Door Herbert Blankesteijn • 21-03-2016

‘Weten jullie waarom advanced fee fraud mails vaak zo slecht geschreven zijn?’ Prof. Michel van Eeten, hoogleraar internetveiligheid aan de TU Delft, maakt een interactief gebeuren van zijn presentatie op Security BootCamp. Het gaat over de ‘Nigeriaanse’ bedelmails die mensen miljoenen in het vooruitzicht stellen, als ze even helpen een ambtenaar om te kopen met een paar duizend dollar. Al snel komt een van de toehoorders met het juiste antwoord: de mails zijn slecht geschreven om ervoor te zorgen dat slimme mensen niet reageren.

‘Precies. 99,999… procent moet meteen zien dat dit nooit kan kloppen, anders ben je de rest van je leven bezig tien miljoen mails te beantwoorden. Je moet de meeste goedgelovige mensen selecteren, daarom moeten die mails er zo uitzien.’

‘Het is handwerk dus advanced fee fraud schaalt niet. Als je een phishing mail verstuurt die iemand moet laten inloggen, kun je de wachtwoorden geautomatiseerd afvangen en schaalt het wel. Dus mag en moet die mail beter geschreven zijn.’

Zo komt Van Eeten met de ene na de andere eye opener. Als je vanuit een spambericht viagra bestelt, krijg je keurig echte viagra geleverd. Je wordt niet bedrogen, sterker, als je klaagt over wat dan ook, krijg je gewoon je geld terug. Waarom? De online winkels worden elke dag vervangen dus er staat geen reputatie op het spel en er valt geen merk te beschermen. Het gaat om de relatie met de bank, legt Van Eeten uit. Als de klant zijn geld niet snel genoeg terugkrijgt, klaagt hij bij zijn creditcardbedrijf en krijgt hij dáár zijn geld terug. De creditcardmaatschappij haalt het weer terug bij de bank van de spammer, maar is daar niet blij mee want het is gedoe. Gebeurt dat te vaak, dan kan de bank uit het creditcardnetwerk worden gezet. ‘Dus omdat de spammer de bank te vriend moet houden, moet de spammer de klant snel terugbetalen.’

Van Eetens praatje is een feest van sterke verhalen. ‘Eigenaars’ van botnets leveren diensten aan andere criminelen zoals het via DDoS aanvallen platleggen van websites naar keuze. Deze misdadigers sluiten gewoon service level agreements met elkaar af, waarin ze een bepaald niveau van dienstverlening garanderen. Makers van gijzelvirussen eisen betaling in bitcoins en hebben een klantenservice om slachtoffers te helpen die betaling te doen. Sommige gijzelvirussen checken waar de computer staat die ze hebben besmet. Is dat Rusland, dan slaat het virus niet toe. Van Eeten: ‘Daar is iemand aan het voorkomen dat-ie met zijn eigen jurisdictie in de problemen komt.’

Hoe kunnen boeven, die van elkaar weten dat bedriegen hun core business is, met elkaar zakendoen? Van Eeten weet het. Zo zijn er escrow-diensten, die een betaling in bewaring houden tot een koper laat weten dat hij tevreden is over zijn aankoop. En er zijn reputatiemechanismes, net als op e-Bay, Yelp en dergelijke, die bijhouden hoe klantvriendelijk iemand is.

Zijn er landen waar cybercriminaliteit wordt gezien als goed ondernemerschap, vraagt iemand in de zaal. Van Eeten bevestigt het. In sommige landen met een lage levensstandaard wordt stelen van Amerikanen gezien als nivellering of een vorm van belastingheffing. ‘Inbreuk op intellectueel eigendom is een westerse obsessie waarvan in andere jurisdicties wordt gedacht: dát zijn pas maffiapraktijken.’

Cybercriminelen vangen is niet simpel. De meeste zitten in niet-westerse landen die vaak ook niet uitleveren aan het westen, zoals bijvoorbeeld Rusland. Maar zo nu en dan kan de politie er een verschalken door hem een mailtje te sturen dat hij een prijs heeft gewonnen, die hij in het westen kan komen ophalen.

Volgens sommige onderzoeken kost cybercrime de wereldeconomie honderden miljarden per jaar. Een onderzoek van McAfee in 2014 kwam uit op 445 miljard dollar; TNO schatte in 2012 een vergelijkbaar bedrag. Dat zou 0,5 á 0,8 procent van de wereldeconomie zijn. Voor Nederland zou dat neerkomen op 9 miljard euro per jaar of 500 euro per Nederlander. Michel van Eeten neemt dit soort schattingen niet serieus. ‘Dat is bullshit, de aannames die hierbij worden gedaan zijn zeer aanvechtbaar.’ Onbetaalde downloads gelijkstellen aan gemiste verkoop is zo’n dubieuze aanname. Ook wordt schade aan een bedrijfstak soms verward met schade aan de economie. Dat klopt niet omdat de criminaliteit het verdiende geld weer uitgeeft, zodat de economie daar uiteindelijk weer van profiteert. In 2013 werkte Michel van Eeten mee aan een rapport dat de bewezen schade door cybercrime schatte op enkele dubbeltjes per burger per jaar.