Hoeveel is jouw data waard?
Inhoudsopgave
Persoonlijke info makkelijk aan te schaffen
Moet je een doorgewinterde crimineel met de juiste contacten zijn of kan iedereen aan deze informatie komen? Het schokkende is dat het goedkoop en eenvoudig op het dark web te verkrijgen is. Goed om te weten: Nederlandse en Belgische gegevens zijn relatief lastig te vinden. Amerikanen en Britten zouden zich meer zorgen moeten maken: hun gegevens zijn veel makkelijker te verkrijgen. Gestolen of vervalste overheidsdocumenten (zoals paspoorten), betaalgegevens, crypto-accounts, datadumps en inloggegevens zijn de meest voorkomende aangeboden items.
Dark web en cryptobetalingen
Het dark web is een verborgen gedeelte van het internet dat niet zomaar te benaderen is voor gewone internetters. Het werkt vaak via een browser met speciale aandacht voor privacy en ontraceerbaarheid, zoals de Tor Browser.
Wanneer je data van een ander wilt kopen, betaal je bij een cybercrimineel bij voorkeur in cryptomunten, zoals Bitcoin of Monero. De criminelen werken met een tussenpersoon. Deze houdt het geld vast totdat de dienst of het product is geleverd. Zo blijft iedereen anoniem.
Ons onderzoek
Hoe gingen onze onderzoekers te werk? We scanden marktplaatsen, fora en websites op het dark web die zich bezig houden met persoonlijke informatie, vervalste documenten, gestolen social media-accounts, enzovoort. Omdat het lastig is geverifieerde kostprijzen te verzamelen zonder de zaken daadwerkelijk aan te schaffen (uiteraard hebben we dat niet gedaan), hebben we een index gemaakt met de gemiddelde prijzen van specifieke Nederlandse en Belgische dataproducten.
Op deze manier vonden we zes soorten datapunten die we verder in dit artikel behandelen.
Overheidsdocumenten
Overheidsdocumenten zijn geliefd op het dark web. Vooral omdat je er veel mee kunt doen en de prijzen (voor digitale versies althans) laag zijn. Met name vervalste documenten zijn goedkoop. Online zijn bijvoorbeeld valse paspoorten te koop als een digitale scan of als een fysiek document. Een digitale scan betekent dat de verkoper alleen de digitale variant verstrekt, terwijl een fysiek document betekent dat er echt een vervalst paspoort of een vervalste identiteitskaart naar je wordt opgestuurd.
Met slechts een paar stukjes echte informatie, kan een crimineel een officieel ogend document maken. Leveranciers werken zelfs met sjablonen waarin de klant zelf de gewenste gegevens kan invullen. Deze documenten zijn vooral handig om voorbij een eerste stap in online verificatie te komen.
Voorbeeld van nepdocumenten in digitale vorm die verkocht worden op het dark web:
Voor een fysiek document moet je wat dieper in de buidel tasten, maar de kosten lopen nogal uiteen afhankelijk van wat de verkoper precies belooft. Een neppe Belgische ID-kaart mét registratie (al lijkt het ons sterk dat een dergelijke kaart daadwerkelijk geregistreerd kan worden) kan zomaar tien keer duurder zijn dan een ‘gewone’ Belgische ID-kaart.
Voorbeeld van vervalste fysieke documenten die verkocht worden op het dark web:
Betaalgegevens
PayPal-accountgegevens zijn een van de meest aangeboden items op het dark web. Voor niet eens zo gek veel geld krijg je de gebruikersnamen en wachtwoorden van waardevolle PayPal-accounts. Optioneel kun je een complete gids aanschaffen die uitlegt hoe je dit geld kunt krijgen, zonder dat de autoriteiten het doorhebben. Zomaar geld van PayPal afhalen laat een digitaal spoor achter, waardoor je je in de kijker speelt bij de overheid. Zo’n gids vertelt je hoe je dat omzeilt.
Het is voor onze onderzoekers onduidelijk of die gidsen echt werken, daar dit niet het onderzoeksdoel was. We wilden weten wat er wordt aangeboden en voor welke prijs. Het feit dat het eenvoudig te krijgen is, is al schokkend genoeg.
Voorbeeld van gestolen PayPal-accounts die verkocht worden op het dark web:
Crypto-accounts
Het is geen verrassing dat gehackte crypto-accounts een van de meest gewilde, waardevolle items op het dark web zijn. Vanwege de gestegen prijzen van Bitcoin en andere cryptocurrencies, kan één gehackt account al een enorme som geld bevatten.
Valse paspoortdocumenten op het dark web zijn heel waardevol voor crypto-accounts, omdat het de online verificatie zonder al te veel problemen met een valse naam kan omzeilen. De blockchain is weliswaar volledig traceerbaar, maar criminelen sluizen het geld weg via een bitcoin-geldautomaat en via wegwerprekeningen. Zo is het volgen van de betalingen een stuk lastiger.
