Q&A met Daniël Verlaan over wraakpornonetwerken, het hacken van Kees van der Staaij en online veiligheid

Hij lijkt de ideale schoonzoon: techjournalist Daniël Verlaan kan menig computer weer aan de praat krijgen als ‘ie vastloopt tijdens de Candy Crush. Toch beweegt deze vriendelijke gozer in de donkerste krotten van het internet, opzoek naar wraakpornonetwerken, WhatsApp-oplichters en ander gespuis dat binnen de Nederlandse landsgrenzen rondzwerft.

In Ik weet je wachtwoord (nu lekker in de top 10 bestverkochte boeken, trouwens) vertelt hij je er alles over, maar gelukkig wilde hij ook wel even met FHM praten over veiligheid op het world wide web.

Goedemiddag Daniël!
Hey!

Wij journalisten zijn natuurlijk voornamelijk bureaumiepen, maar jij gaat echt undercover op het darkweb. Klinkt spannend. Wat kom je daar zo al voor schokkende dingen tegen?
Ik vind het vooral schokkend hoeveel professionaliteit er in de internetcriminaliteit zit. Je hebt echt grote professionele netwerken met een eigen rolverdeling. Heel veel mensen weten niet dat cybercriminelen bijvoorbeeld in chatgroepen zitten om het te hebben over hoe ze het beste mensen kunnen oplichten. Met bijvoorbeeld WhatsApp-fraude zie je dat er honderden van dat soort gasten zijn die mensen proberen op te lichten. Als ze bijvoorbeeld weer vijfduizend euro van iemand hebben afgetroggeld ofzo, dan worden er ook grappen over gemaakt. Ze schrijven dan onder andere: “Ha, kijk eens. Deze heb ik gepakt.”

Hmm, dat klinkt minder professioneel.
Aan de ene kant is het wel heel professioneel. Zo heb je iemand die phishingberichtjes stuurt; iemand die e-mailtjes maakt; iemand die een rekening beschikbaar stelt; iemand die een geldezel is enzovoort. Je ziet bijvoorbeeld dus met phishing dat er heel veel professionele bendes aanwezig zijn. Met bijvoorbeeld WhatsApp-fraude is het wel een stuk meer amateuristisch. Dan is het gewoon een gast die een 06-nummertje komt bij de bara en vervolgens iemand een berichtje stuurt met: “Hé mam, dit is mijn nieuwe nummer.” Dat is misschien ook wel bij jou gebeurt. Dat je denkt: ‘Ik ben 1: geen vrouw en 2: heb geen kinderen.’ Tja, er hoeft maar één iemand in te trappen en ze hebben weer €1500 euro verdiend. Dus ja, ik schrik dus van de professionaliteit aan de ene kant en het amateurisme aan de andere kant.

Wij zagen al een heel scenario voor ons waarin je undercover ging, zwaarbewapend met VPNs en zo.
Nee, het valt wel heel erg mee. Wel moet je veel van OPSEC, dat heet dan Operational Security, beetje moeilijk woord, afweten om toegang te krijgen tot dat soort netwerken. Je moet bijvoorbeeld bij Telegram heel goed instellen wat mensen van je zien. Bijvoorbeeld: als ik onder een valse naam Telegram aanmaak, maar wel met m’n eigen 06-nummer, dan zien mensen dat ik ineens onder de schuilnaam Pietje Puk op Telegram zit. Dan denken ze: “Ohja, dat is Daniël vast wel weer…” Ik moet dus per onderzoek echt aparte 06-nummers hebben met aparte online identiteiten en aparte browserinstellingen.

Browserinstellingen?
Ja, je browser heeft een soort van vingerafdruk, bijvoorbeeld door te kijken naar bepaalde plug-ins en instellingen die je gebruikt. Zo herkennen websites je. Dat wordt onder andere gebruikt om jou dus persoonlijke advertenties te tonen, maar het kan ook gebruikt worden om je identiteit te onthullen. Je moet dus ook schone browsers gebruiken. Dat soort dingen moet je dus allemaal rekening mee houden als je onderzoek gaat doen.

