Een bedrijf gijzelen en de kluis leeghalen vanaf de keukentafel

10 oktober 2021 om 08:00 • Aangepast 11 oktober 2021 om 10:49
nl
Een nieuwe column van Willem-Jan Joachems, de misdaadverslaggever van Omroep Brabant.
Profielfoto van Willem-Jan Joachems
Geschreven door

Ik kreeg vorige week een mailtje dat ik 'een donatie van 2,7 miljoen euro’ krijg. Zomaar, voor niks. Ik ben willekeurig gekozen, schreef een dame van een bedrijf in Duitsland. En of ik even wil reageren op haar mail.

Dacht het niet. Toen ik de bron van het mailadres bekeek zag ik al wat het kon zijn: het échte adres eindigde op RU. Oftewel Rusland.

Een tijdje terug was het een mail van mijnoverheid.nl. Er stond een bericht voor me klaar. Of ik even op de link kon klikken. Toen ik het mailadres checkte, zag ik wat rare woorden. Foute boel. Weggegooid.

Daar trappen we niet meer in. Of wel? Stuur tienduizend mails en gegarandeerd dat je iets terugkrijgt. En met je mailadres en naam kunnen criminelen al kwaad aanrichten.

Hoe lang is dit al aan de gang? Ik zocht op ‘computerkraker' in de krantenbank van Delpher. Oudste vermelding: 1983. Dat was de tijd van de Commodore 64. Ik kwam een artikel tegen van een professor van de universiteit in Tilburg die probeerde in te breken, als experiment. Het was een journalist die aantoonde dat daarmee je makkelijk aan medische gegevens (RIVM) en geheime bedrijfsinfo (Philips Natlab) kan komen. We zouden zo iemand nou een ethische hacker noemen.

"Nu zijn we altijd online."

Een scholier deed zich later bij een reisorganisatie voor als medewerker, kreeg een toegangscode en kwam probleemloos in de boekingencomputer. Ik stuitte ook op een artikel in Trouw uit 1987 met tips. Wissel regelmatig van ‘privécode’, wachtwoord dus. Nog steeds actueel.

Toen was hacken nog niet strafbaar. Zo werkt dat. Een wet is een reactie op iets waar we last van hebben. De wet computercriminaliteit trad pas in werking op 1 maart 1993. We kregen naast de klassieke huisvredebreuk ook computervredebreuk. En voor zover bekend was de eerste veroordeling twee jaar later. Iemand die via openbare plekken, bibliotheken, had ingebroken. Die hadden netwerkaansluitingen (modems) met de buitenwereld.

Dat veranderde halverwege de jaren 90. Toen kregen steeds meer mensen internet thuis. Jaren later ging het mobieltje domineren. Nu zijn we altijd online.

"Schokkend dat het mogelijk was."

Ik moet wat bekennen. Ergens begin deze eeuw kwam ik op een site waarmee je nepmails kon sturen. Voor de gein stuurde ik uit naam van onze baas een ontslagmail naar een collega die naast me zat. Die was totaal verbaasd, toen boos en zag meteen aan mijn lach dat ik er iets mee te maken had. Schokkend dat het mogelijk was.

Mijn eerste grote rechtszaak tegen twee hackers maakte ik begin deze eeuw mee. Jonge gasten, eentje uit Loon op Zand. Ze hadden miljoenen computers geïnfecteerd met een virus. Gewoon vanuit huis. Dat virus legde toetsaanslagen vast. Zo pikten ze creditcardgegevens en bestelden ze luxe spullen. Dat leverde twee jaar en anderhalf jaar, deels voorwaardelijk, op. Maar ik kan niet zeggen dat ik verder veel rechtszaken zag over dit soort computercriminaliteit.

En dat terwijl er veel aan de hand is. Nu verschijnt zo'n irritant oplichtertje in je scherm. De vriend-in-nood-fraude. Nee, ik ben je papa niet. Nee, ik ga je geen geld sturen.

Bij een grote instelling zijn tonnen of miljoenen te halen. Tien jaar geleden zag je al inbraken in grote bedrijven, winkels en gemeentehuizen. Mailadressen en wachtwoorden waren toen gewild. En inbrekers stopten hun nepfacturen in het systeem met hun eigen rekeningnummer.

"Je hoeft als boef niet eens meer op pad."

Het ging van kwaad tot erger. Van diefstal tot sabotage en pure afpersing nu bij VDL. Miljardenbedrijven worden via hun eigen systemen gegijzeld en stilgelegd. In 2017 was onder meer MSD in Oss doelwit. Net als containergigant Maersk. Bij de universiteit Maastricht is er losgeld betaald: naar verluidt ‘tonnen in bitcoins.’ Maar wie geeft de garantie dat je van ze af bent?

Ondanks al die voorbeelden hebben bedrijven en organisaties hun veiligheid niet in orde, constateerde de Cyber Security Raad (CSR) eerder dit jaar. Er dreigt 'maatschappij-ontwrichtende schade'. Wat als het water- of gasbedrijf gegijzeld wordt?

Je hoeft als boef niet eens meer op pad, de weg op. Reizen is overbodig. Een goeie computer en kennis is genoeg. Gewoon vanuit huis wat gijzelen en jatten. Ook praktisch: het losgeld in een koffer hoef je niet persoonlijk op te halen onder een viaduct. Nee, het zijn bitcoins. Lekker anoniem.

Het enige wat je kan doen is je spullen steeds maar beter beveiligen. Net als je fiets: niet één slot maar twee sloten. Da's lastiger openen. En dan maar hopen dat de kraker geen betonschaar bij zich heeft.

Wachten op privacy instellingen...

App ons!

Heb je een foutje gezien of heb je een opmerking over dit artikel? Neem dan contact met ons op.