Webshops kwetsbaar voor nieuwe generatie hackers

Volgens KPN neemt de opkomst van internetcriminaliteit vooral toe door de explosieve groei van online shoppen. Een webshop hacken is aantrekkelijk vanwege de lage pakkans, lage investering en hoge winsten. Gelukkig hebben we ethical hackers, die criminelen één stap voor blijven met steeds geavanceerdere tools: “Binnen 30 seconden wisten we wie hij was.”

Op het eerste oog hebben sneakergrootmacht Converse, autofabrikant Audi en de IJslandse zangeres Björk niets met elkaar gemeen. Gewoon drie willekeurige entiteiten in hun eigen bubbel. Toch is er een overeenkomst. Alle drie waren ze nog niet zo lang geleden het slachtoffer van skimming. En zij niet alleen. Beveiligingsonderzoeker Willem de Groot publiceerde in oktober 2016 een lijst van webshops die wereldwijd gehackt zouden zijn om consumenten te kunnen skimmen. Het zou gaan om ongeveer 5.900 webwinkels, waarvan 250 Nederlandse webshops.

Skimming is een vorm van betaalpasfraude waarbij criminelen de magneetstrip van een pas kopiëren en de pincode bemachtigen op het moment dat er een betaaltransactie wordt verricht. Vervolgens maken de fraudeurs een kopie van de pas. Samen met de pincode kunnen ze geld opnemen en betalen in binnen- en buitenland. Naast skimmimg houden malware, phishing, ransomware, botnets en DDoS-aanvallen webwinkeliers uit hun slaap. Wat kunnen ze doen? Hoe kunnen ze een hack voorkomen? Twinkle raadpleegde ethical hackers.

Domme computer

Hacken is volgens Wikipedia ‘het vinden van toepassingen die niet door de maker zijn bedoeld’. Complexiteit speelt daarbij geen rol. Simpele, snelle oplossingen hebben de voorkeur. ‘Ook het gebruik van een wasknijper om te voorkomen dat je broekspijp tussen de fietsketting komt is in principe een hack’, schrijft Wikipedia.

De schoonheid van de eenvoud. Dat blijkt. Sommige webshops zijn kinderlijk eenvoudig te hacken constateert ethical hacker Wouter van Rooij van ICT-bedrijf Sogeti in zijn dagelijkse beroepspraktijk. Van Rooij ziet een opmerkelijke vindingrijkheid. Zo had een grote online retailers onlangs een actie waarbij een gratis printer werd weggegeven bij een nieuwe laptop. Wat gebeurde er? Een slimmerik plaatste eerst de laptop in het winkelmandje en daarna de gratis printer. Het systeem berekende het totaalbedrag. Vervolgens werd de laptop verwijderd. De printer bleef staan en werd gratis bezorgd.

Nog een voorbeeld in de categorie webwinkeliers-foppen-is-een-prettig-tijdverdrijf. Een klant van een online designshop bestelde drie lampen en kwam op het lumineuze idee een minnetje voor zijn bestelling te plaatsen. Het computersysteem maakte een bestelling aan van -3 lampen. Nou, voor een negatief aantal lampen kan het totaalbedrag natuurlijk nooit hoger zijn dan nul. De klant kreeg drie lampen gratis geleverd. Computertje, wat ben je dom!

“Bijna dagelijks lees ik zulke dingen”, aldus Van Rooij, wiens vak het is hackers een stap voor te blijven. Voor klanten van Sogeti stelt hij programma’s, web-applicaties, websites en webshops op de proef. Hij misbruikt ze, leidt ze om de tuin, houdt ze voor de gek, neemt ze in het ootje. En daar is maar één reden voor. Hij wil weten of ze hackable zijn.

Van Rooij: “Het werk dat ik doe is volgens de wet strafbaar, maar natuurlijk geven mijn klanten me vrijwaring. Steeds meer organisaties nemen het onderwerp serieus. Ze benaderen mij om robuust te worden en aanvallen te weerstaan. Mijn belangrijkste advies aan webshops? Haal altijd updates binnen van de software die je gebruikt. Om resistent te worden tegen de bekende kwetsbaarheden of om de tijd dat je kwetsbaar bent zo kort mogelijk te houden. Plan updates iedere week in. Kleine webshops moeten daar de meeste effort in steken. Mijn tweede advies: volg het nieuws. Nu.nl schrijf hier veel over. Signaleer je een verdachte transactie, bijvoorbeeld een negatief getal op de orderbon, zoek dan uit wat er aan de hand is om ergere schade te voorkomen.”

