Volledig scherm
De politiediensten in Europa en de VS hebben verschillende DDoS-sites offline gehaald. Maar het aantal aanvallen stijgt alsnog, merken providers. © ANP

Pssst, wil je een cyberaanval uitvoeren? Dat kost 15 euro

Tientallen jongeren in Nederland kunnen binnenkort een bezoek van de politie verwachten. Zij bestelden voor een prikkie cyberaanvallen om bijvoorbeeld tegenstanders in online games te sarren. Ondanks deze jacht van de politie stijgt het aantal DDoS-aanvallen nog altijd. ,,Het is gewoon te makkelijk.’’

De Nederlanders kwamen in het vizier na het oprollen van een van de grootste websites voor cyberaanvallen-op-bestelling: Webstresser.org. In april haalden Europol en onder meer de Nederlandse politie de site met wereldwijd ruim 150.000 geregistreerde gebruikers uit de lucht. 

Zulke websites bieden abonnementen voor DDoS-aanvallen. Vanaf een tientje per maand kun je doelwitten - servers van bedrijven,  overheden of online games - laten bestoken met een een enorme stroom dataverkeer die de boel verlamt. Websites worden traag of gaan plat, games lopen vast. 

Vooral jongeren maken er gebruik van, merkt de politie. ,,Het is laagdrempelig’’, zegt een woordvoerder van de Landelijke Eenheid.  ,,Voor relatief weinig geld kan je bijvoorbeeld tegenstanders in je game plagen, maar het is illegaal, het mag niet.’’

De tientallen Nederlandse gebruikers van de opgerolde website Webstresser.org worden binnenkort thuis bezocht, zegt de woordvoerder: ,,Ze denken misschien dat ze anoniem kunnen blijven, maar we weten ze toch te achterhalen.’’

Afhankelijk van de aard en omvang van de aanval, wordt bekeken of de zaak naar het OM gaat of dat het bij een waarschuwing blijft. Volgens de wet riskeren cyberaanvallers een boete of zelfs een celstraf. Vorig jaar werden al beheerders en zware gebruikers van deze DDoS-site opgepakt. 

Hoe werkt een DDoS-aanval?


Met een DDoS-aanval vuurt de aanvaller zoveel dataverkeer op een server dat het systeem vastloopt, websites zijn dan amper of niet bereikbaar. Het is alsof één miljoen mensen tegelijkertijd in een trein proberen te stappen, legde hoogleraar cybersecurity Aiko Pras onlangs uit
Om een DDoS-aanval uit te voeren heeft de aanvaller een netwerk van computers nodig, een botnet. 
Geregeld haalt een DDoS-aanval het nieuws, zoals begin vorig jaar, toen bankenwebsites urenlang geteisterd werden

Misdaad

Volledig scherm
Op webstresser.org kon je voor 15 euro per maand DDoS-aanvallen inkopen. De politie haalde de website uit de lucht. © -

,,Een DDoS-aanval uitvoeren is een misdaad’’, zegt een betrokken cyberspecialist van Europol in Den Haag.  ,,Uit de eerste verhoren met verdachten blijkt dat vooral jongeren dat vaak niet inzien. Daarom grijpen we nu in, voordat ze zich opwerken tot grote cybercriminelen.’’ 

Hoewel Europol en de Nederlandse politie jubelen over het oprollen van DDoS-sites stijgt het aantal cyberaanvallen nog altijd. Vorig jaar registreerde het Nederlandse samenwerkingsverband van internetproviders maar liefst 930 DDoS-aanvallen, tegenover 826 in 2017 en 680 in 2016. De aanvallen worden steeds zwaarder, er worden meer computers en data ingezet.  

,,Als één aanbieder voor zulke aanvallen wordt opgepakt, springen anderen weer in het gat’’, zegt Octavia de Weerdt, directeur van de Stichting Nationale Beheersorganisatie Internetproviders (NBIP). ,,Het verdienmodel blijft overeind, het is gewoon te makkelijk.’’ Ook nu nog bieden sites pakketten aan voor DDoS-aanvallen, variërend van een tientje per maand voor minutenlange databombardementen per aanval, tot honderdvijftig dollar voor sessies die uren duren en sterk genoeg zijn om websites van banken volledig plat te leggen.   

Botnet

,,Vroeger was het kattenkwaad in het park, nu stuur je een botnet op anderen af’’, zegt Frank Groenewegen van cyberbeveiliger Fox-It. ,,Dat klinkt onschuldig, maar tegelijkertijd moet je het niet onderschatten: ook met een simpele aanval kan je de server van een serieus bedrijf pijn doen.’’ Zo was de aanval die het bankverkeer vorig jaar urenlang plaagde ook  ingekocht voor 40 euro. ,,Helemaal voorkomen kun je zulke aanvallen niet, maar je kunt er wel voor zorgen dat je capaciteit genoeg hebt, en dat je snel weer online bent na een aanval.’’

Kijk hier hoe een nieuw programma van de politie en het OM hackende jongeren op het rechte pad moet krijgen én houden: