Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

“Als medewerkers in phishing trappen, durven ze dat niet altijd op te biechten”

Betere samenwerking is beste manier om ransomware te bestrijden

Doodshoofd op een rood verlicht moederbord van een computer.
  • donderdag 25 april 2024

Uit angst voor reputatieschade wachten organisaties bij een ransomware-aanval vaak te lang met het inroepen van hulp van incidentresponsbedrijven of het doen van aangifte bij de politie. Dat zegt Gina Doekhie, cybercrime-specialist van Politie Nederland. Ze spreekt hierover op 16 mei tijdens SIDN Inspire.

Cybercrime-specialist Gina Doekhie van Politie Nederland
Gina Doekhie, cybercrimespecialist

“Als een organisatie is getroffen door een ransomware-aanval, duurt het soms wel een week voordat er hulp ingeroepen wordt van politie of incidentresponsbedrijven”, zegt Doekhie. “In die periode kan er veel misgaan.” Een voorbeeld daarvan is het vernietigen van digitale sporen. “Voor digitaal sporenonderzoek heb je echt een forensische mindset nodig. Een ict-beheerder kan denken: ‘Ik heb de logfiles van de aanval veiliggesteld, dat is wel voldoende. Dan kan ik nu de data vanuit onze back-up terugzetten.’ Dat klinkt logisch, maar door zo’n actie kan een gespecialiseerd informatiebeveiligingsbedrijf of de politie niet goed meer onderzoek doen. Sporen bevinden zich niet alleen in de logfiles.”

Angst voor reputatieschade

Een incidentresponsbedrijf kan bij een ransomware-aanval controleren of de criminelen nog steeds aanwezig zijn op het netwerk. Ook kan het bedrijf onderzoeken of er mogelijkheden zijn om versleutelde bestanden ook zonder betaling van losgeld te herstellen.

Waarom zou je als bedrijf daarnaast ook nog aangifte doen bij de politie? Doekhie: “Veel bedrijven laten dat na uit angst voor reputatieschade. Ze vrezen dat de aanval in de publiciteit komt als aanvallers gearresteerd worden en voor de rechter moeten verschijnen.” Een andere reden die organisaties ervan weerhoudt aangifte te doen, is het idee dat de politie ‘toch niets zal doen.’ Dat laatste klopt niet, zegt Doekhie.

Geldstromen terugvorderen

Zo heeft de politie de bevoegdheid om geldstromen te volgen en terug te vorderen. Dat gebeurde bijvoorbeeld nadat de Universiteit Maastricht in december 2019 werd getroffen door een cyberaanval. “De politie en het Openbaar Ministerie legden vervolgens in 2020 beslag op het cryptovaluta-account van een van de daarbij betrokken cybercriminelen. Op zijn account stond een vijfde van het losgeld in bitcoins. Toen het na 2 jaar lukte om deze bitcoins naar Nederland te halen, was de waarde inmiddels gestegen van 40.000 naar 500.000 euro.” Dit hele bedrag ging naar de Universiteit Maastricht, die het onderbracht in een fonds voor noodlijdende studenten.

Ook al hebben organisaties dus soms een eigenbelang bij het doen van aangifte, er speelt daarnaast ook een algemeen belang, zegt Doekhie: “Hoe meer organisaties aangifte doen, hoe meer sporen er zijn. Zo stijgt de kans dat cybercriminelen worden opgepakt en er geen nieuwe slachtoffers worden gemaakt. Bovendien: als slachtoffers hun verhalen delen, kunnen ze van elkaar leren.”

Gina Doekhie

Gina maakt sinds 2019 onderdeel uit van het Cybercrime Team van de Nederlandse Politie. Binnen dat team onderzoekt ze complexe cybercrimezaken, zoals afpersing met ransomware. Hiervoor was Doekhie 7 jaar lang digitaal forensisch rechercheur bij Fox-IT, waar ze cybercriminelen opspoorde en aan digitale fraudezaken werkte. Ook was ze binnen die functie de eerste onderzoeker binnen de cybersecuritysector die binnen Nederland werd benoemd tot gerechtelijk deskundige. Dat betekent dat ze in de rechtbank advies kon geven over de bewijskracht van digitaal bewijsmateriaal. Gina studeerde af met een dubbele master aan de Universiteit van Amsterdam: zowel in de Kunstmatige Intelligentie als in de Forensic Science.

Schaamte bestrijden

Niet alleen tussen organisaties zou meer informatie moeten worden gedeeld, ook binnen bedrijven, zegt Doekhie. “Als medewerkers in phishing zijn getrapt, durven ze dat niet altijd op te biechten. Maar het kan iedereen overkomen.” In de toekomst wordt dat alleen maar erger, voorspelt ze. Cybercriminelen gaan namelijk in toenemende mate gebruikmaken van AI: “Die stelt hen in staat om met nog geavanceerder middelen CEO-fraude- en ransomware-aanvallen te doen. Denk aan deepfakes waarin de stem van een manager wordt misbruikt om een financiele medewerker vlak voor het weekend met spoed te manen opeens een grote betaling te doen naar een nog onbekende crediteur.”