SSL-beveiliging

Ethical hacking is niet nieuw. ‘Chique slimmer dan je criminele opponent’ schreef de auteur van dit artikel in 2009 in een verhaal over ethical hacker Jatin Sehgal van Ernst & Young. Sehgal, destijds Young Professional of the Year, brak een lans voor informatiebeveiliging. “Weak passwords are like dirty socks, change them”, liet hij fijntjes optekenen. Het grootste risico was volgens Sehgal de combinatie van kwetsbare systemen en menselijke naïviteit: “Menselijk gedrag is de zwakste schakel. Het is als het afsluiten van je huis, de sleutel onder je deurmat leggen en denken dat er niets kan gebeuren.”

Prettige bijkomstigheid: een sterk wachtwoord bedenken kan iedereen. “Hoe langer hoe beter” luidt het advies van Wouter van Rooij als het gaat om wachtwoorden. “Lengte is belangrijker dan complexiteit”, vindt de security-specialist bij Sogeti. En wie zijn wij om dat advies in de wind te slaan? Hacken is een volwaardige criminele bedrijfstak geworden en ethical hackers zijn de good guys. Van Rooij: “We maken organisaties bewust en lichten hen voor. Daar wordt goed naar geluisterd. Ik hoef het evangelie niet meer te verkondigen.”

Vooral kleine webwinkels zitten met beveiligingsissues, laat webwinkeladviseur Patrick Heijmans weten. “Ze kunnen niet overal verstand van hebben. Ze kopen en installeren een goedkoop e-commerce pakket. De back-end nemen ze vaak niet mee. Ze denken dat hen niks zal overkomen. Maar ja, mailadressen en creditcardgegevens liggen zomaar op straat.” Heijmans constateert dat ze vaak de SSL-beveiliging, het groene slotje, niet op orde hebben. Jammer en onnodig, want een hostingprovider of sofwareleverancier heeft dat binnen enkele dagen gefixt.

Een aandachtspunt is ook het beveiligen van de eigen server tegen DDoS-aanvallen, stelt Heijmans. DDoS staat voor Distributed Denial of Service. Met een DDoS-aanval maken heel veel computers, vaak vanaf verschillende locaties ter wereld, verbinding met één server. De server is het doelwit. De achterliggende motivatie van een DDoS-aanval is vaak ontevredenheid over een dienst of bedrijf. Met andere woorden: wraak nemen. De aanvallers proberen de server traag of onbereikbaar te maken en overspoelen die met webverkeer. Om dit voor elkaar te krijgen zetten ze botnets in, software-robots die automatisch en zelfstandig opereren. Zo kan in korte tijd een bak ellende worden veroorzaakt.

Afpersing

Gelukkig hebben we de ethical hackers, die ons behoeden voor rampspoed. Hackers een hak zetten, dat is de grote uitdaging voor Ruben van Vreeland van de Eindhovense startup BitSensor. Van Vreeland hackt al sinds zijn 14e: “Ik ging bedrijven hacken en ze daarna helpen, zodat kwade hackers niet meer in konden breken.”

Van Vreeland heeft al veel bad guys een hak gezet. “Ik kom altijd binnen”, klinkt het vol zelfvertrouwen. Zijn talent heeft hij inmiddels geprofessionaliseerd. BitSensor werkt voor grote bedrijven als Marktplaats, eBay, Linkedin en Indiegogo. Zij lopen de deur plat bij hem omdat ze er schoon genoeg van hebben dat ze steeds weer door hackers worden verrast, en soms zelfs afgeperst. Ze hebben BitSensor nodig om hun website veilig te houden, om geïnformeerd te worden over de Europese privacyrichtlijn GDPR (General Data Protection Regulation) of om te vernemen hoe ze invulling kunnen geven aan de Meldplicht Datalekken. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een datalek hebben.

Hoe verklaart Van Vreeland het succes van BitSensor? “We hebben een compleet nieuwe methode ontwikkeld, een soort radarsysteem dat de aanval volgt vanaf het eerste moment. We hebben de hacker continu in het vizier en zien precies wat er gebeurt. We zien welke data is gestolen, volgen en blokkeren de hacker. Of we kunnen garanderen dat er géén aanval heeft plaatsgevonden. Want soms is het gewoon bluf.”

De aanpak van Van Vreeland is opmerkelijk open. Marktplaats adviseerde hij hackers juist aan te moedigden en te laten uitleggen hoe ze het hadden aangepakt. Zo doet hij het ook op een van zijn eigen site’s hackme.bitsensor.io. ‘Welcome to BitSensor’s hacking competition’, lezen we op de homepage. Van Vreeland: “We moedigen hackers aan te kijken of ze binnen kunnen komen. Soms geven we tips om hun aanval te verbeteren. Vaak hebben we zelf binnen 30 seconden door wat de identiteit van de hacker is en welke tools hij gebruikt. Ons systeem draait bij de klant of in de cloud. De algoritmes hebben we zelf ontwikkeld. Voor onze BitSensor-aanpak hebben we patent aangevraagd.”

