Select your country

Not finding what you are looking for, select your country from our regional selector:

Zoeken

Nobele burgerwacht en schuldvraagomkering: neutralisatie bij cyberafpersing door 'ontkenning van het slachtoffer'

Introductie

Auteurs: Adam Ridley and Diana Selck-Paulsson

Dit is deel drie van een doorlopende serie over hoe cyberafpersing (Cy-X) en ransomware dreigers neutralisatietechnieken gebruiken om deel te kunnen nemen aan kwaadaardige activiteiten. In deel één bespraken we onze algemene onderzoeksaanpak en in deel twee de techniek die bekend staat als 'het letsel ontkennen'.

Een korte opfrissing: neutralisatietechnieken zijn manieren voor mensen die deelnemen aan een misdrijf om tijdelijk af te wijken van de geaccepteerde maatschappelijke normen (Sykes & Matza, 1957).

In dit stuk focussen we ons op de techniek die 'ontkenning van het slachtoffer' wordt genoemd. Hierbij probeert de dreigende partij de slachtofferrol te verminderen of te ontkennen. Bedreigingsactoren kunnen dit doen door het slachtoffer te framen als iemand die de ransomware- en afpersingsaanval verdient.

Sykes en Matza (1957: 668) leggen uit dat in de geest van de overtreder ‘de schade, niet bestempeld wordt als schade; het is eerder een vorm van vergelding of straf. Door een subtiele alchemie plaatst de delinquent zichzelf in de positie van wreker en wordt het slachtoffer de overtreder".

In hun theoretisch onderzoek benadrukken Sykes en Matza (1957: 668) ook hoe de fysieke nabijheid tussen de dader en het slachtoffer de techniek beïnvloedt:

“Het bestaan van het slachtoffer kan worden ontkend . . . in een andere zin, door de omstandigheden van de delinquente daad zelf. Voor zover het slachtoffer fysiek afwezig is, onbekend of een vage abstractie ... wordt het bewustzijn [van de dader] van het bestaan van het slachtoffer verzwakt.”

(Sykes en Matza, 1957: 668)

Voor degenen onder ons die misdaad in cyberspace onderzoeken, is deze observatie belangrijk. Door de aard van het misdrijf zijn mensen die zich bezighouden met ransomware en cyberafpersing zelden fysiek in de buurt van hun slachtoffers. De fysieke (en mentale) afstand tussen de dader en het slachtoffer kan bijdragen aan het vermogen van de dader om het bestaan van het slachtoffer te minimaliseren of te ontkennen (zie ook Smith & Stamataakis, 2020).

Zoals weergegeven in figuur 1, observeerden we dat deze techniek werd toegepast in 48 unieke documenten van 16 verschillende dreigende partijen. In deze 48 documenten zagen we dat deze techniek 86 keer werd gebruikt.

Het belangrijkste aspect met betrekking tot de ontkenning van het slachtoffer dat uit onze gegevens naar voren kwam, was dat de dreigende partijen zichzelf beschreven als 'burgerwacht'. De sterkste variant hiervan was wanneer ze slachtoffers ervan beschuldigden corrupt te zijn of zich bezig te houden met onethische zakelijke praktijken. Cyberaanvallen en afpersing werden dan gezien als een rechtvaardige straf.

Een andere variant binnen het burgerwacht principe was wanneer dreigende partijen hun slachtoffers afschilderden als nalatig of roekeloos als het gaat om informatiebeveiliging. Dreigende partijen voerden dan aan dat hun gedrag (dat wil zeggen: cyberaanvallen) deze bedrijven zou dwingen om hun praktijken te veranderen.

Het tweede thema dat we vonden was een vorm van schuldvraagomkering. Dreigende partijen suggereerden dat slachtoffers niet echt slachtoffer waren vanwege hun reactie op de cyberaanval. Dit werd gedaan door te stellen dat het de eigen schuld van het slachtoffer was toen er gegevens uitlekten. Bijvoorbeeld als een slachtoffer ervoor koos om niet te onderhandelen over het losgeld, dan leidde deze beslissing tot verdere gevolgen.

Bij een aantal andere gevallen zagen we ook een ander patroon waarbij het taalgebruik van dreigende partijen suggereerde dat een slachtoffer geen slachtoffer was, maar een 'klant' die een legitieme zakelijke transactie aanging. Zoals we in het vorige artikel al aangaven, is er overlap tussen het ontkennen van de schade en het ontkennen van het slachtoffer (zie figuur 2; zie ook Brewer et al., 2020: 554).

