Hoe digitale trucs te vermijden

Het is moeilijk te zeggen wat sneller toeneemt: digitalisering of de criminaliteit die daarop inspeelt. Criminelen die op een digitale manier geld aftroggelen, hebben echter wel menselijke geldezels nodig. En hackers die Friese boeren terroriseren, zijn gebaat bij onwetende slachtoffers. Projecten door het land heen richten zich op wat telkens weer de zwakste schakel blijkt: de mens.

‘Breng me je pas of blijf blut.’ Naast die korte zin staan drie smileys met hun tong uit hun mond en dollartekens in plaats van ogen. De boodschap van dit bericht op sociale media is dat er makkelijk geld kan worden verdiend door even kort de pinpas uit te lenen. Het is misschien een vriend, familielid of kennis die het vraagt.

Driehonderd jongeren klikten en kwamen op een webpagina die uitlegde waarom ‘money muling’, het dienen als geldezel, een vorm van witwassen is. Het was een online campagne van Haarlem die achtduizend jongeren bereikte. Veertien andere Noord-Hollandse gemeenten gaan verder met het geldezelproject, in samenwerking met zorg- en veiligheidspartners, onder de vlag van de City Deal Lokale Weerbaarheid Cybercrime.

‘We focussen ons op geldezels die worden ingezet door cybercriminelen en online fraudeurs’, zegt regionaal projectleider cybercrime Lynn van Meijgaard van de gemeente Haarlem. De campagne richt zich op jongeren, omdat uit onderzoek al was gebleken dat vooral jonge mannen van 15 tot 23 jaar, uit wijken met een sociaaleconomische achterstand, gevoelig waren voor de boodschap van snel geld verdienen.

‘De hiërarchie is dat het criminele netwerk bovenaan staat, daaronder de ronselaars en onderaan de geldezels.’ Het geld dat een crimineel van een slachtoffer heeft weten af te troggelen, bijvoorbeeld met phishing, gaat naar de rekening van de geldezel. Die pint het en zo wordt het fysiek vervoerd. ‘Een online fraudeur of cybercrimineel wil niet traceerbaar zijn. Die moet ervoor zorgen dat het geld niet te herleiden is. Daar zijn de geldezels voor.’ Criminelen zouden het geld ook kunnen steken in bitcoins of tegoedkaarten, maar dat zijn mindere oplossingen.

‘Met geldezels hebben criminelen gelijk cash in handen en ze zijn relatief betrouwbaar.’ Het is de geldezel die wordt aangepakt. Van Meijgaard: ‘Daar zijn grote gevolgen aan verbonden, zoals het sluiten van de bankrekening of vermelding op een zwarte lijst. Wie op een zwarte lijst komt, krijgt moeilijk een hypotheek. Daarnaast mogen banken nu ook de NAW-gegevens van de geldezels geven aan fraudeslachtoffers.’

Schaamte

‘Het lijkt misschien heel leuk, even meewerken met de criminele wereld’, zegt burgemeester van Heemstede Astrid Nienhuis, ‘maar we wijzen de potentiële geldezels vooral op de risico’s.’ Nienhuis is bestuurlijk ambassadeur van het geldezelproject en is lid van de stuurgroep van de City Deal. De menselijke schakel, het creëren van bewustzijn, staat centraal in veel van de projecten die onder de paraplu van de City Deal vallen. In Breda is bijvoorbeeld een project met ambassadeurs in wijken voor mensen die niet digivaardig zijn. Een ander project gaat om een spel, HackShield, waarmee kinderen worden opgeleid tot cyberagenten.

Zij moeten de kennis dan overbrengen op hun (groot)ouders. ‘Het is begonnen in mijn eenheid bij Noord Holland, Samen Veilig, en inmiddels doen meer dan zeventig gemeenten mee’, legt Nienhuis enthousiast uit. En in Oost-Brabant vertellen slachtoffers hun verhaal over wat hen overkomen is, om het bewustzijn bij ouderen en laaggeletterden te vergroten. Het valt op dat er nogal wat schaamte is rondom digitale incidenten die mensen ervan weerhoudt verhalen te delen. ‘Mensen denken dat ze dom worden gevonden, zegt Nienhuis. ‘Terwijl we geen enkele schaamte voelen als onze fiets wordt gestolen of bij ons in wordt gebroken. Maar ik kan me voorstellen dat er ideeën zijn over de mate waarin je in staat moet zijn om niet in digitale trucs te trappen.’ Zulke verhalen niet delen is volgens Nienhuis een gemiste kans.

‘Er is een bepaalde drempel waar je overheen moet en daar willen we mensen bij helpen met behulp van storytelling. Als je er open over bent, kun je wat van anderen leren. Zo niet, dan kunnen we ook niets doen tegen de computercrimineel. Het is een klein clubje mensen dat ons hiermee belaagt, dus laten we vooral met een grote groep de verhalen delen.’

Wachtwoordgebruik

Hoewel het vaak genoeg voorkomt, is er ook bij agrariërs een gevoel van schaamte als ze het slachtoffer zijn van een ransomware-aanval. ‘Het is toch iets waar je geen antwoord op hebt’, zegt Sytse Zijlstra, docent informatietechnologie bij ROC Friese Poort. ‘Je wilt zo snel mogelijk verder en je wilt niet dat bekend wordt dat je hebt betaald. Gemeenten en onderwijs hebben een meldplicht, maar bij particuliere bedrijven is de schaamte groter.’

Boerenzoon Zijlstra ziet al sinds lange tijd dat de landbouw een van de meest innoverende sectoren is. ‘De nieuwste technieken worden er toegepast. Een slimme boer die vooruitstrevend is, heeft zo’n twintig, dertig systemen. Die genereren allemaal data. Ik zit zelf in de aardappelen en ik heb data over wat ik bemonster, over kruisingen, over de bloemetjes en de bijtjes – heel veel data. Voor kwaadwillenden kan het interessant zijn om dat in te zien.’

Zijlstra voert, samen met studenten die hij opleidt, ‘scans’ uit bij boerenbedrijven die de digitale kwetsbaarheid in beeld brengen. Hoeveel van de boeren die hij sprak zijn slachtoffer geworden van ransomware? ‘Ik heb zelf enkele tientallen scans uitgevoerd en ik vind het moeilijk om er een hard cijfer aan te verbinden, maar ik denk dat het bij een op de drie weleens is gebeurd. Betaald hebben ze overigens niet. De boeren die ik gesproken heb, hadden een back-up, dus die hebben de gegijzelde data uit het raam gegooid en zijn opnieuw begonnen.’

‘We vragen in de scans hoe het zit met bijvoorbeeld back-ups, updates, firewalls, toegang en wachtwoordgebruik. Het eerste wat me opvalt, is dat de boer niet anders is dan de gemiddelde ambtenaar: ze gebruiken vaak dezelfde wachtwoorden. Wat wel anders is, is dat een boer veel erfbetreders kent. Er komen veel onbekenden op het erf, onder wie vertegenwoordigers van bedrijven bij van wie ze geen klant zijn. Vaak hebben de boeren geen zicht op wie dat zijn of welke bedoelingen ze hebben. Met een jasje en een pasje kan iemand zich vrij gemakkelijk voordoen als iemand anders. Dat kan een financieel doel hebben, maar boeren zijn ook steeds vaker het doelwit van activisme.’ Net zoals testen van cyberbeveiliging bij gemeenten meestal uitwijzen, is fysieke toegang tot de locatie gemakkelijk te verkrijgen. Dat maakt digitaal binnendringen ook makkelijker.

‘Je hoeft maar ergens toegang te krijgen tot de wifi en vanaf daar krijg je vrij simpel toegang tot het netwerk, of kun je een wachtwoord kraken.’ Helaas hebben veel boeren geen streng wachtwoordbeleid en blijven ze het wachtwoord gebruiken dat de monteur instelde. Soms, als de installatiemonteurs telkens hetzelfde wachtwoord gebruikten, waren die ook voor de wifinetwerken van verschillende bedrijven hetzelfde.

