Digitale dieven

Identiteitsfraude gedijt. Cybercriminelen stelen persoonlijke gegevens. „Je hoeft als misdadiger niet meer met een breekijzer de straat op om ergens in te breken.”

Zelfs de liefde is het jachtterrein van identiteitsfraudeurs. Vorige maand waarschuwde het Amerikaanse anti-virusbedrijf PC Tools voor CyberLover, een chatbot die actief is op Russische datingsites. Een chatbot is een programma dat zelfstandig communiceert met computergebruikers. CyberLover doet dat zo geraffineerd dat de gepaaide vrijgezel niet merkt dat hij met een computer zit te kletsen. Ondertussen ontfutselt de chatbot persoonlijke informatie, zoals namen, adressen en foto’s. Tevens worden slachtoffers naar een site gelokt van waar spyware wordt geïnstalleerd, die naar nog meer gegevens zoekt. Dit soort chatbots zullen steeds vaker opduiken, ook in andere taalgebieden, verwacht PC Tools.

CyberLover is als instrument voor identiteitsfraude opmerkelijk geavanceerd, maar zeker niet uniek. Met het groeiende belang van informatie, identificatiemiddelen en gegevensbestanden in het maatschappelijk verkeer, heeft de georganiseerde misdaad een nieuwe lucratieve markt gevonden. Een aantal recente onderzoeken in de Verenigde Staten toont aan dat met identiteitsfraude inmiddels meer geld te verdienen is dan met de handel in drugs. In 2006 waren volgens het Identity Theft Resource Center 15 miljoen Amerikanen slachtoffer, waarbij voor enkele tientallen miljarden dollars schade werd toegebracht. De schade bestaat uit gestolen geld, maar wordt vergroot door honderden, soms duizenden uren die slachtoffers kwijt zijn aan het herstellen van ontwrichte administraties. Hoe die cijfers er voor Nederland uitzien, durven Justitie, bedrijven en onderzoekers niet te schatten. De Nederlandse Vereniging van Banken (NVB) die recentelijk de campagne ‘3x kloppen’ voor veilig internetbankieren is gestart, heeft ook geen cijfers. Wel is een aantal veelzeggende resultaten bekend van onderzoek op deelgebieden. De Koninklijke Marechaussee becijferde in 2003 dat jaarlijks voor ongeveer drie miljard euro aan fraude wordt gepleegd met valse of gestolen identiteitspapieren. In hetzelfde jaar controleerde de Fiscale Inlichtingen en Opsporingsdienst (FIOD) 250 bedrijven op mogelijke fraude, bijvoorbeeld met sofinummers. Dat leverde 70 miljoen euro aan naheffingen op.

Die cijfers zijn ook moeilijk te bepalen omdat lange tijd niet duidelijk was wat identiteitsfraude nu precies is. De onderzoekers van de Koninklijke Marechaussee spreken van „de moeder van alle criminaliteitsvormen”, die een belangrijke rol speelt in illegale arbeid, uitkeringsfraude, bankfraude, terrorisme, drugs- en wapenhandel, mensenhandel en -smokkel. Pas vorig jaar zijn onderzoekers van de Universiteit Utrecht in een 271 pagina's tellend boek tot een sluitende definitie gekomen. Identiteitsfraude is „het opzettelijk en zonder toestemming verkrijgen, toe-eigenen, bezitten of creëren van valse identificatiemiddelen en het daarmee begaan van een wederrechtelijke gedraging”.

Identiteitsfraude valt uiteen in financiële en criminele fraude. Bij de eerste wordt de controle over het financiële bezit van een slachtoffer overgenomen. Dat gebeurt bijvoorbeeld via ‘phishing’ waarbij via e-mails of nepsites inlogcodes voor internetbankieren worden ontfutseld. Ook verwerven fraudeurs persoonlijke informatie voor zogenoemde true name fraud. Een fraudeur doet net alsof hij iemand anders is en vraagt bijvoorbeeld een lening aan, of huurt een auto om die vervolgens niet meer terug te brengen. Een vervelende bijkomstigheid is dat het slachtoffer vaak pas laat merkt dat er iets mis is: als een lening wordt geweigerd vanwege een registratie bij het Bureau Krediet Registratie in Tiel of wanneer ineens aanmaningen op de deurmat ploffen.

Nog ernstiger is de criminele identiteitsfraude. Hierbij wordt iemands identiteit gebruikt om een misdrijf te plegen. De fraudeur leidt het spoor naar de verkeerde persoon. Een oppervlakkige zoektocht in de databank voor uitspraken van de Hoge Raad leert dat in de afgelopen vijf jaar in zeker 35 rechtszaken sprake was van een persoonsverwisseling en dat de verkeerde is veroordeeld. Vorig jaar bleek voorts uit een steekproef onder 700 gevangenen dat van 46 personen de gegevens niet klopten of dat ze iemand anders waren dan Justitie dacht.

Het ministerie van Justitie beloofde in november dit soort fouten te voorkomen door vingerafdrukken en gegevens van verdachten van begin af aan digitaal vast te leggen en in de hele ‘strafrechtketen’ goed te controleren. Eerder die maand kwam het ministerie met een „samenhangend pakket” om identiteitsfraude te bestrijden. De toekomstige aanpak rust op drie pijlers: preventie door voorlichting aan publiek en bedrijven, het instellen van een meldpunt voor slachtoffers en het stimuleren van technische innovaties die het risico op identiteitsfraude verkleinen. Vooral op dat laatste punt slaat de overheid de plank soms mis, zegt een aantal hoogleraren. Enkele van die technische maatregelen, zoals het burgerservicenummer en het biometrisch paspoort, werken eerder averechts.

Met voorlichting is nog een wereld te winnen. Fellowes, een bedrijf dat papierversnipperaars maakt en forensisch accountantbedrijf SBV-Forensics spitten vorig jaar de vuilniszakken van 150 bedrijven en 500 huishoudens door. Bij de bedrijven kon met bijna veertig procent van de aangetroffen documenten fraude worden gepleegd. Zo werden paspoort- en rijbewijsnummers gevonden, alsmede handtekeningen, medische informatie, geboortedata, facturen, cv’s, diploma's, verbaal en acceptgiro’s. Bij de particulieren was het weinig beter. In dertig procent van alle zakken werden documenten met NAW-gegevens (naam, adres en woonplaats) in combinatie met andere persoonsgegevens gevonden. Hiermee is het betrekkelijk eenvoudig om identiteitsfraude te plegen.

In de virtuele wereld laat men ook van alles rondslingeren. Enkele weken geleden werd bekend dat banken steeds vaker weigeren om klanten toe te laten op hun netwerk. Pas als ze een actueel besturingssysteem en virus- en phishingscanners installeren zijn ze weer welkom. Veel mensen onderschatten hoe professioneel cybercriminelen te werk gaan, zegt woordvoerster Ella Broos van het Computer Emergency Response Team van de overheid (GOVCERT). „Het zijn niet meer de zonderlinge hobbyisten die aan hacking en phishing doen. Het zijn beroepscriminelen die dat doen. Het is immers een aantrekkelijke manier om aan geld te komen. Je hoeft als crimineel niet meer met een breekijzer de straat op om ergens in te breken. Dat doe je gewoon vanachter de computer op de zolderkamer.”

Maar ook de overheid is als beheerder van veel gegevens op zijn eigen manier slordig. De techniek en beveiliging van databanken is over het algemeen wel in orde, zegt Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit. De problemen openbaren zich in de organisatie van de opslag en verwerking van gegevens. „We zien vaak dat het daar mis gaat.” Onlangs bleek een disc met de kinderbijslaggegevens van twintig miljoen Britten te zijn kwijtgeraakt die met een koerier was verzonden. „Dat was een organisatorisch probleem”, zegt Jacobs.

Ook wordt niet altijd goed nagedacht over wie er allemaal toegang krijgen tot een databank. Jacobs wijst op het declaratiesysteem Vecozo, waarin zorgaanbieders toegang hebben tot gevoelige informatie over patiënten waaronder naam, adres, geboortedatum, burgerservicenummer, zorgverzekeringen en voor welke aandoeningen mensen zijn bijverzekerd. „Het blijkt dat 80.000 mensen toegang hebben tot dit systeem. Dat is ruwweg één op de 200 Nederlanders. Als je het hebt over access control, dan ben je hier niet goed bezig.” Want het systeem staat niet alleen open voor zorgpersoneel, ook leveranciers van hulpmiddelen en vervoerders kunnen bij alle gegevens.

