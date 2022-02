Duizenden smartphones in ons land zijn geïnfecteerd met stalkerware: software om de gsm van je partner of je ex stiekem te bespioneren. Dat blijkt uit cijfers die Knack opvroeg bij antivirusbedrijven. 'En dat is nog maar het topje van de ijsberg', zegt een beveiligingsexpert. 'Stalkerware is een onderschat probleem.'

1. Wat is stalkerware?

'In 2021, in volle coronapandemie, nam een jongedame uit een Vlaamse provinciestad contact met me op. Ze zei dat haar ex-partner zeer goed op de hoogte was van haar reilen en zeilen.' Aan het woord is Eddy Willems, beveiligingsexpert bij het Duitse beveiligingsbedrijf G DATA. 'Eerst dacht de vrouw dat haar ex het wachtwoord van haar mailbox kende. Ze hield ook rekening met spyware op haar laptop. Maar die was goed beveiligd. En het wachtwoord van haar mailaccount had ze al verschillende keren aangepast. Toen ik vroeg of haar telefoon beveiligd was, bleef het stil. Na het installeren van een security-app en een grondige scan werd meteen duidelijk dat er stalkerware op haar toestel was geïnstalleerd. Die bleek al haar foto's, sms'jes, WhatsApp- en Messenger-berichten te verzenden naar een server van de fabrikant van de stalkerware. De ex-partner kreeg via zijn abonnement al die gegevens automatisch doorgestuurd. De jonge vrouw was erg geschrokken en zei dat ze een klacht zou indienen bij de politie.'

...

De jonge vrouw was erg geschrokken en zei dat ze een klacht zou indienen bij de politie.' De term stalkerware verwijst naar software en apps die iemand in staat stellen het privéleven van een (ex-)partner stiekem te bespioneren via diens smartphone. Op afstand kan stalkerware het hele toestel in de gaten houden, inclusief zoekopdrachten op het web, geolocatie, sms-berichten, foto's, spraakoproepen en nog veel meer. Het doet denken aan de krachtige spionagesoftware Pegasus, ontwikkeld door het Israëlische bedrijf NSO Group. In de zomer van 2021 onthulde Knack in samenwerking met het journalistieke platform Forbidden Stories en vijf- tien internationale mediapartners dat Pegasus door klanten van NSO Group massaal wordt misbruikt tegen journalisten en mensenrechtenactivisten. De spyware is ontwikkeld om criminelen en terroristen op te sporen. Sinds de publicatie van het Pegasus Project blijft het in de internationale pers nieuwe onthullingen over Pegasus-misbruiken regenen. Eind januari nog maakte mensenrechtenorganisatie Human Rights Watch bekend dat Pegasus is aangetroffen op de gsm van een van haar directeurs. 'Er zijn enkele belangrijke verschillen tussen Pegasus en stalkerware', zegt de Franse onderzoeker Etienne Maynier. Hij werkt bij het Amnesty International Security Lab, dat voor het Pegasus Project forensische analyses deed op geïnfecteerde telefoons. 'Ten eerste zijn Pegasus en soortgelijke spyware heel duur en enkel beschikbaar voor overheidsinstanties. Stalkerware kost een pak minder - zo'n 20 tot 30 euro per maand - en is voor iedereen beschikbaar. Het tweede verschil heeft te maken met de manier waarop de infectie werkt. Pegasus maakt gebruik van geavanceerde technieken om smartphones te compromitteren. De besmetting kan op afstand gebeuren. Maar voor stalkerware heb je gedurende een paar minuten fysieke toegang nodig tot de telefoon van de ander om de app stiekem te installeren. Op de websites van stalkerwareapps kun je lezen hoe je dat aanpakt, bijvoorbeeld wanneer je partner onder de douche staat. Maar in elk geval heb je ofwel fysieke toegang tot de telefoon nodig, ofwel - in het geval van iPhones - toegang tot het wachtwoord van de iCloud-account.'' Zijn apps om je partner, ex of liefdesrivaal te bespioneren zomaar in Belgische winkels te koop? Knack nam de proef op de som en nam anoniem contact op met spyshops in drie Vlaamse provincies. 'Hallo, ik bel met een discrete vraag. Ik vroeg me af of het mogelijk was de gsm van mijn partner op afstand te volgen.' 'Wij verkopen geen software voor smartphones. Dat mag niet vande privacy', blokt één verkoopster meteen af. 'Bij ons kunt u terecht voor audioapparatuur, verborgen camera's, gps- tracking en meer van dat. Maar niets met smartphones.' Ook een tweede spyshop houdt de boot af. 'Het enige wat we nog in huis hebben, is iets om de telefoon uit te lezen, om gewiste gesprekken of andere info te achterhalen. Maar dan hebt u wel toegang tot het toestel nodig. Software om op zo'n smartphone te installeren is niet meer beschikbaar. De leverancier met wie wij werken, biedt zulke software al twee, drie jaar niet meer aan.' Bij de derde poging is het na enig aandringen wél raak. 'Software om de smartphone van uw partner te controleren? Op dit moment is dat niet mogelijk. Misschien binnen een paar maanden wel', klinkt het eerst. 'De nieuwste Androidversie is nog niet te kraken.' Ik antwoord dat mijn partner een al wat oudere Androidtelefoon heeft. 'Dan moet u me even mailen om wélke Androidversie en wélke telefoon het gaat. En dan kunnen wij verder bekijken wat we voor u kunnen doen. Maar weet wel: zulke software kunt u kopen vanaf 850 euro.' Op de vraag of zulke apps wel wettelijk zijn, antwoordt de verkoper vaag. 'Dat weet ik eigenlijk niet vanbuiten.' Waarom via een spyshop gaan als je stalkerware gewoon online kunt vinden? Tik op een zoekmachine 'spy on partner's phone' in, en je stoot op een enorm online aanbod aan stalkerware. 'De tien beste apps om je bedriegende echtgenoot te bespioneren', 'Volg de telefoon van je vrouw zonder dat ze het weet', 'Spionageapps om je ontrouwe partner te betrappen' enzovoort. Nog los van wettelijke en ethische bezwaren is het opletten met stalkerwareapps die je online aankoopt, waarschuwt privacyjurist Matthias Dobbelaere- Welvaert, directeur van de stichting Ministry of Privacy. 'Onze board heeft een aantal van die stalkerwareapps getest. Wat blijkt? Er zijn er een aantal die werken, maar het gros zijn valse apps die veeleer neigen naar phishing.' Ook het beveiligingsbedrijf ESET waarschuwde eind vorig jaar nog voor de gevaren. ESET had 86 stalkerwareapps geanalyseerd en bij 58 daarvan problemen aangetroffen met betrekking tot de beveiliging van de gegevens. Het Franse 'feministische hackerscollectief' Echap ageert tegen het gebruik van technologie bij geweldpleging tegen vrouwen. Op het online platform github.com houdt het een lijst bij met stalkerwareapps voor Android. Momenteel staan 68 apps op de lijst, met namen als Cerberus, FlexiSpy, mSpy, MiniSpy, LetMeSpy, PhoneSpying, SafeSpy en Spy24. 'De meeste stalkerware werkt op Android', zegt Maynier van Amnesty International. 'Omdat iPhones beter beveiligd zijn, is het erg moeilijk om er spionageapps op te installeren. In dat geval wordt meestal gebruikgemaakt van toegang tot de iCloud-account. Stalkerwarebedrijven doen alsof ze hun tools verkopen om kinderen te beschermen of om werknemers in de gaten te houden. Maar uiteindelijk merk je in hun communicatie dat ze bedoeld zijn om je partner te bespioneren.' Dat beaamt ook de Nederlandse IT-veiligheidsconsultant Martijn Grooten: 'De apps doen net alsof ze bedoeld zijn voor ouders met kinderen. Maar ga je dan kijken naar de FAQ's, dan staat erbij: "Hoe komt deze betaling op het overzicht van mijn kredietkaart?" Dat is typisch iets waar je je als spionerende partner zorgen om zou maken, maar toch niet als ouder die zijn kinderen wil opvolgen?' De markt van stalkerware bevindt zich volgens Grooten in een juridische schemerzone. 