De afgelopen dagen bezweken de sites van verschillende Nederlandse banken onder DDoS-aanvallen. Waarom is dat en hoe komt het dat het zo moeilijk is dat te voorkomen?

De overdosis webverkeer die afgelopen weekeinde de sites van ABN Amro en ING enkele uren ontoegankelijk maakte, leverde maandag opnieuw problemen op. Nu waren ook de Rabobank, DigiD en de Belastingdienst het doelwit. Daardoor konden klanten niet inloggen via sites en apps en was internetbankieren tijdelijk onmogelijk. De schade blijft beperkt tot ongemak; er is voor zover bekend niets gestolen.

1 Ligt de internetverbinding er vaak uit bij de banken?

Volgens de Betaalvereniging varieerde de beschikbaarheid van online bankieren in 2017 tussen de 99 en 100 procent, met als uitschieter 98,75 procent van SNS Bank en de Regiobank, in december. In 2013 was ING herhaaldelijk het slachtoffer van DDoS-aanvallen. In 2011 moest de Rabobank het ontgelden.

2 Wie of wat veroorzaakt deze storingen?

Een DDoS-aanval (distributed denial of service) is een gecoördineerde aanval die als doel heeft internetdiensten te blokkeren voor gewone gebruikers. Het verkeer is meestal afkomstig van een netwerk van gekaapte computers of apparaten (botnet). Botnets zijn te huur in het zwarte circuit, de coördinatie is in handen van daders die zich verstoppen achter nagebootste computeradressen en zelden worden gepakt. Hun motief kan baldadigheid zijn, chantage of een nieuw rondje phishingmails. Het kan geen kwaad extra kritisch naar de mails van je bank te kijken.

3 Kun je je wapenen tegen een DDoS-aanval?

Minder geavanceerde aanvallen door botnets zijn er continu. Als je webserver zwaar belast wordt – door een overdosis verkeer of goed gerichte verzoeken die (te) veel rekenwerk kosten – kun je wisselen naar een tweede serverlocatie die niet onder vuur ligt. Ook kun je het webverkeer schoonwassen: de hinderlijke bots scheiden van reguliere bezoekers. Scrubbing heet dat. Of je kunt zo veel bandbreedte bieden dat je alle webverkeer probleemloos aankan.

4 Weten banken dan niet hoe ze zich kunnen verdedigen?

Verdedigen vergt tijd. Scrubben lijkt op antivirussoftware die bedreigingen moet ‘leren’ voordat-ie ze uitschakelt. Het patroon van een standaard botnetaanval is bekend; dat geldt niet voor nieuwe, meer geavanceerde varianten die de banken nu treffen. Aanpassingen in de domeinnaam zijn voor een bank onhandig, verdacht buitenlandse webverkeer blokkeren werkt niet als je belaagd wordt via valse computeradressen. Voeg daarbij miljoenen veeleisende klanten: dat maakt banken tot zulke populaire doelwitten.