strong>. Hun op‐ <strong>en</strong> aanmerking<strong>en</strong> zijn in het hoofdstuk<br />
verwerkt. In e<strong>en</strong> afsluit<strong>en</strong>de paragraaf wordt ingegaan op de kwaliteit van het<br />
onderzoeksmateriaal <strong>en</strong> op de less<strong>en</strong> die uit het onderzoek kunn<strong>en</strong> word<strong>en</strong><br />
getrokk<strong>en</strong> qua ‘k<strong>en</strong>niscumulatie’.<br />
33
2.1 Begrip- <strong>en</strong> plaatsbepaling phishing<br />
Voorbeeld<strong>en</strong><br />
Veel e‐mailgebruikers zull<strong>en</strong> ooit bericht<strong>en</strong> in hun mailbox hebb<strong>en</strong> aangetroff<strong>en</strong><br />
zoals op de volg<strong>en</strong>de pagina onder ‘<strong>Phishing</strong> MO1’ is aangegev<strong>en</strong>. E<strong>en</strong> automatisch<br />
vertaalde tekst vol grammaticale fout<strong>en</strong> die suggereert van e<strong>en</strong> betrouwbare<br />
afz<strong>en</strong>der afkomstig te zijn (in casu e<strong>en</strong> financiële instelling) <strong>en</strong> die de ontvanger<br />
uitnodigt om op e<strong>en</strong> link in het bericht te klikk<strong>en</strong>. Deze link leidt door naar e<strong>en</strong><br />
tweede pagina, waarop inloggegev<strong>en</strong>s moet<strong>en</strong> word<strong>en</strong> ingevoerd om het<br />
aangekondigde ongemak in het bancaire verkeer te voorkom<strong>en</strong>. Nog steeds<br />
word<strong>en</strong> dit soort wat knullige voorbeeld<strong>en</strong> van het h<strong>en</strong>gel<strong>en</strong> naar inloggegev<strong>en</strong>s<br />
aangetroff<strong>en</strong>, ook al zoekt de phishingwereld continue naar mogelijkhed<strong>en</strong> om<br />
phishingmethod<strong>en</strong> te verfijn<strong>en</strong>, opsporing te bemoeilijk<strong>en</strong>, verhoogde<br />
veiligheidsmaatregel<strong>en</strong> te omzeil<strong>en</strong>, <strong>en</strong> vervalste websites steeds verder te<br />
perfectioner<strong>en</strong>.<br />
<strong>Phishing</strong> MO 1<br />
“Geachte klant….<br />
“….Uw rek<strong>en</strong>ing is geblokkeerd vanwege te veel ongeldige login poging<strong>en</strong>. U zult<br />
niet kunn<strong>en</strong> verz<strong>en</strong>d<strong>en</strong> <strong>en</strong> ontvang<strong>en</strong> van geld totdat uw rek<strong>en</strong>ing is geactiveerd.<br />
Klik hier om blok te verwijder<strong>en</strong> uit uw rek<strong>en</strong>ing:<br />
https://mijn.ing.nl/<strong>internet</strong>bankier<strong>en</strong>/SesamLoginServlet Niet aan de blokkering van<br />
uw rek<strong>en</strong>ing zal leid<strong>en</strong> tijdelijke schorsing. Met vri<strong>en</strong>delijke groet,<br />
Technische di<strong>en</strong>st<strong>en</strong> Mijn ING.”<br />
Bron: www.media.leid<strong>en</strong>univ.nl/legacy/Voorbeeld_phishing_mail_ING-bank.pdf,<br />
laatst geraadpleegd 17 maart 2009.<br />
Al lang gaat het phishers niet meer alle<strong>en</strong> om het achterhal<strong>en</strong> van inloggegev<strong>en</strong>s.<br />
Er wordt naar meer geh<strong>en</strong>geld, bijvoorbeeld naar e‐mailadress<strong>en</strong> <strong>en</strong><br />
persoonsgegev<strong>en</strong>s als basis voor spam‐targeting, of naar game‐keys. Zo maakt<br />
spam deel uit van de MO van phishing <strong>en</strong> kan phishing e<strong>en</strong> basis zijn voor het<br />
gericht verstur<strong>en</strong> van spam. De ontwikkeling van de verschill<strong>en</strong>de<br />
phishingmethod<strong>en</strong> is terug te voer<strong>en</strong> op twee onderligg<strong>en</strong>de principes:<br />
1. Het strev<strong>en</strong> naar niet van echt te onderscheid<strong>en</strong> communicatie waardoor<br />
de nietsvermoed<strong>en</strong>de gebruiker d<strong>en</strong>kt te mak<strong>en</strong> te hebb<strong>en</strong> met e<strong>en</strong><br />
bonafide instelling in plaats van e<strong>en</strong> phisher, <strong>en</strong> vertrouwelijke gegev<strong>en</strong>s<br />
34
ek<strong>en</strong>d maakt. In deze vorm van klassieke phishing word<strong>en</strong> vooral e‐mails<br />
gebruikt om de gebruiker tot e<strong>en</strong> bepaalde handeling te verleid<strong>en</strong>. Het is<br />
e<strong>en</strong> 'man‐in‐the‐middle'‐techniek waarbij de cybercrimineel zich t<strong>en</strong><br />
opzichte van de gebruikers voordoet als de website van de bank. Hij<br />
onderschept de data die de rek<strong>en</strong>inghouder invult om dan vervolg<strong>en</strong>s met<br />
deze gegev<strong>en</strong>s in te logg<strong>en</strong> op de site van de echte bank.<br />
2. Het strev<strong>en</strong> naar onzichtbare afvanging van vertrouwelijke gegev<strong>en</strong>s van<br />
e<strong>en</strong> gebruiker zonder dat deze daarvan ook maar iets merkt. Bij deze vorm<br />
hoeft de klant niets bewust te do<strong>en</strong> <strong>en</strong> kan het download<strong>en</strong> van e<strong>en</strong><br />
willekeurig .pdf bestand voldo<strong>en</strong>de zijn om e<strong>en</strong> PC te besmett<strong>en</strong>. De<br />
schadelijke code wordt geactiveerd zodra de gebruiker de site van zijn<br />
online bank bezoekt. Deze malware kan de informatie (login <strong>en</strong><br />
wachtwoord) die de gebruiker invoert op de site van de bank<br />
onderschepp<strong>en</strong>. E<strong>en</strong> voorbeeld van deze techniek wordt ‘man‐in‐thebrowser’<br />
g<strong>en</strong>oemd; doel<strong>en</strong>d op de cybercrimineel die zich onzichtbaar<br />
heeft g<strong>en</strong>esteld in de browser van e<strong>en</strong> gebruiker, waarna die browser<br />
afhankelijk van de sites die word<strong>en</strong> bezocht, e<strong>en</strong> door de cybercrimineel<br />
voorgeprogrammeerd gedrag vertoont.<br />
Beide principes evoluer<strong>en</strong>, waarbij er ook combinaties voorkom<strong>en</strong> zoals blijkt uit<br />
het volg<strong>en</strong>de voorbeeld.<br />
<strong>Phishing</strong> MO 2<br />
“Liefe klant”<br />
Er word<strong>en</strong> volgordelijk twee e-mails nam<strong>en</strong>s e<strong>en</strong> bank verspreid. De eerste is<br />
duidelijk niet van de bank <strong>en</strong> knullig opgesteld (’liefe klant’). In e<strong>en</strong> opvolg<strong>en</strong>de<br />
tweede mail die er strak uitziet <strong>en</strong> logo-elem<strong>en</strong>t<strong>en</strong> van de bank heeft, wordt aan de<br />
eerste mail gerefereerd onder gelijktijdig adviser<strong>en</strong> van e<strong>en</strong> beveiligingsupdate die<br />
wordt aangebod<strong>en</strong> nam<strong>en</strong>s de bank. Installatie van deze update installeert<br />
malware. Zodra de klant de toets<strong>en</strong>combinatie van de website van de bank invoert,<br />
wordt e<strong>en</strong> nepwebsite als masker over de echte site getoond. De klant merkt daar<br />
niets van <strong>en</strong> voert gegev<strong>en</strong>s in <strong>en</strong> stelt betalingsopdracht<strong>en</strong> op. Het masker geeft<br />
de betaling<strong>en</strong> door aan de echte site <strong>en</strong> als de betalingsopdracht wordt ingevoerd,<br />
wordt e<strong>en</strong> foutmelding gegev<strong>en</strong>. De klant moet opnieuw inlogg<strong>en</strong>. Gedur<strong>en</strong>de die<br />
tijd word<strong>en</strong> andere betalingsgegev<strong>en</strong>s aan de reeds ingevoerde betaling<strong>en</strong><br />
toegevoegd. De klant ziet deze opdracht<strong>en</strong> niet <strong>en</strong> autoriseert de ongew<strong>en</strong>ste<br />
betaling<strong>en</strong> als het ware zelf.<br />
Bron: www.zdnet.nl/news/51156/weer-postbank-phish-in-omloop/, 24 november<br />
2005.<br />
35
De phisher bedi<strong>en</strong>t zich in dit voorbeeld nog steeds van e‐mail <strong>en</strong> e<strong>en</strong> type<br />
boodschap waar e<strong>en</strong> deel van de gebruikers argwan<strong>en</strong>d teg<strong>en</strong>over zal staan. Deze<br />
methodiek heeft zich dan ook verder geëvolueerd tot het zog<strong>en</strong>aamde in‐session<br />
phishing (Jackson Higgins, 2009). Via links <strong>en</strong> advert<strong>en</strong>ties op veel bezochte sites<br />
(bijvoorbeeld pornosites of koopsites van boek<strong>en</strong>) wordt e<strong>en</strong> klein programma<br />
(malware) gedistribueerd dat checkt of er feitelijk gebankierd wordt op de<br />
computer <strong>en</strong> als dat zo is dan verschijnt e<strong>en</strong> (niet van echt te onderscheid<strong>en</strong>) popup<br />
v<strong>en</strong>ster dat claimt dat de sessie verlop<strong>en</strong> is <strong>en</strong> de gebruiker vraagt om opnieuw<br />
in te logg<strong>en</strong>. Phishers hoev<strong>en</strong> alle<strong>en</strong> maar e<strong>en</strong> klein pop‐up v<strong>en</strong>ster te bouw<strong>en</strong>, dat<br />
om gebruikersnaam <strong>en</strong> wachtwoord vraagt. Het is moeilijk om daar niet in te<br />
trapp<strong>en</strong>. M<strong>en</strong> is immers feitelijk aan het bankier<strong>en</strong> <strong>en</strong> krijgt dan e<strong>en</strong> volstrekt<br />
vertrouwd scherm te zi<strong>en</strong> dat iets volkom<strong>en</strong> redelijks vraagt.<br />
Definitie<br />
<strong>Phishing</strong> staat oorspronkelijk voor ‘password harvesting fishing’, maar elke vorm<br />
van viss<strong>en</strong>/h<strong>en</strong>gel<strong>en</strong> via <strong>internet</strong> met als doel het verkrijg<strong>en</strong> van vertrouwelijke<br />
informatie van slachtoffers valt onder phishing. Het kan hierbij o.a. gaan om het<br />
achterhal<strong>en</strong> van creditcardgegev<strong>en</strong>s (de combinatie van nummer, verloopdatum <strong>en</strong><br />
veiligheidscodes), het verkrijg<strong>en</strong> van inlogcodes voor spell<strong>en</strong> of het verkrijg<strong>en</strong> van<br />
toegang tot bankgegev<strong>en</strong>s van derd<strong>en</strong>. Bij moderne phishing is in to<strong>en</strong>em<strong>en</strong>de<br />
mate ge<strong>en</strong> actie meer nodig van de gedupeerde. De ontwikkeling waarbij het<br />
verschil tuss<strong>en</strong> echte <strong>en</strong> valse betaling<strong>en</strong> steeds kleiner wordt, is nog lang niet t<strong>en</strong><br />
einde. De verschill<strong>en</strong>de voorkom<strong>en</strong>de variant<strong>en</strong> lat<strong>en</strong> zich op e<strong>en</strong> aantal manier<strong>en</strong><br />
ord<strong>en</strong><strong>en</strong> (Chawki, 2006).<br />
Dragnet phishing<br />
Grote hoeveelhed<strong>en</strong> e‐mails, die door het gebruik van logo’s e.d. afkomstig lijk<strong>en</strong> te<br />
zijn van e<strong>en</strong> bestaande instelling, die breed <strong>en</strong> ongericht word<strong>en</strong> verzond<strong>en</strong> (spam)<br />
<strong>en</strong> via links doorleid<strong>en</strong> naar ev<strong>en</strong>e<strong>en</strong>s echt lijk<strong>en</strong>de websites (spoof) die vrag<strong>en</strong> om<br />
gebruikersgegev<strong>en</strong>s in te voer<strong>en</strong>. De phisher die zich van deze methode bedi<strong>en</strong>t<br />
vertrouwt op de kwaliteit van de misleid<strong>en</strong>de informatie <strong>en</strong> het feit dat er zich<br />
onder de adressant<strong>en</strong> in ieder geval e<strong>en</strong> aantal m<strong>en</strong>s<strong>en</strong> bevindt dat klant is bij de<br />
nagebootste instelling.<br />
Spear‐phishing (‘Rod‐ and‐ Reel’ methode)<br />
Doelgerichte vorm van phishing op specifieke doelgroep<strong>en</strong> waarvoor de phishing<br />
boodschap (mail) inhoudelijk <strong>en</strong> qua vormgeving specifiek van die doelgroep<br />
afhankelijke elem<strong>en</strong>t<strong>en</strong> bevat, zodat ze afkomstig lijkt van e<strong>en</strong> collega, e<strong>en</strong> bek<strong>en</strong>d<br />
bedrijf, e<strong>en</strong> klant etc.<br />
36
Gillnet phishing<br />
Gilnetting wordt door echte vissers gebruikt om alle<strong>en</strong> e<strong>en</strong> bepaalde vissoort in hun<br />
nett<strong>en</strong> te vang<strong>en</strong>, zonder ongew<strong>en</strong>ste bijvangst. Binn<strong>en</strong> de context van het <strong>internet</strong><br />
staat het voor e<strong>en</strong> op social <strong>en</strong>gineering gebaseerde vorm van malware distributie<br />
(Trojan) die specifiek aansluit op bijvoorbeeld aangeslot<strong>en</strong><strong>en</strong> bij e<strong>en</strong> specifieke<br />
bank.<br />
Pharming<br />
Pharming (password farming) bestaat uit het misleid<strong>en</strong> van <strong>internet</strong>gebruikers door<br />
hun verkeer met e<strong>en</strong> bepaalde server ongemerkt om te leid<strong>en</strong> naar e<strong>en</strong> andere<br />
server. Bij pharming wordt e<strong>en</strong> DNS‐server aangevall<strong>en</strong> <strong>en</strong> wordt het <strong>internet</strong>adres<br />
van e<strong>en</strong> bepaalde domeinnaam gewijzigd. Dat vraagt overig<strong>en</strong>s om de<br />
deskundigheid van e<strong>en</strong> hacker. De nietsvermoed<strong>en</strong>de surfer typt het bek<strong>en</strong>de<br />
webadres in, maar komt op e<strong>en</strong> nagebootste site terecht. Indi<strong>en</strong> dit bijvoorbeeld de<br />
site van e<strong>en</strong> bank is, dan kan e<strong>en</strong> kwaadwillige hacker vervolg<strong>en</strong>s gevoelige<br />
gegev<strong>en</strong>s aan de gebruiker ontfutsel<strong>en</strong>. Pharming is in beginsel mogelijk door e<strong>en</strong><br />
kwetsbaarheid in de DNS‐server software. DNS‐servers zijn servers die<br />
domeinnam<strong>en</strong> omzett<strong>en</strong> in werkelijke IP‐adress<strong>en</strong> die bestaan uit neg<strong>en</strong> cijfers. Als<br />
e<strong>en</strong> hacker er in slaagt de tabel van e<strong>en</strong> DNS‐server te wijzig<strong>en</strong>, kan de gebruiker<br />
door het intyp<strong>en</strong> van de domeinnaam op e<strong>en</strong> heel andere webserver beland<strong>en</strong>. De<br />
<strong>internet</strong>gebruiker merkt hier niets van, ook anti‐ virus programma's of anti‐spyware<br />
software bescherm<strong>en</strong> niet teg<strong>en</strong> pharming.<br />
‘Hack and Pier’ <strong>Phishing</strong><br />
In teg<strong>en</strong>stelling tot de vorige vorm<strong>en</strong> waarbij de phisher aan gegev<strong>en</strong>s probeert te<br />
kom<strong>en</strong> buit<strong>en</strong> de financiële instelling om, nestelt de ‘hack and pier’ phisher zich<br />
binn<strong>en</strong> de financiële instelling zelf (Spamfighter, 2008). Door gebruik te mak<strong>en</strong> van<br />
kwetsbaarhed<strong>en</strong> in reguliere software, verankert de phisher zich in de originele<br />
website van de financiële instelling <strong>en</strong> toont in die site bijvoorbeeld pop‐ups<br />
(Westervelt, 2009). Naar analogie van de andere twee vorm<strong>en</strong> (‘man‐in‐the‐middle’<br />
<strong>en</strong> ‘man‐in‐the‐browser’), zoud<strong>en</strong> we dit kunn<strong>en</strong> typer<strong>en</strong> als ‘man‐in‐the‐target’.<br />
Spam<br />
Spam is de verzamelnaam voor alle ongew<strong>en</strong>ste (massa)post. Spam is van origine<br />
e<strong>en</strong> methode om snel <strong>en</strong> simpel e<strong>en</strong> groot publiek te bereik<strong>en</strong> voor marketing<br />
doeleind<strong>en</strong>. Vrijwel iedere<strong>en</strong> zal de <strong>en</strong>velopp<strong>en</strong> k<strong>en</strong>n<strong>en</strong> (vaak gericht geadresseerd)<br />
met ‘uw persoonlijke geluksnummer’ of ‘Gefeliciteerd mijnheer/mevrouw …...’ De<br />
bek<strong>en</strong>de Nigerian<strong>en</strong><strong>fraud</strong>e (4.1.9‐scam) borduurt voort op deze aanpak door<br />
bijvoorbeeld erf<strong>en</strong>iss<strong>en</strong> in het vooruitzicht te stell<strong>en</strong> nadat de ‘gelukkige’ kost<strong>en</strong><br />
heeft voldaan. Teg<strong>en</strong>woordig is spam steeds vaker e<strong>en</strong> onderdeel van<br />
37
ingewikkelder vorm<strong>en</strong> van cybercrime. Geschat wordt dat van al het elektronische<br />
postverkeer ongeveer 80‐90 % bestaat uit spam. Spam heeft zich net als de gehele<br />
virtuele wereld snel ontwikkeld. Ook op fora, in messaging programma’s <strong>en</strong> via<br />
video websites wordt spam verspreid. Spam is zeer populair door de lage kost<strong>en</strong>,<br />
de grote reikwijdte (e<strong>en</strong> spammer kan r<strong>en</strong>dabel miljo<strong>en</strong><strong>en</strong> spambericht<strong>en</strong><br />
verstur<strong>en</strong> om slechts één product te verkop<strong>en</strong>) <strong>en</strong> het feit dat spamm<strong>en</strong> in veel<br />
land<strong>en</strong> ge<strong>en</strong> misdrijf is. Spam is steeds meer e<strong>en</strong> onderdeel geword<strong>en</strong> van de MO’s<br />
om andere delict<strong>en</strong> zoals phishing te pleg<strong>en</strong>. Vanuit dat perspectief wordt spam in<br />
dit hoofdstuk ook behandeld.<br />
2.2 Modus operandi<br />
Het hoofdproces van phishing is ondergebracht in 12 stapp<strong>en</strong> (zie Figuur 1). De<br />
volgordelijkheid die het schema suggereert is logisch, maar niet dwing<strong>en</strong>d. In het<br />
schema is onderscheid gemaakt tuss<strong>en</strong> de meer klassieke vorm<strong>en</strong> van phishing<br />
waarin de phisher zich vermomt als e<strong>en</strong> betrouwbare instelling <strong>en</strong> de gebruiker<br />
probeert te verleid<strong>en</strong> tot e<strong>en</strong> bezoek aan e<strong>en</strong> nepwebsite, <strong>en</strong> meer ‘sophisticated’<br />
phishing waarin malware de hoofdrol speelt <strong>en</strong> de gebruiker vrijwel of helemaal<br />
onbewust betrokk<strong>en</strong> raakt in phishing.<br />
2.2.1 Klassieke phishing<br />
Als eerste moet e<strong>en</strong> phisher zijn doelwit bepal<strong>en</strong> [1]. Sam<strong>en</strong> met de hulpmiddel<strong>en</strong><br />
die hij binn<strong>en</strong> zijn bereik heeft, dicteert deze keuze ook voor e<strong>en</strong> belangrijk deel de<br />
andere activiteit<strong>en</strong> in het hoofdproces. Omdat linksom of rechtsom het <strong>internet</strong><br />
e<strong>en</strong> belangrijke rol speelt, zal de phisher zijn MO moet<strong>en</strong> ondersteun<strong>en</strong> door<br />
webdocum<strong>en</strong>t<strong>en</strong> <strong>en</strong> websites. Die moet<strong>en</strong> word<strong>en</strong> ontworp<strong>en</strong> [2]. Zeld<strong>en</strong> zal e<strong>en</strong><br />
phisher alle daarvoor b<strong>en</strong>odigde hulpmiddel<strong>en</strong> of technische ondersteuning zelf in<br />
huis hebb<strong>en</strong>. Door inschakeling van derd<strong>en</strong> voorziet hij zich van adress<strong>en</strong>, di<strong>en</strong>st<strong>en</strong><br />
<strong>en</strong>/of faciliteit<strong>en</strong> [3a‐3c]. In de klassieke vorm is e<strong>en</strong> domeinnaam nodig om<br />
gebruikers te misleid<strong>en</strong> <strong>en</strong> hun <strong>internet</strong>verkeer om te leid<strong>en</strong> naar e<strong>en</strong> fakewebsite<br />
[4]. Om toegankelijk te zijn, moet die site erg<strong>en</strong>s op e<strong>en</strong> <strong>internet</strong>server word<strong>en</strong><br />
gehost [5]. Hij uploadt de nepsite naar deze server [6]. Die staat vanaf dat mom<strong>en</strong>t<br />
klaar om slachtoffers te ontvang<strong>en</strong>. De phisher had al e<strong>en</strong> keuze gemaakt op welke<br />
slachtoffers hij zich wil richt<strong>en</strong>. In dit stadium van het proces, is het zaak om die<br />
slachtoffers daadwerkelijk te gaan b<strong>en</strong>ader<strong>en</strong>, bijvoorbeeld met e<strong>en</strong> e‐mail. Voor<br />
het bezorg<strong>en</strong> van die mail maakt de phisher gebruik van faciliteit<strong>en</strong> van derd<strong>en</strong> om<br />
38
zelf buit<strong>en</strong> schot te blijv<strong>en</strong> [7a]. De phisher moet nog wel aangev<strong>en</strong> naar wie de<br />
mail moet word<strong>en</strong> verzond<strong>en</strong>. Na verz<strong>en</strong>ding is het wacht<strong>en</strong> op slachtoffers die op<br />
de mail ingaan <strong>en</strong> bijvoorbeeld hun inloggegev<strong>en</strong>s van de bank op de nepwebsite<br />
intyp<strong>en</strong> [8]. De phisher haalt die gegev<strong>en</strong>s vervolg<strong>en</strong>s naar zich toe [9a] <strong>en</strong><br />
misbruikt ze bijvoorbeeld om e<strong>en</strong> bankrek<strong>en</strong>ing leeg te hal<strong>en</strong> of om spull<strong>en</strong> aan te<br />
schaff<strong>en</strong>, dan wel verkoopt de gegev<strong>en</strong>s aan ander<strong>en</strong> [10]. Betalingsopdracht<strong>en</strong><br />
doet hij natuurlijk niet met zichzelf als begunstigde. In stap 3a heeft hij zich al van<br />
katvangers voorzi<strong>en</strong> op wi<strong>en</strong>s rek<strong>en</strong>ing het geld wordt overgemaakt [11], om het<br />
daarna bijvoorbeeld met e<strong>en</strong> money transfer naar zichzelf door te lat<strong>en</strong> sluiz<strong>en</strong><br />
[12]. Het phishingproces is daarmee voltooid.<br />
39
Jobsite<br />
(supply)<br />
Mass<br />
1. Determine<br />
target<br />
Spear<br />
Recruite<br />
site<br />
6. Upload<br />
webcont<strong>en</strong>t<br />
Spoofsite<br />
classic<br />
2. Design for<br />
web<br />
sophisticated<br />
Message<br />
Ad’s/<br />
popup<br />
Jobsite<br />
(demand)<br />
Social Net-<br />
Work site<br />
3a. Staff<br />
recruitm<strong>en</strong>t<br />
Peergroup<br />
Fora<br />
Spam<br />
Buy<br />
Crawl<br />
3b. Acquire<br />
addresses<br />
Buy<br />
Free<br />
4. Acquire<br />
domain<br />
Kite<br />
Hijack<br />
Regular<br />
Creditcard<br />
Bulletproof<br />
buy<br />
5. Acquire<br />
hosting<br />
steal<br />
Hack<br />
webserver<br />
Mass<br />
mailer<br />
Botnet<br />
7a. Acquire<br />
mail delivery<br />
PWND<br />
computer<br />
Buy/create<br />
spam<br />
Op<strong>en</strong> spoof<br />
page<br />
Mass mail<br />
Activate<br />
address<br />
8. Acquire<br />
victims<br />
Fake DNS<br />
reply<br />
Session<br />
hijack<br />
Push by<br />
email<br />
Push by<br />
IM<br />
9. Receive<br />
cred<strong>en</strong>tials<br />
Data<br />
download<br />
Polling<br />
spoof<br />
Bank<br />
account<br />
abuse<br />
Creditcard<br />
abuse<br />
(whitdrawl)<br />
Creditcard<br />
abuse<br />
(purchase)<br />
Change of<br />
information<br />
directly<br />
10. Acquire<br />
profit<br />
indirectly<br />
Cred<strong>en</strong>tial<br />
abuse (ebay,<br />
paypal)<br />
Profiling<br />
Mail<br />
11. Activate<br />
mules<br />
Phone<br />
Exchange<br />
office<br />
Money<br />
transfers<br />
(Online)<br />
Product<br />
paym<strong>en</strong>t<br />
12. Receive<br />
money<br />
Physical<br />
money<br />
transport<br />
Web-money<br />
Hack mail<br />
server)<br />
Id<strong>en</strong>tity<br />
theft<br />
Malware<br />
Blogs<br />
Spam<br />
Packers<br />
Advertise<br />
m<strong>en</strong>ts<br />
ADspace<br />
7b. Method<br />
of infection<br />
3c. Acquire<br />
facilities<br />
P2P<br />
DIY kit<br />
Freeware<br />
IM<br />
Drive by<br />
Figuur 1: Gegev<strong>en</strong>sdiefstal middels phishing: Stapp<strong>en</strong> in het hoofdproces <strong>en</strong> variant<strong>en</strong> per processtap (klassiek= rood; sophisticated=blauw)<br />
41
2.2.2 Sophisticated phishing<br />
In de ‘sophisticated’ variant, draait het niet om e<strong>en</strong> nepwebsite waar slachtoffers<br />
naar toe word<strong>en</strong> gelokt, maar om het installer<strong>en</strong> van malware op de computer van<br />
het slachtoffer. Die malware moet op de computer bijvoorbeeld e<strong>en</strong> pop‐up<br />
v<strong>en</strong>ster lat<strong>en</strong> zi<strong>en</strong>. Dat v<strong>en</strong>ster wordt visueel ontworp<strong>en</strong> in stap 2 <strong>en</strong> de malware<br />
(Trojan) die het installeert wordt aangeschaft in stap 3b <strong>en</strong> 3c. Vervolg<strong>en</strong>s kiest de<br />
phisher e<strong>en</strong> weg of meerdere weg<strong>en</strong> om de computer van slachtoffers te infecter<strong>en</strong><br />
[7b]. Is dat gelukt dan pakt de malware zich uit <strong>en</strong> installeert zich [8b]. Afhankelijk<br />
van het voorgeprogrammeerde gedrag, maakt de software slachtoffers [8], waarna<br />
het phishingproces ongeveer op dezelfde wijze verloopt als in de klassieke variant.<br />
De procesbeschrijving in de achtere<strong>en</strong>volg<strong>en</strong>de paragraf<strong>en</strong> is e<strong>en</strong> optelsom van wat<br />
er zoal aan MO‐elem<strong>en</strong>t<strong>en</strong> tijd<strong>en</strong>s het onderzoek is aangetroff<strong>en</strong>, zonder<br />
uitsprak<strong>en</strong> te do<strong>en</strong> welke elem<strong>en</strong>t<strong>en</strong> vaker <strong>en</strong> welke minder vaak voorkom<strong>en</strong>. M<strong>en</strong><br />
kan de MO‐elem<strong>en</strong>t<strong>en</strong> dan ook in wissel<strong>en</strong>de combinaties <strong>en</strong> uite<strong>en</strong>lop<strong>en</strong>de<br />
frequ<strong>en</strong>tie in de praktijk teg<strong>en</strong>kom<strong>en</strong>. Ondertuss<strong>en</strong> ontwikkel<strong>en</strong> method<strong>en</strong> zich<br />
voortdur<strong>en</strong>d, zij het dat opvall<strong>en</strong>d g<strong>en</strong>oeg (maar ook logisch) bepaalde<br />
processtapp<strong>en</strong> redelijk ongewijzigd blijv<strong>en</strong>: die aan het begin <strong>en</strong> die aan het eind<br />
van de procesgang.<br />
2.3 Stap 1 Determine target<br />
De eerste stap in het pleg<strong>en</strong> van e<strong>en</strong> phishing aanval is het bepal<strong>en</strong> van de<br />
instelling die aangevall<strong>en</strong> gaat word<strong>en</strong>. Vaak zijn dit bank<strong>en</strong>, maar ook Ebay of<br />
andere veilingsites, Paypal <strong>en</strong> <strong>internet</strong> service providers, zoals AOL (America<br />
Online), word<strong>en</strong> veelvuldig gebruikt voor het pleg<strong>en</strong> van phishing aanvall<strong>en</strong>. Op<br />
<strong>internet</strong> zijn maandelijkse rapportages te vind<strong>en</strong> van de meest aangevall<strong>en</strong><br />
financiële instelling<strong>en</strong>. Voor de phisher geld<strong>en</strong> twee overweging<strong>en</strong> voor de keuze<br />
van het phishing doelwit.<br />
1. Mass: grote instelling<strong>en</strong> k<strong>en</strong>n<strong>en</strong> veel klant<strong>en</strong> die m<strong>en</strong> kan bereik<strong>en</strong> met e<strong>en</strong><br />
grote hoeveelheid weinig gerichte spam. De kans dat tuss<strong>en</strong> dat brede schot<br />
hagel zich klant<strong>en</strong> bevind<strong>en</strong> van die instelling is groot. Deze vorm van spam is<br />
goedkoop, maar k<strong>en</strong>t als keerzijde dat ze snel opvalt <strong>en</strong> dat grote instelling<strong>en</strong><br />
zichzelf <strong>en</strong> hun klant<strong>en</strong> op allerlei manier<strong>en</strong> teg<strong>en</strong> aanvall<strong>en</strong> bescherm<strong>en</strong>.<br />
43
2. Spear: kleine instelling<strong>en</strong> k<strong>en</strong>n<strong>en</strong> minder klant<strong>en</strong>. Wil m<strong>en</strong> die bereik<strong>en</strong> dan<br />
moet de phisher met heel grote algem<strong>en</strong>e bestand<strong>en</strong> werk<strong>en</strong> of met kleine<br />
specifieke. Kan hij over het laatste beschikk<strong>en</strong>, dan kan hij zijn kans op succes<br />
vergrot<strong>en</strong>. Alle<strong>en</strong> zull<strong>en</strong> die bestand<strong>en</strong> duurder zijn. Kleine instelling<strong>en</strong> hebb<strong>en</strong><br />
voor de phisher ook als voordeel dat hun beveiliging misschi<strong>en</strong> wat minder<br />
geavanceerd is.<br />
“De keuze van het target (groot of klein) indiceert het soort phisher. E<strong>en</strong> klein target<br />
in combinatie met e<strong>en</strong> klein adress<strong>en</strong>bestand indiceert dat de phisher over<br />
specifieke k<strong>en</strong>nis t<strong>en</strong> aanzi<strong>en</strong> van dat target beschikt <strong>en</strong> er relatief dicht bij in de<br />
buurt zit.”<br />
“Het gebruik van e<strong>en</strong> klein specifiek adress<strong>en</strong>bestand dat niet breed in spamruns<br />
voorkomt, indiceert de betrokk<strong>en</strong>heid van e<strong>en</strong> insider van het target.”<br />
“Het gebruik van e<strong>en</strong> klein specifiek adress<strong>en</strong>bestand dat niet breed in spam<br />
voorkomt, indiceert e<strong>en</strong> professionele phisher.”<br />
De gebruikte instelling hoeft overig<strong>en</strong>s niet altijd zelf slachtoffer te zijn van e<strong>en</strong><br />
phishing aanval. In het geval van e<strong>en</strong> aanval op bijvoorbeeld Ebay, hoeft de<br />
organisatie zelf ge<strong>en</strong> last te hebb<strong>en</strong> van misbruik van gebruikersaccounts. Wel zal<br />
iedere instelling die gebruikt wordt voor e<strong>en</strong> phishing aanval imagoschade oplop<strong>en</strong>.<br />
Vaak word<strong>en</strong> de instelling<strong>en</strong> door gedupeerde gebruikers na e<strong>en</strong> phishing aanval<br />
aansprakelijk gesteld voor de door h<strong>en</strong> geled<strong>en</strong> schade waardoor de instelling<strong>en</strong><br />
alsnog fysieke schade ondervind<strong>en</strong>.<br />
2.4 Stap 2 Design for web<br />
Spoofsite<br />
Na het bepal<strong>en</strong> van het target, moet de phisher beschikk<strong>en</strong> over e<strong>en</strong> aantal webrepres<strong>en</strong>taties.<br />
Bij klassieke phishing moet hij e<strong>en</strong> website tot zijn beschikking<br />
hebb<strong>en</strong> die e<strong>en</strong> exacte kopie is van de officiële website van de targetinstelling.<br />
Slachtoffers mog<strong>en</strong> uiteraard niet vermoed<strong>en</strong> dat ze e<strong>en</strong> andere website bezoek<strong>en</strong><br />
dan de officiële website van de instelling. De <strong>en</strong>ige afwijking aan deze zog<strong>en</strong>aamde<br />
spoof website is dat de inloggegev<strong>en</strong>s van de gebruiker word<strong>en</strong> opgeslag<strong>en</strong> of dat<br />
de phisher in staat is mee te surf<strong>en</strong> met de gebruiker naar het beschermde<br />
44
gedeelte van de auth<strong>en</strong>tieke website om daar gegev<strong>en</strong>s weg te hal<strong>en</strong>. Uit<br />
onderzochte dossiers (ABNAMRO, Postbank, ING) blijkt dat de spoofwebsites in<br />
korte tijd steeds beter zijn geword<strong>en</strong>.<br />
“Op basis van e<strong>en</strong>zelfde stijl, typefout<strong>en</strong>, lay‐out van pagina’s <strong>en</strong> gebruikte kleur<strong>en</strong><br />
in e<strong>en</strong> spoof is het in theorie mogelijk pagina’s te onderscheid<strong>en</strong> naar de g<strong>en</strong>erator<br />
waarmee ze zijn gemaakt. Naarmate er meer kopieën van dezelfde spoof circuler<strong>en</strong>,<br />
indiceert dat het gebruik van e<strong>en</strong>zelfde Do–It‐Yourself (DIY) kit waarmee de spoof is<br />
geg<strong>en</strong>ereerd.”<br />
“Bezoek aan e<strong>en</strong> target site zonder in te logg<strong>en</strong> of inlogg<strong>en</strong> op e<strong>en</strong> targetsite zonder<br />
uitvoer<strong>en</strong>de handeling<strong>en</strong> te verricht<strong>en</strong>, kunn<strong>en</strong> duid<strong>en</strong> op e<strong>en</strong> verk<strong>en</strong>ning van sitek<strong>en</strong>merk<strong>en</strong><br />
of het test<strong>en</strong> van e<strong>en</strong> spoof website, ter voorbereiding van e<strong>en</strong> of<br />
meerdere phishing aanvall<strong>en</strong>.”<br />
Recruitm<strong>en</strong>t site<br />
Het phishingproces draait om geld, dat met behulp van geh<strong>en</strong>gelde inloggegev<strong>en</strong>s<br />
van slachtoffers afhandig wordt gemaakt van de targetinstelling. Zoals uit<br />
processtap 11 blijkt, is het gebruik van katvangers als tuss<strong>en</strong>schakel nog altijd<br />
populair. Alle<strong>en</strong> moet<strong>en</strong> die wel ‘klaar staan’ op het mom<strong>en</strong>t dat met behulp van<br />
gestol<strong>en</strong> inloggegev<strong>en</strong>s geld wordt overgeboekt. Met het verstrijk<strong>en</strong> van de tijd<br />
tuss<strong>en</strong> diefstal van gegev<strong>en</strong>s <strong>en</strong> e<strong>en</strong> onrechtmatige overboeking neemt namelijk de<br />
kans op ontdekking toe. Deze katvangers of money mules word<strong>en</strong> daarom vooraf<br />
geworv<strong>en</strong>. Daarvoor kan e<strong>en</strong> recruitm<strong>en</strong>t site nodig zijn die og<strong>en</strong>schijnlijk reguliere<br />
ban<strong>en</strong> aanbiedt, maar in feite werft voor tuss<strong>en</strong>schakels in e<strong>en</strong> phishingproces.<br />
Message<br />
Parallel aan het verkrijg<strong>en</strong> van de software om massaal e‐mailbericht<strong>en</strong> te kunn<strong>en</strong><br />
z<strong>en</strong>d<strong>en</strong> moet de phisher e<strong>en</strong> boodschap (message) hebb<strong>en</strong> om de pot<strong>en</strong>tiële<br />
slachtoffers over te hal<strong>en</strong> naar de spoof website te surf<strong>en</strong> <strong>en</strong> daar hun gegev<strong>en</strong>s<br />
achter te lat<strong>en</strong>. De bericht<strong>en</strong> die phishers stur<strong>en</strong>, spel<strong>en</strong> meestal paradoxaal<br />
g<strong>en</strong>oeg in op de angst<strong>en</strong> van <strong>internet</strong> gebruikers met betrekking tot de veiligheid<br />
van hun bankgegev<strong>en</strong>s. De boodschap in het spambericht heeft bijvoorbeeld de<br />
strekking: ‘Geachte klant, op server …… van onze online webservice XXX is e<strong>en</strong> fout<br />
opgetred<strong>en</strong>. Om uw account te behoud<strong>en</strong> moet u direct naar<br />
www.supersecure.instelling.domein.nl gaan om uw account opnieuw te activer<strong>en</strong>. U<br />
moet dit binn<strong>en</strong> ... uur do<strong>en</strong>, anders gaan uw gegev<strong>en</strong>s verlor<strong>en</strong>.’ Het is voor de<br />
phisher zeker van belang dat het slachtoffer op de URL in zijn spambericht klikt of<br />
dat de phisher de computer van de argeloze gebruiker zo beïnvloedt dat zelfs als de<br />
45
gebruiker de URL overtikt in zijn browser, toch de phishing site bezocht wordt. Om<br />
detectie door spamfilters te voorkom<strong>en</strong>, word<strong>en</strong> boodschapp<strong>en</strong> in plaats van als<br />
plain text, ook in de vorm van e<strong>en</strong> in e<strong>en</strong> e‐mailbericht opg<strong>en</strong>om<strong>en</strong> plaatje<br />
verstuurd. E<strong>en</strong> dergelijk plaatje is eig<strong>en</strong>lijk niets anders dan e<strong>en</strong> foto van e<strong>en</strong> tekst.<br />
Als e<strong>en</strong> gebruiker e<strong>en</strong> web adres in zijn browser kiest, stuurt zijn pc e<strong>en</strong> request <strong>en</strong><br />
krijgt daarop als respons het IP‐adres van de desbetreff<strong>en</strong>de website. De phisher<br />
kan, tegelijkertijd met zijn spambericht, bij voorbaat e<strong>en</strong> respons stur<strong>en</strong> naar de pc<br />
van het slachtoffer, zodat deze ook via zijn browser op de spoof website belandt.<br />
“Bij phishing word<strong>en</strong> vaak kopieën van eerdere phishing mails gebruikt. Dat heeft te<br />
mak<strong>en</strong> met het noodzakelijke redigeer‐ <strong>en</strong> vertaalwerk <strong>en</strong> met DIY‐kits die word<strong>en</strong><br />
gebruikt <strong>en</strong> dezelfde output g<strong>en</strong>erer<strong>en</strong>. K<strong>en</strong>merk<strong>en</strong> van phishing mails zijn te<br />
gebruik<strong>en</strong> als footprints om:<br />
‐ te achterhal<strong>en</strong> uit welke bron/g<strong>en</strong>erator ze afkomstig zijn;<br />
‐ de mate van verspreiding vast te stell<strong>en</strong>.”<br />
“Knullige mailtjes met fout<strong>en</strong> zijn e<strong>en</strong> voorbode van e<strong>en</strong> phishing aanval.”<br />
Ad’s/pop‐up<br />
Sophisticated phishing maakt gebruik van malware om in de browser van e<strong>en</strong><br />
geïnfecteerde PC banners met reclame of pop‐up v<strong>en</strong>sters te lat<strong>en</strong> verschijn<strong>en</strong>.<br />
Deze banners/pop‐ups zijn kleine (Java)scripts die gebruik mak<strong>en</strong> van<br />
kwetsbaarhed<strong>en</strong> in browsers. Het ontwerp van deze scripts is e<strong>en</strong> vorm van ‘design<br />
for web’ <strong>en</strong> op zichzelf legaal <strong>en</strong> veel voorkom<strong>en</strong>d binn<strong>en</strong> softwareontwerp.<br />
Tutorials zijn vrij te download<strong>en</strong> via het <strong>internet</strong>. Detectie van de distributie van dit<br />
soort malware wordt bemoeilijkt door het gebruik van zog<strong>en</strong>aamde packers die<br />
door virusscanners word<strong>en</strong> doorgelat<strong>en</strong>. Dit soort packers komt binn<strong>en</strong> via<br />
bestandsoverdracht of het bezoek aan bepaalde websites (zie stap 7b <strong>en</strong> § 2.7).<br />
2.5 Stap 3a Staff recruitm<strong>en</strong>t<br />
Zoals uit de beschrijving van het roll<strong>en</strong>complex uit § 2.19 <strong>en</strong> verder zal blijk<strong>en</strong>, kan<br />
(of moet) de phisher zich bedi<strong>en</strong><strong>en</strong> van bepaalde deskundighed<strong>en</strong> of roll<strong>en</strong><br />
waarover hijzelf niet beschikt of die hij zelf met het oog op ev<strong>en</strong>tuele ontdekking<br />
<strong>en</strong> herleiding niet wil vervull<strong>en</strong>. Die deskundighed<strong>en</strong> of roll<strong>en</strong> moet<strong>en</strong> word<strong>en</strong><br />
verworv<strong>en</strong>. Dat kan op e<strong>en</strong> aantal manier<strong>en</strong>, bijvoorbeeld via rekrutering‐ of<br />
46
jobapplicationsites waarop m<strong>en</strong>s<strong>en</strong> zich voor bepaalde werkzaamhed<strong>en</strong> aanbied<strong>en</strong><br />
of waarin opdrachtgevers m<strong>en</strong>s<strong>en</strong> met e<strong>en</strong> bepaalde deskundigheid vrag<strong>en</strong><br />
(bijvoorbeeld www.r<strong>en</strong>tacoder.com).<br />
Mule recruitem<strong>en</strong>t<br />
“Hello, would like to propose you a FINANCIAL AGENT vacancy”<br />
My name is Mindy Darling and I'm the Chief Manager of Departm<strong>en</strong>t of employm<strong>en</strong>t<br />
in Rest Pro Company (RPC). I am pleased to offer you a vacant position of<br />
Financial Manager in RPC. Let me tell you about our company. We are <strong>en</strong>gaged in<br />
selection and delivery of technical equipm<strong>en</strong>t and goodies in various offices and<br />
organizations. We take all troubles about choosing and delivering appropriate<br />
technical equipm<strong>en</strong>t to cli<strong>en</strong>t's office, under our responsibility. RPC was established<br />
in 2002 and earned quite good reputation on the market. At the mom<strong>en</strong>t we have<br />
some plans for the further developm<strong>en</strong>t, we plan to broad<strong>en</strong> our services and add<br />
an international network to serve cli<strong>en</strong>ts in all over the world.<br />
To offer to our foreign cli<strong>en</strong>ts more favorable and comfortable conditions we have<br />
made the decision to create an international network of regional ag<strong>en</strong>ts. We have<br />
op<strong>en</strong>ed a set of employees in various areas of the world. It has allowed our cli<strong>en</strong>ts<br />
to get access to a wider assortm<strong>en</strong>t of the goods, than before. In fact, earlier, many<br />
suppliers refused to work with us for the reason of bureaucracy that occurred th<strong>en</strong><br />
registration of legal docum<strong>en</strong>ts were needed to transport equipm<strong>en</strong>t, or transfer<br />
money.<br />
The Duties of the financial manager consists of reception of money resources from<br />
cli<strong>en</strong>ts of our company and transferring them to us. For every transaction, we pay 8<br />
% from the total sum.<br />
Work Requirem<strong>en</strong>ts: minimal knowledge of personal computer and <strong>internet</strong>/E-mail,<br />
Bank account, Legal age, Will to work at home 2-3 hrs per day, Crime-free<br />
background (background check will be made before accepting on the position).<br />
There is not any starting paym<strong>en</strong>ts or pledges for the goods!<br />
Please replay to this e-mail if you are interested in this op<strong>en</strong>ing, we will s<strong>en</strong>d you an<br />
employm<strong>en</strong>t agreem<strong>en</strong>t within nearest 24 hours, <strong>fee</strong>l free to ask questions.<br />
restprocompany@googlemail.com<br />
Best Regards<br />
Mindy Darling<br />
Bron: www.4.1.9legal.org/archive-emails-s<strong>en</strong>t-4.1.9legal/69379-about-financialag<strong>en</strong>t-vacancy.html<br />
47
Alternatieve bronn<strong>en</strong> voor het werv<strong>en</strong> van employees zijn sociale netwerk<strong>en</strong>;<br />
specifieke fora waarop m<strong>en</strong>s<strong>en</strong> met e<strong>en</strong> bepaalde interesse of deskundigheid<br />
elkaar ontmoet<strong>en</strong> of peer groups die kunn<strong>en</strong> variër<strong>en</strong> van familieled<strong>en</strong>, k<strong>en</strong>niss<strong>en</strong>,<br />
oud klasg<strong>en</strong>ot<strong>en</strong>, tot de deelnemers aan e<strong>en</strong> bepaald (technisch georiënteerd)<br />
congres.<br />
In de geanalyseerde case ‘G’ werd<strong>en</strong> mules geworv<strong>en</strong> door middel van spam. Grote<br />
hoeveelhed<strong>en</strong> gecompromitteerde e‐mailadress<strong>en</strong> <strong>en</strong> proxy's richtt<strong>en</strong> zich met e<strong>en</strong><br />
spammail tot werkloz<strong>en</strong>, m<strong>en</strong>s<strong>en</strong> die bij krap bij kas zat<strong>en</strong>, scholier<strong>en</strong> <strong>en</strong> ook<br />
zeelied<strong>en</strong>, om ze naar e<strong>en</strong> job recruitm<strong>en</strong>t site te lokk<strong>en</strong>. Daar kond<strong>en</strong> ze zich in<br />
schrijv<strong>en</strong> voor het simpelweg funger<strong>en</strong> als doorgeefluik van geld. Er vond zowel<br />
telefonisch als schriftelijk contact plaatsvond met de recruiters wat e<strong>en</strong> sterk<br />
gevoel van auth<strong>en</strong>ticiteit opriep bij de baanzoek<strong>en</strong>d<strong>en</strong>. Er werd zelfs e<strong>en</strong><br />
arbeidscontract opgesteld. Als dekmantel zou het gaan om het afhandel<strong>en</strong> van het<br />
betalingsverkeer tuss<strong>en</strong> de klant van e<strong>en</strong> af te lever<strong>en</strong> product <strong>en</strong> de leverancier.<br />
Daarvoor werd het geld vanaf de rek<strong>en</strong>ing van het phishing slachtoffer gestort op<br />
de rek<strong>en</strong>ing van de mule, die e<strong>en</strong> seintje kreeg dat het contant moest word<strong>en</strong><br />
opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> direct als money transfer moest word<strong>en</strong> verzond<strong>en</strong> na aftrek van<br />
het honorarium (5% van het overgeboekte bedrag).<br />
E<strong>en</strong> grote phishingzaak die is behandeld door het KLPD kwam aan het roll<strong>en</strong> nadat<br />
e<strong>en</strong> politieman in ging op e<strong>en</strong> soortgelijk spambericht als in de case G, waarin hij<br />
zoals vele ander<strong>en</strong> werd b<strong>en</strong>aderd voor het verricht<strong>en</strong> van ‘financiële<br />
werkzaamhed<strong>en</strong>’.<br />
2.6 Stap 3b Acquire addresses<br />
Om de slachtoffers te kunn<strong>en</strong> b<strong>en</strong>ader<strong>en</strong> moet de klassieke phisher e‐mailadress<strong>en</strong><br />
zi<strong>en</strong> te verzamel<strong>en</strong> van pot<strong>en</strong>tiële slachtoffers. De mailadress<strong>en</strong> moet<strong>en</strong> aan e<strong>en</strong><br />
aantal criteria voldo<strong>en</strong> om vooral bruikbaar te zijn:<br />
- ze moet<strong>en</strong> geldig zijn;<br />
- ze moet<strong>en</strong> het verzond<strong>en</strong> bericht niet als spam beschouw<strong>en</strong>, <strong>en</strong><br />
- de gebruiker moet e<strong>en</strong> band hebb<strong>en</strong> met de instelling die in de aanval gebruikt<br />
wordt.<br />
Er zijn verschill<strong>en</strong>de method<strong>en</strong> om aan dit soort adress<strong>en</strong> te kom<strong>en</strong>, waarvan we er<br />
<strong>en</strong>kele beschrijv<strong>en</strong>.<br />
48
2.6.1 Crawl/harvesting<br />
De phisher kan zelf op zoek gaan naar e‐mailadress<strong>en</strong>. Dit kan door middel van<br />
zog<strong>en</strong>aamde harvesting (oogst) programma’s (‘crawlers’). Dit soort programma’s<br />
zoekt het <strong>internet</strong> af naar e‐mailadress<strong>en</strong> <strong>en</strong> slaat deze op, zodat de phisher ze kan<br />
gebruik<strong>en</strong>. Het verkrijg<strong>en</strong> van dit soort programma’s is relatief simpel. M<strong>en</strong> kan ze<br />
kop<strong>en</strong>, maar via fora, nieuwsgroep<strong>en</strong> <strong>en</strong> chatbox<strong>en</strong> zijn allerlei doe‐het‐zelf<br />
pakkett<strong>en</strong> gratis te download<strong>en</strong>. Harvesting 10 is op zichzelf niet illegaal; ook<br />
<strong>internet</strong> marketeers bedi<strong>en</strong><strong>en</strong> zich van deze software. Door de brede keuze in<br />
harvesting programma’s is het f<strong>en</strong>ome<strong>en</strong> dat programmaschrijvers met dit soort<br />
software graag will<strong>en</strong> lat<strong>en</strong> zi<strong>en</strong> hoe goed ze kunn<strong>en</strong> programmer<strong>en</strong>, op zijn retour<br />
(wat overig<strong>en</strong>s niet geldt voor andere software voor illegale doeleind<strong>en</strong>). Het nut<br />
van harvesting neemt ondertuss<strong>en</strong> af. Internetgebruikers word<strong>en</strong> voorzichtiger met<br />
het achterlat<strong>en</strong> van hun e‐mailadres. Als deze teg<strong>en</strong>woordig al word<strong>en</strong><br />
gepubliceerd op e<strong>en</strong> website, gebeurt dat vermomd. Bijvoorbeeld door het e‐<br />
mailadres helemaal uit te schrijv<strong>en</strong> (naamorganisatie.nl), het als plaatje te<br />
publicer<strong>en</strong> of de @ te vervang<strong>en</strong> door e<strong>en</strong> ander symbool (naam*organisatie.nl).<br />
De harvesting programma’s zijn dan in theorie niet langer in staat deze constructies<br />
te herk<strong>en</strong>n<strong>en</strong> als e‐mailadres. In de wedloop teg<strong>en</strong> dit soort<br />
beschermingsconstructies zijn door de cybercrimineel ook daarvoor oplossing<strong>en</strong><br />
gevond<strong>en</strong>. Alle<strong>en</strong> kost het toepass<strong>en</strong> van die oplossing tijd. E<strong>en</strong> harvest programma<br />
kan echter niet te lang bezig zijn met het ontcijfer<strong>en</strong> van e<strong>en</strong> e‐mailadres <strong>en</strong> stapt<br />
dan door naar het volg<strong>en</strong>de.<br />
“Geharveste e‐mailadress<strong>en</strong> zull<strong>en</strong> in de loop van de tijd steeds meer gaan bestaan<br />
uit adress<strong>en</strong> van het type argeloze <strong>internet</strong>gebruiker.”<br />
“Crawlers gaan niet willekeurig maar op e<strong>en</strong> bepaalde manier te werk die typer<strong>en</strong>d<br />
is voor de crawler. Daardoor zijn combinaties van adress<strong>en</strong> in spamruns mogelijk te<br />
herleid<strong>en</strong> tot de crawler waaruit di<strong>en</strong>s populariteit blijkt. Kwetsbaarhed<strong>en</strong><br />
(vulnerabillities) in de crawlers kunn<strong>en</strong> mogelijk word<strong>en</strong> gebruikt voor de bestrijding<br />
(hoewel crawl<strong>en</strong> op zichzelf niet illegaal is).”<br />
“Theoretisch is e<strong>en</strong> crawlerprogramma te detecter<strong>en</strong> op het mom<strong>en</strong>t dat het actief<br />
10 Harvesting is midd<strong>en</strong> jar<strong>en</strong> neg<strong>en</strong>tig van de vorige eeuw uitgewerkt als onderdeel van het Op<strong>en</strong><br />
Archives Initiative (OAI) voor het uitwissel<strong>en</strong> van gestructureerde data<br />
(www.dare.uva.nl/docum<strong>en</strong>t/99739) <strong>en</strong> voor disseminatie van wet<strong>en</strong>schappelijke publicaties).<br />
49
websites <strong>en</strong> nieuwsgroep<strong>en</strong> op het <strong>internet</strong> ‘afgraast’, om vervolg<strong>en</strong>s vast te stell<strong>en</strong><br />
waar de oogst naar toe gaat. Dat heeft alle<strong>en</strong> zin als m<strong>en</strong> het zoekgedrag van<br />
dergelijke programma’s k<strong>en</strong>t zodat onderscheid kan word<strong>en</strong> gemaakt t<strong>en</strong> opzichte<br />
van <strong>internet</strong> zoekmachines die continue <strong>internet</strong>pagina’s nalop<strong>en</strong> om hun index<strong>en</strong><br />
te actualiser<strong>en</strong>.”<br />
“Het download<strong>en</strong> van e<strong>en</strong> crawlingprogramma is op zichzelf niet strafbaar maar<br />
kan wel e<strong>en</strong> indicatie zijn (red flag 11 ) voor mogelijke onrechtmatighed<strong>en</strong>.”<br />
Iedere<strong>en</strong> die gebruik maakt van e<strong>en</strong>zelfde harvestprogramma heeft e<strong>en</strong> grote kans<br />
uit te kom<strong>en</strong> bij dezelfde e‐mailadress<strong>en</strong>. Die krijg<strong>en</strong> vervolg<strong>en</strong>s e<strong>en</strong> grote<br />
hoeveelheid spam te verwerk<strong>en</strong> uit verschill<strong>en</strong>de hoek<strong>en</strong> wat de kans op het<br />
nem<strong>en</strong> van maatregel<strong>en</strong> aan de gebruikerszijde weer groter maakt. De harvester<br />
kan juist uit zijn op dit type adres, maar de adrespakkett<strong>en</strong> kunn<strong>en</strong> ook te e<strong>en</strong>zijdig<br />
sam<strong>en</strong>gesteld rak<strong>en</strong> zodat hij voor e<strong>en</strong> alternatief kiest. Vermoedelijk is het laatste<br />
het geval <strong>en</strong> zal harvest<strong>en</strong> in zijn ambachtelijke vorm wel voor blijv<strong>en</strong> kom<strong>en</strong>, maar<br />
steeds minder oplever<strong>en</strong>. Dat wordt versterkt door het sleets word<strong>en</strong> van adress<strong>en</strong>.<br />
“Adresdatabases zijn te onderscheid<strong>en</strong> naar het soort adress<strong>en</strong> waaruit ze zijn<br />
sam<strong>en</strong>gesteld, hun herkomst, de foute (niet werkzame) adress<strong>en</strong> etc. Uit oogpunt<br />
van bestrijding is het interessant om na te gaan of uit verschill<strong>en</strong>de spam aanvall<strong>en</strong><br />
e<strong>en</strong> soort vingerafdruk is te destiller<strong>en</strong> van het gebruikte adress<strong>en</strong>bestand, zodat de<br />
spam aanvall<strong>en</strong> mogelijk kunn<strong>en</strong> word<strong>en</strong> herleid tot e<strong>en</strong>zelfde bronbestand.”<br />
Daardoor ontstaat wellicht ook zicht op evoluties die in adress<strong>en</strong>bestand<strong>en</strong> zijn<br />
waar te nem<strong>en</strong>. Dat inzicht heeft bijvoorbeeld waarde voor prev<strong>en</strong>tie: houders van<br />
kwetsbare e‐mailadress<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> gewaarschuwd, bestand<strong>en</strong> kunn<strong>en</strong><br />
beter word<strong>en</strong> beveiligd, ev<strong>en</strong>tuele insiders die adresbestand<strong>en</strong> kopiër<strong>en</strong> <strong>en</strong><br />
verkop<strong>en</strong> kunn<strong>en</strong> mogelijk word<strong>en</strong> gedetecteerd. Bov<strong>en</strong>di<strong>en</strong> kunn<strong>en</strong> de kwetsbare<br />
adress<strong>en</strong> gericht in de gat<strong>en</strong> word<strong>en</strong> gehoud<strong>en</strong> om mogelijk terug te slaan richting<br />
phisher <strong>en</strong>/of adress<strong>en</strong>leverancier die er gebruik van maakt/mak<strong>en</strong>.<br />
De professionele spammer of phisher van deze tijd harvest niet meer zelf. De<br />
moeite die het kost, weegt niet op teg<strong>en</strong> het gemak waarmee pakkett<strong>en</strong> adress<strong>en</strong><br />
11 E<strong>en</strong> ‘red flag’ is e<strong>en</strong> aanwijzing (irregulariteit) die op zichzelf onvoldo<strong>en</strong>de indiceert voor e<strong>en</strong><br />
bepaalde onrechtmatigheid of crimineel gedrag maar die wel extra aandacht verdi<strong>en</strong>t. E<strong>en</strong> combinatie<br />
van meerdere red flags kan wel indicer<strong>en</strong> voor onrechtmatig of crimineel gedrag. Meestal duidt e<strong>en</strong> red<br />
flag zoals gebruikt in dit onderzoek op e<strong>en</strong> atypische vorm van <strong>internet</strong>gedrag.<br />
50
teg<strong>en</strong> relatief lage kost<strong>en</strong> te verkrijg<strong>en</strong> zijn uit bronn<strong>en</strong> die zich op het verzamel<strong>en</strong><br />
van adress<strong>en</strong> hebb<strong>en</strong> toegelegd. Bijvoorbeeld door het toepass<strong>en</strong> van de variant<strong>en</strong><br />
uit de volg<strong>en</strong>de paragraf<strong>en</strong>. Vooral spearphishing is gebaat bij specifieke nietwillekeurig<br />
verzamelde adress<strong>en</strong>.<br />
“Voor zowel adresverkopers als phishers is het belangrijk om te wet<strong>en</strong> of aan e<strong>en</strong><br />
bepaalde doelgroep te relater<strong>en</strong> adress<strong>en</strong> actief zijn. Dat kunn<strong>en</strong> ze achterhal<strong>en</strong><br />
door ze teg<strong>en</strong> e<strong>en</strong> inlogpagina aan te houd<strong>en</strong> <strong>en</strong> de responsetijd te met<strong>en</strong>. Bij e<strong>en</strong><br />
actief adres zal de responsetijd iets langer zijn dan bij e<strong>en</strong> niet actief adres. Dit type<br />
matching kan word<strong>en</strong> gedetecteerd in logfiles <strong>en</strong> is e<strong>en</strong> directe indicatie voor op<br />
hand<strong>en</strong> zijnde phishing activiteit<strong>en</strong>.”<br />
2.6.2 Server hacking<br />
E<strong>en</strong> andere optie om aan e‐mailadress<strong>en</strong> te kom<strong>en</strong> is door in te brek<strong>en</strong> op e<strong>en</strong><br />
mailserver <strong>en</strong> hier adress<strong>en</strong> uit te hal<strong>en</strong>. Hiervoor is meer k<strong>en</strong>nis nodig, dan voor<br />
het toepass<strong>en</strong> van e<strong>en</strong> harvesting programma <strong>en</strong> het risico om gepakt te word<strong>en</strong> is<br />
groter. Het heeft wel e<strong>en</strong> aantal voordel<strong>en</strong>:<br />
de kans dat de adress<strong>en</strong> nog geldig zijn is groter;<br />
de phisher kan zelf e<strong>en</strong> combinatie van doelwit <strong>en</strong> e‐mailadress<strong>en</strong> mak<strong>en</strong>,<br />
waardoor de kans dat slachtoffers positief reager<strong>en</strong>, groter is.<br />
E<strong>en</strong> variant op deze vorm is inside hacking. De phisher zorgt dan dat hij e<strong>en</strong><br />
persoon binn<strong>en</strong> e<strong>en</strong> organisatie betaalt of dwingt om e‐mailadress<strong>en</strong> van<br />
personeelsled<strong>en</strong> of klant<strong>en</strong> aan hem te gev<strong>en</strong>.<br />
Hack mailserver<br />
Dader: 33 jarige systeembeheerder<br />
“De dader had ontdekt dat de mailserver van bedrijf A draaide onder e<strong>en</strong> oude<br />
PHP-versie met bek<strong>en</strong>de kwetsbaarhed<strong>en</strong>. Gebruikmak<strong>en</strong>d van die kwetsbaarheid<br />
is hij binn<strong>en</strong> gegaan op de vaste plaats waar de passwords werd<strong>en</strong> uitgelez<strong>en</strong>.<br />
Vervolg<strong>en</strong>s heeft hij daarmee de directory-structuur van de hele server gelez<strong>en</strong>,<br />
waaronder e<strong>en</strong> backup-directory. Deze backup werd gedownload. Daarin stond e<strong>en</strong><br />
bestand met alle e-mail accounts <strong>en</strong> wachtwoord<strong>en</strong>. Het bleef overig<strong>en</strong>s niet bij<br />
deze hack; het werd e<strong>en</strong> compleet uitgevoerde phishing. Via webmail is de dader<br />
vervolg<strong>en</strong>s ingelogd op e<strong>en</strong> bepaald account. In di<strong>en</strong>s ‘verzond<strong>en</strong> bericht<strong>en</strong>’ stond<br />
e<strong>en</strong> link met e<strong>en</strong> inlogcode <strong>en</strong> wachtwoord voor datg<strong>en</strong>e waar het uiteindelijk om<br />
ging: toegang tot e<strong>en</strong> nieuwe game.”<br />
Bron: KLPD-dossier<br />
51
We mak<strong>en</strong> onderscheid tuss<strong>en</strong> twee vorm<strong>en</strong> van inbraak: Inbraak op e<strong>en</strong> exchange<br />
server <strong>en</strong> inbraak in e<strong>en</strong> klant<strong>en</strong>bestand. Inbraak op e<strong>en</strong> exchange server wil<br />
zegg<strong>en</strong> dat de hacker de mailserver van e<strong>en</strong> bedrijf binn<strong>en</strong>gaat <strong>en</strong> daar het<br />
adresboek van het bedrijf of van alle medewerkers kopieert. Op dezelfde wijze als<br />
de phisher dit soort servers met bepaalde kwetsbaarhed<strong>en</strong> kan opspor<strong>en</strong>, kan de<br />
bestrijding dat ook do<strong>en</strong>. Inbraak in e<strong>en</strong> klant<strong>en</strong>bestand behelst bijvoorbeeld e<strong>en</strong><br />
inbraak bij BOL.com, Ebay of Amazon, waarbij de gegev<strong>en</strong>s van klant<strong>en</strong> uit de<br />
databases word<strong>en</strong> gekopieerd. Deze manier geeft mete<strong>en</strong> de mogelijkheid tot het<br />
harvest<strong>en</strong> op e<strong>en</strong> specifieke doelgroep. Dat maakt het adress<strong>en</strong>bestand<br />
waardevoller <strong>en</strong> daarmee veel duurder.<br />
Buying addresses<br />
Er zijn bedrijv<strong>en</strong> die handel<strong>en</strong> in post‐ <strong>en</strong> e‐mailadress<strong>en</strong>. De Goud<strong>en</strong> Gids is<br />
daarvan e<strong>en</strong> voorbeeld, maar ook de Kamer van Koophandel. Nu zijn er ook andere,<br />
obscure, leveranciers die ge<strong>en</strong> eis<strong>en</strong> stell<strong>en</strong> aan het gebruik van de adress<strong>en</strong>. Het<br />
kop<strong>en</strong> van hun adress<strong>en</strong> br<strong>en</strong>gt minder risico met zich mee dan het hack<strong>en</strong> van e<strong>en</strong><br />
mailserver <strong>en</strong> neemt minder tijd in beslag. De phisher krijgt daarnaast de garantie<br />
dat de adress<strong>en</strong> geldig zijn <strong>en</strong> kan zelfs van tevor<strong>en</strong> e<strong>en</strong> doelgroep van slachtoffers<br />
kiez<strong>en</strong>. Nadeel is dat het kop<strong>en</strong> van adress<strong>en</strong> geld kost <strong>en</strong> dus t<strong>en</strong> koste gaat van de<br />
opbr<strong>en</strong>gst van de phishing aanval. Bov<strong>en</strong>di<strong>en</strong> levert de aankoop weer e<strong>en</strong> <strong>internet</strong><strong>en</strong><br />
e<strong>en</strong> geldspoor op.<br />
“Sommige actor<strong>en</strong> die phishingroll<strong>en</strong> vervull<strong>en</strong>, zull<strong>en</strong> tijd<strong>en</strong>s voorbereid<strong>en</strong>de<br />
activiteit<strong>en</strong> minder actief hun handeling<strong>en</strong> afscherm<strong>en</strong> omdat ze op zichzelf nog<br />
niet crimineel bezig zijn <strong>en</strong> hun aandacht vooral zal uitgaan naar het camoufler<strong>en</strong><br />
van de uiteindelijke aanval zelf. Detectie van deze activiteit<strong>en</strong> biedt mogelijk<br />
aanknopingspunt<strong>en</strong> voor het vaststell<strong>en</strong> van de id<strong>en</strong>titeit van actor<strong>en</strong> in<br />
daderroll<strong>en</strong>.”<br />
“Als de veronderstelling klopt dat het kop<strong>en</strong> van e‐mailadress<strong>en</strong> populairder is dan<br />
het zelf harvest<strong>en</strong>, dan zull<strong>en</strong> er in de spam <strong>en</strong> phishing praktijk veel dezelfde<br />
adress<strong>en</strong> te zi<strong>en</strong> zijn.”<br />
2.6.3 Malware<br />
Onder de term malware gaat e<strong>en</strong> scala aan programmaatjes schuil die zonder dat<br />
de gebruiker het weet op di<strong>en</strong>s computer word<strong>en</strong> geïnstalleerd, om vervolg<strong>en</strong>s<br />
allerlei informatie over de gebruiker te verzamel<strong>en</strong>, ongevraagd reclame te ton<strong>en</strong><br />
(pop‐ups) of del<strong>en</strong> van de besturing van de computer over te nem<strong>en</strong>. Wordt dit<br />
52
soort malware (malicious code) gebruikt om gegev<strong>en</strong>s van de gebruiker <strong>en</strong> di<strong>en</strong>s<br />
computer te verzamel<strong>en</strong> dan sprek<strong>en</strong> we van spyware. Binn<strong>en</strong> de MO van phishing<br />
is spyware e<strong>en</strong> aantrekkelijke vorm voor:<br />
het verkrijg<strong>en</strong> van persoonlijke gegev<strong>en</strong>s, zoals e‐mailadress<strong>en</strong>, welke sites zijn<br />
bezocht, wachtwoord<strong>en</strong> (via keyloggers) etc.;<br />
het beïnvloed<strong>en</strong> van de computer van de gebruiker zodat die boodschapp<strong>en</strong> te<br />
zi<strong>en</strong> krijgt, de startpagina wordt aangepast, wordt doorgestuurd naar bepaalde<br />
sites of dat banners die op het scherm verschijn<strong>en</strong> e<strong>en</strong> andere inhoud<br />
meekrijg<strong>en</strong> (browser hijacking);<br />
het overnem<strong>en</strong> van de computer zodat die kan word<strong>en</strong> ingezet voor de<br />
phishing activiteit<strong>en</strong>. In dit geval is de computer e<strong>en</strong> ‘bot’ geword<strong>en</strong> <strong>en</strong> maakt<br />
ze met vele andere geïnfecteerde computers deel uit van e<strong>en</strong> ‘botnet’. Botnets<br />
word<strong>en</strong> o.a. gebruikt voor het verwerv<strong>en</strong> van e‐mailadress<strong>en</strong> van specifieke<br />
doelgroep<strong>en</strong>. Hierbij wordt via het botnet e<strong>en</strong> stukje malware verspreid dat<br />
van iedere bot de browser log leest <strong>en</strong> op basis hiervan bepaalt welke<br />
gebruikers welke sites bezoek<strong>en</strong>.<br />
Zowel de zelfstandige spammer als de phisher heeft profijt van spyware. Beid<strong>en</strong><br />
gaat het om het verwerv<strong>en</strong> van e‐mailadress<strong>en</strong> <strong>en</strong> uiteindelijk om het g<strong>en</strong>erer<strong>en</strong><br />
van zoveel mogelijk traffic naar e<strong>en</strong> bepaalde website. Voor de traditionele<br />
spammer is dat e<strong>en</strong> website met e<strong>en</strong> bepaald product of e<strong>en</strong> type di<strong>en</strong>stverl<strong>en</strong>ing;<br />
voor de klassieke phisher is dat zijn spoof site. Gratis gebruik van software gaat<br />
vaak gepaard met het moet<strong>en</strong> duld<strong>en</strong> van reclameboodschapp<strong>en</strong> (waarmee de<br />
gebruiker zich overig<strong>en</strong>s meestal akkoord verklaard door het aanvink<strong>en</strong> van e<strong>en</strong><br />
lic<strong>en</strong>se agreem<strong>en</strong>t). Hieraan kan ook gemakkelijk e<strong>en</strong> meer schadelijke code zijn<br />
gekoppeld. Ook programma’s als Microsoft updates mak<strong>en</strong> gebruik van<br />
miniprogramma’s (ActiveX controls) waarmee toegang kan word<strong>en</strong> verkreg<strong>en</strong> tot<br />
het besturingssysteem van e<strong>en</strong> gebruiker. Zoals zo vaak, is spyware als legale vorm<br />
van informatieverzameling gestart <strong>en</strong> bestaat het in deze vorm nog steeds volop.<br />
Internetshops als amazon.com stur<strong>en</strong> gebruikers tips op basis van het<br />
aankoopgedrag <strong>en</strong> in de vorm van cookies parker<strong>en</strong> zij informatie op de computer<br />
van de gebruiker waaraan deze bij e<strong>en</strong> volg<strong>en</strong>d sitebezoek kan word<strong>en</strong> herinnerd.<br />
“Phishers mak<strong>en</strong> van ActiveX controls <strong>en</strong> (third party) cookies gebruik voor het<br />
gericht verzamel<strong>en</strong> van gegev<strong>en</strong>s met vooral als doel om targetgroep<strong>en</strong> sam<strong>en</strong> te<br />
stell<strong>en</strong> <strong>en</strong> deze te verleid<strong>en</strong> tot het bezoek<strong>en</strong> van bepaalde sites.”<br />
E<strong>en</strong> vorm van malware die niet per se op de computer van de gebruiker is<br />
g<strong>en</strong>esteld, maar die zich op de bezochte website bevindt, heet cross‐site scripting<br />
53
(XSS). Bij deze vorm van malware wordt op de website e<strong>en</strong> stukje code geplaatst<br />
dat bij de websitebezoeker toegang zoekt tot cookies, website inhoud <strong>en</strong> andere<br />
informatie die de browser nodig heeft om het <strong>internet</strong> toegankelijk te mak<strong>en</strong>. Er<br />
word<strong>en</strong> grofweg twee vorm<strong>en</strong> van cross‐site scripting onderscheid<strong>en</strong>: onderbrok<strong>en</strong><br />
<strong>en</strong> ononderbrok<strong>en</strong>. De onderbrok<strong>en</strong> variant komt verreweg het meeste voor, vaak<br />
bij http zoekvariabel<strong>en</strong> <strong>en</strong> in HTML‐formulier<strong>en</strong>. Bij deze vorm wordt de code van<br />
de pagina zo aangepast dat de pagina e<strong>en</strong> foutje maakt bij het antwoord<strong>en</strong> naar de<br />
browser. De gebruiker ziet het niet of krijgt e<strong>en</strong> minimale foutmelding. Door het<br />
foutje van de pagina is de aanvaller echter in staat om verborg<strong>en</strong> frames te<br />
activer<strong>en</strong> of de browser naar vreemde URL’s te stur<strong>en</strong>. In deze vorm is de aanvaller<br />
actief betrokk<strong>en</strong> bij elke aanval.<br />
De ononderbrok<strong>en</strong> vorm is gevaarlijker <strong>en</strong> ook ingrijp<strong>en</strong>der. Hierbij maakt de<br />
aanvaller gebruik van foutjes in websites om data te upload<strong>en</strong> naar de host server<br />
van die website. Die data wordt door de server opg<strong>en</strong>om<strong>en</strong> in de code die gebruikt<br />
wordt om pagina’s te g<strong>en</strong>erer<strong>en</strong> voor normale bezoekers. Deze geïnfecteerde<br />
pagina’s prober<strong>en</strong> op hun beurt toegang te krijg<strong>en</strong> tot browsergegev<strong>en</strong>s van de<br />
normale gebruikers. Deze vorm komt veel voor binn<strong>en</strong> nieuwsgroep<strong>en</strong> <strong>en</strong> op fora,<br />
waar bericht<strong>en</strong> in HTML‐code geplaatst kunn<strong>en</strong> word<strong>en</strong>. 12<br />
E<strong>en</strong> variant op cross‐site scripting is frame injection. Hierbij wordt e<strong>en</strong> lek in de<br />
Internet Explorer browser gebruikt. De browser controleert niet of het doel van e<strong>en</strong><br />
frame bonafide of malafide is, met als resultaat dat malafide frames gelad<strong>en</strong><br />
kunn<strong>en</strong> word<strong>en</strong> bij het bezoek aan bonafide websites. 13<br />
2.7 Stap 3c Acquire facilities<br />
Om e<strong>en</strong> phishing aanval succesvol te kunn<strong>en</strong> uitvoer<strong>en</strong>, zijn in het geval malware<br />
gebruikt wordt bepaalde faciliteit<strong>en</strong> noodzakelijk om de distributie van de malware<br />
uit te voer<strong>en</strong>.<br />
Packers<br />
Bij de distributie van malware kan onderscheid gemaakt word<strong>en</strong> tuss<strong>en</strong> e<strong>en</strong> ‘push’<br />
<strong>en</strong> e<strong>en</strong> ‘pull’ b<strong>en</strong>adering. E<strong>en</strong> voorbeeld van het eerste is het verstur<strong>en</strong> van e‐mail<br />
met daarin e<strong>en</strong> besmette (malware) bijlage. De nieuwste g<strong>en</strong>eratie virusscanners is<br />
12 www.<strong>en</strong>.wikipedia.org/wiki/Cross‐site_scripting, laatst geraadpleegd 21 december 2009.<br />
13 www.secunia.com/advisories/11966/, laatst geraadpleegd 21 december 2009.<br />
54
niet alle<strong>en</strong> in staat om bek<strong>en</strong>de viruss<strong>en</strong> aan de hand van hun digitale vingerafdruk<br />
te herk<strong>en</strong>n<strong>en</strong>, maar kunn<strong>en</strong> met behulp van zog<strong>en</strong>aamde ‘heuristiek<strong>en</strong>’ ook nieuwe<br />
viruss<strong>en</strong> op basis van geme<strong>en</strong>schappelijke k<strong>en</strong>merk<strong>en</strong> met hun voorgangers als<br />
zodanig id<strong>en</strong>tificer<strong>en</strong>. De gedachte achter e<strong>en</strong> ‘packer’ is nu dat door middel van<br />
compressietechniek<strong>en</strong> de vingerafdruk van de malware zodanig wordt verhaspeld<br />
dat de virusscanners het niet herk<strong>en</strong>n<strong>en</strong>.<br />
Wanneer e<strong>en</strong> pull b<strong>en</strong>adering voor de distributie gebruikt wordt, word<strong>en</strong> stukjes<br />
malafide code toegevoegd aan andere bestand<strong>en</strong> zoals software, films, muziek,<br />
afbeelding<strong>en</strong> <strong>en</strong>zovoort. Zeker in de wereld van illegale bestandsuitwisseling<br />
(torr<strong>en</strong>ts, us<strong>en</strong>et) blijkt e<strong>en</strong> behoorlijk deel van de bestand<strong>en</strong> besmet te zijn. Om de<br />
malware toe te voeg<strong>en</strong> aan e<strong>en</strong> ander bestand <strong>en</strong> het vervolg<strong>en</strong>s in staat te stell<strong>en</strong><br />
om actief te word<strong>en</strong> op het mom<strong>en</strong>t dat gebruik gemaakt wordt van het<br />
onderligg<strong>en</strong>de bestand, is e<strong>en</strong> programma nodig.<br />
“Voor person<strong>en</strong> die nieuwe packers download<strong>en</strong> van onbek<strong>en</strong>de leveranciers, zeker<br />
als die met oplossing<strong>en</strong> kom<strong>en</strong> zonder evid<strong>en</strong>te red<strong>en</strong><strong>en</strong> om hiervoor weg te gaan<br />
bij bestaande packers, kan geld<strong>en</strong> dat zij zich toelegg<strong>en</strong> op de ontwikkeling van<br />
malware.”<br />
Ad space<br />
E<strong>en</strong> verraderlijke vorm van e<strong>en</strong> ‘push’ distributie is de zog<strong>en</strong>aamde ‘drive by<br />
download’. Hierbij wordt bij bezoek aan bepaalde besmette sites ongemerkt<br />
getracht misbruik te mak<strong>en</strong> van bepaalde kwetsbaarhed<strong>en</strong> in het<br />
besturingssysteem <strong>en</strong>/of softwarecompon<strong>en</strong>t<strong>en</strong> (bijvoorbeeld Adobe Acrobat<br />
Reader). De besmetting van deze websites gebeurt, hetzij door de desbetreff<strong>en</strong>de<br />
sites te hack<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s de malafide code aan de site toe te voeg<strong>en</strong>, hetzij<br />
door zog<strong>en</strong>aamde advert<strong>en</strong>tiekanal<strong>en</strong> te manipuler<strong>en</strong>. Zeker bij grote professionele<br />
sites zijn de mogelijkhed<strong>en</strong> om de site te hack<strong>en</strong> beperkt. Daar<strong>en</strong>teg<strong>en</strong> word<strong>en</strong> op<br />
deze grote sites vele advert<strong>en</strong>tiecampagnes vanuit diverse bronn<strong>en</strong> gedraaid<br />
(amazon.com, Google). Door het gebruik van technologie om plaatjes te animer<strong>en</strong><br />
(animated gif) of zelfs hele filmpjes af te spel<strong>en</strong> (flash), wordt ook de mogelijkheid<br />
gebod<strong>en</strong> om ongemerkt de eerder gememoreerde kwetsbaarhed<strong>en</strong> te b<strong>en</strong>utt<strong>en</strong> <strong>en</strong><br />
daarmee de malware te distribuer<strong>en</strong>. E<strong>en</strong> belangrijke faciliteit voor dit type<br />
distributie is daarom het beschikk<strong>en</strong> over e<strong>en</strong> advert<strong>en</strong>tiekanaal waarlangs de<br />
besmette advert<strong>en</strong>ties op onverdachte sites verspreid kunn<strong>en</strong> word<strong>en</strong>. Het gaat<br />
hierbij meestal om het manipuler<strong>en</strong> van de databases waarin de advert<strong>en</strong>ties die<br />
getoond moet<strong>en</strong> word<strong>en</strong>, opgeslag<strong>en</strong> zijn. Juist grote sites die veel bezoekers<br />
trekk<strong>en</strong> zijn aantrekkelijk om als voertuig te di<strong>en</strong><strong>en</strong> voor de verspreiding van<br />
55
malware.<br />
E<strong>en</strong> veel gebruikte b<strong>en</strong>adering om onderdeel te vorm<strong>en</strong> van e<strong>en</strong><br />
advert<strong>en</strong>ti<strong>en</strong>etwerk is het op basis van e<strong>en</strong> valse id<strong>en</strong>titeit aanmeld<strong>en</strong> van e<strong>en</strong><br />
advert<strong>en</strong>tiekanaal aan e<strong>en</strong> bestaand netwerk. Na e<strong>en</strong> ‘normale’ opstartfase,<br />
word<strong>en</strong> via dit kanaal vervolg<strong>en</strong>s vergiftigde advert<strong>en</strong>ties het netwerk in gestuurd.<br />
“E<strong>en</strong> indicatie voor e<strong>en</strong> mogelijk malafide kanaal kan e<strong>en</strong> combinatie zijn van ge<strong>en</strong><br />
of beperkte bedrijfshistorie van de adverteerder, niet of moeilijk na te trekk<strong>en</strong><br />
vestigingslocatie <strong>en</strong>/of verteg<strong>en</strong>woordig<strong>en</strong>de person<strong>en</strong>, <strong>en</strong> ge<strong>en</strong> verifieerbare<br />
klant<strong>en</strong>.”<br />
DIY kit<br />
Uit het dossieronderzoek komt e<strong>en</strong> Russische phishinggroep naar vor<strong>en</strong> die zelf op<br />
het <strong>internet</strong> na ging welke grote financiële instelling<strong>en</strong> in <strong>en</strong>ig land actief zijn, om<br />
zich vervolg<strong>en</strong>s voor te do<strong>en</strong> als die instelling. Met de introductie van zog<strong>en</strong>aamde<br />
Do‐it‐yourself (DIY) kits is de keuze van financiële instelling<strong>en</strong> zelfs al<br />
voorgestructureerd. In 2004 dok<strong>en</strong> deze doe‐het‐zelf pakkett<strong>en</strong> (bestaande uit één<br />
PHP‐file) voor het eerst op <strong>en</strong> inmiddels zijn ze zo geëvolueerd dat de keuze voor<br />
financiële instelling<strong>en</strong> <strong>en</strong> de spoof website als output, compleet is<br />
voorgestructureerd inclusief code, b<strong>en</strong>odigde plaatjes <strong>en</strong> tekst om e‐mail‐ <strong>en</strong><br />
websitecombinaties op te zett<strong>en</strong>. Simpel ‘Plug‐and‐Play’ zoals dat heet. Zelfs de<br />
b<strong>en</strong>odigde spam software om het gemaakte bericht grootschalig te verstur<strong>en</strong><br />
wordt meegeleverd. Deze kits hebb<strong>en</strong> voor de bestrijding ook e<strong>en</strong> aantal<br />
voordel<strong>en</strong>. Aan de hand van de geg<strong>en</strong>ereerde code is te zi<strong>en</strong> welke kit wordt<br />
gebruikt. Met behulp van de vaste k<strong>en</strong>merk<strong>en</strong> van e<strong>en</strong> kit kan gemakkelijker op het<br />
<strong>internet</strong> word<strong>en</strong> gezocht naar de bronn<strong>en</strong>. Nu de kits inmiddels gratis op het net<br />
verkrijgbaar zijn is het sterk de vraag in hoeverre de niets vermoed<strong>en</strong>de phisher die<br />
e<strong>en</strong> dergelijk kit downloadt niet zelf het slachtoffer is van oplichting door de<br />
kitsam<strong>en</strong>stellers. Die kunn<strong>en</strong> e<strong>en</strong>voudig de geoogste gegev<strong>en</strong>s omleid<strong>en</strong> naar e<strong>en</strong><br />
eig<strong>en</strong> server <strong>en</strong> bijvoorbeeld deels of met e<strong>en</strong> vertraging doorstur<strong>en</strong> naar de<br />
phisher. Op deze manier help<strong>en</strong> de phishers de man achter de scherm<strong>en</strong> van de kit<br />
aan e<strong>en</strong> nog grotere opbr<strong>en</strong>gst.<br />
“Het download<strong>en</strong> van phishing DIY‐kits is e<strong>en</strong> rechtstreekse indicatie voor<br />
betrokk<strong>en</strong>heid bij (aanstaande) phishing van de downloader. Het wijst bov<strong>en</strong>di<strong>en</strong> op<br />
e<strong>en</strong> amateur die k<strong>en</strong>nelijk niet over resources beschikt voor ‘phishing op maat’ <strong>en</strong><br />
daarom zijn toevlucht zoekt tot standaardpakkett<strong>en</strong>.”<br />
56
2.8 Stap 4 Acquire domain<br />
Zowel in het klassieke als het sophisticated phishingproces kan het voor de phisher<br />
noodzakelijk zijn om over domeinnam<strong>en</strong> te beschikk<strong>en</strong> bijvoorbeeld om door te<br />
leid<strong>en</strong> naar e<strong>en</strong> spoof website of e<strong>en</strong> recruitm<strong>en</strong>t site. Het verkrijg<strong>en</strong> van e<strong>en</strong><br />
domeinnaam is nogal rechtdoorzee. Via gratis websites voor domeinregistratie<br />
kunn<strong>en</strong> phishers e<strong>en</strong>voudig aan e<strong>en</strong> domeinnaam kom<strong>en</strong>. Uiteraard kunn<strong>en</strong><br />
phishers ook e<strong>en</strong> domeinnaam kop<strong>en</strong> via e<strong>en</strong> Internet Service Provider (ISP). Dit<br />
heeft als nadeel dat het geld kost, maar als voordeel dat e<strong>en</strong> ISP minder moeite<br />
heeft met het verwijder<strong>en</strong> van e<strong>en</strong> gratis domein, waar ze niemand mee voor het<br />
hoofd stoot, dan met het verwijder<strong>en</strong> van webcont<strong>en</strong>t van e<strong>en</strong> betal<strong>en</strong>de klant.<br />
Klassieke phishers blijk<strong>en</strong> vooral te zoek<strong>en</strong> naar domeinnam<strong>en</strong> die gerelateerd zijn<br />
aan de naam van de instelling die ze will<strong>en</strong> gebruik<strong>en</strong> of die e<strong>en</strong> bepaalde mate van<br />
vertrouw<strong>en</strong> uitstral<strong>en</strong>. Dit resulteert bij gratis domein<strong>en</strong> in e<strong>en</strong> URL zoals:<br />
www.instelling.gratisdomein.com/login. De naam van de instelling wordt in de URL<br />
gebruikt, om slachtoffers te misleid<strong>en</strong>. Bij e<strong>en</strong> gekochte domeinnaam zal de URL<br />
lijk<strong>en</strong> op de officiële URL van de instelling. Simpele verbastering<strong>en</strong> als<br />
www.instelling‐europe.com of www.instelling.extrasafe.com zijn hier voorbeeld<strong>en</strong><br />
van. Als de phisher niet e<strong>en</strong> domein heeft kunn<strong>en</strong> bemachtig<strong>en</strong> dat op zichzelf<br />
overtuig<strong>en</strong>d g<strong>en</strong>oeg is, werkt e<strong>en</strong> URL als<br />
www.domein.nl/secure/~user/www.instelling.com/login ook goed.<br />
“Het in de Whois database aantreff<strong>en</strong> van look‐a‐likes van de nam<strong>en</strong> van financiële<br />
instelling<strong>en</strong>, met kleine variaties <strong>en</strong> waarvan de variaties door ander<strong>en</strong> dan de<br />
formele instelling zijn geregistreerd, duidt op (voorg<strong>en</strong>om<strong>en</strong>) phishing. Van e<strong>en</strong><br />
to<strong>en</strong>em<strong>en</strong>d vermoed<strong>en</strong> is sprake als het registrer<strong>en</strong>d IP‐adres niet blijkt te klopp<strong>en</strong>.”<br />
“Het in de Whois aantreff<strong>en</strong> van nam<strong>en</strong> met geruststell<strong>en</strong>de elem<strong>en</strong>t<strong>en</strong> als<br />
bijvoorbeeld ‘security’, ‘paym<strong>en</strong>t’ of ‘safe’ <strong>en</strong> waarvan het registrer<strong>en</strong>d IP‐adres niet<br />
blijkt te klopp<strong>en</strong>, duidt op e<strong>en</strong> relatie naar phishing.”<br />
Op zichzelf blijkt de suffix (uitgang achter de punt) van de geregistreerde<br />
domeinnaam e<strong>en</strong> maat voor de obscuriteit van de (toekomstige) cont<strong>en</strong>t. Die<br />
uitgang van de URL is e<strong>en</strong> aanwijzing voor de webpagina’s die onder die URL kom<strong>en</strong><br />
te hang<strong>en</strong>. Adress<strong>en</strong> uit Hongkong (.hk), China (.cn), Brazilië (.br), Rusland (.ru) <strong>en</strong><br />
kleine eiland<strong>en</strong>groep<strong>en</strong> zonder strikte regels of toezicht, mak<strong>en</strong> e<strong>en</strong> hogere kans<br />
om illegale cont<strong>en</strong>t onder zich te krijg<strong>en</strong> of te hebb<strong>en</strong>.<br />
“Wanneer in e<strong>en</strong> URL cyrillisch schrift voorkomt, is dat e<strong>en</strong> aanwijzing voor<br />
57
onoirbare bedoeling<strong>en</strong>. Het maakt het mogelijk om domeinnam<strong>en</strong> die eig<strong>en</strong>lijk<br />
verschill<strong>en</strong>, zo goed als id<strong>en</strong>tiek te mak<strong>en</strong>.”<br />
Ondertuss<strong>en</strong> zi<strong>en</strong> we nieuwe vorm<strong>en</strong> van het gebruik van domein<strong>en</strong> zoals domain<br />
kiting. Domeinnam<strong>en</strong> word<strong>en</strong> in dat geval slechts korte tijd gebruikt (lev<strong>en</strong>sduur<br />
van 5 dag<strong>en</strong> bijvoorbeeld), beschikbaar gesteld voor spammers/phishers <strong>en</strong> dan<br />
weer opgehev<strong>en</strong> vlak voordat er voor het domein moet zijn betaald. Detectie van<br />
dit soort gedrag wordt bemoeilijkt door het aantal registraties <strong>en</strong> de beperkte<br />
toegankelijkheid tot verschill<strong>en</strong>de Whois registraties. In pot<strong>en</strong>tie is ze als bron<br />
echter kansrijk om phishing in e<strong>en</strong> aantal opzicht<strong>en</strong> te detecter<strong>en</strong>.<br />
“Domeinnam<strong>en</strong> die alle<strong>en</strong> gedur<strong>en</strong>de e<strong>en</strong> korte periode na registratie traffic lat<strong>en</strong><br />
zi<strong>en</strong> <strong>en</strong> niet word<strong>en</strong> betaald kunn<strong>en</strong> wijz<strong>en</strong> op phishing dan wel andere<br />
onrechtmatige activiteit<strong>en</strong>. Mogelijk (maar niet waarschijnlijk) dat het<br />
registrer<strong>en</strong>de IP‐adres e<strong>en</strong> aanwijzing oplevert door wie <strong>en</strong> van waaruit de<br />
registratie is aangevraagd.”<br />
“Domeinnam<strong>en</strong> word<strong>en</strong> vaak automatisch geregistreerd. Het patroon in<br />
geregistreerde domeinnam<strong>en</strong> die het gedrag verton<strong>en</strong> uit de vorige hypothese, kan<br />
e<strong>en</strong> voorspelling inhoud<strong>en</strong> van toekomstig gebruik <strong>en</strong> daarmee tot vroegtijdige<br />
interv<strong>en</strong>tie als bijvoorbeeld blacklisting.”<br />
Dossier GR<br />
Porno <strong>en</strong>trepr<strong>en</strong>eur als spammer<br />
De initiator in het dossier GR is e<strong>en</strong> spammer die oorspronkelijk afkomstig is uit de<br />
pornowereld <strong>en</strong> vijf jaar aanwezig op het <strong>internet</strong> als adultwebmaster. Hij is<br />
verantwoordelijk voor meer dan 100 miljo<strong>en</strong> e-mails <strong>en</strong> had 50 domeinnam<strong>en</strong> op<br />
dezelfde WHOIS geregistreerd. Alle werd<strong>en</strong> bullet-proof gehost bij simply-rx.com<br />
(e<strong>en</strong> van de meest bullet-proof sites). Hij viel door de mand to<strong>en</strong> hij op e<strong>en</strong> slechte<br />
dag e<strong>en</strong> fout maakte in de registratie van e<strong>en</strong> domeinnaam voor spamvertising. Hij<br />
gebruikte overig<strong>en</strong>s zijn eig<strong>en</strong> voornaam als nickname.<br />
Bron: Opta dossier<br />
In het geval van domain hijacking wordt e<strong>en</strong> domein gekaapt of gestol<strong>en</strong>, door de<br />
registratie zonder toestemming van de houder over te schrijv<strong>en</strong> op naam van e<strong>en</strong><br />
andere (vaak niet bestaande) partij. Daarvoor maakt m<strong>en</strong> misbruik van<br />
kwetsbaarhed<strong>en</strong> in het domeinnaamregistratiesysteem. De Stichting<br />
Domeinnaamregistratie Nederland gaf in 2006 aan dat in het jaar daarvoor van de<br />
125.000 domeinverhuizing<strong>en</strong> er 800 war<strong>en</strong> teruggedraaid. De precieze red<strong>en</strong> werd<br />
58
niet vermeld, maar domeinkaping lijkt e<strong>en</strong> rol te hebb<strong>en</strong> gespeeld (de Winter,<br />
2006). Het aantal lijkt niet veel maar zegt niets over de mogelijke schade die tijd<strong>en</strong>s<br />
de kaping van bijvoorbeeld slechts één site is veroorzaakt. Domeinkaping is ge<strong>en</strong><br />
werk van amateurs; als het voor‐ komt, levert dat e<strong>en</strong> verd<strong>en</strong>king op van<br />
professioneel optred<strong>en</strong>de phishers.<br />
“Het aantal domeinnam<strong>en</strong> op e<strong>en</strong>zelfde registrati<strong>en</strong>aam is e<strong>en</strong> indicator voor<br />
oneig<strong>en</strong>lijk gebruik.”<br />
Omdat de geloofwaardigheid van nieuwe accounts niet gewaarborgd is <strong>en</strong><br />
providers sneller bereid zijn deze te verwijder<strong>en</strong> als er verd<strong>en</strong>king<strong>en</strong> teg<strong>en</strong> het<br />
domein bestaan, zoek<strong>en</strong> cybercriminel<strong>en</strong> bestaande domein<strong>en</strong> die lang bestaan.<br />
Andere indicaties voor het bepal<strong>en</strong> van risicodomein<strong>en</strong> zijn bijvoorbeeld (Armin &<br />
B.Turakhia, 2008):<br />
domein<strong>en</strong> geregistreerd met dezelfde contactinformatie (naam‐ <strong>en</strong><br />
adrespatron<strong>en</strong>);<br />
bulk registratie door verdachte gebruikers van domeinnam<strong>en</strong> met hele kleine<br />
variaties, zoals 018xyz.com, 018xyza.com, 018xyzb.com, 018xyzc.com;<br />
het gebruik van steeds dezelfde name servers van e<strong>en</strong> zwarte lijst;<br />
registraties door hetzelfde gebruikersaccount dat al geassocieerd wordt met<br />
misbruik.<br />
2.9 Stap 5 Acquire site hosting<br />
Na de registratie van e<strong>en</strong> of meerdere domeinnam<strong>en</strong>, moet<strong>en</strong> de spoof website<br />
van de phisher <strong>en</strong> zijn recruitm<strong>en</strong>t site, wel erg<strong>en</strong>s in het web op e<strong>en</strong> server<br />
kunn<strong>en</strong> draai<strong>en</strong>. Hiervoor heeft de phisher weer meerdere mogelijkhed<strong>en</strong>, met<br />
vanuit di<strong>en</strong>s oogpunt elk hun specifieke voor‐ <strong>en</strong> nadel<strong>en</strong>, die ook elk weer andere<br />
aanknopingspunt<strong>en</strong> bied<strong>en</strong> voor de bestrijding.<br />
Regular hosting<br />
E<strong>en</strong> phisher kan er voor kiez<strong>en</strong> om e<strong>en</strong> semilegale weg te bewandel<strong>en</strong>. In dat geval<br />
koopt de phisher ruimte op e<strong>en</strong> server van e<strong>en</strong> ISP. Het liefst doet hij dat zonder<br />
zijn eig<strong>en</strong> naam <strong>en</strong> andere gegev<strong>en</strong>s prijs te gev<strong>en</strong>. Hiervoor kan hij valse<br />
creditcardgegev<strong>en</strong>s gebruik<strong>en</strong>, die op underground fora gewoon te koop zijn. De<br />
koopovere<strong>en</strong>komst heeft als voordeel dat e<strong>en</strong> ISP zeker zal will<strong>en</strong> wet<strong>en</strong> dat e<strong>en</strong><br />
website e<strong>en</strong> spoof website is, voordat de ISP gegev<strong>en</strong>s van e<strong>en</strong> betal<strong>en</strong>de klant op<br />
59
verzoek verwijdert. Het geeft e<strong>en</strong> zekere robuustheid aan de spoof site van de<br />
phisher waardoor deze langer in de lucht kan blijv<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> garandeert het<br />
host<strong>en</strong> bij e<strong>en</strong> ISP g<strong>en</strong>oeg bandbreedte om het verkeer naar de spoof website te<br />
verzeker<strong>en</strong>.<br />
Regular spam-hoster<br />
iMedia Networks (Ver<strong>en</strong>igde Stat<strong>en</strong>)<br />
“iMedia Networks is e<strong>en</strong> bek<strong>en</strong>de spam-hoster die andere grote spammers helpt,<br />
zoals Damon DeCresc<strong>en</strong>zo (Docdrugs), Quang Dantran (Whoa Medical), Andrew<br />
Am<strong>en</strong>d, James Creamer (Market Traction Inc) <strong>en</strong> Partners-in-Spam, zoals Tr<strong>en</strong>t<br />
Durnham, Alan Ralsky <strong>en</strong> ander<strong>en</strong>. Ze verkop<strong>en</strong> ‘spammer hosting’ voor hoge<br />
bedrag<strong>en</strong> terwijl ze de netwerkbeheerders bezighoud<strong>en</strong> door te zegg<strong>en</strong> dat ze de<br />
spammer verwijderd hebb<strong>en</strong>, terwijl ze de spammer in werkelijkheid e<strong>en</strong> nieuw IPadres<br />
gev<strong>en</strong>.”<br />
Bron: www.security.nl/artikel/14269/1/Meet_the_spammers.html<br />
Professionele phishers nem<strong>en</strong> ge<strong>en</strong> g<strong>en</strong>oeg<strong>en</strong> met andermans serverruimte. Zij<br />
zett<strong>en</strong> zelf webservers op. Dit heeft veel voordel<strong>en</strong>, vooral om de spoof websites<br />
lang in de lucht te houd<strong>en</strong>. Door de website op meerdere eig<strong>en</strong> servers tegelijk te<br />
zett<strong>en</strong>, garander<strong>en</strong> de phishers bandbreedte, zodat de spoof site bereikbaar blijft.<br />
In principe is de spoof website via het IP‐adres van de server waarop de spoof<br />
website staat relatief e<strong>en</strong>voudig te vind<strong>en</strong>. Met e<strong>en</strong> truc prober<strong>en</strong> phishers<br />
opsporing te bemoeilijk<strong>en</strong>. Daarvoor zett<strong>en</strong> ze zog<strong>en</strong>aamde ‘flux’ netwerk<strong>en</strong> op. In<br />
e<strong>en</strong> normaal netwerk zoekt e<strong>en</strong> computer e<strong>en</strong> website <strong>en</strong> vindt die op e<strong>en</strong> server<br />
met e<strong>en</strong> zeker IP‐adres (te vergelijk<strong>en</strong> met e<strong>en</strong> telefoonnummer). Wil e<strong>en</strong><br />
gebruiker website X bezoek<strong>en</strong>, dan ‘belt’ de computer van de gebruiker met het IPadres<br />
van die website <strong>en</strong> ontvangt van de server waarop die website staat de<br />
inhoud terug. Bij e<strong>en</strong> single flux netwerk zorgt de phisher ervoor dat het IP‐adres<br />
(het telefoonnummer) steeds verandert. Deze verandering kan iedere paar minut<strong>en</strong><br />
of meerdere ker<strong>en</strong> per minuut plaatsvind<strong>en</strong> 14 . Opsporing <strong>en</strong> lokalisatie word<strong>en</strong> op<br />
die manier bemoeilijkt. Het doel is om de spoof website zo lang mogelijk in de lucht<br />
te houd<strong>en</strong> zonder gevaar van ontdekking. Hoe langer de aanval duurt, des te meer<br />
die oplevert.<br />
14 Het wissel<strong>en</strong> van adres vindt niet fysiek plaats, maar wordt mogelijk gemaakt door toepassing van<br />
botnets. Het slachtoffer dat naar de spoof website gelokt is, legt niet direct contact met de webserver<br />
maar met e<strong>en</strong> geïnfecteerde computer erg<strong>en</strong>s op de wereld. Die computer staat op zijn beurt weer in<br />
contact met de webserver van de phishers.<br />
60
De single flux truc k<strong>en</strong>t e<strong>en</strong> beperking omdat de phisher maar over e<strong>en</strong> beperkt<br />
aantal IP‐adress<strong>en</strong> kan beschikk<strong>en</strong>. Wordt er vaak g<strong>en</strong>oeg naar e<strong>en</strong> van de<br />
nummers gekek<strong>en</strong>, dan komt op <strong>en</strong>ig mom<strong>en</strong>t hetzelfde nummer weer terug.<br />
Daarmee is te achterhal<strong>en</strong> in welke IP‐range de spoof website is geplaatst. E<strong>en</strong><br />
rigoureuze bestrijdingmethode is om al het <strong>internet</strong>verkeer in deze range te<br />
blokker<strong>en</strong> <strong>en</strong> zo de phisher <strong>en</strong> zijn aanval te neutraliser<strong>en</strong>. Maar onvermijdelijk<br />
maakt dat ook onschuldige slachtoffers <strong>en</strong> daar houd<strong>en</strong> ISP’s niet van.<br />
Bij fast‐flux d<strong>en</strong>kt de computer te communicer<strong>en</strong> met e<strong>en</strong> server, maar in<br />
werkelijkheid is het e<strong>en</strong> bot. Achter het botnet zit e<strong>en</strong> server die de cont<strong>en</strong>t levert<br />
aan de bot die dit weer doorgeeft aan de computer. Als e<strong>en</strong> phisher zich hiervan<br />
bedi<strong>en</strong>t dan wisselt niet alle<strong>en</strong> het telefoonnummer zoals in het geval van single<br />
flux, maar ook de plaats waar het telefoonnummer staat. Wordt J. Pietersz<strong>en</strong><br />
opgezocht dan heeft hij niet alle<strong>en</strong> steeds e<strong>en</strong> nieuw telefoonnummer, maar woont<br />
hij de <strong>en</strong>e keer in Amsterdam, dan in Utrecht, etc. Het lokaliser<strong>en</strong> van Pietersz<strong>en</strong><br />
wordt dan vrijwel onmogelijk, net als in de analogie de spoof website. Ook hier<br />
geldt dat wegnem<strong>en</strong> van de bot voor gebruikers lastig is, maar voor de phisher<br />
nauwelijks gevolg<strong>en</strong> heeft. Leeftijd <strong>en</strong> geschied<strong>en</strong>is van e<strong>en</strong> domein zijn belangrijke<br />
factor<strong>en</strong> in het bepal<strong>en</strong> van het risico op fast‐flux aanvall<strong>en</strong> (Internet Corporation<br />
for Assigned Names and Numbers (ICANN), 2009, p. 9).<br />
Bulletproof hosting<br />
Bulletproof hosting is globaal om twee red<strong>en</strong><strong>en</strong> interessant voor e<strong>en</strong> phisher. In de<br />
eerste plaats omdat deg<strong>en</strong>e die deze di<strong>en</strong>stverl<strong>en</strong>ing aanbiedt zich niet druk maakt<br />
over wat de gebruiker (in casu de phisher) precies met de gehoste server doet <strong>en</strong> in<br />
de tweede plaats omdat de aanbieder van de di<strong>en</strong>stverl<strong>en</strong>ing de id<strong>en</strong>titeit van de<br />
host heeft afgeschermd. Voor spammers <strong>en</strong> phishers natuurlijk e<strong>en</strong> ideale vorm<br />
voor afscherming van id<strong>en</strong>titeit<strong>en</strong> <strong>en</strong> locaties waar hun servers draai<strong>en</strong>.<br />
Botnetcontrollers word<strong>en</strong> bijvoorbeeld ook bulletproof gehost.<br />
Opsporingsonderzoek<strong>en</strong> lop<strong>en</strong> stuk op deze vorm van hosting. Overig<strong>en</strong>s is niet<br />
iedere vorm van bulletproof hosting voor de phisher geschikt. In tal van land<strong>en</strong><br />
waar de regelgeving niet zo strikt is, kan deze vorm van hosting word<strong>en</strong> verkreg<strong>en</strong>.<br />
Met als mogelijke consequ<strong>en</strong>tie dat de <strong>internet</strong>verbinding niet al te zeker is<br />
waardoor die vaak down gaat <strong>en</strong> de phisher inkomst<strong>en</strong> misloopt. De phisher zal<br />
daarom op zoek zijn naar bulletproof webhosting met e<strong>en</strong> hoge ‘uptime’ <strong>en</strong> e<strong>en</strong><br />
grote bandbreedte. Deze servers draai<strong>en</strong> zonder storing<strong>en</strong>, zijn erg stabiel <strong>en</strong><br />
k<strong>en</strong>n<strong>en</strong> weinig uitval. Dat garandeert dat bezoekers de site altijd kunn<strong>en</strong> bereik<strong>en</strong>.<br />
Nederland is daarvan e<strong>en</strong> voorbeeld, maar heeft als nadeel dat de id<strong>en</strong>titeit lastig<br />
61
verborg<strong>en</strong> blijft. Land<strong>en</strong> als Brazilië, Rusland, Singapore, Hongkong <strong>en</strong> China<br />
voldo<strong>en</strong> wel aan de w<strong>en</strong>s<strong>en</strong> van de phisher of van deg<strong>en</strong>e van wie de phisher de<br />
bulletproof hosting huurt.<br />
Bulletproof hosting<br />
Spammer Ivo Ottavio Reali Camargo (Brazilië)<br />
“Ivo is e<strong>en</strong> spammer <strong>en</strong> ‘off shore’ partner voor veel andere spammers, waaronder<br />
spamkoning Alan Ralsky <strong>en</strong> Michael Lindsay. Ivo levert hosting, domeinnam<strong>en</strong> <strong>en</strong><br />
spam services uit Brazilië vanwege de lokaal tolereante wetgeving. Hij gebruikt<br />
bepaalde techniek<strong>en</strong> om de domein<strong>en</strong> van zijn klant<strong>en</strong> in zijn eig<strong>en</strong> regio te host<strong>en</strong>.<br />
Hij gebruikt daarvoor ook gehackte servers. Als spammer doet hij in hypothek<strong>en</strong>,<br />
medicijn<strong>en</strong>, <strong>en</strong> aandel<strong>en</strong>scams.”<br />
Bron: www.security.nl/artikel/14269/1/Meet_the_spammers.html<br />
“Land<strong>en</strong> met zowel e<strong>en</strong> hoge bandbreedte als e<strong>en</strong> regime dat niet bereid is op<br />
aanwijzing sites te lat<strong>en</strong> verwijder<strong>en</strong> (hosting paradises), zijn aantrekkelijk voor<br />
cybercriminel<strong>en</strong>.”<br />
“Heeft iemand zich voorzi<strong>en</strong> van bulletproof hosting, dan is dat e<strong>en</strong> redelijke<br />
indicatie dat er iets niet deugt. Bijbehor<strong>en</strong>de ranges IP‐adress<strong>en</strong> in combinatie met<br />
rare URL’s versterk<strong>en</strong> deze verd<strong>en</strong>king.”<br />
Het is mogelijk om blacklists te mak<strong>en</strong> van bulletproof hosters op basis van IPranges.<br />
Onderhoud van die blacklist is dan uiteraard van belang.<br />
Creditcard hosting<br />
Creditcard hosting is e<strong>en</strong> e<strong>en</strong>voudige <strong>en</strong> snelle manier van hosting. Grote ISP’s in<br />
Amerika bied<strong>en</strong> deze di<strong>en</strong>st volstrekt regulier (legaal) aan. Alles wat e<strong>en</strong> spammer<br />
of phisher nodig heeft is e<strong>en</strong> (vals) creditcard account <strong>en</strong> e<strong>en</strong> website. Hij vraagt<br />
het domein aan, betaalt <strong>en</strong> de site kan word<strong>en</strong> gehost.<br />
“Juist omdat de cybercriminel<strong>en</strong> zich in e<strong>en</strong> voorbereid<strong>en</strong>de fase nog vrij onbespied<br />
wan<strong>en</strong>, hun activiteit<strong>en</strong> zijn immers nog niet operationeel, bestaat de kans dat e<strong>en</strong><br />
niet al te slimme boef vanuit zijn eig<strong>en</strong> omgeving van e<strong>en</strong> di<strong>en</strong>st als creditcard<br />
hosting gebruik maakt. Dan is er alsnog e<strong>en</strong> spoor dat naar hem verwijst.”<br />
Het gebruik van gestol<strong>en</strong> creditcardgegev<strong>en</strong>s kan ook naar de dader verwijz<strong>en</strong>. Na<br />
geblek<strong>en</strong> diefstal word<strong>en</strong> creditcards geblokkeerd, zodat de cybercrimineel die van<br />
62
deze gegev<strong>en</strong>s gebruik wil mak<strong>en</strong> soms meerdere nummers moet check<strong>en</strong> om uit<br />
te kom<strong>en</strong> bij geldige gegev<strong>en</strong>s.<br />
“Meer dan één betaalpoging met verschill<strong>en</strong>de creditcards achter elkaar vanaf<br />
e<strong>en</strong>zelfde computer levert bij de instelling die het betalingsverkeer verwerkt e<strong>en</strong><br />
opvall<strong>en</strong>d inlogpatroon op van iemand die vanaf hetzelfde IP‐adres e<strong>en</strong> lijst met<br />
gestol<strong>en</strong> creditcards lijkt af te lop<strong>en</strong> op zoek naar e<strong>en</strong> werk<strong>en</strong>de.”<br />
“Via e<strong>en</strong> bepaald type betaling<strong>en</strong> aan e<strong>en</strong> creditcard hoster kan mogelijk afgeleid<br />
word<strong>en</strong> welke hosters grotere kans hebb<strong>en</strong> spoofing websites te host<strong>en</strong>.”<br />
Server hacking<br />
In e<strong>en</strong> aantal stapp<strong>en</strong> van het phishingproces moet de phisher zich toegang<br />
verschaff<strong>en</strong> tot diverse andere computersystem<strong>en</strong> waar hij normaal gesprok<strong>en</strong><br />
ge<strong>en</strong> toegang toe heeft. Om toch bij de informatie te kunn<strong>en</strong> die hij wil of zijn eig<strong>en</strong><br />
informatie te stall<strong>en</strong> waar hij wil, zal hij in die system<strong>en</strong> moet<strong>en</strong> inbrek<strong>en</strong>. De kunst<br />
van het hack<strong>en</strong> is om in steeds minder stapp<strong>en</strong> toegang te verkrijg<strong>en</strong>, zodat de kans<br />
op detectie kleiner wordt.<br />
E<strong>en</strong> phisher kan prober<strong>en</strong> e<strong>en</strong> kwetsbare server te vind<strong>en</strong> via het World Wide Web.<br />
Er zijn ook facilitators (scouts) die zich hebb<strong>en</strong> toegelegd op het ontdekk<strong>en</strong> van<br />
servers met verouderde operating systems (OS) die niet de nodige updates hebb<strong>en</strong><br />
gehad of servers met OS’<strong>en</strong> waarin nieuwe lekk<strong>en</strong> zijn ontdekt <strong>en</strong> die nog niet door<br />
de fabrikant<strong>en</strong> verholp<strong>en</strong> zijn. Voor het vind<strong>en</strong> van dit soort servers zijn ook weer<br />
doe‐het‐zelf programma’s beschikbaar. Voor het inbrek<strong>en</strong> in kwetsbare computers<br />
zijn op het <strong>internet</strong> handleiding<strong>en</strong> voorhand<strong>en</strong>. Het nadeel van deze methode is<br />
haar tijdrov<strong>en</strong>d karakter <strong>en</strong> de hoge risico’s die het met zich meebr<strong>en</strong>gt. De<br />
methode is simpel. Breek in op e<strong>en</strong> domein (www.meccanodoos.nl) <strong>en</strong> plaats de<br />
spoofing site op www.meccanodoos.nl/a/b/c/d/1973/index.html. Wanneer e<strong>en</strong><br />
phisher de gehackte server binn<strong>en</strong> is, moet hij het lek op<strong>en</strong>lat<strong>en</strong> om zelf e<strong>en</strong><br />
volg<strong>en</strong>de keer weer binn<strong>en</strong> te kunn<strong>en</strong> kom<strong>en</strong>.<br />
“In theorie kunn<strong>en</strong> ook bestrijders op zoek gaan naar kwetsbare servers <strong>en</strong> de deur<br />
lat<strong>en</strong> sluit<strong>en</strong> of e<strong>en</strong> ev<strong>en</strong>tuele phisher opwacht<strong>en</strong>.”<br />
De phisher hoeft de gehackte host niet per se te gebruik<strong>en</strong> voor het host<strong>en</strong> van zijn<br />
spoof of recruitm<strong>en</strong>t site, maar kan hem ook onderdeel mak<strong>en</strong> van zijn botnet. In<br />
dat geval dicht hij het lek in het OS wel, waardoor deze server in e<strong>en</strong> zoekactie naar<br />
kwetsbare servers niet bov<strong>en</strong> zal kom<strong>en</strong>.<br />
63
De phisher hoeft het hack<strong>en</strong> niet zelf te do<strong>en</strong>, maar kan ook de toegang tot e<strong>en</strong><br />
gehackte server kop<strong>en</strong> of hur<strong>en</strong>. In feite gebeurt dat ook als onderdeel van de DIYphishingkits.<br />
2.10 Stap 6 Upload web cont<strong>en</strong>t<br />
Voordat het slachtoffer zijn gegev<strong>en</strong>s in kan vull<strong>en</strong> op e<strong>en</strong> spoof site moet die site<br />
word<strong>en</strong> gelanceerd. Hetzelfde geldt voor bijvoorbeeld mules die zich meld<strong>en</strong> bij<br />
e<strong>en</strong> recruitm<strong>en</strong>t site. Pas dan kan iedere<strong>en</strong> met de juiste URL deze sites bezoek<strong>en</strong>.<br />
Opmerkelijk is dat voordat de spambericht<strong>en</strong> verzond<strong>en</strong> zijn, er nog ge<strong>en</strong> <strong>en</strong>kel<br />
verkeer van <strong>en</strong> naar de spoof site zal zijn. Niemand is op dat mom<strong>en</strong>t nog op de<br />
hoogte van de plaats waar de site staat <strong>en</strong> zal er uit zichzelf naar toe surf<strong>en</strong>, t<strong>en</strong>zij<br />
e<strong>en</strong> gebruiker e<strong>en</strong> URL fout intypt die toevallig exact overe<strong>en</strong>komt met de phishing<br />
URL. Op dit soort typefout<strong>en</strong> is overig<strong>en</strong>s door e<strong>en</strong> aantal houders van<br />
domeinnam<strong>en</strong> slim ingespeeld om op die manier m<strong>en</strong>s<strong>en</strong> op hun site uit te lat<strong>en</strong><br />
kom<strong>en</strong>.<br />
E<strong>en</strong> ervar<strong>en</strong> phisher zal zijn phishingsite anoniem of onder de naam van e<strong>en</strong> ander<br />
will<strong>en</strong> upload<strong>en</strong>. Bij gebruik van de DIY‐kit heeft e<strong>en</strong> phisher hierover overig<strong>en</strong>s<br />
maar beperkt controle. Net als de betaling met e<strong>en</strong> gestol<strong>en</strong> creditcard, zal e<strong>en</strong><br />
dergelijke phisher niet van zijn ‘normale’ <strong>internet</strong> verbinding gebruik will<strong>en</strong> mak<strong>en</strong>.<br />
Uploads gebeur<strong>en</strong> via <strong>internet</strong>cafés, gekraakte draadloze netwerk<strong>en</strong>, gratis WiFi,<br />
e<strong>en</strong> ket<strong>en</strong> van gekraakte computers, etc.<br />
Uit oogpunt van detectie is vooral de testfase van de spoofsite van belang. Alvor<strong>en</strong>s<br />
volledig online te gaan zal de phisher zijn site will<strong>en</strong> uitprober<strong>en</strong>. Juist deze<br />
testomgeving waar de sites tijdelijk staan, bevindt zich vermoedelijk dicht bij de<br />
phisher zelf. Op dat mom<strong>en</strong>t is hij kwetsbaar zonder het zich te realiser<strong>en</strong>. Detectie<br />
van de testomgeving kan leid<strong>en</strong> naar de phisher zelf.<br />
“Spoof sites kunn<strong>en</strong> binn<strong>en</strong> bepaalde IP‐ranges gedetecteerd word<strong>en</strong> op basis van<br />
e<strong>en</strong> bepaald profiel bestaande uit woord<strong>en</strong> <strong>en</strong> kleur<strong>en</strong>, die specifiek zijn voor<br />
spoofing websites. Dat kan aanwijzing<strong>en</strong> gev<strong>en</strong> voor de ‘echte’ bov<strong>en</strong>ligg<strong>en</strong>de URL<br />
die direct gelieerd is aan de phisher <strong>en</strong> in dat voorbereid<strong>en</strong>d stadium nog niet aan<br />
de phishing URL.”<br />
64
2.11 Stap 7a Acquire mail delivery<br />
De volg<strong>en</strong>de stap in de phishing aanval is het bouw<strong>en</strong> of kop<strong>en</strong> van software die<br />
snel <strong>en</strong> geautomatiseerd e‐mailbericht<strong>en</strong> kan verstur<strong>en</strong> naar de geharveste of<br />
aangekochte adress<strong>en</strong>. Deze software is volop verkrijgbaar op fora, nieuwsgroep<strong>en</strong><br />
<strong>en</strong> in chatrooms op <strong>internet</strong>.<br />
Massmailer<br />
E<strong>en</strong> massmailer is e<strong>en</strong> softwareprogramma dat veel bericht<strong>en</strong> tegelijk kan<br />
verz<strong>en</strong>d<strong>en</strong> of via e<strong>en</strong> botnet de bots instrueert om e<strong>en</strong> mail te verstur<strong>en</strong>. E<strong>en</strong><br />
voorbeeld van e<strong>en</strong> dergelijke toepassing is Dark mailer 15 . De software is nodig om<br />
de pot<strong>en</strong>tiële slachtoffers te b<strong>en</strong>ader<strong>en</strong> <strong>en</strong> de link naar de spoof website over te<br />
drag<strong>en</strong>. De meest populaire programma’s word<strong>en</strong> niet gratis ter beschikking<br />
gesteld. De aanschaf van dergelijke massmailers laat dus e<strong>en</strong> geldspoor na.<br />
Opvall<strong>en</strong>d is ook dat massmailers vaak te herk<strong>en</strong>n<strong>en</strong> zijn aan de opbouw van de<br />
bericht<strong>en</strong> <strong>en</strong> de trucs die gebruikt word<strong>en</strong> om de opsporing te bemoeilijk<strong>en</strong>. E<strong>en</strong><br />
mom<strong>en</strong>teel nog redelijk verweer teg<strong>en</strong> de meeste massmailers is graylisting.<br />
Graylisting maakt gebruik van de verschill<strong>en</strong> in gedrag van massmailers <strong>en</strong> ‘echte’<br />
MTAs (Mail Transfer Ag<strong>en</strong>t). Echte MTA’s vrag<strong>en</strong> eerst of het schikt <strong>en</strong> als de<br />
ontvang<strong>en</strong>de host aangeeft het ‘te druk’ te hebb<strong>en</strong>, dan probeert e<strong>en</strong> MTA het<br />
later nog e<strong>en</strong>s. De meeste massmailers zijn niet ingericht op het (langdurig, d<strong>en</strong>k<br />
aan ur<strong>en</strong>) wacht<strong>en</strong> voordat e<strong>en</strong> bericht verstuurd mag word<strong>en</strong>. Het is echter te<br />
verwacht<strong>en</strong> dat als graylisting populairder wordt, massmailers deze ‘backoff’<br />
procedure ook zull<strong>en</strong> gaan na do<strong>en</strong>.<br />
“Beginn<strong>en</strong>de phishers gaan op fora <strong>en</strong> nieuwsgroep<strong>en</strong> <strong>en</strong> downloadsites op zoek<br />
naar mail software. De communicatie op dergelijke plaats<strong>en</strong> met mogelijke<br />
aanbieders laat e<strong>en</strong> spoor achter <strong>en</strong> e<strong>en</strong> alias.”<br />
“Beginn<strong>en</strong>de phishers zull<strong>en</strong> vanwege het op zichzelf niet illegale karakter g<strong>en</strong>eigd<br />
zijn om de mailsoftware met reguliere <strong>internet</strong> betaalmogelijkhed<strong>en</strong> af te rek<strong>en</strong><strong>en</strong>,<br />
ev<strong>en</strong>tueel gebruik mak<strong>en</strong>d van creditcardgegev<strong>en</strong>s van familie. Ze hebb<strong>en</strong> zichzelf<br />
nog niet voorzi<strong>en</strong> van allerlei rookgordijn<strong>en</strong> in e<strong>en</strong> vroeg stadium van het<br />
phishingproces.”<br />
Acquire botnet<br />
15 www.<strong>en</strong>.wikipedia.org/wiki/Dark_Mailer, laatst geraadpleegd op 4 juli 2008.<br />
65
Botnets zijn netwerk<strong>en</strong> van computers die geïnfecteerd zijn met e<strong>en</strong><br />
softwareprogramma waardoor de computer door iemand anders dan de gebruiker<br />
bestuurd kan word<strong>en</strong> (met nam<strong>en</strong> als ‘Monkif/DIKhora’, ‘Maazb<strong>en</strong>’, ‘Rustock’).<br />
De bots, de geïnfecteerde computers, word<strong>en</strong> gerekruteerd door de gebruiker naar<br />
websites te lokk<strong>en</strong> waarop het softwareprogramma staat. Dit kunn<strong>en</strong> allerlei<br />
websites zijn, zoals loterij<strong>en</strong> die schijnbaar gewonn<strong>en</strong> zijn, ‘veiligheid’‐websites,<br />
pornosites <strong>en</strong> dergelijke. De bots ontvang<strong>en</strong> instructies van de botnetbeheerder.<br />
Botnets word<strong>en</strong> bijvoorbeeld ingezet bij DDoS 16 aanvall<strong>en</strong>, waarbij grote aantall<strong>en</strong><br />
computers tegelijk e<strong>en</strong> website bezoek<strong>en</strong> <strong>en</strong> zo de webserver overbelast<strong>en</strong>. De<br />
phisher kan zich op twee manier<strong>en</strong> bedi<strong>en</strong><strong>en</strong> van e<strong>en</strong> botnet. Hij kan bij alle van het<br />
botnet deeluitmak<strong>en</strong>de pc’s zijn spoof website lat<strong>en</strong> zi<strong>en</strong>. Alle bots op<strong>en</strong><strong>en</strong> dan de<br />
spoof website op het mom<strong>en</strong>t dat de phisher dat wil. Dit heeft als groot voordeel<br />
dat alle geadresseerd<strong>en</strong> in ieder geval op de website kom<strong>en</strong>, wat de kans vergroot<br />
dat slachtoffers hun gegev<strong>en</strong>s achterlat<strong>en</strong>. Aan de andere kant zull<strong>en</strong> sommige<br />
gebruikers de website beschouw<strong>en</strong> als e<strong>en</strong> ongew<strong>en</strong>ste pop‐up, die ze zonder<br />
nadere beschouwing weer sluit<strong>en</strong>. Ander<strong>en</strong> zull<strong>en</strong> bij het onverwachts op<strong>en</strong><strong>en</strong> van<br />
e<strong>en</strong> webpagina wantrouw<strong>en</strong>d word<strong>en</strong> <strong>en</strong> de pagina weer sluit<strong>en</strong>. E<strong>en</strong> ander nadeel<br />
van deze methode is dat de red<strong>en</strong> waarom de website verschijnt onduidelijk blijft.<br />
Er is ge<strong>en</strong> waarschuwing aan vooraf gegaan die de noodzaak van het invull<strong>en</strong> van<br />
de gegev<strong>en</strong>s door de gebruiker verklaart.<br />
In e<strong>en</strong> tweede toepassing van e<strong>en</strong> botnet verspreidt de phisher zijn e‐mailbericht<br />
via het botnet naar de bots <strong>en</strong> instrueert h<strong>en</strong> dit naar alle contact<strong>en</strong> van de<br />
gebruiker van de bot uit di<strong>en</strong>s adresboek door te stur<strong>en</strong>. Dit heeft als voordeel dat<br />
de phisher in het harvesting proces minder <strong>en</strong>ergie hoeft te verspill<strong>en</strong> aan het<br />
verzamel<strong>en</strong> van adress<strong>en</strong>.<br />
Beide method<strong>en</strong> vereis<strong>en</strong> dat de phisher, althans tijdelijk, de beschikking heeft over<br />
e<strong>en</strong> botnet. Dit kan hij ‘hur<strong>en</strong>’ van e<strong>en</strong> botnet beheerder of zelf opzett<strong>en</strong>. Het<br />
opzett<strong>en</strong> van e<strong>en</strong> botnet is e<strong>en</strong> tijdrov<strong>en</strong>d karwei dat eerder door georganiseerde<br />
phishing organisaties zal gebeur<strong>en</strong> dan door de individuele phisher. Botnet<br />
beheerders zitt<strong>en</strong> elkaar regelmatig dwars, omdat ze allemaal prober<strong>en</strong> hun botnet<br />
zo groot mogelijk te mak<strong>en</strong>. E<strong>en</strong> besmette computer kan echter maar onderdeel<br />
zijn van één botnet tegelijk. Botnets kunn<strong>en</strong> daarom ook heel dynamisch zijn <strong>en</strong><br />
van de <strong>en</strong>e op de andere dag in grootte verschill<strong>en</strong>.<br />
16 Distributed d<strong>en</strong>ial‐of‐service: e<strong>en</strong> computer‐ of netwerkaanval met andere computers die zoveel<br />
verbindingsverzoek<strong>en</strong> naar de server van e<strong>en</strong> of meer sites verstur<strong>en</strong>, dat de ‘service’ daarvan (tijdelijk)<br />
wordt geblokeerd.<br />
66
“Phishers kop<strong>en</strong>/hur<strong>en</strong> e<strong>en</strong> botnet in plaats van er zelf één op te zett<strong>en</strong>. Kop<strong>en</strong><br />
houdt feitelijk in dat m<strong>en</strong> e<strong>en</strong> commando krijgt met behulp waarvan het botnet kan<br />
word<strong>en</strong> geactiveerd; al dan niet voor e<strong>en</strong> bepaalde duur.”<br />
“Het verwerv<strong>en</strong> van e<strong>en</strong> botnet verloopt via underground fora waarbij vanwege het<br />
illegale karakter van e<strong>en</strong> botnet de credibility check van de pot<strong>en</strong>tiële koper e<strong>en</strong><br />
veel zwaarder karakter zal hebb<strong>en</strong> dan bij het inkop<strong>en</strong> van andere tools t<strong>en</strong><br />
behoeve van de phishing.”<br />
“De verkopers van botnets hebb<strong>en</strong> paradoxaal g<strong>en</strong>oeg e<strong>en</strong>zelfde belang als de<br />
bank<strong>en</strong>: afscherming. Ze mak<strong>en</strong> daarom van dezelfde afschermingtechniek<strong>en</strong><br />
gebruik.”<br />
“De betaling van de huur van e<strong>en</strong> botnet vindt plaats in natura (inloggegev<strong>en</strong>s,<br />
creditcardnummers, diskspace) of via niet‐triviale <strong>internet</strong> betaling<strong>en</strong> (money<br />
transfers, epassports, webmoney, cash).”<br />
Acquire PWND computer<br />
PWND staat voor pawned (pion) computer <strong>en</strong> komt neer op het (specifiek) kunn<strong>en</strong><br />
bedi<strong>en</strong><strong>en</strong> van andermans computer. In teg<strong>en</strong>stelling tot e<strong>en</strong> botnet zull<strong>en</strong> bepaalde<br />
phishers zelf hun PWND computers verwerv<strong>en</strong> door actief op zoek te gaan naar<br />
slecht beveiligde computers. Ze onderzoek<strong>en</strong> hiervoor bepaalde IP‐ranges op<br />
kwetsbaarhed<strong>en</strong> die als zodanig door hun netwerkactiviteit herk<strong>en</strong>baar zijn voor<br />
ISP’s. Door het laagdrempelige karakter van het verwerv<strong>en</strong> van e<strong>en</strong> PWNDcomputer<br />
zull<strong>en</strong> (beginn<strong>en</strong>de) phishers minder nadrukkelijk hun eig<strong>en</strong> id<strong>en</strong>titeit<br />
richting de PWND‐computer verhull<strong>en</strong> (m<strong>en</strong> is nog niet zo geroutineerd <strong>en</strong> in alle<br />
fas<strong>en</strong> van verhulling thuis).<br />
“Wordt e<strong>en</strong> PWND‐computer onderzocht op netwerk verkeer van de controler<strong>en</strong>de<br />
computer dan komt m<strong>en</strong> wellicht uit bij de id<strong>en</strong>titeit van de phisher.”<br />
Er bestaat e<strong>en</strong> groot aantal softwarepakkett<strong>en</strong> om op grote schaal naar<br />
kwetsbaarhed<strong>en</strong> in e<strong>en</strong> netwerk te zoek<strong>en</strong>. De beginn<strong>en</strong>de phisher is zichtbaar<br />
wanneer hij op zoek gaat naar die software <strong>en</strong> deze betaalt. Door het niet direct<br />
strafbare karakter van de software zal de credibility check minder zwaar zijn.<br />
Gedur<strong>en</strong>de het hele phishingproces moet de id<strong>en</strong>titeit van de phisher onbek<strong>en</strong>d<br />
blijv<strong>en</strong>. Vanaf stap 8 neemt hij de id<strong>en</strong>titeit aan van het slachtoffer of lift met het<br />
slachtoffer mee bij het target naar binn<strong>en</strong>. E<strong>en</strong> proxyserver kan word<strong>en</strong> gebruikt<br />
67
om id<strong>en</strong>titeit af te scherm<strong>en</strong>. E<strong>en</strong> proxy is e<strong>en</strong> PWND‐computer die zich door<br />
bedi<strong>en</strong>ing op afstand kan gedrag<strong>en</strong> als e<strong>en</strong> vervanger voor e<strong>en</strong> andere computer.<br />
Proxyservers zijn schakels in het <strong>internet</strong> waarop (bijvoorbeeld bij e<strong>en</strong> ISP) vaak<br />
geraadpleegde websites word<strong>en</strong> opgeslag<strong>en</strong>. Daardoor kunn<strong>en</strong> veelgebruikte sites<br />
sneller word<strong>en</strong> gelad<strong>en</strong>. E<strong>en</strong> proxyserver onderschept verzoek<strong>en</strong> om informatie<br />
van e<strong>en</strong> browser <strong>en</strong> kijkt of die zich op de proxyserver bevind<strong>en</strong>. Het<br />
<strong>internet</strong>verkeer loopt via e<strong>en</strong> proxyserver waardoor het eindstation niet het IPadres<br />
van de computergebruiker ziet maar van de proxyserver. E<strong>en</strong> aantal van deze<br />
proxy’s kan ook word<strong>en</strong> geschakeld (proxy‐chain) waarbij het zeer moeilijk <strong>en</strong> altijd<br />
zeer tijdrov<strong>en</strong>d <strong>en</strong> weinig succesvol is om bij de oorsprong uit te kom<strong>en</strong>. E<strong>en</strong><br />
onveilige proxy kan door spammers word<strong>en</strong> overg<strong>en</strong>om<strong>en</strong> om spam te verstur<strong>en</strong><br />
<strong>en</strong> op die manier pawned word<strong>en</strong>. De proxy is dan gekidnapt (‘hijacked’). De<br />
daarvoor te installer<strong>en</strong> software wordt binn<strong>en</strong>gebracht met e<strong>en</strong> Trojaans virus <strong>en</strong><br />
de spam wordt verzond<strong>en</strong> via SMTP 17 . De binn<strong>en</strong>komst van veel van deze viruss<strong>en</strong><br />
blijft onzichtbaar voor de gebruikelijke poort scans. Proxy’s die zijn geïnfecteerd zijn<br />
in feite controllers van e<strong>en</strong> daarna e<strong>en</strong>voudig op te zett<strong>en</strong> botnet. Ze gebruik<strong>en</strong><br />
afwijk<strong>en</strong>de poort<strong>en</strong> of afschermingtechniek<strong>en</strong> om detectie te voorkom<strong>en</strong>. De<br />
bestandsnam<strong>en</strong> die ze gebruik<strong>en</strong> zijn wissel<strong>en</strong>d. Om ze te achterhal<strong>en</strong> is meestal<br />
uitgebreid for<strong>en</strong>sisch onderzoek noodzakelijk.<br />
2.12 Stap 7b Method of infection<br />
Zoals eerder bij stap 3c al onder de beschrijving van packers is aangegev<strong>en</strong>, bestaan<br />
er vele method<strong>en</strong> om malware te distribuer<strong>en</strong> of, anders gezegd, e<strong>en</strong> computer te<br />
infecter<strong>en</strong>. We hebb<strong>en</strong> het onderscheid gemaakt in e<strong>en</strong> ‘push’ <strong>en</strong> e<strong>en</strong> ‘pull’<br />
b<strong>en</strong>adering. Veel voorkom<strong>en</strong>de method<strong>en</strong> voor de push b<strong>en</strong>adering zijn het<br />
verz<strong>en</strong>d<strong>en</strong> van e‐mail (spamm<strong>en</strong> met e<strong>en</strong> besmette bijlage), instant messaging (IM)<br />
(het binn<strong>en</strong>krijg<strong>en</strong> van besmette plaatjes <strong>en</strong>/of bestand<strong>en</strong> als onderdeel van e<strong>en</strong><br />
chat), het bezoek<strong>en</strong> van sites met besmette advert<strong>en</strong>ties <strong>en</strong> het bezoek<strong>en</strong> van<br />
gecorrumpeerde (meestal slecht beveiligde) sites zoals blogs die prober<strong>en</strong> gebruik<br />
te mak<strong>en</strong> van softwarematige kwetsbaarhed<strong>en</strong>. Bij de laatste twee vorm<strong>en</strong> gebeurt<br />
de besmetting zonder <strong>en</strong>ige handeling van de gebruiker via e<strong>en</strong> zog<strong>en</strong>aamde ‘driveby<br />
download’ langs bijvoorbeeld e<strong>en</strong> reclamebanner (Provos, 2008).<br />
17 Simple Mail Transfer Protocol (SMTP) is de de standaard voor het verstur<strong>en</strong> van e‐mail over het<br />
<strong>internet</strong>.<br />
68
Bij e<strong>en</strong> pull b<strong>en</strong>adering is er sprake van het verstopp<strong>en</strong> van de malware in<br />
og<strong>en</strong>schijnlijk betrouwbare bestand<strong>en</strong> zoals freeware, films, docum<strong>en</strong>t<strong>en</strong><br />
<strong>en</strong>zovoort. Vooral via peer‐to‐peer bestandsuitwisseling (torr<strong>en</strong>ts) vindt e<strong>en</strong> grote<br />
mate van door e<strong>en</strong> gebruiker zelf geïnitieerde distributie van malware plaats.<br />
Bij de distributie van malware via nieuwsgroep<strong>en</strong> (us<strong>en</strong>et) of peer‐to‐peer<br />
(torr<strong>en</strong>ts) kan via technische hulpmiddel<strong>en</strong> e<strong>en</strong> (deel van de) digitale id<strong>en</strong>titeit van<br />
deg<strong>en</strong>e die de besmette bestand<strong>en</strong> plaatst dan wel aanbiedt, herleid word<strong>en</strong>. Het<br />
scann<strong>en</strong> van alle bestand<strong>en</strong> in de nieuwsgroep<strong>en</strong> of aangebod<strong>en</strong> via torr<strong>en</strong>ts op<br />
malware is vanwege de grote dynamiek praktisch onhaalbaar. Daar <strong>en</strong> teg<strong>en</strong><br />
probeert m<strong>en</strong> de bestand<strong>en</strong> waarin malware aanwezig is, zo aantrekkelijk mogelijk<br />
voor gebruikers te lat<strong>en</strong> zijn. Bijvoorbeeld in de vorm van de nieuwste aflevering<strong>en</strong><br />
van series, films, muziek‐CD's <strong>en</strong>zovoort. Om daarbij als eerste op te kunn<strong>en</strong> vall<strong>en</strong>,<br />
verschijn<strong>en</strong> deze malafide posts vaak eerder dan het verschijn<strong>en</strong> van de originele<br />
versie. Dit kan e<strong>en</strong> goede indicator zijn van malware distributie <strong>en</strong> aanleiding gev<strong>en</strong><br />
om in detail naar de digitale id<strong>en</strong>titeit van de plaatser op zoek te gaan.<br />
“Het verschijn<strong>en</strong> van audiovisuele files op het web, zog<strong>en</strong>aamd met zeer actuele<br />
cont<strong>en</strong>t die redelijkerwijs nog niet beschikbaar kan zijn, is e<strong>en</strong> indicatie voor de<br />
aanwezigheid van malware in die files.”<br />
De wap<strong>en</strong>wedloop tuss<strong>en</strong> de malware schrijvers <strong>en</strong> de anti‐virus(AV)‐industrie leidt<br />
ertoe dat bepaalde veel gebruikte packers (zie § 2.7) op <strong>en</strong>ig mom<strong>en</strong>t in AVsoftware<br />
opg<strong>en</strong>om<strong>en</strong> word<strong>en</strong> om bij het scann<strong>en</strong> de bestand<strong>en</strong> te unpack<strong>en</strong> <strong>en</strong> dan<br />
de malware te herk<strong>en</strong>n<strong>en</strong>. Om de AV‐industrie voor te blijv<strong>en</strong> zull<strong>en</strong> malware<br />
schrijvers steeds op zoek gaan naar nieuwe packers. De noodzaak is daarbij niet dat<br />
ze efficiënter of sneller comprimer<strong>en</strong>, maar dat de wijze van compressie anders is.<br />
Niet alle<strong>en</strong> AV‐files zijn e<strong>en</strong> geschikt vehikel voor het verspreid<strong>en</strong> van malware of<br />
het aantrekk<strong>en</strong> van bezoekers naar phishing sites. In to<strong>en</strong>em<strong>en</strong>de mate word<strong>en</strong><br />
netwerksites, zoals Hyves, Facebook, MySpace <strong>en</strong> vele andere, gebruikt om<br />
malware te verspreid<strong>en</strong>. Het is geme<strong>en</strong>goed geword<strong>en</strong> om via persoonlijke<br />
profiel<strong>en</strong> op deze websites informatie te del<strong>en</strong> met e<strong>en</strong> online netwerk. Dit kan van<br />
alles zijn, zoals het bijhoud<strong>en</strong> van e<strong>en</strong> dagboek, blogg<strong>en</strong> of het del<strong>en</strong> van zak<strong>en</strong> die<br />
e<strong>en</strong> gebruiker opgevall<strong>en</strong> zijn op andere websites in de vorm van plaatjes of<br />
filmpjes. E<strong>en</strong> voorbeeld van malware verspreiding via sociale netwerksites is<br />
bijvoorbeeld het volg<strong>en</strong>de. Webs<strong>en</strong>se® securitylabs ontdekte op MySpace pagina’s<br />
waar e<strong>en</strong> <strong>fraud</strong>uleus YouTube filmpje aangebod<strong>en</strong> werd. Wanneer gebruikers op<br />
het filmpje klikt<strong>en</strong> werd<strong>en</strong> ze doorverwez<strong>en</strong> naar e<strong>en</strong> kopie van de video op de<br />
69
website ‘Youtube.info’ 18 . In het filmpje zat e<strong>en</strong> installatieprogramma voor e<strong>en</strong> extra<br />
werkbalk in hun browser, in dit geval de ‘Zango Cash Toolbar’. Gebruikers die<br />
klikt<strong>en</strong> op de knop “click here for full video” werd<strong>en</strong> naar e<strong>en</strong> Microsoft®<br />
Windows® video gestuurd <strong>en</strong> gevraagd e<strong>en</strong> gebruikersovere<strong>en</strong>komst te accepter<strong>en</strong><br />
om het filmpje te kunn<strong>en</strong> bekijk<strong>en</strong>. Het accepter<strong>en</strong> van de gebruikerovere<strong>en</strong>komst<br />
startte ook de installatie van de ‘Zango Cash toolbar’ (Choo, 2009, p. 1).<br />
2.13 Stap 8 Acquire victims<br />
Als de phisher alles in gereedheid heeft gebracht kan zijn aanval beginn<strong>en</strong>. Het<br />
mom<strong>en</strong>t van de aanval kiest de phisher zelf. Is er veel aandacht voor e<strong>en</strong> andere<br />
bepaalde aanval op zijn target of is de targetinstelling anderszins veel in het<br />
nieuws, dan zal hij wacht<strong>en</strong>.<br />
Op<strong>en</strong> spoof page<br />
Afhankelijk van de gebruikte techniek voor de distributie van de mail (zie stap 7) zal<br />
de phisher de massmailer e<strong>en</strong> opdracht gev<strong>en</strong>, de spoof website in de lucht<br />
br<strong>en</strong>g<strong>en</strong> via het botnet dan wel e<strong>en</strong> botnet activer<strong>en</strong> om de mail massaal te gaan<br />
verstur<strong>en</strong>. Het aanstur<strong>en</strong> van botnets is e<strong>en</strong> ontwikkeling op zich. Het<br />
Money/Sikora botnet verpakt zijn commando bijvoorbeeld in e<strong>en</strong> .jpeg bestand dat<br />
daarmee de indruk wekt e<strong>en</strong> plaatje te zijn maar het niet is (Naraine, 2009). Door<br />
de besmette PC wordt het als plaatje verwerkt <strong>en</strong> word<strong>en</strong> de commando’s<br />
uitgevoerd. De bestandsgrootte van deze fake.jpeg komt overig<strong>en</strong>s niet overe<strong>en</strong><br />
met e<strong>en</strong> echt .jpeg bestand <strong>en</strong> het is ook niet als plaatje te op<strong>en</strong><strong>en</strong>. Dat biedt weer<br />
aanknopingspunt<strong>en</strong> voor detectie.<br />
“Wanneer de bestandsgrootte niet overe<strong>en</strong>komt met de aard van de inhoud van<br />
e<strong>en</strong> bestand, kan dit e<strong>en</strong> indicatie zijn dat er iets met het bestand aan de hand is.<br />
Het bevat e<strong>en</strong> commando, virus, malware of andere schadelijke code.”<br />
Mass mail<br />
Voor het feitelijk b<strong>en</strong>ader<strong>en</strong> van slachtoffers staan de phisher weer meerdere<br />
mogelijkhed<strong>en</strong> t<strong>en</strong> di<strong>en</strong>ste die ook tegelijk gebruikt kunn<strong>en</strong> word<strong>en</strong> om het bereik<br />
van pot<strong>en</strong>tiële slachtoffers te vergrot<strong>en</strong>. E<strong>en</strong> spambericht is de lokmethode van de<br />
18 Saillant detail: deze website werd gehost in Nederland (Amsterdam).<br />
70
meeste klassieke phishing aanvall<strong>en</strong> om geadresseerd<strong>en</strong> tot slachtoffer te mak<strong>en</strong><br />
door ze naar de spoof website te lokk<strong>en</strong> <strong>en</strong> h<strong>en</strong> over te hal<strong>en</strong> hun gegev<strong>en</strong>s daar in<br />
te vull<strong>en</strong>. Spamming heeft hier dus niet als doel gebruikers iets te lat<strong>en</strong> kop<strong>en</strong> of<br />
e<strong>en</strong> bepaald product onder de aandacht te br<strong>en</strong>g<strong>en</strong>, maar is e<strong>en</strong> werktuig om h<strong>en</strong><br />
te overred<strong>en</strong> meerdere acties te ondernem<strong>en</strong>. De spammail ziet er bij phishing<br />
anders uit dan bij spamming als hoofdactiviteit. Spam als onderdeel van e<strong>en</strong><br />
phishing aanval ziet er vaak veel beter uit. Juist omdat deze m<strong>en</strong>s<strong>en</strong> moet<br />
overtuig<strong>en</strong> hun kostbare gegev<strong>en</strong>s achter te lat<strong>en</strong>, moet de spammail vertrouw<strong>en</strong><br />
wekk<strong>en</strong>. Het gebruik van bedrijfslogo’s <strong>en</strong> bedrijfskleur<strong>en</strong> is hoog, maar vreemd<br />
g<strong>en</strong>oeg is het woordgebruik vaak onzorgvuldig (hoewel ook dat evolueert). Dit kan<br />
te mak<strong>en</strong> hebb<strong>en</strong> met de afkomst van de phishers. Als ze niet uit het land afkomstig<br />
zijn waar ze actief zijn, dan zull<strong>en</strong> ze zich moet<strong>en</strong> beroep<strong>en</strong> op e<strong>en</strong> tolk of gebruik<br />
moet<strong>en</strong> mak<strong>en</strong> van vertaalprogramma’s zoals Babel Fish. Nederlandse bankklant<strong>en</strong><br />
e‐mail in e<strong>en</strong> andere taal stur<strong>en</strong> is niet erg geloofwaardig. Uit één van de<br />
onderzochte dossiers is e<strong>en</strong> voorbeeld bek<strong>en</strong>d dat de phishers gebruik maakt<strong>en</strong><br />
van e<strong>en</strong> in het land van de target won<strong>en</strong>d familielid dat niet alle<strong>en</strong> zorgde voor e<strong>en</strong><br />
juiste vertaling van de spambericht<strong>en</strong>, maar ook het juiste mom<strong>en</strong>t bewaakte om<br />
de aanval te op<strong>en</strong><strong>en</strong><br />
“Wanneer gebruik gemaakt wordt van e<strong>en</strong> massmailer zal het verkeer vanaf de<br />
computer die daarvoor gebruikt wordt, nadrukkelijk to<strong>en</strong>em<strong>en</strong> <strong>en</strong> als zodanig als<br />
spammachine herk<strong>en</strong>d kunn<strong>en</strong> word<strong>en</strong>.”<br />
“E<strong>en</strong> phishing aanval is te detecter<strong>en</strong> via grote mail providers (Hotmail, Gmail, KPN,<br />
etc.) die in de mailbox<strong>en</strong> steeds dezelfde mail aantreff<strong>en</strong>.”<br />
“Tijd<strong>en</strong>s de aanval kan het IP‐adres van de spoof website achterhaald word<strong>en</strong>,<br />
waardoor verderop in het proces de dader die teruggaat naar de site om de<br />
gegev<strong>en</strong>s op te hal<strong>en</strong>, qua IP‐adres achterhaald kan word<strong>en</strong>.”<br />
Activate Botnet mailing<br />
Zoals hiervoor aangegev<strong>en</strong>, is door de sterke to<strong>en</strong>ame van het verkeer e<strong>en</strong> massale<br />
spam run vanaf e<strong>en</strong> beperkt aantal computers relatief e<strong>en</strong>voudig op te spor<strong>en</strong>. Om<br />
dit teg<strong>en</strong> te gaan, wordt in belangrijke mate gebruik gemaakt van botnets om de<br />
spammail te verstur<strong>en</strong>. In de praktijk komt dit neer op het verstur<strong>en</strong> van e<strong>en</strong><br />
commando van de controlserver naar alle gehijackte computers in het botnet met<br />
daarin de te verstur<strong>en</strong> mail. Vervolg<strong>en</strong>s wordt dit bericht aan iedere<strong>en</strong> in het<br />
adresboek <strong>en</strong>/of de adress<strong>en</strong> in het maillog van de desbetreff<strong>en</strong>de computer<br />
gestuurd. E<strong>en</strong> anonimiser<strong>en</strong>de proxyserver vertelt de website niet waar het<br />
71
originele verzoek vandaan kwam, zodat deze altijd beschermd is. Dit maakt het<br />
voor de cybercrimineel e<strong>en</strong>voudiger om anoniem te blijv<strong>en</strong> <strong>en</strong> zich achter e<strong>en</strong> net<br />
van proxy’s te verschuil<strong>en</strong>. E<strong>en</strong> manier om toch inzicht te krijg<strong>en</strong> in dataverkeer, is<br />
het toepass<strong>en</strong> van het Netflow protocol (Callanan, Gercke, Marco, & Dries‐<br />
Ziek<strong>en</strong>heiner, 2009, p. 123). Netflow is e<strong>en</strong> op<strong>en</strong> maar van origine ‘proprietary’<br />
protocol dat door Cisco Systems ontwikkeld is om informatie over IP dataverkeer<br />
door netwerknodes te lat<strong>en</strong> verzamel<strong>en</strong>. Netflow geeft inzicht in hoeveel data er<br />
tuss<strong>en</strong> de poort<strong>en</strong> van geïd<strong>en</strong>tificeerde nodes <strong>en</strong> hosts wordt uitgewisseld.<br />
Hiermee is de id<strong>en</strong>titeit van de node nog niet bek<strong>en</strong>d, maar kan wel inzicht<br />
verkreg<strong>en</strong> word<strong>en</strong> in de hoeveelhed<strong>en</strong> dataverkeer. Dit kan weer leid<strong>en</strong> tot het<br />
id<strong>en</strong>tificer<strong>en</strong> van node’s die in korte tijd veel verkeer kijg<strong>en</strong>, iets wat bijvoorbeeld<br />
duidt op e<strong>en</strong> spoof website (Netflow, 2009).<br />
Fake DNS reply<br />
E<strong>en</strong> manier om zonder mail of malware gebruikers naar de spoof site te lat<strong>en</strong> gaan,<br />
is het hack<strong>en</strong> van e<strong>en</strong> DNS. In § 2.1 bij de definitie van ‘pharming’ is dit al kort<br />
aangehaald. Deze zog<strong>en</strong>aamde domain name service is e<strong>en</strong> soort telefoonboek<br />
voor het <strong>internet</strong> waarin domeinnam<strong>en</strong> omgezet word<strong>en</strong> in fysieke IP‐adress<strong>en</strong><br />
waar de site zich bevindt. Deze DNS functie is redundant uitgevoerd wat zoveel<br />
betek<strong>en</strong>t als dat dezelfde informatie op e<strong>en</strong> veelheid aan plekk<strong>en</strong> wordt<br />
opgeslag<strong>en</strong>. Afhankelijk van de plaats in het netwerk zal e<strong>en</strong> gebruiker de meest<br />
dichtstbijzijnde DNS gebruik<strong>en</strong>. Hier komt dan de kwetsbaarheid om de hoek<br />
kijk<strong>en</strong>: wanneer e<strong>en</strong> lokale DNS gehackt wordt <strong>en</strong> bepaalde IP‐adress<strong>en</strong> veranderd<br />
word<strong>en</strong>, kan het dus gebeur<strong>en</strong> dat e<strong>en</strong> gebruiker d<strong>en</strong>kt dat hij naar de echte site<br />
gaat maar ondertuss<strong>en</strong> de spoofsite bezoekt.<br />
E<strong>en</strong> tweede mogelijkheid om DNS te misbruik<strong>en</strong> zit in e<strong>en</strong> ontwerpfout van de<br />
Internet Explorer browser. Wanneer e<strong>en</strong> website wordt aangevraagd door de<br />
gebruiker door middel van het intikk<strong>en</strong> van e<strong>en</strong> URL vraagt de browser op het web<br />
aan e<strong>en</strong> DNS‐server de locatie van de URL. De DNS server reageert met e<strong>en</strong> IPadres<br />
<strong>en</strong> de gebruiker wordt naar de desbetreff<strong>en</strong>de pagina gedirigeerd.<br />
Cybercriminel<strong>en</strong> kunn<strong>en</strong> echter voordat de browser e<strong>en</strong> DNS raadpleegt al e<strong>en</strong><br />
namaak DNS antwoord stur<strong>en</strong>. Het volg<strong>en</strong>de sc<strong>en</strong>ario ontrolt zich dan. Stel dat de<br />
gebruiker naar zijn website voor <strong>internet</strong>bankier<strong>en</strong> wil. De aanvaller heeft alvast<br />
e<strong>en</strong> vals DNS‐antwoord gestuurd naar de browser van de gebruiker, waarin het IPadres<br />
van de spoof website staat. Zodra de gebruiker naar<br />
www.rabobank.nl/<strong>internet</strong>bankier<strong>en</strong> wil surf<strong>en</strong>, ziet de browser dat er al e<strong>en</strong> DNSantwoord<br />
is <strong>en</strong> dirigeert de gebruiker naar het IP‐adres dat daarin staat. De<br />
browser controleert niet wanneer het DNS‐ antwoord is ontvang<strong>en</strong>, het constateert<br />
alle<strong>en</strong> dat er al e<strong>en</strong> antwoord is.<br />
72
Session hijack<br />
Op het mom<strong>en</strong>t dat e<strong>en</strong> computer besmet is met e<strong>en</strong> bepaald type malware kan<br />
deze er voor zorg<strong>en</strong> dat de gebruiker niets e<strong>en</strong>s e<strong>en</strong> spoof site hoeft te bezoek<strong>en</strong><br />
om toch zijn cred<strong>en</strong>tials kwijt te rak<strong>en</strong> of erger nog dat deze direct misbruikt<br />
word<strong>en</strong>. Deze ‘man‐in‐the‐middle’ b<strong>en</strong>adering (zie ook § 2.1) tapt de communicatie<br />
tuss<strong>en</strong> de computer <strong>en</strong> de bonafide server af <strong>en</strong> kan zelfs de bericht<strong>en</strong> richting de<br />
server in zijn voordeel manipuler<strong>en</strong>. Het doel van e<strong>en</strong> session hijack is om<br />
beschikking te krijg<strong>en</strong> over het zog<strong>en</strong>aamde ‘session cookie’ of de ‘session key’.<br />
Deze geeft toegang tot de communicatiesessie tuss<strong>en</strong> de gebruiker <strong>en</strong> de server <strong>en</strong><br />
is het middel waarmee de server bepaalt of hij met de juiste gebruiker<br />
communiceert. Het session cookie kan digitaal gecompromitteerd word<strong>en</strong>; voor de<br />
session key heeft de aanvaller fysieke toegang tot de computer nodig om deze te<br />
kopiër<strong>en</strong>. Als de aanvaller de beschikking heeft over e<strong>en</strong> van beide, kan hij zich<br />
voordo<strong>en</strong> als e<strong>en</strong> legitieme gebruiker <strong>en</strong> de gegev<strong>en</strong>s op de server misbruik<strong>en</strong>. Het<br />
gijzel<strong>en</strong> van e<strong>en</strong> sessie kan ook door middel van cross‐site scripting gebeur<strong>en</strong> (zie §<br />
2.6.3).<br />
2.14 Stap 9 Receive cred<strong>en</strong>tials<br />
Op verschill<strong>en</strong>de manier<strong>en</strong> kan e<strong>en</strong> phisher de gegev<strong>en</strong>s die erg<strong>en</strong>s op e<strong>en</strong> of<br />
meerdere servers zijn verzameld naar zich toe hal<strong>en</strong>. Eerst zal hij voorafgaand aan<br />
stap 8 de recruitm<strong>en</strong>t site leeghal<strong>en</strong> om op het mom<strong>en</strong>t dat de phishing aanval<br />
loopt, te kunn<strong>en</strong> beschikk<strong>en</strong> over mules.<br />
Push by e‐mail<br />
De gegev<strong>en</strong>s kunn<strong>en</strong> direct naar de phisher verzond<strong>en</strong> word<strong>en</strong> per e‐mail. Dit heeft<br />
als voordeel dat de phisher niet het risico loopt dat wanneer zijn domein uit de<br />
lucht gehaald wordt, hij niet meer bij zijn veroverde gegev<strong>en</strong>s kan. In de PHP‐file<br />
waaruit de phishingkits bestaan kan bijvoorbeeld het e‐mailadres word<strong>en</strong><br />
ingevoerd waarnaar de gegev<strong>en</strong>s moet<strong>en</strong> word<strong>en</strong> verzond<strong>en</strong>. Zoals in § 2.7 is<br />
uite<strong>en</strong>gezet, wordt minimaal e<strong>en</strong> kopie van die gegev<strong>en</strong>s naar de ontwerper van de<br />
kit gestuurd. De code daarvoor is in e<strong>en</strong> <strong>en</strong>crypted deel van de kit verborg<strong>en</strong>. De<br />
ontwikkelaar maximaliseert op deze manier zijn phishing opbr<strong>en</strong>gst <strong>en</strong> kaapt<br />
bov<strong>en</strong>di<strong>en</strong> bezoekers weg voor de neus van deg<strong>en</strong>e die de kit heeft aangeschaft (al<br />
dan niet teg<strong>en</strong> betaling). En dat zonder kost<strong>en</strong> voor bulletproof hosting etc. Het<br />
risico komt volledig te ligg<strong>en</strong> bij de koper van de kit. Die laat bov<strong>en</strong>di<strong>en</strong> e<strong>en</strong> extra<br />
spoor achter van de spoof website naar e<strong>en</strong> e‐mail account.<br />
73
“Er zijn ook teg<strong>en</strong>maatregel<strong>en</strong> mogelijk. Het bedelv<strong>en</strong> van het account met<br />
nepgegev<strong>en</strong>s (watering down); het opheff<strong>en</strong> of lat<strong>en</strong> opheff<strong>en</strong> van het account, het<br />
leeg mak<strong>en</strong> van de inbox van het account of het legg<strong>en</strong> van e<strong>en</strong> hinderlaag.”<br />
“Op het mom<strong>en</strong>t dat de geregistreerde data via e<strong>en</strong> mail naar de phisher<br />
toegestuurd wordt, kan via e<strong>en</strong> mailtrace <strong>en</strong> medewerking van de ISP waar de<br />
mailbox gehost wordt, de id<strong>en</strong>titeit van de phisher achterhaald word<strong>en</strong>.”<br />
Push by instant messaging<br />
De resultat<strong>en</strong> van e<strong>en</strong> phishing aanval door e<strong>en</strong> professional word<strong>en</strong> hoofdzakelijk<br />
naar de phisher verstuurd via e<strong>en</strong> instant messaging of chatkanaal. De phisher<br />
meldt zich met e<strong>en</strong> willekeurig adres op e<strong>en</strong> willekeurige computer aan voor e<strong>en</strong><br />
chatprogramma waarbij de spoof website via e<strong>en</strong> stukje code alle ontvang<strong>en</strong><br />
gegev<strong>en</strong>s direct doorstuurt aan de phisher via dit chatprogramma. Voorbeeld<strong>en</strong><br />
van deze programma’s zijn ICQ <strong>en</strong> MSN.<br />
Push cred<strong>en</strong>tials by IM<br />
Jabber<br />
‘Fraudeurs will<strong>en</strong> zo snel mogelijk geld verdi<strong>en</strong><strong>en</strong>. Daarom gebruik<strong>en</strong> verschill<strong>en</strong>de<br />
Zeus variant<strong>en</strong> nu de op<strong>en</strong>source Instant Messaging (IM) software Jabber’, zegt Uri<br />
Rivner van RSA. Volg<strong>en</strong>s hem verkiez<strong>en</strong> de cybercriminel<strong>en</strong> Jabber bov<strong>en</strong> MSN<br />
omdat dit niet door Microsoft wordt beheerd. Zodo<strong>en</strong>de kan m<strong>en</strong> gestol<strong>en</strong><br />
inloggegev<strong>en</strong>s naar katvangers doorstur<strong>en</strong> die in bijna real-time de rek<strong>en</strong>ing<strong>en</strong><br />
plunder<strong>en</strong>.<br />
Door deze nieuwe functionaliteit zijn er nu twee groep<strong>en</strong>, zegt River. De <strong>en</strong>e groep<br />
houdt zich bezig met het verspreid<strong>en</strong> van de Zeus Trojan <strong>en</strong> het stel<strong>en</strong> van<br />
inloggegev<strong>en</strong>s. De tweede groep gebruikt de gegev<strong>en</strong>s om zo snel mogelijk geld op<br />
te nem<strong>en</strong>. "Dit betek<strong>en</strong>t dat de tijd tuss<strong>en</strong> het verzamel<strong>en</strong> van inloggegev<strong>en</strong>s <strong>en</strong> het<br />
plunder<strong>en</strong> van rek<strong>en</strong>ing<strong>en</strong> korter <strong>en</strong> korter wordt. Ik voorspel dat halverwege 2012<br />
meer dan de helft van de opnames in de VS <strong>en</strong> West-Europa binn<strong>en</strong> e<strong>en</strong> uur na<br />
diefstal van de gegev<strong>en</strong>s door de Trojan plaatsvindt."<br />
Bron: www.security.nl<br />
De gegev<strong>en</strong>s kunn<strong>en</strong> ook via e<strong>en</strong> instant message cli<strong>en</strong>t (al dan niet verpakt als<br />
onschuldige bericht<strong>en</strong>) in e<strong>en</strong> chat channel gepompt word<strong>en</strong>. De phisher kan dan<br />
(binn<strong>en</strong> e<strong>en</strong> bepaalde tijd) de gegev<strong>en</strong>s opvrag<strong>en</strong>. Dit heeft als voordeel dat de<br />
gegev<strong>en</strong>s van de server verdwijn<strong>en</strong> <strong>en</strong> dat het moeilijker is om de phisher op te<br />
spor<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> heeft de phisher meer ontk<strong>en</strong>ningsmogelijkhed<strong>en</strong>, het<br />
bezoek<strong>en</strong> van e<strong>en</strong> chatroom kan immers toeval zijn.<br />
74
“Op het mom<strong>en</strong>t dat de spoof bek<strong>en</strong>d is, kan achterhaald word<strong>en</strong> in hoeverre deze<br />
automatisch de geregistreerde gegev<strong>en</strong>s via instant messaging doorstuurt. Het<br />
kanaal waarop dit gebeurt, kan vervolg<strong>en</strong>s gemonitord word<strong>en</strong> om te kijk<strong>en</strong> welke<br />
deelnemers naar dit kanaal luister<strong>en</strong> zonder actief deel te nem<strong>en</strong>. Eén hiervan is de<br />
dader.”<br />
Through one‐time data download<br />
De phisher gaat als het hem uitkomt naar de webserver waarbij hij gebruik maakt<br />
van het lek waardoor hij eerder is binn<strong>en</strong>gekom<strong>en</strong> <strong>en</strong> downloadt zijn tekstbestand.<br />
Dat moet hij wel vaak do<strong>en</strong> zonder lang te wacht<strong>en</strong> na het begin van de aanval.<br />
Wordt de spoof website uit de lucht gehaald (notice and take down) of het hele<br />
domein verwijderd, dan kan de phisher immers niet meer bij zijn gegev<strong>en</strong>s. De<br />
spoof site kan gewoon e<strong>en</strong> extra pagina hebb<strong>en</strong> waar de gegev<strong>en</strong>s zijn te<br />
download<strong>en</strong>, dan wel e<strong>en</strong> extra server die dat mogelijk maakt, wat simpel is <strong>en</strong><br />
lastig op te spor<strong>en</strong>. Het nadeel is dat (vooral bij grote volumes) de spoof host slecht<br />
gaat prester<strong>en</strong> of crasht.<br />
“Wanneer e<strong>en</strong> phisher zich bedi<strong>en</strong>t van e<strong>en</strong> 'one‐time download' van de op de spoof<br />
site geregistreerde server, is hij via zijn IP‐adres zichtbaar op het mom<strong>en</strong>t dat hij dit<br />
doet.”<br />
Polling spoof website<br />
Spoof websites blijv<strong>en</strong> in de regel niet lang in de lucht. Het is daarom riskant om<br />
pas na e<strong>en</strong> behoorlijke periode de geoogste data op te hal<strong>en</strong>. In plaats daarvan<br />
gebeurt het ook dat de spoof website met e<strong>en</strong> vaste regelmaat gepolled wordt. Dit<br />
betek<strong>en</strong>t dat iedere minuut, kwartier of uur gekek<strong>en</strong> wordt of er nog iets gevang<strong>en</strong><br />
is. In dat geval wordt de vangst mete<strong>en</strong> binn<strong>en</strong>gehaald. Het poll<strong>en</strong> van e<strong>en</strong> server is<br />
in principe niets vreemds. Polling is e<strong>en</strong> methode om te controler<strong>en</strong> of e<strong>en</strong> server<br />
nog werkt of om regelmatig de data van e<strong>en</strong> online onderzoek op te hal<strong>en</strong>.<br />
“Het poll<strong>en</strong> van e<strong>en</strong> server is op zichzelf ge<strong>en</strong> vreemde activiteit omdat het ook<br />
gebruikt wordt bij legale sites om te kijk<strong>en</strong> of de site nog goed functioneert. De<br />
frequ<strong>en</strong>tie <strong>en</strong> het type bericht dat he<strong>en</strong> <strong>en</strong> weer gaat, kan wel aanleiding zijn om te<br />
veronderstell<strong>en</strong> dat e<strong>en</strong> server waar actief gepolled wordt e<strong>en</strong> spoof site host.”<br />
75
2.15 Stap 10 Acquire profit<br />
De phisher heeft er belang bij dat slachtoffers niet in de gat<strong>en</strong> hebb<strong>en</strong> dat ze<br />
slachtoffer zijn. Bij het masker<strong>en</strong> van het aftapp<strong>en</strong> van gegev<strong>en</strong>s kan de phisher<br />
verschill<strong>en</strong>de techniek<strong>en</strong> toepass<strong>en</strong>. Eén methode is het slachtoffer naar de<br />
phishing site te lokk<strong>en</strong>, daar de gegev<strong>en</strong>s in te lat<strong>en</strong> vull<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s het<br />
slachtoffer te verwijz<strong>en</strong> naar de reguliere website, die aangeeft dat het<br />
wachtwoord verkeerd is. Hierbij communiceert de spoof website niet met de<br />
reguliere website, maar verwijst slechts. De gebruikersnaam <strong>en</strong> het wachtwoord<br />
word<strong>en</strong> uiteraard opgeslag<strong>en</strong>. Voordeel van deze methode is dat het slachtoffer<br />
weinig argwaan zal koester<strong>en</strong>, omdat het verkeerd invull<strong>en</strong> van wachtwoord<strong>en</strong> met<br />
regelmaat gebeurt.<br />
“Om spoof sites zolang mogelijk in de lucht te houd<strong>en</strong>, zull<strong>en</strong> (professionele)<br />
phishers prober<strong>en</strong> om slachtoffers niet te lat<strong>en</strong> ontdekk<strong>en</strong> dat ze gephisht zijn. Het<br />
doorlink<strong>en</strong> naar de echte site, is aan de kant van de betrokk<strong>en</strong> instelling of<br />
organisatie te herk<strong>en</strong>n<strong>en</strong> doordat er vaker dan gebruikelijk vanuit hetzelfde IP‐adres<br />
bepaald verkeer op de site terecht komt. Op het mom<strong>en</strong>t dat dit ge<strong>en</strong> bek<strong>en</strong>de<br />
gateway of proxy is, duidt dit op e<strong>en</strong> spoof site die verkeer doorleidt.”<br />
“Naarmate spoof sites langer in de lucht kunn<strong>en</strong> blijv<strong>en</strong>, gaan ze opvall<strong>en</strong> doordat<br />
ze in search <strong>en</strong>gines terechtkom<strong>en</strong> <strong>en</strong> bij de ISP host ine<strong>en</strong>s meer verkeer gaan<br />
oplever<strong>en</strong>.”<br />
Bank account abuse<br />
Zijn de gegev<strong>en</strong>s van slachtoffers verkreg<strong>en</strong> <strong>en</strong> naar de phisher toegehaald dan kan<br />
hij ze gaan gebruik<strong>en</strong>. E<strong>en</strong> directe manier om misbruik te mak<strong>en</strong> van inloggegev<strong>en</strong>s<br />
vindt plaats bij zogehet<strong>en</strong> two‐factor auth<strong>en</strong>tification. Deze manier van<br />
toegangsbeveiliging wordt veel toegepast in het bankwez<strong>en</strong>. Klant<strong>en</strong> logg<strong>en</strong> niet in<br />
met e<strong>en</strong> vaste combinatie van gebruikersnaam <strong>en</strong> wachtwoord, maar gebruik<strong>en</strong><br />
hun rek<strong>en</strong>ingnummer als gebruikersnaam. Het wachtwoord wordt gemaakt door<br />
e<strong>en</strong> kleine console, die op basis van de gebruikte bankpas <strong>en</strong> de bijbehor<strong>en</strong>de<br />