'Er zijn apps die puur gemaakt zijn om te stalken. Daarnaast heb je apps met legitieme doelen, die je ook kunt gebruiken om je partner te bespioneren.' Grooten is coördinator van de Coalition Against Stalkerware. Die is in 2019 opgericht als reactie op de groeiende dreiging van stalkerware. Grooten: 'Onder de tien oprichters heb je zowel bedrijven uit de IT-beveiligingsgemeenschap als organisaties die zich inzetten voor de strijd tegen huiselijk geweld. Vandaag telt onze coalitie meer dan 40 leden. We willen niet alleen stalkerware meer onder de aandacht brengen, maar ook hen die ermee te maken krijgen weerbaarder maken.' Wie de gsm van zijn partner wil bespioneren maar niet zelf aan de slag wil met stalkerware, kan ook proberen een hacker in te huren. 'Daarvoor hoef je zelfs niet naar het dark web te gaan', zegt ethisch hacker Inti De Ceukelaire van Intigriti, dat andere bedrijven helpt met de bescherming tegen cyberdreigingen. 'Je hebt ook websites zoals raidforums.com, waar gelekte databanken worden verkocht. Op zulke platformen bieden programmeurs en hackers hun diensten aan. Mogelijk kunnen ze voor een paar honderden euro's een telefoon hacken. Het is een kwestie van onderhandelen. Hoe minder up-to-date het besturingssysteem op de geviseerde smartphone is, hoe makkelijker de hacking en hoe lager de prijs. Maar ze zullen de smartphone niet altijd kunnen hacken. Het hangt ervan af of ze toegang krijgen tot het toestel en hoe verouderd het is.' Etienne Maynier van Amnesty International wijst er wel op dat online fora zoals raidforums.com 'meer en meer in de gaten worden gehouden door de rechtshandhaving. Hackers die er illegale diensten verkopen of er reclame voor maken, nemen steeds meer risico's.' Ook zonder hulp van een spyshop, online aangekochte stalkerware of in- gehuurde hackers kun je heel wat informatie uit je partners smartphone halen. 'Vergeet James Bondachtige aanvallen', zegt Maynier. 'De meeste problemen met digitale surveillance gaan over het dagelijkse leven. De Clinic to End Tech Abuse in New York deed onderzoek naar slachtoffers van geweld, in samenwerking met de lokale overheid en opvanghuizen. Wat bleek? Ze trof bijna nooit stalkerware aan. Doorgaans bleek de ex-partner nog het wachtwoord te kennen van bijvoorbeeld een Google- account gekoppeld aan de telefoon. Of kon de ex het wachtwoord makkelijk raden.' 'Kijk, veel functies in telefoons zijn er om gegevens te delen met mensen', stelt Maynier. 'Ze zitten ingebouwd in het besturingssysteem. En ze kunnen misbruikt worden - denk aan een gedeeld fotoalbum of gedeelde geolocaties om te weten waar je kinderen zijn. Je geopositie in realtime delen met je familie is dan weer een functie in Google Maps. Als je maar fysiek toegang hebt tot iemands toestel, zijn er veel manieren om die persoon te bespioneren, zonder dat hij of zij het weet.' Privacyjurist Matthias Dobbelaere-Welvaert zit helemaal op dezelfde lijn. 'Als je fysiek toegang hebt tot een telefoon, kun je al veel zien binnen de systeeminstellingen. Je hoeft geen dure software aan te kopen om dat te doen. Zo is het kinderlijk eenvoudig om op een iPhone retroactief na te gaan waar je partner is geweest. Je moet gewoon even doorklikken bij de instellingen.' Dobbelaere-Welvaert geeft het voorbeeld van de toepassing Find My Phone. 