Te koop op het Darkweb: Geïnfecteerd Corona bloed en speeksel voor 1.000 dollar

Gepubliceerd op 21 maart 2020 om 12:00
Te koop op het Darkweb: Geïnfecteerd Corona bloed en speeksel voor 1.000 dollar

Berichten over het coronavirus worden massaal gelezen en gedeeld. En dat weten cybercriminelen ook. Hackers en verspreiders van desinformatie spelen handig in op de enorme informatiebehoefte over het virus. Via sociale media en speciaal opgezette websites proberen zij kwaadaardige software te verspreiden. Ook doen veel valse berichten de ronde.

De informatieruis is grofweg in te delen in vier soorten categorieën

  • Mensen die er financieel beter van willen worden
  • Bewuste en onbewuste verspreiders van nep nieuws
  • Criminelen die online fraude willen plegen
  • Spionagegroepen die corona misbruiken om organisaties te hacken

Mensen die er financieel beter van willen worden

Ze zijn er altijd: mensen die een slaatje willen slaan uit een crisis. Of het nou de verkoop van gezichtsmaskers is voor absurd hoge prijzen, handgel, het te koop aanbieden van wc-papier op Marktplaats voor honderden euro’s of het aanbieden van bloed van geïnfecteerde personen. Op een online marktplaats op het darkweb verkoopt iemand die zegt geïnfecteerd te zijn geweest zijn bloed en speeksel voor 1.000 dollar om zijn familie ‘financieel’ bij te staan. Waarschijnlijk gaat het om oplichterij. Op marktplaats Piazza worden verschillende vaccins voor het coronavirus te koop aangeboden.

22 duizend nieuwe websites

Beveiligingsbedrijf Cybersprint uit Den Haag houdt het aantal geregistreerde websites bij dat sinds 1 januari is opgezet en ‘covid19’ of ‘corona’ als thema heeft. Sinds een week is er een enorme toename. Vanaf 1 januari zijn bijna 22 duizend nieuwe websites gemaakt. Alleen in de laatste week ging het om meer dan 10.000. Een deel zal zijn om informatie te verspreiden, maar het grootste gedeelte betreft sites die willen verdienen aan de crisis, via nep advertenties, producten en diensten.

Bewuste en onbewuste verspreiders van nep nieuws

Dat bericht van IC-arts Annemarie Vermelis van het Amphia-ziekenhuis uit Breda? Het is niet echt. ‘Excuses voor dit dramatische bericht maar ik vind het belangrijk dat mensen de urgentie zien en dat het heel serieus is’, schrijft Vermelis volgens het bericht dat onder meer via WhatsApp verspreid werd. Het Amphia-ziekenhuis zag zich genoodzaakt op zondag een persverklaring uit te doen. ‘We willen u er graag op wijzen dat dit een nepbericht is en niet strookt met de werkelijkheid in het ziekenhuis.’ Navraag leert dat de IC-arts wel haar ervaringen in een persoonlijk bericht heeft gedeeld, maar dat er later ervaringen aan toe zijn gevoegd.

Het leger ‘stand-by’ 

Ook het RIVM, het rijksinstituut dat het aantal corona gevallen bijhoudt en de belangrijkste bron voor informatie over het virus is, kampt met nep berichten. Zo ging er eerder een lijst rond op sociale media met een onjuist aantal besmettingen. En Defensie moest een bericht weerspreken dat het leger ‘stand-by’ zou staan om een straatverbod te handhaven. Het gaat hierbij om berichten die in de buurt van de werkelijkheid liggen en waarvan het soms lastig te zien is of de afzender de juiste is. Peter Burger, nep nieuws onderzoeker aan de Universiteit Leiden, zegt dat ‘spontane berichten, broodje-aap-verhalen en volkomen gefabriceerde verhalen’ een enorme boost krijgen omdat de behoefte aan nieuws momenteel enorm is.

Allerlei nep adviezen

Er zijn ook kwaadaardiger vormen van nep nieuws. Zo worden er via sociale media allerlei adviezen gedeeld. ‘Drink om de 15 minuten water om infectie te voorkomen’, luidt een van die adviezen, die afkomstig zou zijn van de Amerikaanse universiteit Stanford. En: ‘Houd je adem langer dan 10 seconden in om te testen of je ziek bent.’ De lijst met adviezen is niet afkomstig van de Stanford-universiteit. De Wereldgezondheidsorganisatie houdt een lijst bij waarin fabels ontkracht worden. Zoals de aanname dat een warm bad het virus zou stoppen, het eten van knoflook of het insmeren van je lichaam met chloor of alcohol. Allemaal onzin. Volgens Burger zijn dit soort berichten niet altijd bewust foutief opgesteld. ‘Het is goed mogelijk dat het begon met een compilatie van adviezen uit verschillende bronnen en dat iemand er ‘Stanford’ boven heeft gezet.’

