Laten we hackers in de portemonnee pakken

de economie van phishing moet worden aangepakt

De Amerikaanse beveiligingsgoeroe Bruce Schneier roept al jaren dat het bespelen van de economie de sleutel is tot betere beveiliging worden. De FIOD en KLPD brengen dat in praktijk.

Het is zo logisch dat je het bijna een open deur zou mogen noemen: iedereen heeft een eigen economie. Als je die weet te beïnvloeden kun je betere beveiliging afdwingen. Bruce Schneier verkondigt die gedachte al jaren. Wie ongewenste berichten verstuurt verdient geld door het kleine percentage van heel veel ontvangers die op een link klikken. Een boete haalt de business case onderuit en is met voldoende pakkans een effectieve dreiging.

Oplichtersmail
Een groot probleem is op dit moment phishing. Dat zijn oplichtersmailtjes die erop zijn gericht om u te bewegen iets te doen: in te loggen bij internetbankieren, gegevens af te geven, software te installeren op uw computer, enzovoort. Om die berichten te kunnen sturen wordt er gehackt op systemen om zo mensen te kunnen adresseren of, nog beter, om de tuin te kunnen leiden. Dat zagen we bijvoorbeeld na de inbraak bij webwinkel Replace Direct. Oplichters benaderde de klanten van dit bedrijf.

Daarna wordt er gespammed en klikken mensen op een link. Zodra dat gebeurt is het de vraag welke gevolgen dit allemaal heeft. Soms is het ‘slechts’ het invullen van gegevens, maar vaak gebeurt er meer. Mensen krijgen kwaadaardige software geïnstalleerd, soms wordt de computer gehackt en nog meer informatie gestolen. Het aanpakken van de daders is ingewikkeld, arbeidsintensief en als er al een verdachte wordt gevonden dan is dat in een ver buitenland.

Economie bestrijden
In een klein bericht lijkt iets te worden gemeld dat ogenschijnlijk niet zo spannend is: twee mannen zijn aangehouden na witwassen. Toch is het nieuws opmerkelijk. De aanhoudingen houden verband met phishing en dit keer is de geldstroom aangepakt. Twee verdachten werden aangehouden, in een telecomwinkel werd negentigduizend euro in contanten aangetroffen met daarbij grote stapels telefoonkaarten.

De KLPD en de FIOD hebben daarmee een grote slag geslagen, want nu ligt de geldstroom (tijdelijk?) stil. Phishing is leuk als je geld uit Nederland weet te incasseren of – zoals in dit geval – weet wit te wassen. De hackers rol je niet meteen op en mogelijk ook de spammers niet, maar de business case wordt wel verstoord. Dus uiteindelijk bereik je hetzelfde effect en meer: mogelijk krijgen slachtoffers hun geld terug.

Met een beetje mazzel wordt uiteindelijk het hele phishing-netwerk opgerold en komen veel meer verdachten in beeld. Beginnen bij de economie is een lonende manier van problemen aanpakken. Precies daarom ben ik voor het strafbaar stellen van slechte bescherming van persoonsgegevens.

Ik zei het al: het is een open deur. In Amerika gebeurt dit al langer. Niet voor niets werd vol ingezet op het laten opdrogen van geldstromen naar Wikileaks via bedrijven als Bank of America, Paypal, VISA en MasterCard. Daar raak je iedere organisatie mee. Zeker als 95 procent van de inkomsten wegvallen. Dat werkt effectiever dan het lek aanpakken, als dat nog kan, of je zo gedragen dat er geen misstanden meer zijn om te onthullen. Tja … change the economics and you’ll win!


Reacties zijn gesloten.