Hieronder deelt Joe Tidy vijf belangrijke inzichten uit zijn nieuwe boek: Ctrl + Alt + Chaos: hoe tienerhackers het internet kaapten.
Tidy was de eerste cybercorrespondent van de BBC en een leidende stem op het gebied van cybercriminaliteit. Hij heeft verslag gedaan van grote mondiale cyberaanvallen en veel bekeken internationale documentaires geproduceerd, waaronder een spraakmakend onderzoek naar de meest gezochte cybercriminelen van Rusland.
Wat is het grote idee?
Tienerhackers geven stilletjes een nieuwe vorm aan cybercriminaliteit. Het zijn geen filmgenieën, maar ze zijn volhardend, sociaal verbonden en vaak verslaafd. Ze veroorzaken echte schade door datalekken en voeden een cyclus die tot serieuzere aanvallen leidt.
1. Datalekken kunnen veel mensen pijn doen.
Datalekken – van uw bedrijf tot uw sociale media-accounts – zijn iets waarvan we de omvang moeilijk kunnen meten. Iedereen wil het weten, Moet ik me zorgen maken? U denkt misschien zeker dat uw telefoonnummer, e-mailadres en echte adres al bestaan, dus misschien is het geen probleem. Maar of u zich zorgen moet maken over datalekken is een zeer moeilijke vraag om te beantwoorden. In sommige gevallen kan dit ernstig letsel en schade veroorzaken.
De meest gewelddadige cyberaanval in de geschiedenis vond plaats in het Vastaamo Psychotherapiecentrum in Finland. Vastaamo is een grote en belangrijke organisatie met tientallen pop-upcentra voor geestelijke gezondheidszorg door het hele land. In 2018 vond hacker Julius Kivimäki zijn weg naar de netwerkservers van het Vastaamo Psychotherapiecentrum en stal alle gegevens die hij kon vinden. Hij stal de gebruikelijke informatie – namen, adressen, telefoonnummers, burgerservicenummers – maar hij stal ook patiëntendossiers; Van 33.000 mensen werden op deze manier hun gegevens gestolen.
Ik kan geen slechtere set gegevens bedenken die in handen zijn van een chanterende crimineel dan wat ik tegen mijn therapeut heb gezegd. Houd er rekening mee dat de gemeenschappen die hierdoor getroffen worden, al kwetsbaar zijn. Ze kampen met psychische problemen. Sommigen van hen ervoeren een depressie of angst toen Kivimäki op een avond binnensloop en al die gegevens stal. Daarmee probeerde hij Ville Tapio, CEO van Vastaamo, te chanteren voor 100.000 euro aan Bitcoin.
Toen de CEO weigerde te betalen, deed Kivimäki iets buitengewoons. Hij nam de gegevens en begon deze op het darknet te publiceren. Mensen in Finland begonnen zich zorgen te maken dat hun dossiers de volgende zouden zijn, en hij koos bewust voor zeer ordinaire en dramatische therapieverslagen. Hij is op zoek naar zaken als seksuele fantasieën, overspel of iets anders dat de persoon echt veel verdriet en problemen zou bezorgen. Vervolgens deed hij iets dat zelden voorkomt bij cybercriminaliteit: hij nam contact op met de slachtoffers. Hij stuurde ze een e-mail waarin stond: ‘Ik heb je aantekeningen. Betaal me, anders publiceer ik ze online.’ De impact op de getroffenen is enorm.
Sommige van zijn slachtoffers lijden nog steeds aan een posttraumatische stressstoornis. Ik sprak met een vrouw die het ontvangen van de e-mail omschreef als ‘psychologische verkrachting’. Haar aantekeningen bevatten informatie over haar huwelijk, werkproblemen en het verdriet van het opvoeden van twee gehandicapte kinderen. U kunt zich de schokgolf voorstellen die Finland trof toen mensen die e-mail ontvingen. Datalekken kunnen verwoestende gevolgen hebben voor de betrokken personen.
2. Hacken kan verslavend zijn.
Kivimäki was 27 jaar oud toen Vastaamo werd gehackt, maar hij voerde al sinds zijn tienerjaren cyberaanvallen uit. Wat we uit het verhaal van Kivimäki leren, is dat hacken verslavend is.
Veel hackers kunnen niet stoppen. Ze hacken, worden gearresteerd en al hun apparaten worden in beslag genomen, maar ze blijven zo snel mogelijk hacken. We zien met name dat tienerhackers zich niet laten ontmoedigen door bedreigingen of politieactiviteiten. Ze willen niet stoppen. Ik heb geleerd dat als je slim en technisch genoeg bent, de uitdaging van het inbreken in een organisatie verslavend en bedwelmend kan zijn.
