Hieronder deelt Joe Tidy vijf belangrijke inzichten uit zijn nieuwe boek: Ctrl + Alt + Chaos: hoe tienerhackers het internet kapen.
Tidy is de eerste cybercorrespondent van de BBC en een leidende stem op het gebied van cybercriminaliteit. Hij heeft verslag gedaan van grote mondiale cyberaanvallen en veel bekeken internationale documentaires geproduceerd, waaronder een spraakmakend onderzoek naar de meest gezochte cybercrimineel van Rusland.
Wat is het grote idee?
Tienerhackers geven stilletjes een nieuwe vorm aan cybercriminaliteit. Het zijn geen genieën in filmstijl, maar volhardend, sociaal verbonden en vaak verslaafd. Ze veroorzaken echte schade door datalekken en voeden een cyclus die tot steeds ernstiger aanvallen leidt.
1. Datalekken kunnen mensen echt schade toebrengen.
Datalekken – van een bedrijf tot uw sociale media-accounts – zijn iets waarvan we de omvang moeilijk kunnen inschatten. Iedereen wil het weten, Moet ik me zorgen maken? U denkt misschien dat uw telefoonnummer, e-mailadres en echte adres zeker al bekend zijn, dus misschien is het niet zo’n groot probleem. Maar of u zich zorgen moet maken over een datalek, is een heel moeilijke vraag om te beantwoorden. In sommige gevallen kunnen ze ernstige schade veroorzaken.
De wreedste cyberaanval in de geschiedenis vond plaats op het Vastaamo Psychotherapiecentrum in Finland. Vastaamo was een grote en belangrijke organisatie met tientallen pop-upcentra voor geestelijke gezondheidszorg in het hele land. In 2018 vond hacker Julius Kivimäki een toegang tot de servers van de Vastaamo Psychotherapy Center-keten en stal alle gegevens die hij kon vinden. Hij stal de gebruikelijke soorten informatie – namen, adressen, telefoonnummers, burgerservicenummers – maar hij stal ook de patiëntenaantekeningen; Van 33.000 mensen werden op deze manier hun gegevens gestolen.
Ik kan geen slechtere dataset bedenken die in handen is van een criminele afperser dan wat ik mijn therapeut vertel. Houd er rekening mee dat de mensen die hierdoor getroffen werden al kwetsbaar waren. Ze kampten met psychische problemen. Sommigen van hen waren depressief of angstig toen Kivimäki op een avond binnensloop en al die gegevens stal. Daarmee probeerde hij Ville Tapio, de CEO van Vastaamo, af te persen voor 100.000 euro aan Bitcoin.
Toen de CEO weigerde te betalen, deed Kivimäki iets buitengewoons. Hij nam de gegevens en begon deze op het darknet te publiceren. Mensen in Finland begonnen zich zorgen te maken dat hun aantekeningen de volgende zouden kunnen zijn, en hij koos bewust voor bijzonder wellustige en dramatische therapieaantekeningen. Hij zocht naar zaken als seksfantasieën, overspel of iets anders dat de individuen echt veel hartzeer en problemen zou bezorgen. Vervolgens deed hij iets dat zelden voorkomt bij cybercriminaliteit: hij nam contact op met de slachtoffers. Hij stuurde ze e-mails met de tekst: “Ik heb je aantekeningen. Betaal me, anders publiceer ik ze online.” De impact op de getroffenen was enorm.
Sommige van zijn slachtoffers lijden nog steeds aan een posttraumatische stressstoornis. Ik sprak met een vrouw die het ontvangen van die e-mail omschreef als ‘psychologische verkrachting’. Haar aantekeningen bevatten informatie over haar huwelijk, problemen met haar werk en het liefdesverdriet van het opvoeden van twee gehandicapte kinderen. U kunt zich de schokgolf voorstellen die door Finland trok toen mensen deze e-mails ontvingen. Datalekken kunnen verwoestende gevolgen hebben voor de betrokken personen.
2. Hacken kan verslavend zijn.
Kivimäki was 27 jaar oud ten tijde van zijn Vastaamo-hack, maar hij voerde al sinds zijn tienerjaren cyberaanvallen uit. Wat we uit het verhaal van Kivimäki leren, is dat hacken verslavend is.
Veel hackers konden gewoon niet stoppen. Ze zouden hacken, gearresteerd worden en al hun apparaten worden afgenomen, maar dan zouden ze gewoon doorgaan met hacken zodra ze konden. We zagen vooral dat tienerhackers niet ontmoedigd konden worden door bedreigingen of activiteiten van de politie. Ze zouden niet stoppen. Ik heb geleerd dat als je zowel behoorlijk intelligent als behoorlijk technisch bent, de uitdaging van het inbreken in een organisatie verslavend en bedwelmend wordt.
