Gestolen gegevens op het darkweb

Gepubliceerd op 29 oktober 2022 om 07:00

First click here and then choose your language with the Google translate bar at the top of this page ↑

Hoe breng je de handel in gestolen data op het darkweb in beeld? Een jaarverslag van een illegaal bedrijf opvragen zal niet lukken. Onopvallend en voorzichtig speurwerk, automatische analyse van data en taalgebruik op het darkweb geven inzicht in de illegale handel in data. Gegevens van een ING-bankrekening blijken de duurste van de wereld.

Even op een verkeerde betaallink klikken en voor je het weet ben je de inloggegevens van je bankrekening kwijt. De kans is groot dat iemand je rekening meteen plundert. Maar, de digitale dief kan je gegevens ook te koop aanbieden vaak samen met data van vele bankrekeningen, bankpassen en identiteitsbewijzen. De data van een ID-kaart of paspoort kosten tussen 1 en 3800 dollar. Gegevens over een bankpas gaan voor een paar tientjes over de toonbank. Met 3600 dollar voor een toegangscode, spannen rekeningen van de ING-bank wereldwijd de kroon. Welkom op het darkweb waar webwinkels, die qua uiterlijk niet onderdoen voor Amazon en Bol, gestolen digitale gegevens aanbieden.

Handel op illegale marktplaats

Cybercrime loont, jaarlijks gaat er 1500 miljard dollar in om. Voor onderzoekers is dit reden de handel in gesloten data te analyseren. Bovenstaande gegevens komen uit een onderzoek van NordVPN dat de handel op één illegale marktplaats analyseerde. Vanuit de Universiteit Maastricht onderzochten Jerry Spanakis en zijn collega’s van de afdeling Advanced Computing Sciences, het Maastricht Law and Tech Lab en de universiteiten in Utrecht en Delft de handel bij maar liefst twaalf illegale marktplaatsen. “We wilden weten of er data van de Universiteit en haar personeel en studenten op het darkweb te koop zijn. Enkele jaren geleden was de universiteit immers het slachtoffer van een grote hack.”

Hoe zat dat ook alweer

“Slecht 1%* van het internet, het clearweb (surfaceweb), is vrij toegankelijk”, zegt Spanakis. “Het gaat om het deel dat zoekmachines indexeren. Word je niet geïndexeerd, dan kan niemand je vinden.” De overige 99%* bestaan uit het deep en darkweb. Het deepweb omvat privé data waar niet iedereen toegang tot heeft, denk aan data achter een betaalmuur. Daar is doorgaans niets illegaals aan. Pas op het darkweb zijn illegale activiteiten de norm. “De omvang van het darkweb is niet precies vast te stellen. Het is immers grotendeels verborgen voor onderzoekers zoals wij.”

*De percentages van de grootte van het clearweb (surfaceweb) variëren van 1% tot 6%. Het internet verandert voortdurend vandaar de fluctuaties.

Toegangspoort tot het darkweb

De bekendste toegangspoort tot het darkweb is de TOR-browser die een verbinding tussen twee gebruikers omleidt via diverse locaties op de wereld zodat niemand de locatie en identiteit van de gebruikers nog kan achterhalen. “Zoekmachines zijn er niet op het darkweb. Je zult dus moeten weten waarnaar je op zoek bent.”

Het darkweb bestaat vooral uit softwaretechnieken die in pakketjes opgeknipte data versleutelen en omleiden. Ze functioneren op elke moderne computer. Toch vergt veilige toegang meer voorzichtigheid, meent Spanakis: “TOR is niet altijd betrouwbaar. We gebruikten voor ons onderzoek een burner laptop, een laptop die nooit eerder gebruikt is en liefst nooit eerder met internet verbonden was. Verbinding met internet maakten we via een publiek netwerk zo kon niemand ons traceren.”

De onderzoeker vermoedt dat de aanbieders van marktplaatsen nog voorzichtiger zijn met hun hardware. “Waarschijnlijk gebruiken ze aparte servers voor hun marktplaats of webshop. Ik denk niet dat het lukt om de marktplaats via versleutelde data onopgemerkt op servers van bijvoorbeeld Google te stallen.”

Via een zoektocht op internet en op basis van andermans onderzoek kwam Spanakis twaalf marktplaatsen op het spoor waarop aanbieders hun gestolen waren aanprijzen. “Tijdens de drie maanden waarin we de webshops bekeken, verdwenen ze soms om later weer terug te komen. Mogelijk hadden de aanbieders technische problemen of doken ze onder de radar, uit angst voor ontdekking.”

Het verdwijnen van aanbieders maakt het volgen van hun aanbod lastig. Bovendien werkt het TOR-protocol langzaam, data worden immers meerdere keren omgeleid. Wie het darkweb bestudeert, heeft dus geduld nodig. “Daarom besloten we de marktplaatsen te scrappen (schrapen, red), waarbij we alle data van een marktplaats downloaden op de burner laptop.” Om niet op te vallen, gebruikten de onderzoekers timers die het scrappen op willekeurige momenten onderbrak en na een willekeurige tijd weer hervatten. Al met al kostte het downloaden van het aanbod op twaalf marktplaatsen enkele dagen tijd.

Analyse

“De periode na het downloaden was nog het moeilijkst”, zegt Spanakis. “We moesten bruikbare data extraheren uit alle gegevens van de websites die bovendien ook niet alle twaalf dezelfde layout hebben. Met technieken voor natural language processing en wat manuele correcties maakten we een algoritme dat het aanbod van elke marktplaats in kaart bracht.”

In totaal vonden de onderzoekers ruim 28 duizend producten van 642 aanbieders. Onbeperkt Netflix kijken met een gestolen account kan vanaf 2,25 dollar. Een database met informatie over alle kiezers in de Amerikaanse staat Oregon kost maar 9,99 dollar. Gegevens over paspoorten, bankkaarten en bankrekeningen blijken, net als bij het onderzoek van NordVPN, het duurst.

In totaal verdienden de criminelen bijna een half miljoen dollar aan hun illegale handel. Een kwart van dit bedrag haalden ze binnen met de verkoop van bankgegevens. Om in kaart te brengen hoe groot de schade is die de illegale handel aanricht, deelden de onderzoekers de gevonden producten in in categorieën op basis van ernst van de misdaad die nodig was om in het bezit van de gegevens te komen (uitgedrukt in maximale gevangenisstraf). In ons land variëren de maximale straffen voor (digitale) fraude en misdrijven van 2 tot 15 jaar. Voor misdaden in de categorie bankgegevens staan straffen van 2-6 jaar. Niet verwonderlijk dat juist deze items het duurst zijn. Hoe makkelijker data te verkrijgen is, hoe goedkoper de illegale handel erin (zie kader).

Zelfs relatief eenvoudige fraude met Netflix account levert de heler een aardig bedrag op. Aanbieder Eleven op marktplaats Empire biedt bijna 14 duizend Netflix accounts aan voor $3,35 per stuk. In drie maanden tijd verkoopt hij er 4715 voor samen bijna 15 duizend dollar.

Analyse taal

Net als bij legale marktplaatsen laten kopers van illegale waren reviews achter over de aanbieders. Spanakis vraagt zich af hoe dit vertrouwen in criminelen tot stand komt. “Verkopers komen en verdwijnen van de marktplaatsen, je kunt dus nooit zeker zijn met wie je te maken hebt. Door analyse van de korte stukjes tekst waarmee ze hun waren aanbieden, lukte het ons om verkopers te volgen van marktplaats naar marktplaats.”

Hoewel de advertentieteksten kort zijn, herkennen automatische natural language processing en stylometrische analyse toch patronen in het gebruik van grammatica, zinsopbouw, woordkeuze en zelfs taal- en typefouten. “Op het moment gebruiken we de analysetechnieken voor een vervolgonderzoek dat meer inzicht in de verkopers moet geven.”

De Nederlandse politie is zeer actief op het gebied van het darkweb, zegt Spanakis: “We werken samen met een bedrijf dat analyses voor de politie uitvoert. Samen willen we ervoor zorgen dat onze technieken beschikbaar komen voor de politie. Het darkweb bevat zoveel illegale data dat je ergens moet beginnen met je onderzoek. Dankzij onze versie van natural language processing en aanverwante technieken kan de politie meer zicht op aanbieders op het darkweb krijgen.”

Bron: technischweekblad.nl | Patrick Marx / Gerasimos Spanakis

Meer info over het darkweb

Meer darkweb nieuws

Levendige handel gestolen persoonsgegevens op het darkweb

Als een bedrijf of instantie gehackt wordt, kunnen persoonsgegevens worden gestolen. Voor slachtoffers kan dat vergaande consequenties hebben, zoals identiteitsfraude. Helaas is het voor slachtoffers nauwelijks mogelijk de schade te verhalen, aldus dr. Tim Walree, die op dit onderwerp promoveerde.

Lees meer »

Het Deepweb is niet het Darkweb

Misschien heb je de term ‘deepweb’ al eens eerder ergens voorbij zien komen. Het deepweb is het onderdeel van het internet dat niet toegankelijk is via reguliere zoekmachines. Deze zoekmachines, zoals bijvoorbeeld Google en Bing, indexeren namelijk niet alle websites en pagina’s die er te vinden zijn. Dit betekent dat een deel van alle bestaande online websites en pagina’s niet als zoekresultaten worden opgenomen in de databases van zoekmachines. Sterker nog, dit geldt voor het overgrote deel van alle webcontent, zoals we straks zullen uitleggen.

Lees meer »