Phishing, kinderporno en advance-fee internet fraud - WODC

Phishing, kinderporno en advance-fee internet fraud - WODC Phishing, kinderporno en advance-fee internet fraud - WODC

09.02.2014 Views

<strong>Phishing</strong>, Kinderporno <strong>en</strong><br />

Advance-Fee <strong>internet</strong> Fraud


Erratum<br />

Op pagina 159 wordt de ‘Ver<strong>en</strong>iging voor acceptatie ouder<strong>en</strong>-kinder<strong>en</strong> relaties’<br />

‘Martijn’, e<strong>en</strong> <strong>kinderporno</strong>netwerk g<strong>en</strong>oemd, <strong>en</strong> e<strong>en</strong> relatie gelegd naar de<br />

‘International boyloverday’. Die suggestie is door meerdere respond<strong>en</strong>t<strong>en</strong> gedaan, <strong>en</strong><br />

had conform de opbouw van het rapport als hypothese moet<strong>en</strong> word<strong>en</strong> gebracht, of<br />

aangehaald moet<strong>en</strong> word<strong>en</strong> als uitspraak van respond<strong>en</strong>t<strong>en</strong>.


<strong>Phishing</strong>, Kinderporno <strong>en</strong><br />

Advance-Fee <strong>internet</strong> Fraud<br />

Hypothes<strong>en</strong> van cybercrime <strong>en</strong> haar daders<br />

Wyns<strong>en</strong> Faber<br />

Sjoerd Mostert<br />

Jelmer Faber<br />

Noor Vrolijk


Dit onderzoek is uitgevoerd in opdracht van het programma Nationale<br />

Infrastructuur CyberCrime (NICC) <strong>en</strong> het Wet<strong>en</strong>schappelijk Onderzoek‐ <strong>en</strong><br />

Docum<strong>en</strong>tatiec<strong>en</strong>trum van het Ministerie van Justitie (<strong>WODC</strong>).<br />

ISBN 9789080690547<br />

NUR 824<br />

Augustus 2010, Faber organisatievernieuwing b.v. , NICC, <strong>WODC</strong><br />

Auteursrecht voorbehoud<strong>en</strong>. Behoud<strong>en</strong>s de door de wet gestelde uitzondering<strong>en</strong>,<br />

mag niets uit deze uitgave word<strong>en</strong> verveelvoudigd, opgeslag<strong>en</strong> in e<strong>en</strong><br />

geautomatiseerd gegev<strong>en</strong>sbestand <strong>en</strong>/of op<strong>en</strong>baar gemaakt, in <strong>en</strong>ige vorm of op<br />

<strong>en</strong>ige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnam<strong>en</strong> of <strong>en</strong>ige<br />

andere manier zonder voorafgaande schriftelijke toestemming van Faber<br />

organisatievernieuwing b.v (FO). Hypothesis Directed Interv<strong>en</strong>tion (HDI) is e<strong>en</strong><br />

geregistreerd handelsmerk van FO.<br />

Aan de totstandkoming van deze uitgave is uiterste zorg besteed. Voor informatie<br />

die desondanks onvolledig of onjuist is opg<strong>en</strong>om<strong>en</strong> aanvaard<strong>en</strong> de auteurs ge<strong>en</strong><br />

aansprakelijkheid. Voor ev<strong>en</strong>tuele correcties van feitelijkhed<strong>en</strong> houd<strong>en</strong> de auteurs<br />

zich graag aanbevol<strong>en</strong>.


INHOUDSOPGAVE<br />

Begripsomschrijving<strong>en</strong>/afkorting<strong>en</strong> ......................................................................11<br />

VOORWOORD ............................................................................................. 15<br />

HOOFDSTUK 1 INTRODUCTIE ......................................................................... 17<br />

1.1 Probleemstelling ......................................................................................18<br />

1.2 Operationalisatie ......................................................................................21<br />

1.3 Theoretisch kader .....................................................................................23<br />

1.4 Werkwijze .................................................................................................25<br />

1.5 Onderzoeksresultaat ................................................................................29<br />

1.6 Strami<strong>en</strong> van het rapport .........................................................................30<br />

HOOFDSTUK 2 GEGEVENSDIEFSTAL MIDDELS SPAM/PHISHING ....................... 33<br />

2.1 Begrip‐ <strong>en</strong> plaatsbepaling phishing ..........................................................34<br />

2.2 Modus operandi .......................................................................................38<br />

2.2.1 Klassieke phishing .........................................................................38<br />

2.2.2 Sophisticated phishing ..................................................................43<br />

2.3 Stap 1 Determine target ...........................................................................43<br />

2.4 Stap 2 Design for web ..............................................................................44<br />

2.5 Stap 3a Staff recruitm<strong>en</strong>t .........................................................................46<br />

2.6 Stap 3b Acquire addresses .......................................................................48<br />

2.6.1 Crawl/harvesting ...........................................................................49<br />

2.6.2 Server hacking ...............................................................................51<br />

2.6.3 Malware ........................................................................................52<br />

2.7 Stap 3c Acquire facilities ..........................................................................54<br />

2.8 Stap 4 Acquire domain .............................................................................57<br />

2.9 Stap 5 Acquire site hosting .......................................................................59<br />

2.10 Stap 6 Upload web cont<strong>en</strong>t ......................................................................64<br />

2.11 Stap 7a Acquire mail delivery ...................................................................65<br />

2.12 Stap 7b Method of infection ....................................................................68<br />

2.13 Stap 8 Acquire victims ..............................................................................70<br />

2.14 Stap 9 Receive cred<strong>en</strong>tials........................................................................73<br />

2.15 Stap 10 Acquire profit ..............................................................................76<br />

2.16 Stap 11 Activate mules .............................................................................79<br />

2.17 Stap 12 Receive money/laundering money .............................................79<br />

2.18 Sam<strong>en</strong>hang phishing met andere delict<strong>en</strong> ...............................................82<br />

2.19 Roll<strong>en</strong> .......................................................................................................84<br />

2.20 ‘The Initiators’ ..........................................................................................89<br />

2.20.1 Instroom vanuit de ICT‐omgeving .................................................89<br />

5


2.20.2 Instroom vanuit de porno‐wereld .................................................90<br />

2.20.3 Instroom vanuit de marketing .......................................................91<br />

2.20.4 Instroom vanuit ervar<strong>en</strong> <strong>internet</strong> gebruik .....................................92<br />

2.20.5 Gradaties qua professionaliteit .....................................................93<br />

2.20.6 De ‘Sponsor’ (produc<strong>en</strong>t phishingproces) ......................................94<br />

2.20.7 De ‘Spammer’ (regisseur phishingproces) .....................................96<br />

2.21 ‘The Employees’ .....................................................................................100<br />

2.21.1 De ‘Webdesigner’ ........................................................................100<br />

2.21.2 De ‘Scriptkiddy’ ...........................................................................100<br />

2.21.3 De ‘Scout’ ....................................................................................102<br />

2.21.4 De ‘Translator’ .............................................................................102<br />

2.21.5 De ‘Toolsupplier’ .........................................................................103<br />

2.21.6 De ‘Moneymule’ ..........................................................................104<br />

2.22 ‘The Facilitators’ .....................................................................................107<br />

2.22.1 De ‘Host’ ......................................................................................107<br />

2.22.2 De ‘Harvester’, ‘Administrator’, ‘Supplier’ <strong>en</strong> ‘Insider’ ................109<br />

2.22.3 De ‘Botnet herder’ .......................................................................113<br />

2.22.4 De ‘Malware distributor’ .............................................................113<br />

2.22.5 De ‘Access provider’ ....................................................................114<br />

2.22.6 De ‘Hacker’ ..................................................................................115<br />

2.23 ‘The Targets’ ...........................................................................................115<br />

2.23.1 De ‘Institution’ .............................................................................115<br />

2.23.2 Het ‘Victim’ ..................................................................................116<br />

2.23.3 De ‘Money transfer ag<strong>en</strong>t’ ..........................................................116<br />

2.23.1 De ‘Online shop’ ..........................................................................116<br />

2.24 Conclusies ...............................................................................................117<br />

HOOFDSTUK 3 KINDERPORNO EN GROOMING .............................................. 121<br />

3.1 Begrip‐ <strong>en</strong> plaatsbepaling <strong>internet</strong>gerelateerde <strong>kinderporno</strong> ...............122<br />

3.2 Modus operandi .....................................................................................124<br />

3.3 Stap 1 Acquire connection .....................................................................130<br />

3.4 Stap 2a Acquire id<strong>en</strong>tity .........................................................................130<br />

3.5 Stap 2b Acquire accounts .......................................................................134<br />

3.5.1 Primary account ..........................................................................134<br />

3.5.2 Secondary accounts ....................................................................137<br />

3.6 Stap 3 Victim selection ...........................................................................137<br />

3.6.1 ‘Offline’ ........................................................................................137<br />

3.6.2 Modell<strong>en</strong>sites ..............................................................................138<br />

3.6.3 Sociale netwerksites ....................................................................139<br />

3.6.4 Chat .............................................................................................140<br />

6


3.6.5 Advert<strong>en</strong>ties ................................................................................142<br />

3.7 Stap 4 Grooming .....................................................................................143<br />

3.8 Stap 5 Consolidation...............................................................................144<br />

3.9 Stap 6 Staff recruitm<strong>en</strong>t .........................................................................145<br />

3.10 Stap 7 Keuze locatie ...............................................................................146<br />

3.11 Stap 8 Abuse ...........................................................................................147<br />

3.12 Stap 9 Abuse‐recording ..........................................................................149<br />

3.13 Stap 10a Editing ......................................................................................150<br />

3.14 Stap 10b Coding .....................................................................................151<br />

3.14.1 Hide: Steganography ...................................................................152<br />

3.14.2 Hide: Encryption ..........................................................................153<br />

3.14.3 Create: Games .............................................................................153<br />

3.14.4 Create: Patches ...........................................................................156<br />

3.14.5 Create: H<strong>en</strong>tai‐manga .................................................................157<br />

3.15 Stap 11 Acquire domain <strong>en</strong> stap 12 Acquire hosting .............................158<br />

3.16 Stap 13a Acquire customers ...................................................................159<br />

3.17 Stap 13b Aquire addresses <strong>en</strong> stap 13c Aquire mail delivery ................160<br />

3.18 Stap 14 Paym<strong>en</strong>t ....................................................................................160<br />

3.19 Stap 15 Distribution ................................................................................163<br />

3.20 Stap 16 Storage ......................................................................................169<br />

3.21 Sam<strong>en</strong>hang <strong>kinderporno</strong> met andere delict<strong>en</strong> ......................................171<br />

3.21.1 Steundelict<strong>en</strong> ...............................................................................172<br />

3.21.2 Associatiedelict<strong>en</strong>........................................................................173<br />

3.21.3 ‘Embryonale’ delict<strong>en</strong> ..................................................................174<br />

3.21.4 Verdringingsdelict<strong>en</strong> ...................................................................176<br />

3.22 Roll<strong>en</strong> .....................................................................................................177<br />

3.23 ‘The Initiators’ ........................................................................................183<br />

3.23.1 De ‘Producer’ ...............................................................................184<br />

3.23.2 De ‘Victimsupplier’ ......................................................................186<br />

3.23.3 De ‘Staffrecruiter’ ........................................................................187<br />

3.23.4 De ‘Abuser’: zes categorieën misbruikers ....................................188<br />

3.23.5 De <strong>internet</strong> gerelateerde abusers: de ‘Breeder’<br />

<strong>en</strong> de ‘Choreographer’ ............................................................................193<br />

3.23.6 De ‘Distributor’ ............................................................................200<br />

3.23.7 De ‘Spectators’: de ‘Sightseer’ <strong>en</strong> de ‘Addict’ ..............................202<br />

3.23.8 De ‘Collector’ ...............................................................................206<br />

3.23.9 De ‘Exchanger’ ............................................................................208<br />

3.23.10 De 'Moderator’ ..........................................................................210<br />

3.24 ‘The Employees’ .....................................................................................215<br />

3.24.1 De ‘Photographer/cameraman’ <strong>en</strong> de ‘Editor’ ............................215<br />

7


3.24.2 De ‘Lighting technician’ ...............................................................222<br />

3.24.3 De ‘Coder’ ....................................................................................223<br />

3.24.4 De ‘Graphic designer’ ..................................................................224<br />

3.25 ‘The Facilitators’ .....................................................................................226<br />

3.25.1 De ‘Location supplier’ ..................................................................227<br />

3.25.2 De ‘Billing company’ ....................................................................228<br />

3.25.3 De ‘Application provider’ .............................................................230<br />

3.26 ‘The Targets’ ...........................................................................................230<br />

3.26.1 Het ‘Victim’ ..................................................................................230<br />

3.27 Conclusies ...............................................................................................232<br />

HOOFDSTUK 4 ADVANCE-FEE INTERNET FRAUD (AFIF) ................................ 239<br />

4.1 Begrip‐ <strong>en</strong> plaatsbepaling <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> ..........................240<br />

4.2 Modus operandi .....................................................................................242<br />

4.3 Stap 1 Choose type of <strong>fraud</strong> ...................................................................247<br />

4.4 Stap 2 Determine target .........................................................................248<br />

4.5 Stap 3 Acquire addresses .......................................................................249<br />

4.6 Stap 4 Mule recruitm<strong>en</strong>t ........................................................................250<br />

4.7 Stap 5 Acquire script ..............................................................................251<br />

4.8 Stap 6 Acquire id<strong>en</strong>tity ...........................................................................252<br />

4.9 Stap 7 Acquire connection .....................................................................253<br />

4.10 Stap 8 Acquire account ..........................................................................255<br />

4.11 Stap 9 Introduction.................................................................................256<br />

4.12 Stap 10 Intake .........................................................................................257<br />

4.13 Stap 11 Persuading .................................................................................258<br />

4.14 Stap 12 Transaction ................................................................................259<br />

4.15 Stap 13 Acquire profit ............................................................................260<br />

4.16 Stap 14 Activate mules ...........................................................................260<br />

4.17 Stap 15 ‘Ship’ money ..............................................................................261<br />

4.18 Sam<strong>en</strong>hang AFiF met andere delict<strong>en</strong> ...................................................264<br />

4.19 Roll<strong>en</strong> .....................................................................................................266<br />

4.20 ‘The Initiators’ ........................................................................................273<br />

4.20.1 De ‘Maec<strong>en</strong>as’.............................................................................273<br />

4.20.2 De ‘B<strong>en</strong>eficiary’ ...........................................................................276<br />

4.20.3 De ‘Job‐owner’ <strong>en</strong> de ‘Scammer’.................................................277<br />

4.21 ‘The employees’ .....................................................................................279<br />

4.21.1 De ‘Cast’ ......................................................................................279<br />

4.21.2 De ‘Forger’...................................................................................280<br />

4.21.3 De ‘Translator’.............................................................................283<br />

4.21.4 De ‘Boy’ .......................................................................................283<br />

8


4.22 ‘The Facilitators’ .....................................................................................284<br />

4.22.1 De ‘Internetcafé‐holder’ ..............................................................284<br />

4.22.2 De ‘Broker’...................................................................................285<br />

4.22.3 De ‘Carrier’ <strong>en</strong> de ‘Money‐trafficker’ ..........................................286<br />

4.22.4 De ‘Shelter‐supplier’ ....................................................................286<br />

4.23 ‘The Targets’ ...........................................................................................288<br />

4.23.1 De ‘Victim’ ...................................................................................288<br />

4.24 Conclusies ...............................................................................................289<br />

HOOFDSTUK 5 SAMENVATTING EN CONCLUSIES .......................................... 293<br />

5.1 Hypothes<strong>en</strong> <strong>en</strong> ‘darknumber’ als vertrekpunt .......................................293<br />

5.2 Modus operandi: werkwijze, organisatiegraad, <strong>en</strong> specialisatie ...........295<br />

5.3 Vindplaats<strong>en</strong> daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> cyberdelict<strong>en</strong> ..................................301<br />

5.4 Daders: typ<strong>en</strong>, k<strong>en</strong>merk<strong>en</strong> <strong>en</strong> profiel<strong>en</strong> ................................................304<br />

5.5 Sam<strong>en</strong>loop verschill<strong>en</strong>de vorm<strong>en</strong> van (cyber‐)criminaliteit ..................306<br />

5.6 K<strong>en</strong>nislacune: daders <strong>en</strong> modus operandi .............................................309<br />

5.7 De bijdrage van hypothes<strong>en</strong> aan beïnvloeding van cybercrime ............311<br />

5.8 Hypothes<strong>en</strong> van daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> modus operandi als<br />

risicoprofiel<strong>en</strong>? ....................................................................................................313<br />

5.9 Onderzoekservaring<strong>en</strong> ...........................................................................314<br />

5.9.1 Onderzoeksbeperking<strong>en</strong> ..............................................................314<br />

5.9.2 Bruikbaarheid onderzoeksmethodiek .........................................314<br />

5.10 De ‘Nationale Infrastructuur teg<strong>en</strong> Cybercrime’ ....................................317<br />

5.11 “The proof of the pudding is in the eating”. ..........................................319<br />

SUMMARY ‘PHISHING, CHILD PORN AND ADVANCED-FEE INTERNET<br />

FRAUD’ ........................................................................................... 321<br />

BIJLAGEN ........................................................................................... 343<br />

I. Sam<strong>en</strong>stelling begeleidingscommissie ...................................................345<br />

II. Geïnterviewd<strong>en</strong> ......................................................................................347<br />

III. Bronn<strong>en</strong> ..................................................................................................350<br />

IV. Toelichting op rol‐ <strong>en</strong> actor gerelateerde gegev<strong>en</strong>sbronn<strong>en</strong> .................363<br />

V. Gegev<strong>en</strong>sbronn<strong>en</strong> phishing: actor‐gerelateerd .....................................368<br />

VI. Gegev<strong>en</strong>sbronn<strong>en</strong> phishing: rol‐gerelateerd .........................................374<br />

VII. Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>kinderporno</strong>: actor‐gerelateerd ...............................383<br />

VIII. Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>kinderporno</strong>: rol‐gerelateerd ...................................390<br />

IX. Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>: actor‐gerelateerd ........401<br />

X. Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>: rol‐gerelateerd ............405<br />

9


Begripsomschrijving<strong>en</strong>/afkorting<strong>en</strong><br />

Adware<br />

G<strong>en</strong>ereert ongevraagde reclameboodschapp<strong>en</strong> <strong>en</strong> popups<br />

op e<strong>en</strong> scherm, vaak als ‘part of the deal’ voor het<br />

gebruik van gratis software.<br />

Backdoor<br />

Achterdeur in e<strong>en</strong> programma om als maker nog<br />

toegang tot het programma te hebb<strong>en</strong>.<br />

Bot<br />

Het overnem<strong>en</strong> van e<strong>en</strong> computer zodat die kan word<strong>en</strong><br />

ingezet voor phishing activiteit<strong>en</strong>.<br />

Botnet<br />

Netwerk van bots die e<strong>en</strong> geheel vorm<strong>en</strong>. De beheerder<br />

van het botnet kan zo aanvall<strong>en</strong> coördiner<strong>en</strong> op web‐ of<br />

mailservers of het botnet inschakel<strong>en</strong> voor<br />

spammethod<strong>en</strong>.<br />

Browser hijacker Programma of instelling dat e<strong>en</strong> start‐/zoekpagina kaapt<br />

<strong>en</strong> de gebruiker steeds omleidt naar e<strong>en</strong> ongew<strong>en</strong>ste<br />

pagina. Er kunn<strong>en</strong> ook extra zoekbalk<strong>en</strong> aan e<strong>en</strong> browser<br />

word<strong>en</strong> toegevoegd.<br />

Chatroom<br />

E<strong>en</strong> plek op het <strong>internet</strong> waar met (willekeurige)<br />

<strong>internet</strong>gebruikers kan word<strong>en</strong> gesprok<strong>en</strong>. Soms zijn<br />

deze gesprekk<strong>en</strong> gericht op specifieke onderwerp<strong>en</strong>,<br />

afhankelijk van het type chatroom.<br />

Copine<br />

Combating Paedofile Information Networks in Europe.<br />

Defacing<br />

Het zonder toestemming verander<strong>en</strong> of vervang<strong>en</strong> van<br />

e<strong>en</strong> (deel van e<strong>en</strong>) website.<br />

Dialer<br />

E<strong>en</strong> programma dat eerst de <strong>internet</strong>verbinding met de<br />

provider verbreekt, om vervolg<strong>en</strong>s e<strong>en</strong> andere<br />

<strong>internet</strong>verbinding via e<strong>en</strong> ander nummer tot stand te<br />

br<strong>en</strong>g<strong>en</strong>. Meestal is dit is e<strong>en</strong> 0906‐/0908‐nr of e<strong>en</strong><br />

buit<strong>en</strong>lands betaalnummer.<br />

DIY kits<br />

Do‐it‐yourself softwarepakkett<strong>en</strong> voor bijvoorbeeld het<br />

vergar<strong>en</strong> van mailadress<strong>en</strong> of het g<strong>en</strong>erer<strong>en</strong> van<br />

complete spoof websites.<br />

DNS<br />

Domain Name Server (zie Host server).<br />

Domein<br />

E<strong>en</strong> plaats op het <strong>internet</strong> die geclaimd wordt door e<strong>en</strong><br />

persoon die daarvoor betaalt.<br />

Exploit E<strong>en</strong> stukje code dat gebruik maakt van e<strong>en</strong><br />

kwetsbaarheid in software of hardware om die voor<br />

onbedoelde doel<strong>en</strong> te misbruik<strong>en</strong>.<br />

11


Hacker<br />

E<strong>en</strong> computerexpert die in staat is tot het inbrek<strong>en</strong> in<br />

computersystem<strong>en</strong>.<br />

Harvesting<br />

Het vergar<strong>en</strong> van e‐mail‐ of postadress<strong>en</strong>.<br />

Hijacking (browser) Het beïnvloed<strong>en</strong> van de computer van de gebruiker<br />

zodat dieg<strong>en</strong>e boodschapp<strong>en</strong> te zi<strong>en</strong> krijgt, wordt<br />

doorgestuurd naar bepaalde sites, de startpagina wordt<br />

aangepast of dat banners die op het scherm verschijn<strong>en</strong><br />

e<strong>en</strong> andere inhoud meekrijg<strong>en</strong>.<br />

Host server<br />

E<strong>en</strong> grote computer waarop websites opgeslag<strong>en</strong> zijn.<br />

Hosting<br />

E<strong>en</strong> di<strong>en</strong>st voor het verschaff<strong>en</strong> van de mogelijkheid om<br />

e<strong>en</strong> website op e<strong>en</strong> server te plaats<strong>en</strong>.<br />

Integration<br />

Integratie: de derde <strong>en</strong> laatste fase van witwass<strong>en</strong><br />

waarbij het vermog<strong>en</strong> in de bov<strong>en</strong>wereld wordt<br />

geïnvesteerd.<br />

IP‐adres<br />

E<strong>en</strong> 9‐cijferige code die e<strong>en</strong> computer toegewez<strong>en</strong> krijgt<br />

als deze contact maakt met e<strong>en</strong> webserver.<br />

IRC<br />

Internet Relay Chat.<br />

ISP<br />

Internet Service Provider.<br />

Keylogger<br />

Programma dat de aanslag<strong>en</strong> op het toets<strong>en</strong>bord of<br />

scre<strong>en</strong>shots kan 'noter<strong>en</strong>' <strong>en</strong> doorstur<strong>en</strong> naar de maker<br />

of e<strong>en</strong> c<strong>en</strong>trale databank.<br />

Kinderporno<br />

E<strong>en</strong> gegev<strong>en</strong>sdrager, bevatt<strong>en</strong>de e<strong>en</strong> afbeelding van e<strong>en</strong><br />

seksuele gedraging, waarbij iemand die k<strong>en</strong>nelijk de<br />

leeftijd van achtti<strong>en</strong> jaar nog niet heeft bereikt, is<br />

betrokk<strong>en</strong> of schijnbaar is betrokk<strong>en</strong>.<br />

Layering<br />

Versluiering: de tweede fase in witwass<strong>en</strong> waarbij e<strong>en</strong><br />

ope<strong>en</strong>volging van soms complexe financiële transacties<br />

wordt uitgevoerd met als doel de oorsprong van het<br />

vermog<strong>en</strong> te verhull<strong>en</strong>.<br />

Malware Malicious software: verzamelnaam voor allerlei<br />

ongew<strong>en</strong>ste, kwaadaardige programma's zoals spyware,<br />

viruss<strong>en</strong>, trojans, hijackers, etc.<br />

Mass mailer<br />

E<strong>en</strong> computerprogramma dat snel veel e‐mailbericht<strong>en</strong><br />

kan verstur<strong>en</strong>.<br />

Mule<br />

E<strong>en</strong> persoon in e<strong>en</strong> witwaspraktijk die geld voor<br />

criminel<strong>en</strong> transporteert of besteedt.<br />

Mule farming<br />

Het verzamel<strong>en</strong> van mules om zo de opbr<strong>en</strong>gst<strong>en</strong> van<br />

criminaliteit beschikbaar te krijg<strong>en</strong>.<br />

Node<br />

Datastructuur.<br />

Packer<br />

E<strong>en</strong> drager van malware die e<strong>en</strong> virus op de computer<br />

12


installeert.<br />

Parafilie<br />

Het hebb<strong>en</strong> van seksuele gevoel<strong>en</strong>s bij zak<strong>en</strong> die over<br />

het algeme<strong>en</strong> niet direct seksueel word<strong>en</strong> geassocieerd.<br />

Verzamelterm waaronder ook pedofilie wordt<br />

geschaard.<br />

Pedofiel Meerderjarige die zich aangetrokk<strong>en</strong> voel<strong>en</strong> tot<br />

minderjarig<strong>en</strong> of seksueel nog niet geslachtsrijpe<br />

kinder<strong>en</strong>.<br />

Pedofilie<br />

Seksuele omgang tuss<strong>en</strong> e<strong>en</strong> kind <strong>en</strong> e<strong>en</strong> volwass<strong>en</strong>e.<br />

Pharming<br />

Het misleid<strong>en</strong> van <strong>internet</strong>gebruikers door hun verkeer<br />

met e<strong>en</strong> bepaalde server ongemerkt om te leid<strong>en</strong> naar<br />

e<strong>en</strong> andere server.<br />

<strong>Phishing</strong> Het viss<strong>en</strong> (h<strong>en</strong>gel<strong>en</strong>) naar inloggegev<strong>en</strong>s <strong>en</strong><br />

persoonsgegev<strong>en</strong>s van gebruikers.<br />

Placem<strong>en</strong>t<br />

Plaatsing: de eerste fase in het witwass<strong>en</strong> waarbij het<br />

contante geld in het financiële verkeer wordt gebracht.<br />

Proxy<br />

Proxy’s zijn schakels (servers) in het <strong>internet</strong> waarop<br />

(bijvoorbeeld bij e<strong>en</strong> ISP) vaak geraadpleegde websites<br />

word<strong>en</strong> opgeslag<strong>en</strong>. Daardoor kunn<strong>en</strong> veelgebruikte<br />

sites sneller word<strong>en</strong> gelad<strong>en</strong>.<br />

Scam<br />

E<strong>en</strong> vorm van oplichterij waarbij <strong>fraud</strong>eurs prober<strong>en</strong> e<strong>en</strong><br />

som geld afhandig te mak<strong>en</strong> onder valse voorw<strong>en</strong>dsel<strong>en</strong>.<br />

Scriptkiddy Computerexperim<strong>en</strong>teerders met e<strong>en</strong> buit<strong>en</strong>gewone<br />

computerk<strong>en</strong>nis, maar die zelfstandig niet in staat zijn<br />

tot ernstige criminaliteit.<br />

Spam<br />

Ongew<strong>en</strong>ste mailbericht<strong>en</strong> met e<strong>en</strong> reclameboodschap.<br />

Spoof website E<strong>en</strong> website om gegev<strong>en</strong>s van slachtoffers te<br />

ontfutsel<strong>en</strong>. E<strong>en</strong> spoof website lijkt vaak als twee<br />

druppels water op e<strong>en</strong> officiële bank of verzekeringssite.<br />

De spoof website bevat mogelijkhed<strong>en</strong> om de<br />

inloggegev<strong>en</strong>s van person<strong>en</strong> te kopiër<strong>en</strong> <strong>en</strong> te verz<strong>en</strong>d<strong>en</strong><br />

naar de crimineel.<br />

Spyware Verzamelt ongemerkt persoonlijke gegev<strong>en</strong>s, zoals e‐<br />

mailadress<strong>en</strong>, bezochte websites, surfgedrag <strong>en</strong> stuurt<br />

deze zonder medewet<strong>en</strong> van de rechthebb<strong>en</strong>de door.<br />

Torr<strong>en</strong>t<br />

Systeem om peer‐to‐peer gegev<strong>en</strong>s uit te wissel<strong>en</strong>,<br />

gebruik mak<strong>en</strong>d van e<strong>en</strong> c<strong>en</strong>trale locatie die de<br />

gegev<strong>en</strong>s coördineert, maar zelf ge<strong>en</strong> bestand<strong>en</strong> levert.<br />

Download<strong>en</strong> gebeurt dec<strong>en</strong>traal door uitwisseling van<br />

bestand<strong>en</strong> tuss<strong>en</strong> de led<strong>en</strong> van de gebruikersgroep.<br />

13


Trojan<br />

Two‐factor<br />

auth<strong>en</strong>tification<br />

WACN<br />

Webserver<br />

Whois database<br />

World Wide Web<br />

(WWW)<br />

Worm<br />

E<strong>en</strong> og<strong>en</strong>schijnlijk nuttig programma dat zich op e<strong>en</strong><br />

harde schijf nestelt <strong>en</strong> onzichtbaar software installeert<br />

die bijvoorbeeld poort<strong>en</strong> op<strong>en</strong>zet waardoor<br />

ongeautoriseerde toegang mogelijk is tot de computer.<br />

E<strong>en</strong> manier van website beveiliging die veel gebruikt<br />

wordt door bank<strong>en</strong>. Hierbij toets<strong>en</strong> gebruikers hun<br />

wachtwoord niet rechtstreeks in op de website, maar op<br />

e<strong>en</strong> apparaatje voor hun computer. Dit apparaatje<br />

berek<strong>en</strong>t e<strong>en</strong> toegangscode op basis van het<br />

wachtwoord.<br />

West‐Afrikaanse Criminele Netwerk<strong>en</strong>.<br />

E<strong>en</strong> grote computer waardoor computers toegang<br />

krijg<strong>en</strong> tot het <strong>internet</strong>.<br />

Database waarin domeinnam<strong>en</strong> <strong>en</strong> hun houders staan<br />

geregistreerd.<br />

Het onderdeel van het <strong>internet</strong> dat gebruikt wordt door<br />

het grote publiek.<br />

"Write once, read many". Deze vorm van malware maakt<br />

gebruik van 'voortplanting' om zoveel mogelijke<br />

gasther<strong>en</strong> (computers) te besmett<strong>en</strong>. E<strong>en</strong> worm<br />

verspreidt zich niet via bestand<strong>en</strong>, maar van PC naar PC<br />

via e<strong>en</strong> netwerk of e‐mailverbinding.<br />

14


Voorwoord<br />

‘Hypothes<strong>en</strong> van cybercrime <strong>en</strong> haar daders’ doet verslag van e<strong>en</strong> onderzoek dat is<br />

uitgevoerd in opdracht van het Programma Nationale Infrastructuur Cybercrime<br />

(het NICC‐programma) 1 <strong>en</strong> het Wet<strong>en</strong>schappelijk Onderzoek‐ <strong>en</strong><br />

Docum<strong>en</strong>tatiec<strong>en</strong>trum van het Ministerie van Justitie (<strong>WODC</strong>). De onderligg<strong>en</strong>de<br />

vraagstelling heeft e<strong>en</strong> complexe aanleiding maar is terug te br<strong>en</strong>g<strong>en</strong> tot de vraag:<br />

‘wat is de meerwaarde van informatiedeling voor de bestrijding van cybercrime?’<br />

Cybercrime is e<strong>en</strong> verzamelwoord voor zeer uite<strong>en</strong>lop<strong>en</strong>de delict<strong>en</strong>, maar wordt in<br />

dit onderzoek gebruikt in de betek<strong>en</strong>is van ‘<strong>internet</strong>gerelateerde criminaliteit’.<br />

Het onderzoek heeft e<strong>en</strong> sterk functionele inslag gek<strong>en</strong>d. Er is gezocht naar<br />

aanknopingspunt<strong>en</strong> voor detectie van bepaalde vorm<strong>en</strong> van cybercrime. Niet met<br />

de bedoeling toekomstig misdadig gedrag te prognosticer<strong>en</strong>, maar om criminele<br />

activiteit<strong>en</strong> te specificer<strong>en</strong> in het hier <strong>en</strong> nu. Het doorgrond<strong>en</strong> van MO’s <strong>en</strong><br />

daderroll<strong>en</strong> vormde daarvoor het uitgangspunt. Vervolg<strong>en</strong>s is de niet in dit rapport<br />

behandelde vraag aan de orde: welke van die detectiemogelijkhed<strong>en</strong> kunn<strong>en</strong> <strong>en</strong><br />

mog<strong>en</strong> onder welke voorwaard<strong>en</strong> <strong>en</strong> op welke wijze word<strong>en</strong> b<strong>en</strong>ut?<br />

Inher<strong>en</strong>t aan het doel <strong>en</strong> het karakter van het onderzoek, is dit rapport niet<br />

‘definitief’. Hypothes<strong>en</strong> zijn bedoeld om feitelijk te word<strong>en</strong> getoetst (dat<br />

onderscheidt ze ook van opinies), <strong>en</strong> die toetsing heeft nog niet plaats gevond<strong>en</strong>.<br />

Het rapport is dan ook eerder e<strong>en</strong> begin dan e<strong>en</strong> afgerond resultaat. Bov<strong>en</strong>di<strong>en</strong><br />

evoluer<strong>en</strong> het <strong>internet</strong> <strong>en</strong> dus de daaraan gerelateerde hypothes<strong>en</strong> over<br />

cybercrime, voortdur<strong>en</strong>d.<br />

Diverse betrokk<strong>en</strong> organisaties hebb<strong>en</strong> de onderzoekers e<strong>en</strong> ongeclausuleerde kijk<br />

in hun keuk<strong>en</strong> gegund om materiaal te verzamel<strong>en</strong>. Weer ander<strong>en</strong> hebb<strong>en</strong> op de<br />

voorlopige onderzoeksresultat<strong>en</strong> gereflecteerd. Als gevolg daarvan kond<strong>en</strong><br />

onderzoeksgegev<strong>en</strong>s uit heel verschill<strong>en</strong>de bronn<strong>en</strong> op elkaar word<strong>en</strong> gelegd. Onze<br />

dank gaat in het bijzonder uit naar h<strong>en</strong> die dat mogelijk hebb<strong>en</strong> gemaakt: het team<br />

Internetveiligheid van de Opta, het team High Tech Crime van het KLPD, IPOL, het<br />

Functioneel Parket, de politieregio Amsterdam‐Amstelland, de Bov<strong>en</strong>regionale<br />

Recherche Noord‐Oost Nederland <strong>en</strong> de Bov<strong>en</strong>regionale Recherche Noord‐West <strong>en</strong><br />

Midd<strong>en</strong> Nederland.<br />

1 Het NICC‐programma valt onder de verantwoordelijkheid van het Ministerie van Economische Zak<strong>en</strong>.<br />

15


Onvermijdelijk levert e<strong>en</strong> kijk in de keuk<strong>en</strong> van betrokk<strong>en</strong> actor<strong>en</strong> ook inzicht<strong>en</strong> op<br />

over mogelijke interne verbetering<strong>en</strong> binn<strong>en</strong> hun organisatie of werkprocess<strong>en</strong>.<br />

Zoveel als mogelijk zijn die inzicht<strong>en</strong> rechtstreeks geadresseerd aan deg<strong>en</strong><strong>en</strong> die er<br />

wellicht hun voordeel mee kunn<strong>en</strong> do<strong>en</strong> <strong>en</strong> niet in dit rapport verwerkt. De<br />

onderzoekers hebb<strong>en</strong> het vooral als hun taak gezi<strong>en</strong> om de inhoudelijke k<strong>en</strong>nis van<br />

bepaalde verschijningsvorm<strong>en</strong> van cybercrime bije<strong>en</strong> te br<strong>en</strong>g<strong>en</strong> <strong>en</strong> te vergrot<strong>en</strong>,<br />

om daaraan vervolg<strong>en</strong>s op hoofdlijn<strong>en</strong> beleidsaanbeveling<strong>en</strong> te koppel<strong>en</strong> over de<br />

organisatie van de bestrijding van die verschijningsvorm<strong>en</strong>.<br />

De Begeleidingscommissie, die als gevolg van het sam<strong>en</strong>gaan van twee<br />

onderzoek<strong>en</strong> pas gaandeweg het onderzoekstraject in de uiteindelijke vorm is<br />

geïnstalleerd, zegg<strong>en</strong> wij ev<strong>en</strong>zeer dank. Haar vermog<strong>en</strong> om flexibel <strong>en</strong> snel k<strong>en</strong>nis<br />

te nem<strong>en</strong> van de complexe <strong>en</strong> deels technische materie, past bij de dynamische<br />

omgeving van het <strong>internet</strong>. Ze vormt e<strong>en</strong> mooi voorspel voor waar het feitelijk om<br />

gaat: effectvolle actie!<br />

Oss, augustus 2010<br />

Wyns<strong>en</strong> Faber<br />

Sjoerd Mostert<br />

Jelmer Faber<br />

Noor Vrolijk<br />

16


Hoofdstuk 1 Introductie<br />

De snelheid van communicatie <strong>en</strong> de mede als gevolg daarvan snel verander<strong>en</strong>de<br />

<strong>en</strong> globaliser<strong>en</strong>de sam<strong>en</strong>leving is voor m<strong>en</strong>ig beleidsdocum<strong>en</strong>t <strong>en</strong><br />

onderzoeksrapport e<strong>en</strong> relevant vertrekpunt. Onze afhankelijkheid van<br />

elektronische verbinding<strong>en</strong> <strong>en</strong> middel<strong>en</strong> is groot. En daarmee ook de<br />

kwetsbaarheid. Op dat laatste wordt in tal van campagnes uit prev<strong>en</strong>tief oogpunt<br />

gewez<strong>en</strong>. E<strong>en</strong> belangrijk middel, juist omdat de opsporing van cybercrime t<strong>en</strong><br />

opzichte van klassieke criminaliteit zoveel extra complicaties k<strong>en</strong>t. Het<br />

territorialiteitsbeginsel geeft weinig houvast als dader 1 in Moskou zich bedi<strong>en</strong>t<br />

van door Chinese dader 2 in 50 land<strong>en</strong> gestol<strong>en</strong> creditcardgegev<strong>en</strong>s <strong>en</strong> er e<strong>en</strong><br />

door Amerikaanse dader 3 gecreëerd zombi<strong>en</strong>etwerk op nahoudt van 65.000<br />

computers ev<strong>en</strong>e<strong>en</strong>s verdeeld over tal van land<strong>en</strong>, met behulp waarvan<br />

miljo<strong>en</strong><strong>en</strong> phishing mails word<strong>en</strong> verzond<strong>en</strong> met e<strong>en</strong> door dader 4 ontwikkelde<br />

phishing ‘Do it yourself’ kit, <strong>en</strong> de opbr<strong>en</strong>gst<strong>en</strong> word<strong>en</strong> teruggesluisd via<br />

geïnfecteerde servers in meerdere land<strong>en</strong>. De cybercriminel<strong>en</strong> mak<strong>en</strong> dankbaar<br />

gebruik van deze territorialiteitsverwarring. Soms via ingewikkelde geschakelde<br />

criminele gedraging<strong>en</strong>, maar in het geval van Nigerian<strong>en</strong>scam ook heel<br />

e<strong>en</strong>voudig: de crimineel in Nederland b<strong>en</strong>adert vooral slachtoffers in<br />

bijvoorbeeld Engeland <strong>en</strong> di<strong>en</strong>s ‘collega’ in Engeland vooral slachtoffers in<br />

Nederland. Op die manier spel<strong>en</strong> zij in op het geringe <strong>en</strong>thousiasme dat de<br />

autoriteit<strong>en</strong> van beide land<strong>en</strong> zull<strong>en</strong> voel<strong>en</strong> bij opsporing <strong>en</strong> vervolging op<br />

andermans grondgebied.<br />

Teg<strong>en</strong> deze achtergrond is het ontwerp van e<strong>en</strong> ‘Nationale Infrastructuur Teg<strong>en</strong><br />

Cybercrime’ (NICC) in 2006 tot stand gekom<strong>en</strong>. Met als c<strong>en</strong>traal doel om juist<br />

vanwege de moeizame verhouding tuss<strong>en</strong> cybercrime <strong>en</strong> het<br />

territorialiteitsbeginsel te kom<strong>en</strong> tot andere middel<strong>en</strong> voor effectieve<br />

beïnvloeding dan uitsluit<strong>en</strong>d het strafrecht. E<strong>en</strong> noodzakelijkheid die wordt<br />

versterkt door de beperkt beschikbare opsporings‐ <strong>en</strong> vervolgingscapaciteit, de<br />

lastige bewijsbaarheid van del<strong>en</strong> van de cybercrime <strong>en</strong> de geringe doorwerking<br />

van het Nederlandse strafrecht op het geheel van bij cybercrime betrokk<strong>en</strong><br />

daders.<br />

De principes van het ontwerp van de Nationale Infrastructuur hebb<strong>en</strong> model<br />

gestaan voor het design van het onderzoek naar hypothes<strong>en</strong> van cybercrime <strong>en</strong><br />

17


haar daders. Dit zog<strong>en</strong>aamde NICC‐actieonderzoek had als doel om de nieuwe<br />

d<strong>en</strong>kwijze achter de Nationale Infrastructuur in de praktijk te beproev<strong>en</strong>,<br />

alvor<strong>en</strong>s tot structurele oplossing<strong>en</strong> te besluit<strong>en</strong>. Gaandeweg het onderzoek is<br />

dat doel gaan schuiv<strong>en</strong> in de richting van het ontwikkel<strong>en</strong> van inzicht in de modus<br />

operandi (MO’s) van cybercrime <strong>en</strong> k<strong>en</strong>merk<strong>en</strong> van haar daders.<br />

Dit introducer<strong>en</strong>de hoofdstuk zet de probleemstelling uite<strong>en</strong> waarop het<br />

onderzoek is gefundeerd, om over te gaan op het onderzoeksdesign <strong>en</strong> te<br />

eindig<strong>en</strong> met e<strong>en</strong> leeswijzer.<br />

1.1 Probleemstelling<br />

Doelstelling<br />

Onder de vlag van het to<strong>en</strong>malige NPAC 2 ‐project is e<strong>en</strong> ontwerp gemaakt voor<br />

gestructureerde informatiedeling rond cybercrime dat de uitwisseling van<br />

informatie tuss<strong>en</strong> ongelijksoortige actor<strong>en</strong> faciliteert <strong>en</strong> e<strong>en</strong> aantal risico’s dat<br />

daarmee mogelijk sam<strong>en</strong>gaat, minimaliseert (Faber, Mostert, & Oude Alink, 2006).<br />

Het ontwerp vertrekt vanuit de basisveronderstelling dat vergaande<br />

informatiedeling <strong>en</strong> het op elkaar betrekk<strong>en</strong> van gegev<strong>en</strong>s uit uite<strong>en</strong>lop<strong>en</strong>de<br />

bronn<strong>en</strong> leidt tot e<strong>en</strong> effectievere aanpak van het probleem cybercrime.<br />

Vooralsnog ging het om e<strong>en</strong> theoretisch ontwerp. De onderligg<strong>en</strong>de principes van<br />

dat ontwerp war<strong>en</strong> ontle<strong>en</strong>d aan wet<strong>en</strong>schappelijk onderzoek van multi‐ag<strong>en</strong>cyvraagstukk<strong>en</strong><br />

in de s<strong>fee</strong>r van de rechtshandhaving (Faber, 2004), maar war<strong>en</strong> niet<br />

beproefd op de thematiek van cybercrime <strong>en</strong> de omgeving<strong>en</strong> waarin dit thema zich<br />

voordoet <strong>en</strong> getracht wordt het teg<strong>en</strong> te gaan. Bij de opdrachtgever van het NICC 3 ‐<br />

programma, de rechtsopvolger van het NPAC, bestond de w<strong>en</strong>s om het ontwerp in<br />

de praktijk toe te pass<strong>en</strong> <strong>en</strong> om na te gaan of het ontwerp ook daadwerkelijk tot de<br />

veronderstelde positieve effect<strong>en</strong> zou leid<strong>en</strong>. Zo ja, dan werd ook gevraagd om in<br />

te vull<strong>en</strong> op welke wijze het werk<strong>en</strong> volg<strong>en</strong>s het ontwerp zou kunn<strong>en</strong> word<strong>en</strong><br />

geïnstitutionaliseerd.<br />

Met het NICC‐actieonderzoek is getracht aan de w<strong>en</strong>s van de opdrachtgever<br />

tegemoet te kom<strong>en</strong>. In e<strong>en</strong> actieonderzoek laat de onderzoeker zijn doorgaans<br />

afstandelijke houding var<strong>en</strong> <strong>en</strong> probeert juist door handel<strong>en</strong>d optred<strong>en</strong> verband<strong>en</strong><br />

2 NPAC: Nationaal Platform Criminaliteitsbeheersing Project Aanpak Cybercrime.<br />

3 NICC: Nationale Infrastructuur teg<strong>en</strong> CyberCrime.<br />

18


te legg<strong>en</strong> <strong>en</strong> conclusies te trekk<strong>en</strong>. Aanvankelijk was het de bedoeling om het<br />

ontwerp voor informatiedeling in de s<strong>fee</strong>r van cybercrime in de dagelijkse praktijk<br />

toe te pass<strong>en</strong>, onder gelijktijdige bestudering van de inhoudelijke <strong>en</strong><br />

veranderkundige effect<strong>en</strong>. E<strong>en</strong> andere ontwikkeling sloot daar nauw op aan.<br />

Halverwege het jaar 2007 ontstond bij het <strong>WODC</strong> 4 de behoefte aan verdere<br />

toetsing <strong>en</strong> verdieping van de geïnv<strong>en</strong>tariseerde daderk<strong>en</strong>merk<strong>en</strong> zoals die uit e<strong>en</strong><br />

in 2008 versch<strong>en</strong><strong>en</strong> literatuurstudie (Hulst & Neve, 2008) naar vor<strong>en</strong> war<strong>en</strong><br />

gekom<strong>en</strong> 5 . De methodiek die het <strong>WODC</strong> daarbij voor og<strong>en</strong> stond kwam overe<strong>en</strong><br />

met de aanpak van del<strong>en</strong> uit het actieonderzoek. Beslot<strong>en</strong> werd om het lop<strong>en</strong>de<br />

NICC‐actieonderzoek <strong>en</strong> de onderzoeksw<strong>en</strong>s van het <strong>WODC</strong> met elkaar in één<br />

onderzoek te combiner<strong>en</strong>. Met als doel ‘e<strong>en</strong> bijdrage lever<strong>en</strong> aan prev<strong>en</strong>tie,<br />

handhaving <strong>en</strong> toezicht, opsporing <strong>en</strong> vervolging van hightech crime.’<br />

C<strong>en</strong>trale vraagstelling<br />

Het NICC onderzoek voorzag in het opstell<strong>en</strong> van hypothes<strong>en</strong> over de k<strong>en</strong>merk<strong>en</strong><br />

van daders <strong>en</strong> hun gedraging<strong>en</strong>. De c<strong>en</strong>trale vraagstelling voor het<br />

geme<strong>en</strong>schappelijke NICC/<strong>WODC</strong>‐onderzoek vloeide daaruit voort:<br />

Welke hypothes<strong>en</strong> over k<strong>en</strong>merk<strong>en</strong> van daders van cybercrime <strong>en</strong> de door h<strong>en</strong><br />

gepleegde delict<strong>en</strong>, kunn<strong>en</strong> di<strong>en</strong><strong>en</strong> als basis voor beïnvloeding, teg<strong>en</strong>houd<strong>en</strong> of<br />

opsporing?<br />

Bij wijze van eerste operationalisatie is de c<strong>en</strong>trale vraagstelling opgesplitst in e<strong>en</strong><br />

aantal relevante inhoudelijke deelvrag<strong>en</strong> <strong>en</strong> is er e<strong>en</strong> aantal meer beleidsmatige<br />

deelvrag<strong>en</strong> aan toegevoegd waarvan de beantwoording niet zozeer bijdraagt aan<br />

de vorming van hypothes<strong>en</strong> als wel betrekking heeft op de bruikbaarheid van die<br />

hypothes<strong>en</strong> voor beleid <strong>en</strong> strategie.<br />

Deelvrag<strong>en</strong><br />

1. Wat is bek<strong>en</strong>d over de werkwijze, organisatiegraad <strong>en</strong> specialisatie van de<br />

daders van de verschill<strong>en</strong>de verschijningsvorm<strong>en</strong> van cybercrime <strong>en</strong><br />

hoe/waar zijn hiervoor aanwijzing<strong>en</strong> te signaler<strong>en</strong>?<br />

2. Wat is er op grond van de Nederlandse registraties, onderzoek<strong>en</strong> <strong>en</strong><br />

strafdossiers te concluder<strong>en</strong> over daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> delictsoort<strong>en</strong> van<br />

cybercrime?<br />

4 Wet<strong>en</strong>schappelijk Onderzoek‐ <strong>en</strong> Docum<strong>en</strong>tatiec<strong>en</strong>trum van het Ministerie van Justitie.<br />

5 Verkorte startnotitie <strong>WODC</strong> ‘Risico‐indicator<strong>en</strong> van high‐tech crime: daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> werkwijz<strong>en</strong>’,<br />

22 november 2007.<br />

19


3. Welke typ<strong>en</strong> (mogelijke) daders zijn er te tracer<strong>en</strong>, welke k<strong>en</strong>merk<strong>en</strong><br />

(sociaaldemografisch, motivatie, gedrag, gebruikte hulpbronn<strong>en</strong>, criminele<br />

carrière) typer<strong>en</strong> (mogelijke) daders (patroonherk<strong>en</strong>ning)?<br />

4. In hoeverre houd<strong>en</strong> (de verschill<strong>en</strong>de typ<strong>en</strong>) daders zich (tegelijkertijd)<br />

met meerdere vorm<strong>en</strong> van cybercrime bezig?<br />

5. Welke verschijningsvorm<strong>en</strong> van cybercrime zijn aan te merk<strong>en</strong> als ‘witte<br />

vlekk<strong>en</strong>’ in term<strong>en</strong> van k<strong>en</strong>nis over daders?<br />

6. Hoe kunn<strong>en</strong> typologieën <strong>en</strong> inzicht<strong>en</strong> in daderk<strong>en</strong>merk<strong>en</strong> bruikbaar <strong>en</strong><br />

nuttig zijn/word<strong>en</strong> bij de bestrijding (prev<strong>en</strong>tie, opsporing, handhaving,<br />

vervolging) van cybercrime?<br />

7. Zijn daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> criminele activiteit<strong>en</strong> zodanig gerelateerd dat er<br />

risicoprofiel<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> aangegev<strong>en</strong> of ontwikkeld? Zo ja, welke<br />

profiel<strong>en</strong> zijn dat?<br />

De beantwoording van deze vrag<strong>en</strong> di<strong>en</strong>de voor het NICC ter beoordeling van de<br />

w<strong>en</strong>selijkheid van vorm<strong>en</strong> van operationele informatiedeling tuss<strong>en</strong> partij<strong>en</strong> die bij<br />

de bestrijding van cybercrime betrokk<strong>en</strong>, of te betrekk<strong>en</strong>, zijn. Voor het <strong>WODC</strong><br />

vormde het e<strong>en</strong> basis ter beoordeling van de bruikbaarheid van dadertypologieën<br />

<strong>en</strong> risicoprofiel<strong>en</strong> voor de opsporing <strong>en</strong> ter mogelijke aanvulling van de bevinding<strong>en</strong><br />

uit de literatuurstudie van Van der Hulst & Neve (2008). In beide gevall<strong>en</strong> is<br />

beantwoording bedoeld om specifiek crimineel gedrag te kunn<strong>en</strong> onderscheid<strong>en</strong><br />

van bonafide gedrag zonder het reguliere communicatieverkeer <strong>en</strong> haar gebruikers<br />

te treff<strong>en</strong>.<br />

Onderzoeksbeperking<br />

E<strong>en</strong> belangrijke beperking voor het onderzoek is dat het heeft moet<strong>en</strong> plaatsvind<strong>en</strong><br />

in Nederland. De bronn<strong>en</strong> van veel cybercrime <strong>en</strong> daarmee ook de bestrijding aan<br />

die bron, zijn terug te voer<strong>en</strong> op andere land<strong>en</strong> dan Nederland. De productie van<br />

<strong>kinderporno</strong> wordt bijvoorbeeld sterk herleid naar Roem<strong>en</strong>ië, Hongarije <strong>en</strong><br />

Bulgarije <strong>en</strong> de oorsprong van phishing <strong>en</strong> creditcard<strong>fraud</strong>e wordt gesitueerd in<br />

Rusland. K<strong>en</strong>nisname van bijvoorbeeld onderzoeksdossiers uit deze land<strong>en</strong> is niet<br />

mogelijk geweest, ev<strong>en</strong>min als het in persoon consulter<strong>en</strong> van inhoudelijk<br />

deskundig<strong>en</strong> uit o.a. deze land<strong>en</strong>. Dat is e<strong>en</strong> bepal<strong>en</strong>d gemis als we alle<strong>en</strong> al afgaan<br />

op de k<strong>en</strong>nis die door Nederlandse deskundig<strong>en</strong> is ingebracht over del<strong>en</strong> van MO’s<br />

die zich binn<strong>en</strong> hun gezichtsveld voordo<strong>en</strong> <strong>en</strong> die niet uit boek<strong>en</strong> is af te leid<strong>en</strong>.<br />

Slechts t<strong>en</strong> dele kon dit gemis word<strong>en</strong> gecomp<strong>en</strong>seerd door uitgebreide<br />

<strong>internet</strong>research.<br />

20


1.2 Operationalisatie<br />

Na e<strong>en</strong> eerste operationalisatie in deelonderzoeksvrag<strong>en</strong>, is het onderzoek verder<br />

ingekaderd qua begripsbepaling <strong>en</strong> focus.<br />

Het begrip cybercrime<br />

De literatuurinv<strong>en</strong>tarisatie van het <strong>WODC</strong> (Hulst & Neve, 2008) spreekt e<strong>en</strong><br />

voorkeur uit voor het hanter<strong>en</strong> van de term hightech crime in plaats van<br />

cybercrime vanwege het bredere <strong>en</strong> dynamische perspectief ‘dat beter zou<br />

aansluit<strong>en</strong> bij de snelle technologische ontwikkeling<strong>en</strong>’ (p.37). Ondertuss<strong>en</strong>, in<br />

navolging van Furnell (2001) ook constater<strong>en</strong>d, dat in wet<strong>en</strong>schap <strong>en</strong> praktijk e<strong>en</strong><br />

ars<strong>en</strong>aal aan terminologie wordt gebruikt, dat zorgt voor ‘verwarring, willekeurige<br />

toepassing <strong>en</strong> overlap’. Waarop dit gebrek aan e<strong>en</strong>duidigheid mogelijk is terug te<br />

voer<strong>en</strong>, blijft binn<strong>en</strong> het onderzoek impliciet.<br />

Op basis van de vele definities die wij onder diverse actor<strong>en</strong> in het veld zijn<br />

teg<strong>en</strong>gekom<strong>en</strong>, stell<strong>en</strong> wij in de eerste plaats vast dat de keuze voor e<strong>en</strong> bepaalde<br />

definitie sterk afhangt van de toepassing in het kader waarvan e<strong>en</strong> definitie wordt<br />

gehanteerd. Of anders gezegd: het is moeilijk zo niet onmogelijk e<strong>en</strong> algem<strong>en</strong>e<br />

e<strong>en</strong>duidigheid te bereik<strong>en</strong> over bijvoorbeeld het onderscheid in cybercriminaliteit<br />

<strong>en</strong> computercriminaliteit als m<strong>en</strong> zich niet afvraagt waaraan dat onderscheid<br />

di<strong>en</strong>stbaar moet zijn. Voor bijvoorbeeld de bestrijdingspraktijk is het van weinig<br />

betek<strong>en</strong>is om botnets als computercriminaliteit te beschouw<strong>en</strong> waar die nooit op<br />

zichzelf staan maar altijd e<strong>en</strong> MO vorm<strong>en</strong> voor iets anders zoals o.a.<br />

creditcard<strong>fraud</strong>e (cybercriminaliteit volg<strong>en</strong>s het <strong>WODC</strong>‐rapport) of phishing<br />

(computercriminaliteit volg<strong>en</strong>s het <strong>WODC</strong>‐rapport). Daarmee mak<strong>en</strong> we e<strong>en</strong> opstap<br />

naar e<strong>en</strong> eig<strong>en</strong> afbak<strong>en</strong>ing die vooral is ingegev<strong>en</strong> door wat met het NICConderzoek<br />

voor og<strong>en</strong> stond: het waar mogelijk creër<strong>en</strong> van inhoudelijke<br />

sam<strong>en</strong>hang in de feitelijke bestrijding (waartoe voor dit mom<strong>en</strong>t gemakshalve ook<br />

teg<strong>en</strong>houd<strong>en</strong> <strong>en</strong> voorkom<strong>en</strong> word<strong>en</strong> gerek<strong>en</strong>d) van e<strong>en</strong> aantal in het oog<br />

spring<strong>en</strong>de delict<strong>en</strong>. Die sam<strong>en</strong>hang <strong>en</strong> vooral de feitelijkheid, vraagt om e<strong>en</strong> sterk<br />

functionele invalshoek <strong>en</strong> e<strong>en</strong> daarop aansluit<strong>en</strong>de definitie. Teg<strong>en</strong> deze<br />

achtergrond is cybercrime in dit NICC‐onderzoek kortweg gedefinieerd als<br />

<strong>internet</strong>gerelateerde criminaliteit. ‘Criminaliteit’, eerder gebruikt in de betek<strong>en</strong>is<br />

van onrechtmatigheid, dan volg<strong>en</strong>s het criterium van strafbaarstelling of<br />

strafwaardigheid zoals c<strong>en</strong>traal staat in de door het KLPD gehanteerde definitie van<br />

cybercrime als ‘elke strafbare <strong>en</strong> strafwaardige gedraging, voor de uitvoering<br />

waarvan het gebruik van geautomatiseerde werk<strong>en</strong> bij de verwerking <strong>en</strong><br />

overdracht van gegev<strong>en</strong>s van overweg<strong>en</strong>de betek<strong>en</strong>is is’. Onder strafwaardig moet<br />

word<strong>en</strong> verstaan: ‘gedrag waarvan verwacht wordt dat het binn<strong>en</strong> afzi<strong>en</strong>bare tijd<br />

21


strafbaar wordt gesteld’ (Mooij & Werf, 2002).<br />

Clustering cybercrime<br />

Waar m<strong>en</strong> in het onderzoeksveld verschijningsvorm<strong>en</strong> van cybercrime vooral<br />

pres<strong>en</strong>teert als zelfstandige delict<strong>en</strong>, is in dit onderzoek zoveel mogelijk gezocht<br />

naar sam<strong>en</strong>hang. Eén van de onderligg<strong>en</strong>de argum<strong>en</strong>t<strong>en</strong> heeft te mak<strong>en</strong> met de<br />

urg<strong>en</strong>tiebeleving zoals die in het veld is aangetroff<strong>en</strong>. Spam als zelfstandig delict<br />

beschouwd, kan nauwelijks rek<strong>en</strong><strong>en</strong> op prioriteit onder bestrijders <strong>en</strong> spreekt qua<br />

veroorzaakte schade weinig tot de verbeelding. Wordt spam gezi<strong>en</strong> als onderdeel<br />

van de MO in het kader van bijvoorbeeld phishing, dan ontstaat ine<strong>en</strong>s e<strong>en</strong><br />

teg<strong>en</strong>overgesteld beeld; zowel qua ernstbeleving, als de onderligg<strong>en</strong>de schade.<br />

Binn<strong>en</strong> de gr<strong>en</strong>z<strong>en</strong> van ons onderzoek zijn drie clusters van sam<strong>en</strong>hang<strong>en</strong>de<br />

vorm<strong>en</strong> van cybercrime onderscheid<strong>en</strong> waarbij de aard van de sam<strong>en</strong>hang<br />

overig<strong>en</strong>s per cluster verschilt.<br />

Gegev<strong>en</strong>sdiefstal <strong>en</strong> misbruik<br />

Het eerste cluster is gevormd rond het delict phishing waarbij spam, spoofing,<br />

pharming, defacing, malware of aanverwante begripp<strong>en</strong> in e<strong>en</strong> gezam<strong>en</strong>lijke<br />

context van gegev<strong>en</strong>sdiefstal <strong>en</strong> misbruik zijn geplaatst. De schade van dit soort<br />

delict<strong>en</strong> is vooral fysiek <strong>en</strong> economisch.<br />

Kinderporno, grooming<br />

Het tweede cluster is gevormd rond delict<strong>en</strong> die niet zozeer fysieke of economische<br />

schade met zich meebr<strong>en</strong>g<strong>en</strong> als wel psychologische. De vervaardiging van<br />

<strong>kinderporno</strong> <strong>en</strong> grooming grijpt diep in op de persoonlijke <strong>en</strong> lichamelijke<br />

integriteit van slachtoffers <strong>en</strong> hun omgeving. Vanwege die gezam<strong>en</strong>lijke noemer<br />

zijn ze bije<strong>en</strong>gebracht in hetzelfde cluster, waaronder ook niet specifiek in dit<br />

onderzoeksrapport beschrev<strong>en</strong> vorm<strong>en</strong> als <strong>internet</strong>stalking <strong>en</strong> cyberpest<strong>en</strong> kunn<strong>en</strong><br />

word<strong>en</strong> begrep<strong>en</strong>. Dat heeft overig<strong>en</strong>s ook e<strong>en</strong> risico: door ze binn<strong>en</strong> hetzelfde<br />

cluster te pres<strong>en</strong>ter<strong>en</strong> kan de indruk ontstaan dat ze zich in de praktijk ook<br />

sam<strong>en</strong>hang<strong>en</strong>d voordo<strong>en</strong>. Voor grooming <strong>en</strong> <strong>kinderporno</strong> kan dat ook zeker het<br />

geval zijn, maar cyberpest<strong>en</strong> bijvoorbeeld staat vooral ook op zichzelf. Hoewel niet<br />

beschrev<strong>en</strong> in dit rapport, zijn mogelijke interv<strong>en</strong>ties wel deels aan elkaar verwant.<br />

Internet<strong>fraud</strong>e<br />

Het derde cluster is gevormd door de criminaliteit waarbij het <strong>internet</strong> functioneert<br />

als economische handelszone. Internet<strong>fraud</strong>e vormt de focus van dit cluster <strong>en</strong> dan<br />

specifiek de <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> (of voorschot<strong>fraud</strong>e).<br />

Ook voor de clusterindeling geldt dat ze vooral bruikbaar moet zijn in het kader van<br />

de te beantwoord<strong>en</strong> vraagstelling. De indeling heeft weinig wet<strong>en</strong>schappelijke<br />

22


pret<strong>en</strong>tie, ook al is e<strong>en</strong> belangrijk deel van wat we maatschappelijk aan cybercrime<br />

teg<strong>en</strong>kom<strong>en</strong> er in onder te br<strong>en</strong>g<strong>en</strong>. Onder elk van de clusters kunn<strong>en</strong> meer<br />

vorm<strong>en</strong> van cybercrime word<strong>en</strong> geschaard dan in dit rapport plaatsvindt. De<br />

indeling moet dan ook vooral word<strong>en</strong> gezi<strong>en</strong> als hulpmiddel voor de afbak<strong>en</strong>ing van<br />

het onderzoek, die bov<strong>en</strong>di<strong>en</strong> recht doet aan e<strong>en</strong> aantal categorieën van<br />

cybercrime die de Directie Rechtshandhaving <strong>en</strong> Criminaliteitsbestrijding van het<br />

Ministerie van Justitie, als opdrachtgever van het <strong>WODC</strong>, graag in het onderzoek<br />

betrokk<strong>en</strong> zag.<br />

1.3 Theoretisch kader<br />

Het onderzoek op zichzelf, de gevolgde methodiek <strong>en</strong> de wijze van notatie in<br />

diverse modell<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> gekarakteriseerd als e<strong>en</strong> systeemtheoretische<br />

b<strong>en</strong>adering. Deze b<strong>en</strong>adering ziet gedrag niet alle<strong>en</strong> als context‐afhankelijk<br />

(bestudering van de relaties tuss<strong>en</strong> het te bestuder<strong>en</strong> f<strong>en</strong>ome<strong>en</strong> <strong>en</strong> de omgeving<br />

zijn voorwaardelijk om dat gedrag te kunn<strong>en</strong> plaats<strong>en</strong>), maar ook als emerg<strong>en</strong>t<br />

waarbij e<strong>en</strong> als geheel beschouwd systeem zich anders gedraagt dan de opgetelde<br />

del<strong>en</strong> waaruit dat systeem bestaat. In het onderzoek is deze b<strong>en</strong>adering<br />

omgekeerd gebruikt door vanuit de bek<strong>en</strong>de totale functie van<br />

voortbr<strong>en</strong>gingsprocess<strong>en</strong> van cybercime de onbek<strong>en</strong>de schakels binn<strong>en</strong> die<br />

process<strong>en</strong> te construer<strong>en</strong>.<br />

De bedrijfskundige, logistieke <strong>en</strong> functionele b<strong>en</strong>adering in dit onderzoek, met e<strong>en</strong><br />

grote nadruk op exploratie, is o.a. terug te voer<strong>en</strong> op de Soft System Methodology<br />

van Checkland (Checkland & Scholes, 1990). Op zichzelf staat die volledig los van<br />

het teg<strong>en</strong>gaan van criminaliteit. Toch heeft de b<strong>en</strong>adering ook in deze context haar<br />

meerwaarde bewez<strong>en</strong>. In eerste instantie binn<strong>en</strong> e<strong>en</strong> laboratoriumexperim<strong>en</strong>t met<br />

ongebruikelijke transacties (Faber, 2004) gevolgd door e<strong>en</strong> uitgebreid<br />

exploratieonderzoek naar de aard <strong>en</strong> omvang van 11 criminaliteitsterrein<strong>en</strong> op<br />

Curaçao <strong>en</strong> Bonaire (Faber, Mostert, Nel<strong>en</strong>, & la Roi, 2006). Daarna heeft<br />

toepassing zich verbreid, om vervolg<strong>en</strong>s uit te kristalliser<strong>en</strong> in e<strong>en</strong> methodiek (zie<br />

volg<strong>en</strong>de paragraaf) die is terug te vind<strong>en</strong> in e<strong>en</strong> informatiedelingmodel (het<br />

‘bloemblaadjesmodel’) zoals ontworp<strong>en</strong> voor het NPAC (Faber, Mostert, & Oude<br />

Alink, 2006). De aangehaalde onderzoek<strong>en</strong> hebb<strong>en</strong> aangetoond dat vele partij<strong>en</strong><br />

vaak zonder zich daarvan bewust te zijn, over stukjes informatie beschikk<strong>en</strong> van<br />

MO’s <strong>en</strong> daders. Bundeling van die stukjes leidt tot betek<strong>en</strong>isvolle informatie die<br />

meer is dan de som van de afzonderlijke del<strong>en</strong>. Hierdoor kunn<strong>en</strong> meer delict<strong>en</strong> <strong>en</strong><br />

23


daders word<strong>en</strong> opgespoord c.q. vroegtijdig word<strong>en</strong> beïnvloed. In de aangehaalde<br />

onderzoek<strong>en</strong> blek<strong>en</strong> partij<strong>en</strong> niet alle<strong>en</strong> vergaand bereid om die informatie uit te<br />

wissel<strong>en</strong>, maar was die uitwisseling ook duidelijk in relatie te br<strong>en</strong>g<strong>en</strong> tot e<strong>en</strong> eig<strong>en</strong><br />

belang. Dankzij de gerichte hypothes<strong>en</strong> was in het aangehaalde onderzoek<br />

betreff<strong>en</strong>de Curaçao/Bonaire, het malafide handel<strong>en</strong> te scheid<strong>en</strong> van het bonafide,<br />

met als groot voordeel dat de bestrijdingsaandacht ook daadwerkelijk kon word<strong>en</strong><br />

gefocust op de ‘kwad<strong>en</strong>’; daarbij de ‘goed<strong>en</strong>’ ongemoeid lat<strong>en</strong>d. Met het afnem<strong>en</strong><br />

van het risico dat de ‘goed<strong>en</strong>’ word<strong>en</strong> getroff<strong>en</strong>, nam de bereidheid tot het del<strong>en</strong><br />

van informatie sterk toe <strong>en</strong> als gevolg daarvan ook de kwaliteit <strong>en</strong> bruikbaarheid<br />

van die informatie. Bov<strong>en</strong>di<strong>en</strong> kon die informatieuitwisseling binn<strong>en</strong> de<br />

uitzondering<strong>en</strong> word<strong>en</strong> gebracht waarin juridische kaders vaak voorzi<strong>en</strong> als het<br />

gaat om het beschikbaar stell<strong>en</strong> van gegev<strong>en</strong>s in het geval van evid<strong>en</strong>t misbruik.<br />

De gedachte achter zog<strong>en</strong>aamde barrièremodell<strong>en</strong> 6 , dat plegers van<br />

cybercriminaliteit zijn te ontmoedig<strong>en</strong> door het h<strong>en</strong> moeilijk te mak<strong>en</strong> op die<br />

elem<strong>en</strong>t<strong>en</strong> van hun MO’s die hoge kost<strong>en</strong> <strong>en</strong> e<strong>en</strong> geringe vervangbaarheid met zich<br />

meebr<strong>en</strong>g<strong>en</strong>, is terug te voer<strong>en</strong> op de economische transactiekost<strong>en</strong>theorie<br />

(Williamson, 1981). De productieactiviteit<strong>en</strong> van cybercrime zijn te zi<strong>en</strong> als<br />

transacties <strong>en</strong> zull<strong>en</strong> volg<strong>en</strong>s deze theorie plaatsvind<strong>en</strong> waar de kost<strong>en</strong> het laagst<br />

zijn. Kost<strong>en</strong> zijn niet alle<strong>en</strong> financiële uitgav<strong>en</strong>, maar bijvoorbeeld ook risico’s als de<br />

kans op ontdekking. Op twee manier<strong>en</strong> is dit principe in het onderzoek gebruikt.<br />

Enerzijds om bepaalde criminele handeling<strong>en</strong> te koppel<strong>en</strong> aan land<strong>en</strong> of locaties<br />

waar ze vermoedelijk goedkoop <strong>en</strong> ongestoord plaatsvind<strong>en</strong>, <strong>en</strong> anderzijds om<br />

zwakke plekk<strong>en</strong> te lokaliser<strong>en</strong> in de voortbr<strong>en</strong>gingsprocess<strong>en</strong> van cybercrime, met<br />

e<strong>en</strong> geringe vervangbaarheid. In wez<strong>en</strong> is de transactiekost<strong>en</strong>theorie ook de basis<br />

voor de d<strong>en</strong>kwijze achter barrièremodell<strong>en</strong>, ook al zull<strong>en</strong> Bachrach <strong>en</strong> Baratz als<br />

grondleggers van deze modell<strong>en</strong> andere toepassing<strong>en</strong> voor og<strong>en</strong> hebb<strong>en</strong> gestaan<br />

(Bachrach & Baratz, 1970). Hun barrièremodel bestond namelijk uit e<strong>en</strong> bestuurlijk<br />

ag<strong>en</strong>davormingsmodel waarin systematisch aandacht wordt gegev<strong>en</strong> aan de<br />

teg<strong>en</strong>spoed die e<strong>en</strong> bepaald thema op zijn weg van lat<strong>en</strong>te behoefte tot uitgevoerd<br />

beleid kan teg<strong>en</strong>kom<strong>en</strong>.<br />

Pass<strong>en</strong>d bij de functionele <strong>en</strong> bedrijfskundige b<strong>en</strong>adering vann dit onderzoek, zijn<br />

twee criminologische theorieën als uitgangspunt gehanteerd: de rationele<br />

keuzetheorie <strong>en</strong> de geleg<strong>en</strong>heidstheorie. Bij de rationele keuzetheorie wordt e<strong>en</strong><br />

dader vooral gezi<strong>en</strong> als berek<strong>en</strong><strong>en</strong>d <strong>en</strong> calculer<strong>en</strong>d (homo economicus). Het<br />

6 Het opwerp<strong>en</strong> van barricades teg<strong>en</strong> prefer<strong>en</strong>te criminele handeling<strong>en</strong> <strong>en</strong> de weg<strong>en</strong> waarlangs die<br />

handeling<strong>en</strong> word<strong>en</strong> uitgevoerd.<br />

24


winstoogmerk achter criminaliteit staat c<strong>en</strong>traal. Winst moet in dit geval breed<br />

word<strong>en</strong> uitgelegd als elke vorm van opbr<strong>en</strong>gst, die moet opweg<strong>en</strong> teg<strong>en</strong> de risico’s<br />

of kost<strong>en</strong>. Voor de produc<strong>en</strong>t van <strong>kinderporno</strong> bestaat die opbr<strong>en</strong>gst uit geld; voor<br />

de downloader van <strong>kinderporno</strong> bestaat ze uit bevrediging van e<strong>en</strong> seksuele<br />

prikkel. De geleg<strong>en</strong>heidstheorie k<strong>en</strong>t ongeveer e<strong>en</strong>zelfde vertrekpunt, maar focust<br />

op het geheel aan situationele omstandighed<strong>en</strong> die de kans op het plaatsvind<strong>en</strong><br />

van e<strong>en</strong> delict bevorder<strong>en</strong> of juist verminder<strong>en</strong> (Bov<strong>en</strong>kerk & Leuw). Criminaliteit<br />

vindt volg<strong>en</strong>s deze b<strong>en</strong>adering plaats omdat er de geleg<strong>en</strong>heid toe is (occupational<br />

crime) <strong>en</strong> niet omdat de persoon crimineel van aard is. Zoals de <strong>internet</strong>marketeer,<br />

die zijn reguliere bedrijfsvoering qua k<strong>en</strong>nis <strong>en</strong> activiteit<strong>en</strong> vrijwel zonder<br />

aanpassing ook gebruikt voor illegale doeleind<strong>en</strong> waaronder het verspreid<strong>en</strong> van<br />

spam. Waar het aan feitelijke k<strong>en</strong>nis van ‘dark number’ of ‘unknown off<strong>en</strong>der’ van<br />

de onderzochte cybercrime vorm<strong>en</strong> ontbrak, is voor het opstell<strong>en</strong> van hypothes<strong>en</strong><br />

veelvuldig gebruik gemaakt van de geleg<strong>en</strong>heidstheorie. Bijvoorbeeld over daders<br />

als de opgevoerde <strong>internet</strong>marketeer, die met hun activiteit<strong>en</strong> meelift<strong>en</strong> op hun<br />

legale, reguliere, bedrijfsvoering. Wellicht zelfs in dusdanige mate dat di<strong>en</strong>s<br />

reguliere bedrijfsvoering voornamelijk nog di<strong>en</strong>t om de illegale activiteit<strong>en</strong> te<br />

masker<strong>en</strong>. Bij de hypothesevorming is vaak gezocht naar juist die variabele of<br />

variabel<strong>en</strong> die discriminer<strong>en</strong> naar bijvoorbeeld de professionele fotograaf die zich<br />

niet inlaat met <strong>kinderporno</strong> <strong>en</strong> deg<strong>en</strong>e die dat wel doet.<br />

Voor de onderzoekbaarheid van onze probleemstelling hebb<strong>en</strong> deze twee<br />

theorieën als voordeel dat zij uitgaan van het concrete dynamische gedrag van<br />

daders, in plaats van bijvoorbeeld meer statische persoonlijkheids‐ of<br />

sociaaldemografische k<strong>en</strong>merk<strong>en</strong>. Dat sluit goed aan op de w<strong>en</strong>s binn<strong>en</strong> het<br />

actieonderzoek om onrechtmatige activiteit<strong>en</strong> <strong>en</strong> hun plegers administratief te<br />

detecter<strong>en</strong> in grote gegev<strong>en</strong>sbestand<strong>en</strong>.<br />

1.4 Werkwijze<br />

Hypothesis Directed Interv<strong>en</strong>tion® (HDI)<br />

Qua onderzoeksvorm is aansluiting gezocht bij de HDI‐methodiek zoals die o.a. is<br />

gehanteerd bij analyse van onveiligheid op de Nederlandse Antill<strong>en</strong> (Faber,<br />

Mostert, Nel<strong>en</strong>, & la Roi, 2006). De methodiek is te zi<strong>en</strong> als e<strong>en</strong> concrete invulling<br />

van de gedacht<strong>en</strong> achter Informatie Gestuurde Opsporing, met dit verschil dat ze<br />

uitgaat van concrete delictvorm<strong>en</strong> <strong>en</strong> daarover bek<strong>en</strong>de of veronderstelde<br />

inzicht<strong>en</strong>, zich niet beperkt tot opsporings‐ <strong>en</strong> vervolgingsinstanties <strong>en</strong> is gericht op<br />

25


het voortbr<strong>en</strong>g<strong>en</strong> van werkzame interv<strong>en</strong>ties. Waar politie <strong>en</strong> OM, maar ook<br />

slachtoffers, vooral zijn gericht op afzonderlijke cases, word<strong>en</strong> binn<strong>en</strong> de HDImethode<br />

k<strong>en</strong>nis van m<strong>en</strong>s<strong>en</strong> <strong>en</strong> k<strong>en</strong>nis uit dossiers of system<strong>en</strong>, op elkaar<br />

betrokk<strong>en</strong>. Net zolang of zoveel totdat er zo rijk mogelijke hypothes<strong>en</strong> ontstaan die<br />

k<strong>en</strong>nis omsluit die in de loop van de tijd is opgedaan <strong>en</strong> van veronderstelling<strong>en</strong><br />

over criminele werkwijz<strong>en</strong> die word<strong>en</strong> vermoed. Uiteindelijk is het strev<strong>en</strong> om door<br />

toetsing het hypothetisch karakter meer <strong>en</strong> meer te vervang<strong>en</strong> door feitelijke<br />

k<strong>en</strong>nis (‘knowledge directed interv<strong>en</strong>tion’). Daarin komt e<strong>en</strong> belangrijke<br />

vooronderstelling van het onderzoek tot uiting: informatiedeling met ander<strong>en</strong> is<br />

e<strong>en</strong> voorwaarde voor het toek<strong>en</strong>n<strong>en</strong> van betek<strong>en</strong>is door afzonderlijke partij<strong>en</strong> aan<br />

door h<strong>en</strong> beheerde gegev<strong>en</strong>s.<br />

De HDI‐aanpak bestaat uit 13 stapp<strong>en</strong> waarvan de eerste vijf in het onderzoek naar<br />

cybercrime zijn toegepast.<br />

1. Inv<strong>en</strong>tarisatie van k<strong>en</strong>nisbronn<strong>en</strong> <strong>en</strong> vindplaats<strong>en</strong><br />

Om de probleemstelling te onderzoek<strong>en</strong> zijn k<strong>en</strong>nisbronn<strong>en</strong> nodig. De<br />

persoonlijke k<strong>en</strong>nis van professionals die vaak in het hoofd zit, maar ook k<strong>en</strong>nis<br />

die onder de plegers van onrechtmatighed<strong>en</strong> schuil gaat, dossiers<br />

(bijvoorbeeld dossiers van opsporingsonderzoek<strong>en</strong> of klacht<strong>en</strong>),<br />

onderzoeksrapportages (de uitkomst<strong>en</strong> van al of niet wet<strong>en</strong>schappelijk<br />

gefundeerd f<strong>en</strong>ome<strong>en</strong>onderzoek, criminaliteitsbeeldanalyse, dreigingsanalyse,<br />

risicoanalyse) of bestuurlijke rapportages (prev<strong>en</strong>tie‐/preparatieadviez<strong>en</strong><br />

gebaseerd op toezicht of opsporing). In de methodiek wordt k<strong>en</strong>nis uit deze<br />

bronn<strong>en</strong> gebruikt voor twee opvolg<strong>en</strong>de analyses. De eerste maal om de<br />

probleemstelling te operationaliser<strong>en</strong> <strong>en</strong> de tweede maal om hypothes<strong>en</strong> te<br />

toets<strong>en</strong>. In dit onderzoek hebb<strong>en</strong> we ons beperkt tot de eerste analysevorm.<br />

2. K<strong>en</strong>nisexploratie<br />

Zijn bronn<strong>en</strong> gedetecteerd <strong>en</strong> geïnv<strong>en</strong>tariseerd dan word<strong>en</strong> ze binn<strong>en</strong> de<br />

methodiek vanuit vier invalshoek<strong>en</strong> geëxploreerd (met per invalshoek tuss<strong>en</strong><br />

haakjes het product van die exploratie):<br />

a. deg<strong>en</strong><strong>en</strong> die (vermoedelijk) delict<strong>en</strong> of onrechtmatighed<strong>en</strong> pleg<strong>en</strong> (model<br />

van roll<strong>en</strong> <strong>en</strong> actor<strong>en</strong>);<br />

b. de wijze waarop de onrechtmatigheid plaatsvindt (model van MO’s);<br />

c. de oorzakelijke compon<strong>en</strong>t<strong>en</strong> die de MO mogelijk mak<strong>en</strong> (oorzaak‐gevolg<br />

model), <strong>en</strong><br />

d. de maatregel<strong>en</strong>, hun sam<strong>en</strong>hang <strong>en</strong> veronderstelde effect<strong>en</strong> die op de<br />

onrechtmatigheid kunn<strong>en</strong> word<strong>en</strong> losgelat<strong>en</strong> (maatregel‐effect model).<br />

De substapp<strong>en</strong> 2a. <strong>en</strong> 2b. zijn in het onderzoek toegepast.<br />

26


3. Vorming detectiehypothes<strong>en</strong><br />

Analyse is ge<strong>en</strong> doel op zich, maar stuurt de hypothesevorming over<br />

actor<strong>en</strong>/roll<strong>en</strong> <strong>en</strong> MO aan. De inzicht<strong>en</strong> zoals geg<strong>en</strong>ereerd in stap 2 vorm<strong>en</strong> de<br />

opstap voor hypothes<strong>en</strong>. Bij voorkeur zodanig geformuleerd dat actor<strong>en</strong>/roll<strong>en</strong><br />

<strong>en</strong> activiteit<strong>en</strong> die aan de hypothese zoud<strong>en</strong> beantwoord<strong>en</strong> e<strong>en</strong> grote kans<br />

hebb<strong>en</strong> om daadwerkelijk betrokk<strong>en</strong> te zijn in het onrechtmatig gedrag van<br />

waaruit de probleemstelling is vertrokk<strong>en</strong>. De methodiek onderscheidt<br />

verschill<strong>en</strong>de soort<strong>en</strong> hypothes<strong>en</strong>, maar in stap 3 gaat het om hypothes<strong>en</strong> ter<br />

detectie van actor<strong>en</strong> <strong>en</strong> van activiteit<strong>en</strong> die in relatie staan tot de<br />

onrechtmatigheid uit de probleemstelling.<br />

4. Operationalisatie hypothes<strong>en</strong><br />

Operationalisatie betek<strong>en</strong>t in dit geval het beantwoord<strong>en</strong> van de vraag welke<br />

gegev<strong>en</strong>sbronn<strong>en</strong> nodig zijn om welk deel van de hypothes<strong>en</strong> te toets<strong>en</strong>. In<br />

stap 4 laat m<strong>en</strong> in het midd<strong>en</strong> of de w<strong>en</strong>selijke gegev<strong>en</strong>sbronn<strong>en</strong> ook feitelijk<br />

bestaan. Vooralsnog probeert m<strong>en</strong> te bed<strong>en</strong>k<strong>en</strong> over welke bronn<strong>en</strong> m<strong>en</strong><br />

idealiter zou will<strong>en</strong> beschikk<strong>en</strong> (vergelijkbaar met e<strong>en</strong> ‘to‐be‐situatie’).<br />

5. Id<strong>en</strong>tificatie/creër<strong>en</strong> gegev<strong>en</strong>sbronn<strong>en</strong><br />

Waar in stap 4 bewust werd geabstraheerd van de vraag of w<strong>en</strong>selijke<br />

gegev<strong>en</strong>sbronn<strong>en</strong> ook daadwerkelijk bestaan, wordt in stap 5 de werkelijkheid<br />

weer ingebracht. Er wordt onderscheid gemaakt in gegev<strong>en</strong>sbronn<strong>en</strong> die al<br />

bestaan (<strong>en</strong> die m<strong>en</strong> zou will<strong>en</strong> explorer<strong>en</strong>) <strong>en</strong> w<strong>en</strong>selijke gegev<strong>en</strong>sbronn<strong>en</strong><br />

die niet bestaan, maar die m<strong>en</strong> zou will<strong>en</strong> creër<strong>en</strong>.<br />

De overige acht, niet gevolgde, stapp<strong>en</strong> betreff<strong>en</strong> het daadwerkelijk toets<strong>en</strong> van<br />

detectiehypothes<strong>en</strong>, het ontwikkel<strong>en</strong> <strong>en</strong> toepass<strong>en</strong> van interv<strong>en</strong>ties, <strong>en</strong> het<br />

continue actualiser<strong>en</strong> van de hypothes<strong>en</strong>.<br />

De output van HDI bestaat uit hypothes<strong>en</strong> die vooral beschrijv<strong>en</strong> wat er aan<br />

cybercrime is te detecter<strong>en</strong>. Hoe die detectie in zijn werk zou kunn<strong>en</strong> gaan <strong>en</strong> met<br />

inschakeling van welke techniek<strong>en</strong> is situatieafhankelijk <strong>en</strong> wordt niet beschrev<strong>en</strong>.<br />

De uitkomst<strong>en</strong> word<strong>en</strong> in modell<strong>en</strong> ondergebracht (zie de toelichting bij stap 2). De<br />

vormgeving van die modell<strong>en</strong> is geïnspireerd op de rich picture b<strong>en</strong>adering (zij het<br />

wat minder speels) die op zijn beurt onderdeel is van de Soft System Methodology<br />

(Checkland & Scholes, 1990).<br />

Veldonderzoek<br />

Het veldonderzoek is de invulling van stap 1 <strong>en</strong> 2 uit de HDI‐methodiek <strong>en</strong> heeft<br />

bestaan uit interviews, inhoudsanalyse <strong>en</strong> <strong>internet</strong>research tot af <strong>en</strong> toe letterlijk in<br />

27


de ‘krocht<strong>en</strong>’ van het <strong>internet</strong>. Uitgangspunt vormd<strong>en</strong> de volg<strong>en</strong>de vrag<strong>en</strong>: Wat zijn<br />

k<strong>en</strong>merk<strong>en</strong> van bepaalde soort<strong>en</strong> cybercrime?, Wat zijn k<strong>en</strong>merk<strong>en</strong> van de plegers?,<br />

Van welke MO’s bedi<strong>en</strong><strong>en</strong> zij zich?, Hoe kunn<strong>en</strong> plegers <strong>en</strong> hun activiteit<strong>en</strong> word<strong>en</strong><br />

gedetecteerd?. In totaal zijn ruim 40 repres<strong>en</strong>tant<strong>en</strong> van het veld geïnterviewd (zie<br />

bijlage). De inhoudsanalyse heeft plaatsgevond<strong>en</strong> op de volg<strong>en</strong>de dossiers die in de<br />

periode van 2005 tot <strong>en</strong> met 2008 actueel war<strong>en</strong>:<br />

122 onderzoeksdossiers van de Opta naar vooral spam <strong>en</strong> beperkt naar<br />

spyware 7 ;<br />

124 zak<strong>en</strong> van zog<strong>en</strong>aamde 4.1.9 <strong>fraud</strong>e (voorschot<strong>fraud</strong>e) geg<strong>en</strong>ereerd<br />

door het sam<strong>en</strong>werkingsverband van de Bov<strong>en</strong>regionale Recherche<br />

Noordwest <strong>en</strong> Midd<strong>en</strong> Nederland <strong>en</strong> de di<strong>en</strong>st IPOL van het KLPD (het<br />

“Apollo‐onderzoek”);<br />

9 bestuurlijke dossiers van de Bov<strong>en</strong>regionale Recherche gebaseerd op<br />

opsporingsonderzoek naar West‐Afrikaanse netwerk<strong>en</strong> (vooral in relatie<br />

tot voorschot<strong>fraud</strong>e);<br />

5 complexe zak<strong>en</strong> zoals behandeld door het Team High Tech Crime van het<br />

KLPD (phishing, hacking <strong>en</strong> rechtshulpverzoek<strong>en</strong>);<br />

3 grote opsporingsonderzoek<strong>en</strong> naar <strong>kinderporno</strong>;<br />

11.274 signal<strong>en</strong> (melding<strong>en</strong> <strong>en</strong> aangift<strong>en</strong>) uit het<br />

bedrijfsprocess<strong>en</strong>systeem (X‐pol) van het politiekorps Amsterdam‐<br />

Amstelland die na beoordeling op relevantie <strong>en</strong> geblek<strong>en</strong> redundantie,<br />

kond<strong>en</strong> word<strong>en</strong> teruggebracht tot 233 voorvall<strong>en</strong> die er in verschill<strong>en</strong>de<br />

mate toe ded<strong>en</strong> 8 .<br />

Daarnaast is globaal gekek<strong>en</strong> naar de honeypots 9 die Govcert beheert. De<br />

bevinding<strong>en</strong> zijn afgezet teg<strong>en</strong> honeypots die word<strong>en</strong> beheerd door de organisatie<br />

QNL. Beide organisaties bezitt<strong>en</strong> 20 a 30 pots; QNL voornamelijk in Nederland <strong>en</strong><br />

Govcert ook in onder andere de Ver<strong>en</strong>igde Stat<strong>en</strong>, Latijns Amerika, Rusland <strong>en</strong><br />

China.<br />

7 Onderverdeeld naar amateur spam (59%), professionele spam (15%), amateur spyware (1%),<br />

combinatie van criminele activiteit<strong>en</strong> (14%) <strong>en</strong> overige dossiers (bijvoorbeeld overgedrag<strong>en</strong> aan andere<br />

di<strong>en</strong>st<strong>en</strong>: 13%).<br />

8 Van de 233 zak<strong>en</strong> hadd<strong>en</strong> er 4 betrekking op chantage, 3 op huisvredebreuk, 1 op pornografie, 75 op<br />

bedreiging, 71 op oplichting, 19 op computercriminaliteit <strong>en</strong> 60 viel<strong>en</strong> in de verzamelcategorie ‘overig’.<br />

De meeste zak<strong>en</strong> kunn<strong>en</strong> getypeerd word<strong>en</strong> als amateuristisch. De meest professionele gevall<strong>en</strong> betrof<br />

Nigerian<strong>en</strong><strong>fraud</strong>e <strong>en</strong> diefstal van persoonlijke gegev<strong>en</strong>s. In vijf zak<strong>en</strong> werd gebruik gemaakt van<br />

technologisch geavanceerde werkwijz<strong>en</strong>.<br />

9 Computersystem<strong>en</strong> die zich bewust kwetsbaar opstell<strong>en</strong> voor cyberaanvall<strong>en</strong>.<br />

28


De uitkomst<strong>en</strong> van de analyses war<strong>en</strong> niet bedoeld om e<strong>en</strong> repres<strong>en</strong>tatief beeld te<br />

gev<strong>en</strong>, maar om als basis te di<strong>en</strong><strong>en</strong> voor het sam<strong>en</strong>stell<strong>en</strong> van e<strong>en</strong> staalkaart van<br />

wat er in e<strong>en</strong> aantal variant<strong>en</strong> van cybercrime aan MO’s <strong>en</strong> daderroll<strong>en</strong> wordt<br />

aangetroff<strong>en</strong>.<br />

1.5 Onderzoeksresultaat<br />

De beschrijving<strong>en</strong> van MO’s <strong>en</strong> van daderk<strong>en</strong>merk<strong>en</strong> zijn op zichzelf hypothes<strong>en</strong>,<br />

ev<strong>en</strong>als de wijze van detecter<strong>en</strong> van deze MO’s <strong>en</strong> daders. Sommige elem<strong>en</strong>t<strong>en</strong> uit<br />

die hypothes<strong>en</strong> zijn geblek<strong>en</strong> uit opsporingsonderzoek<strong>en</strong>, andere zijn ontle<strong>en</strong>d aan<br />

wet<strong>en</strong>schappelijk onderzoek <strong>en</strong> oordel<strong>en</strong> van deskundig<strong>en</strong>, <strong>en</strong> weer andere zijn<br />

ontsprot<strong>en</strong> aan de creativiteit van de onderzoekers. Volg<strong>en</strong>s onze<br />

systeemtheoretische b<strong>en</strong>adering gaat het niet alle<strong>en</strong> om die afzonderlijke<br />

sam<strong>en</strong>stell<strong>en</strong>de del<strong>en</strong>, maar vooral ook om het inzicht dat het totaal geeft. M<strong>en</strong><br />

zou dat het plot kunn<strong>en</strong> noem<strong>en</strong> dat niet uit de afzonderlijke scènes is te lez<strong>en</strong><br />

maar uit het op elkaar betrekk<strong>en</strong> daarvan. Juist dat plot is belangrijk voor het<br />

kunn<strong>en</strong> invull<strong>en</strong> van de witte vlekk<strong>en</strong> binn<strong>en</strong> de totale MO van e<strong>en</strong> cybercrime<br />

delict.<br />

Consist<strong>en</strong>t met de ontwikkeling van de cybercrime waarop het betrekking heeft, is<br />

ook dit rapport niet af. Tal van onderdel<strong>en</strong> van MO’s <strong>en</strong> daderroll<strong>en</strong> kond<strong>en</strong> niet of<br />

slechts beperkt word<strong>en</strong> voorzi<strong>en</strong> van adequate hypothes<strong>en</strong>. De lezer wordt vooral<br />

aangemoedigd om daarop aan te vull<strong>en</strong>. Ondertuss<strong>en</strong> zijn dagelijks duiz<strong>en</strong>d<strong>en</strong><br />

m<strong>en</strong>s<strong>en</strong> gelijktijdig aan het programmer<strong>en</strong>, ontwerp<strong>en</strong> <strong>en</strong> implem<strong>en</strong>ter<strong>en</strong> binn<strong>en</strong><br />

het World Wide Web. E<strong>en</strong> aanzi<strong>en</strong>lijk deel daarvan laat zich inspirer<strong>en</strong> door de<br />

mogelijkhed<strong>en</strong> tot niet toegestane zelfverrijking. Daarmee gelijke tred houd<strong>en</strong> door<br />

middel van e<strong>en</strong> schriftelijk docum<strong>en</strong>t is ondo<strong>en</strong>lijk. Het rapport wil e<strong>en</strong> basis bied<strong>en</strong><br />

die aan de hand van tr<strong>en</strong>ds <strong>en</strong> vermoed<strong>en</strong>s steeds kan word<strong>en</strong> geactualiseerd als<br />

vorm van k<strong>en</strong>niscumulatie.<br />

Inher<strong>en</strong>t aan het will<strong>en</strong> detecter<strong>en</strong> van de cybercrime die schuil gaat in de ‘dark<br />

number’, is de inhoud van het rapport deels speculatief. M<strong>en</strong> wil immers niet alle<strong>en</strong><br />

naar de werkelijkheid kijk<strong>en</strong> vanuit wat er tot op dat mom<strong>en</strong>t in feitelijke<br />

onderzoek<strong>en</strong> aan MO’s <strong>en</strong> daderk<strong>en</strong>merk<strong>en</strong> is geblek<strong>en</strong>, maar zo mogelijk ook<br />

andere vorm<strong>en</strong> die buit<strong>en</strong> het gezichtsveld zijn geblev<strong>en</strong>, detecter<strong>en</strong>. Dat vereist<br />

e<strong>en</strong>zelfde inv<strong>en</strong>tiviteit als waarvan de cybercrimineel zich bedi<strong>en</strong>t, zij het dat die<br />

zich kan conc<strong>en</strong>trer<strong>en</strong> op één <strong>en</strong>kele succesvolle methode zonder het hele veld van<br />

29


cybercrime te hoev<strong>en</strong> beschrijv<strong>en</strong>. De beschrijving<strong>en</strong> <strong>en</strong> hypothes<strong>en</strong> uit dit rapport<br />

die daar het resultaat van zijn lat<strong>en</strong> zich in het kader van de vraag ‘hoe verder na<br />

het rapport’, aan de hand van drie vrag<strong>en</strong> beoordel<strong>en</strong>:<br />

1. Is de onderligg<strong>en</strong>de probleemstelling relevant?<br />

2. Is wat de hypothese stelt plausibel? <strong>en</strong> zo ja:<br />

3. Is ze de moeite van het nader onderzoek<strong>en</strong> (toepass<strong>en</strong> <strong>en</strong> toets<strong>en</strong>) waard?<br />

1.6 Strami<strong>en</strong> van het rapport<br />

Aan elk van de drie cybercrime clusters is in het rapport e<strong>en</strong> hoofdstuk gewijd. De<br />

hoofdstukk<strong>en</strong> zijn op dezelfde manier opgebouwd, te beginn<strong>en</strong> met e<strong>en</strong> korte<br />

begrips‐ <strong>en</strong> plaatsbepaling van wat de beschrev<strong>en</strong> vorm van cybercrime inhoudt <strong>en</strong><br />

hoe die zich mogelijk verhoudt tot andere vorm<strong>en</strong> van criminaliteit. Daarbij is<br />

aang<strong>en</strong>om<strong>en</strong> dat de lezer niet helemaal blanco staat t<strong>en</strong> opzichte van het<br />

onderwerp <strong>en</strong> wordt voor verdere basale uitleg verwez<strong>en</strong> naar alternatieve<br />

bronn<strong>en</strong>.<br />

Vervolg<strong>en</strong>s word<strong>en</strong> twee t<strong>en</strong>tatieve modell<strong>en</strong> geïntroduceerd <strong>en</strong> globaal in de vorm<br />

van overviews toegelicht. De modell<strong>en</strong> zijn in het Engels opgesteld omdat het nu<br />

e<strong>en</strong>maal de <strong>internet</strong>voertaal is, deze begripp<strong>en</strong> het meest bek<strong>en</strong>d zijn, <strong>en</strong> de<br />

professionals die actief zijn met prev<strong>en</strong>tie <strong>en</strong> bestrijding zich vooral van deze taal<br />

bedi<strong>en</strong><strong>en</strong>. Het eerste model beschrijft de MO’s (<strong>en</strong> de variaties daarop) zoals die in<br />

relatie tot de desbetreff<strong>en</strong>de verschijningsvorm van cybercrime zijn geblek<strong>en</strong> of<br />

word<strong>en</strong> verondersteld. Het tweede model beschrijft de verschill<strong>en</strong>de daderroll<strong>en</strong><br />

<strong>en</strong> hun sam<strong>en</strong>hang, zoals die in relatie tot de beschrev<strong>en</strong> vorm van cybercrime zijn<br />

onderscheid<strong>en</strong>. Daderroll<strong>en</strong> die door dezelfde of door verschill<strong>en</strong>de actor<strong>en</strong><br />

kunn<strong>en</strong> word<strong>en</strong> vervuld. Leun<strong>en</strong>d op deze modell<strong>en</strong> <strong>en</strong> de toelichting per<br />

onderdeel, gaan de hoofdstukk<strong>en</strong> meer de diepte in. De MO’s <strong>en</strong> deg<strong>en</strong><strong>en</strong> die<br />

daarin e<strong>en</strong> rol spel<strong>en</strong> word<strong>en</strong> beschrev<strong>en</strong>. Algem<strong>en</strong>e hypothes<strong>en</strong> <strong>en</strong> hypothes<strong>en</strong><br />

over detectie <strong>en</strong> daderk<strong>en</strong>merk<strong>en</strong> word<strong>en</strong> geïntroduceerd. Om deze van de overige<br />

tekst te onderscheid<strong>en</strong>, zijn ze steeds cursief gedrukt <strong>en</strong> tuss<strong>en</strong> dubbele<br />

aanhalingstek<strong>en</strong>s geplaatst. E<strong>en</strong> aantal elem<strong>en</strong>t<strong>en</strong> uit MO’s is niet specifiek voor<br />

één vorm van cybercrime <strong>en</strong> komt bij alle drie vorm<strong>en</strong> voor. Die elem<strong>en</strong>t<strong>en</strong> word<strong>en</strong><br />

op één plaats toegelicht om er naar te verwijz<strong>en</strong> op het mom<strong>en</strong>t dat hetzelfde<br />

elem<strong>en</strong>t ook in andere MO’s e<strong>en</strong> rol speelt.<br />

30


Het rapport sluit af met e<strong>en</strong> sam<strong>en</strong>vatting waarin ook de deelvrag<strong>en</strong> <strong>en</strong> de c<strong>en</strong>trale<br />

vraagstelling word<strong>en</strong> beantwoord. Daarbij wordt nadrukkelijk gereflecteerd op de<br />

kwaliteit van het onderzoeksmateriaal, de bruikbaarheid van de gevolgde<br />

methodiek <strong>en</strong> de beantwoording van de vraag ‘hoe verder’.<br />

31


Hoofdstuk 2 Gegev<strong>en</strong>sdiefstal<br />

middels spam/phishing<br />

Van de drie in dit rapport beschrev<strong>en</strong> vorm<strong>en</strong> van <strong>internet</strong>gerelateerde<br />

cybercrime, is phishing de meest dynamische. In vergelijking tot <strong>kinderporno</strong> <strong>en</strong><br />

<strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>, zijn ook meer van de verschill<strong>en</strong>de processtapp<strong>en</strong><br />

binn<strong>en</strong> het phishingproces aan het <strong>internet</strong> gerelateerd. Het <strong>internet</strong> <strong>en</strong><br />

<strong>internet</strong>applicaties word<strong>en</strong> op zich gemalverseerd, terwijl het <strong>internet</strong> in de<br />

andere twee vorm<strong>en</strong> eig<strong>en</strong>lijk instrum<strong>en</strong>teel gebruikt wordt waarvoor het is<br />

bedoeld. Met gebruikmaking van dossieronderzoek, interviews <strong>en</strong> in‐depth<br />

<strong>internet</strong> research, is het phishingproces over de onderzoeksperiode in kaart<br />

gebracht. Phishers bed<strong>en</strong>k<strong>en</strong> ondertuss<strong>en</strong> steeds nieuwe variant<strong>en</strong> op het<br />

h<strong>en</strong>gel<strong>en</strong> naar gegev<strong>en</strong>s waarvan e<strong>en</strong> aantal is ontdekt, maar waarschijnlijk e<strong>en</strong><br />

belangrijk aantal ook niet. Binn<strong>en</strong> de evolutie van deze variant<strong>en</strong> zijn twee<br />

onmisk<strong>en</strong>bare basisprincipes of, beter gezegd, motiev<strong>en</strong> terug te vind<strong>en</strong>,<br />

uitgedrukt in het strev<strong>en</strong> van phishers om steeds onopgemerkter voor de<br />

gebruiker gegev<strong>en</strong>sstrom<strong>en</strong> af te tapp<strong>en</strong>. Het hoofdstuk begint met het<br />

beschrijv<strong>en</strong> van deze principes <strong>en</strong> illustreert die met e<strong>en</strong> paar voorbeeld<strong>en</strong>. Die<br />

vorm<strong>en</strong> de opmaat voor het definiër<strong>en</strong> <strong>en</strong> vooral specificer<strong>en</strong> van het<br />

phishingproces. Volg<strong>en</strong>s het basisstrami<strong>en</strong> is het hoofdstuk opgedeeld in twee<br />

hoofdmot<strong>en</strong>. De eerste beschrijft MO’s van phishers in e<strong>en</strong> aantal processtapp<strong>en</strong><br />

die opvall<strong>en</strong>d constant zijn; ondanks de variatie per processtap. In de MO’s wordt<br />

onderscheid gemaakt in klassieke <strong>en</strong> meer geavanceerde phishing. Waar mogelijk<br />

word<strong>en</strong> MO‐elem<strong>en</strong>t<strong>en</strong> voorzi<strong>en</strong> van hypothes<strong>en</strong> over de wijze waarop ze<br />

mogelijk kunn<strong>en</strong> word<strong>en</strong> gedetecteerd. Het onderbr<strong>en</strong>g<strong>en</strong> van dat soort<br />

hypothes<strong>en</strong> in e<strong>en</strong> onderzoeksverslag, verhoudt zich moeilijk tot het dynamische<br />

karakter van de handeling<strong>en</strong> waarop ze betrekking hebb<strong>en</strong>. Terughoud<strong>en</strong>dheid is<br />

daarom betracht. Het tweede deel betreft het complex aan roll<strong>en</strong> dat in relatie<br />

tot phishing is te onderscheid<strong>en</strong>. Die roll<strong>en</strong> blijk<strong>en</strong> veel minder te evoluer<strong>en</strong> dan<br />

de MO’s. Beide invalshoek<strong>en</strong> word<strong>en</strong> ondersteund door schema’s die inzicht<br />

gev<strong>en</strong> in de onderlinge relatie van MO‐elem<strong>en</strong>t<strong>en</strong> <strong>en</strong> van roll<strong>en</strong>.<br />

Procesbeschrijving <strong>en</strong> roll<strong>en</strong>complex zijn sam<strong>en</strong>gesteld uit interviews, extracties<br />

uit bedrijfsprocess<strong>en</strong>system<strong>en</strong>, onderzoeksdossiers, <strong>internet</strong>bronn<strong>en</strong> <strong>en</strong> ‘filling in<br />

the blanks’. Het resultaat daarvan is voorgelegd aan e<strong>en</strong> groep van Nederlandse<br />

anti‐phishingdeskundig<strong>en</strong>. Hun op‐ <strong>en</strong> aanmerking<strong>en</strong> zijn in het hoofdstuk<br />

verwerkt. In e<strong>en</strong> afsluit<strong>en</strong>de paragraaf wordt ingegaan op de kwaliteit van het<br />

onderzoeksmateriaal <strong>en</strong> op de less<strong>en</strong> die uit het onderzoek kunn<strong>en</strong> word<strong>en</strong><br />

getrokk<strong>en</strong> qua ‘k<strong>en</strong>niscumulatie’.<br />

33


2.1 Begrip- <strong>en</strong> plaatsbepaling phishing<br />

Voorbeeld<strong>en</strong><br />

Veel e‐mailgebruikers zull<strong>en</strong> ooit bericht<strong>en</strong> in hun mailbox hebb<strong>en</strong> aangetroff<strong>en</strong><br />

zoals op de volg<strong>en</strong>de pagina onder ‘<strong>Phishing</strong> MO1’ is aangegev<strong>en</strong>. E<strong>en</strong> automatisch<br />

vertaalde tekst vol grammaticale fout<strong>en</strong> die suggereert van e<strong>en</strong> betrouwbare<br />

afz<strong>en</strong>der afkomstig te zijn (in casu e<strong>en</strong> financiële instelling) <strong>en</strong> die de ontvanger<br />

uitnodigt om op e<strong>en</strong> link in het bericht te klikk<strong>en</strong>. Deze link leidt door naar e<strong>en</strong><br />

tweede pagina, waarop inloggegev<strong>en</strong>s moet<strong>en</strong> word<strong>en</strong> ingevoerd om het<br />

aangekondigde ongemak in het bancaire verkeer te voorkom<strong>en</strong>. Nog steeds<br />

word<strong>en</strong> dit soort wat knullige voorbeeld<strong>en</strong> van het h<strong>en</strong>gel<strong>en</strong> naar inloggegev<strong>en</strong>s<br />

aangetroff<strong>en</strong>, ook al zoekt de phishingwereld continue naar mogelijkhed<strong>en</strong> om<br />

phishingmethod<strong>en</strong> te verfijn<strong>en</strong>, opsporing te bemoeilijk<strong>en</strong>, verhoogde<br />

veiligheidsmaatregel<strong>en</strong> te omzeil<strong>en</strong>, <strong>en</strong> vervalste websites steeds verder te<br />

perfectioner<strong>en</strong>.<br />

<strong>Phishing</strong> MO 1<br />

“Geachte klant….<br />

“….Uw rek<strong>en</strong>ing is geblokkeerd vanwege te veel ongeldige login poging<strong>en</strong>. U zult<br />

niet kunn<strong>en</strong> verz<strong>en</strong>d<strong>en</strong> <strong>en</strong> ontvang<strong>en</strong> van geld totdat uw rek<strong>en</strong>ing is geactiveerd.<br />

Klik hier om blok te verwijder<strong>en</strong> uit uw rek<strong>en</strong>ing:<br />

https://mijn.ing.nl/<strong>internet</strong>bankier<strong>en</strong>/SesamLoginServlet Niet aan de blokkering van<br />

uw rek<strong>en</strong>ing zal leid<strong>en</strong> tijdelijke schorsing. Met vri<strong>en</strong>delijke groet,<br />

Technische di<strong>en</strong>st<strong>en</strong> Mijn ING.”<br />

Bron: www.media.leid<strong>en</strong>univ.nl/legacy/Voorbeeld_phishing_mail_ING-bank.pdf,<br />

laatst geraadpleegd 17 maart 2009.<br />

Al lang gaat het phishers niet meer alle<strong>en</strong> om het achterhal<strong>en</strong> van inloggegev<strong>en</strong>s.<br />

Er wordt naar meer geh<strong>en</strong>geld, bijvoorbeeld naar e‐mailadress<strong>en</strong> <strong>en</strong><br />

persoonsgegev<strong>en</strong>s als basis voor spam‐targeting, of naar game‐keys. Zo maakt<br />

spam deel uit van de MO van phishing <strong>en</strong> kan phishing e<strong>en</strong> basis zijn voor het<br />

gericht verstur<strong>en</strong> van spam. De ontwikkeling van de verschill<strong>en</strong>de<br />

phishingmethod<strong>en</strong> is terug te voer<strong>en</strong> op twee onderligg<strong>en</strong>de principes:<br />

1. Het strev<strong>en</strong> naar niet van echt te onderscheid<strong>en</strong> communicatie waardoor<br />

de nietsvermoed<strong>en</strong>de gebruiker d<strong>en</strong>kt te mak<strong>en</strong> te hebb<strong>en</strong> met e<strong>en</strong><br />

bonafide instelling in plaats van e<strong>en</strong> phisher, <strong>en</strong> vertrouwelijke gegev<strong>en</strong>s<br />

34


ek<strong>en</strong>d maakt. In deze vorm van klassieke phishing word<strong>en</strong> vooral e‐mails<br />

gebruikt om de gebruiker tot e<strong>en</strong> bepaalde handeling te verleid<strong>en</strong>. Het is<br />

e<strong>en</strong> 'man‐in‐the‐middle'‐techniek waarbij de cybercrimineel zich t<strong>en</strong><br />

opzichte van de gebruikers voordoet als de website van de bank. Hij<br />

onderschept de data die de rek<strong>en</strong>inghouder invult om dan vervolg<strong>en</strong>s met<br />

deze gegev<strong>en</strong>s in te logg<strong>en</strong> op de site van de echte bank.<br />

2. Het strev<strong>en</strong> naar onzichtbare afvanging van vertrouwelijke gegev<strong>en</strong>s van<br />

e<strong>en</strong> gebruiker zonder dat deze daarvan ook maar iets merkt. Bij deze vorm<br />

hoeft de klant niets bewust te do<strong>en</strong> <strong>en</strong> kan het download<strong>en</strong> van e<strong>en</strong><br />

willekeurig .pdf bestand voldo<strong>en</strong>de zijn om e<strong>en</strong> PC te besmett<strong>en</strong>. De<br />

schadelijke code wordt geactiveerd zodra de gebruiker de site van zijn<br />

online bank bezoekt. Deze malware kan de informatie (login <strong>en</strong><br />

wachtwoord) die de gebruiker invoert op de site van de bank<br />

onderschepp<strong>en</strong>. E<strong>en</strong> voorbeeld van deze techniek wordt ‘man‐in‐thebrowser’<br />

g<strong>en</strong>oemd; doel<strong>en</strong>d op de cybercrimineel die zich onzichtbaar<br />

heeft g<strong>en</strong>esteld in de browser van e<strong>en</strong> gebruiker, waarna die browser<br />

afhankelijk van de sites die word<strong>en</strong> bezocht, e<strong>en</strong> door de cybercrimineel<br />

voorgeprogrammeerd gedrag vertoont.<br />

Beide principes evoluer<strong>en</strong>, waarbij er ook combinaties voorkom<strong>en</strong> zoals blijkt uit<br />

het volg<strong>en</strong>de voorbeeld.<br />

<strong>Phishing</strong> MO 2<br />

“Liefe klant”<br />

Er word<strong>en</strong> volgordelijk twee e-mails nam<strong>en</strong>s e<strong>en</strong> bank verspreid. De eerste is<br />

duidelijk niet van de bank <strong>en</strong> knullig opgesteld (’liefe klant’). In e<strong>en</strong> opvolg<strong>en</strong>de<br />

tweede mail die er strak uitziet <strong>en</strong> logo-elem<strong>en</strong>t<strong>en</strong> van de bank heeft, wordt aan de<br />

eerste mail gerefereerd onder gelijktijdig adviser<strong>en</strong> van e<strong>en</strong> beveiligingsupdate die<br />

wordt aangebod<strong>en</strong> nam<strong>en</strong>s de bank. Installatie van deze update installeert<br />

malware. Zodra de klant de toets<strong>en</strong>combinatie van de website van de bank invoert,<br />

wordt e<strong>en</strong> nepwebsite als masker over de echte site getoond. De klant merkt daar<br />

niets van <strong>en</strong> voert gegev<strong>en</strong>s in <strong>en</strong> stelt betalingsopdracht<strong>en</strong> op. Het masker geeft<br />

de betaling<strong>en</strong> door aan de echte site <strong>en</strong> als de betalingsopdracht wordt ingevoerd,<br />

wordt e<strong>en</strong> foutmelding gegev<strong>en</strong>. De klant moet opnieuw inlogg<strong>en</strong>. Gedur<strong>en</strong>de die<br />

tijd word<strong>en</strong> andere betalingsgegev<strong>en</strong>s aan de reeds ingevoerde betaling<strong>en</strong><br />

toegevoegd. De klant ziet deze opdracht<strong>en</strong> niet <strong>en</strong> autoriseert de ongew<strong>en</strong>ste<br />

betaling<strong>en</strong> als het ware zelf.<br />

Bron: www.zdnet.nl/news/51156/weer-postbank-phish-in-omloop/, 24 november<br />

2005.<br />

35


De phisher bedi<strong>en</strong>t zich in dit voorbeeld nog steeds van e‐mail <strong>en</strong> e<strong>en</strong> type<br />

boodschap waar e<strong>en</strong> deel van de gebruikers argwan<strong>en</strong>d teg<strong>en</strong>over zal staan. Deze<br />

methodiek heeft zich dan ook verder geëvolueerd tot het zog<strong>en</strong>aamde in‐session<br />

phishing (Jackson Higgins, 2009). Via links <strong>en</strong> advert<strong>en</strong>ties op veel bezochte sites<br />

(bijvoorbeeld pornosites of koopsites van boek<strong>en</strong>) wordt e<strong>en</strong> klein programma<br />

(malware) gedistribueerd dat checkt of er feitelijk gebankierd wordt op de<br />

computer <strong>en</strong> als dat zo is dan verschijnt e<strong>en</strong> (niet van echt te onderscheid<strong>en</strong>) popup<br />

v<strong>en</strong>ster dat claimt dat de sessie verlop<strong>en</strong> is <strong>en</strong> de gebruiker vraagt om opnieuw<br />

in te logg<strong>en</strong>. Phishers hoev<strong>en</strong> alle<strong>en</strong> maar e<strong>en</strong> klein pop‐up v<strong>en</strong>ster te bouw<strong>en</strong>, dat<br />

om gebruikersnaam <strong>en</strong> wachtwoord vraagt. Het is moeilijk om daar niet in te<br />

trapp<strong>en</strong>. M<strong>en</strong> is immers feitelijk aan het bankier<strong>en</strong> <strong>en</strong> krijgt dan e<strong>en</strong> volstrekt<br />

vertrouwd scherm te zi<strong>en</strong> dat iets volkom<strong>en</strong> redelijks vraagt.<br />

Definitie<br />

<strong>Phishing</strong> staat oorspronkelijk voor ‘password harvesting fishing’, maar elke vorm<br />

van viss<strong>en</strong>/h<strong>en</strong>gel<strong>en</strong> via <strong>internet</strong> met als doel het verkrijg<strong>en</strong> van vertrouwelijke<br />

informatie van slachtoffers valt onder phishing. Het kan hierbij o.a. gaan om het<br />

achterhal<strong>en</strong> van creditcardgegev<strong>en</strong>s (de combinatie van nummer, verloopdatum <strong>en</strong><br />

veiligheidscodes), het verkrijg<strong>en</strong> van inlogcodes voor spell<strong>en</strong> of het verkrijg<strong>en</strong> van<br />

toegang tot bankgegev<strong>en</strong>s van derd<strong>en</strong>. Bij moderne phishing is in to<strong>en</strong>em<strong>en</strong>de<br />

mate ge<strong>en</strong> actie meer nodig van de gedupeerde. De ontwikkeling waarbij het<br />

verschil tuss<strong>en</strong> echte <strong>en</strong> valse betaling<strong>en</strong> steeds kleiner wordt, is nog lang niet t<strong>en</strong><br />

einde. De verschill<strong>en</strong>de voorkom<strong>en</strong>de variant<strong>en</strong> lat<strong>en</strong> zich op e<strong>en</strong> aantal manier<strong>en</strong><br />

ord<strong>en</strong><strong>en</strong> (Chawki, 2006).<br />

Dragnet phishing<br />

Grote hoeveelhed<strong>en</strong> e‐mails, die door het gebruik van logo’s e.d. afkomstig lijk<strong>en</strong> te<br />

zijn van e<strong>en</strong> bestaande instelling, die breed <strong>en</strong> ongericht word<strong>en</strong> verzond<strong>en</strong> (spam)<br />

<strong>en</strong> via links doorleid<strong>en</strong> naar ev<strong>en</strong>e<strong>en</strong>s echt lijk<strong>en</strong>de websites (spoof) die vrag<strong>en</strong> om<br />

gebruikersgegev<strong>en</strong>s in te voer<strong>en</strong>. De phisher die zich van deze methode bedi<strong>en</strong>t<br />

vertrouwt op de kwaliteit van de misleid<strong>en</strong>de informatie <strong>en</strong> het feit dat er zich<br />

onder de adressant<strong>en</strong> in ieder geval e<strong>en</strong> aantal m<strong>en</strong>s<strong>en</strong> bevindt dat klant is bij de<br />

nagebootste instelling.<br />

Spear‐phishing (‘Rod‐ and‐ Reel’ methode)<br />

Doelgerichte vorm van phishing op specifieke doelgroep<strong>en</strong> waarvoor de phishing<br />

boodschap (mail) inhoudelijk <strong>en</strong> qua vormgeving specifiek van die doelgroep<br />

afhankelijke elem<strong>en</strong>t<strong>en</strong> bevat, zodat ze afkomstig lijkt van e<strong>en</strong> collega, e<strong>en</strong> bek<strong>en</strong>d<br />

bedrijf, e<strong>en</strong> klant etc.<br />

36


Gillnet phishing<br />

Gilnetting wordt door echte vissers gebruikt om alle<strong>en</strong> e<strong>en</strong> bepaalde vissoort in hun<br />

nett<strong>en</strong> te vang<strong>en</strong>, zonder ongew<strong>en</strong>ste bijvangst. Binn<strong>en</strong> de context van het <strong>internet</strong><br />

staat het voor e<strong>en</strong> op social <strong>en</strong>gineering gebaseerde vorm van malware distributie<br />

(Trojan) die specifiek aansluit op bijvoorbeeld aangeslot<strong>en</strong><strong>en</strong> bij e<strong>en</strong> specifieke<br />

bank.<br />

Pharming<br />

Pharming (password farming) bestaat uit het misleid<strong>en</strong> van <strong>internet</strong>gebruikers door<br />

hun verkeer met e<strong>en</strong> bepaalde server ongemerkt om te leid<strong>en</strong> naar e<strong>en</strong> andere<br />

server. Bij pharming wordt e<strong>en</strong> DNS‐server aangevall<strong>en</strong> <strong>en</strong> wordt het <strong>internet</strong>adres<br />

van e<strong>en</strong> bepaalde domeinnaam gewijzigd. Dat vraagt overig<strong>en</strong>s om de<br />

deskundigheid van e<strong>en</strong> hacker. De nietsvermoed<strong>en</strong>de surfer typt het bek<strong>en</strong>de<br />

webadres in, maar komt op e<strong>en</strong> nagebootste site terecht. Indi<strong>en</strong> dit bijvoorbeeld de<br />

site van e<strong>en</strong> bank is, dan kan e<strong>en</strong> kwaadwillige hacker vervolg<strong>en</strong>s gevoelige<br />

gegev<strong>en</strong>s aan de gebruiker ontfutsel<strong>en</strong>. Pharming is in beginsel mogelijk door e<strong>en</strong><br />

kwetsbaarheid in de DNS‐server software. DNS‐servers zijn servers die<br />

domeinnam<strong>en</strong> omzett<strong>en</strong> in werkelijke IP‐adress<strong>en</strong> die bestaan uit neg<strong>en</strong> cijfers. Als<br />

e<strong>en</strong> hacker er in slaagt de tabel van e<strong>en</strong> DNS‐server te wijzig<strong>en</strong>, kan de gebruiker<br />

door het intyp<strong>en</strong> van de domeinnaam op e<strong>en</strong> heel andere webserver beland<strong>en</strong>. De<br />

<strong>internet</strong>gebruiker merkt hier niets van, ook anti‐ virus programma's of anti‐spyware<br />

software bescherm<strong>en</strong> niet teg<strong>en</strong> pharming.<br />

‘Hack and Pier’ <strong>Phishing</strong><br />

In teg<strong>en</strong>stelling tot de vorige vorm<strong>en</strong> waarbij de phisher aan gegev<strong>en</strong>s probeert te<br />

kom<strong>en</strong> buit<strong>en</strong> de financiële instelling om, nestelt de ‘hack and pier’ phisher zich<br />

binn<strong>en</strong> de financiële instelling zelf (Spamfighter, 2008). Door gebruik te mak<strong>en</strong> van<br />

kwetsbaarhed<strong>en</strong> in reguliere software, verankert de phisher zich in de originele<br />

website van de financiële instelling <strong>en</strong> toont in die site bijvoorbeeld pop‐ups<br />

(Westervelt, 2009). Naar analogie van de andere twee vorm<strong>en</strong> (‘man‐in‐the‐middle’<br />

<strong>en</strong> ‘man‐in‐the‐browser’), zoud<strong>en</strong> we dit kunn<strong>en</strong> typer<strong>en</strong> als ‘man‐in‐the‐target’.<br />

Spam<br />

Spam is de verzamelnaam voor alle ongew<strong>en</strong>ste (massa)post. Spam is van origine<br />

e<strong>en</strong> methode om snel <strong>en</strong> simpel e<strong>en</strong> groot publiek te bereik<strong>en</strong> voor marketing<br />

doeleind<strong>en</strong>. Vrijwel iedere<strong>en</strong> zal de <strong>en</strong>velopp<strong>en</strong> k<strong>en</strong>n<strong>en</strong> (vaak gericht geadresseerd)<br />

met ‘uw persoonlijke geluksnummer’ of ‘Gefeliciteerd mijnheer/mevrouw …...’ De<br />

bek<strong>en</strong>de Nigerian<strong>en</strong><strong>fraud</strong>e (4.1.9‐scam) borduurt voort op deze aanpak door<br />

bijvoorbeeld erf<strong>en</strong>iss<strong>en</strong> in het vooruitzicht te stell<strong>en</strong> nadat de ‘gelukkige’ kost<strong>en</strong><br />

heeft voldaan. Teg<strong>en</strong>woordig is spam steeds vaker e<strong>en</strong> onderdeel van<br />

37


ingewikkelder vorm<strong>en</strong> van cybercrime. Geschat wordt dat van al het elektronische<br />

postverkeer ongeveer 80‐90 % bestaat uit spam. Spam heeft zich net als de gehele<br />

virtuele wereld snel ontwikkeld. Ook op fora, in messaging programma’s <strong>en</strong> via<br />

video websites wordt spam verspreid. Spam is zeer populair door de lage kost<strong>en</strong>,<br />

de grote reikwijdte (e<strong>en</strong> spammer kan r<strong>en</strong>dabel miljo<strong>en</strong><strong>en</strong> spambericht<strong>en</strong><br />

verstur<strong>en</strong> om slechts één product te verkop<strong>en</strong>) <strong>en</strong> het feit dat spamm<strong>en</strong> in veel<br />

land<strong>en</strong> ge<strong>en</strong> misdrijf is. Spam is steeds meer e<strong>en</strong> onderdeel geword<strong>en</strong> van de MO’s<br />

om andere delict<strong>en</strong> zoals phishing te pleg<strong>en</strong>. Vanuit dat perspectief wordt spam in<br />

dit hoofdstuk ook behandeld.<br />

2.2 Modus operandi<br />

Het hoofdproces van phishing is ondergebracht in 12 stapp<strong>en</strong> (zie Figuur 1). De<br />

volgordelijkheid die het schema suggereert is logisch, maar niet dwing<strong>en</strong>d. In het<br />

schema is onderscheid gemaakt tuss<strong>en</strong> de meer klassieke vorm<strong>en</strong> van phishing<br />

waarin de phisher zich vermomt als e<strong>en</strong> betrouwbare instelling <strong>en</strong> de gebruiker<br />

probeert te verleid<strong>en</strong> tot e<strong>en</strong> bezoek aan e<strong>en</strong> nepwebsite, <strong>en</strong> meer ‘sophisticated’<br />

phishing waarin malware de hoofdrol speelt <strong>en</strong> de gebruiker vrijwel of helemaal<br />

onbewust betrokk<strong>en</strong> raakt in phishing.<br />

2.2.1 Klassieke phishing<br />

Als eerste moet e<strong>en</strong> phisher zijn doelwit bepal<strong>en</strong> [1]. Sam<strong>en</strong> met de hulpmiddel<strong>en</strong><br />

die hij binn<strong>en</strong> zijn bereik heeft, dicteert deze keuze ook voor e<strong>en</strong> belangrijk deel de<br />

andere activiteit<strong>en</strong> in het hoofdproces. Omdat linksom of rechtsom het <strong>internet</strong><br />

e<strong>en</strong> belangrijke rol speelt, zal de phisher zijn MO moet<strong>en</strong> ondersteun<strong>en</strong> door<br />

webdocum<strong>en</strong>t<strong>en</strong> <strong>en</strong> websites. Die moet<strong>en</strong> word<strong>en</strong> ontworp<strong>en</strong> [2]. Zeld<strong>en</strong> zal e<strong>en</strong><br />

phisher alle daarvoor b<strong>en</strong>odigde hulpmiddel<strong>en</strong> of technische ondersteuning zelf in<br />

huis hebb<strong>en</strong>. Door inschakeling van derd<strong>en</strong> voorziet hij zich van adress<strong>en</strong>, di<strong>en</strong>st<strong>en</strong><br />

<strong>en</strong>/of faciliteit<strong>en</strong> [3a‐3c]. In de klassieke vorm is e<strong>en</strong> domeinnaam nodig om<br />

gebruikers te misleid<strong>en</strong> <strong>en</strong> hun <strong>internet</strong>verkeer om te leid<strong>en</strong> naar e<strong>en</strong> fakewebsite<br />

[4]. Om toegankelijk te zijn, moet die site erg<strong>en</strong>s op e<strong>en</strong> <strong>internet</strong>server word<strong>en</strong><br />

gehost [5]. Hij uploadt de nepsite naar deze server [6]. Die staat vanaf dat mom<strong>en</strong>t<br />

klaar om slachtoffers te ontvang<strong>en</strong>. De phisher had al e<strong>en</strong> keuze gemaakt op welke<br />

slachtoffers hij zich wil richt<strong>en</strong>. In dit stadium van het proces, is het zaak om die<br />

slachtoffers daadwerkelijk te gaan b<strong>en</strong>ader<strong>en</strong>, bijvoorbeeld met e<strong>en</strong> e‐mail. Voor<br />

het bezorg<strong>en</strong> van die mail maakt de phisher gebruik van faciliteit<strong>en</strong> van derd<strong>en</strong> om<br />

38


zelf buit<strong>en</strong> schot te blijv<strong>en</strong> [7a]. De phisher moet nog wel aangev<strong>en</strong> naar wie de<br />

mail moet word<strong>en</strong> verzond<strong>en</strong>. Na verz<strong>en</strong>ding is het wacht<strong>en</strong> op slachtoffers die op<br />

de mail ingaan <strong>en</strong> bijvoorbeeld hun inloggegev<strong>en</strong>s van de bank op de nepwebsite<br />

intyp<strong>en</strong> [8]. De phisher haalt die gegev<strong>en</strong>s vervolg<strong>en</strong>s naar zich toe [9a] <strong>en</strong><br />

misbruikt ze bijvoorbeeld om e<strong>en</strong> bankrek<strong>en</strong>ing leeg te hal<strong>en</strong> of om spull<strong>en</strong> aan te<br />

schaff<strong>en</strong>, dan wel verkoopt de gegev<strong>en</strong>s aan ander<strong>en</strong> [10]. Betalingsopdracht<strong>en</strong><br />

doet hij natuurlijk niet met zichzelf als begunstigde. In stap 3a heeft hij zich al van<br />

katvangers voorzi<strong>en</strong> op wi<strong>en</strong>s rek<strong>en</strong>ing het geld wordt overgemaakt [11], om het<br />

daarna bijvoorbeeld met e<strong>en</strong> money transfer naar zichzelf door te lat<strong>en</strong> sluiz<strong>en</strong><br />

[12]. Het phishingproces is daarmee voltooid.<br />

39


Jobsite<br />

(supply)<br />

Mass<br />

1. Determine<br />

target<br />

Spear<br />

Recruite<br />

site<br />

6. Upload<br />

webcont<strong>en</strong>t<br />

Spoofsite<br />

classic<br />

2. Design for<br />

web<br />

sophisticated<br />

Message<br />

Ad’s/<br />

popup<br />

Jobsite<br />

(demand)<br />

Social Net-<br />

Work site<br />

3a. Staff<br />

recruitm<strong>en</strong>t<br />

Peergroup<br />

Fora<br />

Spam<br />

Buy<br />

Crawl<br />

3b. Acquire<br />

addresses<br />

Buy<br />

Free<br />

4. Acquire<br />

domain<br />

Kite<br />

Hijack<br />

Regular<br />

Creditcard<br />

Bulletproof<br />

buy<br />

5. Acquire<br />

hosting<br />

steal<br />

Hack<br />

webserver<br />

Mass<br />

mailer<br />

Botnet<br />

7a. Acquire<br />

mail delivery<br />

PWND<br />

computer<br />

Buy/create<br />

spam<br />

Op<strong>en</strong> spoof<br />

page<br />

Mass mail<br />

Activate<br />

address<br />

8. Acquire<br />

victims<br />

Fake DNS<br />

reply<br />

Session<br />

hijack<br />

Push by<br />

email<br />

Push by<br />

IM<br />

9. Receive<br />

cred<strong>en</strong>tials<br />

Data<br />

download<br />

Polling<br />

spoof<br />

Bank<br />

account<br />

abuse<br />

Creditcard<br />

abuse<br />

(whitdrawl)<br />

Creditcard<br />

abuse<br />

(purchase)<br />

Change of<br />

information<br />

directly<br />

10. Acquire<br />

profit<br />

indirectly<br />

Cred<strong>en</strong>tial<br />

abuse (ebay,<br />

paypal)<br />

Profiling<br />

Mail<br />

11. Activate<br />

mules<br />

Phone<br />

Exchange<br />

office<br />

Money<br />

transfers<br />

(Online)<br />

Product<br />

paym<strong>en</strong>t<br />

12. Receive<br />

money<br />

Physical<br />

money<br />

transport<br />

Web-money<br />

Hack mail<br />

server)<br />

Id<strong>en</strong>tity<br />

theft<br />

Malware<br />

Blogs<br />

Spam<br />

Packers<br />

Advertise<br />

m<strong>en</strong>ts<br />

ADspace<br />

7b. Method<br />

of infection<br />

3c. Acquire<br />

facilities<br />

P2P<br />

DIY kit<br />

Freeware<br />

IM<br />

Drive by<br />

Figuur 1: Gegev<strong>en</strong>sdiefstal middels phishing: Stapp<strong>en</strong> in het hoofdproces <strong>en</strong> variant<strong>en</strong> per processtap (klassiek= rood; sophisticated=blauw)<br />

41


2.2.2 Sophisticated phishing<br />

In de ‘sophisticated’ variant, draait het niet om e<strong>en</strong> nepwebsite waar slachtoffers<br />

naar toe word<strong>en</strong> gelokt, maar om het installer<strong>en</strong> van malware op de computer van<br />

het slachtoffer. Die malware moet op de computer bijvoorbeeld e<strong>en</strong> pop‐up<br />

v<strong>en</strong>ster lat<strong>en</strong> zi<strong>en</strong>. Dat v<strong>en</strong>ster wordt visueel ontworp<strong>en</strong> in stap 2 <strong>en</strong> de malware<br />

(Trojan) die het installeert wordt aangeschaft in stap 3b <strong>en</strong> 3c. Vervolg<strong>en</strong>s kiest de<br />

phisher e<strong>en</strong> weg of meerdere weg<strong>en</strong> om de computer van slachtoffers te infecter<strong>en</strong><br />

[7b]. Is dat gelukt dan pakt de malware zich uit <strong>en</strong> installeert zich [8b]. Afhankelijk<br />

van het voorgeprogrammeerde gedrag, maakt de software slachtoffers [8], waarna<br />

het phishingproces ongeveer op dezelfde wijze verloopt als in de klassieke variant.<br />

De procesbeschrijving in de achtere<strong>en</strong>volg<strong>en</strong>de paragraf<strong>en</strong> is e<strong>en</strong> optelsom van wat<br />

er zoal aan MO‐elem<strong>en</strong>t<strong>en</strong> tijd<strong>en</strong>s het onderzoek is aangetroff<strong>en</strong>, zonder<br />

uitsprak<strong>en</strong> te do<strong>en</strong> welke elem<strong>en</strong>t<strong>en</strong> vaker <strong>en</strong> welke minder vaak voorkom<strong>en</strong>. M<strong>en</strong><br />

kan de MO‐elem<strong>en</strong>t<strong>en</strong> dan ook in wissel<strong>en</strong>de combinaties <strong>en</strong> uite<strong>en</strong>lop<strong>en</strong>de<br />

frequ<strong>en</strong>tie in de praktijk teg<strong>en</strong>kom<strong>en</strong>. Ondertuss<strong>en</strong> ontwikkel<strong>en</strong> method<strong>en</strong> zich<br />

voortdur<strong>en</strong>d, zij het dat opvall<strong>en</strong>d g<strong>en</strong>oeg (maar ook logisch) bepaalde<br />

processtapp<strong>en</strong> redelijk ongewijzigd blijv<strong>en</strong>: die aan het begin <strong>en</strong> die aan het eind<br />

van de procesgang.<br />

2.3 Stap 1 Determine target<br />

De eerste stap in het pleg<strong>en</strong> van e<strong>en</strong> phishing aanval is het bepal<strong>en</strong> van de<br />

instelling die aangevall<strong>en</strong> gaat word<strong>en</strong>. Vaak zijn dit bank<strong>en</strong>, maar ook Ebay of<br />

andere veilingsites, Paypal <strong>en</strong> <strong>internet</strong> service providers, zoals AOL (America<br />

Online), word<strong>en</strong> veelvuldig gebruikt voor het pleg<strong>en</strong> van phishing aanvall<strong>en</strong>. Op<br />

<strong>internet</strong> zijn maandelijkse rapportages te vind<strong>en</strong> van de meest aangevall<strong>en</strong><br />

financiële instelling<strong>en</strong>. Voor de phisher geld<strong>en</strong> twee overweging<strong>en</strong> voor de keuze<br />

van het phishing doelwit.<br />

1. Mass: grote instelling<strong>en</strong> k<strong>en</strong>n<strong>en</strong> veel klant<strong>en</strong> die m<strong>en</strong> kan bereik<strong>en</strong> met e<strong>en</strong><br />

grote hoeveelheid weinig gerichte spam. De kans dat tuss<strong>en</strong> dat brede schot<br />

hagel zich klant<strong>en</strong> bevind<strong>en</strong> van die instelling is groot. Deze vorm van spam is<br />

goedkoop, maar k<strong>en</strong>t als keerzijde dat ze snel opvalt <strong>en</strong> dat grote instelling<strong>en</strong><br />

zichzelf <strong>en</strong> hun klant<strong>en</strong> op allerlei manier<strong>en</strong> teg<strong>en</strong> aanvall<strong>en</strong> bescherm<strong>en</strong>.<br />

43


2. Spear: kleine instelling<strong>en</strong> k<strong>en</strong>n<strong>en</strong> minder klant<strong>en</strong>. Wil m<strong>en</strong> die bereik<strong>en</strong> dan<br />

moet de phisher met heel grote algem<strong>en</strong>e bestand<strong>en</strong> werk<strong>en</strong> of met kleine<br />

specifieke. Kan hij over het laatste beschikk<strong>en</strong>, dan kan hij zijn kans op succes<br />

vergrot<strong>en</strong>. Alle<strong>en</strong> zull<strong>en</strong> die bestand<strong>en</strong> duurder zijn. Kleine instelling<strong>en</strong> hebb<strong>en</strong><br />

voor de phisher ook als voordeel dat hun beveiliging misschi<strong>en</strong> wat minder<br />

geavanceerd is.<br />

“De keuze van het target (groot of klein) indiceert het soort phisher. E<strong>en</strong> klein target<br />

in combinatie met e<strong>en</strong> klein adress<strong>en</strong>bestand indiceert dat de phisher over<br />

specifieke k<strong>en</strong>nis t<strong>en</strong> aanzi<strong>en</strong> van dat target beschikt <strong>en</strong> er relatief dicht bij in de<br />

buurt zit.”<br />

“Het gebruik van e<strong>en</strong> klein specifiek adress<strong>en</strong>bestand dat niet breed in spamruns<br />

voorkomt, indiceert de betrokk<strong>en</strong>heid van e<strong>en</strong> insider van het target.”<br />

“Het gebruik van e<strong>en</strong> klein specifiek adress<strong>en</strong>bestand dat niet breed in spam<br />

voorkomt, indiceert e<strong>en</strong> professionele phisher.”<br />

De gebruikte instelling hoeft overig<strong>en</strong>s niet altijd zelf slachtoffer te zijn van e<strong>en</strong><br />

phishing aanval. In het geval van e<strong>en</strong> aanval op bijvoorbeeld Ebay, hoeft de<br />

organisatie zelf ge<strong>en</strong> last te hebb<strong>en</strong> van misbruik van gebruikersaccounts. Wel zal<br />

iedere instelling die gebruikt wordt voor e<strong>en</strong> phishing aanval imagoschade oplop<strong>en</strong>.<br />

Vaak word<strong>en</strong> de instelling<strong>en</strong> door gedupeerde gebruikers na e<strong>en</strong> phishing aanval<br />

aansprakelijk gesteld voor de door h<strong>en</strong> geled<strong>en</strong> schade waardoor de instelling<strong>en</strong><br />

alsnog fysieke schade ondervind<strong>en</strong>.<br />

2.4 Stap 2 Design for web<br />

Spoofsite<br />

Na het bepal<strong>en</strong> van het target, moet de phisher beschikk<strong>en</strong> over e<strong>en</strong> aantal webrepres<strong>en</strong>taties.<br />

Bij klassieke phishing moet hij e<strong>en</strong> website tot zijn beschikking<br />

hebb<strong>en</strong> die e<strong>en</strong> exacte kopie is van de officiële website van de targetinstelling.<br />

