Beeld je eens in dat je rustig aan je computer zit en dit artikel leest. Plotseling schijnen er felle lichten en schijnwerpers door je raam. Tot de tanden toe bewapende politieagenten stormen uit het niets je kamer binnen. “Handen in de lucht!”, roept een van de agenten op een ferme en harde toon tegen je. Je hart klopt achter in je keel en je vraagt je af in welke Hollywoodfilm je bent beland. Dit moet een vergissing zijn, toch? Wat doe je op zo’n moment?
In dit scenario ben jij het slachtoffer van swatting. Iemand belt de politie en doet alsof jij een scherpschutter, ontvoerder of terrorist bent die kwaad in de zin heeft. Hulpdiensten nemen zo’n melding uiterst serieus en gaan direct over tot actie. Wat begon als een flauwe grap eindigt in een keiharde confrontatie met de politie, soms zelfs met dodelijke afloop. Swatting is een ernstig misdrijf dat je niet lichtvaardig moet opvatten.
In dit artikel staan we uitgebreid stil bij het fenomeen swatting, wie de swatters zijn en hoe je voorkomt dat jij slachtoffer wordt.
Swatting is een levensgevaarlijke grap waarbij de dader de politie probeert te overtuigen dat er zich een levensbedreigende situatie voordoet. Degene die een valse melding maakt van een noodsituatie, noemen we een swatter. Door een telefoontje te plegen hoopt hij dat speciale eenheden en andere hulpdiensten met groot materieel uitrukken en een onschuldige man arresteren.
De term swatting is afgeleid van het acroniem S.W.A.T. Dat is een onderdeel van de Amerikaanse politie dat bestaat uit speciaal getrainde agenten. Zij worden ingezet als zich een levensbedreigende situatie voordoet, zoals een gijzeling, ontvoering, bommelding of schietincident. De afkorting staat voor Special Weapons and Tactics.
Het oproepen van speciaal getrainde agenten voor een zogenaamde noodsituatie is een bekend voorbeeld van swatting. Het fenomeen is echter een stuk breder. In het verleden zijn ook de brandweer, politie, ambulances of maaltijdbezorgdiensten doelbewust naar een nietsvermoedend slachtoffer gestuurd. S.W.A.T. is weliswaar een Amerikaanse benaming, maar iedereen overal ter wereld kan het slachtoffer worden van swatting.
Swatting komt in belangrijke mate voort uit de online gaming community. Rivaliserende gamers gaan elkaar te lijf met swatting-aanvallen. Het beperkt zich niet tot deze groep: iedereen kan het slachtoffer worden van swatting, zeker als je op internet te veel informatie over jezelf prijsgeeft.
Om een swatting-aanval uit te voeren, moet de dader het een en ander over zijn slachtoffer weten, zoals zijn woonadres. Grofweg proberen ze op drie manieren zo veel mogelijk over hun slachtoffer te weten te komen.
Doxing: wanneer iemand privé-informatie van een ander open en bloot op het internet plaatst, veelal om de betreffende persoon te intimideren of angst aan te jagen, is er sprake van doxing. Persoonlijke gegevens zoals naam en woon- of bedrijfsadres zijn dan voor iedereen toegankelijk. Als deze informatie online staat, kunnen swatters daar misbruik van maken. Niet voor niets werkt de Nederlandse overheid aan wetgeving om doxing strafbaar te stellen.
Social engineering: social engineering is een vorm van bewuste psychische manipulatie. Hackers en internetcriminelen halen alles uit de kast om wachtwoorden, inloggegevens, financiële informatie en andere vertrouwelijke gegevens buit te maken. Swatters gebruiken deze methode ook, vaak om een huisadres van hun slachtoffer te achterhalen. Ze doen zich veelal voor als een medewerker van de klantenservice, bank, overheidsorgaan of handhavingsinstantie om zoveel mogelijk over hun doelwit te weten te komen.
Sociale media: tegenwoordig delen mensen steeds meer over hun privéleven op sociale media. Ze schrijven updateberichten, plaatsen foto’s en checken in bij een restaurant of winkel. Daarbij geven ze vaak hun locatie prijs. Dat is waardevolle informatie voor een swatter. Hiermee kunnen ze een swatting-aanval ontlokken op sociale media als Facebook, Twitter of Reddit. Bedenk daarom goed wat je wel en niet met de buitenwereld deelt.
