‘Winkeliers worden vaker slachtoffer hack of eis losgeld’

Wereldwijd hebben winkeliers de feestdagen en piekperiode weer in het vooruitzicht. Ze zijn daarmee weer een geliefd doelwit voor hackers en andere cybercriminelen. Winkeliers zullen steeds vaker het slachtoffer worden van dergelijke aanvallen. Die voorspelling doet Jason Miller, expert e-commerce en security, van Akamai.

Financiële instellingen en internetproviders als Ziggo kunnen er over meepraten. Het aantal serieuze aanvallen van formaat neemt toe. Maar steeds vaker zijn het ook retailers die ermee te maken hebben. In de meest recente uitgave van het beveiligingsrapport van Akamai over het tweede kwartaal is het na de financiële industrie de branche die het meest heeft te pareren.

“Gedurende piekperioden zijn webwinkels een belangrijk doelwit, dat zien we terug in onze data. Tientallen groeperingen zijn hier actief in. Door het jaar heen zijn winkeliers voor hackers erg aantrekkelijk omdat ze over een grote hoeveelheid klantdata beschikken.

“Met bijvoorbeeld een sql-injectie wordt gepoogd die data buit te maken. Relatief nieuw zijn echter de bedreigingen die worden geuit aan het adres van retailers nog voor er een aanval heeft plaatsgevonden: wordt er niet betaald dan volgt bijvoorbeeld een DDOS-aanval die de winkel onbereikbaar maakt.”

Tijdens drukke periodes zijn winkeliers als de dood voor downtime en direct mislopen van omzet. De competitieve component is hierin groot: de concurrent is immers binnen twee klikken gevonden. Ingrijpender nog is de invloed op merkreputatie, zo verwacht Miller. “Een gemiddelde klant kent simpelweg het verschil niet tussen downtime door een ddos-aanval en hack waarbij echt wordt ingebroken en data gestolen.”

Berucht zijn inmiddels de praktijken van de zogenaamde DD4BC groep. Deze groep is sinds vorig jaar actief in het eisen van bitcoins ter voorkoming ‘van erger’, namelijk een DDOS-aanval van zo’n 400 tot 500 Gbps.

“Twee jaar geleden haalde een grote DDOS-aanval nog de koppen van kranten. Het is inmiddels de normaalste zaak van de wereld. Het gemak waarmee je tegenwoordig een winkel of website van een grote organisatie serieus in de problemen kunt brengen is enorm.

“Twee jaar geleden vroeg een aanval nog om wat vernuft en investering. Die barrière is vele malen lager. Bekende groeperingen als Lizard Squad verkopen ‘starterskits’ waarmee anderen aan de slag kunnen. Ze bieden je een netwerk van bots die bijvoorbeeld een winkelier aanvallen.”

Volgens Miller hoeven we niet raar op te kijken als een Nederlands bedrijf binnenkort de dupe is. Namen van eerdere slachtoffers wil het bedrijf niet noemen. “Of winkeliers in Nederland nu al overgaan tot betaling kan ik je niet zeggen. Er wordt relatief om kleine bedragen gevraagd en de willekeur is groot. Uit het feit dat ze het blijven proberen zou je kunnen afleiden dat er retailers zijn die meewerken.”

Het is overigens niet voor het eerst dat de gevoeligheid van deze winkeliers wordt aangestipt. Dit voorjaar concludeerde de Consumentenbond nog dat tweederde van de grootste webwinkels lek was, keurmerk of niet.

Foto: Brian Talbot (cc)