Het zakenmodel van een hacker
Wie hackt om geld te verdienen, moet verstandige keuzes maken. Net als bij andere stielen zijn er gradaties in bekwaamheid. Wie hobbymatig iets wil bijverdienen, kan eenvoudige jobs uitvoeren met zijn eigen kennis en z’n thuiscomputer. Hackers die hogerop willen raken en complexe hacks willen uitvoeren hebben wel externe kennis en materiaal nodig. Zij moeten met andere woorden rekening houden met investeringen en een gezonde cashflow.
Kleine start-up
De kleine hobby-hacker kan aan de slag gaan in zijn vrije tijd. Een minimum aan kennis is natuurlijk noodzakelijk. Je kan je diensten immers niet in de krant aanbieden. Het ‘dark web’ biedt soelaas. Hoewel recent bleek dat de duistere onderbuik van het internet niet zo anoniem is als velen denken, blijft het de enige plaats waar je op een consistente manier je diensten kan aanbieden. Zo startte de Amerikaanse cybercrimineel in wording Michael Kadar een zaakje waarbij hij zich kandidaat stelde om valse bommeldingen naar scholen te sturen via mail. De vindingrijke student die vroeger naar huis wilde, kon een valse bommelding kopen vanaf 30 dollar. Kadar had verschillende tarieven, waarbij je bijvoorbeeld een meerprijs betaalde om expliciet de naam van een medeleerling in de mail te stoppen.
Een concreet en eerlijk aanbod leverde Kadar goede feedback op, net als een klein zakcentje. De man had zijn niche gevonden maar werd uiteindelijk opgepakt. De initiële investering voor de kleine zaak was nihil, maar het risico kon je in dit geval erg groot noemen. Met bommeldingen aan het adres van scholen lacht niemand.
Reseller
Op dan naar de iets ambitieuzere entrepreneur. Er zit geld in het gijzelen van data, maar het is niet eenvoudig om zelf een succesvol ransomwarevirus te schrijven. Het dark web is opnieuw je vriend. Je kan er kant-en-klare virussen kopen die je zelf met een minimum aan configuratie het wild in kan sturen. Zolang eventuele vragen om losgeld op een door jou beheerde bitcoinwallet uitkomen, verdien je geld. Je initiële investering is hier een stuk hoger. Je moet immers ransomware kopen van een per definitie dubieuze bron. Zodra alles in werking is gesteld, kan je natuurlijk in je zetel gaan wachten tot het geld binnenrolt. In essentie nemen hackers in dit scenario de rol van herverdeler van een product op zich.
Hackers-kmo
De grote jongens schrijven hun ransomware natuurlijk zelf. Denk daarbij niet aan éénmalige publiciteitskanonnen zoals WannaCry. Vorig jaar analyseerde beveiligingsbedrijf FSecure de helpdesks die verbonden zijn aan echt wijdverspreide ransomware. Ze keken naar onder andere Cerber, Torrentlocker en Cryptomix. Achter bijna al die virussen schuilde een persoon wiens job het was om slachtoffers zonder voldoende kennis over bitcoin te begeleiden naar een betaling. Groepen die ransomware-software schrijven, onderhouden, betalingen afhandelen en een helpdeskservice bieden, hebben significante maandelijkse kosten. Het gaat hier doorgaans om buitenlandse organisaties met personeel in dienst. Je kan de werking bijna vergelijken met die van een klassieke kmo.
Grote omzet, grote risico’s
Het zijn de grote jongens die met de meeste risico’s spelen. Daarbij denken we niet alleen aan problemen met de wet, maar ook aan geld. Een hacker die wil binnendringen in een groot bedrijf, moet daar maanden aan werken. Het vinden en uitbuiten van een lek is aartsmoeilijk. Eéns binnengedrongen duurt het nog eens maanden om waardevolle gegevens ongezien naar buiten te sluizen. Een hackerscollectief dat zich daarmee bezig houdt, stort zich maandenlang op één doel. Lukt het om bijvoorbeeld HBO te kraken of een maildatabase van Adobe te bemachtigen, dan volgt er in het beste geval geld. Vaak worden privégegevens op het dark web verkocht aan weer andere hackers die er mee aan de slag willen gaan, en werpt een grote hack op dat moment zijn vruchten af.
[related_article id=”171927″]
De investeringen zijn groot, zowel in tijd als in middelen. Kennis over zeroday-lekken wordt immers per abonnement afgenomen van alweer andere groepen. In het geval van HBO rapporteert The Register dat de verantwoordelijke hackersgroep een jaarlijks budget van 500.000 dollar had om exploits te kopen voor actuele lekken.
Serviceproviders
Dat dergelijke groeperingen daar geld voor over hebben, zorgt voor het ontstaan van een laatste interessant businessmodel. Wie lekken ontdekt en exploits schrijft, kan die verkopen aan hackers die er daadwerkelijk mee aan de slag gaan. De Shadow Brokers zijn hiervan een mooi voorbeeld. Ze werkten zich zelf enkele keren in de publiciteit met grote hacks, maar die dienden achteraf gezien vooral om een nieuwe exploit-abonnementsdienst in de kijker te zetten.
Voor hackers gelden dezelfde regels als voor legale firma’s. Wie groot geld wil verdienen, moet investeren in personeel en middelen. Dat brengt dan weer risico’s met zich mee. Er zijn echter heel wat verschillende soorten werk beschikbaar in de hackerswereld. Wie kennis van zake heeft, kan dus een aardig centje bijverdienen. Tot je opgepakt wordt natuurlijk.