Waarom digitale afpersing beter werkt dan chantage
“Doe dit voor me en betaal me geld, of ik breek je benen”, vertaalt goed naar “Doe dit voor me en betaal me geld, want ik heb je data.” Afpersen is van alle tijden en het is, hoe onethisch ook, een goed zakenmodel. Het verwondert me dan ook niet dat de digitale variant vandaag hoogtij viert. Kijk maar naar het immense succes van ransomware.
Chantage versus afpersing
Net zoals in de fysieke wereld is er in de digitale wereld een verschil tussen afpersing en chantage. In beide gevallen werkt het tweede model niet goed, behalve in enkele uitzonderlijke omstandigheden.
Bij chantage steelt een crimineel de data van je bedrijf in ruil voor losgeld. Telecomprovider Bell Canada werd het slachtoffer van zo’n poging tot chantage. Misdadigers gingen aan de haal met gevoelige gegevens van de provider, en dreigden die publiek te maken tenzij Bell zou betalen. In zo’n geval moet je als slachtoffer vertrouwen op de eerlijkheid van de crimineel, en laat die nu net per definitie niet van het betrouwbaarste allooi zijn. Er is immers niets dat de dieven tegenhoudt om de data alsnog te publiceren na betaling, of om volgende maand gewoon opnieuw losgeld te vragen. Wie er rationeel over nadenkt, beseft al snel dat de gestolen data hoe dan ook kwijt zijn. Niet betalen en eventuele slechte publiciteit slikken is dan ook de enige optie.
Soms zie ik cybercriminelen deze chantagetechniek toepassen, maar in de praktijk halen ze er geen geld mee binnen. De chantage werkt enkel wanneer het doelwit niet rationeel reageert. Een tiener zal bijvoorbeeld wel geneigd zijn om geld te betalen (en te blijven betalen) om te voorkomen dat iemand naaktfoto’s van hem of haar lekt.
Toch blijven sommige cybercriminelen volharden in de digitale boosheid. Zo is het een populaire aanvalsstrategie om de website van een bedrijf plat te leggen met een DDoS-aanval, en geld te vragen om de aanval te stoppen. Opnieuw heb je als doelwit geen enkele garantie dat de problemen zullen stoppen na betaling. Sommige slachtoffers zullen misschien één of twee keer betalen, tot ze beseffen dat de crimineel oneindig lang geld kan blijven vragen.
Eind vorig jaar werd de Australische zangeres Sia geconfronteerd met chantage. Criminelen zouden naaktfoto’s van haar de wereld in sturen tenzij ze betaalde. Ze nam toen de geweldig moedige beslissing om de foto’s proactief zelf te delen. Dat is niet vanzelfsprekend, maar in dit scenario is het wel de best mogelijke optie.
Eenmalig afpersen werkt beter
Om als cybercrimineel succesvol geld af te troggelen, moet je ervoor zorgen dat je slachtoffer je niet al te veel hoeft te vertrouwen. Daarom werkt ransomware wel. Je data wordt gegijzeld, niet gestolen. Na de betaling van losgeld krijg je een sleutel waarmee je je gegevens kan ontgrendelen. Als de crimineel één keer zijn woord houdt, weet je dat je krijgt waarvoor je betaalt. De misdadiger heeft er bovendien niets aan om zijn belofte niet na te komen, aangezien je toch geen tweede keer gaat betalen.
Ik verwacht dat dergelijke aanvallen in de toekomst alleen maar talrijker en gesofisticeerder zullen worden. Als hackers inbreken in een organisatie en daar bedrijfsprocessen aanpassen zodat de productie spaak loopt, dan zal je als directie maar al te graag losgeld betalen om het bedrijf zo snel mogelijk terug op de rails te krijgen. Bovendien krijg je de garantie dat je het probleem kan verhelpen, en dat de hackers je dus geen tweede keer voor hetzelfde blok kunnen zetten.
Doordat steeds meer verschillende soorten toestellen met het internet verbonden zijn, krijgen hackers veel meer mogelijkheden. Misschien wil je als bedrijf niet betalen om een gegijzelde pc terug vrij te krijgen (je kan het ding beter snel resetten), maar met een productierobot aan een lopende band zijn je mogelijkheden al een stuk beperkter. En stel je maar eens voor dat je auto op weg naar een belangrijke meeting plots stilvalt. Een bescheiden losgeldvraag lijkt dan plots een heel aantrekkelijke optie.
Helaas is afpersing al sinds jaar en dag een goed businessmodel, en in het digitale tijdperk heeft de aspirant-afperser alleen maar meer mogelijkheden gekregen. Word je getroffen door een goed uitgevoerde aanval, onderzoek dan al je opties voor je je chequeboekje bovenhaalt. Misschien kan je wel back-ups van je data herstellen, zelfs als die niet 100 procent up-to-date zijn. In het geval van een ransomware-aanval kan je antivirusprovider je misschien helpen. Sommige aanvallen zijn immers niet zo waterdicht als ze op het eerste zicht lijken, waardoor je je data alsnog kan recupereren. Door losgeld te betalen ondersteun je het businessplan van de criminelen. Toegeven moet daarom je allerlaatste optie zijn.
David Sancho is Senior Threat Researcher bij Trend Micro