Dé cyberdader bestaat niet, de aanpak dus ook niet

Een nerdachtige man in een capuchon, teruggetrokken achter zijn beeldscherm. Dat is het typische beeld van een cybercrimineel. Maar dat beeld dient bijgesteld te worden, blijkt uit een onderzoek waar Fries om utens Wytske van der Wagen aan meewerkte. De groep cybercriminelen is diverser dan gedacht. En bij de aanpak is dus maatwerk nodig.

Een nerdachtige man in een capuchon, teruggetrokken achter zijn beeldscherm. Dat is het typische beeld van een cybercrimineel

Een nerdachtige man in een capuchon, teruggetrokken achter zijn beeldscherm. Dat is het typische beeld van een cybercrimineel

In december werd bekend dat een man uit Noord-Nederland via digitale fraude van een miljoen euro is bestolen. In januari werd het ziekenhuis MCL in Leeuwarden slachtoffer van een hack. En in februari betaalde het Friese waterinstituut Wetsus losgeld aan een hacker die de systemen gijzelde.

Het is een greep uit noordelijke digitale delicten. Criminaliteit maakt al jaren een verschuiving van de straat naar het internet. Maar het beeld van cybercriminelen is nog altijd beperkt, terwijl het voor de aanpak van cyberdelicten juist kan helpen om te weten wie er achter het delict zit. De onderzoekers zochten dat beeld via literatuur en via experts die er veel mee te maken hebben, zoals politieagenten. Ook spraken ze met de cybercriminelen zelf, een beetje zoals de FBI-agenten in de Netflix-serie Mindhunter te werk gaan bij gedragsprofilering van seriemoordenaars.

Om te beginnen is het niet altijd makkelijk om de grens te bepalen tussen een traditionele misdaad en een digitaal delict. Een stalker gebruikt immers ook digitale sociale media bij zijn delict. Onderzoekers houden dan ook grofweg twee typen aan: cybercrime in de ruime zin en cybercrime in de enge zin. Cybercrime in de ruime zin is traditionele misdaad in een digitaal jasje, oftewel gedigitaliseerde misdaad. Hierbij is het delict leidend (bijvoorbeeld oplichting, diefstal of belediging), en de technologie ondersteunend. Een voorbeeld hiervan is fraude via een nepinternetwinkel. Cybercrime in de enge zin is criminaliteit waarbij het digitale aspect centraal staat en ook doelwit is van de dader. Een voorbeeld hiervan het hacken van een computersysteem.

Bij het onderzoek naar cyberdaders is vooral gekeken naar daders van cybercrime in de enge zin. Maar de opdeling is niet makkelijk te maken om de grens vaag is. ,,Het is heel fluïde. We hebben bijvoorbeeld ook iemand geïnterviewd die wel veroordeeld was voor computervredebreuk, maar zichzelf niet zag als cyberdader. Er is ook een groep traditionele daders die hacken inzetten. Daarbij gaat het om niet-geavanceerde hacks, bijvoorbeeld door iemands wachtwoord te raden, bij een zedendelict of een delict in de relationele sfeer.”

Klopt het clichébeeld?

Van tevoren hadden de onderzoekers wel een idee van de cybercrimineel: iemand die graag met technologie bezig is, sociaal minder vaardig is, en graag ontsnapt in de online wereld. ,,Een beetje het idee van de nerd, die de hele nacht achter de computer zit”, meldt Van der Wagen (geboren en getogen in Metslawier) vanuit New York, waar ze momenteel aan een ander cyberonderzoek werkt. ,,De experts die wij spraken kwamen ook geregeld met casussen over dit type dader.”

Maar bij interviews met de dadergroep kwam een ander beeld naar voren. ,,Veel van hen waren sociaal vaardig, en hadden naar eigen zeggen geen eenzaam bestaan. Ze wilden zich niet identificeren met de nerd in capuchon op het zolderkamertje.”

