Op vrijdag 8 maart 2024 vond de Sioo Masterclass plaats met Prof. dr. Rutger Leukfeldt over: The human factor in cybercrime. In deze masterclass ging prof. dr. Rutger Leukfeldt in op wat wij, adviseurs en veranderaars, kunnen leren van cybercriminelen. Vanzelfsprekend voor ethisch verantwoorde toepassingen ten dienste van de maatschappij. Het onderzoek van Rutger draait om de ‘human factor in cybercrime’. Wie zijn daders, wat zijn hun werkwijzen? Wat zijn risicoprofielen van slachtoffers? En hoe kunnen we de aanpak van cybercrime het beste inrichten?
Marguerithe de Man (programmamanager Sioo) en Stephanie Ottenheijm (docent en leerbelegeider Sioo) schreven een verslag.
Op de dag van onze masterclass over cybercrime komt in het nieuws dat duizenden gestolen Nederlandse paspoorten bij ransomware-aanvallen zijn buitgemaakt. De complete identiteit van vele mensen staat hierdoor online te koop. En de slachtoffers zijn veelal onwetend terwijl ze wel met de gevolgen te maken zullen krijgen. Cybercrime is groeiende. Het heeft inmiddels fietsendiefstal van zijn jarenlange nummer-één-positie gestoten. Zeven procent van de particulieren is jaarlijks het directe slachtoffer van cybercrime en maar liefst twintig procent van de bedrijven.
Denk niet: dat gebeurt mij niet
“De vraag is dus niet meer of je ermee te maken krijgt, maar wanneer”, stelt Rutger Leukfeldt. Hoe verhoudt zich dat tot de jarenlange dalende cijfers van criminaliteit? Volgens Leukfeldt hebben de huidige misdaadcijfers alleen betrekking op ‘oude criminaliteit’. Cybercrime wordt daarin (nog) niet meegenomen. “Het gaat bij cybercrime om innovatie in het criminele businessmodel als gevolg van digitalisering. Daarin zien we twee vormen: radicale innovatie waarbij compleet nieuwe delicten ontstaan doordat IT gebruikt wordt om IT aan te vallen. Een voorbeeld hiervan zijn ddos-aanvallen. Deze delicten waren niet mogelijk in het pre digitale tijdperk. En (zogenaamde) ‘verbetering’ van traditionele delicten door deze te automatiseren. Denk hierbij aan fraude. Vroeger ging men van deur tot deur om mensen iets te ontfutselen, nu gaat dat geautomatiseerd met o.a. phishingmails.”
Wie zijn slachtoffers?
De meesten denken dat dit vooral oude dames met een blauwe kleurspoeling in hun permanent betreft. Maar onderzoek wijst uit dat hoe meer je online bent, spullen download en niet zo nauwkeurig bent met zaken als wachtwoorden of een virusscanner, hoe groter de kans dat je slachtoffer wordt. En dat zijn dan vaker juist de jongere gebruikers. In een grootschalig onderzoek naar online gedrag van mensen bleek dat 90% van de respondenten zwakke wachtwoorden gebruikt, 40% onveilige software downloadt en meer dan 30% persoonlijke informatie, zoals de volledige naam, geboortedatum en huisadres opgeeft. Om online veiligheid te vergroten en te zorgen dat medewerkers zich online veiliger gedragen werken we vaak aan bewustwording en het vergroten van kennis bij medewerkers op dit vlak in onze organisatie. Daarmee denken we het probleem op te lossen. Onderzoek wijst echter uit dat mensen die over meer kennis beschikken zich vaak overschatten, waardoor ze juist meer risico nemen. Meer kennis vergroot in dit geval de kans om slachtoffer te worden juist.
Cybercrime is meer dan geld kwijtraken
De impact van cybercrime is groot. De psychische gevolgen blijken ernstiger dan de gevolgen van een inbraak, omdat je niet weet of het ooit over zal zijn. Je gegevens blijven namelijk eindeloos online beschikbaar. Slachtoffers krijgen vaak verwijten te horen; hoe stom kan je zijn, hoe kan je daar nu intrappen etc. Leukfeldt waarschuwt om daar alert op te zijn. Ten eerste zijn de aanvallen zo veelvuldig en slinks dat iedereen er uiteindelijk een keer in kan trappen. Vooral als je het druk hebt en/of er sprake is van stress. Het is belangrijk dat als er iets misgaat, mensen dit meteen melden in de organisatie. Zodat je snel actie kunt nemen. Als mensen zich schamen en het niet melden, is de schade voor de organisatie vaak vele malen groter. Zorg dus vooral voor een cultuur waarin het veilig is te melden als je iets is overkomen.
Zijn cybercrimers andere daders dan vroeger?
Nee is daarop het antwoord, niet per se. Veel criminelen gaan gewoon mee met hun tijd en doen cybercrime erbij. Omdat het kan en makkelijk is. Je koopt de benodigdheden gewoon online. Op het dark web bijvoorbeeld, dat tot grote verassing van velen in de zaal gewoon eenvoudig toegankelijk blijkt. Maar ook op Instagram worden toolkits te koop aangeboden. Het komt maar zelden voor dat iemand alleen op een zolderkamertje werkt. Er zijn nog steeds meerdere competenties nodig en dat betekent dat de sociale netwerken en vertrouwen nog steeds een grote rol spelen. Veel van de aanvallen in Nederland gebeuren dan ook gewoon door Nederlandse bendes en dat maakt het ook weer een beetje lichter en makkelijker volgens Leukfeldt. Internationale figuren te pakken krijgen is niet altijd makkelijk, tenzij er sprake is van een gecoördineerde actie door opsporingsdiensten in meerdere landen. Maar hier in Nederland valt er wel wat te doen om het de cybercriminelen moeilijk of onmogelijk te maken hun activiteiten te ontplooien.
Wie worden daders?
In zijn onderzoek ‘Babysteps into cybercrime’ onderzoekt Leukfeldt hoe jongeren in dit circuit belanden. Deze ‘jonge gasten’, volgens Leukfeldt toch over het algemeen jongens, zijn vaak eerst zelf slachtoffer geweest. In hun zoektocht naar hoe ze het op konden lossen, leerden ze al veel over hoe het werkt. Gewoon via Google en YouTube. Als gamers ontwikkelden ze aanpassingen voor de games waarin ze actief waren of sluiproutes om vals te kunnen spelen. Dat maakte dat ze er steeds handiger in werden. Als ze dan als volgende stap in hun technologie-ontwikkeling actief worden op fora en daar laten zien wat ze kunnen, bouwen ze een reputatie op. Dan is er kans dat ze daar door rondsnuffelende criminele recruiters gevonden worden en langzaam maar zeker, via de route van complimenten, de wereld van de misdaad ingetrokken worden. Door op verzoek voor ze te programmeren.
En wat betekent dit nu allemaal voor organisaties?
Organisaties hebben op verschillende manieren te maken met cybercrime. Ten eerste kan elke organisatie slachtoffer worden van cybercrime. Tot nu toe vinden veel mensen in organisaties dat de afdeling ICT daar wat in te doen heeft. “Zij moeten dat regelen.” En ze regelen ook veel, maar het blijkt dat we allemaal een rol hierin hebben. Elke medewerker in de organisatie moet zich bewust zijn van online risico’s. Door bijvoorbeeld geen mail van onbetrouwbare afzenders te openen, voorzichtig te zijn bij online betalingen, geen gevoelige informatie te verstrekken en door het gebruik van sterke wachtwoorden. Maar ook door goed te bedenken welke tools je gebruikt voor je werk. Dit klinkt misschien als voor de hand liggend, maar de boodschap hier – om als organisatie te voorkomen slachtoffer te worden van cybercrime – is dus vooral ook: iedereen binnen een organisatie moet een steentje bijdragen aan de veiligheid.
