Webshops kwetsbaar voor nieuwe generatie hackers

Volgens KPN neemt de opkomst van internetcriminaliteit vooral toe door de explosieve groei van online shoppen. Een webshop hacken is aantrekkelijk vanwege de lage pakkans, lage investering en hoge winsten. Gelukkig hebben we ethical hackers, die criminelen één stap voor blijven met steeds geavanceerdere tools: “Binnen 30 seconden wisten we wie hij was.”

Op het eerste oog hebben sneakergrootmacht Converse, autofabrikant Audi en de IJslandse zangeres Björk niets met elkaar gemeen. Gewoon drie willekeurige entiteiten in hun eigen bubbel. Toch is er een overeenkomst. Alle drie waren ze nog niet zo lang geleden het slachtoffer van skimming. En zij niet alleen. Beveiligingsonderzoeker Willem de Groot publiceerde in oktober 2016 een lijst van webshops die wereldwijd gehackt zouden zijn om consumenten te kunnen skimmen. Het zou gaan om ongeveer 5.900 webwinkels, waarvan 250 Nederlandse webshops.

Skimming is een vorm van betaalpasfraude waarbij criminelen de magneetstrip van een pas kopiëren en de pincode bemachtigen op het moment dat er een betaaltransactie wordt verricht. Vervolgens maken de fraudeurs een kopie van de pas. Samen met de pincode kunnen ze geld opnemen en betalen in binnen- en buitenland. Naast skimmimg houden malware, phishing, ransomware, botnets en DDoS-aanvallen webwinkeliers uit hun slaap. Wat kunnen ze doen? Hoe kunnen ze een hack voorkomen? Twinkle raadpleegde ethical hackers.

Domme computer

Hacken is volgens Wikipedia ‘het vinden van toepassingen die niet door de maker zijn bedoeld’. Complexiteit speelt daarbij geen rol. Simpele, snelle oplossingen hebben de voorkeur. ‘Ook het gebruik van een wasknijper om te voorkomen dat je broekspijp tussen de fietsketting komt is in principe een hack’, schrijft Wikipedia.

De schoonheid van de eenvoud. Dat blijkt. Sommige webshops zijn kinderlijk eenvoudig te hacken constateert ethical hacker Wouter van Rooij van ICT-bedrijf Sogeti in zijn dagelijkse beroepspraktijk. Van Rooij ziet een opmerkelijke vindingrijkheid. Zo had een grote online retailers onlangs een actie waarbij een gratis printer werd weggegeven bij een nieuwe laptop. Wat gebeurde er? Een slimmerik plaatste eerst de laptop in het winkelmandje en daarna de gratis printer. Het systeem berekende het totaalbedrag. Vervolgens werd de laptop verwijderd. De printer bleef staan en werd gratis bezorgd.

Nog een voorbeeld in de categorie webwinkeliers-foppen-is-een-prettig-tijdverdrijf. Een klant van een online designshop bestelde drie lampen en kwam op het lumineuze idee een minnetje voor zijn bestelling te plaatsen. Het computersysteem maakte een bestelling aan van -3 lampen. Nou, voor een negatief aantal lampen kan het totaalbedrag natuurlijk nooit hoger zijn dan nul. De klant kreeg drie lampen gratis geleverd. Computertje, wat ben je dom!

“Bijna dagelijks lees ik zulke dingen”, aldus Van Rooij, wiens vak het is hackers een stap voor te blijven. Voor klanten van Sogeti stelt hij programma’s, web-applicaties, websites en webshops op de proef. Hij misbruikt ze, leidt ze om de tuin, houdt ze voor de gek, neemt ze in het ootje. En daar is maar één reden voor. Hij wil weten of ze hackable zijn.

Van Rooij: “Het werk dat ik doe is volgens de wet strafbaar, maar natuurlijk geven mijn klanten me vrijwaring. Steeds meer organisaties nemen het onderwerp serieus. Ze benaderen mij om robuust te worden en aanvallen te weerstaan. Mijn belangrijkste advies aan webshops? Haal altijd updates binnen van de software die je gebruikt. Om resistent te worden tegen de bekende kwetsbaarheden of om de tijd dat je kwetsbaar bent zo kort mogelijk te houden. Plan updates iedere week in. Kleine webshops moeten daar de meeste effort in steken. Mijn tweede advies: volg het nieuws. Nu.nl schrijf hier veel over. Signaleer je een verdachte transactie, bijvoorbeeld een negatief getal op de orderbon, zoek dan uit wat er aan de hand is om ergere schade te voorkomen.”

SSL-beveiliging

Ethical hacking is niet nieuw. ‘Chique slimmer dan je criminele opponent’ schreef de auteur van dit artikel in 2009 in een verhaal over ethical hacker Jatin Sehgal van Ernst & Young. Sehgal, destijds Young Professional of the Year, brak een lans voor informatiebeveiliging. “Weak passwords are like dirty socks, change them”, liet hij fijntjes optekenen. Het grootste risico was volgens Sehgal de combinatie van kwetsbare systemen en menselijke naïviteit: “Menselijk gedrag is de zwakste schakel. Het is als het afsluiten van je huis, de sleutel onder je deurmat leggen en denken dat er niets kan gebeuren.”

Prettige bijkomstigheid: een sterk wachtwoord bedenken kan iedereen. “Hoe langer hoe beter” luidt het advies van Wouter van Rooij als het gaat om wachtwoorden. “Lengte is belangrijker dan complexiteit”, vindt de security-specialist bij Sogeti. En wie zijn wij om dat advies in de wind te slaan? Hacken is een volwaardige criminele bedrijfstak geworden en ethical hackers zijn de good guys. Van Rooij: “We maken organisaties bewust en lichten hen voor. Daar wordt goed naar geluisterd. Ik hoef het evangelie niet meer te verkondigen.”

Vooral kleine webwinkels zitten met beveiligingsissues, laat webwinkeladviseur Patrick Heijmans weten. “Ze kunnen niet overal verstand van hebben. Ze kopen en installeren een goedkoop e-commerce pakket. De back-end nemen ze vaak niet mee. Ze denken dat hen niks zal overkomen. Maar ja, mailadressen en creditcardgegevens liggen zomaar op straat.” Heijmans constateert dat ze vaak de SSL-beveiliging, het groene slotje, niet op orde hebben. Jammer en onnodig, want een hostingprovider of sofwareleverancier heeft dat binnen enkele dagen gefixt.

Een aandachtspunt is ook het beveiligen van de eigen server tegen DDoS-aanvallen, stelt Heijmans. DDoS staat voor Distributed Denial of Service. Met een DDoS-aanval maken heel veel computers, vaak vanaf verschillende locaties ter wereld, verbinding met één server. De server is het doelwit. De achterliggende motivatie van een DDoS-aanval is vaak ontevredenheid over een dienst of bedrijf. Met andere woorden: wraak nemen. De aanvallers proberen de server traag of onbereikbaar te maken en overspoelen die met webverkeer. Om dit voor elkaar te krijgen zetten ze botnets in, software-robots die automatisch en zelfstandig opereren. Zo kan in korte tijd een bak ellende worden veroorzaakt.

Afpersing

Gelukkig hebben we de ethical hackers, die ons behoeden voor rampspoed. Hackers een hak zetten, dat is de grote uitdaging voor Ruben van Vreeland van de Eindhovense startup BitSensor. Van Vreeland hackt al sinds zijn 14e: “Ik ging bedrijven hacken en ze daarna helpen, zodat kwade hackers niet meer in konden breken.”

Van Vreeland heeft al veel bad guys een hak gezet. “Ik kom altijd binnen”, klinkt het vol zelfvertrouwen. Zijn talent heeft hij inmiddels geprofessionaliseerd. BitSensor werkt voor grote bedrijven als Marktplaats, eBay, Linkedin en Indiegogo. Zij lopen de deur plat bij hem omdat ze er schoon genoeg van hebben dat ze steeds weer door hackers worden verrast, en soms zelfs afgeperst. Ze hebben BitSensor nodig om hun website veilig te houden, om geïnformeerd te worden over de Europese privacyrichtlijn GDPR (General Data Protection Regulation) of om te vernemen hoe ze invulling kunnen geven aan de Meldplicht Datalekken. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een datalek hebben.

Hoe verklaart Van Vreeland het succes van BitSensor? “We hebben een compleet nieuwe methode ontwikkeld, een soort radarsysteem dat de aanval volgt vanaf het eerste moment. We hebben de hacker continu in het vizier en zien precies wat er gebeurt. We zien welke data is gestolen, volgen en blokkeren de hacker. Of we kunnen garanderen dat er géén aanval heeft plaatsgevonden. Want soms is het gewoon bluf.”

De aanpak van Van Vreeland is opmerkelijk open. Marktplaats adviseerde hij hackers juist aan te moedigden en te laten uitleggen hoe ze het hadden aangepakt. Zo doet hij het ook op een van zijn eigen site’s hackme.bitsensor.io. ‘Welcome to BitSensor’s hacking competition’, lezen we op de homepage. Van Vreeland: “We moedigen hackers aan te kijken of ze binnen kunnen komen. Soms geven we tips om hun aanval te verbeteren. Vaak hebben we zelf binnen 30 seconden door wat de identiteit van de hacker is en welke tools hij gebruikt. Ons systeem draait bij de klant of in de cloud. De algoritmes hebben we zelf ontwikkeld. Voor onze BitSensor-aanpak hebben we patent aangevraagd.”