De informatiebeveiligingsdienst krijgt veel vragen van gemeenten over veilig digitaal vergaderen. In de raad van Smallingerland stelde een inspreekster het gebruik van vergaderapp ZOOM ter discussie. Vijf Friese gemeenten gebruiken de omstreden belapp. https://t.co/uzsO3U6tHe

— Friesch Dagblad (@frieschdagblad) April 24, 2020

Wie is de cybercrimineel dan wel? Dat is dus genuanceerder dan vaak gedacht. Bijna altijd betreft het een man, blijkt uit het onderzoek. ,,Bij traditionele criminaliteit is dat ook zo, maar bij cybercrime relatief nog vaker.” Verder zijn ze vaak hoger opgeleid en doen of deden ze vaak een it-studie. Het stereotype dat de daders vaak hobbymatig met hun pc bezig zijn klopte niet volledig. ,,Ze doen bijvoorbeeld ook vaak aan sport of muziek.” Toch zijn er ook kenmerken die wél bij het stereotype passen: zo zijn cyberboeven relatief vaker introvert, en is het voor sommigen van hen lastiger om contact te maken.

Gamen kwam wel vaak terug in de gesprekken. Dit is een bezigheid die anders dan vroeger allang niet meer wordt gezien als exclusief domein voor nerds. ,,Er zijn jongens bij die al vanaf jonge leeftijd bezig zijn met programmeren en het uit elkaar halen van computers, en dan de overstap maken naar hacken. Maar er zijn daders bij die vanuit gaming in de cybercrimewereld terechtkomen, bijvoorbeeld via fora. Die hebben dan niet per se een it-achtergrond, maar dat is ook niet meer nodig. Er zijn veel kant-en-klare tools, en dat maakt het makkelijker om allerlei dingen te doen. Je kunt bijvoorbeeld voor weinig geld een ddos-aanval bestellen om een server plat te leggen. Dat is wel een verschil met pakweg dertig jaar geleden.”

Van traditionele naar cybercrime

De toegankelijkheid van zulke tools kan ook leiden tot een overstap van traditionele misdaad naar cybercrime. Dan gaat het vaak om volwassenen zonder it-achtergrond die fraudeachtige delicten plegen in georganiseerd verband, zoals phishing. ,,Meestal zijn het dan niet geavanceerde misdrijven, zoals hacken dat wel kan zijn. Ik sprak bijvoorbeeld iemand die zich niet als cyberdader zag, maar daar wel voor veroordeeld was.”

Voor de echte cybercriminelen was geld vaak niet de belangrijkste motivatie om hun misdrijf te plegen. Het ging hen vaak om erkenning. ,,Meestal van andere cybercriminelen, bijvoorbeeld op fora. Daar kun je ook groeien in de hiërarchie en dat is voor sommigen een doel op zich.”

Bij een hacklab leren de jonge hackers ook over de ethiek van het hacken, en over de gevolgen van hun acties

Ook nieuwsgierigheid, en de spanning en de kick worden vaak genoemd als motivatie. ,,Vooral op het technische vlak. Ze zeggen bijvoorbeeld: zet mij voor een systeem, dan wil ik kijken of ik erin kan komen. Ze wilden dan niet per se iets met de gegevens doen, hoewel die soms een trofee waren. Sommigen hebben echt een verzameldrang. Maar ze wilden vooral kijken of het hen lukte.” Een minderheid gaf wraak aan als belangrijkste motivatie.

De theorieën over misdaadpleging zijn aan modernisering toe. ,,Cybercrime is geen oude wijn in nieuwe zakken. De verschillen zijn groot” https://t.co/FrErsz1lcy

— Friesch Dagblad (@frieschdagblad) July 9, 2018

Wat verder opviel was dat de daders de kans om gepakt te worden klein schatten, bijvoorbeeld omdat de politie niet de benodigde kennis, capaciteit en deskundigheid heeft. ,,Het gaat daarbij niet om de feitelijke pakkans, maar de perceptie van de pakkans. Ze wanen zich daarom onaantastbaar.”

Een rits interventies

Dit is lastig aan te pakken, denkt Van der Wagen. Het onderzoeksteam keek namelijk ook naar interventies, om zo cybermisdaad terug te dringen. ,,Maar je kunt proberen de perceptie te vergroten door bijvoorbeeld als politie in een mediacampagne voorbeelden te tonen van cybercriminelen die gepakt worden en streng gestraft worden.”

