Online criminaliteit is big business en het boevengilde verplaatst veel 'oude' criminaliteit naar internet, waar ook nog eens minder risico aan verbonden is. Vanochtend nog verbaasden we ons op de redactie over de creativiteit en het doorzettingsvermogen van malafide programmeurs (naar aanleiding van dit artikel over een exploitkit die gebruik maakt van steganografie). "Waarom gebruiken ze dit niet om goed te doen?" vragen we ons dan af.
Het antwoord is dat er veel te winnen valt en er weinig risico aan kleeft: de pakkans is nog relatief laag. En zelfs als je gepakt wordt, hebben de autoriteiten moeite met het vaststellen van jurisdictie of zijn er geen juridische handvatten om mensen te vervolgen. En als die er wel zijn, staan ze niet in verhouding tot de misdaad: vergelijk een paar jaar voor een enorm botnet met honderdduizenden slachtoffers met het bevrijden van wetenschappelijke artikelen en een potentiële celstraf van enkele decennia.
Met een simpele kosten-baten-analyse is het voor mensen in bepaalde regio's of milieus een logische stap om malware te schrijven. Diverse deskundigen vertellen ons al jaren dat we nog behoorlijk wat werk te verrichten hebben om online criminaliteit enigszins in de buurt te laten komen van de aanpak van 'oude' criminaliteit.
Het gaat al mis bij de aangifte
Volgens onderzoek van MarktMonitor is bijna de helft van de Nederlanders slachtoffer van online fraude. Nu willen we dat niet helemaal in twijfel trekken - het is inderdaad een groot probleem - maar dat lijkt ons wel erg fors. Verder nemen we dit graag met een korreltje zout, omdat het internationaal onderzoek is met N = 3457, waar vervolgens nationale conclusies uit getrokken worden.
Maar dat meer dan de helft van de slachtoffers geen aangifte doet, dat lijkt ons waarschijnlijker. Bovendien is dat een statistiekje dat we steeds terugzien: van online criminaliteit wordt nauwelijks aangifte gedaan. In het buitenland zien we vaak dat mensen niet goed weten bij welke instantie ze een melding moeten maken van internetcriminaliteit, maar dat issue speelt minder in Nederland.
Het probleem is vooral dat de aangiftebereidheid afneemt, omdat mensen er het nut niet van inzien. De pakkans is toch heel klein. Maar deze filosofie draagt bij aan dat de pakkans niet wordt vergroot: politiek kan de impact niet goed inschatten, omdat realistische cijfers ontbreken. Vandaar dat uiteenlopende schattingen van hoeveelheid slachtoffers en financiële schade ons maandelijks om de oren vliegen, maar vaak is dat een mooi verpakte guesstimation.
Wie is de dader?
Online opsporing heeft zijn uitdagingen. Voor een individuele zaak is het vrijwel ondoenlijk om het opsporingsapparaat daarvoor in te zetten; het heeft al meer zin als bijvoorbeeld Nederlanders massaal worden geïnfecteerd via hetzelfde botnet. Dan is het qua bestede mankracht en preventie danwel opsporing opeens nuttiger om dat botnet eens in kaart te brengen.
Bewijsgaring is gelukkig niet onmogelijk, maar wel lastig, met dwaalsporen, spoofing, fast-flux en andere manieren die in principe bedoeld zijn om het werk van IT-beveiligers te frustreren. Als bijvoorbeeld de Nationale Politie een bende in kaart brengt die malware verspreidt - die meestal ook in een land zit waar we niet 'bij' kunnen - is het vaak efficiënter om over te gaan op preventie (het oprollen van het botnet in een samenwerkingsverband) dan op vervolging.
Internet heeft geen landsgrenzen
Vaak worden Nederlanders slachtoffer van identiteitsfraude dankzij bijvoorbeeld malware die is geproduceerd in de Oekraïne, verspreid is door iemand uit Roemenië, ID's die worden misbruikt via Polen en/of katvangers in Nederland. Ten eerste: wie van de betrokken partijen pak je het eerste aan om effectief op te treden? Ten tweede: wat zijn de juridische mogelijkheden in dat land? Ten derde: wie heeft de jurisdictie om in te grijpen?
Het is duidelijk dat er een grensoverschrijdende aanpak nodig is. Organisaties als Europol proberen zo criminaliteit aan te pakken en boeken daarmee successen, maar een solide internationale aanpak ontbreekt nog steeds. Het is heel lastig om een rechtszaak te voeren als het slachtoffer uit het ene land komt en de dader uit een andere.
Zelfs als we weten wie de daders zijn, hebben we niet altijd de mogelijkheden om te vervolgen. We hebben internationale partners en verbonden, maar als een land niet meedoet, is een crimineel daar in principe zo vrij als een vogeltje. Het is lastig zo niet onmogelijk om bijvoorbeeld Rusland of China ervan te overtuigen een verdachte uit te leveren.
Tijd voor internetpolitie?
Een jaar geleden pleitte collega en IT-beveiligingsspecialist Roger Grimes, die grotendeels de inspiratie is voor dit artikel, voor de komst van internationale internetpolitie en legt meteen uit waarom die er nooit zal komen. Wel zijn we hard op weg naar iets soortgelijks met de steeds hechtere samenwerking van onder meer onze eigen Nationale Politie met Europol en beveiligingsbedrijven. Deze ontwikkeling juichen we hier bij Computerworld van harte toe.
Maar dat is vooral voor grote projecten, zoals No More Ransom en oprolacties, zoals vorige week nog met operatie Avalanche. Individuele gevallen en daarmee vooral consumenten krijgen te maken met zware onderbezetting bij de politie. Het CDA pleitte twee weken geleden voor meer capaciteit voor de aanpak van internetcriminaliteit. Het Landelijk Meldpunt Internet Oplichting is momenteel volgens een voorstel van de partij in staat om jaarlijks 50.000 meldingen te verwerken, maar daarvan komt slechts een fractie tot aangifte. In 2013 ging het om 77 aangiftes. De nota:
De Inspectie Veiligheid en Justitie heeft in 2015 de primaire aanbeveling gedaan de recherchecapaciteit te versterken binnen het LMIO. Op die manier kan de politie meer gevallen van internetoplichting in behandeling nemen. (...) De regering heeft eerder aangegeven dat de aanpak van cybercrime een aparte prioriteit is, maar tegelijk de aanpak van internetfraude ondersteunt.19 Daarmee is niet gezegd dat dit gehele bedrag aan internetoplichting moet worden besteed, maar kan deze post op de begroting wel bijdragen aan versterking van het LMIO.
Ook in dit voorstel zien we die worsteling terug: online criminaliteit wordt overkoepelend aangepakt, maar dat verandert weinig voor de ervaring van de gemiddelde burger en daar direct aan gekoppeld de aangiftebereidheid, waardoor we in een loop van ineffectiviteit terechtkomen.
Reageer
Preview