Handelen met voorkennis dankzij cybercrime

Vladislav Klyushin heeft tenminste twee jaar goed verdiend aan het handelen in aandelen, waardoor hij dankzij voorkennis en cybercrime een voorsprong op de markt had. De boef is echter opgepakt. Hij hoorde eerder deze week dat de jury in Boston hem op alle punten schuldig vindt. De rechter bepaalt in mei de celstraf, die kan oplopen tot 50 jaar.

Als criminelen hacken dan doen ze dat uitsluitend om er beter van te worden. Dat begrijpt iedereen. Maar op welke manier worden ze dan rijker? Bij ransomware is het plaatje duidelijk want er wordt losgeld betaald. Bij een gewone fysieke inbraak wordt een boef rijker omdat hij de gestolen goederen verkoopt of zelf gebruikt.

Voorkennis

Bij een digitale inbraak kan dat ook. De inbreker steelt data en verkoopt die aan de hoogste bieder, of aan de partij die hem de gerichte opdracht heeft verstrekt. Er is nog een andere variant en daarvan is het handelen van Klyushin een goed voorbeeld. Samen met nog tenminste vier andere personen verschafte hij zich toegang tot computers en ging daarbij gericht op zoek naar een soort data. Namelijk de data die kort daarop bekend zou worden gemaakt. De buit was dus voorkennis.

De slachtoffers van Klyushin en zijn handlangers waren stuk voor stuk beursgenoteerde bedrijven. Op basis van de data ging de bende over tot het innemen van short of long posities. Dat was door die illegaal verkregen voorkennis lucratief. Hij is beschuldigd hiermee $38 miljoen te hebben verdiend. Tot de slachtoffers behoorden Capstead Mortgage, Horizon Therapeutics, IBM, Microsoft, Roku, Snap, SS&C Technologies en Tesla.

Bijna-perfect misdrijf

Het heeft iets weg van een bijna-perfect misdrijf, maar het is duidelijk dat er toch fouten zijn gemaakt waardoor Klyushin tegen de lamp is gelopen. De onvermijdelijke fout was wederom het makkelijk te volgen digitale voetspoor. De criminelen benaderden elk van de bedrijven met een legitiem aanbod. Als dekmantel was er namelijk een bedrijf opgetuigd, M-13. Dit in Moskou gevestigde IT bedrijf leverde pentesting en “emulation of a full-fledged targeted attack.”

Ingetuind

Daar zijn dus veel bedrijven ingetuind, wat weer het nodige zegt of het ontbreken van kennis bij inkopers en directies. Klyushin is zelf ook ergens ingetuind, want in 2020 is hij tijdens een vakantie in Zwitserland opgepakt en vervolgens aan Amerika uitgeleverd. Schijnbaar was het hem niet opgevallen dat al heel lang en heel veel “vakgenoten” uit het verkeer zijn gehaald zodra ze een stap buiten Rusland zetten.

Zijn handlangers hebben vooralsnog de dans weten te ontspringen. Wel is exact bekend wie het zijn en hoeveel ze met het handelen in voorkennis hebben verdiend. Het (ver-) kopen van aandelen leidt immers onvermijdelijk tot veel data en sporen.