Zoals je hieronder kan zien, variëren de prijzen voor deze accounts nogal, afhankelijk van het beschikbare saldo.
Voorbeelden van gehackte crypto-accountgegevens die worden verkocht op het dark web:
Creditcardgegevens
Naast cryptogegevens bieden cybercriminelen ook nog ouderwetse creditcardgegevens aan. Alle informatie die je nodig hebt om een aankoop te doen, wordt aangeboden: kaartnummers, vervaldatums, CVV’s, namen van de kaarthouders, adressen, woonplaatsen, postcodes, telefoonnummers en e-mailadressen.
Met deze informatie kan men niet alleen een aankoop doen, maar ook toegang krijgen tot de gekoppelde bankrekening. Een Belgische creditcard kost je 40 dollar. De aanbieders geven zelfs garantie dat het echt werkt. Anders vervangen ze de kaart. Dat hebben we niet kunnen nakijken, omdat we zelf geen creditcard hebben besteld.
Voorbeeld van creditcardgegevens die verkocht worden op het dark web:
Data dumps
Op het dark web zijn zogenaamde ‘data dumps’ te vinden. Dat zijn complete databases, vol met e-mailadressen, de meest populaire wachtwoorden, persoonlijke informatie en informatie van sociale media. Ze komen veel voor en zijn heel goedkoop. Nauwkeurig zijn de databases niet; het zijn samenstellingen van verschillende lekken. Honderdduizenden e-mailadressen zijn al voor een paar euro te koop.
Wat heb je daar nu aan, denk je misschien. Spammers kopen dit soort lijsten graag op. Ze maken reclame, sturen onzin of proberen je op te lichten. Dat kan steeds gerichter door informatie samen te voegen. De informatie van sociale media wordt gebruikt voor gerichte advertenties, data-analyse, het hacken van accounts en het bouwen van databases. Er zijn ook zogenaamde ‘combolists’: dat zijn lijsten met veelgebruikte wachtwoorden, bijvoorbeeld in België.
Voorbeeld van data dumps die verkocht worden op het dark web:
Overige informatie
Naast al deze gegevens, zijn er nog veel andere zaken te koop op het dark web. Denk bijvoorbeeld aan accountgegevens om in te loggen op Netflix of Spotify. Ook wordt er regelmatig vals geld en nepwapens aangeboden. Het goede nieuws is dat het lastig is om Nederlandse of Belgische informatie te vinden.
Voorbeeld van overige informatie die verkocht worden op het dark web:
Wat gebeurt er als jouw gegevens gestolen worden?
Als jouw gegevens gestolen worden en in handen komen van criminelen, kan dat nare gevolgen hebben. Zo kan er bijvoorbeeld identiteitsfraude worden gepleegd. Iemand anders geeft zich dan uit voor jou. Die persoon doet bijvoorbeeld bestellingen op jouw naam en met jouw gegevens.
Een voorbeeld hiervan lazen we onlangs bij het AD: de 70-jarige Hanna uit Nijmegen haar gegevens werden gestolen. Nu worden er bestellingen gedaan voor complete keukens, uit haar naam. Inductieplaten, pannensets, tafellopers, gootsteenorganisers, voorraaddozen: van alles wordt er besteld. De fraudeur kiezen altijd voor achteraf betalen.
Voor Hanna betekent dit dat ze steeds aanmaningen krijgt. Er moet betaald worden, en anders komen er gerechtelijke incassokosten bij. De rekeningen lopen ondertussen op. De deurwaarders- en aanmaningskosten lopen ook steeds verder op. Ze is niet van plan ze te betalen, maar wettelijk gezien is ze daartoe wel verplicht. De bestellingen zijn immers op haar naam en met haar gegevens gedaan.
Dat heeft zeer vermoedelijk zover kunnen komen omdat Hanna’s gegevens zijn gelekt, gestolen en doorverkocht. Een adres en een 06-nummer zijn al bruikbare gegevens om fraude te kunnen plegen. Het is altijd lastig om te achterhalen waar het lek heeft gezeten. Daarom is voorkomen beter dan genezen.
Zo bescherm je je gegevens op het internet
Wij zijn van mening dat jouw informatie veel kostbaarder is dan de prijzen op het dark web. Het loont dus de moeite te investeren in het beschermen van jouw online gegevens, in plaats van later op de blaren te zitten. We hebben een paar tips om veiliger online te zijn:
- Surf veiliger met een VPN, zodat je dataverkeer versleuteld is, je geen sporen achterlaat en internet met een ander IP-adres dan je eigen;
- Gebruik niet hetzelfde wachtwoord voor meerdere accounts;
- Gebruik een wachtwoordmanager (een soort digitale sleutelbos) om in te loggen;
- Update je software (zoals Windows of Mac-besturingssysteem) regelmatig;
- Gebruik een antivirusprogramma en een firewall;
- Wijzig je wachtwoorden regelmatig. Het liefst meerdere keren per jaar;
- Voeg niet zomaar onbekenden toe op sociale media.