Swatters voeren om uiteenlopende redenen een aanval uit. Soms proberen gamers hun aartsrivaal een hak te zetten, anderen willen hun slachtoffer online pesten of afpersen. Waarom de dader een swatting-aanval uitvoert, verschilt per geval. Wij hebben een aantal potentiële daders en hun motieven op een rij gezet.
Veel swatting-aanvallen vinden hun oorsprong in de chatrooms of online fora van de gaming community. Games als Call of Duty, World of Warcraft en Counter Strike hebben een live chat. Gamers kunnen hiermee in real-time met andere spelers praten. Soms leidt dat tot rivaliteit, hevige concurrentie of beledigingen. De gesprekken zijn soms dermate verhit dat een swatter besluit om zijn tegenstander ‘een lesje te leren’.
Daarvan zijn genoeg voorbeelden. Zo werd een gamer uit Pennsylvania ruw wakker gemaakt door een groep politieagenten die op zijn voordeur klopten. De agenten richtten hun geweren op hem en zijn familie. Wat bleek? Een swatter had ten onrechte een melding gemaakt dat er schoten in het huis van het slachtoffer waren gelost. Het incident eindigde vreedzaam, maar het had ook verkeerd kunnen aflopen. Volgens het slachtoffer was het een uit de hand gelopen grap van iemand die zijn YouTube-video’s niet leuk vond.
In juli 2021 werd de populaire Twitch-streamer Louis Sammartino door een SWAT-team overvallen nadat iemand een valse aangifte had gedaan tijdens een Fortnite-livestream. Hij zei niet te weten wie er verantwoordelijk was voor de aanval, of wat zijn motief was.
Gamingstreamers Summit1g en Ben ‘DrLupo’ Lupo hebben hardop gezegd dat ze regelmatig zijn lastig gevallen door fanatieke volgers die een swatting-aanval uitvoeren.
Of het nu om geld of chaos gaat, hackers vervullen vaak een sleutelrol als het om swatting gaat. Ze doen dit om uiteenlopende redenen.
Om een grap uit te halen: hackers zijn beruchte mensen die erom bekend staan dat ze een zo groot mogelijke ravage proberen te veroorzaken. In de meeste gevallen gaat het om een grap en willen ze met eigen ogen aanschouwen wat voor chaos ze teweeg hebben gebracht. De FBI heeft in het verleden Amerikanen gewaarschuwd voor dit soort geintjes. Hackers deinzen er namelijk niet voor terug om wachtwoorden van e-mailadressen te stelen. Wie hetzelfde wachtwoord voor slimme beveiligingsapparatuur gebruikt, riskeert dat deze apparaten tegen hen worden gebruikt, bijvoorbeeld om te spioneren. Hackers kunnen dan van afstand live genieten van een swatting-aanval.
Om mensen af te persen: er zijn voorbeelden van hackers die anderen afpersen door te dreigen met een swatting-aanval. Op deze manier proberen ze digitale spullen, bitcoin of andere cryptomunten van hun slachtoffer te bemachtigen. Door losgeld te betalen hoeven ze zich zogenaamd geen zorgen te maken.
Er woeden voortdurend politieke oorlogen. De spanningen tussen Oekraïne en Rusland zijn daar een goed voorbeeld van. Het zal dan ook geen verrassing zijn dat politieke leiders, hoge ambtenaren en politieke groeperingen het doelwit zijn geweest van swatting-aanvallen. In de VS was Melinda Abdullah, leider van de Black Lives Matter-beweging in Los Angeles, in korte tijd twee keer het doelwit van swatters. Ook conservatieve bloggers en schrijvers zijn vanwege hun controversiële opvattingen geliefde doelwitten van swatters.
Hoewel de slachtoffers prominente publieke figuren zijn, is het onduidelijk of de swatting-aanvallen politiek gemotiveerd waren. Mogelijk zagen de aanvallers het als een grap. Senator Ted Lieu uit Californië werd aangevallen omdat hij het voortouw nam in de strijd tegen criminaliteit. Ook voormalig First Lady Michelle Obama, FBI-directeur Robert Mueller en oud-CIA-directeur John Brennan zijn in het verleden aangevallen door swatters.
Swatting-aanvallen die plaatsvinden uit pure woede en haat, zien we in praktijk minder vaak. Dat wil niet zeggen dat ze niet bestaan. Of de woede gericht is tegen een bevolkingsgroep of draait om seksuele geaardheid of religie, haatgroeperingen zetten swatting-aanvallen in om anderen te intimideren.
