Midden in de coronapandemie op een vrijdagmiddag werd Jeroen (gefingeerde naam, echte naam bekend bij PVO), gebeld. “De man aan de andere kant van de lijn vertelde dat hij bij de politie werkt, en dat mijn bedrijf het doelwit is van een hacker die een DDoS-aanval wilde uitvoeren op onze website.” Dat telefoontje blijkt het startsignaal te zijn van een avond die Jeroen en zijn collega nog lang zullen herinneren.
Telefoontje van politieagent
Jeroen had in 2020 een webwinkel: bij uitstek een onderneming waarbij de toegankelijkheid van de website grote impact heeft op de bedrijfsvoering. En juist die toegankelijkheid kwam in dat jaar op een vrijdagavond in het geding toen een hacker het op zijn website had gemunt. “Ik was een dag vrij en zat bij de kapper toen ik werd gebeld door een man die zei dat hij bij de politie werkte. Hij vertelde dat we het doelwit van een hacker zijn en dat deze hacker de website met een DDoS-aanval wilde platleggen. We zouden al een berichtje in onze klantenservicesoftware hebben ontvangen van deze hacker. Ook liet de man weten dat we het algemene nummer van de politie konden bellen als we wilden verifiëren of hij wel echt bij de politie werkte.” Dat deed Jeroen, want de hele situatie leek bijna te vreemd om waar te zijn. “Tegen alle verwachtingen in bleek het verhaal te kloppen en inderdaad: mijn collega vond in de inbox van de webwinkel een bericht van iemand die dreigde met het uitvoeren van een DDoS-aanval.”
“Als we niet waren gebeld door de politieagent zou het berichtje ons nooit zijn opgevallen”, vertelt Jeroen. Sterker nog: waarschijnlijk zou het ze nauwelijks zijn opgevallen als de hacker inderdaad een DDoS-aanval had uitgevoerd op de website. “Het verkeer op de website was op vrijdagavond altijd wat lager en ook wij waren vaak op vrijdagavond en ook in het weekend maar beperkt bezig met werk. Misschien dat we hadden opgemerkt dat de website wat trager was, maar zouden de oorzaak niet zijn gaan zoeken in de berichten van onze klantenservicesoftware. Waarschijnlijk zou de hacker ook al zijn interesse in ons verloren zijn omdat we niet reageerden op zijn berichtje.”
Bericht van hacker
Jeroen en zijn collega ontvingen een bericht van de aanvaller in hun klantenservice-software. In dat bericht benoemde de hacker een bedrag in bitcoin en een tijdstip. Voor dat tijdstip moest het bedrag overgemaakt zijn. Het motief van deze dader was duidelijk financieel. Maar sommige DDoS-aanvallers hebben een ander motief. Zo hackt collectief Anonymous, een internationale groep hackers van wie de identiteit van de leden onbekend is, regelmatig overheidswebsites vanuit ethisch en idealistisch perspectief.
Persoonlijke informatie
Terwijl Jeroen zijn afspraak bij de kapper afrondde, was de politie al bij zijn collega thuis gearriveerd. Want dat de politie deze zaak serieus oppakte, was meteen duidelijk. “Ze bleken deze hacker al een tijdje op het spoor te zijn. Het doel van de politie was ook om de dader die vrijdagavond nog op te pakken. Er werd een onderhandelaar van de politie ingeschakeld die in burger en met een pistool aan zijn riem aanbelde bij het huis van mijn collega. Dat maakte wel indruk op ons. Samen met hem hebben we berichtjes gestuurd naar de hacker om deze aan het lijntje te houden.” In het contact met de dader onderhandelden ze onder meer over het tijdstip waarop het geëiste bedrag overgemaakt zou moeten zijn, maar ook de vorm van het geld. “De hacker vroeg om, volgens mij, 0.1 bitcoin wat omgerekend destijds misschien 800 euro was. Geen hoog bedrag dus.” Om te laten zien dat hij serieus was, voerde de hacker die vrijdagavond een aantal keer een DDoS-aanval uit op de website. Dat de hacker dus weldegelijk in staat was de website onder vuur te nemen, werd duidelijk. Toen de politieagent Jeroen vertelde over welke informatie de hacker waarschijnlijk beschikte, daalde de ernst van de situatie pas écht in: “Hij vertelde dat de hacker zakelijke informatie van ons zou hebben, maar ook onze huisadressen. Daarvoor vonden we het vooral spannend, en om eerlijk te zijn was het wel gezellig met de politieagent bij mijn collega thuis. Maar toen de politie vertelde dat de hacker ook onze privégegevens zou hebben, werd het wel oncomfortabel.”
Vuurwapen
Uiteindelijk bleek de hacker zijn interesse in de webwinkel van Jeroen te zijn verloren. “Hij was die avond met meerdere websites bezig, en ik denk dat het voor hem duidelijk was geworden dat wij toch niet gingen betalen.” Het is de politie niet meer gelukt die avond de hacker te arresteren, maar een aantal maanden later is hij wel opgepakt. “Het bleek om een jonge man te gaan. In zijn woning werden ook drugs en een vuurwapen gevonden. Toen beseften we ons wel dat het ook zomaar anders had kunnen lopen, aangezien hij ook onze woonadressen wist.” Jeroen en zijn collega gingen naar de voorgeleiding van de dader. “We waren nieuwsgierig wat voor type er nou achter zou zitten. Er zat een jongen die niet door leek te hebben wat de ernst is van wat hij had gedaan.” De man heeft een gevangenisstraf gekregen voor het bezit van het vuurwapen en voor de DDoS-aanvallen die hij uitvoerde.
Jeroen heeft naar eigen zeggen een paar honderd tot duizend euro misgelopen die vrijdagavond door de DDoS-aanvallen, maar koestert geen wrok jegens de dader. “Hij was gewoon een boef die iets fout heeft gedaan. Hij heeft straf gekregen en ik hoop dat hij er iets van geleerd heeft. Ik hoop vooral dat hij zijn kennis nu op een betere manier inzet.”
Weloverwogen risico
Maatregelen die kans op herhaling honderd procent uitsluiten zijn er niet. Wel probeert Jeroen zich zo goed mogelijk te weren tegen de verschillende vormen van cybercriminaliteit, waaronder door het toepassen van tweefactorverificatie. “We vinden het belangrijk bezig te zijn met cyberveiligheid, maar hebben geen draaiboeken of een handboek dat in werking treedt als we doelwit blijken te zijn. Dat is een risico dat we weloverwogen nemen.”
Wil je meer lezen over cybercriminaliteit en hoe jij je als ondernemer beter kan weren tegen onder meer DDoS-aanvallen, phishing en ransomware? Lees dan al onze cybercrime-artikelen.
Artikelen cybercriminaliteitVanwege de privacy van de geïnterviewde gebruikt Platform Veilig Ondernemen in dit artikel een gefingeerde naam. De echte naam van ‘Jeroen’ is bekend bij de redactie van Platform Veilig Ondernemen.