Veel internetgebruikers hebben tegenwoordig een ad-blocker geïnstalleerd. Naast de primaire functie, om storende reclame tegen te houden of uit privacyoverwegingen, heeft het gebruik hiervan ook een aantal andere effecten waaronder een verbetering in de beveiliging van de browser van de gebruiker.

Lang niet iedereen beseft dat online reclames ook een mogelijke beveiligingsdreiging kunnen zijn. Advertenties zijn namelijk bijna altijd veel meer dan alleen een afbeelding, maar een set met scripts dat naast het weergeven van de advertentie ook veel meer kan doen. Dit heeft ertoe geleid dat Amerikaanse veiligheidsdiensten worden aangeraden om binnen de organisaties waar mogelijk advertenties te blokkeren.

Het doel hiervan is zowel het beveiligen van de werkplekken van de medewerkers als de interne netwerken, maar ook het voorkomen van datamining, zoals de locaties en tijden van bezoeken door medewerkers van deze diensten.

Malvertising

Enkele jaren terug kwam de term malvertising veel voor in het nieuws rond online advertising. De term is een samenvoeging van malware en advertising en wordt gebruikt om een fenomeen te beschrijven waar een kwaadwillende partij de (vaak uitgebreide) mogelijkheden van advertentieplatforms gebruikt om virussen en soortgelijke schadelijke software (malware) te verspreiden.

Malvertising kreeg voor het eerst in 2007 media-aandacht en een aantal grote websites en advertentienetwerken werden in de jaren daarna getroffen. Zo werden bij voorbeeld The New York Times, Spotify, Yahoo en eBay getroffen en werd onder andere DoubleClick (Google’s grote advertentieplatform) ook geraakt.

De reden waarom advertenties zo gevaarlijk kunnen zijn is omdat zij vaak veel meer doen dan alleen een banner afbeelding of advertentietekst laten zien. Zowel adverteerders als advertentienetwerken en databrokers zijn vaak uit op zo veel mogelijk data.

Dit begon met een duidelijke reden: adverteerders wilden weten hoeveel mensen de advertenties eigenlijk te zien kregen. Wat de eigenaar van een site beweerde over bezoekersaantallen kon niet altijd vertrouwd worden. De oplossing werd om advertenties niet rechtstreeks vanuit de website te laden, maar vanuit de servers van de adverteerder of een tussenliggende partij. Hierdoor konden basisstatistieken verzameld worden.

Dit bleek echter niet genoeg. Naast mogelijke onenigheid over het aantal bezoekers dat een advertentie te zien kreeg waren er ook veel adverteerders die te maken kregen met click fraud, nep kliks op advertenties. Dit had tot gevolg dat advertentieplatforms nog meer mogelijkheden inbouwden om clicks en ander gedrag van bezoekers te meten.

Dit alles bij elkaar zorgden ervoor dat de mogelijkheden die adverteerders hadden zo uitgebreid waren dat elke advertentie als het ware een klein programma was. Een programma dat bij het laden van een pagina automatisch wordt uitgevoerd. Dit werd niet onopgemerkt door cybercriminelen. Door zich voor te doen als adverteerders kregen zij toegang tot een netwerk waarmee ze schadelijke scripts op grote aantallen konden uitvoeren.

Door het einde van Adobe Flash, meer controles door advertentieplatformen en betere beveiliging van webbrowsers zijn de mogelijkheden voor criminelen sterk ingeperkt, maar het blijft nog steeds een risico.

Gebruik van ad-blockers

Recent is bekend geworden dat Amerikaanse organisaties zoals de FBI, CIA en NSA op grote schaal ad-blocking technologieën inzetten om zich te beschermen2. Voor deze organisaties is veiligheid uiteraard een hoge prioriteit. Naast de bescherming tegen malware speelt het beschermen van andere informatie ook mee, zoals locatiegegevens of andere data die in aggregaat gebruikt kunnen worden om profielen op te bouwen of gevoelige data te achterhalen.

De beveiligingsbehoeftes van Amerikaanse beveiligingsdiensten en het Nederlandse mkb verschillen nogal van elkaar, maar desondanks kan men wel hier iets van leren.

Het blokkeren van advertenties kan een bescherming bieden tegen malvertising, waarbij phishing aanvallen, DDoS aanvallen of cryptomining worden uitgevoerd. Het risico hierop kan meegenomen worden in een risico-inventarisatie, op basis daarvan kan besloten worden of dit wel of niet een passende oplossing zou zijn. Ook wanneer het ingezet wordt dan zal ad-blocking slechts een onderdeel van de bescherming van een bedrijfsnetwerk moeten zijn, en is het van belang dat er ook andere maatregelen getroffen zijn zoals de inzet van een degelijke firewall, antivirus en malware scanner, en goed beveiligde toegang tot systemen.