Cybercrime is zo enorm saai dat criminele hackers er uiteindelijk mee stoppen, zo stellen onderzoekers van de Universiteit van Cambridge. In de realiteit lijkt veel van het werk op dat van een helpdesk of systeembeheerder, uitermate boring dus.

Vroeger was hacken spannend. Flink klutsen met je eigen code en dan proberen een website plat te leggen, duizenden emails sturen naar je school – die je haatte – of het serieuze werk: inbreken in computers van (grote) bedrijven of de overheid en kijken of er interessante of verkoopbare informatie  was te vinden. En dan opgewonden je electronic pulse melden in anonieme chatgroepen of fora van websites waar hele clans geestverwanten hetzelfde deden.

Maar dat is de goede oude tijd. In een comment op de website security.nl vertelt een ex-hacker als volgt: “Eventjes m’n verleden bovenhalen: meer dan 5 jaar geleden verkocht ik ook een (hack) tool. Het was een goede tool en alles was gedocumenteerd, inclusief tutorials en zelfs een privé forum waar klanten met elkaar konden communiceren. Uiteindelijk was ik meer bezig met klanten te helpen dan met het programmeren van de tool. Er waren tijden dat ik het gewoon niet meer aankon en soms dagen lang niet antwoordde.”

In de cloud
Deze ontwikkeling is ook terug te zien in de branche. Diensten en producten verhuizen in snel toenemende mate naar de cloud. Software as a Service (SaaS) is voor veel gebruikers goedkoper en betrouwbaarder dan zelf apparaten voor je eigen bedrijf of thuis aanschaffen. Servers, databases, netwerken, applicaties, de duvel en zijn oude moer draait in de cloud, op andermans servers van gespecialiseerde providers die zich hierop toeleggen, bij Google, Microsoft of Amazon bijvoorbeeld.

En zo is er tegenwoordig ook Cybercrime as a Service, waardoor het niet langer nodig is voor criminelen om tools en kennis te delen. In plaats van de technische kennis op te doen voor het uitvoeren van DDoS-aanvallen of het verspreiden van malware, of de tools die hiervoor zijn vereist aan te schaffen, maken jongeren nu vaak gebruik van diensten die dergelijke aanvallen tegen betaling uitvoeren, stellen de onderzoekers van Cambridge in hun rapport (pdf).

De verschuiving naar een “diensteneconomie” heeft zowel gevolgen voor de aanbieders als afnemers. De aanbieders moeten de diensten in kwestie bouwen en onderhouden. Afnemers, die niet over de vereiste technische kennis en vaardigheden beschikken, kunnen gebruik van de diensten maken, waardoor cybercrime eenvoudig kan opschalen.

Serieuze problemen
Veel van de werkzaamheden die de huidige cybercrime-economie faciliteren zijn daardoor saai geworden. In plaats van eigen tools te ontwikkelen, of tools aan te bieden die anderen voor cybercrime gebruiken, bestaat een groot deel van de werkzaamheden nu uit klantensupport, onderhoud en systeembeheer. Volgens de onderzoekers zorgt dit voor serieuze problemen in de cybercrime communities die zichzelf nog als de “lone skilled hacker” zien.

Voor beheerders en helpdeskmedewerkers in deze gemeenschappen is het lastig om een “elite” status te verkrijgen of nieuwe technische vaardigheden op te doen waardoor ze een stap verder kunnen komen. Sommige individuen in deze gemeenschappen, die over de juiste motivatie en vaardigheden beschikken, zullen uiteindelijk wel hun eigen exploits en tools gaan ontwikkelen, maar voor de meesten leidt de saaiheid van de werkzaamheden tot een burnout. “Een exit uit de cybercrimegemeenschap vindt vaak minder plaats via het justitieel systeem en is eerder het geval van een burnout”, concluderen de onderzoekers.

Geen uitzondering
En: “De underground hackersubcultuur is geen uitzondering, meestal voorgesteld als gebaseerd op opwindende, technisch vaardige praktijken en spraakmakend afwijkend gedrag. De illegale economie die met deze praktijken gepaard gaat, is echter geïndustrialiseerd  zich ontwikkelend tot gedeelde infrastructuren die de verkoop van illegale diensten vergemakkelijken in plaats van lager technisch geschoold werk.” Dat laatste concentreert zich in onder meer India, want er moet immers rijst in de kom komen.

Een andere lezing van deze tendens is: door het saaie, risicovolle en smerige werk aan minder getalenteerde derden uit te besteden, blijven de grote bazen van de georganiseerde cybercriminaliteit buiten schot. De bazen laten met het oog op de schaalbaarheid, en voor het behoud van hun eigen anonimiteit, opofferbare ondergeschikten en wannabe’s met anonieme cryptocurrencies betalen voor de door hen gebruikte Cybercrime as a Service gereedschappen. Met andere woorden: er valt meer geld mee te verdienen met minder risico dat de geheime diensten je op het spoor komen.

Zelf proberen?  Er zijn kant en klare diensten beschikbaar in de cloud op het dark web: het enige dat je nodig hebt is een Tor Browser en een Onion server. Of waag een poging via Telegram-groepen of andere anonieme chat-programma’s als Signal. Kijk eens op websites die gereedschapjes aanbieden voor ‘ethische’ hackers, waarbij het de stilzwijgende afspraak is dat gebruikers er niets onethisch mee doen. Voor DDoS is er Guru99 en Hacking Tools vindt u hier.

Maar wees gewaarschuwd: het kan doodsaai zijn en zelfs tot een burnout leiden