Veranderingen van het internetverkeer en cyberaanvallen op 5 november 2024 in de VS

Verkiezingen zijn niet alleen een kwestie van een stem uitbrengen. Verkiezingen zijn alleen mogelijk als burgers zich kunnen registreren als kiezers en toegang hebben tot informatie over kandidaten en het verkiezingsproces. Dit is afhankelijk van de kracht en veiligheid van het internet. Ondanks de risico's van mogelijke cyberaanvallen die zijn bedoeld om de democratie te verstoren, heeft Cloudflare geen grote verstoringen van campagnes of van de websites van lokale overheden door cyberaanvallen waargenomen.

Dinsdag 5 november 2024 was de verkiezingsdag in de Verenigde Staten. Er werd niet alleen beslist over de volgende president en vicepresident van het land, maar er werden ook verkiezingen gehouden voor de Amerikaanse Senaat, het Huis van Afgevaardigden, en het gouverneurschap en de wetgevende macht van individuele staten. De resultaten bevestigen dat de Republikein Donald Trump de presidentsverkiezingen heeft gewonnen.

In deze blogpost onderzoeken we de online aanvallen op verkiezingsgerelateerde websites. Sommige daarvan waren opmerkelijk, maar geen daarvan storend. Ook gaan we na hoe de aanvankelijke verkiezingsuitslagen het internetverkeer in de VS op zowel nationaal als staatsniveau hebben beïnvloed, met een toename van het nationale verkeer van wel 15%. We onderzoeken ook de trends op het gebied van e-mail phishing en algemene DNS-gegevens inzake nieuws, de kandidaten en verkiezingsgerelateerde activiteiten.

We hebben de verkiezingen van 2024 wereldwijd gevolgd via onze blog en ons verkiezingsrapport op Cloudflare Radar, met informatie over enkele van de ruim 60 nationale verkiezingen die dit jaar wereldwijd werden gehouden. Cloudflare ondersteunt veel van deze inspanningen om een veilig en betrouwbaar verkiezingsproces te garanderen. We hebben nauw met nationale verkiezingsfunctionarissen, overheidsinstanties en maatschappelijke organisaties samengewerkt om ervoor te zorgen dat de groepen die actief zijn op het gebied van verkiezingen over de benodigde middelen beschikken om online aanwezig te blijven. 

Wat betreft de Amerikaanse verkiezingen hebben we eerder gerapporteerd over de trends rond het eerste debat tussen Biden en Trump, de moordaanslag op Trump en de Republican National Convention, de Democratic National Convention en het debat tussen Harris en Trump.

Belangrijke punten:

• Gedurende de 24 uur van 31 oktober op 1 november heeft Cloudflare automatisch meer dan 6 miljard HTTP DDoS-verzoeken geweerd die gericht waren op Amerikaanse verkiezingsgerelateerde websites, waaronder de verkiezingssites van lokale en staatsoverheden en politieke campagnes. In deze periode zijn geen beduidende storingen van de beoogde websites waargenomen.

• Op de dag voor de verkiezingen bereikte het DNS-verkeer naar websites van Trump/Republikeinen en Harris/Democraten een piek, met een stijging van het dagelijkse DNS-verkeer van respectievelijk 59% en 4%.

• Op de dag van de verkiezingen zagen de staten in het Middenwesten van de Verenigde Staten de grootste verkeerstoename vergeleken met de week ervoor. 

• Het internetverkeer in de VS piekte na de sluiting van de eerste stembureaus, met een stijging van 15% ten opzichte van de week ervoor. 

• Het DNS-verkeer naar nieuws-, opiniepeilings- en verkiezingswebsites vertoonde ook een grote toename. Websites van opiniepeilingsdiensten zagen een stijging van 756% vlak voordat de stembureaus dicht gingen en het verkeer naar nieuwswebsites was laat in de avond 325% hoger dan normaal.