'Als je het wachtwoord van de bijbehorende iCoud- account kende, kon je daarmee makkelijk nagaan waar iemand uithing. Intussen heeft Apple die app wel dichtgetimmerd: het is nu moeilijker om aan te melden op een toestel dat niet behoort tot jouw Apple ID.' Nog een ander voorbeeld van technologie met legitieme doeleinden die misbruikt kan worden om partners te bespioneren, is de Apple Air Tag, die sinds april vorig jaar op de markt is. Voor 35 euro koop je zo'n tag met bluetoothfunctie, niet groter dan een muntstuk. Dobbelaere-Welvaert: 'Apple heeft die tags gelanceerd om bijvoorbeeld je fiets, sleutels, huisdier of handtas makkelijk terug te vinden. Maar al snel werden ze misbruikt om partners te controleren of hun voertuigen te volgen. Gelukkig heeft Apple daar nu een mouw aan gepast. Als er een Air Tag met jou meesurft die niet op jouw account geregistreerd staat, dan krijg je daarvan een melding.' Eind januari berichtte RTL nog over een voorval in België. Een jonge vrouw uit de regio Brussel getuigde dat ze met een vriendin en een nicht in de wagen onderweg was toen plots een van hun iPhones de nabijheid van een onbekende Apple Tag detecteerde. Gedurende een halfuur, van Steenokkerzeel tot in het centrum van Brussel, zou de tag de vrouwen hebben gevolgd. 'Je partner bespioneren is illegaal', zegt Christophe Van Bortel, cyberexpert van de federale gerechtelijke politie. 'De persoon van wie je gegevens bijhoudt, moet daarvan op de hoogte zijn én daar toestemming voor geven. Doe je het achter de rug van die persoon, dan bega je een aantal misdrijven - waaronder hacking. En afhankelijk van welke andere vormen er nog mee gemoeid zijn, kan het eventueel gaan om nog andere informaticamisdrijven, zoals datasabotage en eventueel valsheid in informatica.' En hoe zit het met de verkoop van stalkerware? Mag dat? Van Bortel: 'Met een Remote Access Tool (R.A.T., zoals TeamViewer, nvdr) kan je op afstand hulp toelaten op je computer of smartphone. Die mag legaal verkocht worden. Zolang het wordt gebruikt waarvoor het dient, is het in orde. Maar als je zo'n R.A.T. gebruikt om op afstand in iemands systeem in te breken, is het illegaal. Je kunt het hiermee vergelijken: iedereen mag een mes bezitten. Maar zodra er een aanleiding is om aan te nemen dat het gebruikt zal worden om iemand pijn te doen, dan is het illegaal. Dan spreken we over illegale wapendracht.' In september vorig jaar legde de Amerikaanse Federal Trade Commission, onder meer bevoegd voor consumentenbescherming, voor de eerste keer een ban op aan een stalkerware-ontwikkelaar. Het bedrijf achter SpyFone.com mag sindsdien géén surveillanceapps meer verkopen of aanbieden. En niet alleen overheden treden op, ook technologieplatformen kunnen maatregelen nemen. Zo paste de Google Play Store - waar je apps kunt kopen voor Android-smartphones - in 2020 zijn beleid rond stalkerware aan. Apps die gebruikers tracken en data naar een ander toestel sturen worden in de Store enkel nog toegelaten als ze constant melden dat de tracking aanstaat. De Gegevensbeschermingsautoriteit laat weten dat ze geen concrete klachten binnenkreeg over stalkerware, enkel informatievragen. Hetzelfde plaatje bij het Centrum voor Cybersecurity België. 'We krijgen nauwelijks klachten over stalkerware', zegt woordvoerster Katrien Eggers. 'Wij hebben geen cijfers over het gebruik van stalkerware, of misbruik van tracking- en surveillanceapps. Misschien kunt u daarvoor wel terecht bij de politie.' 