Meer DDoS-aanvallen

Webwinkeliers hoeven volgens Van Vreeland geen verstand van zaken te hebben: “We praten over complexe materie en specialistische tools. Security moet je outsourcen, dat doe je er niet even bij. Dat geldt zeker voor de e-commerce omdat daar zo direct met geld kan worden gerommeld. Hackers hebben ook een businessmodel. De e-commerce is voor hen juist interessant. Webwinkels zullen nieuwe manieren moeten vinden om aanvallen te detecteren voordat er schade wordt veroorzaakt. Gelukkig zien veel bedrijven die noodzaak nu wel in.”

Ondertussen gaat de oorlog verder. Uit onderzoek van het Amerikaanse securitybedrijf Prolexic blijkt dat het aantal DDoS-aanvallen flink toeneemt. Er is zelfs sprake van een verdubbeling ten opzichte van 2011. Ook de websecurity-afdeling van PwC luidt de noodklok: “Wij zien helaas dat webwinkels steeds vaker worden aangevallen om klantgegevens te bemachtigen”, aldus Erwin de Horde. “Doordat webwinkels vaak onvoldoende beveiligd zijn, vormen zij een gemakkelijk doelwit.”

Webwinkeladviseur Patrick Heijmans geeft de lezers van Twinkle mee dat het veiliger is om alleen vanaf je eigen IP-adres in te loggen op de back-end van de webwinkel. Heijmans: “Dat kun je zelf instellen. Verder belangrijk is dat je je complete webwinkel beveiligt en niet slechts een deel. Het contactformulier en de checkout hebben veel webshops wel beveiligd. De homepage, het winkelwagentje en het CMS vaak niet. Ikzelf heb verschillende plug-ins geïnstalleerd om mijn eigen webshop te beveiligen. Als er iets onveiligs wordt gesignaleerd, wordt het IP-adres geblokkeerd en is de back-end alleen toegankelijk vanaf mijn eigen IP-adres. Dan is de kans al een stuk groter dat de hacker een deurtje verderop gaat shoppen.”

recente artikelen

gepubliceerd in diverse (vak)media

TASC: nieuw aanvalsplan voor technische talenten

Techniekschool TASC is het Amsterdamse antwoord op het tekort aan vakkrachten. Directeur Odilon Romero: “We hebben nu 140 leerlingen. Dat moeten er 500 worden.”

Lees artikel »

Diedert de Wagt's frisse kijk op geopolitiek krachtenspel

Tien jaar werkte geschiedkundige Diedert de Wagt aan ‘Bij gebrek aan beter’, een analyse van de onbekende kant van het officiële geopolitieke verhaal.

Lees artikel »

Camera's op bouwplaats tarten privacy personeel

Camera's op bouwplaatsen zijn ingeburgerd voor monitoring van diefstal en koppelingen met bedrijfsnetwerken. Mooi maar er is een keerzijde: privacyrisico's voor personeel.

Lees artikel »

Extreem veel IT'ers raken overwerkt en opgebrand

Uit recente studies blijkt dat IT'ers vijf keer meer kans hebben op een burn-out dan andere professionals. Gaat de IT-sector ten onder aan het eigen succes? "Durf eens te falen."

Lees artikel »

Nanoknutselen in de cleanroom van TU Delft

Het Else Kooi Lab van de TU Delft is een cleanroom van wereldformaat. Op 20 maart mocht de pers naar binnen. "De volgende stap? Deeltjes isoleren op atomair niveau op één chip."

Lees artikel »

Hoe gaan we dat doen, samenwerken met bots?

Volgens leiderschapsgoeroe Joseph Folkman stelt AI nieuwe eisen aan managers. Ze moeten kunnen samenwerken in hybride teams met bots en mensen die (soms) meer weten dan zij.

Lees artikel »

“Wat gezondheid is mag iedereen zelf bepalen”

Noord-Limburg wil de gezondste regio van Nederland worden en heeft grootse plannen. Het klinkt aantrekkelijk maar een burgerraadslid uit Horst aan de Maas heeft felle kritiek.

Lees artikel »

Securityproject Melissa hackt Russische hackers

Na Deadbolt en Genesis Market werd onlangs de hackersgroep Qakbot opgerold, mede dankzij het cybersecurityproject Melissa. Arwi van der Sluijs is er trots op en vertelt.

Lees artikel »

Pfas-zaak Dordrecht zet forever chemicals op radar

Het gevaar van pfas voor de volksgezondheid is niet meer te bagatelliseren door de recente rechtszaak tegen Chemours in Dordrecht. Maar pfas is here to stay. Hoe nu verder?

Lees artikel »

Het wonder van geperst, verhit en gefilterd gras

Start-up Grassa claimt meer eiwit uit gras te kunnen halen dan de koe. Gras is niets minder dan een wonderplantje volgens directeur Rieks Smook: "Er kan zoveel méér met gras."

Lees artikel »