Het doel van Cloudflare is om ervoor te zorgen dat websites die democratie mogelijk maken, waaronder websites waarop kiezers zich registreren, portals met verkiezingsinformatie, campagnewebsites en platforms voor het rapporteren van resultaten, veilig en toegankelijk blijven, vooral tijdens periodes met veel verkeer en cyberaanvallen. Via onze Impact-programma's leveren we de essentiële hulpmiddelen voor cyberbeveiliging aan meer dan 800 websites die de verkiezingsinfrastructuur vormen.

• Project Galileo: Project Galileo startte in 2014 en levert gratis diensten op Business-niveau aan mediaorganisaties, mensenrechtenverdedigers en non-profitorganisaties wereldwijd. We beschermen ruim 65 internet property's die gerelateerd zijn aan de verkiezingen in de Verenigde Staten en actief zijn op het gebied van bijvoorbeeld stemrecht, het bevorderen van vrije en eerlijke verkiezingen en het publiceren van verkiezingsresultaten. Voorbeelden van dergelijke organisaties zijn Vote America, Decision Desk HQ, US Vote Foundation en Electionland.

• Athenian Project: het Athenian Project is in 2017 van start gegaan en levert lokale en staatsoverheden die verkiezingen organiseren gratis diensten op Enterprise-niveau om ervoor te zorgen dat kiezers zonder onderbreking toegang hebben tot nauwkeurige en actuele informatie over kiezersregistratie, stembureaus en verkiezingsresultaten. In het kader van dit project beschermen we momenteel 423 websites in 33 staten.

• Cloudflare for Campaigns: Cloudflare for Campaigns is gestart in 2020 in samenwerking met Defending Digital Campaigns en levert diverse productpakketten om de toenemende risico's van cyberaanvallen op politieke campagnes en staatsinstanties aan te pakken. Momenteel beschermen we meer dan 354 campagnes en 34 politieke partijen op staatsniveau in de Verenigde Staten. 

Sinds 2020 hebben we onze samenwerking met verkiezingsfunctionarissen, overheidsinstanties en non-profitorganisaties versterkt voor het leveren van deze essentiële bescherming. Gedurende 2024 hebben we samengewerkt met CISA (Cybersecurity and Infrastructure Security Agency) en de Joint Cyber Defense Collaborative, waarbij ruim 300 verkiezingsfunctionarissen over opkomende dreigingen werden geïnformeerd. Daarnaast hebben ruim 50 gesprekken met lokale en staatsoverheden plaatsgevonden om hun beveiligingsprocessen te bespreken. Bovendien hebben we webinars georganiseerd over cyberdreigingen voor verkiezingsgroepen en strategieën ter bescherming van de verkiezingsinfrastructuur.

Gedurende de weken voorafgaand aan de verkiezingsdag hebben we samen met Defending Digital Campaigns informatie verstrekt aan ruim 90 campagnes en instellingen. Als onderdeel hiervan hebben we ook samengewerkt met leveranciers van politieke diensten die de campagne-infrastructuur beheren om inzicht te geven in opkomende dreigingen en hoe ze zich daartegen kunnen beschermen. In het kader van Project Galileo hebben we gesproken met meer dan 60 lokale media en journalistieke websites die verslag doen van verkiezingen om ervoor te zorgen dat ze tijdig nauwkeurige informatie kunnen verstrekken over stemprocessen, kandidatenplatforms en verkiezingsuitslagen.

Zoals we dit jaar al verschillende keren hebben gezien, zijn specifieke DDoS-aanvallen (DDoS staat voor Distributed Denial of Service) vaak gericht op de websites van politieke partijen of kandidaten rond de dag van de verkiezingen. Hoewel online aanvallen veel voorkomen en niet altijd verkiezingsgerelateerd zijn, hebben we recentelijk DDoS-incidenten in Frankrijk, Nederland en het VK gezien die tijdens verkiezingsperiodes gericht waren op politieke partijen. 

In de VS zagen we een soortgelijke toename van het aantal aanvallen vlak voor de verkiezingen. Cloudflare blokkeerde  cyberaanvallen gericht op de websites gelieerd aan beide partijen die als doel hadden om deze sites offline te halen. Hoewel sommige aanvallen voor veel verkeer zorgden, bleven de aangevallen websites online.

DDoS-aanvallen gericht op Amerikaanse politieke of verkiezingsgerelateerde internet property's namen duidelijk toe vanaf september. Tijdens de eerste zes dagen van november waren dat meer dan 6 miljard HTTP DDoS-verzoeken en dat was meer dan het totale volume in september en oktober.

 

Sommige campagnewebsites zorgden voor het grootste deel van het kwaadaardige HTTP-verzoekverkeer als onderdeel van DDoS-aanvallen, met een duidelijke toename sinds 1 oktober, vergeleken met de minimale DDoS-activiteit eerder in 2024. 

Laten we eens kijken naar enkele voorbeelden van specifieke DDoS-aanvallen, omdat die gemakkelijker te traceren zijn.

Cloudflare blokkeerde een reeks DDoS-aanvallen gericht op een high-profile campagnewebsite. De aanvallen begonnen op 29 oktober, met een piek van vier minuten die opliep tot 345.000 verzoeken per seconde. Op 31 oktober waren de aanvallen intensiever: de eerste duurde ruim een uur en bereikte een piek van 213.000 verzoeken per seconde. Uren later, op 1 november, verzond een grotere aanval 700.000 verzoeken per seconde, gevolgd door nog twee golven van 311.000 en 205.000 verzoeken per seconde.

Binnen een tijdsbestek van 16 uur van 31 oktober tot 1 november blokkeerde Cloudflare ruim 6 miljard kwaadaardige HTTP-verzoeken. Deze aanvallen gingen door op 3 november, met een piek van 200.000 verzoeken per seconde; op 4 november met een piek van 352.000; op 5 november, de verkiezingsdag, met een piek van 271.000 rond 20.33 uur CET (14.33 uur ET/11.33 uur PT), en op 6 november met een piek van 108.000.

Uit onze gegevens blijkt dat de aanvaller(s) willekeurig gebruikersagenten kozen en cache-bustingtechnieken toepasten (methoden om de cache-inhoud te omzeilen en servers te overladen met unieke verzoeken) op basis van een geodiverse aanpak.

De DDoS-aanval op 1 november bereikte een piekbandbreedte van meer dan 16 Gbps die naar Cloudflare werd verzonden, en die op meer dan 8 Gbps gehandhaafd bleef tijdens de hoofdaanval die ruim twee uur duurde.

Aanvallers breidden hun aanvallen ook uit van campagnesites naar politieke partijen en diens infrastructuur en probeerden de services te verstoren, waarin ze niet zijn geslaagd.  Op 3 november 2024 werd er bijvoorbeeld een DDoS-aanval gericht op de infrastructuur die verband hield met een grote campagne. De aanval duurde twee minuten en bereikte een piek van 260.000 kwaadaardige HTTP-verzoeken per seconde. 

Op 29 oktober 2024 werd een DDoS-aanval met grote volume gericht op de website van een Amerikaanse politieke partij in een bepaalde staat. De aanval duurde ruim vier uur, van 18.00 tot 23.29 uur CET (12.00 tot 17.29 uur ET/09.00 tot 14.29 uur PT), met een piek van 206.000 verzoeken per seconde. In totaal werden die dag meer dan 2 miljard kwaadaardige HTTP-verzoeken geblokkeerd als onderdeel van deze DDoS-aanval.

Dezelfde methode die werd gebruikt bij de hierboven genoemde aanval op een van de belangrijkste campagnewebsites op 1 november, werd ook tijdens deze aanval gebruikt. Hier bereikte de DDoS-aanval een piek van 5,7 Gbps die door de aanvaller naar Cloudflare werd gestuurd; gedurende het grootste deel van de vier en een half uur durende aanval werd ruim 3 Gbps behouden.

Sinds september hebben Amerikaanse lokale en staatswebsites die door Cloudflare worden beschermd in het kader van het Athenian Project te maken gehad met een toename van DDoS-aanvallen, met name gericht op specifieke districten. Dergelijke websites hebben sinds 1 september meer dan 290 miljoen kwaadaardige HTTP-verzoeken te verduren gekregen, waarbij 4% van alle verzoeken als een dreiging werd geblokkeerd. Deze aanvallen waren minder frequent en intens dan die op de infrastructuur van Amerikaanse politieke campagnes. 

Op 13 september 2024 richtte een DDoS-aanval zich van 20.29 tot 23.32 uur CET (19.29 tot 22.32 uur UTC/15.29 tot 18.32 uur ET) op een districtswebsite. De aanval duurde drie uur en bereikte een piek van 46.000 kwaadaardige HTTP-verzoeken per seconde.

Dit zijn significante DDoS-aanvallen, zeker als we ze vergelijken met de Amerikaanse presidentsverkiezingen van 2020. In 2020 zagen we meer gevarieerde, geblokkeerde cyberaanvallen door HTTP-verzoeken, zowel aanvallen op WAF (Web Application Firewall) en firewallregels als DDoS-aanvallen. Er waren ook aanzienlijk minder geblokkeerde verzoeken met betrekking tot DDoS en WAF, met bijna 100 miljoen in de hele maand oktober 2020 en nagenoeg 25 miljoen in november 2020, de maand van de verkiezingen. Daarentegen hebben we alleen al tussen 1 en 6 november 2024 meer dan 6 miljard kwaadaardige HTTP-verzoeken waargenomen bij DDoS-aanvallen gericht op campagnes.

Het is ook belangrijk om op te merken dat zelfs kleinere aanvallen verwoestend kunnen zijn voor websites die niet goed beschermd zijn tegen zulke grote hoeveelheden verkeer. DDoS-aanvallen overweldigen niet alleen systemen, maar dienen, als ze succesvol zijn, ook om IT-teams af te leiden terwijl aanvallers andere aanvallen uitvoeren.

Over het algemeen zorgen verkiezingsdagen niet voor drastische veranderingen van het internetverkeer. Het verkeer daalt meestal een beetje wanneer de stembureaus open zijn, maar niet zo sterk als op nationale feestdagen, en stijgt 's avonds wanneer de resultaten bekend worden gemaakt. 

In de VS werd een vergelijkbaar patroon waargenomen op 5 november 2024, met meer internetverkeer in de avond. Over het algemeen was het verkeer gedurende de dag echter 6% hoger dan de week ervoor, vanaf 15.15 uur CET (09.15 uur ET/06.15 uur PT). Dit kan ook komen doordat, in tegenstelling tot andere landen, de verkiezingsdag in de VS op een doordeweekse dag valt in plaats van in het weekend, en geen nationale feestdag is. Het internetverkeer bereikte een piek na het sluiten van de eerste stembureaus, rond 03.15 uur CET op 6 november (21.15 ET/18.15 PT op 5 november), toen tv-nieuwszenders aftelklokken lieten zien. Op dat moment was het verkeer 15% hoger dan de week ervoor.

Opmerking: de lijn voor de vorige 7 dagen op onderstaande grafiek loopt een uur achter vanwege het ingaan van de wintertijd die in de VS tijdens het weekend plaatsvond. Alle groeiberekeningen in dit artikel houden rekening met die verandering.

De grootste piek in de verkeerstoename (vergeleken met de week ervoor) op de verkiezingsdag vond plaats rond 07.30 uur CET op 6 november (01.30 uur ET op 6 november /22.30 PT op 5 november), toen de voorspellingen Trump de presidentiële overwinning gaven en Fox News aankondigde dat Trump Pennsylvania had gewonnen, met een verkeerstoename van 32% ten opzichte van de voorgaande week. Later, tijdens de toespraak van Donald Trump van 08.30 tot 08.45 uur CET (02.30 en 02.45 uur ET/23.30 en 23.45 uur PT) op 6 november, was het internetverkeer 31% hoger dan de week ervoor. 

Op de dag van de verkiezingen bereikte het dagelijkse internetverkeer in de VS het hoogste niveau van 2024 met betrekking tot verzoeken, met een stijging van 6% ten opzichte van de week ervoor.

