De economie achter de handel in wachtwoorden: wie is geïnteresseerd in jouw gegevens en hoeveel zijn ze waard?

Door een lek op een marktplatform waar hackers gestolen data uitwisselen, zijn de bedrijfs- en privéwachtwoorden van meer dan 500.000 Belgen openbaar gemaakt. Op de lijst staan onder meer adressen van medewerkers van verschillende bekende bedrijven en instellingen waaronder de UGent, KU Leuven en de VRT.

Maar wat moeten we ons eigenlijk voorstellen bij zo'n marktplatform voor hackers, en wat gebeurt daar precies? Ethisch hacker Inti De Ceukelaire en Pieterjan Van Leemputten, technologiejournalist bij Data News, duiken in "Het kwartier", de dagelijkse podcast van VRT NWS, in de duistere wereld van de datahandel. 

Het verhaal begint bij de mensen die privégegevens verzamelen en verkopen. Dat kunnen hackers zijn die zelfstandig werken, maar ook mensen die deel uitmaken van georganiseerde bendes of zelfs opportunisten die toevallig een lijst van e-mailadressen of andere data in handen hebben gekregen.

"Er is geen uniforme manier waarop zij die gegevens bemachtigen", vertelt Van Leemputten. Hackers maken soms gebruik van interne tools of zwakke plekken in een computersysteem om binnen te raken, maar kunnen even goed phishingmails uitsturen waarin rechtstreeks een wachtwoord gevraagd wordt. "In elk bedrijf waarin data omgaan, kunnen die data ook gestolen worden", aldus Van Leemputten.

Met die gestolen data trekken de verkopers naar gespecialiseerde handelsplaatsen: dat kunnen fora zijn op het darkweb, maar ook op het reguliere internet zijn die te vinden. "Daar prijzen ze via anonieme accounts - zoals op elke marktplaats - hun waren aan", vertelt De Ceukelaire. "Ze verduidelijken bijvoorbeeld of de data die ze hebben komt uit militaire kringen of misschien zelfs de regering."

Om aan te tonen dat de data die verkocht worden écht zijn, wordt een voorbeeld of "sample" - zoals het in het vakjargon heet  - aangeboden. "Wie een lijst van 50.000 e-mailadressen heeft, zal bijvoorbeeld al 50 of 100 adressen gratis prijsgeven. Op die manier kunnen geïnteresseerde kopers verifiëren of de adressen echt zijn", verduidelijkt Van Leemputten.

"Hackers kunnen zelf aan de slag met de data die ze bemachtigd hebben, maar ook oplichters die de skills niet hebben om te hacken zijn geïnteresseerd in privégegevens", vertelt De Ceukelaire. "De aangekochte gegevens worden gebruikt om nóg meer gegevens te bemachtigen of geld af te troggelen van mensen."

"Wie over lijsten van e-mailadressen binnen een bepaald bedrijf beschikt, kan bijvoorbeeld via heel gerichte phishingcampagnes proberen toegang te krijgen tot dat bedrijf", vult Van Leemutten aan. "Wie heel handig is en diep kan graven binnen een bedrijf zou zich zelfs kunnen uitgeven voor de CEO en bijvoorbeeld een betaalopdracht naar de boekhouding kunnen sturen", haalt de Ceukelaire aan als voorbeeld.

Wie toegang heeft tot bepaalde systemen kan ook via ransomware mensen of bedrijven gaan afpersen. Op grote schaal of bij grote bedrijven kan dat enorm lucratief zijn, maar ook op kleine schaal gebeurt het regelmatig. "Een typisch voorbeeld is iemands Instagramprofiel hacken en een vergoeding vragen aan die persoon als die opnieuw toegang wil krijgen tot het profiel."

De hamvraag: voor welke bedragen worden al die gegevens verhandeld? Er zijn uiteraard geen officiële prijstabellen, maar over het algemeen geldt: hoe meer gegevens, hoe waardevoller. "De meeste oplichters willen gewoon veel hengels uitgooien en kijken welke vis er bijt."

De uitzondering bevestigt echter vaak de regel: De Ceukelaire en Van Leemputten lijsten enkele factoren op die de prijs flink kunnen opdrijven:

• Werk vs. privé: Bedrijfsmailadressen zijn meer waard dan persoonlijke adressen en ook de log-in gegevens van een CEO of IT-beheerder van een bedrijf zijn meer waard dan die van de receptionist, omdat die meer toegang hebben tot bepaalde systemen.
• Ouderdom: Nieuwe data zijn meer waard dan data die al een paar jaar circuleren, want in dat laatste geval kunnen gegevens achterhaald zijn of wachtwoorden al gewijzigd zijn. Vaak geldt ook een trapsysteem: nieuwe data wordt eerst duur verhandeld, daarna daalt de prijs en uiteindelijk wordt het als een “leuk extraatje” ergens aan toegevoegd.
• Encryptie: Vaak zijn gestolen data nog op een of andere manier nog versleuteld en dus niet onmiddellijk toegankelijk of bruikbaar. Hoe gemakkelijker de code te breken is, hoe waardevoller de lijst en hoe hoger de prijs.
• Exclusiviteit: Criminelen die willen vermijden dat andere criminelen zich gaan richten op dezelfde slachtoffers kunnen het alleenrecht kopen op aangeboden datasets. Uiteraard hangt daar een prijskaartje aan vast.
• Specifiek persoon: Soms zijn criminelen op zoek naar de data van een specifiek persoon. Dat kan een toppoliticus zijn, de CEO van een bedrijf, de directeur van een bank, ... De geïnteresseerde koper zal in dat geval bereid zijn om grof geld neer te tellen voor die gegevens.

Conclusie: een vaste prijs plakken op data is onmogelijk. Bepaalde datasets worden op internetfora voor de luttele prijs van 500 euro al te koop aangeboden, maar afhankelijk van wat de hacker in handen heeft, kan die prijs gemakkelijk oplopen tot tienduizenden euro's, of zelfs meer.