Zo gebruikte John Denton, een voormalige neonazileider, swatting-aanvallen om zwarte kerken, een universiteit met veel Afro-Amerikaanse studenten en de nieuwsredactie van ProPublica te bestoken. Zij hadden namelijk verschillende artikelen over hem geschreven, wat niet in goede aarde viel bij Denton. De rechtbank legde hem een gevangenisstraf van 41 maanden op.
De meeste swatters hebben een specifieke reden waarom ze iemand aanvallen. Er zijn ook swatters die de lolbroek willen uithangen, puur om beroemdheden of andere prominenten lastig te vallen. Justin Bieber, Miley Cyrus en Tom Cruise zijn allemaal meerder keren geswat. De politie van Los Angeles heeft meerdere malen het huis van R&B-zangeres Rihanna bestormd. En beveiligingsexpert Brian Krebs is meer dan eens geswat vanwege zijn artikelen over cybersecurity.
De meeste swatting-aanvallen lopen goed af, maar dat is niet altijd het geval. Er zijn voorbeelden van incidenten waarbij mensen gewond zijn geraakt, of zelfs zijn overleden. Swatters gebruiken allerlei digitale middelen om hun identiteit en locatie te verbergen (spoofing, stemveranderaars en VPN’s). Handhavingsinstanties en hulpdiensten kunnen niets anders dan deze melding serieus nemen. Hieronder staan een aantal voorbeelden van swatting-aanvallen met een dodelijke afloop.
In april 2020 werd een computerprogrammeur aangepakt door hackers, omdat hij in het bezit was van een populaire gebruikersnaam voor Twitter (@Tennessee). De aanvallers wilden dat hij deze naam aan hen zou overdragen, maar dat weigerde de programmeur. Toen speciale politie-eenheden bij zijn deur aanklopten, stierf hij aan een hartaanval.
In december 2017 werd Andrew Finch, een man uit Wichita (Kansas), door de politie doodgeschoten tijdens een swatting-aanval. Rechercheurs ontdekten dat de man door een fout van swatters om het leven was gekomen. Gamers die Call of Duty: WWII speelden kregen ruzie over een weddenschap van anderhalve dollar, stuurden de politie per ongeluk naar het huis van Finch. De man had helemaal niets met de woordenwisseling tussen de gamers te maken. De rechter veroordeelde de dader Tyler Barriss tot een gevangenisstraf van 20 jaar. Twee andere gamers die bij het incident betrokken waren, kregen eveneens celstraffen opgelegd.
De Amerikaanse alarmcentrale kreeg in januari 2015 een telefoontje van een man die zogenaamd een bom had geplaatst op een kleuterschool. Toen de lokale politiechef en een team van speciaal getrainde agenten zijn huis bestormden, schoot de bewoner meerdere malen op de sheriff. De eigenaar wist niet dat de politie voor hem stond. Politieagenten ontdekten later dat de oproep naar de meldkamer niet vanuit het huis van de bewoner werd gepleegd. Het ging om een swatting-aanval die was opgezet door de buurman van de bewoner, die al enige tijd onenigheid met elkaar hadden.
Slachtoffers van een swatting-aanval lopen niet alleen het risico om gewond te raken of te overlijden. Het is ook een duur geintje voor de belastingbetaler. Experts schatten dat een swatting-aanval gemiddeld tussen de 3.000 en 15.000 dollar kost. Dat hangt onder meer af van de locatie waar de aanval plaatsvindt, de overuren die agenten moeten maken en de hulpmiddelen die nodig zijn om te reageren op een melding. Op jaarbasis kost swatting de belastingbetaler zo’n 240.000 dollar.
Voordat een hacker een swatting-aanval kan lanceren, moet hij het woonadres en de precieze locatie van zijn slachtoffer hebben. Deze informatie kunnen ze op allerlei manieren verkrijgen, onder meer via je IP-adres of social engineering. Om te voorkomen dat hackers privégegevens van hun doelwitten achterhalen, zijn er allerlei maatregelen om jezelf te beschermen.
1. Geef nooit je persoonlijke gegevens prijs op internet
Het is verstandig om goed de privacyinstellingen op platforms als Facebook, Snapchat en Instagram in de gaten te houden. Als je alles goed instelt, zijn je privégegevens en berichten beschermd. Check niet in op plekken die je locatie kunnen verraden en plaats geen foto’s van je woning op het internet. Als een aanvaller weet op welk gebied hij zijn zoektocht moet richten, kan hij met Google Maps je woonadres achterhalen. Laat daarom nooit privégegevens achter op het web voor anderen, tenzij je de bezoekers persoonlijk kent en honderd procent vertrouwt.
