Derfor bruger it-kriminelle stadig det mest simple trick i ”hacker-kogebogen"

2023 har allerede vist sig fra sin spændende side, når det kommer til hackeres interesse i at angribe danske mål. Først blev både Forsvarets og forsvarsministeriet hjemmeside taget ud af funktion, og herefter blev Nationalbankens og dertil flere pengeinstitutters hjemmesider også mørklagte i en periode.

Bagmændene er angiveligt russiskstøttede, hvilket i disse tider er yderst plausibelt, men uanset bagmænd er en ting sikkert: Angrebsmetoden er en af de mest banale i en it-kriminels arsenal, men samtidig også den mindst effektfulde, nemlig et DDoS-angreb. For imens metoden relativt hurtigt, relativt billigt og relativt sikkert kan lukke en hver hjemmeside ned, er offeret også relativt hurtigt oppe at køre igen og uden varige mén på andet end stoltheden.

Så hvorfor bliver hackere ved med at bruge DDoS?

Det er der tre simple årsager til.

Nedetid og publicity

Når Elgiganten åbner det virtuelle døre op for Black Friday, og titusindvis af brugere klikker rundt derinde på samme tid, kan det være svært for serverne at følge med. Det skete tilbage i 2015 (i dag er Elgiganten noget bedre rustet til horder af tilbudssultne kunder), men DDoS, som står for Distributed Denial of Service, er egentlig baseret på samme princip: Tving en hulens masse trafik til en hjemmeside på én gang og tving en server i gulvet.

Det sker via botnets – slavecomputere infiltreret af malware, som styres af it-kriminelle, og imens et angreb som mod Forsvarets hjemmeside nok ikke kræver meget mere end 10.000 enheder, ser man botnet derude på mange millioner computere – parat til at lægge en hvilket som helst hjemmeside ned.

Og det primære formål er at vise omverdenen, at de it-kriminelle er der. Det handler om omtale, om publicity og om at have håneretten blandt de andre it-kriminelle om, hvem der har lagt det sværeste, sejeste eller største ned. Menneskelig higen efter opmærksomhed, intet andet.

Ydre netværksproblemer giver mavesmerter

Når et DDoS-angreb rammer, tvinges serveren ned, og det kan tage tid at genoprette, men et DDoS-angreb åbner ikke dørene yderligere op for hackere.

Lever du af salg via hjemmesiden, kan det have en økonomisk effekt, men endnu vigtigere kan server- og hosting-problemer også betyde, at interne systemer bliver langsomme og påvirkede. Det gælder især, hvis serveren ligger på samme lokation som resten af virksomheden og potentielt administrerende personale (det påvirker et netværk, når besøgende på en hjemmeside stiger fra 1000 til 100.000 på kort tid).

Alt efter virksomhed eller tidspunkt kan et DDoS-angreb være katastrofalt for virksomheden eller blot en irritation. For forestil dig, at et DDoS-angreb rammer en mindre webshop på Black Friday, eller virk.dk lige op til momsregistrering. Så har selv det simple angreb en stor effekt.

Skubber til dit fokus

Vigtigst af alt skubber et DDoS-angreb til dit fokus. Store angreb, der ofte omtales i medierne – som vi eksempelvis har set med Forsvarets IT og Nationalbanken, får virksomheder til at forskanse sig og sin infrastruktur mod DDoS-angreb, fordi de ser ”bølgen” skylle ind over Danmark. 

Men øget fokus ét sted giver åbne flanker og åbninger andre steder. Det er nemlig sådan, at hvis du angriber et system, vil det typisk reagere med ”all-hands on deck” for at forsvare mod den specifikke type angreb. Det samme gælder medarbejdere, hvilket kan lede til, at andre sårbarheder i systemerne ikke overvåges i samme omfang, og lede til, at hackernes reelle indgangsvinkel blottes helt. 

Netop derfor ser man ofte DDoS-angreb ske som den første angrebsbølge, alt imens de it-kriminelle reelt set planlægger et bagholdsangreb andetstedsfra. Derfor er det afgørende, at virksomheder har for øje, at selvom et DDoS-angreb kan have store økonomiske og imagemæssige konsekvenser, kan det reelle angreb – den virkelige skade på virksomheden – først komme senere.