De online schandpaal, een bron van inkomsten voor cybercriminelen

Life is short, have an affair. Dat is het motto van de Canadese relatiesite Ashley Madison. Het gedroomde avontuurtje van bijna 40 miljoen gebruikers veranderde in een nachtmerrie toen hackers vorige week een bestand met tien gigabyte aan persoonlijke gegevens publiceerden.

Weet je nog steeds niet wat Ashley Madison is? Dit is een, inmiddels verboden, reclame over de website:

Sindsdien gaat er geen dag voorbij of er rolt een nieuw Ashley Madison-schandaal van de pers: beroemde vreemdgangers worden ontmaskerd, enkele wanhopige klanten maakten een einde aan hun leven, gebruikers worden gechanteerd door derden. In een tweede ‘datadump’ publiceerden de hackers nog eens twintig gigabyte aan gestolen bedrijfsinformatie, waaronder de mailwisselingen van topman Noel Biderman van Avid Life Media, de moedermaatschappij van de gehackte relatiedienst. Biderman is inmiddels opgestapt.

Afpersing: makkelijk verdienen

De hack is opgeëist door een groep die zegt morele bezwaren te hebben tegen een dienst die vreemdgaan promoot. Neem die dekmantel vooral met een korreltje zout. Zoals het er nu uitziet werd het bedrijf afgeperst, waarschijnlijk met hulp van binnenuit. Ashley Madison looft een beloning uit van een half miljoen Canadese dollar (330.000 euro) om de werkelijke daders te vinden.

De Ashley Madison-hack past in een patroon van recente inbraken waarbij bedrijven - en individuen – gegijzeld worden door hackers. Deze vorm van chantage is een snelgroeiende alternatieve bron van inkomsten voor cybercriminelen. Veiligheidsbedrijven bestempelen dergelijke bedrijfshacks als dé trend onder computerinbrekers, met als doel zo veel mogelijk gevoelige data te verzamelen.

Interessant voor criminelen

In het geval van consumenten gaat het meestal om details over je liefdesleven, compromitterende films en foto’s of seksuele interesses – vandaar dat pornosites en relatiediensten regelmatig doelwit zijn. In het zakenleven gaat het om bedrijfsgeheimen: mailwisselingen, toekomstige plannen of broncode van software.

Bedrijven zouden volgens schattingen van onderzoeksbureau Gartner bereid zijn om 5 dollar losgeld te betalen voor elke 100 dollar schade die publicatie zou kunnen veroorzaken. Dat is interessant voor criminelen. Zeker nu een andere inkomstenbron – de handel in gestolen creditcards – minder lucratief wordt omdat banken en creditcardmaatschappijen er beter in slagen fraude te voorkomen. Verdachte betalingen worden sneller herkend (en geblokkeerd) en ook de VS schakelt over op betaalpassen met een beveiligde chip.

Terwijl financiële instellingen hun databeveiliging serieus nemen, springen veel kleinere bedrijven nog te laks om met hun data. Hun gegevens zijn op zichzelf niet kostbaar, maar publicatie ervan kan onherstelbare (reputatie-)schade aanrichten. Met één druk op de knop ligt alles te grabbel.

Ashley Madison is niet het enige slachtoffer van een hack:

De media als wapen

Seks- en pornosites zijn een dankbaar doelwit voor afpersing. Succes gegarandeerd wegens grote mediabelangstelling. Meestal zijn verhalen over cybercriminaliteit een ver-van-mijn-bed show. Niet als het gaat om vreemdgaan en persoonlijke drama’s.

Het is als journalist moeilijk om terughoudend te blijven met onderwerpen die goed ‘geklikt’ worden. RTL had al meteen uitgezocht hoeveel Nederlanders zich hadden ingeschreven bij Ashley Madison. Antwoord: ongeveer 600.

Journalistieke terughoudendheid is op zijn plaats. Afpersers zijn blij met al die media-aandacht. Daarnaast dringt de vraag zich op of je mag spitten in gestolen gegevens. Dat gebeurde ook bij de Wikileaks-documenten of de onthullingen van Edward Snowden over de afluisterpraktijken van de veiligheidsdiensten. In die gevallen kun je stellen dat publicaties een publiek doel dienden. Bij de ontmaskering van potentiële vreemdgangers wordt dat doel al een stuk kwestieuzer.

Is Ashley Madison the gift that keeps on giving?

Wake up call?

Discretie op internet is een farce, blijkt uit alle hacks die het nieuws halen. Toch hebben veel consumenten een overmatig vertrouwen in technologie. Verblind door het gebruiksgemak van gelikte webdiensten laten we ons makkelijk wijsmaken dat een dienst veilig is, terwijl je dat als gebruiker niet kunt controleren.

We zijn getraind om te letten op phishing mails en spam, schermen onze pincode af. Toch trappen we met open ogen in de val om onze meest persoonlijke gegevens af te staan. Je wilt stiekem vreemdgaan dus je registreert je op een site, met je eigen naam en creditcard. Gesust door een foto van een blonde dame die het ssst!-gebaar maakt.

De Ashley Madison-hack is een wake up call, zeggen sommige veiligheidsexperts. Vergeet het maar. Een opzienbarende hack heeft hetzelfde effect als een ambulance op de snelweg: zodra je de zwaailichten ziet, rijd je even voorzichtig. En als de ambulance uit beeld is, geef je gewoon weer gas.

Blind voor dataveiligheid

Een beetje wantrouwen tegen het web kan echter geen kwaad. En dat geldt niet alleen voor relatiesites. Ook email kan gebruikt worden voor afpersing. Simpele remedie: alleen mails tikken met de gedachte dat buitenstaanders ze mee kunnen lezen. Mailboxen zijn doelwit nummer één bij datakidnapping van bedrijven.

Bij overheidsinstanties, financiële en medische instellingen worden regelmatig controles uitgevoerd of de veiligheid wel op orde is. Bij consumentendiensten is dat minder gebruikelijk. Volgens een PWC-rapport over digitale veiligheid daalden IT-budgetten – waaronder de beveiligingsbudgetten vallen – in die sector met 15 procent. De verantwoordelijke managers zijn vaak blind voor dataveiligheid.

Saillant detail: volgens PWC zorgen hacks van binnenuit, door (voormalige) medewerkers, voor grotere problemen dan hacks van buitenaf.