De 25 technieken voor preventie zijn dus de moeite van het bestuderen waard.
Daarnaast moet je nadenken over wat te doen als het mis gaat. Wat is de impact op je werk en organisatie? Kun je door, of lig je maanden stil? Hoe heb je het geregeld? Leukfeldt geeft aan dat slechts 5% van de bedrijven een scenario of protocol voor cybercrime klaar heeft liggen. “Zoiets is niet ingewikkeld”, zegt hij: “Gewoon eens nadenken over wat er gebeurt als alle ICT uitvalt. Wat gebeurt er in je organisatie als we onze computers niet meer kunnen gebruiken?”
Als tweede kunnen organisaties ook ongewild en onbedoeld deel uitmaken van een cybercrime-netwerk. Bijvoorbeeld als medewerkers ‘geronseld’ zijn om intern verkeerde dingen te doen. Of nog indirecter: het voorbeeld dat Ruger Leukfeldt gaf waar online crime en ‘old school crime’ samen komen als in de Starbucks op een Centraal Station de bitcoins worden omgeruild in cash.
Als derde is het voor sommige organisaties interessant om na te denken over wat hun rol kan zijn in het voorkomen van cybercrime. Denk bijvoorbeeld aan het onderwijs. Mogelijk kan daar een pril crimineel pad, waar een leerling zich op begeeft, nog worden omgebogen. Leukfeldt ziet voor deze jonge doelgroep ook de grootste kans op succes om een mogelijke criminele carrière af te wenden.
Als we iets leren deze ochtend dan is dat, ondanks dat de kranten er vol van staan, dat cybercrime nog steeds een behoorlijk verweesd onderwerp is. Zelfs onder criminologen. Bij het Nederlands Studiecentrum voor Criminaliteit en Rechtshandhaving is pas kort een omslag merkbaar en wint het thema aan belang en interesse.
Technologie in breder perspectief
In organisaties wordt cybercrime vaak een thema van ICT gevonden. Zeker als het mis gaat. Onterecht vinden wij, en niet alleen als het om cybercrime gaat! Technologie maakt inmiddels zo’n groot onderdeel uit van ons dagelijkse werk en handelen, dat technologische ontwikkelingen en vraagstukken iedereen aangaat en verantwoordelijkheid vraagt van iedereen binnen de organisatie. Daarom ontwikkelen wij een nieuw Sioo-programma over technologie en hoe technologische ontwikkelingen in organisaties een thema van ons allemaal kan worden. Niet om technisch specialist te worden, maar om te onderzoeken welke rol jij er in hebt. Om er samen voor te kunnen zorgen dat we technologie inzetten om waarde toe te voegen aan mens en maatschappij.
Auteurs:
Marguerithe de Man, programmamanager Sioo
Stephanie Ottenheijm, docent en leerbelegeider Sioo
Over prof. dr. Rutger Leukfeldt:
Hij is senior onderzoeker bij het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) en bekleedt de bijzondere leerstoel Governing Cybercrime bij de Universiteit van Leiden. Daarnaast is Rutger directeur van het Centre of Expertise Cybersecurity van de Haagse Hogeschool. Het onderwijs en onderzoek van Rutger richt zich op de ‘human factor in cybercrime’ (Wie zijn daders, wat zijn hun werkwijzen? Wat zijn risicoprofielen van slachtoffers? En hoe kunnen we de aanpak van cybercrime het beste inrichten?). Rutger heeft meer dan 130 cybercrime publicaties op zijn naam staan (waaronder meer dan 70 peer reviewed publicaties, 6 boeken en tal van vakpublicaties en rapporten). Rutger is voorzitter van de Cybercrime Working Group van de European Society of Criminology (ESC) en een van de oprichters van de jaarlijkse Human Factors in Cybercrime Conference.
Op vrijdag 8 maart 2024 vond de Sioo Masterclass plaats met Prof. dr. Rutger Leukfeldt over: The human factor in cybercrime. In deze masterclass ging prof. dr. Rutger Leukfeldt in op wat wij, adviseurs en veranderaars, kunnen leren van cybercriminelen. Vanzelfsprekend voor ethisch verantwoorde toepassingen ten dienste van de maatschappij. Het onderzoek van Rutger draait om de ‘human factor in cybercrime’. Wie zijn daders, wat zijn hun werkwijzen? Wat zijn risicoprofielen van slachtoffers? En hoe kunnen we de aanpak van cybercrime het beste inrichten?
Marguerithe de Man (programmamanager Sioo) en Stephanie Ottenheijm (docent en leerbelegeider Sioo) schreven een verslag.
Op de dag van onze masterclass over cybercrime komt in het nieuws dat duizenden gestolen Nederlandse paspoorten bij ransomware-aanvallen zijn buitgemaakt. De complete identiteit van vele mensen staat hierdoor online te koop. En de slachtoffers zijn veelal onwetend terwijl ze wel met de gevolgen te maken zullen krijgen. Cybercrime is groeiende. Het heeft inmiddels fietsendiefstal van zijn jarenlange nummer-één-positie gestoten. Zeven procent van de particulieren is jaarlijks het directe slachtoffer van cybercrime en maar liefst twintig procent van de bedrijven.
Denk niet: dat gebeurt mij niet
“De vraag is dus niet meer of je ermee te maken krijgt, maar wanneer”, stelt Rutger Leukfeldt. Hoe verhoudt zich dat tot de jarenlange dalende cijfers van criminaliteit? Volgens Leukfeldt hebben de huidige misdaadcijfers alleen betrekking op ‘oude criminaliteit’. Cybercrime wordt daarin (nog) niet meegenomen. “Het gaat bij cybercrime om innovatie in het criminele businessmodel als gevolg van digitalisering. Daarin zien we twee vormen: radicale innovatie waarbij compleet nieuwe delicten ontstaan doordat IT gebruikt wordt om IT aan te vallen. Een voorbeeld hiervan zijn ddos-aanvallen. Deze delicten waren niet mogelijk in het pre digitale tijdperk. En (zogenaamde) ‘verbetering’ van traditionele delicten door deze te automatiseren. Denk hierbij aan fraude. Vroeger ging men van deur tot deur om mensen iets te ontfutselen, nu gaat dat geautomatiseerd met o.a. phishingmails.”
Wie zijn slachtoffers?
De meesten denken dat dit vooral oude dames met een blauwe kleurspoeling in hun permanent betreft. Maar onderzoek wijst uit dat hoe meer je online bent, spullen download en niet zo nauwkeurig bent met zaken als wachtwoorden of een virusscanner, hoe groter de kans dat je slachtoffer wordt. En dat zijn dan vaker juist de jongere gebruikers. In een grootschalig onderzoek naar online gedrag van mensen bleek dat 90% van de respondenten zwakke wachtwoorden gebruikt, 40% onveilige software downloadt en meer dan 30% persoonlijke informatie, zoals de volledige naam, geboortedatum en huisadres opgeeft. Om online veiligheid te vergroten en te zorgen dat medewerkers zich online veiliger gedragen werken we vaak aan bewustwording en het vergroten van kennis bij medewerkers op dit vlak in onze organisatie. Daarmee denken we het probleem op te lossen. Onderzoek wijst echter uit dat mensen die over meer kennis beschikken zich vaak overschatten, waardoor ze juist meer risico nemen. Meer kennis vergroot in dit geval de kans om slachtoffer te worden juist.
