DDoS-aanval: redelijk eenvoudig te beginnen, lastig te bestrijden

Internetprovider Ziggo had twee dagen achter elkaar te maken met een DDoS-aanval, waardoor een groot deel van de 3,2 miljoen klanten niet kon internetten. Hoe werkt zo'n aanval precies? En kunnen bedrijven zich er wel vooraf tegen wapenen? Vijf vragen over DDoS-aanvallen.

Beeld thinkstock

Wat is een DDoS-aanval?

Bij een DDoS (Distributed Denial of Service)-aanval worden de servers van een bedrijf of instelling bestookt met zo'n grote hoeveelheid aanvragen dat deze overbelast raken. De aanval gebeurt met behulp van een botnet: een grote hoeveelheid 'zombie-computers' die - meestal zonder dat de eigenaar daar erg in heeft - zijn besmet met een virus.

Het virus zorgt ervoor dat de eigenaar van het botnet de computers kan aansturen. Ook dat gebeurt doorgaans op de achtergrond, zonder dat de eigenaar van de computer het merkt. Een botnet kan bestaan uit tientallen tot tienduizenden computers. Een webpagina wordt net zo vaak aangevraagd totdat de server het niet meer aankan en bezwijkt - de website ligt plat.

Beeld de Volkskrant - rvdm

Wat zijn de gevaren?

DDoS-aanvallen kunnen op zichzelf geen bankgegevens of andere privacygevoelige informatie aan een bank of particulier ontfutselen. Ze zijn puur bedoeld om systemen plat te leggen. Dat betekent echter niet dat er geen schade wordt berokkend. De DDoS-aanvallen op de Nederlandse banken in april 2013 heeft bijvoorbeeld tot omzetschade bij de webwinkels geleid doordat internetbankieren tijdelijk onmogelijk was en iDeal-betalingen niet konden worden uitgevoerd. Daarnaast is er sprake van imagoschade. En het herstellen van de systemen kost bovendien extra manuren. Dat geldt deze dagen ook voor Ziggo. Hoeveel schade de recente aanvallen hebben veroorzaakt, is nog niet bekend.

Cybercriminelen die uit zijn op het stelen van gegevens, combineren DDoS-aanvallen bovendien vaak met andere illegale praktijken, zoals phishing. Bij die laatste methode maken ze gebruik van bijvoorbeeld nep-e-mails om particulieren alsnog inloggegevens of pincodes te ontfutselen. Dat gebeurde ook bij de hack op de banken: criminelen maakten misbruik van de situatie door officieel lijkende e-mails te versturen met de vraag om bankgegevens op te sturen, zodat de bank zich zou kunnen bewapenen tegen de aanvallen. Dergelijke nep-mails zijn vaak onder meer te herkennen aan het gebrekkige taalgebruik. Er zijn overigens geen aanwijzingen dat de aanvallen op Ziggo bedoeld waren om gegevensdiefstal te faciliteren.

Beeld anp

Hoe vaak komt zo'n aanval voor?

Een blik op de website sicherheitstacho.eu geeft een beeld van hoeveel cyberaanvallen er dagelijks worden uitgevoerd: tussen de 150 duizend en 450 duizend per dag. Maar dit is nog maar het topje van de ijsberg, want de gegevens zijn afkomstig van 97 sensoren die Deutsche Telekom op verschillende plekken in de wereld heeft geplaatst. Deze zogenoemde 'honeypots' zijn een soort lokaas voor bots die automatisch zoeken naar beveiligingslekken. Het precieze aantal DDoS-aanvallen per dag is onbekend, maar in 2013 bleek uit een enquête van het Amerikaanse Ponemon Institute dat 65 procent van de ict-specialisten er dat jaar mee te kampen heeft gehad. Gemiddeld lagen de sites 54 minuten plat.

