Overslaan en naar de inhoud gaan
Logo Hogeschool van Amsterdam – link naar startpaginaLogo Hogeschool van Amsterdam – link naar startpagina
Nieuws

Hoe datadieven werken: wat dadergedrag ons leert over cybercriminaliteit

Bijna een miljoen vrouwen werden er deze zomer slachtoffer van: het datalek bij een lab dat onderzoek deed naar baarmoederhalskanker. Hackers kregen toegang tot persoonlijke gegevens als naam, adres en burgerservicenummer. Zulke incidenten komen steeds vaker in het nieuws. Inzicht in het gedrag van daders kan helpen om cybercriminaliteit aan te pakken. Hoe gaan zij te werk? Cybercrime-expert Renushka Madarie dook in hun wereld voor haar promotieonderzoek.

Renushka Madarie, forensisch onderzoek
Renushka Madarie, cybercrime-expert bij de Hogeschool van Amsterdam

Inzicht in keuzes van cybercriminelen

Voor haar onderzoek analyseerde Madarie het gedrag van mensen die uit zijn op gestolen data. ‘Je kunt zulke gegevens op twee manieren krijgen’, legt ze uit. ‘Door zelf in te breken in het digitale netwerk van een organisatie, of door gestolen data op internet te kopen, bijvoorbeeld op een hackersforum. Ik heb onderzocht hoe daders in beide scenario’s te werk gaan en welke factoren in hun omgeving hun keuzes beïnvloeden.’

Aantrekkingskracht van bepaalde doelwitten

In het eerste deel van haar onderzoek bracht Madarie systematisch in kaart welke doelwitten of gegevens interessant zijn voor kwaadwillende hackers. ‘Een dader kan zich richten op een organisatie vanwege de waardevolle data die daar zijn opgeslagen,’ zegt ze. ‘Maar het kan ook zijn dat ze vooral kijken naar waar het makkelijk inbreken is. Daarom is het belangrijk dat onderzoekers van cybercriminaliteit zich niet alleen focussen op de aard van gestolen data of het type organisatie dat slachtoffer wordt van een hack, maar ook naar het gemak waarmee daders kunnen binnenkomen.’

Hoe handelen datadieven na inbreken

Wat doen cybercriminelen als ze eenmaal binnen zijn in een systeem? Madarie analyseerde hun handelingen en keuzes. Tijd blijkt een belangrijke factor voor datadieven. ‘Ze lijken bijvoorbeeld rekening te houden met het tijdstip waarop ze opereren. Overdag valt afwijkende activiteit minder snel op, maar ’s nachts werken er minder mensen, waardoor er een kleiner risico is dat ze worden betrapt en IT-beveiligers snel reageren.’

Daarbij speelt ook anonimiteit een rol. Cybercriminelen verplaatsen zich digitaal over landsgrenzen heen en gebruiken tools zoals VPN’s om onherkenbaar te blijven. Dat maakt de kans op identificatie en arrestatie kleiner. ‘Toch lopen ze risico. Als beveiligers merken dat iemand zonder toestemming in het systeem is geweest, zullen ze gaten in het netwerk proberen op te sporen en te dichten. Daarmee kunnen daders hun toegang verliezen. Dan moeten ze op zoek naar een nieuw gat in de beveiliging of zelfs een heel ander bedrijf aanvallen.’

Herhalend gedrag

Uit het onderzoek blijkt dat datadieven vaak eerst verkennen waar ze zich in een netwerk bevinden en welke routes toegang bieden tot gevoelige data. ‘Dit oriënterende gedrag in digitale systemen en netwerken kun je vergelijken met dat van inbrekers in een huis,’ zegt Madarie. ‘Ze moeten eerst weten waar ze zijn, voordat ze bij de kluis met waardevolle spullen kunnen komen.’

Het verkennen van een digitaal netwerk gaat gepaard met veel herhaling. Datadieven hoppen van systeem naar systeem en zoeken daarbij steeds opnieuw uit in wat voor systeem ze zitten en wat er te halen valt, tot ze hun einddoel bereiken. Maar herhaling zit ook in het feit dat ze meermaals dezelfde aanvalsmethodes kunnen gebruiken om steeds in een volgend systeem in te breken en verder in het netwerk te komen.

Snel ingrijpen loont

Voor organisaties is dit een belangrijke les: snel ingrijpen loont. ‘Omdat datadieven tijd nodig hebben om zich te oriënteren, kun je met snel ingrijpen veel schade voorkomen,’ zegt Madarie. ‘Hoe eerder IT-beveiligers de gaten in het systeem dichten, hoe kleiner de kans dat aanvallers waardevolle gegevens buitmaken. Maar om snel en adequaat te kunnen reageren, moet de beveiliging daar wel voldoende tijd en capaciteit voor hebben.’

Voor organisaties is dit een belangrijke les: snel ingrijpen loont. Omdat datadieven tijd nodig hebben om zich te oriënteren, kun je met snel ingrijpen veel schade voorkomen.
Renushka Madarie, forensisch onderzoek

Renushka Madarie

Onderzoeker cybercrime

Online marktplaatsen voor gestolen data

In het tweede deel van haar promotieonderzoek verschoof Madarie haar aandacht naar online platforms waar gestolen gegevens circuleren. Ze bracht er drie in kaart. Sommige hiervan zijn inmiddels offline gehaald door de politie, andere staan nog altijd online.

  1. Een darkweb-markt, die qua opzet veel lijkt op verkoopplatforms als Marktplaats, eBay en Vinted.
  2. Een hackersforum, vergelijkbaar met een forum als Reddit, waar gebruikers discussies kunnen starten en op elkaar kunnen reageren.
  3. Een paste-website: een online kladblok waarop je ‘platte’ tekst kunt delen. Hier worden vaak lijsten gelekt met inloggegevens, zoals mailadressen en wachtwoorden.
Boven: advertentie op een hackersforum voor een dataset met 165.000 inloggegevens. Anderen kunnen bieden, startend vanaf 100 dollar. Onder: op een darkweb-markt worden Spotify-accounts te koop aangeboden.

Vertrouwen winnen in een illegale markt

Een opvallende bevinding is dat verkopers op deze illegale platforms vergelijkbare trucs gebruiken als handelaren op legale websites. ‘Op hackersforums en marktplaatsen draait alles om vertrouwen,’ legt Madarie uit. ‘Net als op Vinted of eBay proberen verkopers een goede reputatie op te bouwen, bijvoorbeeld via feedback, sterren of een ‘verkopersstatus’. En sommige forums zijn alleen toegankelijk als je bent aangedragen door een ander lid of hebben secties waar alleen leden met een bepaalde status bij kunnen.’

Ook de betaalstructuren lijken op legale platformen. ‘Op sommige markten wordt het geld voor de gestolen data eerst bij een tussenpersoon geparkeerd. Pas als de koper tevreden is, ontvangt de verkoper het bedrag. Dat vergroot het vertrouwen, ook al is de handel illegaal.’

Inzoomen op illegale online markt

Madarie zoomde verder in op een darkweb-markt en observeerde die een aantal maanden. Ze analyseerde meer dan 1.000 advertenties en bracht in kaart wat ze aantrekkelijk maakte voor kopers. Ze keek hierbij onder meer naar prijs, type account, aantal eerdere clicks en titel. Ook bracht ze in kaart hoe vaak een product werd verkocht.

De waarde van gestolen gegevens

De uitkomsten waren verrassend. De prijs van de gestolen data leek geen duidelijk effect te hebben op de belangstelling. Bepaalde woorden in titels leken wel invloed te hebben. Advertenties met woorden als premium kregen meer aandacht, terwijl free juist averechts werkte. ‘Gratis klinkt aantrekkelijk,’ zegt Madarie, ‘maar in deze wereld betekent het dat dezelfde data door veel mensen worden gebruikt. Mensen van wie de gegevens al meerdere keren zijn gebruikt, zijn waarschijnlijk al gewaarschuwd voor misbruik van hun account. Dat maakt die gegevens minder interessant voor criminelen.’

Dat verklaart ook waarom producten die vaker verkocht werden minder kopers trokken. ‘Dat druist in tegen wat we normaal zien bij online consumentengedrag,’ vertelt Madarie. ‘Gewoonlijk zorgt populariteit van een product juist voor meer vraag. Maar bij gestolen data geldt mogelijk: hoe vaker een set gegevens wordt misbruikt, hoe minder waardevol die wordt.’

Gratis data klinkt aantrekkelijk, maar in deze wereld betekent het dat dezelfde gestolen gegevens door veel mensen worden gebruikt. Dat maakt ze minder interessant voor criminelen.
Renushka Madarie, forensisch onderzoek

Renushka Madarie

Onderzoeker cybercrime

Meer inzicht, meer weerbaarheid

Met haar onderzoek draagt Madarie bij aan een beter begrip van de digitale onderwereld. ‘We weten nu beter hoe mensen die uit zijn op gestolen data zich gedragen, wat ze interessant vinden en hoe ze omgaan met risico’s. Dat inzicht kan helpen om cybercriminaliteit effectiever aan te pakken. Als we begrijpen hoe hackers zich gedragen, kunnen we onze systemen slimmer beveiligen. Dit onderzoek is een goede basis voor vervolgstudies naar slachtofferschap van en maatregelen tegen datadiefstal en datamisbruik.’

Renushka Madarie promoveert op 4 november 2025 aan de Vrije Universiteit Amsterdam. 

Lees meer over ander onderzoek van Madarie naar crime script analyse

Lectoraat Forensisch Onderzoek

Van DNA-onderzoek tot chemische analyse: er zijn steeds meer technieken om sporen van misdrijven tot in detail te onderzoeken. Het is wel zaak dat bewijsmateriaal op de juiste wijze geïnterpreteerd wordt. Het lectoraat Forensisch Onderzoek levert hier met onderzoek - samen met de politie en andere partijen in de strafrechtketen - een belangrijke bijdrage aan.