pincode e<strong>en</strong> algoritme toepast <strong>en</strong> e<strong>en</strong> toegangscode aan de gebruiker toont.<br />
Phishers kunn<strong>en</strong> toch misbruik mak<strong>en</strong> van rek<strong>en</strong>ing<strong>en</strong> die op deze manier beveiligd<br />
zijn. Ze creër<strong>en</strong> e<strong>en</strong> spoof website die exact gelijk is aan de inlogpagina van de bank<br />
<strong>en</strong> daar ook 1‐op‐1 mee communiceert. Naast deze website creër<strong>en</strong> ze e<strong>en</strong><br />
sidescript dat als functie heeft om met de legitieme gebruiker mee naar binn<strong>en</strong> te<br />
glipp<strong>en</strong>. Wanneer de gebruiker inlogt op zijn of haar rek<strong>en</strong>ing wordt het sidescript<br />
geactiveerd <strong>en</strong> gaat met de gebruiker, die nu onbewust slachtoffer is geword<strong>en</strong>,<br />
naar binn<strong>en</strong>. Het slachtoffer merkt niets, omdat de spoof website via de legitieme<br />
76
website toegang geeft tot het beveiligde gedeelte van de website. Het slachtoffer<br />
doet zijn transacties <strong>en</strong> logt uit. Het sidescript blijft echter actief <strong>en</strong> houdt zo de<br />
deur op<strong>en</strong> voor de phisher. Deze kan nu zijn gang gaan <strong>en</strong> geld overboek<strong>en</strong> naar<br />
andere rek<strong>en</strong>ing<strong>en</strong>. Dat wordt gemaskeerd door ze de naam mee te gev<strong>en</strong> van<br />
regelmatige betaling<strong>en</strong>, zoals gas/water/licht, huur, hypotheek, etc. De betaling<strong>en</strong><br />
word<strong>en</strong> ook uitgevoerd rond de datums van de reguliere betaling<strong>en</strong> of precies<br />
tuss<strong>en</strong> twee van deze betaling<strong>en</strong> in, zodat ze minder opvall<strong>en</strong>. Via nieuwe<br />
toepassing<strong>en</strong> als Ideal, kan de phisher ook aankop<strong>en</strong> do<strong>en</strong> op rek<strong>en</strong>ing van<br />
slachtoffers. Bij <strong>internet</strong>winkels betaalt hij met de rek<strong>en</strong>inggegev<strong>en</strong>s van het<br />
slachtoffer <strong>en</strong> laat product<strong>en</strong> naar zichzelf of mules opstur<strong>en</strong>.<br />
Deze methode is weer e<strong>en</strong> voorbeeld van de ‘man‐in‐the‐middle’‐techniek <strong>en</strong> is<br />
technisch redelijk moeilijk. Er zijn ge<strong>en</strong> g<strong>en</strong>erieke tools voor te download<strong>en</strong>. De<br />
‘man‐in‐the‐middle’ software moet duur gekocht word<strong>en</strong> of door e<strong>en</strong> dure hacker<br />
gemaakt word<strong>en</strong>. Het is lastig voorstelbaar dat e<strong>en</strong> scriptkiddy dit zou kunn<strong>en</strong> of<br />
dat e<strong>en</strong> hacker het voor niets zou do<strong>en</strong>. Ook is het ge<strong>en</strong> software waarvan m<strong>en</strong> kan<br />
claim<strong>en</strong> dat m<strong>en</strong> niet wist waar het voor was. Er is sprake van e<strong>en</strong> soort<br />
wap<strong>en</strong>wedloop. De phisher stapelt anti‐detectiemaatregel<strong>en</strong> <strong>en</strong> de bestrijders<br />
bed<strong>en</strong>k<strong>en</strong> detectiemaatregel<strong>en</strong>. Soms lijkt niet e<strong>en</strong>s de moeite te word<strong>en</strong> g<strong>en</strong>om<strong>en</strong><br />
om detectie te vermijd<strong>en</strong>. Het is voor de phisher altijd e<strong>en</strong> afweging, veel<br />
e<strong>en</strong>voudig do<strong>en</strong> of minder beter do<strong>en</strong>. Het is niet altijd duidelijk wat meer oplevert.<br />
Vooral phishers die echt invester<strong>en</strong> kunn<strong>en</strong> soms de op<strong>en</strong> <strong>en</strong> bloot (snel <strong>en</strong><br />
gevaarlijk) aanpak kiez<strong>en</strong>.<br />
“Indi<strong>en</strong> er sprake is van direct gebruik van de gestol<strong>en</strong> data (bijvoorbeeld bij e<strong>en</strong><br />
bank) zal de dader in de meeste gevall<strong>en</strong> gebruik mak<strong>en</strong> van katvangers (money<br />
mules). Daarnaast zijn de bedrag<strong>en</strong> die bijgeschrev<strong>en</strong> word<strong>en</strong> relatief klein <strong>en</strong><br />
daardoor onopvall<strong>en</strong>d.”<br />
“Creditcard data wordt vaak via underground sites doorverkocht aan (Russische)<br />
b<strong>en</strong>des. Door middel van informatie van bek<strong>en</strong>d geword<strong>en</strong> slachtoffers, kan via het<br />
daadwerkelijk misbruik van de creditcardgegev<strong>en</strong>s, de link met de creditcard b<strong>en</strong>de<br />
gelegd word<strong>en</strong>. Via de communicatie van deze b<strong>en</strong>de met ander<strong>en</strong>, kan de phisher<br />
geïd<strong>en</strong>tificeerd word<strong>en</strong>.”<br />
“Inloggegev<strong>en</strong>s voor sites waar ge<strong>en</strong> direct financieel voordeel mee kan word<strong>en</strong><br />
behaald (Hyves, Facebook, marktplaats), word<strong>en</strong> vaak gebruikt om met behulp van<br />
dezelfde inlog toegang te krijg<strong>en</strong> tot webshops waar via oneerlijke shopping<br />
goeder<strong>en</strong> besteld kunn<strong>en</strong> word<strong>en</strong>. De veronderstelling hierachter is dat veel<br />
77
gebruikers dezelfde inlognaam <strong>en</strong> wachtwoord bij verschill<strong>en</strong>de sites gebruik<strong>en</strong>. De<br />
bestelling van goeder<strong>en</strong> via andermans account kan vervolg<strong>en</strong>s opvall<strong>en</strong> doordat<br />
e<strong>en</strong> ander afleveradres gebruikt wordt (vaak van katvanger of e<strong>en</strong> zog<strong>en</strong>aamde<br />
'op<strong>en</strong> briev<strong>en</strong>bus').”<br />
Creditcard abuse<br />
Het misbruik<strong>en</strong> van creditcardgegev<strong>en</strong>s kan op verschill<strong>en</strong>de manier<strong>en</strong>. Met de<br />
creditcard kan geld word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> of er kunn<strong>en</strong> product<strong>en</strong> op word<strong>en</strong><br />
aangeschaft. Via Paypal kan ook rechtstreeks geld overgeboekt word<strong>en</strong> naar<br />
rek<strong>en</strong>ing<strong>en</strong> in bezit of onder controle van de phisher. E<strong>en</strong> relatief nieuw f<strong>en</strong>ome<strong>en</strong><br />
is webmoney. Het betreft e<strong>en</strong> soort prepaid betaalmiddel waarmee e<strong>en</strong> account<br />
kan word<strong>en</strong> opgelad<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s kan word<strong>en</strong> betaald. Met creditcard<br />
gegev<strong>en</strong>s kunn<strong>en</strong> ook money transfers gedaan kunn<strong>en</strong> word<strong>en</strong>, alle<strong>en</strong> wordt er na<br />
de tweede betaling om id<strong>en</strong>tificatie gevraagd. Het stel<strong>en</strong> van creditcardgegev<strong>en</strong>s<br />
kan ook e<strong>en</strong> MO zijn in het phishingproces, bijvoorbeeld bij het betal<strong>en</strong> voor<br />
hosting of ingehuurde k<strong>en</strong>nis <strong>en</strong>/of kunde (via Paypal).<br />
Auction.trading abuse<br />
Niet‐bancaire gegev<strong>en</strong>s word<strong>en</strong> misbruikt in andere toepassing<strong>en</strong>. Eén van de<br />
onderzochte dossiers van het politiekorps Amsterdam‐Amstelland betrof e<strong>en</strong><br />
gekraakt Hotmail‐account t<strong>en</strong> laste waarvan op Ebay aankop<strong>en</strong> war<strong>en</strong> gedaan,<br />
vermoedelijk met gestol<strong>en</strong> creditcardgegev<strong>en</strong>s. Zo is de phisher niet te achterhal<strong>en</strong>,<br />
omdat hij zich bedi<strong>en</strong>t van de gegev<strong>en</strong>s van iemand anders. Via Ebay gebeurt<br />
hetzelfde, maar is de kans aanwezig dat de phisher via e<strong>en</strong> klantprofiel niet alle<strong>en</strong><br />
aankop<strong>en</strong> doet, maar deze ook betaalt via dat profiel. Het slachtoffer lijdt dan niet<br />
alle<strong>en</strong> immateriële schade in de vorm van id<strong>en</strong>titeitsdiefstal, maar ook materiële<br />
schade doordat hij aankop<strong>en</strong> voor de phisher betaalt.<br />
Abuse games cred<strong>en</strong>tials<br />
Voor games <strong>en</strong> online applicaties geld<strong>en</strong> ook verzilver‐ <strong>en</strong> doorsluismogelijkhed<strong>en</strong>.<br />
Internetcommunities als Habbo hotel zijn slachtoffer geword<strong>en</strong> van phishing<br />
waarbij accounts werd<strong>en</strong> gehackt <strong>en</strong> virtuele punt<strong>en</strong>, die met echt geld gekocht<br />
di<strong>en</strong>d<strong>en</strong> te word<strong>en</strong>, overgeschrev<strong>en</strong> werd<strong>en</strong> naar accounts van de phisher, die ze<br />
vervolg<strong>en</strong>s verzilverde ('Kisses', www.infonu.nl).<br />
Voor spell<strong>en</strong> als World of Warcraft (WoW) kan iets dergelijks ook opgaan. Hier<br />
stopp<strong>en</strong> spelers veel tijd <strong>en</strong>ergie <strong>en</strong> soms geld in het ontwikkel<strong>en</strong> van hun virtuele<br />
karakters <strong>en</strong> het verkrijg<strong>en</strong> van tools <strong>en</strong> skills. Al die eig<strong>en</strong>schapp<strong>en</strong> word<strong>en</strong> al voor<br />
geld op het web verhandeld <strong>en</strong> zijn dus ook interessant om te stel<strong>en</strong>. Als e<strong>en</strong><br />
78
phisher e<strong>en</strong> WoW account weet te krak<strong>en</strong> <strong>en</strong> de tools <strong>en</strong> skills steelt van e<strong>en</strong> ander<br />
kan hij daar wellicht goed aan verdi<strong>en</strong><strong>en</strong>. Eén van de onderzochte dossiers had<br />
betrekking op e<strong>en</strong> dergelijke kraak bij de bron: de ontwikkelaar van e<strong>en</strong> spel dat al<br />
wel was aangekondigd maar nog niet op de markt was. In dat geval had e<strong>en</strong><br />
groepje gamers zich t<strong>en</strong> doel gesteld zoveel mogelijk spell<strong>en</strong> te krak<strong>en</strong>.<br />
2.16 Stap 11 Activate mules<br />
Wanneer e<strong>en</strong> phisher op <strong>en</strong>ig mom<strong>en</strong>t beschikt over creditcardgegev<strong>en</strong>s of<br />
bankrek<strong>en</strong>inginformatie, is het niet handig deze direct te gebruik<strong>en</strong> voor<br />
persoonlijke uitgav<strong>en</strong>. Dit maakt de opsporing te e<strong>en</strong>voudig. Phishers rekruter<strong>en</strong><br />
daarom mules (ook ‘drops’ g<strong>en</strong>oemd) die het geld ontvang<strong>en</strong> <strong>en</strong> doorstur<strong>en</strong>. Dit<br />
proces kan geheel giraal verlop<strong>en</strong>, maar wordt vaak via money transfers gedaan om<br />
het minder transparant te mak<strong>en</strong>. In dat geval ontvangt de mule e<strong>en</strong> bedrag op zijn<br />
rek<strong>en</strong>ing. Hiervan mag hij e<strong>en</strong> perc<strong>en</strong>tage houd<strong>en</strong> <strong>en</strong> de rest neemt hij contant op.<br />
Dit geld verstuurt de mule vervolg<strong>en</strong>s per money transfer naar de bestemming die<br />
de phisher wil. Direct daarna belt of mailt hij de zog<strong>en</strong>aamde MTC‐codes door aan<br />
de phisher die het geld vervolg<strong>en</strong>s bij elk kantoor van Western Union of Money<br />
Gram kan ophal<strong>en</strong> onder vermelding van het MTC‐nummer. De bedrag<strong>en</strong> blijv<strong>en</strong><br />
dicht onder de meldgr<strong>en</strong>s voor ongebruikelijke transacties. Id<strong>en</strong>tificatie is formeel<br />
vereist maar daarop wordt niet in alle land<strong>en</strong> ev<strong>en</strong> sterk toegezi<strong>en</strong> <strong>en</strong> bov<strong>en</strong>di<strong>en</strong> is<br />
e<strong>en</strong> vervalst id<strong>en</strong>titeitsbewijs voldo<strong>en</strong>de om het risico op ontdekking te vermijd<strong>en</strong>.<br />
Mules kunn<strong>en</strong> ook geheel te goeder trouw handel<strong>en</strong>, omdat phishers zich vaak<br />
voordo<strong>en</strong> als geheel legitieme partij<strong>en</strong> die hulp nodig hebb<strong>en</strong> bij het doorgev<strong>en</strong> van<br />
geld.<br />
“M<strong>en</strong>s<strong>en</strong> met weinig mutaties op bankrek<strong>en</strong>ing<strong>en</strong> met e<strong>en</strong> laag saldo die plotseling<br />
grotere bedrag<strong>en</strong> krijg<strong>en</strong> bijgeschrev<strong>en</strong> die heel snel word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong>, hebb<strong>en</strong><br />
e<strong>en</strong> grote kans als mule te word<strong>en</strong> ingezet. Helemaal als de rek<strong>en</strong>ing kort daarvoor<br />
is geop<strong>en</strong>d zonder betaalpas af te nem<strong>en</strong> <strong>en</strong> verder niet meer wordt gebruikt.”<br />
2.17 Stap 12 Receive money/laundering money<br />
Om van zijn geld te kunn<strong>en</strong> g<strong>en</strong>iet<strong>en</strong>, moet de phisher het beschikbaar krijg<strong>en</strong> <strong>en</strong><br />
79
vervolg<strong>en</strong>s witwass<strong>en</strong>. E<strong>en</strong> gedeelte van het verplaats<strong>en</strong> van geld kan door middel<br />
van de mules gebeur<strong>en</strong> als hier voor omschrev<strong>en</strong>. Zij verdoezel<strong>en</strong> het spoor <strong>en</strong><br />
verklein<strong>en</strong> de traceerbaarheid van het geld. In de land<strong>en</strong> waar de phishers<br />
uiteindelijk hun geld ontvang<strong>en</strong>, Oost‐Europa <strong>en</strong> derde wereldland<strong>en</strong>, word<strong>en</strong> in<br />
ieder geval al weinig vrag<strong>en</strong> gesteld betreff<strong>en</strong>de de herkomst van geld. In dit soort<br />
land<strong>en</strong> betek<strong>en</strong>t de ontvangst van het geld eig<strong>en</strong>lijk ook dat het is witgewass<strong>en</strong>.<br />
Al snel valt de term underground banking maar daarvan bestaan tal van<br />
verschill<strong>en</strong>de soort<strong>en</strong>, waarbij de meest bek<strong>en</strong>de Hawala‐achtige 19 system<strong>en</strong> sterk<br />
zijn gekoppeld aan bepaalde bevolkingsgroep<strong>en</strong> die ook vrijwel uitsluit<strong>en</strong>d led<strong>en</strong> uit<br />
die eig<strong>en</strong> bevolkingsgroep <strong>en</strong> daaraan gelieerde bestemming<strong>en</strong> di<strong>en</strong><strong>en</strong> (Van de<br />
Bunt & Siegel, 2009). Deze bevolkingsgroep<strong>en</strong> word<strong>en</strong> bijvoorbeeld in relatie tot<br />
Nigerian<strong>en</strong>scam aangetroff<strong>en</strong> <strong>en</strong> niet binn<strong>en</strong> phishingactiviteit<strong>en</strong>. Phishers k<strong>en</strong>n<strong>en</strong><br />
hun eig<strong>en</strong> vermoedelijk <strong>internet</strong>gerelateerde manier<strong>en</strong> van geld verplaats<strong>en</strong>.<br />
Money transfer<br />
Ondanks alle evolutionaire ontwikkeling in het phishingproces blijkt de MO voor<br />
het doorsluiz<strong>en</strong> van geld naar de phisher met behulp van moneymules volg<strong>en</strong>s<br />
Nederlandse deskundig<strong>en</strong> immer populair (Workshop NICC‐actieonderzoek, 9 april<br />
2009) <strong>en</strong> neemt ze volg<strong>en</strong>s andere bronn<strong>en</strong> zelfs toe (o.a. Mills, 2008;<br />
SearchFinancialSecurity, 2009). Deze MO staat bij stap 11 beschrev<strong>en</strong>.<br />
Webmoney<br />
Webmoney is de naam van e<strong>en</strong> bedrijf 20 , maar wordt steeds meer gebruikt om<br />
bepaalde betaalfaciliteit<strong>en</strong> te duid<strong>en</strong>. Webmoney introduceerde e<strong>en</strong> elektronisch<br />
geld <strong>en</strong> online betaalsysteem. Oorspronkelijk richtte Webmoney zich voornamelijk<br />
op Rusland (omdat weinig Russ<strong>en</strong> e<strong>en</strong> creditcard hebb<strong>en</strong>). Inmiddels wordt het<br />
wereldwijd gebruikt, vooral ook in de wereld van pokergames. Inschrijv<strong>en</strong> <strong>en</strong> geld<br />
ontvang<strong>en</strong> is gratis. Voor het verstur<strong>en</strong> van geld is e<strong>en</strong> <strong>fee</strong> verschuldigd bestaande<br />
uit e<strong>en</strong> perc<strong>en</strong>tage van het verzond<strong>en</strong> bedrag. Betaling<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> beveiligd<br />
met e<strong>en</strong> wachtwoord. Op die manier kan e<strong>en</strong> gebruiker e<strong>en</strong> betaling ophoud<strong>en</strong><br />
door e<strong>en</strong> wachtwoord pas bek<strong>en</strong>d te mak<strong>en</strong> als de overe<strong>en</strong>gekom<strong>en</strong> teg<strong>en</strong>prestatie<br />
is verricht.<br />
E<strong>en</strong> Webmoney account kan op verschill<strong>en</strong>de manier<strong>en</strong> word<strong>en</strong> opgelad<strong>en</strong>: via e<strong>en</strong><br />
eig<strong>en</strong> bankrek<strong>en</strong>ing, andere online betaalsystem<strong>en</strong>, wisselkantor<strong>en</strong> (zoals GWK) <strong>en</strong><br />
19 Hawala is e<strong>en</strong>, oorspronkelijk uit het Midd<strong>en</strong>‐Oost<strong>en</strong> afkomstig, informeel banksysteem.<br />
20 WM Transfer Limited, opgericht in 1998 <strong>en</strong> gevestigd in Belize.<br />
80
door middel van in winkels verkrijgbare Webmoney kaart<strong>en</strong> van verschill<strong>en</strong>de<br />
waard<strong>en</strong>. Webmoney is veilig omdat er ge<strong>en</strong> creditcard account of bankrek<strong>en</strong>ing<br />
als teg<strong>en</strong>rek<strong>en</strong>ing nodig zijn. Ook is oplichting onmogelijk omdat gedane storting<strong>en</strong><br />
niet kunn<strong>en</strong> word<strong>en</strong> teruggedraaid. Accounts, ‘purses’ g<strong>en</strong>oemd, mak<strong>en</strong> gebruik<br />
van equival<strong>en</strong>t<strong>en</strong> in goud (WMG), dollars (WMZ), roebels (WMR), euro's (WME) of<br />
hryvnia's (WMU, Oekraïne) 21 . Accounthouders kunn<strong>en</strong> volledig anoniem blijv<strong>en</strong><br />
voor elkaar.<br />
Webmoney<br />
‘Snowwhite’<br />
Op voorraad:<br />
E-Gold - ongeveer 250 euro<br />
Webmoney - ongeveer 450 euro<br />
Als je E-Gold of Webmoney wilt overnem<strong>en</strong> teg<strong>en</strong> e<strong>en</strong> tarief van 0%, neem dan<br />
contact met ons op: www.snow-white.nl/nederland/contact.htm”<br />
Bron: www.snow-white.nl, 2009<br />
Webmoney wordt ook verhandeld zoals wordt geïllustreerd met vor<strong>en</strong>staand<br />
voorbeeld van e<strong>en</strong> <strong>internet</strong>advert<strong>en</strong>tie uit de wiethandel. Het bezit van Webmoney<br />
wordt zelfs vanuit ‘Snow‐white’ verklaard: het heeft wat E‐Gold <strong>en</strong> Webmoney in<br />
voorraad als gevolg van de zaadverkoop.<br />
“In to<strong>en</strong>em<strong>en</strong>de mate wordt financieel gewin van criminaliteit op <strong>internet</strong> omgezet<br />
in zog<strong>en</strong>aamde webmoney. Of het gaat om het lever<strong>en</strong> van creditcard informatie,<br />
het hur<strong>en</strong> van e<strong>en</strong> botnet, het lever<strong>en</strong> van adress<strong>en</strong>, inloggegev<strong>en</strong>s voor spelletjes<br />
of ftp sites; de meeste ruil vindt plaats met webmoney als virtueel geldmedium.”<br />
Steeds meer goeder<strong>en</strong> <strong>en</strong> di<strong>en</strong>st<strong>en</strong> in de fysieke wereld kunn<strong>en</strong> met webgeld<br />
bekostigd word<strong>en</strong> (hotels, vliegreiz<strong>en</strong>). E<strong>en</strong> manier om webgeld wit te wass<strong>en</strong> is<br />
dan bijvoorbeeld om hotelovernachting<strong>en</strong> te boek<strong>en</strong> bij e<strong>en</strong> online reisbureau dat<br />
betaald krijgt in legitiem geld maar de eig<strong>en</strong> betaling<strong>en</strong> via illegaal verkreg<strong>en</strong><br />
webgeld pleegt. E<strong>en</strong> ander specifiek voorbeeld van creativiteit gaat over iemand die<br />
het cadeaubon algoritme van de iTunes winkel had gekraakt <strong>en</strong> dat te gelde wilde<br />
mak<strong>en</strong> (iTunes heeft namelijk e<strong>en</strong> applicatie winkel waar programmeurs hun<br />
iPhone <strong>en</strong> iPod programma's kunn<strong>en</strong> verkop<strong>en</strong>). Hij probeerde daarvoor op e<strong>en</strong><br />
gameforum moneymules te werv<strong>en</strong> die geld van iTunes krijg<strong>en</strong>. Zij krijg<strong>en</strong> zelfs 70%<br />
21 www.<strong>en</strong>.wikipedia.org/wiki/WebMoney, laatst geraadpleegd 21 december 2009.<br />
81
van de omzet. De cybercimineel stelde het volg<strong>en</strong>de voor: “ik koop zo vaak ik kan<br />
jouw programma, jij krijgt geld van Apple <strong>en</strong> we do<strong>en</strong> 50/50.” De crimineel hoopte<br />
dat de programmeur niet zo slim was dat hij/zij begreep wat Apple doet als ze zi<strong>en</strong><br />
dat ine<strong>en</strong>s duiz<strong>en</strong>d<strong>en</strong> programma’s verkocht word<strong>en</strong>, allemaal met dezelfde valse<br />
cadeaubonn<strong>en</strong> (Dilger & McLean, 2009).<br />
Online product paym<strong>en</strong>t<br />
Met gestol<strong>en</strong> creditcard informatie <strong>en</strong> webmoney kan e<strong>en</strong>voudig online gewinkeld<br />
word<strong>en</strong>. Het probleem is wel dat fysieke levering van de aangekochte goeder<strong>en</strong> bij<br />
de dader, opsporing ervan kan vere<strong>en</strong>voudig<strong>en</strong>. Stromann<strong>en</strong>, op<strong>en</strong> briev<strong>en</strong>buss<strong>en</strong><br />
bij flats <strong>en</strong> instelling<strong>en</strong>, <strong>en</strong> slecht beveiligde postbuss<strong>en</strong> zijn oplossing<strong>en</strong> voor dit<br />
euvel. Zijn de goeder<strong>en</strong> ontvang<strong>en</strong> dan word<strong>en</strong> ze bijvoorbeeld via Ebay weer te<br />
koop aangebod<strong>en</strong>.<br />
“Gestol<strong>en</strong> creditcardinformatie wordt vaak niet direct aangew<strong>en</strong>d voor online<br />
aankop<strong>en</strong>. In plaats daarvan wordt deze informatie doorgeleverd aan andere<br />
actor<strong>en</strong> in ruil voor e<strong>en</strong> goed gevuld account van webmoney. Dit account kan<br />
vervolg<strong>en</strong>s laagdrempeliger gebruikt word<strong>en</strong> om online te winkel<strong>en</strong>. De kans dat<br />
daarmee rechtstreeks geleverd wordt aan het adres van de dader zal dan groter<br />
zijn, zo is de verwachting.”<br />
Physical money transport<br />
Om ge<strong>en</strong> digitale spor<strong>en</strong> achter te lat<strong>en</strong>, wordt nog steeds gebruik gemaakt van het<br />
fysieke transport van geld door geldkoeriers naar de uiteindelijke sponsor. Dat is<br />
moeilijk in administratieve zin te detecter<strong>en</strong>.<br />
In case R, werd geld dat afkomstig was van afpersing na diefstal van e<strong>en</strong> database,<br />
overgemaakt met e<strong>en</strong> money transfer, opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> met e<strong>en</strong> buschauffeur vanuit<br />
Nederland mee naar Riga vervoerd. De geldkoerier vervoegde zich bij de chauffeur<br />
<strong>en</strong> vroeg of hij e<strong>en</strong> <strong>en</strong>velop mocht afgev<strong>en</strong>. Hij noteerde het k<strong>en</strong>tek<strong>en</strong> van de bus<br />
<strong>en</strong> het telefoonnummer van de chauffeur, <strong>en</strong> gaf e<strong>en</strong> code van 8 cijfers mee. Die<br />
code werd doorgebeld naar e<strong>en</strong> handlanger op de plaats van bestemming, die met<br />
de code het geld van de chauffeur overhandigd kreeg.<br />
2.18 Sam<strong>en</strong>hang phishing met andere delict<strong>en</strong><br />
In het spraakgebruik lijkt phishing e<strong>en</strong> <strong>en</strong>kelvoudig delict, maar in feite bestaat het<br />
uit e<strong>en</strong> collectie van delict<strong>en</strong> zoals id<strong>en</strong>titeits<strong>fraud</strong>e, creditcard<strong>fraud</strong>e,<br />
82
computervredebreuk, valsheid in geschrifte, oplichting, witwass<strong>en</strong> <strong>en</strong> spam. De<br />
sam<strong>en</strong>loop van dit soort delict<strong>en</strong> met phishing is evid<strong>en</strong>t om e<strong>en</strong> phishingoperatie<br />
te kunn<strong>en</strong> voltooi<strong>en</strong>. Dit type sam<strong>en</strong>hang zou m<strong>en</strong> dan ook kunn<strong>en</strong> zi<strong>en</strong> als<br />
steundelict<strong>en</strong>.<br />
Als tweede vorm van sam<strong>en</strong>hang onderscheid<strong>en</strong> we delict<strong>en</strong> die ge<strong>en</strong> relatie<br />
hebb<strong>en</strong> naar het phishingproces, maar die e<strong>en</strong>voudig kunn<strong>en</strong> word<strong>en</strong> gepleegd<br />
wanneer m<strong>en</strong> met phishingtechniek<strong>en</strong> vertrouwd is. De Griekse zaak ‘Avanturine’ is<br />
daarvan e<strong>en</strong> voorbeeld (bron KLPD), waarbij het de phisher te do<strong>en</strong> was om in het<br />
bezit te kom<strong>en</strong> van e<strong>en</strong> game in ontwikkeling met de bijbehor<strong>en</strong>de toegangscodes.<br />
In dit type intellectuele eig<strong>en</strong>doms<strong>fraud</strong>e is het phish<strong>en</strong> min of meer synoniem<br />
geword<strong>en</strong> aan hack<strong>en</strong>. Andere voorbeeld<strong>en</strong> zijn het hack<strong>en</strong> <strong>en</strong> het krak<strong>en</strong> van<br />
reguliere software. Verder vorm<strong>en</strong> de zog<strong>en</strong>aamde Torr<strong>en</strong>t hosts e<strong>en</strong> bijzondere<br />
groep. Torr<strong>en</strong>t hosts zijn coördinator<strong>en</strong> voor het uitwissel<strong>en</strong> van torr<strong>en</strong>ts 22 . Dit zijn<br />
in de regel grote bestand<strong>en</strong> of verzameling<strong>en</strong> van bestand<strong>en</strong>, zoals films of muziek.<br />
Gebruikers up‐ <strong>en</strong> download<strong>en</strong> direct naar elkaar (peer‐to‐peer). De kracht van<br />
torr<strong>en</strong>ts is dat up‐ <strong>en</strong> download<strong>en</strong> niet van e<strong>en</strong> c<strong>en</strong>trale locatie gebeurt, maar van<br />
heel veel verschill<strong>en</strong>de gebruikers tegelijk, die allemaal e<strong>en</strong> stukje aanlever<strong>en</strong>. Dit<br />
verhoogt de snelheid van zowel up‐ als download aanzi<strong>en</strong>lijk. De host coördineert<br />
dit door torr<strong>en</strong>ts te lokaliser<strong>en</strong> <strong>en</strong> het verkeer te diriger<strong>en</strong>. Dit is nog legaal <strong>en</strong> er is<br />
veel geld mee te verdi<strong>en</strong><strong>en</strong>. De groep die zich hiervan bedi<strong>en</strong>t zou op termijn naar<br />
andere vorm<strong>en</strong> van gedrag kunn<strong>en</strong> opschuiv<strong>en</strong> wanneer dit weer illegaal verklaard<br />
wordt. Dit soort delict<strong>en</strong> noem<strong>en</strong> we associatiedelict<strong>en</strong> (in de literatuur word<strong>en</strong> het<br />
ook cross‐overdelict<strong>en</strong> g<strong>en</strong>oemd) omdat ze in het verl<strong>en</strong>gde ligg<strong>en</strong> van de<br />
phishingk<strong>en</strong>nis <strong>en</strong> ‐vaardighed<strong>en</strong>.<br />
Als derde vorm onderscheid<strong>en</strong> we sam<strong>en</strong>hang die ev<strong>en</strong>e<strong>en</strong>s niet is gerelateerd aan<br />
het phishingproces maar als het ware dezelfde voedingsbodem heeft als phishing.<br />
Illustratief voor dit soort embryonale delict<strong>en</strong>, is de case van Leo Kuvayev. Deze<br />
Russische/Amerikaanse spammer houdt/hield zich bezig met verstur<strong>en</strong> van spam<br />
voor illegale software, illegale medicijn<strong>en</strong> <strong>en</strong> porno. “Kuvayev <strong>en</strong> zijn b<strong>en</strong>de zoud<strong>en</strong><br />
viruss<strong>en</strong> ontwikkel<strong>en</strong> waarmee Pc’s als spamzombie gebruikt kunn<strong>en</strong> word<strong>en</strong>.<br />
Daarnaast koopt hij overal bulletproof hosting in Brazilië, China <strong>en</strong> Rusland. Hij is<br />
bek<strong>en</strong>d van de <strong>en</strong>orme hoeveelheid domein<strong>en</strong> (met valse informatie) die hij<br />
gebruikt, die elke drie uur roter<strong>en</strong> om detectie door filters te voorkom<strong>en</strong>. Hij mailt<br />
via proxy’s via bek<strong>en</strong>de spamsoftware <strong>en</strong> is nauwe vri<strong>en</strong>djes met allerlei<br />
22 Bijvoorbeeld: www.torr<strong>en</strong>tz.com, www.bittorr<strong>en</strong>t.com of www.mininova.org.<br />
83
otnetbeheerders, om zo nieuwe spamzombies te gebruik<strong>en</strong>.” (overg<strong>en</strong>om<strong>en</strong> van<br />
Security.nl, 2008).<br />
Tot slot kan e<strong>en</strong> vierde groep delict<strong>en</strong> word<strong>en</strong> onderscheid<strong>en</strong> die niet noodzakelijk<br />
is om e<strong>en</strong> phishingproces te voltooi<strong>en</strong>, maar die als het ware door het<br />
phishingproces wordt uitgelokt. Ze di<strong>en</strong><strong>en</strong> om de eig<strong>en</strong> phishingactiviteit<strong>en</strong> af te<br />
scherm<strong>en</strong> teg<strong>en</strong> die van concurr<strong>en</strong>t<strong>en</strong>. De ripdeal waarvan het zog<strong>en</strong>aamde Sneker<br />
botnet deel uit bleek te mak<strong>en</strong> is daarvan e<strong>en</strong> voorbeeld (Libb<strong>en</strong>ga, 2008), ev<strong>en</strong>als<br />
de moord op de Russische spammer Vardan Kushnir in 2005 of concurr<strong>en</strong>tie tuss<strong>en</strong><br />
botnet‐herders die elkaars zombies prober<strong>en</strong> af te pakk<strong>en</strong>. M<strong>en</strong> zou deze vorm<strong>en</strong><br />
van sam<strong>en</strong>hang<strong>en</strong>de criminaliteit kunn<strong>en</strong> kwalificer<strong>en</strong> als verdringingsdelict<strong>en</strong>.<br />
2.19 Roll<strong>en</strong><br />
In het eerste deel van dit hoofdstuk is het phishingproces met haar MO‐elem<strong>en</strong>t<strong>en</strong><br />
beschrev<strong>en</strong> vanuit e<strong>en</strong> logistiek perspectief. Dit tweede deel k<strong>en</strong>t e<strong>en</strong> meer<br />
organisatorisch vertrekpunt <strong>en</strong> gaat in op de verschill<strong>en</strong>de roll<strong>en</strong> die in het<br />
phishingproces kunn<strong>en</strong> voorkom<strong>en</strong>. Zonder daarmee te will<strong>en</strong> suggerer<strong>en</strong> dat het<br />
altijd zo e<strong>en</strong>duidig is wie er achter e<strong>en</strong> bepaalde bijdrage aan het proces zit. Er zijn<br />
daarvoor te weinig gegev<strong>en</strong>s voorhand<strong>en</strong> <strong>en</strong> net als de klassieke criminel<strong>en</strong> ook<br />
ge<strong>en</strong> klon<strong>en</strong> van elkaar zijn, geldt dat ook voor de <strong>internet</strong>criminel<strong>en</strong>. Figuur 2<br />
illustreert dat er bij phishing nogal wat roll<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> voorondersteld. Dat<br />
beeld wordt ondersteund door rec<strong>en</strong>te bestrijdingssuccess<strong>en</strong> (Westervelt, 2009).<br />
Naarmate phishing meer sophisticated plaatsvindt, vraagt het ook om expertise<br />
waarover één persoon niet snel zal beschikk<strong>en</strong> <strong>en</strong> loont het voor actor<strong>en</strong> om zich in<br />
verschill<strong>en</strong>de roll<strong>en</strong> te professionaliser<strong>en</strong> <strong>en</strong> te verzelfstandig<strong>en</strong>.<br />
Basaal onderscheid<strong>en</strong> we daderroll<strong>en</strong> <strong>en</strong> slachtofferroll<strong>en</strong>. In phishingoperaties zijn<br />
ook daders betrokk<strong>en</strong> ‘teg<strong>en</strong> wil <strong>en</strong> dank’. Money transfer kantor<strong>en</strong> bijvoorbeeld<br />
vervull<strong>en</strong> onbedoeld e<strong>en</strong> rol in het doorsluiz<strong>en</strong> van opbr<strong>en</strong>gst<strong>en</strong> van cybercrime.<br />
Dit soort daderroll<strong>en</strong> te goeder trouw zijn in het schema gro<strong>en</strong> gekleurd. Roll<strong>en</strong> die<br />
zowel te goeder als te kwader trouw kunn<strong>en</strong> voorkom<strong>en</strong> onderscheid<strong>en</strong> zich in het<br />
schema door e<strong>en</strong> kleurverloop. Naast individuele roll<strong>en</strong> bevat het schema ook e<strong>en</strong><br />
‘wolk’ van onderling gerelateerde roll<strong>en</strong> die onderling regelmatig contact hebb<strong>en</strong>.<br />
Hetzij via instant messaging, hetzij via mail of telefoon.<br />
In ess<strong>en</strong>tie is e<strong>en</strong> phishingnetwerk opgebouwd uit roll<strong>en</strong> die in vier hoofdgroep<strong>en</strong><br />
zijn onder te verdel<strong>en</strong>. De organisator<strong>en</strong> achter het netwerk <strong>en</strong> het phishingproces<br />
84
noem<strong>en</strong> we ‘the initiators’, deg<strong>en</strong><strong>en</strong> die het proces uitvoer<strong>en</strong> ‘employees’, allerlei<br />
roll<strong>en</strong> van waaruit verschill<strong>en</strong>de vorm<strong>en</strong> van ondersteuning word<strong>en</strong> geleverd<br />
schar<strong>en</strong> we onder ‘facilitators’ <strong>en</strong> zij op wie het proces is gericht of die er schade<br />
van ondervind<strong>en</strong> zijn de ‘targets’. Bij wijze van overview schets<strong>en</strong> we de werkwijze<br />
van e<strong>en</strong> phishingnetwerk, om in de paragraf<strong>en</strong> daarna dieper in te gaan op de<br />
afzonderlijke roll<strong>en</strong>.<br />
De leiding van e<strong>en</strong> phishingnetwerk is in hand<strong>en</strong> van de sponsor. Hij draagt het<br />
risico van de operatie <strong>en</strong> is te zi<strong>en</strong> als de produc<strong>en</strong>t. Naast de sponsor heeft de<br />
spammer e<strong>en</strong> belangrijke rol; deze is vooral actief als regisseur. Beide roll<strong>en</strong> kunn<strong>en</strong><br />
ook sam<strong>en</strong>vall<strong>en</strong>. De sponsor huurt allerlei di<strong>en</strong>st<strong>en</strong> in. De webdesigner wordt<br />
ingeschakeld voor het ontwerp van websites (bijvoorbeeld e<strong>en</strong> spoof website of<br />
recruitm<strong>en</strong>t sites), de translator vertaalt tekst<strong>en</strong> van spambericht<strong>en</strong> in de taal van<br />
de beoogde doelgroep, de scriptkiddy <strong>en</strong> toolsupplier lever<strong>en</strong> scripts die slim<br />
gebruik mak<strong>en</strong> van kwetsbaarhed<strong>en</strong> (exploits) in software <strong>en</strong> de mule‐recruiter<br />
levert katvangers voor het doorsluiz<strong>en</strong> van geld als de phishing bijna is voltooid.<br />
E<strong>en</strong> bijzondere rol speelt de scout: die speurt bijvoorbeeld het <strong>internet</strong> af naar<br />
servers die onder oude besturingssoftware met bek<strong>en</strong>de kwetsbaarhed<strong>en</strong> draai<strong>en</strong>,<br />
of hij kijkt hoe login‐procedures zijn van targetinstelling<strong>en</strong>. Het resultaat van deze<br />
inspanning<strong>en</strong> wordt vervolg<strong>en</strong>s overgedrag<strong>en</strong> aan de spammer met de opdracht<br />
om e<strong>en</strong> bepaalde doelgroep te bereik<strong>en</strong>. In de klassieke phishingvariant heeft de<br />
spammer dan vooral adress<strong>en</strong> nodig om aan de opdracht te kunn<strong>en</strong> voldo<strong>en</strong>. Die<br />
kunn<strong>en</strong> afkomstig zijn van e<strong>en</strong> harvester, hacker, e<strong>en</strong> verkooporganisatie van<br />
adress<strong>en</strong> of e<strong>en</strong> insider binn<strong>en</strong> e<strong>en</strong> bepaalde organisatie. De hacker heeft nog e<strong>en</strong><br />
tweede belangrijke rol: toegang bied<strong>en</strong> tot servers waarop de sites kunn<strong>en</strong> draai<strong>en</strong><br />
<strong>en</strong> die de gephishte gegev<strong>en</strong>s kunn<strong>en</strong> verzamel<strong>en</strong>.<br />
In de geavanceerde variant moet de spammer het vooral van de malware hebb<strong>en</strong><br />
<strong>en</strong> manier<strong>en</strong> om die te distribuer<strong>en</strong> <strong>en</strong> te bestur<strong>en</strong>. Daarvoor komt de zog<strong>en</strong>aamde<br />
botnetherder in beeld die voorziet in e<strong>en</strong> commando van e<strong>en</strong> botnet waarmee de<br />
spammer dat botnet (voor e<strong>en</strong> bepaalde duur) kan bestur<strong>en</strong>. Botnetherder <strong>en</strong><br />
malware distributor zijn in de praktijk vaak één partij of zitt<strong>en</strong> dicht teg<strong>en</strong> elkaar.<br />
De laatstg<strong>en</strong>oemde levert de speciale verpakking van malware zodat die niet wordt<br />
gesignaleerd door virusscanners.<br />
Uiteindelijk zorg<strong>en</strong> alle roll<strong>en</strong> er geme<strong>en</strong>schappelijk voor dat de elem<strong>en</strong>t<strong>en</strong> van het<br />
phishingproces op de juiste manier op het <strong>internet</strong> in elkaar grijp<strong>en</strong>, om uit te<br />
kom<strong>en</strong> bij het slachtoffer wi<strong>en</strong>s gegev<strong>en</strong>s word<strong>en</strong> afgetapt <strong>en</strong> de targetinstelling<br />
die door het gebruik van die gegev<strong>en</strong>s wordt b<strong>en</strong>adeeld. Hun traffic loopt langs<br />
verschill<strong>en</strong>de kanal<strong>en</strong> van instanties die dat <strong>internet</strong> (backbone provider) of de<br />
85
toegang tot dat <strong>internet</strong> (host <strong>en</strong> accesprovider) beher<strong>en</strong> <strong>en</strong> dus word<strong>en</strong> misbruikt.<br />
Hetzelfde geldt voor de leverancier van reguliere applicaties (viewers, browser,<br />
readers, scripts) <strong>en</strong> besturingssystem<strong>en</strong> die altijd kwetsbaarhed<strong>en</strong> bevatt<strong>en</strong><br />
waarvan e<strong>en</strong> aantal wordt misbruikt voor phishing‐doeleind<strong>en</strong>.<br />
86
Applicationsupplier<br />
Vulnerabilities<br />
Vulnerabilities<br />
Exploits<br />
Tool<br />
suplier<br />
Translator<br />
SDK’s<br />
Scriptkiddy<br />
Address<br />
host<br />
Addresses<br />
Address<br />
supplier<br />
Botnet<br />
herder<br />
Adds<br />
Malware<br />
distributor<br />
Scout<br />
Crawler<br />
Texts<br />
Webdesigner<br />
Exploits<br />
Server access<br />
Addresses<br />
Addresses<br />
Addresses<br />
Control command<br />
Packers<br />
Reconissance<br />
Spoof<br />
Hacker<br />
Addresses<br />
Harvester<br />
Addresses<br />
Spammer<br />
Demand<br />
Access<br />
provider<br />
Access<br />
id<strong>en</strong>ties<br />
Sponsor<br />
Personnel<br />
service<br />
Moneytransfer<br />
Money<br />
transfer<br />
ag<strong>en</strong>t<br />
Server access<br />
Spamrun<br />
Traffic<br />
Assignm<strong>en</strong>t<br />
Mule<br />
recruiter<br />
Deposit<br />
Job<br />
Inside<br />
employee<br />
Server acces<br />
Host<br />
Traffic<br />
Backbone<br />
provider<br />
Traffic<br />
Target<br />
Transfer<br />
Mule<br />
Transaction<br />
Victim<br />
Figuur 2: <strong>Phishing</strong>: Roll<strong>en</strong>complex <strong>en</strong> uitwisselingsrelaties<br />
87
2.20 ‘The Initiators’<br />
De initiator is de oorspronkelijke initiatiefnemer van e<strong>en</strong> spam <strong>en</strong>/of phishing<br />
aanval. Hij hoeft zelf ge<strong>en</strong> <strong>en</strong>kele stap in de aanval uit te voer<strong>en</strong>, maar heeft wel de<br />
coördinatie <strong>en</strong> zorgt voor de middel<strong>en</strong>. Dat is geld, maar vooral ook e<strong>en</strong> dekmantel<br />
bestaande uit de domeinnaam/‐nam<strong>en</strong>, e<strong>en</strong> registratie bij de Kamer van<br />
Koophandel, de contact<strong>en</strong> in het wereldje, of e<strong>en</strong> gestol<strong>en</strong> creditcard. De rol van<br />
initiator kan sam<strong>en</strong>vall<strong>en</strong> met die van de sponsor (dieg<strong>en</strong>e wi<strong>en</strong>s boodschap wordt<br />
verzond<strong>en</strong>). Uiteraard kunn<strong>en</strong> deze in dezelfde persoon ver<strong>en</strong>igd zijn, maar dat is<br />
niet altijd het geval. Wanneer de professionaliteit van de initiator to<strong>en</strong>eemt, zal hij<br />
verschill<strong>en</strong>de sponsors bedi<strong>en</strong><strong>en</strong> <strong>en</strong> wordt hij meer e<strong>en</strong> facilitator die het totale<br />
phishingproces als di<strong>en</strong>st<strong>en</strong>pakket aanbiedt. De DIY‐phishingkits zijn daarvan e<strong>en</strong><br />
doorontwikkelde vorm.<br />
Iemand is niet van de <strong>en</strong>e dag op de andere initiator van e<strong>en</strong> phishingproces. Uit de<br />
bestudeerde verhor<strong>en</strong> die deel uit maakt<strong>en</strong> van de onderzoeksdossiers bleek, dat<br />
de daders die als brein achter phishing schuilgaan al jar<strong>en</strong>lang in het wereldje actief<br />
zijn. Soms als ICT’er <strong>en</strong> soms als klassieke handelaar in porno die ge<strong>en</strong> droog brood<br />
meer wist te verdi<strong>en</strong><strong>en</strong> in de handel <strong>en</strong> vervolg<strong>en</strong>s de klant is gevolgd naar <strong>internet</strong><br />
als nieuw platform. Dat illustreert op zichzelf al dat initiators op verschill<strong>en</strong>de<br />
manier<strong>en</strong> in de wereld van spam <strong>en</strong> phishing zijn ingestroomd. We onderscheid<strong>en</strong><br />
vier verschill<strong>en</strong>de manier<strong>en</strong> van deze instroom waarvan we ter illustratie e<strong>en</strong><br />
aantal, niet limitatieve, voorbeeld<strong>en</strong> noem<strong>en</strong> van subcategorieën.<br />
1. ICT: systeembeheer, softwareontwikkeling, security.<br />
2. Porno: klassieke porno (shops, escort, film, raamprostitutie ), adultwebs,<br />
online sales.<br />
3. Marketing: directmail, advert<strong>en</strong>tiewerving, marktonderzoek.<br />
4. Internet‐gebruik: gaming, surf<strong>en</strong>, experim<strong>en</strong>ter<strong>en</strong>.<br />
2.20.1 Instroom vanuit de ICT-omgeving<br />
De ICT‐er kan meerdere motiev<strong>en</strong> hebb<strong>en</strong> voor zijn acties. Geld is e<strong>en</strong> voor de hand<br />
ligg<strong>en</strong>de motivatie, maar ev<strong>en</strong>zeer verveling of wraak kom<strong>en</strong> uit het<br />
dossieronderzoek naar vor<strong>en</strong>. Voor ICT’ers die veel k<strong>en</strong>nis hebb<strong>en</strong> op e<strong>en</strong> legaal<br />
terrein dat ook e<strong>en</strong>voudig is aan te w<strong>en</strong>d<strong>en</strong> voor illegale doeleind<strong>en</strong>, is de stap naar<br />
die illegaliteit klein. De ICT’er beschikt over de technologie, de k<strong>en</strong>nis <strong>en</strong> vanuit zijn<br />
werkgever of de klant<strong>en</strong> die word<strong>en</strong> bedi<strong>en</strong>d, ook over de infrastructuur. In de<br />
89
laatste situatie is het relatief e<strong>en</strong>voudig om de illegale activiteit<strong>en</strong> af te dekk<strong>en</strong> met<br />
legale. Inlogg<strong>en</strong> op e<strong>en</strong> server valt immers niet op als dat onderdeel is van<br />
bijvoorbeeld e<strong>en</strong> onderhoudscontract.<br />
Systeembeheerders die net onder hun technologische k<strong>en</strong>nisgr<strong>en</strong>s operer<strong>en</strong>,<br />
kunn<strong>en</strong> op zoek gaan naar e<strong>en</strong> andere uitdaging. Dat kan bijvoorbeeld via sites als<br />
www.r<strong>en</strong>tacoder.com of www.getafreelancer.com waar iedere willekeurige<br />
hobbyïst of professionele ontwikkelaar volg<strong>en</strong>s het principe van e‐bay kan<br />
inschrijv<strong>en</strong> op e<strong>en</strong> meestal kleinere ICT‐klus. Wat begint met e<strong>en</strong> leuke reguliere<br />
uitdaging kan, zodra ander<strong>en</strong> van de vaardighed<strong>en</strong> van de ontwikkelaar overtuigd<br />
rak<strong>en</strong>, ook tot inschakeling leid<strong>en</strong> voor e<strong>en</strong> illegale klus. Vrij snel komt m<strong>en</strong> dan op<br />
de lucratieve <strong>en</strong> og<strong>en</strong>schijnlijk risicoloze mogelijkhed<strong>en</strong> van spam <strong>en</strong> phishing. Het<br />
wraakmotief speelt mogelijk e<strong>en</strong> rol bij reorganisaties of demoties. Deze groep ICTers<br />
k<strong>en</strong>t veel gelijk<strong>en</strong> <strong>en</strong> ontmoet elkaar op fora, maar ook in lev<strong>en</strong>de lijve op<br />
congress<strong>en</strong> <strong>en</strong> bij door de werkgever gefaciliteerde cursuss<strong>en</strong>. Hier wordt k<strong>en</strong>nis<br />
uitgewisseld <strong>en</strong> word<strong>en</strong> ervaring<strong>en</strong> gedeeld. Hun k<strong>en</strong>nis <strong>en</strong> vaardighed<strong>en</strong> bouw<strong>en</strong><br />
ze uit tijd<strong>en</strong>s hun werkervaring (on‐the‐job) <strong>en</strong> ontwikkelt zich aan de hand van<br />
persoonlijke interesse. Op deze manier kan m<strong>en</strong> zich in vrij korte tijd inwerk<strong>en</strong> in de<br />
materie. In hun vrije tijd zijn ze niet te beroerd om familie <strong>en</strong> vri<strong>en</strong>d<strong>en</strong> e<strong>en</strong><br />
help<strong>en</strong>de hand toe te stek<strong>en</strong>. Dat spreekt zich door, tot er mogelijk ook e<strong>en</strong> ander<br />
beroep op die deskundigheid wordt gedaan.<br />
Voor het uitvoer<strong>en</strong> van e<strong>en</strong> aanval mak<strong>en</strong> de ICT‐initiators gebruik van kant <strong>en</strong><br />
klare pakkett<strong>en</strong>, maar ze zijn ook in staat zelf het e<strong>en</strong> <strong>en</strong> ander aan code te<br />
bouw<strong>en</strong>.<br />
2.20.2 Instroom vanuit de porno-wereld<br />
In de pornowereld draait het simpel om geld. Met de opkomst van het <strong>internet</strong> is<br />
de klassieke markt voor de verhuur/verkoop van pornofilms volledig ingestort. De<br />
distributeur van dit soort films had eig<strong>en</strong>lijk ge<strong>en</strong> keuze <strong>en</strong> maakte de overstap<br />
van verspreiding door middel van videotheek <strong>en</strong> postorder, naar het <strong>internet</strong>. De<br />
populariteit van het <strong>internet</strong> is nog steeds voor e<strong>en</strong> belangrijk deel aan de brede<br />
belangstelling voor pornografie te dank<strong>en</strong>. Met deze overstap maakte de porno<strong>en</strong>trepr<strong>en</strong>eur<br />
k<strong>en</strong>nis met <strong>internet</strong>technologie. Belangrijk motief was om e<strong>en</strong> zo<br />
groot mogelijke doelgroep te bereik<strong>en</strong> <strong>en</strong> die te verleid<strong>en</strong> tot de aanschaf van zijn<br />
product. Reclame was voor de porno‐<strong>en</strong>trepr<strong>en</strong>eur van lev<strong>en</strong>sbelang. Spam was<br />
daarvoor e<strong>en</strong> uitkomst. E<strong>en</strong> aantal van deze distribu<strong>en</strong>t<strong>en</strong> zag e<strong>en</strong> markt voor het<br />
bedi<strong>en</strong><strong>en</strong> van hun collega’s met spam‐di<strong>en</strong>stverl<strong>en</strong>ing. Zij kocht<strong>en</strong> op vrij grote<br />
schaal adult‐domein<strong>en</strong>, om die of door te verkop<strong>en</strong> of te verhur<strong>en</strong>. Hun nering<br />
90
veranderde van zelfstandige distributie naar di<strong>en</strong>stverl<strong>en</strong>ing in de sector. We zi<strong>en</strong><br />
dat feitelijk terug door de grote conc<strong>en</strong>traties van adult‐sites op dezelfde servers<br />
<strong>en</strong> het grote aantal gerelateerde domein<strong>en</strong> op dezelfde whois‐registratie. Het geld<br />
vloeide binn<strong>en</strong> door de verkoop van porno <strong>en</strong> door het op grote schaal verspreid<strong>en</strong><br />
van gerelateerde spam. Daardoor kreeg juist de porno‐<strong>en</strong>trepr<strong>en</strong>eur e<strong>en</strong> grote<br />
armslag voor verdere ontwikkeling <strong>en</strong> investering<strong>en</strong>.<br />
Na de overgang van de fysieke distributie van pornografisch materiaal naar digitale,<br />
wachtte de sector e<strong>en</strong> nieuwe tr<strong>en</strong>dbreuk. Door het to<strong>en</strong>em<strong>en</strong>d gratis beschikbaar<br />
kom<strong>en</strong> van porno op datzelfde <strong>internet</strong> kwam<strong>en</strong> inkomst<strong>en</strong> onder druk te staan. De<br />
in eerste instantie voor de werving van belangstelling voor pornografie ontwikkelde<br />
werkwijze, werd verbreed naar terrein<strong>en</strong> als viagra, p<strong>en</strong>is‐<strong>en</strong>largem<strong>en</strong>t<br />
aanbieding<strong>en</strong> <strong>en</strong> van daaruit naar andere categorieën zoals sport‐ of<br />
gezondheidgerelateerde voedingssuplem<strong>en</strong>t<strong>en</strong>. Sommig<strong>en</strong> hadd<strong>en</strong> deze markt<strong>en</strong><br />
overig<strong>en</strong>s al eerder ontdekt. De porno‐<strong>en</strong>trepr<strong>en</strong>eurs staan voor e<strong>en</strong> belangrijk<br />
deel aan de basis van de spam‐verspreiding. Ze kond<strong>en</strong> vanuit zowel hun<br />
beschikking over geld, als de behoefte aan meer <strong>en</strong> continuïteit, optred<strong>en</strong> als early<br />
adopters van andere ontwikkeling<strong>en</strong> die sterk in lijn lag<strong>en</strong> met waar ze in groot<br />
war<strong>en</strong> geword<strong>en</strong>. <strong>Phishing</strong> ligt in het verl<strong>en</strong>gde daarvan.<br />
Technische k<strong>en</strong>nis heeft de porno‐instromer nauwelijks, maar hij ziet de<br />
mogelijkhed<strong>en</strong> die het <strong>internet</strong> biedt <strong>en</strong> kan goed met e<strong>en</strong> computer overweg. Via<br />
zijn sterk met de adultwereld verwev<strong>en</strong> netwerk kan hij de juiste k<strong>en</strong>nis aanbor<strong>en</strong><br />
<strong>en</strong> inhur<strong>en</strong>. De porno‐<strong>en</strong>trepr<strong>en</strong>eur is vermoedelijk e<strong>en</strong> bek<strong>en</strong>de van politie <strong>en</strong><br />
justitie, maar niet altijd als veroordeelde.<br />
2.20.3 Instroom vanuit de marketing<br />
De marketeer k<strong>en</strong>t vanuit zijn beroep de kracht van de reclame <strong>en</strong> wordt om die<br />