“Voor sommige cybercriminelen zijn naaktfoto’s die je eigenlijk niet in je bezit mag hebben van meisjes een soort overwinning.”

Zo, dat klinkt best ingewikkeld.
Ja, en het gaat soms ook veel verder dan dat. Zo heb ik wel eens dat ik een gamer moet zijn omdat een bepaalde groep veel gamet. Dan moet ik een apart account aanmaken op Steam waarbij ik heel veel loop te gamen, puur om geloofwaardigheid te creëren. Ook moet je erg goed op je woorden letten, want cybercriminelen gebruiken allerlei termen. In netwerken die onder andere meisjes hun naaktfoto’s stelen, is het wat meer hackertaal, zoals ‘noob’ en ‘rippen’.

We hadden niet verwacht dat vakjargon zo’n dingetje is.
Ja, in de eerder genoemde netwerken die dus naaktfoto’s stelen – dat hoeven overigens geen naaktfoto’s te zijn, he? Ook al staan ze bikini’s te passen, die foto’s zijn al heel interessant. Er wordt wel eens gezegd: “Joh, maak dan geen naaktfoto’s!”, maar zelfs dat houdt deze gasten niet tegen. In dat soort netwerken wordt bijvoorbeeld gesproken over ‘wins’. Die term wordt gebruikt voor naaktfoto’s die je eigenlijk niet in je bezit mag hebben van meisjes. Ze zien dat echt als een soort overwinning.

“Ik logde eens per ongeluk in met m’n eigen username.”

Hoe ging het je eigenlijk vanaf toen je voor het eerst zo’n wereld instapte?
Heel slecht, haha. Ik had dus totaal geen maatregelen genomen. De eerste keer dat ik undercover ging was bij dat wraakpornonetwerk. Dat is al weer een aantal jaar geleden. Ik zat toen op een site waar al die meisjes werden gedeeld, maar er stond een kopje Nederland. Er stond een linkje naar een chatkamer op Discord. Ik drukte daarop en logde per ongeluk in met m’n eigen username. Dat was dus mijn game username, godzijdank, want als het mijn echte naam was geweest was ik gelijk de lul.

Ja, het komt niet echt uit als er staat: ‘Daniël Verlaan joined the party…’
Precies! Ik was zo blij dat het m’n nickname was voor gamen. Anders was m’n hele onderzoek naar de maan.

Maar ben je dan al een keer ontdekt?
Nee! Wel dat er vermoedens waren, maar niet dat ik ontdekt werd. Ik heb wel één keer mijzelf voorgesteld als journalist, omdat ik vond dat ook hun verhaal belangrijk was voor mijn onderzoek. Toen ik dat deed was ik gelijk een uur later geband op het hele netwerk. Maarja, ik zat er in met 14 verschillende accounts ofzo, dus ik was er wel op voorbereid. Toen begonnen ze dus ook een topic over mij, letterlijk met als naam: ‘RTL Journalist Daniël Verlaan’ op een forum van kindermisbruikers. Toen spraken ze met grote walging over mij. Dat ik zó maar toegang had gekregen tot dit netwerk en dat journalisten alles verdraaien. “Ze zullen ons wel weer slecht afschilderen,” stond er dan. Vriend, je ben lid van een forum voor het misbruiken van kinderen!?

“Mijn doel is om deze praktijken bloot te leggen en om tegelijkertijd de maatschappij te informeren en mensen te beschermen.”

