‘Ze vinden het leuk om over hun delicten te praten’

22 mei 2024 10:52 | Kenniscentrum Techniek

Voor haar onderzoek naar de werkwijze van cybercriminelen wilde Renushka Madarie in eerste instantie politiedata en hackerforums bestuderen. Totdat ze de kans kreeg om plegers van online delicten zélf te interviewen. Dit voorjaar reisde ze naar de VS om met een aantal van hen te spreken.

Het onderzoek van Madarie is precies een jaar bezig als ze in september 2023 een congres in het Duitse Halle bezoekt. De Human Factor in Cybercrime Conference sluit goed aan bij haar onderzoek, dat zich richt op crime script analyse.

Crime scripts beschrijven chronologisch hoe daders te werk gaan vóór, tijdens en na het plegen van een misdrijf en bieden waardevolle inzichten in hun werkwijze. Het enige nadeel is dat ze er in allerlei soorten en maten zijn, waardoor het lastig is om scripts te vergelijken en patronen in verschillende vormen van criminaliteit te herkennen. Met haar onderzoek wil Madarie daar verandering in brengen, door een eenduidige methode te creëren.

Interviews met daders

Tijdens het congres raakt ze aan de praat met onderzoekers van het cybersecuritylab van de University of South Florida. Zij staan op het punt de volgende stap te zetten met hun project over hackers: online interviews met daders die websites hebben gehackt.

Madarie legt direct de link met haar eigen onderzoek. Ze heeft inmiddels een nieuw model opgesteld voor crime script analyse en is nu bezig om dit te testen. Hiervoor gebruikt ze data van de politie en van platforms waarop hackers informatie over delicten met elkaar uitwisselen. Maar wat nu als ze haar model ook kan testen door daders van online delicten zélf te interviewen? Zou ze niet mee kunnen doen met het project van de Amerikaanse onderzoekers? Zij zijn meteen te spreken over haar idee, en niet veel later zit Madarie in het vliegtuig richting Florida.

Een voorbeeld van web defacement

Advertentie op hackersplatform

De Amerikaanse onderzoekers van het cybersecuritylab hebben dan al een advertentie geplaatst op Zone-H, een bekend hackersplatform. Daar kunnen kwaadwillende hackers hun web defacement etaleren. ‘Dit kun je zien als virtuele graffiti’, legt Madarie uit. ‘Aanvallers delen op het platform door hen gehackte websites waarvan zij één of meerdere webpagina’s hebben vervangen voor webpagina’s die ze zelf hebben gemaakt. Die kunnen bestaan uit alleen tekst of een plaatje, of allebei. Door hun defacement te delen, kunnen ze hun reputatie binnen de hackersgemeenschap verhogen.’

In de advertentie is hackers gevraagd om – tegen een financiële vergoeding – mee te doen met onderzoek. Dat levert zo’n twintig interviewkandidaten op van over de hele wereld: van Turkije tot Vietnam en India.

De helft van hen opereert als hacktivist: activistische hackers. ‘Zij vallen sites aan om religieuze, politieke of ideologische redenen. Soms richten zij hun pijlen op websites van overheden, maar ook op, bijvoorbeeld, de lhbti+-gemeenschap, omdat ze daar tegen zijn’, vertelt Madarie.

Anderen, niet-hacktivisten, vallen websites aan om te laten zien dat er gaten in de beveiliging zitten, en organisaties zo aan te sporen hun digitale beveiliging te verbeteren. Daarnaast hebben sommigen volgens de onderzoeker ook financiële redenen. ‘Zij hacken organisaties en defacen niet alleen de website, maar stelen ook data uit bijbehorende databases. Die data, zoals klantgegevens, verkopen zij vervolgens door.’

Beslisgedrag

Dan is het moment daar: de interviews gaan van start. Allemaal vinden ze online plaats, via live chat. ‘Met het oog op veiligheid bleef zowel de identiteit van de hackers als die van ons grotendeels anoniem’, zegt Madarie.

Zelf richt ze zich tijdens de gesprekken vooral op beslisgedrag. Hoe kiezen de aanvallers hun doelwit? Welke stappen ondernemen ze als ze een website aanvallen? Welke tools en technieken gebruiken ze? En met welke risico’s en gevaren houden ze rekening? Door deze vragen te stellen, leert de onderzoeker welke factoren van invloed zijn op de beslissingen van cybercriminelen als ze een website aanvallen.

Kwetsbare websites

De beweegredenen van hackers om mee te werken aan de interviews lopen uiteen, denkt Madarie. ‘Voor hun deelname krijgen ze een financiële vergoeding met een waarde in dollars. In sommige landen is dat veel waard. Daarnaast vinden ze het ook leuk om over hun ervaringen te praten en te laten zien wat ze kunnen.’

Bang dat ze door haar onderzoek zonder doelwitten komen te zitten zijn de cybercriminelen volgens Madarie niet. ‘Er zijn helaas ontzettend veel websites die hun beveiliging niet op orde hebben. Aanvallers vertelden dat veel websites, zelfs nadat zij de beheerders ervan hebben gewezen op de kwetsbaarheid, geen updates doorvoeren.’

Dat haar onderzoek zich juist richt op het tegengaan van cybercriminaliteit, is voor de hackers ook geen reden om haar zand in de ogen te strooien. ‘Zij zitten in een ander land en voelen zich veilig. In theorie kunnen ze liegen, maar de verhalen uit de verschillende interviews komen grotendeels overeen. Bovendien spreken we ook met websitebeveiligers, om te vragen of zij de gebruikte stappen en methodes herkennen.’ Zo zet Madarie met haar werk een nieuwe stap in de aanpak van cybercriminaliteit. Dit najaar rondt ze haar onderzoek af.

Lectoraat Forensisch Onderzoek

Het onderzoek van Renushka Madarie valt onder het lectoraat Forensisch Onderzoek van de HvA. Dat richt zich op de ontwikkeling en het gebruik van nieuwe technologieën in opsporing, de overdracht van kennis uit onderzoek naar de strafrechtketen en een betere uitwisseling van informatie daarbinnen.