red<strong>en</strong> ook door zijn opdrachtgevers ingezet. In de opkomst van het <strong>internet</strong>, e<strong>en</strong><br />
marketinginstrum<strong>en</strong>t bij uitstek, hebb<strong>en</strong> marketeers vanaf het begin geparticipeerd<br />
<strong>en</strong> die mede tot stand gebracht. De marketeer weet ook welke boodschap wel of<br />
niet werkt <strong>en</strong> in relatie tot welke doelgroep. De marketeer beschikte altijd al over<br />
techniek<strong>en</strong> <strong>en</strong> k<strong>en</strong>nis nodig voor bijvoorbeeld direct mailing. De kaart<strong>en</strong>bakk<strong>en</strong><br />
bestond<strong>en</strong> in eerste instantie uit adress<strong>en</strong>, vervolg<strong>en</strong>s uit telefoonnummers, <strong>en</strong><br />
daarna uit e‐mailadress<strong>en</strong>. De werkwijze varieerde maar de ess<strong>en</strong>tie van het vak<br />
waarop de marketeer werd aangesprok<strong>en</strong> niet. De marketeer werd<br />
<strong>internet</strong>marketeer. Volstrekt legaal ging hij zich bezig houd<strong>en</strong> met het verspreid<strong>en</strong><br />
van reclamemateriaal. De adresbestand<strong>en</strong> daarvoor werd<strong>en</strong> gekocht om vervolg<strong>en</strong>s<br />
e<strong>en</strong> steeds grotere behoefte te krijg<strong>en</strong> aan adress<strong>en</strong> van e<strong>en</strong> selecte doelgroep of<br />
91
uit e<strong>en</strong> andere bron dan die waaruit iedere<strong>en</strong> putte. In wez<strong>en</strong> is er qua techniek <strong>en</strong><br />
werkwijze ge<strong>en</strong> verschil tuss<strong>en</strong> e<strong>en</strong> legale <strong>en</strong> e<strong>en</strong> illegale toez<strong>en</strong>ding van<br />
reclamemateriaal. Spam is niet anders dan e<strong>en</strong> vorm van direct mail. Bov<strong>en</strong>di<strong>en</strong><br />
was <strong>en</strong> is het scheidsvlak tuss<strong>en</strong> legale <strong>en</strong> illegale mail niet zo vreselijk scherp. Voor<br />
iemand die er dagelijks in zit maakt het weinig uit of er e<strong>en</strong> direct mail uitgaat of<br />
e<strong>en</strong> spam aanval. Alle<strong>en</strong> de afscherming van de afz<strong>en</strong>der is in het laatste geval van<br />
groot belang.<br />
“Het vermoed<strong>en</strong> bestaat dat juist de <strong>internet</strong>marketeer met e<strong>en</strong> onder druk staande<br />
omzet of met schuld<strong>en</strong>, zijn activiteit<strong>en</strong> heeft verbreed met spam. Aanvull<strong>en</strong>de<br />
k<strong>en</strong>merk<strong>en</strong> waaraan e<strong>en</strong> <strong>internet</strong>marketeer zich als initiator laat herk<strong>en</strong>n<strong>en</strong> zijn<br />
(hypothetisch): e<strong>en</strong> vrij plotselinge winstverandering (van lage winstgev<strong>en</strong>dheid<br />
naar hoog), e<strong>en</strong> breed di<strong>en</strong>st<strong>en</strong>pakket, e<strong>en</strong> geringe personele bezetting <strong>en</strong>/of<br />
eerder faillissem<strong>en</strong>t.”<br />
<strong>Phishing</strong> is e<strong>en</strong> moeilijker vervolgstap, omdat de marketeer daar niet de juiste<br />
k<strong>en</strong>nis voor heeft. Hij vindt het ook moeilijk dit uit te bested<strong>en</strong>, t<strong>en</strong>zij hij iemand<br />
goed k<strong>en</strong>t <strong>en</strong> vertrouwt. De motivatie is vaak het geld dat het opbr<strong>en</strong>gt, al dan niet<br />
om e<strong>en</strong> schuld terug te betal<strong>en</strong>. De schuld is dan de trigger om zich met illegale<br />
praktijk<strong>en</strong> in te lat<strong>en</strong>. De <strong>internet</strong>marketeer zull<strong>en</strong> we waarschijnlijk dan ook niet<br />
alle<strong>en</strong> zi<strong>en</strong> als initiator maar vooral ook als facilitator van andere initiators.<br />
2.20.4 Instroom vanuit ervar<strong>en</strong> <strong>internet</strong> gebruik<br />
In to<strong>en</strong>em<strong>en</strong>de mate wordt de instroom in de wereld van spam <strong>en</strong> phishing zonder<br />
specifieke functionele achtergrond van belang. Twee ontwikkeling<strong>en</strong> drag<strong>en</strong> bij aan<br />
de opmars van de geïnteresseerde <strong>internet</strong>gebruiker als initiator achter spam <strong>en</strong><br />
phishing operaties. De eerste bestaat uit de to<strong>en</strong>em<strong>en</strong>de deskundigheid van de<br />
gemiddelde gamer of surfer die zichzelf is aangeleerd met behulp van het <strong>internet</strong>.<br />
Hij k<strong>en</strong>t het <strong>internet</strong> op zijn duim, k<strong>en</strong>t allerlei downloadsites, <strong>en</strong> is vertrouwd met<br />
nieuwsgroep<strong>en</strong> <strong>en</strong> fora waarop gamers actief zijn. Hij staat ook onder invloed van<br />
recruiters die juist deze gamers naar zich toe prober<strong>en</strong> te hal<strong>en</strong>. De tweede<br />
ontwikkeling bestaat uit de evolutie van techniek<strong>en</strong> die voor e<strong>en</strong> steeds breder<br />
publiek beschikbaar kom<strong>en</strong>. De DIY‐phishingkits zijn daarvan slechts e<strong>en</strong> voorbeeld<br />
want er is ge<strong>en</strong> probleem te bed<strong>en</strong>k<strong>en</strong> of erg<strong>en</strong>s op het <strong>internet</strong> is er wel e<strong>en</strong><br />
download voor te vind<strong>en</strong>.<br />
De gemiddelde k<strong>en</strong>nis van (zeker de doorgewinterde) <strong>internet</strong>gebruiker neemt toe,<br />
<strong>en</strong> gelijktijdig wordt het die gebruiker steeds e<strong>en</strong>voudiger gemaakt met pasklare<br />
oplossing<strong>en</strong> voor onder andere illegale activiteit<strong>en</strong>. Lang niet iedere<strong>en</strong> zal<br />
bezwijk<strong>en</strong> voor deze verleiding maar in vergelijking met de <strong>internet</strong>‐ontwikkelaars<br />
92
van het eerste uur die het allemaal zelf moest<strong>en</strong> uitvind<strong>en</strong>, wordt het de huidige<br />
onderzoek<strong>en</strong>de <strong>en</strong> experim<strong>en</strong>ter<strong>en</strong>de types wel heel gemakkelijk gemaakt.<br />
2.20.5 Gradaties qua professionaliteit<br />
Uit het onderzoek komt naar vor<strong>en</strong> dat de initiators zich sterk van elkaar<br />
onderscheid<strong>en</strong> qua professionaliteit. In het spamdossier T. bijvoorbeeld, was de<br />
initiator ook tev<strong>en</strong>s de sponsor <strong>en</strong> de spammer (deg<strong>en</strong>e die de spam daadwerkelijk<br />
verstuurde). Nadat hij zijn 1,5 miljo<strong>en</strong> mails had verzond<strong>en</strong> kwam de performance<br />
van zijn host in problem<strong>en</strong> door de 50.000 terug ontvang<strong>en</strong><br />
afwezigheidsmelding<strong>en</strong>. Dit is e<strong>en</strong> typisch voorbeeld van wat m<strong>en</strong> e<strong>en</strong> amateur kan<br />
noem<strong>en</strong>.<br />
Drie gradaties in professionaliteit van initiators hebb<strong>en</strong> we onderscheid<strong>en</strong>: pro<br />
(fulltime criminele phisher), gevorderde (de deeltijd functionele phisher) <strong>en</strong><br />
amateur (de geleg<strong>en</strong>heidsphisher). De professional doet dit als broodwinning. Hij is<br />
fulltime crimineel zou m<strong>en</strong> kunn<strong>en</strong> zegg<strong>en</strong>. Hij is uitermate goed bek<strong>en</strong>d in de<br />
<strong>internet</strong>criminaliteit <strong>en</strong> weet precies waar hij wat kan hal<strong>en</strong>. Zowel wat betreft<br />
k<strong>en</strong>nis als technologie. Juist om deze red<strong>en</strong> beperkt hij zich niet tot bijvoorbeeld<br />
spam of phishing. De k<strong>en</strong>nis <strong>en</strong> techniek waarover hij kan beschikk<strong>en</strong>, stelt tot<br />
meer in staat. Volg<strong>en</strong>s reguliere economische principes doet hij aan<br />
productdiversificatie <strong>en</strong> is in veel meer illegaliteit betrokk<strong>en</strong> dan spam of phishing,<br />
om het risico te spreid<strong>en</strong> maar vooral ook om meer geld te verdi<strong>en</strong><strong>en</strong>. De Pro heeft<br />
e<strong>en</strong> grotere kans om afkomstig te zijn uit de ICT‐wereld. Hij beschikt zelf over de<br />
nodige technische k<strong>en</strong>nis, zodat hij meerdere stapp<strong>en</strong> in het phishingproces zelf<br />
kan uitvoer<strong>en</strong>. Om e<strong>en</strong> phishingaanval uit te lat<strong>en</strong> voer<strong>en</strong> weet hij welke person<strong>en</strong><br />
in te schakel<strong>en</strong> <strong>en</strong> hoe die person<strong>en</strong> aan zich te bind<strong>en</strong>, ter minimalisatie van de<br />
kans op uitlekk<strong>en</strong> van zijn activiteit<strong>en</strong>. Het is niet onwaarschijnlijk dat de<br />
professional in <strong>en</strong>ig land al e<strong>en</strong> strafblad heeft met betrekking tot<br />
(<strong>internet</strong>)criminaliteit.<br />
De gevorderde spammer kan afkomstig zijn uit elk van de onderscheid<strong>en</strong> vorm<strong>en</strong><br />
van instroom. Hij blijft relatief dicht bij zijn business: spam <strong>en</strong>/of relatief<br />
e<strong>en</strong>voudige phishing. Zijn netwerk is daarop ook gericht, <strong>en</strong> bestaat uit familie‐ <strong>en</strong><br />
vri<strong>en</strong>d<strong>en</strong>relaties. Hij is ook afhankelijk van dat netwerk omdat hij niet alle stapp<strong>en</strong><br />
van het proces zelf beheerst. Daarom durft hij ook niet verder te spring<strong>en</strong> dan zijn<br />
polsstok lang is. Hij onthoudt zich van andere vorm<strong>en</strong> van criminaliteit. Hij weet<br />
niet alle evolutionaire ontwikkeling<strong>en</strong> te volg<strong>en</strong> maar heeft daar vrede mee. Hij<br />
maakt gebruik van op het <strong>internet</strong> beschikbare codes <strong>en</strong> DIY‐kits. Zijn id<strong>en</strong>titeit<br />
93
weet hij maar beperkt af te scherm<strong>en</strong>; daarvoor vertrouwt hij ook op de<br />
functionaliteit<strong>en</strong> in de kits. Hij heeft weinig domeinnam<strong>en</strong> op zijn naam staan,<br />
maakt gebruik van door ander<strong>en</strong> opgezette databestand<strong>en</strong>, <strong>en</strong> maakt gebruik van<br />
relatief e<strong>en</strong>voudige manier<strong>en</strong> om de opbr<strong>en</strong>gst van zijn activiteit<strong>en</strong> binn<strong>en</strong> te<br />
hal<strong>en</strong>. Hij is al <strong>en</strong>ige tijd in het wereldje actief, maar het is niet zijn hoofdactiviteit.<br />
Hij heeft daarnaast werk of studeert.<br />
De amateur is iemand die weinig tot ge<strong>en</strong> k<strong>en</strong>nis van <strong>internet</strong> <strong>en</strong><br />
computercriminaliteit heeft. Zijn betrokk<strong>en</strong>heid bij het proces komt bijvoorbeeld<br />
voort uit e<strong>en</strong> netwerk, waarbij hij ingeschakeld wordt voor e<strong>en</strong> ‘klusje’. Als er e<strong>en</strong><br />
stap uitgevoerd moet word<strong>en</strong> weet hij altijd wel e<strong>en</strong> mannetje te vind<strong>en</strong>, maar hij<br />
zoekt die het liefst dichtbij huis. De amateur is e<strong>en</strong> soort van opportunist: e<strong>en</strong> man<br />
van kans<strong>en</strong>, die instapt vanwege het geld dat er te verdi<strong>en</strong><strong>en</strong> valt. Zo beschrev<strong>en</strong><br />
heeft hij weinig van e<strong>en</strong> initiator. Hij staat er toch bij omdat hij zich uit<br />
opportunisme wel als e<strong>en</strong> initiator gedraagt. Onnozele spam‐ <strong>en</strong> phishingaanvall<strong>en</strong><br />
zull<strong>en</strong> het werk kunn<strong>en</strong> zijn van e<strong>en</strong> dergelijke figuur. Ze hebb<strong>en</strong> e<strong>en</strong> klok hor<strong>en</strong><br />
luid<strong>en</strong>, word<strong>en</strong> aangetrokk<strong>en</strong> door verme<strong>en</strong>de hoge opbr<strong>en</strong>gst<strong>en</strong> <strong>en</strong> e<strong>en</strong> ev<strong>en</strong><br />
verme<strong>en</strong>d laag risico. Ze hur<strong>en</strong> broertjes, neefjes <strong>en</strong> kamerad<strong>en</strong> in voor de techniek<br />
<strong>en</strong> gaan vrij snel het web op. Hun voorbereidingstijd is kort, ze vertrouw<strong>en</strong> op de<br />
onoverzichtelijkheid van het web (of ze d<strong>en</strong>k<strong>en</strong> er gewoon niet over na) <strong>en</strong> zijn<br />
gehaast om het allemaal te zi<strong>en</strong> werk<strong>en</strong>. Verhull<strong>en</strong> van id<strong>en</strong>titeit do<strong>en</strong> ze simpel. Ze<br />
mak<strong>en</strong> allerlei fout<strong>en</strong> maar kom<strong>en</strong> er mee weg omdat de schade veelal beperkt<br />
blijft. Wat achterblijft, is de s<strong>en</strong>satie.<br />
2.20.6 De ‘Sponsor’ (produc<strong>en</strong>t phishingproces)<br />
De sponsor is de persoon van wie de boodschap wordt verzond<strong>en</strong> door middel van<br />
de spamaanval (ook wel de spamvertizer g<strong>en</strong>oemd). De sponsor is ook de betaler<br />
voor de aanval. In het geval van phishing zull<strong>en</strong> de sponsor <strong>en</strong> de initiator vaker<br />
dezelfde persoon zijn, omdat spam dan niet e<strong>en</strong> doel op zich is, maar e<strong>en</strong> middel<br />
om m<strong>en</strong>s<strong>en</strong> naar e<strong>en</strong> website te lokk<strong>en</strong> voor bijvoorbeeld het verspreid<strong>en</strong> van<br />
malware. De sponsor zet het hele phishingproces in werking.<br />
Binn<strong>en</strong> de sponsorrol, kan onderscheid gemaakt word<strong>en</strong> tuss<strong>en</strong> amateurs <strong>en</strong><br />
professionals. De amateursponsor bestaat uit kleine bedrijv<strong>en</strong> die e<strong>en</strong> duidelijk<br />
afgebak<strong>en</strong>de doelgroep will<strong>en</strong> b<strong>en</strong>ader<strong>en</strong>. E<strong>en</strong> voorbeeld is e<strong>en</strong> leverancier van<br />
voetbalkleding die van alle voetbalclubs in de omgeving mailadress<strong>en</strong> op het WWW<br />
zoekt <strong>en</strong> die m<strong>en</strong>s<strong>en</strong> of organisaties mailt vanaf zijn eig<strong>en</strong> mailadres of het<br />
mailadres van de zaak. Deze vorm van spam hoeft niet vervel<strong>en</strong>d te zijn,<br />
94
ijvoorbeeld omdat het onderwerp van het bericht aansluit bij de belevingswereld<br />
van de ontvanger. De amateur maakt (door tuss<strong>en</strong>komst van derd<strong>en</strong>) vaak gebruik<br />
van e<strong>en</strong> legitiem webadres <strong>en</strong> zijn eig<strong>en</strong> e‐mail. Spambericht<strong>en</strong> in deze categorie<br />
zijn meestal advert<strong>en</strong>ties.<br />
Professionele sponsor<strong>en</strong> pakk<strong>en</strong> hun spamproces grootser <strong>en</strong> grondiger aan.<br />
Voorbeeld<strong>en</strong> hiervan zijn de spambericht<strong>en</strong> voor medicijn<strong>en</strong> of met pornografische<br />
inhoud. De website of het product waar het bericht naar verwijst, zijn bijna nooit<br />
direct herleidbaar tot de spamsponsor. Om dat zo te houd<strong>en</strong>, mak<strong>en</strong> professionele<br />
sponsor<strong>en</strong> ook gebruik van mailservers in schimmige buit<strong>en</strong>land<strong>en</strong> of van gehackte<br />
mailservers. Zo zijn zij voor de opsporing in land<strong>en</strong> waar spam inmiddels e<strong>en</strong><br />
misdrijf is, zeer moeilijk te vind<strong>en</strong>. Zeker als spam als instrum<strong>en</strong>t wordt gebruikt in<br />
e<strong>en</strong> ander (cyber)crime proces, zal de spamsponsor prober<strong>en</strong> zijn id<strong>en</strong>titeit zoveel<br />
mogelijk te verhull<strong>en</strong>, zowel door de afkomst van de spambericht<strong>en</strong> te versluier<strong>en</strong>,<br />
als door de locatie van de website te masker<strong>en</strong>.<br />
“Betrokk<strong>en</strong>heid als sponsor bij het phishingproces wordt in to<strong>en</strong>em<strong>en</strong>de mate<br />
geïndiceerd door:<br />
bulletproof host<strong>en</strong> van domeinnam<strong>en</strong>;<br />
het korte tijd actief zijn van aangevraagde domeinnam<strong>en</strong> (vermoed<strong>en</strong> van<br />
domain kiting);<br />
domeinnam<strong>en</strong> die onder e<strong>en</strong> nickname naam staan geregistreerd;<br />
het IP‐adres waaronder is geregistreerd <strong>en</strong> dat niet blijkt te klopp<strong>en</strong>;<br />
nam<strong>en</strong> die word<strong>en</strong> gehost door e<strong>en</strong> hoster die vooral ook pill<strong>en</strong>sites, juwel<strong>en</strong>sites<br />
of pornosites beheert.”<br />
Ook de registratie van niet op bestaande instelling<strong>en</strong> gelijk<strong>en</strong>de<br />
vertrouw<strong>en</strong>wekk<strong>en</strong>de nam<strong>en</strong> kan verd<strong>en</strong>king oproep<strong>en</strong>. Zijn het nam<strong>en</strong> die<br />
verwijz<strong>en</strong> naar medicijn<strong>en</strong>, drugs, juwel<strong>en</strong> etc. dan dringt het vermoed<strong>en</strong> van<br />
zelfstandige spam voor deze artikel<strong>en</strong> op. Door de opkomst van targeting in spam,<br />
zijn sites met e<strong>en</strong> .nl domein interessanter geword<strong>en</strong>. Die zijn<br />
vertrouw<strong>en</strong>wekk<strong>en</strong>der dan e<strong>en</strong> .com domein <strong>en</strong> ze bevind<strong>en</strong> zich dichter op e<strong>en</strong><br />
mogelijke doelgroep (met e<strong>en</strong> grotere trefkans als gevolg). Wordt naast de spamelem<strong>en</strong>t<strong>en</strong><br />
ook voldaan aan domain‐kiting <strong>en</strong> command‐communicatie via<br />
chatchannels (ICQ, V<strong>en</strong>trilo, MSN, FistofEurope, etc.) dan lijkt dat te duid<strong>en</strong> op het<br />
naar zich toe hal<strong>en</strong> van gegev<strong>en</strong>s (id<strong>en</strong>titeit<strong>en</strong>).<br />
“Als iemand money transfers doet/ontvangt binn<strong>en</strong> e<strong>en</strong> bepaalde bandbreedte qua<br />
bedrag, <strong>en</strong> van verschill<strong>en</strong>de afz<strong>en</strong>ders in verschill<strong>en</strong>de land<strong>en</strong>, hij/zij chatchannels<br />
beluistert <strong>en</strong> er alle<strong>en</strong> aan deelneemt door het verz<strong>en</strong>d<strong>en</strong> van korte codes<br />
95
(command‐communicatie) dan duidt dat op het activer<strong>en</strong> van e<strong>en</strong> gegev<strong>en</strong>sstroom<br />
via het channel.”<br />
Het product dat de professionele spamsponsor aanbiedt, hangt sam<strong>en</strong> met di<strong>en</strong>s<br />
achtergrond. Person<strong>en</strong> die in de porno‐industrie bezig war<strong>en</strong> voor de vlucht van de<br />
digitale snelweg in de jar<strong>en</strong> neg<strong>en</strong>tig, zoek<strong>en</strong> hun heil nu nog steeds in de porno, zij<br />
het in digitale vorm. Voor deze person<strong>en</strong> is het <strong>internet</strong> e<strong>en</strong> geweldig medium<br />
geword<strong>en</strong> om hun product<strong>en</strong> onder de aandacht te br<strong>en</strong>g<strong>en</strong> <strong>en</strong> te verhandel<strong>en</strong>. Zij<br />
zijn niet zozeer iets anders gaan do<strong>en</strong>, als wel dat hun wijze van distributie <strong>en</strong><br />
‘adverter<strong>en</strong>’ anders is geword<strong>en</strong>. Hetzelfde geldt voor medicijn<strong>en</strong>handelaars <strong>en</strong><br />
verstrekkers van krediet<strong>en</strong> <strong>en</strong> l<strong>en</strong>ing<strong>en</strong>.<br />
“E<strong>en</strong> grote kans om als sponsor betrokk<strong>en</strong> te zijn bij phishing activiteit<strong>en</strong>, maakt<br />
iemand die als <strong>en</strong>trepr<strong>en</strong>eur bek<strong>en</strong>d is vanuit de klassieke pornowereld <strong>en</strong> die<br />
meerdere domeinnam<strong>en</strong> (ti<strong>en</strong>tall<strong>en</strong>) heeft geregistreerd die niet direct pornogerelateerd<br />
zijn; die bov<strong>en</strong>di<strong>en</strong> gelijk<strong>en</strong>is verton<strong>en</strong> met de nam<strong>en</strong> van instelling<strong>en</strong><br />
waarmee ge<strong>en</strong> relatie bestaat, <strong>en</strong> waarvan de suffix van die domeinnam<strong>en</strong> (top<br />
level domein) duidt op e<strong>en</strong> bulletproof hosting vri<strong>en</strong>delijke omgeving (Hongkong:hk,<br />
China: cn, Brazilië: br, Rusland: ru).”<br />
Ook al mak<strong>en</strong> sophisticated phishers ge<strong>en</strong> gebruik meer van look alike<br />
domeinnam<strong>en</strong>, hun historische mutaties in de whois database dater<strong>en</strong>d van<br />
vroegere minder geëvolueerde phishing techniek<strong>en</strong>, kunn<strong>en</strong> nog steeds naar h<strong>en</strong> of<br />
hun aliass<strong>en</strong> verwijz<strong>en</strong>.<br />
“Het registratiepatroon van domeinnam<strong>en</strong> door de jar<strong>en</strong> he<strong>en</strong>, is e<strong>en</strong> graadmeter<br />
voor de ontwikkeling van klassieke naar meer sophisticated phishing.”<br />
2.20.7 De ‘Spammer’ (regisseur phishingproces)<br />
Het begrip spammer is ontle<strong>en</strong>d aan de klassieke vorm van phishing. Maar ook in<br />
moderne op malware gebaseerde phishingvariant<strong>en</strong> komt de spammer nog steeds<br />
voor. In dat geval bijvoorbeeld om m<strong>en</strong>s<strong>en</strong> naar e<strong>en</strong> malware verspreid<strong>en</strong>de site te<br />
lokk<strong>en</strong>.<br />
De spammer is dieg<strong>en</strong>e die de lok e‐mail naar pot<strong>en</strong>tiële slachtoffers stuurt. In<br />
sommige gevall<strong>en</strong> is dit ook deg<strong>en</strong>e die de e‐mail opstelt. Beide roll<strong>en</strong> kunn<strong>en</strong><br />
vervuld word<strong>en</strong> door de phisher zelf. Als hij niet de beschikking heeft over e<strong>en</strong><br />
massmailing programma, kan hij dit aanschaff<strong>en</strong> via e<strong>en</strong> scriptkiddy. Deze rol kan<br />
96
ook vervuld word<strong>en</strong> door e<strong>en</strong> marketingbureau. E<strong>en</strong> klein beginn<strong>en</strong>d bureau dat<br />
heel veel verschill<strong>en</strong>de di<strong>en</strong>st<strong>en</strong> aanbiedt maakt meer kans betrokk<strong>en</strong> te rak<strong>en</strong> bij<br />
spam. Door de hoeveelheid aan activiteit<strong>en</strong> <strong>en</strong> klant<strong>en</strong> is e<strong>en</strong> dergelijk bureau<br />
mogelijk minder transparant. In e<strong>en</strong> meer amateuristische omgeving kan de<br />
spammer e<strong>en</strong> scriptkiddy zijn, die met op fora verkrijgbare software spambericht<strong>en</strong><br />
verstuurt.<br />
“Op basis van de ontwikkeling die de porno‐industrie onder invloed van <strong>internet</strong><br />
heeft doorgemaakt of sterker nog, de bijdrage van de porno‐industrie aan de<br />
ontwikkeling van het <strong>internet</strong>, wordt bredere betrokk<strong>en</strong>heid van porno<strong>en</strong>trepr<strong>en</strong>eurs<br />
in cybercrime vermoed.”<br />
Met het in zwang rak<strong>en</strong> van het <strong>internet</strong>, zag<strong>en</strong> veel marketeers de kans<strong>en</strong> van dit<br />
medium. Internet marketing bedrijv<strong>en</strong> <strong>en</strong> initiatiev<strong>en</strong> schot<strong>en</strong> als paddestoel<strong>en</strong> uit<br />
de grond. Deze bedrijv<strong>en</strong> ontplooid<strong>en</strong> zeer diverse activiteit<strong>en</strong>, variër<strong>en</strong>d van het<br />
ontwerp<strong>en</strong> van websites <strong>en</strong> reclamebanners, tot gedeg<strong>en</strong> marktonderzoek <strong>en</strong> het<br />
uitzett<strong>en</strong> van massmailing campagnes. Net als de porno‐<strong>en</strong>trepr<strong>en</strong>eur is de<br />
marketing wereld goed op de hoogte van technologische ontwkkeling<strong>en</strong> met<br />
betrekking tot het <strong>internet</strong>. Daarnaast hebb<strong>en</strong> ze verstand van targeting, het<br />
aanbied<strong>en</strong> van product<strong>en</strong> aan bepaalde doelgroep<strong>en</strong>, <strong>en</strong> ervaring met het vind<strong>en</strong><br />
<strong>en</strong> gebruik<strong>en</strong> van contactgegev<strong>en</strong>s.<br />
“E<strong>en</strong> grote kans om te zijn betrokk<strong>en</strong> bij phishing of spam mak<strong>en</strong> Nederlandse<br />
<strong>internet</strong> marketeers of direct mailers die e<strong>en</strong> breed pakket aan legale di<strong>en</strong>st<strong>en</strong><br />
aanbied<strong>en</strong>, waaronder affiliate‐activiteit<strong>en</strong> 23 , <strong>en</strong> die e<strong>en</strong> kleine bestaffing k<strong>en</strong>n<strong>en</strong>,<br />
<strong>en</strong> meerdere naamwijziging<strong>en</strong>, <strong>en</strong>/of meerdere verhuizing<strong>en</strong>, <strong>en</strong>/of<br />
statut<strong>en</strong>wijziging vlak voor verkoop, <strong>en</strong>/of eerder faillissem<strong>en</strong>t, <strong>en</strong> plotselinge<br />
winstverandering in het rec<strong>en</strong>te verled<strong>en</strong> (van laag naar hoog), <strong>en</strong> grote<br />
bandbreedte afnem<strong>en</strong> aan <strong>internet</strong>capaciteit, <strong>en</strong>/of grote adress<strong>en</strong>bestand<strong>en</strong> onder<br />
hun beheer hebb<strong>en</strong>, <strong>en</strong>/of grote hoeveelhed<strong>en</strong> uitgaand mailverkeer k<strong>en</strong>n<strong>en</strong>.”<br />
Binn<strong>en</strong> de <strong>internet</strong>marketing wereld is er nu e<strong>en</strong> tweespalt aan het ontstaan.<br />
Enerzijds zijn er de grote marketeers die niet slechts op <strong>internet</strong>marketing<br />
focuss<strong>en</strong>, maar die voor klant<strong>en</strong> e<strong>en</strong> totale marketingcampagne uitroll<strong>en</strong>. Dit zijn<br />
23 Affiliate activiteit<strong>en</strong> staan voor e<strong>en</strong> vorm van e‐commerce (in casus online marketing) waarbij de<br />
webwinkel (adverteerder of merchant) de affiliate (uitgever/webmaster) betaalt voor elke bezoeker of<br />
‘lead of sale’ die is aangebracht via zijn/haar website(s) of zoekmachine campagne<br />
(www.csulb.edu/web/journals/jecr/issues/20014/paper4.pdf).<br />
97
de grote viss<strong>en</strong> in de vijver. Deze bedrijv<strong>en</strong> hebb<strong>en</strong> e<strong>en</strong> leid<strong>en</strong>de positie in de<br />
markt. Daarna komt e<strong>en</strong> grote groep van middelgrote tot kleine marketeers. Vooral<br />
de bedrijv<strong>en</strong> die zich puur op <strong>internet</strong>marketing richt<strong>en</strong> <strong>en</strong> in het onderste segm<strong>en</strong>t<br />
van de markt operer<strong>en</strong> zijn gevoelig voor grijze of zwarte marketingpraktijk<strong>en</strong> zoals<br />
spamming. Deze bedrijv<strong>en</strong> hebb<strong>en</strong> vaak e<strong>en</strong> beperkt aantal werknemers, minder<br />
dan vijf, <strong>en</strong> do<strong>en</strong> vooral aan website ontwerp <strong>en</strong> direct mail, alhoewel ze e<strong>en</strong> breed<br />
di<strong>en</strong>st<strong>en</strong>pakket beheers<strong>en</strong>. Deze bedrijv<strong>en</strong> zull<strong>en</strong> door de concurr<strong>en</strong>tie onder druk<br />
staan. Het verspreid<strong>en</strong> van e<strong>en</strong> groot aantal massmailings teg<strong>en</strong> e<strong>en</strong> dikke<br />
vergoeding zonder moeilijke vrag<strong>en</strong> te stell<strong>en</strong> zal bij e<strong>en</strong> deel van deze bedrijv<strong>en</strong><br />
zeker mogelijk zijn. Voor phishing zull<strong>en</strong> deze bedrijv<strong>en</strong> niet vaak ingezet word<strong>en</strong>.<br />
<strong>Phishing</strong> is e<strong>en</strong> duidelijker misdrijf dan spamming, omdat daarbij de schade<br />
zichtbaar is. Ook is de strafmaat voor phishing hoger.<br />
Van deze kleine marketingbedrijv<strong>en</strong> zal het gedrag in zekere zin atypisch zijn.<br />
Aangezi<strong>en</strong> spamming ge<strong>en</strong> alledaagse bezigheid di<strong>en</strong>t te zijn van e<strong>en</strong> dergelijk<br />
bedrijf, zal de betaling ook niet alledaags verlop<strong>en</strong>. Deze atypische betaling<strong>en</strong> zijn<br />
e<strong>en</strong> indicatie voor spam gedrag. Bov<strong>en</strong>di<strong>en</strong> zull<strong>en</strong> deze extra activiteit<strong>en</strong> toch op de<br />
afrek<strong>en</strong>ing moet<strong>en</strong> verschijn<strong>en</strong>. Dit kan zichtbaar zijn in de hoogte van bepaalde<br />
post<strong>en</strong> zoals het bedrijfsresultaat. Ook de bedrijfsvoering kan e<strong>en</strong> aanwijzing zijn.<br />
Zijn er medewerkers die al anteced<strong>en</strong>t<strong>en</strong> op het gebied van <strong>fraud</strong>e hebb<strong>en</strong>? Kom<strong>en</strong><br />
medewerkers op fora die bek<strong>en</strong>d zijn vanwege hun ondergrondse<br />
<strong>internet</strong>activiteit<strong>en</strong>? Verhuist het bedrijf veel of verandert het veel van naam? E<strong>en</strong><br />
combinatie van deze factor<strong>en</strong> is al e<strong>en</strong> indicatie dat er iets met het bedrijf aan de<br />
hand is. Als daar dan nog operationeel opvall<strong>en</strong>de factor<strong>en</strong> bij kom<strong>en</strong> zoals hoog<br />
niveau gebruikte bandbreedte, veel domeinregistraties per tijdse<strong>en</strong>heid <strong>en</strong><br />
adresbestand<strong>en</strong> die overe<strong>en</strong>kom<strong>en</strong> met spamruns, dan wordt de verd<strong>en</strong>king van<br />
het misdrijf spam sterker.<br />
Uit <strong>en</strong>kele van de Opta‐dossiers komt de gevoeligheid van affiliates naar vor<strong>en</strong> voor<br />
illegale activiteit<strong>en</strong>. Op het <strong>internet</strong> circuler<strong>en</strong> daarvan vele voorbeeld<strong>en</strong><br />
(cookiestealing, banner replacem<strong>en</strong>t, pop ups). De verwachting is dat voor met<br />
name moeilijker draai<strong>en</strong>de bedrijv<strong>en</strong> de stap van legaal naar illegaal e<strong>en</strong> kleine is.<br />
Variër<strong>en</strong>d van de verkoop van adress<strong>en</strong> tot <strong>en</strong> met het in opdracht van de sponsor<br />
volledig uitvoer<strong>en</strong> van de processtap 9. Misdrijv<strong>en</strong> gepleegd door de geleg<strong>en</strong>heid<br />
die tijd<strong>en</strong>s de wettige beroepsuitoef<strong>en</strong>ing wordt gebod<strong>en</strong>, noemt m<strong>en</strong><br />
‘occupational crime’ (Fagan & Freeman, 1999). De reguliere bedrijfsuitoef<strong>en</strong>ing<br />
wordt in dat geval e<strong>en</strong> geleg<strong>en</strong>heidsstructuur voor het beoef<strong>en</strong><strong>en</strong> van criminaliteit.<br />
Naar analogie van wat de Monitor Georganiseerde Criminaliteit van het <strong>WODC</strong><br />
(<strong>WODC</strong>, 2007) aantrof binn<strong>en</strong> <strong>en</strong>kele van de 120 onderzochte recherchedossiers<br />
aangaande georganiseerde misdaad, word<strong>en</strong> de volg<strong>en</strong>de<br />
98
geleg<strong>en</strong>heidsveronderstelling<strong>en</strong> gedaan:<br />
er zijn beroepsbeoef<strong>en</strong>aars die vanuit de legale marketing di<strong>en</strong>stverl<strong>en</strong>ing<br />
overstapp<strong>en</strong> naar illegale;<br />
er zijn m<strong>en</strong>s<strong>en</strong> die legaal voor hun klant<strong>en</strong> werk<strong>en</strong> <strong>en</strong> die op <strong>en</strong>ig mom<strong>en</strong>t door<br />
die klant<strong>en</strong> word<strong>en</strong> gevraagd om ook illegale activiteit<strong>en</strong> te ondernem<strong>en</strong>, <strong>en</strong><br />
die daarin toestemm<strong>en</strong> (al was het maar om de klant niet kwijt te rak<strong>en</strong>);<br />
er zijn m<strong>en</strong>s<strong>en</strong> die legaal voor klant<strong>en</strong> werk<strong>en</strong> <strong>en</strong> de gegev<strong>en</strong>s die ze in die<br />
hoedanigheid onder zich hebb<strong>en</strong> gebruik<strong>en</strong> voor illegale doeleind<strong>en</strong> zonder dat<br />
de klant daarvan op de hoogte is.<br />
Vooral organisaties met e<strong>en</strong> geringe interne controle (e<strong>en</strong>hoofdige directie, kleine<br />
omvang etc.) mak<strong>en</strong> kans om te bezwijk<strong>en</strong> voor de geleg<strong>en</strong>heid. Zij kunn<strong>en</strong> zich<br />
relatief onopgemerkt bedi<strong>en</strong><strong>en</strong> van illegale activiteit<strong>en</strong>. Hoe groter de organisatie,<br />
hoe groter de kans op ooggetuig<strong>en</strong> die uit de school klapp<strong>en</strong>.<br />
In de aangehaalde <strong>WODC</strong> monitor was opvall<strong>en</strong>d dat bepaalde vorm<strong>en</strong> van<br />
geleg<strong>en</strong>heidscriminaliteit e<strong>en</strong> patroon k<strong>en</strong>d<strong>en</strong> qua plaats<strong>en</strong>, id<strong>en</strong>tieke<br />
omstandighed<strong>en</strong> <strong>en</strong> dezelfde knooppunt<strong>en</strong> van informeel bankier<strong>en</strong>. E<strong>en</strong><br />
verschijnsel dat lijkt te duid<strong>en</strong> op dezelfde dadergroep<strong>en</strong> of wissel<strong>en</strong>de <strong>en</strong><br />
rouler<strong>en</strong>de daders die zich bedi<strong>en</strong><strong>en</strong> van dezelfde praktijk<strong>en</strong>.<br />
Het is de vraag of de overige door het <strong>WODC</strong> gesignaleerde principes van<br />
georganiseerde criminaliteit ook opgaan voor bijvoorbeeld o.a. phishing. Het<br />
belang van sociale relaties kan door het gebruik van <strong>internet</strong> wel e<strong>en</strong>s wegvall<strong>en</strong> of<br />
zijn weggevall<strong>en</strong>. De sociale geleg<strong>en</strong>heidsstructuur 24 die bepaalt wie op welk<br />
mom<strong>en</strong>t toegang kan krijg<strong>en</strong> tot winstgev<strong>en</strong>de criminele activiteit<strong>en</strong> 25 ziet er in het<br />
geval van cybercrime wellicht heel anders uit. Waar vanwege grote financiële<br />
risico’s vroeger vooral vertrouw<strong>en</strong> van groot belang was, zijn deze risico’s in het<br />
geval van phishing vele mal<strong>en</strong> kleiner. De logistieke problem<strong>en</strong> rondom phishing<br />
zijn ook kleiner dan in relatie tot de georganiseerde misdaad rond m<strong>en</strong>s<strong>en</strong>handel of<br />
drugshandel. Daardoor heeft m<strong>en</strong> in het algeme<strong>en</strong> minder mededaders nodig om<br />
het delict succesvol uit te kunn<strong>en</strong> voer<strong>en</strong>. Dankzij deze voordel<strong>en</strong> in relatie tot de<br />
relatief lage pakkans <strong>en</strong> de grote opbr<strong>en</strong>gst<strong>en</strong>, is op basis van omkering van de<br />
door het <strong>WODC</strong> gesignaleerde principes, de kans aannemelijk dat de<br />
georganiseerde misdaad ook achter phishing activiteit<strong>en</strong> zit.<br />
24 Sociale relaties die toegang gev<strong>en</strong> tot winstgev<strong>en</strong>de criminele mogelijkhed<strong>en</strong>. E<strong>en</strong> combinatie van de<br />
b<strong>en</strong>adering uit de geleg<strong>en</strong>heidstheorie (Clarke & Felson, 1993) met de sociale netwerktheorie.<br />
25 In hun rapport pres<strong>en</strong>ter<strong>en</strong> de onderzoekers bevinding<strong>en</strong> van e<strong>en</strong> deelonderzoek in het kader van de<br />
Monitor Georganiseerde Criminaliteit onder 979 verdacht<strong>en</strong> van betrokk<strong>en</strong>heid bij 79<br />
opsporingsonderzoek<strong>en</strong> ingeschrev<strong>en</strong> bij het OM in de periode 1995‐1999.<br />
99
2.21 ‘The Employees’<br />
Onder de noemer employees zijn de roll<strong>en</strong> bij elkaar gebracht die voor de initiator<br />
de uitvoer<strong>en</strong>de activiteit<strong>en</strong> van het spam‐/phishingproces voor hun rek<strong>en</strong>ing<br />
nem<strong>en</strong> <strong>en</strong> die zich daar ook terdege van bewust zijn. Omdat het roll<strong>en</strong> betreft,<br />
kunn<strong>en</strong> deze ook sam<strong>en</strong>vall<strong>en</strong> met het zijn van initiator. De instroom van<br />
employees in de wereld van spam/phishing loopt deels parallel met die van de<br />
initiators.<br />
2.21.1 De ‘Webdesigner’<br />
Om e<strong>en</strong> spoof website te ontwerp<strong>en</strong>, heeft de phisher e<strong>en</strong> ontwerper nodig. Dit<br />
moet zeker iemand zijn met de nodige ervaring, omdat de website exact gelijk<strong>en</strong>d<br />
moet zijn aan het origineel. Bov<strong>en</strong>di<strong>en</strong> moet<strong>en</strong> ev<strong>en</strong>tuele links uitkom<strong>en</strong> bij de<br />
juiste verwijzing<strong>en</strong> op de officiële pagina van de instelling die het doelwit is van de<br />
phishing aanval. Als de phisher zelf erg bedrev<strong>en</strong> is in het ontwikkel<strong>en</strong> van<br />
websites, kan hij deze rol vervull<strong>en</strong>. Zo niet, dan moet hij iemand werv<strong>en</strong> die dit<br />
voor hem doet. Op fora <strong>en</strong> nieuwsgroep<strong>en</strong> kan het e<strong>en</strong>voudig zijn hier iemand voor<br />
te vind<strong>en</strong>. Aangezi<strong>en</strong> het hier vooral draait om aanzi<strong>en</strong> <strong>en</strong> het lat<strong>en</strong> zi<strong>en</strong> van de<br />
hoogstandjes waartoe m<strong>en</strong> in staat is, is het uitdag<strong>en</strong> van e<strong>en</strong> naïeve bezoeker om<br />
e<strong>en</strong> exacte kopie te mak<strong>en</strong> van e<strong>en</strong> website niet heel moeilijk, zeker niet als er e<strong>en</strong><br />
vergoeding teg<strong>en</strong>over staat. Voor de initiators die dit zelf niet will<strong>en</strong> of kunn<strong>en</strong>,<br />
geldt dat zij ieder contact met <strong>en</strong>ige computeraffiniteit kunn<strong>en</strong> vrag<strong>en</strong> voor dit<br />
f<strong>en</strong>ome<strong>en</strong>. In de regel zull<strong>en</strong> dit scriptkiddies zijn.<br />
2.21.2 De ‘Scriptkiddy’<br />
De naam kiddy slaat in dit geval echt op de leeftijd. Als ‘employee’, is e<strong>en</strong> kiddy<br />
voor de phisher e<strong>en</strong> makkelijke k<strong>en</strong>nisbron voor het verkrijg<strong>en</strong> van di<strong>en</strong>st<strong>en</strong> <strong>en</strong><br />
programmatuur in het phishingproces. E<strong>en</strong> scriptkiddy is te karakteriser<strong>en</strong> als e<strong>en</strong><br />
(jonger) persoon die op zoek is naar e<strong>en</strong> beetje avontuur. Ze hebb<strong>en</strong> zeker<br />
vaardigheid <strong>en</strong> k<strong>en</strong>nis met betrekking tot IT, maar zijn niet zo goed of origineel dat<br />
ze voor doorgewinterde hacker kunn<strong>en</strong> doorgaan. Om aanzi<strong>en</strong> <strong>en</strong> status ter<br />
verwerv<strong>en</strong>, gaan ze aan de slag met alle voorhand<strong>en</strong> zijnde malware. Hiermee<br />
creër<strong>en</strong> ze viruss<strong>en</strong> (het I‐love‐you virus was e<strong>en</strong> e<strong>en</strong>voudig geg<strong>en</strong>ereerd virus van<br />
e<strong>en</strong> scriptkiddy), bouw<strong>en</strong> massmail programmatuur <strong>en</strong> dergelijke. De basis voor<br />
dergelijke programmatuur is op het <strong>internet</strong> te vind<strong>en</strong> in nieuwsgroep<strong>en</strong>, op fora<br />
<strong>en</strong> via chatbox<strong>en</strong>. Omdat scriptkiddies niet origineel g<strong>en</strong>oeg zijn, blijft de schade<br />
100
door hun bijdrage aan aanvall<strong>en</strong> beperkt. Er zijn veel scriptkiddies, waardoor de<br />
kans dat ze toch iets gevaarlijks ontwikkel<strong>en</strong> aanwezig blijft. Vaak gaat het om e<strong>en</strong><br />
<strong>en</strong>kele aanpassing die e<strong>en</strong> sam<strong>en</strong>loop van reacties teweeg br<strong>en</strong>gt die de grootste<br />
schade veroorzaakt. E<strong>en</strong> van de succesfactor<strong>en</strong> van het I‐love‐you virus was<br />
bijvoorbeeld dat het inspeelde op de emotie van de ontvanger. Voor de phisher kan<br />
de scriptkiddy van pas kom<strong>en</strong> bij het ondersteun<strong>en</strong> van het hack<strong>en</strong> van servers, het<br />
harvest<strong>en</strong> of aanlever<strong>en</strong> van e‐mailadress<strong>en</strong> <strong>en</strong> het lever<strong>en</strong> van sidescripts<br />
waarmee gegev<strong>en</strong>s uiteindelijk afgetapt kunn<strong>en</strong> word<strong>en</strong>.<br />
“Zi<strong>en</strong> we de scripkiddy als deg<strong>en</strong>e die hand <strong>en</strong> spandi<strong>en</strong>st<strong>en</strong> voor de spammer<br />
verricht op e<strong>en</strong> niet al te hoog gespecialiseerd ontwerpniveau, dan zou deze kunn<strong>en</strong><br />
voldo<strong>en</strong> aan de volg<strong>en</strong>de gedragsk<strong>en</strong>merk<strong>en</strong>:<br />
bezoekt fora waar k<strong>en</strong>nis is te vind<strong>en</strong> over spamm<strong>en</strong>, phish<strong>en</strong> <strong>en</strong> afscherming,<br />
<strong>en</strong><br />
download gratis harvesting <strong>en</strong> phishing tools (DIY‐kit), <strong>en</strong>/of<br />
checkt gestol<strong>en</strong> creditcardgegev<strong>en</strong>s, <strong>en</strong>/of<br />
ontvangt kleine betaling<strong>en</strong> van sponsor, <strong>en</strong>/of<br />
actief gamer, <strong>en</strong>/of<br />
ICT’er (in opleiding of afgestudeerd).”<br />
Het is al bek<strong>en</strong>d dat het spam <strong>en</strong> phishingproces steeds minder als integrale<br />
bezigheid wordt gepraktiseerd. Activiteit<strong>en</strong> als harvest<strong>en</strong> zijn business op zich<br />
geword<strong>en</strong>. Deze versnippering van activiteit<strong>en</strong> kan betek<strong>en</strong><strong>en</strong> dat de phisher zich<br />
alle<strong>en</strong> nog maar bezig gaat houd<strong>en</strong> met het ophal<strong>en</strong> van de gewonn<strong>en</strong> gegev<strong>en</strong>s <strong>en</strong><br />
het omzett<strong>en</strong> hiervan in opbr<strong>en</strong>gst<strong>en</strong>. Het wordt dan zeer aannemelijk dat hij voor<br />
kleine kluss<strong>en</strong>, communicatie tuss<strong>en</strong> partners <strong>en</strong> dergelijke, e<strong>en</strong> handige jong<strong>en</strong><br />
nodig heeft. Scriptkiddy’s l<strong>en</strong><strong>en</strong> zich hier uitstek<strong>en</strong>d voor. Zij hebb<strong>en</strong> voldo<strong>en</strong>de<br />
k<strong>en</strong>nis om simpele stapp<strong>en</strong> in het proces uit te voer<strong>en</strong>, zijn goedkoop <strong>en</strong> in<br />
overvloed aanwezig.<br />
In e<strong>en</strong> tweetal Opta dossiers <strong>en</strong> in e<strong>en</strong> KLPD dossier kom<strong>en</strong> hand‐ <strong>en</strong> spandi<strong>en</strong>st<strong>en</strong><br />
voor die pass<strong>en</strong> onder de noemer scriptkiddy. De sponsor heeft iemand nodig die<br />
wat handige ding<strong>en</strong> voor hem doet <strong>en</strong> die hij bov<strong>en</strong>di<strong>en</strong> kan vertrouw<strong>en</strong>. In het<br />
KLPD‐dossier komt de relatie naar vor<strong>en</strong> met gaming. Netwerk<strong>en</strong> met andere<br />
gamers word<strong>en</strong> onderhoud<strong>en</strong> <strong>en</strong> m<strong>en</strong> wisselt k<strong>en</strong>nis uit.<br />
Met als input e<strong>en</strong> aantal fora <strong>en</strong> bek<strong>en</strong>de sites waar DIY‐kits kunn<strong>en</strong> word<strong>en</strong><br />
gekocht, kan op surfgedrag (ISP’s) <strong>en</strong> met name download‐gedrag (ISP’s) van<br />
scriptkiddies word<strong>en</strong> gemonitord. Het download<strong>en</strong> van phishing‐kits is de meest<br />
directe herleiding tot dat delict. Het check<strong>en</strong> van gestol<strong>en</strong> creditcardgegev<strong>en</strong>s op<br />
101
geldigheid (af te leid<strong>en</strong> uit logfiles) is op zichzelf al e<strong>en</strong> verdachte activiteit die<br />
overig<strong>en</strong>s niet alle<strong>en</strong> voor phishing opgaat. Grote kans dat de scripkiddy op gaming<br />
fora is te vind<strong>en</strong> onder zijn avatar‐naam.<br />
Ook kunn<strong>en</strong> via universiteit<strong>en</strong> of hogeschol<strong>en</strong> groep<strong>en</strong> ‘gesjeesde’ IT‐stud<strong>en</strong>t<strong>en</strong><br />
word<strong>en</strong> geïd<strong>en</strong>tificeerd. Met behulp van e<strong>en</strong> check op money transfers of<br />
betalingsgedrag kan verdacht handelsgedrag bekek<strong>en</strong> word<strong>en</strong>. Als aan beide<br />
voorwaard<strong>en</strong> wordt voldaan, is aannemelijk dat de stud<strong>en</strong>t zich bezig houdt met<br />
grijs <strong>internet</strong>gedrag.<br />
De sriptkiddy is op zichzelf ge<strong>en</strong> gevaarlijk individu. Zijn betrokk<strong>en</strong>heid bij het spam<br />
of phishingproces is slechts zijdelings. Valt e<strong>en</strong> scriptkiddy uit, dan ondervindt het<br />
proces ge<strong>en</strong> schade. Daarom kan via de scripkiddy beter gezocht word<strong>en</strong> naar het<br />
brein achter de aanval. Via hem zijn wellicht bots b<strong>en</strong>aderbaar of kan uitgevond<strong>en</strong><br />
word<strong>en</strong> waar de spoof website gehost wordt of welke instelling aangevall<strong>en</strong> gaat<br />
word<strong>en</strong>. Hierop zijn dan verdere interv<strong>en</strong>ties mogelijk, zoals prev<strong>en</strong>tief informer<strong>en</strong><br />
van mogelijke slachtoffers of het voortijdig verwijder<strong>en</strong> van de spoof website.<br />
2.21.3 De ‘Scout’<br />
Bij professionele phishing activiteit<strong>en</strong> word<strong>en</strong> de targets niet beperkt tot e<strong>en</strong><br />
specifiek land. Vaak gedrev<strong>en</strong> vanuit e<strong>en</strong> technologische b<strong>en</strong>adering die op e<strong>en</strong><br />
specifiek systeemplatform gericht is, wordt onderzocht welke bank<strong>en</strong>, webshops<br />
<strong>en</strong>/of andere mogelijke <strong>internet</strong>doelwitt<strong>en</strong> in de verschill<strong>en</strong>d<strong>en</strong> land<strong>en</strong> aanwezig<br />
zijn. Om aan deze onderzoeksbehoefte inhoud te gev<strong>en</strong>, is er behoefte aan e<strong>en</strong> rol<br />
als scout/verk<strong>en</strong>ner in e<strong>en</strong> specifieke markt. De person<strong>en</strong> die deze rol vervull<strong>en</strong><br />
di<strong>en</strong><strong>en</strong> e<strong>en</strong> goed overzicht te hebb<strong>en</strong> van de system<strong>en</strong> die de mogelijke targets in<br />
de markt gebruik<strong>en</strong>, de mate van beveiliging <strong>en</strong> de wijze van handhaving <strong>en</strong><br />
opsporing.<br />
“Succesvolle scouts k<strong>en</strong>merk<strong>en</strong> zich door e<strong>en</strong> actueel <strong>en</strong> hoogwaardig k<strong>en</strong>nisniveau<br />
van de technische infrastructuur van partij<strong>en</strong> in e<strong>en</strong> markt, die zij opgedaan hebb<strong>en</strong><br />
in huidige of historische relaties als medewerker of adviseur van de desbetreff<strong>en</strong>de<br />
partij<strong>en</strong>.”<br />
2.21.4 De ‘Translator’<br />
Wanneer sprake is van traditionele phishing, zal bij e<strong>en</strong> internationale verz<strong>en</strong>ding<br />
van de e‐mail, behoefte zijn aan vertaalcapaciteit. In het verled<strong>en</strong> werd dit bij met<br />
name de amateuristische aanvall<strong>en</strong> opgelost door gebruik te mak<strong>en</strong> van<br />
automatische vertaalprogramma’s <strong>en</strong>/of knullige vertaling<strong>en</strong> door anderstalig<strong>en</strong>.<br />
102
Bij <strong>en</strong>kele professionele aanvall<strong>en</strong> zijn b<strong>en</strong>adering<strong>en</strong> gebruikt waarbij e<strong>en</strong> eerste<br />
knullig mailtje (daags erna) werd opgevolgd door e<strong>en</strong> zeer vakkundig opgesteld<br />
mailtje met de uitnodiging om e<strong>en</strong> ‘patch’ voor het zog<strong>en</strong>aamde beveiligingslek te<br />
installer<strong>en</strong>. Voor e<strong>en</strong> dergelijke b<strong>en</strong>adering is niet alle<strong>en</strong> e<strong>en</strong> vakkundige vertaling<br />
nodig maar ook e<strong>en</strong> cultuur‐invoel<strong>en</strong>d vermog<strong>en</strong> om consum<strong>en</strong>t<strong>en</strong> letterlijk te<br />
verleid<strong>en</strong> om in te gaan op de uitnodiging. Voor het vervull<strong>en</strong> van de rol van<br />
translator op het professionele niveau, is de inzet noodzakelijk van gekwalificeerde<br />
medewerkers die goed ingevoerd zijn in de desbetreff<strong>en</strong>de markt <strong>en</strong> het land.<br />
“Professionele vertalers die zich in lat<strong>en</strong> hur<strong>en</strong> voor de marktspecifieke uitrol van<br />
traditionele phishing aanvall<strong>en</strong> zijn te vind<strong>en</strong> in dezelfde omgeving als waar<br />
‘reguliere’ criminele organisaties hun zakelijke di<strong>en</strong>stverl<strong>en</strong>ing betrekk<strong>en</strong>.”<br />
2.21.5 De ‘Toolsupplier’<br />
‘Toolsupplier’ is e<strong>en</strong> verzamelnaam voor leveranciers van softwaretools die als<br />
onderdeel van de MO gebruikt kunn<strong>en</strong> word<strong>en</strong>. Op het WWW zijn diverse<br />
leveranciers te vind<strong>en</strong> die volledige doe‐het‐zelf phishing pakkett<strong>en</strong> lever<strong>en</strong>. Teg<strong>en</strong><br />
e<strong>en</strong> goede prijs lijkt alles te koop 26 . Niet alle<strong>en</strong> doe‐het‐zelf phishing pakkett<strong>en</strong>,<br />
maar ook virusontwikkelaars, massmail‐programma’s <strong>en</strong> dergelijke. Op vele<br />
plekk<strong>en</strong> op het WWW is malware teg<strong>en</strong> e<strong>en</strong> winkelprijs verkrijgbaar 27 . T<strong>en</strong> behoeve<br />
van succesvolle malware distributie is de laatste tijd zelfs e<strong>en</strong> speciale tak van<br />
leveranciers van packers opgezet die met e<strong>en</strong> grote regelmaat nieuwe compressieoplossing<strong>en</strong><br />
