2.20 ‘The Initiators’
2. Porno: klassieke porno (shops, escort, film, raamprostitutie ), adultwebs, online sales
2.20.5 Gradaties qua professionaliteit
2.20.5 Gradaties qua professionaliteit
Uit het onderzoek komt naar voren dat de initiators zich sterk van elkaar onderscheiden qua professionaliteit. In het spamdossier T. bijvoorbeeld, was de initiator ook tevens de sponsor en de spammer (degene die de spam daadwerkelijk verstuurde). Nadat hij zijn 1,5 miljoen mails had verzonden kwam de performance van zijn host in problemen door de 50.000 terug ontvangen afwezigheidsmeldingen. Dit is een typisch voorbeeld van wat men een amateur kan noemen.
Drie gradaties in professionaliteit van initiators hebben we onderscheiden: pro (fulltime criminele phisher), gevorderde (de deeltijd functionele phisher) en amateur (de gelegenheidsphisher). De professional doet dit als broodwinning. Hij is fulltime crimineel zou men kunnen zeggen. Hij is uitermate goed bekend in de internetcriminaliteit en weet precies waar hij wat kan halen. Zowel wat betreft kennis als technologie. Juist om deze reden beperkt hij zich niet tot bijvoorbeeld spam of phishing. De kennis en techniek waarover hij kan beschikken, stelt tot meer in staat. Volgens reguliere economische principes doet hij aan productdiversificatie en is in veel meer illegaliteit betrokken dan spam of phishing, om het risico te spreiden maar vooral ook om meer geld te verdienen. De Pro heeft een grotere kans om afkomstig te zijn uit de ICT‐wereld. Hij beschikt zelf over de nodige technische kennis, zodat hij meerdere stappen in het phishingproces zelf kan uitvoeren. Om een phishingaanval uit te laten voeren weet hij welke personen in te schakelen en hoe die personen aan zich te binden, ter minimalisatie van de kans op uitlekken van zijn activiteiten. Het is niet onwaarschijnlijk dat de professional in enig land al een strafblad heeft met betrekking tot (internet)criminaliteit.
De gevorderde spammer kan afkomstig zijn uit elk van de onderscheiden vormen van instroom. Hij blijft relatief dicht bij zijn business: spam en/of relatief eenvoudige phishing. Zijn netwerk is daarop ook gericht, en bestaat uit familie‐ en vriendenrelaties. Hij is ook afhankelijk van dat netwerk omdat hij niet alle stappen van het proces zelf beheerst. Daarom durft hij ook niet verder te springen dan zijn polsstok lang is. Hij onthoudt zich van andere vormen van criminaliteit. Hij weet niet alle evolutionaire ontwikkelingen te volgen maar heeft daar vrede mee. Hij maakt gebruik van op het internet beschikbare codes en DIY‐kits. Zijn identiteit
weet hij maar beperkt af te schermen; daarvoor vertrouwt hij ook op de functionaliteiten in de kits. Hij heeft weinig domeinnamen op zijn naam staan, maakt gebruik van door anderen opgezette databestanden, en maakt gebruik van relatief eenvoudige manieren om de opbrengst van zijn activiteiten binnen te halen. Hij is al enige tijd in het wereldje actief, maar het is niet zijn hoofdactiviteit. Hij heeft daarnaast werk of studeert.
De amateur is iemand die weinig tot geen kennis van internet en computercriminaliteit heeft. Zijn betrokkenheid bij het proces komt bijvoorbeeld voort uit een netwerk, waarbij hij ingeschakeld wordt voor een ‘klusje’. Als er een stap uitgevoerd moet worden weet hij altijd wel een mannetje te vinden, maar hij zoekt die het liefst dichtbij huis. De amateur is een soort van opportunist: een man van kansen, die instapt vanwege het geld dat er te verdienen valt. Zo beschreven heeft hij weinig van een initiator. Hij staat er toch bij omdat hij zich uit opportunisme wel als een initiator gedraagt. Onnozele spam‐ en phishingaanvallen zullen het werk kunnen zijn van een dergelijke figuur. Ze hebben een klok horen luiden, worden aangetrokken door vermeende hoge opbrengsten en een even vermeend laag risico. Ze huren broertjes, neefjes en kameraden in voor de techniek en gaan vrij snel het web op. Hun voorbereidingstijd is kort, ze vertrouwen op de onoverzichtelijkheid van het web (of ze denken er gewoon niet over na) en zijn gehaast om het allemaal te zien werken. Verhullen van identiteit doen ze simpel. Ze maken allerlei fouten maar komen er mee weg omdat de schade veelal beperkt blijft. Wat achterblijft, is de sensatie.
2.20.6 De ‘Sponsor’ (producent phishingproces)
De sponsor is de persoon van wie de boodschap wordt verzonden door middel van de spamaanval (ook wel de spamvertizer genoemd). De sponsor is ook de betaler voor de aanval. In het geval van phishing zullen de sponsor en de initiator vaker dezelfde persoon zijn, omdat spam dan niet een doel op zich is, maar een middel om mensen naar een website te lokken voor bijvoorbeeld het verspreiden van malware. De sponsor zet het hele phishingproces in werking.
Binnen de sponsorrol, kan onderscheid gemaakt worden tussen amateurs en professionals. De amateursponsor bestaat uit kleine bedrijven die een duidelijk afgebakende doelgroep willen benaderen. Een voorbeeld is een leverancier van voetbalkleding die van alle voetbalclubs in de omgeving mailadressen op het WWW zoekt en die mensen of organisaties mailt vanaf zijn eigen mailadres of het mailadres van de zaak. Deze vorm van spam hoeft niet vervelend te zijn,
bijvoorbeeld omdat het onderwerp van het bericht aansluit bij de belevingswereld van de ontvanger. De amateur maakt (door tussenkomst van derden) vaak gebruik van een legitiem webadres en zijn eigen e‐mail. Spamberichten in deze categorie zijn meestal advertenties.
Professionele sponsoren pakken hun spamproces grootser en grondiger aan. Voorbeelden hiervan zijn de spamberichten voor medicijnen of met pornografische inhoud. De website of het product waar het bericht naar verwijst, zijn bijna nooit direct herleidbaar tot de spamsponsor. Om dat zo te houden, maken professionele sponsoren ook gebruik van mailservers in schimmige buitenlanden of van gehackte mailservers. Zo zijn zij voor de opsporing in landen waar spam inmiddels een misdrijf is, zeer moeilijk te vinden. Zeker als spam als instrument wordt gebruikt in een ander (cyber)crime proces, zal de spamsponsor proberen zijn identiteit zoveel mogelijk te verhullen, zowel door de afkomst van de spamberichten te versluieren, als door de locatie van de website te maskeren.
“Betrokkenheid als sponsor bij het phishingproces wordt in toenemende mate geïndiceerd door:
bulletproof hosten van domeinnamen;
het korte tijd actief zijn van aangevraagde domeinnamen (vermoeden van domain kiting); domeinnamen die onder een nickname naam staan geregistreerd; het IP‐adres waaronder is geregistreerd en dat niet blijkt te kloppen; namen die worden gehost door een hoster die vooral ook pillensites, juwelen‐ sites of pornosites beheert.”
Ook de registratie van niet op bestaande instellingen gelijkende vertrouwenwekkende namen kan verdenking oproepen. Zijn het namen die verwijzen naar medicijnen, drugs, juwelen etc. dan dringt het vermoeden van zelfstandige spam voor deze artikelen op. Door de opkomst van targeting in spam, zijn sites met een .nl domein interessanter geworden. Die zijn vertrouwenwekkender dan een .com domein en ze bevinden zich dichter op een mogelijke doelgroep (met een grotere trefkans als gevolg). Wordt naast de spam‐ elementen ook voldaan aan domain‐kiting en command‐communicatie via chatchannels (ICQ, Ventrilo, MSN, FistofEurope, etc.) dan lijkt dat te duiden op het naar zich toe halen van gegevens (identiteiten).
“Als iemand money transfers doet/ontvangt binnen een bepaalde bandbreedte qua bedrag, en van verschillende afzenders in verschillende landen, hij/zij chatchannels beluistert en er alleen aan deelneemt door het verzenden van korte codes
(command‐communicatie) dan duidt dat op het activeren van een gegevensstroom via het channel.”
Het product dat de professionele spamsponsor aanbiedt, hangt samen met diens achtergrond. Personen die in de porno‐industrie bezig waren voor de vlucht van de digitale snelweg in de jaren negentig, zoeken hun heil nu nog steeds in de porno, zij het in digitale vorm. Voor deze personen is het internet een geweldig medium geworden om hun producten onder de aandacht te brengen en te verhandelen. Zij zijn niet zozeer iets anders gaan doen, als wel dat hun wijze van distributie en ‘adverteren’ anders is geworden. Hetzelfde geldt voor medicijnenhandelaars en verstrekkers van kredieten en leningen.
“Een grote kans om als sponsor betrokken te zijn bij phishing activiteiten, maakt iemand die als entrepreneur bekend is vanuit de klassieke pornowereld en die meerdere domeinnamen (tientallen) heeft geregistreerd die niet direct porno‐ gerelateerd zijn; die bovendien gelijkenis vertonen met de namen van instellingen waarmee geen relatie bestaat, en waarvan de suffix van die domeinnamen (top level domein) duidt op een bulletproof hosting vriendelijke omgeving (Hongkong:hk, China: cn, Brazilië: br, Rusland: ru).”
Ook al maken sophisticated phishers geen gebruik meer van look alike domeinnamen, hun historische mutaties in de whois database daterend van vroegere minder geëvolueerde phishing technieken, kunnen nog steeds naar hen of hun aliassen verwijzen.
“Het registratiepatroon van domeinnamen door de jaren heen, is een graadmeter voor de ontwikkeling van klassieke naar meer sophisticated phishing.”
2.20.7 De ‘Spammer’ (regisseur phishingproces)
Het begrip spammer is ontleend aan de klassieke vorm van phishing. Maar ook in moderne op malware gebaseerde phishingvarianten komt de spammer nog steeds voor. In dat geval bijvoorbeeld om mensen naar een malware verspreidende site te lokken.
De spammer is diegene die de lok e‐mail naar potentiële slachtoffers stuurt. In sommige gevallen is dit ook degene die de e‐mail opstelt. Beide rollen kunnen vervuld worden door de phisher zelf. Als hij niet de beschikking heeft over een massmailing programma, kan hij dit aanschaffen via een scriptkiddy. Deze rol kan
ook vervuld worden door een marketingbureau. Een klein beginnend bureau dat heel veel verschillende diensten aanbiedt maakt meer kans betrokken te raken bij spam. Door de hoeveelheid aan activiteiten en klanten is een dergelijk bureau mogelijk minder transparant. In een meer amateuristische omgeving kan de spammer een scriptkiddy zijn, die met op fora verkrijgbare software spamberichten verstuurt.
“Op basis van de ontwikkeling die de porno‐industrie onder invloed van internet heeft doorgemaakt of sterker nog, de bijdrage van de porno‐industrie aan de ontwikkeling van het internet, wordt bredere betrokkenheid van porno‐ entrepreneurs in cybercrime vermoed.”
Met het in zwang raken van het internet, zagen veel marketeers de kansen van dit medium. Internet marketing bedrijven en initiatieven schoten als paddestoelen uit de grond. Deze bedrijven ontplooiden zeer diverse activiteiten, variërend van het ontwerpen van websites en reclamebanners, tot gedegen marktonderzoek en het uitzetten van massmailing campagnes. Net als de porno‐entrepreneur is de marketing wereld goed op de hoogte van technologische ontwkkelingen met betrekking tot het internet. Daarnaast hebben ze verstand van targeting, het aanbieden van producten aan bepaalde doelgroepen, en ervaring met het vinden en gebruiken van contactgegevens.
“Een grote kans om te zijn betrokken bij phishing of spam maken Nederlandse internet marketeers of direct mailers die een breed pakket aan legale diensten aanbieden, waaronder affiliate‐activiteiten23, en die een kleine bestaffing kennen, en meerdere naamwijzigingen, en/of meerdere verhuizingen, en/of statutenwijziging vlak voor verkoop, en/of eerder faillissement, en plotselinge winstverandering in het recente verleden (van laag naar hoog), en grote bandbreedte afnemen aan internetcapaciteit, en/of grote adressenbestanden onder hun beheer hebben, en/of grote hoeveelheden uitgaand mailverkeer kennen.”
