Website defacement

Bij website defacement veranderen of ‘bekladden’ aanvallers de inhoud van jouw website nadat ze je webserver of content management systeem (CMS) zijn binnengedrongen. Zodra aanvallers binnen zijn, kunnen zij - afhankelijk van hun doel - de inhoud van jouw website aanpassen waardoor nietsvermoedende websitebezoekers worden blootgesteld aan de veranderingen die de aanvallers maken in de content van jouw website. Denk hierbij bijvoorbeeld aan blootstelling aan malware, een (ideologische) boodschap, of malafide advertenties.

Het herstellen van je website kan je bedrijf op kosten jagen, maar defacement kan ook imagoschade veroorzaken. Het kan ook gebeuren dat de aanvallers via kliks op buttons of weblinks op je website informatie verzamelen van of malware verspreiden bij argeloze webbezoekers. Je wilt het binnendringen van je webserver of CMS dus graag voorkomen.
 

Soorten website defacement

Aanvallers kunnen verschillende doelen op het oog hebben wanneer ze je website bekladden of aanpassen. Het kan zijn dat specifiek jouw website het doel is en misbruikt wordt als uithangbord voor de boodschap van de aanvallers. Zogenoemde hacktivisten kunnen je website gebruiken om hun ideologische boodschap te verspreiden of cybervandalen bekladden je website met digitale graffiti.

Cybercriminelen kunnen ook de content op jouw website aanpassen voor financieel gewin. Bijvoorbeeld voor het stelen van gevoelige (inlog)gegevens van klanten, het verspreiden van malware of het toevoegen van jouw webserver aan een botnet. Om zoveel mogelijk financieel gewin te halen uit de situatie, zullen cybercriminelen proberen om zolang mogelijk onopgemerkt te blijven. De aanpassingen op jouw website zullen minder opvallend zijn dan de bekladding door hacktivisten of cybervandalen.

Defacement bij sociale media

Defacement kan ook op social media kanalen voorkomen. De accounts van bedrijven kunnen aantrekkelijk zijn om de boodschap (of kwaadaardige links) van de aanvallers te verspreiden. Alhoewel jij als gebruiker van een social media platform weinig invloed hebt op de beveiligingsinrichting van het platform, kun je er wel voor zorgen dat je veilig inlogt met sterke wachtwoorden en multifactorauthenticatie.

Website defacement voorkomen

Websitebeheer uitbesteed?

Als je jouw website door een IT-dienstverlener hebt laten bouwen en laat onderhouden, kun je de volgende stappen nemen om het risico op defacement te verkleinen:

  • Maak geen gebruik van standaardwachtwoorden voor de toegang tot de webserver of het CMS.
  • Zorg voor gepersonaliseerde accounts voor medewerkers. Voorkom gedeelde inlogaccounts. Mocht het niet kunnen, zorg dan dat je de wachtwoorden verandert wanneer werknemers die CMS- of servertoegang hadden, uit dienst gaan.
  • Richt multifactorauthenticatie in op de webserver of het CMS.
  • Maak duidelijke afspraken over de beveiliging van de website met de  webleverancier of -beheerder. Denk hierbij bijvoorbeeld aan afspraken over het monitoren van de website en het ontvangen van alerts wanneer er verdachte situaties zijn.

Website in eigen beheer?

Welke extra stappen kun je ondernemen als je de website zelf beheert?

  • Zorg voor een robuust ingerichte server waarop geen onnodige services zijn geïnstalleerd.
  • Installeer altijd de laatste patches en security-updates op je systeem.
  • Controleer regelmatig of je systeem nog up-to-date is en controleer hierbij ook op de aanwezigheid van malware. Websitemonitoring en het automatisch ontvangen van alerts kan een goede toevoeging zijn voor je website.

Horeca-ondernemer houdt na websitehack alles tegen het licht

Horeca-ondernemer Frans van Hall had geen duidelijke afspraken gemaakt met zijn IT-leverancier over het updaten van zijn website. Maar dat realiseerde hij te laat. Door een beveiligingslek lag zijn webshop er weken uit. Sindsdien weet Frans wel beter en denkt hij ook goed na over welke andere risico’s hij loopt met zijn automatisering. Lees hoe hij de hack van zijn website ervaren heeft.

Bereid je voor

De belangrijkste voorbereiding die je kunt nemen is:

  • Maak afspraken met de leverancier of technisch beheerder van je website over wie verantwoordelijk is voor welke zaken. Wat mag de leverancier op eigen initiatief doen en wat moet de leverancier eerst bespreken voordat zij actie mogen ondernemen? 
  • Maak zelf back-ups of laat dit door je IT-dienstverlener doen zodat je makkelijker kunt herstellen van een websitebekladding.
  • Zorg er daarnaast  ook voor dat je een vervangende representatieve pagina hebt die je snel online kunt zetten. Zo kun je de boodschap van de aanvallers zo snel mogelijk vervangen met jouw eigen content.
  • Stel een responsible disclosure-beleid op en richt security.txt in zodat gevonden kwetsbaarheden gemeld kunnen worden. Hierdoor kunnen gevonden kwetsbaarheden in jouw website gemeld worden.
  • Het is altijd verstandig om de beveiliging van jouw website periodiek te laten testen. Hierdoor wordt het inzichtelijk welke kwetsbaarheden er in jouw website of CMS zitten.

Hoe reageer je op website bekladding?

  • Neem contact op met de technisch beheerder van je website of een IT-dienstverlener die kan helpen met dit incident.
  • Licht je medewerkers, toeleveranciers en klanten in over de situatie.

Bespreek deze acties met de technisch beheerder van je website of IT-dienstverlener

  • Plaats een tijdelijke vervangende webpagina.
  • Inventariseer wat de gevolgen van de defacement zijn geweest. Is alleen het uiterlijk van de website gewijzigd of hebben de aanvallers ook malware of andere illegale content achtergelaten?
  • Probeer samen te achterhalen hoe de aanvallers binnen zijn gekomen in de website of het CMS.
  • Controleer de meest recente back-up van de website op de aanwezigheid van kwetsbaarheden of malware.
  • Richt een nieuwe server in waarop je de meest recente, schone back-up van de website op laat draaien.
  • Publiceer deze nieuw ingerichte website zodra het duidelijk is dat de door de aanvallers uitgebuite kwetsbaarheden zijn verholpen.
  • Stel bewijsmateriaal van de defacement veilig en doe aangifte bij de politie. Zorg dat je bij de aangifte alle benodigde gegevens bij de hand hebt. Je kunt je aangifte voorbereiden aan de hand van deze PDF: Checklist aangifte ransomwarebesmetting.

Evalueer je reactie

Reflecteer op het incident en jullie reactie erop. Zijn er lessen die je trekt uit het incident? Had je houvast aan het incidentresponseplan? Wat ga je in het vervolg anders doen qua beheer, respons, communicatie, het beleggen van verantwoordelijkheden en afspraken? Het is altijd een goed idee om je websitebeveiliging periodiek te laten testen. Dit maakt inzichtelijk welke kwetsbaarheden er in jouw website zitten en met deze informatie verklein je de kans op een aanval aanzienlijk.

Handige download

Bovenstaande informatie meenemen naar gesprekken met je IT-leverancier? Download deze handige Checklist van 3 pagina's.