aanbied<strong>en</strong> waardoor malware onzichtbaar blijft voor antivirussoftware.<br />
“Niet zeld<strong>en</strong> bevat DIY‐malware e<strong>en</strong> ingebakk<strong>en</strong> stuk malware dat ervoor zorgt dat<br />
gestol<strong>en</strong> cred<strong>en</strong>tials niet alle<strong>en</strong> bij de specifieke gebruiker ervan terecht komt, maar<br />
ook bij de originele maker. Vanuit deze invalshoek kan technische analyse van de<br />
DIY‐malware kits aanknopingspunt<strong>en</strong> oplever<strong>en</strong> voor opsporing van daadwerkelijke<br />
daders.”<br />
Er zijn vele tool suppliers <strong>en</strong> we hebb<strong>en</strong> ge<strong>en</strong> idee in hoeverre die e<strong>en</strong> Nederlandse<br />
oorsprong k<strong>en</strong>n<strong>en</strong>. Uit de dossiers blijkt daarvan niets. Overig<strong>en</strong>s wordt daar ook<br />
ge<strong>en</strong> onderzoek naar gedaan. De aanbieders van DIY‐kits op het gebied van<br />
26 www.blogs.zdnet.com/security/?p=1104&tag=btxcsim, laatst geraadpleegd op 5 juni 2008.<br />
27 www.security.nl/article/18941/1/Bouw_je_eig<strong>en</strong>_%22kinderlokker‐webcam‐Trojan%22.html, laatst<br />
geraadpleegd op 26 juni 2008.<br />
103
phishing kunn<strong>en</strong> desondanks toch interessant zijn om e<strong>en</strong> vinger achter het<br />
f<strong>en</strong>ome<strong>en</strong> te krijg<strong>en</strong>. Zo zal de kit‐developer meelift<strong>en</strong> op de gebruiker van de kit<br />
<strong>en</strong> gegev<strong>en</strong>s van gestol<strong>en</strong> id<strong>en</strong>titeit naar zichzelf toe will<strong>en</strong> hal<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> zitt<strong>en</strong><br />
in de kits al bepaalde financiële instelling<strong>en</strong> voorgestructureerd waarvan het<br />
interessant is om te kijk<strong>en</strong> in hoeverre die in Nederland zijn gevestigd.<br />
De relatie met Nederland lijkt zich te beperk<strong>en</strong> tot afnemers van de kits die zich in<br />
Nederland bevind<strong>en</strong>. Het download‐verkeer van deze sites is interessant om te<br />
monitor<strong>en</strong>.<br />
Interessant kan zijn om te bepal<strong>en</strong> wat de impact van de DIY‐kits is. Zeker kits die<br />
spoof websites meelever<strong>en</strong> zijn aantrekkelijk voor e<strong>en</strong> dergelijke analyse. Uit e<strong>en</strong><br />
scan op website karakteristiek<strong>en</strong> kan bekek<strong>en</strong> word<strong>en</strong> in hoeverre spoof websites<br />
op elkaar lijk<strong>en</strong> <strong>en</strong> of ze e<strong>en</strong>malig gebrukt word<strong>en</strong>, evoluer<strong>en</strong> of simpelweg steeds<br />
gekopieerd word<strong>en</strong>. Aan de hand van de websites die in e<strong>en</strong> DIY‐kit zitt<strong>en</strong>, kan<br />
bekek<strong>en</strong> word<strong>en</strong> of e<strong>en</strong> phisher e<strong>en</strong> dergelijke kit heeft gebruikt. Blijkt dat phishers<br />
dit niet do<strong>en</strong>, dan kan de hele toolsupplier hypothese op de schop. Blijkt dat<br />
phishers alle<strong>en</strong> maar kits gebruik<strong>en</strong>, dan kan hier meer onderzoek naar gedaan<br />
word<strong>en</strong>.<br />
2.21.6 De ‘Moneymule’<br />
Bij phishingaanvall<strong>en</strong> gericht op bancaire instelling<strong>en</strong> bestaat het verzilver<strong>en</strong> van de<br />
verkreg<strong>en</strong> cred<strong>en</strong>tials er in principe uit om vanaf de desbetreff<strong>en</strong>de bankrek<strong>en</strong>ing<br />
geld over te mak<strong>en</strong> naar e<strong>en</strong> rek<strong>en</strong>ing met de dader direct of indirect als<br />
begunstigde. Doordat de opspoorbaarheid van e<strong>en</strong> overboeking naar e<strong>en</strong> directe<br />
rek<strong>en</strong>ing nogal voor de hand ligt, wordt in de regel gebruik gemaakt van<br />
zog<strong>en</strong>aamde ‘money mules’. Deze stromann<strong>en</strong> wordt e<strong>en</strong> vergoeding in het<br />
vooruitzicht gesteld om zijn of haar bankrek<strong>en</strong>ing te gebruik<strong>en</strong> als tuss<strong>en</strong>station<br />
richting de dader. Voor de afwikkeling van de finale overboeking naar deze dader<br />
wordt gebruik gemaakt van money transfers <strong>en</strong>/of fysiek geldtransport om de<br />
traceerbaarheid sterk te verminder<strong>en</strong>. In de praktijk word<strong>en</strong> bij succesvolle<br />
phishingaanvall<strong>en</strong> de mules door de politie van hun bed gelicht maar kom<strong>en</strong> deze<br />
weg met ge<strong>en</strong> of e<strong>en</strong> lichte straf vanwege hun beperkte aandeel in het delict.<br />
“Person<strong>en</strong> die als mule actief zijn kunn<strong>en</strong> in hun gedrag herk<strong>en</strong>d word<strong>en</strong> doordat ze<br />
in bepaalde periodes hoog frequ<strong>en</strong>t hun bankrek<strong>en</strong>ingstand controler<strong>en</strong>, in<br />
vergelijking met andere periodes.”<br />
104
“Vanwege het schijnbaar evid<strong>en</strong>t malafide karakter van de propositie die pot<strong>en</strong>tiële<br />
mules wordt voorgespiegeld, zull<strong>en</strong> slechts laag opgeleide <strong>en</strong>/of person<strong>en</strong> met<br />
financiële problem<strong>en</strong> zich beschikbaar stell<strong>en</strong> voor deze rol.”<br />
De inzet van money‐mules om wederrechtelijke opbr<strong>en</strong>gst<strong>en</strong> door te sluiz<strong>en</strong> wordt<br />
in Nederland regelmatig aangetroff<strong>en</strong>. Juist omdat het om kwetsbare groep<strong>en</strong> gaat<br />
waarvan het gedrag als mule afwijkt van het gewone gedrag, is de kans op detectie<br />
relatief groot. Daarmee is alle<strong>en</strong> de relatie naar phishingactiviteit<strong>en</strong> nog niet<br />
aangetoond.<br />
“De kans op het verricht<strong>en</strong> van di<strong>en</strong>st<strong>en</strong> als e<strong>en</strong> mule is groot wanneer het gaat om<br />
stud<strong>en</strong>t<strong>en</strong>, werkloz<strong>en</strong> of bijstandsgerechtigd<strong>en</strong> die:<br />
e<strong>en</strong> laag rek<strong>en</strong>ingsaldo k<strong>en</strong>n<strong>en</strong> met lage <strong>en</strong> weinig frequ<strong>en</strong>te mutaties, of<br />
e<strong>en</strong> nieuwe rek<strong>en</strong>ing hebb<strong>en</strong> geop<strong>en</strong>d zonder betaal‐pasfuncties, <strong>en</strong><br />
de nieuwe rek<strong>en</strong>ing kortstondig gebruik<strong>en</strong>,<br />
grotere bedrag<strong>en</strong> krijg<strong>en</strong> bijgeschrev<strong>en</strong> dan in voorgaande twaalf maand<strong>en</strong>, <strong>en</strong><br />
de bedrag<strong>en</strong> afkomstig zijn van rek<strong>en</strong>inghouders met e<strong>en</strong> grote geografische<br />
spreiding,<br />
deze bedrag<strong>en</strong> geheel of grot<strong>en</strong>deels (95%) kort na storting (tot 1 dag)<br />
opnem<strong>en</strong>,<br />
money transfers do<strong>en</strong> op of rond de datum van opname waarvan het bedrag<br />
geheel of nag<strong>en</strong>oeg overe<strong>en</strong>komt met het bedrag van de opname, <strong>en</strong>/of<br />
waaraan opgave van e<strong>en</strong> begunstigde ontbreekt of waarvan de begunstigde<br />
e<strong>en</strong> andere is dan die het geld uiteindelijk incasseert.”<br />
De hypothese k<strong>en</strong>t twee ingang<strong>en</strong>: de populatie <strong>en</strong> het saldo‐gedrag. Om nu alle<br />
stud<strong>en</strong>t<strong>en</strong>, werkloz<strong>en</strong> <strong>en</strong> bijstandgerechtigd<strong>en</strong> in e<strong>en</strong> startpopulatie op te nem<strong>en</strong><br />
om daarmee te gaan match<strong>en</strong> zal op weinig steun kunn<strong>en</strong> rek<strong>en</strong><strong>en</strong>. De tweede<br />
invalshoek leidt directer tot e<strong>en</strong> ‘statistisch’ verdachte groep die atypisch gedrag<br />
vertoont. Het (inter)bancaire verkeer is daarvoor de belangrijkste gegev<strong>en</strong>sbron.<br />
Dat zal waarschijnlijk rechtstreeks gemonitord moet<strong>en</strong> word<strong>en</strong>, omdat de money<br />
transfers die na de overboeking<strong>en</strong> <strong>en</strong> cash opnames plaatsvind<strong>en</strong> in ieder geval<br />
deels onder de meldgr<strong>en</strong>s van ongebruikelijke transacties blijv<strong>en</strong>. De statistisch<br />
verdachte groep zou vervolg<strong>en</strong>s wel rechtstreeks met de money transferkantor<strong>en</strong><br />
kunn<strong>en</strong> word<strong>en</strong> gematcht om het verband tuss<strong>en</strong> opname <strong>en</strong> transfer te legg<strong>en</strong>.<br />
Phishers lat<strong>en</strong> de met id<strong>en</strong>titeitsdiefstal verkreg<strong>en</strong> geld<strong>en</strong> overboek<strong>en</strong> naar<br />
rek<strong>en</strong>ing van diverse mules die als tuss<strong>en</strong>persoon funger<strong>en</strong>. Ze blijv<strong>en</strong> zo zelf buit<strong>en</strong><br />
schot. Mules word<strong>en</strong> gerecruteerd op verschill<strong>en</strong>de wijze. Sommige<br />
wervingscamapagnes word<strong>en</strong> op e<strong>en</strong> 4.1.9‐<strong>fraud</strong>e‐achtige wijze b<strong>en</strong>aderd per (e‐<br />
)mail. In de mail wordt e<strong>en</strong> voorstelling gemaakt van e<strong>en</strong> groot bedrijfsresultaat,<br />
105
erf<strong>en</strong>is of overheidsschuld die niet via reguliere bankkanal<strong>en</strong> zou kunn<strong>en</strong> word<strong>en</strong><br />
verstuurd. De red<strong>en</strong><strong>en</strong> die aangevoerd word<strong>en</strong> zijn divers, zoals corruptie,<br />
wantrouw<strong>en</strong> van het bankstelsel of politieke problem<strong>en</strong>. De rol die voor de mule is<br />
weggelegd is e<strong>en</strong> zeer aantrekkelijke. Ze krijg<strong>en</strong> e<strong>en</strong> bedrag gestort op hun<br />
rek<strong>en</strong>ing, waarvan ze 5‐8 % mog<strong>en</strong> houd<strong>en</strong>. De rest moet<strong>en</strong> ze opnem<strong>en</strong> <strong>en</strong> per<br />
money transfer naar Oost‐Europa of Afrika stur<strong>en</strong>.<br />
Er is e<strong>en</strong> dossier bek<strong>en</strong>d bij de politieregio Amsterdam‐Amstelland waarin e<strong>en</strong><br />
bedrijf haar eig<strong>en</strong> naam terugziet in mule recruitm<strong>en</strong>t mails. Website <strong>en</strong><br />
mailadress<strong>en</strong> wijk<strong>en</strong> mimaal af van haar officiële webadres <strong>en</strong> mailadress<strong>en</strong>.<br />
E<strong>en</strong> tweede bek<strong>en</strong>de wervingscamapagne verloopt via vacaturewebsites. Hierop<br />
wordt e<strong>en</strong>voudig werk aangebod<strong>en</strong>. Na reactie op de vacature, blijk het om het<br />
verplaats<strong>en</strong> van geld te gaan. Twee phishing‐dossiers van het KLPD wijz<strong>en</strong> op het<br />
gebruik van money mules in combinatie met money transfers, maar bij de bank<strong>en</strong><br />
zijn vele voorbeeld<strong>en</strong> bek<strong>en</strong>d. Verschill<strong>en</strong>de dossiers uit Amsterdam‐Amstelland<br />
wijz<strong>en</strong> op het gebruik van bankrek<strong>en</strong>ing<strong>en</strong> van scholier<strong>en</strong> als ‘tuss<strong>en</strong>rek<strong>en</strong>ing’ voor<br />
het wegsluiz<strong>en</strong>/witwass<strong>en</strong> van geld. In de dossiers van Amsterdam‐Amstelland zijn<br />
twee gevall<strong>en</strong> van mule recruitm<strong>en</strong>t bek<strong>en</strong>d, waarbij meerdere mules war<strong>en</strong><br />
betrokk<strong>en</strong>. Hierbij zett<strong>en</strong> de bank<strong>en</strong> waar de mules hun rek<strong>en</strong>ing hadd<strong>en</strong> de<br />
transacties zelf stop <strong>en</strong> bevror<strong>en</strong> de tegoed<strong>en</strong> van de mule. Ook is er e<strong>en</strong> meer<br />
amateuristisch voorbeeld te noem<strong>en</strong> waarbij de partner gedwong<strong>en</strong> wordt e<strong>en</strong><br />
rek<strong>en</strong>ing te op<strong>en</strong><strong>en</strong> t<strong>en</strong> behoeve van de grijze <strong>internet</strong>activiteit<strong>en</strong> van de andere<br />
partner. Als laatste word<strong>en</strong> er ook via veilingsites mules gerecruteerd. In de<br />
dossiers van de politieregio Amsterdam‐Amstelland komt e<strong>en</strong> geval voor waarbij de<br />
mule online e<strong>en</strong> beeldje aan had geschaft. Na de verkoop wordt de koper b<strong>en</strong>aderd<br />
door de verkoper om geld via e<strong>en</strong> money transfer naar Rusland over te mak<strong>en</strong>.<br />
Mules word<strong>en</strong> breder ingezet <strong>en</strong> niet alle<strong>en</strong> in relatie tot phishing. De hypothese<br />
probeert de phishing‐relatie te legg<strong>en</strong> door de geografische spreiding van<br />
rek<strong>en</strong>inghouders in te br<strong>en</strong>g<strong>en</strong>. Volledig discriminer<strong>en</strong>d is die toevoeging niet. Ook<br />
in het geval van Nigerian<strong>en</strong><strong>fraud</strong>e zi<strong>en</strong> we bijvoorbeeld transacties die aan dit<br />
criterium voldo<strong>en</strong>, zij het dat ze eerder afkomstig zijn uit het buit<strong>en</strong>land.<br />
Het uitschakel<strong>en</strong> van mules is weinig effectief. De pool van m<strong>en</strong>s<strong>en</strong> die<br />
geïnteresseerd is in hoge opbr<strong>en</strong>gst<strong>en</strong> voor weinig werk is groot. Voor iedere mule<br />
staan zo weer ander<strong>en</strong> klaar. Wat e<strong>en</strong> betere aanpak lijkt is het blokker<strong>en</strong> van<br />
money transfers <strong>en</strong> het bevriez<strong>en</strong> van mule tegoed<strong>en</strong>. Dit stagneert het<br />
geldverkeer van de phisher. Wat ook interessant lijkt is het terugvolg<strong>en</strong> van de<br />
geldstroom. Helaas zal dit binn<strong>en</strong> de scope van het ‘Hollandsch perspectief’ snel<br />
ophoud<strong>en</strong>, omdat de geldstrom<strong>en</strong> veelal via het buit<strong>en</strong>land lop<strong>en</strong>.<br />
106
2.22 ‘The Facilitators’<br />
De zog<strong>en</strong>oemde ‘facilitators’ zijn in de phishing activiteit op zichzelf niet betrokk<strong>en</strong>.<br />
Zij lever<strong>en</strong> di<strong>en</strong>st<strong>en</strong>, vooral infrastructuur, met behulp waarvan de initiator zijn<br />
aanval kan uitvoer<strong>en</strong>, <strong>en</strong> kijk<strong>en</strong> daarbij niet al te nauw voor welk doel die di<strong>en</strong>st<strong>en</strong><br />
word<strong>en</strong> gebruikt.<br />
2.22.1 De ‘Host’<br />
De spoof website van de phisher moet op het WWW kom<strong>en</strong>. Hiervoor is e<strong>en</strong> DNS<br />
(Domain Name Server) provider nodig, die de phisher voorziet van e<strong>en</strong><br />
domeinnaam <strong>en</strong> ruimte op e<strong>en</strong> webserver om de website te plaats<strong>en</strong>. Het domein<br />
verkrijgt de phisher zoals gezegd legaal, via e<strong>en</strong> DNS‐provider. Dit proces is volledig<br />
geautomatiseerd, dus moeilijke vrag<strong>en</strong> krijgt e<strong>en</strong> phisher niet. E<strong>en</strong> DNS‐provider is<br />
echter wel e<strong>en</strong> autoriteit, zodat de phisher <strong>en</strong>ige moeite moet do<strong>en</strong> om zijn<br />
id<strong>en</strong>titeit te verhull<strong>en</strong>.<br />
Het plaats<strong>en</strong> van de website gebeurt via e<strong>en</strong> Internet Service Provider (ISP).<br />
Aantrekkelijke ISP’s voor e<strong>en</strong> phisher om di<strong>en</strong>st<strong>en</strong> van af te nem<strong>en</strong>, zijn<br />
betrekkelijke kleine organisaties met e<strong>en</strong> lage servicegraad die hun klant<strong>en</strong> niet<br />
teveel moeilijke vrag<strong>en</strong> stell<strong>en</strong>. Het <strong>en</strong>ige wat de phisher t<strong>en</strong>slotte nodig heeft, is<br />
e<strong>en</strong> paar bytes aan ruimte <strong>en</strong> e<strong>en</strong> redelijke garantie van dataverkeer op e<strong>en</strong> korte<br />
termijn. Ook het illegaal plaats<strong>en</strong> van e<strong>en</strong> website zorgt ervoor dat er e<strong>en</strong> ISP<br />
betrokk<strong>en</strong> wordt, zij het zonder haar medewet<strong>en</strong>. De phisher verschaft zich, al dan<br />
niet met hulp van derd<strong>en</strong>, illegaal toegang tot e<strong>en</strong> webserver <strong>en</strong> plaatst daar zijn<br />
spoof website. In dat geval kan er nog e<strong>en</strong> betrokk<strong>en</strong>e zijn, namelijk de huurder van<br />
de ruimte die de phisher misbruikt voor het plaats<strong>en</strong> van de spoof website.<br />
Wordt voor phishing gebruik gemaakt van e<strong>en</strong> nepwebsite dan wordt die erg<strong>en</strong>s<br />
gehost. Wet<strong>en</strong> waar die wordt gehost, is nu al ess<strong>en</strong>tieel voor succesvolle ‘notice<br />
and take down’. Meestal blijft het bij het uit de lucht hal<strong>en</strong> van e<strong>en</strong> spoof site, maar<br />
m<strong>en</strong> zou ook kunn<strong>en</strong> prober<strong>en</strong> uit te kom<strong>en</strong> bij de beheerder van deze site. De<br />
detectiehypothese voor de host is dan ook op de botnet beheerders van<br />
toepassing. Botnetbeheerders do<strong>en</strong> er alles aan om hun bot te vrijwar<strong>en</strong> van<br />
detectie. Hoe dan ook, ze moet<strong>en</strong> met die bots communicer<strong>en</strong>. Dat gebeurt via het<br />
IRC‐protocol (chatchannels) omdat dat zich zo goed le<strong>en</strong>t voor het op afstand<br />
bedi<strong>en</strong><strong>en</strong> van computers.<br />
107
Wanneer e<strong>en</strong> phisher niet via chatchannels de informatie van de spoof sites<br />
binn<strong>en</strong>haalt, is de kans groot dat de gegev<strong>en</strong>s die slachtoffers op de spoof site<br />
achterlat<strong>en</strong> opgeslag<strong>en</strong> word<strong>en</strong> in e<strong>en</strong> bestand op de server. De phisher zal dan<br />
gedwong<strong>en</strong> word<strong>en</strong> om terug te ker<strong>en</strong> naar de server waar de spoof site gehost<br />
wordt om dit bestand uit te lez<strong>en</strong>. Als de spoof site geïd<strong>en</strong>tificeerd is, hoeft m<strong>en</strong><br />
slechts te wacht<strong>en</strong> tot e<strong>en</strong> onbek<strong>en</strong>de, lees niet de eig<strong>en</strong>aar van het domein,<br />
verbinding zoekt met de host server. Dan is directe id<strong>en</strong>tifcatie van de dader<br />
mogelijk.<br />
“Spoof sites in het kader van phishing communicer<strong>en</strong> via chatkanal<strong>en</strong> met hun<br />
beheerder. Door het onderschepp<strong>en</strong> van deze communicatie kan de beheerder<br />
mogelijk word<strong>en</strong> getraceerd (of minimaal de access provider: de interface waarmee<br />
de beheerder zich toegang verschaft: <strong>internet</strong>café, onbeveiligd wifi).”<br />
Spoof sites kunn<strong>en</strong> geautomatiseerd ontdekt word<strong>en</strong> door webpagina’s te scann<strong>en</strong><br />
op bek<strong>en</strong>de grafische elem<strong>en</strong>t<strong>en</strong> van legitieme sites met e<strong>en</strong> verhoogd risico om<br />
slachtoffer te word<strong>en</strong> van e<strong>en</strong> phishing‐aanval. Hierbij kan gedacht word<strong>en</strong> aan<br />
logo’s, nam<strong>en</strong>, tekst<strong>en</strong> <strong>en</strong> kleur<strong>en</strong>. E<strong>en</strong> dergelijke combinatie van gebruikte<br />
kleur<strong>en</strong>, site opbouw <strong>en</strong> gebruikte technologieën lever<strong>en</strong> sam<strong>en</strong> e<strong>en</strong> unieke<br />
‘vingerafdruk’ op. Omdat het aantal websites dat de moeite van het spoof<strong>en</strong> waard<br />
is niet <strong>en</strong>orm groot is, dit zijn inlogpagina’s van bank<strong>en</strong> <strong>en</strong> verzekeraars, loont het<br />
de moeite om van deze websites te onderzoek<strong>en</strong> of er klon<strong>en</strong> van op het web<br />
circuler<strong>en</strong>.<br />
Bij het plaats<strong>en</strong> van spoof websites op e<strong>en</strong> host server, waarbij de phisher terug<br />
moet kom<strong>en</strong> om zijn gegev<strong>en</strong>s te hal<strong>en</strong>, kan ook gescand word<strong>en</strong> op bek<strong>en</strong>de<br />
lekk<strong>en</strong> in besturingssystem<strong>en</strong>. Deze lekk<strong>en</strong> word<strong>en</strong> door de dader gebruikt om<br />
ongemerkt de server te b<strong>en</strong>ader<strong>en</strong> <strong>en</strong> te verlat<strong>en</strong>. Als er op bek<strong>en</strong>de lekk<strong>en</strong><br />
gezocht wordt, kunn<strong>en</strong> webservers word<strong>en</strong> geïd<strong>en</strong>tificeerd die e<strong>en</strong> hoger<br />
compromiteringsrisico lop<strong>en</strong>. Deze servers zoud<strong>en</strong> bij toepassing van de<br />
voorgaande hypothese gescand kunn<strong>en</strong> word<strong>en</strong> op site‐karakteristiek<strong>en</strong>.<br />
Hoewel spoof sites over de hele wereld gehost kunn<strong>en</strong> word<strong>en</strong>, zowel bij<br />
professionele datac<strong>en</strong>ters als ook op particuliere thuiscomputers, blijkt in de<br />
praktijk dat Nederlandse datac<strong>en</strong>ters vanwege de grote bandbreedte <strong>en</strong><br />
betrouwbaarheid e<strong>en</strong> zekere voorkeur van cybercriminals te g<strong>en</strong>iet<strong>en</strong>. Voor het<br />
geautomatiseerd ontdekk<strong>en</strong> van spoof sites kunn<strong>en</strong> (grote) Nederlandse<br />
datac<strong>en</strong>ters gescand word<strong>en</strong> op de inhoud van de daar gehoste websites. Doordat<br />
spoof sites vaak onderdeel uitmak<strong>en</strong> van (gekraakte) legitieme sites <strong>en</strong> binn<strong>en</strong> die<br />
context letterlijk erg<strong>en</strong>s onderin de site weggestopt zijn, zal dieper gezocht moet<strong>en</strong><br />
108
word<strong>en</strong> dan alle<strong>en</strong> de op<strong>en</strong>ingspagina. Dit scann<strong>en</strong> van sites vertoont sterke<br />
overe<strong>en</strong>komst<strong>en</strong> met de techniek die zoekmachines toepass<strong>en</strong>, zij het dat in dit<br />
geval m<strong>en</strong> gericht is op id<strong>en</strong>tificer<strong>en</strong> in plaats van indexer<strong>en</strong>.<br />
Nadere analyse van de websites die als zodanig gedetecteerd word<strong>en</strong>, kan inzicht<br />
gev<strong>en</strong> in bijvoorbeeld actieve phishing aanvall<strong>en</strong>, gehackte websites waar de spoof<br />
site draait, eig<strong>en</strong>ar<strong>en</strong> van malafide webservers waar de spoof site draait, of<br />
aanknopingspunt<strong>en</strong> oplever<strong>en</strong> richting de beheerder van de spoof site via de<br />
communicatie in het chatkanaal (nickname). Chat channels die als<br />
communicatiekanaal gebruikt word<strong>en</strong> tuss<strong>en</strong> spoof sites <strong>en</strong> e<strong>en</strong> dader, zijn te<br />
herk<strong>en</strong>n<strong>en</strong> omdat er veel ‘gebruikers’, i.e. gekraakte computers, zijn aangemeld,<br />
maar er verder ge<strong>en</strong> discussie wordt gevoerd. Tot dat e<strong>en</strong> gebruiker, e<strong>en</strong> dader,<br />
e<strong>en</strong> bepaalde code gebruikt om alle andere ‘gebruikers’ (de gekraakte computers)<br />
opdracht te gev<strong>en</strong> alle (nieuwe) geoogste gegev<strong>en</strong>s door te gev<strong>en</strong>. Dit doorgev<strong>en</strong><br />
kan in groep<strong>en</strong>, individueel of at random gebeur<strong>en</strong>.<br />
De cybercrimineel zal op e<strong>en</strong> of andere manier de vrucht<strong>en</strong> van zijn phishing actie<br />
moet<strong>en</strong> plukk<strong>en</strong>. De vrucht<strong>en</strong> zijn in dit geval de gegev<strong>en</strong>s die slachtoffers op de<br />
spoof website hebb<strong>en</strong> achtergelat<strong>en</strong>. Er zijn twee bek<strong>en</strong>de manier<strong>en</strong> waarop de<br />
dader deze in zijn bezit kan krijg<strong>en</strong>. Via chatchannels over e<strong>en</strong> botnet <strong>en</strong> via e<strong>en</strong><br />
bestand op de gecompromitteerde server.<br />
Uit dossiers van het politiekorps Amsterdam‐Amstelland is e<strong>en</strong> voorbeeld bek<strong>en</strong>d<br />
van e<strong>en</strong> persoon die getipt werd over het bestaan van e<strong>en</strong> spoof website op zijn<br />
persoonlijke domein. De website was e<strong>en</strong> spoof website van Lloyd TSB bank,<br />
waarvan ook e<strong>en</strong> spamrun bek<strong>en</strong>d is. De criminel<strong>en</strong> hadd<strong>en</strong> e<strong>en</strong> bek<strong>en</strong>d lek in de<br />
besturingssoftware van de web server gebruikt om de spoof site te plaats<strong>en</strong>. Uit<br />
e<strong>en</strong> ander dossier is bek<strong>en</strong>d dat e<strong>en</strong> bankinstelling getipt werd over het in<br />
aanbouw zijn van e<strong>en</strong> spoof website van hun online bank. Deze spoof website was<br />
nog niet volledig <strong>en</strong> is op verzoek van de bank verwijderd. Op welke server de spoof<br />
site stond was onbek<strong>en</strong>d.<br />
2.22.2 De ‘Harvester’, ‘Administrator’, ‘Supplier’ <strong>en</strong> ‘Insider’<br />
De roll<strong>en</strong> van ‘Harvester’, ‘Administrator’, ‘Supplier’ <strong>en</strong> ‘Insider’, hebb<strong>en</strong> alle vier<br />
betrekking op het verwerv<strong>en</strong> van adress<strong>en</strong>. Ze word<strong>en</strong> daarom onder één noemer<br />
beschrev<strong>en</strong>.<br />
109
De ‘Harvester’<br />
Iemand in het proces moet e‐mailadress<strong>en</strong> verzamel<strong>en</strong> van pot<strong>en</strong>tiële slachtoffers.<br />
Voor e<strong>en</strong> aantal person<strong>en</strong> is harvesting hun werk geword<strong>en</strong>. Zij speur<strong>en</strong><br />
doelbewust het web af of brek<strong>en</strong> in op mailservers om e‐mailadress<strong>en</strong> te<br />
verkrijg<strong>en</strong>. Zij bied<strong>en</strong> deze vervolg<strong>en</strong>s weer aan teg<strong>en</strong> e<strong>en</strong> vergoeding.<br />
Marketingbedrijv<strong>en</strong> m<strong>en</strong>g<strong>en</strong> zich ook steeds vaker in deze markt. Voor h<strong>en</strong> is het<br />
aantrekkelijk om de gegev<strong>en</strong>s die ze voor andere bedrijfsactiviteit<strong>en</strong> toch al onder<br />
hun beheer hebb<strong>en</strong>, door te verkop<strong>en</strong> aan derd<strong>en</strong>. De marketingbureaus die zich<br />
hiermee bezig houd<strong>en</strong>, zijn vaak klein <strong>en</strong> hebb<strong>en</strong> e<strong>en</strong> breed spectrum aan klant<strong>en</strong><br />
<strong>en</strong> activiteit<strong>en</strong>. Deze rol kan vervuld word<strong>en</strong> door de phisher, maar hij kan ook<br />
to<strong>en</strong>adering zoek<strong>en</strong> tot e<strong>en</strong> ‘broodharvester’, zoals hiervoor beschrev<strong>en</strong>.<br />
Bij het misbruik<strong>en</strong> van bedrijfsmail moet iemand binn<strong>en</strong> het bedrijf betrokk<strong>en</strong> zijn.<br />
Dit kan e<strong>en</strong> systeembeheerder, website beheerder of andere medewerker zijn met<br />
toegang tot web‐ of mailservers.<br />
Doordat degelijk harvest<strong>en</strong> behoorlijk veel resources vergt (storage, processing,<br />
bandwidth), zal dit in de regel door tamelijk professionele types gebeur<strong>en</strong>. Ook zijn<br />
er gevall<strong>en</strong> bek<strong>en</strong>d van spammers die e<strong>en</strong> stapje terug zijn gegaan vanwege<br />
juridische risico’s. Op fora <strong>en</strong> in chatrooms zull<strong>en</strong> zij contact zoek<strong>en</strong> met mogelijke<br />
adresleveranciers.<br />
De ‘Addressadministrator’<br />
De addressadministrator is bijvoorbeeld e<strong>en</strong> systeembeheerder bij e<strong>en</strong> bedrijf met<br />
e<strong>en</strong> grote klant<strong>en</strong>administratie, <strong>en</strong> valt in die hoedanigheid sam<strong>en</strong> met de rol van<br />
insider. Zij hoev<strong>en</strong> niet actief betrokk<strong>en</strong> te zijn bij het beschikbaar stell<strong>en</strong> van<br />
adresgegev<strong>en</strong>s, maar zij hebb<strong>en</strong> deze gegev<strong>en</strong>s in beheer. Zij zijn wel deg<strong>en</strong><strong>en</strong> die<br />
erop aangekek<strong>en</strong> word<strong>en</strong> als deze adress<strong>en</strong> misbruikt word<strong>en</strong>. Er zijn gevall<strong>en</strong><br />
bek<strong>en</strong>d waarin e<strong>en</strong> administrator ook de supplier werd, middels omkoping of<br />
afpersing. De addressadministrator is de legitieme eig<strong>en</strong>aar van de adress<strong>en</strong> die de<br />
spammer gebruikt. Dit kan e<strong>en</strong> adresboek van de spammer zelf zijn of e<strong>en</strong><br />
marketingbureau dat handelt in databases met gegev<strong>en</strong>s. Kwetsbare groep<strong>en</strong> qua<br />
adresbeheer zijn (lokale) overhed<strong>en</strong>, succesvolle amateursites, bedrijv<strong>en</strong> uit de<br />
‘oude economie’ die online gaan, pseudo‐overheid, instelling<strong>en</strong>, nutsbedrijv<strong>en</strong>,<br />
bezorgdi<strong>en</strong>st<strong>en</strong> of loterij<strong>en</strong>.<br />
De ‘Addresssupplier’<br />
De addresssupplier is de partij die post‐ of e‐mailadress<strong>en</strong> te koop aanbiedt aan de<br />
spamsponsor. Ze verzamel<strong>en</strong> deze adress<strong>en</strong> via legale method<strong>en</strong> zoals het<br />
afspeur<strong>en</strong> van het <strong>internet</strong> of uit telefoonboek<strong>en</strong> of de Goud<strong>en</strong> Gids. Suppliers<br />
110
ewandel<strong>en</strong> echter ook minder legale pad<strong>en</strong>, zoals het inbrek<strong>en</strong> op mailservers van<br />
grote bedrijv<strong>en</strong> of van gratis e‐mail aanbieders zoals Yahoo, Hotmail of Gmail.<br />
Teg<strong>en</strong> e<strong>en</strong> geringe prijs zijn pakkett<strong>en</strong> met adress<strong>en</strong> te koop via legitieme websites.<br />
De supplier kan gelijk zijn aan de administrator, maar dit hoeft niet. Wanneer er op<br />
e<strong>en</strong> mailserver ingebrok<strong>en</strong> wordt, is de systeembeheerder de<br />
addressadministrator, maar is de hacker de supplier. Voormalige scriptkiddies<br />
kunn<strong>en</strong> zijn doorgegroeid tot professionele <strong>en</strong> gespecialiseerde addresssuppliers.<br />
De addresssupplier kan zelf weer aan de adress<strong>en</strong> zijn gekom<strong>en</strong> via de<br />
verschill<strong>en</strong>de variant<strong>en</strong> als beschrev<strong>en</strong>. Op hun beurt kunn<strong>en</strong> ze ook weer zijn<br />
gekocht van bijvoorbeeld e<strong>en</strong> insider in e<strong>en</strong> organisatie.<br />
De ‘Insider’<br />
De ‘insider’ is eig<strong>en</strong>lijk ge<strong>en</strong> zelfstandige rol, maar e<strong>en</strong> hoedanigheid (iemand van<br />
binn<strong>en</strong>uit) van de andere roll<strong>en</strong>. Beheerders van persoonsgegev<strong>en</strong>s lop<strong>en</strong> in<br />
beginsel het risico op diefstal van deze gegev<strong>en</strong>s van ‘binn<strong>en</strong>uit’. Het kan daarbij<br />
gaan om ex‐werknemers die voor hun vertrek uit de organisatie gegev<strong>en</strong>s<br />
me<strong>en</strong>em<strong>en</strong>, maar ook om m<strong>en</strong>s<strong>en</strong> die nog in di<strong>en</strong>st zijn <strong>en</strong> uit financiële motiev<strong>en</strong><br />
data van hun werkgever vervreemd<strong>en</strong> <strong>en</strong> verkop<strong>en</strong>. In e<strong>en</strong> Amerikaans voorbeeld<br />
ging e<strong>en</strong> medewerker er vandoor met de gegev<strong>en</strong>s van 2 miljo<strong>en</strong> aanvragers van<br />
e<strong>en</strong> hypotheek. Hij deed dat over e<strong>en</strong> periode van 2 jaar in part<strong>en</strong> van 20.000<br />
adress<strong>en</strong> per week die steeds $ 500 dollar opleverd<strong>en</strong> (Countrywide Insiders Steal's<br />
2 Million People's Information, 2008).<br />
“De (inside) adresverstrekker kan zich mogelijk lat<strong>en</strong> id<strong>en</strong>tificer<strong>en</strong> wanneer:<br />
in phishing spamruns e<strong>en</strong> bepaalde sam<strong>en</strong>hang zit (‘address‐print’), <strong>en</strong><br />
die sam<strong>en</strong>hang uniek is voor e<strong>en</strong> bepaald type (Nederlandse) bron, <strong>en</strong><br />
deze (originele) bron weinig duplicat<strong>en</strong> k<strong>en</strong>t, <strong>en</strong>/of<br />
deze teg<strong>en</strong> betaling wordt aangebod<strong>en</strong> (bijvoorbeeld via fora).”<br />
In de begintijd van het <strong>internet</strong> <strong>en</strong> van de digitale spam, was het voor de<br />
spamverspreider nog te do<strong>en</strong> om zelf adress<strong>en</strong> te verzamel<strong>en</strong>. Naarmate het web<br />
diverser <strong>en</strong> verspreider werd, is ook het verzamel<strong>en</strong> van e‐mailadress<strong>en</strong> voor spam<br />
doeleind<strong>en</strong> e<strong>en</strong> stuk moeilijker geword<strong>en</strong>. Daarbov<strong>en</strong>op komt nog dat<br />
<strong>internet</strong>gebruikers voorzichtiger zijn geword<strong>en</strong> met het verspreid<strong>en</strong> van hun<br />
mailadress<strong>en</strong>. Voor de spammer is het niet meer aantrekkelijk veel tijd te stek<strong>en</strong> in<br />
het verzamel<strong>en</strong> van mailadress<strong>en</strong>. Er is daarvoor in de plaats e<strong>en</strong> nieuwe<br />
bedrijfstak op het <strong>internet</strong> ontstaan die zich bezig houdt met het verzamel<strong>en</strong> van<br />
werk<strong>en</strong>de mail‐adress<strong>en</strong>. Deze person<strong>en</strong> verkop<strong>en</strong> hun bestand<strong>en</strong> door aan<br />
spammers.<br />
111
Deze adresverzamelaars gaan op verschill<strong>en</strong>de manier<strong>en</strong> te werk. Het is bek<strong>en</strong>d dat<br />
er regelmatig batches met adress<strong>en</strong> vanuit bedrijv<strong>en</strong> naar spam verspreiders gaan.<br />
De red<strong>en</strong><strong>en</strong> hiervoor kunn<strong>en</strong> divers zijn. Zo is het e<strong>en</strong> veel voorkom<strong>en</strong>d f<strong>en</strong>ome<strong>en</strong><br />
dat van pas ontslag<strong>en</strong> of vertrokk<strong>en</strong> werknemers de inloggegev<strong>en</strong>s nog e<strong>en</strong> tijd<br />
bruikbaar blijv<strong>en</strong>. Wanneer e<strong>en</strong> ontslag in onmin heeft plaatsgevond<strong>en</strong> <strong>en</strong>/of de<br />
ex‐werknemer wraak wil nem<strong>en</strong>, komt het voor dat zij inlogg<strong>en</strong> op de bedrijfsserver<br />
<strong>en</strong> hier gegev<strong>en</strong>s verwijder<strong>en</strong> of ‘gijzel<strong>en</strong>’ ter afpersing. Het is e<strong>en</strong> kwestie van tijd<br />
voordat deze person<strong>en</strong> de werkelijke waarde van deze adresgegev<strong>en</strong>s inzi<strong>en</strong> <strong>en</strong> ze<br />
actief gaan verhandel<strong>en</strong>.<br />
Daarnaast is er de ontevred<strong>en</strong> werknemer. Deze vindt zich onderbetaald of<br />
ondergewaardeerd <strong>en</strong> zoekt naar manier<strong>en</strong> om zijn onmin te uit<strong>en</strong>. Dit gebeurt<br />
mogelijk op e<strong>en</strong> soortgelijke manier als hierbov<strong>en</strong> beschrev<strong>en</strong>. Ook zijn er<br />
werknemers die zich vervel<strong>en</strong> <strong>en</strong> zoek<strong>en</strong> naar avontuur, krap bij kas zitt<strong>en</strong> of het<br />
niet zo nauw nem<strong>en</strong> met de bedrijfsethiek. Deze drie groep<strong>en</strong> hebb<strong>en</strong> ieder e<strong>en</strong><br />
ander motief om interne adresbestand<strong>en</strong> van medewerkers of klant<strong>en</strong> te verkop<strong>en</strong>,<br />
maar ze zull<strong>en</strong> dezelfde MO hebb<strong>en</strong>. Ze kopiër<strong>en</strong> adresbestand<strong>en</strong>, nem<strong>en</strong> deze<br />
mee naar huis <strong>en</strong> verkop<strong>en</strong> deze online of via hun k<strong>en</strong>iss<strong>en</strong> netwerk. Verder zijn er<br />
hackers die van buit<strong>en</strong> mailservers krak<strong>en</strong> <strong>en</strong> de adress<strong>en</strong> kopiër<strong>en</strong> om ze te<br />
verhandel<strong>en</strong>. Hiervoor is echter veel technische k<strong>en</strong>nis vereist. Als laatste wordt<br />
door malafide <strong>internet</strong>gebruikers gebruik gemaakt van malware <strong>en</strong> web crawlers<br />
om e‐mailadress<strong>en</strong> van het web te hal<strong>en</strong>. Deze adress<strong>en</strong> word<strong>en</strong> vervolg<strong>en</strong>s<br />
gebundeld <strong>en</strong> verhandeld.<br />
In één KLPD onderzoek (e<strong>en</strong> rechtshulpverzoek uit Amerika) komt diefstal van e<strong>en</strong><br />
database voor (360.000 adress<strong>en</strong> van e<strong>en</strong> financiële di<strong>en</strong>stverl<strong>en</strong>er). In dit geval<br />
was het doel om de eig<strong>en</strong>aar af te pers<strong>en</strong>.<br />
Uit dossiers van Amsterdam‐Amstelland blijkt dat ex‐werknemers vaak nog <strong>en</strong>ige<br />
tijd op de bedrijfserver in kunn<strong>en</strong> logg<strong>en</strong>. Er zijn dossiers waarin werknemers uit<br />
wraak de adreslijst ‘gijzel<strong>en</strong>’. Deze werd<strong>en</strong> alle<strong>en</strong> gebruikt ter afpersing, maar zijn<br />
als spamlijst waarschijnlijk veel waardevoller, omdat er targeting mee toegepast<br />
kan word<strong>en</strong>.<br />
Phishers will<strong>en</strong> zo dicht mogelijk bij hun target uitkom<strong>en</strong> (bijvoorbeeld de m<strong>en</strong>s<strong>en</strong><br />
die ook feitelijk klant zijn bij e<strong>en</strong> bepaalde bank). Dat vergroot de kans op e<strong>en</strong> hit.<br />
Target‐adress<strong>en</strong> zijn veel waard. De kans op diefstal van dit soort<br />
doelgroepgegev<strong>en</strong>s is daarom groot. In één KLPD dossier werd e<strong>en</strong> voorbeeld<br />
gevond<strong>en</strong> van e<strong>en</strong> hack op e<strong>en</strong> gegev<strong>en</strong>sdatabase. De hypothese kan word<strong>en</strong><br />
uitgebreid met e<strong>en</strong> veronderstelling dat de legale adress<strong>en</strong>verstrekker e<strong>en</strong> grote<br />
kans loopt om ook illegaal adress<strong>en</strong> te verstrekk<strong>en</strong>. Dat ligt in de lijn van di<strong>en</strong>s core<br />
112
usiness: het onderscheid tuss<strong>en</strong> legaal <strong>en</strong> illegaal moet bewust word<strong>en</strong> gemaakt<br />
omdat het om exact dezelfde verwerkings‐ <strong>en</strong> verzamelingsprocess<strong>en</strong> gaat. We<br />
kunn<strong>en</strong> deze hypothese wellicht combiner<strong>en</strong> met de spammerhypothese. Deze<br />
hypothese indiceert ook de risico’s van bepaalde bronn<strong>en</strong>. Overig<strong>en</strong>s zijn er vele<br />
legale adress<strong>en</strong>bestand<strong>en</strong> op het <strong>internet</strong> te koop. Alle<strong>en</strong> is het de vraag of die nog<br />
langer tegemoet kom<strong>en</strong> aan de targetw<strong>en</strong>s<strong>en</strong> van de phisher. Naar verwachting<br />
zull<strong>en</strong> we steeds meer interne gegev<strong>en</strong>sdiefstal zi<strong>en</strong>.<br />
“Indi<strong>en</strong> de records die van adress<strong>en</strong>bestand<strong>en</strong> deel uit mak<strong>en</strong> bek<strong>en</strong>d zijn, kan er<br />
gewerkt word<strong>en</strong> aan het waarschuw<strong>en</strong> van de person<strong>en</strong> die in het bestand<br />
voorkom<strong>en</strong>; kunn<strong>en</strong> de phishers die van die bronn<strong>en</strong> gebruik mak<strong>en</strong> word<strong>en</strong><br />
opgewacht, <strong>en</strong> kan e<strong>en</strong> beeld ontstaan van de MO van daders (verversing van<br />
adress<strong>en</strong>, keuze voor doelgroep<strong>en</strong>, gebruik dezelfde resources).”<br />
“Indi<strong>en</strong> de bronn<strong>en</strong> van de adress<strong>en</strong>bestand<strong>en</strong> bek<strong>en</strong>d zijn kan dit leid<strong>en</strong> naar<br />
insiders (adress<strong>en</strong>beheerders) die het adress<strong>en</strong>materiaal beschikbaar hebb<strong>en</strong><br />
gesteld, <strong>en</strong> kan er actief word<strong>en</strong> gewerkt aan afscherming van de bron.”<br />
“Door de addressprints te vergelijk<strong>en</strong> met de phishing‐DIY‐kits, is waarschijnlijk te<br />
achterhal<strong>en</strong> met welke g<strong>en</strong>erator de adress<strong>en</strong> zijn ‘opgehaald’.”<br />
2.22.3 De ‘Botnet herder’<br />
Als de phisher voor zijn spammingactiviteit<strong>en</strong> gebruik wil mak<strong>en</strong> van e<strong>en</strong> botnet, zal<br />
hij contact moet<strong>en</strong> zoek<strong>en</strong> met e<strong>en</strong> botnetbeheerder. Botnets zijn netwerk<strong>en</strong> van<br />
computers, waarvan de computereig<strong>en</strong>aar ge<strong>en</strong> weet heeft. Botnets word<strong>en</strong><br />
doelbewust opgezet voor het verspreid<strong>en</strong> van spam, het uitvoer<strong>en</strong> van DDoS<br />
aanvall<strong>en</strong> <strong>en</strong> andere vorm<strong>en</strong> van cybercrime. Het verspreid<strong>en</strong> van viruss<strong>en</strong> <strong>en</strong><br />
malware om botnets te creër<strong>en</strong> <strong>en</strong> daarna aan te stur<strong>en</strong> is e<strong>en</strong> behoorlijk karwei.<br />
T<strong>en</strong>zij de phisher deel uitmaakt van e<strong>en</strong> organisatie die e<strong>en</strong> botnet beheert, zal de<br />
phisher zelf niet de beheerder zijn van e<strong>en</strong> botnet.<br />
2.22.4 De ‘Malware distributor’<br />
Zoals bij de bespreking van de verschill<strong>en</strong>de MO’s die bij phishing toegepast<br />
word<strong>en</strong> al is aangegev<strong>en</strong>, bestaat er e<strong>en</strong> veelheid aan method<strong>en</strong> om malware te<br />
distribuer<strong>en</strong>. Van de ‘push’ b<strong>en</strong>adering zijn e‐mail <strong>en</strong> drive‐by‐downloads<br />
mom<strong>en</strong>teel de meest gebruikte. Bij de ‘pull’ b<strong>en</strong>adering is de strategie erop gericht<br />
om voldo<strong>en</strong>de gebruikers onbewust de malware op hun computer binn<strong>en</strong> te lat<strong>en</strong><br />
113
hal<strong>en</strong> <strong>en</strong> op het mom<strong>en</strong>t dat de desbetreff<strong>en</strong>de computers besmet zijn via ‘push’‐<br />
vorm<strong>en</strong> verder te lat<strong>en</strong> distribuer<strong>en</strong> in de sociale netwerk<strong>en</strong> van de besmette<br />
gebruikers. Om met e<strong>en</strong> zekere snelheid <strong>en</strong> effectiviteit de distributie van malware<br />
te lat<strong>en</strong> plaatsvind<strong>en</strong>, richt<strong>en</strong> bepaalde person<strong>en</strong> zich op de specifieke distributie<br />
van malware. Hun activiteit bestaat daarbij uit het plaats<strong>en</strong> van besmette<br />
bestand<strong>en</strong> in nieuwsgroep<strong>en</strong>, fora <strong>en</strong> torr<strong>en</strong>ts <strong>en</strong> bijvoorbeeld het organiser<strong>en</strong> van<br />
het plaats<strong>en</strong> van malicious code op dubieuze websites zoals porno‐ <strong>en</strong><br />
undergroundachtige activiteit<strong>en</strong>. Ook het uitnutt<strong>en</strong> van kwetsbaarhed<strong>en</strong> op slecht<br />
beveiligde websites (amateurblogs) om zodo<strong>en</strong>de drive‐by‐downloads te<br />
faciliter<strong>en</strong>, behor<strong>en</strong> tot de activiteit<strong>en</strong> bij deze rol (Provos, 2008).<br />
2.22.5 De ‘Access provider’<br />
De phisher wil graag e<strong>en</strong> plek hebb<strong>en</strong> waar hij ongestoord <strong>en</strong> anoniem zijn werk<br />
kan do<strong>en</strong>. Mogelijkhed<strong>en</strong> waar phishers zich van bedi<strong>en</strong><strong>en</strong> zijn onbeveiligde WiFi<br />
netwerk<strong>en</strong>, bibliotheekcomputers <strong>en</strong> <strong>internet</strong>cafés. Eig<strong>en</strong>lijk zijn alle anonieme<br />
plaats<strong>en</strong> met gratis of zeer goedkoop <strong>internet</strong> interessant, zo ook hotels <strong>en</strong><br />
(zak<strong>en</strong>)restaurants. Van de min of meer illegale accessproviders zijn anonimisers de<br />
bek<strong>en</strong>dste. Deze bied<strong>en</strong> privacybescherming tijd<strong>en</strong>s het surf<strong>en</strong> door het IP‐adres<br />
van de gebruiker te verberg<strong>en</strong>. Ook kan er anoniem e‐mail verstuurd word<strong>en</strong>.<br />
Daarnaast zijn er malafide ISP’s die letterlijk e<strong>en</strong> oogje dichtknijp<strong>en</strong> wat betreft het<br />
gedrag van hun klant<strong>en</strong>. Deze ISP’s k<strong>en</strong>n<strong>en</strong> vaak andere dan reguliere<br />
betalingsmodell<strong>en</strong> (gratis vanwege reclame op site, online met creditcard, etc.).<br />
De meeste registreerders van domeinnam<strong>en</strong> zijn niet actief betrokk<strong>en</strong> bij flux<br />
schema’s. Mogelijk word<strong>en</strong> zij net zo misbruikt door de cybercriminel<strong>en</strong> als de<br />
eindslachtoffers. Doorverkopers van domeinnam<strong>en</strong> <strong>en</strong> e<strong>en</strong> klein aantal<br />
registreerders lijk<strong>en</strong> direct betrokk<strong>en</strong> bij fast‐flux domeinaanvall<strong>en</strong>. Er is echter nog<br />
niemand vervolgd voor betrokk<strong>en</strong>heid bij e<strong>en</strong> fast‐flux aanval, ook al zijn er wel<br />
melding<strong>en</strong> van e<strong>en</strong> ICANN registreerder die gekoppeld wordt aan e<strong>en</strong> groot aantal<br />
<strong>fraud</strong>uleuze domeinnam<strong>en</strong>, waaronder fast‐flux domein<strong>en</strong> (Internet Corporation<br />
for Assigned Names and Numbers (ICANN), 2009, p. 9). Daarbuit<strong>en</strong> zijn er meer dan<br />
50.000 domeinnam<strong>en</strong> afgeslot<strong>en</strong> die direct betrokk<strong>en</strong> war<strong>en</strong> bij <strong>fraud</strong>uleuze<br />
handeling<strong>en</strong> of waarvan de eig<strong>en</strong>ar<strong>en</strong> consequ<strong>en</strong>t verdacht gedrag vertoond<strong>en</strong>. De<br />
handeling<strong>en</strong> met domeinnam<strong>en</strong> liep<strong>en</strong> uite<strong>en</strong> van spamming, phishing <strong>en</strong><br />
spoofing,tot malware verspreiding, online <strong>kinderporno</strong> <strong>en</strong> valse ‘Whois’ informatie.<br />
Niet alle<strong>en</strong> de domeinnam<strong>en</strong> zelf werd<strong>en</strong> verwijderd, maar ook alle activiteit<strong>en</strong> die<br />
met deze domeinnam<strong>en</strong> te mak<strong>en</strong> hadd<strong>en</strong> werd<strong>en</strong> opgeschort. Ook is e<strong>en</strong> aantal<br />
bedrijv<strong>en</strong> geïd<strong>en</strong>tificeerd dat door cybercriminel<strong>en</strong> verkoz<strong>en</strong> wordt. Dit zijn<br />
114
ijvoorbeeld Vivids Media GMBH, Klikdomains, MyNick.name, and Webst.ru. Van<br />
de domeinnam<strong>en</strong> die bij deze providers war<strong>en</strong> geregistreerd, zijn er 125.000<br />
afgeslot<strong>en</strong> (Armin & B.Turakhia, 2008).<br />
2.22.6 De ‘Hacker’<br />
In e<strong>en</strong> aantal processtapp<strong>en</strong> kan het voor de phisher nodig zijn in te brek<strong>en</strong> op mail<br />
of webservers. Hiervoor is wel gedeg<strong>en</strong> k<strong>en</strong>nis vereist. Deze k<strong>en</strong>nis is beschikbaar<br />
op verschill<strong>en</strong>de fora op het <strong>internet</strong>, maar het kan e<strong>en</strong> precies <strong>en</strong> tijdrov<strong>en</strong>d<br />
karwei zijn de juiste informatie te vind<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> is het risico van inbrek<strong>en</strong> op<br />
e<strong>en</strong> server vrij groot. E<strong>en</strong> phisher zonder de juiste k<strong>en</strong>nis zal dan ook gebruik will<strong>en</strong><br />
mak<strong>en</strong> van iemand die dit vaker doet. We noem<strong>en</strong> dit in de volksmond e<strong>en</strong> hacker.<br />
In de <strong>internet</strong>wereld wordt dit echter e<strong>en</strong> scriptkiddy g<strong>en</strong>oemd. Scriptkiddies<br />
houd<strong>en</strong> zich bezig met de ‘dagelijkse’ kraak‐ <strong>en</strong> inbreekpraktijk. Hackers zitt<strong>en</strong> op<br />
e<strong>en</strong> veel hoger k<strong>en</strong>nis‐ <strong>en</strong> kund<strong>en</strong>iveau. Hackers prober<strong>en</strong>, niet alle<strong>en</strong> voor illegale<br />
praktijk<strong>en</strong>, maar ook ter verhoging van de veiligheid, veiligheidslekk<strong>en</strong> in de<br />
nieuwste programmatuur te vind<strong>en</strong>.<br />
2.23 ‘The Targets’<br />
Binn<strong>en</strong> de actorroll<strong>en</strong> van het phishingdelict kan e<strong>en</strong> groep van directe of indirecte<br />
slachtoffers geïd<strong>en</strong>tificeerd word<strong>en</strong>. Binn<strong>en</strong> de context van dit onderzoek word<strong>en</strong><br />
deze roll<strong>en</strong> gezam<strong>en</strong>lijk de ‘targets’ g<strong>en</strong>oemd. De belangrijkste hiervan word<strong>en</strong><br />
hieronder besprok<strong>en</strong>.<br />
2.23.1 De ‘Institution’<br />
Het doelwit van de phishingaanval is e<strong>en</strong> bank, e<strong>en</strong> veilingsite, e<strong>en</strong><br />
spelontwikkelaar of andere interessante instelling. De aantrekkelijkheid van de<br />
instelling voor phishers wordt bepaald door het niveau aan veiligheidsmaatregel<strong>en</strong><br />
dat de instelling k<strong>en</strong>t om misbruik te voorkom<strong>en</strong> <strong>en</strong> de verwachte opbr<strong>en</strong>gst van<br />
e<strong>en</strong> aanval.<br />
“De volg<strong>en</strong>de instelling<strong>en</strong> kom<strong>en</strong> vooral in aanmerking voor e<strong>en</strong> phishingaanval:<br />
