We horen er niet veel over, maar het is schering en inslag. We hebben het over gehackte websites. Het grote geld in cybersecurity zit hem doorgaans in laptops en servers, maar zelden is er oog voor die ene computer waar jij een stukje van huurt en waar je mogelijk ook nog eens marketeers voor inhuurt om er maar zoveel mogelijk verkeer op af te krijgen. Ik heb het over jouw webserver ofwel jouw website. Hoe klein en bescheiden die ook is, het is een belangrijk doelwit.
De businessmodellen van de hacker
Hacken uit baldadigheid komt anno 2023 nauwelijks meer voor. Zelfs hacken uit wraakgevoelens door een oud-werknemer of een concurrent zien we niet veel meer. Het is allemaal wel een beetje passé. Sterker nog, veel hackers zijn niet eens meer echte programmeurs. Het zijn marketeers of marketeers in de dop die op het darkweb wat slimme software kopen. Okay, er zijn nog steeds de specialisten die achter de echt grote bedrijven aanzitten. Om ze daadwerkelijk te hacken of om premies op te strijken voor wanneer ze een lek vinden. Maar dat zijn niet de bedrijven waar we het hier over hebben. In dit blog zoomen we in op de website van de sportclub, de schilder, de bakker, de fotograaf, het transportbedrijfje. Iedereen die denkt: mijn website is echt niet interessant voor een hacker.
Met name voor deze categorie ondernemers en organisaties is een enorme interesse, omdat er zelden spraken is van beveiliging. Bovendien draaien websites veelvuldig op verouderde software waarvan beveiligingsproblemen bekend zijn. Het zijn enorm makkelijke doelwitten die vaak door ‘bots’, zelfstandige stukjes software die net als een zoekmachine het internet afstruinen, worden gevonden en gekraakt. Maar hoe verdient een hacker geld aan jouw website?
Participatie in een botnet
Je hoort weleens dat de politie een botnet oprolt. Botnets worden in veel gevallen ingezet om zogenaamde DDOS aanvallen uit te voeren op internet. Om zo’n aanval te kunnen uitvoeren, heeft de aanvaller een computer nodig die verbindingen kan leggen met de computer van het slachtoffer. De webserver waar jouw website op draait, is zo’n computer die op deze manier kan meewerken aan een aanval. Hackers die een dergelijk netwerk bezitten, krijgen doorgaans per uur betaald om aanvallen uit te voeren.
Content en link SEO spam
Een afnemende trend is het misbruiken van websites om de positie van andere websites in zoekmachines te beïnvloeden. Dit wordt ook wel content- of linkspam genoemd. Je herkent deze vorm van spam wanneer je op het blog van jouw website ineens rare berichten ziet. Meestal in een andere taal en gericht op sectoren als porno en online gokken. Soms komen we Nederlandse spam tegen, maar meestal is het Amerikaans of Aziatisch. Zoekmachines zien deze links in de praktijk vaak als irrelevant, waardoor de interesse in deze manier van geld verdienen steeds verder afneemt. Je kunt heel gemakkelijk checken of jouw website verborgen pagina’s bevat met dit soort links. Voer in Google een zoekopdracht in die er zo uitziet: site:naam van jouw website.nl. Voor de duidelijkheid, voor Fraudehelpdesk zou deze zoekopdracht zijn: site:fraudehelpdesk.nl.
Wanneer je deze zoekopdracht invoert, zie je alle pagina’s die de zoekmachine heeft geïndexeerd. Als daar rare links tussen zitten, weet je dat je jouw webdesigner aan moet spreken of op zoek moet naar een website helpdesk.
Het versturen van phishing mails
Je kent ze wel. De mails van de bank, de KVK, de belastingdienst die je vragen op een rare link in te loggen of een betaling te doen, in de hoop zo jouw gegevens te bemachtigen. Het gros van deze mails is afkomstig van eenvoudige websites die zijn gehackt. De server waar jouw computer op staat, geeft hackers namelijk een methode om naar buiten te mailen. Bovendien hebben ze de ruimte om eventueel valse pagina’s te maken voor die betreffende phishing campagnes. Deze campagnes zijn momenteel zeer lucratief en we zien dan ook dat het gros van de gehackte websites enkel wordt misbruikt voor de verzending van deze mails.
Verspreiding van malware
Hoewel browser en virusscanners steeds betere bescherming bieden, komen we sporadisch nog een hacker tegen die websites misbruikt om malware te verspreiden. Dit is een verdienmodel dat met name op drukke websites interessant is, omdat je het van massaverspreiding moet hebben. Wanneer iemand de site bezoekt, probeert de hacker de kwaadaardige code op de computer van de gebruiker te plaatsen.
Gevolgschades
Hoe groot is de gevolgschade als je gehackt bent? Meestal merk je de hack doordat jouw webhost jouw account offline haalt. Jouw website werkt dan niet meer en jouw mailaccounts in de meeste gevallen ook niet meer. Jouw organisatie is niet langer bereikbaar op het web en aan jou de taak om de problemen op te lossen.
Er is inmiddels een aardige markt aan het ontstaan voor het opschonen van websites. De methoden verschillen enorm. De goedkoopste spelers beginnen veelal rond de €250,-. In veel gevallen koop je niet meer dan een expert die een oudere, schone back-up probeert terug te zetten, zonder echt uit te zoeken hoe de hacker binnenkomt en daar iets aan te doen. Het gevolg is dat je binnen niet al te lange tijd opnieuw gehackt kan worden. Het is dus belangrijk om goed door te vragen welk oplossingsniveau een dergelijke dienst voor je gaat bieden.
Is jouw site langer gehackt en onderneemt jouw webhost geen actie, dan zullen zoekmachines het vaak merken. Browsers als Google Chrome plaatsen een groot rood vlak op het scherm van jouw bezoeker dat de site onbetrouwbaar is. Dit schrikt enorm af en doet afbreuk aan jouw merk. Bovendien kunnen zoekmachines bezig gaan om je uit de zoekresultaten te verwijderen. Dit kost je omzet op de korte en lange termijn.
Als eigenaar ben je volledig verantwoordelijk voor jouw website. Eigenlijk net als jouw boekhouding. Alle schade die jouw website aanricht aan derden, is op jou te verhalen. In de praktijk zal je daar niet snel iets van merken, maar dat wil niet zeggen dat je nooit een schadeclaim kunt krijgen. In theorie hangt dat risico altijd boven jouw hoofd.
Zo minimaliseer je jouw risico’s om gehackt te worden
Is jouw website niets meer dan een visitekaartje? Maar draai je wel op een systeem als WordPress? Overweeg dan om jouw website onder te brengen bij een host met een eenvoudig platform waarop je zelf een website kunt bouwen of voor weinig geld kunt laten bouwen. Je verlegt op die manier de complete zorg voor updates en cybersecurity naar die partij.
Let wel op waar je een dergelijke dienst afneemt. Bij veel van dit soort platformen kun je geconfronteerd worden met privacyvraagstukken waarbij de AVG om de hoek komt kijken. Laat je goed informeren voor je een keuze maakt en vraag echt door over hoe de privacy geregeld is.
Heb je een website waar je van afhankelijk bent en gebruik je populaire systemen als WordPress, Drupal, etc.? Dan is het belangrijk dat die systemen altijd up-to-date zijn. Dit kun je vaak zelf, maar je kunt dit werk voor een paar euro per maand ook verleggen naar bijvoorbeeld een WordPress helpdesk. Dergelijke dienstverleners hebben veelal goed zich op eventuele stappen die genomen moeten worden om risico’s op hacking zo minimaal mogelijk te maken.
Dit blog is geschreven door Arjan Olsder, onafhankelijk website adviseur bij WEB WINGMEN