Houd er rekening mee dat de onderstaande citaten van bedreigende partijen taalkundig niet zijn geredigeerd.

Thema #1a: Burgerwachtcomplex - corrupte slachtoffers

Een van de meest voor de hand liggende manieren waarop een dreigende partij het slachtoffer kan ontkennen, is door het slachtoffer te herdefiniëren als een entiteit die de aanval verdient. Door dit te doen positioneert de dreigende partij zich als een burgerwacht die rechtvaardig recht doet gelden.

In onze dataset vonden we twee verschillende vormen van dit gedrag. De eerste was wanneer slachtoffers werden beschreven als corrupt of als betrokkenen bij onethische zakelijke praktijken die door datalekken worden onthuld. De aanvallen werden dan beschouwd als een gerechtvaardigde straf voor een 'overtreder'. De dreigende partijen die we het meest deze neutralisatie zagen toepassen, waren Cl0p en Avaddon.

Cl0p gebruikte bijvoorbeeld hun website met de gelekte informatie om de slachtoffers aan te klagen die ze beschuldigden van bedrijfsspionage:

“Ze stelen technologie van Amerikaanse bedrijven en maken het alsof het van hen is, maken het goedkoper en zorgen ervoor dat Amerikaanse bedrijven failliet gaan... [RECHTBANK AFGESCHERMT] deed de definitieve uitspraak in twee patentschendingszaken en een handelsgeheimschendingszaak tussen [NAAM DERDE PARTIJ AFGESCHERMT] en [NAAM SLACHTOFFER BEDRIJF AFGESCHERMT]... maar tegenwoordig stelen ze nog meer omdat ze weten dat ze geld hebben en weinig kunnen betalen om veel meer te verdienen.

Dit voorbeeld van corrupte bedrijven die de markt manipuleren en kennis stelen... Cl0p lost dit allemaal op en we laten slechte bedrijven betalen voor hun misdaad, zelfs als de corrupte overheid niets doet.”

– (Cl0p, Lek pagina 2)

Door het slachtoffer te bestempelen als een partij die aan bedrijfsspionage doet, positioneerde Cl0p zichzelf als een legitieme burgerwacht. Dit komt doordat Cl0p het slachtoffer als corrupt en manipulatief framede omdat ze het intellectueel eigendom van andere organisaties hadden gestolen.

Cl0p ging echter nog verder door expliciet de rol van burgerwacht op zich te nemen die het "slechte bedrijf" zal straffen voor hun misdaden omdat "de corrupte overheid niets doet".

Avaddon nam deze rol ook op zich in het onderstaande citaat:

Deze keer spelen we de rol van Robin Hood.[onderstreping in het origineel]. Vandaag zullen we de wereld inlichten over een bedrijf dat zeer slechte dingen doet.

Let goed op het document, hierop kunnen we zien hoe een zekere [NAAM AFGESCHERMT] een bestuurslid bij [NAAM DERDE PARTIJ AFGESCHERMT] onderhandelt met het management van [NAAM SLACHTOFFER BEDRIJF AFGESCHERMT] over hoe ze illegaal geld kunnen ontvangen van de rekeningen van de overleden familie tijdens het ongeluk.”

- (Avaddon, Lek pagina 5)

Het fragment begon met dat Avaddon een parallel trok tussen zichzelf en de mythe van Robin Hood. Deze vergelijking wordt specifiek benadrukt door Sykes en Matza:

" . . . maar Robin Hood, en zijn hedendaagse afgeleiden zoals de stoere detective die buiten de wet om gerechtigheid zoekt, spreken nog steeds tot de populaire verbeelding en de delinquent kan zijn daden zien als onderdeel van een vergelijkbare rol.”

- (Sykes en Matza, 1957: 668)

Het gedragspatroon van Avaddon kan beschreven worden volgens de oorspronkelijke theoretische tekst. Ze beschreven het handdelen tussen een derde partij en het slachtoffer als wangedrag, en gebruikten dit als pressie voor de dreiging. Als zodanig leek Avaddon zichzelf af te schilderen als een burgerwacht die corrupt gedrag aan het licht brengt (zij het met een financieel motief).

Op een andere website met de gelekte informatie toont Cl0p een vergelijkbaar patroon door zichzelf te beschrijven als een nobele burgerwacht die leugens en corruptie aan het licht brengt:

“Een jaar geleden, in 2019, hadden ze een ransomware-aanval. Nu, in 2021, hebben ze er weer een. Lessen geleerd? Nee. Klanten die [BEDRIJFSNAAM AFGESCHERMT] gebruiken zijn niet slimmer, misschien wel heel dom. Slimmere IT'ers smeken om vergiffenis en bieden een hamburger en milkshake aan. Ze zijn ook eigenaar van het [BEDRIJFSNAAM AFGESCHERMT] datacenter en de website claimt 650.000 klanten, maar ze zeggen dat ze geen geld verdienen. Cl0p is hier om alle leugens en bedrijven te ontmaskeren die alleen maar stelen onder het mom van normaal zakendoen.”

- (Cl0p, Lek Pagina 6)

Cl0p herhaalde dit patroon keer op keer. In het onderstaande citaat noemden ze het 'creatief boekhouden', wat impliceerde dat het slachtoffer belasting ontdook of betrokken was bij onethische financiële transacties.

“De zonden van sommige bedrijven. We sluiten dit bedrijf goed af. We nemen een aantal sappige geheimen mee die we binnenkort publiceren. IT-ers proberen zich te verbergen voor het management omdat ze een back-up hebben. Maar wat interessant is, is de creatieve boekhouding van dit bedrijf.”

- (Cl0p, Lek Pagina 3)

Bovendien is het gebruik van de term 'zonden' hier opmerkelijk. De negatieve connotatie van dit woord is bedoeld om de slachtofferrol van het slachtoffer te ontnemen, omdat zonden 'gereinigd' of 'verzoend' moeten worden of zelfs 'goddelijke vergelding' vereisen. Zo kon Cl0p het slachtoffer positioneren als een verdienstelijk doelwit voor de cyberafpersing. Tegelijkertijd stelde dit Cl0p in staat om legitimiteit te claimen voor hun burgerwachten door hun aanval te framen als een positieve morele daad, die op zijn beurt de morele dissonantie van criminele activiteiten neutraliseert.

Thema #1b: Burgerwachtcomplex - nalatige slachtoffers

De tweede manier waarop we hebben gezien dat dreigingsactoren zichzelf als burgerwacht positioneren, is wanneer ze stellen dat hun slachtoffers nalatig of roekeloos zijn met informatiebeveiliging. Wetenschappers hebben dit argument eerder gekoppeld aan de ontkenning van de slachtoffertechniek, zoals Chua en Holt (2016: 539) uitleggen:

“Het onvermogen van eindgebruikers om hun systemen te beschermen tegen compromitteringen of om te begrijpen hoe ze werken, wordt door sommigen gebruikt als een rechtvaardiging om zich bezig te houden met systeemcompromitteringen en kwaadaardige hacks.”

- (Chua en Holt, 2016: 539)

Het burgerwachtgedrag (dat wil zeggen: cyberafpersing) is dan bedoeld om bedrijven te dwingen hun praktijken te veranderen. Maze liet dit type neutralisatie zeer vaak zien, hoewel we ook voorbeelden zullen onderzoeken van Ragnar_Locker, Karakurt en SunCrypt.

In openbare aankondigingen beweerde Maze vaak dat slachtofferorganisaties het belang van de bescherming van gevoelige gegevens niet begrepen. Maze gebruikte dit gebrek aan bewustzijn om de cyberafpersing te rechtvaardigen en zo de cyberbeveiligingspraktijken van slachtoffers te verbeteren.

“Maar soms begrijpen bedrijven het risico van informatielekken niet, vooral de privé-informatie. Wij zijn gespecialiseerd in privé-informatie van klanten, financiële informatie, databases, creditcardgegevens, NDA-documenten en alle onderzoeken van het bedrijf ... We kunnen gewoon niet begrijpen waar [VERTROUWDE BEDRIJFSNAAM] het over heeft op het gebied van cyberbeveiliging, want ze hebben een veiligheidslek ter grootte van Australië in hun veiligheidsperimeter.”

- (Maze, persbericht juni 2020)

In een ander persbericht sprak Maze zijn ongeloof uit over de technische incompetentie van een slachtoffer:

“In die 2 dagen controleerde de bedrijfsbeveiliging niet eens de enorme activiteit binnen het bedrijfsnetwerk. Maar ondanks dat, zijn alle inbraken binnen de beveiligingsperimeter nog steeds open. Dat komt niet door COVID. Het is gewoon de luiheid en het ontbreken van de wil om iets te doen.”

- (Maze, persbericht april 2020)

In een ander voorbeeld vertelde Maze een verhaal over een aantal IT-specialisten en netwerkbeheerders die naar verluidt probeerden de omvang van een datalek te verbergen. Ze probeerden dit door te compromitterende informatie over hun leidinggevenden of gegevens van andere bedrijven aan Maze te verkopen.

“Een ander woord voor de IT-specialisten en netwerkbeheerders die de informatie over het datalek proberen te verbergen voor de leidinggevenden van het bedrijf. Ze maken alles alleen maar erger. We waren echt geschokt door het feit dat sommige netwerkbeheerders het lek probeerden te verbergen door ons toegang te bieden tot de gegevens van andere bedrijven, toegang tot de privélaptops van de directeur van het bedrijf of zelfs de naaktfoto's van de secretaresse van hun baas. Grappig maar waar.”

- (Maze, persbericht maart 2020)

In het laatste persbericht waarin ze de staking van hun activiteiten aankondigden, legde Maze expliciet het verband tussen hun vermeende activiteiten als burgerwacht en de nalatigheid van organisaties:

WAAROM? Onze wereld zinkt weg in roekeloosheid en onverschilligheid, in luiheid en domheid. Als je de verantwoordelijkheid neemt voor andermans geld en persoonlijke gegevens, probeer het dan veilig te houden. Zolang je dat niet doet, zullen er meer projecten zijn zoals Maze om je eraan te herinneren dat je gegevens veilig moet opslaan.

- (Maze, persbericht november 2020)

In dit manifest gebruikte Maze termen als 'roekeloosheid', 'onverschilligheid', 'luiheid' en 'domheid' om hun slachtoffers te beschrijven en te karakteriseren. Hierdoor kon Maze zichzelf (en andere dreigende partijen) positioneren als 'morele wrekers' die gebrekkige praktijken van informatiebeveiliging aan de kaak stellen om het internet uiteindelijk veiliger te maken. Dit wordt versterkt door naar zichzelf te verwijzen als een 'project', aangezien projecten intrinsieke doelstellingen hebben.

Ragnar_Locker deed soortgelijke claims bij vijf afzonderlijke gelegenheden in onze dataset. Bijvoorbeeld:

“Weer een voorbeeld van de onverschilligheid van het bedrijf ten opzichte van de verantwoordelijkheid voor de bescherming en veiligheid van informatie. We hebben het bedrijf op de hoogte gesteld van het beveiligingslek en hen eerlijk de kans gegeven om de ’bugs’ te repareren en het lekken van gegevens te voorkomen, maar daar zijn ze niet in geïnteresseerd.”

– (Ragnar_Locker, Lek pagina 2)

 

“Helaas hecht zelfs een wereldwijd bekend bedrijf als [BEDRIJFSNAAM AFGESCHERMT] niet veel waarde aan privacy en veiligheid. Ze zijn talloze keren op de hoogte gesteld van kwetsbaarheden en datalekken.”

– (Ragnar_Locker, Lek Pagina 3)

In het onderstaande citaat beschuldigde Karakurt hun slachtoffers ook van nalatigheid:

“Beste bezoekers, klanten en journalisten

Ons derde deel over bedrijven die in verschillende sectoren werken en hun gegevens niet hebben beschermd – tot uw dienst.”

– (Karakurt, Lek pagina 3)

In het citaat reframed Karakurt hun slachtoffers als schuldigen voor ’[het niet] beschermen van hun gegevens’. De slachtoffers waren niet langer slachtoffers, maar in plaats daarvan schuldigen die verantwoordelijk waren voor hun eigen tegenslag. Dit omdat informatiebeveiliging van essentieel belang is.

In een ander bericht ging SunCrypt verder door de incompetentie van een slachtoffer uit de IT- en cyberbeveiligingsindustrie te veroordelen:

“Het bedrijf dat beweert IT-oplossingen en netwerk- en beveiligingsauditservices te bieden, biedt je in werkelijkheid het verlies van je gegevens en de verantwoordelijkheid voor GDPR-niet-naleving. Zolang ze niet in staat zijn om hun eigen netwerk te beschermen. . . . Je hebt ze vertrouwd en ze hebben je in de steek gelaten.”

- (SunCrypt, Aankondiging 1)

In de vernietigende beoordeling van SunCrypt werd het slachtoffer afgeschilderd als iemand die zich niet bekommert om privacy, informatiebeveiliging of GDPR-compliance. De houding van het slachtoffer werd als nalatig en roekeloos bestempeld. Hierdoor lijkt SunCrypt de schuld en verantwoordelijkheid af te schuiven op het slachtoffer.

Ook REvil gebruikte bijna identieke taal in hun kritiek op een ander slachtoffer uit de IT-industrie:

“Uw klanten hebben u het meest waardevolle toevertrouwd - hun back-ups en gegevens voor opslag, maar u hebt uw taak niet uitgevoerd. . . . We hebben geconcludeerd dat u niet waardig bent om IT- en printoplossingen te bieden (alles waarvoor u verantwoordelijk bent). Uw klanten zouden zich voor u moeten schamen. U verstoort zowel uw reputatie als die van mensen die u hun veiligheid hebben toevertrouwd.”

- (REvil, Lek Pagina 3)

De taalkeuze van REvil lijkt aan te geven dat het slachtofferde de pijn van de ransomware aanval en cyberafpersing dubbel en dwars verdiende, omdat het een IT-dienstverlener is.

We hebben ook bewijs gevonden in de dataset dat in tegenspraak lijkt met de bewering dat REvil de specifieke neutralisatietechniek ’ontkenning van het slachtoffer’ inzet:

“INTERVIEWER: Voel je je als Robin Hood?

Eerlijk? Nee. Ik ben tegen het romantiseren van mijn werk. Geld wordt gestolen of afgeperst met mijn handen. Maar ik schaam me niet voor wat ik doe. Ik probeer oprecht om hier op zijn minst iets slechts in te vinden en dat kan ik niet. Waarschijnlijk zijn mijn concepten van wat goed en wat slecht is op de een of andere manier verschoven. Maar in dit geval zijn ze voor velen in dit beroep verschoven.”

- (REvil, Interview 3)

In dit korte fragment zien we een expliciete verwerping van het 'Robin Hood'- of burgerwachtcomplex. Nu is het mogelijk dat de geïnterviewde persoon van REvil verschillend was dan de persoon die de tekst op ’Leak Page 3’ schreef. Waardoor het aannemelijk is om te suggereren dat op individueel niveau beide verslagen accuraat en geldig kunnen zijn.

Toch roept het interview een aantal belangrijke vragen op. Kunnen wij als waarnemers vertrouwen op de geldigheid van elk bewijs van neutralisatietechnieken? Of dient het burgerwachtcomplex een ander doel, misschien als façade?

Het korte antwoord is dat we de dataset op nominale waarde moeten analyseren en niet meer moeten concluderen, dan wat direct uit de tekst zelf kan worden afgeleid. Toch is ook een kritische interpretatie nodig van wat er 'achter' en 'binnen' de tekst gebeurt - een benadering die sociale wetenschappers 'hermeneutiek' noemen. Er moet altijd rekening worden gehouden met de context en subtekst van het citaat, voor zover dat mogelijk is.

Met dit in gedachten kunnen we vaststellen dat er een groot verschil is in wie 'spreekt' op de REvil-pagina en het REvil-interview. Op de website met de gelekte informatie spreekt ’de stem’ van de REvil-organisatie tegen een breder publiek. Terwijl tijdens het interview ’de stem’ van het individu (die voor REvil werkt) praat tegen een interviewer.

Als we kijken naar de benadering van dramaturgische analyse die is behandeld in het vorige artikel beschrijft Goffman (1959), dat mensen zich op verschillende manieren gedragen als ze verschillende rollen aannemen. De schijnbare tegenstrijdigheden van het gedrag van REvil worden begrijpelijker volgens deze theorie.

Dreigende partijen kunnen de behoefte voelen om zich bezig te houden met publiekelijk neutralisatietechnieken om pragmatische of strategische redenen. Het kan bijvoorbeeld in strijd zijn met hun 'zelfbeeld' of ’bedrijfsmodel‘ om expliciet te beweren dat geld de enige beweegreden is om slachtoffers af te persen. Ook is het mogelijk dat er een ’morele kloof’ is tussen de hogere kringen van REvil, die het publieke imago bepaalt, en degenen die lager in de organisatie werken.

Het is vooral belangrijk om in te zien dat de persoon van het REvil-interview een opmerkelijk zelfbewustzijn toont van de criminaliteit en de manier waarop dit persoonlijke ethische opvattingen heeft beïnvloed. Mogelijk kan de drang naar geld en financieel gewin als dominanter worden gezien, dan een morele code die niet langer wordt nageleefd.

Thema #2: Beschuldiging van het slachtoffer als gevolg van mislukte onderhandeling over losgeld

Het tweede thema dat uit de dataset naar voren kwam, was dat dreigende partijen schuldvraagomkering gebruikten in tekst, als reactie op het gedrag van het slachtoffer na de ransomware infectie. Dreigende partijen beweerden met name dat het de eigen schuld van het slachtoffer was als er een datalek was opgetreden. Het slachtoffer had er namelijk voor gekozen om niet te onderhandelen over de betaling van het losgeld.

Karakurt legde bijvoorbeeld in een poging om zichzelf vrij te pleiten de verantwoordelijkheid voor een datalek bij de slachtoffers:

“We doen altijd ons best om de privacy van bedrijven vanaf het begin veilig te houden, alsof het datalek nooit heeft plaatsgevonden. Deze bedrijven hadden de keuze om alles geheim te houden of openbaar te maken. Onze slachtoffers hierboven hebben ervoor gekozen om gestraft te worden.”

- (Karakurt, Lek pagina 2)

De sleutelzin hierboven is: 'Onze slachtoffers hebben ervoor gekozen om gestraft te worden’. De bedoeling was om te suggereren dat de verantwoordelijkheid voor de datalek uitsluitend bij de slachtoffers lag, en hun beslissing om losgeld te betalen (of niet). Als de slachtoffers ervoor kiezen om niet te betalen, geeft dit de dreigende partij de mogelijkheid om te beweren dat hun handen gebonden waren en dat er geen andere mogelijkheid was dan de gegevens te lekken.

Op ‘Lek Pages 2 en 7’ beweerde Ragnar_Locker dat de data gelekt moest worden ’volgens hun regels’, omdat het slachtoffer weigerde losgeld te betalen. 'De regels' bepaalden de vereiste handelswijze, ook al schreef de dreigende partij deze zelf. De regels, als een abstracte constructie, creëert enige afstand tussen de dreigende partij en de verantwoordelijkheid voor hun acties.

In een andere onderhandeling chat probeerde DarkSide ook de dreiging van een datalek als wapen te gebruiken om het slachtoffer te intimideren, zodat losgeld betaald zou worden:

“Ondersteuning: Onze andere klanten kunnen in deze tijd betalen, als je wilt - je kunt niet betalen, we hebben publicaties nodig voor de blog.

Ondersteuning: Uw datalek zal een goede reden zijn voor andere bedrijven om ons te betalen.”

- (DarkSide, Onderhandeling chat 1)

Conti hanteerde een vergelijkbare aanpak in een onderhandeling, waarbij er werd uitgehaald naar het slachtoffer, nadat er geen 'redelijk' voorstel deed voor de betaling van het losgeld:

“Nee, we zijn niet tevreden, dit zijn belachelijke cijfers. Over 3 dagen zullen we je gegevens op onze website publiceren en naar geïnteresseerde partijen sturen, ook zal deze chat worden verwijderd, in de toekomst zul je geen transcriptie meer kunnen krijgen. . . . We doen altijd concessies. Het leek ons dat je besloot met ons te spelen door zulke bedragen te noemen. Nog een prettige dag en veel succes.”

- (Conti, Onderhandeling chat 24)

Met dergelijk taalgebruik probeerde de dreigende partij de verantwoordelijkheid en de schuld af te schuiven op het slachtoffer. Het doel lijkt om de claim van het slachtoffer op de status als slachtoffer te verkleinen. Het is ook een manier voor bedreigers om hun macht over het slachtoffer te laten gelden.

Door 'regels' op te stellen waaraan slachtoffers zich moeten houden, benadrukken dreigende partijen impliciet dat zij te allen tijde controle hebben over de situatie. Dit laat het slachtoffer weinig keus: meegaan in wat de dreigende partij wil of de gevolgen onder ogen komen (bijvoorbeeld een openbare datalek).

De bovenstaande voorbeelden zijn niet zo openlijk of direct als de rechtvaardigingen die we eerder in het artikel lazen, waarbij de dreigende partij de rol van burgerwacht op zich nam om corrupt, roekeloos of nalatig gedrag van slachtoffers te bestraffen. Het beoogde effect is echter hetzelfde: het neutraliseren van het bestaan van een onschuldig slachtoffer, zodat de dreigende partij zich niet meer hoeft te houden aan de ’morele regels van de samenleving’ (Brewer et al., 2020: 549).

Conclusie

In overeenstemming met de neutralisatietheorie van Sykes en Matza wordt in het bovenstaande benadrukt hoe mensen die zich bezighouden met cyberafpersing proberen het bestaan van een slachtoffer te verminderen of te ontkennen.

We observeerden dit gedrag op twee manieren. Ten eerste proberen de dreigende partijen hun slachtoffers af te schilderen als een slachtoffer dat de straf verdient, vanwege vermeende corruptie of nalatigheid. Zo kunnen dreigende partijen zichzelf positioneren als een burgerwacht, die afpersing bestempellen als rechtvaardige gerechtigheid.

De tweede benadering is botter, waarbij dreigende partijen de schuld voor het lekken van de data toeschrijven aan de keuze van het slachtoffer om geen losgeld te betalen. Zo lijken sommige dreigende partijen zichzelf vrij te pleiten van de verantwoordelijkheid voor de gevolgen van de datalek.

Er zijn ook een aantal overeenkomsten gevonden tussen deze twee benaderingen. Soms proberen dreigende partijen de slachtoffers die niet onderhandellen of geen losgeld betalen te typeren als hebzuchtig, roekeloos of nalatig. Als we ons nog een keer tot Goffman (1959) wenden, blijkt dat van slachtoffers wordt verwacht dat ze binnen de rol blijven die de dreigende partij voor hen heeft vastgesteld. Hoewel de prijs van het losgeld misschien onderhandelbaar is, zijn de 'regels van betrokkenheid' dat niet.

Bovendien is er verder onderzoek nodig om na te gaan hoe dreigende partijen de tijdelijkheid van het slachtoffer invullen. Dat wil zeggen, op welk moment wordt een slachtoffer een slachtoffer? Een deel van de zogenaamde 'schuldvraagomkering’ taal impliceert dat 'het slachtoffer pas slachtoffer wordt' als de data openbaar gelekt wordt, maar niet op het moment van versleuteling of diefstal van gegevens.

Door tijdelijk een aanval te herframen, lijken dreigende partijen te suggereren dat de acties die plaatsvinden voorafgaand aan de publieke datalek gezien kunnen worden als een ’niet-aanval’. Opnieuw zien we enige overlap met de ontkenning van schade techniek uit het voorgaande artikel. Een ontkenning probeert te herdefiniëren wat slachtofferschap is (en wat niet).

In het volgende artikel wordt de neutralisatietechniek die bekend staat als 'het veroordelen van de veroordelaars' besproken. Er zijn een aantal overeenkomsten geconstateerd met de tactiek van het beschuldigen van slachtoffers. Door de aandacht en verantwoordelijkheid af te leiden naar derden, zijn er aanwijzingen dat dreigende partijen proberen de aandacht af te leiden van de eigen verantwoordelijkheid voor hun daden.

Referentielijst

  • Brewer R, S Fox and C Miller (2020) ‘Applying the techniques of neutralization to the study of cybercrime’, in T Holt and A Bossler (eds), The Palgrave Handbook of International Cybercrime and Cyberdeviance. Palgrave Macmillan, Cham, pp 547-566.

  • Chua, Y T and T J Holt, ‘A Cross-National Examination of the Techniques of Neutralization to Account for Hacking Behavior’, Victims & Offenders, vol 11, no 4, pp 534-555.

  • Goffman, E (1959), The Presentation of Self in Everyday Life, Doubleday, Garden City, NY.

  • Smith, T and N Stamataakis (2020), ‘Defining cybercrime in terms of routine activity and spatial distribution: issues and concerns’, International Journal of Cyber Criminology, vol 14, no 2, pp 433-459.

  • Sykes, G M and D Matza (1957), ‘Techniques of neutralization: A theory of delinquency’, American Sociological Review, vol 22, no 6, pp 664-670.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11