Er gaat geen dag voorbij of onze samenleving wordt geconfronteerd met één of andere vorm van cybercriminaliteit. Welke fenomenen komen vandaag het meeste voor? Hoe gaan cybercriminelen te werk? En hoe kan je hen een stap voor zijn? Robrecht De Keersmaecker, substituut-procureur-generaal bij het parket-generaal Antwerpen en hoofdcoördinator van het expertisenetwerk cybercriminaliteit, deelt zijn ervaringen.
Robrecht De Keersmaecker: “Cybercriminelen zijn vandaag niet altijd grote, criminele organisaties in schimmige schurkenstaten. Het zijn even vaak gewoon jongeren die in een Airbnb om de hoek zitten en die ontdekt hebben hoe gemakkelijk het is geworden om mensen op te lichten via phishing. Voor een paar honderden euro’s kan je een phishingpaneel kopen mét technische bijstand. Dan komt er iemand langs om alles te installeren en je de nodige uitleg te geven. Of je kijkt naar de tutorials op YouTube. Voor cybercriminelen is het easy money. Ze hoeven er zelfs niet voor buiten te komen. Een drugsdealer moet de hele avond rondrijden in onweer en regen, de hele tijd op de hoek van de straat staan terwijl hij elk moment aangevallen kan worden door een concurrerende bende of opgepakt worden door de politie. Cybercriminelen halen op slechts een paar uur tijd tienduizenden euro’s binnen, terwijl het hen maar een paar honderden euro’s aan materiaal heeft gekost. Ze hebben een toffe avond gehad en kunnen een paar weken verder, waarna ze opnieuw beginnen. Het draait dan misschien niet altijd om de grote criminele organisaties, de gevolgen voor de slachtoffers zijn daarom niet minder. Je leest het tegenwoordig regelmatig in de krant dat mensen bijvoorbeeld hun volledige pensioen zijn kwijtgespeeld door phishing. Dat zijn schrijnende verhalen.”
Sneller dan een leeuw
Robrecht: “Cybercriminelen zijn altijd op zoek naar de gemakkelijkste slachtoffers. Het komt erop neer om zelf de minst kwetsbare speler te zijn. Je moet niet sneller lopen dan de leeuw, je moet gewoon sneller lopen dan de persoon die naast je loopt. Is die persoon ingerekend door de leeuw, dan zal de leeuw zijn honger gestild zijn en gaat hij even rusten. Het is niet mooi om te zeggen, maar daar komt het wel op neer. Je moet er gewoon voor zorgen dat jouw systeem beter beveiligd is dan dat van een ander.”
Robrecht: “Door The Internet of Things zijn we ook kwetsbaarder geworden als mens én als maatschappij. Waarom moeten we al onze apparaten van op afstand met één druk op de knop kunnen bedienen? Waarom moet mijn waterkoker bijvoorbeeld van op afstand te bedienen zijn? Kan ik echt niet twee minuten wachten tot ik thuis ben om warm water te maken voor mijn koffie of thee? Moet dat al vanuit de auto gebeuren? En weegt die reden wel op tegen de risico’s? Want al die dingen zijn een toegangspoort tot je netwerk. Niet dat er op een waterkoker geheime of gevaarlijke informatie staat, maar daar zit bijvoorbeeld al de toegang tot je wifi op, want er moet een connectie zijn. Via die weg kan de crimineel dus ook op je wifi en daar hangen misschien systemen aan die wél kwetsbare informatie bevatten. Voor hetzelfde geld blokkeren ze je verwarming in het midden van de winter, zetten ze je deuren open of volgen ze je loopschoenen. Als ze weten wanneer je bepaalde handelingen stelt, weten ze perfect wanneer je wel of niet thuis bent. Mensen staan totaal niet stil bij de mogelijke gevolgen. Als het maar gratis is. Maar als het gratis is, wil dat zeggen dat jij zelf de prijs bent. Jouw data, jouw privégegevens zijn het nieuwe goud en met die gegevens betaal jij voor het gebruik van die gratis applicatie.”