Binnen de internetmarketing wereld is er nu een tweespalt aan het ontstaan. Enerzijds zijn er de grote marketeers die niet slechts op internetmarketing focussen, maar die voor klanten een totale marketingcampagne uitrollen. Dit zijn
23
Affiliate activiteiten staan voor een vorm van e‐commerce (in casus online marketing) waarbij de webwinkel (adverteerder of merchant) de affiliate (uitgever/webmaster) betaalt voor elke bezoeker of ‘lead of sale’ die is aangebracht via zijn/haar website(s) of zoekmachine campagne (www.csulb.edu/web/journals/jecr/issues/20014/paper4.pdf).
de grote vissen in de vijver. Deze bedrijven hebben een leidende positie in de markt. Daarna komt een grote groep van middelgrote tot kleine marketeers. Vooral de bedrijven die zich puur op internetmarketing richten en in het onderste segment van de markt opereren zijn gevoelig voor grijze of zwarte marketingpraktijken zoals spamming. Deze bedrijven hebben vaak een beperkt aantal werknemers, minder dan vijf, en doen vooral aan website ontwerp en direct mail, alhoewel ze een breed dienstenpakket beheersen. Deze bedrijven zullen door de concurrentie onder druk staan. Het verspreiden van een groot aantal massmailings tegen een dikke vergoeding zonder moeilijke vragen te stellen zal bij een deel van deze bedrijven zeker mogelijk zijn. Voor phishing zullen deze bedrijven niet vaak ingezet worden. Phishing is een duidelijker misdrijf dan spamming, omdat daarbij de schade zichtbaar is. Ook is de strafmaat voor phishing hoger.
Van deze kleine marketingbedrijven zal het gedrag in zekere zin atypisch zijn. Aangezien spamming geen alledaagse bezigheid dient te zijn van een dergelijk bedrijf, zal de betaling ook niet alledaags verlopen. Deze atypische betalingen zijn een indicatie voor spam gedrag. Bovendien zullen deze extra activiteiten toch op de afrekening moeten verschijnen. Dit kan zichtbaar zijn in de hoogte van bepaalde posten zoals het bedrijfsresultaat. Ook de bedrijfsvoering kan een aanwijzing zijn. Zijn er medewerkers die al antecedenten op het gebied van fraude hebben? Komen medewerkers op fora die bekend zijn vanwege hun ondergrondse internetactiviteiten? Verhuist het bedrijf veel of verandert het veel van naam? Een combinatie van deze factoren is al een indicatie dat er iets met het bedrijf aan de hand is. Als daar dan nog operationeel opvallende factoren bij komen zoals hoog niveau gebruikte bandbreedte, veel domeinregistraties per tijdseenheid en adresbestanden die overeenkomen met spamruns, dan wordt de verdenking van het misdrijf spam sterker.
Uit enkele van de Opta‐dossiers komt de gevoeligheid van affiliates naar voren voor illegale activiteiten. Op het internet circuleren daarvan vele voorbeelden (cookiestealing, banner replacement, pop ups). De verwachting is dat voor met name moeilijker draaiende bedrijven de stap van legaal naar illegaal een kleine is. Variërend van de verkoop van adressen tot en met het in opdracht van de sponsor volledig uitvoeren van de processtap 9. Misdrijven gepleegd door de gelegenheid die tijdens de wettige beroepsuitoefening wordt geboden, noemt men ‘occupational crime’ (Fagan & Freeman, 1999). De reguliere bedrijfsuitoefening wordt in dat geval een gelegenheidsstructuur voor het beoefenen van criminaliteit. Naar analogie van wat de Monitor Georganiseerde Criminaliteit van het WODC (WODC, 2007) aantrof binnen enkele van de 120 onderzochte recherchedossiers aangaande georganiseerde misdaad, worden de volgende
gelegenheidsveronderstellingen gedaan:
er zijn beroepsbeoefenaars die vanuit de legale marketing dienstverlening overstappen naar illegale;
er zijn mensen die legaal voor hun klanten werken en die op enig moment door die klanten worden gevraagd om ook illegale activiteiten te ondernemen, en die daarin toestemmen (al was het maar om de klant niet kwijt te raken); er zijn mensen die legaal voor klanten werken en de gegevens die ze in die
hoedanigheid onder zich hebben gebruiken voor illegale doeleinden zonder dat de klant daarvan op de hoogte is.
Vooral organisaties met een geringe interne controle (eenhoofdige directie, kleine omvang etc.) maken kans om te bezwijken voor de gelegenheid. Zij kunnen zich relatief onopgemerkt bedienen van illegale activiteiten. Hoe groter de organisatie, hoe groter de kans op ooggetuigen die uit de school klappen.
In de aangehaalde WODC monitor was opvallend dat bepaalde vormen van gelegenheidscriminaliteit een patroon kenden qua plaatsen, identieke omstandigheden en dezelfde knooppunten van informeel bankieren. Een verschijnsel dat lijkt te duiden op dezelfde dadergroepen of wisselende en roulerende daders die zich bedienen van dezelfde praktijken.
