„Cybercrime is niet te koop bij de IKEA”

Deze kaartenautomaat bij parkeergarage Q-Park Corridor in Veenendaal was in mei 2017 buiten werking vanwege een cyberaanval. beeld ANP

Niet iedereen kan zomaar een cybercrimineel worden. Op ondergrondse marktplaatsen is allerlei informatie voor digitale misdaad te koop, maar dat zijn geen kant-en-klaarpakketten. De aanstaande crimineel heeft ook eigen kennis nodig om iets te brouwen met die ingrediënten. Dat betekent dat de drempel voor zulke misdaad nog vrij hoog is. En dat is goed nieuws, zegt onderzoeker Rolf van Wegberg van de TU Delft. „De vrees was dat alles online te koop is, dat iedereen van de ene op de andere dag zomaar kan instappen. Cybercrime is een groot maatschappelijk probleem, maar het probleem wordt nog groter als je ook zonder kennis van zaken cybercrimineel kunt worden.”

Onderzoekers van de TU Delft en de Amerikaanse Carnegie Mellon University hebben samen onderzoek gedaan op acht ondergrondse marktplaatsen, waaronder Silk Road, Silk Road 2.0 en AlphaBay. Ze keken wat er tussen 2011 en 2017 aan schadelijke software en diensten werd aangeboden. Daarnaast rekenden ze uit hoeveel dat ongeveer opleverde. De conclusie van Van Wegberg: „Dat wat je op internet kunt kopen, zijn geen Billy-boekenkasten die je zo even in elkaar zet. Je kunt cybercrime niet kopen bij de IKEA, je moet zelf ook nog iets doen om het aan de praat te krijgen.”

Ook de inkomsten van cybercrime-op-bestelling vallen mee. Van Wegberg: „Onze meest voorzichtige berekening is dat de verkopers in totaal 7 tot 8 miljoen euro hebben verdiend. Dat kan misschien iets meer zijn, maar het zal niet veel meer zijn.” En dat is heel weinig, vergeleken met bijvoorbeeld online-drugshandel, waarin miljoenen euro’s per maand omgaan.

Sommige zaken zijn wel online te koop. Het is bijvoorbeeld heel eenvoudig een DDoS-aanval te bestellen of gestolen gegevens van creditcards in handen te krijgen. Maar bij andere vormen van cybercrime, zoals gijzelsoftware en helpdeskfraude, is dat veel moeilijker. Er komt namelijk veel meer bij kijken. „Je kunt iemand betalen om schadelijke software voor je te ontwikkelen, te verspreiden, te installeren en te activeren. Maar stel dat je gijzelsoftware maakt, dan heb je ook een helpdesk nodig, want veel slachtoffers hebben hulp nodig om hun losgeld te betalen. Een helpdesk-op-bestelling bestaat niet, dat moet je zelf doen en dan loop je het risico dat de politie je ontdekt.”

Een ander voorbeeld: als de misdaad is gelukt, moet het inkomen van een cybercrimineel worden weggesluisd en veiliggesteld. „Als je dat niet doet, zit je zonder geld. Je hebt zogeheten muilezels nodig, die het geld voor je opnemen en witwassen. Maar die kan je niet op bestelling krijgen.”

Die kennis kan justitie helpen, zegt Van Wegberg. „Je hoeft niet de hele keten in kaart te brengen, je kunt je focussen op zulke knelpunten.” En als een rechercheur aan één zo’n touwtje trekt, bestaat de kans dat de hele criminele trui uiteen rafelt.