Gestolen informatie die op internet te grabbel staat? Het is een gewoonte geworden in cyberspace. Maar wat doen hackers met die gestolen gegevens? Wie vraagt erom? “Het is een miljoenenbusiness op de digitale zwarte markt aan het worden”, zegt Thomas Holt, professor crimineel recht aan nieuwssite The Conversation. 

Overheden, gezondheidsorganisaties, bedrijven, noem maar op. Ze kregen de voorbije jaren allemaal te maken met cybercriminaliteit. Van gestolen vingerafdrukken tot rekeningafschriften. Niemand lijkt nog veilig in de digitale wereld. Zo verklaarde een hacker onlangs dat hij de wachtwoorden van 32 miljoen Twittergebruikers in zijn bezit had en zou verkopen aan al wie er interesse in had.

Onderzoek van onder meer Thomas Holt, professor crimineel recht aan de Michigan State University, geeft op de nieuwssite The Conversation aan dat hackers gestolen data meestal verkopen op de digitale zwarte markt. Bijvoorbeeld gestolen kredietkaarten: die zijn van goudwaarde voor criminelen die effectief bankrekeningen kunnen kraken. Maar kopers kunnen die gegevens ook gebruiken om losgeld te eisen van de gedupeerden of de gegevens te gebruiken om nog dieper in privé-zaken te neuzen.

Waanzinnige bedragen

Hoe dan ook, de digitale zwarte markt is moeilijk in kaart te brengen. Over hoeveel deals en gestolen informatie het gaat is niet duidelijk. Thomas Holt en zijn collega’s hebben toch geprobeerd om te bestuderen hoeveel geld er rondgaat in de digitale illegale markt.

“We hebben de feedback bestudeerd van transacties van kredietkaarten en vonden dat dataverkopers in 320 transacties tussen 1 en 2 miljoen dollar hebben verdiend. De datakopers op hun beurt verdienden door de gegevens verder te misbruiken tussen 1.7 miljoen en 3.4 miljoen dollar. En dat in 141 transacties”, verklaart Holt. Deze waanzinnig hoge bedragen geven aan dat de markt zeer in trek is en er duidelijk vraag en aanbod is voor gestolen gegevens.

Shoppen, shoppen, shoppen

De digitale zwarte markten blijken sterk te lijken op hun legale tegenhanger, zoals eBay, Amazon en sites om online te winkelen. Maar ze verschillen wel degelijk. Vooral hoe zichtbaar ze zijn voor het publiek en de manier waarop betalingen worden gecontroleerd en uitgevoerd. Veel illegale sites zijn open en kan je bezoeken met webbrowsers zoals Chrome en Firefox. Gewoon even surfen en je zou zomaar medische informatie van iemand anders kunnen kopen. Maar een groeiend probleem is the dark web, waar sites enkel toegankelijk zijn met speciale encryptiesoftware en toepassingen die de locatie van de gebruikers op die sites verbergt. Hoeveel er van deze dark sites bestaan, is nog onduidelijk.

Betaalmethoden

Hoe verloopt zo’n transactie tussen verkopers en kopers? Verkopers geven zoveel mogelijk informatie over de data: type, prijs, hoeveelheid,… Wil de koper de data aanschaffen, dan wordt een betaalmethode geselecteerd. Dat kan gaan van Bitcoin tot Western Union. De tijd vooraleer de datadeal rond is, varieert tussen een paar uren en een paar dagen.

In het zak gezet door de verkoper

Omdat het illegaal is, heeft de koper geen poot om op te staan indien de deal mislukt. Er zou bijvoorbeeld informatie kunnen ontbreken en dan is het logisch dat de FBI niet ingeschakeld kan worden. De koper is dus machteloos als het fout loopt. Maar dat is maar de halve waarheid, want er bestaat een simpele oplossing die we allemaal kennen: het ratingsysteem.

Zowel kopers als verkopers hebben een anonieme username en krijgen telkens een review en punten na een transactie. Hoe beter, hoe hogere punten. En zo kan je een reputatie opbouwen. Hoe slechter de reputatie, hoe minder geloofwaardigheid en hoe kleiner de kans dat nog iemand zaken met je wilt doen. Op basis van die feedback wordt de illegale zwarte markt transparanter.

Wat is het antwoord om de hackers aan te pakken?

Er is een manier om die zwarte markt kapot te maken, zonder de traditionele arrestaties en gerechtelijke methoden. Die bestaat erin om via computersystemen kopers en verkopers zowel positieve als negatieve feedback te geven. Zo weet niemand meer wie betrouwbaar is en wie niet, en lost de handel zichzelf op. Maar zover is het dus nog niet. Toekomstig onderzoek moet de aanpak verder specialiseren.