‘Ik doe dit niet als cybercrimineel, maar als kwajongen’

Nathan* is twaalf jaar oud wanneer hij besluit om Minecraft op zijn computer te downloaden. Op school, in een klein dorpje in het noorden van het land, hebben al zijn vrienden het erover en online krijgt hij steeds advertenties van de avontuurgame, dus Nathan vindt het tijd om een kijkje te nemen.

Voor hij het weet is Minecraft zijn nieuwe safe space; hij kan urenlang in zijn eentje eigen werelden bouwen. Kort daarna komt daar ook een online server bij, waardoor Nathan eindelijk samen kan spelen met mensen die dezelfde interesses hebben als hij. Zo ontmoet hij een groep Nederlandse jongens, die eigenlijk de eerste vrienden zijn waarbij Nathan echt het gevoel heeft dat hij erbij hoort.

Op zoek naar uitdaging

Maar die online servers brengen niet alleen vrienden met zich mee, want Nathan en zijn vriendengroep hebben regelmatig ‘ruzie’ met andere spelers. Een van zijn online vrienden komt daardoor met een nieuw idee: als deze gebruiker weer irritant doet, kicken we hem van de server af via een DDos-aanval. Nathan zit vol spanning achter zijn computer wanneer hij dat berichtje leest, maar het was geen angstige spanning. Twijfelend staart hij naar zijn laptop, die volgeplakt zit met stickers. Durft hij dat wel? Zo’n DDos-aanval? Maar het nieuwsgierige aagje in hem krijgt de overhand, want hij is benieuwd: wat kunnen die jongens nog meer? En zou ik dat ook kunnen leren? Al snel ontstaat er een nieuwe hobby voor Nathan, en samen met zijn Minecraftvrienden gaat hij elke keer een stapje verder: een DDos-aanval via Minecraft, het hacken van een webcam, het versturen van neplinkjes naar docenten. Hij raakt verslaaft aan de adrenalinekick. Iedere dag dat Nathan thuiskomt van school, loopt hij direct zijn kleine kamertje binnen om achter zijn laptop aan het werk te gaan. Hij wil meer spanning, meer uitdaging.

Wat is een DDos-aanval?

Een Distributed Denial of Service aanval, ook wel DDoS genoemd, is een cyberaanval waarbij ontzettend veel verkeer naar computers, computernetwerken of servers worden verstuurd waardoor deze onbruikbaar worden voor de normale gebruiker. Je kunt dit vergelijken met een file, maar dan op het internet.

Makkelijke manier om geld te verdienen

Lange tijd blijft het bij lol trappen, maar op een vrijdagochtend in december van 2018 ligt Nathan ziek op bed wanneer hij het toontje van zijn mailbox uit zijn telefoon hoort komen. Hij heeft een mailtje binnengekregen, waarin staat dat hij gefilmd is terwijl hij porno aan het kijken is. ‘Betaal duizend euro als je niet wil dat je beelden gelekt worden naar al je contacten’, leest Nathan op het scherm. Heel even schrikt hij van het mailtje. Is zijn telefoon gehackt? Of zijn laptop? Al snel bedenkt hij zich dat dit een afpersmailtje is, en dat die zogenaamde video van hem helemaal niet bestaat. In plaats van het mailtje te verwijderen denkt hij: hé, dat is een makkelijke manier om geld te verdienen. Met een grijns op zijn gezicht opent Nathan zijn laptop om het bitcoinprofiel van degene die achter het afpersmailtje zit op te zoeken. Duizenden euro’s stonden er op zijn account, verdiend met een simpel mailtje. Nathan denkt niet na over het feit dat hij op die manier geld zou stelen van onschuldige mensen; hij wil gewoon dat dit hem ook lukt.

