'Defaced website' aanvallen op .NL domeinen nemen snel toe

Het is de online versie van graffiti, ongeveer zo oud als het internet zelf: op de voorpagina van een website, hoe groter hoe beter, een bericht achterlaten dat je hier was. Website defacement - letterlijk schending van een website - is volgens de meest recente rapportage van de Stichting Internet Domeinnaamregistratie Nederland (SIDN) momenteel de vaakst voorkomende vorm van aanval op websites met een .NL domeinnaam.

Logo Stichting Domeinregistratie Nederland (SIDN)
Beeld: ©SIDN

Dat blijkt uit de meest recente SIDN-rapportage rondom veiligheid op Nederlandse domeinen. Tot september 2022 was phishing de vaakst voorkomende vorm van aanvallen op .NL domeinen. Daarna liep het aantal van dit soort aanvallen snel terug. Nu is website defacement met 34% de meest voorkomende vorm van aanval op .NL domeinen.

Website defacement is een vorm van aanval die veel verschillende motivaties kan hebben. Soms gaat het om een hacker die simpelweg een naam wil maken, of die een persoonlijke vete heeft met een bepaalde website. Soms is de aanval politiek gemotiveerd. Zo laten Iraanse hackers regelmatig boodschappen achter op websites van de Amerikaanse overheid.

Hoewel de financiële schade van zo'n aanval vaak relatief laag is, zeker in vergelijking met een aanval met ransomware, kunnen de gevolgen toch groot zijn. Het terugdraaien van de schade kan vaak vele uren in beslag nemen, zeker als de hacker in kwestie ook van de gelegenheid gebruik heeft gemaakt om bestaande gegevens te wissen. Daarnaast is het ook van belang dat de manier waarop de hacker toegang heeft kunnen krijgen achterhaald wordt.

Preventie

Voor het voorkomen van website defacement kunnen verschillende stappen genomen worden. Aan de kant van de organisatie is belangrijk dat het Principle of the Least Privileged (PoLP) wordt toegepast. PoLP houdt in dat het aantal mensen die toegang heeft tot beheerssystemen zo veel mogelijk beperkt wordt. Ook is het belangrijk dat toegang beëindigd wordt op het moment dat het dienstverband eindigt.

Ook is het belangrijk dat geen standaard gebruiksnamen en wachtwoorden worden gebruikt, en dat inloggegevens regelmatig gewijzigd worden. Daarnaast is het van belang om het aantal punten waarop mensen toegang kunnen krijgen zo klein mogelijk te maken. Kwetsbare plugins op websites vormen vaak een punt van toegang. Ook kunnen online formulieren gebruikt worden om SQL-code te injecteren. Het beperken van het aantal karakters dat op formulieren gebruikt kan worden kan hierbij preventief werken.

Ook wordt sterk aangeraden om de software van de server en de CMS up to date te houden. Het regelmatig uitvoeren van security- en penetratietests helpt om kwetsbaarheiden in kaart te brengen en op te schonen voordat kwaadwillenden hier gebruik van kunnen maken. Daarnaast kan een up to date security.txt het makkelijker maken om gaten in de beveiliging te melden.