Nieuw business model voor cybercriminelen: chantage
Cyber-criminelen bieden gestolen en encrypte gegevens te koop aan – aan de oorspronkelijke eigenaar.
In 2007 stalen hackers 45,6 creditcardnummers van TJX, waarmee grootschalige data-diefstal ineens wereldnieuws werd. Die gegevens worden nog steeds op forse schaal gestolen, maar de creditcardbedrijven hebben zich steeds beter bewapend om dergelijke inbraken snel te detecteren en de klanten een nieuwe kaart te geven. Die kaarten zijn bovendien beter beveiligd tegen misbruik door derden, en zelfs de politie is (hier en daar) beter geworden in het opsporen van cybercriminelen.
De grote verandering die in de afgelopen tien jaar heeft plaatsgevonden is dat de winstgevendheid van het stelen van die data hard achteruit is gegaan. Volgens Intel Security is de prijs die een gestolen creditcard-gegevensset opbrengt op de zwarte markt hard gedaald, van $25 in 2011 naar maximaal $6 nu.
De wetten van vraag en aanbod werken hier ook door: “Er is veel te veel aanbod,” zegt Brian Krebs van de bekende blog Krebs on Security. “En doordat het moeilijker is er iets mee te doen zijn er minder kopers.”
Cybersecurity staat meestal gelijk aan ‘de nieuwste aanvalstechnieken en -technologie bijhouden’, het patchen van zwakke plekken in de software en malware ontdekken en onschadelijk maken. Maar cybercriminelen blijken zich ook aangepast te hebben, en minder te vertrouwen op wéér nieuwe programmatrucjes. In plaats van de gestolen gegevens op de zwarte markt te verkopen aan andere criminelen, die daarmee valse credit cards fabriceerden, zoals lang normaal was, richten zij zich op een nieuwe afnemersmarkt, die veel gefragmenteerder en daardoor zwakker is: de consument. Ze gebruiken dus een nieuw business model, inhoudende dat zij de gehackte data te koop aanbieden aan de oorspronkelijke eigenaar.
Dat verklaart de snelle opkomst van zogenaamde ransomware, Veel individuen en bedrijven hebben er graag een paar honderd of duizend euro over om weer toegang te krijgen tot hun eigen gegevens, foto’s en video’s. De FBI telde in 2015 2500 gemelde ransomware incidenten, waarbij $1,6 miljoen betaald werd. Onbekend is, hoeveel gevallen van chantage niet gemeld werden, en hoeveel bedrijven en individuen stilletjes betaalden voor hun eigen gegevens, bedrijfsgeheimen of intellectuele eigendommen. Maar volgens deskundigen is dat aantal verontrustend hoog, en groeiende. En niet veel slachtoffers zullen dat graag bekend maken.
Een wél bekend geworden voorbeeld is het ziekenhuis Hollywood Presbyterian Medical Center, dat eerder dit jaar getroffen werd door een ransomware-aanval. De chanteurs vroegen eerst 9000 bitcoins om de artsen weer toegang te geven tot hun gegevens, waarop het ziekenhuis overging op het gebruik van papieren documenten in plaats van de door de malware onleesbaar geworden digitale. Uiteindelijk betaalde na onderhandelingen het ziekenhuis de chanteurs 40 bitcoins ( toen ca $17.000) om weer bij de eigen systemen te kunnen komen.
Te vaak maken de slachtoffers het de ransomware-criminelen te gemakkelijk, bijvoorbeeld door emails te openen die duidelijk ‘verdacht’ zijn. Het is dus ‘hun eigen schuld’, en dat zorgt ervoor dat de grote dienstverleners, de ontwikkelaars van email-systemen, browsers en operating systemen, niet hun uiterste best doen om structurele maatregelen te nemen. SDaarmee komt de last geheel op de schouders van de gechanteerde te liggen – die bovendien eigenlijk niets ‘terugkoopt’, anders dan ‘het zwijgen’ of niets doen van de chanteur. Want die heeft meestal nog steeds (een kopie van) de gestolen data achter de hand…