Dat is de overheid als hoeder van informatie. De laatste jaren is een aantal grote projecten opgezet om geautomatiseerd en betrouwbaar te bepalen wie iemand is (identificatie) en of dat iemand inderdaad degene is die toegang heeft tot een bepaalde voorziening (verificatie). De belangrijkste projecten zijn de invoering van het burgerservicenummer (BSN) en het biometrisch paspoort. Beide lokken felle kritiek uit. Corien Prins, hoogleraar recht en informatisering aan de Universiteit van Tilburg wijst op een paradoxale situatie die hierdoor ontstaan. Identificatiemiddelen zijn steeds belangrijker voor het verkrijgen van toegang tot diensten en voorzieningen. Overheid en bedrijven willen steeds vaker dat burgers en klanten zich legitimeren. Gelijktijdig is een ontwikkeling gaande naar vereenvoudiging en uniformering van dit soort middelen, zoals het gebruik van één klantnummer voor álle overheidsdiensten. En dat maakt ons juist kwetsbaarder. Want dat ene klantnummer of die paspoort die zoveel mogelijkheden ontsluit, worden veel meer waard voor fraudeurs. De schade die voortkomt uit misbruik zal groter zijn.

‘Neem het BSN, dat op 26 november jongstleden stilletjes het sofinummer verving. Op basis van dit nummer communiceert de burger met alle overheidsdiensten (en straks mogelijk met enkele bedrijven). De overheidsdiensten gebruiken het om onderling gegevens uit te wisselen. Volgens de regering wordt met dit nummer de kans op administratieve fouten en identiteitsfraude verkleind. Volgens Prins is het BSN juist fraudegevoeliger. „Het is net zo betrouwbaar als het sofinummer, alleen kan het bij veel overheidsdiensten worden gebruikt en straks wellicht bij banken en sommige bedrijven. Hierdoor is het moeilijker te beschermen.”

Bart Jacobs valt haar bij. Door zoveel informatie op één hoop te gooien, wordt de kans op identiteitsfraude volgens hem vergroot. „Er treedt een sneeuwbaleffect op. Fouten en misdragingen verspreiden zich, bijvoorbeeld door middel van het BSN, in veel meer overheidsdatabanken. De Nederlandse overheid had er goed aan gedaan om naar het social security number in de VS te kijken. Dat nummer blijkt een grote bron van fraude te zijn.” Jacobs doet de BSN-plannen af als ‘id-management for dummies’. „Als een student van mij zo'n systeem bedenkt, stuur ik hem weg met een diepe onvoldoende.”

Ook van het biometrisch paspoort wordt veel verwacht. Daarop worden unieke lichaamseigenschappen opgeslagen zoals een scan van het gelaat en, in de toekomst, vingerafdrukken. Volgens Job de Haas, technisch directeur van Riscure, een Delfst testlaboratorium voor smartcards, is biometrie op zichzelf niet nieuw. „De douanier kijkt naar je paspoort en dan naar je lengte, gezicht, kleur van je ogen en neemt vervolgens een beslissing of je er wel of niet op lijkt. Nieuw is dat dit grotendeels geautomatiseerd gebeurt. Het idee is dat je hierdoor identiteitsfraude, maar ook terrorisme, kan tegengaan omdat automatisering tot een kleinere foutmarge zou leiden.”

Zo simpel ligt het echter niet. De techniek deugt over het algemeen. De informatie die op de chips is opgeslagen, kan zelden gemanipuleerd worden, zoals het vervangen van de pasfoto. Alleen met dure apparatuur zijn die chips te kraken. De zwakte zit vooral in de procedure, in de organisatie om de geautomatiseerde controle heen. In de praktijk zal blijken dat het vaak ondoenlijk is alle lichaamskenmerken te controleren, dus dat én de iris én de vingers én het gelaat worden gescand, zegt De Haas. Dat is te tijdrovend. Daarnaast heeft niet iedereen alle geschikte lichaamseigenschappen om te laten controleren. Ze zijn bijvoorbeeld blind en hebben geen, of beschadigde vingertoppen. Uit Brits en Nederlands onderzoek blijkt dat circa vier procent van de mensen niet goed te controleren is. „Op een populatie van miljoenen gaat dat dus om heel veel mensen”, aldus De Haas. Tenslotte heeft de techniek zo zijn beperkingen. „Een scanner heeft niet door of een vinger levend of dood is. Of dat hij te maken heeft met een latexafdruk of een afgepeld stukje huid.”

