Ga direct naar de inhoud

DDoS-aanval op je webshop voorkomen

Detailhandel • BedrijfsschadeEerste versie: 29 januari 2019

Webshops steeds vaker getroffen door DDoS-aanval

Het aantal DDoS-aanvallen op Nederlandse bedrijven nam de afgelopen tijd flink toe. Ook webshops zijn steeds vaker de klos. Wat is een DDoS-aanval, wat zijn de gevolgen en hoe kun je je hiertegen beschermen als webshopeigenaar?

Cijfers

  • In 2021 werden er in totaal 2796 DDos-aanvallen geteld, terwijl dit er in 2020 nog 1610 waren. Dit is een toename van 74%.
  • In 2021 duurde 10% van de DDos-aanvallen langer dan een uur. De jaren ervoor was dat een hoger percentage. Dat hoeft overigens niet te betekenen dat er minder schade ontstond, want ook de complexiteit van de aanval speelt daarin mee. Waar in 2020 15% van de aanvallen een omvang van 10 Gbps hadden, groeide dit aandeel in 2021 naar 21%.

DDoS-aanvallen nemen niet alleen in volume toe, maar ook in kracht, beaamt Ruben van Vreeland, ethisch hacker sinds zijn dertiende en oprichter en mede-eigenaar van BitSensor. ‘We zijn er nog lang niet vanaf.’

DDoS aanval: wat is het?

Wat is nu precies een Distributed Denial of Service (DDoS) aanval? Dat zijn heel veel computers die tegelijk een website aanvallen. De aanvaller hackt verschillende machines en gebruikt de computercapaciteit van deze apparaten om grote hoeveelheden dataverkeer op een website af te sturen. De website raakt dan overbelast.

Ruben: ‘Een hacker maakt daarbij niet alleen gebruik van laptops of pc’s, maar ook steeds vaker van Internet of Things (IoT)-apparaten. Denk bijvoorbeeld aan een camera of babyfoon die verbonden is met het internet.’ 

Ook zijn het niet alleen meer computernerds die DDoS-aanvallen initiëren, benadrukt Ruben. ‘DDoS-aanvallen zijn tegenwoordig gewoon op internet te koop. Zo kan iedere ontevreden klant of concurrent een DDoS-aanval kopen bij een organisatie die de aanval voor hem of haar uitvoert.’ 

DDoS-aanval: wat zijn de gevolgen?

  • Omzetverlies: als je website onder vuur komt te liggen van een DDoS-aanval, is deze vaak 24 uur tot soms meerdere dagen uit de lucht. Hierdoor loop je omzet mis. Dit kan zelfs het verschil betekenen tussen een winst- of verliesjaar. Ruben: ‘En vergeet niet dat een ‘downtime’ ook een negatief effect heeft op de ranking van een website door Google. Hierdoor wordt de vindbaarheid van de website minder goed en loopt een webwinkel klanten mis in de toekomst.’
  • Afpersing: veel internetcriminelen gebruiken een DDoS-aanval om jou als webwinkelier af te persen. Het gebruik van blockchain-technologie voor het betalen met bitcoins maakt afpersing nog minder risicovol voor internetcriminelen. Met deze technologie kunnen mensen anoniem betalen, maar dus ook anoniem afpersen.
  • Weglopende klanten: een DDoS-aanval zorgt niet alleen voor omzetverlies tijdens een ‘downtime’, maar kan er ook voor zorgen dat je klanten misloopt of verliest. Ruben: ‘Als een website niet bereikbaar is voor klanten dan gaan zij gewoon naar de concurrent. Bovendien blijven ze daar dan vaak omdat zij geen vertrouwen meer hebben in een bedrijf waarvan de website niet bereikbaar is.’
  • Diefstal van persoonlijke gegevens: een DDoS-aanval kan ook een afleiding zijn om een andere cyberaanval te maskeren. Terwijl je druk bent met het afweren van een DDoS-aanval, merk je niet dat je computer gehackt wordt. Hierdoor kunnen persoonlijke gegevens op straat komen te liggen. Ruben: ‘Als persoonlijke gegevens op straat komen te liggen, schaadt dit de reputatie van het bedrijf. Bovendien lopen klanten het risico dat hun persoonlijke gegevens worden gebruikt voor identiteitsfraude of dat er misbruik wordt gemaakt van hun wachtwoorden.’ 
    Als persoonlijke gegevens van je klanten of personeel op straat belanden door een datalek, moet je dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Als je dit niet doet riskeer je een fikse boete.
  • Schadekosten: bij kosten van schadeherstel na een DDoS-aanval moet je denken aan: juridische kosten, kosten van crisismanagement (je website weer op orde krijgen, nieuwe wachtwoorden aanmaken, etc.) en reputatieschade. De hoogte van deze kosten hangt af van de omvang van je bedrijf. Ruben: ‘Toen eBay in 2014 werd getroffen door een DDoS-aanval kostte hun dat ongeveer 1 euro omzet per klant in hun laatste kwartaal. Als een mkb-bedrijf met een soortgelijke DDoS-aanval te maken krijgt, verwacht ik dat de kosten vergelijkbaar zijn.'

