Vijf vragen

DDoS-aanval: redelijk eenvoudig te beginnen, lastig te bestrijden

Voor de derde keer in vijf dagen werd ING gisteren getroffen door een DDoS aanval. Ook de Telegraaf en iDeal waren afgelopen week de pineut. Hoe werkt zo'n aanval precies? En kunnen bedrijven zich er wel vooraf tegen wapenen? Vijf vragen over DDoS-aanvallen.

Beeld thinkstock

Wat is een DDoS-aanval?
Bij een DDoS (Distributed Denial of Service)-aanval worden de servers van een bedrijf of instelling bestookt met zo'n grote hoeveelheid aanvragen dat deze overbelast raken. De aanval gebeurt met behulp van een botnet: een grote hoeveelheid 'zombie-computers' die - meestal zonder dat de eigenaar daar erg in heeft - zijn besmet met een virus.

Het virus zorgt ervoor dat de eigenaar van het botnet de computers kan aansturen. Ook dat gebeurt doorgaans op de achtergrond, zonder dat de eigenaar van de computer het merkt. Een botnet kan bestaan uit tientallen tot tienduizenden computers. Een webpagina wordt net zo vaak aangevraagd totdat de server het niet meer aankan en bezwijkt - de website ligt plat.

Beeld de Volkskrant - rvdm

Het klinkt allemaal alsof je een ware supernerd of doorgewinterde hacker moet zijn om zo'n aanval te kunnen beginnen, maar niets is minder waar. DDoS-aanvallen worden via online marktplaatsen gewoon te koop aangeboden. Een uitpuilende portemonnee is evenmin vereist: voor enkele tientjes per uur kan er al een aardige aanval op poten gezet worden. De grootte van het gebruikte botnet en de duur van de aanval bepalen de prijs.

Wat zijn de gevaren?
DDoS-aanvallen kunnen op zichzelf geen bankgegevens of andere privacygevoelige informatie aan een bank of particulier ontfutselen. Ze zijn puur bedoeld om systemen plat te leggen. Dat betekent echter niet dat er geen schade wordt berokkend. De recente aanvallen op de Nederlandse banken heeft bijvoorbeeld tot omzetschade bij de webwinkels geleid doordat internetbankieren tijdelijk onmogelijk was en iDeal-betalingen niet konden worden uitgevoerd. Daarnaast is er sprake van imagoschade bij banken. En het herstellen van de systemen kost bovendien extra manuren. Hoeveel schade de recente aanvallen hebben veroorzaakt, is nog niet bekend.

Cybercriminelen die uit zijn op het stelen van gegevens, combineren DDoS-aanvallen bovendien vaak met andere illegale praktijken, zoals phishing. Bij die laatste methode maken ze gebruik van bijvoorbeeld nep-e-mails om particulieren alsnog inloggegevens of pincodes te ontfutselen. Dat gebeurde ook bij de hack op de banken: criminelen maakten misbruik van de situatie door officieel lijkende e-mails te versturen met de vraag om bankgegevens op te sturen, zodat de bank zich zou kunnen bewapenen tegen de aanvallen. Dergelijke nep-mails zijn vaak onder meer te herkennen aan het gebrekkige taalgebruik.

Beeld anp

Hoe vaak komt zo'n aanval voor?
Een blik op de website sicherheitstacho.eu geeft een beeld van hoeveel cyberaanvallen er dagelijks worden uitgevoerd: tussen de 150 duizend en 450 duizend per dag. Maar dit is nog maar het topje van de ijsberg, want de gegevens zijn afkomstig van 97 sensoren die Deutsche Telekom op verschillende plekken in de wereld heeft geplaatst. Deze zogenoemde 'honeypots' zijn een soort lokaas voor bots die automatisch zoeken naar beveiligingslekken. Het precieze aantal DDoS-aanvallen per dag is onbekend, maar onlangs bleek uit een enquête van het Amerikaanse Ponemon Institute dat 65 procent van de ict-specialisten er het afgelopen jaar mee te kampen heeft gehad. Gemiddeld lagen de sites 54 minuten plat.

