De periode van anonymous lijkt een goudmijn te zijn voor criminelen die identiteitsdiefstal willen plegen. De gegevens die na het hacken van een datingsite, webshop, overheid of andere organisatie zijn verkregen, worden vaak online gezet. Dat is voor anderen een bron van informatie.

Pastebin-scripts

Hackers plaatsen de privé-gegevens vaak op Pastebin, en daar wordt gretig gebruik van gemaakt. Inmiddels zijn er tientallen scripts beschikbaar waarmee criminelen de informatie geautomatiseerd van die websites af kunnen halen.

Zo komen persoonsgegevens via overheden, webshops, datingsites of andere organisaties beschikbaar. Vervolgens worden deze opgeslagen in databases en gekoppeld aan kenmerken als naam, adressen, paspoortnummer met verloopdatum, e-mailadressen en pasfoto (of kopiepaspoort). Zo ontstaan hele persoonsdossiers.

Deze ontwikkeling betekent dat criminelen niet meer hoeven te vertrouwen op informatie uit één enkel lek. Als daar onvoldoende gegevens bij vrijkomen voor identiteitsdiefstal, dan kunnen ze data uit meerdere lekken combineren, en zo kan wel de deur naar identiteitsfraude worden geopend.

Bijhacken

In totaal kent Webwereld vijf hackers die een dataverzameling hebben, maar naar verluidt zijn er meer. Een van hen legt uit dat het doel niet is om misbruik te maken in de vorm van identiteitsfraude. Het gaat vooral om het uitoefenen van controle. “Ja ik heb best veel", vertelt een persoon op voorwaarde van anonimiteit tegenover Webwereld. Hij toont personen met alle locatie-informatie, creditcardnummer, bankrekeningnummer, e-mails opgehaald bij Hotmail en zelfs datingberichtjes.

“Dit geeft een compleet beeld van een persoon", legt de hacker uit. Hij erkent daarvoor ook zelf te hebben ingebroken. “Ja ik heb alles om in te loggen en haal dus al een tijdje e-mail op."

Niet per definitie strafbaar

Bij het Openbaar Ministerie reageert de voorlichter niet verrast en hij erkent niet als een verrassing komt. “Maar het hoeft niet strafbaar te zijn. Er worden open bronnen gebruikt en dat ligt ingewikkeld", vertelt Wim de Bruin. “Als je gaat hacken dan is het wel strafbaar."

Ook bij Hoffmann Bedrijfrecherche is het een bekend beeld dat gegevens worden gebruikt. Een zegsman noemt het “logisch" dat buitgemaakte data ook wordt verzameld. “Het is een bundeling van gegevens die overal voor te gebruiken is." Toch zegt de organisatie dat ze van klanten geen signalen ontvangen dat er daadwerkelijk dit soort misbruik al heeft plaatsgevonden.

Joran Polak van Security.nl herkent de praktijk uit het buitenland. “Cybercriminelen passen dit soort aanvallen al toe, zoals dit jaar tijdens een aanval op Citibank duidelijk werd", vertelt hij. “Daarbij werden gegevens van bankklanten gestolen, die met data uit een andere databases werden aangevuld, waardoor creditcardfraude mogelijk werd."