Zoals verwacht voor een typische verkiezingsdag, zoals we in andere landen hebben waargenomen, vertoonde het verkeersvolume van mobiele apparaten ook een lichte stijging tot 43%, vergeleken met 42% de week ervoor.

De verkeersverschuivingen op staatsniveau op de dag van de verkiezingen, vergeleken met de week ervoor, onthullen meer details dan de gegevens op nationaal niveau. De kaart hieronder laat de grootste verkeersveranderingen zien, met een piek om 03.00 uur CET op 6 november (21.00 uur ET/18.00 uur PT op 5 november) toen de stembureaus gingen sluiten. Opvallend is dat het verkeer in het hele land en in elke staat toenam op de dag van de verkiezingen, in tegenstelling tot de twee uur durende presidentiële debatten, die in het hele land op tv werden uitgezonden.

De grootste toename van het verkeer werd waargenomen in Maine (44%), South Dakota (44%) en Montana (44%). Interessant is dat het internetverkeer in de centrale staten met een hoger percentage toenam dan in de kuststaten. Meer dichtbevolkte staten, zoals Californië (8%), Texas (19%), New York (22%) en Florida (23%), vertoonden ook een opmerkelijke toename in het verkeer.

De zeven 'swing states' die beschouwd werden als beslissend voor de verkiezingen, Georgia, Michigan, Nevada, North Carolina, Pennsylvania en Wisconsin (we houden geen rekening met Arizona vanwege dataproblemen) zagen allemaal een verkeersgroei tussen 17% en 36%. Hier is een meer gerichte kijk op die 'swing states' voor een eenvoudiger overzicht

Staat	Groei in verkeer	Lokale tijd (in elke staat)
Georgia	25%	21.15 uur
Michigan	34%	21.15 uur
Nevada	17%	18.15 uur
North Carolina	14%	21.15 uur
Pennsylvania	33%	21.15 uur
Wisconsin	36%	20.15 uur

Nu gaan we de domeintrends nader onderzoeken. Onze 1.1.1.1 gegevens van de DNS-resolver tonen een duidelijke impact tijdens de Amerikaanse verkiezingen bij de analyse van specifieke categorieën.

De analyse van het DNS-verkeer voor Amerikaanse nieuwsmedia laat zien dat het verkeer vanuit de Verenigde Staten direct na 15.00 uur CET (9.00 uur ET/6.00 uur PT) aanzienlijk toenam, met ongeveer 15% ten opzichte van de week daarvoor. Het verkeer bleef de hele dag door stijgen en bereikte een piek tussen 04.00 en 05.00 uur CET op 6 november (22.00 en 23.00 uur ET/19.00 en 20.00 uur PT op 5 november) met een DNS-verzoekvolume dat 325% hoger lag dan de week ervoor. Er was ook een korte stijging van 117% op woensdag 6 november om 11.00 uur CET (05.00 uur ET/02.00 uur PT).

We hebben beduidend meer DNS-verkeer waargenomen voor websites van opiniepeilingsdiensten. Dit zijn websites of platforms of organisaties die opiniepeilingen uitvoeren of publiceren. Op de dag van de verkiezingen bereikte dit verkeer een piek om 19.00 uur CET (13.00 uur ET/10.00 uur PT) met een stijging van 206% ten opzichte van de week ervoor, en opnieuw om 04.00 uur CET op 6 november (22.00 uur ET/19.00 uur PT op 5 november), nadat de stembureaus begonnen te sluiten, met een stijging van 756%. Het dagelijkse verkeer naar deze categorie steeg met 145% op de dag van de verkiezingen en met 36% de dag ervoor.

Websites met informatie over verkiezingen en stemmen zagen ook een opmerkelijke stijging van het DNS-verkeer rond de verkiezingsdag. Het verkeer begon duidelijk toe te nemen de dag voor de verkiezingen en bereikte een piek op 5 november 2024 om 18.00 uur CET (12.00 uur ET/09.00 uur PT), met een toename van 313% ten opzichte van de week ervoor. Het dagelijkse verkeer was 139% hoger dan normaal op de verkiezingsdag en 68% hoger de dag ervoor.

