Digital detective Gina Doekhie studeerde AI en Forensic Science aan de VU en UvA. Ze valt op door haar succesvolle aanpak van cybercriminaliteit. Vroeger bij Fox-IT en nu bij de politie. Als Doekhie achter je aan zit, moet het zweet je uitbreken als crimineel. Ze snuffelt net zolang aan telefoons, laptops en harde schijven tot ze sporen vindt die criminelen per ongeluk achterlieten. Bingo! De crimineel heeft zijn identiteit weggeven. Noem het een passie.
Onlangs op ict-vakbeurs TBX gaf Gina Doekhie (34) een presentatie over haar werk als digital detective en forensisch rechercheur. Met bijna tien jaar praktijkervaring heeft ze een helder zicht op cybercrime anno 2021. Lang verhaal kort? Bedrijven moeten hun verantwoordelijkheid nemen richting medewerkers en klanten. Hoe? Door datalekken te voorkomen en privacy te waarborgen.
Ceo-fraude
Wat zijn de belangrijkste ontwikkelingen binnen de cybercrime en georganiseerde misdaad?
‘Ransomware is by far de grootste dreiging. Daar is tegenwoordig veel aandacht voor dus ik denk dat mensen daar steeds meer bewust van zijn. Ook ceo-fraude komt veel voor. Een crimineel doet zich voor als een hoge manager en mailt een financieel medewerker van een organisatie over het betalen van openstaande facturen. Bioscoopketen Pathé was in 2018 slachtoffer van ceo-fraude. De criminelen werken meestal internationaal en zijn goed georganiseerd, met specialisten in iedere stap van het proces. Ongelofelijk hoeveel middelen zij bezitten. Ik kom complete hr-afdelingen tegen, gespecialiseerd in het ronselen van geldezels.’
Geldezels?
‘Bij ceo-fraude gaat de crimineel natuurlijk niet zijn eigen bankrekeningnummer opgeven om het geld op gestort te krijgen. Geldezels stellen hun bankrekening beschikbaar voor overboeken of witwassen. Ze worden vaak gevonden via social media. Of op straat. Dat wordt steeds professioneler aangepakt. De geldezels zelf weten vaak niet dat ze strafbaar zijn, opgepakt kunnen worden en jarenlang geen bankrekening meer kunnen openen. Mensen beginnen langzaam te begrijpen hoe erg dit is. Dat verhaal wil ik uitdragen in mijn presentaties.’
Nog andere belangrijke trends?
‘Zeker, ik wil ook de opkomst noemen van ransomware as a service (raas) en cybercrime as a service (caas). Hackers bieden hun service aan bij andere hackers en zetten zelfs helpdesks op voor het begeleiden van hun klanten. Op het dark web worden raas en caas steeds vaker aangeboden. Een laatste belangrijke trend die ik zie is dat er steeds meer losgeld wordt betaald bij ransomware. In 2017 werden APM Terminals en containerbedrijf Maersk gehackt. Het losgeld bedroeg 300 miljoen dollar. Afgelopen mei werd Colonial Pipeline gehackt in de Verenigde. Dat bedrijf betaalde 4,4 miljoen dollar aan losgeld. Mijn advies? Niet betalen.’
Waarom niet?
‘We moeten criminelen op geen enkele manier aanmoedigen om door te gaan. Als bedrijven betalen, is dat een stimulans voor het criminele businessmodel. Maar ik snap het wel. Als ondernemers niet betalen, kunnen ze zelfs failliet gaan. Ze kunnen niet meer bij hun productiesystemen, ze kunnen leveranciers niet meer betalen en het bedrijf is gone, weg. Losgeld betalen is vaak goedkoper dan investeren in cyberveilige apparatuur. Maar veel beter is het natuurlijk om voorafgaand aan de hack al te investeren in veilige it-infrastructuur. Voorkomen is beter dan genezen.’
Wat doe je als een bedrijf is aangevallen?
‘Ik ga mee om apparatuur en digitale data veilig te stellen, logbestanden te analyseren en sporenonderzoek te doen naar hoe een cybercrimineel binnen is gekomen, wat er is meegenomen aan data en wie er achter de hack zit.’
Je noemt vooral financiële consequenties voor bedrijven. Het kan ook persoonlijk worden voor individuen cq. burgers cq. consumenten. Heb je voorbeelden?
‘Nou, stel dat je geen benzine meer kunt tanken, of dat er ineens giftig water uit je kraan komt. Dat is in de VS gebeurd. Cybercrime kan dichtbij komen. Mensen zeggen vaak tegen mij dat ze niks te verbergen hebben en niks boeiends op hun telefoon hebben staan. Maar hun camera kan gehackt worden en criminelen kunnen toegang krijgen tot intieme foto’s op hun iCloud. Dat komt héél dichtbij.’
Wat doen cybercriminelen met intieme foto’s?
‘Die kunnen op het dark web verkocht worden aan viezeriken. Of ze worden ingezet om te chanteren, losgeld te vragen en te dreigen met publicatie online. Deze donkere kant van cybercrime heb ik laten zien tijdens mijn verhaal op TBX. Ik heb daar ook iets verteld hoe je jezelf kunt beveiligen door aandacht te besteden aan netwerksegmentatie. Het netwerk wordt dan opgedeeld in kleinere segmenten, zodat de impact van een aanval wordt beperkt. Dat is heel belangrijk. Zeker bij ransomware zitten criminelen vaak al maanden in het bedrijfsnetwerk te wroeten. Welke vertrouwelijke informatie is bereikbaar? Kunnen ze hogere beheerdersrechten behalen? Zijn er mogelijkheden om verder te komen op een andere netwerkschijf? Ze zoeken naar het juiste moment om hun gijzelsoftware uit te rollen. Pas dan weet het bedrijf dat het gehackt is. En ineens ligt alles plat. Als dit goed is ingeregeld met netwerksegmentatie, is de impact sowieso veel kleiner.’
De handel tiert welig
Het darkweb is een versleuteld onderdeel van internet en niet rechtstreeks vindbaar voor zoekmachines. Hier wordt gevoelige informatie verhandeld. Maar niet alleen hier. Ook op vrij toegankelijke hackersforums tiert een welige handel in spul dat het daglicht niet kan verdragen. Neem een kijkje op Raidforums.com en de schellen vallen van je ogen. Alles wat geld kan opleveren, wordt hier verkocht: buitgemaakte wachtwoorden, suckerlists, porno-accounts en gelekte informatie. Open en bloot wordt het allemaal aangeboden. BreadHump biedt het klantenbestand aan van een cricketclub. Shloubi verkoopt tips om wifi-netwerken binnen te dringen. Bosco666 heeft gelekte data van een Vietnamese luchtvaartmaatschappij in de aanbieding. Hackers die er iets in zien voor phishing, afpersing of identiteitsfraude, kunnen een bod doen.
Zoals Raidforums.com zijn er duizenden platforms. En dat is slecht nieuws voor het bedrijfsleven. Onlangs werd VDL Groep gehackt en kwam de productie stil te liggen van VDL Nedcar in het Limburgse Born. Ook installatiebedrijf Hoppenbrouwers Techniek uit Udenhout werd gehackt. Op 2 juli, het was een zomerse vrijdagavond en er leek geen vuiltje aan de lucht. Nog diezelfde avond werd het virus overigens gedetecteerd. Had het de hele nacht doorgewoekerd, dan was de schade veel groter geweest, zei directeur Henny de Haas tegen bouwkrant Cobouw. ‘Het loopt, zeg maar, een beetje uit de klauwen’, reageerde ethisch hacker Sijmen Ruwhof. Ook Gina Doekhie wil een soortgelijk signaal afgeven.
Inbreken
Wat drijft je in dit werk?
‘Ik vind het best eng en bizar hoeveel impact digitalisering heeft. De criminaliteit digitaliseert. Maar de beweegredenen van criminelen vind ik interessant. Vroeger beroofden ze een woning. Nu gaan ze inbreken in computers. Vaak zijn ze heel jong. Het zijn de digital natives. Ze zijn opgegroeid met computers. Hun gedrag fascineert me. Waarom? Hmm…, omdat ik goed wil doen. Ik wil ze laten zien dat het echt niet oké is waar ze mee bezig zijn. Als kind had ik ook al iets tegen onrecht. Ik kwam op voor kinderen die gepest werden. Ik vind dat we op een integere manier met elkaar om moeten gaan. Ik wil in een wereld leven waarin we niet bang hoeven te zijn, ook al is dat waarschijnlijk een utopie.’