2. Gebruik je echte naam nooit als gebruikersnaam
Ben je actief in chatrooms of online fora en discussieer je graag over politieke, maatschappelijke of controversiële onderwerpen? Kies dan een gebruikersnaam die niet naar jouw echte naam te herleiden is. Als je een swatter beledigt of zijn woede op de hals haalt, kan een eenvoudige zoekopdracht wellicht meer informatie over je opleveren dan je lief is.
3. Gebruik een VPN
De afkorting VPN staat voor Virtual Private Network. Als je surft op het internet, krijg je een IP-adres van je internetserviceprovider. Dit IP-adres komt overeen met het fysieke adres waar je netwerkrouter zich bevindt, in de meeste gevallen je woning of kantoor. Een VPN maskeert je echte IP-adres, zodat hackers en swatters niet je daadwerkelijke locatie kunnen achterhalen.
Met een VPN krijg je een anoniem IP-adres toegewezen. Het lijkt dan alsof je vanuit de Verenigde Staten, Zwitserland, Australië of ander land waar een VPN-server staat een site bezoekt.
In de Verenigde Staten heeft swatting een goede juridische verankering. Swatters kunnen op federaal niveau vervolgd worden als ze een swatting-aanval uitvoeren. Meestal gebeurt dat echter op staatsniveau. Afhankelijk van de staat en de ernst van de aanval, kan de rechter hen hoge gevangenisstraffen of boetes opleggen. Als politieagenten of slachtoffers ernstige verwondingen oplopen, of erger, komen te overlijden, kan de rechtbank een levenslange celstraf opleggen. Boetes kunnen oplopen tot wel 250.000 dollar.
De hoogste gevangenisstraf voor het opzetten van een swatting-aanval in de VS, bedraagt tot nu toe 20 jaar. Dat is echter een uitzonderlijk geval. In de meeste staten ziet de rechtbank een swatting-aanval als een overtreding. De daders komen er vaak met een lichte straf van af. In Californië moeten swatters de kosten van de inzet van S.W.A.T.-agenten voor hun rekening nemen. Die kunnen oplopen tot ruim 10.000 dollar.
Nederland kent geen wetgeving die zich specifiek richt op swatting. In het Wetboek van Strafrecht is daarentegen wel een artikel opgenomen voor het doen van een valse aangifte. Het gaat dan om ‘valse alarmkreten of signalen die de rust verstoren’, zo stelt artikel 142. Wie zich daar schuldig aan maakt, kan een gevangenisstraf van maximaal één jaar worden opgelegd. Ook kan de rechter de dader een geldboete in de vierde categorie (tot 22.500 euro) opleggen.
Wie het alarmnummer belt zonder dat daartoe aanleiding is, riskeert een gevangenisstraf van maximaal drie maanden. De rechter kan tevens een geldboete in de derde categorie opleggen. Sancties in deze categorie kunnen oplopen tot maximaal 9.000 euro.
Ons land kent tevens wetten en regels voor mensen die een valse aangifte indienen of een lasterlijke aanklacht doen. Wie willens en wetens een aangifte of klacht doet wetende dat er niets gebeurd is, kan worden bestraft met een gevangenisstraf van één jaar, of een geldboete in de derde categorie. Iemand die de eer of goede naam van een persoon probeert aan te tasten door een valse klacht in te dienen, maakt zich schuldig aan een lasterlijke aanklacht. Hiervoor kan de rechter een gevangenisstraf van twee jaar of een geldboete in de vierde categorie opleggen.
Swatting is vaak als grap bedoeld. De gevolgen daarentegen kunnen zeer ernstig zijn, zeker als iemand ernstige verwondingen oploopt of de dood tot gevolg heeft. De voorbeelden die we in dit artikel noemen laten zien dat dit helemaal niet vergezocht is. Dan is een uit de hand gelopen grap ineens een misdrijf, (poging tot) doodslag of moord.
Om te voorkomen dat je ooit het slachtoffer wordt van swatting, is het belangrijk om zo min mogelijk details over je privéleven op internet te delen. Als je online gaat gamen of op fora je ongezouten mening achterlaat, zorg er dan voor dat je gebruikersnaam niet te herleiden is naar je echte identiteit. Om je IP-adres en dus fysieke locatie te verbergen, gebruik je een VPN.
Op online fora en andere digitale discussiekanalen gaat het er soms heftig aan toe. Probeer altijd je hoofd koel te houden en geen vijanden te maken. Wees op je hoede voor social engineering-tactieken en gooi niet je hele persoonlijke leven op sociale media.