Ook de rol van ouders is belangrijk bij de aanpak. ,,Dat is een risicofactor. Normaal zijn die een toeziend oog, maar ze hebben vaak weinig digitale kennis. En ze hebben vaak geen idee wat hun kinderen online doen, terwijl die soms serieuze cybercriminelen zijn.” De onderzoekers noemen het verbeteren van dit toezicht een mogelijke oplossing,

Een ander risicofactor is dat het slachtoffer ver weg en abstract is. Wie iemand op straat overvalt ziet meteen wat de impact is voor het slachtoffer. Bij een hack van een bedrijf of overheid is dat anders. ,,Omdat ze achter een scherm zitten hebben cybercriminelen vaak geen idee wat er gebeurt als ze een systeem platleggen. Ze hebben geen beeld van wie het slachtoffer is. Een van hen zei dat hij het internet als één grote oceaan ziet, waar hij een vis uithaalt. Offline zouden ze nooit een bank overvallen of een inbraak plegen, maar een hack is gemakkelijk, veilig en anoniem. Er is niemand die het afkeurt, en niemand die zich ertegen verzet. Het is belangrijk om dat bewustzijn te vergroten, ook wel ‘mentaliseren’ genoemd.”

Wie iemand op straat overvalt ziet meteen wat de impact is voor het slachtoffer. Bij een hack van een bedrijf of overheid is dat anders

Andere mogelijke interventies zijn het voorkomen dat jongeren 24/7 achter de computer zitten, en het organiseren van hackwedstrijden. ,,Daar krijgen ze waardering voor, wat aansluit op de bewijsdrang. Ook kunnen ze worden gewezen op het ethisch hacken.” Dit is het hacken met goede bedoeling en toestemming, bijvoorbeeld om fouten in een veiligheidssysteem te vinden.

Zoiets kan goed in beschermde en laagdrempelige omgevingen. ,,Zoals het Hacklab in Leeuwarden en Sneek. Daar komen ze uit hun sociale isolement en leren ze hun ze hun vaardigheden kunnen inzetten. Dat kan een preventieve werking hebben.” Bij zo’n hacklab leren de jonge hackers ook over de ethiek van het hacken, en over de gevolgen van hun acties. ,,Sommige daders weten niet waar de grens ligt tussen wat mag en niet. Als je in een server terechtkomt ben je vaak al een stap te ver, ook als je verder niets doet in die server. Ten opzichte van traditionele misdaad zijn de grenzen minder duidelijk.”

Ook alternatieve straffen, zoals de interventie Hack_Right, waar onder meer Halt Noord-Nederland mee experimenteerde, kunnen helpen. ,,Dat is een soort leer-werk-traject. Dat zou kunnen helpen omdat hackers zichzelf graag willen bewijzen, ze iets doen met hun it-talent en daarmee ook nog iets terug doen voor de samenleving.”

Maatwerk is vereist

Maar uiteindelijk geldt voor de oplossingen hetzelfde als voor de dadergroep: er is geen sprake van uniformiteit. ,,Het is geen one size fits all . Wel is het zo dat cybercriminelen kenmerken hebben die uniek zijn ten opzichte van traditionele daders. Daarbij gaat het vooral om persoonlijke kenmerken, zoals dat ze introvert zijn. En de motieven zijn uniek, zoals de nieuwsgierigheid en bewijsdrang. Daarnaast is de online context waarin deze daders opereren iets waar we rekening mee moeten houden. Dat kan handvatten bieden voor een nieuw beleid.”

Toch is de algemene bevinding dat er maatwerk nodig is. ,,Als er één dadertype was kon je ook één aanpak maken. De groep is divers. Dat maakt het ook lastiger.”

U kunt ons helpen de journalistieke onafhankelijkheid in Fryslân te waarborgen. Klik hier om een bijdrage te leveren.

Op de hoogte blijven van de laatste ontwikkelingen over het coronavirus? Meld u aan voor onze dagelijkse nieuwsbrief