Meer DDoS-aanvallen

Webwinkeliers hoeven volgens Van Vreeland geen verstand van zaken te hebben: “We praten over complexe materie en specialistische tools. Security moet je outsourcen, dat doe je er niet even bij. Dat geldt zeker voor de e-commerce omdat daar zo direct met geld kan worden gerommeld. Hackers hebben ook een businessmodel. De e-commerce is voor hen juist interessant. Webwinkels zullen nieuwe manieren moeten vinden om aanvallen te detecteren voordat er schade wordt veroorzaakt. Gelukkig zien veel bedrijven die noodzaak nu wel in.”

Ondertussen gaat de oorlog verder. Uit onderzoek van het Amerikaanse securitybedrijf Prolexic blijkt dat het aantal DDoS-aanvallen flink toeneemt. Er is zelfs sprake van een verdubbeling ten opzichte van 2011. Ook de websecurity-afdeling van PwC luidt de noodklok: “Wij zien helaas dat webwinkels steeds vaker worden aangevallen om klantgegevens te bemachtigen”, aldus Erwin de Horde. “Doordat webwinkels vaak onvoldoende beveiligd zijn, vormen zij een gemakkelijk doelwit.”

Webwinkeladviseur Patrick Heijmans geeft de lezers van Twinkle mee dat het veiliger is om alleen vanaf je eigen IP-adres in te loggen op de back-end van de webwinkel. Heijmans: “Dat kun je zelf instellen. Verder belangrijk is dat je je complete webwinkel beveiligt en niet slechts een deel. Het contactformulier en de checkout hebben veel webshops wel beveiligd. De homepage, het winkelwagentje en het CMS vaak niet. Ikzelf heb verschillende plug-ins geïnstalleerd om mijn eigen webshop te beveiligen. Als er iets onveiligs wordt gesignaleerd, wordt het IP-adres geblokkeerd en is de back-end alleen toegankelijk vanaf mijn eigen IP-adres. Dan is de kans al een stuk groter dat de hacker een deurtje verderop gaat shoppen.”

recente artikelen

gepubliceerd in diverse (vak)media

Fujitsu over smart society

Het Japanse tech-bedrijf Fujitsu denkt dat artificial intelligence nu pas rijp is voor ontginning. Een gesprek met Pacal Huijbers.

Lees artikel »

Infrastructuur laat zich eenvoudig plat leggen

Het nieuwe kabinet steekt 95 miljoen euro per jaar in cyberveiligheid. Dat is fijn voor straks maar ondertussen is het prijsschieten. "Inbreken kan op alle fronten", stelt de ethical hacker.

Lees artikel »

Klussers bedienen doe je zo

Intergamma, de franchiseorganisatie van Gamma en Karwei, trekt online twee miljoen bezoekers per week. Hoe krijgt Lieke Luttmer, directeur e-commerce, dat voor elkaar?

Lees artikel »

E-commerce duikt op booming pillenmarkt

Het louche imago lijkt verdwenen. Heel Holland slikt en koopt via internet.

Lees artikel »

Permissioned blockchain: hip en pseudo-innovatief

Kan samen oefenen in afgeschermd ecosysteem bestaande markten en sectoren op hun kop zetten?

Lees artikel »

Installateur negeert robotica

OTIB, Uneto-VNI en allerlei branchegoeroes laten geen kans voorbij gaan om robotica een grote toekomst toe te dichten in de installatiebranche. Pionierende ondernemers zijn echter schaars.

Lees artikel »

Een eeuw vooruit denken: co-creatie op Bouwcampus

In ons land zijn veel stuwen, sluizen en gemalen bijna honderd jaar oud. Ze moeten vervangen worden. Hoe? De Bouwcampus koos voor co-creatie en out of the box-denken.

Lees artikel »

Talent ontdekken met slimme algoritmes

Volgens University of Toronto nemen machines betere beslissingen dan mensen. Algoritmes zouden betere kandidaten selecteren dan recruiters.

Lees artikel »

Dajte si pozor na vás? Taalbarrières in de bouwput

Communiceren met buitenlandse onderaannemers, wie kan het?

Lees artikel »

Fenixloods Katendrecht: 212 hippe lofts aan de Maas

De oude Fenixloods van de Holland Amerika Lijn in het Rotterdamse Katendrecht wordt momenteel 'gebimd' tot loftwoongebouw.

Lees artikel »