Social media websites/applicaties, met name microblogging platforms, zoals X en Threads, zagen ook verschuivingen op de dag van de verkiezingen. Het DNS-verkeer voor deze microblogplatforms piekte om 04.00 uur CET op 6 november (22.00 uur ET/19.00 uur PT op 5 november), gelijk opgaand met pieken voor nieuwsorganisaties en opiniepeilingsdiensten, met een toename van 91% ten opzichte van de voorgaande week. In deze microblogcategorie steeg het dagelijkse DNS-verkeer op de verkiezingsdag met 12% ten opzichte van de week ervoor.

Wat de twee presidentskandidaten betreft, was het DNS-verkeer voor hun websites en die van hun partijen de dag voor de verkiezingen veel hoger dan op de verkiezingsdag zelf. Op 4 november 2024 was het dagelijkse DNS-verkeer naar websites van Trump en Republikeinen 59% hoger dan de week ervoor, terwijl het verkeer naar de websites van Harris en Democraten met 4% steeg, nadat de week ervoor een grotere toename van het DNS-verkeer was waargenomen. 

Vanuit het perspectief van cyberbeveiliging trekken trending gebeurtenissen, onderwerpen en individuen vaak meer e-mails aan, waaronder kwaadaardige, phishing- en spamberichten. Onze eerdere analyse beschreef de e-mailtrends met 'Joe Biden' en 'Donald Trump' sinds januari. We hebben dit rapport sindsdien bijgewerkt met 'Kamala Harris' na de Democratic Convention en het debat tussen Harris en Trump.

Van 1 juni tot 4 november 2024 heeft de Cloud Email Security-dienst van Cloudflare meer dan 19 miljoen e-mails verwerkt met 'Donald Trump' of 'Kamala Harris' in de onderwerpregel: 13,9 miljoen voor Trump en 5,3 miljoen voor Harris. Bijna de helft van deze e-mails (49%) is sinds september verstuurd. In de laatste 10 dagen van de campagne (sinds 24 oktober) werd Harris genoemd in 800.000 e-mailonderwerpregels en Trump in 1,3 miljoen.

Sinds 1 juni werd 12% van de e-mails waarin Trump werd genoemd gemarkeerd als spam en 1,3% als kwaadaardig of phishing. Dit percentage is gedaald sinds 1 september, met slechts 3% gemarkeerd als spam en 0,3% als kwaadaardig. Voor e-mails waarin Harris werd genoemd, lagen de percentages lager: 0,6% werd sinds juni gemarkeerd als spam en 0,2% als kwaadaardig, wat licht steeg naar 1,2% spam en 0,2% kwaadaardig sinds 1 september. Trump werd vaker genoemd in e-mailonderwerpen dan Harris en werd in een hoger percentage spam en kwaadaardige e-mails gevonden.

Hoewel Cloudflare een opmerkelijke toename van DDoS-aanvallen op politieke en verkiezingsgerelateerde sites waarnam en miljarden kwaadaardige verzoeken blokkeerde, hebben deze aanvallen dankzij planning en proactieve verdediging niet geleid tot significante verstoring. Wij delen de mening van de Cybersecurity and Infrastructure Security Agency dat "onze verkiezingsinfrastructuur nog nooit zo veilig is geweest" en zijn het eens met hun conclusie dat  "we geen enkel bewijs hebben van kwaadaardige activiteiten die een materiële impact hadden op de veiligheid of integriteit van onze verkiezingsinfrastructuur". Het veilig en veerkrachtig houden van onze verkiezingen is van cruciaal belang voor het functioneren van de democratie en we zijn er trots op dat Cloudflare een steentje heeft kunnen bijdragen. 

Als u meer wilt lezen over trends en inzichten inzake het internet en verkiezingen in het bijzonder, gaat u naar Cloudflare Radar en met name naar ons nieuwe rapport '2024 Elections Insights' dat in de loop van het jaar wordt bijgewerkt wanneer er verkiezingen plaatsvinden.