Vechtpartij Aldi

Op zaterdag werd een filmpje via Twitter verspreid door het account SARS-CoV-2/COVID-19 watcher. Het ging om een onduidelijk fragment van een vechtpartij bij een Aldi-supermarkt ergens in Nederland. In korte tijd werd het fragment bijna 10.000 keer bekeken. De tekst erbij: ‘Nederland. Deze video laat zien dat mensen vechten om boodschappen voor een supermarkt. #coronavirus’. Maar waarschijnlijk gaat het om een oude video, opnieuw onder de aandacht gebracht om onrust te zaaien. Opvallend is dat het twitteraccount al na een paar uur offline werd gehaald door Twitter. Het kan erop wijzen dat het om een bot ging of bewuste verspreiding van desinformatie.

Video uit 2017

De intentie is minder duidelijk als het gaat om filmpjes die nu worden verspreid als steun terwijl ze in werkelijkheid ouder zijn. Zoals het filmpje met Italiaanse straaljagers die met muziek van Pavarotti het coronavirus zouden verjagen. De video komt uit 2017. Of het bericht dat de Portugese stervoetballer Cristiano Ronaldo zijn hotels zou laten ombouwen tot ziekenhuizen, overgenomen door tal van media.

Het is vooral oppassen als de informatie uit één bron komt, zegt Burger. ‘Nota bene de Britse krant The Guardian meldde dat de Braziliaanse president Bolsonaro positief testte op het coronavirus. Die informatie bleek afkomstig uit één bron en niet juist.’ De meest kwalijke vorm is bewuste manipulatie, zoals door een woordvoerder van de Chinese regering die zei dat het Amerikaanse leger het virus verspreid zou hebben. Burger: ‘Dat de Chinese overheid het virus als politiek middel gebruikt is verontrustender dan de losse berichten van bijvoorbeeld complotdenkers.’

Criminelen die fraude willen plegen

Lok nieuwsgierigen naar een website met informatie over het coronavirus en besmet ze vervolgens met een computervirus. Er circuleren inmiddels verschillende ‘overzichtskaarten’ waarin het aantal besmettingen wordt bijgehouden, maar die malware bevatten. Eentje daarvan lijkt sprekend op die van de Johns Hopkins University waaraan veel websites refereren. Het verschil is dat de kaart van Johns Hopkins niet gedownload hoeft te worden, en die met malware wel – met het downloaden van de kaart wordt de malware op de computer van het slachtoffer gezet. Vaak gaat het om zogeheten ‘coinminers’: malware die de rekenkracht van een computer gebruikt om te zoeken naar digitale munten. Er zijn ook websites die zich presenteren als de sites van officiële instanties, zoals een valse pagina van een gezondheidsorganisatie in Canada.

Fake RIVM

Ook in Nederland proberen hackers met valse informatie slachtoffers te maken. Een eerder vals opgezet domein van het RIVM (www.rivm.nlgoogle.com, niet klikken!) is deze week geactiveerd. Het is zo opgezet dat lastig te achterhalen is wie erachter zit. Pieter Jansen, oprichter van Cybersprint: ‘De website verwijst naar een bekend ip-adres waar vandaan al veel malware-activiteit gezien is. Ook is via dit ip-adres eerder gijzelingssoftware (ransomware) verspreid.’ Jansen benadrukt dat mensen niet op links moeten klikken die ze via mail ontvangen maar zelf naar een website moeten gaan. ‘Voor thuiswerkers: volg strikt de instructies op van de werkgever voor thuiswerk voorzieningen en ga hier niet omheen werken met bijvoorbeeld Gmail of andere privé-voorzieningen.’

Spionagegroepen die corona misbruiken om organisaties te hacken

Tijdens de eerste weken van de coronacrisis verstuurde het Mongoolse ministerie van Buitenlandse Zaken een update over het virus naar de Mongoolse publieke sector. In de update stonden nieuwe cijfers over de verspreiding van het virus in China. Probleem met het document: het was niet afkomstig van het Mongoolse ministerie van Buitenlandse Zaken maar van Chinese staatshackers, ontdekten onderzoekers van Check Point Research. Klikten ontvangers op de bijgeleverde bestanden, dan installeerde zich ongezien de Chinese malware, waarna de volgende fase van de aanval volgde die Chinese hackers toegang moest geven tot het interne netwerk van overheidsorganisaties in Mongolië. De Chinese hackersgroep die verantwoordelijk is voor de aanval heeft in het verleden verschillende overheden aangevallen, van Oekraïne tot Wit-Rusland.

Ransomware

De crisis kan ook een goed moment zijn voor hackers om de toegang tot een instantie te effectueren. Het tweede grootste ziekenhuis van Tsjechië werd 13 maart geraakt door een digitale aanval – waarschijnlijk een aanval met gijzelingssoftware, schrijft ZDNet. Medewerkers van het universiteitsziekenhuis in Brno moesten hun computersystemen uitzetten. Het ziekenhuis in Brno is een van plekken waar getest wordt op het coronavirus.

Bron: Volkskrant

Schrijver: Huib Modderkolk

Tip: Lees het boek van deze schrijver (Huib Modderkolk)  'Het is oorlog maar niemand die het ziet'