Flink meer DDoS-aanvallen, 'vaak jongeren vanaf hun zolderkamer'
Het aantal DDoS-aanvallen is het afgelopen jaar flink toegenomen. Rond de feestdagen kregen vooral webwinkels het zwaar te verduren. Op sommige dagen waren er meer dan 2500 aanvallen, waar dat gemiddeld een handvol is.
Het totale aantal DDoS-aanvallen lag vorig jaar 15 procent hoger dan in 2017. De cijfers zijn aan de NOS verstrekt door NBIP, een samenwerkingsverband van internetproviders. Die organisatie beheert de Nationale Wasstraat, waarmee providers zich kunnen beschermen tegen DDoS-aanvallen.
Volgens NBIP-directeur Octavia de Weerdt laat de piek in december zien dat het gaat om zeer gerichte DDoS-aanvallen. De gevolgen hadden dan ook groot kunnen zijn. "Veel webwinkels draaien de beste omzetten in december", zegt ze. "Als ze er dan uit liggen, lopen ze miljoenen euro's mis."
Veel webshops gingen uiteindelijk niet plat door de DDoS-aanvallen, omdat ze zich daartegen hebben beschermd. "Zonder bescherming waren ze zeker platgegaan. Daarvoor waren de aanvallen sterk genoeg", zegt De Weerdt.
Het aantal DDoS-aanvallen neemt rond bepaalde momenten vaker toe. "Hackers houden van vakanties", meldde beveiligingsbedrijf Cloudflare bijvoorbeeld al in 2012. Dat de aanvallers nu zo bewust kiezen voor de webwinkels als doelwit, is volgens Octavia de Weerdt simpel te verklaren. "Zeker in december zijn dat toch de eerste websites waar je aan denkt."
Dat komt de 19-jarige Simon (niet echte naam) bekend voor. Hij zat achter meerdere grote DDoS-aanvallen. "Je begint met een klein groepje mensen dat elkaar wil platleggen", zegt Simon. Gamers die geïrriteerd zijn door hun verlies, vallen elkaar dan bijvoorbeeld aan, zodat de ander geen internetverbinding meer heeft.
Als je op school zit, denk je er niet aan, maar als je thuiszit begin je je een beetje te vervelen.
"Vanuit daar ga je steeds grotere doelwitten zoeken", zegt Simon, die zelf een aantal grote websites heeft weten plat te leggen. Dat gebeurde vooral in de vakanties. "Als je op school zit, denk je er niet aan, maar als je thuiszit begin je je een beetje te vervelen."
Een andere DDoS'er, die ook achter een grote aanval zat, zegt eveneens vooral uit verveling en tijdens vakanties DDoS-aanvallen te hebben uitgevoerd.
Bekijk hier het verhaal van Simon die wegens privacyredenen onherkenbaar is gemaakt:
DDoS-aanvallen kunnen met relatief weinig middelen voor grote problemen zorgen. Begin vorig jaar leidde een reeks DDoS-aanvallen tot problemen bij onder meer de Belastingdienst, banken en DigiD. Achteraf bleken deze aanvallen het werk van eenlingen.
Speciale websites, zogenoemde booter- en stresser-sites, maken het tegen tegen betaling mogelijk om grootschalige DDoS-aanvallen op te zetten. Scholieren gebruiken dat soort websites ook om hun eigen school aan te vallen, meldde de NOS eerder.
Een paar weken geleden nog werden vijftien van dat soort websites gesloten door de politie. Eerder dit jaar werd de populairste bootersite, Webstresser.org, al uit de lucht gehaald.
Kattenkwaad
Toch heeft het uit de lucht halen van die websites nog niet het gewenste effect, zegt Frank Groenewegen van Fox-IT: "Je kan er wel vijftien offline halen, maar als er dan nog vijftien over zijn, heeft het niet helemaal effect. Even googelen en de aanvallers hebben zo een nieuwe gevonden. Zolang de aanvallers niet het gevoel hebben dat ze worden aangepakt, gaan ze ermee door."
Dat het veelal jongeren zijn die tijdens vakanties DDoS-aanvallen opzetten, verbaast cybersecurity-expert Rickey Gevers niet. "Het is een sport geworden onder de jongeren, ze halen een soort online kattenkwaad uit."
Iedereen probeert een eigen DDoS-kanon te creëren, waarmee ze bijvoorbeeld richten op webwinkels, zegt Gevers. "De meeste van die kanonnen zijn te klein, maar af en toe heb je een goede uitschieter waar websites flink last van kunnen hebben, of zelfs plat komen te liggen."
Wat de aanvallers doen is strafbaar. "Toch is het voor veel van hen niet meer dan het indrukken van een knopje op hun computer, ze beseffen vaak niet wat voor impact hun DDoS-acties hebben", zegt Groenewegen van Fox-IT. "Met een heel goede DDoS-actie kan je een half land platleggen."
Daarom is het belangrijk dat bedrijven zich hiertegen beveiligen, en dat kost geld, zegt beveiligingsexpert Gevers. De grote bedrijven zijn zich daar wel van bewust: "De aanvallers pakken daarom vooral kleine webwinkels, omdat die kwetsbaar zijn. Als ze dan platgaan zien ze effect, en dat is het leukst voor ze."
De naam Simon is gefingeerd.