Slachtoffers mog<strong>en</strong> uiteraard niet vermoed<strong>en</strong> dat ze e<strong>en</strong> andere website bezoek<strong>en</strong><br />

dan de officiële website van de instelling. De <strong>en</strong>ige afwijking aan deze zog<strong>en</strong>aamde<br />

spoof website is dat de inloggegev<strong>en</strong>s van de gebruiker word<strong>en</strong> opgeslag<strong>en</strong> of dat<br />

de phisher in staat is mee te surf<strong>en</strong> met de gebruiker naar het beschermde<br />

44


gedeelte van de auth<strong>en</strong>tieke website om daar gegev<strong>en</strong>s weg te hal<strong>en</strong>. Uit<br />

onderzochte dossiers (ABNAMRO, Postbank, ING) blijkt dat de spoofwebsites in<br />

korte tijd steeds beter zijn geword<strong>en</strong>.<br />

“Op basis van e<strong>en</strong>zelfde stijl, typefout<strong>en</strong>, lay‐out van pagina’s <strong>en</strong> gebruikte kleur<strong>en</strong><br />

in e<strong>en</strong> spoof is het in theorie mogelijk pagina’s te onderscheid<strong>en</strong> naar de g<strong>en</strong>erator<br />

waarmee ze zijn gemaakt. Naarmate er meer kopieën van dezelfde spoof circuler<strong>en</strong>,<br />

indiceert dat het gebruik van e<strong>en</strong>zelfde Do–It‐Yourself (DIY) kit waarmee de spoof is<br />

geg<strong>en</strong>ereerd.”<br />

“Bezoek aan e<strong>en</strong> target site zonder in te logg<strong>en</strong> of inlogg<strong>en</strong> op e<strong>en</strong> targetsite zonder<br />

uitvoer<strong>en</strong>de handeling<strong>en</strong> te verricht<strong>en</strong>, kunn<strong>en</strong> duid<strong>en</strong> op e<strong>en</strong> verk<strong>en</strong>ning van sitek<strong>en</strong>merk<strong>en</strong><br />

of het test<strong>en</strong> van e<strong>en</strong> spoof website, ter voorbereiding van e<strong>en</strong> of<br />

meerdere phishing aanvall<strong>en</strong>.”<br />

Recruitm<strong>en</strong>t site<br />

Het phishingproces draait om geld, dat met behulp van geh<strong>en</strong>gelde inloggegev<strong>en</strong>s<br />

van slachtoffers afhandig wordt gemaakt van de targetinstelling. Zoals uit<br />

processtap 11 blijkt, is het gebruik van katvangers als tuss<strong>en</strong>schakel nog altijd<br />

populair. Alle<strong>en</strong> moet<strong>en</strong> die wel ‘klaar staan’ op het mom<strong>en</strong>t dat met behulp van<br />

gestol<strong>en</strong> inloggegev<strong>en</strong>s geld wordt overgeboekt. Met het verstrijk<strong>en</strong> van de tijd<br />

tuss<strong>en</strong> diefstal van gegev<strong>en</strong>s <strong>en</strong> e<strong>en</strong> onrechtmatige overboeking neemt namelijk de<br />

kans op ontdekking toe. Deze katvangers of money mules word<strong>en</strong> daarom vooraf<br />

geworv<strong>en</strong>. Daarvoor kan e<strong>en</strong> recruitm<strong>en</strong>t site nodig zijn die og<strong>en</strong>schijnlijk reguliere<br />

ban<strong>en</strong> aanbiedt, maar in feite werft voor tuss<strong>en</strong>schakels in e<strong>en</strong> phishingproces.<br />

Message<br />

Parallel aan het verkrijg<strong>en</strong> van de software om massaal e‐mailbericht<strong>en</strong> te kunn<strong>en</strong><br />

z<strong>en</strong>d<strong>en</strong> moet de phisher e<strong>en</strong> boodschap (message) hebb<strong>en</strong> om de pot<strong>en</strong>tiële<br />

slachtoffers over te hal<strong>en</strong> naar de spoof website te surf<strong>en</strong> <strong>en</strong> daar hun gegev<strong>en</strong>s<br />

achter te lat<strong>en</strong>. De bericht<strong>en</strong> die phishers stur<strong>en</strong>, spel<strong>en</strong> meestal paradoxaal<br />

g<strong>en</strong>oeg in op de angst<strong>en</strong> van <strong>internet</strong> gebruikers met betrekking tot de veiligheid<br />

van hun bankgegev<strong>en</strong>s. De boodschap in het spambericht heeft bijvoorbeeld de<br />

strekking: ‘Geachte klant, op server …… van onze online webservice XXX is e<strong>en</strong> fout<br />

opgetred<strong>en</strong>. Om uw account te behoud<strong>en</strong> moet u direct naar<br />

www.supersecure.instelling.domein.nl gaan om uw account opnieuw te activer<strong>en</strong>. U<br />

moet dit binn<strong>en</strong> ... uur do<strong>en</strong>, anders gaan uw gegev<strong>en</strong>s verlor<strong>en</strong>.’ Het is voor de<br />

phisher zeker van belang dat het slachtoffer op de URL in zijn spambericht klikt of<br />

dat de phisher de computer van de argeloze gebruiker zo beïnvloedt dat zelfs als de<br />

45


gebruiker de URL overtikt in zijn browser, toch de phishing site bezocht wordt. Om<br />

detectie door spamfilters te voorkom<strong>en</strong>, word<strong>en</strong> boodschapp<strong>en</strong> in plaats van als<br />

plain text, ook in de vorm van e<strong>en</strong> in e<strong>en</strong> e‐mailbericht opg<strong>en</strong>om<strong>en</strong> plaatje<br />

verstuurd. E<strong>en</strong> dergelijk plaatje is eig<strong>en</strong>lijk niets anders dan e<strong>en</strong> foto van e<strong>en</strong> tekst.<br />

Als e<strong>en</strong> gebruiker e<strong>en</strong> web adres in zijn browser kiest, stuurt zijn pc e<strong>en</strong> request <strong>en</strong><br />

krijgt daarop als respons het IP‐adres van de desbetreff<strong>en</strong>de website. De phisher<br />

kan, tegelijkertijd met zijn spambericht, bij voorbaat e<strong>en</strong> respons stur<strong>en</strong> naar de pc<br />

van het slachtoffer, zodat deze ook via zijn browser op de spoof website belandt.<br />

“Bij phishing word<strong>en</strong> vaak kopieën van eerdere phishing mails gebruikt. Dat heeft te<br />

mak<strong>en</strong> met het noodzakelijke redigeer‐ <strong>en</strong> vertaalwerk <strong>en</strong> met DIY‐kits die word<strong>en</strong><br />

gebruikt <strong>en</strong> dezelfde output g<strong>en</strong>erer<strong>en</strong>. K<strong>en</strong>merk<strong>en</strong> van phishing mails zijn te<br />

gebruik<strong>en</strong> als footprints om:<br />

‐ te achterhal<strong>en</strong> uit welke bron/g<strong>en</strong>erator ze afkomstig zijn;<br />

‐ de mate van verspreiding vast te stell<strong>en</strong>.”<br />

“Knullige mailtjes met fout<strong>en</strong> zijn e<strong>en</strong> voorbode van e<strong>en</strong> phishing aanval.”<br />

Ad’s/pop‐up<br />

Sophisticated phishing maakt gebruik van malware om in de browser van e<strong>en</strong><br />

geïnfecteerde PC banners met reclame of pop‐up v<strong>en</strong>sters te lat<strong>en</strong> verschijn<strong>en</strong>.<br />

Deze banners/pop‐ups zijn kleine (Java)scripts die gebruik mak<strong>en</strong> van<br />

kwetsbaarhed<strong>en</strong> in browsers. Het ontwerp van deze scripts is e<strong>en</strong> vorm van ‘design<br />

for web’ <strong>en</strong> op zichzelf legaal <strong>en</strong> veel voorkom<strong>en</strong>d binn<strong>en</strong> softwareontwerp.<br />

Tutorials zijn vrij te download<strong>en</strong> via het <strong>internet</strong>. Detectie van de distributie van dit<br />

soort malware wordt bemoeilijkt door het gebruik van zog<strong>en</strong>aamde packers die<br />

door virusscanners word<strong>en</strong> doorgelat<strong>en</strong>. Dit soort packers komt binn<strong>en</strong> via<br />

bestandsoverdracht of het bezoek aan bepaalde websites (zie stap 7b <strong>en</strong> § 2.7).<br />

2.5 Stap 3a Staff recruitm<strong>en</strong>t<br />

Zoals uit de beschrijving van het roll<strong>en</strong>complex uit § 2.19 <strong>en</strong> verder zal blijk<strong>en</strong>, kan<br />

(of moet) de phisher zich bedi<strong>en</strong><strong>en</strong> van bepaalde deskundighed<strong>en</strong> of roll<strong>en</strong><br />

waarover hijzelf niet beschikt of die hij zelf met het oog op ev<strong>en</strong>tuele ontdekking<br />

<strong>en</strong> herleiding niet wil vervull<strong>en</strong>. Die deskundighed<strong>en</strong> of roll<strong>en</strong> moet<strong>en</strong> word<strong>en</strong><br />

verworv<strong>en</strong>. Dat kan op e<strong>en</strong> aantal manier<strong>en</strong>, bijvoorbeeld via rekrutering‐ of<br />

46


jobapplicationsites waarop m<strong>en</strong>s<strong>en</strong> zich voor bepaalde werkzaamhed<strong>en</strong> aanbied<strong>en</strong><br />

of waarin opdrachtgevers m<strong>en</strong>s<strong>en</strong> met e<strong>en</strong> bepaalde deskundigheid vrag<strong>en</strong><br />

(bijvoorbeeld www.r<strong>en</strong>tacoder.com).<br />

Mule recruitem<strong>en</strong>t<br />

“Hello, would like to propose you a FINANCIAL AGENT vacancy”<br />

My name is Mindy Darling and I'm the Chief Manager of Departm<strong>en</strong>t of employm<strong>en</strong>t<br />

in Rest Pro Company (RPC). I am pleased to offer you a vacant position of<br />

Financial Manager in RPC. Let me tell you about our company. We are <strong>en</strong>gaged in<br />

selection and delivery of technical equipm<strong>en</strong>t and goodies in various offices and<br />

organizations. We take all troubles about choosing and delivering appropriate<br />

technical equipm<strong>en</strong>t to cli<strong>en</strong>t's office, under our responsibility. RPC was established<br />

in 2002 and earned quite good reputation on the market. At the mom<strong>en</strong>t we have<br />

some plans for the further developm<strong>en</strong>t, we plan to broad<strong>en</strong> our services and add<br />

an international network to serve cli<strong>en</strong>ts in all over the world.<br />

To offer to our foreign cli<strong>en</strong>ts more favorable and comfortable conditions we have<br />

made the decision to create an international network of regional ag<strong>en</strong>ts. We have<br />

op<strong>en</strong>ed a set of employees in various areas of the world. It has allowed our cli<strong>en</strong>ts<br />

to get access to a wider assortm<strong>en</strong>t of the goods, than before. In fact, earlier, many<br />

suppliers refused to work with us for the reason of bureaucracy that occurred th<strong>en</strong><br />

registration of legal docum<strong>en</strong>ts were needed to transport equipm<strong>en</strong>t, or transfer<br />

money.<br />

The Duties of the financial manager consists of reception of money resources from<br />

cli<strong>en</strong>ts of our company and transferring them to us. For every transaction, we pay 8<br />

% from the total sum.<br />

Work Requirem<strong>en</strong>ts: minimal knowledge of personal computer and <strong>internet</strong>/E-mail,<br />

Bank account, Legal age, Will to work at home 2-3 hrs per day, Crime-free<br />

background (background check will be made before accepting on the position).<br />

There is not any starting paym<strong>en</strong>ts or pledges for the goods!<br />

Please replay to this e-mail if you are interested in this op<strong>en</strong>ing, we will s<strong>en</strong>d you an<br />

employm<strong>en</strong>t agreem<strong>en</strong>t within nearest 24 hours, <strong>fee</strong>l free to ask questions.<br />

restprocompany@googlemail.com<br />

Best Regards<br />

Mindy Darling<br />

Bron: www.4.1.9legal.org/archive-emails-s<strong>en</strong>t-4.1.9legal/69379-about-financialag<strong>en</strong>t-vacancy.html<br />

47


Alternatieve bronn<strong>en</strong> voor het werv<strong>en</strong> van employees zijn sociale netwerk<strong>en</strong>;<br />

specifieke fora waarop m<strong>en</strong>s<strong>en</strong> met e<strong>en</strong> bepaalde interesse of deskundigheid<br />

elkaar ontmoet<strong>en</strong> of peer groups die kunn<strong>en</strong> variër<strong>en</strong> van familieled<strong>en</strong>, k<strong>en</strong>niss<strong>en</strong>,<br />

oud klasg<strong>en</strong>ot<strong>en</strong>, tot de deelnemers aan e<strong>en</strong> bepaald (technisch georiënteerd)<br />

congres.<br />

In de geanalyseerde case ‘G’ werd<strong>en</strong> mules geworv<strong>en</strong> door middel van spam. Grote<br />

hoeveelhed<strong>en</strong> gecompromitteerde e‐mailadress<strong>en</strong> <strong>en</strong> proxy's richtt<strong>en</strong> zich met e<strong>en</strong><br />

spammail tot werkloz<strong>en</strong>, m<strong>en</strong>s<strong>en</strong> die bij krap bij kas zat<strong>en</strong>, scholier<strong>en</strong> <strong>en</strong> ook<br />

zeelied<strong>en</strong>, om ze naar e<strong>en</strong> job recruitm<strong>en</strong>t site te lokk<strong>en</strong>. Daar kond<strong>en</strong> ze zich in<br />

schrijv<strong>en</strong> voor het simpelweg funger<strong>en</strong> als doorgeefluik van geld. Er vond zowel<br />

telefonisch als schriftelijk contact plaatsvond met de recruiters wat e<strong>en</strong> sterk<br />

gevoel van auth<strong>en</strong>ticiteit opriep bij de baanzoek<strong>en</strong>d<strong>en</strong>. Er werd zelfs e<strong>en</strong><br />

arbeidscontract opgesteld. Als dekmantel zou het gaan om het afhandel<strong>en</strong> van het<br />

betalingsverkeer tuss<strong>en</strong> de klant van e<strong>en</strong> af te lever<strong>en</strong> product <strong>en</strong> de leverancier.<br />

Daarvoor werd het geld vanaf de rek<strong>en</strong>ing van het phishing slachtoffer gestort op<br />

de rek<strong>en</strong>ing van de mule, die e<strong>en</strong> seintje kreeg dat het contant moest word<strong>en</strong><br />

opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> direct als money transfer moest word<strong>en</strong> verzond<strong>en</strong> na aftrek van<br />

het honorarium (5% van het overgeboekte bedrag).<br />

E<strong>en</strong> grote phishingzaak die is behandeld door het KLPD kwam aan het roll<strong>en</strong> nadat<br />

e<strong>en</strong> politieman in ging op e<strong>en</strong> soortgelijk spambericht als in de case G, waarin hij<br />

zoals vele ander<strong>en</strong> werd b<strong>en</strong>aderd voor het verricht<strong>en</strong> van ‘financiële<br />

werkzaamhed<strong>en</strong>’.<br />

2.6 Stap 3b Acquire addresses<br />

Om de slachtoffers te kunn<strong>en</strong> b<strong>en</strong>ader<strong>en</strong> moet de klassieke phisher e‐mailadress<strong>en</strong><br />

zi<strong>en</strong> te verzamel<strong>en</strong> van pot<strong>en</strong>tiële slachtoffers. De mailadress<strong>en</strong> moet<strong>en</strong> aan e<strong>en</strong><br />

aantal criteria voldo<strong>en</strong> om vooral bruikbaar te zijn:<br />

- ze moet<strong>en</strong> geldig zijn;<br />

- ze moet<strong>en</strong> het verzond<strong>en</strong> bericht niet als spam beschouw<strong>en</strong>, <strong>en</strong><br />

- de gebruiker moet e<strong>en</strong> band hebb<strong>en</strong> met de instelling die in de aanval gebruikt<br />

wordt.<br />

Er zijn verschill<strong>en</strong>de method<strong>en</strong> om aan dit soort adress<strong>en</strong> te kom<strong>en</strong>, waarvan we er<br />

<strong>en</strong>kele beschrijv<strong>en</strong>.<br />

48


2.6.1 Crawl/harvesting<br />

De phisher kan zelf op zoek gaan naar e‐mailadress<strong>en</strong>. Dit kan door middel van<br />

zog<strong>en</strong>aamde harvesting (oogst) programma’s (‘crawlers’). Dit soort programma’s<br />

zoekt het <strong>internet</strong> af naar e‐mailadress<strong>en</strong> <strong>en</strong> slaat deze op, zodat de phisher ze kan<br />

gebruik<strong>en</strong>. Het verkrijg<strong>en</strong> van dit soort programma’s is relatief simpel. M<strong>en</strong> kan ze<br />

kop<strong>en</strong>, maar via fora, nieuwsgroep<strong>en</strong> <strong>en</strong> chatbox<strong>en</strong> zijn allerlei doe‐het‐zelf<br />

pakkett<strong>en</strong> gratis te download<strong>en</strong>. Harvesting 10 is op zichzelf niet illegaal; ook<br />

<strong>internet</strong> marketeers bedi<strong>en</strong><strong>en</strong> zich van deze software. Door de brede keuze in<br />

harvesting programma’s is het f<strong>en</strong>ome<strong>en</strong> dat programmaschrijvers met dit soort<br />

software graag will<strong>en</strong> lat<strong>en</strong> zi<strong>en</strong> hoe goed ze kunn<strong>en</strong> programmer<strong>en</strong>, op zijn retour<br />

(wat overig<strong>en</strong>s niet geldt voor andere software voor illegale doeleind<strong>en</strong>). Het nut<br />

van harvesting neemt ondertuss<strong>en</strong> af. Internetgebruikers word<strong>en</strong> voorzichtiger met<br />

het achterlat<strong>en</strong> van hun e‐mailadres. Als deze teg<strong>en</strong>woordig al word<strong>en</strong><br />

gepubliceerd op e<strong>en</strong> website, gebeurt dat vermomd. Bijvoorbeeld door het e‐<br />

mailadres helemaal uit te schrijv<strong>en</strong> (naamorganisatie.nl), het als plaatje te<br />

publicer<strong>en</strong> of de @ te vervang<strong>en</strong> door e<strong>en</strong> ander symbool (naam*organisatie.nl).<br />

De harvesting programma’s zijn dan in theorie niet langer in staat deze constructies<br />

te herk<strong>en</strong>n<strong>en</strong> als e‐mailadres. In de wedloop teg<strong>en</strong> dit soort<br />

beschermingsconstructies zijn door de cybercrimineel ook daarvoor oplossing<strong>en</strong><br />

gevond<strong>en</strong>. Alle<strong>en</strong> kost het toepass<strong>en</strong> van die oplossing tijd. E<strong>en</strong> harvest programma<br />

kan echter niet te lang bezig zijn met het ontcijfer<strong>en</strong> van e<strong>en</strong> e‐mailadres <strong>en</strong> stapt<br />

dan door naar het volg<strong>en</strong>de.<br />

“Geharveste e‐mailadress<strong>en</strong> zull<strong>en</strong> in de loop van de tijd steeds meer gaan bestaan<br />

uit adress<strong>en</strong> van het type argeloze <strong>internet</strong>gebruiker.”<br />

“Crawlers gaan niet willekeurig maar op e<strong>en</strong> bepaalde manier te werk die typer<strong>en</strong>d<br />

is voor de crawler. Daardoor zijn combinaties van adress<strong>en</strong> in spamruns mogelijk te<br />

herleid<strong>en</strong> tot de crawler waaruit di<strong>en</strong>s populariteit blijkt. Kwetsbaarhed<strong>en</strong><br />

(vulnerabillities) in de crawlers kunn<strong>en</strong> mogelijk word<strong>en</strong> gebruikt voor de bestrijding<br />

(hoewel crawl<strong>en</strong> op zichzelf niet illegaal is).”<br />

“Theoretisch is e<strong>en</strong> crawlerprogramma te detecter<strong>en</strong> op het mom<strong>en</strong>t dat het actief<br />

10 Harvesting is midd<strong>en</strong> jar<strong>en</strong> neg<strong>en</strong>tig van de vorige eeuw uitgewerkt als onderdeel van het Op<strong>en</strong><br />

Archives Initiative (OAI) voor het uitwissel<strong>en</strong> van gestructureerde data<br />

(www.dare.uva.nl/docum<strong>en</strong>t/99739) <strong>en</strong> voor disseminatie van wet<strong>en</strong>schappelijke publicaties).<br />

49


websites <strong>en</strong> nieuwsgroep<strong>en</strong> op het <strong>internet</strong> ‘afgraast’, om vervolg<strong>en</strong>s vast te stell<strong>en</strong><br />

waar de oogst naar toe gaat. Dat heeft alle<strong>en</strong> zin als m<strong>en</strong> het zoekgedrag van<br />

dergelijke programma’s k<strong>en</strong>t zodat onderscheid kan word<strong>en</strong> gemaakt t<strong>en</strong> opzichte<br />

van <strong>internet</strong> zoekmachines die continue <strong>internet</strong>pagina’s nalop<strong>en</strong> om hun index<strong>en</strong><br />

te actualiser<strong>en</strong>.”<br />

“Het download<strong>en</strong> van e<strong>en</strong> crawlingprogramma is op zichzelf niet strafbaar maar<br />

kan wel e<strong>en</strong> indicatie zijn (red flag 11 ) voor mogelijke onrechtmatighed<strong>en</strong>.”<br />

Iedere<strong>en</strong> die gebruik maakt van e<strong>en</strong>zelfde harvestprogramma heeft e<strong>en</strong> grote kans<br />

uit te kom<strong>en</strong> bij dezelfde e‐mailadress<strong>en</strong>. Die krijg<strong>en</strong> vervolg<strong>en</strong>s e<strong>en</strong> grote<br />

hoeveelheid spam te verwerk<strong>en</strong> uit verschill<strong>en</strong>de hoek<strong>en</strong> wat de kans op het<br />

nem<strong>en</strong> van maatregel<strong>en</strong> aan de gebruikerszijde weer groter maakt. De harvester<br />

kan juist uit zijn op dit type adres, maar de adrespakkett<strong>en</strong> kunn<strong>en</strong> ook te e<strong>en</strong>zijdig<br />

sam<strong>en</strong>gesteld rak<strong>en</strong> zodat hij voor e<strong>en</strong> alternatief kiest. Vermoedelijk is het laatste<br />

het geval <strong>en</strong> zal harvest<strong>en</strong> in zijn ambachtelijke vorm wel voor blijv<strong>en</strong> kom<strong>en</strong>, maar<br />

steeds minder oplever<strong>en</strong>. Dat wordt versterkt door het sleets word<strong>en</strong> van adress<strong>en</strong>.<br />

“Adresdatabases zijn te onderscheid<strong>en</strong> naar het soort adress<strong>en</strong> waaruit ze zijn<br />

sam<strong>en</strong>gesteld, hun herkomst, de foute (niet werkzame) adress<strong>en</strong> etc. Uit oogpunt<br />

van bestrijding is het interessant om na te gaan of uit verschill<strong>en</strong>de spam aanvall<strong>en</strong><br />

e<strong>en</strong> soort vingerafdruk is te destiller<strong>en</strong> van het gebruikte adress<strong>en</strong>bestand, zodat de<br />

spam aanvall<strong>en</strong> mogelijk kunn<strong>en</strong> word<strong>en</strong> herleid tot e<strong>en</strong>zelfde bronbestand.”<br />

Daardoor ontstaat wellicht ook zicht op evoluties die in adress<strong>en</strong>bestand<strong>en</strong> zijn<br />

waar te nem<strong>en</strong>. Dat inzicht heeft bijvoorbeeld waarde voor prev<strong>en</strong>tie: houders van<br />

kwetsbare e‐mailadress<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> gewaarschuwd, bestand<strong>en</strong> kunn<strong>en</strong><br />

beter word<strong>en</strong> beveiligd, ev<strong>en</strong>tuele insiders die adresbestand<strong>en</strong> kopiër<strong>en</strong> <strong>en</strong><br />

verkop<strong>en</strong> kunn<strong>en</strong> mogelijk word<strong>en</strong> gedetecteerd. Bov<strong>en</strong>di<strong>en</strong> kunn<strong>en</strong> de kwetsbare<br />

adress<strong>en</strong> gericht in de gat<strong>en</strong> word<strong>en</strong> gehoud<strong>en</strong> om mogelijk terug te slaan richting<br />

phisher <strong>en</strong>/of adress<strong>en</strong>leverancier die er gebruik van maakt/mak<strong>en</strong>.<br />

De professionele spammer of phisher van deze tijd harvest niet meer zelf. De<br />

moeite die het kost, weegt niet op teg<strong>en</strong> het gemak waarmee pakkett<strong>en</strong> adress<strong>en</strong><br />

11 E<strong>en</strong> ‘red flag’ is e<strong>en</strong> aanwijzing (irregulariteit) die op zichzelf onvoldo<strong>en</strong>de indiceert voor e<strong>en</strong><br />

bepaalde onrechtmatigheid of crimineel gedrag maar die wel extra aandacht verdi<strong>en</strong>t. E<strong>en</strong> combinatie<br />

van meerdere red flags kan wel indicer<strong>en</strong> voor onrechtmatig of crimineel gedrag. Meestal duidt e<strong>en</strong> red<br />

flag zoals gebruikt in dit onderzoek op e<strong>en</strong> atypische vorm van <strong>internet</strong>gedrag.<br />

50


teg<strong>en</strong> relatief lage kost<strong>en</strong> te verkrijg<strong>en</strong> zijn uit bronn<strong>en</strong> die zich op het verzamel<strong>en</strong><br />

van adress<strong>en</strong> hebb<strong>en</strong> toegelegd. Bijvoorbeeld door het toepass<strong>en</strong> van de variant<strong>en</strong><br />

uit de volg<strong>en</strong>de paragraf<strong>en</strong>. Vooral spearphishing is gebaat bij specifieke nietwillekeurig<br />

verzamelde adress<strong>en</strong>.<br />

“Voor zowel adresverkopers als phishers is het belangrijk om te wet<strong>en</strong> of aan e<strong>en</strong><br />

bepaalde doelgroep te relater<strong>en</strong> adress<strong>en</strong> actief zijn. Dat kunn<strong>en</strong> ze achterhal<strong>en</strong><br />

door ze teg<strong>en</strong> e<strong>en</strong> inlogpagina aan te houd<strong>en</strong> <strong>en</strong> de responsetijd te met<strong>en</strong>. Bij e<strong>en</strong><br />

actief adres zal de responsetijd iets langer zijn dan bij e<strong>en</strong> niet actief adres. Dit type<br />

matching kan word<strong>en</strong> gedetecteerd in logfiles <strong>en</strong> is e<strong>en</strong> directe indicatie voor op<br />

hand<strong>en</strong> zijnde phishing activiteit<strong>en</strong>.”<br />

2.6.2 Server hacking<br />

E<strong>en</strong> andere optie om aan e‐mailadress<strong>en</strong> te kom<strong>en</strong> is door in te brek<strong>en</strong> op e<strong>en</strong><br />

mailserver <strong>en</strong> hier adress<strong>en</strong> uit te hal<strong>en</strong>. Hiervoor is meer k<strong>en</strong>nis nodig, dan voor<br />

het toepass<strong>en</strong> van e<strong>en</strong> harvesting programma <strong>en</strong> het risico om gepakt te word<strong>en</strong> is<br />

groter. Het heeft wel e<strong>en</strong> aantal voordel<strong>en</strong>:<br />

de kans dat de adress<strong>en</strong> nog geldig zijn is groter;<br />

de phisher kan zelf e<strong>en</strong> combinatie van doelwit <strong>en</strong> e‐mailadress<strong>en</strong> mak<strong>en</strong>,<br />

waardoor de kans dat slachtoffers positief reager<strong>en</strong>, groter is.<br />

E<strong>en</strong> variant op deze vorm is inside hacking. De phisher zorgt dan dat hij e<strong>en</strong><br />

persoon binn<strong>en</strong> e<strong>en</strong> organisatie betaalt of dwingt om e‐mailadress<strong>en</strong> van<br />

personeelsled<strong>en</strong> of klant<strong>en</strong> aan hem te gev<strong>en</strong>.<br />

Hack mailserver<br />

Dader: 33 jarige systeembeheerder<br />

“De dader had ontdekt dat de mailserver van bedrijf A draaide onder e<strong>en</strong> oude<br />

PHP-versie met bek<strong>en</strong>de kwetsbaarhed<strong>en</strong>. Gebruikmak<strong>en</strong>d van die kwetsbaarheid<br />

is hij binn<strong>en</strong> gegaan op de vaste plaats waar de passwords werd<strong>en</strong> uitgelez<strong>en</strong>.<br />

Vervolg<strong>en</strong>s heeft hij daarmee de directory-structuur van de hele server gelez<strong>en</strong>,<br />

waaronder e<strong>en</strong> backup-directory. Deze backup werd gedownload. Daarin stond e<strong>en</strong><br />

bestand met alle e-mail accounts <strong>en</strong> wachtwoord<strong>en</strong>. Het bleef overig<strong>en</strong>s niet bij<br />

deze hack; het werd e<strong>en</strong> compleet uitgevoerde phishing. Via webmail is de dader<br />

vervolg<strong>en</strong>s ingelogd op e<strong>en</strong> bepaald account. In di<strong>en</strong>s ‘verzond<strong>en</strong> bericht<strong>en</strong>’ stond<br />

e<strong>en</strong> link met e<strong>en</strong> inlogcode <strong>en</strong> wachtwoord voor datg<strong>en</strong>e waar het uiteindelijk om<br />

ging: toegang tot e<strong>en</strong> nieuwe game.”<br />

Bron: KLPD-dossier<br />

51


We mak<strong>en</strong> onderscheid tuss<strong>en</strong> twee vorm<strong>en</strong> van inbraak: Inbraak op e<strong>en</strong> exchange<br />

server <strong>en</strong> inbraak in e<strong>en</strong> klant<strong>en</strong>bestand. Inbraak op e<strong>en</strong> exchange server wil<br />

zegg<strong>en</strong> dat de hacker de mailserver van e<strong>en</strong> bedrijf binn<strong>en</strong>gaat <strong>en</strong> daar het<br />

adresboek van het bedrijf of van alle medewerkers kopieert. Op dezelfde wijze als<br />

de phisher dit soort servers met bepaalde kwetsbaarhed<strong>en</strong> kan opspor<strong>en</strong>, kan de<br />

bestrijding dat ook do<strong>en</strong>. Inbraak in e<strong>en</strong> klant<strong>en</strong>bestand behelst bijvoorbeeld e<strong>en</strong><br />

inbraak bij BOL.com, Ebay of Amazon, waarbij de gegev<strong>en</strong>s van klant<strong>en</strong> uit de<br />

databases word<strong>en</strong> gekopieerd. Deze manier geeft mete<strong>en</strong> de mogelijkheid tot het<br />

harvest<strong>en</strong> op e<strong>en</strong> specifieke doelgroep. Dat maakt het adress<strong>en</strong>bestand<br />

waardevoller <strong>en</strong> daarmee veel duurder.<br />

Buying addresses<br />

Er zijn bedrijv<strong>en</strong> die handel<strong>en</strong> in post‐ <strong>en</strong> e‐mailadress<strong>en</strong>. De Goud<strong>en</strong> Gids is<br />

daarvan e<strong>en</strong> voorbeeld, maar ook de Kamer van Koophandel. Nu zijn er ook andere,<br />

obscure, leveranciers die ge<strong>en</strong> eis<strong>en</strong> stell<strong>en</strong> aan het gebruik van de adress<strong>en</strong>. Het<br />

kop<strong>en</strong> van hun adress<strong>en</strong> br<strong>en</strong>gt minder risico met zich mee dan het hack<strong>en</strong> van e<strong>en</strong><br />

mailserver <strong>en</strong> neemt minder tijd in beslag. De phisher krijgt daarnaast de garantie<br />

dat de adress<strong>en</strong> geldig zijn <strong>en</strong> kan zelfs van tevor<strong>en</strong> e<strong>en</strong> doelgroep van slachtoffers<br />

kiez<strong>en</strong>. Nadeel is dat het kop<strong>en</strong> van adress<strong>en</strong> geld kost <strong>en</strong> dus t<strong>en</strong> koste gaat van de<br />

opbr<strong>en</strong>gst van de phishing aanval. Bov<strong>en</strong>di<strong>en</strong> levert de aankoop weer e<strong>en</strong> <strong>internet</strong><strong>en</strong><br />

e<strong>en</strong> geldspoor op.<br />

“Sommige actor<strong>en</strong> die phishingroll<strong>en</strong> vervull<strong>en</strong>, zull<strong>en</strong> tijd<strong>en</strong>s voorbereid<strong>en</strong>de<br />

activiteit<strong>en</strong> minder actief hun handeling<strong>en</strong> afscherm<strong>en</strong> omdat ze op zichzelf nog<br />

niet crimineel bezig zijn <strong>en</strong> hun aandacht vooral zal uitgaan naar het camoufler<strong>en</strong><br />

van de uiteindelijke aanval zelf. Detectie van deze activiteit<strong>en</strong> biedt mogelijk<br />

aanknopingspunt<strong>en</strong> voor het vaststell<strong>en</strong> van de id<strong>en</strong>titeit van actor<strong>en</strong> in<br />

daderroll<strong>en</strong>.”<br />

“Als de veronderstelling klopt dat het kop<strong>en</strong> van e‐mailadress<strong>en</strong> populairder is dan<br />

het zelf harvest<strong>en</strong>, dan zull<strong>en</strong> er in de spam <strong>en</strong> phishing praktijk veel dezelfde<br />

adress<strong>en</strong> te zi<strong>en</strong> zijn.”<br />

2.6.3 Malware<br />

Onder de term malware gaat e<strong>en</strong> scala aan programmaatjes schuil die zonder dat<br />

de gebruiker het weet op di<strong>en</strong>s computer word<strong>en</strong> geïnstalleerd, om vervolg<strong>en</strong>s<br />

allerlei informatie over de gebruiker te verzamel<strong>en</strong>, ongevraagd reclame te ton<strong>en</strong><br />

(pop‐ups) of del<strong>en</strong> van de besturing van de computer over te nem<strong>en</strong>. Wordt dit<br />

52


soort malware (malicious code) gebruikt om gegev<strong>en</strong>s van de gebruiker <strong>en</strong> di<strong>en</strong>s<br />

computer te verzamel<strong>en</strong> dan sprek<strong>en</strong> we van spyware. Binn<strong>en</strong> de MO van phishing<br />

is spyware e<strong>en</strong> aantrekkelijke vorm voor:<br />

het verkrijg<strong>en</strong> van persoonlijke gegev<strong>en</strong>s, zoals e‐mailadress<strong>en</strong>, welke sites zijn<br />

bezocht, wachtwoord<strong>en</strong> (via keyloggers) etc.;<br />

het beïnvloed<strong>en</strong> van de computer van de gebruiker zodat die boodschapp<strong>en</strong> te<br />

zi<strong>en</strong> krijgt, de startpagina wordt aangepast, wordt doorgestuurd naar bepaalde<br />

sites of dat banners die op het scherm verschijn<strong>en</strong> e<strong>en</strong> andere inhoud<br />

meekrijg<strong>en</strong> (browser hijacking);<br />

het overnem<strong>en</strong> van de computer zodat die kan word<strong>en</strong> ingezet voor de<br />

phishing activiteit<strong>en</strong>. In dit geval is de computer e<strong>en</strong> ‘bot’ geword<strong>en</strong> <strong>en</strong> maakt<br />

ze met vele andere geïnfecteerde computers deel uit van e<strong>en</strong> ‘botnet’. Botnets<br />

word<strong>en</strong> o.a. gebruikt voor het verwerv<strong>en</strong> van e‐mailadress<strong>en</strong> van specifieke<br />

doelgroep<strong>en</strong>. Hierbij wordt via het botnet e<strong>en</strong> stukje malware verspreid dat<br />

van iedere bot de browser log leest <strong>en</strong> op basis hiervan bepaalt welke<br />

gebruikers welke sites bezoek<strong>en</strong>.<br />

Zowel de zelfstandige spammer als de phisher heeft profijt van spyware. Beid<strong>en</strong><br />

gaat het om het verwerv<strong>en</strong> van e‐mailadress<strong>en</strong> <strong>en</strong> uiteindelijk om het g<strong>en</strong>erer<strong>en</strong><br />

van zoveel mogelijk traffic naar e<strong>en</strong> bepaalde website. Voor de traditionele<br />

spammer is dat e<strong>en</strong> website met e<strong>en</strong> bepaald product of e<strong>en</strong> type di<strong>en</strong>stverl<strong>en</strong>ing;<br />

voor de klassieke phisher is dat zijn spoof site. Gratis gebruik van software gaat<br />

vaak gepaard met het moet<strong>en</strong> duld<strong>en</strong> van reclameboodschapp<strong>en</strong> (waarmee de<br />

gebruiker zich overig<strong>en</strong>s meestal akkoord verklaard door het aanvink<strong>en</strong> van e<strong>en</strong><br />

lic<strong>en</strong>se agreem<strong>en</strong>t). Hieraan kan ook gemakkelijk e<strong>en</strong> meer schadelijke code zijn<br />

gekoppeld. Ook programma’s als Microsoft updates mak<strong>en</strong> gebruik van<br />

miniprogramma’s (ActiveX controls) waarmee toegang kan word<strong>en</strong> verkreg<strong>en</strong> tot<br />

het besturingssysteem van e<strong>en</strong> gebruiker. Zoals zo vaak, is spyware als legale vorm<br />

van informatieverzameling gestart <strong>en</strong> bestaat het in deze vorm nog steeds volop.<br />

Internetshops als amazon.com stur<strong>en</strong> gebruikers tips op basis van het<br />

aankoopgedrag <strong>en</strong> in de vorm van cookies parker<strong>en</strong> zij informatie op de computer<br />

van de gebruiker waaraan deze bij e<strong>en</strong> volg<strong>en</strong>d sitebezoek kan word<strong>en</strong> herinnerd.<br />

“Phishers mak<strong>en</strong> van ActiveX controls <strong>en</strong> (third party) cookies gebruik voor het<br />

gericht verzamel<strong>en</strong> van gegev<strong>en</strong>s met vooral als doel om targetgroep<strong>en</strong> sam<strong>en</strong> te<br />

stell<strong>en</strong> <strong>en</strong> deze te verleid<strong>en</strong> tot het bezoek<strong>en</strong> van bepaalde sites.”<br />

E<strong>en</strong> vorm van malware die niet per se op de computer van de gebruiker is<br />

g<strong>en</strong>esteld, maar die zich op de bezochte website bevindt, heet cross‐site scripting<br />

53


(XSS). Bij deze vorm van malware wordt op de website e<strong>en</strong> stukje code geplaatst<br />

dat bij de websitebezoeker toegang zoekt tot cookies, website inhoud <strong>en</strong> andere<br />

informatie die de browser nodig heeft om het <strong>internet</strong> toegankelijk te mak<strong>en</strong>. Er<br />

word<strong>en</strong> grofweg twee vorm<strong>en</strong> van cross‐site scripting onderscheid<strong>en</strong>: onderbrok<strong>en</strong><br />

<strong>en</strong> ononderbrok<strong>en</strong>. De onderbrok<strong>en</strong> variant komt verreweg het meeste voor, vaak<br />

bij http zoekvariabel<strong>en</strong> <strong>en</strong> in HTML‐formulier<strong>en</strong>. Bij deze vorm wordt de code van<br />

de pagina zo aangepast dat de pagina e<strong>en</strong> foutje maakt bij het antwoord<strong>en</strong> naar de<br />

browser. De gebruiker ziet het niet of krijgt e<strong>en</strong> minimale foutmelding. Door het<br />

foutje van de pagina is de aanvaller echter in staat om verborg<strong>en</strong> frames te<br />

activer<strong>en</strong> of de browser naar vreemde URL’s te stur<strong>en</strong>. In deze vorm is de aanvaller<br />

actief betrokk<strong>en</strong> bij elke aanval.<br />

De ononderbrok<strong>en</strong> vorm is gevaarlijker <strong>en</strong> ook ingrijp<strong>en</strong>der. Hierbij maakt de<br />

aanvaller gebruik van foutjes in websites om data te upload<strong>en</strong> naar de host server<br />

van die website. Die data wordt door de server opg<strong>en</strong>om<strong>en</strong> in de code die gebruikt<br />

wordt om pagina’s te g<strong>en</strong>erer<strong>en</strong> voor normale bezoekers. Deze geïnfecteerde<br />

pagina’s prober<strong>en</strong> op hun beurt toegang te krijg<strong>en</strong> tot browsergegev<strong>en</strong>s van de<br />

normale gebruikers. Deze vorm komt veel voor binn<strong>en</strong> nieuwsgroep<strong>en</strong> <strong>en</strong> op fora,<br />

waar bericht<strong>en</strong> in HTML‐code geplaatst kunn<strong>en</strong> word<strong>en</strong>. 12<br />

E<strong>en</strong> variant op cross‐site scripting is frame injection. Hierbij wordt e<strong>en</strong> lek in de<br />

Internet Explorer browser gebruikt. De browser controleert niet of het doel van e<strong>en</strong><br />

frame bonafide of malafide is, met als resultaat dat malafide frames gelad<strong>en</strong><br />

kunn<strong>en</strong> word<strong>en</strong> bij het bezoek aan bonafide websites. 13<br />

2.7 Stap 3c Acquire facilities<br />

Om e<strong>en</strong> phishing aanval succesvol te kunn<strong>en</strong> uitvoer<strong>en</strong>, zijn in het geval malware<br />

gebruikt wordt bepaalde faciliteit<strong>en</strong> noodzakelijk om de distributie van de malware<br />

uit te voer<strong>en</strong>.<br />

Packers<br />

Bij de distributie van malware kan onderscheid gemaakt word<strong>en</strong> tuss<strong>en</strong> e<strong>en</strong> ‘push’<br />

<strong>en</strong> e<strong>en</strong> ‘pull’ b<strong>en</strong>adering. E<strong>en</strong> voorbeeld van het eerste is het verstur<strong>en</strong> van e‐mail<br />

met daarin e<strong>en</strong> besmette (malware) bijlage. De nieuwste g<strong>en</strong>eratie virusscanners is<br />

12 www.<strong>en</strong>.wikipedia.org/wiki/Cross‐site_scripting, laatst geraadpleegd 21 december 2009.<br />

13 www.secunia.com/advisories/11966/, laatst geraadpleegd 21 december 2009.<br />

54


niet alle<strong>en</strong> in staat om bek<strong>en</strong>de viruss<strong>en</strong> aan de hand van hun digitale vingerafdruk<br />

te herk<strong>en</strong>n<strong>en</strong>, maar kunn<strong>en</strong> met behulp van zog<strong>en</strong>aamde ‘heuristiek<strong>en</strong>’ ook nieuwe<br />

viruss<strong>en</strong> op basis van geme<strong>en</strong>schappelijke k<strong>en</strong>merk<strong>en</strong> met hun voorgangers als<br />

zodanig id<strong>en</strong>tificer<strong>en</strong>. De gedachte achter e<strong>en</strong> ‘packer’ is nu dat door middel van<br />

compressietechniek<strong>en</strong> de vingerafdruk van de malware zodanig wordt verhaspeld<br />

dat de virusscanners het niet herk<strong>en</strong>n<strong>en</strong>.<br />

Wanneer e<strong>en</strong> pull b<strong>en</strong>adering voor de distributie gebruikt wordt, word<strong>en</strong> stukjes<br />

malafide code toegevoegd aan andere bestand<strong>en</strong> zoals software, films, muziek,<br />

afbeelding<strong>en</strong> <strong>en</strong>zovoort. Zeker in de wereld van illegale bestandsuitwisseling<br />

(torr<strong>en</strong>ts, us<strong>en</strong>et) blijkt e<strong>en</strong> behoorlijk deel van de bestand<strong>en</strong> besmet te zijn. Om de<br />

malware toe te voeg<strong>en</strong> aan e<strong>en</strong> ander bestand <strong>en</strong> het vervolg<strong>en</strong>s in staat te stell<strong>en</strong><br />

om actief te word<strong>en</strong> op het mom<strong>en</strong>t dat gebruik gemaakt wordt van het<br />

onderligg<strong>en</strong>de bestand, is e<strong>en</strong> programma nodig.<br />

“Voor person<strong>en</strong> die nieuwe packers download<strong>en</strong> van onbek<strong>en</strong>de leveranciers, zeker<br />

als die met oplossing<strong>en</strong> kom<strong>en</strong> zonder evid<strong>en</strong>te red<strong>en</strong><strong>en</strong> om hiervoor weg te gaan<br />

bij bestaande packers, kan geld<strong>en</strong> dat zij zich toelegg<strong>en</strong> op de ontwikkeling van<br />

malware.”<br />

Ad space<br />

E<strong>en</strong> verraderlijke vorm van e<strong>en</strong> ‘push’ distributie is de zog<strong>en</strong>aamde ‘drive by<br />

download’. Hierbij wordt bij bezoek aan bepaalde besmette sites ongemerkt<br />

getracht misbruik te mak<strong>en</strong> van bepaalde kwetsbaarhed<strong>en</strong> in het<br />

besturingssysteem <strong>en</strong>/of softwarecompon<strong>en</strong>t<strong>en</strong> (bijvoorbeeld Adobe Acrobat<br />

Reader). De besmetting van deze websites gebeurt, hetzij door de desbetreff<strong>en</strong>de<br />

sites te hack<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s de malafide code aan de site toe te voeg<strong>en</strong>, hetzij<br />

door zog<strong>en</strong>aamde advert<strong>en</strong>tiekanal<strong>en</strong> te manipuler<strong>en</strong>. Zeker bij grote professionele<br />

sites zijn de mogelijkhed<strong>en</strong> om de site te hack<strong>en</strong> beperkt. Daar<strong>en</strong>teg<strong>en</strong> word<strong>en</strong> op<br />

deze grote sites vele advert<strong>en</strong>tiecampagnes vanuit diverse bronn<strong>en</strong> gedraaid<br />

(amazon.com, Google). Door het gebruik van technologie om plaatjes te animer<strong>en</strong><br />

(animated gif) of zelfs hele filmpjes af te spel<strong>en</strong> (flash), wordt ook de mogelijkheid<br />

gebod<strong>en</strong> om ongemerkt de eerder gememoreerde kwetsbaarhed<strong>en</strong> te b<strong>en</strong>utt<strong>en</strong> <strong>en</strong><br />

daarmee de malware te distribuer<strong>en</strong>. E<strong>en</strong> belangrijke faciliteit voor dit type<br />

distributie is daarom het beschikk<strong>en</strong> over e<strong>en</strong> advert<strong>en</strong>tiekanaal waarlangs de<br />

besmette advert<strong>en</strong>ties op onverdachte sites verspreid kunn<strong>en</strong> word<strong>en</strong>. Het gaat<br />

hierbij meestal om het manipuler<strong>en</strong> van de databases waarin de advert<strong>en</strong>ties die<br />

getoond moet<strong>en</strong> word<strong>en</strong>, opgeslag<strong>en</strong> zijn. Juist grote sites die veel bezoekers<br />

trekk<strong>en</strong> zijn aantrekkelijk om als voertuig te di<strong>en</strong><strong>en</strong> voor de verspreiding van<br />

55


malware.<br />

E<strong>en</strong> veel gebruikte b<strong>en</strong>adering om onderdeel te vorm<strong>en</strong> van e<strong>en</strong><br />

advert<strong>en</strong>ti<strong>en</strong>etwerk is het op basis van e<strong>en</strong> valse id<strong>en</strong>titeit aanmeld<strong>en</strong> van e<strong>en</strong><br />

advert<strong>en</strong>tiekanaal aan e<strong>en</strong> bestaand netwerk. Na e<strong>en</strong> ‘normale’ opstartfase,<br />

word<strong>en</strong> via dit kanaal vervolg<strong>en</strong>s vergiftigde advert<strong>en</strong>ties het netwerk in gestuurd.<br />

“E<strong>en</strong> indicatie voor e<strong>en</strong> mogelijk malafide kanaal kan e<strong>en</strong> combinatie zijn van ge<strong>en</strong><br />

of beperkte bedrijfshistorie van de adverteerder, niet of moeilijk na te trekk<strong>en</strong><br />

vestigingslocatie <strong>en</strong>/of verteg<strong>en</strong>woordig<strong>en</strong>de person<strong>en</strong>, <strong>en</strong> ge<strong>en</strong> verifieerbare<br />

klant<strong>en</strong>.”<br />

DIY kit<br />

Uit het dossieronderzoek komt e<strong>en</strong> Russische phishinggroep naar vor<strong>en</strong> die zelf op<br />

het <strong>internet</strong> na ging welke grote financiële instelling<strong>en</strong> in <strong>en</strong>ig land actief zijn, om<br />

zich vervolg<strong>en</strong>s voor te do<strong>en</strong> als die instelling. Met de introductie van zog<strong>en</strong>aamde<br />

Do‐it‐yourself (DIY) kits is de keuze van financiële instelling<strong>en</strong> zelfs al<br />

voorgestructureerd. In 2004 dok<strong>en</strong> deze doe‐het‐zelf pakkett<strong>en</strong> (bestaande uit één<br />

PHP‐file) voor het eerst op <strong>en</strong> inmiddels zijn ze zo geëvolueerd dat de keuze voor<br />

financiële instelling<strong>en</strong> <strong>en</strong> de spoof website als output, compleet is<br />

voorgestructureerd inclusief code, b<strong>en</strong>odigde plaatjes <strong>en</strong> tekst om e‐mail‐ <strong>en</strong><br />

websitecombinaties op te zett<strong>en</strong>. Simpel ‘Plug‐and‐Play’ zoals dat heet. Zelfs de<br />

b<strong>en</strong>odigde spam software om het gemaakte bericht grootschalig te verstur<strong>en</strong><br />

wordt meegeleverd. Deze kits hebb<strong>en</strong> voor de bestrijding ook e<strong>en</strong> aantal<br />

voordel<strong>en</strong>. Aan de hand van de geg<strong>en</strong>ereerde code is te zi<strong>en</strong> welke kit wordt<br />

gebruikt. Met behulp van de vaste k<strong>en</strong>merk<strong>en</strong> van e<strong>en</strong> kit kan gemakkelijker op het<br />

<strong>internet</strong> word<strong>en</strong> gezocht naar de bronn<strong>en</strong>. Nu de kits inmiddels gratis op het net<br />

verkrijgbaar zijn is het sterk de vraag in hoeverre de niets vermoed<strong>en</strong>de phisher die<br />

e<strong>en</strong> dergelijk kit downloadt niet zelf het slachtoffer is van oplichting door de<br />

kitsam<strong>en</strong>stellers. Die kunn<strong>en</strong> e<strong>en</strong>voudig de geoogste gegev<strong>en</strong>s omleid<strong>en</strong> naar e<strong>en</strong><br />

eig<strong>en</strong> server <strong>en</strong> bijvoorbeeld deels of met e<strong>en</strong> vertraging doorstur<strong>en</strong> naar de<br />

phisher. Op deze manier help<strong>en</strong> de phishers de man achter de scherm<strong>en</strong> van de kit<br />

aan e<strong>en</strong> nog grotere opbr<strong>en</strong>gst.<br />

“Het download<strong>en</strong> van phishing DIY‐kits is e<strong>en</strong> rechtstreekse indicatie voor<br />

betrokk<strong>en</strong>heid bij (aanstaande) phishing van de downloader. Het wijst bov<strong>en</strong>di<strong>en</strong> op<br />

e<strong>en</strong> amateur die k<strong>en</strong>nelijk niet over resources beschikt voor ‘phishing op maat’ <strong>en</strong><br />

daarom zijn toevlucht zoekt tot standaardpakkett<strong>en</strong>.”<br />

56


2.8 Stap 4 Acquire domain<br />

Zowel in het klassieke als het sophisticated phishingproces kan het voor de phisher<br />

noodzakelijk zijn om over domeinnam<strong>en</strong> te beschikk<strong>en</strong> bijvoorbeeld om door te<br />

leid<strong>en</strong> naar e<strong>en</strong> spoof website of e<strong>en</strong> recruitm<strong>en</strong>t site. Het verkrijg<strong>en</strong> van e<strong>en</strong><br />

domeinnaam is nogal rechtdoorzee. Via gratis websites voor domeinregistratie<br />

kunn<strong>en</strong> phishers e<strong>en</strong>voudig aan e<strong>en</strong> domeinnaam kom<strong>en</strong>. Uiteraard kunn<strong>en</strong><br />

phishers ook e<strong>en</strong> domeinnaam kop<strong>en</strong> via e<strong>en</strong> Internet Service Provider (ISP). Dit<br />

heeft als nadeel dat het geld kost, maar als voordeel dat e<strong>en</strong> ISP minder moeite<br />

heeft met het verwijder<strong>en</strong> van e<strong>en</strong> gratis domein, waar ze niemand mee voor het<br />

hoofd stoot, dan met het verwijder<strong>en</strong> van webcont<strong>en</strong>t van e<strong>en</strong> betal<strong>en</strong>de klant.<br />

Klassieke phishers blijk<strong>en</strong> vooral te zoek<strong>en</strong> naar domeinnam<strong>en</strong> die gerelateerd zijn<br />

aan de naam van de instelling die ze will<strong>en</strong> gebruik<strong>en</strong> of die e<strong>en</strong> bepaalde mate van<br />

vertrouw<strong>en</strong> uitstral<strong>en</strong>. Dit resulteert bij gratis domein<strong>en</strong> in e<strong>en</strong> URL zoals:<br />

www.instelling.gratisdomein.com/login. De naam van de instelling wordt in de URL<br />

gebruikt, om slachtoffers te misleid<strong>en</strong>. Bij e<strong>en</strong> gekochte domeinnaam zal de URL<br />

lijk<strong>en</strong> op de officiële URL van de instelling. Simpele verbastering<strong>en</strong> als<br />

www.instelling‐europe.com of www.instelling.extrasafe.com zijn hier voorbeeld<strong>en</strong><br />

van. Als de phisher niet e<strong>en</strong> domein heeft kunn<strong>en</strong> bemachtig<strong>en</strong> dat op zichzelf<br />

overtuig<strong>en</strong>d g<strong>en</strong>oeg is, werkt e<strong>en</strong> URL als<br />

www.domein.nl/secure/~user/www.instelling.com/login ook goed.<br />

“Het in de Whois database aantreff<strong>en</strong> van look‐a‐likes van de nam<strong>en</strong> van financiële<br />

instelling<strong>en</strong>, met kleine variaties <strong>en</strong> waarvan de variaties door ander<strong>en</strong> dan de<br />

formele instelling zijn geregistreerd, duidt op (voorg<strong>en</strong>om<strong>en</strong>) phishing. Van e<strong>en</strong><br />

to<strong>en</strong>em<strong>en</strong>d vermoed<strong>en</strong> is sprake als het registrer<strong>en</strong>d IP‐adres niet blijkt te klopp<strong>en</strong>.”<br />

“Het in de Whois aantreff<strong>en</strong> van nam<strong>en</strong> met geruststell<strong>en</strong>de elem<strong>en</strong>t<strong>en</strong> als<br />

bijvoorbeeld ‘security’, ‘paym<strong>en</strong>t’ of ‘safe’ <strong>en</strong> waarvan het registrer<strong>en</strong>d IP‐adres niet<br />

blijkt te klopp<strong>en</strong>, duidt op e<strong>en</strong> relatie naar phishing.”<br />

Op zichzelf blijkt de suffix (uitgang achter de punt) van de geregistreerde<br />

domeinnaam e<strong>en</strong> maat voor de obscuriteit van de (toekomstige) cont<strong>en</strong>t. Die<br />

uitgang van de URL is e<strong>en</strong> aanwijzing voor de webpagina’s die onder die URL kom<strong>en</strong><br />

te hang<strong>en</strong>. Adress<strong>en</strong> uit Hongkong (.hk), China (.cn), Brazilië (.br), Rusland (.ru) <strong>en</strong><br />

kleine eiland<strong>en</strong>groep<strong>en</strong> zonder strikte regels of toezicht, mak<strong>en</strong> e<strong>en</strong> hogere kans<br />

om illegale cont<strong>en</strong>t onder zich te krijg<strong>en</strong> of te hebb<strong>en</strong>.<br />

“Wanneer in e<strong>en</strong> URL cyrillisch schrift voorkomt, is dat e<strong>en</strong> aanwijzing voor<br />

57


onoirbare bedoeling<strong>en</strong>. Het maakt het mogelijk om domeinnam<strong>en</strong> die eig<strong>en</strong>lijk<br />

verschill<strong>en</strong>, zo goed als id<strong>en</strong>tiek te mak<strong>en</strong>.”<br />

Ondertuss<strong>en</strong> zi<strong>en</strong> we nieuwe vorm<strong>en</strong> van het gebruik van domein<strong>en</strong> zoals domain<br />

kiting. Domeinnam<strong>en</strong> word<strong>en</strong> in dat geval slechts korte tijd gebruikt (lev<strong>en</strong>sduur<br />

van 5 dag<strong>en</strong> bijvoorbeeld), beschikbaar gesteld voor spammers/phishers <strong>en</strong> dan<br />

weer opgehev<strong>en</strong> vlak voordat er voor het domein moet zijn betaald. Detectie van<br />

dit soort gedrag wordt bemoeilijkt door het aantal registraties <strong>en</strong> de beperkte<br />

toegankelijkheid tot verschill<strong>en</strong>de Whois registraties. In pot<strong>en</strong>tie is ze als bron<br />

echter kansrijk om phishing in e<strong>en</strong> aantal opzicht<strong>en</strong> te detecter<strong>en</strong>.<br />

“Domeinnam<strong>en</strong> die alle<strong>en</strong> gedur<strong>en</strong>de e<strong>en</strong> korte periode na registratie traffic lat<strong>en</strong><br />

zi<strong>en</strong> <strong>en</strong> niet word<strong>en</strong> betaald kunn<strong>en</strong> wijz<strong>en</strong> op phishing dan wel andere<br />

onrechtmatige activiteit<strong>en</strong>. Mogelijk (maar niet waarschijnlijk) dat het<br />

registrer<strong>en</strong>de IP‐adres e<strong>en</strong> aanwijzing oplevert door wie <strong>en</strong> van waaruit de<br />

registratie is aangevraagd.”<br />

“Domeinnam<strong>en</strong> word<strong>en</strong> vaak automatisch geregistreerd. Het patroon in<br />

geregistreerde domeinnam<strong>en</strong> die het gedrag verton<strong>en</strong> uit de vorige hypothese, kan<br />

e<strong>en</strong> voorspelling inhoud<strong>en</strong> van toekomstig gebruik <strong>en</strong> daarmee tot vroegtijdige<br />

interv<strong>en</strong>tie als bijvoorbeeld blacklisting.”<br />

Dossier GR<br />

Porno <strong>en</strong>trepr<strong>en</strong>eur als spammer<br />

De initiator in het dossier GR is e<strong>en</strong> spammer die oorspronkelijk afkomstig is uit de<br />

pornowereld <strong>en</strong> vijf jaar aanwezig op het <strong>internet</strong> als adultwebmaster. Hij is<br />

verantwoordelijk voor meer dan 100 miljo<strong>en</strong> e-mails <strong>en</strong> had 50 domeinnam<strong>en</strong> op<br />

dezelfde WHOIS geregistreerd. Alle werd<strong>en</strong> bullet-proof gehost bij simply-rx.com<br />

(e<strong>en</strong> van de meest bullet-proof sites). Hij viel door de mand to<strong>en</strong> hij op e<strong>en</strong> slechte<br />

dag e<strong>en</strong> fout maakte in de registratie van e<strong>en</strong> domeinnaam voor spamvertising. Hij<br />

gebruikte overig<strong>en</strong>s zijn eig<strong>en</strong> voornaam als nickname.<br />

Bron: Opta dossier<br />

In het geval van domain hijacking wordt e<strong>en</strong> domein gekaapt of gestol<strong>en</strong>, door de<br />

registratie zonder toestemming van de houder over te schrijv<strong>en</strong> op naam van e<strong>en</strong><br />

andere (vaak niet bestaande) partij. Daarvoor maakt m<strong>en</strong> misbruik van<br />

kwetsbaarhed<strong>en</strong> in het domeinnaamregistratiesysteem. De Stichting<br />

Domeinnaamregistratie Nederland gaf in 2006 aan dat in het jaar daarvoor van de<br />

125.000 domeinverhuizing<strong>en</strong> er 800 war<strong>en</strong> teruggedraaid. De precieze red<strong>en</strong> werd<br />

58


niet vermeld, maar domeinkaping lijkt e<strong>en</strong> rol te hebb<strong>en</strong> gespeeld (de Winter,<br />

2006). Het aantal lijkt niet veel maar zegt niets over de mogelijke schade die tijd<strong>en</strong>s<br />

de kaping van bijvoorbeeld slechts één site is veroorzaakt. Domeinkaping is ge<strong>en</strong><br />

werk van amateurs; als het voor‐ komt, levert dat e<strong>en</strong> verd<strong>en</strong>king op van<br />

professioneel optred<strong>en</strong>de phishers.<br />

“Het aantal domeinnam<strong>en</strong> op e<strong>en</strong>zelfde registrati<strong>en</strong>aam is e<strong>en</strong> indicator voor<br />

oneig<strong>en</strong>lijk gebruik.”<br />

Omdat de geloofwaardigheid van nieuwe accounts niet gewaarborgd is <strong>en</strong><br />

providers sneller bereid zijn deze te verwijder<strong>en</strong> als er verd<strong>en</strong>king<strong>en</strong> teg<strong>en</strong> het<br />

domein bestaan, zoek<strong>en</strong> cybercriminel<strong>en</strong> bestaande domein<strong>en</strong> die lang bestaan.<br />

Andere indicaties voor het bepal<strong>en</strong> van risicodomein<strong>en</strong> zijn bijvoorbeeld (Armin &<br />

B.Turakhia, 2008):<br />

domein<strong>en</strong> geregistreerd met dezelfde contactinformatie (naam‐ <strong>en</strong><br />

adrespatron<strong>en</strong>);<br />

bulk registratie door verdachte gebruikers van domeinnam<strong>en</strong> met hele kleine<br />

variaties, zoals 018xyz.com, 018xyza.com, 018xyzb.com, 018xyzc.com;<br />

het gebruik van steeds dezelfde name servers van e<strong>en</strong> zwarte lijst;<br />

registraties door hetzelfde gebruikersaccount dat al geassocieerd wordt met<br />

misbruik.<br />

2.9 Stap 5 Acquire site hosting<br />

Na de registratie van e<strong>en</strong> of meerdere domeinnam<strong>en</strong>, moet<strong>en</strong> de spoof website<br />

van de phisher <strong>en</strong> zijn recruitm<strong>en</strong>t site, wel erg<strong>en</strong>s in het web op e<strong>en</strong> server<br />

kunn<strong>en</strong> draai<strong>en</strong>. Hiervoor heeft de phisher weer meerdere mogelijkhed<strong>en</strong>, met<br />

vanuit di<strong>en</strong>s oogpunt elk hun specifieke voor‐ <strong>en</strong> nadel<strong>en</strong>, die ook elk weer andere<br />

aanknopingspunt<strong>en</strong> bied<strong>en</strong> voor de bestrijding.<br />

Regular hosting<br />

E<strong>en</strong> phisher kan er voor kiez<strong>en</strong> om e<strong>en</strong> semilegale weg te bewandel<strong>en</strong>. In dat geval<br />

koopt de phisher ruimte op e<strong>en</strong> server van e<strong>en</strong> ISP. Het liefst doet hij dat zonder<br />

zijn eig<strong>en</strong> naam <strong>en</strong> andere gegev<strong>en</strong>s prijs te gev<strong>en</strong>. Hiervoor kan hij valse<br />

creditcardgegev<strong>en</strong>s gebruik<strong>en</strong>, die op underground fora gewoon te koop zijn. De<br />

koopovere<strong>en</strong>komst heeft als voordeel dat e<strong>en</strong> ISP zeker zal will<strong>en</strong> wet<strong>en</strong> dat e<strong>en</strong><br />

website e<strong>en</strong> spoof website is, voordat de ISP gegev<strong>en</strong>s van e<strong>en</strong> betal<strong>en</strong>de klant op<br />

59


verzoek verwijdert. Het geeft e<strong>en</strong> zekere robuustheid aan de spoof site van de<br />

phisher waardoor deze langer in de lucht kan blijv<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> garandeert het<br />

host<strong>en</strong> bij e<strong>en</strong> ISP g<strong>en</strong>oeg bandbreedte om het verkeer naar de spoof website te<br />

verzeker<strong>en</strong>.<br />

Regular spam-hoster<br />

iMedia Networks (Ver<strong>en</strong>igde Stat<strong>en</strong>)<br />

“iMedia Networks is e<strong>en</strong> bek<strong>en</strong>de spam-hoster die andere grote spammers helpt,<br />

zoals Damon DeCresc<strong>en</strong>zo (Docdrugs), Quang Dantran (Whoa Medical), Andrew<br />

Am<strong>en</strong>d, James Creamer (Market Traction Inc) <strong>en</strong> Partners-in-Spam, zoals Tr<strong>en</strong>t<br />

Durnham, Alan Ralsky <strong>en</strong> ander<strong>en</strong>. Ze verkop<strong>en</strong> ‘spammer hosting’ voor hoge<br />

bedrag<strong>en</strong> terwijl ze de netwerkbeheerders bezighoud<strong>en</strong> door te zegg<strong>en</strong> dat ze de<br />

spammer verwijderd hebb<strong>en</strong>, terwijl ze de spammer in werkelijkheid e<strong>en</strong> nieuw IPadres<br />

gev<strong>en</strong>.”<br />

Bron: www.security.nl/artikel/14269/1/Meet_the_spammers.html<br />

Professionele phishers nem<strong>en</strong> ge<strong>en</strong> g<strong>en</strong>oeg<strong>en</strong> met andermans serverruimte. Zij<br />

zett<strong>en</strong> zelf webservers op. Dit heeft veel voordel<strong>en</strong>, vooral om de spoof websites<br />

lang in de lucht te houd<strong>en</strong>. Door de website op meerdere eig<strong>en</strong> servers tegelijk te<br />

zett<strong>en</strong>, garander<strong>en</strong> de phishers bandbreedte, zodat de spoof site bereikbaar blijft.<br />

In principe is de spoof website via het IP‐adres van de server waarop de spoof<br />

website staat relatief e<strong>en</strong>voudig te vind<strong>en</strong>. Met e<strong>en</strong> truc prober<strong>en</strong> phishers<br />

opsporing te bemoeilijk<strong>en</strong>. Daarvoor zett<strong>en</strong> ze zog<strong>en</strong>aamde ‘flux’ netwerk<strong>en</strong> op. In<br />

e<strong>en</strong> normaal netwerk zoekt e<strong>en</strong> computer e<strong>en</strong> website <strong>en</strong> vindt die op e<strong>en</strong> server<br />

met e<strong>en</strong> zeker IP‐adres (te vergelijk<strong>en</strong> met e<strong>en</strong> telefoonnummer). Wil e<strong>en</strong><br />

gebruiker website X bezoek<strong>en</strong>, dan ‘belt’ de computer van de gebruiker met het IPadres<br />

van die website <strong>en</strong> ontvangt van de server waarop die website staat de<br />

inhoud terug. Bij e<strong>en</strong> single flux netwerk zorgt de phisher ervoor dat het IP‐adres<br />

(het telefoonnummer) steeds verandert. Deze verandering kan iedere paar minut<strong>en</strong><br />

of meerdere ker<strong>en</strong> per minuut plaatsvind<strong>en</strong> 14 . Opsporing <strong>en</strong> lokalisatie word<strong>en</strong> op<br />

die manier bemoeilijkt. Het doel is om de spoof website zo lang mogelijk in de lucht<br />

te houd<strong>en</strong> zonder gevaar van ontdekking. Hoe langer de aanval duurt, des te meer<br />

die oplevert.<br />

14 Het wissel<strong>en</strong> van adres vindt niet fysiek plaats, maar wordt mogelijk gemaakt door toepassing van<br />

botnets. Het slachtoffer dat naar de spoof website gelokt is, legt niet direct contact met de webserver<br />

maar met e<strong>en</strong> geïnfecteerde computer erg<strong>en</strong>s op de wereld. Die computer staat op zijn beurt weer in<br />

contact met de webserver van de phishers.<br />

60


De single flux truc k<strong>en</strong>t e<strong>en</strong> beperking omdat de phisher maar over e<strong>en</strong> beperkt<br />

aantal IP‐adress<strong>en</strong> kan beschikk<strong>en</strong>. Wordt er vaak g<strong>en</strong>oeg naar e<strong>en</strong> van de<br />

nummers gekek<strong>en</strong>, dan komt op <strong>en</strong>ig mom<strong>en</strong>t hetzelfde nummer weer terug.<br />

Daarmee is te achterhal<strong>en</strong> in welke IP‐range de spoof website is geplaatst. E<strong>en</strong><br />

rigoureuze bestrijdingmethode is om al het <strong>internet</strong>verkeer in deze range te<br />

blokker<strong>en</strong> <strong>en</strong> zo de phisher <strong>en</strong> zijn aanval te neutraliser<strong>en</strong>. Maar onvermijdelijk<br />

maakt dat ook onschuldige slachtoffers <strong>en</strong> daar houd<strong>en</strong> ISP’s niet van.<br />

