Achtergronden

DDoS-aanvallen op banken: Is ons geld nog wel veilig?

Onder meer ING, ABN Amro, Rabobank en de Belastingdienst werden afgelopen week getroffen door een DDoS-aanval. Wat moet je hierover weten en, nog belangrijker, is ons geld nog wel veilig?

Diensten van Nederlandse banken en de Belastingdienst waren het slachtoffer van DDoS-aanvallen. Dat had tot gevolg dat bepaalde diensten en systemen van de instanties enkele tijd onbereikbaar waren.

Wat is een DDoS-aanval?

DDoS staat voor 'Distributed Denial of Service'. Bij het uitvoeren van een DDoS-aanval wordt er in één keer heel veel internetverkeer op een server of een groep servers gericht. Het gaat om zo veel informatie tegelijk, dat servers het niet aankunnen, waardoor sites en online diensten plat komen te liggen en onbereikbaar worden.

Kwaadaardige DDoS-aanvallen lopen meestal via zogeheten botnetwerken. Dat zijn netwerken van computers of andere apparaten die zijn aangesloten op het internet, die besmet zijn met schadelijke software. Vanuit een centraal punt kunnen de apparaten vervolgens aangestuurd worden, bijvoorbeeld om spam te versturen. Kwaadaardige botnetwerken kunnen bestaan uit honderdduizenden of zelfs miljoenen computers.

Al die apparaten kunnen de opdracht krijgen om tegelijk honderden keren per minuut een website te bezoeken. Dat zorgt voor een vertraging in servers die ook bij onschuldige gebruikers voor problemen kan zorgen. In het geval van de banken wordt het bijvoorbeeld onmogelijk om te internetbankieren.

Is het geld op je rekening nog veilig?

Klanten van getroffen banken lopen geen groot gevaar, zegt hoogleraar internetbeveiliging Aiko Pras van de Twentse universiteit. "Het vervelendst is dat mensen ineens niet kunnen internetbankieren, omdat de diensten eruit liggen", zegt hij.

Aanvallers is het niet te doen om gegevens van klanten of toegang tot geld op de rekening. Zij leggen slechts de servers stil, zodat banken en klanten daar last van hebben.

"Het is niet uit te sluiten dat criminelen zo'n aanval uitvoeren als afleidingsmanoeuvre en dan tegelijkertijd proberen dieper in de systemen van de bank te komen", stelt de Betaalvereniging Nederland, de brancheorganisatie van Nederlandse banken. Daar is bij de recente DDoS-aanvallen echter nog geen concreet bewijs van.

Afgelopen weekend benadrukten de getroffen banken dat er van een hack geen sprake was. Dat betekent dat banksystemen en klantgegevens waarschijnlijk veilig zijn. De banken hebben inmiddels aangifte gedaan bij de politie.

Kunnen websites zich tegen DDoS-aanvallen wapenen?

Verschillende bedrijven bieden technieken aan om DDoS-aanvallen tegen te houden. Volgens de Betaalvereniging Nederland worden banken voortdurend belaagd met dit soort aanvallen. De meeste zijn echter niet krachtig genoeg om voor problemen te zorgen.

Pras vergelijkt het tegenhouden van DDoS-aanvallen met dijken langs een rivier. "Zij houden het water tot een bepaalde hoogte tegen, maar als het water hoger komt, hebben we een probleem." Zo biedt DDoS-beveiliging ook bescherming tegen een bepaalde capaciteit aan verzonden data.

Wie zitten erachter en waarom vallen ze aan?

Beveiliger ESET zegt dat de aanvallen zijn aangestuurd vanaf computerservers in Rusland. Dat wil niet direct zeggen dat de daders zich in Rusland bevinden. Ook is niet duidelijk of het gaat om staatshackers, criminelen of simpelweg kwajongens. De daders maakten gebruik van een botnet genaamd Zbot.

De reden voor de DDoS-aanvallen is niet duidelijk. In veel gevallen willen mensen bekijken wat ze met een aanval kunnen bereiken en hoe ver ze kunnen gaan. Soms is het simpelweg een kwestie van machtsvertoon. Zowel Pras als Van der Wiel zijn het erover eens dat banken weinig kwalijk te nemen is, omdat grote aanvallen nauwelijks zijn tegen te houden.

De aanvallers zouden nog niet klaar zijn. ESET waarschuwt dat ze honderden bedrijven in Nederland en het buitenland op het oog hebben. Daaronder zijn grote Duitse banken, Nederlandse banken als SNS Reaal Triodos en Knab en webwinkels Amazon, Otto en Coolblue.

Hoe wordt zo'n aanval uiteindelijk afgewend?

Komt er toch een aanval door de beveiliging heen, dan zijn er verschillende methodes om het op te lossen.

Kleinschalige en simpele DDoS-aanvallen zijn relatief eenvoudig af te slaan. Als een computer normaal in verbinding komt te staan met een server, dan sturen die berichten heen en weer om te bevestigen dat er een connectie is. Bij een simpele DDoS-aanval wordt een grote hoeveelheid verzoeken om een connectie te maken verstuurd, maar wordt niet gereageerd op de respons die de server vervolgens verzendt. Beveiligingssoftware kan dit gedrag herkennen en blokkeren.

Jornt van der Wiel, beveiligingsonderzoeker van Kaspersky, noemt als voorbeeld het snel wisselen van IP-adres. "De aanvallen worden dan op een bepaald adres uitgevoerd, terwijl de website al is overgezet op een ander adres. Op die manier is de site beschikbaar, terwijl de aanval doorgaat op een 'verkeerd' nummer dat nergens toe leidt."

Vooralsnog kunnen de Belastingdienst, banken en andere instellingen de aanvallen zelf nog aan, stelt het ministerie van Justitie en Veiligheid. Als dat verandert, kan het ministerie bijspringen: "De Nederlandse banken staan er in Europa om bekend dat ze hun cyberveiligheid goed op orde hebben. Je ziet wel vaak dat dat weer geavanceerdere aanvallen uitlokt. Er wordt nu op heel hoog niveau gestreden."

Lees meer over:
Tip de redactie