Als je daar de aandacht aan toevoegt die je krijgt door erover op te scheppen op sociale media (wat veel van deze mensen doen), dan krijg je de endorfines van de likes, retweets en volgers. Voor de groeiende, onderontwikkelde hersenen van tieners maakt dit het erg moeilijk om te stoppen. Hacken is een verslavende bezigheid.
3. We ontkennen allemaal wat kinderhackers zijn.
Het verbaast me voortdurend dat we geschokt blijven over tienerhackers. Als samenleving onderschatten en onderschatten we ze voortdurend als een probleem. Je kunt dit zien in de jaren 2010, toen er een heropleving was van tiener-hackgroepen en een verschuiving naar een veel donkerdere kant van hacken.
De hackbendes van de jaren ’80, ’90 en begin jaren 2000 waren anders. Ze wilden Big Tech ontmaskeren omdat ze slechte code hadden en vonden het leuk om hen in verlegenheid te brengen. Er zat veel ego in, maar er was niet echt een sinistere cultuur. Bij de tiener-cybercriminaliteitsbendes die zich in de jaren 2010 vormden, zagen we daar de Kivimäki-types verschijnen.
De meeste cybersecurity-experts negeerden dit allemaal. Ze wilden praten over de grote nadelen van cyber-hackgroepen zoals Fancy Bear uit Rusland, Lazarus Group uit Noord-Korea en Volt Typhoon uit China. Niemand wil ooit toegeven dat ze zijn gehackt door beladen kinderen. Je krijgt dus een ontkenningssituatie waarin niemand erover wil praten.
Maar een onderzoeker, Allison Nixon, merkte dat er iets aan de hand is met deze tieners. Ze bedacht een term waarmee we erover konden praten: NPV’s, of nieuwe aanhoudende bedreigingen. Dit is een hele slimme grap. Als u zich in de cyberwereld bevindt, kent u de term APT, wat staat voor geavanceerde aanhoudende dreiging. Nixon zei dat ze niet “geavanceerd” zijn omdat deze kinderen niet over de geavanceerde vaardigheden beschikken die we in andere groepen zien, maar ze zijn “volhardend” en een “dreiging” die serieus moet worden genomen.
4. Hacken is niet zoals in de films.
NPT’s zijn niet zo geavanceerd. Ze zijn niet gevorderd. En de manier waarop mensen over hackers denken, vooral tienerhackers, is dat het deze meesterbreinen op het gebied van computercodering zijn die een hoodie aantrekken en alleen in hun donkere slaapkamers zitten. Dat is niet mijn ervaring, en dat is ook niet wat mijn onderzoek mij vertelde. Cybercriminaliteit is een teamsport. Het gaat om mensen die vaak heel sociaal zijn en samenkomen op platforms als Discord en Telegram. Ze brengen allemaal hun eigen vaardigheden met zich mee – vaak heel basale zaken als social engineering.
5. De cyclus is voortgezet.
De afgelopen jaren hebben we opnieuw een explosie van tiener-hackgroepen gezien. Vooral in Groot-Brittannië is dit probleem onder de aandacht gebracht en wordt er uitgebreid over gesproken.
Groot-Brittannië heeft een golf van cyberaanvallen tegen retailers gezien. Er was Marks & Spencer, een beroemde en al lang bestaande warenhuisketen. Toen was er de Coöperatie. Toen was er Harrods. Deze aanvallen vonden plaats gedurende een paar weken in het voorjaar van 2025 en veroorzaakten enorme verstoringen en schade. Bij Marks & Spencer ging bijvoorbeeld ongeveer 300 miljoen pond verloren. Het publiek kreeg ook een echte schok omdat de schappen in winkels plotseling leeg waren nadat de bedrijven hun logistieke activiteiten niet konden voortzetten zonder functionerende computers. Die bedrijfscomputers waren óf volledig gevuld met ransomware, óf uit voorzorg door het bedrijf offline gehaald.
Er vonden in deze zaak veel arrestaties van tieners plaats. Deze cyclus blijft doorgaan. Wat er nu gebeurt, is dat we hebben gezien dat sommige van deze NPT-groepen zich hebben aangesloten bij goed georganiseerde, al lang bestaande Russischsprekende cybercriminaliteitsgroepen die ernstige aanvallen uitvoeren. Mijn voorspelling en zorg is dat we meer aanvallen zullen zien zoals die op Marks & Spencer. Tenzij we een manier vinden om kinderen van dit duistere pad van cybercriminaliteit af te houden, zal dit niet verdwijnen.
Geniet van onze volledige bibliotheek met Book Bites – gelezen door de auteurs! – in de Volgende Big Idea-app.
Dit artikel verscheen oorspronkelijk in Volgende grote ideeënclub tijdschrift en is met toestemming herdrukt.