DDoS-aanvallen zijn aan de orde van de dag. Iedere site krijgt er vroeg of laat mee te maken, zoals iedereen met een e-mailadres wel eens spam krijgt. De ene aanval wordt nauwelijks opgemerkt, de ander heeft grote gevolgen, maar van een zeldzaamheid is dus geen sprake. 'Deze aanvallen vinden dagelijks plaats', beaamt ook een woordvoerster van het Nationaal Cyber Security Centrum (NCSC), dat de Landelijke Politie en het Openbaar Ministerie terzijde staat bij het onderzoek naar de aanvallen. 'Cybercriminelen worden steeds ingenieuzer. Ze zoeken steeds meer naar nieuwe manieren om systemen plat te leggen en bedrijven te dwarsbomen.'

De omvang en frequentie van de aanvallen bij Ziggo maakt dat veel mensen er last van hebben en dat de aanvallen groot in het nieuws komen. In de Verenigde Staten is het probleem nog veel groter: daar komt het voor dat meerdere websites van Amerikaanse banken soms wel dagenlang niet zijn te raadplegen als gevolg van aanvallen.

Beeld sicherheitstacho.eu
Beeld sicherheitstacho.eu

Wie doet nou zoiets?

Niet alleen hackers. Een DDoS-aanval kan verschillende motieven hebben. Bedrijfje pesten is een veelgehoorde. Wie een ING-kantoor - om welke reden dan ook - fysiek wil platleggen, zal eerst een grote groep mensen moeten mobiliseren en daarmee de ingang van het gebouw moeten blokkeren. Binnen de kortste keren zal de meute zijn verwijderd door de politie. Met een DDoS-aanval slaat iemand met dergelijke snode plannen meerdere vliegen in één klap: zo'n aanval is relatief gemakkelijk uit te voeren, er hoeft niemand gemobiliseerd te worden - want daarvoor is het botnet er per slot van rekening, en de aanval is veel lastiger te stuiten. Bovendien tref je er in het geval van een Ziggo of ING niet één bedrijf mee, maar ook veel klanten.

Afpersing kan ook een reden zijn. Zo werd in 2004 bijvoorbeeld een Russische bende gearresteerd die gokwebsites belaagde. De exploitanten ervan liepen daardoor miljoenen aan omzet mis. De cybercriminelen wilden best stoppen hoor, maar dan moest er wel even flink gedokt worden. En ten slotte kan een DDoS-aanval ook onderdeel zijn van een groter aanvalsplan. Bijvoorbeeld om - zoals eerder beschreven - klanten te verleiden hun inloggegevens af te staan via phishing. Maar het kan ook een afleidingsmanoeuvre zijn: door de aandacht te vestigen op de massale toestroom aan de voordeur, kunnen hackers via de achterdeur naar binnen glippen. Het motief voor de recente aanvallen is nog onduidelijk.

Actievoerders van Occupy bezetten een vestiging van de ING-bank aan het Rokin in Amsterdam.Beeld anp

Wat kunnen bedrijven er tegen doen?

DDoS-aanvallen vooraf volledig uitsluiten is onmogelijk; hooguit kunnen er maatregelen worden genomen die het de cybercriminelen wat lastiger maken. De meest effectieve maatregelen worden echter genomen wanneer de aanval reeds is ingezet. Denk daarbij bijvoorbeeld aan het tijdelijk inhuren van extra opslagcapaciteit of het scheiden van het malafide dataverkeer van de bonafide bezoekers.

Getroffen bedrijven willen niet zeggen welke maatregelen ze hebben genomen om dergelijke aanvallen voortaan sneller de kop in te drukken. Logisch: ze zouden dan een strategisch voordeel op de cybercriminelen verliezen. Ziggo heeft wel laten weten dat de aanval van woensdag 'groter' was dan die van dinsdag, waardoor de extra veiligheidsmaatregelen die na de eerste aanval waren getroffen, onvoldoende bleken.

Dit is een geactualiseerde herpublicatie van een artikel dat in 2013 op Volkskrant.nl verscheen.

Beeld thinkstock
Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden