Hieronder deelt Joe Tidy vijf belangrijke inzichten uit zijn nieuwe boek: Ctrl + Alt + Chaos: hoe tienerhackers het internet kapen.
Tidy is de eerste cybercorrespondent van de BBC en een leidende stem op het gebied van cybercriminaliteit. Hij heeft verslag gedaan van grote mondiale cyberaanvallen en veel bekeken internationale documentaires geproduceerd, waaronder een spraakmakend onderzoek naar de meest gezochte cybercriminelen van Rusland.
Wat is het grote idee?
Tienerhackers geven stilletjes een nieuwe vorm aan cybercriminaliteit. Het zijn geen genieën in filmstijl, maar volhardend, sociaal verbonden en vaak verslaafd. Ze veroorzaken echte schade door datalekken en voeden een cyclus die tot steeds ernstiger aanvallen leidt.
1. Datalekken kunnen mensen echt schade toebrengen.
Datalekken – van een bedrijf tot uw sociale media-accounts – zijn iets waar we moeite mee hebben om de omvang ervan te meten. Iedereen wil het weten Moet ik me zorgen maken? Je zou kunnen denken dat je telefoonnummer, e-mailadres en echte adres waarschijnlijk al bekend zijn, dus misschien is het niet zo’n groot probleem. Maar of u zich zorgen moet maken over een datalek, is een heel moeilijke vraag om te beantwoorden. In sommige gevallen kunnen ze ernstig letsel en schade veroorzaken.
De ergste cyberaanval in de geschiedenis vond plaats op het Vastaamo Psychotherapiecentrum in Finland. Vastaamo was een grote en belangrijke organisatie met tientallen pop-upcentra voor geestelijke gezondheidszorg in het hele land. In 2018 vond hacker Julius Kivimäki zijn weg naar de servers van de Vastaamo Psychotherapy Center-keten en stal alle gegevens die hij kon vinden. Hij stal de gebruikelijke vormen van informatie – namen, adressen, telefoonnummers, burgerservicenummers – maar hij stal ook de patiëntenaantekeningen; Van 33.000 mensen werden op deze manier hun gegevens gestolen.
Ik kan geen slechtere dataset bedenken die in handen is van een criminele afperser dan wat ik mijn therapeut vertel. Vergeet niet dat de mensen die hierdoor getroffen werden al kwetsbaar waren. Ze kampten met psychische problemen. Sommigen van hen waren depressief of angstig toen Kivimäki op een avond binnensloop en al die gegevens stal. Daarmee probeerde hij Ville Tapio, CEO van Vastaamo, te chanteren voor 100.000 euro aan Bitcoin.
Toen de CEO weigerde te betalen, deed Kivimäki iets buitengewoons. Hij nam de gegevens en begon deze op het darknet te publiceren. Mensen in Finland begonnen zich zorgen te maken dat hun aantekeningen de volgende zouden kunnen zijn, en hij koos bewust voor bijzonder gelukzalige en dramatische therapieaantekeningen. Hij zocht naar dingen als seksfantasieën, ontrouw of iets anders dat het individu echt veel verdriet en problemen zou bezorgen. Vervolgens deed hij iets dat zelden voorkomt bij cybercriminaliteit: hij nam contact op met de slachtoffers. Hij stuurde ze e-mails met de mededeling: ‘Ik heb je aantekeningen. Betaal me, anders publiceer ik ze online.’ De impact op de getroffenen was enorm.
Sommige van zijn slachtoffers lijden nog steeds aan een posttraumatische stressstoornis. Ik sprak met een vrouw die het ontvangen van die e-mail omschreef als ‘psychologische verkrachting’. Haar aantekeningen bevatten informatie over haar huwelijk, problemen op het werk en het hartzeer van het opvoeden van twee gehandicapte kinderen. U kunt zich de schokgolf voorstellen die door Finland trok toen mensen deze e-mails ontvingen. Datalekken kunnen verwoestende gevolgen hebben voor de betrokken personen.
2. Hacken kan verslavend zijn.
Kivimäki was 27 jaar oud ten tijde van zijn Vastaamo-hack, maar hij voerde al sinds zijn tienerjaren cyberaanvallen uit. Wat we uit het verhaal van Kivimäki leren, is dat hacken verslavend is.
Veel hackers konden gewoon niet stoppen. Ze zouden hacken, gearresteerd worden en al hun apparaten worden afgenomen, maar daarna bleven ze gewoon hacken zodra ze konden. We zagen vooral dat tienerhackers zich niet lieten afschrikken door de dreigementen of activiteiten van de politie. Ze wilden niet stoppen. Ik heb geleerd dat als je zowel redelijk intelligent als redelijk technisch bent, de uitdaging van het inbreken in een organisatie verslavend en bedwelmend wordt.