Cybercrime is meer dan geld kwijtraken
De impact van cybercrime is groot. De psychische gevolgen blijken ernstiger dan de gevolgen van een inbraak, omdat je niet weet of het ooit over zal zijn. Je gegevens blijven namelijk eindeloos online beschikbaar. Slachtoffers krijgen vaak verwijten te horen; hoe stom kan je zijn, hoe kan je daar nu intrappen etc. Leukfeldt waarschuwt om daar alert op te zijn. Ten eerste zijn de aanvallen zo veelvuldig en slinks dat iedereen er uiteindelijk een keer in kan trappen. Vooral als je het druk hebt en/of er sprake is van stress. Het is belangrijk dat als er iets misgaat, mensen dit meteen melden in de organisatie. Zodat je snel actie kunt nemen. Als mensen zich schamen en het niet melden, is de schade voor de organisatie vaak vele malen groter. Zorg dus vooral voor een cultuur waarin het veilig is te melden als je iets is overkomen.
Zijn cybercrimers andere daders dan vroeger?
Nee is daarop het antwoord, niet per se. Veel criminelen gaan gewoon mee met hun tijd en doen cybercrime erbij. Omdat het kan en makkelijk is. Je koopt de benodigdheden gewoon online. Op het dark web bijvoorbeeld, dat tot grote verassing van velen in de zaal gewoon eenvoudig toegankelijk blijkt. Maar ook op Instagram worden toolkits te koop aangeboden. Het komt maar zelden voor dat iemand alleen op een zolderkamertje werkt. Er zijn nog steeds meerdere competenties nodig en dat betekent dat de sociale netwerken en vertrouwen nog steeds een grote rol spelen. Veel van de aanvallen in Nederland gebeuren dan ook gewoon door Nederlandse bendes en dat maakt het ook weer een beetje lichter en makkelijker volgens Leukfeldt. Internationale figuren te pakken krijgen is niet altijd makkelijk, tenzij er sprake is van een gecoördineerde actie door opsporingsdiensten in meerdere landen. Maar hier in Nederland valt er wel wat te doen om het de cybercriminelen moeilijk of onmogelijk te maken hun activiteiten te ontplooien.
Wie worden daders?
In zijn onderzoek ‘Babysteps into cybercrime’ onderzoekt Leukfeldt hoe jongeren in dit circuit belanden. Deze ‘jonge gasten’, volgens Leukfeldt toch over het algemeen jongens, zijn vaak eerst zelf slachtoffer geweest. In hun zoektocht naar hoe ze het op konden lossen, leerden ze al veel over hoe het werkt. Gewoon via Google en YouTube. Als gamers ontwikkelden ze aanpassingen voor de games waarin ze actief waren of sluiproutes om vals te kunnen spelen. Dat maakte dat ze er steeds handiger in werden. Als ze dan als volgende stap in hun technologie-ontwikkeling actief worden op fora en daar laten zien wat ze kunnen, bouwen ze een reputatie op. Dan is er kans dat ze daar door rondsnuffelende criminele recruiters gevonden worden en langzaam maar zeker, via de route van complimenten, de wereld van de misdaad ingetrokken worden. Door op verzoek voor ze te programmeren.
En wat betekent dit nu allemaal voor organisaties?
Organisaties hebben op verschillende manieren te maken met cybercrime. Ten eerste kan elke organisatie slachtoffer worden van cybercrime. Tot nu toe vinden veel mensen in organisaties dat de afdeling ICT daar wat in te doen heeft. “Zij moeten dat regelen.” En ze regelen ook veel, maar het blijkt dat we allemaal een rol hierin hebben. Elke medewerker in de organisatie moet zich bewust zijn van online risico’s. Door bijvoorbeeld geen mail van onbetrouwbare afzenders te openen, voorzichtig te zijn bij online betalingen, geen gevoelige informatie te verstrekken en door het gebruik van sterke wachtwoorden. Maar ook door goed te bedenken welke tools je gebruikt voor je werk. Dit klinkt misschien als voor de hand liggend, maar de boodschap hier – om als organisatie te voorkomen slachtoffer te worden van cybercrime – is dus vooral ook: iedereen binnen een organisatie moet een steentje bijdragen aan de veiligheid.
De 25 technieken voor preventie zijn dus de moeite van het bestuderen waard.
Daarnaast moet je nadenken over wat te doen als het mis gaat. Wat is de impact op je werk en organisatie? Kun je door, of lig je maanden stil? Hoe heb je het geregeld? Leukfeldt geeft aan dat slechts 5% van de bedrijven een scenario of protocol voor cybercrime klaar heeft liggen. “Zoiets is niet ingewikkeld”, zegt hij: “Gewoon eens nadenken over wat er gebeurt als alle ICT uitvalt. Wat gebeurt er in je organisatie als we onze computers niet meer kunnen gebruiken?”
Als tweede kunnen organisaties ook ongewild en onbedoeld deel uitmaken van een cybercrime-netwerk. Bijvoorbeeld als medewerkers ‘geronseld’ zijn om intern verkeerde dingen te doen. Of nog indirecter: het voorbeeld dat Ruger Leukfeldt gaf waar online crime en ‘old school crime’ samen komen als in de Starbucks op een Centraal Station de bitcoins worden omgeruild in cash.
Als derde is het voor sommige organisaties interessant om na te denken over wat hun rol kan zijn in het voorkomen van cybercrime. Denk bijvoorbeeld aan het onderwijs. Mogelijk kan daar een pril crimineel pad, waar een leerling zich op begeeft, nog worden omgebogen. Leukfeldt ziet voor deze jonge doelgroep ook de grootste kans op succes om een mogelijke criminele carrière af te wenden.
Als we iets leren deze ochtend dan is dat, ondanks dat de kranten er vol van staan, dat cybercrime nog steeds een behoorlijk verweesd onderwerp is. Zelfs onder criminologen. Bij het Nederlands Studiecentrum voor Criminaliteit en Rechtshandhaving is pas kort een omslag merkbaar en wint het thema aan belang en interesse.
Technologie in breder perspectief
In organisaties wordt cybercrime vaak een thema van ICT gevonden. Zeker als het mis gaat. Onterecht vinden wij, en niet alleen als het om cybercrime gaat! Technologie maakt inmiddels zo’n groot onderdeel uit van ons dagelijkse werk en handelen, dat technologische ontwikkelingen en vraagstukken iedereen aangaat en verantwoordelijkheid vraagt van iedereen binnen de organisatie. Daarom ontwikkelen wij een nieuw Sioo-programma over technologie en hoe technologische ontwikkelingen in organisaties een thema van ons allemaal kan worden. Niet om technisch specialist te worden, maar om te onderzoeken welke rol jij er in hebt. Om er samen voor te kunnen zorgen dat we technologie inzetten om waarde toe te voegen aan mens en maatschappij.
Auteurs:
Marguerithe de Man, programmamanager Sioo
Stephanie Ottenheijm, docent en leerbelegeider Sioo
Over prof. dr. Rutger Leukfeldt:
Hij is senior onderzoeker bij het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) en bekleedt de bijzondere leerstoel Governing Cybercrime bij de Universiteit van Leiden. Daarnaast is Rutger directeur van het Centre of Expertise Cybersecurity van de Haagse Hogeschool. Het onderwijs en onderzoek van Rutger richt zich op de ‘human factor in cybercrime’ (Wie zijn daders, wat zijn hun werkwijzen? Wat zijn risicoprofielen van slachtoffers? En hoe kunnen we de aanpak van cybercrime het beste inrichten?). Rutger heeft meer dan 130 cybercrime publicaties op zijn naam staan (waaronder meer dan 70 peer reviewed publicaties, 6 boeken en tal van vakpublicaties en rapporten). Rutger is voorzitter van de Cybercrime Working Group van de European Society of Criminology (ESC) en een van de oprichters van de jaarlijkse Human Factors in Cybercrime Conference.