Te koop: Netflix-inlogcode voor 2,25 dollar

Te koop: Netflix-inlogcode voor 2,25 dollar

Maastrichtse wetenschappers op het dark web

09-06-2022 · Achtergrond

Net na de cyberaanval op de Universiteit Maastricht in december 2019 bedacht een groep juristen en datawetenschappers: wat als we nu zelf op zoek gaan naar persoonlijke data van medewerkers en studenten die wellicht op het dark web zijn beland? Scans van diploma’s of inloggegevens bijvoorbeeld. Rondstruinend op illegale marktplaatsen maakte het team een grondige analyse van allerlei aangeboden ‘koopwaar’.

Op 5 februari 2020, tijdens een symposium waarin het Maastrichtse college van bestuur openheid van zaken gaf over de cyberhack waarvoor uiteindelijk bijna twee ton losgeld werd betaald, was het verhaal: nee, waarschijnlijk zijn er geen persoonsgegevens in verkeerde handen gevallen, maar dat moest wel nog nader wordend onderzocht. “Wij verwachtten ook niet dat er nog iets van gevoelige data zou rondzwerven op schimmige websites, maar zeker weten deden we het niet”, zegt Jerry Spanakis, universitair docent bij het departement Data Science and Knowledge Engineering (DKE). Samen met collega's besloot hij het dark web te onderzoeken, een afgeschermd deel van internet. Er wordt illegaal gehandeld in wapens, drugs, porno, vals geld, maar ook in persoonsgegevens. En naar dat laatste was het team op zoek. Hoe zien de marktplaatsen eruit waar bank-, paspoortgegevens en inlogcodes worden verkocht? Om hoeveel virtueel geld gaat het? Miljarden euro’s?

Burner laptop

Voor de Maastrichtse wetenschappers was het een nieuwe wereld. Spanakis: “Ik had wel eerder afbeeldingen gezien van het dark web, maar was er zelf nooit naartoe gegaan.” Veiligheid was belangrijk, er kwam een gedegen onderzoeksprotocol, “we zouden niet gaan zoeken op ‘Maastricht University’, of onze eigen namen kenbaar maken, we wilden niet te veel aandacht trekken. We wilden vooral een goed beeld krijgen.” Ook gebruikten ze niet hun eigen werkcomputer, maar een zogeheten burner laptop die je in principe voor één taak benut. “We hadden net de hack achter de rug, stel je voor dat er weer iets gebeurde. Dat was zeker niet de bedoeling.”

Big Blue

Gaandeweg besloten ze “een systematische analyse” uit te voeren van alle ‘producten’ die ze onder ogen kregen. Maar liefst 29 duizend vonden ze er, op twaalf verschillende marktplaatsen met namen als Big Blue, White House en Deepsea. “Je moet het vergelijken met Amazon, Marktplaats of Bol. Mensen bieden iets aan, onder een schuilnaam, schrijven er een ‘advertentietekst’ bij en hangen er een prijskaartje aan. Je vindt er ontzettend veel: gebruikersnamen en wachtwoorden, login-gegevens voor Netflix-abonnementen, login-gegevens van bankrekeningen, creditcard-informatie, paspoortdata.” In het paper dat ze over de studie schreven, staat een aantal voorbeelden. Zo biedt verkoper ‘Eleven’14 duizend Netflix-inloggegevens aan voor 2,25 dollar per stuk. Wat ze verder vonden? Handleidingen ‘hoe te hacken’ of ‘hoe kom ik gratis aan een i-Phone’. Verkoper ‘Jim’ helpt je aan dit laatste voor slechts 5 dollar. De wetenschappers bedachten er, nogal eufemistisch, de verzamelnaam e-learning voor.

Celstraf

Het lastige aan dark web marktplaatsen is dat ze zomaar van de ene op de andere dag kunnen verdwijnen, vertelt Spanakis. Opgerold door de politie of ‘opgeruimd’ door de initiatiefnemer die het te heet onder de voeten wordt. “Tijdens ons onderzoek zijn twee marktplaatsen verdwenen.” Om hun ‘studiemateriaal’ veilig te stellen, maakten de wetenschappers snapshots. Dit gebeurt door middel van scraping, een techniek waarmee informatie van een webpagina wordt geschraapt en gekopieerd naar een eigen computerbestand. Vervolgens probeerden ze wijs te worden uit de gigantische hoeveelheid informatie. Hoe? Door op bepaalde sleutelwoorden te zoeken, zoals e-mail, card, hacking, fraud, en alles in te delen in categorieën. Vervolgens koppelden de juristen er een maximale celstraf aan volgens de Cybercrime Convention en het Nederlands recht. “Het geeft een beeld van de hoeveelheid cybercriminaliteit en hoe die zich verhoudt tot de prijs die ervoor wordt gevraagd. Er wordt gespeculeerd dat er miljarden worden omgezet op die dark web marktplaatsen, maar wij kwamen, opgeteld, uit op minder dan 500 duizend dollar. Data zijn goedkoop.”

Vertrouwen

Het was “een interessante, maar beperkte studie”, concludeert Spanakis, “een soort van pilot, maar er is veel vervolgonderzoek mogelijk. Je vindt er bijvoorbeeld reviews van verkopers, net als bij Bol en Marktplaats, maar waarop is dat vertrouwen dan gebaseerd?” Ook merkten ze dat veel verkopers op verschillende marktplaatsen opereren. “Ze namen dan wel een andere schuilnaam, maar uit de taal die ze gebruiken in hun advertentietekst konden we opmaken dat het hoogstwaarschijnlijk om een en dezelfde persoon ging. Een promovendus doet daar nu verder onderzoek naar. We zijn ook niet naar de discussiefora gegaan waar mensen allerlei dingen vragen. Het zou interessant zijn om te zien hoe ze communiceren. Maar dan ga je weer een stapje verder, dat vraagt een nieuw onderzoeksprotocol in samenspraak met de politie, zodat je niet iets doms doet.”

O ja, dat onderzoek naar UM-persoonsgegevens op het dark web, kwam daar nog iets uit? “Niets gevonden, althans op de marktplaatsen waar wij zijn geweest.”

Auteur: Wendy Degens
Tags: cyberaanval,hack,dark web,marktplaatsen,data,persoonsgegevens,darkweb

Voeg reactie toe

Klik hier voor onze privacyregels

Vanaf januari 2022 plaatst Observant alleen nog reacties van mensen wier naam bekend is bij de redactie.