Het olifantengeheugen van het internet
De rol van privacy, hoe we omgaan met onze gegevens en wat we delen op internet is vandaag voor velen een evenwicht tussen de digitale technologie omarmen en tegelijkertijd waakzaam zijn.
Robrecht: “Ik vraag me af hoe jongeren die vandaag met sociale media opgroeien in onze maatschappij omgaan met die digitale technologieën en hun privacy. Ik heb gelukkig nog de tijd meegemaakt dat je je in een kleedkamer na het sporten gewoon nog kon omkleden en douchen zonder angst te moeten hebben dat je gefilmd zou worden. Vandaag zijn veel jongeren er zich van bewust dat ieder van hen een GSM bij de hand heeft waarmee gefilmd zou kunnen worden. Je wil jongeren natuurlijk ook geen angst aanjagen. Het moet namelijk een heel enge wereld zijn wanneer je voor álles waakzaam moet zijn. Maar het is een realiteit dat alles wat vandaag gefilmd wordt en online komt, nooit vergeten wordt. Het internet heeft een olifantengeheugen. Er zijn websites die niets anders doen dan alles archiveren wat op het internet staat.”
Om mensen hiervan bewust te maken, is preventie en inzetten op cyberveiligheid, ook vanuit het Openbaar Ministerie, van cruciaal belang.
Robrecht: “We zijn een grote voorstander van preventie en cyberveiligheid. We doen dat zelf ook door zo snel mogelijk informatie door te schakelen naar de juiste partners. Want het belangrijkste voor het slachtoffer is dat hij zijn geld terugkrijgt. Bij een phishingdossier zullen we altijd onmiddellijk bij een aangifte de informatie overmaken aan de banken zodat de gelden zo snel mogelijk geblokkeerd kunnen worden. In 99% van de gevallen zijn de banken al op de hoogte. Mensen denken er gelukkig vaak eerst aan om hun bankier in te lichten alvorens ze naar de politie gaan, wat een goede reflex is. Niet elke bank heeft echter een 24/7-netwerk om aangifte te doen. Wat we nu merken, is dat phishingaanvallen vaak starten op vrijdagavond in een verlengd weekend. Cybercriminelen weten dat banken dan dicht zijn en je niet veel mensen zal vinden om je aangifte te doen. Dan ben je een paar dagen verder en is je geld tegen dan al lang weg. Er zijn een aantal banken die momenteel bekijken om een 24 uur-netwerk op te starten, maar misschien moeten alle banken samen kijken om één gezamenlijk netwerk te creëren waar mensen dag en nacht terechtkunnen. Verder werken we samen met allerlei andere partners: het Centrum voor Cybersecurity (CCB), grote operatoren, browserbedrijven… om zo snel mogelijk de criminele keten door te knippen en bijvoorbeeld de toegang tot phishingwebsites te blokkeren of minstens een waarschuwing toe te voegen. Door preventief te werken, vermijden we heel wat mogelijke nieuwe slachtoffers.”
Kat- en muisspel
Toch is er ook cybercriminaliteit waar je je moeilijk(er) tegen kan verdedigen.