'We kennen het fenomeen van stalkerware maar we zien het niet vaak', zegt cyberexpert Christophe Van Bortel van de federale politie. 'Incidenteel doet iemand aangifte dat er stalkerware op zijn gsm staat. Dan gaan we natuurlijk stalkerwareapplicaties opsporen in het kader van bewijsvoering. Maar we zullen niet proactief toestellen scannen op stalkerware. We voeren dus geen onderzoek naar stalkerware as such.' De Federal Computer Crime Unit (FCCU) van de federale politie registreerde vorig jaar géén cases rond stalkerware, zegt Van Bortel. De lokale politie van Antwerpen behandelde het afgelopen jaar wel enkele dossiers waarbij men vermoedde dat de verdachte gebruikmaakte van dat soort software. Volgens hun woordvoerder kon de lokale computer crime unit dat echter niet vaststellen op de toestellen van de slachtoffers. Van Bortel steekt het niet onder stoelen of banken: 'Stalkerware is voor ons géén prioriteit. We zetten volop in op andere cybercrimefenomenen die veel vaker voorkomen. Phishing is momenteel een van onze grootste zorgen.' Voor Eddy Willems van G DATA is het gebrek aan kennis een deel van het probleem. 'Natuurlijk kennen de FCCU's dit wel, maar voor de lokale politie is het erg gespecialiseerd. Het is een onderschat probleem in België. Ik denk dat het onder de radar blijft omdat mensen er te weinig kennis over hebben. Daarom doen slachtoffers ook geen aangifte, als ze al weten dat ze zijn bespioneerd.' Is er dan wel een probleem met stalkerware in België, gelet op het lage aantal klachten dat bij de overheid gerapporteerd wordt? Ja, stalkerware is wel degelijk een realiteit. Dat blijkt uit cijfers die Knack opvroeg bij negen bekende antivirusbedrijven. Want sinds enkele jaren detecteren die ook gericht stalkerware. Avast, Malwarebytes en TrendMicro lieten weten dat ze geen statistisch relevante data over België konden aanleveren. Maar de andere zes bedrijven stuurden wel cijfermateriaal door. F-Secure registreerde sinds maart vorig jaar 48 stalkerware-infecties bij Belgische klanten. G DATA komt op 73 gevallen voor heel 2021. In de drie voorafgaande jaren ging het om 37, 83 en 58 cases. 'Maar die cijfers moet je in perspectief plaatsen', zegt Eddy Willems (G DATA). 'Mogelijk gaat het maar om het topje van de ijsberg. Die cijfers zijn uiteraard afhankelijk van de grootte van je klantenbestand, maar ook van de vraag of klanten de informatie over infecties aan ons rapporteren - een keuze die ze kunnen aanvinken. Sinds de nieuwe Europese regels qua gegevensbescherming is dat een pak lastiger geworden. Nogal wat klanten schakelen de feedbackoptie uit. En vergeet niet dat veel Belgen helemaal géén antivirussoftware op hun telefoon installeren.' ESET spreekt voor België van 'honderden gevallen per jaar. De piek was in 2020, met meer dan duizend detecties.' Ook Bitdefender registreerde dat jaar een piek met 699 stalkerware-infecties, meer dan tien keer zoveel als het jaar ervoor. In 2021 ging het om 551 gevallen. Kaspersky noteerde een daling van 202 besmette Belgische toestellen in 2019 en 180 in 2020 naar 83 in de eerste tien maanden van 2021. 'De meest waarschijnlijke verklaring voor die daling is dat daders tijdens lockdowns de verblijfplaats van hun slachtoffers minder hoefden te controleren, aangezien ze thuis vastzaten', zegt Kristina Shingareva, hoofd Externe Relaties bij Kaspersky. 'Dat blijkt ook uit onze andere jaarlijkse data: sinds het begin van de pandemie is het gebruik van stalkerware in elke regio afgenomen.' Norton merkte een 'aanzienlijke stijging van stalkerwareapps' in 2020, met een piek op het einde van dat jaar. Onderzoeker Kevin Roundy van NortonLifeLock: 'Sindsdien zijn de stalkerware-installaties stabiel gebleven, op een hoog niveau.' De Belgische cijfers van Norton doen toch even duizelen. 'Tussen 19 mei 2021 en 21 januari 2022 waren er 12.472 stalkerwaredetecties op 8168 Belgische apparaten met Norton Mobile Security', zegt woordvoerster Róisín Long. Die cijfers liggen een pak hoger dan bij andere antivirusbedrijven. Welke definitie van stalkerware gebruikt Norton dan bij het opstellen van zijn statistieken? Long: 'Norton waarschuwt zijn gebruikers voor apps die kunnen worden gebruikt voor surveillance zonder toestemming op personen - zelfs als die apps in principe voor legitieme doeleinden worden gebruikt.' 'Stalkerware detecteren met antivirussoftware is echt belangrijk', zegt Etienne Maynier van Amnesty International. 'Maar uiteindelijk is huiselijk geweld het achterliggende probleem. Voor mensen die in een gewelddadige relatie zitten, kan het net gevaarlijk zijn om de stalkerware te detecteren of te verwijderen. Het kan de dingen nog verergeren. Daarom is er samenwerking nodig tussen IT-experts en opvanghuizen. Die laatste zijn niet altijd goed toegerust om met stalkerware om te gaan.' Volgens Anita Cautaers, directeur van CAW Groep vzw, is de term stalkerware nog niet echt ingeburgerd in de sector. 'Vanuit een van onze vijf vluchthuizen kreeg ik wel te horen dat ze bekend zijn met het fenomeen. Maar ze weten niet of ze er al vaak mee geconfronteerd werden. In dat vluchthuis zijn er al verschillende vrouwen geweest van wie de partner kon achterhalen waar ze waren, zonder dat we weten hoe. Het is best mogelijk dat het in bepaalde gevallen om spyware ging, maar dat weten we dus niet zeker omdat we het ook niet eenvoudig kunnen controleren. Er is al wel een vrouw geweest die wist dat haar man een GPS-tracker in haar auto geplaatst had. Zij heeft de auto heel bewust achtergelaten. Bij een andere vrouw was er spyware op de laptop geplaatst.' 'Sowieso raden we vrouwen aan om hun gsm uit te zetten als ze naar onze vluchthuizen komen', zegt Cautaers. 'Want ook als er geen spyware op het toestel staat, kan de partner erachter komen waar ze zich bevindt.' Het Centrum voor Cybersecurity België (CCB) kondigt aan dat het zijn website gaat updaten met advies over stalkerware: hoe herken je het en hoe krijg je het weer van je toestel? Enkele tips van het CCB: - Het is enkel mogelijk om stalkerware te installeren wanneer iemand fysiek toegang heeft tot jouw toestel. Indien niemand toegang heeft (gehad) tot je toestel, kun je ervan uitgaan dat je geen stalkerware hebt. - Doet jouw toestel vreemd? Denk aan een snel leeglopende batterij zonder dat je het toestel gebruikt, hoog datagebruik, notificaties die je niet verwacht, het toestel dat uit het niets heet aanvoelt, herstarten op onverwachte momenten enzovoort. Dat kan op malware of stalkerware wijzen. - Zoek naar onbekende apps of programma's op je toestel. Kijk vooral naar programma's die veel geheugen gebruiken en die op hetzelfde moment starten als je je pc opstart. - Voer een scan uit op je toestel met antivirussoftware. - Als je een stalkerwareapp of programma vindt, verwijder die dan. We raden aan om daarna met een antivirusscan te controleren of dat effectief gebeurd is. Om 100 procent zeker te zijn, kun je je toestel herinstalleren naar fabrieksinstellingen. Eddy Willems van G DATA voegt daaraan toe dat als je stalkerware van een toestel verwijdert, je het ook niet meer kunt gebruiken als bewijs in een rechtszaak. 'Het beste is om er een expert bij halen.'