Een lezer vroeg me:
Ik lees veel over ethisch hacken en vroeg me af of dat ook voor andere misdrijven geldt? Ik overweeg een “ethische scam” op te zetten. Ik adverteer producten voor €10, en wie geld overmaakt, krijgt een uitleg dat ze opgelicht zijn maar met tips hoe je dat voortaan herkent en wat je kunt doen om het te voorkomen. De €10 houd ik dan als vergoeding voor het advies.
Het strafrecht kent geen uitzondering voor misdrijven die je “ethisch” begaat. Ook hacken – computervredebreuk – is en blijft volgens de letter van de wet strafbaar als je het met de meest ethische nobele motieven begaat.
Alleen vinden we ondertussen dat iemand die dat zeer netjes doet, én zich netjes meldt én geen schade berokkent, niet veroordeeld zou moeten worden. Het belang van het melden van securitybreaches en datalekken weegt zwaar, en als er dan verder ook geen schade of persoonlijk gewin is, dan is er weinig reden iemand nog te vervolgen. Maar dat is geen wettelijke grond waar je je op kunt beroepen, het is coulance.
Deze ethische scam is een aardig idee maar ik denk dat hier heel wat minder draagvlak voor is. Bovendien berokken je mensen zo schade: die tien euro zijn ze kwijt. Dat je (ongevraagd) advies geeft, maakt niet uit. Ik zou dit dus dringend afraden.
Als je mensen hun geld zou teruggeven, dan is in ieder geval de schadecomponent eraf. De kans op vervolging wordt dan kleiner. Maar het blijft voor mij zeer dubieus.
Wat zouden jullie doen als je op deze manier werd “opgelicht”?
Arnoud
Ik begrijp plotseling wat beter waarom veel bedrijven er een hekel aan hebben als ze ethisch gehackt worden. Wat een ontzettend irritante wijsneus zeg, die mij een beetje komt vertellen dat ik mijn beveiliging niet op orde heb!
Nee, als ik mijn €10 terug krijg, dan zal ik niet over gaan tot vervolging. Ik zal deze persoon mentaal op mijn “niet te vertrouwen” lijstje zetten; niet omdat ‘ie me werkelijk schade heeft berokkend, maar omdat ‘ie zo irritant is. Ik zal ook nadenken over hoe ik me in het vervolg beter tegen scams kan beschermen: deze “ethische scammer” heeft namelijk wel een punt.
Ik twijfel over een vervolg-actie: hem ethisch terug-scammen. Dat zal ‘m leren, dat ‘ie niet alles beter op orde heeft dan ik.
Ik doe gewoon on line aangifte van oplichting met de bekentenis van deze gast erbij. Goed voor het oplospercentage van de politie
Het is nog simpeler dan dat, er is niets ethisch aan. Mensen laten betalen voor een product dat ze niet krijgen en vervolgens hun geld houden voor ongevraagd advies (“doe dit niet nog eens”), is gewoon oplichting.
Ik zou er niet zoveel problemen mee hebben als ik op het moment dat ik zou gaan betalen niet bij bv. ideal uitkom maar bij een bericht “En zo makkelijk is het dus, je had dit zus en zo kunnen herkennen, fijne dag nog”. Daadwerkelijk betalen en al dan niet terugstorten zou het bord voor de kop bij een stuk meer mensen wegnemen maar gaat wat mij betreft wel tever.
Dat mensen iets overmaken en dat ze “dus” advies nodig zouden hebben is al een twijfelachtige aanname. Wellicht nemen ze een gecalculeerd risico. Of redereren ze, terecht: iemand biedt dit aan, ik betaal ervoor, en als ik dat niet krijg dan zal ik daarvan aangifte doen omdat ze me proberen op te lichten.
Ik kan uit bijna elke winkel ook zo met een product naar buiten lopen. Dat is geen bewijs dat ze hun beveiliging slecht op orde hebben en dus “advies” nodig hebben. Dat is gebaseerd op het vertrouwen dat de meeste mensen geen misbruik maken van een situatie.
Voor een hacker om ethisch bezig te zijn is wel meer nodig dan responsible disclosure. Er moet ook sprake zijn van toestemming van de eigenaar van het systeem. Dit kan door middel van een contract natuurlijk, maar vaker nog “struikelt” een hacker over een kwetsbaarheid bij normaal gebruik van het systeem. Een hacker die besluit om ‘eens te kijken hoe goed het systeem van de NASA nou eigenlijk is’ zonder toestemming is dus nooit ethisch bezig.
Het bovengenoemde voorbeeld heeft dan ook geen enkele ethische component wat mij betreft. Ik zou aangifte doen in de hoop dat justitie deze snotneus wat ethisch begrip bij kan brengen.