Vol zenuwen en enthousiasme neemt hij contact op met een van zijn hackervrienden, zodat ze samen een plan kunnen bedenken. De eerste stap daarbij is uitzoeken hoeveel procent van de maildiensten een spamfilter heeft en hoe goed die werkt. Op die manier komt Nathan erachter dat het spamfilter van Gmail en Microsoft te goed is, terwijl providers als Ziggo en KPN juist helemaal geen spamfilter hebben. En als ze er wel een hebben, is het een hele slechte, waardoor veel spam in de normale inbox komt. Zo weet Nathan op welke e-mailadressen hij zich moet richten.

Honderden gegevens voor een paar euro

De volgende stap is op zoek gaan naar e-mailadressen van gelekte databases, zoals LinkedIn, MyFitnessPal en Canva. Nathan komt erachter dat je die online kunt opkopen voor een paar euro. Daaruit filtert hij alle e-mails die eindigen op hetnet, kpnworld, ziggo.nl, upcmail en andere slecht beveiligde diensten. Binnen no-time ontvangt Nathan een volledig document met al die e-mailadressen, IP-adressen, gebruikersnamen en een versleutelde versie van een wachtwoord. Hij heeft voor zijn afpersmail alleen de e-mailadressen nodig, maar al die andere gegevens van honderden personen staan nu voor een paar euro op zijn laptop.

Nathan is tot diep in de nacht bezig om ervoor te zorgen dat hij zo succesvol mogelijk kan zijn in het afpersen van de ontvangers van het mailtje. Samen met zijn vriend koopt hij een server voor een paar dagen, zodat ze dagenlang automatisch twee of drie mailtjes per seconde kunnen sturen naar de e-mailadressen. Zijn vriend stelt een geloofwaardig mailtje op, wat een directe vertaling is van het afpersmailtje dat Nathan eerder al kreeg. Om ervoor te zorgen dat de afpersmails niet naar hen te traceren zijn, maken ze gebruik van e-mail spoofing. Dat is een trucje dat hackers vaak gebruiken, waardoor het lijkt alsof de e-mail van een andere afzender komt.

Wat is e-mail spoofing?

E-mail spoofing is een veelgebruikte techniek onder cybercriminelen, waarbij het e-mailadres van de afzender vervalst wordt. Het wordt vaak gebruikt bij phishingpogingen of om spamberichten te verspreiden. De auteur van de spoofmail probeert zijn eigen identiteit te verbergen en doet zich voor als iemand anders om zo het vertrouwen van de ontvanger te winnen.

Starend naar een laptop

Met een bonzend hart en halfdichte ogen checkt Nathan ieder half uur zijn bitcoinaccount. Nu moet er toch wel iemand ingetrapt zijn?, denkt hij aan het einde van de volgende dag. Hij kijkt naar zijn inkomsten van de afgelopen 24 uur en wordt gegroet door een grote nul met een euroteken ervoor. In de dagen daarna blijft Nathan hoopvol zijn account checken, maar er komt geen geld binnen. Niemand heeft betaald. Dat is misschien ook zo omdat we maar 35 euro vroegen, denkt Nathan, maar hij dacht juist dat te veel geld vragen ongeloofwaardig zou overkomen. Uiteindelijk blijkt het tegendeel waar te zijn, want die andere hacker vroeg duizend euro en heeft er heel wat geld mee verdiend.

Nathan weet dat er nog iets anders meespeelt in het feit dat zijn poging niet geslaagd is. Mensen zijn zich volgens hem van veel traditionele manieren van hacken, die hij vaak gebruikt, al heel erg bewust. In deze vorm van ‘even makkelijk geld verdienen’ trappen de meeste Nederlanders tegenwoordig al niet meer. Maar Nathan wil het niet nog een keer proberen met een hoger bedrag, ook al is de kans van slagen dan groter. Dan speelt er toch enig schuldgevoel; dat vindt hij zielig. “Ik doe dit niet als cybercrimineel, maar als kwajongen.”

*De naam Nathan is gefingeerd. Zijn echte naam is bekend bij de redactie.  

FOTOCREDITS: Sora Shimazaki via Pexels