Een lege bankrekening, afschriften voor abonnementen ontvangen terwijl je die nooit hebt afgesloten of het salaris van een medewerker op een verkeerd rekeningnummer storten: het kan je allemaal overkomen als jouw (bedrijfs)gegevens te koop zijn aangeboden op Genesis Market. Dat is de digitale markt in ‘online fingerprints’ waar gebruikers vanaf één dollar gegevens konden kopen, zoals inloggegevens van een Netflix-account of van je krantenabbonement. Maar ook van bijvoorbeeld je DigiD en je bankrekeningen. Niet alleen particulieren kunnen slachtoffer worden, want ook gegevens van bedrijfsaccounts werden aangeboden op Genesis Market. En dit kan grote impact hebben op jou als ondernemer en je bedrijfsvoering.
Ransomware
“Er zijn duizenden mensen slachtoffer van Genesis Market”, vertelt Ruben van Well. Ruben is teamleider van het Rotterdamse Cybercrimeteam en stuurde het team van Nederlandse politie aan dat samenwerkte met onder meer de FBI en Europol om Genesis Market offline te krijgen. “Onder de gegevens die op de markt zijn aangeboden bevinden zich ook zakelijke accounts. We hebben nog geen analyse gedraaid op het aantal ondernemers en bedrijven dat slachtoffer is geworden, maar dat ze er zijn is zeker.” Maar wat kan zo’n koper van de accountsgegevens daar mee? De mogelijkheden blijken erg divers, vertelt Ruben. “De koper van de gegevens kan alles volgen wat de gebruiker op het account doet. Bijvoorbeeld alle e-mails lezen en zelf ook e-mails versturen vanaf dat adres. Zo kan diegene zich voordoen als de medewerker, de HR-afdeling mailen en schrijven dat hij/zij een nieuwe rekeningnummer heeft waar voortaan het salaris naar overgemaakt mag worden. Maar ook is het mogelijk om een ransomware-aanval uit te voeren waarbij de koper van de gegevens bestanden gijzelt op de computer van het slachtoffer en losgeld eist. Als dit belangrijke zakelijke bestanden zijn, heeft dit dus direct impact op jou als ondernemer.”
Slachtofferschap
De Nederlandse politie had een belangrijke rol in operatie Cookie Monster en zette zich vooral in op het gebied van preventie. Eén van de instrumenten die ze daarvoor heeft ontwikkeld is de website checkjehack. Op deze website kan iedereen zijn/haar emailadres invoeren. Vervolgens wordt er gecontroleerd of dat e-mailadres is aangeboden op Genesis Market. Wanneer blijkt dat een zakelijk e-mailadres van jouw onderneming is gevonden op Genesis Market, is het tijd voor actie. “Het is ten eerste goed om te weten dat alleen omdat je gegevens op Genesis Market zijn aangeboden je geen slachtofferschap hoeft te ondervinden. Er zijn gegevens die nooit zijn gekocht of die na aankoop nooit zijn gebruikt door de koper”, vertelt Ruben. “Maar het is wel goed om te weten of jouw gegevens aangeboden werden. Dan moet je namelijk wel actie ondernemen.”
Wat is Operatie Cookie Monster?
Samen met onder meer de FBI en Europol doet de Nederlandse politie vanaf 2020 onderzoek naar Genesis Market. Op 4 april 2023 is deze website, waarop werd gehandeld in digitale ‘fingerprints’, na lang onderzoek naar onder meer de beheerders en gebruikers offline gehaald onder de naam ‘Operatie Cookie Monster’. Wereldwijd werden op dezelfde dag honderden doorzoekingen gedaan bij verdachten. Er zijn tientallen aanhoudingen verricht, waaronder 17 in Nederland. De opgepakte personen zijn allemaal gebruikers van Genesis Market. Dit zijn dus personen die kant en klare pakketjes gegevens, zoals inloggegevens, kochten. Afhankelijk van wat deze verdachten met de informatie hebben gedaan, hangt hen een straf boven het hoofd: van een geldboete tot gevangenisstraf. Naar schatting zijn er gegevens van zo’n 50.000 Nederlanders verkocht via Genesis Market. Wereldwijd zijn dit er vermoedelijk meer dan twee miljoen.
Zoeken naar doorstart
Genesis Market is offline en er zijn wereldwijd veel verdachten opgepakt. Maar helaas betekent dit niet dat de andere beheerders en gebruikers van de site stoppen. “Zij zoeken ongetwijfeld naar alternatieven”, vertelt Ruben. “De beheerders zullen wellicht aan het kijken zijn of ze een doorstart kunnen maken. De kopers van gegevens kunnen gebruik maken van een andere markt, al dan niet op het darkweb.” Toch zullen er veel kopers afhaken als ze het darkweb op moeten om gegevens te bemachtigen. “Genesis Market was bijzonder omdat het écht gebruiksvriendelijk was. Om het darkweb op te komen en daar de weg te kennen is al meer kennis nodig, en dus zullen er minder potentiële kopers zijn.”
Hoe werkte Genesis Market?
De admins, oftewel beheerders van Genesis Market, boden gegevens van particulieren aan. Dit varieerde van een account voor bijvoorbeeld Domino’s of Zalando tot je inloggegevens van je bank of je DigiD. Afhankelijk van de hoeveelheid financiële gegevens, zoals dus bijvoorbeeld bankgegevens, betaalden gebruikers van Genesis Market voor een pakketje gegevens. “Dat varieerde van 1 tot 200 dollar”, vertelt Ruben. Genesis Market was voor een illegale handelsplaats opmerkelijk gebruiksvriendelijk. Zo konden gebruikers filteren in wat voor gegevens ze interesse hadden, uit welk land de persoonsgegevens afkomstig moesten zijn, etc. Gebruikers van de website hoefden geen cybercriminelen te zijn want ze ontvingen een kant en klaar pakket met gegevens die ze meteen konden gebruiken. Genesis Market was voor nog een andere reden bijzonder: “Als je gegevens eenmaal op Genesis Market staan, heeft het veranderen van je wachtwoorden geen zin meer”, vertelt Ruben. “Je nieuwe wachtwoorden en gebruikersnamen worden dan ook geüpdatet in het gegevenspakket dat wordt aangeboden op de markt.” Dit nieuwe fenomeen maakte het voor slachtoffers enorm lastig om het misbruik van hun gegevens te stoppen, want alle aanpassingen aan hun account konden de gebruikers van Genesis Market meteen zien.
Digitale hygiëne
Wat jou als ondernemer extra kwetsbaar maakt, zeker als je veel medewerkers hebt, is het aantal accounts en apparaten die te linken zijn met jou. Denk hierbij niet alleen aan laptops en e-mailaccounts, maar ook aan bijvoorbeeld printers, digiborden of zelfs robotstofzuigers die verbonden zijn met je netwerk. “We zijn steeds meer vergroeid met onze apparaten, maar als we niet aan digitale hygiëne doen is dat een groot gevaar”, legt Ruben uit. “Hou dus bij welke apparaten zijn verbonden met je netwerk. Dat zijn namelijk allemaal potentiële ingangen voor cybercriminelen.” Die ingangen worden verschaft door malware. Malware, een samentrekking van het Engelse ‘Malicious Software’ oftewel kwaadaardige software, krijgt toegang tot een apparaat als de gebruiker bijvoorbeeld een bestand download waarin deze malware verstopt zit, of een geïnfecteerd linkje aanklikt. Maar ook kan er malware op je device worden geïnstalleerd als de software op het apparaat niet is geüpdatet.
Rol van Nederlandse politie in Operatie Cookiemonster
De FBI kwam in 2019 een illegale online handelsplaats op het spoor: Genesis Market. Al snel bleek dat er wereldwijd veel gebruik gemaakt werd van Genesis Market en dat het ging om miljoenen gestolen gegevens. Daarom nam de FBI contact op met zestien andere landen. In die landen focusten politiecorpsen zich op mogelijke admins, gebruikers en slachtoffers van Genesis Market. De Nederlandse politie had naast deze taak nog een extra opdracht, namelijk het inzetten op preventie.
“Het is ook de taak van ons team om meer slachtoffers te voorkomen. Hiervoor hebben wij de website checkjehack.nl en in het Engels checkyourhack.com opgezet. Op deze website kan iedereen controleren of zijn of haar e-mailadres aangeboden is op Genesis Market. Daarnaast hebben wij de privaat-publieke samenwerking opgezocht met onder meer Microsoft en Computest. Samen hebben we ervoor gezorgd dat de malware door elke virsusscanner wordt gedetecteerd.”
Contact met slachtoffers
Personen die slachtofferschap ervaren van Genesis Market, dus eigenaren van gegevens die zijn verhandeld en wiens gegevens ook daadwerkelijk zijn misbruikt, hebben na aangifte contact met de politie. Ook Ruben heeft gesprekken gevoerd met slachtoffers, van wie soms al hun spaargeld is gestolen. “De impact op slachtoffers is enorm”, weet Ruben. “Er gebeurde van alles met hun gegevens, ze zagen geld van hun rekening verdwijnen en zelfs het aanpassen van wachtwoorden had geen zin. Dat voelt dan zo machteloos.” In onze podcast (te beluisteren op SoundCloud) vertelt Ruben meer over de impact van cybercriminaliteit op slachtoffers.
Een van de taken van de politie is om deze slachtoffers perspectief te bieden. In de mini-documentaire die de Nederlandse Politie heeft gemaakt over Genesis Market, komt een slachtoffer aan het woord: