Betalingsverkeer gevoelig voor botnet-aanval

Een traditionele webaanval op de Rabobank verstoort langdurig online betalingen. Webwinkels beklagen zich over het kwetsbare systeem.

Steven Derix

Een serie van cyberaanvallen op financiële instellingen heeft de de afgelopen maanden duidelijk gemaakt hoe kwetsbaar het betalingsverkeer via internet is.

Deze week werd de website van de Rabobank 29 uur platgelegd door een zogeheten DDos-aanval van hackers. Het was al de tweede aanval van dit jaar: eind februari konden klanten evenmin betalingen doen, nadat de website voor internetbankieren uit de lucht was gehaald. Op het linkse webforum Indymedia verscheen een verklaring die afkomstig zou zijn van de Griekse terreurgroep ‘Samenzwering van de cellen van het vuur’. Die verklaring was nep, zo liet de inlichtingendienst AIVD weten. Maar bij de Rabobank willen ze nu wel zo snel mogelijk weten wie er dan wél achter de aanvallen zit.

Het antwoord op die vraag, zo is de afgelopen maanden gebleken, kan wel eens ontnuchterend zijn. Eind 2010 werd het betalingsverkeer van Visa en Mastercard compleet platgelegd nadat de creditcardmaatschappijen hadden aangekondigd geen donaties aan Wikileaks meer te zullen verwerken. Een hackerscollectief onder de enigmatische naam Anonymous riep computergebruikers over de hele wereld op om Visa en Mastercard, en later ook de betalingsservice Paypal, te saboteren.

De DDos-aanval (de afkorting staat voor Distributed Denial of Service) is een eenvoudige, maar buitengewoon effectieve manier om dat te doen. Het principe is simpel: elke website kan maar een bepaalde hoeveelheid informatie verwerken. Als duizenden computers tegelijk contact zoeken, raakt een website overbelast en gaat hij op zwart.

Soms worden de DDos-aanvallen uitgevoerd door vrijwilligers, zoals een 19-jarige jongen uit Sappemeer, die eind vorig jaar werd aangehouden. Op een chatkanaal had hij gelezen waar hij een programmaatje kon downloaden. De rest ging vanzelf. Maar vaak weten computergebruikers helemaal niet dat ze deel uitmaken van hack. Eind vorig jaar rolde de KLPD een groot netwerk van besmette computers op, waarmee criminelen uit Armenië cyber-aanvallen uitvoerden. Dergelijke ‘botnets’ worden zelfs op internet te koop aangeboden, vertelt Ronald Prins van het internetbeveiligingsbedrijf Fox-IT. „Een botnet van 100.000 computers kost 5.000 euro.” Je verdedigen tegen dergelijke aanvallen is lastig, vertelt Prins. „Je kunt de bandbreedte van de website vergroten, maar dat helpt niet echt. Want stel, je site kan 5.000 klanten tegelijk afhandelen. Dan heeft het boefje 6.000 computers nodig voordat de site onderuit gaat.” Banken kunnen een kopie van hun site laten draaien op een backup-server. Ook dat is een lapmiddel, zegt Prins. „Uiteindelijk winnen de aanvallers.”

Financiële instellingen staan dus voor een lastig probleem. Gisteren bracht Thuiswinkel.org, een belangenorganisatie van internetwinkels in Nederland, het bericht naar buiten dat haar 1.250 leden (ongeveer driekwart van de sector) 8 miljoen euro aan inkomsten hadden verloren door de storing bij de Rabobank. Die berekening, zo vertelt directeur Wijnand Jongen, is gebaseerd op de gemiddelde omzet per dag en het aantal betalingen dat Rabobankklanten via de betaalservice iDeal doen. Dat klanten vaak ook met hun creditcard kunnen betalen is niet meegenomen in de berekening. Dat klanten misschien de volgende dag alsnog een product bestellen, ook niet. Maar de berekening geeft wel een indicatie van de miljoenenschade die door ‘ddossers’ kan worden aangericht. Thuiswinkel-directeur Wijnand Jongen wil dan ook in gesprek met de Rabobank over het voorkomen van dit soort aanvallen. „Het is niet de eerste keer dat dit gebeurt bij de Rabobank. Dat roept de vraag op of banken in Nederland het tempo van ‘Cybercrime Nederland’ nog wel bij kunnen houden.”

Een woordvoerder van de Rabobank laat weten nog geen telefoontje van Thuiswinkel.org te hebben gehad, maar dat de organisatie „natuurlijk altijd welkom is.” De bank zegt niet te kunnen inschatten hoeveel schade er is geleden door de storing. De bank wil evenmin iets zeggen over de beveiliging. „ Maar we nemen dit hoog op. Daarom hebben we opnieuw aangifte gedaan.”

Volgens Ronald Prins van Fox-IT is dat laatste belangrijk. „In het wereldje heerst een beetje de sfeer dat je voor ddossen toch niet wordt gepakt. Arrestaties hebben meer effect dan wat de bank zelf kan doen.”