financiële instelling<strong>en</strong> met online transactiemogelijkhed<strong>en</strong> (bank<strong>en</strong>, creditcard,<br />
belegging, verzekering);<br />
online war<strong>en</strong>huiz<strong>en</strong> waar goeder<strong>en</strong> besteld kunn<strong>en</strong> word<strong>en</strong> (vooral met one‐<br />
115
click shopping;)<br />
online di<strong>en</strong>st<strong>en</strong>verstrekker (tickets, software);<br />
veilingsites;<br />
communitysites (om username/wachtwoord te achterhal<strong>en</strong>, online cred<strong>en</strong>tials);<br />
gaming sites,<br />
ISP’s/universiteit<strong>en</strong>/webcafés (om accounts te krak<strong>en</strong>).”<br />
Kortom, elke site waar cred<strong>en</strong>tials van gebruikers geregistreerd word<strong>en</strong>, waarna<br />
deze direct of indirect omgezet kunn<strong>en</strong> word<strong>en</strong> in middel<strong>en</strong>.<br />
2.23.2 Het ‘Victim’<br />
De slachtoffers zijn in de breedste zin van het woord alle ontvangers van de spam<br />
e‐mail die nam<strong>en</strong>s de phisher verstuurd wordt. Hierbij mog<strong>en</strong> we de instelling die<br />
door de phisher als doelwit is gekoz<strong>en</strong> ook niet verget<strong>en</strong>, aangezi<strong>en</strong> zij vaak voor de<br />
schade mag opdraai<strong>en</strong> die de phisher berokk<strong>en</strong>t. De uiteindelijke slachtoffers zijn<br />
dieg<strong>en</strong><strong>en</strong> die de spam e‐mail op<strong>en</strong><strong>en</strong>, op de spoof link klikk<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s hun<br />
gegev<strong>en</strong>s invull<strong>en</strong>. Hiervan is niet iedere<strong>en</strong> direct slachtoffer, omdat er ook<br />
person<strong>en</strong> zijn die hier informatie invull<strong>en</strong> om de phisher dwars te zitt<strong>en</strong>. Zij lat<strong>en</strong> de<br />
phisher zi<strong>en</strong> dat ze hem door hebb<strong>en</strong> via de gebruikersnam<strong>en</strong> <strong>en</strong> wachtwoord<strong>en</strong>.<br />
2.23.3 De ‘Money transfer ag<strong>en</strong>t’<br />
Deze bedrijv<strong>en</strong> faciliter<strong>en</strong> het overboek<strong>en</strong> van contant <strong>en</strong> giraal geld naar land<strong>en</strong><br />
waar het bancaire systeem te w<strong>en</strong>s<strong>en</strong> over laat. Geld wordt in land A bij kantoor a<br />
gedeponeerd, voorzi<strong>en</strong> van e<strong>en</strong> bestemming met land B <strong>en</strong> kantoor b. Vervolg<strong>en</strong>s<br />
wordt er e<strong>en</strong> wachtwoord afgesprok<strong>en</strong> waarmee het geld bij kantoor b kan word<strong>en</strong><br />
afgehaald. Dit wachtwoord wordt gecommuniceerd tuss<strong>en</strong> de betrokk<strong>en</strong> partij<strong>en</strong>,<br />
maar niet met het money transfer kantoor. Money transfer kantor<strong>en</strong> zijn e<strong>en</strong><br />
manier om snel <strong>en</strong> e<strong>en</strong>voudig girale <strong>en</strong> contante overboeking<strong>en</strong> naar anonieme<br />
ontvangers over de hele wereld te do<strong>en</strong>.<br />
2.23.1 De ‘Online shop’<br />
Online winkels zijn e<strong>en</strong> ideale plek voor phishers om buitgemaakte<br />
creditcardgegev<strong>en</strong>s te gebruik<strong>en</strong> bij de aanschaf van product<strong>en</strong>. De online winkel<br />
kan dit nauwelijks voorkom<strong>en</strong>, omdat de betaling op zich volledig legitiem plaats<br />
vindt, via e<strong>en</strong> legitiem kanaal. Dat de betaler op e<strong>en</strong> illegale wijze aan de<br />
116
etalingsgegev<strong>en</strong>s is gekom<strong>en</strong>, kan de winkel niet zi<strong>en</strong>. In sommige gevall<strong>en</strong> lijk<strong>en</strong><br />
online winkels of betalingspagina’s deel uit te mak<strong>en</strong> van e<strong>en</strong> phishing aanval.<br />
2.24 Conclusies<br />
Resumé<br />
<strong>Phishing</strong> doet zich voor in tal van modaliteit<strong>en</strong> waarbij de verschill<strong>en</strong>de stapp<strong>en</strong>, in<br />
de beschrev<strong>en</strong> of in e<strong>en</strong> andere volgorde, op e<strong>en</strong> of andere manier steeds zull<strong>en</strong><br />
voorkom<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> word<strong>en</strong> phishingaanvall<strong>en</strong> steeds gerichter. Slechts klant<strong>en</strong><br />
van bank X ontvang<strong>en</strong> mail bij e<strong>en</strong> phishing aanval op bank X. Dit lijkt logisch, maar<br />
vereist veel van de adress<strong>en</strong>verzamelaar <strong>en</strong> drijft de prijs voor aanvall<strong>en</strong> op.<br />
Daardoor ontstaat ook e<strong>en</strong> noodzaak om per aanval de opbr<strong>en</strong>gst zo groot mogelijk<br />
te mak<strong>en</strong>. Het ‘targett<strong>en</strong>’ van e<strong>en</strong> phishing aanval gebeurt door middel van sociale<br />
netwerksites of gerichte adresverzameling door het hack<strong>en</strong> van mailservers. Niet<br />
alle<strong>en</strong> voor bank<strong>en</strong> geldt dat phishing aanvall<strong>en</strong> steeds specifieker word<strong>en</strong>, er is<br />
e<strong>en</strong> tweede tr<strong>en</strong>d in het verpersoonlijk<strong>en</strong> van phishing aanvall<strong>en</strong>. Hierbij wordt<br />
’gespeeld’ met de verstuurder van de mail, zodat het lijkt alsof e<strong>en</strong> waarschuwing<br />
betreff<strong>en</strong>de wachtwoord<strong>en</strong> van e<strong>en</strong> collega, de HR‐afdeling of iets dergelijks komt.<br />
Dit vergroot het vertrouw<strong>en</strong> van de ontvanger in de geloofwaardigheid van de<br />
boodschap in de phishingmail <strong>en</strong> dus ook de kans dat hij of zij slachtoffer wordt.<br />
De aandacht van toezichthouders <strong>en</strong> opsporingsorganisaties conc<strong>en</strong>treert zich rond<br />
stap 7 van het phishingproces. E<strong>en</strong> stap waarin ook de phisher zich kwetsbaar <strong>en</strong><br />
bespied weet zodat zijn evolutie qua gevolgde werkwijze <strong>en</strong> toegepaste<br />
afschermingtechnologie zich ook rond dit c<strong>en</strong>trum beweegt. Het meer stabiele<br />
voor‐ <strong>en</strong> na‐traject biedt daardoor juist kans<strong>en</strong> voor de opsporing, terwijl de<br />
bestrijding daar veel minder op is gericht. Dat is ook begrijpelijk: e<strong>en</strong> financiële<br />
instelling zal vooral de spoof website uit de lucht will<strong>en</strong> hebb<strong>en</strong> (notice and take<br />
down) zodat de schade beperkt wordt. Bij de complexiteit van het vind<strong>en</strong> van<br />
daders in hun verschill<strong>en</strong>de roll<strong>en</strong> heeft m<strong>en</strong> zich al bijna neergelegd.<br />
De processtapp<strong>en</strong> <strong>en</strong> hun beschrijving <strong>en</strong> modaliteit<strong>en</strong> zijn te zi<strong>en</strong> als hypothes<strong>en</strong><br />
over de wijze waarop daders te werk gaan. Door het gebruik van DIY‐phishingkits<br />
wordt e<strong>en</strong> aantal van die stapp<strong>en</strong> niet handmatig uitgevoerd maar overg<strong>en</strong>om<strong>en</strong><br />
door e<strong>en</strong> stuk software, maar in ess<strong>en</strong>tie blijv<strong>en</strong> het dezelfde stapp<strong>en</strong>. Wel vall<strong>en</strong><br />
daardoor roll<strong>en</strong> weg in het complex dat de dader om zich he<strong>en</strong> verzamelt. Vooral<br />
money mules zijn de achilleshiel in cybercriminaliteit.<br />
117
“Interv<strong>en</strong>ties gericht op de specifieke roll<strong>en</strong> zijn effectiever dan die gericht op e<strong>en</strong><br />
(deel van de) MO.”<br />
“<strong>Phishing</strong> wordt in de basis steeds e<strong>en</strong>voudiger met de opkomst van DIY‐kits. Het<br />
verkrijg<strong>en</strong> van winst wordt echter steeds moeilijker, door de betere k<strong>en</strong>nis van<br />
slachtoffers, het moeilijker word<strong>en</strong> van het krijg<strong>en</strong> van adress<strong>en</strong>, de hogere prijs<br />
voor gerichte adress<strong>en</strong>bestand<strong>en</strong> <strong>en</strong> de to<strong>en</strong>em<strong>en</strong>de beveiliging van websites met<br />
gevoelige informatie. Kortom: sophisticated phishing is niet voor iedere<strong>en</strong><br />
weggelegd.”<br />
Ontwikkeling<strong>en</strong><br />
We hebb<strong>en</strong> het phishingproces uite<strong>en</strong>gerafeld in e<strong>en</strong> aantal stapp<strong>en</strong>. Evolutie vindt<br />
vooral plaats in de stapp<strong>en</strong> waarin gebruikers word<strong>en</strong> misleid <strong>en</strong> feitelijk hun<br />
gegev<strong>en</strong>s word<strong>en</strong> ontfutseld. MO’s die actueel in trek zijn of zull<strong>en</strong> rak<strong>en</strong>:<br />
man‐in‐the‐browser aanvall<strong>en</strong> door middel van pop‐up scherm<strong>en</strong> met verlop<strong>en</strong><br />
sessieboodschap tijd<strong>en</strong>s of na banktransacties <strong>en</strong> creditcardtransacties;<br />
malware installatie door het klikk<strong>en</strong> op links in phishing mails;<br />
drive‐by downloads ter verspreiding van malware via veelbezochte sites<br />
(nu.nl);<br />
SQL injectie (man‐in‐the‐browser);<br />
malware scripts verstopt in ad banners;<br />
analyse Doubleclick ads;<br />
betaling via gestol<strong>en</strong> creditcardgegev<strong>en</strong>s <strong>en</strong> PayPal;<br />
VoIP phishing via de telefoon (vishing), <strong>en</strong><br />
man‐in‐the‐target aanvall<strong>en</strong> waarbij de phisher malware weet te plaats<strong>en</strong> in de<br />
website van de financiële instelling zelf.<br />
De laatste twee ontwikkeling<strong>en</strong> lijk<strong>en</strong> de meeste gevaarlijke. Aan de zijde van de<br />
cliënt verandert er niets <strong>en</strong> zij of hij logt gewoon in bij de financiële instelling. Op de<br />
site van de instelling zelf wordt de betaalopdracht gemanipuleerd of word<strong>en</strong><br />
inloggegev<strong>en</strong>s doorgestuurd.<br />
Criminel<strong>en</strong> mak<strong>en</strong> meer <strong>en</strong> meer gebruik van <strong>en</strong>cryptie. T<strong>en</strong>zij de <strong>en</strong>cryptie niet<br />
goed is uitgevoerd, zijn deze gegev<strong>en</strong>s onbereikbaar voor derd<strong>en</strong>.<br />
Verder is er e<strong>en</strong> tr<strong>en</strong>d waarneembaar naar continue verzilvering van k<strong>en</strong>nis in geld.<br />
Zodra e<strong>en</strong> vorm van phishing opgevolgd wordt door e<strong>en</strong> meer geavanceerde vorm,<br />
verwerkt de oude werkwijze in e<strong>en</strong> DIY‐kit. Dit heeft als voordeel dat hijzelf steeds<br />
over state‐of‐the‐art techniek<strong>en</strong> beschikt, maar via de DIY kits die hij verkoopt nog<br />
geld verdi<strong>en</strong>t aan de oudere techniek<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> bevatt<strong>en</strong> de meeste DIY‐kits<br />
118
e<strong>en</strong> ingang (backdoor) die alle<strong>en</strong> de verkoper k<strong>en</strong>t, zodat hij na de verkoop nog<br />
steeds mee kan profiter<strong>en</strong> van de resultat<strong>en</strong> van de door hem verkochte DIY kits.<br />
Zo kan de phisher met de nieuwste techniek<strong>en</strong> zich in lat<strong>en</strong> hur<strong>en</strong> voor<br />
geavanceerde aanvall<strong>en</strong>, terwijl hij continu geld verdi<strong>en</strong>t met de iets oudere<br />
techniek via de verkoop van DIY kits, die hem ook nog e<strong>en</strong>s van meer informatie<br />
voorzi<strong>en</strong>.<br />
Ontwikkeling VoIP<br />
Voice+phishing=Vishing<br />
Vishing is e<strong>en</strong> variant op phishing die inspeelt op het wantrouw<strong>en</strong> dat gebruikers<br />
hebb<strong>en</strong> in het <strong>internet</strong> <strong>en</strong> het vertrouw<strong>en</strong> dat de gebruiker nog heeft in de<br />
telefoonverbinding.<br />
E<strong>en</strong> pot<strong>en</strong>tieel slachtoffer ontvangt e<strong>en</strong> standaard spam bericht met<br />
veiligheidswaarschuwing <strong>en</strong> e<strong>en</strong> opdracht zijn gegev<strong>en</strong>s te controler<strong>en</strong>, maar hierin<br />
wordt niet gevraagd op e<strong>en</strong> url te klikk<strong>en</strong>, maar om e<strong>en</strong> nummer te bell<strong>en</strong>. Dit<br />
br<strong>en</strong>gt de visher twee voordel<strong>en</strong>: het pot<strong>en</strong>tiële slachtoffer verwacht niet dat dit e<strong>en</strong><br />
poging tot oplichting is <strong>en</strong> hij of zij zal minder bek<strong>en</strong>d zijn met de telefoonnummers<br />
van bank<strong>en</strong> <strong>en</strong> andere kwetsbare instelling<strong>en</strong> dan met hun url. Via Voice over IP<br />
(VOIP) is het voor de visher e<strong>en</strong>voudig om de nummerweergave te saboter<strong>en</strong>,<br />
zodat het slachtoffer het correcte nummer in zijn display ziet, terwijl hij met e<strong>en</strong><br />
andere c<strong>en</strong>trale wordt doorverbond<strong>en</strong>. Het slachtoffer krijgt e<strong>en</strong> geautomatiseerde<br />
boodschap te hor<strong>en</strong> <strong>en</strong> wordt gevraagd zijn creditcardnummer in te toets<strong>en</strong> <strong>en</strong><br />
vervolg<strong>en</strong>s zijn veiligheidscode. De visher heeft nu alle b<strong>en</strong>odigde gegev<strong>en</strong>s om de<br />
creditcard te kunn<strong>en</strong> misbruik<strong>en</strong>.<br />
Bron: www.<strong>en</strong>.wikipedia.org/wiki/Vishing<br />
Het onderzoeksmateriaal<br />
De instanties van wie de onderzoeksdossiers in het kader van het NICC‐onderzoek<br />
zijn onderzocht richt<strong>en</strong> zich logischerwijs op dat stuk van de onrechtmatigheid waar<br />
het in de bewijsvoering <strong>en</strong> sanctionering om draait. Achtergrondinformatie,<br />
bijvoorbeeld over de wijze waarop adress<strong>en</strong> zijn verkreg<strong>en</strong> voor de uit te voer<strong>en</strong><br />
spamruns <strong>en</strong> uit welke bron die afkomstig zijn of hoe het geld wordt verplaatst, zijn<br />
voor die bewijsvoering sec niet van belang. Mede omdat naspeuring<strong>en</strong> al gauw ver<br />
over de gr<strong>en</strong>s reik<strong>en</strong> met forse consequ<strong>en</strong>ties qua tijd <strong>en</strong> geld, vindt onderzoek<br />
naar die achtergrond<strong>en</strong> van phishing alle<strong>en</strong> plaats door het KLPD.<br />
Vanwege de focus van de onderzochte dossiers op bewijsvoering <strong>en</strong> minder op<br />
voor‐ <strong>en</strong> na‐traject. moest<strong>en</strong> voor e<strong>en</strong> reconstructie van het proces tal van andere<br />
bronn<strong>en</strong> word<strong>en</strong> geraadpleegd. Met name de inzicht<strong>en</strong> van professionals <strong>en</strong><br />
119
verk<strong>en</strong>ning<strong>en</strong> in de krocht<strong>en</strong> van het <strong>internet</strong> zelf hebb<strong>en</strong> het beeld aangevuld. Dat<br />
levert vooral e<strong>en</strong> staalkaart op aan voorkom<strong>en</strong>de modaliteit<strong>en</strong> <strong>en</strong> ge<strong>en</strong><br />
repres<strong>en</strong>tatief beeld. Er wordt op <strong>internet</strong> veel beweerd <strong>en</strong> geclaimd, maar<br />
daarmee is het nog niet waar. Het zijn vooral de dominante spelers op het veld zelf<br />
(software v<strong>en</strong>dors, <strong>internet</strong> securitybedrijv<strong>en</strong>) die het beeld bepal<strong>en</strong>, waarbij zij<br />
nogal lijk<strong>en</strong> te word<strong>en</strong> gedrev<strong>en</strong> door nieuwswaarde <strong>en</strong> het aftroev<strong>en</strong> van de<br />
concurr<strong>en</strong>t.<br />
120
Hoofdstuk 3 Kinderporno <strong>en</strong><br />
grooming<br />
Kinderporno is niet e<strong>en</strong> probleem dat zich pas voordoet sinds het gebruik van<br />
<strong>internet</strong> geme<strong>en</strong>goed is geword<strong>en</strong>. Activiteit<strong>en</strong> rondom <strong>kinderporno</strong>grafie zijn<br />
door de opkomst van het <strong>internet</strong> wel veranderd. Ze hebb<strong>en</strong> zich voor e<strong>en</strong><br />
belangrijk deel naar de digitale omgeving verplaatst, ondertuss<strong>en</strong> gebruikmak<strong>en</strong>d<br />
van nieuwe manier<strong>en</strong> om <strong>kinderporno</strong> te vervaardig<strong>en</strong>, te verspreid<strong>en</strong>, te<br />
bekijk<strong>en</strong> <strong>en</strong> te kop<strong>en</strong>. Net als in het geval van andere vorm<strong>en</strong> van cybercrime,<br />
bemoeilijk<strong>en</strong> de grote mate van anonimiteit <strong>en</strong> het ‘global’ karakter van het<br />
<strong>internet</strong>, de bestrijding van <strong>kinderporno</strong>. Daders bedi<strong>en</strong><strong>en</strong> zich van allerlei<br />
techniek<strong>en</strong> om ge<strong>en</strong> spor<strong>en</strong> achter te lat<strong>en</strong> waaronder versleuteling <strong>en</strong><br />
afscherming van herkomstgegev<strong>en</strong>s. In dit hoofdstuk is <strong>internet</strong>gerelateerde<br />
<strong>kinderporno</strong> aan de orde, waarbij het waarschijnlijk lijkt dat klassieke productie<br />
<strong>en</strong> verspreiding van <strong>kinderporno</strong> <strong>en</strong> die via <strong>internet</strong>, dezelfde bronn<strong>en</strong> met elkaar<br />
del<strong>en</strong>. Aan de basis van dit hoofdstuk ligt e<strong>en</strong> deelonderzoek dat, naast de<br />
bijdrage aan dit rapport, heeft geresulteerd in e<strong>en</strong> masterscriptie Nederlands<br />
Recht over de strafbaarstelling van grooming (Vrolijk, 2009). Het deelonderzoek,<br />
<strong>en</strong> daarmee ook dit hoofdstuk, leunt op interviews met diverse deskundig<strong>en</strong> in de<br />
s<strong>fee</strong>r van de behandeling <strong>en</strong> bestrijding van daders, analyse van de dossiers van<br />
drie grote opsporingsonderzoek<strong>en</strong>, <strong>en</strong> uitgebreide literatuurstudie <strong>en</strong><br />
<strong>internet</strong>research. Conform de prioriteit<strong>en</strong> binn<strong>en</strong> politie <strong>en</strong> OM, richt rec<strong>en</strong>t<br />
wet<strong>en</strong>schappelijk onderzoek naar <strong>kinderporno</strong> zich op downloaders <strong>en</strong> daarmee<br />
ook hoofdzakelijk op het eind van de voortbr<strong>en</strong>gingsket<strong>en</strong>. In dit derde hoofdstuk<br />
is door middel van ‘filling in the blanks’ getracht ook de eerdere stapp<strong>en</strong> in de<br />
voortbr<strong>en</strong>ging van <strong>kinderporno</strong> te beschrijv<strong>en</strong>. Als belangrijk onderscheid tek<strong>en</strong>t<br />
zich daarin e<strong>en</strong> verschil af tuss<strong>en</strong> de professionele voortbr<strong>en</strong>ging van ev<strong>en</strong>e<strong>en</strong>s<br />
professioneel foto‐ of filmmateriaal, <strong>en</strong> wat m<strong>en</strong> zou kunn<strong>en</strong> noem<strong>en</strong> de<br />
amateurproductie. Naast de MO’s van de productie, distributie <strong>en</strong> afname van<br />
<strong>kinderporno</strong>, gaat het hoofdstuk in op de verschill<strong>en</strong>de roll<strong>en</strong> die daarin<br />
voorkom<strong>en</strong>. De meeste van deze roll<strong>en</strong> word<strong>en</strong> in de literatuur niet beschrev<strong>en</strong>,<br />
laat staan de k<strong>en</strong>merk<strong>en</strong> van die roll<strong>en</strong>. Indeling<strong>en</strong> van wel beschrev<strong>en</strong> daders<br />
(<strong>en</strong> dan vooral de pedoseksuele kijker of downloader) blijv<strong>en</strong> begrijpelijk nogal<br />
algeme<strong>en</strong>, onder andere omdat pedoseksualiteit niet e<strong>en</strong>duidig sam<strong>en</strong>hangt met<br />
bijvoorbeeld sociaaldemografische k<strong>en</strong>merk<strong>en</strong>. De hypothes<strong>en</strong> die in dit<br />
hoofdstuk word<strong>en</strong> gepres<strong>en</strong>teerd prober<strong>en</strong>, hoe beperkt ook, e<strong>en</strong> stap verder te<br />
gaan. Ze zijn eerder ontle<strong>en</strong>d aan noties die m<strong>en</strong> tot de geleg<strong>en</strong>heidstheorie zou<br />
kunn<strong>en</strong> rek<strong>en</strong><strong>en</strong> dan dat ze letterlijk hun houvast vind<strong>en</strong> in empirische<br />
121
waarneming<strong>en</strong>, hoewel ze daardoor wel zijn geïnspireerd. Daderk<strong>en</strong>merk<strong>en</strong> zijn<br />
zoveel mogelijk vertaald in de k<strong>en</strong>merk<strong>en</strong> van waarneembaar gedrag in plaats<br />
van te focuss<strong>en</strong> op meer achterligg<strong>en</strong>de, moeilijk detecteerbare, <strong>en</strong> weinig<br />
sam<strong>en</strong>hang<strong>en</strong>de sociaaldemografische factor<strong>en</strong>.<br />
Het hoofdstuk is nadrukkelijk ge<strong>en</strong> sam<strong>en</strong>vatting van alle beschikbare k<strong>en</strong>nis over<br />
<strong>kinderporno</strong>. De opg<strong>en</strong>om<strong>en</strong> beschrijving<strong>en</strong> <strong>en</strong> hypothes<strong>en</strong> zijn bedoeld om waar<br />
mogelijk te ondersteun<strong>en</strong> bij de detectie van productie <strong>en</strong> digitale verspreiding<br />
van <strong>kinderporno</strong>, hoe moeilijk dat in de praktijk ook is.<br />
3.1 Begrip- <strong>en</strong> plaatsbepaling<br />
<strong>internet</strong>gerelateerde <strong>kinderporno</strong><br />
Voorbeeld<strong>en</strong><br />
De opkomst van het <strong>internet</strong>, zo rond 1991, had tot gevolg dat <strong>kinderporno</strong> <strong>en</strong><br />
seksueel misbruik veel zichtbaarder werd<strong>en</strong> dan dat zij tot dan toe war<strong>en</strong> geweest.<br />
Mede door de digitale techniek werd het e<strong>en</strong>voudig om misbruik vast te legg<strong>en</strong> <strong>en</strong><br />
het via het <strong>internet</strong> te verspreid<strong>en</strong>. De toegang tot <strong>kinderporno</strong> werd daarmee voor<br />
e<strong>en</strong> groter publiek ontslot<strong>en</strong>, als gevolg waarvan <strong>kinderporno</strong> e<strong>en</strong> steeds grotere<br />
nationale <strong>en</strong> internationale zorg is geword<strong>en</strong>. Binn<strong>en</strong> de anonimiteit van het<br />
<strong>internet</strong> verlegg<strong>en</strong> daders hun gr<strong>en</strong>z<strong>en</strong> <strong>en</strong> durv<strong>en</strong> zij meer dan wanneer m<strong>en</strong> het<br />
zonder zou moet<strong>en</strong> do<strong>en</strong> (Van Wijk, Bull<strong>en</strong>s, & Van d<strong>en</strong> Eshof, 2007, pp. 239‐240).<br />
Het van achter de computer thuis op zolder download<strong>en</strong> van <strong>kinderporno</strong> is<br />
laagdrempeliger, dan het moet<strong>en</strong> aankop<strong>en</strong> bij e<strong>en</strong> obscure seksshop onder de<br />
toonbank. Dezelfde anonimiteit vere<strong>en</strong>voudigt ook de verspreiding van<br />
<strong>kinderporno</strong>. Daders hoev<strong>en</strong> elkaar niet ‘echt’ te k<strong>en</strong>n<strong>en</strong>. Met e<strong>en</strong> nickname of e<strong>en</strong><br />
avatar voelt het veiliger <strong>en</strong> minder <strong>en</strong>g om materiaal door te stur<strong>en</strong> naar andere<br />
geïnteresseerd<strong>en</strong>. Zij wet<strong>en</strong> elkaar bov<strong>en</strong>di<strong>en</strong> gemakkelijker te vind<strong>en</strong> waar<br />
geografische afstand<strong>en</strong> er op het <strong>internet</strong> niet toe do<strong>en</strong>. De kans om<br />
gelijkgestemd<strong>en</strong> op het <strong>internet</strong> teg<strong>en</strong> te kom<strong>en</strong> is ook vele mal<strong>en</strong> groter doordat<br />
deze m<strong>en</strong>s<strong>en</strong> eerder hun interesse durv<strong>en</strong> te ton<strong>en</strong> <strong>en</strong> actief zijn op sites met<br />
betrekking tot <strong>kinderporno</strong>. Op beslot<strong>en</strong> fora <strong>en</strong> nieuwsgroep<strong>en</strong> wissel<strong>en</strong> zij tips<br />
uit, ruil<strong>en</strong> materiaal <strong>en</strong> plann<strong>en</strong> zij ‘misbruik‐bije<strong>en</strong>komst<strong>en</strong>’. Dankzij de omvang<br />
van het <strong>internet</strong> <strong>en</strong> de beperkte int<strong>en</strong>siteit van de communicatie, is de pakkans ook<br />
nog e<strong>en</strong>s gering. Onder andere het internationale karakter <strong>en</strong> de verschill<strong>en</strong>de<br />
wettelijke regels per land zorg<strong>en</strong> ervoor dat daders uit de hand<strong>en</strong> van politie <strong>en</strong><br />
justitie kunn<strong>en</strong> blijv<strong>en</strong>. Aan de andere kant lijk<strong>en</strong> daders door alle aandacht van<br />
opsporingsinstanties juist ook voorzichtiger te word<strong>en</strong>. Pedoseksuele activiteit<strong>en</strong><br />
122
spel<strong>en</strong> zich dan ook steeds meer af binn<strong>en</strong> de beslot<strong>en</strong> del<strong>en</strong> van het <strong>internet</strong>.<br />
Net als over <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>, bestaat ook over <strong>kinderporno</strong> discussie of<br />
het wel of niet als cybercrime mag word<strong>en</strong> aangemerkt. Vooral die vorm<strong>en</strong> van<br />
<strong>kinderporno</strong> die alle<strong>en</strong> over het net word<strong>en</strong> gedistribueerd <strong>en</strong> niet met behulp van<br />
dat <strong>internet</strong> zijn vervaardigd, word<strong>en</strong> dan gezi<strong>en</strong> als e<strong>en</strong> vorm van op zichzelf legale<br />
communicatie zij het met e<strong>en</strong> illegale inhoud. En dus zou dat niet moet<strong>en</strong> word<strong>en</strong><br />
aangemerkt als cybercrime. Kinderporno die wel met behulp van het <strong>internet</strong><br />
wordt vervaardigd <strong>en</strong> die er zonder dat <strong>internet</strong> ook niet zou zijn (zie onderstaand<br />
voorbeeld), valt in die b<strong>en</strong>adering weer wel onder cybercrime. Van deze discussie is<br />
k<strong>en</strong>nis g<strong>en</strong>om<strong>en</strong> <strong>en</strong> met behulp van de e<strong>en</strong>voudige definitie van ons functionele<br />
onderzoek in feite ook beslecht. Kinderporno met e<strong>en</strong> relatie naar het <strong>internet</strong>, ook<br />
al bestaat die uitsluit<strong>en</strong>d uit de wijze van distributie, valt onder de reikwijdte van<br />
onze definitie van cybercrime als <strong>internet</strong> gerelateerde criminaliteit.<br />
Kinderporno vervaardigd met het <strong>internet</strong><br />
Grooming<br />
“E<strong>en</strong> man, zelf vader, heeft via <strong>internet</strong> (chat) e<strong>en</strong> meisje van acht jaar gebracht tot<br />
het bij zichzelf verricht<strong>en</strong> van ontuchtige handeling<strong>en</strong> waarbij hij haar via e<strong>en</strong><br />
webcam kon zi<strong>en</strong>. De handeling<strong>en</strong> bestond<strong>en</strong> onder andere uit het p<strong>en</strong>etrer<strong>en</strong> of<br />
betast<strong>en</strong> van haar vagina met haar vingers of e<strong>en</strong> p<strong>en</strong>. De verdachte heeft daarbij<br />
ook <strong>en</strong>kele mal<strong>en</strong> zichzelf aan haar getoond via zijn webcam, terwijl hij<br />
masturbeerde. Hij heeft haar zover gekreg<strong>en</strong>, door voor haar (virtuele) meubels te<br />
kop<strong>en</strong> <strong>en</strong> te gev<strong>en</strong> voor de inrichting van haar (virtuele) kamer op de <strong>internet</strong>site<br />
habbohotel.nl. De man kon zo e<strong>en</strong>voudig <strong>kinderporno</strong> vervaardig<strong>en</strong>, door de<br />
webcamsex die hij had met de achtjarige, op te nem<strong>en</strong> met zijn computer.”<br />
Bron: LJN BB0089<br />
Definitie<br />
Door via het <strong>internet</strong> gedistribueerde <strong>kinderporno</strong> ook onder de definitie van<br />
cybercrime te lat<strong>en</strong> vall<strong>en</strong>, is het begrip als zodanig nog niet gedefinieerd. De<br />
Stichting Meldpunt ter bestrijding van Kinderpornografie (hierna te noem<strong>en</strong> het<br />
Meldpunt) pleit ervoor te sprek<strong>en</strong> van ‘afbeelding<strong>en</strong> van seksueel kindermisbruik’<br />
in plaats van ‘<strong>kinderporno</strong>’ (Meldpunt, 2008). Het is de vraag welke definitie past<br />
bij de functionele inslag van dit onderzoek. Is dat het verricht<strong>en</strong>, afbeeld<strong>en</strong>,<br />
uitbeeld<strong>en</strong> <strong>en</strong> verspreid<strong>en</strong> van seksuele handeling<strong>en</strong> met kinder<strong>en</strong>, of moet<br />
123
aansluiting word<strong>en</strong> gezocht bij de formulering van artikel 240b Sr 28 ? Niet helemaal,<br />
omdat de detectiehypothes<strong>en</strong> waarom het in dit onderzoek o.a. draait, niet zo<br />
precies kunn<strong>en</strong> word<strong>en</strong> afgesteld dat ze uitsluit<strong>en</strong>d indicaties oplever<strong>en</strong> van MO’s<br />
met kinder<strong>en</strong> die k<strong>en</strong>nelijk nog ge<strong>en</strong> 18 jaar zijn. T<strong>en</strong>minste niet gezi<strong>en</strong> het doel dat<br />
met detectiehypothes<strong>en</strong> wordt beoogd <strong>en</strong> de daaruit voortvloei<strong>en</strong>de werkwijze:<br />
het proactief (dus zonder concrete signal<strong>en</strong> als e<strong>en</strong> aangifte) zoek<strong>en</strong> naar<br />
<strong>internet</strong>gerelateerde activiteit<strong>en</strong> <strong>en</strong> naar deg<strong>en</strong><strong>en</strong> die ze ondernem<strong>en</strong>, <strong>en</strong> die in<br />
verband kunn<strong>en</strong> word<strong>en</strong> gebracht met <strong>kinderporno</strong>. Conclusies over de aard van<br />
handeling<strong>en</strong>, over de person<strong>en</strong> waarop die handeling<strong>en</strong> zijn of word<strong>en</strong> verricht<br />
<strong>en</strong>/of over de person<strong>en</strong> die deze handeling<strong>en</strong> verricht<strong>en</strong> (of hebb<strong>en</strong> verricht) zull<strong>en</strong><br />
voor e<strong>en</strong> belangrijk deel niet rechtstreeks kunn<strong>en</strong> word<strong>en</strong> vastgesteld. Ze zull<strong>en</strong><br />
eerder indirect moet<strong>en</strong> word<strong>en</strong> afgeleid, bijvoorbeeld uit de heimelijkheid die op<br />
het <strong>internet</strong> <strong>en</strong> de communicatie via het <strong>internet</strong> wordt betracht om bepaalde<br />
handeling<strong>en</strong> voor ander<strong>en</strong> verborg<strong>en</strong> te houd<strong>en</strong>. Zo zal iemand die het uniek<br />
id<strong>en</strong>tificer<strong>en</strong>de IP‐adres van zijn computer heeft verborg<strong>en</strong>, daarvoor e<strong>en</strong> red<strong>en</strong><br />
hebb<strong>en</strong> die met behulp van e<strong>en</strong> aantal andere parameters wellicht is te relater<strong>en</strong><br />
aan <strong>kinderporno</strong>. Als gevolg van deze indirecte detectiemethode zal uiteindelijk van<br />
het detectieresultaat moet<strong>en</strong> word<strong>en</strong> beoordeeld of het voldoet aan bijvoorbeeld<br />
strafbaarstelling. Of de detectie moet zo word<strong>en</strong> ingericht dat er ge<strong>en</strong> misverstand<br />
kan zijn over de interpretatie van wat geïnterpreteerd wordt.<br />
“C<strong>en</strong>traal in de functionele b<strong>en</strong>adering van <strong>internet</strong>gerelateerde <strong>kinderporno</strong> staat<br />
de heimelijkheid. Het verberg<strong>en</strong> van het gedrag levert e<strong>en</strong> red flag op, waarbij e<strong>en</strong><br />
combinatie van red flags mogelijk inzicht geeft in het kader waarvan de<br />
heimelijkheid plaatsvindt <strong>en</strong> wat er precies wordt verborg<strong>en</strong> (vervaardiging, invoer,<br />
distributie, bezit etc.).”<br />
3.2 Modus operandi<br />
Onze invalshoek van cybercrime als <strong>internet</strong>gerelateerde criminaliteit maakt het<br />
28 Artikel 240b Sr. Lid 1: Met e<strong>en</strong> gevang<strong>en</strong>isstraf van t<strong>en</strong> hoogste vier jar<strong>en</strong> of geldboete van de vijfde<br />
categorie wordt gestraft deg<strong>en</strong>e die e<strong>en</strong> afbeelding‐ of e<strong>en</strong> gegev<strong>en</strong>sdrager bevatt<strong>en</strong>de e<strong>en</strong> afbeeldingvan<br />
e<strong>en</strong> seksuele gedraging, waarbij iemand die k<strong>en</strong>nelijk de leeftijd van achtti<strong>en</strong> jar<strong>en</strong> nog niet heeft<br />
bereikt, is betrokk<strong>en</strong> of schijnbaar is betrokk<strong>en</strong>; Lid 2: Met gevang<strong>en</strong>isstraf van t<strong>en</strong> hoogste zes jar<strong>en</strong> of<br />
e<strong>en</strong> geldboete van de vijfde categorie wordt gestraft deg<strong>en</strong><strong>en</strong> die van het pleg<strong>en</strong> van e<strong>en</strong> van de<br />
misdrijv<strong>en</strong>, omschrev<strong>en</strong> in het eerste lid, e<strong>en</strong> beroep of gewoonte maakt.<br />
124
niet gemakkelijk om één MO van <strong>internet</strong>gerelateerde <strong>kinderporno</strong> te schets<strong>en</strong>.<br />
Ev<strong>en</strong>min is het bij <strong>kinderporno</strong> e<strong>en</strong>voudig om bij wijze van globaal overzicht, vanuit<br />
één daderperspectief de MO’s te beschrijv<strong>en</strong>. Bij phishing <strong>en</strong> bij <strong>advance</strong>‐<strong>fee</strong><br />
<strong>internet</strong> <strong>fraud</strong>, is e<strong>en</strong> regisseursrol aan te wijz<strong>en</strong> die het hele proces min of meer<br />
leidt. Bij <strong>kinderporno</strong> gaat het al snel om verschill<strong>en</strong>de roll<strong>en</strong>, die over verschill<strong>en</strong>de<br />
del<strong>en</strong> van het proces gaan, zonder dat er integraal regie wordt gevoerd. Bov<strong>en</strong>di<strong>en</strong><br />
hoev<strong>en</strong> niet alle processtapp<strong>en</strong> van e<strong>en</strong> MO te word<strong>en</strong> doorlop<strong>en</strong> voordat van<br />
<strong>kinderporno</strong> kan word<strong>en</strong> gesprok<strong>en</strong>. Figuur 3 geeft e<strong>en</strong> overzicht van het<br />
voortbr<strong>en</strong>gingsproces van <strong>kinderporno</strong> zoals dat door de onderzoekers is<br />
geconstrueerd. Op zichzelf is die procesweergave al te zi<strong>en</strong> als e<strong>en</strong> hypothese. We<br />
beschrijv<strong>en</strong> die in vogelvlucht om daarna in te zoom<strong>en</strong> op de verschill<strong>en</strong>de stapp<strong>en</strong>.<br />
Voorwaardelijk voor welke toegang tot het <strong>internet</strong> dan ook is, naast het hebb<strong>en</strong><br />
van e<strong>en</strong> technische aansluiting (‘connection’ via telefoonkabel of glasvezel) [1a],<br />
het verkrijg<strong>en</strong> van e<strong>en</strong> account [2b]. Iemand die met behulp van dat account<br />
<strong>kinderporno</strong> gerelateerde activiteit<strong>en</strong> wil ondernem<strong>en</strong>, zal zich e<strong>en</strong> bepaalde<br />
id<strong>en</strong>titeit aanmet<strong>en</strong> op basis waarvan er ge<strong>en</strong> relatie is te legg<strong>en</strong> met wie hij in<br />
werkelijkheid is [2a]. Aldus voorbereid, is stap 3 ess<strong>en</strong>tieel: de keuze van e<strong>en</strong> of<br />
meerdere slachtoffers. Die keuze kan zowel buit<strong>en</strong> het <strong>internet</strong> om (real<br />
<strong>en</strong>vironm<strong>en</strong>t), als door middel van het <strong>internet</strong> plaatsvind<strong>en</strong>. Is het laatste het<br />
geval dan kan e<strong>en</strong> fase van grooming [4] volg<strong>en</strong> waarbij het slachtoffer wordt<br />
verleid tot seksuele handeling<strong>en</strong>. In theorie kan dat e<strong>en</strong> e<strong>en</strong>malig iets zijn, maar de<br />
groomer zal wellicht het contact will<strong>en</strong> consolider<strong>en</strong> door bijvoorbeeld het gev<strong>en</strong><br />
van cadeautjes zoals in het inleid<strong>en</strong>d voorbeeld tot dit hoofdstuk. In deze<br />
combinatie beschrijv<strong>en</strong> deze stapp<strong>en</strong> vooral e<strong>en</strong> proces van grooming. Dat proces is<br />
voltooid met stap 5 als de groomer het verkreg<strong>en</strong> materiaal voor eig<strong>en</strong> gebruik<br />
houdt. Stelt hij het ook beschikbaar aan derd<strong>en</strong>, dan vervolgt het groomingproces<br />
met stap 13a: het verwerv<strong>en</strong> van klant<strong>en</strong>.<br />
125
126
See:<br />
<strong>Phishing</strong> 3b: Acquire adresses<br />
Buy<br />
Crawl<br />
Telecom<br />
company<br />
1. Acquire<br />
connection<br />
Cable<br />
Avatar(s)<br />
Nicknames<br />
2a. Acquire<br />
id<strong>en</strong>tity<br />
Aliases<br />
Id<strong>en</strong>tity theft<br />
(MSN hack)<br />
Official<br />
institution<br />
ISP<br />
(primary<br />
account<br />
real id<strong>en</strong>tity<br />
2b. Acquire<br />
account(s)<br />
free id<strong>en</strong>tity<br />
IM<br />
Social<br />
network<br />
Model<br />
sites<br />
Chat<br />
rooms<br />
Poor<br />
families<br />
Family/<br />
fri<strong>en</strong>ds<br />
Child<br />
prostitues<br />
real world<br />
3. Victim<br />
selection<br />
Virtual world<br />
Social<br />
network<br />
Chat<br />
Buy<br />
Share<br />
Cam-bot<br />
Threat<br />
Webcam<br />
action<br />
4. Grooming<br />
Blackmail<br />
Preview<br />
Live<br />
meeting<br />
5. Consolidate<br />
‘Falling in<br />
love’<br />
Gifts<br />
Grooming not involved<br />
Freelance<br />
Family/<br />
relatives<br />
Webring<br />
Hotel<br />
Club<br />
Prof.<br />
studio<br />
professional<br />
7. Choice<br />
Location<br />
amateur<br />
Home<br />
(studio)<br />
Home<br />
(cam)<br />
Indicative<br />
Nudism<br />
Posing<br />
Explicit<br />
erotic<br />
Explicit<br />
sexual<br />
exceptional<br />
8. Abuse<br />
destructive<br />
Assault<br />
Sado/<br />
bestiality<br />
Professional<br />
camera<br />
Live view<br />
Home<br />
video<br />
Webcam<br />
movie<br />
9. Abuse<br />
recording<br />
photo<br />
Professional<br />
camera<br />
Webcam<br />
Compile<br />
Collect<br />
compose<br />
10a. Editing<br />
create<br />
Morphing<br />
Anonymise<br />
Title<br />
Cryptography<br />
hide<br />
Modelsites<br />
Homeless<br />
Advertising<br />
Pornosc<strong>en</strong>e<br />
6. Staff<br />
recruitm<strong>en</strong>t<br />
Network<br />
10b. Coding<br />
create<br />
Games<br />
Virtual community<br />
Steganography<br />
Nudepatches<br />
Virtual<br />
design<br />
Buy<br />
Free<br />
11. Acquire<br />
domain<br />
Kite<br />
Hijack<br />
Napping<br />
Regular<br />
>>>>>> See:<br />
<strong>Phishing</strong> 4: Acquire domain<br />
<strong>Phishing</strong> 5: Acquire hosting<br />
<strong>Phishing</strong> 7a: Acquire maildelivery<br />
Bulletproof<br />
Creditcard<br />
buy<br />
12. Acquire<br />
hosting<br />
steal<br />
Hack<br />
webserver<br />
13b. Acquire<br />
addresses<br />
Hack mail<br />
server)<br />
Malware<br />
Mass<br />
mail<br />
Fora<br />
13a. Acquire<br />
customers<br />
E-mail<br />
Network<br />
Mass<br />
mailer<br />
Botnet<br />
13c. Acquire<br />
mail delivery<br />
PWND<br />
computer<br />
Buy/create<br />
spam<br />
Billing<br />
company<br />
Credit<br />
card<br />
14. Paym<strong>en</strong>t<br />
Chatchannel<br />
Webmoney<br />
Exchange<br />
Fake order<br />
Upload webcont<strong>en</strong>t<br />
News<br />
group<br />
Forum<br />
P2P/<br />
VoIP<br />
E-mail<br />
15. Distribution<br />
FTP<br />
Website<br />
Mobile media<br />
Harddisk<br />
internal<br />
16. Storage<br />
external<br />
Online<br />
Figuur 3: Internetgerelateerde <strong>kinderporno</strong>: Stapp<strong>en</strong> in het hoofdproces <strong>en</strong> variant<strong>en</strong> per processtap<br />
127
128
De eerste vijf stapp<strong>en</strong> uit de procesweergave kunn<strong>en</strong> ook door de professionele<br />
produc<strong>en</strong>t word<strong>en</strong> gezet, alle<strong>en</strong> vloeit zijn motief voort uit het ondernemerschap<br />
(winst <strong>en</strong> continuïteit) <strong>en</strong> niet primair uit vervulling van e<strong>en</strong> persoonlijke behoefte<br />
aan <strong>kinderporno</strong>. De stapp<strong>en</strong> 4 <strong>en</strong> 5 zull<strong>en</strong> door die produc<strong>en</strong>t niet word<strong>en</strong> gezet,<br />
wat in het schema wordt gesymboliseerd door de bypass van stap 3 naar stap 6.<br />
Voor hem vervolgt het voortbr<strong>en</strong>gingsproces met het rekruter<strong>en</strong> van<br />
ondersteun<strong>en</strong>de functies; e<strong>en</strong> <strong>en</strong> ander afhankelijk van het <strong>kinderporno</strong>‐product<br />
dat hij wil mak<strong>en</strong>. Wanneer dat e<strong>en</strong> game is, zijn andere facilitators nodig dan<br />
wanneer e<strong>en</strong> film wordt beoogd. Is e<strong>en</strong>maal voorzi<strong>en</strong> in personeel, dan moet er in<br />
het geval van foto’s of film, e<strong>en</strong> locatie word<strong>en</strong> gevond<strong>en</strong> waar opnam<strong>en</strong> kunn<strong>en</strong><br />
word<strong>en</strong> gemaakt [7]. In het klein staat de amateur eig<strong>en</strong>lijk voor dezelfde keuze,<br />
alle<strong>en</strong> zal hij die implicieter <strong>en</strong> vanzelfsprek<strong>en</strong>der mak<strong>en</strong> binn<strong>en</strong> de eig<strong>en</strong> beperkte<br />
mogelijkhed<strong>en</strong>. Als slachtoffer, personeel <strong>en</strong> locatie zijn gevond<strong>en</strong> dan breekt de<br />
fase van het feitelijk misbruik aan [8]. Dat kan volstrekt ongeregisseerd gebeur<strong>en</strong>,<br />
maar er kan ook e<strong>en</strong> soort script aan t<strong>en</strong> grondslag ligg<strong>en</strong>. Het misbruik wordt op<br />
foto <strong>en</strong> film vastgelegd [9], waarna de montage [10a] volgt. Daarna staan drie<br />
opties op<strong>en</strong>:<br />
1. het materiaal is af <strong>en</strong> wordt rechtstreeks gedistribueerd onder te werv<strong>en</strong><br />
klant<strong>en</strong> [13a];<br />
2. het materiaal is af <strong>en</strong> wordt op e<strong>en</strong> te registrer<strong>en</strong> <strong>en</strong> te host<strong>en</strong> website<br />
geplaatst [11];<br />
3. het materiaal ondergaat nog andere bewerking<strong>en</strong> (‘coding’) als onderdeel van<br />
de bouw van computerprogramma’s [10b]. Het verstopp<strong>en</strong> van opnames in<br />
onschuldige plaatjes is ook aangemerkt als e<strong>en</strong> programmeeractiviteit.<br />
Voordat het product na editing of coding kan word<strong>en</strong> verspreid, moet<strong>en</strong> klant<strong>en</strong><br />
word<strong>en</strong> gevond<strong>en</strong> [13a]. Daarvoor kunn<strong>en</strong> verschill<strong>en</strong>de weg<strong>en</strong> word<strong>en</strong> bewandeld<br />
die in het geval dat spam wordt gebruikt, parallel lop<strong>en</strong> aan het phishingproces<br />
[13b] <strong>en</strong> [13c]. Als er zich klant<strong>en</strong> hebb<strong>en</strong> aangedi<strong>en</strong>d, betal<strong>en</strong> die voor het<br />
materiaal of ze ruil<strong>en</strong> het teg<strong>en</strong> ander materiaal [14], waarna de feitelijke<br />
distributie plaatsvindt [15]. In dit stadium van het voortbr<strong>en</strong>gingsproces kan dat<br />
professioneel beeldmateriaal betreff<strong>en</strong> of e<strong>en</strong> game, maar het kunn<strong>en</strong> ook de<br />
webcamopnam<strong>en</strong> zijn van e<strong>en</strong> groomer. K<strong>en</strong>merk<strong>en</strong>d voor het digitale materiaal is<br />
dat het naar believ<strong>en</strong> <strong>en</strong> in grote hoeveelhed<strong>en</strong> kan word<strong>en</strong> gekopieerd,<br />
opgeslag<strong>en</strong> [16] <strong>en</strong> bewaard. Om ev<strong>en</strong>tueel op e<strong>en</strong> later tijdstip opnieuw in omloop<br />
te word<strong>en</strong> gebracht.<br />
De relatie tuss<strong>en</strong> <strong>kinderporno</strong> <strong>en</strong> het <strong>internet</strong> kan op verschill<strong>en</strong>de mom<strong>en</strong>t<strong>en</strong><br />
tijd<strong>en</strong>s het proces blijk<strong>en</strong>. De productie kan bijvoorbeeld volstrekt zonder gebruik<br />
van het <strong>internet</strong> plaatsvind<strong>en</strong> waarna pas op het mom<strong>en</strong>t van de distributie [15]<br />
129
voor het eerst materiaal wordt ge‐upload naar het web. Het kan ook zijn dat de<br />
productie begint bij stap 4, het groom<strong>en</strong>, <strong>en</strong> niet verder komt dan die stap, omdat<br />
bijvoorbeeld e<strong>en</strong> webcamrecording door de groomer puur voor eig<strong>en</strong> gebruik is<br />
bedoeld. Ook hoev<strong>en</strong> niet alle stapp<strong>en</strong> in de volgorde van het schema te word<strong>en</strong><br />
doorlop<strong>en</strong>, àls ze al word<strong>en</strong> doorlop<strong>en</strong>. Processtapp<strong>en</strong> kunn<strong>en</strong> dus op e<strong>en</strong><br />
bepaalde manier gecombineerd, variant<strong>en</strong> oplever<strong>en</strong> van het <strong>kinderporno</strong>proces<br />
als geheel. In het Engels spreekt m<strong>en</strong> in dit verband van ‘crimeschemes’.<br />
3.3 Stap 1 Acquire connection<br />
Iedere<strong>en</strong> die zich van het <strong>internet</strong> wil bedi<strong>en</strong><strong>en</strong>, moet over e<strong>en</strong> verbinding<br />
beschikk<strong>en</strong> via e<strong>en</strong> teleprovider (de telefoon‐ of kabelmaatschappij) <strong>en</strong> over e<strong>en</strong><br />
account waarmee via die verbinding <strong>internet</strong>toegang wordt verkreg<strong>en</strong> (de<br />
accessprovider).<br />
“Op de mom<strong>en</strong>t<strong>en</strong> dat e<strong>en</strong> (latere) betrokk<strong>en</strong>e bij <strong>kinderporno</strong> e<strong>en</strong> telecomaccount<br />
aanvraagt <strong>en</strong> daarvan voor de eerste maal gebruik maakt, zijn er nog ge<strong>en</strong><br />
afschermingconstructies van id<strong>en</strong>titeit<strong>en</strong> actief. Zijn werkelijke id<strong>en</strong>titeit is dan nog<br />
gekoppeld aan het telecomaccount.”<br />
Bij afschermingconstructies d<strong>en</strong>k<strong>en</strong> we in de eerste plaats aan het verberg<strong>en</strong> van<br />
e<strong>en</strong> IP‐adres, het <strong>en</strong>crypt<strong>en</strong> van communicatie, het verberg<strong>en</strong> van del<strong>en</strong> van de<br />
harde schijf, het gebruik mak<strong>en</strong> van proxyservers of bijvoorbeeld het gebruik<strong>en</strong> van<br />
online dataopslag. Dit soort afschermingconstructies kan m<strong>en</strong> zich pas verwerv<strong>en</strong><br />
als er sprake is van e<strong>en</strong> <strong>internet</strong>verbinding/‐account. Tuss<strong>en</strong> het actief word<strong>en</strong> van<br />
de verbinding/het account <strong>en</strong> het activer<strong>en</strong> van verbergingstechniek<strong>en</strong> opereert<br />
m<strong>en</strong> herk<strong>en</strong>baar op het <strong>internet</strong>. Juist omdat m<strong>en</strong> op zo’n mom<strong>en</strong>t nog niets<br />
illegaals doet, zull<strong>en</strong> gebruikers zich minder bewust zijn van de latere<br />
mogelijkhed<strong>en</strong> tot detectie op basis van deze eerste schred<strong>en</strong>.<br />
3.4 Stap 2a Acquire id<strong>en</strong>tity<br />
E<strong>en</strong> deel van de daders in bepaalde roll<strong>en</strong> zal zodanig deelnem<strong>en</strong> aan het<br />
maatschappelijk verkeer dat e<strong>en</strong> volledig <strong>en</strong> gedocum<strong>en</strong>teerde valse id<strong>en</strong>titeit<br />
(paspoort, rijbewijs, creditcard, bankrek<strong>en</strong>ing<strong>en</strong>) belemmering<strong>en</strong> oplevert voor de<br />
130
eguliere maatschappelijke interactie met nutsvoorzi<strong>en</strong>ing<strong>en</strong>, bank<strong>en</strong> of officiële<br />
overheidinstanties. Daders die beroepsmatig in de <strong>kinderporno</strong> actief zijn, <strong>en</strong><br />
daarmee grot<strong>en</strong>deels hun geld verdi<strong>en</strong><strong>en</strong>, hebb<strong>en</strong> dit probleem minder omdat zij in<br />
die valse hoedanigheid volledig deelnem<strong>en</strong> aan het maatschappelijk verkeer; ook<br />
als het gaat om het afnem<strong>en</strong> van di<strong>en</strong>st<strong>en</strong> als nutsvoorzi<strong>en</strong>ing<strong>en</strong> <strong>en</strong><br />
overheidsfaciliteit<strong>en</strong>. Deze volledig andere id<strong>en</strong>titeit<strong>en</strong> dan de auth<strong>en</strong>tieke noem<strong>en</strong><br />
wij ‘aliases’.<br />
“Het gebruik van valse id<strong>en</strong>titeit<strong>en</strong> inclusief id<strong>en</strong>tificer<strong>en</strong>de valse of vals<br />
opgemaakte docum<strong>en</strong>t<strong>en</strong> (aliases) zal eerder bij de professionele voortbr<strong>en</strong>ging van<br />
<strong>kinderporno</strong> plaatsvind<strong>en</strong> dan bijvoorbeeld onder downloaders.”<br />
Van e<strong>en</strong> aantal facilitators van <strong>kinderporno</strong> zoals e<strong>en</strong> fotograaf of editor bestaat<br />
het vermoed<strong>en</strong> dat zij zowel regulier als illegaal actief zijn. Vooral de professional<br />
zal e<strong>en</strong> verklaring moet<strong>en</strong> hebb<strong>en</strong> voor het beschikk<strong>en</strong> over gekwalificeerde<br />
apparatuur, ruimte <strong>en</strong> inkomst<strong>en</strong>. Reguliere activiteit<strong>en</strong> die dezelfde voorzi<strong>en</strong>ing<strong>en</strong><br />
vrag<strong>en</strong> als niet‐reguliere, zijn daarvoor e<strong>en</strong> ideale dekmantel. Volledig verschill<strong>en</strong>de<br />
werkelijke <strong>en</strong> valse id<strong>en</strong>titeit<strong>en</strong> pass<strong>en</strong> daar moeilijk bij, t<strong>en</strong>zij ook de wereld<strong>en</strong><br />
waarin m<strong>en</strong> zich van die id<strong>en</strong>titeit<strong>en</strong> bedi<strong>en</strong>t volstrekt verschill<strong>en</strong>d zijn <strong>en</strong> ook<br />
geografisch zo ver uit elkaar ligg<strong>en</strong> dat verm<strong>en</strong>ging niet gemakkelijk plaatsvindt.<br />
Overig<strong>en</strong>s is het nog niet zo lang is geled<strong>en</strong> dat afnemers van <strong>kinderporno</strong> daarvoor<br />
gewoon met hun creditcard betaald<strong>en</strong>.<br />
In de meeste daderroll<strong>en</strong> zal m<strong>en</strong> zich vooral op bepaalde mom<strong>en</strong>t<strong>en</strong> tijd<strong>en</strong>s de<br />
MO bedi<strong>en</strong><strong>en</strong> van beperkte valse id<strong>en</strong>titeit<strong>en</strong>. Direct spring<strong>en</strong> de <strong>internet</strong>contact<strong>en</strong><br />
in het oog die erop word<strong>en</strong> nagehoud<strong>en</strong> tijd<strong>en</strong>s bijvoorbeeld chat, upload<strong>en</strong>,<br />
download<strong>en</strong> <strong>en</strong> betal<strong>en</strong>. In die contact<strong>en</strong> zal m<strong>en</strong> de eig<strong>en</strong> id<strong>en</strong>titeit prober<strong>en</strong> te<br />
verhull<strong>en</strong>. Aan de <strong>en</strong>e kant om ge<strong>en</strong> herleidbare spor<strong>en</strong> achter te lat<strong>en</strong> <strong>en</strong> aan de<br />
andere kant om bij de teg<strong>en</strong>speler de indruk te wekk<strong>en</strong> met e<strong>en</strong> bepaalde<br />
specifieke persoon van do<strong>en</strong> te hebb<strong>en</strong>. E<strong>en</strong> groomer zal zich wellicht will<strong>en</strong><br />
voordo<strong>en</strong> als e<strong>en</strong> bek<strong>en</strong>de van het slachtoffer. Bijvoorbeeld door het stel<strong>en</strong> van de<br />
id<strong>en</strong>titeit van deze bek<strong>en</strong>de via e<strong>en</strong> MSN‐hack (één van de Amsterdamse<br />
onderzoeksdossiers maakt hiervan melding). Software voor MSN‐hack is op het<br />
<strong>internet</strong> volop te vind<strong>en</strong>, hoewel er ook e<strong>en</strong> hoop ‘fake‐ware’ tuss<strong>en</strong>zit. E<strong>en</strong> MSNhack<br />
is moeilijk te detecter<strong>en</strong> omdat de hacker zich bedi<strong>en</strong>t van het juiste<br />
wachtwoord. Theoretisch zou het afwijk<strong>en</strong> van het IP‐adres van dat van de echte<br />
gebruiker e<strong>en</strong> mogelijkheid oplever<strong>en</strong> voor detectie van e<strong>en</strong> hack, maar in de<br />
praktijk MSN‐<strong>en</strong> gebruikers vaak vanaf verschill<strong>en</strong>de computers (school, werk,<br />
thuis, vakantieadres, <strong>internet</strong>café, bij vri<strong>en</strong>d<strong>en</strong>, mobiel) met elk hun eig<strong>en</strong> IP‐adres,<br />
zodat de hack alle<strong>en</strong> als atypisch is te id<strong>en</strong>tificer<strong>en</strong> als ze e<strong>en</strong> specifiek patroon<br />
131
doorbreekt.<br />
Daders in de verschill<strong>en</strong>de roll<strong>en</strong> bedi<strong>en</strong><strong>en</strong> zich vaak van meerdere e‐mailadress<strong>en</strong><br />
<strong>en</strong> gaan schuil achter nicknames. Nicknames zijn e<strong>en</strong> heel normaal verschijnsel op<br />
het <strong>internet</strong> waar contact<strong>en</strong> heel innig maar ook heel vluchtig kunn<strong>en</strong> zijn. Van<br />
iemand afkom<strong>en</strong> is gemakkelijker als die niet weet met wie hij of zij feitelijk van<br />
do<strong>en</strong> heeft, dan wanneer iemand op basis van e<strong>en</strong> echte id<strong>en</strong>titeit daar theoretisch<br />
nog langdurig mee kan word<strong>en</strong> achtervolgd. In <strong>internet</strong>spell<strong>en</strong> noemt m<strong>en</strong> e<strong>en</strong><br />
nickname ook wel e<strong>en</strong> ‘ingame‐name’ (in chattaal ‘ING’). In voorlichtingscampagnes<br />
wordt ook aangerad<strong>en</strong> om onder e<strong>en</strong> nickname gebruik te mak<strong>en</strong> van het<br />
<strong>internet</strong> 29 . Op dit soort adviez<strong>en</strong> wordt handig ingespeeld door aanbieders van<br />
online nicknameg<strong>en</strong>erator<strong>en</strong> die op basis van bepaalde keuzes van de gebruiker<br />
e<strong>en</strong> bijpass<strong>en</strong>de nickname g<strong>en</strong>erer<strong>en</strong>. Zo leverde het invoer<strong>en</strong> van de naam Tim de<br />
volg<strong>en</strong>de suggesties voor nicknames op in de (door de gebruiker zelf aangevinkte)<br />
categorie ‘cowboy’ 30 :<br />
“Old Name: Tim. You can choose the following list for your nickname:<br />
1. Bob Billsworth<br />
2. Bootinbull<br />
3. Jerry Ransom<br />
4. P<strong>en</strong>cil Eye Pete<br />
5. Bryan Beersworth.”<br />
Het invoer<strong>en</strong> van de naam John of opnieuw Tim, leverde merkwaardig g<strong>en</strong>oeg e<strong>en</strong><br />
aantal van dezelfde nicknames op. Malafide aanbieders wordt het op deze manier<br />
wel heel gemakkelijk gemaakt: ze zorg<strong>en</strong> ervoor dat notab<strong>en</strong>e door h<strong>en</strong> zelf<br />
geg<strong>en</strong>ereerde nicknames op het <strong>internet</strong> word<strong>en</strong> gebruikt <strong>en</strong> mak<strong>en</strong> uiteraard ook<br />
weer handig gebruik van dit soort id<strong>en</strong>titeit<strong>en</strong> <strong>en</strong> koppeling tuss<strong>en</strong> echte naam <strong>en</strong><br />
e<strong>en</strong> gebruikte nickname als vorm van phishing.<br />
Uit de analyse van onderzoeksdossiers is geblek<strong>en</strong> dat nicknames alle<strong>en</strong> in die<br />
dossiers word<strong>en</strong> vermeld als dat van belang is voor de bewijsvoering <strong>en</strong> zelfs dat is<br />
ge<strong>en</strong> geme<strong>en</strong>goed. Nicknames kunn<strong>en</strong> net zo goed als echte nam<strong>en</strong> word<strong>en</strong><br />
gebruikt om person<strong>en</strong> te id<strong>en</strong>tificer<strong>en</strong>. Teveel nicknames mak<strong>en</strong> het voor daders<br />
lastig om met verschill<strong>en</strong>de slachtoffers te communicer<strong>en</strong>, dus zal m<strong>en</strong> vrij snel<br />
29<br />
www.vives.nl/tips/veilig‐<strong>internet</strong>; www.<strong>internet</strong>vergelijk<strong>en</strong>.com/faq/veilig‐op‐<strong>internet</strong>‐checklist,<br />
laatst geraadpleegd op 21 december 2009.<br />
30 www.getnicknames.com/nicknames.php.<br />
132
voor e<strong>en</strong> bepaald patroon kiez<strong>en</strong> dat relatief e<strong>en</strong>voudig is te simuler<strong>en</strong>. In één van<br />
de dossiers bleek e<strong>en</strong> veelvuldig op het <strong>internet</strong> gebruikte nickname overe<strong>en</strong> te<br />
kom<strong>en</strong> met e<strong>en</strong> bijnaam die in ‘real‐live’ werd gehanteerd. Nicknames staan heel<br />
vaak niet op zichzelf maar kunn<strong>en</strong>, zoals in sociale netwerksites, zijn gekoppeld aan<br />
e<strong>en</strong> profiel met allerlei sociaalgeografische k<strong>en</strong>merk<strong>en</strong> of interesses van deg<strong>en</strong>e die<br />
zich van de nickname bedi<strong>en</strong>t.<br />
Id<strong>en</strong>tificatie dader met behulp van deelname aan onlinegame<br />
Long arm of law reaches into World of Warcraft<br />
“The virtual world of online gaming seems like the perfect place to hide. There is<br />
pl<strong>en</strong>ty of anonymity, and it’s almost impossible for someone to trace activity back to<br />
its source, right? Wrong. Two weeks ago, Howard County Sheriff’s Departm<strong>en</strong>t<br />
deputy Matt Roberson tracked down a wanted fugitive through one of the most<br />
popular games on the Internet: World of Warcraft. And he got his man. In this case,<br />
online gamers were playing alongside Alfred Hightower, a man wanted on<br />
drugscharges. A warrant was issued for his arrest in 2007. “We received information<br />
that this guy was a regular player of an online game, which was referred to as ‘some<br />
warlock and witches’ game,” said Roberson. “None of that information was sound<br />
<strong>en</strong>ough to pursue on its own, but putting everything we had together gave me<br />
<strong>en</strong>ough evid<strong>en</strong>ce to s<strong>en</strong>d a subpo<strong>en</strong>a to Blizzard Entertainm<strong>en</strong>t. I knew exactly<br />
what he was playing: World of Warcraft. I used to play it. It’s one of the largest<br />
online games in the world.” Blizzard did more than cooperate. It gave Roberson<br />
everything he needed to track down Hightower, including his IP address, his<br />
account information and history, his billing address, and ev<strong>en</strong> his online scre<strong>en</strong><br />
name and preferred server. From there it was a simple matter to zero in on the<br />
suspect’s location. “I did a search off the IPaddress to locate him,” said Roberson.<br />
“I got a longitude and latitude. Th<strong>en</strong> I w<strong>en</strong>t to Google Earth. It works wonders. It<br />
uses longitude and latitude. Boom! I had an address. I was not able to go streetside<br />
at the location, but I had him.”<br />
Bron: Munsey, 2009<br />
“Of nicknames verwijz<strong>en</strong> naar echte nam<strong>en</strong> of zijn verzonn<strong>en</strong> doet er niet zoveel<br />
toe: consist<strong>en</strong>te opbouw <strong>en</strong> het gebruik ervan kan toch leid<strong>en</strong> tot e<strong>en</strong>zelfde persoon<br />
zelfs wanneer die zich van verschill<strong>en</strong>de nicknames bedi<strong>en</strong>t.”<br />
Bov<strong>en</strong>di<strong>en</strong> zijn nicknames gekoppeld aan accountinformatie: de gegev<strong>en</strong>s waarmee<br />
m<strong>en</strong> zich heeft ingeschrev<strong>en</strong>. Iemand die e<strong>en</strong>zelfde nickname gebruikt voor legale<br />
<strong>en</strong> illegale accounts kan op basis van de aan die nickname gekoppelde<br />
gebruikersinformatie mogelijk word<strong>en</strong> gedetecteerd (cross‐refer<strong>en</strong>ce). Ter<br />
illustratie vor<strong>en</strong>staand rec<strong>en</strong>t praktijkvoorbeeld van e<strong>en</strong> drugsdealer die via zijn<br />
participatie in het wereldwijd veel gespeelde <strong>internet</strong>spel World of Warcraft teg<strong>en</strong><br />
133
de lamp liep.<br />
“Daders in bepaalde roll<strong>en</strong> lat<strong>en</strong> zich id<strong>en</strong>tificer<strong>en</strong> op basis van de nicknames <strong>en</strong>/of<br />
bijbehor<strong>en</strong>de profiel<strong>en</strong> die ze gebruik<strong>en</strong> <strong>en</strong> de kleine verschill<strong>en</strong> tuss<strong>en</strong> variant<strong>en</strong> in<br />
die nicknames of profiel<strong>en</strong>.”<br />
Overgewaaid uit de gamesc<strong>en</strong>e, is het steeds gebruikelijker om zich naast e<strong>en</strong><br />
nickname te bedi<strong>en</strong><strong>en</strong> van e<strong>en</strong> of meerdere avatars: e<strong>en</strong> animatie of statische<br />
afbeelding die de gebruiker voorstelt <strong>en</strong> daarom vaak ook e<strong>en</strong> afspiegeling is van<br />
k<strong>en</strong>merk<strong>en</strong> van die gebruiker of van di<strong>en</strong>s interesses. Waar avatars in het begin niet<br />
meer war<strong>en</strong> dan e<strong>en</strong> symbolische uiting waarvan er meerdere tegelijkertijd in<br />
omloop war<strong>en</strong>, word<strong>en</strong> ze steeds unieker. Hun id<strong>en</strong>tificer<strong>en</strong>de kracht neemt<br />
daardoor ook toe.<br />
“De to<strong>en</strong>em<strong>en</strong>de uniciteit van avatars levert specifieke hashcodes op waarmee in<br />
beginsel het optred<strong>en</strong> van dezelfde avatar in verschill<strong>en</strong>de omgeving<strong>en</strong> kan word<strong>en</strong><br />
gedetecteerd.”<br />
“De keuze of het ontwerp van e<strong>en</strong> specifieke avatar kan inzicht oplever<strong>en</strong> in<br />
achtergrondk<strong>en</strong>merk<strong>en</strong> van de gebruiker.”<br />
Niet iedere<strong>en</strong> kan zelf e<strong>en</strong> kwalitatief hoogwaardige <strong>en</strong> onderscheid<strong>en</strong>de avatar<br />
mak<strong>en</strong> <strong>en</strong> ook op dat gebied word<strong>en</strong> allerlei avatarg<strong>en</strong>erator<strong>en</strong> aangebod<strong>en</strong><br />
waarmee m<strong>en</strong> online op basis van bepaalde variant<strong>en</strong> e<strong>en</strong> eig<strong>en</strong> exemplaar kan<br />
sam<strong>en</strong>stell<strong>en</strong>. Dat er e<strong>en</strong> grote kans bestaat dat e<strong>en</strong> kopie daarvan wordt<br />
opgeslag<strong>en</strong> op de g<strong>en</strong>eratorsite (voor mogelijk toekomstig illegaal gebruik), is iets<br />
wat de meeste bezoekers zich niet zull<strong>en</strong> realiser<strong>en</strong>. Inmiddels zijn er geavanceerde<br />
avatarbots actief die aan de <strong>en</strong>e kant automatisch avatars g<strong>en</strong>erer<strong>en</strong> <strong>en</strong> op het<br />
mom<strong>en</strong>t dat er met e<strong>en</strong> dergelijke robotavatar contact wordt gemaakt, doorlink<strong>en</strong><br />
naar het gebruikersaccount van deg<strong>en</strong>e die erachter schuil gaat (Choo, 2009, p. 12).<br />
3.5 Stap 2b Acquire accounts<br />
3.5.1 Primary account<br />
Bij het eerste contact tuss<strong>en</strong> computer <strong>en</strong> <strong>internet</strong> wordt e<strong>en</strong> IP‐adres toegewez<strong>en</strong><br />
dat bij de accesprovider in combinatie met abonnem<strong>en</strong>tsgegev<strong>en</strong>s bek<strong>en</strong>d wordt;<br />
134
ook al wordt dat later met bepaalde software verborg<strong>en</strong>. Wij noem<strong>en</strong> dat het<br />
primary account. Op het mom<strong>en</strong>t dat iemand verhuist, e<strong>en</strong> nieuwe computer<br />
aanschaft of overstapt van provider, kom<strong>en</strong> er, afhankelijk van het gekoz<strong>en</strong> type<br />
verhulling, mogelijk verversingsmom<strong>en</strong>t<strong>en</strong> van dat primary account. Om<br />
bijvoorbeeld de verhuizing van e<strong>en</strong> <strong>internet</strong>aansluiting succesvol te kunn<strong>en</strong><br />
voltooi<strong>en</strong> moet m<strong>en</strong> zich weer auth<strong>en</strong>tiek k<strong>en</strong>baar mak<strong>en</strong>.<br />
“Op de mom<strong>en</strong>t<strong>en</strong> dat e<strong>en</strong> (latere) betrokk<strong>en</strong>e bij <strong>kinderporno</strong> e<strong>en</strong> <strong>internet</strong>account<br />
aanvraagt <strong>en</strong> daarvan voor de eerste maal gebruik maakt, zijn er nog ge<strong>en</strong><br />
afschermingconstructies van id<strong>en</strong>titeit<strong>en</strong> actief. Zijn werkelijke id<strong>en</strong>titeit is dan nog<br />
gekoppeld aan dat <strong>internet</strong>account.”<br />
Onder stap 1 zijn al mogelijkhed<strong>en</strong> g<strong>en</strong>oemd om op basis van e<strong>en</strong> primair account<br />
de werkelijke id<strong>en</strong>titeit van e<strong>en</strong> gebruiker te achterhal<strong>en</strong>. Tijd<strong>en</strong>s de periode dat<br />
het primair account nog niet is verhuld, zou ook kunn<strong>en</strong> blijk<strong>en</strong> onder welke<br />
nicknames e<strong>en</strong> gebruiker op het <strong>internet</strong> acteert. Grote kans dat die nicknames ook<br />
na de verhulling nog word<strong>en</strong> gebruikt.<br />
Op basis van deze eerste aanname, zijn twee typ<strong>en</strong> vervolghypothes<strong>en</strong> d<strong>en</strong>kbaar,<br />
waarvan het <strong>en</strong>e type leidt tot e<strong>en</strong> bepaalde populatie (inductie) <strong>en</strong> het andere<br />
juist start vanuit e<strong>en</strong> populatie (deductie).<br />
Inductie<br />
Te beginn<strong>en</strong> met de eerste. “Het omzett<strong>en</strong> van e<strong>en</strong> primary account in e<strong>en</strong><br />
verborg<strong>en</strong> account levert e<strong>en</strong> red flag op.” Er kunn<strong>en</strong> verschill<strong>en</strong>de red<strong>en</strong><strong>en</strong> zijn om<br />
bijvoorbeeld e<strong>en</strong> IP‐adres te will<strong>en</strong> verberg<strong>en</strong> dat niet exclusief aan <strong>kinderporno</strong> is<br />
gerelateerd. E<strong>en</strong> red flag levert het verberg<strong>en</strong> zeker op, omdat het in relatie tot de<br />
reguliere <strong>internet</strong>gebruiker om atypisch gedrag gaat.<br />
“E<strong>en</strong> check door accesproviders van IP‐adress<strong>en</strong> die bij het afsluit<strong>en</strong> van het<br />
abonnem<strong>en</strong>t als primary account zijn geregistreerd <strong>en</strong> die op het mom<strong>en</strong>t van de<br />
check blijk<strong>en</strong> te zijn verborg<strong>en</strong>, levert e<strong>en</strong> eerste rechtstreekse id<strong>en</strong>tificatie op van<br />
person<strong>en</strong> die mogelijk iets hebb<strong>en</strong> te verberg<strong>en</strong>.”<br />
Met deze check wordt e<strong>en</strong> eerste populatie verkreg<strong>en</strong> waarop met andere<br />
hypothes<strong>en</strong> kan word<strong>en</strong> voortgebouwd om te kijk<strong>en</strong> in hoeverre die kan word<strong>en</strong><br />
gerelateerd aan <strong>kinderporno</strong>. “Minimaal wordt aang<strong>en</strong>om<strong>en</strong> dat in deze populatie<br />
significant meer aanbieders, verspreiders, kijkers <strong>en</strong> downloaders van <strong>kinderporno</strong><br />
schuil gaan, dan in e<strong>en</strong> willekeurige steekproef van <strong>internet</strong>gebruikers”.<br />
Desondanks discrimineert de hypothese nog helemaal niet naar betrokk<strong>en</strong>heid bij<br />
135
<strong>kinderporno</strong>. Wat die hypothese eig<strong>en</strong>lijk nog interessanter maakt, omdat de<br />
populatie die het oplevert ook daders omvat die zijn betrokk<strong>en</strong> bij andere illegale<br />
activiteit<strong>en</strong> dan <strong>kinderporno</strong>. Met behulp van vervolghypothes<strong>en</strong> moet qua<br />
betrokk<strong>en</strong>heid binn<strong>en</strong> de populatie word<strong>en</strong> gediffer<strong>en</strong>tieerd naar delictsoort<strong>en</strong>.<br />
Deductie<br />
Het tweede type hypothes<strong>en</strong> vertrekt vanuit e<strong>en</strong> (deels) bek<strong>en</strong>de populatie. Uit<br />
meerdere onderzoek<strong>en</strong> blijkt dat iemand met e<strong>en</strong> pedofiele geaardheid e<strong>en</strong><br />
grote(re) kans heeft om betrokk<strong>en</strong> te zijn bij het <strong>kinderporno</strong>‐proces, zij het dat<br />
niet elke handeling binn<strong>en</strong> dat proces wordt aangemerkt als pedofilie 31 <strong>en</strong> ook niet<br />
iedere betrokk<strong>en</strong>e kan word<strong>en</strong> aangemerkt als pedofiel (Seto, Cantor, & Blanchard,<br />
2006). Vooralsnog lat<strong>en</strong> we in het midd<strong>en</strong> uit welke rol(l<strong>en</strong>) die betrokk<strong>en</strong>heid<br />
bestaat <strong>en</strong> gaan we door op de populatie van bek<strong>en</strong>de pedofiel<strong>en</strong>. Van e<strong>en</strong> deel<br />
van deze populatie zijn de werkelijke id<strong>en</strong>titeit<strong>en</strong> bek<strong>en</strong>d uit contact<strong>en</strong> met politie<br />
of hulpverl<strong>en</strong>ing. Nadat hun primary account is vastgesteld kan word<strong>en</strong> nagegaan<br />
of het onlangs is verborg<strong>en</strong>.<br />
“Vóórkom<strong>en</strong> in de populatie van pedofiel<strong>en</strong> die hun primary <strong>internet</strong> account<br />
hebb<strong>en</strong> verborg<strong>en</strong> of verberg<strong>en</strong>, levert e<strong>en</strong> red flag op qua betrokk<strong>en</strong>heid bij het<br />
<strong>kinderporno</strong>proces.”<br />
“In de periode voordat primary accounts zijn verborg<strong>en</strong> is er wellicht al sprake<br />
geweest van niet afgeschermd <strong>kinderporno</strong> gerelateerd data‐verkeer.”<br />
Deductie met gebruikmaking van het primary account kan ook voor andere<br />
populaties plaatsvind<strong>en</strong>. Nog afgezi<strong>en</strong> van de daarvoor vereiste legitimiteit <strong>en</strong><br />
d<strong>en</strong>kbare ethische bezwar<strong>en</strong>, kan word<strong>en</strong> gedacht aan incest‐slachtoffers (op basis<br />
van de aanname dat zij e<strong>en</strong> grotere kans hebb<strong>en</strong> om later ook zelf betrokk<strong>en</strong> te zijn<br />
bij delict<strong>en</strong> teg<strong>en</strong> kinder<strong>en</strong>), daders van kindermishandeling, of aan populaties die<br />
voldo<strong>en</strong> aan andere gedragsk<strong>en</strong>merk<strong>en</strong> die betrokk<strong>en</strong>heid bij <strong>kinderporno</strong><br />
indicer<strong>en</strong> (zie het deel in dit hoofdstuk over roll<strong>en</strong>).<br />
Helemaal sluit<strong>en</strong>d zijn de hypothes<strong>en</strong> niet. Zo zou e<strong>en</strong> betrokk<strong>en</strong>e e<strong>en</strong> primary<br />
account kunn<strong>en</strong> hebb<strong>en</strong> aangevraagd op naam van e<strong>en</strong> huisg<strong>en</strong>oot, met e<strong>en</strong> valse<br />
id<strong>en</strong>titeit of uitsluit<strong>en</strong>d gebruik kunn<strong>en</strong> mak<strong>en</strong> van le<strong>en</strong>computers (<strong>internet</strong>café,<br />
31 Pedofilie wordt nogal verschill<strong>en</strong>de gedefinieerd. Voor de e<strong>en</strong> (www.pedofilie.nl/definities) staat het<br />
gelijk aan e<strong>en</strong> int<strong>en</strong>tie als ‘het hebb<strong>en</strong> van e<strong>en</strong> liefdesverlang<strong>en</strong> gericht op prepuberale kinder<strong>en</strong>, dat de<br />
voorkeur heeft bov<strong>en</strong> omgang met volwass<strong>en</strong><strong>en</strong>’ <strong>en</strong> voor de ander (Van Wijk, Nieuw<strong>en</strong>huis, & Smeltink,<br />
2009, p. 48) staat het voor feitelijk gedrag van e<strong>en</strong> volwass<strong>en</strong>e die seksuele handeling<strong>en</strong> verricht met<br />
kinder<strong>en</strong> van 13 jaar of jonger (pre‐puberale kinder<strong>en</strong>).<br />
136
ibliotheek, hotel, werk). Maar ook al is dat het geval: m<strong>en</strong> komt dan wel bij de<br />
veronderstelde betrokk<strong>en</strong>e in de buurt.<br />
3.5.2 Secondary accounts<br />
Naast het primary account onderscheid<strong>en</strong> we secondary accounts. Geeft het<br />
primary account (al of niet verborg<strong>en</strong>) via e<strong>en</strong> accesprovider basistoegang tot het<br />
<strong>internet</strong> op zichzelf, secondary accounts daar<strong>en</strong>teg<strong>en</strong> gev<strong>en</strong> toegang tot di<strong>en</strong>st<strong>en</strong><br />
die via dat <strong>internet</strong> word<strong>en</strong> aangebod<strong>en</strong>. E<strong>en</strong> primary account is gekoppeld aan de<br />
computer <strong>en</strong>/of de fysieke locatie waar die computer staat, terwijl secondary<br />
accounts zijn gekoppeld aan de gebruiker, ongeacht waar die zich bevindt <strong>en</strong> van<br />
welke computer die zich bedi<strong>en</strong>t. E<strong>en</strong> secondary account bestaat minimaal uit e<strong>en</strong><br />
username <strong>en</strong> e<strong>en</strong> password. De gemiddelde <strong>internet</strong>gebruiker beschikt over<br />
meerdere van dit type accounts. Voorbeeld<strong>en</strong> van secondary accounts zijn toegang<br />
tot chat rooms, MSN mess<strong>en</strong>ger, social networking sites als Hyves <strong>en</strong> Facebook <strong>en</strong><br />
Skype, bank, fora etc. Het hebb<strong>en</strong> van dit soort accounts is voor bepaalde<br />
daderroll<strong>en</strong> belangrijk. E<strong>en</strong> produc<strong>en</strong>t van <strong>kinderporno</strong> zal er minder belang in<br />
stell<strong>en</strong>, terwijl e<strong>en</strong> distributeur, groomer <strong>en</strong> e<strong>en</strong> afnemer, volledig van dit soort<br />
accounts afhankelijk kan zijn.<br />
3.6 Stap 3 Victim selection<br />
3.6.1 ‘Offline’<br />
De meest voorkom<strong>en</strong>de (voor zover bek<strong>en</strong>d) <strong>en</strong> e<strong>en</strong>voudige manier in Nederland<br />
om offline slachtoffers te werv<strong>en</strong>, is door kinder<strong>en</strong> te gebruik<strong>en</strong> uit de familie <strong>en</strong> de<br />
omgeving van de dader. Uit het buit<strong>en</strong>land zijn voorvall<strong>en</strong> bek<strong>en</strong>d waarbij<br />
zwerfkinder<strong>en</strong> (al dan niet verslaafd) <strong>en</strong> kinder<strong>en</strong> uit arme families word<strong>en</strong><br />
geronseld door produc<strong>en</strong>t<strong>en</strong> van <strong>kinderporno</strong>. Volg<strong>en</strong>s e<strong>en</strong> ingewijde die uit het<br />
milieu afkomstig is, werv<strong>en</strong> zij ook kinder<strong>en</strong> door te adverter<strong>en</strong> op <strong>internet</strong>,<br />
televisie <strong>en</strong> in de krant (An insight into child porn, 2009). In verschill<strong>en</strong>de land<strong>en</strong> die<br />
bek<strong>en</strong>d staan om het plaatsvind<strong>en</strong> van kinderprostitutie (Thailand, Brazilië <strong>en</strong> e<strong>en</strong><br />
aantal Oost‐Europese land<strong>en</strong>) wordt met kinderprostituees ook <strong>kinderporno</strong><br />
vervaardigd. Kinder<strong>en</strong> in de prostitutie uit de Oost‐Europese land<strong>en</strong> schijn<strong>en</strong> veel<br />
door de professionele produc<strong>en</strong>t<strong>en</strong> te word<strong>en</strong> gebruikt. De overige land<strong>en</strong> trekk<strong>en</strong><br />
vooral hobbyist<strong>en</strong> aan. Het kan niet uitgeslot<strong>en</strong> word<strong>en</strong> dat kinder<strong>en</strong> ook via<br />
137
m<strong>en</strong>s<strong>en</strong>smokkel vanuit Oost‐Europa <strong>en</strong> Azië naar Nederland kom<strong>en</strong> om hier in<br />
producties mee te spel<strong>en</strong>. Hierbij word<strong>en</strong> ze letterlijk verhandeld. Als iemand e<strong>en</strong><br />
slachtoffer heeft, wordt het soms ook gedeeld met ander<strong>en</strong>. Net als materiaal<br />
geruild wordt, gebeurt dit dus ook met slachtoffers.<br />
3.6.2 Modell<strong>en</strong>sites<br />
Profiel‐ of chatsites zoals Hyves, Sugababes of Sugadudes <strong>en</strong> sites waarop steeds<br />
jongere meisjes zich als ‘model’ aanbied<strong>en</strong>, zijn voor de daders letterlijk e<strong>en</strong><br />
database (O’Connel, 2000, p. 7), waarin zij kinder<strong>en</strong> die voldo<strong>en</strong> aan hun voorkeur<br />
kunn<strong>en</strong> uitzoek<strong>en</strong> (‘hawk<strong>en</strong>’) (Kuijl, 2008). Door middel van chatt<strong>en</strong> legg<strong>en</strong> zij met<br />
de kinder<strong>en</strong> contact. Het aanbod van modell<strong>en</strong> is groot <strong>en</strong> begint op onschuldige<br />
wijze. Er zijn veel modell<strong>en</strong>bureaus die kindermodell<strong>en</strong> lever<strong>en</strong> voor modeshows<br />
<strong>en</strong> g<strong>en</strong>oeg ouders die vind<strong>en</strong> dat hun kind goed g<strong>en</strong>oeg is om als model op te<br />
tred<strong>en</strong>. Er lijkt e<strong>en</strong> tr<strong>en</strong>d waarneembaar naar het steeds jonger aanbied<strong>en</strong> van<br />
modell<strong>en</strong>. Met deze bureaus is in principe niets mis, maar het wordt bijvoorbeeld<br />
verdachter als e<strong>en</strong> gerelateerde fotograaf of studio wel e<strong>en</strong> KvK registratie heeft,<br />
maar ge<strong>en</strong> website of andere publicatiekanaal bezit terwijl dat in de lijn van di<strong>en</strong>s<br />
beroep toch in de rede ligt.<br />
“Fotograf<strong>en</strong> prober<strong>en</strong> bij uitstek hun copyright te bescherm<strong>en</strong>, dus als iemand dit<br />
niet doet kan dat aangemerkt word<strong>en</strong> met e<strong>en</strong> red flag.”<br />
E<strong>en</strong> voorbeeld van e<strong>en</strong> fotograaf met mogelijke bijbedoeling<strong>en</strong> vind<strong>en</strong> we via de<br />
Nederlandse website www.modell<strong>en</strong>plein.nl. Op deze site kom<strong>en</strong> aanbod van <strong>en</strong><br />
vraag naar modell<strong>en</strong> <strong>en</strong> fotograf<strong>en</strong> bij elkaar, onderverdeeld naar categorieën<br />
(‘reclame’, ‘cosmetica’, ‘fashion’etc.). In de categorie ‘lingerie’ heeft <strong>en</strong>e PH de<br />
volg<strong>en</strong>de advert<strong>en</strong>tietekst geplaatst: “zoek leuk jong ti<strong>en</strong>er meisje voor lingerie<br />
shoot. wie heeft er interesse”. PH staat op de site geregistreerd als fotograaf, dus<br />
het is op zich niet raar dat hij modell<strong>en</strong> werft. Wordt gekek<strong>en</strong> naar de advert<strong>en</strong>ties<br />
die deze PH nog meer heeft geplaatst dan komt in de categorie ‘erotiek’ het<br />
volg<strong>en</strong>de naar vor<strong>en</strong>: “hoi, zoek e<strong>en</strong> leuk meisje voor e<strong>en</strong> hardcore shoot. wie heeft<br />
er zin? b<strong>en</strong> e<strong>en</strong> amateurfotograaf, midd<strong>en</strong> dertig <strong>en</strong> sportieve body. hoor graag van<br />
je! Groet. (PH)”. PH heeft één negatieve review <strong>en</strong> e<strong>en</strong> snelle zoekopdracht levert<br />
nog zes soortgelijke advert<strong>en</strong>ties op. Vervolg<strong>en</strong>s lijkt PH ook actief te zijn op e<strong>en</strong><br />
sexchat site.<br />
138
3.6.3 Sociale netwerksites<br />
Sociale netwerksites zijn uitgebreider dan chatbox<strong>en</strong> maar minder flexibel. Aan e<strong>en</strong><br />
profiel op e<strong>en</strong> netwerksite kunn<strong>en</strong> vri<strong>en</strong>d<strong>en</strong> word<strong>en</strong> gekoppeld. In het profiel kan<br />
allerlei persoonlijke informatie word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong>, sam<strong>en</strong> met foto’s, video’s <strong>en</strong><br />
andere media. Dit biedt mogelijkhed<strong>en</strong> om op basis van persoonlijke voorkeur<strong>en</strong><br />
vri<strong>en</strong>d<strong>en</strong> te zoek<strong>en</strong>, maar het aanmak<strong>en</strong> van e<strong>en</strong> profiel vergt nogal wat tijd. Snel<br />
van gesprek wissel<strong>en</strong> in e<strong>en</strong> chatbox is minder complex dan het steeds aanmak<strong>en</strong><br />
van e<strong>en</strong> nieuw profiel. Veel veroordeelde én pot<strong>en</strong>tiële pedofiel<strong>en</strong> verrad<strong>en</strong> zich<br />
door hun profiel <strong>en</strong> gedrag op Hyves, zo blijkt uit datamining‐onderzoek.<br />
Veroordeelde Pedofiel<strong>en</strong> die actief zijn op Hyves.nl<br />
Onderzoek ‘Algorithmic Tools for Data-Ori<strong>en</strong>ted Law Enforcem<strong>en</strong>t’<br />
Cocx: "E<strong>en</strong> afstudeerder heeft onderzoek gedaan naar <strong>kinderporno</strong> <strong>en</strong> sociale<br />
netwerk<strong>en</strong>. Hij heeft daar correlaties gevond<strong>en</strong> tuss<strong>en</strong> het aantal kinder<strong>en</strong> waaraan<br />
pedoseksuel<strong>en</strong> war<strong>en</strong> verbond<strong>en</strong> op sociale netwerk<strong>en</strong>." Ingedeeld in verschill<strong>en</strong>de<br />
leeftijdscategorieën bleek het aantal minderjarige 'vri<strong>en</strong>d<strong>en</strong>' e<strong>en</strong> significante<br />
voorspell<strong>en</strong>de factor bij pedoseksuel<strong>en</strong>. Ze war<strong>en</strong> vaak verbond<strong>en</strong> met veel<br />
kinder<strong>en</strong>. Bijvoorbeeld in de leeftijdsgroep 56-65 jaar hadd<strong>en</strong> de zed<strong>en</strong>delinqu<strong>en</strong>t<strong>en</strong><br />
gemiddeld 18 proc<strong>en</strong>t minderjarige 'vri<strong>en</strong>d<strong>en</strong>' teg<strong>en</strong> e<strong>en</strong> gemiddelde van 10 proc<strong>en</strong>t<br />
bij de controlegroep. Nadere datamining met bepaalde algoritmes verhoogt de<br />
voorspell<strong>en</strong>de factor nog e<strong>en</strong>s. "Dit staat nog in de kinderscho<strong>en</strong><strong>en</strong>", zegt Cocx,<br />
onbedoeld wrang humoristisch. Officieel mag de politie niet handel<strong>en</strong> op het<br />
resultaat van dit onderzoek. De gepleegde datamining raakt echter ook gevoelige<br />
maatschappelijke onderwerp<strong>en</strong> als afkomst van jonge criminel<strong>en</strong> <strong>en</strong> <strong>kinderporno</strong>.<br />
Die onderwerp<strong>en</strong> kunn<strong>en</strong> bij andere politieke verhouding<strong>en</strong> in Nederland echter wel<br />
in aanmerking kom<strong>en</strong> voor data mining. (…)"Alhoewel logischerwijs ge<strong>en</strong> wettige<br />
actie ondernom<strong>en</strong> kan word<strong>en</strong> teg<strong>en</strong> zulke individu<strong>en</strong>, voedt dit f<strong>en</strong>ome<strong>en</strong> de<br />
veronderstelling dat e<strong>en</strong> zeker perc<strong>en</strong>tage van minderjarige vri<strong>en</strong>d<strong>en</strong> e<strong>en</strong> goede<br />
indicatie kan zijn voor de kans van e<strong>en</strong> individu om te behor<strong>en</strong> tot e<strong>en</strong> zekere<br />
risicovolle categorie," aldus Cocx.<br />
Bronn<strong>en</strong>: Cocx, 2009; Olsthoorn, 2009<br />
Cocx matchte de persoonsgegev<strong>en</strong>s van 2.044 veroordeelde pedofiel<strong>en</strong> met Hyves<br />
<strong>en</strong> stelde vast dat t<strong>en</strong>minste 15,5 proc<strong>en</strong>t van h<strong>en</strong> beschikte over e<strong>en</strong> Hyves‐profiel<br />
(Cocx, 2009). Werd<strong>en</strong> deze cijfers nogal opzi<strong>en</strong>bar<strong>en</strong>d g<strong>en</strong>oemd; als we ze<br />
vergelijk<strong>en</strong> met hoeveel Nederlanders überhaupt e<strong>en</strong> profiel op Hyves hebb<strong>en</strong> dan<br />
139
vall<strong>en</strong> ze juist erg laag uit 32 . Dat geeft eerder voeding aan e<strong>en</strong> veronderstelling dat<br />
pedofiel<strong>en</strong> wellicht wel op Hyves staan ingeschrev<strong>en</strong>, maar niet onder hun eig<strong>en</strong><br />
naam. Zij blev<strong>en</strong> in het datamining‐onderzoek buit<strong>en</strong> beeld. Naast Hyves zijn er<br />
overig<strong>en</strong>s nog veel meer van dit soort netwerksites.<br />
Ook gaming rooms, chatrooms waar spelletjes gespeeld word<strong>en</strong>, zijn e<strong>en</strong><br />
aantrekkelijke plek voor daders om slachtoffers te zoek<strong>en</strong>. De kinder<strong>en</strong> gaan<br />
helemaal op in de spelletjes <strong>en</strong> zijn weinig selectief met wie ze ondertuss<strong>en</strong> prat<strong>en</strong>.<br />
Die spelletjes zijn ingedeeld naar leeftijdsgroep<strong>en</strong> <strong>en</strong> zo kunn<strong>en</strong> daders precies e<strong>en</strong><br />
slachtoffer uitzoek<strong>en</strong> met de leeftijd van hun voorkeur (voorbeeld<strong>en</strong>: neopets.com,<br />
homerecreationgames.com/, girlsgogames.com/games/room_makeover_games/,<br />
<strong>en</strong> habbohotel.nl).<br />
3.6.4 Chat<br />
Het selecter<strong>en</strong> of vind<strong>en</strong> van slachtoffers van grooming gebeurt vooral via<br />
chatrooms of chatbox<strong>en</strong>. E<strong>en</strong> chatroom of chatbox is e<strong>en</strong> virtuele ruimte op het<br />
<strong>internet</strong> waar m<strong>en</strong> kan chatt<strong>en</strong>. Specifiek seksueel gerelateerde chatrooms word<strong>en</strong><br />
ook aangebod<strong>en</strong> onder categorieën als cybersex binn<strong>en</strong> algem<strong>en</strong>e chatsites als<br />
chatropolis.com, chathour.com <strong>en</strong> chatrooms.uk.com. Chatt<strong>en</strong> via het populaire<br />
instant messagingprogramma Windows Live Mess<strong>en</strong>ger (voorhe<strong>en</strong> MSN<br />
Mess<strong>en</strong>ger) <strong>en</strong> Yahoo Mess<strong>en</strong>ger verschilt van chatt<strong>en</strong> in e<strong>en</strong> op<strong>en</strong> chatbox<br />
doordat toestemming moet word<strong>en</strong> verkreg<strong>en</strong> om met e<strong>en</strong> bepaalde persoon te<br />
mog<strong>en</strong> chatt<strong>en</strong> <strong>en</strong> doordat m<strong>en</strong> zelf toestemming voor e<strong>en</strong> chat moet gev<strong>en</strong> aan<br />
e<strong>en</strong> ander. Die toelatingsvoorwaarde maakt chatt<strong>en</strong> via MSN minder riskant dan via<br />
op<strong>en</strong> chatbox<strong>en</strong>. Vooral jongere chatters realiser<strong>en</strong> zich minder wat de risico’s zijn<br />
van het toelat<strong>en</strong> van vreemd<strong>en</strong> in hun lijst met contactperson<strong>en</strong>. Zij voeg<strong>en</strong> deze<br />
gewoon toe, zodat deze drempel in werkelijkheid lager ligt dan in theorie.<br />
“Daders lett<strong>en</strong> bij het zoek<strong>en</strong> naar pot<strong>en</strong>tiële slachtoffers op ev<strong>en</strong>tuele seksuele<br />
toespeling<strong>en</strong> in de naam of nickname van het kind, bijvoorbeeld ‘geil jong meisje’.<br />
Ze kijk<strong>en</strong> daarnaast naar het aantal vri<strong>en</strong>d<strong>en</strong> dat e<strong>en</strong> kind heeft”.<br />
32 Van de 13‐19 jarig<strong>en</strong> had in maart 2008 70,3 % e<strong>en</strong> Hyves profiel, van 20‐34 jaar 73,6%, van 35‐49<br />
jaar 53,1% <strong>en</strong> van 50 jaar <strong>en</strong> ouder 21,8% (bron: www.yme.nl/ymerce/2008/03/07/leuke‐hyvescijfertjes‐voor‐het‐week<strong>en</strong>d/,<br />
laatst geraadpleegd 30 maart 2008).<br />
140
Voorbeeld van e<strong>en</strong> chatgesprek tuss<strong>en</strong> twee 'vri<strong>en</strong>d<strong>en</strong>'<br />
Chatgesprek<br />
+"Uok, dude?"<br />
>"Trdmc, man ;-("<br />
+"Hehehe, shouldn't that be #-)?"<br />
>"Bion, she left me :-: )"<br />
>"I gave the syt tdm tlc. She's become<br />
a pita and fye: now I'm fubar, my fri<strong>en</strong>d<br />
:-c"<br />
+"Jam ... (rotflastc) ... Imnsho, she's just<br />
a pos"<br />
>"Esad"<br />
+"I'm gonna gd&rvvf I think!"<br />
>"Yeah, and gpf!"<br />
+"Bsf, I think it's a load of bs. U sure it's<br />
not an afj?"<br />
>"Ofcourse! Wh<strong>en</strong> I took her back, tcb.<br />
But you know, I've discovered that<br />
tmtltbmg"<br />
+"Llta! But pmymhmmfswgad<br />
>:->" >"nrn. Bbl"<br />
+"Bbfn. And gl, buddy :-,"<br />
Bron: www.taalkabaal.nl/digitaal.html<br />
Betek<strong>en</strong>is<br />
+"You OK, dude?"<br />
>"Tears running down my cheek, man ;-<br />
("<br />
+"Hehehe, shouldn't that be #-)?"<br />
>"Believe it or not, she left me :-
het geslacht van e<strong>en</strong> kind. Wanneer e<strong>en</strong> dader via chatsites op zoek gaat naar<br />
kinder<strong>en</strong>, zal hij niet snel e<strong>en</strong> achtjarig kind vind<strong>en</strong> maar wel e<strong>en</strong> van veerti<strong>en</strong> jaar.<br />
De keuze voor e<strong>en</strong> MO hangt sam<strong>en</strong> met de financiële situatie van het<br />
desbetreff<strong>en</strong>de land (in arme land<strong>en</strong> is e<strong>en</strong> groter aanbod van slachtoffers) <strong>en</strong> met<br />
de beschikbaarheid van slachtoffers in bepaalde land<strong>en</strong>. T<strong>en</strong> slotte speelt het doel<br />
van de dader e<strong>en</strong> rol. Wil hij e<strong>en</strong> kind voor langere tijd beschikbaar hebb<strong>en</strong> of is het<br />
e<strong>en</strong> e<strong>en</strong>malige actie? In het eerste geval zal hij moet<strong>en</strong> zorg<strong>en</strong> dat hij veel tijd met<br />
het kind doorbr<strong>en</strong>gt <strong>en</strong> zal hij e<strong>en</strong> band moet<strong>en</strong> opbouw<strong>en</strong>. In het tweede geval<br />
kan hij bij wijze van sprek<strong>en</strong> ook zomaar e<strong>en</strong> kind op e<strong>en</strong> speelplein aansprek<strong>en</strong>.<br />
Gebruik van chatrooms voor communicatie tuss<strong>en</strong> daders<br />
Paedophile trio locked up on chat room evid<strong>en</strong>ce. Unpreced<strong>en</strong>ted convictions<br />
“Three paedophiles who used <strong>internet</strong> chat rooms to plot to kidnap and rape two<br />
sisters were jailed for a total of 27 years at Southern Crown Court on Monday.<br />
Police said it was the first time chat room logs alone had be<strong>en</strong> used to prove<br />
conspiracy to rape charges. David Beavan, 42 of Bransgore, Hampshire, Alan<br />
Hedgcock, 41 of Twick<strong>en</strong>ham, and Robert Mayers, 42 of Warrington, had never<br />
met. Hedgcock, who was giv<strong>en</strong> an eight year s<strong>en</strong>t<strong>en</strong>ce, used an incest-themed chat<br />
room to tell Beavan, who was handed 11 years imprisonm<strong>en</strong>t of his plan to abuse<br />
sisters aged 13 and 14. Beavan indicated he wanted to join the attack, and the pair<br />
later recruited Mayers via the <strong>internet</strong> too. Judge Geoffrey Rivlin, QC, said the<br />
m<strong>en</strong>s' conversations were "most lurid and disgusting", the BBC reports. The logs<br />
came to light wh<strong>en</strong> police confiscated computers after Beavan told Bournemouth<br />
police about the plot in January 2006, claiming he was a "vigilante" gathering<br />
evid<strong>en</strong>ce. They revealed a detailed history of the plan, including the discussions of<br />
their targets, where and how the crime would take place, as well as thousands of<br />
child porn images.”<br />
Bron: Williams, 2007<br />
3.6.5 Advert<strong>en</strong>ties<br />
E<strong>en</strong> andere manier waarbij <strong>internet</strong> gebruikt wordt om kinder<strong>en</strong> te werv<strong>en</strong> <strong>en</strong><br />
tegelijkertijd aan te bied<strong>en</strong>, is het plaats<strong>en</strong> van advert<strong>en</strong>ties (Profit for the World’s<br />
Childr<strong>en</strong>, 2001, p. 7) binn<strong>en</strong> beslot<strong>en</strong> pedofiel<strong>en</strong>‐netwerk<strong>en</strong> of ‐subgroep<strong>en</strong><br />
(Landelijk Project Kinderporno, 2009, p. 11). Het doel kan ook zijn om de kinder<strong>en</strong><br />
uit te ruil<strong>en</strong> teg<strong>en</strong> andere kinder<strong>en</strong> of te lat<strong>en</strong> misbruik<strong>en</strong> teg<strong>en</strong> betaling. De politie<br />
is bek<strong>en</strong>d met het bestaan van speciale misbruikgroep<strong>en</strong> die zijn opgericht met het<br />
doel om kinder<strong>en</strong> met elkaar uit te wissel<strong>en</strong>. In Nederland komt het voor dat<br />
hobbymatige of ‘professionele’ fotograf<strong>en</strong> advert<strong>en</strong>ties zett<strong>en</strong> op <strong>internet</strong> met<br />
daarin e<strong>en</strong> oproep dat zij op zoek zijn naar modell<strong>en</strong> van e<strong>en</strong> bepaalde leeftijd. Zo<br />
142
word<strong>en</strong> jonge pubermeisjes gelokt <strong>en</strong> wordt daar mogelijk vervolg<strong>en</strong>s misbruik van<br />
gemaakt.<br />
3.7 Stap 4 Grooming<br />
Onder ‘grooming’ word<strong>en</strong> activiteit<strong>en</strong> van daders (online predators) verstaan die<br />
online contact zoek<strong>en</strong> met kinder<strong>en</strong>, om h<strong>en</strong> online of offline seksueel te<br />
misbruik<strong>en</strong> <strong>en</strong> daar beeldmateriaal van te mak<strong>en</strong>. Grooming is het proces waarin<br />
e<strong>en</strong> volwass<strong>en</strong> of jong volwass<strong>en</strong> persoon, de ‘groomer’, e<strong>en</strong> minderjarige<br />
b<strong>en</strong>adert <strong>en</strong> door middel van valse voorw<strong>en</strong>dsels het kind probeert in te palm<strong>en</strong>.<br />
Het uiteindelijk doel is om de minderjarige seksueel te misbruik<strong>en</strong> (Stichting<br />
Meldpunt ter bestrijding van Kinderpornografie op Internet, 2008, p. 9).<br />
Salter (2003) deelt grooming als gedrag in volg<strong>en</strong>s vier stadia: het opbouw<strong>en</strong> van<br />
vertrouw<strong>en</strong>, het vervreemd<strong>en</strong> van overige familieled<strong>en</strong>, het eis<strong>en</strong> van<br />
geheimhouding <strong>en</strong> het oprekk<strong>en</strong> van gr<strong>en</strong>z<strong>en</strong>. In het begin is het kind afhankelijk<br />
van de g<strong>en</strong>eg<strong>en</strong>heid van de groomer. Die probeert meer gelijkwaardigheid op te<br />
roep<strong>en</strong> door zelfonthulling: hij vertelt veel over zichzelf, begrijpt <strong>en</strong> helpt het kind<br />
bij de problem<strong>en</strong> die het kind in reactie daarop vertelt. Er ontstaat e<strong>en</strong> s<strong>fee</strong>r van<br />
wederzijds del<strong>en</strong> van ervaring<strong>en</strong> <strong>en</strong> gevoel<strong>en</strong>s, ze word<strong>en</strong> vri<strong>en</strong>djes. Het bijzondere<br />
<strong>en</strong> exclusieve van de relatie wordt uitgediept, het kind krijgt meer het gevoel<br />
‘speciaal te zijn’, er wordt gewerkt naar e<strong>en</strong> grotere vertrouwelijkheid <strong>en</strong> intimiteit.<br />
In deze fase word<strong>en</strong> echte geheim<strong>en</strong> gedeeld (bijvoorbeeld over rok<strong>en</strong> <strong>en</strong> drink<strong>en</strong>)<br />
in e<strong>en</strong> s<strong>fee</strong>r van ‘niet verder vertell<strong>en</strong>’. De lokker verleidt het kind tot gesprekk<strong>en</strong><br />
over diepe onzekerhed<strong>en</strong> <strong>en</strong> angst<strong>en</strong>, maar ook andere ‘geheim<strong>en</strong>’, zoals seks. Pas<br />
in deze fase wordt de webcam ingezet. Het kind vindt het allemaal nog steeds leuk<br />
<strong>en</strong> bijzonder, hij of zij g<strong>en</strong>iet van de bijzondere band. In deze fase draait het om<br />
seks. Er wordt gepraat over seks, er word<strong>en</strong> beeld<strong>en</strong> <strong>en</strong> fantasieën uitgewisseld <strong>en</strong><br />
het komt langzaam maar zeker tot handel<strong>en</strong>. Eerst via de webcam maar mogelijk<br />
word<strong>en</strong> ook afspraakjes gemaakt om elkaar te ontmoet<strong>en</strong>. Meestal komt er<br />
helemaal ge<strong>en</strong> dwang bij kijk<strong>en</strong>. Na de eerste keer seks, gaat e<strong>en</strong> groot deel van de<br />
kinder<strong>en</strong> in op e<strong>en</strong> verzoek om nogmaals af te sprek<strong>en</strong>.<br />
Groomers prober<strong>en</strong> het kind op allerlei manier<strong>en</strong> te manipuler<strong>en</strong> tot het uitvoer<strong>en</strong><br />
van seksuele handeling<strong>en</strong>. Door bijvoorbeeld iets van zichzelf te lat<strong>en</strong> zi<strong>en</strong><br />
(preview), probeert de dader het kind te overtuig<strong>en</strong> dat het normaal is om jezelf te<br />
ton<strong>en</strong> via de webcam (Profit for the World’s Childr<strong>en</strong>, 2001, p. 8). Zodra de dader<br />
143
het kind daartoe heeft overgehaald, maakt hij daar e<strong>en</strong> foto of filmpje van via de<br />
webcam. Vervolg<strong>en</strong>s wordt het kind met dat beeldmateriaal gechanteerd, om zo<br />
nog meer beeldmateriaal te verkrijg<strong>en</strong> <strong>en</strong> het kind steeds verder te lat<strong>en</strong> gaan.<br />
Daders zegg<strong>en</strong> dan bijvoorbeeld dat ze het filmpje aan de ouders van het kind<br />
zull<strong>en</strong> lat<strong>en</strong> zi<strong>en</strong> of dat ze het naar alle vri<strong>en</strong>d<strong>en</strong> uit de MSN‐lijst van het kind zull<strong>en</strong><br />
stur<strong>en</strong> (Kuijl, 2008, p. 4). E<strong>en</strong> aantal daders uit de onderzochte dossiers ging nog<br />
e<strong>en</strong> stap verder <strong>en</strong> ging kinder<strong>en</strong> stalk<strong>en</strong>, door ze te blijv<strong>en</strong> mail<strong>en</strong>, sms‐<strong>en</strong> of zelfs<br />
op de thuistelefoon te bell<strong>en</strong>. Ook werd<strong>en</strong> kinder<strong>en</strong> regelmatig bedreigd met<br />
mishandeling of dood, als ze niet (meer) ded<strong>en</strong> wat de dader h<strong>en</strong> opdroeg te do<strong>en</strong><br />
voor de webcam. Er zijn voorbeeld<strong>en</strong> bek<strong>en</strong>d dat daders het slachtoffer eerst iets<br />
liet<strong>en</strong> download<strong>en</strong>, waarmee e<strong>en</strong> ‘Trojan’ werd binn<strong>en</strong>gehaald die software<br />
installeerde waarmee de webcam op afstand kon word<strong>en</strong> bedi<strong>en</strong>d.<br />
3.8 Stap 5 Consolidation<br />
E<strong>en</strong> aantal daders is naast het online misbruik<strong>en</strong> <strong>en</strong> het mak<strong>en</strong> van beeldmateriaal,<br />
uit op e<strong>en</strong> feitelijke ontmoeting met het kind. Om het kind feitelijk te kunn<strong>en</strong><br />
misbruik<strong>en</strong> of in het echt beeldmateriaal te kunn<strong>en</strong> mak<strong>en</strong>. Er bestaan op het<br />
<strong>internet</strong> handleiding<strong>en</strong> <strong>en</strong> tekst<strong>en</strong> waarin uitleg <strong>en</strong> instructie wordt gegev<strong>en</strong> hoe<br />
kinder<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> gemanipuleerd om ze te kunn<strong>en</strong> misbruik<strong>en</strong> (Stichting<br />
Meldpunt ter bestrijding van Kinderpornografie op Internet, 2008, p. 15).<br />
Slachtoffers kunn<strong>en</strong> verliefd word<strong>en</strong> op de dader waardoor zij vrijwillig instemm<strong>en</strong><br />
met e<strong>en</strong> ontmoeting of het contact (Wolak J. , Finkelhor, Mitchell, & Ybarra, 2008,<br />
p. 113). Dat als afzonderlijke activiteit te detecter<strong>en</strong> vraagt wel om subtiele<br />
red<strong>en</strong>ering<strong>en</strong>. Stel dat e<strong>en</strong> groomer via chat in contact staat met e<strong>en</strong> slachtoffer<br />
dat verliefd op hem is geword<strong>en</strong> dan zal het slachtoffer contact prober<strong>en</strong> te legg<strong>en</strong><br />
met de dader. Is het slachtoffer daar<strong>en</strong>teg<strong>en</strong> bijvoorbeeld bang voor de groomer<br />
dan zal het contact word<strong>en</strong> gelegd vanuit de dader <strong>en</strong> niet het slachtoffer. Om<br />
überhaupt op het niveau van detectie uit te kom<strong>en</strong> zijn voorafgaande wel<br />
aanvull<strong>en</strong>de parameters nodig. Bijvoorbeeld detectie van groomers aan de hand<br />
van het aantal profiel<strong>en</strong> op profielsites.<br />
Nog e<strong>en</strong