Zorgplicht

Nienke Hoeksma, directeur van de MKB Cyber Campus, ziet ook de kwetsbaarheden. ‘Een pluimveehouder in Drenthe had zijn wachtwoorden op een geeltje geschreven. Wie dat heeft, kan zo de temperatuur in de stal regelen en ervoor zorgen dat de kippen aan het eind van de dag niet meer rondlopen. Ergens anders waren we bij een aantal boeren in dezelfde straat; die gebruikten telkens hetzelfde wachtwoord. Toen we bij de derde boer aankwamen, kon ik vertellen wat het wachtwoord was van de wifi.’

Hoogste tijd voor wat bewustzijn. Als onderdeel van de City Deal wil Leeuwarden, in samenwerking met regionale onderwijsinstellingen als ROC en de MKB Cyber Campus, de weerbaarheid van de Friese agrarische sector verhogen. De scans zijn er onderdeel van.

Een belangrijke, wederom menselijke, schakel in de keten is de leverancier. Hoeksma: ‘Een melkrobot is gekoppeld aan het netwerk van de boer, de apparatuur komt van de leverancier. Er worden op de apparatuur echter geen updates gedaan. Leveranciers hebben de digitale weerbaarheid niet tussen de oren, maar ze hebben een belangrijke zorgplicht. De voorbeelden van de pluimveehouder en de wachtwoorden die ik zojuist noemde, zijn gevallen waarbij leveranciers moeten helpen. We proberen elke schakel in de keten ervan bewust te maken dat ze een belangrijke rol hebben.’

De belangen zijn groot. ‘Het gaat hier om de grondleveranciers van voedsel en ze vormen een belangrijk onderdeel van de economie. Dat onderdeel is nu heel kwetsbaar.’ Nederland hoort bovendien bij de wereldtop. ‘Het is onvoorstelbaar wat er aan data wordt bijgehouden. Elke koe heeft al een chip en er wordt bijgehouden welk gras die graast, welk voer die krijgt, hoeveel die drinkt, enzovoort. De snelheid van digitalisering is enorm, zeker met 5G, terwijl de bewustwording op het gebied van weerbaarheid heel laag is.’

Wat het bovendien lastig maakt voor boeren is dat privé en zakelijk door elkaar heenlopen, waardoor een boer ook in zijn privéleven kwetsbaar is. ‘Een van de belangrijkste adviezen is daarom om zakelijke en privénetwerken te scheiden.’ ‘De urgentie wordt gedeeld, maar de snelheid is een tweede. Er zijn er altijd die denken: we gaan zeker maatregelen nemen tegen de kwetsbaarheden, maar ik heb het nu even heel druk dus volgende week. We vinden allemaal dat we het moeten doen, maar we stellen het nog even uit.’ Het is volgens Hoeksma belangrijk dat gemeenten kijken naar wat er op hun terrein gebeurt.

‘Binnen de gemeente Leeuwarden zijn veel agrarisch ondernemers, dus moet de gemeente kijken hoe dat is geregeld. De ervaringen die ze daarmee opdoen, kunnen andere gemeenten gebruiken. Dat is het achterliggende idee van de aanpak: niet opnieuw het wiel uitvinden. De scan is ontwikkeld, die ga je dan toch gebruiken?’ Op 14 oktober worden de resultaten van de projecten gepresenteerd en beoordeeld op het City Deal Cybercrime-congres. Waarmee gaat men verder en waarvoor moet een andere oplossing komen?

Groei vraag

Wat betreft de geldezels weet Van Meijgaard dat het probleem blijft groeien. ‘Ik hoop op een gegeven moment een daling te zien ten opzichte van andere regio’s, pas dan weet je of zo’n aanpak in de regio werkt.’ Maar het zal in absolute cijfers niet afnemen. ‘Zo lang digitale criminaliteit blijft stijgen, en dat doet het, zal de vraag naar geldezels meegroeien.’