Een hacker rommelt met je site. Zo kom je erachter

De buurman ziet een inbreker bij je winkel. Dan is het fijn als hij je waarschuwt. Maar hoe kom je erachter dat een cybercrimineel je bedrijfsnetwerk binnen probeert te komen? Er zijn in Nederland een paar organisaties die online dreigingen in de gaten houden en bedrijven waarschuwen. Twee experts vertellen je over dreigingsinformatie, hoe je daaraan komt, en wat je ermee moet doen.

Dreigingsinformatie is kennis over online gevaar. In het Engels heet het ook wel ‘cyber threat intelligence’ (CTI). Welke nieuwe schadelijke software gaat er rond? Welke slimme apparaten zijn kwetsbaar? Welke systemen zijn gehackt? Daarover is wereldwijd veel bekend, want cybersecuritybedrijven, onafhankelijke cybersecurityexperts en nationale securityorganisaties houden samen 24 uur per dag het internet in de gaten.

Niet bewust van gevaar

Met dreigingsinformatie kun je je bedrijf actief beschermen tegen cybercrime. Jan van Pijkeren werkt voor Stichting Internet Domeinregistratie Nederland (SIDN), en legt uit waarom dat belangrijk is. “Wij zien dat kleine bedrijven, bijvoorbeeld eenpitters en tweemanszaken, zich vaak niet bewust zijn van online gevaar. Terwijl juist zij makkelijk het slachtoffer worden van criminelen. Die installeren bijvoorbeeld schadelijke code op een webshop. Zo kopiëren ze de betaalgegevens van klanten.”

Actieve waarschuwingen

Sommige securitybedrijven bieden commerciële CTI-programma’s aan, maar die zijn vanwege de kosten vooral interessant voor grote bedrijven. Er zijn ook organisaties die actief en gratis specifieke dreigingsinformatie verspreiden. Je hoeft je niet aan te melden om dit soort informatie te ontvangen. Deze organisaties waarschuwen je vanzelf als er iets aan de hand is.

• Het Dutch Institute voor Vulnerability Disclosure (DIVD) waarschuwde in 2022 ruim 160.000 kwetsbare IP-adressen voor dringend gevaar.
• Het Digital Trust Center (DTC) waarschuwt ondernemers in Nederland actief als zij online bedreigd worden. Sinds 2021 kregen zo’n 4.800 bedrijven een waarschuwing van DTC over een digitale dreiging.
• SIDN liet in 2022 al meer dan 1700 website-eigenaren weten dat zij slachtoffer waren van internetcriminelen.

Losgeldeis in de spambox

Er zijn verschillende soorten dreigingsinformatie, legt Kim van der Veen uit. Zij is projectleider van de Informatiedienst van DTC. “Soms zien wij dat je bedrijf het doelwit is van criminelen. We hebben dan informatie over een kwetsbaarheid in je systeem, bijvoorbeeld verkeerde instellingen. Er is nog niets gebeurd, maar wij zien dat er iets mis kan gaan. Daarom laten we je weten dat je kwetsbaar bent en geven we je advies om jezelf te beschermen.”

Dreigingsinformatie kan ook gaan over acties die criminelen al hebben uitgevoerd, dat heet in vaktermen slachtofferinformatie. “Dan zien wij dat je bedrijf gehackt is”, zegt Van der Veen. “Criminelen laten soms bijvoorbeeld op het darkweb weten dat ze een bedrijf hebben gehackt. Ze zeggen daar dat het bedrijf negen dagen de tijd heeft om losgeld te betalen voordat ze data lekken. Als wij dat zien, informeren wij jou: ‘Weet je dat je wordt afgeperst?’ Sommige bedrijven weten dat niet, want soms komt de losgeldeis in de spambox terecht. Een bedrijf kan een afpersing dan missen.”

Phishingpagina op je site

Ook SIDN geeft je slachtofferinformatie. Dus zij waarschuwen je als je site gehackt is en je daardoor zelf een bedreiging bent voor andere internetgebruikers. Misschien is je website via een verouderde plug-in besmet met schadelijke software, oftewel malware. Of hebben criminelen een phishingpagina op je site gebouwd zonder dat je het doorhebt. Dit soort misbruik is vrij snel opgemerkt, zegt Van Pijkeren. “Een gemiddelde phishingsite is twintig uur actief voordat we die opmerken en de pagina offline halen.”

Waarschuwing met advies

Wat moet je doen als je een e-mail of telefoontje krijgt van DTC of SIDN met de melding dat je bedrijf online gevaar loopt of gehackt is? DTC en SIDN lossen de situatie niet voor je op, maar geven je praktische tips over wat je het beste kunt doen om de schade te beperken. Wat dat precies is, is per geval anders, legt Van der Veen uit. “Onze adviezen verschillen van elkaar omdat het gaat om allerlei verschillende kwetsbaarheden. Maar denk aan tips over het installeren van beveiligingsupdates, het aanpassen van wachtwoorden of het inschakelen van een IT-specialist.”

66 uur de tijd

“Heb je een waarschuwing gekregen van SIDN, of van de partner van SIDN: Netcraft, dat er iets mis is op je site, dan heb je 66 uur de tijd om het op te lossen”, zegt Van Pijkeren. Als je helemaal geen actie onderneemt tegen de dreiging, je laat de phishingpagina bijvoorbeeld op je site staan, dan heeft SIDN het recht om je website offline te halen. “Zo beperken we de schade voor de internetgemeenschap. Het gebeurt vaak genoeg dat bedrijven na een e-mailbericht met een waarschuwing niets ondernemen, bijvoorbeeld omdat ze het niet geloven. Daarom bellen wij vaak na met de vraag: ‘heb je de mails gezien?’ Dan schrikken mensen pas.”

Is de waarschuwing betrouwbaar?

Niet elk bedrijf kent het DTC of het SIDN. Hoe weet je dat een waarschuwing geen phishing of oplichting is? Op de site van SIDN kun je contoleren of de waarschuwingsmail die je hebt gekregen betrouwbaar is. DTC stuurt je met de schriftelijke waarschuwing ook een paar veiligheidschecks mee. Daarmee controleer je of de melding echt is. DTC gebruikt bijvoorbeeld voor de waarschuwingsdienst één telefoonnummer. Criminelen kunnen dat nummer in theorie wel namaken, of spoofen, maar als je zelf dat nummer belt, krijg je altijd iemand van DTC aan de lijn.

Zelf aan de slag

Het liefst voorkom je natuurlijk dat cybercriminelen je bedrijf of website binnendringen, zodat je geen mails of telefoontjes met dreigingsinformatie ontvangt. Als je de basis van je cyberveiligheid op orde hebt, ben je al goed op weg. Houd je website en je systemen veilig, bijvoorbeeld door regelmatig updates te draaien, een back-up te maken of sterke wachtwoorden te gebruiken. Je wilt ook zeker weten dat je bereikbaar bent in geval van online dreiging. Daarover geven de experts je de volgende tips:

• Maak op je site een security.txt.-bestand aan. Dat is een tekstbestand met contactgegevens: een soort digitaal telefoonboek voor dreigingsinformatie. Als je dat goed invult, kunnen DTC en andere cybersecuritypartijen je sneller bereiken als je bedrijf online gevaar loopt.
• Check op SIDN.nl de registratie van je domeinnaam. Zorg dat die contactgegevens kloppen, zodat jij zelf melding krijgt als er iets mis is op je site, en niet bijvoorbeeld je websitebouwer.