Home Security Wie valt je land aan?

Wie valt je land aan?

55

Het antwoord op de vraag van waaruit de meeste cyberaanvallen komen op je land is heel eenvoudig. Als je het al zelf niet was, dan zeker je buurman. Tenzij je woont in… Maar daar kom ik later op terug.

Om de daders van een DDoS-aanval te traceren, kan je je niet baseren op de IP’s die bij een aanval betrokken zijn, de zogeheten ‘zombies’. De locatie van deze IP-adressen zegt nog altijd weinig over de locatie van de eigenlijke dader. De zombies zijn meestal erg verspreid en werken bovendien mee aan de aanval zonder het te beseffen of het te willen. Het land waar de eigenlijke dader zich bevindt, is bijzonder moeilijk te achterhalen.

Met web application attacks is het een ander verhaal. Hierbij is het IP-adres van de aanvaller wel relevant om de locatie van de dader te bepalen. Op enkele uitzonderingen na (bijvoorbeeld aanvallers die proberen om hun locatie te verbergen) kunnen we stellen dat de IP’s die worden gevonden in web application attacks effectief het land van de aanvaller weergeven. Heel anders dus dan bij DDoS-aanvallen.

Daarom zullen we ons baseren op web application attacks om de vraag wie valt wie aan? te beantwoorden. OK, nu we dit achter de rug hebben, kunnen we aan het eigenlijke werk beginnen.

Aanvallen in kaart gebracht

In het tweede kwartaal van 2016 breidde Akamai het bereik van zijn befaamde State of the Internet Security Report uit met een grafisch overzicht van welk land welk ander land aanvalt.

Kijk bijvoorbeeld naar de volgende grafiek:
valtU leest deze grafiek van links naar rechts: links ziet u de landen van waaruit cyberschurken Canadese bedrijven aanvallen. Rechts ziet u de landen met slachtoffers van Canadese hackers.

Een eerste opvallende vaststelling: er worden dubbel zoveel aanvallen gelanceerd vanuit Canada als er aanvallen worden gepleegd op Canadese doelwitten. Daarnaast valt vooral erg op dat aanvallen op Canadese bedrijven vooral worden gelanceerd vanuit…Canada! Is dit een geïsoleerd geval? Dat zien we zometeen. Maar eerst nog een derde observatie: vanuit Canada worden de meeste aanvallen gepleegd op bedrijven uit de VS en op Canadese bedrijven. Interessant, niet? Laten we nog enkele voorbeelden onder de loep nemen.

India

Hier zien we een licht verschillend, maar al even interessant plaatje. Ten eerste: in tegenstelling tot Canada incasseert India meer aanvallen dan het zelf lanceert. De aanvallers komen vooral uit Singapore, India zelf en de VS. De favoriete doelwitten zijn India en de VS.

Een ander interessant voorbeeld is Spanje:

Spanje

Spanje telt ongeveer evenveel gelanceerde aanvallen als geïncasseerde aanvallen (Ik ben er nog niet uit of dit nu een goed of een slecht teken is. En een teken van wat dan eigenlijk?). Maar hier valt toch vooral op dat de overgrote meerderheid van de aanvallen binnen de landsgrenzen blijft.

Bij de meeste landen komt een significant deel van de aanvallen inderdaad van binnen de eigen landsgrenzen. Niet altijd de meerderheid, zoals in Spanje of Japan (zie hieronder), maar de vaststelling blijft: we richten onze web application attacks graag op het eigen land. Het tweede populairste slachtoffer is de VS.

En waarom richten cyberaanvallers hun wapens het liefste op landgenoten of op de VS? Het heeft niets te maken met rivaliteit, haat, of andere gevoelens. Het enige wat telt is: hoe eenvoudig is het om geld te verdienen met hun aanvallen?

Natuurlijk ken je de Duitse economie beter als je daar zelf woont (zie ook hieronder). Ook de buurlanden zijn meestal goed gekend, en dat drijft bijvoorbeeld Spaanse criminelen eerder naar Portugese en Franse doelwitten dan pakweg Australische of Chinese. Uiteraard scoren bedrijven uit de VS overal goed: Amerikaanse merken zijn nu eenmaal goed gekend én beschikken over voldoende geld.

Samengevat:

1     Wie valt uw land aan? Uw landgenoot en de buurlanden.

2     Wie wordt vanuit uw land aangevallen? Uw eigen land en de VS.

Dit zien we ook in onderstaande voorbeelden:

Japan

 

Duitsland

Latijn

Behalve …

O ja, in mijn inleiding vermeldde ik al dat er een opvallende uitzondering is op de regel. Hieronder ziet u de grafiek van één specifiek land dat de trend totaal niet volgt. In dit land worden maar liefst vijf maal zoveel aanvallen verstuurd dan ontvangen. En nog interessanter: de aanvallen gaan enkel naar andere landen (VS, Hong Kong, China, Duitsland, VK en Canada), niet naar bedrijven in het eigen land. Zeer uitzonderlijk in vergelijking met de andere landen.

Vraagteken

Kunt u raden over welk land het gaat? Als u het antwoord leest, klinkt het wel heel logisch. Jawel, u raadde het goed: het is …

Tim Vereecke, Senior Solutions Engineer bij Akamai Technologies

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in