Bij fast‐flux d<strong>en</strong>kt de computer te communicer<strong>en</strong> met e<strong>en</strong> server, maar in<br />

werkelijkheid is het e<strong>en</strong> bot. Achter het botnet zit e<strong>en</strong> server die de cont<strong>en</strong>t levert<br />

aan de bot die dit weer doorgeeft aan de computer. Als e<strong>en</strong> phisher zich hiervan<br />

bedi<strong>en</strong>t dan wisselt niet alle<strong>en</strong> het telefoonnummer zoals in het geval van single<br />

flux, maar ook de plaats waar het telefoonnummer staat. Wordt J. Pietersz<strong>en</strong><br />

opgezocht dan heeft hij niet alle<strong>en</strong> steeds e<strong>en</strong> nieuw telefoonnummer, maar woont<br />

hij de <strong>en</strong>e keer in Amsterdam, dan in Utrecht, etc. Het lokaliser<strong>en</strong> van Pietersz<strong>en</strong><br />

wordt dan vrijwel onmogelijk, net als in de analogie de spoof website. Ook hier<br />

geldt dat wegnem<strong>en</strong> van de bot voor gebruikers lastig is, maar voor de phisher<br />

nauwelijks gevolg<strong>en</strong> heeft. Leeftijd <strong>en</strong> geschied<strong>en</strong>is van e<strong>en</strong> domein zijn belangrijke<br />

factor<strong>en</strong> in het bepal<strong>en</strong> van het risico op fast‐flux aanvall<strong>en</strong> (Internet Corporation<br />

for Assigned Names and Numbers (ICANN), 2009, p. 9).<br />

Bulletproof hosting<br />

Bulletproof hosting is globaal om twee red<strong>en</strong><strong>en</strong> interessant voor e<strong>en</strong> phisher. In de<br />

eerste plaats omdat deg<strong>en</strong>e die deze di<strong>en</strong>stverl<strong>en</strong>ing aanbiedt zich niet druk maakt<br />

over wat de gebruiker (in casu de phisher) precies met de gehoste server doet <strong>en</strong> in<br />

de tweede plaats omdat de aanbieder van de di<strong>en</strong>stverl<strong>en</strong>ing de id<strong>en</strong>titeit van de<br />

host heeft afgeschermd. Voor spammers <strong>en</strong> phishers natuurlijk e<strong>en</strong> ideale vorm<br />

voor afscherming van id<strong>en</strong>titeit<strong>en</strong> <strong>en</strong> locaties waar hun servers draai<strong>en</strong>.<br />

Botnetcontrollers word<strong>en</strong> bijvoorbeeld ook bulletproof gehost.<br />

Opsporingsonderzoek<strong>en</strong> lop<strong>en</strong> stuk op deze vorm van hosting. Overig<strong>en</strong>s is niet<br />

iedere vorm van bulletproof hosting voor de phisher geschikt. In tal van land<strong>en</strong><br />

waar de regelgeving niet zo strikt is, kan deze vorm van hosting word<strong>en</strong> verkreg<strong>en</strong>.<br />

Met als mogelijke consequ<strong>en</strong>tie dat de <strong>internet</strong>verbinding niet al te zeker is<br />

waardoor die vaak down gaat <strong>en</strong> de phisher inkomst<strong>en</strong> misloopt. De phisher zal<br />

daarom op zoek zijn naar bulletproof webhosting met e<strong>en</strong> hoge ‘uptime’ <strong>en</strong> e<strong>en</strong><br />

grote bandbreedte. Deze servers draai<strong>en</strong> zonder storing<strong>en</strong>, zijn erg stabiel <strong>en</strong><br />

k<strong>en</strong>n<strong>en</strong> weinig uitval. Dat garandeert dat bezoekers de site altijd kunn<strong>en</strong> bereik<strong>en</strong>.<br />

Nederland is daarvan e<strong>en</strong> voorbeeld, maar heeft als nadeel dat de id<strong>en</strong>titeit lastig<br />

61


verborg<strong>en</strong> blijft. Land<strong>en</strong> als Brazilië, Rusland, Singapore, Hongkong <strong>en</strong> China<br />

voldo<strong>en</strong> wel aan de w<strong>en</strong>s<strong>en</strong> van de phisher of van deg<strong>en</strong>e van wie de phisher de<br />

bulletproof hosting huurt.<br />

Bulletproof hosting<br />

Spammer Ivo Ottavio Reali Camargo (Brazilië)<br />

“Ivo is e<strong>en</strong> spammer <strong>en</strong> ‘off shore’ partner voor veel andere spammers, waaronder<br />

spamkoning Alan Ralsky <strong>en</strong> Michael Lindsay. Ivo levert hosting, domeinnam<strong>en</strong> <strong>en</strong><br />

spam services uit Brazilië vanwege de lokaal tolereante wetgeving. Hij gebruikt<br />

bepaalde techniek<strong>en</strong> om de domein<strong>en</strong> van zijn klant<strong>en</strong> in zijn eig<strong>en</strong> regio te host<strong>en</strong>.<br />

Hij gebruikt daarvoor ook gehackte servers. Als spammer doet hij in hypothek<strong>en</strong>,<br />

medicijn<strong>en</strong>, <strong>en</strong> aandel<strong>en</strong>scams.”<br />

Bron: www.security.nl/artikel/14269/1/Meet_the_spammers.html<br />

“Land<strong>en</strong> met zowel e<strong>en</strong> hoge bandbreedte als e<strong>en</strong> regime dat niet bereid is op<br />

aanwijzing sites te lat<strong>en</strong> verwijder<strong>en</strong> (hosting paradises), zijn aantrekkelijk voor<br />

cybercriminel<strong>en</strong>.”<br />

“Heeft iemand zich voorzi<strong>en</strong> van bulletproof hosting, dan is dat e<strong>en</strong> redelijke<br />

indicatie dat er iets niet deugt. Bijbehor<strong>en</strong>de ranges IP‐adress<strong>en</strong> in combinatie met<br />

rare URL’s versterk<strong>en</strong> deze verd<strong>en</strong>king.”<br />

Het is mogelijk om blacklists te mak<strong>en</strong> van bulletproof hosters op basis van IPranges.<br />

Onderhoud van die blacklist is dan uiteraard van belang.<br />

Creditcard hosting<br />

Creditcard hosting is e<strong>en</strong> e<strong>en</strong>voudige <strong>en</strong> snelle manier van hosting. Grote ISP’s in<br />

Amerika bied<strong>en</strong> deze di<strong>en</strong>st volstrekt regulier (legaal) aan. Alles wat e<strong>en</strong> spammer<br />

of phisher nodig heeft is e<strong>en</strong> (vals) creditcard account <strong>en</strong> e<strong>en</strong> website. Hij vraagt<br />

het domein aan, betaalt <strong>en</strong> de site kan word<strong>en</strong> gehost.<br />

“Juist omdat de cybercriminel<strong>en</strong> zich in e<strong>en</strong> voorbereid<strong>en</strong>de fase nog vrij onbespied<br />

wan<strong>en</strong>, hun activiteit<strong>en</strong> zijn immers nog niet operationeel, bestaat de kans dat e<strong>en</strong><br />

niet al te slimme boef vanuit zijn eig<strong>en</strong> omgeving van e<strong>en</strong> di<strong>en</strong>st als creditcard<br />

hosting gebruik maakt. Dan is er alsnog e<strong>en</strong> spoor dat naar hem verwijst.”<br />

Het gebruik van gestol<strong>en</strong> creditcardgegev<strong>en</strong>s kan ook naar de dader verwijz<strong>en</strong>. Na<br />

geblek<strong>en</strong> diefstal word<strong>en</strong> creditcards geblokkeerd, zodat de cybercrimineel die van<br />

62


deze gegev<strong>en</strong>s gebruik wil mak<strong>en</strong> soms meerdere nummers moet check<strong>en</strong> om uit<br />

te kom<strong>en</strong> bij geldige gegev<strong>en</strong>s.<br />

“Meer dan één betaalpoging met verschill<strong>en</strong>de creditcards achter elkaar vanaf<br />

e<strong>en</strong>zelfde computer levert bij de instelling die het betalingsverkeer verwerkt e<strong>en</strong><br />

opvall<strong>en</strong>d inlogpatroon op van iemand die vanaf hetzelfde IP‐adres e<strong>en</strong> lijst met<br />

gestol<strong>en</strong> creditcards lijkt af te lop<strong>en</strong> op zoek naar e<strong>en</strong> werk<strong>en</strong>de.”<br />

“Via e<strong>en</strong> bepaald type betaling<strong>en</strong> aan e<strong>en</strong> creditcard hoster kan mogelijk afgeleid<br />

word<strong>en</strong> welke hosters grotere kans hebb<strong>en</strong> spoofing websites te host<strong>en</strong>.”<br />

Server hacking<br />

In e<strong>en</strong> aantal stapp<strong>en</strong> van het phishingproces moet de phisher zich toegang<br />

verschaff<strong>en</strong> tot diverse andere computersystem<strong>en</strong> waar hij normaal gesprok<strong>en</strong><br />

ge<strong>en</strong> toegang toe heeft. Om toch bij de informatie te kunn<strong>en</strong> die hij wil of zijn eig<strong>en</strong><br />

informatie te stall<strong>en</strong> waar hij wil, zal hij in die system<strong>en</strong> moet<strong>en</strong> inbrek<strong>en</strong>. De kunst<br />

van het hack<strong>en</strong> is om in steeds minder stapp<strong>en</strong> toegang te verkrijg<strong>en</strong>, zodat de kans<br />

op detectie kleiner wordt.<br />

E<strong>en</strong> phisher kan prober<strong>en</strong> e<strong>en</strong> kwetsbare server te vind<strong>en</strong> via het World Wide Web.<br />

Er zijn ook facilitators (scouts) die zich hebb<strong>en</strong> toegelegd op het ontdekk<strong>en</strong> van<br />

servers met verouderde operating systems (OS) die niet de nodige updates hebb<strong>en</strong><br />

gehad of servers met OS’<strong>en</strong> waarin nieuwe lekk<strong>en</strong> zijn ontdekt <strong>en</strong> die nog niet door<br />

de fabrikant<strong>en</strong> verholp<strong>en</strong> zijn. Voor het vind<strong>en</strong> van dit soort servers zijn ook weer<br />

doe‐het‐zelf programma’s beschikbaar. Voor het inbrek<strong>en</strong> in kwetsbare computers<br />

zijn op het <strong>internet</strong> handleiding<strong>en</strong> voorhand<strong>en</strong>. Het nadeel van deze methode is<br />

haar tijdrov<strong>en</strong>d karakter <strong>en</strong> de hoge risico’s die het met zich meebr<strong>en</strong>gt. De<br />

methode is simpel. Breek in op e<strong>en</strong> domein (www.meccanodoos.nl) <strong>en</strong> plaats de<br />

spoofing site op www.meccanodoos.nl/a/b/c/d/1973/index.html. Wanneer e<strong>en</strong><br />

phisher de gehackte server binn<strong>en</strong> is, moet hij het lek op<strong>en</strong>lat<strong>en</strong> om zelf e<strong>en</strong><br />

volg<strong>en</strong>de keer weer binn<strong>en</strong> te kunn<strong>en</strong> kom<strong>en</strong>.<br />

“In theorie kunn<strong>en</strong> ook bestrijders op zoek gaan naar kwetsbare servers <strong>en</strong> de deur<br />

lat<strong>en</strong> sluit<strong>en</strong> of e<strong>en</strong> ev<strong>en</strong>tuele phisher opwacht<strong>en</strong>.”<br />

De phisher hoeft de gehackte host niet per se te gebruik<strong>en</strong> voor het host<strong>en</strong> van zijn<br />

spoof of recruitm<strong>en</strong>t site, maar kan hem ook onderdeel mak<strong>en</strong> van zijn botnet. In<br />

dat geval dicht hij het lek in het OS wel, waardoor deze server in e<strong>en</strong> zoekactie naar<br />

kwetsbare servers niet bov<strong>en</strong> zal kom<strong>en</strong>.<br />

63


De phisher hoeft het hack<strong>en</strong> niet zelf te do<strong>en</strong>, maar kan ook de toegang tot e<strong>en</strong><br />

gehackte server kop<strong>en</strong> of hur<strong>en</strong>. In feite gebeurt dat ook als onderdeel van de DIYphishingkits.<br />

2.10 Stap 6 Upload web cont<strong>en</strong>t<br />

Voordat het slachtoffer zijn gegev<strong>en</strong>s in kan vull<strong>en</strong> op e<strong>en</strong> spoof site moet die site<br />

word<strong>en</strong> gelanceerd. Hetzelfde geldt voor bijvoorbeeld mules die zich meld<strong>en</strong> bij<br />

e<strong>en</strong> recruitm<strong>en</strong>t site. Pas dan kan iedere<strong>en</strong> met de juiste URL deze sites bezoek<strong>en</strong>.<br />

Opmerkelijk is dat voordat de spambericht<strong>en</strong> verzond<strong>en</strong> zijn, er nog ge<strong>en</strong> <strong>en</strong>kel<br />

verkeer van <strong>en</strong> naar de spoof site zal zijn. Niemand is op dat mom<strong>en</strong>t nog op de<br />

hoogte van de plaats waar de site staat <strong>en</strong> zal er uit zichzelf naar toe surf<strong>en</strong>, t<strong>en</strong>zij<br />

e<strong>en</strong> gebruiker e<strong>en</strong> URL fout intypt die toevallig exact overe<strong>en</strong>komt met de phishing<br />

URL. Op dit soort typefout<strong>en</strong> is overig<strong>en</strong>s door e<strong>en</strong> aantal houders van<br />

domeinnam<strong>en</strong> slim ingespeeld om op die manier m<strong>en</strong>s<strong>en</strong> op hun site uit te lat<strong>en</strong><br />

kom<strong>en</strong>.<br />

E<strong>en</strong> ervar<strong>en</strong> phisher zal zijn phishingsite anoniem of onder de naam van e<strong>en</strong> ander<br />

will<strong>en</strong> upload<strong>en</strong>. Bij gebruik van de DIY‐kit heeft e<strong>en</strong> phisher hierover overig<strong>en</strong>s<br />

maar beperkt controle. Net als de betaling met e<strong>en</strong> gestol<strong>en</strong> creditcard, zal e<strong>en</strong><br />

dergelijke phisher niet van zijn ‘normale’ <strong>internet</strong> verbinding gebruik will<strong>en</strong> mak<strong>en</strong>.<br />

Uploads gebeur<strong>en</strong> via <strong>internet</strong>cafés, gekraakte draadloze netwerk<strong>en</strong>, gratis WiFi,<br />

e<strong>en</strong> ket<strong>en</strong> van gekraakte computers, etc.<br />

Uit oogpunt van detectie is vooral de testfase van de spoofsite van belang. Alvor<strong>en</strong>s<br />

volledig online te gaan zal de phisher zijn site will<strong>en</strong> uitprober<strong>en</strong>. Juist deze<br />

testomgeving waar de sites tijdelijk staan, bevindt zich vermoedelijk dicht bij de<br />

phisher zelf. Op dat mom<strong>en</strong>t is hij kwetsbaar zonder het zich te realiser<strong>en</strong>. Detectie<br />

van de testomgeving kan leid<strong>en</strong> naar de phisher zelf.<br />

“Spoof sites kunn<strong>en</strong> binn<strong>en</strong> bepaalde IP‐ranges gedetecteerd word<strong>en</strong> op basis van<br />

e<strong>en</strong> bepaald profiel bestaande uit woord<strong>en</strong> <strong>en</strong> kleur<strong>en</strong>, die specifiek zijn voor<br />

spoofing websites. Dat kan aanwijzing<strong>en</strong> gev<strong>en</strong> voor de ‘echte’ bov<strong>en</strong>ligg<strong>en</strong>de URL<br />

die direct gelieerd is aan de phisher <strong>en</strong> in dat voorbereid<strong>en</strong>d stadium nog niet aan<br />

de phishing URL.”<br />

64


2.11 Stap 7a Acquire mail delivery<br />

De volg<strong>en</strong>de stap in de phishing aanval is het bouw<strong>en</strong> of kop<strong>en</strong> van software die<br />

snel <strong>en</strong> geautomatiseerd e‐mailbericht<strong>en</strong> kan verstur<strong>en</strong> naar de geharveste of<br />

aangekochte adress<strong>en</strong>. Deze software is volop verkrijgbaar op fora, nieuwsgroep<strong>en</strong><br />

<strong>en</strong> in chatrooms op <strong>internet</strong>.<br />

Massmailer<br />

E<strong>en</strong> massmailer is e<strong>en</strong> softwareprogramma dat veel bericht<strong>en</strong> tegelijk kan<br />

verz<strong>en</strong>d<strong>en</strong> of via e<strong>en</strong> botnet de bots instrueert om e<strong>en</strong> mail te verstur<strong>en</strong>. E<strong>en</strong><br />

voorbeeld van e<strong>en</strong> dergelijke toepassing is Dark mailer 15 . De software is nodig om<br />

de pot<strong>en</strong>tiële slachtoffers te b<strong>en</strong>ader<strong>en</strong> <strong>en</strong> de link naar de spoof website over te<br />

drag<strong>en</strong>. De meest populaire programma’s word<strong>en</strong> niet gratis ter beschikking<br />

gesteld. De aanschaf van dergelijke massmailers laat dus e<strong>en</strong> geldspoor na.<br />

Opvall<strong>en</strong>d is ook dat massmailers vaak te herk<strong>en</strong>n<strong>en</strong> zijn aan de opbouw van de<br />

bericht<strong>en</strong> <strong>en</strong> de trucs die gebruikt word<strong>en</strong> om de opsporing te bemoeilijk<strong>en</strong>. E<strong>en</strong><br />

mom<strong>en</strong>teel nog redelijk verweer teg<strong>en</strong> de meeste massmailers is graylisting.<br />

Graylisting maakt gebruik van de verschill<strong>en</strong> in gedrag van massmailers <strong>en</strong> ‘echte’<br />

MTAs (Mail Transfer Ag<strong>en</strong>t). Echte MTA’s vrag<strong>en</strong> eerst of het schikt <strong>en</strong> als de<br />

ontvang<strong>en</strong>de host aangeeft het ‘te druk’ te hebb<strong>en</strong>, dan probeert e<strong>en</strong> MTA het<br />

later nog e<strong>en</strong>s. De meeste massmailers zijn niet ingericht op het (langdurig, d<strong>en</strong>k<br />

aan ur<strong>en</strong>) wacht<strong>en</strong> voordat e<strong>en</strong> bericht verstuurd mag word<strong>en</strong>. Het is echter te<br />

verwacht<strong>en</strong> dat als graylisting populairder wordt, massmailers deze ‘backoff’<br />

procedure ook zull<strong>en</strong> gaan na do<strong>en</strong>.<br />

“Beginn<strong>en</strong>de phishers gaan op fora <strong>en</strong> nieuwsgroep<strong>en</strong> <strong>en</strong> downloadsites op zoek<br />

naar mail software. De communicatie op dergelijke plaats<strong>en</strong> met mogelijke<br />

aanbieders laat e<strong>en</strong> spoor achter <strong>en</strong> e<strong>en</strong> alias.”<br />

“Beginn<strong>en</strong>de phishers zull<strong>en</strong> vanwege het op zichzelf niet illegale karakter g<strong>en</strong>eigd<br />

zijn om de mailsoftware met reguliere <strong>internet</strong> betaalmogelijkhed<strong>en</strong> af te rek<strong>en</strong><strong>en</strong>,<br />

ev<strong>en</strong>tueel gebruik mak<strong>en</strong>d van creditcardgegev<strong>en</strong>s van familie. Ze hebb<strong>en</strong> zichzelf<br />

nog niet voorzi<strong>en</strong> van allerlei rookgordijn<strong>en</strong> in e<strong>en</strong> vroeg stadium van het<br />

phishingproces.”<br />

Acquire botnet<br />

15 www.<strong>en</strong>.wikipedia.org/wiki/Dark_Mailer, laatst geraadpleegd op 4 juli 2008.<br />

65


Botnets zijn netwerk<strong>en</strong> van computers die geïnfecteerd zijn met e<strong>en</strong><br />

softwareprogramma waardoor de computer door iemand anders dan de gebruiker<br />

bestuurd kan word<strong>en</strong> (met nam<strong>en</strong> als ‘Monkif/DIKhora’, ‘Maazb<strong>en</strong>’, ‘Rustock’).<br />

De bots, de geïnfecteerde computers, word<strong>en</strong> gerekruteerd door de gebruiker naar<br />

websites te lokk<strong>en</strong> waarop het softwareprogramma staat. Dit kunn<strong>en</strong> allerlei<br />

websites zijn, zoals loterij<strong>en</strong> die schijnbaar gewonn<strong>en</strong> zijn, ‘veiligheid’‐websites,<br />

pornosites <strong>en</strong> dergelijke. De bots ontvang<strong>en</strong> instructies van de botnetbeheerder.<br />

Botnets word<strong>en</strong> bijvoorbeeld ingezet bij DDoS 16 aanvall<strong>en</strong>, waarbij grote aantall<strong>en</strong><br />

computers tegelijk e<strong>en</strong> website bezoek<strong>en</strong> <strong>en</strong> zo de webserver overbelast<strong>en</strong>. De<br />

phisher kan zich op twee manier<strong>en</strong> bedi<strong>en</strong><strong>en</strong> van e<strong>en</strong> botnet. Hij kan bij alle van het<br />

botnet deeluitmak<strong>en</strong>de pc’s zijn spoof website lat<strong>en</strong> zi<strong>en</strong>. Alle bots op<strong>en</strong><strong>en</strong> dan de<br />

spoof website op het mom<strong>en</strong>t dat de phisher dat wil. Dit heeft als groot voordeel<br />

dat alle geadresseerd<strong>en</strong> in ieder geval op de website kom<strong>en</strong>, wat de kans vergroot<br />

dat slachtoffers hun gegev<strong>en</strong>s achterlat<strong>en</strong>. Aan de andere kant zull<strong>en</strong> sommige<br />

gebruikers de website beschouw<strong>en</strong> als e<strong>en</strong> ongew<strong>en</strong>ste pop‐up, die ze zonder<br />

nadere beschouwing weer sluit<strong>en</strong>. Ander<strong>en</strong> zull<strong>en</strong> bij het onverwachts op<strong>en</strong><strong>en</strong> van<br />

e<strong>en</strong> webpagina wantrouw<strong>en</strong>d word<strong>en</strong> <strong>en</strong> de pagina weer sluit<strong>en</strong>. E<strong>en</strong> ander nadeel<br />

van deze methode is dat de red<strong>en</strong> waarom de website verschijnt onduidelijk blijft.<br />

Er is ge<strong>en</strong> waarschuwing aan vooraf gegaan die de noodzaak van het invull<strong>en</strong> van<br />

de gegev<strong>en</strong>s door de gebruiker verklaart.<br />

In e<strong>en</strong> tweede toepassing van e<strong>en</strong> botnet verspreidt de phisher zijn e‐mailbericht<br />

via het botnet naar de bots <strong>en</strong> instrueert h<strong>en</strong> dit naar alle contact<strong>en</strong> van de<br />

gebruiker van de bot uit di<strong>en</strong>s adresboek door te stur<strong>en</strong>. Dit heeft als voordeel dat<br />

de phisher in het harvesting proces minder <strong>en</strong>ergie hoeft te verspill<strong>en</strong> aan het<br />

verzamel<strong>en</strong> van adress<strong>en</strong>.<br />

Beide method<strong>en</strong> vereis<strong>en</strong> dat de phisher, althans tijdelijk, de beschikking heeft over<br />

e<strong>en</strong> botnet. Dit kan hij ‘hur<strong>en</strong>’ van e<strong>en</strong> botnet beheerder of zelf opzett<strong>en</strong>. Het<br />

opzett<strong>en</strong> van e<strong>en</strong> botnet is e<strong>en</strong> tijdrov<strong>en</strong>d karwei dat eerder door georganiseerde<br />

phishing organisaties zal gebeur<strong>en</strong> dan door de individuele phisher. Botnet<br />

beheerders zitt<strong>en</strong> elkaar regelmatig dwars, omdat ze allemaal prober<strong>en</strong> hun botnet<br />

zo groot mogelijk te mak<strong>en</strong>. E<strong>en</strong> besmette computer kan echter maar onderdeel<br />

zijn van één botnet tegelijk. Botnets kunn<strong>en</strong> daarom ook heel dynamisch zijn <strong>en</strong><br />

van de <strong>en</strong>e op de andere dag in grootte verschill<strong>en</strong>.<br />

16 Distributed d<strong>en</strong>ial‐of‐service: e<strong>en</strong> computer‐ of netwerkaanval met andere computers die zoveel<br />

verbindingsverzoek<strong>en</strong> naar de server van e<strong>en</strong> of meer sites verstur<strong>en</strong>, dat de ‘service’ daarvan (tijdelijk)<br />

wordt geblokeerd.<br />

66


“Phishers kop<strong>en</strong>/hur<strong>en</strong> e<strong>en</strong> botnet in plaats van er zelf één op te zett<strong>en</strong>. Kop<strong>en</strong><br />

houdt feitelijk in dat m<strong>en</strong> e<strong>en</strong> commando krijgt met behulp waarvan het botnet kan<br />

word<strong>en</strong> geactiveerd; al dan niet voor e<strong>en</strong> bepaalde duur.”<br />

“Het verwerv<strong>en</strong> van e<strong>en</strong> botnet verloopt via underground fora waarbij vanwege het<br />

illegale karakter van e<strong>en</strong> botnet de credibility check van de pot<strong>en</strong>tiële koper e<strong>en</strong><br />

veel zwaarder karakter zal hebb<strong>en</strong> dan bij het inkop<strong>en</strong> van andere tools t<strong>en</strong><br />

behoeve van de phishing.”<br />

“De verkopers van botnets hebb<strong>en</strong> paradoxaal g<strong>en</strong>oeg e<strong>en</strong>zelfde belang als de<br />

bank<strong>en</strong>: afscherming. Ze mak<strong>en</strong> daarom van dezelfde afschermingtechniek<strong>en</strong><br />

gebruik.”<br />

“De betaling van de huur van e<strong>en</strong> botnet vindt plaats in natura (inloggegev<strong>en</strong>s,<br />

creditcardnummers, diskspace) of via niet‐triviale <strong>internet</strong> betaling<strong>en</strong> (money<br />

transfers, epassports, webmoney, cash).”<br />

Acquire PWND computer<br />

PWND staat voor pawned (pion) computer <strong>en</strong> komt neer op het (specifiek) kunn<strong>en</strong><br />

bedi<strong>en</strong><strong>en</strong> van andermans computer. In teg<strong>en</strong>stelling tot e<strong>en</strong> botnet zull<strong>en</strong> bepaalde<br />

phishers zelf hun PWND computers verwerv<strong>en</strong> door actief op zoek te gaan naar<br />

slecht beveiligde computers. Ze onderzoek<strong>en</strong> hiervoor bepaalde IP‐ranges op<br />

kwetsbaarhed<strong>en</strong> die als zodanig door hun netwerkactiviteit herk<strong>en</strong>baar zijn voor<br />

ISP’s. Door het laagdrempelige karakter van het verwerv<strong>en</strong> van e<strong>en</strong> PWNDcomputer<br />

zull<strong>en</strong> (beginn<strong>en</strong>de) phishers minder nadrukkelijk hun eig<strong>en</strong> id<strong>en</strong>titeit<br />

richting de PWND‐computer verhull<strong>en</strong> (m<strong>en</strong> is nog niet zo geroutineerd <strong>en</strong> in alle<br />

fas<strong>en</strong> van verhulling thuis).<br />

“Wordt e<strong>en</strong> PWND‐computer onderzocht op netwerk verkeer van de controler<strong>en</strong>de<br />

computer dan komt m<strong>en</strong> wellicht uit bij de id<strong>en</strong>titeit van de phisher.”<br />

Er bestaat e<strong>en</strong> groot aantal softwarepakkett<strong>en</strong> om op grote schaal naar<br />

kwetsbaarhed<strong>en</strong> in e<strong>en</strong> netwerk te zoek<strong>en</strong>. De beginn<strong>en</strong>de phisher is zichtbaar<br />

wanneer hij op zoek gaat naar die software <strong>en</strong> deze betaalt. Door het niet direct<br />

strafbare karakter van de software zal de credibility check minder zwaar zijn.<br />

Gedur<strong>en</strong>de het hele phishingproces moet de id<strong>en</strong>titeit van de phisher onbek<strong>en</strong>d<br />

blijv<strong>en</strong>. Vanaf stap 8 neemt hij de id<strong>en</strong>titeit aan van het slachtoffer of lift met het<br />

slachtoffer mee bij het target naar binn<strong>en</strong>. E<strong>en</strong> proxyserver kan word<strong>en</strong> gebruikt<br />

67


om id<strong>en</strong>titeit af te scherm<strong>en</strong>. E<strong>en</strong> proxy is e<strong>en</strong> PWND‐computer die zich door<br />

bedi<strong>en</strong>ing op afstand kan gedrag<strong>en</strong> als e<strong>en</strong> vervanger voor e<strong>en</strong> andere computer.<br />

Proxyservers zijn schakels in het <strong>internet</strong> waarop (bijvoorbeeld bij e<strong>en</strong> ISP) vaak<br />

geraadpleegde websites word<strong>en</strong> opgeslag<strong>en</strong>. Daardoor kunn<strong>en</strong> veelgebruikte sites<br />

sneller word<strong>en</strong> gelad<strong>en</strong>. E<strong>en</strong> proxyserver onderschept verzoek<strong>en</strong> om informatie<br />

van e<strong>en</strong> browser <strong>en</strong> kijkt of die zich op de proxyserver bevind<strong>en</strong>. Het<br />

<strong>internet</strong>verkeer loopt via e<strong>en</strong> proxyserver waardoor het eindstation niet het IPadres<br />

van de computergebruiker ziet maar van de proxyserver. E<strong>en</strong> aantal van deze<br />

proxy’s kan ook word<strong>en</strong> geschakeld (proxy‐chain) waarbij het zeer moeilijk <strong>en</strong> altijd<br />

zeer tijdrov<strong>en</strong>d <strong>en</strong> weinig succesvol is om bij de oorsprong uit te kom<strong>en</strong>. E<strong>en</strong><br />

onveilige proxy kan door spammers word<strong>en</strong> overg<strong>en</strong>om<strong>en</strong> om spam te verstur<strong>en</strong><br />

<strong>en</strong> op die manier pawned word<strong>en</strong>. De proxy is dan gekidnapt (‘hijacked’). De<br />

daarvoor te installer<strong>en</strong> software wordt binn<strong>en</strong>gebracht met e<strong>en</strong> Trojaans virus <strong>en</strong><br />

de spam wordt verzond<strong>en</strong> via SMTP 17 . De binn<strong>en</strong>komst van veel van deze viruss<strong>en</strong><br />

blijft onzichtbaar voor de gebruikelijke poort scans. Proxy’s die zijn geïnfecteerd zijn<br />

in feite controllers van e<strong>en</strong> daarna e<strong>en</strong>voudig op te zett<strong>en</strong> botnet. Ze gebruik<strong>en</strong><br />

afwijk<strong>en</strong>de poort<strong>en</strong> of afschermingtechniek<strong>en</strong> om detectie te voorkom<strong>en</strong>. De<br />

bestandsnam<strong>en</strong> die ze gebruik<strong>en</strong> zijn wissel<strong>en</strong>d. Om ze te achterhal<strong>en</strong> is meestal<br />

uitgebreid for<strong>en</strong>sisch onderzoek noodzakelijk.<br />

2.12 Stap 7b Method of infection<br />

Zoals eerder bij stap 3c al onder de beschrijving van packers is aangegev<strong>en</strong>, bestaan<br />

er vele method<strong>en</strong> om malware te distribuer<strong>en</strong> of, anders gezegd, e<strong>en</strong> computer te<br />

infecter<strong>en</strong>. We hebb<strong>en</strong> het onderscheid gemaakt in e<strong>en</strong> ‘push’ <strong>en</strong> e<strong>en</strong> ‘pull’<br />

b<strong>en</strong>adering. Veel voorkom<strong>en</strong>de method<strong>en</strong> voor de push b<strong>en</strong>adering zijn het<br />

verz<strong>en</strong>d<strong>en</strong> van e‐mail (spamm<strong>en</strong> met e<strong>en</strong> besmette bijlage), instant messaging (IM)<br />

(het binn<strong>en</strong>krijg<strong>en</strong> van besmette plaatjes <strong>en</strong>/of bestand<strong>en</strong> als onderdeel van e<strong>en</strong><br />

chat), het bezoek<strong>en</strong> van sites met besmette advert<strong>en</strong>ties <strong>en</strong> het bezoek<strong>en</strong> van<br />

gecorrumpeerde (meestal slecht beveiligde) sites zoals blogs die prober<strong>en</strong> gebruik<br />

te mak<strong>en</strong> van softwarematige kwetsbaarhed<strong>en</strong>. Bij de laatste twee vorm<strong>en</strong> gebeurt<br />

de besmetting zonder <strong>en</strong>ige handeling van de gebruiker via e<strong>en</strong> zog<strong>en</strong>aamde ‘driveby<br />

download’ langs bijvoorbeeld e<strong>en</strong> reclamebanner (Provos, 2008).<br />

17 Simple Mail Transfer Protocol (SMTP) is de de standaard voor het verstur<strong>en</strong> van e‐mail over het<br />

<strong>internet</strong>.<br />

68


Bij e<strong>en</strong> pull b<strong>en</strong>adering is er sprake van het verstopp<strong>en</strong> van de malware in<br />

og<strong>en</strong>schijnlijk betrouwbare bestand<strong>en</strong> zoals freeware, films, docum<strong>en</strong>t<strong>en</strong><br />

<strong>en</strong>zovoort. Vooral via peer‐to‐peer bestandsuitwisseling (torr<strong>en</strong>ts) vindt e<strong>en</strong> grote<br />

mate van door e<strong>en</strong> gebruiker zelf geïnitieerde distributie van malware plaats.<br />

Bij de distributie van malware via nieuwsgroep<strong>en</strong> (us<strong>en</strong>et) of peer‐to‐peer<br />

(torr<strong>en</strong>ts) kan via technische hulpmiddel<strong>en</strong> e<strong>en</strong> (deel van de) digitale id<strong>en</strong>titeit van<br />

deg<strong>en</strong>e die de besmette bestand<strong>en</strong> plaatst dan wel aanbiedt, herleid word<strong>en</strong>. Het<br />

scann<strong>en</strong> van alle bestand<strong>en</strong> in de nieuwsgroep<strong>en</strong> of aangebod<strong>en</strong> via torr<strong>en</strong>ts op<br />

malware is vanwege de grote dynamiek praktisch onhaalbaar. Daar <strong>en</strong> teg<strong>en</strong><br />

probeert m<strong>en</strong> de bestand<strong>en</strong> waarin malware aanwezig is, zo aantrekkelijk mogelijk<br />

voor gebruikers te lat<strong>en</strong> zijn. Bijvoorbeeld in de vorm van de nieuwste aflevering<strong>en</strong><br />

van series, films, muziek‐CD's <strong>en</strong>zovoort. Om daarbij als eerste op te kunn<strong>en</strong> vall<strong>en</strong>,<br />

verschijn<strong>en</strong> deze malafide posts vaak eerder dan het verschijn<strong>en</strong> van de originele<br />

versie. Dit kan e<strong>en</strong> goede indicator zijn van malware distributie <strong>en</strong> aanleiding gev<strong>en</strong><br />

om in detail naar de digitale id<strong>en</strong>titeit van de plaatser op zoek te gaan.<br />

“Het verschijn<strong>en</strong> van audiovisuele files op het web, zog<strong>en</strong>aamd met zeer actuele<br />

cont<strong>en</strong>t die redelijkerwijs nog niet beschikbaar kan zijn, is e<strong>en</strong> indicatie voor de<br />

aanwezigheid van malware in die files.”<br />

De wap<strong>en</strong>wedloop tuss<strong>en</strong> de malware schrijvers <strong>en</strong> de anti‐virus(AV)‐industrie leidt<br />

ertoe dat bepaalde veel gebruikte packers (zie § 2.7) op <strong>en</strong>ig mom<strong>en</strong>t in AVsoftware<br />

opg<strong>en</strong>om<strong>en</strong> word<strong>en</strong> om bij het scann<strong>en</strong> de bestand<strong>en</strong> te unpack<strong>en</strong> <strong>en</strong> dan<br />

de malware te herk<strong>en</strong>n<strong>en</strong>. Om de AV‐industrie voor te blijv<strong>en</strong> zull<strong>en</strong> malware<br />

schrijvers steeds op zoek gaan naar nieuwe packers. De noodzaak is daarbij niet dat<br />

ze efficiënter of sneller comprimer<strong>en</strong>, maar dat de wijze van compressie anders is.<br />

Niet alle<strong>en</strong> AV‐files zijn e<strong>en</strong> geschikt vehikel voor het verspreid<strong>en</strong> van malware of<br />

het aantrekk<strong>en</strong> van bezoekers naar phishing sites. In to<strong>en</strong>em<strong>en</strong>de mate word<strong>en</strong><br />

netwerksites, zoals Hyves, Facebook, MySpace <strong>en</strong> vele andere, gebruikt om<br />

malware te verspreid<strong>en</strong>. Het is geme<strong>en</strong>goed geword<strong>en</strong> om via persoonlijke<br />

profiel<strong>en</strong> op deze websites informatie te del<strong>en</strong> met e<strong>en</strong> online netwerk. Dit kan van<br />

alles zijn, zoals het bijhoud<strong>en</strong> van e<strong>en</strong> dagboek, blogg<strong>en</strong> of het del<strong>en</strong> van zak<strong>en</strong> die<br />

e<strong>en</strong> gebruiker opgevall<strong>en</strong> zijn op andere websites in de vorm van plaatjes of<br />

filmpjes. E<strong>en</strong> voorbeeld van malware verspreiding via sociale netwerksites is<br />

bijvoorbeeld het volg<strong>en</strong>de. Webs<strong>en</strong>se® securitylabs ontdekte op MySpace pagina’s<br />

waar e<strong>en</strong> <strong>fraud</strong>uleus YouTube filmpje aangebod<strong>en</strong> werd. Wanneer gebruikers op<br />

het filmpje klikt<strong>en</strong> werd<strong>en</strong> ze doorverwez<strong>en</strong> naar e<strong>en</strong> kopie van de video op de<br />

69


website ‘Youtube.info’ 18 . In het filmpje zat e<strong>en</strong> installatieprogramma voor e<strong>en</strong> extra<br />

werkbalk in hun browser, in dit geval de ‘Zango Cash Toolbar’. Gebruikers die<br />

klikt<strong>en</strong> op de knop “click here for full video” werd<strong>en</strong> naar e<strong>en</strong> Microsoft®<br />

Windows® video gestuurd <strong>en</strong> gevraagd e<strong>en</strong> gebruikersovere<strong>en</strong>komst te accepter<strong>en</strong><br />

om het filmpje te kunn<strong>en</strong> bekijk<strong>en</strong>. Het accepter<strong>en</strong> van de gebruikerovere<strong>en</strong>komst<br />

startte ook de installatie van de ‘Zango Cash toolbar’ (Choo, 2009, p. 1).<br />

2.13 Stap 8 Acquire victims<br />

Als de phisher alles in gereedheid heeft gebracht kan zijn aanval beginn<strong>en</strong>. Het<br />

mom<strong>en</strong>t van de aanval kiest de phisher zelf. Is er veel aandacht voor e<strong>en</strong> andere<br />

bepaalde aanval op zijn target of is de targetinstelling anderszins veel in het<br />

nieuws, dan zal hij wacht<strong>en</strong>.<br />

Op<strong>en</strong> spoof page<br />

Afhankelijk van de gebruikte techniek voor de distributie van de mail (zie stap 7) zal<br />

de phisher de massmailer e<strong>en</strong> opdracht gev<strong>en</strong>, de spoof website in de lucht<br />

br<strong>en</strong>g<strong>en</strong> via het botnet dan wel e<strong>en</strong> botnet activer<strong>en</strong> om de mail massaal te gaan<br />

verstur<strong>en</strong>. Het aanstur<strong>en</strong> van botnets is e<strong>en</strong> ontwikkeling op zich. Het<br />

Money/Sikora botnet verpakt zijn commando bijvoorbeeld in e<strong>en</strong> .jpeg bestand dat<br />

daarmee de indruk wekt e<strong>en</strong> plaatje te zijn maar het niet is (Naraine, 2009). Door<br />

de besmette PC wordt het als plaatje verwerkt <strong>en</strong> word<strong>en</strong> de commando’s<br />

uitgevoerd. De bestandsgrootte van deze fake.jpeg komt overig<strong>en</strong>s niet overe<strong>en</strong><br />

met e<strong>en</strong> echt .jpeg bestand <strong>en</strong> het is ook niet als plaatje te op<strong>en</strong><strong>en</strong>. Dat biedt weer<br />

aanknopingspunt<strong>en</strong> voor detectie.<br />

“Wanneer de bestandsgrootte niet overe<strong>en</strong>komt met de aard van de inhoud van<br />

e<strong>en</strong> bestand, kan dit e<strong>en</strong> indicatie zijn dat er iets met het bestand aan de hand is.<br />

Het bevat e<strong>en</strong> commando, virus, malware of andere schadelijke code.”<br />

Mass mail<br />

Voor het feitelijk b<strong>en</strong>ader<strong>en</strong> van slachtoffers staan de phisher weer meerdere<br />

mogelijkhed<strong>en</strong> t<strong>en</strong> di<strong>en</strong>ste die ook tegelijk gebruikt kunn<strong>en</strong> word<strong>en</strong> om het bereik<br />

van pot<strong>en</strong>tiële slachtoffers te vergrot<strong>en</strong>. E<strong>en</strong> spambericht is de lokmethode van de<br />

18 Saillant detail: deze website werd gehost in Nederland (Amsterdam).<br />

70


meeste klassieke phishing aanvall<strong>en</strong> om geadresseerd<strong>en</strong> tot slachtoffer te mak<strong>en</strong><br />

door ze naar de spoof website te lokk<strong>en</strong> <strong>en</strong> h<strong>en</strong> over te hal<strong>en</strong> hun gegev<strong>en</strong>s daar in<br />

te vull<strong>en</strong>. Spamming heeft hier dus niet als doel gebruikers iets te lat<strong>en</strong> kop<strong>en</strong> of<br />

e<strong>en</strong> bepaald product onder de aandacht te br<strong>en</strong>g<strong>en</strong>, maar is e<strong>en</strong> werktuig om h<strong>en</strong><br />

te overred<strong>en</strong> meerdere acties te ondernem<strong>en</strong>. De spammail ziet er bij phishing<br />

anders uit dan bij spamming als hoofdactiviteit. Spam als onderdeel van e<strong>en</strong><br />

phishing aanval ziet er vaak veel beter uit. Juist omdat deze m<strong>en</strong>s<strong>en</strong> moet<br />

overtuig<strong>en</strong> hun kostbare gegev<strong>en</strong>s achter te lat<strong>en</strong>, moet de spammail vertrouw<strong>en</strong><br />

wekk<strong>en</strong>. Het gebruik van bedrijfslogo’s <strong>en</strong> bedrijfskleur<strong>en</strong> is hoog, maar vreemd<br />

g<strong>en</strong>oeg is het woordgebruik vaak onzorgvuldig (hoewel ook dat evolueert). Dit kan<br />

te mak<strong>en</strong> hebb<strong>en</strong> met de afkomst van de phishers. Als ze niet uit het land afkomstig<br />

zijn waar ze actief zijn, dan zull<strong>en</strong> ze zich moet<strong>en</strong> beroep<strong>en</strong> op e<strong>en</strong> tolk of gebruik<br />

moet<strong>en</strong> mak<strong>en</strong> van vertaalprogramma’s zoals Babel Fish. Nederlandse bankklant<strong>en</strong><br />

e‐mail in e<strong>en</strong> andere taal stur<strong>en</strong> is niet erg geloofwaardig. Uit één van de<br />

onderzochte dossiers is e<strong>en</strong> voorbeeld bek<strong>en</strong>d dat de phishers gebruik maakt<strong>en</strong><br />

van e<strong>en</strong> in het land van de target won<strong>en</strong>d familielid dat niet alle<strong>en</strong> zorgde voor e<strong>en</strong><br />

juiste vertaling van de spambericht<strong>en</strong>, maar ook het juiste mom<strong>en</strong>t bewaakte om<br />

de aanval te op<strong>en</strong><strong>en</strong><br />

“Wanneer gebruik gemaakt wordt van e<strong>en</strong> massmailer zal het verkeer vanaf de<br />

computer die daarvoor gebruikt wordt, nadrukkelijk to<strong>en</strong>em<strong>en</strong> <strong>en</strong> als zodanig als<br />

spammachine herk<strong>en</strong>d kunn<strong>en</strong> word<strong>en</strong>.”<br />

“E<strong>en</strong> phishing aanval is te detecter<strong>en</strong> via grote mail providers (Hotmail, Gmail, KPN,<br />

etc.) die in de mailbox<strong>en</strong> steeds dezelfde mail aantreff<strong>en</strong>.”<br />

“Tijd<strong>en</strong>s de aanval kan het IP‐adres van de spoof website achterhaald word<strong>en</strong>,<br />

waardoor verderop in het proces de dader die teruggaat naar de site om de<br />

gegev<strong>en</strong>s op te hal<strong>en</strong>, qua IP‐adres achterhaald kan word<strong>en</strong>.”<br />

Activate Botnet mailing<br />

Zoals hiervoor aangegev<strong>en</strong>, is door de sterke to<strong>en</strong>ame van het verkeer e<strong>en</strong> massale<br />

spam run vanaf e<strong>en</strong> beperkt aantal computers relatief e<strong>en</strong>voudig op te spor<strong>en</strong>. Om<br />

dit teg<strong>en</strong> te gaan, wordt in belangrijke mate gebruik gemaakt van botnets om de<br />

spammail te verstur<strong>en</strong>. In de praktijk komt dit neer op het verstur<strong>en</strong> van e<strong>en</strong><br />

commando van de controlserver naar alle gehijackte computers in het botnet met<br />

daarin de te verstur<strong>en</strong> mail. Vervolg<strong>en</strong>s wordt dit bericht aan iedere<strong>en</strong> in het<br />

adresboek <strong>en</strong>/of de adress<strong>en</strong> in het maillog van de desbetreff<strong>en</strong>de computer<br />

gestuurd. E<strong>en</strong> anonimiser<strong>en</strong>de proxyserver vertelt de website niet waar het<br />

71


originele verzoek vandaan kwam, zodat deze altijd beschermd is. Dit maakt het<br />

voor de cybercrimineel e<strong>en</strong>voudiger om anoniem te blijv<strong>en</strong> <strong>en</strong> zich achter e<strong>en</strong> net<br />

van proxy’s te verschuil<strong>en</strong>. E<strong>en</strong> manier om toch inzicht te krijg<strong>en</strong> in dataverkeer, is<br />

het toepass<strong>en</strong> van het Netflow protocol (Callanan, Gercke, Marco, & Dries‐<br />

Ziek<strong>en</strong>heiner, 2009, p. 123). Netflow is e<strong>en</strong> op<strong>en</strong> maar van origine ‘proprietary’<br />

protocol dat door Cisco Systems ontwikkeld is om informatie over IP dataverkeer<br />

door netwerknodes te lat<strong>en</strong> verzamel<strong>en</strong>. Netflow geeft inzicht in hoeveel data er<br />

tuss<strong>en</strong> de poort<strong>en</strong> van geïd<strong>en</strong>tificeerde nodes <strong>en</strong> hosts wordt uitgewisseld.<br />

Hiermee is de id<strong>en</strong>titeit van de node nog niet bek<strong>en</strong>d, maar kan wel inzicht<br />

verkreg<strong>en</strong> word<strong>en</strong> in de hoeveelhed<strong>en</strong> dataverkeer. Dit kan weer leid<strong>en</strong> tot het<br />

id<strong>en</strong>tificer<strong>en</strong> van node’s die in korte tijd veel verkeer kijg<strong>en</strong>, iets wat bijvoorbeeld<br />

duidt op e<strong>en</strong> spoof website (Netflow, 2009).<br />

Fake DNS reply<br />

E<strong>en</strong> manier om zonder mail of malware gebruikers naar de spoof site te lat<strong>en</strong> gaan,<br />

is het hack<strong>en</strong> van e<strong>en</strong> DNS. In § 2.1 bij de definitie van ‘pharming’ is dit al kort<br />

aangehaald. Deze zog<strong>en</strong>aamde domain name service is e<strong>en</strong> soort telefoonboek<br />

voor het <strong>internet</strong> waarin domeinnam<strong>en</strong> omgezet word<strong>en</strong> in fysieke IP‐adress<strong>en</strong><br />

waar de site zich bevindt. Deze DNS functie is redundant uitgevoerd wat zoveel<br />

betek<strong>en</strong>t als dat dezelfde informatie op e<strong>en</strong> veelheid aan plekk<strong>en</strong> wordt<br />

opgeslag<strong>en</strong>. Afhankelijk van de plaats in het netwerk zal e<strong>en</strong> gebruiker de meest<br />

dichtstbijzijnde DNS gebruik<strong>en</strong>. Hier komt dan de kwetsbaarheid om de hoek<br />

kijk<strong>en</strong>: wanneer e<strong>en</strong> lokale DNS gehackt wordt <strong>en</strong> bepaalde IP‐adress<strong>en</strong> veranderd<br />

word<strong>en</strong>, kan het dus gebeur<strong>en</strong> dat e<strong>en</strong> gebruiker d<strong>en</strong>kt dat hij naar de echte site<br />

gaat maar ondertuss<strong>en</strong> de spoofsite bezoekt.<br />

E<strong>en</strong> tweede mogelijkheid om DNS te misbruik<strong>en</strong> zit in e<strong>en</strong> ontwerpfout van de<br />

Internet Explorer browser. Wanneer e<strong>en</strong> website wordt aangevraagd door de<br />

gebruiker door middel van het intikk<strong>en</strong> van e<strong>en</strong> URL vraagt de browser op het web<br />

aan e<strong>en</strong> DNS‐server de locatie van de URL. De DNS server reageert met e<strong>en</strong> IPadres<br />

<strong>en</strong> de gebruiker wordt naar de desbetreff<strong>en</strong>de pagina gedirigeerd.<br />

Cybercriminel<strong>en</strong> kunn<strong>en</strong> echter voordat de browser e<strong>en</strong> DNS raadpleegt al e<strong>en</strong><br />

namaak DNS antwoord stur<strong>en</strong>. Het volg<strong>en</strong>de sc<strong>en</strong>ario ontrolt zich dan. Stel dat de<br />

gebruiker naar zijn website voor <strong>internet</strong>bankier<strong>en</strong> wil. De aanvaller heeft alvast<br />

e<strong>en</strong> vals DNS‐antwoord gestuurd naar de browser van de gebruiker, waarin het IPadres<br />

van de spoof website staat. Zodra de gebruiker naar<br />

www.rabobank.nl/<strong>internet</strong>bankier<strong>en</strong> wil surf<strong>en</strong>, ziet de browser dat er al e<strong>en</strong> DNSantwoord<br />

is <strong>en</strong> dirigeert de gebruiker naar het IP‐adres dat daarin staat. De<br />

browser controleert niet wanneer het DNS‐ antwoord is ontvang<strong>en</strong>, het constateert<br />

alle<strong>en</strong> dat er al e<strong>en</strong> antwoord is.<br />

72


Session hijack<br />

Op het mom<strong>en</strong>t dat e<strong>en</strong> computer besmet is met e<strong>en</strong> bepaald type malware kan<br />

deze er voor zorg<strong>en</strong> dat de gebruiker niets e<strong>en</strong>s e<strong>en</strong> spoof site hoeft te bezoek<strong>en</strong><br />

om toch zijn cred<strong>en</strong>tials kwijt te rak<strong>en</strong> of erger nog dat deze direct misbruikt<br />

word<strong>en</strong>. Deze ‘man‐in‐the‐middle’ b<strong>en</strong>adering (zie ook § 2.1) tapt de communicatie<br />

tuss<strong>en</strong> de computer <strong>en</strong> de bonafide server af <strong>en</strong> kan zelfs de bericht<strong>en</strong> richting de<br />

server in zijn voordeel manipuler<strong>en</strong>. Het doel van e<strong>en</strong> session hijack is om<br />

beschikking te krijg<strong>en</strong> over het zog<strong>en</strong>aamde ‘session cookie’ of de ‘session key’.<br />

Deze geeft toegang tot de communicatiesessie tuss<strong>en</strong> de gebruiker <strong>en</strong> de server <strong>en</strong><br />

is het middel waarmee de server bepaalt of hij met de juiste gebruiker<br />

communiceert. Het session cookie kan digitaal gecompromitteerd word<strong>en</strong>; voor de<br />

session key heeft de aanvaller fysieke toegang tot de computer nodig om deze te<br />

kopiër<strong>en</strong>. Als de aanvaller de beschikking heeft over e<strong>en</strong> van beide, kan hij zich<br />

voordo<strong>en</strong> als e<strong>en</strong> legitieme gebruiker <strong>en</strong> de gegev<strong>en</strong>s op de server misbruik<strong>en</strong>. Het<br />

gijzel<strong>en</strong> van e<strong>en</strong> sessie kan ook door middel van cross‐site scripting gebeur<strong>en</strong> (zie §<br />

2.6.3).<br />

2.14 Stap 9 Receive cred<strong>en</strong>tials<br />

Op verschill<strong>en</strong>de manier<strong>en</strong> kan e<strong>en</strong> phisher de gegev<strong>en</strong>s die erg<strong>en</strong>s op e<strong>en</strong> of<br />

meerdere servers zijn verzameld naar zich toe hal<strong>en</strong>. Eerst zal hij voorafgaand aan<br />

stap 8 de recruitm<strong>en</strong>t site leeghal<strong>en</strong> om op het mom<strong>en</strong>t dat de phishing aanval<br />

loopt, te kunn<strong>en</strong> beschikk<strong>en</strong> over mules.<br />

Push by e‐mail<br />

De gegev<strong>en</strong>s kunn<strong>en</strong> direct naar de phisher verzond<strong>en</strong> word<strong>en</strong> per e‐mail. Dit heeft<br />

als voordeel dat de phisher niet het risico loopt dat wanneer zijn domein uit de<br />

lucht gehaald wordt, hij niet meer bij zijn veroverde gegev<strong>en</strong>s kan. In de PHP‐file<br />

waaruit de phishingkits bestaan kan bijvoorbeeld het e‐mailadres word<strong>en</strong><br />

ingevoerd waarnaar de gegev<strong>en</strong>s moet<strong>en</strong> word<strong>en</strong> verzond<strong>en</strong>. Zoals in § 2.7 is<br />

uite<strong>en</strong>gezet, wordt minimaal e<strong>en</strong> kopie van die gegev<strong>en</strong>s naar de ontwerper van de<br />

kit gestuurd. De code daarvoor is in e<strong>en</strong> <strong>en</strong>crypted deel van de kit verborg<strong>en</strong>. De<br />

ontwikkelaar maximaliseert op deze manier zijn phishing opbr<strong>en</strong>gst <strong>en</strong> kaapt<br />

bov<strong>en</strong>di<strong>en</strong> bezoekers weg voor de neus van deg<strong>en</strong>e die de kit heeft aangeschaft (al<br />

dan niet teg<strong>en</strong> betaling). En dat zonder kost<strong>en</strong> voor bulletproof hosting etc. Het<br />

risico komt volledig te ligg<strong>en</strong> bij de koper van de kit. Die laat bov<strong>en</strong>di<strong>en</strong> e<strong>en</strong> extra<br />

spoor achter van de spoof website naar e<strong>en</strong> e‐mail account.<br />

73


“Er zijn ook teg<strong>en</strong>maatregel<strong>en</strong> mogelijk. Het bedelv<strong>en</strong> van het account met<br />

nepgegev<strong>en</strong>s (watering down); het opheff<strong>en</strong> of lat<strong>en</strong> opheff<strong>en</strong> van het account, het<br />

leeg mak<strong>en</strong> van de inbox van het account of het legg<strong>en</strong> van e<strong>en</strong> hinderlaag.”<br />

“Op het mom<strong>en</strong>t dat de geregistreerde data via e<strong>en</strong> mail naar de phisher<br />

toegestuurd wordt, kan via e<strong>en</strong> mailtrace <strong>en</strong> medewerking van de ISP waar de<br />

mailbox gehost wordt, de id<strong>en</strong>titeit van de phisher achterhaald word<strong>en</strong>.”<br />

Push by instant messaging<br />

De resultat<strong>en</strong> van e<strong>en</strong> phishing aanval door e<strong>en</strong> professional word<strong>en</strong> hoofdzakelijk<br />

naar de phisher verstuurd via e<strong>en</strong> instant messaging of chatkanaal. De phisher<br />

meldt zich met e<strong>en</strong> willekeurig adres op e<strong>en</strong> willekeurige computer aan voor e<strong>en</strong><br />

chatprogramma waarbij de spoof website via e<strong>en</strong> stukje code alle ontvang<strong>en</strong><br />

gegev<strong>en</strong>s direct doorstuurt aan de phisher via dit chatprogramma. Voorbeeld<strong>en</strong><br />

van deze programma’s zijn ICQ <strong>en</strong> MSN.<br />

Push cred<strong>en</strong>tials by IM<br />

Jabber<br />

‘Fraudeurs will<strong>en</strong> zo snel mogelijk geld verdi<strong>en</strong><strong>en</strong>. Daarom gebruik<strong>en</strong> verschill<strong>en</strong>de<br />

Zeus variant<strong>en</strong> nu de op<strong>en</strong>source Instant Messaging (IM) software Jabber’, zegt Uri<br />

Rivner van RSA. Volg<strong>en</strong>s hem verkiez<strong>en</strong> de cybercriminel<strong>en</strong> Jabber bov<strong>en</strong> MSN<br />

omdat dit niet door Microsoft wordt beheerd. Zodo<strong>en</strong>de kan m<strong>en</strong> gestol<strong>en</strong><br />

inloggegev<strong>en</strong>s naar katvangers doorstur<strong>en</strong> die in bijna real-time de rek<strong>en</strong>ing<strong>en</strong><br />

plunder<strong>en</strong>.<br />

Door deze nieuwe functionaliteit zijn er nu twee groep<strong>en</strong>, zegt River. De <strong>en</strong>e groep<br />

houdt zich bezig met het verspreid<strong>en</strong> van de Zeus Trojan <strong>en</strong> het stel<strong>en</strong> van<br />

inloggegev<strong>en</strong>s. De tweede groep gebruikt de gegev<strong>en</strong>s om zo snel mogelijk geld op<br />

te nem<strong>en</strong>. "Dit betek<strong>en</strong>t dat de tijd tuss<strong>en</strong> het verzamel<strong>en</strong> van inloggegev<strong>en</strong>s <strong>en</strong> het<br />

plunder<strong>en</strong> van rek<strong>en</strong>ing<strong>en</strong> korter <strong>en</strong> korter wordt. Ik voorspel dat halverwege 2012<br />

meer dan de helft van de opnames in de VS <strong>en</strong> West-Europa binn<strong>en</strong> e<strong>en</strong> uur na<br />

diefstal van de gegev<strong>en</strong>s door de Trojan plaatsvindt."<br />

Bron: www.security.nl<br />

De gegev<strong>en</strong>s kunn<strong>en</strong> ook via e<strong>en</strong> instant message cli<strong>en</strong>t (al dan niet verpakt als<br />

onschuldige bericht<strong>en</strong>) in e<strong>en</strong> chat channel gepompt word<strong>en</strong>. De phisher kan dan<br />

(binn<strong>en</strong> e<strong>en</strong> bepaalde tijd) de gegev<strong>en</strong>s opvrag<strong>en</strong>. Dit heeft als voordeel dat de<br />

gegev<strong>en</strong>s van de server verdwijn<strong>en</strong> <strong>en</strong> dat het moeilijker is om de phisher op te<br />

spor<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> heeft de phisher meer ontk<strong>en</strong>ningsmogelijkhed<strong>en</strong>, het<br />

bezoek<strong>en</strong> van e<strong>en</strong> chatroom kan immers toeval zijn.<br />

74


“Op het mom<strong>en</strong>t dat de spoof bek<strong>en</strong>d is, kan achterhaald word<strong>en</strong> in hoeverre deze<br />

automatisch de geregistreerde gegev<strong>en</strong>s via instant messaging doorstuurt. Het<br />

kanaal waarop dit gebeurt, kan vervolg<strong>en</strong>s gemonitord word<strong>en</strong> om te kijk<strong>en</strong> welke<br />

deelnemers naar dit kanaal luister<strong>en</strong> zonder actief deel te nem<strong>en</strong>. Eén hiervan is de<br />

dader.”<br />

Through one‐time data download<br />

De phisher gaat als het hem uitkomt naar de webserver waarbij hij gebruik maakt<br />

van het lek waardoor hij eerder is binn<strong>en</strong>gekom<strong>en</strong> <strong>en</strong> downloadt zijn tekstbestand.<br />

Dat moet hij wel vaak do<strong>en</strong> zonder lang te wacht<strong>en</strong> na het begin van de aanval.<br />

Wordt de spoof website uit de lucht gehaald (notice and take down) of het hele<br />

domein verwijderd, dan kan de phisher immers niet meer bij zijn gegev<strong>en</strong>s. De<br />

spoof site kan gewoon e<strong>en</strong> extra pagina hebb<strong>en</strong> waar de gegev<strong>en</strong>s zijn te<br />

download<strong>en</strong>, dan wel e<strong>en</strong> extra server die dat mogelijk maakt, wat simpel is <strong>en</strong><br />

lastig op te spor<strong>en</strong>. Het nadeel is dat (vooral bij grote volumes) de spoof host slecht<br />

gaat prester<strong>en</strong> of crasht.<br />

“Wanneer e<strong>en</strong> phisher zich bedi<strong>en</strong>t van e<strong>en</strong> 'one‐time download' van de op de spoof<br />

site geregistreerde server, is hij via zijn IP‐adres zichtbaar op het mom<strong>en</strong>t dat hij dit<br />

doet.”<br />

Polling spoof website<br />

Spoof websites blijv<strong>en</strong> in de regel niet lang in de lucht. Het is daarom riskant om<br />

pas na e<strong>en</strong> behoorlijke periode de geoogste data op te hal<strong>en</strong>. In plaats daarvan<br />

gebeurt het ook dat de spoof website met e<strong>en</strong> vaste regelmaat gepolled wordt. Dit<br />

betek<strong>en</strong>t dat iedere minuut, kwartier of uur gekek<strong>en</strong> wordt of er nog iets gevang<strong>en</strong><br />

is. In dat geval wordt de vangst mete<strong>en</strong> binn<strong>en</strong>gehaald. Het poll<strong>en</strong> van e<strong>en</strong> server is<br />

in principe niets vreemds. Polling is e<strong>en</strong> methode om te controler<strong>en</strong> of e<strong>en</strong> server<br />

nog werkt of om regelmatig de data van e<strong>en</strong> online onderzoek op te hal<strong>en</strong>.<br />

“Het poll<strong>en</strong> van e<strong>en</strong> server is op zichzelf ge<strong>en</strong> vreemde activiteit omdat het ook<br />

gebruikt wordt bij legale sites om te kijk<strong>en</strong> of de site nog goed functioneert. De<br />

frequ<strong>en</strong>tie <strong>en</strong> het type bericht dat he<strong>en</strong> <strong>en</strong> weer gaat, kan wel aanleiding zijn om te<br />

veronderstell<strong>en</strong> dat e<strong>en</strong> server waar actief gepolled wordt e<strong>en</strong> spoof site host.”<br />

75


2.15 Stap 10 Acquire profit<br />

De phisher heeft er belang bij dat slachtoffers niet in de gat<strong>en</strong> hebb<strong>en</strong> dat ze<br />

slachtoffer zijn. Bij het masker<strong>en</strong> van het aftapp<strong>en</strong> van gegev<strong>en</strong>s kan de phisher<br />

verschill<strong>en</strong>de techniek<strong>en</strong> toepass<strong>en</strong>. Eén methode is het slachtoffer naar de<br />

phishing site te lokk<strong>en</strong>, daar de gegev<strong>en</strong>s in te lat<strong>en</strong> vull<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s het<br />

slachtoffer te verwijz<strong>en</strong> naar de reguliere website, die aangeeft dat het<br />

wachtwoord verkeerd is. Hierbij communiceert de spoof website niet met de<br />

reguliere website, maar verwijst slechts. De gebruikersnaam <strong>en</strong> het wachtwoord<br />

word<strong>en</strong> uiteraard opgeslag<strong>en</strong>. Voordeel van deze methode is dat het slachtoffer<br />

weinig argwaan zal koester<strong>en</strong>, omdat het verkeerd invull<strong>en</strong> van wachtwoord<strong>en</strong> met<br />

regelmaat gebeurt.<br />

“Om spoof sites zolang mogelijk in de lucht te houd<strong>en</strong>, zull<strong>en</strong> (professionele)<br />

phishers prober<strong>en</strong> om slachtoffers niet te lat<strong>en</strong> ontdekk<strong>en</strong> dat ze gephisht zijn. Het<br />

doorlink<strong>en</strong> naar de echte site, is aan de kant van de betrokk<strong>en</strong> instelling of<br />

organisatie te herk<strong>en</strong>n<strong>en</strong> doordat er vaker dan gebruikelijk vanuit hetzelfde IP‐adres<br />

bepaald verkeer op de site terecht komt. Op het mom<strong>en</strong>t dat dit ge<strong>en</strong> bek<strong>en</strong>de<br />

gateway of proxy is, duidt dit op e<strong>en</strong> spoof site die verkeer doorleidt.”<br />

“Naarmate spoof sites langer in de lucht kunn<strong>en</strong> blijv<strong>en</strong>, gaan ze opvall<strong>en</strong> doordat<br />

ze in search <strong>en</strong>gines terechtkom<strong>en</strong> <strong>en</strong> bij de ISP host ine<strong>en</strong>s meer verkeer gaan<br />

oplever<strong>en</strong>.”<br />

Bank account abuse<br />

Zijn de gegev<strong>en</strong>s van slachtoffers verkreg<strong>en</strong> <strong>en</strong> naar de phisher toegehaald dan kan<br />

hij ze gaan gebruik<strong>en</strong>. E<strong>en</strong> directe manier om misbruik te mak<strong>en</strong> van inloggegev<strong>en</strong>s<br />

vindt plaats bij zogehet<strong>en</strong> two‐factor auth<strong>en</strong>tification. Deze manier van<br />

toegangsbeveiliging wordt veel toegepast in het bankwez<strong>en</strong>. Klant<strong>en</strong> logg<strong>en</strong> niet in<br />

met e<strong>en</strong> vaste combinatie van gebruikersnaam <strong>en</strong> wachtwoord, maar gebruik<strong>en</strong><br />

hun rek<strong>en</strong>ingnummer als gebruikersnaam. Het wachtwoord wordt gemaakt door<br />

e<strong>en</strong> kleine console, die op basis van de gebruikte bankpas <strong>en</strong> de bijbehor<strong>en</strong>de<br />

pincode e<strong>en</strong> algoritme toepast <strong>en</strong> e<strong>en</strong> toegangscode aan de gebruiker toont.<br />

Phishers kunn<strong>en</strong> toch misbruik mak<strong>en</strong> van rek<strong>en</strong>ing<strong>en</strong> die op deze manier beveiligd<br />

zijn. Ze creër<strong>en</strong> e<strong>en</strong> spoof website die exact gelijk is aan de inlogpagina van de bank<br />

<strong>en</strong> daar ook 1‐op‐1 mee communiceert. Naast deze website creër<strong>en</strong> ze e<strong>en</strong><br />

sidescript dat als functie heeft om met de legitieme gebruiker mee naar binn<strong>en</strong> te<br />

glipp<strong>en</strong>. Wanneer de gebruiker inlogt op zijn of haar rek<strong>en</strong>ing wordt het sidescript<br />

geactiveerd <strong>en</strong> gaat met de gebruiker, die nu onbewust slachtoffer is geword<strong>en</strong>,<br />

naar binn<strong>en</strong>. Het slachtoffer merkt niets, omdat de spoof website via de legitieme<br />

76


website toegang geeft tot het beveiligde gedeelte van de website. Het slachtoffer<br />

doet zijn transacties <strong>en</strong> logt uit. Het sidescript blijft echter actief <strong>en</strong> houdt zo de<br />

deur op<strong>en</strong> voor de phisher. Deze kan nu zijn gang gaan <strong>en</strong> geld overboek<strong>en</strong> naar<br />

andere rek<strong>en</strong>ing<strong>en</strong>. Dat wordt gemaskeerd door ze de naam mee te gev<strong>en</strong> van<br />

regelmatige betaling<strong>en</strong>, zoals gas/water/licht, huur, hypotheek, etc. De betaling<strong>en</strong><br />

word<strong>en</strong> ook uitgevoerd rond de datums van de reguliere betaling<strong>en</strong> of precies<br />

tuss<strong>en</strong> twee van deze betaling<strong>en</strong> in, zodat ze minder opvall<strong>en</strong>. Via nieuwe<br />

toepassing<strong>en</strong> als Ideal, kan de phisher ook aankop<strong>en</strong> do<strong>en</strong> op rek<strong>en</strong>ing van<br />

slachtoffers. Bij <strong>internet</strong>winkels betaalt hij met de rek<strong>en</strong>inggegev<strong>en</strong>s van het<br />

slachtoffer <strong>en</strong> laat product<strong>en</strong> naar zichzelf of mules opstur<strong>en</strong>.<br />

Deze methode is weer e<strong>en</strong> voorbeeld van de ‘man‐in‐the‐middle’‐techniek <strong>en</strong> is<br />

technisch redelijk moeilijk. Er zijn ge<strong>en</strong> g<strong>en</strong>erieke tools voor te download<strong>en</strong>. De<br />

‘man‐in‐the‐middle’ software moet duur gekocht word<strong>en</strong> of door e<strong>en</strong> dure hacker<br />

gemaakt word<strong>en</strong>. Het is lastig voorstelbaar dat e<strong>en</strong> scriptkiddy dit zou kunn<strong>en</strong> of<br />

dat e<strong>en</strong> hacker het voor niets zou do<strong>en</strong>. Ook is het ge<strong>en</strong> software waarvan m<strong>en</strong> kan<br />

claim<strong>en</strong> dat m<strong>en</strong> niet wist waar het voor was. Er is sprake van e<strong>en</strong> soort<br />

wap<strong>en</strong>wedloop. De phisher stapelt anti‐detectiemaatregel<strong>en</strong> <strong>en</strong> de bestrijders<br />

bed<strong>en</strong>k<strong>en</strong> detectiemaatregel<strong>en</strong>. Soms lijkt niet e<strong>en</strong>s de moeite te word<strong>en</strong> g<strong>en</strong>om<strong>en</strong><br />

om detectie te vermijd<strong>en</strong>. Het is voor de phisher altijd e<strong>en</strong> afweging, veel<br />

e<strong>en</strong>voudig do<strong>en</strong> of minder beter do<strong>en</strong>. Het is niet altijd duidelijk wat meer oplevert.<br />

Vooral phishers die echt invester<strong>en</strong> kunn<strong>en</strong> soms de op<strong>en</strong> <strong>en</strong> bloot (snel <strong>en</strong><br />

gevaarlijk) aanpak kiez<strong>en</strong>.<br />

“Indi<strong>en</strong> er sprake is van direct gebruik van de gestol<strong>en</strong> data (bijvoorbeeld bij e<strong>en</strong><br />

bank) zal de dader in de meeste gevall<strong>en</strong> gebruik mak<strong>en</strong> van katvangers (money<br />

mules). Daarnaast zijn de bedrag<strong>en</strong> die bijgeschrev<strong>en</strong> word<strong>en</strong> relatief klein <strong>en</strong><br />

daardoor onopvall<strong>en</strong>d.”<br />

“Creditcard data wordt vaak via underground sites doorverkocht aan (Russische)<br />

b<strong>en</strong>des. Door middel van informatie van bek<strong>en</strong>d geword<strong>en</strong> slachtoffers, kan via het<br />

daadwerkelijk misbruik van de creditcardgegev<strong>en</strong>s, de link met de creditcard b<strong>en</strong>de<br />

gelegd word<strong>en</strong>. Via de communicatie van deze b<strong>en</strong>de met ander<strong>en</strong>, kan de phisher<br />

geïd<strong>en</strong>tificeerd word<strong>en</strong>.”<br />

“Inloggegev<strong>en</strong>s voor sites waar ge<strong>en</strong> direct financieel voordeel mee kan word<strong>en</strong><br />

behaald (Hyves, Facebook, marktplaats), word<strong>en</strong> vaak gebruikt om met behulp van<br />

dezelfde inlog toegang te krijg<strong>en</strong> tot webshops waar via oneerlijke shopping<br />

goeder<strong>en</strong> besteld kunn<strong>en</strong> word<strong>en</strong>. De veronderstelling hierachter is dat veel<br />

77


gebruikers dezelfde inlognaam <strong>en</strong> wachtwoord bij verschill<strong>en</strong>de sites gebruik<strong>en</strong>. De<br />

bestelling van goeder<strong>en</strong> via andermans account kan vervolg<strong>en</strong>s opvall<strong>en</strong> doordat<br />

e<strong>en</strong> ander afleveradres gebruikt wordt (vaak van katvanger of e<strong>en</strong> zog<strong>en</strong>aamde<br />

'op<strong>en</strong> briev<strong>en</strong>bus').”<br />

Creditcard abuse<br />

Het misbruik<strong>en</strong> van creditcardgegev<strong>en</strong>s kan op verschill<strong>en</strong>de manier<strong>en</strong>. Met de<br />

creditcard kan geld word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> of er kunn<strong>en</strong> product<strong>en</strong> op word<strong>en</strong><br />

aangeschaft. Via Paypal kan ook rechtstreeks geld overgeboekt word<strong>en</strong> naar<br />

rek<strong>en</strong>ing<strong>en</strong> in bezit of onder controle van de phisher. E<strong>en</strong> relatief nieuw f<strong>en</strong>ome<strong>en</strong><br />

is webmoney. Het betreft e<strong>en</strong> soort prepaid betaalmiddel waarmee e<strong>en</strong> account<br />

kan word<strong>en</strong> opgelad<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s kan word<strong>en</strong> betaald. Met creditcard<br />

gegev<strong>en</strong>s kunn<strong>en</strong> ook money transfers gedaan kunn<strong>en</strong> word<strong>en</strong>, alle<strong>en</strong> wordt er na<br />

de tweede betaling om id<strong>en</strong>tificatie gevraagd. Het stel<strong>en</strong> van creditcardgegev<strong>en</strong>s<br />

kan ook e<strong>en</strong> MO zijn in het phishingproces, bijvoorbeeld bij het betal<strong>en</strong> voor<br />

hosting of ingehuurde k<strong>en</strong>nis <strong>en</strong>/of kunde (via Paypal).<br />

Auction.trading abuse<br />

Niet‐bancaire gegev<strong>en</strong>s word<strong>en</strong> misbruikt in andere toepassing<strong>en</strong>. Eén van de<br />

onderzochte dossiers van het politiekorps Amsterdam‐Amstelland betrof e<strong>en</strong><br />

gekraakt Hotmail‐account t<strong>en</strong> laste waarvan op Ebay aankop<strong>en</strong> war<strong>en</strong> gedaan,<br />

vermoedelijk met gestol<strong>en</strong> creditcardgegev<strong>en</strong>s. Zo is de phisher niet te achterhal<strong>en</strong>,<br />

omdat hij zich bedi<strong>en</strong>t van de gegev<strong>en</strong>s van iemand anders. Via Ebay gebeurt<br />

hetzelfde, maar is de kans aanwezig dat de phisher via e<strong>en</strong> klantprofiel niet alle<strong>en</strong><br />

aankop<strong>en</strong> doet, maar deze ook betaalt via dat profiel. Het slachtoffer lijdt dan niet<br />

alle<strong>en</strong> immateriële schade in de vorm van id<strong>en</strong>titeitsdiefstal, maar ook materiële<br />

schade doordat hij aankop<strong>en</strong> voor de phisher betaalt.<br />

Abuse games cred<strong>en</strong>tials<br />

Voor games <strong>en</strong> online applicaties geld<strong>en</strong> ook verzilver‐ <strong>en</strong> doorsluismogelijkhed<strong>en</strong>.<br />

Internetcommunities als Habbo hotel zijn slachtoffer geword<strong>en</strong> van phishing<br />

waarbij accounts werd<strong>en</strong> gehackt <strong>en</strong> virtuele punt<strong>en</strong>, die met echt geld gekocht<br />

di<strong>en</strong>d<strong>en</strong> te word<strong>en</strong>, overgeschrev<strong>en</strong> werd<strong>en</strong> naar accounts van de phisher, die ze<br />

vervolg<strong>en</strong>s verzilverde ('Kisses', www.infonu.nl).<br />

Voor spell<strong>en</strong> als World of Warcraft (WoW) kan iets dergelijks ook opgaan. Hier<br />

stopp<strong>en</strong> spelers veel tijd <strong>en</strong>ergie <strong>en</strong> soms geld in het ontwikkel<strong>en</strong> van hun virtuele<br />

karakters <strong>en</strong> het verkrijg<strong>en</strong> van tools <strong>en</strong> skills. Al die eig<strong>en</strong>schapp<strong>en</strong> word<strong>en</strong> al voor<br />

geld op het web verhandeld <strong>en</strong> zijn dus ook interessant om te stel<strong>en</strong>. Als e<strong>en</strong><br />

78


phisher e<strong>en</strong> WoW account weet te krak<strong>en</strong> <strong>en</strong> de tools <strong>en</strong> skills steelt van e<strong>en</strong> ander<br />

kan hij daar wellicht goed aan verdi<strong>en</strong><strong>en</strong>. Eén van de onderzochte dossiers had<br />

betrekking op e<strong>en</strong> dergelijke kraak bij de bron: de ontwikkelaar van e<strong>en</strong> spel dat al<br />

wel was aangekondigd maar nog niet op de markt was. In dat geval had e<strong>en</strong><br />

groepje gamers zich t<strong>en</strong> doel gesteld zoveel mogelijk spell<strong>en</strong> te krak<strong>en</strong>.<br />

2.16 Stap 11 Activate mules<br />

Wanneer e<strong>en</strong> phisher op <strong>en</strong>ig mom<strong>en</strong>t beschikt over creditcardgegev<strong>en</strong>s of<br />

bankrek<strong>en</strong>inginformatie, is het niet handig deze direct te gebruik<strong>en</strong> voor<br />

persoonlijke uitgav<strong>en</strong>. Dit maakt de opsporing te e<strong>en</strong>voudig. Phishers rekruter<strong>en</strong><br />

daarom mules (ook ‘drops’ g<strong>en</strong>oemd) die het geld ontvang<strong>en</strong> <strong>en</strong> doorstur<strong>en</strong>. Dit<br />

proces kan geheel giraal verlop<strong>en</strong>, maar wordt vaak via money transfers gedaan om<br />

het minder transparant te mak<strong>en</strong>. In dat geval ontvangt de mule e<strong>en</strong> bedrag op zijn<br />

rek<strong>en</strong>ing. Hiervan mag hij e<strong>en</strong> perc<strong>en</strong>tage houd<strong>en</strong> <strong>en</strong> de rest neemt hij contant op.<br />

Dit geld verstuurt de mule vervolg<strong>en</strong>s per money transfer naar de bestemming die<br />

de phisher wil. Direct daarna belt of mailt hij de zog<strong>en</strong>aamde MTC‐codes door aan<br />

de phisher die het geld vervolg<strong>en</strong>s bij elk kantoor van Western Union of Money<br />

Gram kan ophal<strong>en</strong> onder vermelding van het MTC‐nummer. De bedrag<strong>en</strong> blijv<strong>en</strong><br />

dicht onder de meldgr<strong>en</strong>s voor ongebruikelijke transacties. Id<strong>en</strong>tificatie is formeel<br />

vereist maar daarop wordt niet in alle land<strong>en</strong> ev<strong>en</strong> sterk toegezi<strong>en</strong> <strong>en</strong> bov<strong>en</strong>di<strong>en</strong> is<br />

e<strong>en</strong> vervalst id<strong>en</strong>titeitsbewijs voldo<strong>en</strong>de om het risico op ontdekking te vermijd<strong>en</strong>.<br />

Mules kunn<strong>en</strong> ook geheel te goeder trouw handel<strong>en</strong>, omdat phishers zich vaak<br />

voordo<strong>en</strong> als geheel legitieme partij<strong>en</strong> die hulp nodig hebb<strong>en</strong> bij het doorgev<strong>en</strong> van<br />

geld.<br />

“M<strong>en</strong>s<strong>en</strong> met weinig mutaties op bankrek<strong>en</strong>ing<strong>en</strong> met e<strong>en</strong> laag saldo die plotseling<br />

grotere bedrag<strong>en</strong> krijg<strong>en</strong> bijgeschrev<strong>en</strong> die heel snel word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong>, hebb<strong>en</strong><br />

e<strong>en</strong> grote kans als mule te word<strong>en</strong> ingezet. Helemaal als de rek<strong>en</strong>ing kort daarvoor<br />

is geop<strong>en</strong>d zonder betaalpas af te nem<strong>en</strong> <strong>en</strong> verder niet meer wordt gebruikt.”<br />

2.17 Stap 12 Receive money/laundering money<br />

Om van zijn geld te kunn<strong>en</strong> g<strong>en</strong>iet<strong>en</strong>, moet de phisher het beschikbaar krijg<strong>en</strong> <strong>en</strong><br />

79


vervolg<strong>en</strong>s witwass<strong>en</strong>. E<strong>en</strong> gedeelte van het verplaats<strong>en</strong> van geld kan door middel<br />

van de mules gebeur<strong>en</strong> als hier voor omschrev<strong>en</strong>. Zij verdoezel<strong>en</strong> het spoor <strong>en</strong><br />

verklein<strong>en</strong> de traceerbaarheid van het geld. In de land<strong>en</strong> waar de phishers<br />

uiteindelijk hun geld ontvang<strong>en</strong>, Oost‐Europa <strong>en</strong> derde wereldland<strong>en</strong>, word<strong>en</strong> in<br />

ieder geval al weinig vrag<strong>en</strong> gesteld betreff<strong>en</strong>de de herkomst van geld. In dit soort<br />

land<strong>en</strong> betek<strong>en</strong>t de ontvangst van het geld eig<strong>en</strong>lijk ook dat het is witgewass<strong>en</strong>.<br />

Al snel valt de term underground banking maar daarvan bestaan tal van<br />

verschill<strong>en</strong>de soort<strong>en</strong>, waarbij de meest bek<strong>en</strong>de Hawala‐achtige 19 system<strong>en</strong> sterk<br />

zijn gekoppeld aan bepaalde bevolkingsgroep<strong>en</strong> die ook vrijwel uitsluit<strong>en</strong>d led<strong>en</strong> uit<br />

die eig<strong>en</strong> bevolkingsgroep <strong>en</strong> daaraan gelieerde bestemming<strong>en</strong> di<strong>en</strong><strong>en</strong> (Van de<br />

Bunt & Siegel, 2009). Deze bevolkingsgroep<strong>en</strong> word<strong>en</strong> bijvoorbeeld in relatie tot<br />

Nigerian<strong>en</strong>scam aangetroff<strong>en</strong> <strong>en</strong> niet binn<strong>en</strong> phishingactiviteit<strong>en</strong>. Phishers k<strong>en</strong>n<strong>en</strong><br />

hun eig<strong>en</strong> vermoedelijk <strong>internet</strong>gerelateerde manier<strong>en</strong> van geld verplaats<strong>en</strong>.<br />

Money transfer<br />

Ondanks alle evolutionaire ontwikkeling in het phishingproces blijkt de MO voor<br />

het doorsluiz<strong>en</strong> van geld naar de phisher met behulp van moneymules volg<strong>en</strong>s<br />

Nederlandse deskundig<strong>en</strong> immer populair (Workshop NICC‐actieonderzoek, 9 april<br />

2009) <strong>en</strong> neemt ze volg<strong>en</strong>s andere bronn<strong>en</strong> zelfs toe (o.a. Mills, 2008;<br />

SearchFinancialSecurity, 2009). Deze MO staat bij stap 11 beschrev<strong>en</strong>.<br />

Webmoney<br />

Webmoney is de naam van e<strong>en</strong> bedrijf 20 , maar wordt steeds meer gebruikt om<br />

bepaalde betaalfaciliteit<strong>en</strong> te duid<strong>en</strong>. Webmoney introduceerde e<strong>en</strong> elektronisch<br />

geld <strong>en</strong> online betaalsysteem. Oorspronkelijk richtte Webmoney zich voornamelijk<br />

op Rusland (omdat weinig Russ<strong>en</strong> e<strong>en</strong> creditcard hebb<strong>en</strong>). Inmiddels wordt het<br />

wereldwijd gebruikt, vooral ook in de wereld van pokergames. Inschrijv<strong>en</strong> <strong>en</strong> geld<br />

ontvang<strong>en</strong> is gratis. Voor het verstur<strong>en</strong> van geld is e<strong>en</strong> <strong>fee</strong> verschuldigd bestaande<br />

uit e<strong>en</strong> perc<strong>en</strong>tage van het verzond<strong>en</strong> bedrag. Betaling<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> beveiligd<br />

met e<strong>en</strong> wachtwoord. Op die manier kan e<strong>en</strong> gebruiker e<strong>en</strong> betaling ophoud<strong>en</strong><br />

door e<strong>en</strong> wachtwoord pas bek<strong>en</strong>d te mak<strong>en</strong> als de overe<strong>en</strong>gekom<strong>en</strong> teg<strong>en</strong>prestatie<br />

is verricht.<br />

E<strong>en</strong> Webmoney account kan op verschill<strong>en</strong>de manier<strong>en</strong> word<strong>en</strong> opgelad<strong>en</strong>: via e<strong>en</strong><br />

eig<strong>en</strong> bankrek<strong>en</strong>ing, andere online betaalsystem<strong>en</strong>, wisselkantor<strong>en</strong> (zoals GWK) <strong>en</strong><br />

19 Hawala is e<strong>en</strong>, oorspronkelijk uit het Midd<strong>en</strong>‐Oost<strong>en</strong> afkomstig, informeel banksysteem.<br />

20 WM Transfer Limited, opgericht in 1998 <strong>en</strong> gevestigd in Belize.<br />

80


door middel van in winkels verkrijgbare Webmoney kaart<strong>en</strong> van verschill<strong>en</strong>de<br />

waard<strong>en</strong>. Webmoney is veilig omdat er ge<strong>en</strong> creditcard account of bankrek<strong>en</strong>ing<br />

als teg<strong>en</strong>rek<strong>en</strong>ing nodig zijn. Ook is oplichting onmogelijk omdat gedane storting<strong>en</strong><br />

niet kunn<strong>en</strong> word<strong>en</strong> teruggedraaid. Accounts, ‘purses’ g<strong>en</strong>oemd, mak<strong>en</strong> gebruik<br />

van equival<strong>en</strong>t<strong>en</strong> in goud (WMG), dollars (WMZ), roebels (WMR), euro's (WME) of<br />

hryvnia's (WMU, Oekraïne) 21 . Accounthouders kunn<strong>en</strong> volledig anoniem blijv<strong>en</strong><br />

voor elkaar.<br />

Webmoney<br />

‘Snowwhite’<br />

Op voorraad:<br />

E-Gold - ongeveer 250 euro<br />

Webmoney - ongeveer 450 euro<br />

Als je E-Gold of Webmoney wilt overnem<strong>en</strong> teg<strong>en</strong> e<strong>en</strong> tarief van 0%, neem dan<br />

contact met ons op: www.snow-white.nl/nederland/contact.htm”<br />

Bron: www.snow-white.nl, 2009<br />

Webmoney wordt ook verhandeld zoals wordt geïllustreerd met vor<strong>en</strong>staand<br />

voorbeeld van e<strong>en</strong> <strong>internet</strong>advert<strong>en</strong>tie uit de wiethandel. Het bezit van Webmoney<br />

wordt zelfs vanuit ‘Snow‐white’ verklaard: het heeft wat E‐Gold <strong>en</strong> Webmoney in<br />

voorraad als gevolg van de zaadverkoop.<br />

“In to<strong>en</strong>em<strong>en</strong>de mate wordt financieel gewin van criminaliteit op <strong>internet</strong> omgezet<br />

in zog<strong>en</strong>aamde webmoney. Of het gaat om het lever<strong>en</strong> van creditcard informatie,<br />

het hur<strong>en</strong> van e<strong>en</strong> botnet, het lever<strong>en</strong> van adress<strong>en</strong>, inloggegev<strong>en</strong>s voor spelletjes<br />

of ftp sites; de meeste ruil vindt plaats met webmoney als virtueel geldmedium.”<br />

Steeds meer goeder<strong>en</strong> <strong>en</strong> di<strong>en</strong>st<strong>en</strong> in de fysieke wereld kunn<strong>en</strong> met webgeld<br />

bekostigd word<strong>en</strong> (hotels, vliegreiz<strong>en</strong>). E<strong>en</strong> manier om webgeld wit te wass<strong>en</strong> is<br />

dan bijvoorbeeld om hotelovernachting<strong>en</strong> te boek<strong>en</strong> bij e<strong>en</strong> online reisbureau dat<br />

betaald krijgt in legitiem geld maar de eig<strong>en</strong> betaling<strong>en</strong> via illegaal verkreg<strong>en</strong><br />

webgeld pleegt. E<strong>en</strong> ander specifiek voorbeeld van creativiteit gaat over iemand die<br />

het cadeaubon algoritme van de iTunes winkel had gekraakt <strong>en</strong> dat te gelde wilde<br />

mak<strong>en</strong> (iTunes heeft namelijk e<strong>en</strong> applicatie winkel waar programmeurs hun<br />

iPhone <strong>en</strong> iPod programma's kunn<strong>en</strong> verkop<strong>en</strong>). Hij probeerde daarvoor op e<strong>en</strong><br />

gameforum moneymules te werv<strong>en</strong> die geld van iTunes krijg<strong>en</strong>. Zij krijg<strong>en</strong> zelfs 70%<br />

21 www.<strong>en</strong>.wikipedia.org/wiki/WebMoney, laatst geraadpleegd 21 december 2009.<br />

81


van de omzet. De cybercimineel stelde het volg<strong>en</strong>de voor: “ik koop zo vaak ik kan<br />

jouw programma, jij krijgt geld van Apple <strong>en</strong> we do<strong>en</strong> 50/50.” De crimineel hoopte<br />

dat de programmeur niet zo slim was dat hij/zij begreep wat Apple doet als ze zi<strong>en</strong><br />

dat ine<strong>en</strong>s duiz<strong>en</strong>d<strong>en</strong> programma’s verkocht word<strong>en</strong>, allemaal met dezelfde valse<br />

cadeaubonn<strong>en</strong> (Dilger & McLean, 2009).<br />

Online product paym<strong>en</strong>t<br />

Met gestol<strong>en</strong> creditcard informatie <strong>en</strong> webmoney kan e<strong>en</strong>voudig online gewinkeld<br />

word<strong>en</strong>. Het probleem is wel dat fysieke levering van de aangekochte goeder<strong>en</strong> bij<br />

de dader, opsporing ervan kan vere<strong>en</strong>voudig<strong>en</strong>. Stromann<strong>en</strong>, op<strong>en</strong> briev<strong>en</strong>buss<strong>en</strong><br />

bij flats <strong>en</strong> instelling<strong>en</strong>, <strong>en</strong> slecht beveiligde postbuss<strong>en</strong> zijn oplossing<strong>en</strong> voor dit<br />

euvel. Zijn de goeder<strong>en</strong> ontvang<strong>en</strong> dan word<strong>en</strong> ze bijvoorbeeld via Ebay weer te<br />

koop aangebod<strong>en</strong>.<br />

“Gestol<strong>en</strong> creditcardinformatie wordt vaak niet direct aangew<strong>en</strong>d voor online<br />

aankop<strong>en</strong>. In plaats daarvan wordt deze informatie doorgeleverd aan andere<br />

actor<strong>en</strong> in ruil voor e<strong>en</strong> goed gevuld account van webmoney. Dit account kan<br />

vervolg<strong>en</strong>s laagdrempeliger gebruikt word<strong>en</strong> om online te winkel<strong>en</strong>. De kans dat<br />

daarmee rechtstreeks geleverd wordt aan het adres van de dader zal dan groter<br />

zijn, zo is de verwachting.”<br />

Physical money transport<br />

Om ge<strong>en</strong> digitale spor<strong>en</strong> achter te lat<strong>en</strong>, wordt nog steeds gebruik gemaakt van het<br />

fysieke transport van geld door geldkoeriers naar de uiteindelijke sponsor. Dat is<br />

moeilijk in administratieve zin te detecter<strong>en</strong>.<br />

In case R, werd geld dat afkomstig was van afpersing na diefstal van e<strong>en</strong> database,<br />

overgemaakt met e<strong>en</strong> money transfer, opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> met e<strong>en</strong> buschauffeur vanuit<br />

Nederland mee naar Riga vervoerd. De geldkoerier vervoegde zich bij de chauffeur<br />

<strong>en</strong> vroeg of hij e<strong>en</strong> <strong>en</strong>velop mocht afgev<strong>en</strong>. Hij noteerde het k<strong>en</strong>tek<strong>en</strong> van de bus<br />

<strong>en</strong> het telefoonnummer van de chauffeur, <strong>en</strong> gaf e<strong>en</strong> code van 8 cijfers mee. Die<br />

code werd doorgebeld naar e<strong>en</strong> handlanger op de plaats van bestemming, die met<br />

de code het geld van de chauffeur overhandigd kreeg.<br />

2.18 Sam<strong>en</strong>hang phishing met andere delict<strong>en</strong><br />

In het spraakgebruik lijkt phishing e<strong>en</strong> <strong>en</strong>kelvoudig delict, maar in feite bestaat het<br />

uit e<strong>en</strong> collectie van delict<strong>en</strong> zoals id<strong>en</strong>titeits<strong>fraud</strong>e, creditcard<strong>fraud</strong>e,<br />

82


computervredebreuk, valsheid in geschrifte, oplichting, witwass<strong>en</strong> <strong>en</strong> spam. De<br />

sam<strong>en</strong>loop van dit soort delict<strong>en</strong> met phishing is evid<strong>en</strong>t om e<strong>en</strong> phishingoperatie<br />

te kunn<strong>en</strong> voltooi<strong>en</strong>. Dit type sam<strong>en</strong>hang zou m<strong>en</strong> dan ook kunn<strong>en</strong> zi<strong>en</strong> als<br />

steundelict<strong>en</strong>.<br />

Als tweede vorm van sam<strong>en</strong>hang onderscheid<strong>en</strong> we delict<strong>en</strong> die ge<strong>en</strong> relatie<br />

hebb<strong>en</strong> naar het phishingproces, maar die e<strong>en</strong>voudig kunn<strong>en</strong> word<strong>en</strong> gepleegd<br />

wanneer m<strong>en</strong> met phishingtechniek<strong>en</strong> vertrouwd is. De Griekse zaak ‘Avanturine’ is<br />

daarvan e<strong>en</strong> voorbeeld (bron KLPD), waarbij het de phisher te do<strong>en</strong> was om in het<br />

bezit te kom<strong>en</strong> van e<strong>en</strong> game in ontwikkeling met de bijbehor<strong>en</strong>de toegangscodes.<br />

In dit type intellectuele eig<strong>en</strong>doms<strong>fraud</strong>e is het phish<strong>en</strong> min of meer synoniem<br />

geword<strong>en</strong> aan hack<strong>en</strong>. Andere voorbeeld<strong>en</strong> zijn het hack<strong>en</strong> <strong>en</strong> het krak<strong>en</strong> van<br />

reguliere software. Verder vorm<strong>en</strong> de zog<strong>en</strong>aamde Torr<strong>en</strong>t hosts e<strong>en</strong> bijzondere<br />

groep. Torr<strong>en</strong>t hosts zijn coördinator<strong>en</strong> voor het uitwissel<strong>en</strong> van torr<strong>en</strong>ts 22 . Dit zijn<br />

in de regel grote bestand<strong>en</strong> of verzameling<strong>en</strong> van bestand<strong>en</strong>, zoals films of muziek.<br />

Gebruikers up‐ <strong>en</strong> download<strong>en</strong> direct naar elkaar (peer‐to‐peer). De kracht van<br />

torr<strong>en</strong>ts is dat up‐ <strong>en</strong> download<strong>en</strong> niet van e<strong>en</strong> c<strong>en</strong>trale locatie gebeurt, maar van<br />

heel veel verschill<strong>en</strong>de gebruikers tegelijk, die allemaal e<strong>en</strong> stukje aanlever<strong>en</strong>. Dit<br />

verhoogt de snelheid van zowel up‐ als download aanzi<strong>en</strong>lijk. De host coördineert<br />

dit door torr<strong>en</strong>ts te lokaliser<strong>en</strong> <strong>en</strong> het verkeer te diriger<strong>en</strong>. Dit is nog legaal <strong>en</strong> er is<br />

veel geld mee te verdi<strong>en</strong><strong>en</strong>. De groep die zich hiervan bedi<strong>en</strong>t zou op termijn naar<br />

andere vorm<strong>en</strong> van gedrag kunn<strong>en</strong> opschuiv<strong>en</strong> wanneer dit weer illegaal verklaard<br />

wordt. Dit soort delict<strong>en</strong> noem<strong>en</strong> we associatiedelict<strong>en</strong> (in de literatuur word<strong>en</strong> het<br />

ook cross‐overdelict<strong>en</strong> g<strong>en</strong>oemd) omdat ze in het verl<strong>en</strong>gde ligg<strong>en</strong> van de<br />

phishingk<strong>en</strong>nis <strong>en</strong> ‐vaardighed<strong>en</strong>.<br />

Als derde vorm onderscheid<strong>en</strong> we sam<strong>en</strong>hang die ev<strong>en</strong>e<strong>en</strong>s niet is gerelateerd aan<br />

het phishingproces maar als het ware dezelfde voedingsbodem heeft als phishing.<br />

Illustratief voor dit soort embryonale delict<strong>en</strong>, is de case van Leo Kuvayev. Deze<br />

Russische/Amerikaanse spammer houdt/hield zich bezig met verstur<strong>en</strong> van spam<br />

voor illegale software, illegale medicijn<strong>en</strong> <strong>en</strong> porno. “Kuvayev <strong>en</strong> zijn b<strong>en</strong>de zoud<strong>en</strong><br />

viruss<strong>en</strong> ontwikkel<strong>en</strong> waarmee Pc’s als spamzombie gebruikt kunn<strong>en</strong> word<strong>en</strong>.<br />

Daarnaast koopt hij overal bulletproof hosting in Brazilië, China <strong>en</strong> Rusland. Hij is<br />

bek<strong>en</strong>d van de <strong>en</strong>orme hoeveelheid domein<strong>en</strong> (met valse informatie) die hij<br />

gebruikt, die elke drie uur roter<strong>en</strong> om detectie door filters te voorkom<strong>en</strong>. Hij mailt<br />

via proxy’s via bek<strong>en</strong>de spamsoftware <strong>en</strong> is nauwe vri<strong>en</strong>djes met allerlei<br />

22 Bijvoorbeeld: www.torr<strong>en</strong>tz.com, www.bittorr<strong>en</strong>t.com of www.mininova.org.<br />

83


otnetbeheerders, om zo nieuwe spamzombies te gebruik<strong>en</strong>.” (overg<strong>en</strong>om<strong>en</strong> van<br />

Security.nl, 2008).<br />

Tot slot kan e<strong>en</strong> vierde groep delict<strong>en</strong> word<strong>en</strong> onderscheid<strong>en</strong> die niet noodzakelijk<br />

is om e<strong>en</strong> phishingproces te voltooi<strong>en</strong>, maar die als het ware door het<br />

phishingproces wordt uitgelokt. Ze di<strong>en</strong><strong>en</strong> om de eig<strong>en</strong> phishingactiviteit<strong>en</strong> af te<br />

scherm<strong>en</strong> teg<strong>en</strong> die van concurr<strong>en</strong>t<strong>en</strong>. De ripdeal waarvan het zog<strong>en</strong>aamde Sneker<br />

botnet deel uit bleek te mak<strong>en</strong> is daarvan e<strong>en</strong> voorbeeld (Libb<strong>en</strong>ga, 2008), ev<strong>en</strong>als<br />

de moord op de Russische spammer Vardan Kushnir in 2005 of concurr<strong>en</strong>tie tuss<strong>en</strong><br />

botnet‐herders die elkaars zombies prober<strong>en</strong> af te pakk<strong>en</strong>. M<strong>en</strong> zou deze vorm<strong>en</strong><br />

van sam<strong>en</strong>hang<strong>en</strong>de criminaliteit kunn<strong>en</strong> kwalificer<strong>en</strong> als verdringingsdelict<strong>en</strong>.<br />

2.19 Roll<strong>en</strong><br />

In het eerste deel van dit hoofdstuk is het phishingproces met haar MO‐elem<strong>en</strong>t<strong>en</strong><br />

beschrev<strong>en</strong> vanuit e<strong>en</strong> logistiek perspectief. Dit tweede deel k<strong>en</strong>t e<strong>en</strong> meer<br />

organisatorisch vertrekpunt <strong>en</strong> gaat in op de verschill<strong>en</strong>de roll<strong>en</strong> die in het<br />

phishingproces kunn<strong>en</strong> voorkom<strong>en</strong>. Zonder daarmee te will<strong>en</strong> suggerer<strong>en</strong> dat het<br />

altijd zo e<strong>en</strong>duidig is wie er achter e<strong>en</strong> bepaalde bijdrage aan het proces zit. Er zijn<br />

daarvoor te weinig gegev<strong>en</strong>s voorhand<strong>en</strong> <strong>en</strong> net als de klassieke criminel<strong>en</strong> ook<br />

ge<strong>en</strong> klon<strong>en</strong> van elkaar zijn, geldt dat ook voor de <strong>internet</strong>criminel<strong>en</strong>. Figuur 2<br />

illustreert dat er bij phishing nogal wat roll<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> voorondersteld. Dat<br />

beeld wordt ondersteund door rec<strong>en</strong>te bestrijdingssuccess<strong>en</strong> (Westervelt, 2009).<br />

Naarmate phishing meer sophisticated plaatsvindt, vraagt het ook om expertise<br />

waarover één persoon niet snel zal beschikk<strong>en</strong> <strong>en</strong> loont het voor actor<strong>en</strong> om zich in<br />

verschill<strong>en</strong>de roll<strong>en</strong> te professionaliser<strong>en</strong> <strong>en</strong> te verzelfstandig<strong>en</strong>.<br />

Basaal onderscheid<strong>en</strong> we daderroll<strong>en</strong> <strong>en</strong> slachtofferroll<strong>en</strong>. In phishingoperaties zijn<br />

ook daders betrokk<strong>en</strong> ‘teg<strong>en</strong> wil <strong>en</strong> dank’. Money transfer kantor<strong>en</strong> bijvoorbeeld<br />

vervull<strong>en</strong> onbedoeld e<strong>en</strong> rol in het doorsluiz<strong>en</strong> van opbr<strong>en</strong>gst<strong>en</strong> van cybercrime.<br />

Dit soort daderroll<strong>en</strong> te goeder trouw zijn in het schema gro<strong>en</strong> gekleurd. Roll<strong>en</strong> die<br />

zowel te goeder als te kwader trouw kunn<strong>en</strong> voorkom<strong>en</strong> onderscheid<strong>en</strong> zich in het<br />

schema door e<strong>en</strong> kleurverloop. Naast individuele roll<strong>en</strong> bevat het schema ook e<strong>en</strong><br />

‘wolk’ van onderling gerelateerde roll<strong>en</strong> die onderling regelmatig contact hebb<strong>en</strong>.<br />

Hetzij via instant messaging, hetzij via mail of telefoon.<br />

In ess<strong>en</strong>tie is e<strong>en</strong> phishingnetwerk opgebouwd uit roll<strong>en</strong> die in vier hoofdgroep<strong>en</strong><br />

zijn onder te verdel<strong>en</strong>. De organisator<strong>en</strong> achter het netwerk <strong>en</strong> het phishingproces<br />

84


noem<strong>en</strong> we ‘the initiators’, deg<strong>en</strong><strong>en</strong> die het proces uitvoer<strong>en</strong> ‘employees’, allerlei<br />

roll<strong>en</strong> van waaruit verschill<strong>en</strong>de vorm<strong>en</strong> van ondersteuning word<strong>en</strong> geleverd<br />

schar<strong>en</strong> we onder ‘facilitators’ <strong>en</strong> zij op wie het proces is gericht of die er schade<br />

van ondervind<strong>en</strong> zijn de ‘targets’. Bij wijze van overview schets<strong>en</strong> we de werkwijze<br />

van e<strong>en</strong> phishingnetwerk, om in de paragraf<strong>en</strong> daarna dieper in te gaan op de<br />

afzonderlijke roll<strong>en</strong>.<br />

De leiding van e<strong>en</strong> phishingnetwerk is in hand<strong>en</strong> van de sponsor. Hij draagt het<br />

risico van de operatie <strong>en</strong> is te zi<strong>en</strong> als de produc<strong>en</strong>t. Naast de sponsor heeft de<br />

spammer e<strong>en</strong> belangrijke rol; deze is vooral actief als regisseur. Beide roll<strong>en</strong> kunn<strong>en</strong><br />

ook sam<strong>en</strong>vall<strong>en</strong>. De sponsor huurt allerlei di<strong>en</strong>st<strong>en</strong> in. De webdesigner wordt<br />

ingeschakeld voor het ontwerp van websites (bijvoorbeeld e<strong>en</strong> spoof website of<br />

recruitm<strong>en</strong>t sites), de translator vertaalt tekst<strong>en</strong> van spambericht<strong>en</strong> in de taal van<br />

de beoogde doelgroep, de scriptkiddy <strong>en</strong> toolsupplier lever<strong>en</strong> scripts die slim<br />

gebruik mak<strong>en</strong> van kwetsbaarhed<strong>en</strong> (exploits) in software <strong>en</strong> de mule‐recruiter<br />

levert katvangers voor het doorsluiz<strong>en</strong> van geld als de phishing bijna is voltooid.<br />

E<strong>en</strong> bijzondere rol speelt de scout: die speurt bijvoorbeeld het <strong>internet</strong> af naar<br />

servers die onder oude besturingssoftware met bek<strong>en</strong>de kwetsbaarhed<strong>en</strong> draai<strong>en</strong>,<br />

of hij kijkt hoe login‐procedures zijn van targetinstelling<strong>en</strong>. Het resultaat van deze<br />

inspanning<strong>en</strong> wordt vervolg<strong>en</strong>s overgedrag<strong>en</strong> aan de spammer met de opdracht<br />

om e<strong>en</strong> bepaalde doelgroep te bereik<strong>en</strong>. In de klassieke phishingvariant heeft de<br />

spammer dan vooral adress<strong>en</strong> nodig om aan de opdracht te kunn<strong>en</strong> voldo<strong>en</strong>. Die<br />

kunn<strong>en</strong> afkomstig zijn van e<strong>en</strong> harvester, hacker, e<strong>en</strong> verkooporganisatie van<br />

adress<strong>en</strong> of e<strong>en</strong> insider binn<strong>en</strong> e<strong>en</strong> bepaalde organisatie. De hacker heeft nog e<strong>en</strong><br />

tweede belangrijke rol: toegang bied<strong>en</strong> tot servers waarop de sites kunn<strong>en</strong> draai<strong>en</strong><br />

<strong>en</strong> die de gephishte gegev<strong>en</strong>s kunn<strong>en</strong> verzamel<strong>en</strong>.<br />

In de geavanceerde variant moet de spammer het vooral van de malware hebb<strong>en</strong><br />

<strong>en</strong> manier<strong>en</strong> om die te distribuer<strong>en</strong> <strong>en</strong> te bestur<strong>en</strong>. Daarvoor komt de zog<strong>en</strong>aamde<br />

botnetherder in beeld die voorziet in e<strong>en</strong> commando van e<strong>en</strong> botnet waarmee de<br />

spammer dat botnet (voor e<strong>en</strong> bepaalde duur) kan bestur<strong>en</strong>. Botnetherder <strong>en</strong><br />

malware distributor zijn in de praktijk vaak één partij of zitt<strong>en</strong> dicht teg<strong>en</strong> elkaar.<br />

De laatstg<strong>en</strong>oemde levert de speciale verpakking van malware zodat die niet wordt<br />

gesignaleerd door virusscanners.<br />

Uiteindelijk zorg<strong>en</strong> alle roll<strong>en</strong> er geme<strong>en</strong>schappelijk voor dat de elem<strong>en</strong>t<strong>en</strong> van het<br />

phishingproces op de juiste manier op het <strong>internet</strong> in elkaar grijp<strong>en</strong>, om uit te<br />

kom<strong>en</strong> bij het slachtoffer wi<strong>en</strong>s gegev<strong>en</strong>s word<strong>en</strong> afgetapt <strong>en</strong> de targetinstelling<br />

die door het gebruik van die gegev<strong>en</strong>s wordt b<strong>en</strong>adeeld. Hun traffic loopt langs<br />

verschill<strong>en</strong>de kanal<strong>en</strong> van instanties die dat <strong>internet</strong> (backbone provider) of de<br />

85


toegang tot dat <strong>internet</strong> (host <strong>en</strong> accesprovider) beher<strong>en</strong> <strong>en</strong> dus word<strong>en</strong> misbruikt.<br />

Hetzelfde geldt voor de leverancier van reguliere applicaties (viewers, browser,<br />

readers, scripts) <strong>en</strong> besturingssystem<strong>en</strong> die altijd kwetsbaarhed<strong>en</strong> bevatt<strong>en</strong><br />

waarvan e<strong>en</strong> aantal wordt misbruikt voor phishing‐doeleind<strong>en</strong>.<br />

86


Applicationsupplier<br />

Vulnerabilities<br />

Vulnerabilities<br />

Exploits<br />

Tool<br />

suplier<br />

Translator<br />

SDK’s<br />

Scriptkiddy<br />

Address<br />

host<br />

Addresses<br />

Address<br />

supplier<br />

Botnet<br />

herder<br />

Adds<br />

Malware<br />

distributor<br />

Scout<br />

Crawler<br />

Texts<br />

Webdesigner<br />

Exploits<br />

Server access<br />

Addresses<br />

Addresses<br />

Addresses<br />

Control command<br />

Packers<br />

Reconissance<br />

Spoof<br />

Hacker<br />

Addresses<br />

Harvester<br />

Addresses<br />

Spammer<br />

Demand<br />

Access<br />

provider<br />

Access<br />

id<strong>en</strong>ties<br />

Sponsor<br />

Personnel<br />

service<br />

Moneytransfer<br />

Money<br />

transfer<br />

ag<strong>en</strong>t<br />

Server access<br />

Spamrun<br />

Traffic<br />

Assignm<strong>en</strong>t<br />

Mule<br />

recruiter<br />

Deposit<br />

Job<br />

Inside<br />

employee<br />

Server acces<br />

Host<br />

Traffic<br />

Backbone<br />

provider<br />

Traffic<br />

Target<br />

Transfer<br />

Mule<br />

Transaction<br />

Victim<br />

Figuur 2: <strong>Phishing</strong>: Roll<strong>en</strong>complex <strong>en</strong> uitwisselingsrelaties<br />

87


2.20 ‘The Initiators’<br />

De initiator is de oorspronkelijke initiatiefnemer van e<strong>en</strong> spam <strong>en</strong>/of phishing<br />

aanval. Hij hoeft zelf ge<strong>en</strong> <strong>en</strong>kele stap in de aanval uit te voer<strong>en</strong>, maar heeft wel de<br />

coördinatie <strong>en</strong> zorgt voor de middel<strong>en</strong>. Dat is geld, maar vooral ook e<strong>en</strong> dekmantel<br />

bestaande uit de domeinnaam/‐nam<strong>en</strong>, e<strong>en</strong> registratie bij de Kamer van<br />

Koophandel, de contact<strong>en</strong> in het wereldje, of e<strong>en</strong> gestol<strong>en</strong> creditcard. De rol van<br />

initiator kan sam<strong>en</strong>vall<strong>en</strong> met die van de sponsor (dieg<strong>en</strong>e wi<strong>en</strong>s boodschap wordt<br />

verzond<strong>en</strong>). Uiteraard kunn<strong>en</strong> deze in dezelfde persoon ver<strong>en</strong>igd zijn, maar dat is<br />

niet altijd het geval. Wanneer de professionaliteit van de initiator to<strong>en</strong>eemt, zal hij<br />

verschill<strong>en</strong>de sponsors bedi<strong>en</strong><strong>en</strong> <strong>en</strong> wordt hij meer e<strong>en</strong> facilitator die het totale<br />

phishingproces als di<strong>en</strong>st<strong>en</strong>pakket aanbiedt. De DIY‐phishingkits zijn daarvan e<strong>en</strong><br />

doorontwikkelde vorm.<br />

Iemand is niet van de <strong>en</strong>e dag op de andere initiator van e<strong>en</strong> phishingproces. Uit de<br />

bestudeerde verhor<strong>en</strong> die deel uit maakt<strong>en</strong> van de onderzoeksdossiers bleek, dat<br />

de daders die als brein achter phishing schuilgaan al jar<strong>en</strong>lang in het wereldje actief<br />

zijn. Soms als ICT’er <strong>en</strong> soms als klassieke handelaar in porno die ge<strong>en</strong> droog brood<br />

meer wist te verdi<strong>en</strong><strong>en</strong> in de handel <strong>en</strong> vervolg<strong>en</strong>s de klant is gevolgd naar <strong>internet</strong><br />

als nieuw platform. Dat illustreert op zichzelf al dat initiators op verschill<strong>en</strong>de<br />

manier<strong>en</strong> in de wereld van spam <strong>en</strong> phishing zijn ingestroomd. We onderscheid<strong>en</strong><br />

vier verschill<strong>en</strong>de manier<strong>en</strong> van deze instroom waarvan we ter illustratie e<strong>en</strong><br />

aantal, niet limitatieve, voorbeeld<strong>en</strong> noem<strong>en</strong> van subcategorieën.<br />

1. ICT: systeembeheer, softwareontwikkeling, security.<br />

2. Porno: klassieke porno (shops, escort, film, raamprostitutie ), adultwebs,<br />

online sales.<br />

3. Marketing: directmail, advert<strong>en</strong>tiewerving, marktonderzoek.<br />

4. Internet‐gebruik: gaming, surf<strong>en</strong>, experim<strong>en</strong>ter<strong>en</strong>.<br />

2.20.1 Instroom vanuit de ICT-omgeving<br />

De ICT‐er kan meerdere motiev<strong>en</strong> hebb<strong>en</strong> voor zijn acties. Geld is e<strong>en</strong> voor de hand<br />

ligg<strong>en</strong>de motivatie, maar ev<strong>en</strong>zeer verveling of wraak kom<strong>en</strong> uit het<br />

dossieronderzoek naar vor<strong>en</strong>. Voor ICT’ers die veel k<strong>en</strong>nis hebb<strong>en</strong> op e<strong>en</strong> legaal<br />

terrein dat ook e<strong>en</strong>voudig is aan te w<strong>en</strong>d<strong>en</strong> voor illegale doeleind<strong>en</strong>, is de stap naar<br />

die illegaliteit klein. De ICT’er beschikt over de technologie, de k<strong>en</strong>nis <strong>en</strong> vanuit zijn<br />

werkgever of de klant<strong>en</strong> die word<strong>en</strong> bedi<strong>en</strong>d, ook over de infrastructuur. In de<br />

89


laatste situatie is het relatief e<strong>en</strong>voudig om de illegale activiteit<strong>en</strong> af te dekk<strong>en</strong> met<br />

legale. Inlogg<strong>en</strong> op e<strong>en</strong> server valt immers niet op als dat onderdeel is van<br />

bijvoorbeeld e<strong>en</strong> onderhoudscontract.<br />

Systeembeheerders die net onder hun technologische k<strong>en</strong>nisgr<strong>en</strong>s operer<strong>en</strong>,<br />

kunn<strong>en</strong> op zoek gaan naar e<strong>en</strong> andere uitdaging. Dat kan bijvoorbeeld via sites als<br />

www.r<strong>en</strong>tacoder.com of www.getafreelancer.com waar iedere willekeurige<br />

hobbyïst of professionele ontwikkelaar volg<strong>en</strong>s het principe van e‐bay kan<br />

inschrijv<strong>en</strong> op e<strong>en</strong> meestal kleinere ICT‐klus. Wat begint met e<strong>en</strong> leuke reguliere<br />

uitdaging kan, zodra ander<strong>en</strong> van de vaardighed<strong>en</strong> van de ontwikkelaar overtuigd<br />

rak<strong>en</strong>, ook tot inschakeling leid<strong>en</strong> voor e<strong>en</strong> illegale klus. Vrij snel komt m<strong>en</strong> dan op<br />

de lucratieve <strong>en</strong> og<strong>en</strong>schijnlijk risicoloze mogelijkhed<strong>en</strong> van spam <strong>en</strong> phishing. Het<br />

wraakmotief speelt mogelijk e<strong>en</strong> rol bij reorganisaties of demoties. Deze groep ICTers<br />

k<strong>en</strong>t veel gelijk<strong>en</strong> <strong>en</strong> ontmoet elkaar op fora, maar ook in lev<strong>en</strong>de lijve op<br />

congress<strong>en</strong> <strong>en</strong> bij door de werkgever gefaciliteerde cursuss<strong>en</strong>. Hier wordt k<strong>en</strong>nis<br />

uitgewisseld <strong>en</strong> word<strong>en</strong> ervaring<strong>en</strong> gedeeld. Hun k<strong>en</strong>nis <strong>en</strong> vaardighed<strong>en</strong> bouw<strong>en</strong><br />

ze uit tijd<strong>en</strong>s hun werkervaring (on‐the‐job) <strong>en</strong> ontwikkelt zich aan de hand van<br />

persoonlijke interesse. Op deze manier kan m<strong>en</strong> zich in vrij korte tijd inwerk<strong>en</strong> in de<br />

materie. In hun vrije tijd zijn ze niet te beroerd om familie <strong>en</strong> vri<strong>en</strong>d<strong>en</strong> e<strong>en</strong><br />

help<strong>en</strong>de hand toe te stek<strong>en</strong>. Dat spreekt zich door, tot er mogelijk ook e<strong>en</strong> ander<br />

beroep op die deskundigheid wordt gedaan.<br />

Voor het uitvoer<strong>en</strong> van e<strong>en</strong> aanval mak<strong>en</strong> de ICT‐initiators gebruik van kant <strong>en</strong><br />

klare pakkett<strong>en</strong>, maar ze zijn ook in staat zelf het e<strong>en</strong> <strong>en</strong> ander aan code te<br />

bouw<strong>en</strong>.<br />

2.20.2 Instroom vanuit de porno-wereld<br />

In de pornowereld draait het simpel om geld. Met de opkomst van het <strong>internet</strong> is<br />

de klassieke markt voor de verhuur/verkoop van pornofilms volledig ingestort. De<br />

distributeur van dit soort films had eig<strong>en</strong>lijk ge<strong>en</strong> keuze <strong>en</strong> maakte de overstap<br />

van verspreiding door middel van videotheek <strong>en</strong> postorder, naar het <strong>internet</strong>. De<br />

populariteit van het <strong>internet</strong> is nog steeds voor e<strong>en</strong> belangrijk deel aan de brede<br />

belangstelling voor pornografie te dank<strong>en</strong>. Met deze overstap maakte de porno<strong>en</strong>trepr<strong>en</strong>eur<br />

k<strong>en</strong>nis met <strong>internet</strong>technologie. Belangrijk motief was om e<strong>en</strong> zo<br />

groot mogelijke doelgroep te bereik<strong>en</strong> <strong>en</strong> die te verleid<strong>en</strong> tot de aanschaf van zijn<br />

product. Reclame was voor de porno‐<strong>en</strong>trepr<strong>en</strong>eur van lev<strong>en</strong>sbelang. Spam was<br />

daarvoor e<strong>en</strong> uitkomst. E<strong>en</strong> aantal van deze distribu<strong>en</strong>t<strong>en</strong> zag e<strong>en</strong> markt voor het<br />

bedi<strong>en</strong><strong>en</strong> van hun collega’s met spam‐di<strong>en</strong>stverl<strong>en</strong>ing. Zij kocht<strong>en</strong> op vrij grote<br />

schaal adult‐domein<strong>en</strong>, om die of door te verkop<strong>en</strong> of te verhur<strong>en</strong>. Hun nering<br />

90


veranderde van zelfstandige distributie naar di<strong>en</strong>stverl<strong>en</strong>ing in de sector. We zi<strong>en</strong><br />

dat feitelijk terug door de grote conc<strong>en</strong>traties van adult‐sites op dezelfde servers<br />

<strong>en</strong> het grote aantal gerelateerde domein<strong>en</strong> op dezelfde whois‐registratie. Het geld<br />

vloeide binn<strong>en</strong> door de verkoop van porno <strong>en</strong> door het op grote schaal verspreid<strong>en</strong><br />

van gerelateerde spam. Daardoor kreeg juist de porno‐<strong>en</strong>trepr<strong>en</strong>eur e<strong>en</strong> grote<br />

armslag voor verdere ontwikkeling <strong>en</strong> investering<strong>en</strong>.<br />

Na de overgang van de fysieke distributie van pornografisch materiaal naar digitale,<br />

wachtte de sector e<strong>en</strong> nieuwe tr<strong>en</strong>dbreuk. Door het to<strong>en</strong>em<strong>en</strong>d gratis beschikbaar<br />

kom<strong>en</strong> van porno op datzelfde <strong>internet</strong> kwam<strong>en</strong> inkomst<strong>en</strong> onder druk te staan. De<br />

in eerste instantie voor de werving van belangstelling voor pornografie ontwikkelde<br />

werkwijze, werd verbreed naar terrein<strong>en</strong> als viagra, p<strong>en</strong>is‐<strong>en</strong>largem<strong>en</strong>t<br />

aanbieding<strong>en</strong> <strong>en</strong> van daaruit naar andere categorieën zoals sport‐ of<br />

gezondheidgerelateerde voedingssuplem<strong>en</strong>t<strong>en</strong>. Sommig<strong>en</strong> hadd<strong>en</strong> deze markt<strong>en</strong><br />

overig<strong>en</strong>s al eerder ontdekt. De porno‐<strong>en</strong>trepr<strong>en</strong>eurs staan voor e<strong>en</strong> belangrijk<br />

deel aan de basis van de spam‐verspreiding. Ze kond<strong>en</strong> vanuit zowel hun<br />

beschikking over geld, als de behoefte aan meer <strong>en</strong> continuïteit, optred<strong>en</strong> als early<br />

adopters van andere ontwikkeling<strong>en</strong> die sterk in lijn lag<strong>en</strong> met waar ze in groot<br />

war<strong>en</strong> geword<strong>en</strong>. <strong>Phishing</strong> ligt in het verl<strong>en</strong>gde daarvan.<br />

Technische k<strong>en</strong>nis heeft de porno‐instromer nauwelijks, maar hij ziet de<br />

mogelijkhed<strong>en</strong> die het <strong>internet</strong> biedt <strong>en</strong> kan goed met e<strong>en</strong> computer overweg. Via<br />

zijn sterk met de adultwereld verwev<strong>en</strong> netwerk kan hij de juiste k<strong>en</strong>nis aanbor<strong>en</strong><br />

<strong>en</strong> inhur<strong>en</strong>. De porno‐<strong>en</strong>trepr<strong>en</strong>eur is vermoedelijk e<strong>en</strong> bek<strong>en</strong>de van politie <strong>en</strong><br />

justitie, maar niet altijd als veroordeelde.<br />

2.20.3 Instroom vanuit de marketing<br />

De marketeer k<strong>en</strong>t vanuit zijn beroep de kracht van de reclame <strong>en</strong> wordt om die<br />

red<strong>en</strong> ook door zijn opdrachtgevers ingezet. In de opkomst van het <strong>internet</strong>, e<strong>en</strong><br />

marketinginstrum<strong>en</strong>t bij uitstek, hebb<strong>en</strong> marketeers vanaf het begin geparticipeerd<br />

<strong>en</strong> die mede tot stand gebracht. De marketeer weet ook welke boodschap wel of<br />

niet werkt <strong>en</strong> in relatie tot welke doelgroep. De marketeer beschikte altijd al over<br />

techniek<strong>en</strong> <strong>en</strong> k<strong>en</strong>nis nodig voor bijvoorbeeld direct mailing. De kaart<strong>en</strong>bakk<strong>en</strong><br />

bestond<strong>en</strong> in eerste instantie uit adress<strong>en</strong>, vervolg<strong>en</strong>s uit telefoonnummers, <strong>en</strong><br />

daarna uit e‐mailadress<strong>en</strong>. De werkwijze varieerde maar de ess<strong>en</strong>tie van het vak<br />

waarop de marketeer werd aangesprok<strong>en</strong> niet. De marketeer werd<br />

<strong>internet</strong>marketeer. Volstrekt legaal ging hij zich bezig houd<strong>en</strong> met het verspreid<strong>en</strong><br />

van reclamemateriaal. De adresbestand<strong>en</strong> daarvoor werd<strong>en</strong> gekocht om vervolg<strong>en</strong>s<br />

e<strong>en</strong> steeds grotere behoefte te krijg<strong>en</strong> aan adress<strong>en</strong> van e<strong>en</strong> selecte doelgroep of<br />

91


uit e<strong>en</strong> andere bron dan die waaruit iedere<strong>en</strong> putte. In wez<strong>en</strong> is er qua techniek <strong>en</strong><br />

werkwijze ge<strong>en</strong> verschil tuss<strong>en</strong> e<strong>en</strong> legale <strong>en</strong> e<strong>en</strong> illegale toez<strong>en</strong>ding van<br />

reclamemateriaal. Spam is niet anders dan e<strong>en</strong> vorm van direct mail. Bov<strong>en</strong>di<strong>en</strong><br />

was <strong>en</strong> is het scheidsvlak tuss<strong>en</strong> legale <strong>en</strong> illegale mail niet zo vreselijk scherp. Voor<br />

iemand die er dagelijks in zit maakt het weinig uit of er e<strong>en</strong> direct mail uitgaat of<br />

e<strong>en</strong> spam aanval. Alle<strong>en</strong> de afscherming van de afz<strong>en</strong>der is in het laatste geval van<br />

groot belang.<br />

“Het vermoed<strong>en</strong> bestaat dat juist de <strong>internet</strong>marketeer met e<strong>en</strong> onder druk staande<br />

omzet of met schuld<strong>en</strong>, zijn activiteit<strong>en</strong> heeft verbreed met spam. Aanvull<strong>en</strong>de<br />

k<strong>en</strong>merk<strong>en</strong> waaraan e<strong>en</strong> <strong>internet</strong>marketeer zich als initiator laat herk<strong>en</strong>n<strong>en</strong> zijn<br />

(hypothetisch): e<strong>en</strong> vrij plotselinge winstverandering (van lage winstgev<strong>en</strong>dheid<br />

naar hoog), e<strong>en</strong> breed di<strong>en</strong>st<strong>en</strong>pakket, e<strong>en</strong> geringe personele bezetting <strong>en</strong>/of<br />

eerder faillissem<strong>en</strong>t.”<br />

<strong>Phishing</strong> is e<strong>en</strong> moeilijker vervolgstap, omdat de marketeer daar niet de juiste<br />

k<strong>en</strong>nis voor heeft. Hij vindt het ook moeilijk dit uit te bested<strong>en</strong>, t<strong>en</strong>zij hij iemand<br />

goed k<strong>en</strong>t <strong>en</strong> vertrouwt. De motivatie is vaak het geld dat het opbr<strong>en</strong>gt, al dan niet<br />

om e<strong>en</strong> schuld terug te betal<strong>en</strong>. De schuld is dan de trigger om zich met illegale<br />

praktijk<strong>en</strong> in te lat<strong>en</strong>. De <strong>internet</strong>marketeer zull<strong>en</strong> we waarschijnlijk dan ook niet<br />

alle<strong>en</strong> zi<strong>en</strong> als initiator maar vooral ook als facilitator van andere initiators.<br />

2.20.4 Instroom vanuit ervar<strong>en</strong> <strong>internet</strong> gebruik<br />

In to<strong>en</strong>em<strong>en</strong>de mate wordt de instroom in de wereld van spam <strong>en</strong> phishing zonder<br />

specifieke functionele achtergrond van belang. Twee ontwikkeling<strong>en</strong> drag<strong>en</strong> bij aan<br />

de opmars van de geïnteresseerde <strong>internet</strong>gebruiker als initiator achter spam <strong>en</strong><br />

phishing operaties. De eerste bestaat uit de to<strong>en</strong>em<strong>en</strong>de deskundigheid van de<br />

gemiddelde gamer of surfer die zichzelf is aangeleerd met behulp van het <strong>internet</strong>.<br />

Hij k<strong>en</strong>t het <strong>internet</strong> op zijn duim, k<strong>en</strong>t allerlei downloadsites, <strong>en</strong> is vertrouwd met<br />

nieuwsgroep<strong>en</strong> <strong>en</strong> fora waarop gamers actief zijn. Hij staat ook onder invloed van<br />

recruiters die juist deze gamers naar zich toe prober<strong>en</strong> te hal<strong>en</strong>. De tweede<br />

ontwikkeling bestaat uit de evolutie van techniek<strong>en</strong> die voor e<strong>en</strong> steeds breder<br />

publiek beschikbaar kom<strong>en</strong>. De DIY‐phishingkits zijn daarvan slechts e<strong>en</strong> voorbeeld<br />

want er is ge<strong>en</strong> probleem te bed<strong>en</strong>k<strong>en</strong> of erg<strong>en</strong>s op het <strong>internet</strong> is er wel e<strong>en</strong><br />

download voor te vind<strong>en</strong>.<br />

De gemiddelde k<strong>en</strong>nis van (zeker de doorgewinterde) <strong>internet</strong>gebruiker neemt toe,<br />

<strong>en</strong> gelijktijdig wordt het die gebruiker steeds e<strong>en</strong>voudiger gemaakt met pasklare<br />

oplossing<strong>en</strong> voor onder andere illegale activiteit<strong>en</strong>. Lang niet iedere<strong>en</strong> zal<br />

bezwijk<strong>en</strong> voor deze verleiding maar in vergelijking met de <strong>internet</strong>‐ontwikkelaars<br />

92


van het eerste uur die het allemaal zelf moest<strong>en</strong> uitvind<strong>en</strong>, wordt het de huidige<br />

onderzoek<strong>en</strong>de <strong>en</strong> experim<strong>en</strong>ter<strong>en</strong>de types wel heel gemakkelijk gemaakt.<br />

2.20.5 Gradaties qua professionaliteit<br />

Uit het onderzoek komt naar vor<strong>en</strong> dat de initiators zich sterk van elkaar<br />

onderscheid<strong>en</strong> qua professionaliteit. In het spamdossier T. bijvoorbeeld, was de<br />

initiator ook tev<strong>en</strong>s de sponsor <strong>en</strong> de spammer (deg<strong>en</strong>e die de spam daadwerkelijk<br />

verstuurde). Nadat hij zijn 1,5 miljo<strong>en</strong> mails had verzond<strong>en</strong> kwam de performance<br />

van zijn host in problem<strong>en</strong> door de 50.000 terug ontvang<strong>en</strong><br />

afwezigheidsmelding<strong>en</strong>. Dit is e<strong>en</strong> typisch voorbeeld van wat m<strong>en</strong> e<strong>en</strong> amateur kan<br />

noem<strong>en</strong>.<br />

Drie gradaties in professionaliteit van initiators hebb<strong>en</strong> we onderscheid<strong>en</strong>: pro<br />

(fulltime criminele phisher), gevorderde (de deeltijd functionele phisher) <strong>en</strong><br />

amateur (de geleg<strong>en</strong>heidsphisher). De professional doet dit als broodwinning. Hij is<br />

fulltime crimineel zou m<strong>en</strong> kunn<strong>en</strong> zegg<strong>en</strong>. Hij is uitermate goed bek<strong>en</strong>d in de<br />

<strong>internet</strong>criminaliteit <strong>en</strong> weet precies waar hij wat kan hal<strong>en</strong>. Zowel wat betreft<br />

k<strong>en</strong>nis als technologie. Juist om deze red<strong>en</strong> beperkt hij zich niet tot bijvoorbeeld<br />

spam of phishing. De k<strong>en</strong>nis <strong>en</strong> techniek waarover hij kan beschikk<strong>en</strong>, stelt tot<br />

meer in staat. Volg<strong>en</strong>s reguliere economische principes doet hij aan<br />

productdiversificatie <strong>en</strong> is in veel meer illegaliteit betrokk<strong>en</strong> dan spam of phishing,<br />

om het risico te spreid<strong>en</strong> maar vooral ook om meer geld te verdi<strong>en</strong><strong>en</strong>. De Pro heeft<br />

e<strong>en</strong> grotere kans om afkomstig te zijn uit de ICT‐wereld. Hij beschikt zelf over de<br />

nodige technische k<strong>en</strong>nis, zodat hij meerdere stapp<strong>en</strong> in het phishingproces zelf<br />

kan uitvoer<strong>en</strong>. Om e<strong>en</strong> phishingaanval uit te lat<strong>en</strong> voer<strong>en</strong> weet hij welke person<strong>en</strong><br />

in te schakel<strong>en</strong> <strong>en</strong> hoe die person<strong>en</strong> aan zich te bind<strong>en</strong>, ter minimalisatie van de<br />

kans op uitlekk<strong>en</strong> van zijn activiteit<strong>en</strong>. Het is niet onwaarschijnlijk dat de<br />

professional in <strong>en</strong>ig land al e<strong>en</strong> strafblad heeft met betrekking tot<br />

(<strong>internet</strong>)criminaliteit.<br />

De gevorderde spammer kan afkomstig zijn uit elk van de onderscheid<strong>en</strong> vorm<strong>en</strong><br />

van instroom. Hij blijft relatief dicht bij zijn business: spam <strong>en</strong>/of relatief<br />

e<strong>en</strong>voudige phishing. Zijn netwerk is daarop ook gericht, <strong>en</strong> bestaat uit familie‐ <strong>en</strong><br />

vri<strong>en</strong>d<strong>en</strong>relaties. Hij is ook afhankelijk van dat netwerk omdat hij niet alle stapp<strong>en</strong><br />

van het proces zelf beheerst. Daarom durft hij ook niet verder te spring<strong>en</strong> dan zijn<br />

polsstok lang is. Hij onthoudt zich van andere vorm<strong>en</strong> van criminaliteit. Hij weet<br />

niet alle evolutionaire ontwikkeling<strong>en</strong> te volg<strong>en</strong> maar heeft daar vrede mee. Hij<br />

maakt gebruik van op het <strong>internet</strong> beschikbare codes <strong>en</strong> DIY‐kits. Zijn id<strong>en</strong>titeit<br />

93


weet hij maar beperkt af te scherm<strong>en</strong>; daarvoor vertrouwt hij ook op de<br />

functionaliteit<strong>en</strong> in de kits. Hij heeft weinig domeinnam<strong>en</strong> op zijn naam staan,<br />

maakt gebruik van door ander<strong>en</strong> opgezette databestand<strong>en</strong>, <strong>en</strong> maakt gebruik van<br />

relatief e<strong>en</strong>voudige manier<strong>en</strong> om de opbr<strong>en</strong>gst van zijn activiteit<strong>en</strong> binn<strong>en</strong> te<br />

hal<strong>en</strong>. Hij is al <strong>en</strong>ige tijd in het wereldje actief, maar het is niet zijn hoofdactiviteit.<br />

Hij heeft daarnaast werk of studeert.<br />

De amateur is iemand die weinig tot ge<strong>en</strong> k<strong>en</strong>nis van <strong>internet</strong> <strong>en</strong><br />

computercriminaliteit heeft. Zijn betrokk<strong>en</strong>heid bij het proces komt bijvoorbeeld<br />

voort uit e<strong>en</strong> netwerk, waarbij hij ingeschakeld wordt voor e<strong>en</strong> ‘klusje’. Als er e<strong>en</strong><br />

stap uitgevoerd moet word<strong>en</strong> weet hij altijd wel e<strong>en</strong> mannetje te vind<strong>en</strong>, maar hij<br />

zoekt die het liefst dichtbij huis. De amateur is e<strong>en</strong> soort van opportunist: e<strong>en</strong> man<br />

van kans<strong>en</strong>, die instapt vanwege het geld dat er te verdi<strong>en</strong><strong>en</strong> valt. Zo beschrev<strong>en</strong><br />

heeft hij weinig van e<strong>en</strong> initiator. Hij staat er toch bij omdat hij zich uit<br />

opportunisme wel als e<strong>en</strong> initiator gedraagt. Onnozele spam‐ <strong>en</strong> phishingaanvall<strong>en</strong><br />

zull<strong>en</strong> het werk kunn<strong>en</strong> zijn van e<strong>en</strong> dergelijke figuur. Ze hebb<strong>en</strong> e<strong>en</strong> klok hor<strong>en</strong><br />

luid<strong>en</strong>, word<strong>en</strong> aangetrokk<strong>en</strong> door verme<strong>en</strong>de hoge opbr<strong>en</strong>gst<strong>en</strong> <strong>en</strong> e<strong>en</strong> ev<strong>en</strong><br />

verme<strong>en</strong>d laag risico. Ze hur<strong>en</strong> broertjes, neefjes <strong>en</strong> kamerad<strong>en</strong> in voor de techniek<br />

<strong>en</strong> gaan vrij snel het web op. Hun voorbereidingstijd is kort, ze vertrouw<strong>en</strong> op de<br />

onoverzichtelijkheid van het web (of ze d<strong>en</strong>k<strong>en</strong> er gewoon niet over na) <strong>en</strong> zijn<br />

gehaast om het allemaal te zi<strong>en</strong> werk<strong>en</strong>. Verhull<strong>en</strong> van id<strong>en</strong>titeit do<strong>en</strong> ze simpel. Ze<br />

mak<strong>en</strong> allerlei fout<strong>en</strong> maar kom<strong>en</strong> er mee weg omdat de schade veelal beperkt<br />

blijft. Wat achterblijft, is de s<strong>en</strong>satie.<br />

2.20.6 De ‘Sponsor’ (produc<strong>en</strong>t phishingproces)<br />

De sponsor is de persoon van wie de boodschap wordt verzond<strong>en</strong> door middel van<br />

de spamaanval (ook wel de spamvertizer g<strong>en</strong>oemd). De sponsor is ook de betaler<br />

voor de aanval. In het geval van phishing zull<strong>en</strong> de sponsor <strong>en</strong> de initiator vaker<br />

dezelfde persoon zijn, omdat spam dan niet e<strong>en</strong> doel op zich is, maar e<strong>en</strong> middel<br />

om m<strong>en</strong>s<strong>en</strong> naar e<strong>en</strong> website te lokk<strong>en</strong> voor bijvoorbeeld het verspreid<strong>en</strong> van<br />

malware. De sponsor zet het hele phishingproces in werking.<br />

Binn<strong>en</strong> de sponsorrol, kan onderscheid gemaakt word<strong>en</strong> tuss<strong>en</strong> amateurs <strong>en</strong><br />

professionals. De amateursponsor bestaat uit kleine bedrijv<strong>en</strong> die e<strong>en</strong> duidelijk<br />

afgebak<strong>en</strong>de doelgroep will<strong>en</strong> b<strong>en</strong>ader<strong>en</strong>. E<strong>en</strong> voorbeeld is e<strong>en</strong> leverancier van<br />

voetbalkleding die van alle voetbalclubs in de omgeving mailadress<strong>en</strong> op het WWW<br />

zoekt <strong>en</strong> die m<strong>en</strong>s<strong>en</strong> of organisaties mailt vanaf zijn eig<strong>en</strong> mailadres of het<br />

mailadres van de zaak. Deze vorm van spam hoeft niet vervel<strong>en</strong>d te zijn,<br />

94


ijvoorbeeld omdat het onderwerp van het bericht aansluit bij de belevingswereld<br />

van de ontvanger. De amateur maakt (door tuss<strong>en</strong>komst van derd<strong>en</strong>) vaak gebruik<br />

van e<strong>en</strong> legitiem webadres <strong>en</strong> zijn eig<strong>en</strong> e‐mail. Spambericht<strong>en</strong> in deze categorie<br />

zijn meestal advert<strong>en</strong>ties.<br />

Professionele sponsor<strong>en</strong> pakk<strong>en</strong> hun spamproces grootser <strong>en</strong> grondiger aan.<br />

Voorbeeld<strong>en</strong> hiervan zijn de spambericht<strong>en</strong> voor medicijn<strong>en</strong> of met pornografische<br />

inhoud. De website of het product waar het bericht naar verwijst, zijn bijna nooit<br />

direct herleidbaar tot de spamsponsor. Om dat zo te houd<strong>en</strong>, mak<strong>en</strong> professionele<br />

sponsor<strong>en</strong> ook gebruik van mailservers in schimmige buit<strong>en</strong>land<strong>en</strong> of van gehackte<br />

mailservers. Zo zijn zij voor de opsporing in land<strong>en</strong> waar spam inmiddels e<strong>en</strong><br />

misdrijf is, zeer moeilijk te vind<strong>en</strong>. Zeker als spam als instrum<strong>en</strong>t wordt gebruikt in<br />

e<strong>en</strong> ander (cyber)crime proces, zal de spamsponsor prober<strong>en</strong> zijn id<strong>en</strong>titeit zoveel<br />

mogelijk te verhull<strong>en</strong>, zowel door de afkomst van de spambericht<strong>en</strong> te versluier<strong>en</strong>,<br />

als door de locatie van de website te masker<strong>en</strong>.<br />

“Betrokk<strong>en</strong>heid als sponsor bij het phishingproces wordt in to<strong>en</strong>em<strong>en</strong>de mate<br />

geïndiceerd door:<br />

bulletproof host<strong>en</strong> van domeinnam<strong>en</strong>;<br />

het korte tijd actief zijn van aangevraagde domeinnam<strong>en</strong> (vermoed<strong>en</strong> van<br />

domain kiting);<br />

domeinnam<strong>en</strong> die onder e<strong>en</strong> nickname naam staan geregistreerd;<br />

het IP‐adres waaronder is geregistreerd <strong>en</strong> dat niet blijkt te klopp<strong>en</strong>;<br />

nam<strong>en</strong> die word<strong>en</strong> gehost door e<strong>en</strong> hoster die vooral ook pill<strong>en</strong>sites, juwel<strong>en</strong>sites<br />

of pornosites beheert.”<br />

Ook de registratie van niet op bestaande instelling<strong>en</strong> gelijk<strong>en</strong>de<br />

vertrouw<strong>en</strong>wekk<strong>en</strong>de nam<strong>en</strong> kan verd<strong>en</strong>king oproep<strong>en</strong>. Zijn het nam<strong>en</strong> die<br />

verwijz<strong>en</strong> naar medicijn<strong>en</strong>, drugs, juwel<strong>en</strong> etc. dan dringt het vermoed<strong>en</strong> van<br />

zelfstandige spam voor deze artikel<strong>en</strong> op. Door de opkomst van targeting in spam,<br />

zijn sites met e<strong>en</strong> .nl domein interessanter geword<strong>en</strong>. Die zijn<br />

vertrouw<strong>en</strong>wekk<strong>en</strong>der dan e<strong>en</strong> .com domein <strong>en</strong> ze bevind<strong>en</strong> zich dichter op e<strong>en</strong><br />

mogelijke doelgroep (met e<strong>en</strong> grotere trefkans als gevolg). Wordt naast de spamelem<strong>en</strong>t<strong>en</strong><br />

ook voldaan aan domain‐kiting <strong>en</strong> command‐communicatie via<br />

chatchannels (ICQ, V<strong>en</strong>trilo, MSN, FistofEurope, etc.) dan lijkt dat te duid<strong>en</strong> op het<br />

naar zich toe hal<strong>en</strong> van gegev<strong>en</strong>s (id<strong>en</strong>titeit<strong>en</strong>).<br />

“Als iemand money transfers doet/ontvangt binn<strong>en</strong> e<strong>en</strong> bepaalde bandbreedte qua<br />

bedrag, <strong>en</strong> van verschill<strong>en</strong>de afz<strong>en</strong>ders in verschill<strong>en</strong>de land<strong>en</strong>, hij/zij chatchannels<br />

beluistert <strong>en</strong> er alle<strong>en</strong> aan deelneemt door het verz<strong>en</strong>d<strong>en</strong> van korte codes<br />

95


(command‐communicatie) dan duidt dat op het activer<strong>en</strong> van e<strong>en</strong> gegev<strong>en</strong>sstroom<br />

via het channel.”<br />

Het product dat de professionele spamsponsor aanbiedt, hangt sam<strong>en</strong> met di<strong>en</strong>s<br />

achtergrond. Person<strong>en</strong> die in de porno‐industrie bezig war<strong>en</strong> voor de vlucht van de<br />

digitale snelweg in de jar<strong>en</strong> neg<strong>en</strong>tig, zoek<strong>en</strong> hun heil nu nog steeds in de porno, zij<br />

het in digitale vorm. Voor deze person<strong>en</strong> is het <strong>internet</strong> e<strong>en</strong> geweldig medium<br />

geword<strong>en</strong> om hun product<strong>en</strong> onder de aandacht te br<strong>en</strong>g<strong>en</strong> <strong>en</strong> te verhandel<strong>en</strong>. Zij<br />

zijn niet zozeer iets anders gaan do<strong>en</strong>, als wel dat hun wijze van distributie <strong>en</strong><br />

‘adverter<strong>en</strong>’ anders is geword<strong>en</strong>. Hetzelfde geldt voor medicijn<strong>en</strong>handelaars <strong>en</strong><br />

verstrekkers van krediet<strong>en</strong> <strong>en</strong> l<strong>en</strong>ing<strong>en</strong>.<br />

“E<strong>en</strong> grote kans om als sponsor betrokk<strong>en</strong> te zijn bij phishing activiteit<strong>en</strong>, maakt<br />

iemand die als <strong>en</strong>trepr<strong>en</strong>eur bek<strong>en</strong>d is vanuit de klassieke pornowereld <strong>en</strong> die<br />

meerdere domeinnam<strong>en</strong> (ti<strong>en</strong>tall<strong>en</strong>) heeft geregistreerd die niet direct pornogerelateerd<br />

zijn; die bov<strong>en</strong>di<strong>en</strong> gelijk<strong>en</strong>is verton<strong>en</strong> met de nam<strong>en</strong> van instelling<strong>en</strong><br />

waarmee ge<strong>en</strong> relatie bestaat, <strong>en</strong> waarvan de suffix van die domeinnam<strong>en</strong> (top<br />

level domein) duidt op e<strong>en</strong> bulletproof hosting vri<strong>en</strong>delijke omgeving (Hongkong:hk,<br />

China: cn, Brazilië: br, Rusland: ru).”<br />

Ook al mak<strong>en</strong> sophisticated phishers ge<strong>en</strong> gebruik meer van look alike<br />

domeinnam<strong>en</strong>, hun historische mutaties in de whois database dater<strong>en</strong>d van<br />

vroegere minder geëvolueerde phishing techniek<strong>en</strong>, kunn<strong>en</strong> nog steeds naar h<strong>en</strong> of<br />

hun aliass<strong>en</strong> verwijz<strong>en</strong>.<br />

“Het registratiepatroon van domeinnam<strong>en</strong> door de jar<strong>en</strong> he<strong>en</strong>, is e<strong>en</strong> graadmeter<br />

voor de ontwikkeling van klassieke naar meer sophisticated phishing.”<br />

2.20.7 De ‘Spammer’ (regisseur phishingproces)<br />

Het begrip spammer is ontle<strong>en</strong>d aan de klassieke vorm van phishing. Maar ook in<br />

moderne op malware gebaseerde phishingvariant<strong>en</strong> komt de spammer nog steeds<br />

voor. In dat geval bijvoorbeeld om m<strong>en</strong>s<strong>en</strong> naar e<strong>en</strong> malware verspreid<strong>en</strong>de site te<br />

lokk<strong>en</strong>.<br />

De spammer is dieg<strong>en</strong>e die de lok e‐mail naar pot<strong>en</strong>tiële slachtoffers stuurt. In<br />

sommige gevall<strong>en</strong> is dit ook deg<strong>en</strong>e die de e‐mail opstelt. Beide roll<strong>en</strong> kunn<strong>en</strong><br />

vervuld word<strong>en</strong> door de phisher zelf. Als hij niet de beschikking heeft over e<strong>en</strong><br />

massmailing programma, kan hij dit aanschaff<strong>en</strong> via e<strong>en</strong> scriptkiddy. Deze rol kan<br />

96


ook vervuld word<strong>en</strong> door e<strong>en</strong> marketingbureau. E<strong>en</strong> klein beginn<strong>en</strong>d bureau dat<br />

heel veel verschill<strong>en</strong>de di<strong>en</strong>st<strong>en</strong> aanbiedt maakt meer kans betrokk<strong>en</strong> te rak<strong>en</strong> bij<br />

spam. Door de hoeveelheid aan activiteit<strong>en</strong> <strong>en</strong> klant<strong>en</strong> is e<strong>en</strong> dergelijk bureau<br />

mogelijk minder transparant. In e<strong>en</strong> meer amateuristische omgeving kan de<br />

spammer e<strong>en</strong> scriptkiddy zijn, die met op fora verkrijgbare software spambericht<strong>en</strong><br />

verstuurt.<br />

“Op basis van de ontwikkeling die de porno‐industrie onder invloed van <strong>internet</strong><br />

heeft doorgemaakt of sterker nog, de bijdrage van de porno‐industrie aan de<br />

ontwikkeling van het <strong>internet</strong>, wordt bredere betrokk<strong>en</strong>heid van porno<strong>en</strong>trepr<strong>en</strong>eurs<br />

in cybercrime vermoed.”<br />

Met het in zwang rak<strong>en</strong> van het <strong>internet</strong>, zag<strong>en</strong> veel marketeers de kans<strong>en</strong> van dit<br />

medium. Internet marketing bedrijv<strong>en</strong> <strong>en</strong> initiatiev<strong>en</strong> schot<strong>en</strong> als paddestoel<strong>en</strong> uit<br />

de grond. Deze bedrijv<strong>en</strong> ontplooid<strong>en</strong> zeer diverse activiteit<strong>en</strong>, variër<strong>en</strong>d van het<br />

ontwerp<strong>en</strong> van websites <strong>en</strong> reclamebanners, tot gedeg<strong>en</strong> marktonderzoek <strong>en</strong> het<br />

uitzett<strong>en</strong> van massmailing campagnes. Net als de porno‐<strong>en</strong>trepr<strong>en</strong>eur is de<br />

marketing wereld goed op de hoogte van technologische ontwkkeling<strong>en</strong> met<br />

betrekking tot het <strong>internet</strong>. Daarnaast hebb<strong>en</strong> ze verstand van targeting, het<br />

aanbied<strong>en</strong> van product<strong>en</strong> aan bepaalde doelgroep<strong>en</strong>, <strong>en</strong> ervaring met het vind<strong>en</strong><br />

<strong>en</strong> gebruik<strong>en</strong> van contactgegev<strong>en</strong>s.<br />

“E<strong>en</strong> grote kans om te zijn betrokk<strong>en</strong> bij phishing of spam mak<strong>en</strong> Nederlandse<br />

<strong>internet</strong> marketeers of direct mailers die e<strong>en</strong> breed pakket aan legale di<strong>en</strong>st<strong>en</strong><br />

aanbied<strong>en</strong>, waaronder affiliate‐activiteit<strong>en</strong> 23 , <strong>en</strong> die e<strong>en</strong> kleine bestaffing k<strong>en</strong>n<strong>en</strong>,<br />

<strong>en</strong> meerdere naamwijziging<strong>en</strong>, <strong>en</strong>/of meerdere verhuizing<strong>en</strong>, <strong>en</strong>/of<br />

statut<strong>en</strong>wijziging vlak voor verkoop, <strong>en</strong>/of eerder faillissem<strong>en</strong>t, <strong>en</strong> plotselinge<br />

winstverandering in het rec<strong>en</strong>te verled<strong>en</strong> (van laag naar hoog), <strong>en</strong> grote<br />

bandbreedte afnem<strong>en</strong> aan <strong>internet</strong>capaciteit, <strong>en</strong>/of grote adress<strong>en</strong>bestand<strong>en</strong> onder<br />

hun beheer hebb<strong>en</strong>, <strong>en</strong>/of grote hoeveelhed<strong>en</strong> uitgaand mailverkeer k<strong>en</strong>n<strong>en</strong>.”<br />

Binn<strong>en</strong> de <strong>internet</strong>marketing wereld is er nu e<strong>en</strong> tweespalt aan het ontstaan.<br />

Enerzijds zijn er de grote marketeers die niet slechts op <strong>internet</strong>marketing<br />

focuss<strong>en</strong>, maar die voor klant<strong>en</strong> e<strong>en</strong> totale marketingcampagne uitroll<strong>en</strong>. Dit zijn<br />

23 Affiliate activiteit<strong>en</strong> staan voor e<strong>en</strong> vorm van e‐commerce (in casus online marketing) waarbij de<br />

webwinkel (adverteerder of merchant) de affiliate (uitgever/webmaster) betaalt voor elke bezoeker of<br />

‘lead of sale’ die is aangebracht via zijn/haar website(s) of zoekmachine campagne<br />

(www.csulb.edu/web/journals/jecr/issues/20014/paper4.pdf).<br />

97


de grote viss<strong>en</strong> in de vijver. Deze bedrijv<strong>en</strong> hebb<strong>en</strong> e<strong>en</strong> leid<strong>en</strong>de positie in de<br />

markt. Daarna komt e<strong>en</strong> grote groep van middelgrote tot kleine marketeers. Vooral<br />

de bedrijv<strong>en</strong> die zich puur op <strong>internet</strong>marketing richt<strong>en</strong> <strong>en</strong> in het onderste segm<strong>en</strong>t<br />

van de markt operer<strong>en</strong> zijn gevoelig voor grijze of zwarte marketingpraktijk<strong>en</strong> zoals<br />

spamming. Deze bedrijv<strong>en</strong> hebb<strong>en</strong> vaak e<strong>en</strong> beperkt aantal werknemers, minder<br />

dan vijf, <strong>en</strong> do<strong>en</strong> vooral aan website ontwerp <strong>en</strong> direct mail, alhoewel ze e<strong>en</strong> breed<br />

di<strong>en</strong>st<strong>en</strong>pakket beheers<strong>en</strong>. Deze bedrijv<strong>en</strong> zull<strong>en</strong> door de concurr<strong>en</strong>tie onder druk<br />

staan. Het verspreid<strong>en</strong> van e<strong>en</strong> groot aantal massmailings teg<strong>en</strong> e<strong>en</strong> dikke<br />

vergoeding zonder moeilijke vrag<strong>en</strong> te stell<strong>en</strong> zal bij e<strong>en</strong> deel van deze bedrijv<strong>en</strong><br />

zeker mogelijk zijn. Voor phishing zull<strong>en</strong> deze bedrijv<strong>en</strong> niet vaak ingezet word<strong>en</strong>.<br />

<strong>Phishing</strong> is e<strong>en</strong> duidelijker misdrijf dan spamming, omdat daarbij de schade<br />

zichtbaar is. Ook is de strafmaat voor phishing hoger.<br />

Van deze kleine marketingbedrijv<strong>en</strong> zal het gedrag in zekere zin atypisch zijn.<br />

Aangezi<strong>en</strong> spamming ge<strong>en</strong> alledaagse bezigheid di<strong>en</strong>t te zijn van e<strong>en</strong> dergelijk<br />

bedrijf, zal de betaling ook niet alledaags verlop<strong>en</strong>. Deze atypische betaling<strong>en</strong> zijn<br />

e<strong>en</strong> indicatie voor spam gedrag. Bov<strong>en</strong>di<strong>en</strong> zull<strong>en</strong> deze extra activiteit<strong>en</strong> toch op de<br />

afrek<strong>en</strong>ing moet<strong>en</strong> verschijn<strong>en</strong>. Dit kan zichtbaar zijn in de hoogte van bepaalde<br />

post<strong>en</strong> zoals het bedrijfsresultaat. Ook de bedrijfsvoering kan e<strong>en</strong> aanwijzing zijn.<br />

Zijn er medewerkers die al anteced<strong>en</strong>t<strong>en</strong> op het gebied van <strong>fraud</strong>e hebb<strong>en</strong>? Kom<strong>en</strong><br />

medewerkers op fora die bek<strong>en</strong>d zijn vanwege hun ondergrondse<br />

<strong>internet</strong>activiteit<strong>en</strong>? Verhuist het bedrijf veel of verandert het veel van naam? E<strong>en</strong><br />

combinatie van deze factor<strong>en</strong> is al e<strong>en</strong> indicatie dat er iets met het bedrijf aan de<br />

hand is. Als daar dan nog operationeel opvall<strong>en</strong>de factor<strong>en</strong> bij kom<strong>en</strong> zoals hoog<br />

niveau gebruikte bandbreedte, veel domeinregistraties per tijdse<strong>en</strong>heid <strong>en</strong><br />

adresbestand<strong>en</strong> die overe<strong>en</strong>kom<strong>en</strong> met spamruns, dan wordt de verd<strong>en</strong>king van<br />

het misdrijf spam sterker.<br />

Uit <strong>en</strong>kele van de Opta‐dossiers komt de gevoeligheid van affiliates naar vor<strong>en</strong> voor<br />

illegale activiteit<strong>en</strong>. Op het <strong>internet</strong> circuler<strong>en</strong> daarvan vele voorbeeld<strong>en</strong><br />

(cookiestealing, banner replacem<strong>en</strong>t, pop ups). De verwachting is dat voor met<br />

name moeilijker draai<strong>en</strong>de bedrijv<strong>en</strong> de stap van legaal naar illegaal e<strong>en</strong> kleine is.<br />

Variër<strong>en</strong>d van de verkoop van adress<strong>en</strong> tot <strong>en</strong> met het in opdracht van de sponsor<br />

volledig uitvoer<strong>en</strong> van de processtap 9. Misdrijv<strong>en</strong> gepleegd door de geleg<strong>en</strong>heid<br />

die tijd<strong>en</strong>s de wettige beroepsuitoef<strong>en</strong>ing wordt gebod<strong>en</strong>, noemt m<strong>en</strong><br />

‘occupational crime’ (Fagan & Freeman, 1999). De reguliere bedrijfsuitoef<strong>en</strong>ing<br />

wordt in dat geval e<strong>en</strong> geleg<strong>en</strong>heidsstructuur voor het beoef<strong>en</strong><strong>en</strong> van criminaliteit.<br />

Naar analogie van wat de Monitor Georganiseerde Criminaliteit van het <strong>WODC</strong><br />

(<strong>WODC</strong>, 2007) aantrof binn<strong>en</strong> <strong>en</strong>kele van de 120 onderzochte recherchedossiers<br />

aangaande georganiseerde misdaad, word<strong>en</strong> de volg<strong>en</strong>de<br />

98


geleg<strong>en</strong>heidsveronderstelling<strong>en</strong> gedaan:<br />

er zijn beroepsbeoef<strong>en</strong>aars die vanuit de legale marketing di<strong>en</strong>stverl<strong>en</strong>ing<br />

overstapp<strong>en</strong> naar illegale;<br />

er zijn m<strong>en</strong>s<strong>en</strong> die legaal voor hun klant<strong>en</strong> werk<strong>en</strong> <strong>en</strong> die op <strong>en</strong>ig mom<strong>en</strong>t door<br />

die klant<strong>en</strong> word<strong>en</strong> gevraagd om ook illegale activiteit<strong>en</strong> te ondernem<strong>en</strong>, <strong>en</strong><br />

die daarin toestemm<strong>en</strong> (al was het maar om de klant niet kwijt te rak<strong>en</strong>);<br />

er zijn m<strong>en</strong>s<strong>en</strong> die legaal voor klant<strong>en</strong> werk<strong>en</strong> <strong>en</strong> de gegev<strong>en</strong>s die ze in die<br />

hoedanigheid onder zich hebb<strong>en</strong> gebruik<strong>en</strong> voor illegale doeleind<strong>en</strong> zonder dat<br />

de klant daarvan op de hoogte is.<br />

Vooral organisaties met e<strong>en</strong> geringe interne controle (e<strong>en</strong>hoofdige directie, kleine<br />

omvang etc.) mak<strong>en</strong> kans om te bezwijk<strong>en</strong> voor de geleg<strong>en</strong>heid. Zij kunn<strong>en</strong> zich<br />

relatief onopgemerkt bedi<strong>en</strong><strong>en</strong> van illegale activiteit<strong>en</strong>. Hoe groter de organisatie,<br />

hoe groter de kans op ooggetuig<strong>en</strong> die uit de school klapp<strong>en</strong>.<br />

In de aangehaalde <strong>WODC</strong> monitor was opvall<strong>en</strong>d dat bepaalde vorm<strong>en</strong> van<br />

geleg<strong>en</strong>heidscriminaliteit e<strong>en</strong> patroon k<strong>en</strong>d<strong>en</strong> qua plaats<strong>en</strong>, id<strong>en</strong>tieke<br />

omstandighed<strong>en</strong> <strong>en</strong> dezelfde knooppunt<strong>en</strong> van informeel bankier<strong>en</strong>. E<strong>en</strong><br />

verschijnsel dat lijkt te duid<strong>en</strong> op dezelfde dadergroep<strong>en</strong> of wissel<strong>en</strong>de <strong>en</strong><br />

rouler<strong>en</strong>de daders die zich bedi<strong>en</strong><strong>en</strong> van dezelfde praktijk<strong>en</strong>.<br />

Het is de vraag of de overige door het <strong>WODC</strong> gesignaleerde principes van<br />

georganiseerde criminaliteit ook opgaan voor bijvoorbeeld o.a. phishing. Het<br />

belang van sociale relaties kan door het gebruik van <strong>internet</strong> wel e<strong>en</strong>s wegvall<strong>en</strong> of<br />

zijn weggevall<strong>en</strong>. De sociale geleg<strong>en</strong>heidsstructuur 24 die bepaalt wie op welk<br />

mom<strong>en</strong>t toegang kan krijg<strong>en</strong> tot winstgev<strong>en</strong>de criminele activiteit<strong>en</strong> 25 ziet er in het<br />

geval van cybercrime wellicht heel anders uit. Waar vanwege grote financiële<br />

risico’s vroeger vooral vertrouw<strong>en</strong> van groot belang was, zijn deze risico’s in het<br />

geval van phishing vele mal<strong>en</strong> kleiner. De logistieke problem<strong>en</strong> rondom phishing<br />

zijn ook kleiner dan in relatie tot de georganiseerde misdaad rond m<strong>en</strong>s<strong>en</strong>handel of<br />

drugshandel. Daardoor heeft m<strong>en</strong> in het algeme<strong>en</strong> minder mededaders nodig om<br />

het delict succesvol uit te kunn<strong>en</strong> voer<strong>en</strong>. Dankzij deze voordel<strong>en</strong> in relatie tot de<br />

relatief lage pakkans <strong>en</strong> de grote opbr<strong>en</strong>gst<strong>en</strong>, is op basis van omkering van de<br />

door het <strong>WODC</strong> gesignaleerde principes, de kans aannemelijk dat de<br />

georganiseerde misdaad ook achter phishing activiteit<strong>en</strong> zit.<br />

24 Sociale relaties die toegang gev<strong>en</strong> tot winstgev<strong>en</strong>de criminele mogelijkhed<strong>en</strong>. E<strong>en</strong> combinatie van de<br />

b<strong>en</strong>adering uit de geleg<strong>en</strong>heidstheorie (Clarke & Felson, 1993) met de sociale netwerktheorie.<br />

25 In hun rapport pres<strong>en</strong>ter<strong>en</strong> de onderzoekers bevinding<strong>en</strong> van e<strong>en</strong> deelonderzoek in het kader van de<br />

Monitor Georganiseerde Criminaliteit onder 979 verdacht<strong>en</strong> van betrokk<strong>en</strong>heid bij 79<br />

opsporingsonderzoek<strong>en</strong> ingeschrev<strong>en</strong> bij het OM in de periode 1995‐1999.<br />

99


2.21 ‘The Employees’<br />

Onder de noemer employees zijn de roll<strong>en</strong> bij elkaar gebracht die voor de initiator<br />

de uitvoer<strong>en</strong>de activiteit<strong>en</strong> van het spam‐/phishingproces voor hun rek<strong>en</strong>ing<br />

nem<strong>en</strong> <strong>en</strong> die zich daar ook terdege van bewust zijn. Omdat het roll<strong>en</strong> betreft,<br />

kunn<strong>en</strong> deze ook sam<strong>en</strong>vall<strong>en</strong> met het zijn van initiator. De instroom van<br />

employees in de wereld van spam/phishing loopt deels parallel met die van de<br />

initiators.<br />

2.21.1 De ‘Webdesigner’<br />

Om e<strong>en</strong> spoof website te ontwerp<strong>en</strong>, heeft de phisher e<strong>en</strong> ontwerper nodig. Dit<br />

moet zeker iemand zijn met de nodige ervaring, omdat de website exact gelijk<strong>en</strong>d<br />

moet zijn aan het origineel. Bov<strong>en</strong>di<strong>en</strong> moet<strong>en</strong> ev<strong>en</strong>tuele links uitkom<strong>en</strong> bij de<br />

juiste verwijzing<strong>en</strong> op de officiële pagina van de instelling die het doelwit is van de<br />

phishing aanval. Als de phisher zelf erg bedrev<strong>en</strong> is in het ontwikkel<strong>en</strong> van<br />

websites, kan hij deze rol vervull<strong>en</strong>. Zo niet, dan moet hij iemand werv<strong>en</strong> die dit<br />

voor hem doet. Op fora <strong>en</strong> nieuwsgroep<strong>en</strong> kan het e<strong>en</strong>voudig zijn hier iemand voor<br />

te vind<strong>en</strong>. Aangezi<strong>en</strong> het hier vooral draait om aanzi<strong>en</strong> <strong>en</strong> het lat<strong>en</strong> zi<strong>en</strong> van de<br />

hoogstandjes waartoe m<strong>en</strong> in staat is, is het uitdag<strong>en</strong> van e<strong>en</strong> naïeve bezoeker om<br />

e<strong>en</strong> exacte kopie te mak<strong>en</strong> van e<strong>en</strong> website niet heel moeilijk, zeker niet als er e<strong>en</strong><br />

vergoeding teg<strong>en</strong>over staat. Voor de initiators die dit zelf niet will<strong>en</strong> of kunn<strong>en</strong>,<br />

geldt dat zij ieder contact met <strong>en</strong>ige computeraffiniteit kunn<strong>en</strong> vrag<strong>en</strong> voor dit<br />

f<strong>en</strong>ome<strong>en</strong>. In de regel zull<strong>en</strong> dit scriptkiddies zijn.<br />

2.21.2 De ‘Scriptkiddy’<br />

De naam kiddy slaat in dit geval echt op de leeftijd. Als ‘employee’, is e<strong>en</strong> kiddy<br />

voor de phisher e<strong>en</strong> makkelijke k<strong>en</strong>nisbron voor het verkrijg<strong>en</strong> van di<strong>en</strong>st<strong>en</strong> <strong>en</strong><br />

programmatuur in het phishingproces. E<strong>en</strong> scriptkiddy is te karakteriser<strong>en</strong> als e<strong>en</strong><br />

(jonger) persoon die op zoek is naar e<strong>en</strong> beetje avontuur. Ze hebb<strong>en</strong> zeker<br />

vaardigheid <strong>en</strong> k<strong>en</strong>nis met betrekking tot IT, maar zijn niet zo goed of origineel dat<br />

ze voor doorgewinterde hacker kunn<strong>en</strong> doorgaan. Om aanzi<strong>en</strong> <strong>en</strong> status ter<br />

verwerv<strong>en</strong>, gaan ze aan de slag met alle voorhand<strong>en</strong> zijnde malware. Hiermee<br />

creër<strong>en</strong> ze viruss<strong>en</strong> (het I‐love‐you virus was e<strong>en</strong> e<strong>en</strong>voudig geg<strong>en</strong>ereerd virus van<br />

e<strong>en</strong> scriptkiddy), bouw<strong>en</strong> massmail programmatuur <strong>en</strong> dergelijke. De basis voor<br />

dergelijke programmatuur is op het <strong>internet</strong> te vind<strong>en</strong> in nieuwsgroep<strong>en</strong>, op fora<br />

<strong>en</strong> via chatbox<strong>en</strong>. Omdat scriptkiddies niet origineel g<strong>en</strong>oeg zijn, blijft de schade<br />

100


door hun bijdrage aan aanvall<strong>en</strong> beperkt. Er zijn veel scriptkiddies, waardoor de<br />

kans dat ze toch iets gevaarlijks ontwikkel<strong>en</strong> aanwezig blijft. Vaak gaat het om e<strong>en</strong><br />

<strong>en</strong>kele aanpassing die e<strong>en</strong> sam<strong>en</strong>loop van reacties teweeg br<strong>en</strong>gt die de grootste<br />

schade veroorzaakt. E<strong>en</strong> van de succesfactor<strong>en</strong> van het I‐love‐you virus was<br />

bijvoorbeeld dat het inspeelde op de emotie van de ontvanger. Voor de phisher kan<br />

de scriptkiddy van pas kom<strong>en</strong> bij het ondersteun<strong>en</strong> van het hack<strong>en</strong> van servers, het<br />

harvest<strong>en</strong> of aanlever<strong>en</strong> van e‐mailadress<strong>en</strong> <strong>en</strong> het lever<strong>en</strong> van sidescripts<br />

waarmee gegev<strong>en</strong>s uiteindelijk afgetapt kunn<strong>en</strong> word<strong>en</strong>.<br />

“Zi<strong>en</strong> we de scripkiddy als deg<strong>en</strong>e die hand <strong>en</strong> spandi<strong>en</strong>st<strong>en</strong> voor de spammer<br />

verricht op e<strong>en</strong> niet al te hoog gespecialiseerd ontwerpniveau, dan zou deze kunn<strong>en</strong><br />

voldo<strong>en</strong> aan de volg<strong>en</strong>de gedragsk<strong>en</strong>merk<strong>en</strong>:<br />

bezoekt fora waar k<strong>en</strong>nis is te vind<strong>en</strong> over spamm<strong>en</strong>, phish<strong>en</strong> <strong>en</strong> afscherming,<br />

<strong>en</strong><br />

download gratis harvesting <strong>en</strong> phishing tools (DIY‐kit), <strong>en</strong>/of<br />

checkt gestol<strong>en</strong> creditcardgegev<strong>en</strong>s, <strong>en</strong>/of<br />

ontvangt kleine betaling<strong>en</strong> van sponsor, <strong>en</strong>/of<br />

actief gamer, <strong>en</strong>/of<br />

ICT’er (in opleiding of afgestudeerd).”<br />

Het is al bek<strong>en</strong>d dat het spam <strong>en</strong> phishingproces steeds minder als integrale<br />

bezigheid wordt gepraktiseerd. Activiteit<strong>en</strong> als harvest<strong>en</strong> zijn business op zich<br />

geword<strong>en</strong>. Deze versnippering van activiteit<strong>en</strong> kan betek<strong>en</strong><strong>en</strong> dat de phisher zich<br />

alle<strong>en</strong> nog maar bezig gaat houd<strong>en</strong> met het ophal<strong>en</strong> van de gewonn<strong>en</strong> gegev<strong>en</strong>s <strong>en</strong><br />

het omzett<strong>en</strong> hiervan in opbr<strong>en</strong>gst<strong>en</strong>. Het wordt dan zeer aannemelijk dat hij voor<br />

kleine kluss<strong>en</strong>, communicatie tuss<strong>en</strong> partners <strong>en</strong> dergelijke, e<strong>en</strong> handige jong<strong>en</strong><br />

nodig heeft. Scriptkiddy’s l<strong>en</strong><strong>en</strong> zich hier uitstek<strong>en</strong>d voor. Zij hebb<strong>en</strong> voldo<strong>en</strong>de<br />

k<strong>en</strong>nis om simpele stapp<strong>en</strong> in het proces uit te voer<strong>en</strong>, zijn goedkoop <strong>en</strong> in<br />

overvloed aanwezig.<br />

In e<strong>en</strong> tweetal Opta dossiers <strong>en</strong> in e<strong>en</strong> KLPD dossier kom<strong>en</strong> hand‐ <strong>en</strong> spandi<strong>en</strong>st<strong>en</strong><br />

voor die pass<strong>en</strong> onder de noemer scriptkiddy. De sponsor heeft iemand nodig die<br />

wat handige ding<strong>en</strong> voor hem doet <strong>en</strong> die hij bov<strong>en</strong>di<strong>en</strong> kan vertrouw<strong>en</strong>. In het<br />

KLPD‐dossier komt de relatie naar vor<strong>en</strong> met gaming. Netwerk<strong>en</strong> met andere<br />

gamers word<strong>en</strong> onderhoud<strong>en</strong> <strong>en</strong> m<strong>en</strong> wisselt k<strong>en</strong>nis uit.<br />

Met als input e<strong>en</strong> aantal fora <strong>en</strong> bek<strong>en</strong>de sites waar DIY‐kits kunn<strong>en</strong> word<strong>en</strong><br />

gekocht, kan op surfgedrag (ISP’s) <strong>en</strong> met name download‐gedrag (ISP’s) van<br />

scriptkiddies word<strong>en</strong> gemonitord. Het download<strong>en</strong> van phishing‐kits is de meest<br />

directe herleiding tot dat delict. Het check<strong>en</strong> van gestol<strong>en</strong> creditcardgegev<strong>en</strong>s op<br />

101


geldigheid (af te leid<strong>en</strong> uit logfiles) is op zichzelf al e<strong>en</strong> verdachte activiteit die<br />

overig<strong>en</strong>s niet alle<strong>en</strong> voor phishing opgaat. Grote kans dat de scripkiddy op gaming<br />

fora is te vind<strong>en</strong> onder zijn avatar‐naam.<br />

Ook kunn<strong>en</strong> via universiteit<strong>en</strong> of hogeschol<strong>en</strong> groep<strong>en</strong> ‘gesjeesde’ IT‐stud<strong>en</strong>t<strong>en</strong><br />

word<strong>en</strong> geïd<strong>en</strong>tificeerd. Met behulp van e<strong>en</strong> check op money transfers of<br />

betalingsgedrag kan verdacht handelsgedrag bekek<strong>en</strong> word<strong>en</strong>. Als aan beide<br />

voorwaard<strong>en</strong> wordt voldaan, is aannemelijk dat de stud<strong>en</strong>t zich bezig houdt met<br />

grijs <strong>internet</strong>gedrag.<br />

De sriptkiddy is op zichzelf ge<strong>en</strong> gevaarlijk individu. Zijn betrokk<strong>en</strong>heid bij het spam<br />

of phishingproces is slechts zijdelings. Valt e<strong>en</strong> scriptkiddy uit, dan ondervindt het<br />

proces ge<strong>en</strong> schade. Daarom kan via de scripkiddy beter gezocht word<strong>en</strong> naar het<br />

brein achter de aanval. Via hem zijn wellicht bots b<strong>en</strong>aderbaar of kan uitgevond<strong>en</strong><br />

word<strong>en</strong> waar de spoof website gehost wordt of welke instelling aangevall<strong>en</strong> gaat<br />

word<strong>en</strong>. Hierop zijn dan verdere interv<strong>en</strong>ties mogelijk, zoals prev<strong>en</strong>tief informer<strong>en</strong><br />

van mogelijke slachtoffers of het voortijdig verwijder<strong>en</strong> van de spoof website.<br />

2.21.3 De ‘Scout’<br />

Bij professionele phishing activiteit<strong>en</strong> word<strong>en</strong> de targets niet beperkt tot e<strong>en</strong><br />

specifiek land. Vaak gedrev<strong>en</strong> vanuit e<strong>en</strong> technologische b<strong>en</strong>adering die op e<strong>en</strong><br />

specifiek systeemplatform gericht is, wordt onderzocht welke bank<strong>en</strong>, webshops<br />

<strong>en</strong>/of andere mogelijke <strong>internet</strong>doelwitt<strong>en</strong> in de verschill<strong>en</strong>d<strong>en</strong> land<strong>en</strong> aanwezig<br />

zijn. Om aan deze onderzoeksbehoefte inhoud te gev<strong>en</strong>, is er behoefte aan e<strong>en</strong> rol<br />

als scout/verk<strong>en</strong>ner in e<strong>en</strong> specifieke markt. De person<strong>en</strong> die deze rol vervull<strong>en</strong><br />

di<strong>en</strong><strong>en</strong> e<strong>en</strong> goed overzicht te hebb<strong>en</strong> van de system<strong>en</strong> die de mogelijke targets in<br />

de markt gebruik<strong>en</strong>, de mate van beveiliging <strong>en</strong> de wijze van handhaving <strong>en</strong><br />

opsporing.<br />

“Succesvolle scouts k<strong>en</strong>merk<strong>en</strong> zich door e<strong>en</strong> actueel <strong>en</strong> hoogwaardig k<strong>en</strong>nisniveau<br />

van de technische infrastructuur van partij<strong>en</strong> in e<strong>en</strong> markt, die zij opgedaan hebb<strong>en</strong><br />

in huidige of historische relaties als medewerker of adviseur van de desbetreff<strong>en</strong>de<br />

partij<strong>en</strong>.”<br />

2.21.4 De ‘Translator’<br />

Wanneer sprake is van traditionele phishing, zal bij e<strong>en</strong> internationale verz<strong>en</strong>ding<br />

van de e‐mail, behoefte zijn aan vertaalcapaciteit. In het verled<strong>en</strong> werd dit bij met<br />

name de amateuristische aanvall<strong>en</strong> opgelost door gebruik te mak<strong>en</strong> van<br />

automatische vertaalprogramma’s <strong>en</strong>/of knullige vertaling<strong>en</strong> door anderstalig<strong>en</strong>.<br />

102


Bij <strong>en</strong>kele professionele aanvall<strong>en</strong> zijn b<strong>en</strong>adering<strong>en</strong> gebruikt waarbij e<strong>en</strong> eerste<br />

knullig mailtje (daags erna) werd opgevolgd door e<strong>en</strong> zeer vakkundig opgesteld<br />

mailtje met de uitnodiging om e<strong>en</strong> ‘patch’ voor het zog<strong>en</strong>aamde beveiligingslek te<br />

installer<strong>en</strong>. Voor e<strong>en</strong> dergelijke b<strong>en</strong>adering is niet alle<strong>en</strong> e<strong>en</strong> vakkundige vertaling<br />

nodig maar ook e<strong>en</strong> cultuur‐invoel<strong>en</strong>d vermog<strong>en</strong> om consum<strong>en</strong>t<strong>en</strong> letterlijk te<br />

verleid<strong>en</strong> om in te gaan op de uitnodiging. Voor het vervull<strong>en</strong> van de rol van<br />

translator op het professionele niveau, is de inzet noodzakelijk van gekwalificeerde<br />

medewerkers die goed ingevoerd zijn in de desbetreff<strong>en</strong>de markt <strong>en</strong> het land.<br />

“Professionele vertalers die zich in lat<strong>en</strong> hur<strong>en</strong> voor de marktspecifieke uitrol van<br />

traditionele phishing aanvall<strong>en</strong> zijn te vind<strong>en</strong> in dezelfde omgeving als waar<br />

‘reguliere’ criminele organisaties hun zakelijke di<strong>en</strong>stverl<strong>en</strong>ing betrekk<strong>en</strong>.”<br />

2.21.5 De ‘Toolsupplier’<br />

‘Toolsupplier’ is e<strong>en</strong> verzamelnaam voor leveranciers van softwaretools die als<br />

onderdeel van de MO gebruikt kunn<strong>en</strong> word<strong>en</strong>. Op het WWW zijn diverse<br />

leveranciers te vind<strong>en</strong> die volledige doe‐het‐zelf phishing pakkett<strong>en</strong> lever<strong>en</strong>. Teg<strong>en</strong><br />

e<strong>en</strong> goede prijs lijkt alles te koop 26 . Niet alle<strong>en</strong> doe‐het‐zelf phishing pakkett<strong>en</strong>,<br />

maar ook virusontwikkelaars, massmail‐programma’s <strong>en</strong> dergelijke. Op vele<br />

plekk<strong>en</strong> op het WWW is malware teg<strong>en</strong> e<strong>en</strong> winkelprijs verkrijgbaar 27 . T<strong>en</strong> behoeve<br />

van succesvolle malware distributie is de laatste tijd zelfs e<strong>en</strong> speciale tak van<br />

leveranciers van packers opgezet die met e<strong>en</strong> grote regelmaat nieuwe compressieoplossing<strong>en</strong><br />

aanbied<strong>en</strong> waardoor malware onzichtbaar blijft voor antivirussoftware.<br />

“Niet zeld<strong>en</strong> bevat DIY‐malware e<strong>en</strong> ingebakk<strong>en</strong> stuk malware dat ervoor zorgt dat<br />

gestol<strong>en</strong> cred<strong>en</strong>tials niet alle<strong>en</strong> bij de specifieke gebruiker ervan terecht komt, maar<br />

ook bij de originele maker. Vanuit deze invalshoek kan technische analyse van de<br />

DIY‐malware kits aanknopingspunt<strong>en</strong> oplever<strong>en</strong> voor opsporing van daadwerkelijke<br />

daders.”<br />

Er zijn vele tool suppliers <strong>en</strong> we hebb<strong>en</strong> ge<strong>en</strong> idee in hoeverre die e<strong>en</strong> Nederlandse<br />

oorsprong k<strong>en</strong>n<strong>en</strong>. Uit de dossiers blijkt daarvan niets. Overig<strong>en</strong>s wordt daar ook<br />

ge<strong>en</strong> onderzoek naar gedaan. De aanbieders van DIY‐kits op het gebied van<br />

26 www.blogs.zdnet.com/security/?p=1104&tag=btxcsim, laatst geraadpleegd op 5 juni 2008.<br />

27 www.security.nl/article/18941/1/Bouw_je_eig<strong>en</strong>_%22kinderlokker‐webcam‐Trojan%22.html, laatst<br />

geraadpleegd op 26 juni 2008.<br />

103


phishing kunn<strong>en</strong> desondanks toch interessant zijn om e<strong>en</strong> vinger achter het<br />

f<strong>en</strong>ome<strong>en</strong> te krijg<strong>en</strong>. Zo zal de kit‐developer meelift<strong>en</strong> op de gebruiker van de kit<br />

<strong>en</strong> gegev<strong>en</strong>s van gestol<strong>en</strong> id<strong>en</strong>titeit naar zichzelf toe will<strong>en</strong> hal<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> zitt<strong>en</strong><br />

in de kits al bepaalde financiële instelling<strong>en</strong> voorgestructureerd waarvan het<br />

interessant is om te kijk<strong>en</strong> in hoeverre die in Nederland zijn gevestigd.<br />

De relatie met Nederland lijkt zich te beperk<strong>en</strong> tot afnemers van de kits die zich in<br />

Nederland bevind<strong>en</strong>. Het download‐verkeer van deze sites is interessant om te<br />

monitor<strong>en</strong>.<br />

Interessant kan zijn om te bepal<strong>en</strong> wat de impact van de DIY‐kits is. Zeker kits die<br />

spoof websites meelever<strong>en</strong> zijn aantrekkelijk voor e<strong>en</strong> dergelijke analyse. Uit e<strong>en</strong><br />

scan op website karakteristiek<strong>en</strong> kan bekek<strong>en</strong> word<strong>en</strong> in hoeverre spoof websites<br />

op elkaar lijk<strong>en</strong> <strong>en</strong> of ze e<strong>en</strong>malig gebrukt word<strong>en</strong>, evoluer<strong>en</strong> of simpelweg steeds<br />

gekopieerd word<strong>en</strong>. Aan de hand van de websites die in e<strong>en</strong> DIY‐kit zitt<strong>en</strong>, kan<br />

bekek<strong>en</strong> word<strong>en</strong> of e<strong>en</strong> phisher e<strong>en</strong> dergelijke kit heeft gebruikt. Blijkt dat phishers<br />

dit niet do<strong>en</strong>, dan kan de hele toolsupplier hypothese op de schop. Blijkt dat<br />

phishers alle<strong>en</strong> maar kits gebruik<strong>en</strong>, dan kan hier meer onderzoek naar gedaan<br />

word<strong>en</strong>.<br />

2.21.6 De ‘Moneymule’<br />

Bij phishingaanvall<strong>en</strong> gericht op bancaire instelling<strong>en</strong> bestaat het verzilver<strong>en</strong> van de<br />

verkreg<strong>en</strong> cred<strong>en</strong>tials er in principe uit om vanaf de desbetreff<strong>en</strong>de bankrek<strong>en</strong>ing<br />

geld over te mak<strong>en</strong> naar e<strong>en</strong> rek<strong>en</strong>ing met de dader direct of indirect als<br />

begunstigde. Doordat de opspoorbaarheid van e<strong>en</strong> overboeking naar e<strong>en</strong> directe<br />

rek<strong>en</strong>ing nogal voor de hand ligt, wordt in de regel gebruik gemaakt van<br />

zog<strong>en</strong>aamde ‘money mules’. Deze stromann<strong>en</strong> wordt e<strong>en</strong> vergoeding in het<br />

vooruitzicht gesteld om zijn of haar bankrek<strong>en</strong>ing te gebruik<strong>en</strong> als tuss<strong>en</strong>station<br />

richting de dader. Voor de afwikkeling van de finale overboeking naar deze dader<br />

wordt gebruik gemaakt van money transfers <strong>en</strong>/of fysiek geldtransport om de<br />

traceerbaarheid sterk te verminder<strong>en</strong>. In de praktijk word<strong>en</strong> bij succesvolle<br />

phishingaanvall<strong>en</strong> de mules door de politie van hun bed gelicht maar kom<strong>en</strong> deze<br />

weg met ge<strong>en</strong> of e<strong>en</strong> lichte straf vanwege hun beperkte aandeel in het delict.<br />

“Person<strong>en</strong> die als mule actief zijn kunn<strong>en</strong> in hun gedrag herk<strong>en</strong>d word<strong>en</strong> doordat ze<br />

in bepaalde periodes hoog frequ<strong>en</strong>t hun bankrek<strong>en</strong>ingstand controler<strong>en</strong>, in<br />

vergelijking met andere periodes.”<br />

104


“Vanwege het schijnbaar evid<strong>en</strong>t malafide karakter van de propositie die pot<strong>en</strong>tiële<br />

mules wordt voorgespiegeld, zull<strong>en</strong> slechts laag opgeleide <strong>en</strong>/of person<strong>en</strong> met<br />

financiële problem<strong>en</strong> zich beschikbaar stell<strong>en</strong> voor deze rol.”<br />

De inzet van money‐mules om wederrechtelijke opbr<strong>en</strong>gst<strong>en</strong> door te sluiz<strong>en</strong> wordt<br />

in Nederland regelmatig aangetroff<strong>en</strong>. Juist omdat het om kwetsbare groep<strong>en</strong> gaat<br />

waarvan het gedrag als mule afwijkt van het gewone gedrag, is de kans op detectie<br />

relatief groot. Daarmee is alle<strong>en</strong> de relatie naar phishingactiviteit<strong>en</strong> nog niet<br />

aangetoond.<br />

“De kans op het verricht<strong>en</strong> van di<strong>en</strong>st<strong>en</strong> als e<strong>en</strong> mule is groot wanneer het gaat om<br />

stud<strong>en</strong>t<strong>en</strong>, werkloz<strong>en</strong> of bijstandsgerechtigd<strong>en</strong> die:<br />

e<strong>en</strong> laag rek<strong>en</strong>ingsaldo k<strong>en</strong>n<strong>en</strong> met lage <strong>en</strong> weinig frequ<strong>en</strong>te mutaties, of<br />

e<strong>en</strong> nieuwe rek<strong>en</strong>ing hebb<strong>en</strong> geop<strong>en</strong>d zonder betaal‐pasfuncties, <strong>en</strong><br />

de nieuwe rek<strong>en</strong>ing kortstondig gebruik<strong>en</strong>,<br />

grotere bedrag<strong>en</strong> krijg<strong>en</strong> bijgeschrev<strong>en</strong> dan in voorgaande twaalf maand<strong>en</strong>, <strong>en</strong><br />

de bedrag<strong>en</strong> afkomstig zijn van rek<strong>en</strong>inghouders met e<strong>en</strong> grote geografische<br />

spreiding,<br />

deze bedrag<strong>en</strong> geheel of grot<strong>en</strong>deels (95%) kort na storting (tot 1 dag)<br />

opnem<strong>en</strong>,<br />

money transfers do<strong>en</strong> op of rond de datum van opname waarvan het bedrag<br />

geheel of nag<strong>en</strong>oeg overe<strong>en</strong>komt met het bedrag van de opname, <strong>en</strong>/of<br />

waaraan opgave van e<strong>en</strong> begunstigde ontbreekt of waarvan de begunstigde<br />

e<strong>en</strong> andere is dan die het geld uiteindelijk incasseert.”<br />

De hypothese k<strong>en</strong>t twee ingang<strong>en</strong>: de populatie <strong>en</strong> het saldo‐gedrag. Om nu alle<br />

stud<strong>en</strong>t<strong>en</strong>, werkloz<strong>en</strong> <strong>en</strong> bijstandgerechtigd<strong>en</strong> in e<strong>en</strong> startpopulatie op te nem<strong>en</strong><br />

om daarmee te gaan match<strong>en</strong> zal op weinig steun kunn<strong>en</strong> rek<strong>en</strong><strong>en</strong>. De tweede<br />

invalshoek leidt directer tot e<strong>en</strong> ‘statistisch’ verdachte groep die atypisch gedrag<br />

vertoont. Het (inter)bancaire verkeer is daarvoor de belangrijkste gegev<strong>en</strong>sbron.<br />

Dat zal waarschijnlijk rechtstreeks gemonitord moet<strong>en</strong> word<strong>en</strong>, omdat de money<br />

transfers die na de overboeking<strong>en</strong> <strong>en</strong> cash opnames plaatsvind<strong>en</strong> in ieder geval<br />

deels onder de meldgr<strong>en</strong>s van ongebruikelijke transacties blijv<strong>en</strong>. De statistisch<br />

verdachte groep zou vervolg<strong>en</strong>s wel rechtstreeks met de money transferkantor<strong>en</strong><br />

kunn<strong>en</strong> word<strong>en</strong> gematcht om het verband tuss<strong>en</strong> opname <strong>en</strong> transfer te legg<strong>en</strong>.<br />

Phishers lat<strong>en</strong> de met id<strong>en</strong>titeitsdiefstal verkreg<strong>en</strong> geld<strong>en</strong> overboek<strong>en</strong> naar<br />

rek<strong>en</strong>ing van diverse mules die als tuss<strong>en</strong>persoon funger<strong>en</strong>. Ze blijv<strong>en</strong> zo zelf buit<strong>en</strong><br />

schot. Mules word<strong>en</strong> gerecruteerd op verschill<strong>en</strong>de wijze. Sommige<br />

wervingscamapagnes word<strong>en</strong> op e<strong>en</strong> 4.1.9‐<strong>fraud</strong>e‐achtige wijze b<strong>en</strong>aderd per (e‐<br />

)mail. In de mail wordt e<strong>en</strong> voorstelling gemaakt van e<strong>en</strong> groot bedrijfsresultaat,<br />

105


erf<strong>en</strong>is of overheidsschuld die niet via reguliere bankkanal<strong>en</strong> zou kunn<strong>en</strong> word<strong>en</strong><br />

verstuurd. De red<strong>en</strong><strong>en</strong> die aangevoerd word<strong>en</strong> zijn divers, zoals corruptie,<br />

wantrouw<strong>en</strong> van het bankstelsel of politieke problem<strong>en</strong>. De rol die voor de mule is<br />

weggelegd is e<strong>en</strong> zeer aantrekkelijke. Ze krijg<strong>en</strong> e<strong>en</strong> bedrag gestort op hun<br />

rek<strong>en</strong>ing, waarvan ze 5‐8 % mog<strong>en</strong> houd<strong>en</strong>. De rest moet<strong>en</strong> ze opnem<strong>en</strong> <strong>en</strong> per<br />

money transfer naar Oost‐Europa of Afrika stur<strong>en</strong>.<br />

Er is e<strong>en</strong> dossier bek<strong>en</strong>d bij de politieregio Amsterdam‐Amstelland waarin e<strong>en</strong><br />

bedrijf haar eig<strong>en</strong> naam terugziet in mule recruitm<strong>en</strong>t mails. Website <strong>en</strong><br />

mailadress<strong>en</strong> wijk<strong>en</strong> mimaal af van haar officiële webadres <strong>en</strong> mailadress<strong>en</strong>.<br />

E<strong>en</strong> tweede bek<strong>en</strong>de wervingscamapagne verloopt via vacaturewebsites. Hierop<br />

wordt e<strong>en</strong>voudig werk aangebod<strong>en</strong>. Na reactie op de vacature, blijk het om het<br />

verplaats<strong>en</strong> van geld te gaan. Twee phishing‐dossiers van het KLPD wijz<strong>en</strong> op het<br />

gebruik van money mules in combinatie met money transfers, maar bij de bank<strong>en</strong><br />

zijn vele voorbeeld<strong>en</strong> bek<strong>en</strong>d. Verschill<strong>en</strong>de dossiers uit Amsterdam‐Amstelland<br />

wijz<strong>en</strong> op het gebruik van bankrek<strong>en</strong>ing<strong>en</strong> van scholier<strong>en</strong> als ‘tuss<strong>en</strong>rek<strong>en</strong>ing’ voor<br />

het wegsluiz<strong>en</strong>/witwass<strong>en</strong> van geld. In de dossiers van Amsterdam‐Amstelland zijn<br />

twee gevall<strong>en</strong> van mule recruitm<strong>en</strong>t bek<strong>en</strong>d, waarbij meerdere mules war<strong>en</strong><br />

betrokk<strong>en</strong>. Hierbij zett<strong>en</strong> de bank<strong>en</strong> waar de mules hun rek<strong>en</strong>ing hadd<strong>en</strong> de<br />

transacties zelf stop <strong>en</strong> bevror<strong>en</strong> de tegoed<strong>en</strong> van de mule. Ook is er e<strong>en</strong> meer<br />

amateuristisch voorbeeld te noem<strong>en</strong> waarbij de partner gedwong<strong>en</strong> wordt e<strong>en</strong><br />

rek<strong>en</strong>ing te op<strong>en</strong><strong>en</strong> t<strong>en</strong> behoeve van de grijze <strong>internet</strong>activiteit<strong>en</strong> van de andere<br />

partner. Als laatste word<strong>en</strong> er ook via veilingsites mules gerecruteerd. In de<br />

dossiers van de politieregio Amsterdam‐Amstelland komt e<strong>en</strong> geval voor waarbij de<br />

mule online e<strong>en</strong> beeldje aan had geschaft. Na de verkoop wordt de koper b<strong>en</strong>aderd<br />

door de verkoper om geld via e<strong>en</strong> money transfer naar Rusland over te mak<strong>en</strong>.<br />

Mules word<strong>en</strong> breder ingezet <strong>en</strong> niet alle<strong>en</strong> in relatie tot phishing. De hypothese<br />

probeert de phishing‐relatie te legg<strong>en</strong> door de geografische spreiding van<br />

rek<strong>en</strong>inghouders in te br<strong>en</strong>g<strong>en</strong>. Volledig discriminer<strong>en</strong>d is die toevoeging niet. Ook<br />

in het geval van Nigerian<strong>en</strong><strong>fraud</strong>e zi<strong>en</strong> we bijvoorbeeld transacties die aan dit<br />

criterium voldo<strong>en</strong>, zij het dat ze eerder afkomstig zijn uit het buit<strong>en</strong>land.<br />

Het uitschakel<strong>en</strong> van mules is weinig effectief. De pool van m<strong>en</strong>s<strong>en</strong> die<br />

geïnteresseerd is in hoge opbr<strong>en</strong>gst<strong>en</strong> voor weinig werk is groot. Voor iedere mule<br />

staan zo weer ander<strong>en</strong> klaar. Wat e<strong>en</strong> betere aanpak lijkt is het blokker<strong>en</strong> van<br />

money transfers <strong>en</strong> het bevriez<strong>en</strong> van mule tegoed<strong>en</strong>. Dit stagneert het<br />

geldverkeer van de phisher. Wat ook interessant lijkt is het terugvolg<strong>en</strong> van de<br />

geldstroom. Helaas zal dit binn<strong>en</strong> de scope van het ‘Hollandsch perspectief’ snel<br />

ophoud<strong>en</strong>, omdat de geldstrom<strong>en</strong> veelal via het buit<strong>en</strong>land lop<strong>en</strong>.<br />

106


2.22 ‘The Facilitators’<br />

De zog<strong>en</strong>oemde ‘facilitators’ zijn in de phishing activiteit op zichzelf niet betrokk<strong>en</strong>.<br />

Zij lever<strong>en</strong> di<strong>en</strong>st<strong>en</strong>, vooral infrastructuur, met behulp waarvan de initiator zijn<br />

aanval kan uitvoer<strong>en</strong>, <strong>en</strong> kijk<strong>en</strong> daarbij niet al te nauw voor welk doel die di<strong>en</strong>st<strong>en</strong><br />

word<strong>en</strong> gebruikt.<br />

2.22.1 De ‘Host’<br />

De spoof website van de phisher moet op het WWW kom<strong>en</strong>. Hiervoor is e<strong>en</strong> DNS<br />

(Domain Name Server) provider nodig, die de phisher voorziet van e<strong>en</strong><br />

domeinnaam <strong>en</strong> ruimte op e<strong>en</strong> webserver om de website te plaats<strong>en</strong>. Het domein<br />

verkrijgt de phisher zoals gezegd legaal, via e<strong>en</strong> DNS‐provider. Dit proces is volledig<br />

geautomatiseerd, dus moeilijke vrag<strong>en</strong> krijgt e<strong>en</strong> phisher niet. E<strong>en</strong> DNS‐provider is<br />

echter wel e<strong>en</strong> autoriteit, zodat de phisher <strong>en</strong>ige moeite moet do<strong>en</strong> om zijn<br />

id<strong>en</strong>titeit te verhull<strong>en</strong>.<br />

Het plaats<strong>en</strong> van de website gebeurt via e<strong>en</strong> Internet Service Provider (ISP).<br />

Aantrekkelijke ISP’s voor e<strong>en</strong> phisher om di<strong>en</strong>st<strong>en</strong> van af te nem<strong>en</strong>, zijn<br />

betrekkelijke kleine organisaties met e<strong>en</strong> lage servicegraad die hun klant<strong>en</strong> niet<br />

teveel moeilijke vrag<strong>en</strong> stell<strong>en</strong>. Het <strong>en</strong>ige wat de phisher t<strong>en</strong>slotte nodig heeft, is<br />

e<strong>en</strong> paar bytes aan ruimte <strong>en</strong> e<strong>en</strong> redelijke garantie van dataverkeer op e<strong>en</strong> korte<br />

termijn. Ook het illegaal plaats<strong>en</strong> van e<strong>en</strong> website zorgt ervoor dat er e<strong>en</strong> ISP<br />

betrokk<strong>en</strong> wordt, zij het zonder haar medewet<strong>en</strong>. De phisher verschaft zich, al dan<br />

niet met hulp van derd<strong>en</strong>, illegaal toegang tot e<strong>en</strong> webserver <strong>en</strong> plaatst daar zijn<br />

spoof website. In dat geval kan er nog e<strong>en</strong> betrokk<strong>en</strong>e zijn, namelijk de huurder van<br />

de ruimte die de phisher misbruikt voor het plaats<strong>en</strong> van de spoof website.<br />

Wordt voor phishing gebruik gemaakt van e<strong>en</strong> nepwebsite dan wordt die erg<strong>en</strong>s<br />

gehost. Wet<strong>en</strong> waar die wordt gehost, is nu al ess<strong>en</strong>tieel voor succesvolle ‘notice<br />

and take down’. Meestal blijft het bij het uit de lucht hal<strong>en</strong> van e<strong>en</strong> spoof site, maar<br />

m<strong>en</strong> zou ook kunn<strong>en</strong> prober<strong>en</strong> uit te kom<strong>en</strong> bij de beheerder van deze site. De<br />

detectiehypothese voor de host is dan ook op de botnet beheerders van<br />

toepassing. Botnetbeheerders do<strong>en</strong> er alles aan om hun bot te vrijwar<strong>en</strong> van<br />

detectie. Hoe dan ook, ze moet<strong>en</strong> met die bots communicer<strong>en</strong>. Dat gebeurt via het<br />

IRC‐protocol (chatchannels) omdat dat zich zo goed le<strong>en</strong>t voor het op afstand<br />

bedi<strong>en</strong><strong>en</strong> van computers.<br />

107


Wanneer e<strong>en</strong> phisher niet via chatchannels de informatie van de spoof sites<br />

binn<strong>en</strong>haalt, is de kans groot dat de gegev<strong>en</strong>s die slachtoffers op de spoof site<br />

achterlat<strong>en</strong> opgeslag<strong>en</strong> word<strong>en</strong> in e<strong>en</strong> bestand op de server. De phisher zal dan<br />

gedwong<strong>en</strong> word<strong>en</strong> om terug te ker<strong>en</strong> naar de server waar de spoof site gehost<br />

wordt om dit bestand uit te lez<strong>en</strong>. Als de spoof site geïd<strong>en</strong>tificeerd is, hoeft m<strong>en</strong><br />

slechts te wacht<strong>en</strong> tot e<strong>en</strong> onbek<strong>en</strong>de, lees niet de eig<strong>en</strong>aar van het domein,<br />

verbinding zoekt met de host server. Dan is directe id<strong>en</strong>tifcatie van de dader<br />

mogelijk.<br />

“Spoof sites in het kader van phishing communicer<strong>en</strong> via chatkanal<strong>en</strong> met hun<br />

beheerder. Door het onderschepp<strong>en</strong> van deze communicatie kan de beheerder<br />

mogelijk word<strong>en</strong> getraceerd (of minimaal de access provider: de interface waarmee<br />

de beheerder zich toegang verschaft: <strong>internet</strong>café, onbeveiligd wifi).”<br />

Spoof sites kunn<strong>en</strong> geautomatiseerd ontdekt word<strong>en</strong> door webpagina’s te scann<strong>en</strong><br />

op bek<strong>en</strong>de grafische elem<strong>en</strong>t<strong>en</strong> van legitieme sites met e<strong>en</strong> verhoogd risico om<br />

slachtoffer te word<strong>en</strong> van e<strong>en</strong> phishing‐aanval. Hierbij kan gedacht word<strong>en</strong> aan<br />

logo’s, nam<strong>en</strong>, tekst<strong>en</strong> <strong>en</strong> kleur<strong>en</strong>. E<strong>en</strong> dergelijke combinatie van gebruikte<br />

kleur<strong>en</strong>, site opbouw <strong>en</strong> gebruikte technologieën lever<strong>en</strong> sam<strong>en</strong> e<strong>en</strong> unieke<br />

‘vingerafdruk’ op. Omdat het aantal websites dat de moeite van het spoof<strong>en</strong> waard<br />

is niet <strong>en</strong>orm groot is, dit zijn inlogpagina’s van bank<strong>en</strong> <strong>en</strong> verzekeraars, loont het<br />

de moeite om van deze websites te onderzoek<strong>en</strong> of er klon<strong>en</strong> van op het web<br />

circuler<strong>en</strong>.<br />

Bij het plaats<strong>en</strong> van spoof websites op e<strong>en</strong> host server, waarbij de phisher terug<br />

moet kom<strong>en</strong> om zijn gegev<strong>en</strong>s te hal<strong>en</strong>, kan ook gescand word<strong>en</strong> op bek<strong>en</strong>de<br />

lekk<strong>en</strong> in besturingssystem<strong>en</strong>. Deze lekk<strong>en</strong> word<strong>en</strong> door de dader gebruikt om<br />

ongemerkt de server te b<strong>en</strong>ader<strong>en</strong> <strong>en</strong> te verlat<strong>en</strong>. Als er op bek<strong>en</strong>de lekk<strong>en</strong><br />

gezocht wordt, kunn<strong>en</strong> webservers word<strong>en</strong> geïd<strong>en</strong>tificeerd die e<strong>en</strong> hoger<br />

compromiteringsrisico lop<strong>en</strong>. Deze servers zoud<strong>en</strong> bij toepassing van de<br />

voorgaande hypothese gescand kunn<strong>en</strong> word<strong>en</strong> op site‐karakteristiek<strong>en</strong>.<br />

Hoewel spoof sites over de hele wereld gehost kunn<strong>en</strong> word<strong>en</strong>, zowel bij<br />

professionele datac<strong>en</strong>ters als ook op particuliere thuiscomputers, blijkt in de<br />

praktijk dat Nederlandse datac<strong>en</strong>ters vanwege de grote bandbreedte <strong>en</strong><br />

betrouwbaarheid e<strong>en</strong> zekere voorkeur van cybercriminals te g<strong>en</strong>iet<strong>en</strong>. Voor het<br />

geautomatiseerd ontdekk<strong>en</strong> van spoof sites kunn<strong>en</strong> (grote) Nederlandse<br />

datac<strong>en</strong>ters gescand word<strong>en</strong> op de inhoud van de daar gehoste websites. Doordat<br />

spoof sites vaak onderdeel uitmak<strong>en</strong> van (gekraakte) legitieme sites <strong>en</strong> binn<strong>en</strong> die<br />

context letterlijk erg<strong>en</strong>s onderin de site weggestopt zijn, zal dieper gezocht moet<strong>en</strong><br />

108


word<strong>en</strong> dan alle<strong>en</strong> de op<strong>en</strong>ingspagina. Dit scann<strong>en</strong> van sites vertoont sterke<br />

overe<strong>en</strong>komst<strong>en</strong> met de techniek die zoekmachines toepass<strong>en</strong>, zij het dat in dit<br />

geval m<strong>en</strong> gericht is op id<strong>en</strong>tificer<strong>en</strong> in plaats van indexer<strong>en</strong>.<br />

Nadere analyse van de websites die als zodanig gedetecteerd word<strong>en</strong>, kan inzicht<br />

gev<strong>en</strong> in bijvoorbeeld actieve phishing aanvall<strong>en</strong>, gehackte websites waar de spoof<br />

site draait, eig<strong>en</strong>ar<strong>en</strong> van malafide webservers waar de spoof site draait, of<br />

aanknopingspunt<strong>en</strong> oplever<strong>en</strong> richting de beheerder van de spoof site via de<br />

communicatie in het chatkanaal (nickname). Chat channels die als<br />

communicatiekanaal gebruikt word<strong>en</strong> tuss<strong>en</strong> spoof sites <strong>en</strong> e<strong>en</strong> dader, zijn te<br />

herk<strong>en</strong>n<strong>en</strong> omdat er veel ‘gebruikers’, i.e. gekraakte computers, zijn aangemeld,<br />

maar er verder ge<strong>en</strong> discussie wordt gevoerd. Tot dat e<strong>en</strong> gebruiker, e<strong>en</strong> dader,<br />

e<strong>en</strong> bepaalde code gebruikt om alle andere ‘gebruikers’ (de gekraakte computers)<br />

opdracht te gev<strong>en</strong> alle (nieuwe) geoogste gegev<strong>en</strong>s door te gev<strong>en</strong>. Dit doorgev<strong>en</strong><br />

kan in groep<strong>en</strong>, individueel of at random gebeur<strong>en</strong>.<br />

De cybercrimineel zal op e<strong>en</strong> of andere manier de vrucht<strong>en</strong> van zijn phishing actie<br />

moet<strong>en</strong> plukk<strong>en</strong>. De vrucht<strong>en</strong> zijn in dit geval de gegev<strong>en</strong>s die slachtoffers op de<br />

spoof website hebb<strong>en</strong> achtergelat<strong>en</strong>. Er zijn twee bek<strong>en</strong>de manier<strong>en</strong> waarop de<br />

dader deze in zijn bezit kan krijg<strong>en</strong>. Via chatchannels over e<strong>en</strong> botnet <strong>en</strong> via e<strong>en</strong><br />

bestand op de gecompromitteerde server.<br />

Uit dossiers van het politiekorps Amsterdam‐Amstelland is e<strong>en</strong> voorbeeld bek<strong>en</strong>d<br />

van e<strong>en</strong> persoon die getipt werd over het bestaan van e<strong>en</strong> spoof website op zijn<br />

persoonlijke domein. De website was e<strong>en</strong> spoof website van Lloyd TSB bank,<br />

waarvan ook e<strong>en</strong> spamrun bek<strong>en</strong>d is. De criminel<strong>en</strong> hadd<strong>en</strong> e<strong>en</strong> bek<strong>en</strong>d lek in de<br />

besturingssoftware van de web server gebruikt om de spoof site te plaats<strong>en</strong>. Uit<br />

e<strong>en</strong> ander dossier is bek<strong>en</strong>d dat e<strong>en</strong> bankinstelling getipt werd over het in<br />

aanbouw zijn van e<strong>en</strong> spoof website van hun online bank. Deze spoof website was<br />

nog niet volledig <strong>en</strong> is op verzoek van de bank verwijderd. Op welke server de spoof<br />

site stond was onbek<strong>en</strong>d.<br />

2.22.2 De ‘Harvester’, ‘Administrator’, ‘Supplier’ <strong>en</strong> ‘Insider’<br />

De roll<strong>en</strong> van ‘Harvester’, ‘Administrator’, ‘Supplier’ <strong>en</strong> ‘Insider’, hebb<strong>en</strong> alle vier<br />

betrekking op het verwerv<strong>en</strong> van adress<strong>en</strong>. Ze word<strong>en</strong> daarom onder één noemer<br />

beschrev<strong>en</strong>.<br />

109


De ‘Harvester’<br />

Iemand in het proces moet e‐mailadress<strong>en</strong> verzamel<strong>en</strong> van pot<strong>en</strong>tiële slachtoffers.<br />

Voor e<strong>en</strong> aantal person<strong>en</strong> is harvesting hun werk geword<strong>en</strong>. Zij speur<strong>en</strong><br />

doelbewust het web af of brek<strong>en</strong> in op mailservers om e‐mailadress<strong>en</strong> te<br />

verkrijg<strong>en</strong>. Zij bied<strong>en</strong> deze vervolg<strong>en</strong>s weer aan teg<strong>en</strong> e<strong>en</strong> vergoeding.<br />

Marketingbedrijv<strong>en</strong> m<strong>en</strong>g<strong>en</strong> zich ook steeds vaker in deze markt. Voor h<strong>en</strong> is het<br />

aantrekkelijk om de gegev<strong>en</strong>s die ze voor andere bedrijfsactiviteit<strong>en</strong> toch al onder<br />

hun beheer hebb<strong>en</strong>, door te verkop<strong>en</strong> aan derd<strong>en</strong>. De marketingbureaus die zich<br />

hiermee bezig houd<strong>en</strong>, zijn vaak klein <strong>en</strong> hebb<strong>en</strong> e<strong>en</strong> breed spectrum aan klant<strong>en</strong><br />

<strong>en</strong> activiteit<strong>en</strong>. Deze rol kan vervuld word<strong>en</strong> door de phisher, maar hij kan ook<br />

to<strong>en</strong>adering zoek<strong>en</strong> tot e<strong>en</strong> ‘broodharvester’, zoals hiervoor beschrev<strong>en</strong>.<br />

Bij het misbruik<strong>en</strong> van bedrijfsmail moet iemand binn<strong>en</strong> het bedrijf betrokk<strong>en</strong> zijn.<br />

Dit kan e<strong>en</strong> systeembeheerder, website beheerder of andere medewerker zijn met<br />

toegang tot web‐ of mailservers.<br />

Doordat degelijk harvest<strong>en</strong> behoorlijk veel resources vergt (storage, processing,<br />

bandwidth), zal dit in de regel door tamelijk professionele types gebeur<strong>en</strong>. Ook zijn<br />

er gevall<strong>en</strong> bek<strong>en</strong>d van spammers die e<strong>en</strong> stapje terug zijn gegaan vanwege<br />

juridische risico’s. Op fora <strong>en</strong> in chatrooms zull<strong>en</strong> zij contact zoek<strong>en</strong> met mogelijke<br />

adresleveranciers.<br />

De ‘Addressadministrator’<br />

De addressadministrator is bijvoorbeeld e<strong>en</strong> systeembeheerder bij e<strong>en</strong> bedrijf met<br />

e<strong>en</strong> grote klant<strong>en</strong>administratie, <strong>en</strong> valt in die hoedanigheid sam<strong>en</strong> met de rol van<br />

insider. Zij hoev<strong>en</strong> niet actief betrokk<strong>en</strong> te zijn bij het beschikbaar stell<strong>en</strong> van<br />

adresgegev<strong>en</strong>s, maar zij hebb<strong>en</strong> deze gegev<strong>en</strong>s in beheer. Zij zijn wel deg<strong>en</strong><strong>en</strong> die<br />

erop aangekek<strong>en</strong> word<strong>en</strong> als deze adress<strong>en</strong> misbruikt word<strong>en</strong>. Er zijn gevall<strong>en</strong><br />

bek<strong>en</strong>d waarin e<strong>en</strong> administrator ook de supplier werd, middels omkoping of<br />

afpersing. De addressadministrator is de legitieme eig<strong>en</strong>aar van de adress<strong>en</strong> die de<br />

spammer gebruikt. Dit kan e<strong>en</strong> adresboek van de spammer zelf zijn of e<strong>en</strong><br />

marketingbureau dat handelt in databases met gegev<strong>en</strong>s. Kwetsbare groep<strong>en</strong> qua<br />

adresbeheer zijn (lokale) overhed<strong>en</strong>, succesvolle amateursites, bedrijv<strong>en</strong> uit de<br />

‘oude economie’ die online gaan, pseudo‐overheid, instelling<strong>en</strong>, nutsbedrijv<strong>en</strong>,<br />

bezorgdi<strong>en</strong>st<strong>en</strong> of loterij<strong>en</strong>.<br />

De ‘Addresssupplier’<br />

De addresssupplier is de partij die post‐ of e‐mailadress<strong>en</strong> te koop aanbiedt aan de<br />

spamsponsor. Ze verzamel<strong>en</strong> deze adress<strong>en</strong> via legale method<strong>en</strong> zoals het<br />

afspeur<strong>en</strong> van het <strong>internet</strong> of uit telefoonboek<strong>en</strong> of de Goud<strong>en</strong> Gids. Suppliers<br />

110


ewandel<strong>en</strong> echter ook minder legale pad<strong>en</strong>, zoals het inbrek<strong>en</strong> op mailservers van<br />

grote bedrijv<strong>en</strong> of van gratis e‐mail aanbieders zoals Yahoo, Hotmail of Gmail.<br />

Teg<strong>en</strong> e<strong>en</strong> geringe prijs zijn pakkett<strong>en</strong> met adress<strong>en</strong> te koop via legitieme websites.<br />

De supplier kan gelijk zijn aan de administrator, maar dit hoeft niet. Wanneer er op<br />

e<strong>en</strong> mailserver ingebrok<strong>en</strong> wordt, is de systeembeheerder de<br />

addressadministrator, maar is de hacker de supplier. Voormalige scriptkiddies<br />

kunn<strong>en</strong> zijn doorgegroeid tot professionele <strong>en</strong> gespecialiseerde addresssuppliers.<br />

De addresssupplier kan zelf weer aan de adress<strong>en</strong> zijn gekom<strong>en</strong> via de<br />

verschill<strong>en</strong>de variant<strong>en</strong> als beschrev<strong>en</strong>. Op hun beurt kunn<strong>en</strong> ze ook weer zijn<br />

gekocht van bijvoorbeeld e<strong>en</strong> insider in e<strong>en</strong> organisatie.<br />

De ‘Insider’<br />

De ‘insider’ is eig<strong>en</strong>lijk ge<strong>en</strong> zelfstandige rol, maar e<strong>en</strong> hoedanigheid (iemand van<br />

binn<strong>en</strong>uit) van de andere roll<strong>en</strong>. Beheerders van persoonsgegev<strong>en</strong>s lop<strong>en</strong> in<br />

beginsel het risico op diefstal van deze gegev<strong>en</strong>s van ‘binn<strong>en</strong>uit’. Het kan daarbij<br />

gaan om ex‐werknemers die voor hun vertrek uit de organisatie gegev<strong>en</strong>s<br />

me<strong>en</strong>em<strong>en</strong>, maar ook om m<strong>en</strong>s<strong>en</strong> die nog in di<strong>en</strong>st zijn <strong>en</strong> uit financiële motiev<strong>en</strong><br />

data van hun werkgever vervreemd<strong>en</strong> <strong>en</strong> verkop<strong>en</strong>. In e<strong>en</strong> Amerikaans voorbeeld<br />

ging e<strong>en</strong> medewerker er vandoor met de gegev<strong>en</strong>s van 2 miljo<strong>en</strong> aanvragers van<br />

e<strong>en</strong> hypotheek. Hij deed dat over e<strong>en</strong> periode van 2 jaar in part<strong>en</strong> van 20.000<br />

adress<strong>en</strong> per week die steeds $ 500 dollar opleverd<strong>en</strong> (Countrywide Insiders Steal's<br />

2 Million People's Information, 2008).<br />

“De (inside) adresverstrekker kan zich mogelijk lat<strong>en</strong> id<strong>en</strong>tificer<strong>en</strong> wanneer:<br />

in phishing spamruns e<strong>en</strong> bepaalde sam<strong>en</strong>hang zit (‘address‐print’), <strong>en</strong><br />

die sam<strong>en</strong>hang uniek is voor e<strong>en</strong> bepaald type (Nederlandse) bron, <strong>en</strong><br />

deze (originele) bron weinig duplicat<strong>en</strong> k<strong>en</strong>t, <strong>en</strong>/of<br />

deze teg<strong>en</strong> betaling wordt aangebod<strong>en</strong> (bijvoorbeeld via fora).”<br />

In de begintijd van het <strong>internet</strong> <strong>en</strong> van de digitale spam, was het voor de<br />

spamverspreider nog te do<strong>en</strong> om zelf adress<strong>en</strong> te verzamel<strong>en</strong>. Naarmate het web<br />

diverser <strong>en</strong> verspreider werd, is ook het verzamel<strong>en</strong> van e‐mailadress<strong>en</strong> voor spam<br />

doeleind<strong>en</strong> e<strong>en</strong> stuk moeilijker geword<strong>en</strong>. Daarbov<strong>en</strong>op komt nog dat<br />

<strong>internet</strong>gebruikers voorzichtiger zijn geword<strong>en</strong> met het verspreid<strong>en</strong> van hun<br />

mailadress<strong>en</strong>. Voor de spammer is het niet meer aantrekkelijk veel tijd te stek<strong>en</strong> in<br />

het verzamel<strong>en</strong> van mailadress<strong>en</strong>. Er is daarvoor in de plaats e<strong>en</strong> nieuwe<br />

bedrijfstak op het <strong>internet</strong> ontstaan die zich bezig houdt met het verzamel<strong>en</strong> van<br />

werk<strong>en</strong>de mail‐adress<strong>en</strong>. Deze person<strong>en</strong> verkop<strong>en</strong> hun bestand<strong>en</strong> door aan<br />

spammers.<br />

111


Deze adresverzamelaars gaan op verschill<strong>en</strong>de manier<strong>en</strong> te werk. Het is bek<strong>en</strong>d dat<br />

er regelmatig batches met adress<strong>en</strong> vanuit bedrijv<strong>en</strong> naar spam verspreiders gaan.<br />

De red<strong>en</strong><strong>en</strong> hiervoor kunn<strong>en</strong> divers zijn. Zo is het e<strong>en</strong> veel voorkom<strong>en</strong>d f<strong>en</strong>ome<strong>en</strong><br />

dat van pas ontslag<strong>en</strong> of vertrokk<strong>en</strong> werknemers de inloggegev<strong>en</strong>s nog e<strong>en</strong> tijd<br />

bruikbaar blijv<strong>en</strong>. Wanneer e<strong>en</strong> ontslag in onmin heeft plaatsgevond<strong>en</strong> <strong>en</strong>/of de<br />

ex‐werknemer wraak wil nem<strong>en</strong>, komt het voor dat zij inlogg<strong>en</strong> op de bedrijfsserver<br />

<strong>en</strong> hier gegev<strong>en</strong>s verwijder<strong>en</strong> of ‘gijzel<strong>en</strong>’ ter afpersing. Het is e<strong>en</strong> kwestie van tijd<br />

voordat deze person<strong>en</strong> de werkelijke waarde van deze adresgegev<strong>en</strong>s inzi<strong>en</strong> <strong>en</strong> ze<br />

actief gaan verhandel<strong>en</strong>.<br />

Daarnaast is er de ontevred<strong>en</strong> werknemer. Deze vindt zich onderbetaald of<br />

ondergewaardeerd <strong>en</strong> zoekt naar manier<strong>en</strong> om zijn onmin te uit<strong>en</strong>. Dit gebeurt<br />

mogelijk op e<strong>en</strong> soortgelijke manier als hierbov<strong>en</strong> beschrev<strong>en</strong>. Ook zijn er<br />

werknemers die zich vervel<strong>en</strong> <strong>en</strong> zoek<strong>en</strong> naar avontuur, krap bij kas zitt<strong>en</strong> of het<br />

niet zo nauw nem<strong>en</strong> met de bedrijfsethiek. Deze drie groep<strong>en</strong> hebb<strong>en</strong> ieder e<strong>en</strong><br />

ander motief om interne adresbestand<strong>en</strong> van medewerkers of klant<strong>en</strong> te verkop<strong>en</strong>,<br />

maar ze zull<strong>en</strong> dezelfde MO hebb<strong>en</strong>. Ze kopiër<strong>en</strong> adresbestand<strong>en</strong>, nem<strong>en</strong> deze<br />

mee naar huis <strong>en</strong> verkop<strong>en</strong> deze online of via hun k<strong>en</strong>iss<strong>en</strong> netwerk. Verder zijn er<br />

hackers die van buit<strong>en</strong> mailservers krak<strong>en</strong> <strong>en</strong> de adress<strong>en</strong> kopiër<strong>en</strong> om ze te<br />

verhandel<strong>en</strong>. Hiervoor is echter veel technische k<strong>en</strong>nis vereist. Als laatste wordt<br />

door malafide <strong>internet</strong>gebruikers gebruik gemaakt van malware <strong>en</strong> web crawlers<br />

om e‐mailadress<strong>en</strong> van het web te hal<strong>en</strong>. Deze adress<strong>en</strong> word<strong>en</strong> vervolg<strong>en</strong>s<br />

gebundeld <strong>en</strong> verhandeld.<br />

In één KLPD onderzoek (e<strong>en</strong> rechtshulpverzoek uit Amerika) komt diefstal van e<strong>en</strong><br />

database voor (360.000 adress<strong>en</strong> van e<strong>en</strong> financiële di<strong>en</strong>stverl<strong>en</strong>er). In dit geval<br />

was het doel om de eig<strong>en</strong>aar af te pers<strong>en</strong>.<br />

Uit dossiers van Amsterdam‐Amstelland blijkt dat ex‐werknemers vaak nog <strong>en</strong>ige<br />

tijd op de bedrijfserver in kunn<strong>en</strong> logg<strong>en</strong>. Er zijn dossiers waarin werknemers uit<br />

wraak de adreslijst ‘gijzel<strong>en</strong>’. Deze werd<strong>en</strong> alle<strong>en</strong> gebruikt ter afpersing, maar zijn<br />

als spamlijst waarschijnlijk veel waardevoller, omdat er targeting mee toegepast<br />

kan word<strong>en</strong>.<br />

Phishers will<strong>en</strong> zo dicht mogelijk bij hun target uitkom<strong>en</strong> (bijvoorbeeld de m<strong>en</strong>s<strong>en</strong><br />

die ook feitelijk klant zijn bij e<strong>en</strong> bepaalde bank). Dat vergroot de kans op e<strong>en</strong> hit.<br />

Target‐adress<strong>en</strong> zijn veel waard. De kans op diefstal van dit soort<br />

doelgroepgegev<strong>en</strong>s is daarom groot. In één KLPD dossier werd e<strong>en</strong> voorbeeld<br />

gevond<strong>en</strong> van e<strong>en</strong> hack op e<strong>en</strong> gegev<strong>en</strong>sdatabase. De hypothese kan word<strong>en</strong><br />

uitgebreid met e<strong>en</strong> veronderstelling dat de legale adress<strong>en</strong>verstrekker e<strong>en</strong> grote<br />

kans loopt om ook illegaal adress<strong>en</strong> te verstrekk<strong>en</strong>. Dat ligt in de lijn van di<strong>en</strong>s core<br />

112


usiness: het onderscheid tuss<strong>en</strong> legaal <strong>en</strong> illegaal moet bewust word<strong>en</strong> gemaakt<br />

omdat het om exact dezelfde verwerkings‐ <strong>en</strong> verzamelingsprocess<strong>en</strong> gaat. We<br />

kunn<strong>en</strong> deze hypothese wellicht combiner<strong>en</strong> met de spammerhypothese. Deze<br />

hypothese indiceert ook de risico’s van bepaalde bronn<strong>en</strong>. Overig<strong>en</strong>s zijn er vele<br />

legale adress<strong>en</strong>bestand<strong>en</strong> op het <strong>internet</strong> te koop. Alle<strong>en</strong> is het de vraag of die nog<br />

langer tegemoet kom<strong>en</strong> aan de targetw<strong>en</strong>s<strong>en</strong> van de phisher. Naar verwachting<br />

zull<strong>en</strong> we steeds meer interne gegev<strong>en</strong>sdiefstal zi<strong>en</strong>.<br />

“Indi<strong>en</strong> de records die van adress<strong>en</strong>bestand<strong>en</strong> deel uit mak<strong>en</strong> bek<strong>en</strong>d zijn, kan er<br />

gewerkt word<strong>en</strong> aan het waarschuw<strong>en</strong> van de person<strong>en</strong> die in het bestand<br />

voorkom<strong>en</strong>; kunn<strong>en</strong> de phishers die van die bronn<strong>en</strong> gebruik mak<strong>en</strong> word<strong>en</strong><br />

opgewacht, <strong>en</strong> kan e<strong>en</strong> beeld ontstaan van de MO van daders (verversing van<br />

adress<strong>en</strong>, keuze voor doelgroep<strong>en</strong>, gebruik dezelfde resources).”<br />

“Indi<strong>en</strong> de bronn<strong>en</strong> van de adress<strong>en</strong>bestand<strong>en</strong> bek<strong>en</strong>d zijn kan dit leid<strong>en</strong> naar<br />

insiders (adress<strong>en</strong>beheerders) die het adress<strong>en</strong>materiaal beschikbaar hebb<strong>en</strong><br />

gesteld, <strong>en</strong> kan er actief word<strong>en</strong> gewerkt aan afscherming van de bron.”<br />

“Door de addressprints te vergelijk<strong>en</strong> met de phishing‐DIY‐kits, is waarschijnlijk te<br />

achterhal<strong>en</strong> met welke g<strong>en</strong>erator de adress<strong>en</strong> zijn ‘opgehaald’.”<br />

2.22.3 De ‘Botnet herder’<br />

Als de phisher voor zijn spammingactiviteit<strong>en</strong> gebruik wil mak<strong>en</strong> van e<strong>en</strong> botnet, zal<br />

hij contact moet<strong>en</strong> zoek<strong>en</strong> met e<strong>en</strong> botnetbeheerder. Botnets zijn netwerk<strong>en</strong> van<br />

computers, waarvan de computereig<strong>en</strong>aar ge<strong>en</strong> weet heeft. Botnets word<strong>en</strong><br />

doelbewust opgezet voor het verspreid<strong>en</strong> van spam, het uitvoer<strong>en</strong> van DDoS<br />

aanvall<strong>en</strong> <strong>en</strong> andere vorm<strong>en</strong> van cybercrime. Het verspreid<strong>en</strong> van viruss<strong>en</strong> <strong>en</strong><br />

malware om botnets te creër<strong>en</strong> <strong>en</strong> daarna aan te stur<strong>en</strong> is e<strong>en</strong> behoorlijk karwei.<br />

T<strong>en</strong>zij de phisher deel uitmaakt van e<strong>en</strong> organisatie die e<strong>en</strong> botnet beheert, zal de<br />

phisher zelf niet de beheerder zijn van e<strong>en</strong> botnet.<br />

2.22.4 De ‘Malware distributor’<br />

Zoals bij de bespreking van de verschill<strong>en</strong>de MO’s die bij phishing toegepast<br />

word<strong>en</strong> al is aangegev<strong>en</strong>, bestaat er e<strong>en</strong> veelheid aan method<strong>en</strong> om malware te<br />

distribuer<strong>en</strong>. Van de ‘push’ b<strong>en</strong>adering zijn e‐mail <strong>en</strong> drive‐by‐downloads<br />

mom<strong>en</strong>teel de meest gebruikte. Bij de ‘pull’ b<strong>en</strong>adering is de strategie erop gericht<br />

om voldo<strong>en</strong>de gebruikers onbewust de malware op hun computer binn<strong>en</strong> te lat<strong>en</strong><br />

113


hal<strong>en</strong> <strong>en</strong> op het mom<strong>en</strong>t dat de desbetreff<strong>en</strong>de computers besmet zijn via ‘push’‐<br />

vorm<strong>en</strong> verder te lat<strong>en</strong> distribuer<strong>en</strong> in de sociale netwerk<strong>en</strong> van de besmette<br />

gebruikers. Om met e<strong>en</strong> zekere snelheid <strong>en</strong> effectiviteit de distributie van malware<br />

te lat<strong>en</strong> plaatsvind<strong>en</strong>, richt<strong>en</strong> bepaalde person<strong>en</strong> zich op de specifieke distributie<br />

van malware. Hun activiteit bestaat daarbij uit het plaats<strong>en</strong> van besmette<br />

bestand<strong>en</strong> in nieuwsgroep<strong>en</strong>, fora <strong>en</strong> torr<strong>en</strong>ts <strong>en</strong> bijvoorbeeld het organiser<strong>en</strong> van<br />

het plaats<strong>en</strong> van malicious code op dubieuze websites zoals porno‐ <strong>en</strong><br />

undergroundachtige activiteit<strong>en</strong>. Ook het uitnutt<strong>en</strong> van kwetsbaarhed<strong>en</strong> op slecht<br />

beveiligde websites (amateurblogs) om zodo<strong>en</strong>de drive‐by‐downloads te<br />

faciliter<strong>en</strong>, behor<strong>en</strong> tot de activiteit<strong>en</strong> bij deze rol (Provos, 2008).<br />

2.22.5 De ‘Access provider’<br />

De phisher wil graag e<strong>en</strong> plek hebb<strong>en</strong> waar hij ongestoord <strong>en</strong> anoniem zijn werk<br />

kan do<strong>en</strong>. Mogelijkhed<strong>en</strong> waar phishers zich van bedi<strong>en</strong><strong>en</strong> zijn onbeveiligde WiFi<br />

netwerk<strong>en</strong>, bibliotheekcomputers <strong>en</strong> <strong>internet</strong>cafés. Eig<strong>en</strong>lijk zijn alle anonieme<br />

plaats<strong>en</strong> met gratis of zeer goedkoop <strong>internet</strong> interessant, zo ook hotels <strong>en</strong><br />

(zak<strong>en</strong>)restaurants. Van de min of meer illegale accessproviders zijn anonimisers de<br />

bek<strong>en</strong>dste. Deze bied<strong>en</strong> privacybescherming tijd<strong>en</strong>s het surf<strong>en</strong> door het IP‐adres<br />

van de gebruiker te verberg<strong>en</strong>. Ook kan er anoniem e‐mail verstuurd word<strong>en</strong>.<br />

Daarnaast zijn er malafide ISP’s die letterlijk e<strong>en</strong> oogje dichtknijp<strong>en</strong> wat betreft het<br />

gedrag van hun klant<strong>en</strong>. Deze ISP’s k<strong>en</strong>n<strong>en</strong> vaak andere dan reguliere<br />

betalingsmodell<strong>en</strong> (gratis vanwege reclame op site, online met creditcard, etc.).<br />

De meeste registreerders van domeinnam<strong>en</strong> zijn niet actief betrokk<strong>en</strong> bij flux<br />

schema’s. Mogelijk word<strong>en</strong> zij net zo misbruikt door de cybercriminel<strong>en</strong> als de<br />

eindslachtoffers. Doorverkopers van domeinnam<strong>en</strong> <strong>en</strong> e<strong>en</strong> klein aantal<br />

registreerders lijk<strong>en</strong> direct betrokk<strong>en</strong> bij fast‐flux domeinaanvall<strong>en</strong>. Er is echter nog<br />

niemand vervolgd voor betrokk<strong>en</strong>heid bij e<strong>en</strong> fast‐flux aanval, ook al zijn er wel<br />

melding<strong>en</strong> van e<strong>en</strong> ICANN registreerder die gekoppeld wordt aan e<strong>en</strong> groot aantal<br />

<strong>fraud</strong>uleuze domeinnam<strong>en</strong>, waaronder fast‐flux domein<strong>en</strong> (Internet Corporation<br />

for Assigned Names and Numbers (ICANN), 2009, p. 9). Daarbuit<strong>en</strong> zijn er meer dan<br />

50.000 domeinnam<strong>en</strong> afgeslot<strong>en</strong> die direct betrokk<strong>en</strong> war<strong>en</strong> bij <strong>fraud</strong>uleuze<br />

handeling<strong>en</strong> of waarvan de eig<strong>en</strong>ar<strong>en</strong> consequ<strong>en</strong>t verdacht gedrag vertoond<strong>en</strong>. De<br />

handeling<strong>en</strong> met domeinnam<strong>en</strong> liep<strong>en</strong> uite<strong>en</strong> van spamming, phishing <strong>en</strong><br />

spoofing,tot malware verspreiding, online <strong>kinderporno</strong> <strong>en</strong> valse ‘Whois’ informatie.<br />

Niet alle<strong>en</strong> de domeinnam<strong>en</strong> zelf werd<strong>en</strong> verwijderd, maar ook alle activiteit<strong>en</strong> die<br />

met deze domeinnam<strong>en</strong> te mak<strong>en</strong> hadd<strong>en</strong> werd<strong>en</strong> opgeschort. Ook is e<strong>en</strong> aantal<br />

bedrijv<strong>en</strong> geïd<strong>en</strong>tificeerd dat door cybercriminel<strong>en</strong> verkoz<strong>en</strong> wordt. Dit zijn<br />

114


ijvoorbeeld Vivids Media GMBH, Klikdomains, MyNick.name, and Webst.ru. Van<br />

de domeinnam<strong>en</strong> die bij deze providers war<strong>en</strong> geregistreerd, zijn er 125.000<br />

afgeslot<strong>en</strong> (Armin & B.Turakhia, 2008).<br />

2.22.6 De ‘Hacker’<br />

In e<strong>en</strong> aantal processtapp<strong>en</strong> kan het voor de phisher nodig zijn in te brek<strong>en</strong> op mail<br />

of webservers. Hiervoor is wel gedeg<strong>en</strong> k<strong>en</strong>nis vereist. Deze k<strong>en</strong>nis is beschikbaar<br />

op verschill<strong>en</strong>de fora op het <strong>internet</strong>, maar het kan e<strong>en</strong> precies <strong>en</strong> tijdrov<strong>en</strong>d<br />

karwei zijn de juiste informatie te vind<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> is het risico van inbrek<strong>en</strong> op<br />

e<strong>en</strong> server vrij groot. E<strong>en</strong> phisher zonder de juiste k<strong>en</strong>nis zal dan ook gebruik will<strong>en</strong><br />

mak<strong>en</strong> van iemand die dit vaker doet. We noem<strong>en</strong> dit in de volksmond e<strong>en</strong> hacker.<br />

In de <strong>internet</strong>wereld wordt dit echter e<strong>en</strong> scriptkiddy g<strong>en</strong>oemd. Scriptkiddies<br />

houd<strong>en</strong> zich bezig met de ‘dagelijkse’ kraak‐ <strong>en</strong> inbreekpraktijk. Hackers zitt<strong>en</strong> op<br />

e<strong>en</strong> veel hoger k<strong>en</strong>nis‐ <strong>en</strong> kund<strong>en</strong>iveau. Hackers prober<strong>en</strong>, niet alle<strong>en</strong> voor illegale<br />

praktijk<strong>en</strong>, maar ook ter verhoging van de veiligheid, veiligheidslekk<strong>en</strong> in de<br />

nieuwste programmatuur te vind<strong>en</strong>.<br />

2.23 ‘The Targets’<br />

Binn<strong>en</strong> de actorroll<strong>en</strong> van het phishingdelict kan e<strong>en</strong> groep van directe of indirecte<br />

slachtoffers geïd<strong>en</strong>tificeerd word<strong>en</strong>. Binn<strong>en</strong> de context van dit onderzoek word<strong>en</strong><br />

deze roll<strong>en</strong> gezam<strong>en</strong>lijk de ‘targets’ g<strong>en</strong>oemd. De belangrijkste hiervan word<strong>en</strong><br />

hieronder besprok<strong>en</strong>.<br />

2.23.1 De ‘Institution’<br />

Het doelwit van de phishingaanval is e<strong>en</strong> bank, e<strong>en</strong> veilingsite, e<strong>en</strong><br />

spelontwikkelaar of andere interessante instelling. De aantrekkelijkheid van de<br />

instelling voor phishers wordt bepaald door het niveau aan veiligheidsmaatregel<strong>en</strong><br />

dat de instelling k<strong>en</strong>t om misbruik te voorkom<strong>en</strong> <strong>en</strong> de verwachte opbr<strong>en</strong>gst van<br />

e<strong>en</strong> aanval.<br />

“De volg<strong>en</strong>de instelling<strong>en</strong> kom<strong>en</strong> vooral in aanmerking voor e<strong>en</strong> phishingaanval:<br />

financiële instelling<strong>en</strong> met online transactiemogelijkhed<strong>en</strong> (bank<strong>en</strong>, creditcard,<br />

belegging, verzekering);<br />

online war<strong>en</strong>huiz<strong>en</strong> waar goeder<strong>en</strong> besteld kunn<strong>en</strong> word<strong>en</strong> (vooral met one‐<br />

115


click shopping;)<br />

online di<strong>en</strong>st<strong>en</strong>verstrekker (tickets, software);<br />

veilingsites;<br />

communitysites (om username/wachtwoord te achterhal<strong>en</strong>, online cred<strong>en</strong>tials);<br />

gaming sites,<br />

ISP’s/universiteit<strong>en</strong>/webcafés (om accounts te krak<strong>en</strong>).”<br />

Kortom, elke site waar cred<strong>en</strong>tials van gebruikers geregistreerd word<strong>en</strong>, waarna<br />

deze direct of indirect omgezet kunn<strong>en</strong> word<strong>en</strong> in middel<strong>en</strong>.<br />

2.23.2 Het ‘Victim’<br />

De slachtoffers zijn in de breedste zin van het woord alle ontvangers van de spam<br />

e‐mail die nam<strong>en</strong>s de phisher verstuurd wordt. Hierbij mog<strong>en</strong> we de instelling die<br />

door de phisher als doelwit is gekoz<strong>en</strong> ook niet verget<strong>en</strong>, aangezi<strong>en</strong> zij vaak voor de<br />

schade mag opdraai<strong>en</strong> die de phisher berokk<strong>en</strong>t. De uiteindelijke slachtoffers zijn<br />

dieg<strong>en</strong><strong>en</strong> die de spam e‐mail op<strong>en</strong><strong>en</strong>, op de spoof link klikk<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s hun<br />

gegev<strong>en</strong>s invull<strong>en</strong>. Hiervan is niet iedere<strong>en</strong> direct slachtoffer, omdat er ook<br />

person<strong>en</strong> zijn die hier informatie invull<strong>en</strong> om de phisher dwars te zitt<strong>en</strong>. Zij lat<strong>en</strong> de<br />

phisher zi<strong>en</strong> dat ze hem door hebb<strong>en</strong> via de gebruikersnam<strong>en</strong> <strong>en</strong> wachtwoord<strong>en</strong>.<br />

2.23.3 De ‘Money transfer ag<strong>en</strong>t’<br />

Deze bedrijv<strong>en</strong> faciliter<strong>en</strong> het overboek<strong>en</strong> van contant <strong>en</strong> giraal geld naar land<strong>en</strong><br />

waar het bancaire systeem te w<strong>en</strong>s<strong>en</strong> over laat. Geld wordt in land A bij kantoor a<br />

gedeponeerd, voorzi<strong>en</strong> van e<strong>en</strong> bestemming met land B <strong>en</strong> kantoor b. Vervolg<strong>en</strong>s<br />

wordt er e<strong>en</strong> wachtwoord afgesprok<strong>en</strong> waarmee het geld bij kantoor b kan word<strong>en</strong><br />

afgehaald. Dit wachtwoord wordt gecommuniceerd tuss<strong>en</strong> de betrokk<strong>en</strong> partij<strong>en</strong>,<br />

maar niet met het money transfer kantoor. Money transfer kantor<strong>en</strong> zijn e<strong>en</strong><br />

manier om snel <strong>en</strong> e<strong>en</strong>voudig girale <strong>en</strong> contante overboeking<strong>en</strong> naar anonieme<br />

ontvangers over de hele wereld te do<strong>en</strong>.<br />

2.23.1 De ‘Online shop’<br />

Online winkels zijn e<strong>en</strong> ideale plek voor phishers om buitgemaakte<br />

creditcardgegev<strong>en</strong>s te gebruik<strong>en</strong> bij de aanschaf van product<strong>en</strong>. De online winkel<br />

kan dit nauwelijks voorkom<strong>en</strong>, omdat de betaling op zich volledig legitiem plaats<br />

vindt, via e<strong>en</strong> legitiem kanaal. Dat de betaler op e<strong>en</strong> illegale wijze aan de<br />

116


etalingsgegev<strong>en</strong>s is gekom<strong>en</strong>, kan de winkel niet zi<strong>en</strong>. In sommige gevall<strong>en</strong> lijk<strong>en</strong><br />

online winkels of betalingspagina’s deel uit te mak<strong>en</strong> van e<strong>en</strong> phishing aanval.<br />

2.24 Conclusies<br />

Resumé<br />

<strong>Phishing</strong> doet zich voor in tal van modaliteit<strong>en</strong> waarbij de verschill<strong>en</strong>de stapp<strong>en</strong>, in<br />

de beschrev<strong>en</strong> of in e<strong>en</strong> andere volgorde, op e<strong>en</strong> of andere manier steeds zull<strong>en</strong><br />

voorkom<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> word<strong>en</strong> phishingaanvall<strong>en</strong> steeds gerichter. Slechts klant<strong>en</strong><br />

van bank X ontvang<strong>en</strong> mail bij e<strong>en</strong> phishing aanval op bank X. Dit lijkt logisch, maar<br />

vereist veel van de adress<strong>en</strong>verzamelaar <strong>en</strong> drijft de prijs voor aanvall<strong>en</strong> op.<br />

Daardoor ontstaat ook e<strong>en</strong> noodzaak om per aanval de opbr<strong>en</strong>gst zo groot mogelijk<br />

te mak<strong>en</strong>. Het ‘targett<strong>en</strong>’ van e<strong>en</strong> phishing aanval gebeurt door middel van sociale<br />

netwerksites of gerichte adresverzameling door het hack<strong>en</strong> van mailservers. Niet<br />

alle<strong>en</strong> voor bank<strong>en</strong> geldt dat phishing aanvall<strong>en</strong> steeds specifieker word<strong>en</strong>, er is<br />

e<strong>en</strong> tweede tr<strong>en</strong>d in het verpersoonlijk<strong>en</strong> van phishing aanvall<strong>en</strong>. Hierbij wordt<br />

’gespeeld’ met de verstuurder van de mail, zodat het lijkt alsof e<strong>en</strong> waarschuwing<br />

betreff<strong>en</strong>de wachtwoord<strong>en</strong> van e<strong>en</strong> collega, de HR‐afdeling of iets dergelijks komt.<br />

Dit vergroot het vertrouw<strong>en</strong> van de ontvanger in de geloofwaardigheid van de<br />

boodschap in de phishingmail <strong>en</strong> dus ook de kans dat hij of zij slachtoffer wordt.<br />

De aandacht van toezichthouders <strong>en</strong> opsporingsorganisaties conc<strong>en</strong>treert zich rond<br />

stap 7 van het phishingproces. E<strong>en</strong> stap waarin ook de phisher zich kwetsbaar <strong>en</strong><br />

bespied weet zodat zijn evolutie qua gevolgde werkwijze <strong>en</strong> toegepaste<br />

afschermingtechnologie zich ook rond dit c<strong>en</strong>trum beweegt. Het meer stabiele<br />

voor‐ <strong>en</strong> na‐traject biedt daardoor juist kans<strong>en</strong> voor de opsporing, terwijl de<br />

bestrijding daar veel minder op is gericht. Dat is ook begrijpelijk: e<strong>en</strong> financiële<br />

instelling zal vooral de spoof website uit de lucht will<strong>en</strong> hebb<strong>en</strong> (notice and take<br />

down) zodat de schade beperkt wordt. Bij de complexiteit van het vind<strong>en</strong> van<br />

daders in hun verschill<strong>en</strong>de roll<strong>en</strong> heeft m<strong>en</strong> zich al bijna neergelegd.<br />

De processtapp<strong>en</strong> <strong>en</strong> hun beschrijving <strong>en</strong> modaliteit<strong>en</strong> zijn te zi<strong>en</strong> als hypothes<strong>en</strong><br />

over de wijze waarop daders te werk gaan. Door het gebruik van DIY‐phishingkits<br />

wordt e<strong>en</strong> aantal van die stapp<strong>en</strong> niet handmatig uitgevoerd maar overg<strong>en</strong>om<strong>en</strong><br />

door e<strong>en</strong> stuk software, maar in ess<strong>en</strong>tie blijv<strong>en</strong> het dezelfde stapp<strong>en</strong>. Wel vall<strong>en</strong><br />

daardoor roll<strong>en</strong> weg in het complex dat de dader om zich he<strong>en</strong> verzamelt. Vooral<br />

money mules zijn de achilleshiel in cybercriminaliteit.<br />

117


“Interv<strong>en</strong>ties gericht op de specifieke roll<strong>en</strong> zijn effectiever dan die gericht op e<strong>en</strong><br />

(deel van de) MO.”<br />

“<strong>Phishing</strong> wordt in de basis steeds e<strong>en</strong>voudiger met de opkomst van DIY‐kits. Het<br />

verkrijg<strong>en</strong> van winst wordt echter steeds moeilijker, door de betere k<strong>en</strong>nis van<br />

slachtoffers, het moeilijker word<strong>en</strong> van het krijg<strong>en</strong> van adress<strong>en</strong>, de hogere prijs<br />

voor gerichte adress<strong>en</strong>bestand<strong>en</strong> <strong>en</strong> de to<strong>en</strong>em<strong>en</strong>de beveiliging van websites met<br />

gevoelige informatie. Kortom: sophisticated phishing is niet voor iedere<strong>en</strong><br />

weggelegd.”<br />

Ontwikkeling<strong>en</strong><br />

We hebb<strong>en</strong> het phishingproces uite<strong>en</strong>gerafeld in e<strong>en</strong> aantal stapp<strong>en</strong>. Evolutie vindt<br />

vooral plaats in de stapp<strong>en</strong> waarin gebruikers word<strong>en</strong> misleid <strong>en</strong> feitelijk hun<br />

gegev<strong>en</strong>s word<strong>en</strong> ontfutseld. MO’s die actueel in trek zijn of zull<strong>en</strong> rak<strong>en</strong>:<br />

man‐in‐the‐browser aanvall<strong>en</strong> door middel van pop‐up scherm<strong>en</strong> met verlop<strong>en</strong><br />

sessieboodschap tijd<strong>en</strong>s of na banktransacties <strong>en</strong> creditcardtransacties;<br />

malware installatie door het klikk<strong>en</strong> op links in phishing mails;<br />

drive‐by downloads ter verspreiding van malware via veelbezochte sites<br />

(nu.nl);<br />

SQL injectie (man‐in‐the‐browser);<br />

malware scripts verstopt in ad banners;<br />

analyse Doubleclick ads;<br />

betaling via gestol<strong>en</strong> creditcardgegev<strong>en</strong>s <strong>en</strong> PayPal;<br />

VoIP phishing via de telefoon (vishing), <strong>en</strong><br />

man‐in‐the‐target aanvall<strong>en</strong> waarbij de phisher malware weet te plaats<strong>en</strong> in de<br />

website van de financiële instelling zelf.<br />

De laatste twee ontwikkeling<strong>en</strong> lijk<strong>en</strong> de meeste gevaarlijke. Aan de zijde van de<br />

cliënt verandert er niets <strong>en</strong> zij of hij logt gewoon in bij de financiële instelling. Op de<br />

site van de instelling zelf wordt de betaalopdracht gemanipuleerd of word<strong>en</strong><br />

inloggegev<strong>en</strong>s doorgestuurd.<br />

Criminel<strong>en</strong> mak<strong>en</strong> meer <strong>en</strong> meer gebruik van <strong>en</strong>cryptie. T<strong>en</strong>zij de <strong>en</strong>cryptie niet<br />

goed is uitgevoerd, zijn deze gegev<strong>en</strong>s onbereikbaar voor derd<strong>en</strong>.<br />

Verder is er e<strong>en</strong> tr<strong>en</strong>d waarneembaar naar continue verzilvering van k<strong>en</strong>nis in geld.<br />

Zodra e<strong>en</strong> vorm van phishing opgevolgd wordt door e<strong>en</strong> meer geavanceerde vorm,<br />

verwerkt de oude werkwijze in e<strong>en</strong> DIY‐kit. Dit heeft als voordeel dat hijzelf steeds<br />

over state‐of‐the‐art techniek<strong>en</strong> beschikt, maar via de DIY kits die hij verkoopt nog<br />

geld verdi<strong>en</strong>t aan de oudere techniek<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> bevatt<strong>en</strong> de meeste DIY‐kits<br />

118


e<strong>en</strong> ingang (backdoor) die alle<strong>en</strong> de verkoper k<strong>en</strong>t, zodat hij na de verkoop nog<br />

steeds mee kan profiter<strong>en</strong> van de resultat<strong>en</strong> van de door hem verkochte DIY kits.<br />

Zo kan de phisher met de nieuwste techniek<strong>en</strong> zich in lat<strong>en</strong> hur<strong>en</strong> voor<br />

geavanceerde aanvall<strong>en</strong>, terwijl hij continu geld verdi<strong>en</strong>t met de iets oudere<br />

techniek via de verkoop van DIY kits, die hem ook nog e<strong>en</strong>s van meer informatie<br />

voorzi<strong>en</strong>.<br />

Ontwikkeling VoIP<br />

Voice+phishing=Vishing<br />

Vishing is e<strong>en</strong> variant op phishing die inspeelt op het wantrouw<strong>en</strong> dat gebruikers<br />

hebb<strong>en</strong> in het <strong>internet</strong> <strong>en</strong> het vertrouw<strong>en</strong> dat de gebruiker nog heeft in de<br />

telefoonverbinding.<br />

E<strong>en</strong> pot<strong>en</strong>tieel slachtoffer ontvangt e<strong>en</strong> standaard spam bericht met<br />

veiligheidswaarschuwing <strong>en</strong> e<strong>en</strong> opdracht zijn gegev<strong>en</strong>s te controler<strong>en</strong>, maar hierin<br />

wordt niet gevraagd op e<strong>en</strong> url te klikk<strong>en</strong>, maar om e<strong>en</strong> nummer te bell<strong>en</strong>. Dit<br />

br<strong>en</strong>gt de visher twee voordel<strong>en</strong>: het pot<strong>en</strong>tiële slachtoffer verwacht niet dat dit e<strong>en</strong><br />

poging tot oplichting is <strong>en</strong> hij of zij zal minder bek<strong>en</strong>d zijn met de telefoonnummers<br />

van bank<strong>en</strong> <strong>en</strong> andere kwetsbare instelling<strong>en</strong> dan met hun url. Via Voice over IP<br />

(VOIP) is het voor de visher e<strong>en</strong>voudig om de nummerweergave te saboter<strong>en</strong>,<br />

zodat het slachtoffer het correcte nummer in zijn display ziet, terwijl hij met e<strong>en</strong><br />

andere c<strong>en</strong>trale wordt doorverbond<strong>en</strong>. Het slachtoffer krijgt e<strong>en</strong> geautomatiseerde<br />

boodschap te hor<strong>en</strong> <strong>en</strong> wordt gevraagd zijn creditcardnummer in te toets<strong>en</strong> <strong>en</strong><br />

vervolg<strong>en</strong>s zijn veiligheidscode. De visher heeft nu alle b<strong>en</strong>odigde gegev<strong>en</strong>s om de<br />

creditcard te kunn<strong>en</strong> misbruik<strong>en</strong>.<br />

Bron: www.<strong>en</strong>.wikipedia.org/wiki/Vishing<br />

Het onderzoeksmateriaal<br />

De instanties van wie de onderzoeksdossiers in het kader van het NICC‐onderzoek<br />

zijn onderzocht richt<strong>en</strong> zich logischerwijs op dat stuk van de onrechtmatigheid waar<br />

het in de bewijsvoering <strong>en</strong> sanctionering om draait. Achtergrondinformatie,<br />

bijvoorbeeld over de wijze waarop adress<strong>en</strong> zijn verkreg<strong>en</strong> voor de uit te voer<strong>en</strong><br />

spamruns <strong>en</strong> uit welke bron die afkomstig zijn of hoe het geld wordt verplaatst, zijn<br />

voor die bewijsvoering sec niet van belang. Mede omdat naspeuring<strong>en</strong> al gauw ver<br />

over de gr<strong>en</strong>s reik<strong>en</strong> met forse consequ<strong>en</strong>ties qua tijd <strong>en</strong> geld, vindt onderzoek<br />

naar die achtergrond<strong>en</strong> van phishing alle<strong>en</strong> plaats door het KLPD.<br />

Vanwege de focus van de onderzochte dossiers op bewijsvoering <strong>en</strong> minder op<br />

voor‐ <strong>en</strong> na‐traject. moest<strong>en</strong> voor e<strong>en</strong> reconstructie van het proces tal van andere<br />

bronn<strong>en</strong> word<strong>en</strong> geraadpleegd. Met name de inzicht<strong>en</strong> van professionals <strong>en</strong><br />

119


verk<strong>en</strong>ning<strong>en</strong> in de krocht<strong>en</strong> van het <strong>internet</strong> zelf hebb<strong>en</strong> het beeld aangevuld. Dat<br />

levert vooral e<strong>en</strong> staalkaart op aan voorkom<strong>en</strong>de modaliteit<strong>en</strong> <strong>en</strong> ge<strong>en</strong><br />

repres<strong>en</strong>tatief beeld. Er wordt op <strong>internet</strong> veel beweerd <strong>en</strong> geclaimd, maar<br />

daarmee is het nog niet waar. Het zijn vooral de dominante spelers op het veld zelf<br />

(software v<strong>en</strong>dors, <strong>internet</strong> securitybedrijv<strong>en</strong>) die het beeld bepal<strong>en</strong>, waarbij zij<br />

nogal lijk<strong>en</strong> te word<strong>en</strong> gedrev<strong>en</strong> door nieuwswaarde <strong>en</strong> het aftroev<strong>en</strong> van de<br />

concurr<strong>en</strong>t.<br />

120


Hoofdstuk 3 Kinderporno <strong>en</strong><br />

grooming<br />

Kinderporno is niet e<strong>en</strong> probleem dat zich pas voordoet sinds het gebruik van<br />

<strong>internet</strong> geme<strong>en</strong>goed is geword<strong>en</strong>. Activiteit<strong>en</strong> rondom <strong>kinderporno</strong>grafie zijn<br />

door de opkomst van het <strong>internet</strong> wel veranderd. Ze hebb<strong>en</strong> zich voor e<strong>en</strong><br />

belangrijk deel naar de digitale omgeving verplaatst, ondertuss<strong>en</strong> gebruikmak<strong>en</strong>d<br />

van nieuwe manier<strong>en</strong> om <strong>kinderporno</strong> te vervaardig<strong>en</strong>, te verspreid<strong>en</strong>, te<br />

bekijk<strong>en</strong> <strong>en</strong> te kop<strong>en</strong>. Net als in het geval van andere vorm<strong>en</strong> van cybercrime,<br />

bemoeilijk<strong>en</strong> de grote mate van anonimiteit <strong>en</strong> het ‘global’ karakter van het<br />

<strong>internet</strong>, de bestrijding van <strong>kinderporno</strong>. Daders bedi<strong>en</strong><strong>en</strong> zich van allerlei<br />

techniek<strong>en</strong> om ge<strong>en</strong> spor<strong>en</strong> achter te lat<strong>en</strong> waaronder versleuteling <strong>en</strong><br />

afscherming van herkomstgegev<strong>en</strong>s. In dit hoofdstuk is <strong>internet</strong>gerelateerde<br />

<strong>kinderporno</strong> aan de orde, waarbij het waarschijnlijk lijkt dat klassieke productie<br />

<strong>en</strong> verspreiding van <strong>kinderporno</strong> <strong>en</strong> die via <strong>internet</strong>, dezelfde bronn<strong>en</strong> met elkaar<br />

del<strong>en</strong>. Aan de basis van dit hoofdstuk ligt e<strong>en</strong> deelonderzoek dat, naast de<br />

bijdrage aan dit rapport, heeft geresulteerd in e<strong>en</strong> masterscriptie Nederlands<br />

Recht over de strafbaarstelling van grooming (Vrolijk, 2009). Het deelonderzoek,<br />

<strong>en</strong> daarmee ook dit hoofdstuk, leunt op interviews met diverse deskundig<strong>en</strong> in de<br />

s<strong>fee</strong>r van de behandeling <strong>en</strong> bestrijding van daders, analyse van de dossiers van<br />

drie grote opsporingsonderzoek<strong>en</strong>, <strong>en</strong> uitgebreide literatuurstudie <strong>en</strong><br />

<strong>internet</strong>research. Conform de prioriteit<strong>en</strong> binn<strong>en</strong> politie <strong>en</strong> OM, richt rec<strong>en</strong>t<br />

wet<strong>en</strong>schappelijk onderzoek naar <strong>kinderporno</strong> zich op downloaders <strong>en</strong> daarmee<br />

ook hoofdzakelijk op het eind van de voortbr<strong>en</strong>gingsket<strong>en</strong>. In dit derde hoofdstuk<br />

is door middel van ‘filling in the blanks’ getracht ook de eerdere stapp<strong>en</strong> in de<br />

voortbr<strong>en</strong>ging van <strong>kinderporno</strong> te beschrijv<strong>en</strong>. Als belangrijk onderscheid tek<strong>en</strong>t<br />

zich daarin e<strong>en</strong> verschil af tuss<strong>en</strong> de professionele voortbr<strong>en</strong>ging van ev<strong>en</strong>e<strong>en</strong>s<br />

professioneel foto‐ of filmmateriaal, <strong>en</strong> wat m<strong>en</strong> zou kunn<strong>en</strong> noem<strong>en</strong> de<br />

amateurproductie. Naast de MO’s van de productie, distributie <strong>en</strong> afname van<br />

<strong>kinderporno</strong>, gaat het hoofdstuk in op de verschill<strong>en</strong>de roll<strong>en</strong> die daarin<br />

voorkom<strong>en</strong>. De meeste van deze roll<strong>en</strong> word<strong>en</strong> in de literatuur niet beschrev<strong>en</strong>,<br />

laat staan de k<strong>en</strong>merk<strong>en</strong> van die roll<strong>en</strong>. Indeling<strong>en</strong> van wel beschrev<strong>en</strong> daders<br />

(<strong>en</strong> dan vooral de pedoseksuele kijker of downloader) blijv<strong>en</strong> begrijpelijk nogal<br />

algeme<strong>en</strong>, onder andere omdat pedoseksualiteit niet e<strong>en</strong>duidig sam<strong>en</strong>hangt met<br />

bijvoorbeeld sociaaldemografische k<strong>en</strong>merk<strong>en</strong>. De hypothes<strong>en</strong> die in dit<br />

hoofdstuk word<strong>en</strong> gepres<strong>en</strong>teerd prober<strong>en</strong>, hoe beperkt ook, e<strong>en</strong> stap verder te<br />

gaan. Ze zijn eerder ontle<strong>en</strong>d aan noties die m<strong>en</strong> tot de geleg<strong>en</strong>heidstheorie zou<br />

kunn<strong>en</strong> rek<strong>en</strong><strong>en</strong> dan dat ze letterlijk hun houvast vind<strong>en</strong> in empirische<br />

121


waarneming<strong>en</strong>, hoewel ze daardoor wel zijn geïnspireerd. Daderk<strong>en</strong>merk<strong>en</strong> zijn<br />

zoveel mogelijk vertaald in de k<strong>en</strong>merk<strong>en</strong> van waarneembaar gedrag in plaats<br />

van te focuss<strong>en</strong> op meer achterligg<strong>en</strong>de, moeilijk detecteerbare, <strong>en</strong> weinig<br />

sam<strong>en</strong>hang<strong>en</strong>de sociaaldemografische factor<strong>en</strong>.<br />

Het hoofdstuk is nadrukkelijk ge<strong>en</strong> sam<strong>en</strong>vatting van alle beschikbare k<strong>en</strong>nis over<br />

<strong>kinderporno</strong>. De opg<strong>en</strong>om<strong>en</strong> beschrijving<strong>en</strong> <strong>en</strong> hypothes<strong>en</strong> zijn bedoeld om waar<br />

mogelijk te ondersteun<strong>en</strong> bij de detectie van productie <strong>en</strong> digitale verspreiding<br />

van <strong>kinderporno</strong>, hoe moeilijk dat in de praktijk ook is.<br />

3.1 Begrip- <strong>en</strong> plaatsbepaling<br />

<strong>internet</strong>gerelateerde <strong>kinderporno</strong><br />

Voorbeeld<strong>en</strong><br />

De opkomst van het <strong>internet</strong>, zo rond 1991, had tot gevolg dat <strong>kinderporno</strong> <strong>en</strong><br />

seksueel misbruik veel zichtbaarder werd<strong>en</strong> dan dat zij tot dan toe war<strong>en</strong> geweest.<br />

Mede door de digitale techniek werd het e<strong>en</strong>voudig om misbruik vast te legg<strong>en</strong> <strong>en</strong><br />

het via het <strong>internet</strong> te verspreid<strong>en</strong>. De toegang tot <strong>kinderporno</strong> werd daarmee voor<br />

e<strong>en</strong> groter publiek ontslot<strong>en</strong>, als gevolg waarvan <strong>kinderporno</strong> e<strong>en</strong> steeds grotere<br />

nationale <strong>en</strong> internationale zorg is geword<strong>en</strong>. Binn<strong>en</strong> de anonimiteit van het<br />

<strong>internet</strong> verlegg<strong>en</strong> daders hun gr<strong>en</strong>z<strong>en</strong> <strong>en</strong> durv<strong>en</strong> zij meer dan wanneer m<strong>en</strong> het<br />

zonder zou moet<strong>en</strong> do<strong>en</strong> (Van Wijk, Bull<strong>en</strong>s, & Van d<strong>en</strong> Eshof, 2007, pp. 239‐240).<br />

Het van achter de computer thuis op zolder download<strong>en</strong> van <strong>kinderporno</strong> is<br />

laagdrempeliger, dan het moet<strong>en</strong> aankop<strong>en</strong> bij e<strong>en</strong> obscure seksshop onder de<br />

toonbank. Dezelfde anonimiteit vere<strong>en</strong>voudigt ook de verspreiding van<br />

<strong>kinderporno</strong>. Daders hoev<strong>en</strong> elkaar niet ‘echt’ te k<strong>en</strong>n<strong>en</strong>. Met e<strong>en</strong> nickname of e<strong>en</strong><br />

avatar voelt het veiliger <strong>en</strong> minder <strong>en</strong>g om materiaal door te stur<strong>en</strong> naar andere<br />

geïnteresseerd<strong>en</strong>. Zij wet<strong>en</strong> elkaar bov<strong>en</strong>di<strong>en</strong> gemakkelijker te vind<strong>en</strong> waar<br />

geografische afstand<strong>en</strong> er op het <strong>internet</strong> niet toe do<strong>en</strong>. De kans om<br />

gelijkgestemd<strong>en</strong> op het <strong>internet</strong> teg<strong>en</strong> te kom<strong>en</strong> is ook vele mal<strong>en</strong> groter doordat<br />

deze m<strong>en</strong>s<strong>en</strong> eerder hun interesse durv<strong>en</strong> te ton<strong>en</strong> <strong>en</strong> actief zijn op sites met<br />

betrekking tot <strong>kinderporno</strong>. Op beslot<strong>en</strong> fora <strong>en</strong> nieuwsgroep<strong>en</strong> wissel<strong>en</strong> zij tips<br />

uit, ruil<strong>en</strong> materiaal <strong>en</strong> plann<strong>en</strong> zij ‘misbruik‐bije<strong>en</strong>komst<strong>en</strong>’. Dankzij de omvang<br />

van het <strong>internet</strong> <strong>en</strong> de beperkte int<strong>en</strong>siteit van de communicatie, is de pakkans ook<br />

nog e<strong>en</strong>s gering. Onder andere het internationale karakter <strong>en</strong> de verschill<strong>en</strong>de<br />

wettelijke regels per land zorg<strong>en</strong> ervoor dat daders uit de hand<strong>en</strong> van politie <strong>en</strong><br />

justitie kunn<strong>en</strong> blijv<strong>en</strong>. Aan de andere kant lijk<strong>en</strong> daders door alle aandacht van<br />

opsporingsinstanties juist ook voorzichtiger te word<strong>en</strong>. Pedoseksuele activiteit<strong>en</strong><br />

122


spel<strong>en</strong> zich dan ook steeds meer af binn<strong>en</strong> de beslot<strong>en</strong> del<strong>en</strong> van het <strong>internet</strong>.<br />

Net als over <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>, bestaat ook over <strong>kinderporno</strong> discussie of<br />

het wel of niet als cybercrime mag word<strong>en</strong> aangemerkt. Vooral die vorm<strong>en</strong> van<br />

<strong>kinderporno</strong> die alle<strong>en</strong> over het net word<strong>en</strong> gedistribueerd <strong>en</strong> niet met behulp van<br />

dat <strong>internet</strong> zijn vervaardigd, word<strong>en</strong> dan gezi<strong>en</strong> als e<strong>en</strong> vorm van op zichzelf legale<br />

communicatie zij het met e<strong>en</strong> illegale inhoud. En dus zou dat niet moet<strong>en</strong> word<strong>en</strong><br />

aangemerkt als cybercrime. Kinderporno die wel met behulp van het <strong>internet</strong><br />

wordt vervaardigd <strong>en</strong> die er zonder dat <strong>internet</strong> ook niet zou zijn (zie onderstaand<br />

voorbeeld), valt in die b<strong>en</strong>adering weer wel onder cybercrime. Van deze discussie is<br />

k<strong>en</strong>nis g<strong>en</strong>om<strong>en</strong> <strong>en</strong> met behulp van de e<strong>en</strong>voudige definitie van ons functionele<br />

onderzoek in feite ook beslecht. Kinderporno met e<strong>en</strong> relatie naar het <strong>internet</strong>, ook<br />

al bestaat die uitsluit<strong>en</strong>d uit de wijze van distributie, valt onder de reikwijdte van<br />

onze definitie van cybercrime als <strong>internet</strong> gerelateerde criminaliteit.<br />

Kinderporno vervaardigd met het <strong>internet</strong><br />

Grooming<br />

“E<strong>en</strong> man, zelf vader, heeft via <strong>internet</strong> (chat) e<strong>en</strong> meisje van acht jaar gebracht tot<br />

het bij zichzelf verricht<strong>en</strong> van ontuchtige handeling<strong>en</strong> waarbij hij haar via e<strong>en</strong><br />

webcam kon zi<strong>en</strong>. De handeling<strong>en</strong> bestond<strong>en</strong> onder andere uit het p<strong>en</strong>etrer<strong>en</strong> of<br />

betast<strong>en</strong> van haar vagina met haar vingers of e<strong>en</strong> p<strong>en</strong>. De verdachte heeft daarbij<br />

ook <strong>en</strong>kele mal<strong>en</strong> zichzelf aan haar getoond via zijn webcam, terwijl hij<br />

masturbeerde. Hij heeft haar zover gekreg<strong>en</strong>, door voor haar (virtuele) meubels te<br />

kop<strong>en</strong> <strong>en</strong> te gev<strong>en</strong> voor de inrichting van haar (virtuele) kamer op de <strong>internet</strong>site<br />

habbohotel.nl. De man kon zo e<strong>en</strong>voudig <strong>kinderporno</strong> vervaardig<strong>en</strong>, door de<br />

webcamsex die hij had met de achtjarige, op te nem<strong>en</strong> met zijn computer.”<br />

Bron: LJN BB0089<br />

Definitie<br />

Door via het <strong>internet</strong> gedistribueerde <strong>kinderporno</strong> ook onder de definitie van<br />

cybercrime te lat<strong>en</strong> vall<strong>en</strong>, is het begrip als zodanig nog niet gedefinieerd. De<br />

Stichting Meldpunt ter bestrijding van Kinderpornografie (hierna te noem<strong>en</strong> het<br />

Meldpunt) pleit ervoor te sprek<strong>en</strong> van ‘afbeelding<strong>en</strong> van seksueel kindermisbruik’<br />

in plaats van ‘<strong>kinderporno</strong>’ (Meldpunt, 2008). Het is de vraag welke definitie past<br />

bij de functionele inslag van dit onderzoek. Is dat het verricht<strong>en</strong>, afbeeld<strong>en</strong>,<br />

uitbeeld<strong>en</strong> <strong>en</strong> verspreid<strong>en</strong> van seksuele handeling<strong>en</strong> met kinder<strong>en</strong>, of moet<br />

123


aansluiting word<strong>en</strong> gezocht bij de formulering van artikel 240b Sr 28 ? Niet helemaal,<br />

omdat de detectiehypothes<strong>en</strong> waarom het in dit onderzoek o.a. draait, niet zo<br />

precies kunn<strong>en</strong> word<strong>en</strong> afgesteld dat ze uitsluit<strong>en</strong>d indicaties oplever<strong>en</strong> van MO’s<br />

met kinder<strong>en</strong> die k<strong>en</strong>nelijk nog ge<strong>en</strong> 18 jaar zijn. T<strong>en</strong>minste niet gezi<strong>en</strong> het doel dat<br />

met detectiehypothes<strong>en</strong> wordt beoogd <strong>en</strong> de daaruit voortvloei<strong>en</strong>de werkwijze:<br />

het proactief (dus zonder concrete signal<strong>en</strong> als e<strong>en</strong> aangifte) zoek<strong>en</strong> naar<br />

<strong>internet</strong>gerelateerde activiteit<strong>en</strong> <strong>en</strong> naar deg<strong>en</strong><strong>en</strong> die ze ondernem<strong>en</strong>, <strong>en</strong> die in<br />

verband kunn<strong>en</strong> word<strong>en</strong> gebracht met <strong>kinderporno</strong>. Conclusies over de aard van<br />

handeling<strong>en</strong>, over de person<strong>en</strong> waarop die handeling<strong>en</strong> zijn of word<strong>en</strong> verricht<br />

<strong>en</strong>/of over de person<strong>en</strong> die deze handeling<strong>en</strong> verricht<strong>en</strong> (of hebb<strong>en</strong> verricht) zull<strong>en</strong><br />

voor e<strong>en</strong> belangrijk deel niet rechtstreeks kunn<strong>en</strong> word<strong>en</strong> vastgesteld. Ze zull<strong>en</strong><br />

eerder indirect moet<strong>en</strong> word<strong>en</strong> afgeleid, bijvoorbeeld uit de heimelijkheid die op<br />

het <strong>internet</strong> <strong>en</strong> de communicatie via het <strong>internet</strong> wordt betracht om bepaalde<br />

handeling<strong>en</strong> voor ander<strong>en</strong> verborg<strong>en</strong> te houd<strong>en</strong>. Zo zal iemand die het uniek<br />

id<strong>en</strong>tificer<strong>en</strong>de IP‐adres van zijn computer heeft verborg<strong>en</strong>, daarvoor e<strong>en</strong> red<strong>en</strong><br />

hebb<strong>en</strong> die met behulp van e<strong>en</strong> aantal andere parameters wellicht is te relater<strong>en</strong><br />

aan <strong>kinderporno</strong>. Als gevolg van deze indirecte detectiemethode zal uiteindelijk van<br />

het detectieresultaat moet<strong>en</strong> word<strong>en</strong> beoordeeld of het voldoet aan bijvoorbeeld<br />

strafbaarstelling. Of de detectie moet zo word<strong>en</strong> ingericht dat er ge<strong>en</strong> misverstand<br />

kan zijn over de interpretatie van wat geïnterpreteerd wordt.<br />

“C<strong>en</strong>traal in de functionele b<strong>en</strong>adering van <strong>internet</strong>gerelateerde <strong>kinderporno</strong> staat<br />

de heimelijkheid. Het verberg<strong>en</strong> van het gedrag levert e<strong>en</strong> red flag op, waarbij e<strong>en</strong><br />

combinatie van red flags mogelijk inzicht geeft in het kader waarvan de<br />

heimelijkheid plaatsvindt <strong>en</strong> wat er precies wordt verborg<strong>en</strong> (vervaardiging, invoer,<br />

distributie, bezit etc.).”<br />

3.2 Modus operandi<br />

Onze invalshoek van cybercrime als <strong>internet</strong>gerelateerde criminaliteit maakt het<br />

28 Artikel 240b Sr. Lid 1: Met e<strong>en</strong> gevang<strong>en</strong>isstraf van t<strong>en</strong> hoogste vier jar<strong>en</strong> of geldboete van de vijfde<br />

categorie wordt gestraft deg<strong>en</strong>e die e<strong>en</strong> afbeelding‐ of e<strong>en</strong> gegev<strong>en</strong>sdrager bevatt<strong>en</strong>de e<strong>en</strong> afbeeldingvan<br />

e<strong>en</strong> seksuele gedraging, waarbij iemand die k<strong>en</strong>nelijk de leeftijd van achtti<strong>en</strong> jar<strong>en</strong> nog niet heeft<br />

bereikt, is betrokk<strong>en</strong> of schijnbaar is betrokk<strong>en</strong>; Lid 2: Met gevang<strong>en</strong>isstraf van t<strong>en</strong> hoogste zes jar<strong>en</strong> of<br />

e<strong>en</strong> geldboete van de vijfde categorie wordt gestraft deg<strong>en</strong><strong>en</strong> die van het pleg<strong>en</strong> van e<strong>en</strong> van de<br />

misdrijv<strong>en</strong>, omschrev<strong>en</strong> in het eerste lid, e<strong>en</strong> beroep of gewoonte maakt.<br />

124


niet gemakkelijk om één MO van <strong>internet</strong>gerelateerde <strong>kinderporno</strong> te schets<strong>en</strong>.<br />

Ev<strong>en</strong>min is het bij <strong>kinderporno</strong> e<strong>en</strong>voudig om bij wijze van globaal overzicht, vanuit<br />

één daderperspectief de MO’s te beschrijv<strong>en</strong>. Bij phishing <strong>en</strong> bij <strong>advance</strong>‐<strong>fee</strong><br />

<strong>internet</strong> <strong>fraud</strong>, is e<strong>en</strong> regisseursrol aan te wijz<strong>en</strong> die het hele proces min of meer<br />

leidt. Bij <strong>kinderporno</strong> gaat het al snel om verschill<strong>en</strong>de roll<strong>en</strong>, die over verschill<strong>en</strong>de<br />

del<strong>en</strong> van het proces gaan, zonder dat er integraal regie wordt gevoerd. Bov<strong>en</strong>di<strong>en</strong><br />

hoev<strong>en</strong> niet alle processtapp<strong>en</strong> van e<strong>en</strong> MO te word<strong>en</strong> doorlop<strong>en</strong> voordat van<br />

<strong>kinderporno</strong> kan word<strong>en</strong> gesprok<strong>en</strong>. Figuur 3 geeft e<strong>en</strong> overzicht van het<br />

voortbr<strong>en</strong>gingsproces van <strong>kinderporno</strong> zoals dat door de onderzoekers is<br />

geconstrueerd. Op zichzelf is die procesweergave al te zi<strong>en</strong> als e<strong>en</strong> hypothese. We<br />

beschrijv<strong>en</strong> die in vogelvlucht om daarna in te zoom<strong>en</strong> op de verschill<strong>en</strong>de stapp<strong>en</strong>.<br />

Voorwaardelijk voor welke toegang tot het <strong>internet</strong> dan ook is, naast het hebb<strong>en</strong><br />

van e<strong>en</strong> technische aansluiting (‘connection’ via telefoonkabel of glasvezel) [1a],<br />

het verkrijg<strong>en</strong> van e<strong>en</strong> account [2b]. Iemand die met behulp van dat account<br />

<strong>kinderporno</strong> gerelateerde activiteit<strong>en</strong> wil ondernem<strong>en</strong>, zal zich e<strong>en</strong> bepaalde<br />

id<strong>en</strong>titeit aanmet<strong>en</strong> op basis waarvan er ge<strong>en</strong> relatie is te legg<strong>en</strong> met wie hij in<br />

werkelijkheid is [2a]. Aldus voorbereid, is stap 3 ess<strong>en</strong>tieel: de keuze van e<strong>en</strong> of<br />

meerdere slachtoffers. Die keuze kan zowel buit<strong>en</strong> het <strong>internet</strong> om (real<br />

<strong>en</strong>vironm<strong>en</strong>t), als door middel van het <strong>internet</strong> plaatsvind<strong>en</strong>. Is het laatste het<br />

geval dan kan e<strong>en</strong> fase van grooming [4] volg<strong>en</strong> waarbij het slachtoffer wordt<br />

verleid tot seksuele handeling<strong>en</strong>. In theorie kan dat e<strong>en</strong> e<strong>en</strong>malig iets zijn, maar de<br />

groomer zal wellicht het contact will<strong>en</strong> consolider<strong>en</strong> door bijvoorbeeld het gev<strong>en</strong><br />

van cadeautjes zoals in het inleid<strong>en</strong>d voorbeeld tot dit hoofdstuk. In deze<br />

combinatie beschrijv<strong>en</strong> deze stapp<strong>en</strong> vooral e<strong>en</strong> proces van grooming. Dat proces is<br />

voltooid met stap 5 als de groomer het verkreg<strong>en</strong> materiaal voor eig<strong>en</strong> gebruik<br />

houdt. Stelt hij het ook beschikbaar aan derd<strong>en</strong>, dan vervolgt het groomingproces<br />

met stap 13a: het verwerv<strong>en</strong> van klant<strong>en</strong>.<br />

125


126


See:<br />

<strong>Phishing</strong> 3b: Acquire adresses<br />

Buy<br />

Crawl<br />

Telecom<br />

company<br />

1. Acquire<br />

connection<br />

Cable<br />

Avatar(s)<br />

Nicknames<br />

2a. Acquire<br />

id<strong>en</strong>tity<br />

Aliases<br />

Id<strong>en</strong>tity theft<br />

(MSN hack)<br />

Official<br />

institution<br />

ISP<br />

(primary<br />

account<br />

real id<strong>en</strong>tity<br />

2b. Acquire<br />

account(s)<br />

free id<strong>en</strong>tity<br />

IM<br />

Social<br />

network<br />

Model<br />

sites<br />

Chat<br />

rooms<br />

Poor<br />

families<br />

Family/<br />

fri<strong>en</strong>ds<br />

Child<br />

prostitues<br />

real world<br />

3. Victim<br />

selection<br />

Virtual world<br />

Social<br />

network<br />

Chat<br />

Buy<br />

Share<br />

Cam-bot<br />

Threat<br />

Webcam<br />

action<br />

4. Grooming<br />

Blackmail<br />

Preview<br />

Live<br />

meeting<br />

5. Consolidate<br />

‘Falling in<br />

love’<br />

Gifts<br />

Grooming not involved<br />

Freelance<br />

Family/<br />

relatives<br />

Webring<br />

Hotel<br />

Club<br />

Prof.<br />

studio<br />

professional<br />

7. Choice<br />

Location<br />

amateur<br />

Home<br />

(studio)<br />

Home<br />

(cam)<br />

Indicative<br />

Nudism<br />

Posing<br />

Explicit<br />

erotic<br />

Explicit<br />

sexual<br />

exceptional<br />

8. Abuse<br />

destructive<br />

Assault<br />

Sado/<br />

bestiality<br />

Professional<br />

camera<br />

Live view<br />

Home<br />

video<br />

Webcam<br />

movie<br />

9. Abuse<br />

recording<br />

photo<br />

Professional<br />

camera<br />

Webcam<br />

Compile<br />

Collect<br />

compose<br />

10a. Editing<br />

create<br />

Morphing<br />

Anonymise<br />

Title<br />

Cryptography<br />

hide<br />

Modelsites<br />

Homeless<br />

Advertising<br />

Pornosc<strong>en</strong>e<br />

6. Staff<br />

recruitm<strong>en</strong>t<br />

Network<br />

10b. Coding<br />

create<br />

Games<br />

Virtual community<br />

Steganography<br />

Nudepatches<br />

Virtual<br />

design<br />

Buy<br />

Free<br />

11. Acquire<br />

domain<br />

Kite<br />

Hijack<br />

Napping<br />

Regular<br />

>>>>>> See:<br />

<strong>Phishing</strong> 4: Acquire domain<br />

<strong>Phishing</strong> 5: Acquire hosting<br />

<strong>Phishing</strong> 7a: Acquire maildelivery<br />

Bulletproof<br />

Creditcard<br />

buy<br />

12. Acquire<br />

hosting<br />

steal<br />

Hack<br />

webserver<br />

13b. Acquire<br />

addresses<br />

Hack mail<br />

server)<br />

Malware<br />

Mass<br />

mail<br />

Fora<br />

13a. Acquire<br />

customers<br />

E-mail<br />

Network<br />

Mass<br />

mailer<br />

Botnet<br />

13c. Acquire<br />

mail delivery<br />

PWND<br />

computer<br />

Buy/create<br />

spam<br />

Billing<br />

company<br />

Credit<br />

card<br />

14. Paym<strong>en</strong>t<br />

Chatchannel<br />

Webmoney<br />

Exchange<br />

Fake order<br />

Upload webcont<strong>en</strong>t<br />

News<br />

group<br />

Forum<br />

P2P/<br />

VoIP<br />

E-mail<br />

15. Distribution<br />

FTP<br />

Website<br />

Mobile media<br />

Harddisk<br />

internal<br />

16. Storage<br />

external<br />

Online<br />

Figuur 3: Internetgerelateerde <strong>kinderporno</strong>: Stapp<strong>en</strong> in het hoofdproces <strong>en</strong> variant<strong>en</strong> per processtap<br />

