Waarom handige jongens liever hacker worden dan IT-beveiliger

Niet eerder leek de dreiging van hackers op het internet zo groot als vandaag. Bijna voortdurend vinden er op grote schaal en met flinke nauwkeurigheid hacks en zogenaamde DDoS-aanvallen plaats. De daders? Verrassend veel tieners, voor wie voldoende afstudeermogelijkheden en stageplaatsen beschikbaar zijn.

Steeds vaker behoren tieners tot de daders van digitale inbraak, zo blijkt uit onderzoek van het Russische securitybedrijf Kaspersky Lab, grootleverancier van antivirussoftware. Die jongeren blijken hun technische vaardigheden liever aan te wenden voor slechte doeleinden, dan om cyberdreigingen af te wenden. Tegelijkertijd dreigt een tekort aan beveiligingsexperts, stelt Kaspersky Lab, op basis van onderzoek dat het bedrijf liet uitvoeren door Arlington Research.

Arlington sprak met 11.513 jonge consumenten tussen de 16 en 25 jaar uit Nederland, het Verenigd Koninkrijk, Ierland, Italië, Spanje, Frankrijk en Duitsland. Een aanzienlijk deel van hen overweegt een een carrière in de IT-beveiliging. Een ander deel heeft minder nobele ambities. Zo zegt 16 procent deel te willen nemen aan clandestiene activiteiten. 11 procent streeft naar een betere financiële positie en 17 procent vindt het hebben van plezier het belangrijkste. Ook als dit tegen de wet in gaat.

Platleggen
De Europese politieorganisatie Europol kwam onlangs tot de conclusie dat veel jongeren vallen voor de charmes van cybercriminaliteit. Tussen 5 en 9 december van dit jaar voerde Europol een gecoördineerde actie in onder andere Nederland uit tegen hackers, die verbluffend vaak niet ouder dan 18 bleken te zijn. De dienst wist in Europa, maar ook in de Verenigde Staten en Australië jonge internetgebruikers op te sporen die redelijk handig zijn met een computer en de hand hebben weten te leggen op software waarmee je gemakkelijk een DDoS-aanval kan uitvoeren. Bij een DDoS-aanval wordt zo veel dataverkeer naar een website gestuurd dat deze de input niet meer kan verwerken en plat komt te liggen.

Daarbij is een DDoS-aanval zelden een doel op zich en meestal een afleidingsmanoeuvre voor een veel groter gebeuren. Door bedrijfseigenaren met een DDoS vast te laten lopen wordt een bedrijf gehinderd in haar normale activiteiten. De ICT-medewerkers zijn daardoor gedwongen al hun aandacht en inspanningen op dit probleem te richten, waardoor ze minder oog hebben voor andere kanalen via welke er in hun systeem wordt ingebroken. DDoS-aanvallen worden daarom vaak gebruikt om bedrijven af te leiden terwijl hackers zich via een achterdeur toegang verschaffen, stelt ook Kaspersky Lab.

In totaal werden er door Europol 34 personen gearresteerd en meer dan 100 gewaarschuwd of beboet. Het betrof bijna uitsluitend jongeren onder de 18 jaar. Voor Europol was de actie vooral van preventieve aard. De organisatie wil voorkomen dat jongeren verstrikt raken in de cybercriminaliteit. Jongeren zouden volgens de politieorganisatie cybermisdaden begaan zonder de ernst van hun daden te beseffen. Om te voorkomen dat jongeren verder afdwalen zijn ze nu vroegtijdig door Europol op het matje geroepen. Dat blijkt geen overbodige luxe, want eenmaal in het wereldje lonken voor de nieuwe cybercriminelen grote bedragen.

Cool! 
Kaspersky Lab vergeleek de kosten van de meest gebruikte hackerstools – phishing, ransomware en het gebruik van trojans – met de bedragen die verdiend werden bij succesvolle malafide operaties. Uit die vergelijking blijkt onder meer dat het maken een phishing-pagina pakweg 120 euro kost. Via een mail wordt het slachtoffer naar deze valse (bank)website gelokt, die een kopie is van een echte website, om ze daar – nietsvermoedend – te laten inloggen met hun inlognaam en wachtwoord of hun creditcardnummer. Als de maker er vervolgens in slaagt om 100 mensen naar zijn site te lokken, dan kan hij met de gegevens die hij vervolgens verkoopt zo’n slordige 8.000 euro opstrijken.

Een trojan – een functie die verborgen zit in een programma dat door de gebruiker wordt geïnstalleerd waarmee kwaadwillenden zich toegang tot de geïnfecteerde computer kunnen verschaffen en zo schade kunnen toebrengen aan de computergegevens of de privacy van de gebruiker – kost tussen de 1.000 en 2.5000 euro. Met de vergaarde gegevens kunnen de daders tot 60.000 euro verdienen, terwijl het gemiddelde slachtoffer 600 euro verliest. In het geval van ransomware wordt een computer geïnfecteerd en vervolgens gegijzeld. Om de controle over de computer terug te krijgen moet betaald worden. Kosten voor de decryptie van de data: circa 100 euro, bij 100 slachtoffers goed voor een opbrengst van 10.000 euro. Kostprijs: ongeveer 1.500 euro.

Aanlokkelijke bedragen dus en het mag niet verrassend heten dat bijna een kwart van de respondenten in het onderzoek van Kaspersky aangeeft wel iemand te kennen die zich bezighoudt met illegale cyberactiviteiten zoals hacking. Meer dan de helft van de respondenten bestempelt hacking als ‘cool’ bestempelt.

Toekomst
Terwijl cybercriminaliteit dus op een stoer imago heeft en op de nodige belangstelling mag rekenen, ligt dat anders voor digitale beveiliging. Zo zijn de meeste jongeren niet op de hoogte van afstudeermogelijkheden of stageplaatsen op het gebied van IT-security, blijkt uit het onderzoek. Voor het bedrijfsleven is het lastig om goed opgeleide IT-professionals te vinden, terwijl er juist noodzakelijk is dat het beroep zich blijft ontwikkelen om het hoofd te kunnen blijven bieden aan huidige en toekomstige dreigingen.