DDoS-aanvallen zijn aan de orde van de dag. Iedere site krijgt er vroeg of laat mee te maken, zoals iedereen met een e-mailadres wel eens spam krijgt. De ene aanval wordt nauwelijks opgemerkt, de ander heeft grote gevolgen, maar van een zeldzaamheid is dus geen sprake. 'Deze aanvallen vinden dagelijks plaats', beaamt ook een woordvoerster van het Nationaal Cyber Security Centrum (NCSC), dat de Landelijke Politie en het Openbaar Ministerie terzijde staat bij het onderzoek naar de aanvallen. 'Cybercriminelen worden steeds ingenieuzer. Ze zoeken steeds meer naar nieuwe manieren om systemen plat te leggen en bedrijven te dwarsbomen.'

De omvang en frequentie van de aanvallen bij ING maakte dat het de aanvallen de afgelopen dagen groot nieuws waren. In de Verenigde Staten is het probleem nog veel groter: daar waren in de afgelopen zes weken de verschillende websites van Amerikaanse banken in totaal 249 uur niet te raadplegen als gevolg van aanvallen. Met andere woorden: 25 procent van de tijd waren de sites niet bereikbaar.

Beeld sicherheitstacho.eu

Wie doet nou zoiets?
Niet alleen hackers. Een DDoS-aanval kan verschillende motieven hebben. Bedrijfje pesten is een veelgehoorde. Wie een ING-kantoor - om welke reden dan ook - fysiek wil platleggen, zal eerst een grote groep mensen moeten mobiliseren en daarmee de ingang van het gebouw moeten blokkeren. Binnen de kortste keren zal de meute zijn verwijderd door de politie. Met een DDoS-aanval slaat iemand met dergelijke snode plannen meerdere vliegen in één klap: zo'n aanval is relatief gemakkelijk uit te voeren, er hoeft niemand gemobiliseerd te worden - want daarvoor is het botnet er per slot van rekening, en de aanval is veel lastiger te stuiten. Bovendien tref je er niet één ING-kantoor mee, maar alle 250 filialen plus het hoofdkantoor.

Afpersing kan ook een reden zijn. Zo werd in 2004 bijvoorbeeld een Russische bende gearresteerd die gokwebsites belaagde. De exploitanten ervan liepen daardoor miljoenen aan omzet mis. De cybercriminelen wilden best stoppen hoor, maar dan moest er wel even flink gedokt worden. En ten slotte kan een DDoS-aanval ook onderdeel zijn van een groter aanvalsplan. Bijvoorbeeld om - zoals eerder beschreven - klanten te verleiden hun inloggegevens af te staan via phishing. Maar het kan ook een afleidingsmanoeuvre zijn: door de aandacht te vestigen op de massale toestroom aan de voordeur, kunnen hackers via de achterdeur naar binnen glippen. Het motief voor de recente grote aanvallen is nog onduidelijk.

Oktober 2011: Actievoerders van Occupy bezetten een vestiging van de ING-bank aan het Rokin in Amsterdam. Beeld ANP

Wat kunnen bedrijven er tegen doen?
DDoS-aanvallen vooraf volledig uitsluiten is onmogelijk; hooguit kunnen er maatregelen worden genomen die het de cybercriminelen wat lastiger maken. De meest effectieve maatregelen worden echter genomen wanneer de aanval reeds is ingezet. Denk daarbij bijvoorbeeld aan het tijdelijk inhuren van extra opslagcapaciteit of het scheiden van het malafide dataverkeer van de bonafide bezoekers.

ING, iDeal en de Telegraaf willen niet zeggen welke maatregelen ze hebben genomen om dergelijke aanvallen voortaan sneller de kop in te drukken. Logisch: ze zouden dan een strategisch voordeel op de cybercriminelen verliezen. Het Nationaal Cyber Security Centrum laat wel weten dat de maatregelen die ING heeft genomen hun vruchten afwerpen.

Beeld thinkstock
Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden