Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Drive-by download

Aanvallen

Wanneer een website kwaadaardige bestanden op je computer plaatst, automatisch en zonder dat je het doorhebt.

Een drive-by download is een cyberaanval waarbij malware automatisch wordt gedownload naar je apparaat, puur door het bezoeken van een geinfecteerde of kwaadaardige website. Je hoeft niets aan te klikken, te downloaden of te installeren om geinfecteerd te raken. De aanval maakt gebruik van kwetsbaarheden in je browser, browser-plugins of besturingssysteem om kwaadaardige code uit te voeren zonder je medeweten of toestemming. Volgens Kaspersky behoren drive-by downloads tot de meest verraderlijke vormen van malware-verspreiding, juist omdat het slachtoffer geen actieve handeling hoeft te verrichten om slachtoffer te worden van deze aanvalsmethode.

Drive-by downloads kunnen plaatsvinden op zowel kwaadaardige websites als op volledig legitieme websites die door aanvallers zijn gecompromitteerd. Aanvallers injecteren kwaadaardige HTML of JavaScript in een website die de browser van bezoekers instrueert om malware te downloaden vanaf een door de aanvaller gecontroleerde server. Dit proces is visueel niet zichtbaar voor de bezoeker, waardoor onschuldige slachtoffers niet merken dat er op de achtergrond een download plaatsvindt. De malware kan variaren van ransomware en spyware tot keyloggers en remote access trojans die de aanvaller volledige controle geven over het geinfecteerde systeem.

Hoe werkt een drive-by download?

Het aanvalsproces verloopt in meerdere fasen. Eerst compromitteert de aanvaller een website door een kwetsbaarheid in het CMS of de webserver te misbruiken, of koopt advertentieruimte op een legitiem advertentienetwerk (dit heet malvertising). Vervolgens wordt er kwaadaardige code geplaatst, vaak in de vorm van een exploit kit zoals Angler, RIG of Magnitude. Wanneer een bezoeker de pagina laadt, scant de exploit kit automatisch de browser en geinstalleerde plugins op bekende kwetsbaarheden die misbruikt kunnen worden.

Als de exploit kit een kwetsbaarheid vindt, wordt deze direct misbruikt om de malware payload te downloaden en uit te voeren op het systeem van het slachtoffer. Populaire doelwitten zijn verouderde versies van browsers, Java, Adobe Flash (inmiddels uitgefaseerd maar nog op legacy-systemen aanwezig) en PDF-readers. De hele keten van infectie tot uitvoering kan in milliseconden plaatsvinden, veel sneller dan een gebruiker kan reageren of ingrijpen. Sommige exploit kits gebruiken meerdere exploits tegelijk om de kans op succes te maximaliseren.

Malvertising is een van de meest voorkomende vectoren voor drive-by downloads en verdient extra aandacht. Aanvallers injecteren kwaadaardige scripts in legitieme advertentienetwerken die advertenties leveren aan duizenden websites tegelijk. Wanneer deze advertenties worden geladen op populaire en vertrouwde websites, proberen verborgen scripts malware te downloaden naar de apparaten van bezoekers. Dit maakt drive-by downloads extra gevaarlijk omdat zelfs betrouwbare websites onbedoeld als distributiekanaal kunnen dienen zonder dat de website-eigenaar dit weet of kan voorkomen.

Hoe herken je een drive-by download?

Drive-by downloads zijn juist zo gevaarlijk omdat ze moeilijk te herkennen zijn voor de gemiddelde gebruiker. Er zijn echter enkele signalen die kunnen wijzen op een infectie na het bezoeken van een website. Onverwachte vertragingen van je systeem, onbekende processen in taakbeheer, onverklaarbare netwerkactiviteit naar onbekende IP-adressen of plotseling verschijnende pop-ups en toolbars kunnen indicatoren zijn van een succesvolle drive-by download. Endpoint detection-oplossingen monitoren continu op verdacht gedrag zoals onverwachte downloads, pogingen om systeemrechten te verhogen of communicatie met bekende command-and-control-servers.

Op netwerkniveau kun je drive-by downloads detecteren via intrusion detection systems (IDS) die verkeer analyseren op patronen van bekende exploit kits en hun communicatieprotocollen. DNS-monitoring kan verdachte domeinen identificeren die als staging-server voor malware dienen. Web proxies met SSL-inspectie kunnen kwaadaardige content in versleuteld HTTPS-verkeer detecteren en blokkeren voordat het de eindgebruiker bereikt. Combineer meerdere detectiemethoden voor een gelaagde verdediging die zowel bekende als onbekende dreigingen vangt.

Voor website-eigenaren is het cruciaal om regelmatig te controleren of je website is gecompromitteerd en misbruikt wordt als distributieplatform voor malware. Gebruik web application firewalls om kwaadaardige injecties te blokkeren, monitor je bestanden op ongeautoriseerde wijzigingen met file integrity monitoring en controleer of er onbekende scripts of iframes in je pagina's zijn geplaatst. Google Search Console en andere webmaster-tools waarschuwen je als je website als onveilig wordt gemarkeerd vanwege gedetecteerde malware.

Hoe bescherm je je tegen drive-by downloads?

De eerste en belangrijkste maatregel is het up-to-date houden van je browser, besturingssysteem en alle plugins en extensies. Nieuwe patches dichten de kwetsbaarheden die exploit kits misbruiken om malware te installeren. Schakel automatische updates in waar mogelijk en verwijder plugins en software die je niet meer actief gebruikt. Hoe kleiner je aanvalsoppervlak, hoe minder kans een exploit kit heeft om een kwetsbaarheid te vinden en te misbruiken voor het installeren van malware.

Gebruik een moderne browser met ingebouwde beveiligingsmaatregelen zoals sandboxing van webpagina's, Safe Browsing-waarschuwingen bij verdachte websites en strikte content security policies. Overweeg het gebruik van script-blockers zoals NoScript of uBlock Origin die JavaScript van onbekende bronnen blokkeren totdat je ze expliciet toestaat. Dit voorkomt dat kwaadaardige scripts automatisch worden uitgevoerd, al kan het de functionaliteit van sommige websites beperken totdat je ze als vertrouwd hebt gemarkeerd.

Op organisatieniveau implementeer je een DNS-filteroplossing die bekende kwaadaardige domeinen blokkeert voordat de verbinding tot stand komt, een web proxy die alle downloads scant op malware voordat ze de eindgebruiker bereiken, en endpoint protection met gedragsdetectie die verdachte activiteiten herkent, zelfs als de specifieke malwarevariant nog niet in signature-databases voorkomt. Netwerksegmentatie beperkt de verspreiding als een werkstation toch geinfecteerd raakt en voorkomt dat malware lateraal door het netwerk beweegt. Train medewerkers via security awareness-programma's om verdachte websites te herkennen en beveiligingsmeldingen van hun browser serieus te nemen in plaats van ze reflexmatig weg te klikken.

Veelgestelde vragen over drive-by downloads

Kan een drive-by download op mobiele apparaten plaatsvinden?

Ja, ook mobiele browsers en apps kunnen kwetsbaarheden bevatten die drive-by downloads mogelijk maken. Android-apparaten lopen meer risico dan iOS vanwege het open ecosysteem en de tragere distributie van beveiligingsupdates. Houd je mobiele besturingssysteem en apps up-to-date en installeer alleen apps uit officiële app stores.

Beschermt een adblocker tegen drive-by downloads?

Een adblocker vermindert het risico aanzienlijk omdat malvertising via advertentienetwerken een veelgebruikte vector is voor drive-by downloads. Het blokkeert de kwaadaardige advertenties voordat ze laden. Combineer een adblocker met een script-blocker en up-to-date software voor maximale bescherming.

Wat is het verschil tussen een drive-by download en phishing?

Bij phishing moet het slachtoffer actief handelen, zoals klikken op een link of een bijlage openen. Bij een drive-by download is geen actie nodig: het bezoeken van een geinfecteerde website is voldoende om malware te ontvangen. Beide aanvallen kunnen dezelfde typen malware verspreiden maar gebruiken een andere aanvalsvector.

Hoe weet ik of mijn website wordt misbruikt voor drive-by downloads?

Monitor je website op ongeautoriseerde bestandswijzigingen, controleer Google Search Console op beveiligingswaarschuwingen en gebruik een web application firewall. Regelmatige vulnerability scans en het up-to-date houden van je CMS, themes en plugins verkleinen het risico op compromittering aanzienlijk.

Wat moet je doen na een drive-by download infectie?

Isoleer het getroffen apparaat direct van het netwerk om verdere verspreiding te voorkomen. Voer een volledige malware-scan uit met up-to-date antivirussoftware. Wijzig wachtwoorden van alle accounts die op het apparaat zijn gebruikt. Meld het incident bij je IT-afdeling en overweeg forensisch onderzoek als gevoelige data toegankelijk was.

Bescherm je organisatie tegen malware. Vind de juiste aanbieder via Endpoint Detection & Response (EDR) op IBgidsNL.