Zo steelt de cybermaffia jouw geld
Virussen, computerinbraken en andere computermisdaden brengen nu al ongeveer evenveel geld op als de internationale drugshandel, die zo"n 280 miljard euro waard is. Computercriminaliteit, een schaduwbusiness die pas sinds het begin van deze eeuw tot volle wasdom is gekomen, heeft dus in geen tijd een omvang gekregen die zich kan meten met die van een meer dan vijftig jaar oude misdaadtak.
"Cybermisdaad is toegankelijk geworden voor lui die er vroeger niet de technische kennis voor hadden", zegt Wade Baker, directeur beveiliging bij het Amerikaanse telecombedrijf Verizon en bezieler van een internationale samenwerking tussen computerbeveiligingsdiensten van de politie. "De drempels zijn weg; je hoeft er geen expert meer voor te zijn. Het kan gerund worden zoals een bedrijf: investeer erin, en de potentiële opbrengst is enorm. En net als offline misdadigers zijn deze cybercriminelen de politiediensten altijd een stapje voor. De slimme truken waarmee ze voor de dag komen … het is alsof je een misdaadroman aan het lezen bent."
Dit is een overval
Een klein deel van de miljarden wordt morgen misschien wel van jouw bankrekening gelicht. Internetcriminaliteit zit in de lift, ook in België. Volgens de Federal Computer Crime Unit, een afdeling van de Federale Politie die zich buigt over computermisdaad, worden er vandaag zo"n 15.000 gevallen van cybermisdaad per jaar gepleegd.
Tijdens de eerste helft van 2012 werden er in België bijna duizend computers gehackt, en waren 7.400 mensen het slachtoffer van "informaticabedrog". Dat laatste kan bestaan uit het misbruiken van hun inloggegevens, maar er zitten ook gebruikers bij wier bankrekeningen lichter werd gemaakt, of wier kredietkaartnummer misbruikt werd om aankopen mee te doen.
En ook een inbraak op je e-bankingsysteem is snel gebeurd. Zelfs het gebruik van een tweestapssysteem, zoals een Digipass of een bankkaartlezer, garandeert je veiligheid niet: dat soort systemen wordt omzeild met de zogeheten "Man in the Browser"-methode. Cybercriminelen nestelen, via een virusbesmetting of een phishingmail, een stukje malafide software in je browser, waarmee ze je bijvoorbeeld kunnen doen geloven dat er een fout gebeurd is tijdens het inloggen op je webbankingaccount. Ondertussen gebruiken ze de tijdelijke code die je Digipass of kaartlezer net heeft aangemaakt, en die je net zelf hebt ingevoerd, om zichzelf toegang te verschaffen tot je rekeningen.
Kleine bedragen
Het blijvende appeal van die bankhackings voor cybermisdadigers is dat het eigenlijk, stuk voor stuk, kleine incidenten zijn. Meestal gaan er geen astronomische bedragen van je rekening, eerder enkele tientallen euro"s. Door de bedragen niet te hoog te maken, duurt het ook langer voordat ze ontdekt worden.
Tegen de tijd dat je het doorhebt, is het geld al versluisd: een netwerk van "money mules" zet de bedragen over naar een andere bankrekening, haalt ze af via een gewone Bancontact-automaat, roomt er zijn procentje af en stuurt het merendeel van het bedrag via geldtransfersystemen als Western Union naar een andere stroman in het land van herkomst van de hackerbende – een systeem dat er meteen voor zorgt dat de grote jongens buiten schot blijven.
"Ook in het echte leven worden er meer winkels overvallen dan banken", zegt Baker. "Dat is in de cybermisdaad nauwelijks anders. Hackerbendes maken geen onderscheid in wie ze aanvallen: meestal zijn het kleine doelwitten, zoals jouw of mijn e-bankingaccount."
27% besmet
De meeste grootschalige informaticamisdaden gebeuren nog altijd via een computervirus, waarmee een deel van je computer zonder dat je het weet gebruikt kan worden voor een internetaanval om een website plat te leggen, of voor een e-mailcampagne waarin miljoenen ongewenste spammails worden verstuurd. In België zou, volgens het Spaanse beveiligingsbedrijf Panda Security, zo"n 27 procent van alle computers besmet zijn met een virus.
Computercriminelen gebruiken je computer, terwijl je slaapt, voor misdadige activiteiten. Of terwijl je erachter zit, want in 99 procent van de gevallen merkt de eigenaar van zo’n ‘zombie’-computer niet eens dat zijn pc ook een tweede eigenaar heeft. "Er zijn zelfs gevallen bekend waarin de computer van een nietsvermoedende gebruiker een hoop kinderpornobestanden bevatte", zegt beveiligingsexpert Eddy Willems van softwarebeveiliger G Data. "Die computers worden dan gebruikt als server voor een handeltje in dat verboden materiaal."
Bankgegevens onderschept
Van zodra zo’n botnet op poten staat, worden er meteen slachtoffers mee gemaakt. Er wordt software op het systeem geïnstalleerd waarmee de criminelen de inlog- en misschien wel de bankgegevens van de eigenaar buit maken. Dagelijks worden er miljoenen phishingmails uitgestuurd, valse e-mailberichten die lijken op een bonafide mail van financiële instellingen en betalingssystemen als PayPal, maar die in werkelijkheid bedoeld zijn om de inloggegevens van de ontvanger te ontfutselen.
"Vijftig procent van de verstuurde phishingmails wordt nog steeds geopend door de ontvanger", zegt Willems. "Tien procent daarvan klikt door op de link, en tien procent dààrvan vult effectief zijn gegevens in, en wordt dus effectief slachtoffer. Het verbaast ons evenveel als jullie, maar dat zijn – ondanks alle bewustmakingscampagnes – nog altijd de verhoudingen."
Speervissen
Een phishingvariant die de voorbije jaren opmars maakt, is spear phishing: ontvangers krijgen een zo gepersonaliseerd mogelijke phishingmail binnen, waarvoor de criminelen informatie van je Facebook-profiel plukken, of van een van de talloze plaatsen op internet waar je persoonlijke informatie hebt achtergelaten. Meer werk voor de criminelen, maar ook meer kans dat je het bericht in kwestie vertrouwt.
Met spear phishing duikt een trend naar veel gerichtere aanvallen op: niet noodzakelijk voor het geld dat op je bankrekening staat, maar voor een grotere buit, zoals een inbraak in het computersysteem van het bedrijf of de organisatie waarvoor je werkt. Dat is misschien wel het meest beangstigende element aan het hele cybercriminaliteitverhaal: de kans bestaat dat je ingezet wordt als een pion in een veel omvangrijker plan, waarbij goedbetaalde hackers in dienst staan van grote misdaadsyndicaten of overheden, die de multinational willen raken waarvoor jij werkt.
De E-cops waken
De Federal Computer Crime Unit en de Federale Overheidsdienst Economie hebben met www.ecops.be een eenvoudig meldpunt opgezet waar je in vier eenvoudige stappen melding kan maken van verdachte boodschappen die je via je inbox of je sociaal netwerk hebt binnengekregen.Dat meldpunt kreeg in 2011 meer dan 24.000 meldingen binnen, die stuk voor stuk behandeld worden door de Federal Computer Crime Unit.
Wees op je hoede
- Blijf uit de achterbuurten: Het is net als in het echte leven: als je in een slechte buurt rondwandelt, loop je gewoon een grotere kans om het slachtoffer te worden van een misdrijf. Surfen naar porno of gepirateerde software, muziek en films maakt je kwetsbaarder voor cybercriminelen, die hun malafide software vaak laten "meereizen" met de dingen die je op die groezelige sites downloadt.
- Wees wantrouwig: Die prachtige aanbiedingen die je via e-mail of je sociale netwerk krijgt, van een geweldige deal voor de aankoop van goud tot de mogelijkheid om eindelijk te zien wie er je Facebook-profiel stalkt, zijn puur gemaakt om met je persoonlijke gegevens aan de haal te gaan. Trap daar niet in. Ga er ook van uit dat geen enkele bank via internet zal vragen om je inloggegevens te vernieuwen.
- Installeer antivirussoftware: De beste manier om ervoor te zorgen dat je computer geen onderdeel wordt van een wereldwijd botnet, is via een commercieel antiviruspakket. Norton, Kaspersky, G Data, … er zijn tientallen aanbieders, en het is een geringe investering om jezelf te beschermen tegen de meest courante bedreigingen op internet. De bescherming is niet feilloos, maar er zit troost in de cijfers die ze voorleggen: de meeste antivirusbedrijven voeren dagelijks duizenden updates in in hun herkenningsbibliotheek.
- Verzorg je wachtwoord: De sleutel tot heel je digitale leven is een setje wachtwoorden, die je dan ook zo zorgvuldig mogelijk moet kiezen en bewaren. Geen simpele woorden, want die kunnen uitgesnuffeld worden met software die gewoon een heel woordenboek door het systeem ramt. Het beste is een gemakkelijk onthoudbare zin, waaruit je een wachtwoord distilleert met de eerste letter van elk woord. En dan nog werk je best met kleine letters, hoofdletters én cijfers.
- Hou de boel in het oog: Check regelmatig je bankrekening en je kredietkaartoverzicht op malafide transacties. Zorg er ook voor dat je niet te veel informatie op je Facebook-profiel plaatst: je geeft alleen maar gegevens weg waarmee cybercriminelen je "profiel" kunnen vervolledigen.