En fraudeurs weten dat ook. Volgens De Haas zullen die zich richten op de zwakste of kwetsbaarste methode en een situatie uitlokken waarin op die methode moet worden teruggevallen. Hij zal bijvoorbeeld zijn vingers ‘onklaar’ maken door vuil aan te brengen of het profiel weg te vijlen. Dan komt het gewoon weer op neer op het oordeel van de beambte. Maar er schuilt nog een gevaar, zegt De Haas. „De kans is aanwezig dat controleurs steeds meer op techniek gaan vertrouwen, een techniek die ze steeds minder goed begrijpen. Dan kan het gebeuren dat een beambte op grond van zijn ervaring een situatie niet vertrouwt, maar dat de computer zegt dat het in orde is.” De Haas concludeert dat het biometrisch paspoort afschrikwekkend kan werken voor gelegenheidsfraudeurs, maar dat het de georganiseerde misdaad weinig zal deren.

Daarnaast geldt volgens hem hetzelfde argument als bij het BSN: naarmate je deze technieken in de samenleving verspreidt, wordt de kans op fraude groter. „Neem de kaartlezers die op Schiphol worden gebruikt, of allerlei mobiele uitleesapparaten. Daarmee kun je de vingerafdruk van een gestolen of gevonden paspoort namaken. Natuurlijk belooft de douane daar zorgvuldig mee om te gaan, maar geen enkel veiligheidssysteem is waterdicht. De garantie dat dit soort uitleesapparaten niet in verkeerde handen vallen, kun je niet geven. En als dat gebeurt, dan kunnen de gevolgen groot zijn.” En voor slachtoffers van de identiteitsfraude zal het erg moeilijk zijn hun onschuld te bewijzen. „De politie zal geneigd zijn te vertrouwen op de techniek die objectief en neutraal heet te zijn.”

Maar wat moet er dan wel gebeuren om identiteitsfraudeurs te dwarsbomen?

Jacobs stelt een ogenschijnlijk radicale oplossing voor: niet meer identificatie, maar minder en anders. Hij illustreert het als volgt. „Ik woon in Nijmegen en bij de gemeentelijke vuilstort moet ik mij identificeren. Ze hoeven daar echter niet te weten wie ik ben, maar alleen dat ik in Nijmegen woon. Als ik een kopie van mijn paspoort moet overleggen, maak ik de kans op fraude groter. In dit geval kan ik me voorstellen dat ik een digitaal certificaat krijg van de gemeente waarop staat dat ik inwoner van Nijmegen ben.”

De Utrechtse hoogleraar Jan Grijpink, ook in dienst bij het Openbaar Ministerie, deelt die opvatting en houdt een pleidooi voor grotere complexiteit. Controles moeten minder voorspelbaar en uniform worden, zodat fraudeurs er niet op kunnen anticiperen. Grote databanken vragen om voorzichtigheid; het is beter gebruik te maken van veel verschillende technieken, aangepast aan de context waarin wordt gecontroleerd. Beleidsmakers moeten zich bewust zijn van de potentiële waarde van identiteitsdocumenten.

Prins voegt daar nog een punt aan toe: zorg nu eens dat je weet waar je tegen vecht. „We weten niet hoe groot het probleem van identiteitsfraude is. Banken houden het zo her en der bij. Zo nu en dan komt er een instantie met een paar cijfers naar buiten. Het totaaloverzicht ontbreekt. In de VS is men bijvoorbeeld veel verder. Daar zijn in de meeste staten bedrijven verplicht hun klanten te informeren als informatie is gestolen.’’ Ook hebben ze in de VS en Engeland kenniscentra opgezet die ontwikkelingen in identiteitsfraude boekstaven en slachtoffers helpen weer uit de problemen te komen. „Als ik slachtoffer ben en in mijn dorp naar de politie ga, dan is de kans groot dat die niet weet wat te doen. Het zit nog niet tussen de oren van de beleidsmakers hoe groot dit probleem is, maar zeker ook, hoe groot het probleem van identiteitsfraude gaat worden.’’