Ping! Een mailtje in je inbox van het CJIB. Een boete voor te hard rijden. Maar: je hebt helemaal geen auto. Het is een phishingmail, en je had er bijna op geklikt.
Hoeveel van die mailtjes komen er wel niet voorbij? En toch weet niemand wie er achter die mailtjes zitten. Het spoor van zo’n phishingmail terugvolgen is praktisch onmogelijk. En dus wordt er zelden iemand opgepakt wegens phishen. Maar ze moeten toch érgens vandaan verstuurd worden. Waar dan?!
Videos by VICE
De stichting Spamhaus wijdt haar leven aan die vraag. Vanuit Genève en Londen houdt Spamhaus een lijst bij met de grootste spammers ter wereld. De lijst draagt de futuristische titel Register of Known Spam Operations, ofwel ROKSO.
Maar liefst 76 namen staan er op die twijfelachtige lijst. Ik vroeg me af: zitten daar ook Nederlanders tussen?
Ja dus. Eentje, om precies te zijn.
Op de lijst staat sinds 2014 het bedrijf ZYZTM Research Division, vanwege onder andere creditcardforums en phishingwebsites. Het bedrijf staat op naam van de mysterieuze ‘Ing. H.J. Xennt’.
Iemand met de naam Xennt moet ik spreken. Bovendien spreken we dezelfde taal. Spamhaus staat geregistreerd in Nederland en Xennt is geboren in het Gelderse Renkum.
Dus. Hoe vind je een man die niet gevonden wil worden?
Ik begin bij de website van ZYZTM. Dat lijkt een soort afleidingsmanoeuvre. Alle links zijn dood en er staat geen telefoonnummer op. Het enige dat ik aantref is een sci-fi logo dat uit de jaren 80 lijkt te komen. Ik vind wel wat e-mailadressen. Ik stuur een mail met de vraag of ik Xennt kan spreken voor een interview.
Elke doorkiesmogelijkheid leidt tot het verbreken van de verbinding.
Ondertussen zoek ik verder. Xennt staat niet in het telefoonboek. Maar online zijn wel verschillende telefoonnummers te vinden die van hem of zijn bedrijf zouden zijn. Nummers in Nederland, Duitsland, Tsjechië en Amerika. Ik bel ze allemaal.
De meeste nummers werken niet meer. De rest wordt niet opgenomen. Een keer kom ik terecht in een vreemd Engelstalig meerkeuzemenu. Maar elke doorkiesmogelijkheid leidt tot het verbreken van de verbinding.
Ik probeer het via een omweg. Spamhaus brengt het Nederlandse hostingbedrijf A2B Internet in verband met ZYZTM. Daar wordt de telefoon gelukkig wél opgenomen. Eigenaar Erik Bais staat me vriendelijk te woord. Zodra ik zeg dat ik op zoek ben naar Xennt, begint hij te gniffelen. Gegevens van “klanten” kan hij uiteraard niet doorgeven. Volgens hem gaat Xennt nooit instemmen met een interview, maar hijzelf “weet hem wel te bereiken als het nodig is.”
Hij is de eerste persoon die ik spreek die Xennt daadwerkelijk lijkt te kennen.
De mysterieuze figuur klinkt helemaal niet zoals ik verwacht dat een duistere cybercrimineel klinkt.
Een maand na mijn eerste mail is het ineens raak. Ik ben bijna verbaasd als het volgende telefoonnummer dat ik vind, in Arnhem, ineens wordt opgenomen. Een man met zacht Limburgs accent beantwoordt de telefoon.
“Hallo?”
Ik leg uit wie ik ben en waarvoor ik bel. “Met wie spreek ik?”
“Xennt.”
De mysterieuze figuur klinkt helemaal niet zoals ik verwacht dat een duistere cybercrimineel klinkt. Eerder als een zachtaardige oom uit het zuiden van Nederland. Hij is beleefd en vriendelijk.
