Met je server door de ‘wasstraat’ tegen coronacybercrime

Fraude en aanvallen Door de ‘intelligente lockdown’ neemt de afhankelijkheid van internet toe en grijpen cybercriminelen hun kans. De politie ziet vaker WhatsApp-fraude en DDoS-aanvallen.

Meer dan 100.000 ‘coronadomeinen’ geregistreerd

Meer dan 100.000 ‘coronadomeinen’ geregistreerd

De pandemie was nog maar amper begonnen of het zwartste scenario leek zich te voltrekken: op 13 maart werd een Covid-19-testcentrum in Tsjechië korte tijd platgelegd door een cyberaanval, vermoedelijk om de organisatie af te persen. Hoewel de gevolgen beperkt bleven, zag het academische ziekenhuis van Brno zich die vrijdag genoodzaakt operaties uit te stellen.

Dat cybercriminelen proberen te profiteren van de coronacrisis is geen verrassing. Iedere actualiteit wordt aangegrepen. Momenteel bijvoorbeeld door de inhoud van phishingmails aan te passen aan de pandemie en de kans op een fatale klik te vergroten. Er is nu ook meer gelegenheid: door de ‘intelligente lockdown’ werken veel mensen thuis, waardoor de afhankelijkheid van internet is toegenomen.

Het Openbaar Ministerie en Europol waarschuwden eind maart voor een toename van cybercrime. Toch wil de Nationale Politie het beeld van sterk toegenomen cybercriminaliteit tijdens de pandemie nuanceren. „De cybercriminaliteit nam al langer toe. Die stijgende lijn zet nu door, maar de toename lijkt niet heel groot”, zegt een woordvoerder. Precieze cijfers over cybercriminaliteit tijdens de coronacrisis zijn er nog niet.

Lees ook dit artikel over hoe een aanval met gijzelsoftware precies werkt

Antibacteriële bankpas

Incidenten zijn er genoeg. Meermaals waarschuwde de politie voor criminelen die inspelen op de actualiteit, onder meer via phishingmails die gebruikers oproepen een ‘antibacteriële bankpas’ aan te vragen met een speciale beschermlaag tegen Covid-19. Op 7 mei arresteerde de politie twee mannen uit Amsterdam die zich via e-mail voordeden als ING-medewerkers. Ze mailden hun slachtoffers dat ze hun bankpas moesten vervangen. Vanwege Covid-19 werd afgeraden bij een bankfiliaal langs te gaan. Op een nagemaakte website werden de inloggegevens van hun bankrekening buitgemaakt. Een slachtoffer verloor zo 20.000 euro.

Ook het explosief gestegen aantal internetadressen met daarin coronagerelateerde termen wijst in de richting van misbruik. Onderzoekers die samenwerken op antiviruswebsite VirusTotal hadden eind april al meer dan tachtigduizend coronawebsites aangemerkt als ‘kwaadaardig’. ICANN, de internationale organisatie die webadressen verdeelt, scant de domeinen eveneens om rotte appels op te sporen. Sommige sites worden misbruikt voor phishing en het verspreiden van schadelijke software, schreef ICANN-directeur Göran Marby in een blogpost. „Criminelen verleiden internetgebruikers om hun inloggegevens en andere vertrouwelijke data af te staan met de belofte dat ze geneesmiddelen voor het coronavirus of beschermingsmiddelen kopen.” Verdachte websites deelt ICANN met nationale opsporingsdiensten of hostingbedrijven, die dan kunnen ingrijpen.

Ook online kindermisbruik is sinds het begin van de pandemie toegenomen, zei Europol-directeur Catherine De Bolle vorige week in het Europees Parlement. „Kinderen kunnen kwetsbaarder zijn, door bijvoorbeeld minder goed beveiligde online leerprogramma’s te gebruiken.”

De politie ziet vaker WhatsApp-fraude en DDoS-aanvallen, of bedreigingen daarmee. Bij fraude via WhatsApp worden mensen benaderd door criminelen die zich voordoen als bekenden. Vervolgens proberen zij hun slachtoffer te verleiden geld over te maken, bijvoorbeeld omdat ze krap bij kas zouden zitten. Deze vorm van cybercriminaliteit groeide voor de coronacrisis al sterk.

Ook via sms worden mensen benaderd. Bijvoorbeeld met de boodschap dat een openstaande schuld bij de Belastingdienst direct moet worden voldaan, omdat anders beslag wordt gelegd op eigendommen. De bijgevoegde link leidt dan naar een nagemaakte site, waar inloggegevens van betaalrekeningen worden buitgemaakt.

Lees ook: ‘Met corona creëert een hacker urgentie’

Gekaapte computers

Bij DDoS-aanvallen worden websites bestookt met internetverkeer van bijvoorbeeld gekaapte computers, met als gevolg dat domeinen plat dreigen te gaan en websites onbereikbaar worden. Bedrijven die voor een belangrijk deel van hun omzet afhankelijk zijn van digitale klanten, zijn hier beducht voor. Tijdens de coronacrisis wordt er meer online gewinkeld. Populaire webwinkels kunnen dan ook een lucratief doelwit zijn.

Ook voor afpersing, zegt Octavia de Weerdt, directeur van de Nationale Beheersorganisatie Internet Providers (NBIP). „Wat nieuw is, is dat ondernemers nu via WhatsApp berichten krijgen waarin wordt gedreigd met een DDoS-aanval. Kennelijk weten criminelen hun 06-nummers te achterhalen. Dan komt het gevoelsmatig een stuk dichterbij dan wanneer er een dreigmail bij het bedrijf binnenkomt”, zegt De Weerdt. Ze ziet ook vaker dat het niet bij bedreigingen blijft. „Voorheen bleef een werkelijke aanval vaak uit. Nu zien we dat er inderdaad wordt aangevallen als ondernemers weigeren te betalen.”

Internetbeveiliger Dick Snel liet twee NRC-redacteuren zienhoe makkelijk hun accounts zijn te hacken

De NBIP biedt een ‘nationale wasstraat’ tegen DDoS-aanvallen aan. Internetproviders van wie de klanten doelwit worden van een DDoS-aanval kunnen hun internetverkeer laten omleiden via de servers van de wasstraat. Daar wordt het oneigenlijke verkeer van gekaapte computers gescheiden van echte websitebezoekers. Het ‘schone’ verkeer wordt teruggeleid naar de internetprovider. Op dit moment ziet De Weerdt niet alleen de zwaarte van DDoS-aanvallen toenemen – ze duren langer en vinden plaats vanaf meer gekaapte computers – maar ook de agressiviteit.

Alhoewel het totale aantal iets afnam, noteerde de NBIP in het eerste kwartaal van dit jaar elf zware aanvallen (dat wil zeggen: met meer dan 40 gigabit per seconde ). Dat is net zo veel als in heel 2019. In hoeverre deze ontwikkeling wordt gevoed door de coronacrisis durft De Weerdt niet te zeggen. Ze herkent dat webwinkels, die momenteel druk worden bezocht, vaker doelwit zijn. Namen kan ze niet noemen. Bedrijven willen vaak geheim houden dat ze slachtoffer zijn.

Bekend is dat Thuisbezorgd.nl tijdens de coronacrisis in maart werd aangevallen en enige tijd slecht bereikbaar was. De Weerdt adviseert afpersers nooit te betalen. „Het voordeel van een DDoS-aanval is dat je ook nog kunt ingrijpen als je al onder vuur ligt. Door alsnog je internetverkeer te verleggen via een wasstraat. Betalen kan betekenen dat je op korte termijn weer wordt aangevallen.”