Volgens mij is het niet noodzakelijk dat je toestemming hebt om ethisch te handelen. Als ik toevallig ontdek dat een systeem kwetsbaar is (bv ik ontdek een SQL injectie-kwetsbaarheid bij een bestelformulier omdat ik toevallig een puntkomma gebruikte), ik pruts wat om dat na te gaan en ik stuur dan een tip naar het bedrijf, dan lijkt me dat volstrekt ethisch. Ook al heb ik daar geen toestemming voor.
Als je toevallig een kwetsbaarheid tegenkomt en dit netjes meld, heb je geen hack gepleegd. Op het moment dat jij de kwetsbaarheden gaat benutten om data te vergaren dan heb je wel een strafbaar feit gepleegd. De meeste bedrijven die een ethisch hacker inhuren willen daadwerkelijk bewijs dat men door de kwetsbaarheid bij gegevens kunnen komen. De ethisch hacker zal dus daadwerkelijk binnen moeten dringen in de database. Vandaar dat het van belang is om een contract op te stellen. Wat de vraagsteller eigenlijk doet valt niet onder ethisch hacken, dit is oplichting.
Wat jij omschrijft als ethisch is de pure white hat hacker, die zorgt vooraf voor toestemming. Daarnaast heb je de black hat hacker die totaal niet ethisch bezig is en kwetsbaarheden verkoopt op de ‘zwarte markt’. Tot slot heb je de grey hat hacker die bijvoorbeeld gebruik maakt van de responsible disclosure die een organisatie op de website plaatst. Nadeel van de grey hat hacker is dat hij/zij ongrijpbaar is maar over het algemeen wel een nobel doel heeft namelijk de beveiliging van gegevens verbeteren.
Er is geen overeenkomst om voor 10 Euro een aantal tips te krijgen. Het bestelde moet dus geleverd worden, anders moet het geld terug met eventueel een schadevergoeding.
Het probleem is dat je voor €10 bent opgelicht en de rechters in Nederland daar niet voor uit hun bed willen komen. Sowieso de vraag of het verder komt dan alleen een aangifte plus een berichtje “foei” van de politie richting de oplichter. En dat is gewoon het grote probleem in Nederland, waar kleine criminaliteit gewoon niet goed genoeg wordt aangepakt.
Het bewijs van oplichting is er natuurlijk wel. Je hebt geld verstuurd en de oplichter stuurt een berichtje terug waarin hij je feitelijk uitlagt. In vriendelijke taal, dat wel. Maar het zet je wel voor schut. En probeer maar je geld terug te krijgen, plus alle verloren tijd die je erin hebt gestopt. En mensen hadden misschien al plannen met dit specifieke product waar ze dus ook nog eens extra onkosten bij hebben gemaakt.
De oplichter verkoopt b.v. een diamant van 1 karaat voor €10, wat belachelijk laag is, en dus zijn er mensen die het direct kopen en daarbij b.v. ook wat edelmetaal aanschaffen om die steen in een ring te kunnen laten zetten. (Dan hoef je immers niet de metaalprijs te betalen die de juwelier berekend.) Maar dan ‘Ha, ha’ en je zit opeens met wat edelmetaal en zonder steen. En dan?
Nou ja, edelmetaal kun je terugverkopen en als het zilveren munten waren dan zit daar geen BTW op. (Bij de juwelier wel!) Maar het kan ook een kast zijn omdat men dacht een trofee te kopen. Of een kooi omdat men een konijn wilde kopen. Hoe dan ook, die extra onkosten zijn ook schade.
Maar recht hebben is 1, recht krijgen is een heel ander verhaal.
Ik ga in een donker steegje mensen opwachten die ik dan dreig af te rammelen als ze mij niet hun portemonnee geven.
Daarna vertel ik ze dat ik geen échte overvaller ben! Ik ging ze niet écht aframmelen! Ik ben slechts een bezorgde burger die hen wil adviseren dat het gevaarlijk is om door donkere steegjes te lopen. De portemonnee houdt ik als vergoeding voor mijn advies.
Ik vind het voorbeeld van de vraagsteller wel erg simpel. Ik denk dat je complexere scams kunt bedenken waar men geraffineerder te werk gaat.
Stel je bijvoorbeeld voor dat je als medewerker van een winkel steevast te weinig wisselgeld geeft. Vervolgens net voordat de klant wegloopt zeg je, “oh, ik heb een EUR te weinig gegeven.” Bijna een scam, toch? Mag dat?
Ik moet ook meteen denken aan Kevin Mitnick. Waar ligt de grens tussen hacken/phreaken en oplichten/social engineeren?
Mag je mensen ethisch social engineeren? Ja, dat mag. Kevin Mitnick heeft er zelfs een bedrijf van gemaakt.