Als je daar de aandacht aan toevoegt die je krijgt door erover op te scheppen op sociale media (wat veel van deze mensen doen), dan krijg je endorfines door likes, retweets en volgers. Voor opgroeiende en onontwikkelde tieners maakt dit het erg moeilijk om te stoppen. Hacken is een verslavende onderneming.
3. We ontkennen allemaal dat er kinderhackers bestaan.
Ik ben voortdurend verrast dat we verrast blijven door tienerhackers. Als samenleving onderschatten en bagatelliseren we deze zaken altijd als een probleem. Je kunt dit zien in de jaren 2010, toen het aantal hackgroepen onder tieners toenam en er een verschuiving naar de donkere kant van het hacken plaatsvond.
De hackbendes van de jaren 80, 90 en begin jaren 2000 waren anders. Ze willen allemaal Big Tech ontmaskeren omdat ze slechte code hebben en vinden het leuk om hen te vernederen. Daar zit veel ego in, maar niet veel kwade cultuur. In de jeugdige cybercriminaliteitsbendes die zich in de jaren 2010 hebben gevormd, zien we hier Kivimäki-types ontstaan.
De meeste cybersecurity-experts negeren dit allemaal. Ze willen praten over de verwoestende gevolgen van cyberspace: staatshackers als het Russische Fancy Bear, de Noord-Koreaanse Lazarus Group en de Chinese Volt Typhoon. Niemand wil toegeven dat ze zijn gehackt door de rijke kinderen. Je krijgt dus een ontkenningssituatie waarin niemand erover wil praten.
Maar een onderzoeker, Allison Nixon, merkte dat er iets aan de hand was met deze tiener. Hij bedacht een term waarmee we erover konden praten: NPT, of voortdurend nieuwe bedreigingen. Dit is een behoorlijk slimme grap. Als u zich bezighoudt met de cyberwereld, zult u zeker bekend zijn met de term APT, een afkorting geavanceerde aanhoudende dreiging. Nixon zei dat ze niet ‘geavanceerd’ zijn omdat deze kinderen niet over de geavanceerde vaardigheden beschikken die we in andere groepen zien, maar dat ze ‘volhardend’ zijn en een ‘bedreiging’ vormen die serieus moet worden genomen.
4. Hacken is niet zoals in de films.
NPT is niet zo geavanceerd. Ze kwamen niet vooruit. En de manier waarop mensen over hackers denken, vooral tienerhackers, is dat het meesterbreinen op het gebied van computercodering zijn die hoodies dragen en alleen in hun donkere slaapkamers zitten. Dat is niet mijn ervaring, en dat is ook niet wat uit mijn onderzoek naar voren komt. Cybercriminaliteit is een teamsport. Het gaat om mensen die vaak erg vriendelijk zijn en samenkomen op platforms als Discord en Telegram. Ze brengen allemaal hun eigen vaardigheden met zich mee – vaak basale zaken als social engineering.
5. Deze cyclus gaat door.
De afgelopen jaren hebben we opnieuw een explosie van tienerhackergroepen gezien. Vooral in Groot-Brittannië is deze kwestie op de voorgrond gekomen en veel mensen praten erover.
Groot-Brittannië heeft een golf van cyberaanvallen tegen retailers gezien. Er is Marks & Spencer, een bekende en al lang bestaande warenhuisketen. Dan zijn er coöperaties. Dan is er Harrods. Deze aanvallen vonden plaats gedurende meerdere weken in het voorjaar van 2025 en veroorzaakten enorme verstoringen en schade. Er ging bijvoorbeeld ongeveer 300 miljoen pond verloren bij Marks & Spencer. Ook het publiek was zeer verrast, want plotseling raakten de schappen in winkels leeg nadat bedrijven hun logistieke activiteiten niet meer konden voortzetten zonder functionerende computers. De computers van het bedrijf zaten vol met ransomware of werden uit voorzorg door het bedrijf afgesloten.
Er zijn veel jeugdarrestaties geweest in dit gebied. Deze cyclus gaat door. Wat er nu gebeurt, is dat we verschillende NPT-groepen hebben zien samensmelten met goed georganiseerde en al lang bestaande Russischtalige cybercriminaliteitsgroepen om ernstige aanvallen uit te voeren. Mijn voorspelling en zorg is dat we meer aanvallen zullen zien zoals die bij Marks & Spencer. Tenzij we manieren vinden om kinderen weg te leiden van de duistere paden van cybercriminaliteit, zal dit niet verdwijnen.
Geniet van onze complete bibliotheek met Book Bites – gelezen door de auteurs! – op Volgende Big Idea-app.
dit artikel verscheen aanvankelijk in de Volgende grote ideeënclub tijdschrift en herdrukt met toestemming.