*Bron: Netscout Arbor

Schade voorkomen en beperken: 4 tips

  1. Zorg dat je webhoster (of SAAS-partij) is aangesloten bij de Nationale anti-DDoS Wasstraat (NaWas) van de NBIP. Deze organisatie helpt Nederlandse webhosters om DDoS aanvallen te voorkomen. Voor een webhoster die is aangesloten bij de DDoS Wasstraat betaal je vaak wel wat meer. Je moet dan denken aan honderd tot tweehonderd euro per maand. 
  2. Maak gebruik van een Global Content Delivery Network (CDN): Een CDN verspreidt je website over honderden servers (computers) en voorkomt daarmee een DDoS aanval. Dit kost enkele tientallen euro’s per maand.
  3. Geef nooit toe als je aanvaller om geld vraagt. Als je eenmaal een keer toegeeft, zal de aanvaller het daarna blijven proberen.
  4. Kies voor een cyberverzekering. Een cyberverzekering biedt een pakket aan maatregelen waarmee je zich beschermt tegen alle vormen van cybercriminaliteit, waaronder een DDoS-aanval. Ook ben je verzekerd tegen financiële schade, mocht je slachtoffer worden van cybercrime.

Over de auteur

Ruben van Vreeland begon als ethisch hacker toen hij 13 jaar oud was. Hij hackte onder andere Marktplaats en LinkedIn en adviseerde deze bedrijven over een betere beveiliging van hun applicaties.

In 2015 richtte Ruben BitSensor op: een adviesbureau dat Nederlandse bedrijven helpt om hun applicaties veiliger te maken.

Dit artikel kwam verder tot stand met hulp van WebwinkelKeur en de Webwinkelcommunity.
ruben van vreeland3

Oplossingen voor cybercrime

Cyberrisk

Ons Cyberrisk-product helpt je cybercrime te voorkomen en te beperken. Krijg je er toch mee te maken, dan helpen wij je met het herstel. Als dit niet mogelijk is, krijg je een financiële vergoeding.

Lees meer over Cyberrisk

Cybercrime melden

Autoriteit Persoonsgegevens3Meld een ernstig datalek altijd binnen 72 uur bij de Autoriteit Persoonsgegevens. Doe je dit niet, dan riskeer je een fikse boete in het kader van de Algemene Verordening Gegevensbescherming (AVG).

Andere vormen van cybercrime kun je melden via 0900-8844 of op een politiebureau.

Ook interessant voor jou

Meer artikelen

Op zoek naar een cyberverzekering voor je webwinkel?

Vul je postcode in en vind een adviseur die het beste bij je bedrijf past.
Vind een adviseur

Vind een adviseur

Google maps: kaartgegevens © 2024

De Goudse maakt gebruik van cookies

Graag bieden we je een website die voor jou zo goed mogelijk werkt. Daarom gebruiken we cookies, onder andere om je bezoek aan onze website te analyseren, de getoonde informatie aan te passen aan je voorkeuren, informatie van social media te tonen en onze advertenties af te stemmen op jouw voorkeuren. Cookies worden soms ook geplaatst door derden; zo plaatst YouTube cookies als je via onze site een filmpje bekijkt. Meer informatie vind je in ons cookiebeleid.

Lees verder