Robrecht: “We gaan nooit kunnen vermijden dat criminele organisaties toch succes hebben, want ze worden steeds spitsvondiger. Phishing is een blijver, maar tegelijkertijd duiken er ook nieuwere fenomenen op. Cybercriminelen zijn heel modern en vernieuwend in hun manieren om geld van mensen hun rekening te halen. Denk maar aan spear phishing en advanced persistent threats. Bij gewone phishing wordt er een massa aan mailings en valse berichten uitgestuurd in de hoop toch een aantal slachtoffers te kunnen maken. Bij spear phishing daarentegen richten de criminelen zich op één welbepaald slachtoffer, bijvoorbeeld een groot bedrijf. Men stuurt dan op maat gemaakte valse berichten – vaak gepersonaliseerd met wat men op sociale media terugvindt – naar personen die een bijzondere functie bekleden in dat bedrijf. Eens ze binnen zijn bij die persoon, misbruikt men diens bevoegdheden om bijvoorbeeld grote sommen geld weg te maken of zeer gevoelige informatie te kopiëren. Bij advanced persistent threats wordt ook heel gericht te werk gegaan, maar probeert men zeer discreet binnen een netwerk binnen te geraken om zich daarin langere tijd op te houden, zich op te werken naar interessantere en gevoeligere delen van het netwerk, wat een grote inzet vraagt van de criminele organisatie en is vaker het speelveld van inlichtingendiensten en schurkenstaten. Dan heb je state sponsored cybercrime waarbij gekende staten hopen om op die manier binnen te geraken op een cruciale plaats binnen een organisatie om zo toegang te krijgen tot heel gevoelige informatie of om bepaalde bedrijfskritische processen lam te leggen. Emotiefraude is dan weer een fenomeen dat onze intiemere relaties misbruikt. Criminelen spelen dan in op de gevoelens van hun slachtoffers om hen zo geld te ontfutselen. Naarmate mensen mekaar minder echt zien, en meer digitaal, is het makkelijker om mensen op die manier te misleiden. Verder blijven ransomware-campagnes een ware plaag. Die campagnes worden ook steeds slimmer. In het begin werd gezegd dat je back-ups moest maken van je gegevens. Dat is heel goed, maar tegenwoordig zijn er campagnes die een tijd op de loer liggen en die kijken wanneer er via netwerkverbindingen back-ups worden gemaakt. Wanneer de netwerkverbindingen gemaakt worden, encrypteren de criminelen meteen ook de back-ups. Dat is een kat- en muisspel waar zó veel geld mee te halen valt. De combinatie van doxing en ransomware is ook iets nieuw, waarbij men de gegevens ontoegankelijk maakt voor het slachtoffer, maar gelijktijdig gevoelige data online publiek dreigt te maken. Je kan het zo gek niet bedenken of de cybercriminelen zijn mee met de nieuwe tendensen. De technologie volgt gewoon de maatschappij. Het is als bedrijf dan ook enorm belangrijk om ervoor te zorgen dat je cyberveiligheid op scherp staat, zodat het voor criminele organisaties zo moeilijk mogelijk gemaakt wordt om toegang te krijgen.”
We hebben alle belang bij een goede vervolging. Heb je geen vervolging en kan je niet raken aan de groeperingen die achter de cybercrime zitten, dan blijf je bij wijze van spreken dweilen met de kraan open - Robrecht De Keersmaecker (substituut-procureur-generaal - parket-generaal Antwerpen)
Identificeren en vervolgen
Naast inzetten op preventie en cyberveiligheid is vervolging dé belangrijkste taak van het Openbaar Ministerie om cybercriminaliteit te bestrijden.
Robrecht: “We hebben alle belang bij een goede vervolging. Heb je geen vervolging en kan je niet raken aan de groeperingen die achter de cybercrime zitten, dan blijf je bij wijze van spreken dweilen met de kraan open. Enkel inzetten op het achterhalen van het geld, is daarbij dus niet voldoende. Want wat gebeurt er dan? Er wordt de hele tijd geprobeerd om zo snel mogelijk URL’s offline te halen en overschrijvingen te blokkeren die gedaan zijn van rekeningen van het slachtoffer naar aankopen van pay safe cards bijvoorbeeld. Maar dat slorpt enorm veel tijd en is op sommige parketten bijna een dagtaak geworden voor magistraten, waardoor ze niet meer tot hun werkelijke kerntaak komen: vervolgen. Het moet net onze ambitie blijven om te kunnen doorstoten naar die achterliggende groeperingen. Want zolang we die dadergroepen niet kunnen identificeren en vervolgen, blijven die gewoon elke week een nieuwe campagne lanceren en nieuwe slachtoffers maken.”
De internationalisering van cybercrime maakt het echter niet altijd even evident om de daders effectief te identificeren.
Robrecht: “Veel cybercriminelen opereren vanuit het buitenland, wat het niet makkelijk maakt hen te identificeren. Daders maken tegenwoordig namelijk ook gebruik van technologie om die identificatie te bemoeilijken, denk maar aan VPN’s, proxy’s anonieme mailingdiensten, hostingbedrijven waar een zekere ‘Mickey Mouse’ een server gaat huren zonder dat men zich daar vragen bij stelt. Simkaarten die gekocht worden per tientallen of honderdtallen door één persoon, waarbij een valse identiteitskaart gebruikt wordt waarop de simkaarten geregistreerd worden. Als de uitbater van de winkel niet kritisch is, dan hebben we honderd simkaarten die naar de verkeerde persoon leiden en is het onderzoek al bijna meteen voorbij nog voor het begonnen is. Voor veel dossiers kunnen we gelukkig wél doorstoten tot de criminele organisaties en tot een arrestatie komen. Criminelen moeten eigenlijk áltijd geluk hebben, wij moeten maar één keer geluk hebben. We moeten maar één keer een verdachte beweging zien of een controle doen waarbij we iemand vinden met een zak vol bankkaarten, om over te gaan tot actie.”
Toekomst
Om cybercriminaliteit nog gerichter en beter te kunnen aanpakken, is volgens Robrecht extra capaciteit nodig bij de politie.
Robrecht: “Binnen de magistratuur is er al enkele jaren een kentering bezig. Er zijn steeds meer magistraten met een interesse in cybercrime en er is een heel goed opleidingstraject vanuit het Instituut voor Gerechtelijke Opleiding (IGO). Het enige probleem is dat magistraten niet uitsluitend werken rond cybercrimedossiers, maar ook belast worden met andere dossiers zoals gemeenrechtelijke. Dit doordat er te weinig cybercriminaliteitsdossiers tot bij ons komen. Dat komt omdat er niet voldoende onderzoekscapaciteit is bij de politie. Er moet geïnvesteerd worden in extra mensen bij de politie en tegelijk moeten ze intern durven te (her)schuiven met capaciteiten. Komen er veel cybercrimedossiers binnen? Dan moet je meer kunnen inzetten op nieuwe profielen of bestaande profielen herscholen zodat hier gericht op gewerkt kan worden. Maar koken kost uiteraard geld.”
Verder zijn verschillende landen momenteel bezig met projecten waarbij ethische hackers betrokken worden, onder meer ook in samenwerking met bedrijven. In België is dit momenteel veel minder ingebed.
Robrecht: “In verschillende landen zijn er al bug bounty projecten. In ons land is hacken een misdrijf, ongeacht de bedoeling ervan. Als je wetens en willens toegang neemt tot een systeem waarvoor je weet dat je niet gerechtigd bent, ongeacht je goede bedoelingen, ben je strafbaar. De wetgever heeft er destijds doelbewust voor gekozen om daar geen bijzonder opzet in te vereisen. Want anders zou het gemakkelijk zijn: het bijzonder opzet is er niet, die man wou alleen maar goed doen, dus hij heeft het misdrijf niet gepleegd. Het CCB wil ethisch hacken uit het strafrecht halen. Vanuit het expertisenetwerk cybercrime zijn we daar niet meteen voorstander van. We hebben altijd voorgesteld dat bedrijven die ethisch hacken willen toelaten via een open policy moeten werken. Ze kunnen op hun website zetten dat ze ethisch hacken toelaten en een lijst aan voorwaarden vermelden die daarbij nageleefd moeten worden. Dan heb je een soort stilzwijgende wilsovereenkomst. Het CCB zou een generiek model kunnen ontwikkelen dat gebruikt kan worden door kleinere bedrijven die niet de capaciteit hebben om zo’n policy te ontwikkelen. Die bedrijven kunnen op hun website dan vermelden dat ze het protocol ‘ethisch hacken’ van het CCB volgen. Schakel je je daarin, dan gaat het bedrijf in kwestie akkoord dat je toegang neemt tot hun systemen in het kader van ethisch hacken. Zulke trajecten kunnen nuttig zijn, want de beste boswachters zijn meestal voormalige stropers.”
Robrecht: “Om slachtoffers te vermijden, is dé allerbelangrijkste boodschap in dit verhaal: is het te mooi om waar te zijn, dan is het meestal niet waar. En denk vier keer na alvorens je op een link klikt.”
