/dc-useruploads-images/54ebe274b1414dd58211f9615b03eb0b.png)
En hij leek nog wel zo betrouwbaar. Goede recensies van andere klanten. Veel keuze. Een Nederlandse betaalkaart? Geen probleem. Dertien euro, te betalen in Bitcoin. Directe levering, gegarandeerd tevreden.
Alleen die naam - klopte dat wel? Kun je iemand vertrouwen die zich ProfessorDark noemt?
Vorige week kocht ik gestolen creditcardinformatie op het Dark Web. Dat ik opgelicht werd, had ik verwacht. Wat me wel verbaasde, was hoe makkelijk je gestolen informatie kunt kopen op een criminele markt.
Dat gaat namelijk zo. Je downloadt de Tor-browser, een browser die je nodig hebt om het Dark Web te betreden. Vervolgens ga je naar dit adres: http://trdealmgn4uvm42g.onion. Dan kom je op TheRealDeal, een Dark Market die gespecialiseerd is in gestolen data en malware. Je klikt wat rond en stuit dan bijvoorbeeld op deze aanbieding voor een Nederlandse en een Australische creditcard.
Je drukt op de rode bestelknop en geeft aan hoeveel exemplaren je wilt. Je maakt het gevraagde bedrag beschikbaar in Bitcoin en parkeert die nog even bij TheRealDeal. Vervolgens moet je wachten op de levering. Na een tijdje krijg je een bericht van ProfessorDark met daarin de gekochte informatie. Als die klopt, geef je het geldbedrag vrij.
Alsof je een Roti Kip Speciaal bestelt op Thuisbezorgd.nl. Zo simpel is het.
Op zoek naar de criminele hacker
Hackers komen grofweg in twee smaken. White hat hackers en black hat hackers. Over die eerste groep schreef ik vorige week. Dat zijn de hackers met goede intenties, die tegen betaling software- en systeemkwetsbaarheden detecteren. Hard nodig nu zoveel sites en servers zo slecht beveiligd zijn.
Deze hackers ruimen het internet voor ons op
Goedwillende hackers die beveiligingslekken melden, komen nog te vaak in de problemen. In Nederland geldt inmiddels een gedoogbeleid. Maar het is vooral de markt die met oplossingen komt: hacken wordt langzaam een legitiem beroep.
De andere smaak: de black hat hackers. Criminelen die software- en systeemkwetsbaarheden misbruiken. Kwaadwillenden die dagelijks spam over ons uitstorten met malware. Obscure types die onze computers bezetten en er met onze data vandoor gaan. Zombielegers die het internet afstruinen naar verse slachtoffers. En vooral: geniale eenlingen die van achter hun beeldscherm jaarlijks tientallen miljoenen mensen en bedrijven voor miljarden bestelen.
Dat beeld had ik toen ik de krochten van het internet indook. En erachter kwam dat de werkelijkheid een stuk banaler én spannender is.
Laag 1. Creditcardgegevens kopen op het Dark Web
Eerst: hoe werkt het? Het Dark Web is een plek op het internet waar je enkel binnenkomt als je surft met anonimiseringssoftware en kan betalen met cryptovaluta. Met een Tor-browser en de Bitcoin bijvoorbeeld. Zo blijf je onzichtbaar en kun je dingen uitspoken die eigenlijk niet mogen.
Silk Road was een van de eerste grote internetmarkten waar dat kon. Er werden vooral drugs verkocht; beheerder Ross Ulbricht verdiende er in korte tijd miljoenen mee. Tot hij in 2013 werd opgepakt en een levenslange gevangenisstraf kreeg.
Inmiddels zijn er tientallen markten te vinden. De meeste verkopen drugs, andere wapens, malware, gestolen data, valse paspoorten en handleidingen over hacken, vrouwen verleiden tot anale seks en alles daartussenin.
De kaart is al maanden geblokkeerd en Hoogland heeft zijn wachtwoorden gewijzigd. Mijn kansen op (identiteits)fraude zijn al verkeken
Ik besluit het te proberen en begin bij de website Deepdotweb.com. Daar wordt verslag gedaan van wat zich in de krochten van het internet afspeelt. Ik neem contact op met een van de beheerders van de website, die anoniem wil blijven. Via het chatprogramma Jabber vertelt hij of zij dat de verkoop van malware en data een enorme vlucht heeft genomen. Kopers en verkopers voelen zich aangetrokken tot de relatieve anonimiteit van de Dark Markets. Er zijn zelfs gespecialiseerde hackersmarkten voor ontstaan, zoals TheRealDeal, German Plaza en Hell.
Ik bezoek enkele van de genoemde sites en vind vooral heel veel creditcardgegevens en gestolen accounts voor Netflix, Amazon, Spotify, pornosites, PayPal en Ebay. Er wordt ook wat malware aangeboden - zoals software waarmee je iemands toetsaanslagen kunt onderscheppen - maar veel is het niet. Het lijken vooral kruimeldieven die hier actief zijn.
Daar kom ik ook achter als ik mijn gekochte creditcardinformatie controleer. De informatie op de kaart leidt naar Ronald Hoogland. Als ik hem op zijn werk bel (zijn werkmail stond in de gekochte informatie), bevestigt hij dat zijn gegevens zijn gestolen. Zijn rekening is een paar maanden geleden geplunderd, waarschijnlijk in Groot-Brittannië. Er is geld uitgegeven op een goksite en aan telefoons. Maar de kaart is al maanden geblokkeerd en Hoogland heeft zijn wachtwoorden gewijzigd. Mijn kansen op (identiteits)fraude zijn al verkeken.
Laag 2. Wachtwoorden kraken en nepsites bouwen in duistere fora
Voor de echte criminelen moet ik dieper graven. Die zitten niet op het Dark Web, maar op besloten fora waar je alleen voor uitgenodigd kan worden. Daar kom je dus niet zomaar in.
Om er toch wat meer over te weten te komen, spreek ik af met Mark Arena. De Australiër is eigenaar van Intel 471, een cybersecuritybedrijf dat informatie verzamelt over de besloten fora. Terwijl we in een Chinees restaurant een kom noedels naar binnen slurpen, legt hij uit wat zijn gevoelige werk inhoudt. Met Intel 471 brengt hij in kaart wie actief is op besloten criminele fora, wat er wordt aangeboden en welke dreigingen er voor zijn klanten aan zitten te komen, zodat die zich daar tegen kunnen wapenen. Hij doet dat nu vooral voor grote Amerikaanse financiële instellingen.
Hoe Arena dan zo’n forum binnenkomt? Door mensen in te huren die dicht bij de markt zitten. Letterlijk. Zo zit er een onderzoeker in Kiev, omdat die Oekraïens, Russisch, dialecten én straattaal spreekt. De onderzoekers proberen vervolgens toegang te krijgen tot de criminele fora. ‘Al duurt het lang voordat je genoeg vertrouwen hebt gewonnen om binnengelaten te worden.’
Dat het vaak lukt om te infiltreren, heeft met de organisatiestructuur van de fora te maken. Arena: ‘Het idee van The Sopranos, waarbij onderknuppels het werk doen en het geld afstaan aan hun bazen, gaat niet op voor online criminaliteit. Meestal is er niemand de baas, maar zijn er vooral samenwerkingsverbanden die komen en weer gaan,’ zegt Arena.
Een samenwerkingsverband dat pay per install aanbiedt bijvoorbeeld. Hoe dat werkt: de groep beheert een grote verzameling gekaapte computers, vanwaaruit ze andere computers kunnen vinden en besmetten. Bij hen kan ik volgens Arena eenvoudig een bestelling plaatsen, bijvoorbeeld de besmetting van duizend computers in West-Europa. De kosten daarvan verschillen sterk per regio: van zo’n honderd dollar voor duizend besmettingen in West-Europa tot zo’n zeven à acht dollar in Azië.
Dan zijn er nog honderden onafhankelijk opererende hackers die ondersteunende diensten leveren. Zoals het kraken van wachtwoorden, het maken van nepsites, het bouwen en verhuren van botnets, het verzorgen van cryptografische bescherming, het schrijven van malware, het versturen van spam enzovoort. In deze explainer zet ik alle specialisaties op een rij.
Wat verkopen criminele hackers in de krochten van het internet?
In Dark Markets en besloten internetfora worden gestolen data en malware verkocht. Veel hackers hebben hun eigen specialisatie, veel anderen werken samen. Maar wat wordt er zoal verkocht?
Eén ontwikkeling wil ik hier nog noemen: de opkomst van malware as a service. Er zijn steeds meer aanbieders die kant-en-klare pakketten leveren en fraudeurs zo veel mogelijk werk uit handen nemen. De klant hoeft vaak alleen nog maar een doelwit in te voeren en op een knop te drukken.
Een voorbeeld komt van antivirusbedrijf Kaspersky Labs, dat vorige week een interessant onderzoek naar Adwind publiceerde. Dat is een zogenoemde Remote Access Trojan waarmee kwaadwillenden controle kunnen krijgen over een besmette computer en bijvoorbeeld de toetsaanslagen kunnen opvangen, bestanden kunnen stelen en de microfoon en webcam kunnen aanzetten zonder dat het slachtoffer dat doorheeft.
De onderzoekers van Kaspersky Labs vonden een lijst met klanten die vorig jaar gebruikmaakten van Adwind: zo’n 1.800. De onderzoekers denken dat de crimineel achter Adwind er ongeveer 200.000 dollar per jaar mee verdiende. Opvallend is dat de malware ook is opgedoken in de zaak van Alberto Nisman, de openbaar aanklager die vorig jaar de president van Argentinië wilde vervolgen en vorig jaar werd vermoord.
Laag 3. De hackers gehackt
De noedels zijn op en Mark Arena raadt me aan eens contact op te nemen met Xylitol, een Franse onderzoeker die heel diep in allerlei criminele fora zit. Het is onduidelijk voor wie of wat Xylitol werkt, maar ik stuur hem een mail en even later chatten we via Skype. Achter Xylitol blijkt een bijzondere hacker schuil te gaan: hij heeft namelijk als missie om criminelen dwars te zitten. ‘Het is geen vendetta of zoiets, maar soms verdienen mensen een lesje.’
‘Het is geen vendetta of zoiets, maar soms verdienen mensen een lesje’
Xylitol hackt de hackers. Hij gaat naar eigen zeggen verder waar politie en securityonderzoekers ophouden. ‘Ik gooide mijn bevindingen altijd op internet, maar kreeg mails van de politie of ik daarmee wilde ophouden. Ik verstoorde hun onderzoeken.’ Nu wacht hij langer met publiceren: het is interessanter om criminelen wat langer te volgen. Ondertussen verdiept hij zich in nieuwe malware, probeert hij erachter te komen hoe die werkt en wat je ertegen kunt doen.
Af en toe gooit hij nog screenshots online van malafide websites die hij tegenkomt. Daarop staan bijvoorbeeld de namen van klanten die de betreffende malware gebruiken, of lijsten met besmette computers.
Xylitol ziet criminelen komen en gaan. Sommigen worden gearresteerd, anderen houden er zelf mee op. Maar altijd verschijnen weer nieuwe gezichten op het toneel, met nieuwe malware en nieuwe hacktrucs. Zolang er vrij makkelijk geld te verdienen is aan online fraude, zullen de criminelen blijven komen.
Abonneer je op mijn nieuwsbrief
Wil je op de hoogte blijven van mijn verhalen en eens per week een update met een aantal tips voor goede verhalen over hacken, technologie, surveillance en computer science in je mailbox krijgen? Meld je dan aan voor mijn nieuwsbrief.
Meer verhalen over hacken:
Deze hackers ruimen het internet voor ons op
Goedwillende hackers die beveiligingslekken melden, komen nog te vaak in de problemen. In Nederland geldt inmiddels een gedoogbeleid. Maar het is vooral de markt die met oplossingen komt: hacken wordt langzaam een legitiem beroep.
Hoe een opmerkelijke coalitie een Russische crimineel bestreed
Een Nederlandse student, enkele onderzoekers, enkele securitybedrijven en de FBI haalden een berucht crimineel netwerk offline. Een reconstructie van een bijzondere zaak.
Zo haal je een botnet uit de lucht
Gisteren publiceerde ik het verhaal over hoe een aantal onderzoekers en de FBI Gameover ZeuS, een berucht botnet, hebben ontmanteld. In dit uitgewerkte interview met een van die onderzoekers geef ik voor de fijnproever meer inzicht in de technologie van de aanval tegen Gameover ZeuS. Want hoe gaat zoiets in zijn werk?
Handig: je tampon aansluiten op het internet. Maar hoe veilig is dat?
Steeds meer alledaagse objecten worden aan het internet gehangen. Maar hoe houd je controle over de datastromen van je slimme tv, Barbie, auto en, ja, zelfs tampons?
Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.
Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.
Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!
