Op deze markt is je gestolen creditcard dertien euro waard

Dimitri Tokmetzis
Correspondent Surveillance & Technologie
Illustratie: Rob van Barneveld (voor De Correspondent)

Het is vrij makkelijk om je op het digitale criminele pad te begeven, maar een beetje malafide hacker werkt niet meer alleen. Ga mee op zoektocht in de diepe krochten van het internet waar je niemand kunt vertrouwen.

En hij leek nog wel zo betrouwbaar. Goede recensies van andere klanten. Veel keuze. Een Nederlandse betaalkaart? Geen probleem. Dertien euro, te betalen in Bitcoin. Directe levering, gegarandeerd tevreden.

Alleen die naam - klopte dat wel? Kun je iemand vertrouwen die zich ProfessorDark noemt?

Vorige week kocht ik gestolen creditcardinformatie op het Dark Web. Dat ik opgelicht werd, had ik verwacht. Wat me wel verbaasde, was hoe makkelijk je gestolen informatie kunt kopen op een criminele markt.

Dat gaat namelijk zo. Je downloadt de een browser die je nodig hebt om het Dark Web te betreden. Vervolgens ga je naar dit adres: http://trdealmgn4uvm42g.onion. Dan kom je op TheRealDeal, een Dark Market die gespecialiseerd is in gestolen data en Je klikt wat rond en stuit dan bijvoorbeeld op deze aanbieding voor een Nederlandse en een Australische creditcard.

Twee aanbiedingen op de creditcardpagina van TheRealDeal.

Je drukt op de rode bestelknop en geeft aan hoeveel exemplaren je wilt. Je maakt het gevraagde bedrag beschikbaar in Bitcoin en parkeert die nog even bij TheRealDeal. Vervolgens moet je wachten op Na een tijdje krijg je een bericht van ProfessorDark met daarin de gekochte informatie. Als die klopt, geef je het geldbedrag vrij.

Alsof je een Roti Kip Speciaal bestelt op Thuisbezorgd.nl. Zo simpel is het.

Op zoek naar de criminele hacker

Hackers komen grofweg in twee smaken. White hat hackers en black hat hackers. Over die eerste groep schreef ik vorige week. Dat zijn de hackers met goede intenties, die tegen betaling software- en systeemkwetsbaarheden detecteren. Hard nodig nu zoveel sites en servers zo slecht beveiligd zijn.

De andere smaak: de black hat hackers. Criminelen die software- en systeemkwetsbaarheden misbruiken. Kwaadwillenden die dagelijks spam over ons uitstorten Obscure types die onze computers bezetten en er met onze data vandoor gaan. Zombielegers die het internet En vooral: geniale eenlingen die van achter hun beeldscherm jaarlijks tientallen miljoenen mensen en bedrijven voor miljarden bestelen.

Dat beeld had ik toen ik de krochten van het internet indook. En erachter kwam dat de werkelijkheid een stuk banaler én spannender is.

Illustratie: Rob van Barneveld (voor De Correspondent)

Laag 1. Creditcardgegevens kopen op het Dark Web

Eerst: hoe werkt het? Het Dark Web is een plek op het internet waar je enkel binnenkomt als je surft met anonimiseringssoftware en kan betalen met cryptovaluta. Met een en bijvoorbeeld. Zo blijf je onzichtbaar en kun je dingen uitspoken die eigenlijk niet mogen.

Silk Road was een van de eerste grote internetmarkten waar dat kon. Er werden vooral drugs verkocht; beheerder Ross Ulbricht verdiende er in korte tijd miljoenen mee. Tot hij in 2013 werd opgepakt en een levenslange gevangenisstraf

Inmiddels zijn er tientallen markten te vinden. De meeste verkopen drugs, andere wapens, malware, gestolen data, valse paspoorten en handleidingen over hacken, vrouwen verleiden tot anale seks en alles daartussenin.

De kaart is al maanden geblokkeerd en Hoogland heeft zijn wachtwoorden gewijzigd. Mijn kansen op (identiteits)fraude zijn al verkeken

Ik besluit het te proberen en begin bij de website Daar wordt verslag gedaan van wat zich in de krochten van het internet afspeelt. Ik neem contact op met een van de beheerders van de website, die anoniem Via het chatprogramma vertelt hij of zij dat de verkoop van malware en data een enorme vlucht heeft genomen. Kopers en verkopers voelen zich aangetrokken tot de relatieve anonimiteit van de Dark Markets. Er zijn zelfs gespecialiseerde hackersmarkten voor ontstaan, zoals TheRealDeal, German Plaza en Hell.

Ik bezoek enkele van de genoemde sites en vind vooral heel veel creditcardgegevens en gestolen accounts voor Netflix, Amazon, Spotify, pornosites, PayPal en Ebay. Er wordt ook wat malware aangeboden - zoals software waarmee je iemands toetsaanslagen kunt onderscheppen - maar veel is het niet. Het lijken vooral kruimeldieven die hier actief zijn.

Daar kom ik ook achter als ik mijn gekochte De informatie op de kaart leidt naar Ronald Hoogland. Als ik hem op zijn werk bel (zijn werkmail stond in de gekochte informatie), bevestigt hij dat zijn gegevens zijn gestolen. Zijn rekening is een paar maanden geleden geplunderd, waarschijnlijk in Groot-Brittannië. Er is geld uitgegeven op een goksite en aan telefoons. Maar de kaart is al maanden geblokkeerd en Hoogland heeft zijn wachtwoorden gewijzigd. Mijn kansen op (identiteits)fraude zijn al verkeken.

Laag 2. Wachtwoorden kraken en nepsites bouwen in duistere fora

Voor de echte criminelen moet ik dieper graven. Die zitten niet op het Dark Web, maar op besloten fora waar je alleen voor uitgenodigd kan worden. Daar kom je dus niet zomaar in.

Om er toch wat meer over te weten te komen, spreek ik af met Mark Arena. De Australiër is eigenaar van een cybersecuritybedrijf dat informatie verzamelt over de besloten fora. Terwijl we in een Chinees restaurant een kom noedels naar binnen slurpen, legt hij uit wat zijn gevoelige werk inhoudt. Met Intel 471 brengt hij in kaart wie actief is wat er wordt aangeboden en welke dreigingen er voor zijn klanten aan zitten te komen, zodat die zich daar tegen kunnen wapenen. Hij doet dat nu vooral voor grote Amerikaanse

Hoe Arena dan zo’n forum binnenkomt? Door mensen in te huren die dicht bij de markt zitten. Letterlijk. Zo zit er een onderzoeker in Kiev, omdat die Oekraïens, Russisch, dialecten én De onderzoekers proberen vervolgens toegang te krijgen tot de criminele fora. ‘Al duurt het lang voordat je genoeg vertrouwen hebt gewonnen om binnengelaten te worden.’

Dat het vaak lukt om te infiltreren, heeft met de organisatiestructuur van de fora te maken. Arena: ‘Het idee van waarbij onderknuppels het werk doen en het geld afstaan aan hun bazen, gaat niet op voor online criminaliteit. Meestal is er niemand de baas, maar zijn er vooral samenwerkingsverbanden die komen en weer gaan,’ zegt Arena.

Een samenwerkingsverband dat pay per install aanbiedt bijvoorbeeld. Hoe dat werkt: de groep beheert een grote verzameling gekaapte computers, vanwaaruit ze andere computers kunnen vinden en besmetten. Bij hen kan ik volgens Arena eenvoudig een bestelling plaatsen, bijvoorbeeld de besmetting van duizend computers in West-Europa. De kosten daarvan verschillen sterk per regio: van zo’n honderd dollar voor duizend besmettingen in West-Europa tot zo’n zeven à acht

Dan zijn er nog honderden onafhankelijk opererende hackers die ondersteunende diensten leveren. Zoals het kraken van wachtwoorden, het maken van nepsites, het bouwen en verhuren van botnets, het verzorgen van cryptografische bescherming, het schrijven van malware, het versturen van spam enzovoort. In deze explainer zet ik alle specialisaties op een rij.

Eén ontwikkeling wil ik hier nog noemen: de opkomst van malware as a service. Er zijn steeds meer aanbieders die kant-en-klare pakketten leveren en fraudeurs zo veel mogelijk werk uit handen nemen. De klant hoeft vaak alleen nog maar een doelwit in te voeren en op een knop te drukken.

Een voorbeeld komt van antivirusbedrijf Kaspersky Labs, dat vorige week een naar Adwind publiceerde. Dat is een zogenoemde Remote Access Trojan waarmee kwaadwillenden controle kunnen krijgen over een besmette computer en bijvoorbeeld de toetsaanslagen kunnen opvangen, bestanden kunnen stelen en de microfoon en webcam kunnen aanzetten zonder dat het slachtoffer dat

Een screenshot van de welkomstpagina voor Adwind 3.0. Foto: Kaspersky Labs

De onderzoekers van Kaspersky Labs vonden een lijst met klanten die vorig jaar gebruikmaakten van Adwind: zo’n 1.800. De onderzoekers denken dat de crimineel achter Adwind er ongeveer 200.000 dollar per jaar mee verdiende. Opvallend is dat de malware ook is opgedoken in de zaak van Alberto Nisman, de openbaar aanklager die vorig jaar de president van Argentinië wilde vervolgen en vorig jaar

Laag 3. De hackers gehackt

De noedels zijn op en Mark Arena raadt me aan eens contact op te nemen met Xylitol, een Franse onderzoeker die heel diep in allerlei criminele fora zit. Het is onduidelijk voor wie of wat Xylitol werkt, maar ik stuur hem een mail en even later chatten we via Skype. Achter Xylitol blijkt een bijzondere hacker schuil te gaan: hij heeft namelijk als missie om criminelen dwars te zitten. ‘Het is geen vendetta of zoiets, maar soms verdienen mensen een lesje.’

Het is geen vendetta of zoiets, maar soms verdienen mensen een lesje

Xylitol hackt de hackers. Hij gaat naar eigen zeggen verder waar politie en securityonderzoekers ophouden. ‘Ik gooide mijn bevindingen altijd maar kreeg mails van de politie of ik daarmee wilde ophouden. Ik verstoorde hun onderzoeken.’ Nu wacht hij langer met publiceren: het is interessanter om criminelen wat langer te volgen. Ondertussen verdiept hij zich in nieuwe malware, probeert hij erachter te komen hoe die werkt en wat je ertegen kunt doen.

Af en toe gooit hij nog screenshots online van malafide websites die hij tegenkomt. Daarop staan bijvoorbeeld de namen van klanten die de betreffende malware gebruiken, of lijsten met besmette computers.

Een screenshot van een zogenoemde admin-panel, dus een administratieve site vanwaaruit (een deel van) een botnet te beheren is. Fotobron: Xylibox.com

Xylitol ziet criminelen komen en gaan. Sommigen worden gearresteerd, anderen houden er zelf mee op. Maar altijd verschijnen weer nieuwe gezichten op het toneel, met nieuwe malware en nieuwe hacktrucs. Zolang er vrij makkelijk geld te verdienen is aan online fraude, zullen de criminelen blijven komen.

Meer verhalen over hacken: