Internetbankieren werkt niet, klanten kunnen niet inloggen en het betalingssysteem iDeal hapert; de gevolgen van de aanval die kwaadwillenden vrijdag voor het eerst inzetten op ING zijn niet gering. Ook de dagen erna krijgt de bank het voor de kiezen. Woensdag nog registreerde ING een zogenaamde DDoS-aanval.

Wat is een DDoS-aanval?

DDoS staat voor Distributed Denial of Service. Dat klinkt ingewikkelder dan het is, want internetcriminelen doen bij zo’n aanval niets anders dan de website van het doelwit bezoeken.

Dat doen ze echter niet vanaf één computer, zoals normale gebruikers, maar ze gebruiken daarvoor een zogenaamd botnet. Dat is een netwerk van vaak duizenden –soms hónderdduizenden– pc’s die, centraal aangestuurd door de criminelen, in korte tijd massaal contact proberen te maken met de website. Die raakt overbelast en daardoor onbereikbaar.

Cybercriminelen beschikken doorgaans niet over een loods vol computers. Een botnet bestaat veelal uit de pc’s van nietsvermoedende gebruikers. Met een eenvoudig virus weten de boeven de controle over uw computer over te nemen. Niet om ú kwaad te berokkenen; ze gebruiken de machine alleen om zo nu en dan wat dataverkeer te versturen. Op deze manier kan een botnet dus bestaan uit computers over de hele wereld. Dat maakt opsporing lastig.

De DDoS-aanval is niet het ingewikkeldste gereedschap van de internetboeven. Eigenlijk is het maar lomp geweld. Bij ING gingen de daders desalniettemin een stapje verder. Ze probeerden ook in te loggen op de site van de bank. Daarmee maakten ze de impact van de aanval nog zwaarder.

Wat is het doel van de cyberaanvallen?

Niemand weet nog wie de aanvallen op ING uitvoerde. Het is dus gissen naar de motieven. Maar er is wel een aantal mogelijkheden. Zo kunnen cybercriminelen een DDoS-aanval inzetten om het slachtoffer af te persen. Zolang er niet betaald wordt, gaan de aanvallen door. Ook komt het voor dat fraudeurs na een aanval e-mails rondsturen waarmee ze proberen inlogcodes van klanten te ontfutselen. Dit gebeurde ook na de aanvallen op ING, maar het is niet gezegd dat het om dezelfde daders gaat. DDoS-aanvallen worden ook ingezet om de aandacht af te leiden van verdachte transacties.

Vaker zijn ze het werk van zogenaamde scriptkiddies, amateurs zonder grote technische kennis die eenvoudige technieken gebruiken om simpelweg te jennen. Botnets zijn niet erg ingewikkeld om te maken, sterker nog: ze zijn zelfs te huur.

En er zijn de politiek gemotiveerde of activistische aanvallen. Zo belaagde internetactiegroep Anonymous in het verleden talloze websites, waaronder die van MasterCard en Visa, per DDoS. Het is niet ondenkbaar dat een soortgelijke groep het voorzien heeft op de banken, na alle recente financiële crises. Vaak echter worden dergelijke aanvallen opgeëist, want alleen zo kunnen de ”hacktivisten” hun punt maken. Dat is bij ING (nog) niet gebeurd.

Zijn de DDoS-aanvallen op ING uniek?

Zeker niet. Banken in de Verenigde Staten kampen al wekenlang met hevige aanvallen. Daarbij lagen de websites van vijftien grote financiële instellingen in totaal meer dan 249 uur plat. Die aanvallen zijn zo grootschalig dat de beschuldigende vinger inmiddels naar Iran wijst.

In eigen land was Rabobank in 2011 meermaals het doelwit van DDoS-aanvallen, waardoor klanten niet konden internetbankieren. Dergelijke aanvallen komen inmiddels zo vaak voor dat je gerust kunt stellen dat vrijwel elke grote website er weleens een voor de kiezen kreeg.

Is mijn spaargeld veilig?

Ja. Een DDoS-aanval levert de cybercriminelen geen bank- of klantgegevens op. Ze kunnen dus niet bij uw geld. De schade voor de bank is groter. Klanten kunnen niet inloggen, het betalingsverkeer ligt stil. Gebruikers mopperen en verliezen het vertrouwen. Reputatieschade is lastig in geld uit te drukken, maar de afgelopen week deed ING bepaald geen goed.

Wat kunnen banken doen om een aanval te voorkomen?

Weinig of niets. Het afwenden van een aanval vraagt zo veel overcapaciteit dat dit in feite onmogelijk is. Hooguit kan geprobeerd worden 
het ‘foute’ verkeer te identificeren en af te knijpen. Iets wat ING inmiddels doet, en volgens de bank met effect.

Wat wel kan is beter communiceren. ING was aanvankelijk niet erg scheutig met informatie. Sneller melden dat je het slachtoffer bent van een criminele aanval levert vermoedelijk meer begrip op dan de zoveelste nietszeggende storingsmelding. En het houdt klanten ook even uit de buurt, zodat ze de aanval met hun bezoek niet onbedoeld erger maken.