127


128


De eerste vijf stapp<strong>en</strong> uit de procesweergave kunn<strong>en</strong> ook door de professionele<br />

produc<strong>en</strong>t word<strong>en</strong> gezet, alle<strong>en</strong> vloeit zijn motief voort uit het ondernemerschap<br />

(winst <strong>en</strong> continuïteit) <strong>en</strong> niet primair uit vervulling van e<strong>en</strong> persoonlijke behoefte<br />

aan <strong>kinderporno</strong>. De stapp<strong>en</strong> 4 <strong>en</strong> 5 zull<strong>en</strong> door die produc<strong>en</strong>t niet word<strong>en</strong> gezet,<br />

wat in het schema wordt gesymboliseerd door de bypass van stap 3 naar stap 6.<br />

Voor hem vervolgt het voortbr<strong>en</strong>gingsproces met het rekruter<strong>en</strong> van<br />

ondersteun<strong>en</strong>de functies; e<strong>en</strong> <strong>en</strong> ander afhankelijk van het <strong>kinderporno</strong>‐product<br />

dat hij wil mak<strong>en</strong>. Wanneer dat e<strong>en</strong> game is, zijn andere facilitators nodig dan<br />

wanneer e<strong>en</strong> film wordt beoogd. Is e<strong>en</strong>maal voorzi<strong>en</strong> in personeel, dan moet er in<br />

het geval van foto’s of film, e<strong>en</strong> locatie word<strong>en</strong> gevond<strong>en</strong> waar opnam<strong>en</strong> kunn<strong>en</strong><br />

word<strong>en</strong> gemaakt [7]. In het klein staat de amateur eig<strong>en</strong>lijk voor dezelfde keuze,<br />

alle<strong>en</strong> zal hij die implicieter <strong>en</strong> vanzelfsprek<strong>en</strong>der mak<strong>en</strong> binn<strong>en</strong> de eig<strong>en</strong> beperkte<br />

mogelijkhed<strong>en</strong>. Als slachtoffer, personeel <strong>en</strong> locatie zijn gevond<strong>en</strong> dan breekt de<br />

fase van het feitelijk misbruik aan [8]. Dat kan volstrekt ongeregisseerd gebeur<strong>en</strong>,<br />

maar er kan ook e<strong>en</strong> soort script aan t<strong>en</strong> grondslag ligg<strong>en</strong>. Het misbruik wordt op<br />

foto <strong>en</strong> film vastgelegd [9], waarna de montage [10a] volgt. Daarna staan drie<br />

opties op<strong>en</strong>:<br />

1. het materiaal is af <strong>en</strong> wordt rechtstreeks gedistribueerd onder te werv<strong>en</strong><br />

klant<strong>en</strong> [13a];<br />

2. het materiaal is af <strong>en</strong> wordt op e<strong>en</strong> te registrer<strong>en</strong> <strong>en</strong> te host<strong>en</strong> website<br />

geplaatst [11];<br />

3. het materiaal ondergaat nog andere bewerking<strong>en</strong> (‘coding’) als onderdeel van<br />

de bouw van computerprogramma’s [10b]. Het verstopp<strong>en</strong> van opnames in<br />

onschuldige plaatjes is ook aangemerkt als e<strong>en</strong> programmeeractiviteit.<br />

Voordat het product na editing of coding kan word<strong>en</strong> verspreid, moet<strong>en</strong> klant<strong>en</strong><br />

word<strong>en</strong> gevond<strong>en</strong> [13a]. Daarvoor kunn<strong>en</strong> verschill<strong>en</strong>de weg<strong>en</strong> word<strong>en</strong> bewandeld<br />

die in het geval dat spam wordt gebruikt, parallel lop<strong>en</strong> aan het phishingproces<br />

[13b] <strong>en</strong> [13c]. Als er zich klant<strong>en</strong> hebb<strong>en</strong> aangedi<strong>en</strong>d, betal<strong>en</strong> die voor het<br />

materiaal of ze ruil<strong>en</strong> het teg<strong>en</strong> ander materiaal [14], waarna de feitelijke<br />

distributie plaatsvindt [15]. In dit stadium van het voortbr<strong>en</strong>gingsproces kan dat<br />

professioneel beeldmateriaal betreff<strong>en</strong> of e<strong>en</strong> game, maar het kunn<strong>en</strong> ook de<br />

webcamopnam<strong>en</strong> zijn van e<strong>en</strong> groomer. K<strong>en</strong>merk<strong>en</strong>d voor het digitale materiaal is<br />

dat het naar believ<strong>en</strong> <strong>en</strong> in grote hoeveelhed<strong>en</strong> kan word<strong>en</strong> gekopieerd,<br />

opgeslag<strong>en</strong> [16] <strong>en</strong> bewaard. Om ev<strong>en</strong>tueel op e<strong>en</strong> later tijdstip opnieuw in omloop<br />

te word<strong>en</strong> gebracht.<br />

De relatie tuss<strong>en</strong> <strong>kinderporno</strong> <strong>en</strong> het <strong>internet</strong> kan op verschill<strong>en</strong>de mom<strong>en</strong>t<strong>en</strong><br />

tijd<strong>en</strong>s het proces blijk<strong>en</strong>. De productie kan bijvoorbeeld volstrekt zonder gebruik<br />

van het <strong>internet</strong> plaatsvind<strong>en</strong> waarna pas op het mom<strong>en</strong>t van de distributie [15]<br />

129


voor het eerst materiaal wordt ge‐upload naar het web. Het kan ook zijn dat de<br />

productie begint bij stap 4, het groom<strong>en</strong>, <strong>en</strong> niet verder komt dan die stap, omdat<br />

bijvoorbeeld e<strong>en</strong> webcamrecording door de groomer puur voor eig<strong>en</strong> gebruik is<br />

bedoeld. Ook hoev<strong>en</strong> niet alle stapp<strong>en</strong> in de volgorde van het schema te word<strong>en</strong><br />

doorlop<strong>en</strong>, àls ze al word<strong>en</strong> doorlop<strong>en</strong>. Processtapp<strong>en</strong> kunn<strong>en</strong> dus op e<strong>en</strong><br />

bepaalde manier gecombineerd, variant<strong>en</strong> oplever<strong>en</strong> van het <strong>kinderporno</strong>proces<br />

als geheel. In het Engels spreekt m<strong>en</strong> in dit verband van ‘crimeschemes’.<br />

3.3 Stap 1 Acquire connection<br />

Iedere<strong>en</strong> die zich van het <strong>internet</strong> wil bedi<strong>en</strong><strong>en</strong>, moet over e<strong>en</strong> verbinding<br />

beschikk<strong>en</strong> via e<strong>en</strong> teleprovider (de telefoon‐ of kabelmaatschappij) <strong>en</strong> over e<strong>en</strong><br />

account waarmee via die verbinding <strong>internet</strong>toegang wordt verkreg<strong>en</strong> (de<br />

accessprovider).<br />

“Op de mom<strong>en</strong>t<strong>en</strong> dat e<strong>en</strong> (latere) betrokk<strong>en</strong>e bij <strong>kinderporno</strong> e<strong>en</strong> telecomaccount<br />

aanvraagt <strong>en</strong> daarvan voor de eerste maal gebruik maakt, zijn er nog ge<strong>en</strong><br />

afschermingconstructies van id<strong>en</strong>titeit<strong>en</strong> actief. Zijn werkelijke id<strong>en</strong>titeit is dan nog<br />

gekoppeld aan het telecomaccount.”<br />

Bij afschermingconstructies d<strong>en</strong>k<strong>en</strong> we in de eerste plaats aan het verberg<strong>en</strong> van<br />

e<strong>en</strong> IP‐adres, het <strong>en</strong>crypt<strong>en</strong> van communicatie, het verberg<strong>en</strong> van del<strong>en</strong> van de<br />

harde schijf, het gebruik mak<strong>en</strong> van proxyservers of bijvoorbeeld het gebruik<strong>en</strong> van<br />

online dataopslag. Dit soort afschermingconstructies kan m<strong>en</strong> zich pas verwerv<strong>en</strong><br />

als er sprake is van e<strong>en</strong> <strong>internet</strong>verbinding/‐account. Tuss<strong>en</strong> het actief word<strong>en</strong> van<br />

de verbinding/het account <strong>en</strong> het activer<strong>en</strong> van verbergingstechniek<strong>en</strong> opereert<br />

m<strong>en</strong> herk<strong>en</strong>baar op het <strong>internet</strong>. Juist omdat m<strong>en</strong> op zo’n mom<strong>en</strong>t nog niets<br />

illegaals doet, zull<strong>en</strong> gebruikers zich minder bewust zijn van de latere<br />

mogelijkhed<strong>en</strong> tot detectie op basis van deze eerste schred<strong>en</strong>.<br />

3.4 Stap 2a Acquire id<strong>en</strong>tity<br />

E<strong>en</strong> deel van de daders in bepaalde roll<strong>en</strong> zal zodanig deelnem<strong>en</strong> aan het<br />

maatschappelijk verkeer dat e<strong>en</strong> volledig <strong>en</strong> gedocum<strong>en</strong>teerde valse id<strong>en</strong>titeit<br />

(paspoort, rijbewijs, creditcard, bankrek<strong>en</strong>ing<strong>en</strong>) belemmering<strong>en</strong> oplevert voor de<br />

130


eguliere maatschappelijke interactie met nutsvoorzi<strong>en</strong>ing<strong>en</strong>, bank<strong>en</strong> of officiële<br />

overheidinstanties. Daders die beroepsmatig in de <strong>kinderporno</strong> actief zijn, <strong>en</strong><br />

daarmee grot<strong>en</strong>deels hun geld verdi<strong>en</strong><strong>en</strong>, hebb<strong>en</strong> dit probleem minder omdat zij in<br />

die valse hoedanigheid volledig deelnem<strong>en</strong> aan het maatschappelijk verkeer; ook<br />

als het gaat om het afnem<strong>en</strong> van di<strong>en</strong>st<strong>en</strong> als nutsvoorzi<strong>en</strong>ing<strong>en</strong> <strong>en</strong><br />

overheidsfaciliteit<strong>en</strong>. Deze volledig andere id<strong>en</strong>titeit<strong>en</strong> dan de auth<strong>en</strong>tieke noem<strong>en</strong><br />

wij ‘aliases’.<br />

“Het gebruik van valse id<strong>en</strong>titeit<strong>en</strong> inclusief id<strong>en</strong>tificer<strong>en</strong>de valse of vals<br />

opgemaakte docum<strong>en</strong>t<strong>en</strong> (aliases) zal eerder bij de professionele voortbr<strong>en</strong>ging van<br />

<strong>kinderporno</strong> plaatsvind<strong>en</strong> dan bijvoorbeeld onder downloaders.”<br />

Van e<strong>en</strong> aantal facilitators van <strong>kinderporno</strong> zoals e<strong>en</strong> fotograaf of editor bestaat<br />

het vermoed<strong>en</strong> dat zij zowel regulier als illegaal actief zijn. Vooral de professional<br />

zal e<strong>en</strong> verklaring moet<strong>en</strong> hebb<strong>en</strong> voor het beschikk<strong>en</strong> over gekwalificeerde<br />

apparatuur, ruimte <strong>en</strong> inkomst<strong>en</strong>. Reguliere activiteit<strong>en</strong> die dezelfde voorzi<strong>en</strong>ing<strong>en</strong><br />

vrag<strong>en</strong> als niet‐reguliere, zijn daarvoor e<strong>en</strong> ideale dekmantel. Volledig verschill<strong>en</strong>de<br />

werkelijke <strong>en</strong> valse id<strong>en</strong>titeit<strong>en</strong> pass<strong>en</strong> daar moeilijk bij, t<strong>en</strong>zij ook de wereld<strong>en</strong><br />

waarin m<strong>en</strong> zich van die id<strong>en</strong>titeit<strong>en</strong> bedi<strong>en</strong>t volstrekt verschill<strong>en</strong>d zijn <strong>en</strong> ook<br />

geografisch zo ver uit elkaar ligg<strong>en</strong> dat verm<strong>en</strong>ging niet gemakkelijk plaatsvindt.<br />

Overig<strong>en</strong>s is het nog niet zo lang is geled<strong>en</strong> dat afnemers van <strong>kinderporno</strong> daarvoor<br />

gewoon met hun creditcard betaald<strong>en</strong>.<br />

In de meeste daderroll<strong>en</strong> zal m<strong>en</strong> zich vooral op bepaalde mom<strong>en</strong>t<strong>en</strong> tijd<strong>en</strong>s de<br />

MO bedi<strong>en</strong><strong>en</strong> van beperkte valse id<strong>en</strong>titeit<strong>en</strong>. Direct spring<strong>en</strong> de <strong>internet</strong>contact<strong>en</strong><br />

in het oog die erop word<strong>en</strong> nagehoud<strong>en</strong> tijd<strong>en</strong>s bijvoorbeeld chat, upload<strong>en</strong>,<br />

download<strong>en</strong> <strong>en</strong> betal<strong>en</strong>. In die contact<strong>en</strong> zal m<strong>en</strong> de eig<strong>en</strong> id<strong>en</strong>titeit prober<strong>en</strong> te<br />

verhull<strong>en</strong>. Aan de <strong>en</strong>e kant om ge<strong>en</strong> herleidbare spor<strong>en</strong> achter te lat<strong>en</strong> <strong>en</strong> aan de<br />

andere kant om bij de teg<strong>en</strong>speler de indruk te wekk<strong>en</strong> met e<strong>en</strong> bepaalde<br />

specifieke persoon van do<strong>en</strong> te hebb<strong>en</strong>. E<strong>en</strong> groomer zal zich wellicht will<strong>en</strong><br />

voordo<strong>en</strong> als e<strong>en</strong> bek<strong>en</strong>de van het slachtoffer. Bijvoorbeeld door het stel<strong>en</strong> van de<br />

id<strong>en</strong>titeit van deze bek<strong>en</strong>de via e<strong>en</strong> MSN‐hack (één van de Amsterdamse<br />

onderzoeksdossiers maakt hiervan melding). Software voor MSN‐hack is op het<br />

<strong>internet</strong> volop te vind<strong>en</strong>, hoewel er ook e<strong>en</strong> hoop ‘fake‐ware’ tuss<strong>en</strong>zit. E<strong>en</strong> MSNhack<br />

is moeilijk te detecter<strong>en</strong> omdat de hacker zich bedi<strong>en</strong>t van het juiste<br />

wachtwoord. Theoretisch zou het afwijk<strong>en</strong> van het IP‐adres van dat van de echte<br />

gebruiker e<strong>en</strong> mogelijkheid oplever<strong>en</strong> voor detectie van e<strong>en</strong> hack, maar in de<br />

praktijk MSN‐<strong>en</strong> gebruikers vaak vanaf verschill<strong>en</strong>de computers (school, werk,<br />

thuis, vakantieadres, <strong>internet</strong>café, bij vri<strong>en</strong>d<strong>en</strong>, mobiel) met elk hun eig<strong>en</strong> IP‐adres,<br />

zodat de hack alle<strong>en</strong> als atypisch is te id<strong>en</strong>tificer<strong>en</strong> als ze e<strong>en</strong> specifiek patroon<br />

131


doorbreekt.<br />

Daders in de verschill<strong>en</strong>de roll<strong>en</strong> bedi<strong>en</strong><strong>en</strong> zich vaak van meerdere e‐mailadress<strong>en</strong><br />

<strong>en</strong> gaan schuil achter nicknames. Nicknames zijn e<strong>en</strong> heel normaal verschijnsel op<br />

het <strong>internet</strong> waar contact<strong>en</strong> heel innig maar ook heel vluchtig kunn<strong>en</strong> zijn. Van<br />

iemand afkom<strong>en</strong> is gemakkelijker als die niet weet met wie hij of zij feitelijk van<br />

do<strong>en</strong> heeft, dan wanneer iemand op basis van e<strong>en</strong> echte id<strong>en</strong>titeit daar theoretisch<br />

nog langdurig mee kan word<strong>en</strong> achtervolgd. In <strong>internet</strong>spell<strong>en</strong> noemt m<strong>en</strong> e<strong>en</strong><br />

nickname ook wel e<strong>en</strong> ‘ingame‐name’ (in chattaal ‘ING’). In voorlichtingscampagnes<br />

wordt ook aangerad<strong>en</strong> om onder e<strong>en</strong> nickname gebruik te mak<strong>en</strong> van het<br />

<strong>internet</strong> 29 . Op dit soort adviez<strong>en</strong> wordt handig ingespeeld door aanbieders van<br />

online nicknameg<strong>en</strong>erator<strong>en</strong> die op basis van bepaalde keuzes van de gebruiker<br />

e<strong>en</strong> bijpass<strong>en</strong>de nickname g<strong>en</strong>erer<strong>en</strong>. Zo leverde het invoer<strong>en</strong> van de naam Tim de<br />

volg<strong>en</strong>de suggesties voor nicknames op in de (door de gebruiker zelf aangevinkte)<br />

categorie ‘cowboy’ 30 :<br />

“Old Name: Tim. You can choose the following list for your nickname:<br />

1. Bob Billsworth<br />

2. Bootinbull<br />

3. Jerry Ransom<br />

4. P<strong>en</strong>cil Eye Pete<br />

5. Bryan Beersworth.”<br />

Het invoer<strong>en</strong> van de naam John of opnieuw Tim, leverde merkwaardig g<strong>en</strong>oeg e<strong>en</strong><br />

aantal van dezelfde nicknames op. Malafide aanbieders wordt het op deze manier<br />

wel heel gemakkelijk gemaakt: ze zorg<strong>en</strong> ervoor dat notab<strong>en</strong>e door h<strong>en</strong> zelf<br />

geg<strong>en</strong>ereerde nicknames op het <strong>internet</strong> word<strong>en</strong> gebruikt <strong>en</strong> mak<strong>en</strong> uiteraard ook<br />

weer handig gebruik van dit soort id<strong>en</strong>titeit<strong>en</strong> <strong>en</strong> koppeling tuss<strong>en</strong> echte naam <strong>en</strong><br />

e<strong>en</strong> gebruikte nickname als vorm van phishing.<br />

Uit de analyse van onderzoeksdossiers is geblek<strong>en</strong> dat nicknames alle<strong>en</strong> in die<br />

dossiers word<strong>en</strong> vermeld als dat van belang is voor de bewijsvoering <strong>en</strong> zelfs dat is<br />

ge<strong>en</strong> geme<strong>en</strong>goed. Nicknames kunn<strong>en</strong> net zo goed als echte nam<strong>en</strong> word<strong>en</strong><br />

gebruikt om person<strong>en</strong> te id<strong>en</strong>tificer<strong>en</strong>. Teveel nicknames mak<strong>en</strong> het voor daders<br />

lastig om met verschill<strong>en</strong>de slachtoffers te communicer<strong>en</strong>, dus zal m<strong>en</strong> vrij snel<br />

29<br />

www.vives.nl/tips/veilig‐<strong>internet</strong>; www.<strong>internet</strong>vergelijk<strong>en</strong>.com/faq/veilig‐op‐<strong>internet</strong>‐checklist,<br />

laatst geraadpleegd op 21 december 2009.<br />

30 www.getnicknames.com/nicknames.php.<br />

132


voor e<strong>en</strong> bepaald patroon kiez<strong>en</strong> dat relatief e<strong>en</strong>voudig is te simuler<strong>en</strong>. In één van<br />

de dossiers bleek e<strong>en</strong> veelvuldig op het <strong>internet</strong> gebruikte nickname overe<strong>en</strong> te<br />

kom<strong>en</strong> met e<strong>en</strong> bijnaam die in ‘real‐live’ werd gehanteerd. Nicknames staan heel<br />

vaak niet op zichzelf maar kunn<strong>en</strong>, zoals in sociale netwerksites, zijn gekoppeld aan<br />

e<strong>en</strong> profiel met allerlei sociaalgeografische k<strong>en</strong>merk<strong>en</strong> of interesses van deg<strong>en</strong>e die<br />

zich van de nickname bedi<strong>en</strong>t.<br />

Id<strong>en</strong>tificatie dader met behulp van deelname aan onlinegame<br />

Long arm of law reaches into World of Warcraft<br />

“The virtual world of online gaming seems like the perfect place to hide. There is<br />

pl<strong>en</strong>ty of anonymity, and it’s almost impossible for someone to trace activity back to<br />

its source, right? Wrong. Two weeks ago, Howard County Sheriff’s Departm<strong>en</strong>t<br />

deputy Matt Roberson tracked down a wanted fugitive through one of the most<br />

popular games on the Internet: World of Warcraft. And he got his man. In this case,<br />

online gamers were playing alongside Alfred Hightower, a man wanted on<br />

drugscharges. A warrant was issued for his arrest in 2007. “We received information<br />

that this guy was a regular player of an online game, which was referred to as ‘some<br />

warlock and witches’ game,” said Roberson. “None of that information was sound<br />

<strong>en</strong>ough to pursue on its own, but putting everything we had together gave me<br />

<strong>en</strong>ough evid<strong>en</strong>ce to s<strong>en</strong>d a subpo<strong>en</strong>a to Blizzard Entertainm<strong>en</strong>t. I knew exactly<br />

what he was playing: World of Warcraft. I used to play it. It’s one of the largest<br />

online games in the world.” Blizzard did more than cooperate. It gave Roberson<br />

everything he needed to track down Hightower, including his IP address, his<br />

account information and history, his billing address, and ev<strong>en</strong> his online scre<strong>en</strong><br />

name and preferred server. From there it was a simple matter to zero in on the<br />

suspect’s location. “I did a search off the IPaddress to locate him,” said Roberson.<br />

“I got a longitude and latitude. Th<strong>en</strong> I w<strong>en</strong>t to Google Earth. It works wonders. It<br />

uses longitude and latitude. Boom! I had an address. I was not able to go streetside<br />

at the location, but I had him.”<br />

Bron: Munsey, 2009<br />

“Of nicknames verwijz<strong>en</strong> naar echte nam<strong>en</strong> of zijn verzonn<strong>en</strong> doet er niet zoveel<br />

toe: consist<strong>en</strong>te opbouw <strong>en</strong> het gebruik ervan kan toch leid<strong>en</strong> tot e<strong>en</strong>zelfde persoon<br />

zelfs wanneer die zich van verschill<strong>en</strong>de nicknames bedi<strong>en</strong>t.”<br />

Bov<strong>en</strong>di<strong>en</strong> zijn nicknames gekoppeld aan accountinformatie: de gegev<strong>en</strong>s waarmee<br />

m<strong>en</strong> zich heeft ingeschrev<strong>en</strong>. Iemand die e<strong>en</strong>zelfde nickname gebruikt voor legale<br />

<strong>en</strong> illegale accounts kan op basis van de aan die nickname gekoppelde<br />

gebruikersinformatie mogelijk word<strong>en</strong> gedetecteerd (cross‐refer<strong>en</strong>ce). Ter<br />

illustratie vor<strong>en</strong>staand rec<strong>en</strong>t praktijkvoorbeeld van e<strong>en</strong> drugsdealer die via zijn<br />

participatie in het wereldwijd veel gespeelde <strong>internet</strong>spel World of Warcraft teg<strong>en</strong><br />

133


de lamp liep.<br />

“Daders in bepaalde roll<strong>en</strong> lat<strong>en</strong> zich id<strong>en</strong>tificer<strong>en</strong> op basis van de nicknames <strong>en</strong>/of<br />

bijbehor<strong>en</strong>de profiel<strong>en</strong> die ze gebruik<strong>en</strong> <strong>en</strong> de kleine verschill<strong>en</strong> tuss<strong>en</strong> variant<strong>en</strong> in<br />

die nicknames of profiel<strong>en</strong>.”<br />

Overgewaaid uit de gamesc<strong>en</strong>e, is het steeds gebruikelijker om zich naast e<strong>en</strong><br />

nickname te bedi<strong>en</strong><strong>en</strong> van e<strong>en</strong> of meerdere avatars: e<strong>en</strong> animatie of statische<br />

afbeelding die de gebruiker voorstelt <strong>en</strong> daarom vaak ook e<strong>en</strong> afspiegeling is van<br />

k<strong>en</strong>merk<strong>en</strong> van die gebruiker of van di<strong>en</strong>s interesses. Waar avatars in het begin niet<br />

meer war<strong>en</strong> dan e<strong>en</strong> symbolische uiting waarvan er meerdere tegelijkertijd in<br />

omloop war<strong>en</strong>, word<strong>en</strong> ze steeds unieker. Hun id<strong>en</strong>tificer<strong>en</strong>de kracht neemt<br />

daardoor ook toe.<br />

“De to<strong>en</strong>em<strong>en</strong>de uniciteit van avatars levert specifieke hashcodes op waarmee in<br />

beginsel het optred<strong>en</strong> van dezelfde avatar in verschill<strong>en</strong>de omgeving<strong>en</strong> kan word<strong>en</strong><br />

gedetecteerd.”<br />

“De keuze of het ontwerp van e<strong>en</strong> specifieke avatar kan inzicht oplever<strong>en</strong> in<br />

achtergrondk<strong>en</strong>merk<strong>en</strong> van de gebruiker.”<br />

Niet iedere<strong>en</strong> kan zelf e<strong>en</strong> kwalitatief hoogwaardige <strong>en</strong> onderscheid<strong>en</strong>de avatar<br />

mak<strong>en</strong> <strong>en</strong> ook op dat gebied word<strong>en</strong> allerlei avatarg<strong>en</strong>erator<strong>en</strong> aangebod<strong>en</strong><br />

waarmee m<strong>en</strong> online op basis van bepaalde variant<strong>en</strong> e<strong>en</strong> eig<strong>en</strong> exemplaar kan<br />

sam<strong>en</strong>stell<strong>en</strong>. Dat er e<strong>en</strong> grote kans bestaat dat e<strong>en</strong> kopie daarvan wordt<br />

opgeslag<strong>en</strong> op de g<strong>en</strong>eratorsite (voor mogelijk toekomstig illegaal gebruik), is iets<br />

wat de meeste bezoekers zich niet zull<strong>en</strong> realiser<strong>en</strong>. Inmiddels zijn er geavanceerde<br />

avatarbots actief die aan de <strong>en</strong>e kant automatisch avatars g<strong>en</strong>erer<strong>en</strong> <strong>en</strong> op het<br />

mom<strong>en</strong>t dat er met e<strong>en</strong> dergelijke robotavatar contact wordt gemaakt, doorlink<strong>en</strong><br />

naar het gebruikersaccount van deg<strong>en</strong>e die erachter schuil gaat (Choo, 2009, p. 12).<br />

3.5 Stap 2b Acquire accounts<br />

3.5.1 Primary account<br />

Bij het eerste contact tuss<strong>en</strong> computer <strong>en</strong> <strong>internet</strong> wordt e<strong>en</strong> IP‐adres toegewez<strong>en</strong><br />

dat bij de accesprovider in combinatie met abonnem<strong>en</strong>tsgegev<strong>en</strong>s bek<strong>en</strong>d wordt;<br />

134


ook al wordt dat later met bepaalde software verborg<strong>en</strong>. Wij noem<strong>en</strong> dat het<br />

primary account. Op het mom<strong>en</strong>t dat iemand verhuist, e<strong>en</strong> nieuwe computer<br />

aanschaft of overstapt van provider, kom<strong>en</strong> er, afhankelijk van het gekoz<strong>en</strong> type<br />

verhulling, mogelijk verversingsmom<strong>en</strong>t<strong>en</strong> van dat primary account. Om<br />

bijvoorbeeld de verhuizing van e<strong>en</strong> <strong>internet</strong>aansluiting succesvol te kunn<strong>en</strong><br />

voltooi<strong>en</strong> moet m<strong>en</strong> zich weer auth<strong>en</strong>tiek k<strong>en</strong>baar mak<strong>en</strong>.<br />

“Op de mom<strong>en</strong>t<strong>en</strong> dat e<strong>en</strong> (latere) betrokk<strong>en</strong>e bij <strong>kinderporno</strong> e<strong>en</strong> <strong>internet</strong>account<br />

aanvraagt <strong>en</strong> daarvan voor de eerste maal gebruik maakt, zijn er nog ge<strong>en</strong><br />

afschermingconstructies van id<strong>en</strong>titeit<strong>en</strong> actief. Zijn werkelijke id<strong>en</strong>titeit is dan nog<br />

gekoppeld aan dat <strong>internet</strong>account.”<br />

Onder stap 1 zijn al mogelijkhed<strong>en</strong> g<strong>en</strong>oemd om op basis van e<strong>en</strong> primair account<br />

de werkelijke id<strong>en</strong>titeit van e<strong>en</strong> gebruiker te achterhal<strong>en</strong>. Tijd<strong>en</strong>s de periode dat<br />

het primair account nog niet is verhuld, zou ook kunn<strong>en</strong> blijk<strong>en</strong> onder welke<br />

nicknames e<strong>en</strong> gebruiker op het <strong>internet</strong> acteert. Grote kans dat die nicknames ook<br />

na de verhulling nog word<strong>en</strong> gebruikt.<br />

Op basis van deze eerste aanname, zijn twee typ<strong>en</strong> vervolghypothes<strong>en</strong> d<strong>en</strong>kbaar,<br />

waarvan het <strong>en</strong>e type leidt tot e<strong>en</strong> bepaalde populatie (inductie) <strong>en</strong> het andere<br />

juist start vanuit e<strong>en</strong> populatie (deductie).<br />

Inductie<br />

Te beginn<strong>en</strong> met de eerste. “Het omzett<strong>en</strong> van e<strong>en</strong> primary account in e<strong>en</strong><br />

verborg<strong>en</strong> account levert e<strong>en</strong> red flag op.” Er kunn<strong>en</strong> verschill<strong>en</strong>de red<strong>en</strong><strong>en</strong> zijn om<br />

bijvoorbeeld e<strong>en</strong> IP‐adres te will<strong>en</strong> verberg<strong>en</strong> dat niet exclusief aan <strong>kinderporno</strong> is<br />

gerelateerd. E<strong>en</strong> red flag levert het verberg<strong>en</strong> zeker op, omdat het in relatie tot de<br />

reguliere <strong>internet</strong>gebruiker om atypisch gedrag gaat.<br />

“E<strong>en</strong> check door accesproviders van IP‐adress<strong>en</strong> die bij het afsluit<strong>en</strong> van het<br />

abonnem<strong>en</strong>t als primary account zijn geregistreerd <strong>en</strong> die op het mom<strong>en</strong>t van de<br />

check blijk<strong>en</strong> te zijn verborg<strong>en</strong>, levert e<strong>en</strong> eerste rechtstreekse id<strong>en</strong>tificatie op van<br />

person<strong>en</strong> die mogelijk iets hebb<strong>en</strong> te verberg<strong>en</strong>.”<br />

Met deze check wordt e<strong>en</strong> eerste populatie verkreg<strong>en</strong> waarop met andere<br />

hypothes<strong>en</strong> kan word<strong>en</strong> voortgebouwd om te kijk<strong>en</strong> in hoeverre die kan word<strong>en</strong><br />

gerelateerd aan <strong>kinderporno</strong>. “Minimaal wordt aang<strong>en</strong>om<strong>en</strong> dat in deze populatie<br />

significant meer aanbieders, verspreiders, kijkers <strong>en</strong> downloaders van <strong>kinderporno</strong><br />

schuil gaan, dan in e<strong>en</strong> willekeurige steekproef van <strong>internet</strong>gebruikers”.<br />

Desondanks discrimineert de hypothese nog helemaal niet naar betrokk<strong>en</strong>heid bij<br />

135


<strong>kinderporno</strong>. Wat die hypothese eig<strong>en</strong>lijk nog interessanter maakt, omdat de<br />

populatie die het oplevert ook daders omvat die zijn betrokk<strong>en</strong> bij andere illegale<br />

activiteit<strong>en</strong> dan <strong>kinderporno</strong>. Met behulp van vervolghypothes<strong>en</strong> moet qua<br />

betrokk<strong>en</strong>heid binn<strong>en</strong> de populatie word<strong>en</strong> gediffer<strong>en</strong>tieerd naar delictsoort<strong>en</strong>.<br />

Deductie<br />

Het tweede type hypothes<strong>en</strong> vertrekt vanuit e<strong>en</strong> (deels) bek<strong>en</strong>de populatie. Uit<br />

meerdere onderzoek<strong>en</strong> blijkt dat iemand met e<strong>en</strong> pedofiele geaardheid e<strong>en</strong><br />

grote(re) kans heeft om betrokk<strong>en</strong> te zijn bij het <strong>kinderporno</strong>‐proces, zij het dat<br />

niet elke handeling binn<strong>en</strong> dat proces wordt aangemerkt als pedofilie 31 <strong>en</strong> ook niet<br />

iedere betrokk<strong>en</strong>e kan word<strong>en</strong> aangemerkt als pedofiel (Seto, Cantor, & Blanchard,<br />

2006). Vooralsnog lat<strong>en</strong> we in het midd<strong>en</strong> uit welke rol(l<strong>en</strong>) die betrokk<strong>en</strong>heid<br />

bestaat <strong>en</strong> gaan we door op de populatie van bek<strong>en</strong>de pedofiel<strong>en</strong>. Van e<strong>en</strong> deel<br />

van deze populatie zijn de werkelijke id<strong>en</strong>titeit<strong>en</strong> bek<strong>en</strong>d uit contact<strong>en</strong> met politie<br />

of hulpverl<strong>en</strong>ing. Nadat hun primary account is vastgesteld kan word<strong>en</strong> nagegaan<br />

of het onlangs is verborg<strong>en</strong>.<br />

“Vóórkom<strong>en</strong> in de populatie van pedofiel<strong>en</strong> die hun primary <strong>internet</strong> account<br />

hebb<strong>en</strong> verborg<strong>en</strong> of verberg<strong>en</strong>, levert e<strong>en</strong> red flag op qua betrokk<strong>en</strong>heid bij het<br />

<strong>kinderporno</strong>proces.”<br />

“In de periode voordat primary accounts zijn verborg<strong>en</strong> is er wellicht al sprake<br />

geweest van niet afgeschermd <strong>kinderporno</strong> gerelateerd data‐verkeer.”<br />

Deductie met gebruikmaking van het primary account kan ook voor andere<br />

populaties plaatsvind<strong>en</strong>. Nog afgezi<strong>en</strong> van de daarvoor vereiste legitimiteit <strong>en</strong><br />

d<strong>en</strong>kbare ethische bezwar<strong>en</strong>, kan word<strong>en</strong> gedacht aan incest‐slachtoffers (op basis<br />

van de aanname dat zij e<strong>en</strong> grotere kans hebb<strong>en</strong> om later ook zelf betrokk<strong>en</strong> te zijn<br />

bij delict<strong>en</strong> teg<strong>en</strong> kinder<strong>en</strong>), daders van kindermishandeling, of aan populaties die<br />

voldo<strong>en</strong> aan andere gedragsk<strong>en</strong>merk<strong>en</strong> die betrokk<strong>en</strong>heid bij <strong>kinderporno</strong><br />

indicer<strong>en</strong> (zie het deel in dit hoofdstuk over roll<strong>en</strong>).<br />

Helemaal sluit<strong>en</strong>d zijn de hypothes<strong>en</strong> niet. Zo zou e<strong>en</strong> betrokk<strong>en</strong>e e<strong>en</strong> primary<br />

account kunn<strong>en</strong> hebb<strong>en</strong> aangevraagd op naam van e<strong>en</strong> huisg<strong>en</strong>oot, met e<strong>en</strong> valse<br />

id<strong>en</strong>titeit of uitsluit<strong>en</strong>d gebruik kunn<strong>en</strong> mak<strong>en</strong> van le<strong>en</strong>computers (<strong>internet</strong>café,<br />

31 Pedofilie wordt nogal verschill<strong>en</strong>de gedefinieerd. Voor de e<strong>en</strong> (www.pedofilie.nl/definities) staat het<br />

gelijk aan e<strong>en</strong> int<strong>en</strong>tie als ‘het hebb<strong>en</strong> van e<strong>en</strong> liefdesverlang<strong>en</strong> gericht op prepuberale kinder<strong>en</strong>, dat de<br />

voorkeur heeft bov<strong>en</strong> omgang met volwass<strong>en</strong><strong>en</strong>’ <strong>en</strong> voor de ander (Van Wijk, Nieuw<strong>en</strong>huis, & Smeltink,<br />

2009, p. 48) staat het voor feitelijk gedrag van e<strong>en</strong> volwass<strong>en</strong>e die seksuele handeling<strong>en</strong> verricht met<br />

kinder<strong>en</strong> van 13 jaar of jonger (pre‐puberale kinder<strong>en</strong>).<br />

136


ibliotheek, hotel, werk). Maar ook al is dat het geval: m<strong>en</strong> komt dan wel bij de<br />

veronderstelde betrokk<strong>en</strong>e in de buurt.<br />

3.5.2 Secondary accounts<br />

Naast het primary account onderscheid<strong>en</strong> we secondary accounts. Geeft het<br />

primary account (al of niet verborg<strong>en</strong>) via e<strong>en</strong> accesprovider basistoegang tot het<br />

<strong>internet</strong> op zichzelf, secondary accounts daar<strong>en</strong>teg<strong>en</strong> gev<strong>en</strong> toegang tot di<strong>en</strong>st<strong>en</strong><br />

die via dat <strong>internet</strong> word<strong>en</strong> aangebod<strong>en</strong>. E<strong>en</strong> primary account is gekoppeld aan de<br />

computer <strong>en</strong>/of de fysieke locatie waar die computer staat, terwijl secondary<br />

accounts zijn gekoppeld aan de gebruiker, ongeacht waar die zich bevindt <strong>en</strong> van<br />

welke computer die zich bedi<strong>en</strong>t. E<strong>en</strong> secondary account bestaat minimaal uit e<strong>en</strong><br />

username <strong>en</strong> e<strong>en</strong> password. De gemiddelde <strong>internet</strong>gebruiker beschikt over<br />

meerdere van dit type accounts. Voorbeeld<strong>en</strong> van secondary accounts zijn toegang<br />

tot chat rooms, MSN mess<strong>en</strong>ger, social networking sites als Hyves <strong>en</strong> Facebook <strong>en</strong><br />

Skype, bank, fora etc. Het hebb<strong>en</strong> van dit soort accounts is voor bepaalde<br />

daderroll<strong>en</strong> belangrijk. E<strong>en</strong> produc<strong>en</strong>t van <strong>kinderporno</strong> zal er minder belang in<br />

stell<strong>en</strong>, terwijl e<strong>en</strong> distributeur, groomer <strong>en</strong> e<strong>en</strong> afnemer, volledig van dit soort<br />

accounts afhankelijk kan zijn.<br />

3.6 Stap 3 Victim selection<br />

3.6.1 ‘Offline’<br />

De meest voorkom<strong>en</strong>de (voor zover bek<strong>en</strong>d) <strong>en</strong> e<strong>en</strong>voudige manier in Nederland<br />

om offline slachtoffers te werv<strong>en</strong>, is door kinder<strong>en</strong> te gebruik<strong>en</strong> uit de familie <strong>en</strong> de<br />

omgeving van de dader. Uit het buit<strong>en</strong>land zijn voorvall<strong>en</strong> bek<strong>en</strong>d waarbij<br />

zwerfkinder<strong>en</strong> (al dan niet verslaafd) <strong>en</strong> kinder<strong>en</strong> uit arme families word<strong>en</strong><br />

geronseld door produc<strong>en</strong>t<strong>en</strong> van <strong>kinderporno</strong>. Volg<strong>en</strong>s e<strong>en</strong> ingewijde die uit het<br />

milieu afkomstig is, werv<strong>en</strong> zij ook kinder<strong>en</strong> door te adverter<strong>en</strong> op <strong>internet</strong>,<br />

televisie <strong>en</strong> in de krant (An insight into child porn, 2009). In verschill<strong>en</strong>de land<strong>en</strong> die<br />

bek<strong>en</strong>d staan om het plaatsvind<strong>en</strong> van kinderprostitutie (Thailand, Brazilië <strong>en</strong> e<strong>en</strong><br />

aantal Oost‐Europese land<strong>en</strong>) wordt met kinderprostituees ook <strong>kinderporno</strong><br />

vervaardigd. Kinder<strong>en</strong> in de prostitutie uit de Oost‐Europese land<strong>en</strong> schijn<strong>en</strong> veel<br />

door de professionele produc<strong>en</strong>t<strong>en</strong> te word<strong>en</strong> gebruikt. De overige land<strong>en</strong> trekk<strong>en</strong><br />

vooral hobbyist<strong>en</strong> aan. Het kan niet uitgeslot<strong>en</strong> word<strong>en</strong> dat kinder<strong>en</strong> ook via<br />

137


m<strong>en</strong>s<strong>en</strong>smokkel vanuit Oost‐Europa <strong>en</strong> Azië naar Nederland kom<strong>en</strong> om hier in<br />

producties mee te spel<strong>en</strong>. Hierbij word<strong>en</strong> ze letterlijk verhandeld. Als iemand e<strong>en</strong><br />

slachtoffer heeft, wordt het soms ook gedeeld met ander<strong>en</strong>. Net als materiaal<br />

geruild wordt, gebeurt dit dus ook met slachtoffers.<br />

3.6.2 Modell<strong>en</strong>sites<br />

Profiel‐ of chatsites zoals Hyves, Sugababes of Sugadudes <strong>en</strong> sites waarop steeds<br />

jongere meisjes zich als ‘model’ aanbied<strong>en</strong>, zijn voor de daders letterlijk e<strong>en</strong><br />

database (O’Connel, 2000, p. 7), waarin zij kinder<strong>en</strong> die voldo<strong>en</strong> aan hun voorkeur<br />

kunn<strong>en</strong> uitzoek<strong>en</strong> (‘hawk<strong>en</strong>’) (Kuijl, 2008). Door middel van chatt<strong>en</strong> legg<strong>en</strong> zij met<br />

de kinder<strong>en</strong> contact. Het aanbod van modell<strong>en</strong> is groot <strong>en</strong> begint op onschuldige<br />

wijze. Er zijn veel modell<strong>en</strong>bureaus die kindermodell<strong>en</strong> lever<strong>en</strong> voor modeshows<br />

<strong>en</strong> g<strong>en</strong>oeg ouders die vind<strong>en</strong> dat hun kind goed g<strong>en</strong>oeg is om als model op te<br />

tred<strong>en</strong>. Er lijkt e<strong>en</strong> tr<strong>en</strong>d waarneembaar naar het steeds jonger aanbied<strong>en</strong> van<br />

modell<strong>en</strong>. Met deze bureaus is in principe niets mis, maar het wordt bijvoorbeeld<br />

verdachter als e<strong>en</strong> gerelateerde fotograaf of studio wel e<strong>en</strong> KvK registratie heeft,<br />

maar ge<strong>en</strong> website of andere publicatiekanaal bezit terwijl dat in de lijn van di<strong>en</strong>s<br />

beroep toch in de rede ligt.<br />

“Fotograf<strong>en</strong> prober<strong>en</strong> bij uitstek hun copyright te bescherm<strong>en</strong>, dus als iemand dit<br />

niet doet kan dat aangemerkt word<strong>en</strong> met e<strong>en</strong> red flag.”<br />

E<strong>en</strong> voorbeeld van e<strong>en</strong> fotograaf met mogelijke bijbedoeling<strong>en</strong> vind<strong>en</strong> we via de<br />

Nederlandse website www.modell<strong>en</strong>plein.nl. Op deze site kom<strong>en</strong> aanbod van <strong>en</strong><br />

vraag naar modell<strong>en</strong> <strong>en</strong> fotograf<strong>en</strong> bij elkaar, onderverdeeld naar categorieën<br />

(‘reclame’, ‘cosmetica’, ‘fashion’etc.). In de categorie ‘lingerie’ heeft <strong>en</strong>e PH de<br />

volg<strong>en</strong>de advert<strong>en</strong>tietekst geplaatst: “zoek leuk jong ti<strong>en</strong>er meisje voor lingerie<br />

shoot. wie heeft er interesse”. PH staat op de site geregistreerd als fotograaf, dus<br />

het is op zich niet raar dat hij modell<strong>en</strong> werft. Wordt gekek<strong>en</strong> naar de advert<strong>en</strong>ties<br />

die deze PH nog meer heeft geplaatst dan komt in de categorie ‘erotiek’ het<br />

volg<strong>en</strong>de naar vor<strong>en</strong>: “hoi, zoek e<strong>en</strong> leuk meisje voor e<strong>en</strong> hardcore shoot. wie heeft<br />

er zin? b<strong>en</strong> e<strong>en</strong> amateurfotograaf, midd<strong>en</strong> dertig <strong>en</strong> sportieve body. hoor graag van<br />

je! Groet. (PH)”. PH heeft één negatieve review <strong>en</strong> e<strong>en</strong> snelle zoekopdracht levert<br />

nog zes soortgelijke advert<strong>en</strong>ties op. Vervolg<strong>en</strong>s lijkt PH ook actief te zijn op e<strong>en</strong><br />

sexchat site.<br />

138


3.6.3 Sociale netwerksites<br />

Sociale netwerksites zijn uitgebreider dan chatbox<strong>en</strong> maar minder flexibel. Aan e<strong>en</strong><br />

profiel op e<strong>en</strong> netwerksite kunn<strong>en</strong> vri<strong>en</strong>d<strong>en</strong> word<strong>en</strong> gekoppeld. In het profiel kan<br />

allerlei persoonlijke informatie word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong>, sam<strong>en</strong> met foto’s, video’s <strong>en</strong><br />

andere media. Dit biedt mogelijkhed<strong>en</strong> om op basis van persoonlijke voorkeur<strong>en</strong><br />

vri<strong>en</strong>d<strong>en</strong> te zoek<strong>en</strong>, maar het aanmak<strong>en</strong> van e<strong>en</strong> profiel vergt nogal wat tijd. Snel<br />

van gesprek wissel<strong>en</strong> in e<strong>en</strong> chatbox is minder complex dan het steeds aanmak<strong>en</strong><br />

van e<strong>en</strong> nieuw profiel. Veel veroordeelde én pot<strong>en</strong>tiële pedofiel<strong>en</strong> verrad<strong>en</strong> zich<br />

door hun profiel <strong>en</strong> gedrag op Hyves, zo blijkt uit datamining‐onderzoek.<br />

Veroordeelde Pedofiel<strong>en</strong> die actief zijn op Hyves.nl<br />

Onderzoek ‘Algorithmic Tools for Data-Ori<strong>en</strong>ted Law Enforcem<strong>en</strong>t’<br />

Cocx: "E<strong>en</strong> afstudeerder heeft onderzoek gedaan naar <strong>kinderporno</strong> <strong>en</strong> sociale<br />

netwerk<strong>en</strong>. Hij heeft daar correlaties gevond<strong>en</strong> tuss<strong>en</strong> het aantal kinder<strong>en</strong> waaraan<br />

pedoseksuel<strong>en</strong> war<strong>en</strong> verbond<strong>en</strong> op sociale netwerk<strong>en</strong>." Ingedeeld in verschill<strong>en</strong>de<br />

leeftijdscategorieën bleek het aantal minderjarige 'vri<strong>en</strong>d<strong>en</strong>' e<strong>en</strong> significante<br />

voorspell<strong>en</strong>de factor bij pedoseksuel<strong>en</strong>. Ze war<strong>en</strong> vaak verbond<strong>en</strong> met veel<br />

kinder<strong>en</strong>. Bijvoorbeeld in de leeftijdsgroep 56-65 jaar hadd<strong>en</strong> de zed<strong>en</strong>delinqu<strong>en</strong>t<strong>en</strong><br />

gemiddeld 18 proc<strong>en</strong>t minderjarige 'vri<strong>en</strong>d<strong>en</strong>' teg<strong>en</strong> e<strong>en</strong> gemiddelde van 10 proc<strong>en</strong>t<br />

bij de controlegroep. Nadere datamining met bepaalde algoritmes verhoogt de<br />

voorspell<strong>en</strong>de factor nog e<strong>en</strong>s. "Dit staat nog in de kinderscho<strong>en</strong><strong>en</strong>", zegt Cocx,<br />

onbedoeld wrang humoristisch. Officieel mag de politie niet handel<strong>en</strong> op het<br />

resultaat van dit onderzoek. De gepleegde datamining raakt echter ook gevoelige<br />

maatschappelijke onderwerp<strong>en</strong> als afkomst van jonge criminel<strong>en</strong> <strong>en</strong> <strong>kinderporno</strong>.<br />

Die onderwerp<strong>en</strong> kunn<strong>en</strong> bij andere politieke verhouding<strong>en</strong> in Nederland echter wel<br />

in aanmerking kom<strong>en</strong> voor data mining. (…)"Alhoewel logischerwijs ge<strong>en</strong> wettige<br />

actie ondernom<strong>en</strong> kan word<strong>en</strong> teg<strong>en</strong> zulke individu<strong>en</strong>, voedt dit f<strong>en</strong>ome<strong>en</strong> de<br />

veronderstelling dat e<strong>en</strong> zeker perc<strong>en</strong>tage van minderjarige vri<strong>en</strong>d<strong>en</strong> e<strong>en</strong> goede<br />

indicatie kan zijn voor de kans van e<strong>en</strong> individu om te behor<strong>en</strong> tot e<strong>en</strong> zekere<br />

risicovolle categorie," aldus Cocx.<br />

Bronn<strong>en</strong>: Cocx, 2009; Olsthoorn, 2009<br />

Cocx matchte de persoonsgegev<strong>en</strong>s van 2.044 veroordeelde pedofiel<strong>en</strong> met Hyves<br />

<strong>en</strong> stelde vast dat t<strong>en</strong>minste 15,5 proc<strong>en</strong>t van h<strong>en</strong> beschikte over e<strong>en</strong> Hyves‐profiel<br />

(Cocx, 2009). Werd<strong>en</strong> deze cijfers nogal opzi<strong>en</strong>bar<strong>en</strong>d g<strong>en</strong>oemd; als we ze<br />

vergelijk<strong>en</strong> met hoeveel Nederlanders überhaupt e<strong>en</strong> profiel op Hyves hebb<strong>en</strong> dan<br />

139


vall<strong>en</strong> ze juist erg laag uit 32 . Dat geeft eerder voeding aan e<strong>en</strong> veronderstelling dat<br />

pedofiel<strong>en</strong> wellicht wel op Hyves staan ingeschrev<strong>en</strong>, maar niet onder hun eig<strong>en</strong><br />

naam. Zij blev<strong>en</strong> in het datamining‐onderzoek buit<strong>en</strong> beeld. Naast Hyves zijn er<br />

overig<strong>en</strong>s nog veel meer van dit soort netwerksites.<br />

Ook gaming rooms, chatrooms waar spelletjes gespeeld word<strong>en</strong>, zijn e<strong>en</strong><br />

aantrekkelijke plek voor daders om slachtoffers te zoek<strong>en</strong>. De kinder<strong>en</strong> gaan<br />

helemaal op in de spelletjes <strong>en</strong> zijn weinig selectief met wie ze ondertuss<strong>en</strong> prat<strong>en</strong>.<br />

Die spelletjes zijn ingedeeld naar leeftijdsgroep<strong>en</strong> <strong>en</strong> zo kunn<strong>en</strong> daders precies e<strong>en</strong><br />

slachtoffer uitzoek<strong>en</strong> met de leeftijd van hun voorkeur (voorbeeld<strong>en</strong>: neopets.com,<br />

homerecreationgames.com/, girlsgogames.com/games/room_makeover_games/,<br />

<strong>en</strong> habbohotel.nl).<br />

3.6.4 Chat<br />

Het selecter<strong>en</strong> of vind<strong>en</strong> van slachtoffers van grooming gebeurt vooral via<br />

chatrooms of chatbox<strong>en</strong>. E<strong>en</strong> chatroom of chatbox is e<strong>en</strong> virtuele ruimte op het<br />

<strong>internet</strong> waar m<strong>en</strong> kan chatt<strong>en</strong>. Specifiek seksueel gerelateerde chatrooms word<strong>en</strong><br />

ook aangebod<strong>en</strong> onder categorieën als cybersex binn<strong>en</strong> algem<strong>en</strong>e chatsites als<br />

chatropolis.com, chathour.com <strong>en</strong> chatrooms.uk.com. Chatt<strong>en</strong> via het populaire<br />

instant messagingprogramma Windows Live Mess<strong>en</strong>ger (voorhe<strong>en</strong> MSN<br />

Mess<strong>en</strong>ger) <strong>en</strong> Yahoo Mess<strong>en</strong>ger verschilt van chatt<strong>en</strong> in e<strong>en</strong> op<strong>en</strong> chatbox<br />

doordat toestemming moet word<strong>en</strong> verkreg<strong>en</strong> om met e<strong>en</strong> bepaalde persoon te<br />

mog<strong>en</strong> chatt<strong>en</strong> <strong>en</strong> doordat m<strong>en</strong> zelf toestemming voor e<strong>en</strong> chat moet gev<strong>en</strong> aan<br />

e<strong>en</strong> ander. Die toelatingsvoorwaarde maakt chatt<strong>en</strong> via MSN minder riskant dan via<br />

op<strong>en</strong> chatbox<strong>en</strong>. Vooral jongere chatters realiser<strong>en</strong> zich minder wat de risico’s zijn<br />

van het toelat<strong>en</strong> van vreemd<strong>en</strong> in hun lijst met contactperson<strong>en</strong>. Zij voeg<strong>en</strong> deze<br />

gewoon toe, zodat deze drempel in werkelijkheid lager ligt dan in theorie.<br />

“Daders lett<strong>en</strong> bij het zoek<strong>en</strong> naar pot<strong>en</strong>tiële slachtoffers op ev<strong>en</strong>tuele seksuele<br />

toespeling<strong>en</strong> in de naam of nickname van het kind, bijvoorbeeld ‘geil jong meisje’.<br />

Ze kijk<strong>en</strong> daarnaast naar het aantal vri<strong>en</strong>d<strong>en</strong> dat e<strong>en</strong> kind heeft”.<br />

32 Van de 13‐19 jarig<strong>en</strong> had in maart 2008 70,3 % e<strong>en</strong> Hyves profiel, van 20‐34 jaar 73,6%, van 35‐49<br />

jaar 53,1% <strong>en</strong> van 50 jaar <strong>en</strong> ouder 21,8% (bron: www.yme.nl/ymerce/2008/03/07/leuke‐hyvescijfertjes‐voor‐het‐week<strong>en</strong>d/,<br />

laatst geraadpleegd 30 maart 2008).<br />

140


Voorbeeld van e<strong>en</strong> chatgesprek tuss<strong>en</strong> twee 'vri<strong>en</strong>d<strong>en</strong>'<br />

Chatgesprek<br />

+"Uok, dude?"<br />

>"Trdmc, man ;-("<br />

+"Hehehe, shouldn't that be #-)?"<br />

>"Bion, she left me :-: )"<br />

>"I gave the syt tdm tlc. She's become<br />

a pita and fye: now I'm fubar, my fri<strong>en</strong>d<br />

:-c"<br />

+"Jam ... (rotflastc) ... Imnsho, she's just<br />

a pos"<br />

>"Esad"<br />

+"I'm gonna gd&rvvf I think!"<br />

>"Yeah, and gpf!"<br />

+"Bsf, I think it's a load of bs. U sure it's<br />

not an afj?"<br />

>"Ofcourse! Wh<strong>en</strong> I took her back, tcb.<br />

But you know, I've discovered that<br />

tmtltbmg"<br />

+"Llta! But pmymhmmfswgad<br />

>:->" >"nrn. Bbl"<br />

+"Bbfn. And gl, buddy :-,"<br />

Bron: www.taalkabaal.nl/digitaal.html<br />

Betek<strong>en</strong>is<br />

+"You OK, dude?"<br />

>"Tears running down my cheek, man ;-<br />

("<br />

+"Hehehe, shouldn't that be #-)?"<br />

>"Believe it or not, she left me :-


het geslacht van e<strong>en</strong> kind. Wanneer e<strong>en</strong> dader via chatsites op zoek gaat naar<br />

kinder<strong>en</strong>, zal hij niet snel e<strong>en</strong> achtjarig kind vind<strong>en</strong> maar wel e<strong>en</strong> van veerti<strong>en</strong> jaar.<br />

De keuze voor e<strong>en</strong> MO hangt sam<strong>en</strong> met de financiële situatie van het<br />

desbetreff<strong>en</strong>de land (in arme land<strong>en</strong> is e<strong>en</strong> groter aanbod van slachtoffers) <strong>en</strong> met<br />

de beschikbaarheid van slachtoffers in bepaalde land<strong>en</strong>. T<strong>en</strong> slotte speelt het doel<br />

van de dader e<strong>en</strong> rol. Wil hij e<strong>en</strong> kind voor langere tijd beschikbaar hebb<strong>en</strong> of is het<br />

e<strong>en</strong> e<strong>en</strong>malige actie? In het eerste geval zal hij moet<strong>en</strong> zorg<strong>en</strong> dat hij veel tijd met<br />

het kind doorbr<strong>en</strong>gt <strong>en</strong> zal hij e<strong>en</strong> band moet<strong>en</strong> opbouw<strong>en</strong>. In het tweede geval<br />

kan hij bij wijze van sprek<strong>en</strong> ook zomaar e<strong>en</strong> kind op e<strong>en</strong> speelplein aansprek<strong>en</strong>.<br />

Gebruik van chatrooms voor communicatie tuss<strong>en</strong> daders<br />

Paedophile trio locked up on chat room evid<strong>en</strong>ce. Unpreced<strong>en</strong>ted convictions<br />

“Three paedophiles who used <strong>internet</strong> chat rooms to plot to kidnap and rape two<br />

sisters were jailed for a total of 27 years at Southern Crown Court on Monday.<br />

Police said it was the first time chat room logs alone had be<strong>en</strong> used to prove<br />

conspiracy to rape charges. David Beavan, 42 of Bransgore, Hampshire, Alan<br />

Hedgcock, 41 of Twick<strong>en</strong>ham, and Robert Mayers, 42 of Warrington, had never<br />

met. Hedgcock, who was giv<strong>en</strong> an eight year s<strong>en</strong>t<strong>en</strong>ce, used an incest-themed chat<br />

room to tell Beavan, who was handed 11 years imprisonm<strong>en</strong>t of his plan to abuse<br />

sisters aged 13 and 14. Beavan indicated he wanted to join the attack, and the pair<br />

later recruited Mayers via the <strong>internet</strong> too. Judge Geoffrey Rivlin, QC, said the<br />

m<strong>en</strong>s' conversations were "most lurid and disgusting", the BBC reports. The logs<br />

came to light wh<strong>en</strong> police confiscated computers after Beavan told Bournemouth<br />

police about the plot in January 2006, claiming he was a "vigilante" gathering<br />

evid<strong>en</strong>ce. They revealed a detailed history of the plan, including the discussions of<br />

their targets, where and how the crime would take place, as well as thousands of<br />

child porn images.”<br />

Bron: Williams, 2007<br />

3.6.5 Advert<strong>en</strong>ties<br />

E<strong>en</strong> andere manier waarbij <strong>internet</strong> gebruikt wordt om kinder<strong>en</strong> te werv<strong>en</strong> <strong>en</strong><br />

tegelijkertijd aan te bied<strong>en</strong>, is het plaats<strong>en</strong> van advert<strong>en</strong>ties (Profit for the World’s<br />

Childr<strong>en</strong>, 2001, p. 7) binn<strong>en</strong> beslot<strong>en</strong> pedofiel<strong>en</strong>‐netwerk<strong>en</strong> of ‐subgroep<strong>en</strong><br />

(Landelijk Project Kinderporno, 2009, p. 11). Het doel kan ook zijn om de kinder<strong>en</strong><br />

uit te ruil<strong>en</strong> teg<strong>en</strong> andere kinder<strong>en</strong> of te lat<strong>en</strong> misbruik<strong>en</strong> teg<strong>en</strong> betaling. De politie<br />

is bek<strong>en</strong>d met het bestaan van speciale misbruikgroep<strong>en</strong> die zijn opgericht met het<br />

doel om kinder<strong>en</strong> met elkaar uit te wissel<strong>en</strong>. In Nederland komt het voor dat<br />

hobbymatige of ‘professionele’ fotograf<strong>en</strong> advert<strong>en</strong>ties zett<strong>en</strong> op <strong>internet</strong> met<br />

daarin e<strong>en</strong> oproep dat zij op zoek zijn naar modell<strong>en</strong> van e<strong>en</strong> bepaalde leeftijd. Zo<br />

142


word<strong>en</strong> jonge pubermeisjes gelokt <strong>en</strong> wordt daar mogelijk vervolg<strong>en</strong>s misbruik van<br />

gemaakt.<br />

3.7 Stap 4 Grooming<br />

Onder ‘grooming’ word<strong>en</strong> activiteit<strong>en</strong> van daders (online predators) verstaan die<br />

online contact zoek<strong>en</strong> met kinder<strong>en</strong>, om h<strong>en</strong> online of offline seksueel te<br />

misbruik<strong>en</strong> <strong>en</strong> daar beeldmateriaal van te mak<strong>en</strong>. Grooming is het proces waarin<br />

e<strong>en</strong> volwass<strong>en</strong> of jong volwass<strong>en</strong> persoon, de ‘groomer’, e<strong>en</strong> minderjarige<br />

b<strong>en</strong>adert <strong>en</strong> door middel van valse voorw<strong>en</strong>dsels het kind probeert in te palm<strong>en</strong>.<br />

Het uiteindelijk doel is om de minderjarige seksueel te misbruik<strong>en</strong> (Stichting<br />

Meldpunt ter bestrijding van Kinderpornografie op Internet, 2008, p. 9).<br />

Salter (2003) deelt grooming als gedrag in volg<strong>en</strong>s vier stadia: het opbouw<strong>en</strong> van<br />

vertrouw<strong>en</strong>, het vervreemd<strong>en</strong> van overige familieled<strong>en</strong>, het eis<strong>en</strong> van<br />

geheimhouding <strong>en</strong> het oprekk<strong>en</strong> van gr<strong>en</strong>z<strong>en</strong>. In het begin is het kind afhankelijk<br />

van de g<strong>en</strong>eg<strong>en</strong>heid van de groomer. Die probeert meer gelijkwaardigheid op te<br />

roep<strong>en</strong> door zelfonthulling: hij vertelt veel over zichzelf, begrijpt <strong>en</strong> helpt het kind<br />

bij de problem<strong>en</strong> die het kind in reactie daarop vertelt. Er ontstaat e<strong>en</strong> s<strong>fee</strong>r van<br />

wederzijds del<strong>en</strong> van ervaring<strong>en</strong> <strong>en</strong> gevoel<strong>en</strong>s, ze word<strong>en</strong> vri<strong>en</strong>djes. Het bijzondere<br />

<strong>en</strong> exclusieve van de relatie wordt uitgediept, het kind krijgt meer het gevoel<br />

‘speciaal te zijn’, er wordt gewerkt naar e<strong>en</strong> grotere vertrouwelijkheid <strong>en</strong> intimiteit.<br />

In deze fase word<strong>en</strong> echte geheim<strong>en</strong> gedeeld (bijvoorbeeld over rok<strong>en</strong> <strong>en</strong> drink<strong>en</strong>)<br />

in e<strong>en</strong> s<strong>fee</strong>r van ‘niet verder vertell<strong>en</strong>’. De lokker verleidt het kind tot gesprekk<strong>en</strong><br />

over diepe onzekerhed<strong>en</strong> <strong>en</strong> angst<strong>en</strong>, maar ook andere ‘geheim<strong>en</strong>’, zoals seks. Pas<br />

in deze fase wordt de webcam ingezet. Het kind vindt het allemaal nog steeds leuk<br />

<strong>en</strong> bijzonder, hij of zij g<strong>en</strong>iet van de bijzondere band. In deze fase draait het om<br />

seks. Er wordt gepraat over seks, er word<strong>en</strong> beeld<strong>en</strong> <strong>en</strong> fantasieën uitgewisseld <strong>en</strong><br />

het komt langzaam maar zeker tot handel<strong>en</strong>. Eerst via de webcam maar mogelijk<br />

word<strong>en</strong> ook afspraakjes gemaakt om elkaar te ontmoet<strong>en</strong>. Meestal komt er<br />

helemaal ge<strong>en</strong> dwang bij kijk<strong>en</strong>. Na de eerste keer seks, gaat e<strong>en</strong> groot deel van de<br />

kinder<strong>en</strong> in op e<strong>en</strong> verzoek om nogmaals af te sprek<strong>en</strong>.<br />

Groomers prober<strong>en</strong> het kind op allerlei manier<strong>en</strong> te manipuler<strong>en</strong> tot het uitvoer<strong>en</strong><br />

van seksuele handeling<strong>en</strong>. Door bijvoorbeeld iets van zichzelf te lat<strong>en</strong> zi<strong>en</strong><br />

(preview), probeert de dader het kind te overtuig<strong>en</strong> dat het normaal is om jezelf te<br />

ton<strong>en</strong> via de webcam (Profit for the World’s Childr<strong>en</strong>, 2001, p. 8). Zodra de dader<br />

143


het kind daartoe heeft overgehaald, maakt hij daar e<strong>en</strong> foto of filmpje van via de<br />

webcam. Vervolg<strong>en</strong>s wordt het kind met dat beeldmateriaal gechanteerd, om zo<br />

nog meer beeldmateriaal te verkrijg<strong>en</strong> <strong>en</strong> het kind steeds verder te lat<strong>en</strong> gaan.<br />

Daders zegg<strong>en</strong> dan bijvoorbeeld dat ze het filmpje aan de ouders van het kind<br />

zull<strong>en</strong> lat<strong>en</strong> zi<strong>en</strong> of dat ze het naar alle vri<strong>en</strong>d<strong>en</strong> uit de MSN‐lijst van het kind zull<strong>en</strong><br />

stur<strong>en</strong> (Kuijl, 2008, p. 4). E<strong>en</strong> aantal daders uit de onderzochte dossiers ging nog<br />

e<strong>en</strong> stap verder <strong>en</strong> ging kinder<strong>en</strong> stalk<strong>en</strong>, door ze te blijv<strong>en</strong> mail<strong>en</strong>, sms‐<strong>en</strong> of zelfs<br />

op de thuistelefoon te bell<strong>en</strong>. Ook werd<strong>en</strong> kinder<strong>en</strong> regelmatig bedreigd met<br />

mishandeling of dood, als ze niet (meer) ded<strong>en</strong> wat de dader h<strong>en</strong> opdroeg te do<strong>en</strong><br />

voor de webcam. Er zijn voorbeeld<strong>en</strong> bek<strong>en</strong>d dat daders het slachtoffer eerst iets<br />

liet<strong>en</strong> download<strong>en</strong>, waarmee e<strong>en</strong> ‘Trojan’ werd binn<strong>en</strong>gehaald die software<br />

installeerde waarmee de webcam op afstand kon word<strong>en</strong> bedi<strong>en</strong>d.<br />

3.8 Stap 5 Consolidation<br />

E<strong>en</strong> aantal daders is naast het online misbruik<strong>en</strong> <strong>en</strong> het mak<strong>en</strong> van beeldmateriaal,<br />

uit op e<strong>en</strong> feitelijke ontmoeting met het kind. Om het kind feitelijk te kunn<strong>en</strong><br />

misbruik<strong>en</strong> of in het echt beeldmateriaal te kunn<strong>en</strong> mak<strong>en</strong>. Er bestaan op het<br />

<strong>internet</strong> handleiding<strong>en</strong> <strong>en</strong> tekst<strong>en</strong> waarin uitleg <strong>en</strong> instructie wordt gegev<strong>en</strong> hoe<br />

kinder<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> gemanipuleerd om ze te kunn<strong>en</strong> misbruik<strong>en</strong> (Stichting<br />

Meldpunt ter bestrijding van Kinderpornografie op Internet, 2008, p. 15).<br />

Slachtoffers kunn<strong>en</strong> verliefd word<strong>en</strong> op de dader waardoor zij vrijwillig instemm<strong>en</strong><br />

met e<strong>en</strong> ontmoeting of het contact (Wolak J. , Finkelhor, Mitchell, & Ybarra, 2008,<br />

p. 113). Dat als afzonderlijke activiteit te detecter<strong>en</strong> vraagt wel om subtiele<br />

red<strong>en</strong>ering<strong>en</strong>. Stel dat e<strong>en</strong> groomer via chat in contact staat met e<strong>en</strong> slachtoffer<br />

dat verliefd op hem is geword<strong>en</strong> dan zal het slachtoffer contact prober<strong>en</strong> te legg<strong>en</strong><br />

met de dader. Is het slachtoffer daar<strong>en</strong>teg<strong>en</strong> bijvoorbeeld bang voor de groomer<br />

dan zal het contact word<strong>en</strong> gelegd vanuit de dader <strong>en</strong> niet het slachtoffer. Om<br />

überhaupt op het niveau van detectie uit te kom<strong>en</strong> zijn voorafgaande wel<br />

aanvull<strong>en</strong>de parameters nodig. Bijvoorbeeld detectie van groomers aan de hand<br />

van het aantal profiel<strong>en</strong> op profielsites.<br />

Nog e<strong>en</strong