Xennt geeft direct aan dat de plek op de ROKSO-lijst “berust op een misverstand. ZYZTM heeft sinds onze oprichting nooit één spam-mail verstuurd. Dus als ZYZTM dan op de Spamhaus-lijst van grootste spammers staat dan lijkt mij dat niet correct.”
Een logica waar niet veel tegenin valt te brengen. Behalve: dat ZYZTM een hoster is en dus niet zelf spam verstuurt, maar klanten zou faciliteren die dat doen.
Xennt is dus niet op de lijst terechtgekomen omdat hij zelf de hele dag spam zit te versturen. Zijn bedrijf ZYZTM is een hoster, een soort pandjesbaas op internet. Hosters verhuren online ruimte: serverruimte.
Als pandjesbaas weet je natuurlijk niet of je huurder een nette winkel begint of een hennepkwekerij. Maar als één pandjesbaas bijzonder veel wietplantages blijkt te faciliteren, gaat de politie toch vraagtekens zetten bij de verhuurder. Checkt hij zijn huurders wel goed genoeg? Of, erger nog, verdient hij mee aan hun criminele activiteiten?
Als ik volgens afspraak de week erop terugbel, is het nummer ineens afgesloten.
Die vergelijking gaat ook op voor zogenoemde ‘bullet proof hosters’. Dat is een term voor online pandjesbazen die erg veel louche huurders hebben. Die beginnen dan geen hennepkwekerijen, maar phishing- of malwaresites. Volgens Spamhaus is ZYZTM zo’n bullet proof hoster.
Kortom: zijn opmerking roept veel vragen op. We maken een afspraak voor een telefonisch interview, een week later.
Als ik volgens afspraak de week erop terugbel, is het nummer ineens afgesloten.
Ik wijk weer uit naar plan B: e-mail. Ik stuur nieuwe mails naar ZYZTM. Ik bel Bais opnieuw en vraag hem om een bericht door te sturen. En ik wacht.
Twee weken na ons gesprek mailt Xennt terug. Hij wil het gesprek per e-mail voortzetten, want hij zit “in het buitenland”. Maar ik wil hem toch spreken.
Inmiddels ben ik erachter dat Xennt in Duitsland woont. Volgens verschillende bronnen heeft hij zich gevestigd in een voormalig legerbasis 100 kilometer onder Koblenz. De Google Streetview-auto is er nog niet geweest, maar van bovenaf zie ik grote loodsen en parkeerterreinen. Al zoekend vind ik ineens een Duits telefoonnummer. En verrek.
“Dag, met Michiel.”
Dat klinkt Nederlands. En al even zuidelijk als Xennt zelf.
Xennt zelf is niet aanwezig, maar is “in principe elke dag op kantoor.” Een kantoor op een legerbasis… hm, denk ik. Maar twee dagen later spreek ik de man zelf. Het is gelukt.
Van Spamhaus is Xennt bepaald niet gediend. Ze spelen voor eigen rechter, vindt hij. Nonchalant: “Het is een soort mug die op de achtergrond zit te zoemen.”
Maar Spamhaus is toch geen kleine jongen. In 2013 waren ze doelwit van de grootste DDoS-aanval tot dan toe. De kranten stonden bol van deze digitale tsunami.
“We hebben 14 layers of security.”
Waarom? Een grotendeels Nederlands groepje hackers of activisten – het is maar hoe je het ziet – was boos dat hun organisatie Cyberbunker, een datacenter in een Zeeuwse bunker, op de ROKSO-lijst terecht was gekomen. Zij vonden dat onterecht, en besloten Spamhaus te overspoelen met een gigantische DDoS-aanval. Xennt was een van de mensen achter Cyberbunker.
Xennt en Spamhaus zijn dus niet bepaald vrienden.
Waar staan de servers van ZYZTM? “Dat is nou net een vraag die u niet moet stellen.” Dat is namelijk strikt geheim. “Van een lading goud vertel je toch ook niet waar die opgeslagen staat?”
En nu begrijp ik iets belangrijks: die geheimhouding is troef bij ZYZTM. Sterker nog: het is hun business model. “We hebben 14 layers of security. Eentje is dat er bewakers zijn, dat er honden zijn, dikke muren van een paar meter beton, en dat het beschermd is tegen bijvoorbeeld een atoomaanval.”
Maar hoe weer je dan klanten met verkeerde intenties, zoals cybercriminelen? “Onbekende klanten worden van tevoren gescreend.” Dat gebeurt door een korte Google search, mits de klant onbekend is. Verder gaat dat niet. “Als er abuse komt, dan wordt daarop door het personeel gereageerd zoals bij ieder ander datacenter.” De klant wordt gevraagd te stoppen met de criminele activiteiten. Zo niet, dan wordt de klant afgesloten.
Dan komen we aan bij de plaats op de ROKSO-lijst. Volgens Xennt berust die plaatsing op een misverstand. Een aantal jaren terug nam ZYZTM een reeks IP-adressen over van een cybercriminele partij. “Toen Spamhaus erachter kwam dat wij die IP-adressen nu gebruiken, hebben ze ons direct op de lijst gezet.” Terwijl die IP-adressen volgens Xennt op dat moment met een schone lei begonnen.
“Een bullet proof hoster heeft puur commerciële belangen.”
Volgens Szhafi Abdul-Hafiz van Spamhaus is dit onzin en maken ze absoluut geen vergissing. Hij schrijft mij in een mail: “Ze staan op de lijst vanwege hun handelen. Een tijdje geleden hebben ze inderdaad gezegd hun act op te schonen nadat ze dreigden ons aan te klagen, en hoewel ze minder misdaad hosten, zijn ze niet gestopt. Ze (hij) heeft ook onlangs ook Sven Olaf Kamphuis opnieuw uitgenodigd. En zoals je misschien wel weet: hij is de man die is veroordeeld vanwege de DDoS aanval op Spamhaus in 2013. Hiervoor hostte hij zijn eigen dirty network op ZYZTM.”
En Spamhaus is niet de enige die ZYZTM op malafide lijstjes plaatst. De website Phishtank heeft een actuele lijst met phishingsites die op de servers van ZYZTM staan. Het Luxemburgse BGP Ranking houdt een score bij van malafide netwerken. De rangschikking wisselt per dag, maar ZYZTM staat op plek 340 van de 11.000. Dat gebeurt niet zomaar.
En vlak voor publicatie stuurt Spamhaus me nog een lijst met 30 malafide activiteiten op de servers van ZYZTM uit het afgelopen jaar. Het varieert van phishing tot malware, botnet controllers en verschillende creditcard forums. “Het patroon is bijzonder interessant,” aldus Spamhaus.
Privacy is een groot goed, en een bullet proof hoster zou natuurlijk met legitieme reden gebruikt kunnen worden door bijvoorbeeld klokkenluiders, Maar volgens Rejo Zenger van privacywaakhond Bits of Freedom zijn dit soort hosters ook niet echt interessant voor een klokkenluider. “Een bullet proof hoster heeft puur commerciële belangen. Die zijn niet altijd gelijk aan die van de klokkenluider. Als klokkenluider kun je beter terecht bij een goede journalist.”
Nogal relevant is dus hoe ZYZTM aan nieuwe klanten komt. Waar en hoe worden die gezocht? Daarover blijft Xennt vaag. “De sales gaat via andere partijen.” Hoe die partijen heten, wil hij niet zeggen. Ook niet hoe klanten hen kunnen vinden. “Dat gaat allemaal via bekende kanalen van partijen die wij vertrouwen.”
Dat verklaart waarom er nergens op de website van ZYZTM degelijke contactgegevens staan. Maar vaag is het wel.
Zit er wellicht een idealistische motivatie achter al deze geheimzinnigheid? Iets als ‘het internet moet volledig vrij zijn’ of een ander hackerscliché? Toch niet. Xennt: “Ik denk dat online precies dezelfde wetten moeten gelden als in de fysieke wereld.”
Dat klinkt weinig verheven. Al die mysterie klinkt gewoon als een lucratief business model. Secrecy sells. En dat wil Xennt graag zo houden.