Mensen moeten zelf ook geen stomme dingen doen. Sommige problemen zijn wel heel gemakkelijk te voorkomen.
‘Precies. Sommige mensen mailen hun wachtwoord naar elkaar of naar zichzelf. Als je mail niet goed beveiligd is, kan een hacker erbij. Je kunt inloggegevens nog beter opschrijven in een kladblokje.’
Gebruik je blockchain-technologie? Wat is de toegevoegde waarde?
‘Die vraag wordt me vaak gesteld. De blockchain heeft voor mij niet per se toegevoegde waarde. Het is een andere manier van onderzoeken. De blockchain is niet gereguleerd en open voor iedereen. Er kan niet mee gefraudeerd worden. Voor mij komt de blockchain in beeld als er losgeld is overgemaakt in bitcoin, of als criminelen elkaar in cryptovaluta hebben betaald. Als ik een wallet-nummer heb, kan ik zien welke transacties zijn gedaan.’
Hoe pas je artificial intelligence toe in je werk?
‘Bij Fox-IT heb ik zelf een ai-algoritme gemoduleerd in R en laten ontwikkelen door een developer. Bedrijven worden continu aangevallen en mijn algoritme maakte clusters van incidenten. Meestal worden incidenten door mensen geanalyseerd. Dat proces heb ik geautomatiseerd zodat ik in één oogopslag kon zien of het om een serieuze hackpoging ging of niet. In zijn algemeenheid wordt het steeds belangrijker om met ai patronen te herkennen in data.’
Je bent ook gerechtelijk deskundige. Daar heb je een aparte opleiding voor gevolgd. Kun je een voorbeeld geven van een vraag die je als expert kreeg voorgelegd door de rechter?
‘Ik kan opgeroepen worden voor een expert opinion of om feedback te geven op een rapportage van een bedrijf dat forensisch onderzoek heeft gedaan. Soms word ik ingezet om zelf forensisch onderzoek te doen. Bij Fox-IT ben ik eens ingezet bij een kinderporno- en moordzaak. De verdachte werd moord ten laste gelegd en er was kinderporno op zijn computer aangetroffen. Hij zei dat hij gehackt was. Niet hij maar malware had de kinderporno gedownload op zijn computer. Ik moest uitzoeken of dat waar was. Ik heb toen die computer gekregen en forensisch onderzoek gedaan. Ik vond een download maar kon er in eerste instantie niet achter komen of de verdachte fysiek achter zijn laptop had gezeten tijdens die download. Uiteindelijk heb ik een tijdlijn gemaakt. Wanneer ingelogd in e-mail, wanneer chatgesprekken gevoerd met vrienden, et cetera. Tussendoor zag ik de downloads, dus ik kon met hoge waarschijnlijkheid aantonen dat hij dat zelf had gedaan. Hij werd vrijgesproken van moord maar kreeg twee jaar voor kinderporno.’
Je krijgt de grootst mogelijk shit over je heen in je werk. Hoe ga je daarmee om? Hoe is de begeleiding? Kun je praten met collega’s?
‘Zeker. Bij Fox-IT hadden we een heel open band met elkaar. We ondersteunden elkaar en konden ons verhaal kwijt als we bijvoorbeeld heftige beelden hadden gezien. Ook bij de politie is dat goed geregeld.’
Hoe wordt er in de it-wereld gereageerd op jou als vrouw met een multiculturele achtergrond?
‘Klanten zijn soms verbaasd. ‘Heb je de deskundige niet meegenomen?’, kreeg ik eens te horen. Dat is best heftig. Een andere klant vroeg waar ik vandaan kwam. Nou, Suriname. Weet je wat hij zei? ‘Ik wil ook de hele dag op het strand liggen en bier drinken.’ Mijn manager bij Fox-IT was bereid de opdracht terug te trekken, dat vond ik wel tof. Als vrouw in de it moet je je soms meer bewijzen. Daar moeten we vanaf. Van de andere kant merk ik dat collega’s me volledig accepteren. Het gaat wat dat betreft zeker de goede kant op.’
Dit artikel verscheen eerder in Computable-magazine #01/22