Het is de vraag of de overige door het WODC gesignaleerde principes van georganiseerde criminaliteit ook opgaan voor bijvoorbeeld o.a. phishing. Het belang van sociale relaties kan door het gebruik van internet wel eens wegvallen of zijn weggevallen. De sociale gelegenheidsstructuur24 die bepaalt wie op welk moment toegang kan krijgen tot winstgevende criminele activiteiten25 ziet er in het geval van cybercrime wellicht heel anders uit. Waar vanwege grote financiële risico’s vroeger vooral vertrouwen van groot belang was, zijn deze risico’s in het geval van phishing vele malen kleiner. De logistieke problemen rondom phishing zijn ook kleiner dan in relatie tot de georganiseerde misdaad rond mensenhandel of drugshandel. Daardoor heeft men in het algemeen minder mededaders nodig om het delict succesvol uit te kunnen voeren. Dankzij deze voordelen in relatie tot de relatief lage pakkans en de grote opbrengsten, is op basis van omkering van de door het WODC gesignaleerde principes, de kans aannemelijk dat de georganiseerde misdaad ook achter phishing activiteiten zit. 24 Sociale relaties die toegang geven tot winstgevende criminele mogelijkheden. Een combinatie van de benadering uit de gelegenheidstheorie (Clarke & Felson, 1993) met de sociale netwerktheorie. 25 In hun rapport presenteren de onderzoekers bevindingen van een deelonderzoek in het kader van de Monitor Georganiseerde Criminaliteit onder 979 verdachten van betrokkenheid bij 79 opsporingsonderzoeken ingeschreven bij het OM in de periode 1995‐1999.
2.21 ‘The Employees’
Onder de noemer employees zijn de rollen bij elkaar gebracht die voor de initiator de uitvoerende activiteiten van het spam‐/phishingproces voor hun rekening nemen en die zich daar ook terdege van bewust zijn. Omdat het rollen betreft, kunnen deze ook samenvallen met het zijn van initiator. De instroom van employees in de wereld van spam/phishing loopt deels parallel met die van de initiators.
2.21.1 De ‘Webdesigner’
Om een spoof website te ontwerpen, heeft de phisher een ontwerper nodig. Dit moet zeker iemand zijn met de nodige ervaring, omdat de website exact gelijkend moet zijn aan het origineel. Bovendien moeten eventuele links uitkomen bij de juiste verwijzingen op de officiële pagina van de instelling die het doelwit is van de phishing aanval. Als de phisher zelf erg bedreven is in het ontwikkelen van websites, kan hij deze rol vervullen. Zo niet, dan moet hij iemand werven die dit voor hem doet. Op fora en nieuwsgroepen kan het eenvoudig zijn hier iemand voor te vinden. Aangezien het hier vooral draait om aanzien en het laten zien van de hoogstandjes waartoe men in staat is, is het uitdagen van een naïeve bezoeker om een exacte kopie te maken van een website niet heel moeilijk, zeker niet als er een vergoeding tegenover staat. Voor de initiators die dit zelf niet willen of kunnen, geldt dat zij ieder contact met enige computeraffiniteit kunnen vragen voor dit fenomeen. In de regel zullen dit scriptkiddies zijn.
2.21.2 De ‘Scriptkiddy’
De naam kiddy slaat in dit geval echt op de leeftijd. Als ‘employee’, is een kiddy voor de phisher een makkelijke kennisbron voor het verkrijgen van diensten en programmatuur in het phishingproces. Een scriptkiddy is te karakteriseren als een (jonger) persoon die op zoek is naar een beetje avontuur. Ze hebben zeker vaardigheid en kennis met betrekking tot IT, maar zijn niet zo goed of origineel dat ze voor doorgewinterde hacker kunnen doorgaan. Om aanzien en status ter verwerven, gaan ze aan de slag met alle voorhanden zijnde malware. Hiermee creëren ze virussen (het I‐love‐you virus was een eenvoudig gegenereerd virus van een scriptkiddy), bouwen massmail programmatuur en dergelijke. De basis voor dergelijke programmatuur is op het internet te vinden in nieuwsgroepen, op fora en via chatboxen. Omdat scriptkiddies niet origineel genoeg zijn, blijft de schade