Als je daar de aandacht bij optelt die je krijgt door erover op te scheppen op sociale media (wat veel van deze mensen doen), dan krijg je de endorfines van likes, retweets en volgers. Voor de groeiende, onderontwikkelde hersenen van tieners maakt dit het erg moeilijk om te stoppen. Hacken is een verslavende praktijk.
3. We ontkennen allemaal wat kinderhackers zijn.
Het verbaast me voortdurend dat we geschokt blijven door tienerhackers. Als samenleving onderschatten en onderschatten we ze voortdurend als een probleem. Je kunt dit zien in de jaren 2010, toen er een heropleving was van tiener-hackgroepen en een verschuiving naar een veel donkerdere kant van hacken.
De hackbendes van de jaren 80, 90 en begin jaren 2000 waren anders. Ze wilden Big Tech ontmaskeren omdat ze slechte code hadden en vonden het heerlijk om hen in verlegenheid te brengen. Er zat veel ego in, maar er was niet echt een griezelige cultuur. In de tiener-cybercriminaliteitsbendes die zich in de jaren 2010 vormden, zagen we daar de Kivimäki-types ontstaan.
De meeste cyberbeveiligingsexperts negeerden dit allemaal. Ze wilden praten over de grootste kwalen van cybernatiestaat-hackgroepen zoals Fancy Bear uit Rusland, Lazarus Group uit Noord-Korea en Volt Typhoon uit China. Niemand zal ooit toegeven dat hij gehackt is door gedrogeerde kinderen. Je krijgt dus een ontkenningssituatie waarin niemand erover wil praten.
Maar een onderzoeker, Allison Nixon, merkte dat er iets aan de hand is met deze tieners. Ze bedacht een term waarmee we erover konden praten: NPV’s of nieuwe aanhoudende bedreigingen. Dit is een behoorlijk slimme grap. Als u zich in de cyberwereld bevindt, kent u de term APT waar voor staat geavanceerde aanhoudende dreiging. Nixon zei dat ze niet ‘geavanceerd’ zijn omdat deze kinderen niet over de geavanceerde vaardigheden beschikken die we bij andere groepen zien, maar dat ze ‘volhardend’ zijn en een ‘dreiging’ vormen die serieus moet worden genomen.
4. Hacken is niet zoals in de films.
NPT’s zijn niet zo geavanceerd. Ze zijn niet geavanceerd. En de manier waarop mensen over hackers denken, vooral tienerhackers, is dat het deze meesterbreinen op het gebied van computercodering zijn die een hoodie aantrekken en alleen in hun donkere slaapkamers zitten. Dat is niet mijn ervaring en dat is ook niet wat mijn onderzoek mij vertelde. Cybercriminaliteit is een teamsport. Het gaat om mensen die vaak erg sociaal zijn en samenkomen op platforms als Discord en Telegram. Ze brengen allemaal hun eigen vaardigheden met zich mee – vaak heel basale zaken als social engineering.
5. De cyclus gaat verder.
De afgelopen jaren hebben we opnieuw een explosie van tienerhackergroepen gezien. Vooral in Groot-Brittannië is deze kwestie onder de aandacht gebracht en wordt er uitgebreid over gesproken.
Groot-Brittannië heeft een golf van cyberaanvallen tegen retailers gezien. Er was Marks & Spencer, een beroemde en al lang bestaande warenhuisketen. Toen was er Coöp. Toen was er Harrods. Deze aanvallen vonden plaats gedurende een paar weken in het voorjaar van 2025 en veroorzaakten enorme verstoringen en schade. Er ging bijvoorbeeld ongeveer £ 300 miljoen verloren bij Marks & Spencer. Ook het publiek kreeg een echte schok omdat de schappen in de winkels plotseling leeg waren nadat de bedrijven hun logistieke activiteiten niet konden voortzetten zonder werkende computers. Deze bedrijfscomputers waren volledig geïnfecteerd met ransomware of door het bedrijf offline gehaald als veiligheidsmaatregel.
Er vonden in deze zaak veel arrestaties van tieners plaats. Deze cyclus gaat door. Wat er nu gebeurt, is dat we hebben gezien dat sommige van deze NPT-groepen zich aansluiten bij goed georganiseerde, al lang bestaande Russischsprekende cybercriminaliteitsgroepen die ernstige aanvallen uitvoeren. Mijn voorspelling en zorg is dat we meer aanvallen zullen zien zoals die op Marks & Spencer. Tenzij we een manier vinden om kinderen weg te houden van dit duistere pad van cybercriminaliteit, zal dit niet verdwijnen.
Geniet van onze volledige bibliotheek met Book Bites – gelezen door de auteurs! – i Volgende Big Idea-app.
Dit artikel verscheen oorspronkelijk in Volgende grote ideeënclub tijdschrift en herdrukt met toestemming.