Zat je dan ook rustig mee te praten in die topics, zo van: ‘Ja, wat een lulletje eigenlijk?’
Nee, maar ik heb dat wel gedaan op een wraakpornonetwerk. Ze waren opzoek naar de Mega, een soort online bibliotheek met allemaal naaktfoto’s van die meisjes. Daar hadden maar een paar mensen toegang tot, want je moest materiaal aanleveren om toegang te krijgen. Ik had daar toegang tot gekregen via een pornomodel dat ik had ingehuurd om dit soort beelden te maken om toegang te krijgen. Daar wist ze alles van trouwens, want ik had haar ook betaald. Dat was een hele leuke declaratie bij RTL, trouwens. Toen ik daarmee binnengekomen was, wisten mensen dat ik toegang had tot die Mega. Toen heb ik wel gezegd: “Nee man, weet jij nog plekken waar die te vinden is? Hij is offline door al die shit in de media.” Ja, dat was ik natuurlijk zelf.

Jij functioneert natuurlijk als journalist, maar hebt wel contact met de politie. Komen jullie belangen wel eens in de knoop?
Ja, de politie heeft mij al een paar keer om bewijsmateriaal gevraagd terwijl ik dat niet kon leveren omdat ik mijn onafhankelijkheid als journalist wil beschermen. Ik werk dan ook niet samen met de politie. Dat doen sommige andere journalisten wel, maar ik niet. Anders word je een verlengstuk van de politie. Dat botst soms wel eens. In het geval van die kindermisbruiknetwerken heb ik heel nauw contact gehouden om niks te verstoren. In het geval van het wraakpornonetwerk, heb ik de politie twee dagen van te voren getipt over het bestaan van dat netwerk zodat ze wisten waar ze moesten kijken. Dat soort dingen doe ik dus wel, maar het is niet zo dat ik al mijn gegevens doorgeef. Als ik dat had willen doen had ik wel bij de politie gewerkt.

“We moeten onze mindset veranderen dat je denkt niet interessant te zijn voor hackers. “

Jullie willen beide natuurlijk dit soort netwerken stoppen. Wat is jouw voornaamste persoonlijke doel?
Ik wilde laten zien dat er ook in Nederland groepen mannen zijn die op structurele wijze jonge meisjes en jonge vrouwen hacken. Dat deden ze ook op een specifieke manier, door bijvoorbeeld wachtwoorden te raden of door op de geheime vragen antwoord te geven. Dan kregen ze toegang tot de cloud van het meisje. Ik vond dat heel Nederland moest weten dat dit gebeurde en ook op grote schaal. Dus niet alsof het maar vijf mannen zijn, maar dat echt duizenden mannen dit deden. Mijn doel is om deze praktijken bloot te leggen en om tegelijkertijd de maatschappij te informeren en mensen te beschermen. Dat is natuurlijk een ander doel dan de politie, die voornamelijk de criminelen willen oppakken die dit doen.

Dat sluit dus goed aan bij het idee achter je boek Ik weet je wachtwoord, waarin je mensen advies geeft over de online gevaren. Heb je een kleine sneak peek voor de lezers van FHM als ’t gaat over hun veiligheid?
Poeh, er staan natuurlijk fucking veel tips in. Het eerste is vooral het veranderen van de mindset dat je niet interessant bent voor hackers. “Joh, wie gaat mij nou hacken. Ik ben toch niet interessant?”, is een hele grote fout die we maken. Hackers hacken ons omdat wij een bankrekening hebben en een identiteitsbewijs. Ohja, en omdat we accounts hebben bij dingen zoals Zalando en Bol.com. Hackers hacken ons om geld te verdienen. Niet om te kijken op wat voor een nieuwsbrieven we geabonneerd zijn.

En wat doen ze dan zoal?
Ze hacken je vooral om een kopie van je identiteitsbewijs te krijgen. Die staat vrijwel altijd wel ergens op de mail of in je cloud. Zo kunnen ze identiteitsfraude plegen in jouw naam. Op die manier kunnen ze een lening op jouw naam afnemen, een huis huren en een wietplantage opzetten of bijvoorbeeld een telefoonrekening maken. Daarnaast kunnen ze bijvoorbeeld je bankrekening hacken, toegang krijgen tot je Paypalaccount en je Zalando en Bol.com account. Als je bij dat soort webshops vaker hebt besteld, kan je vaak op rekening bestellen. Vaak bestellen ze dan allemaal dure tassen en andere spullen. Dat doen ze dan vaak net voor twaalven, zodat jij ’t niet door hebt en de volgende dag wakker wordt met een mailtje: “Hey, je hebt zo’n tweeduizend euro besteld aan kleding en dat ligt nu op een pakketpunt in Nieuw-Vennep. Groetjes!”

Shit, we moeten toch maar eens wat wachtwoorden gaan aanpassen.
Yep! Ik schrijf al jaren over cybercriminaliteit, maar vaak zie je toch dat mensen denken: ‘Oh, dat gebeurt me niet.’ In Ik weet je wachtwoord gaat dat veel meer leven, ook omdat ik zowel daders als slachtoffers spreek. Pas dan denken mensen: ‘Oh, ik wil echt niet dat me dit overkomt.’

Luisteren mensen nu dus naar je advies?
Ja, zelfs binnen m’n familie. Ze zien deze nerd al zo lang op tv en elke keer horen ze m’n verhalen wel, maar nu zeggen ze opeens: “Ik heb je boek gelezen en toch maar wat dingen aangepast.” Hoe dan? Ik maak al jaren verhalen over online criminaliteit, maar nu gaan ze pas na het lezen van het boek maatregelen nemen, haha.

Hacken is natuurlijk ook wel een dingetje als het gaat om verkiezingen en andere grote gebeurtenissen. Maak jij je daar zorgen over?
Ja, ik maak mezelf daar zeker al een tijdje zorgen over. Ik heb twee verhalen gemaakt vlak voor de Tweede Kamerverkiezingen. Eén daarvan ging over de veiligheid van onze politici. Er staan nog steeds wel screenshots online dat ik als Kees van der Staaij heb lopen tweeten. Toen speelde de dreiging van Russische inmenging in onze Tweede Kamerverkiezingen. Het tweede artikel ging over de software van onze verkiezingen. Ik wist nooit dat onze stemmen opgeteld werden via een computer en vervolgens op een USB-stick werden gezet, die dan vervolgens van locatie naar locatie werd gebracht. Die speciale software bleek dus echt super onveilig te zijn en compleet kapot te hacken. Naar aanleiding van die ontdekking zijn ze dus alles met de hand gaan tellen.

Oh, dus door jouw inbreng duurde het toen zo lang!
Ja, dat was ons verhaal, haha. In het geval van Amerika weet ik niet helemaal hoe de stemmen daar gaan, dus daar maak ik geen woorden aan vuil. Waar ik me vooral zorgen over maak, en ook in Nederland, is dat er zoveel desinformatie wordt verspreid. Het is dan geen technologisch onderdeel, maar het vloeit wel voort vanuit sociale media, filterbubbels en algoritmes. Je ziet nu bijvoorbeeld dat met corona alles door de war is gegooid en dat mensen vooral op zoek zijn naar houvast en antwoorden. De steeds extremere vormen van complotdenkers zijn volgens mij een grotere bedreiging dan hackers die onze verkiezingen hacken.

Je ziet wel dat Twitter nu steeds meer begint in te grijpen.
Ja, maar dat is een druppel op de hete plaat. Ik merk dat veel techbedrijven bezig zijn met dit soort ontwikkelingen, maar ik maak me nog steeds zorgen. Normaal heb ik wel antwoorden op dingen en kan ik zeggen hoe jij je ervoor kunt beschermen, maar nu dus niet.

Hé, laten we dan met een positievere noot eindigen. Vragen mensen jou nog wel eens om technische hulp?
Ik merk wel dat als ik op tv ben geweest mijn inbox vol zit met mailtjes van mensen die om hulp vragen. Alsof ze denken: “Ohja, die nerd van RTL kan me vast wel helpen om weer toegang te krijgen tot mijn Facebook of mijn computer te fixen.” Oh, en ik kreeg tijdens dit interview nog een berichtje van m’n moeder. Of ik haar even kon helpen met het uitzoeken van een nieuwe televisie…  

Tekst: Gilles Tijmes