De toenemende phishingdreiging maakt het des te belangrijker werknemers ervan te doordringen dat schaamte niet nodig is. “Als organisaties die boodschap goed overbrengen, vergroten ze de kans dat phishingincidenten intern bijtijds worden gerapporteerd. En dat kan het verschil betekenen tussen wel of niet getroffen worden door ransomware. Als een werknemer bijvoorbeeld per ongeluk zijn inloggegevens heeft gedeeld via een phishinglink of malware heeft gedownload, dan is er nog maar één account gehackt. Vanaf dat punt moet een cybercrimineel onderzoeken hoe hij of zij de rest van het netwerk kan infiltreren. Als er op tijd wordt gereageerd heeft de crimineel daar wellicht onvoldoende tijd voor. Dan kunnen de toegangspoorten worden gesloten, en soms toch op het nippertje voorkomen worden dat cybercriminelen het gehele bedrijfsnetwerk binnendringen.”

Melissa

Ook politie en incidentresponsbedrijven kunnen intensiever samenwerken bij de bestrijding van ransomware-aanvallen, zegt Doekhie. “Gelukkig gebeurt dat ook steeds meer. Zo kwam het internationale politieonderzoek naar ransomwaregroepering LockBit op gang dankzij een tip van een private partij die zich had aangesloten bij Melissa.” Binnen die overeenkomst werken het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en een aantal private partijen uit de cybersecuritysector samen om ransomware-aanvallen beter te bestrijden.

“Melissa zorgde er dus indirect voor dat Europol, de Nederlandse Politie en politiediensten uit 10 Europese landen op 20 februari 2024 34 LockBit-servers offline konden halen.”

Noodplan

Heeft Doekhie nog adviezen aan organisaties over hoe ze sporen het beste intact kunnen laten, meteen na een ransomware-aanval? Dat verschilt, zegt Doekhie, afhankelijk van je ict-infrastructuur. “Daarom is het belangrijk om al van tevoren een ‘emergency response’-plan op te stellen. Daarin beschrijf je wat iedereen moet doen bij een incident: ‘hoe kun je het bewijsmateriaal goed veiligstellen? Als een server geïnfecteerd is, moet je dan de stekker eruit trekken, of juist niet?’”

“Over al dat soort zaken moet je van tevoren goed nadenken en duidelijke keuzes maken. Want als er iets gebeurt, is iedereen in paniek.” Vanzelfsprekend moeten alle ict-beheerders die in het noodplan voorkomen, van dit plan op de hoogte zijn. En idealiter moet het ook geoefend worden.

Voorkom reputatieschade met SIDN-merkbewaking

SIDN Merkbewaking is een online-monitoringsservice met een persoonlijk dashboard dat jou meteen waarschuwt bij de registratie van een domeinnaam die lijkt op jouw merk. Door deze snelle signalering kun je direct in actie komen. Daarmee voorkom je dat je merk wordt misbruikt voor phishing, mailfraude, CEO-fraude of identiteitsfraude. Door fraude direct te bestrijden voorkom je reputatieschade en hoge kosten die misbruik met zich meebrengen. Bovendien helpt SIDN Merkbewaking met het beheer van je online merk. De tool biedt overzicht van alle eigen geregistreerde domeinnamen en toont welke partners jouw merk gebruiken.

Voorbereidend werk

Als de organisatie al in een eerder stadium preventief advies heeft ingewonnen bij een incidentresponsbedrijf, kan er aanzienlijk sneller gehandeld worden in geval van een ransomware-aanval, zegt Doekhie. “Een cybersecuritybedrijf heeft dan de kans gehad om de netwerkinfrastructuur in kaart te brengen, en een lijst opgesteld met de belangrijkste contactpersonen.”

Daarnaast kan een incidentresponsbedrijf van tevoren penetratietesten uitvoeren, om te onderzoeken of er zwakke plekken in de beveiliging van de organisatie zitten.” Cybercriminelen maken in veel gevallen misbruik van bekende zwakheden. Om ransomware-aanvallen te voorkomen is goed patch management daarom essentieel, net als goede back-ups.

“Als bestanden immers teruggezet kunnen worden, maakt dat organisaties minder chantabel.” Die back-ups staan het liefst niet op het eigen netwerk, maar offline of in de cloud. Daarnaast is netwerksegmentering een goede verdedigingstechniek, omdat zo de kans omlaaggaat dat cybercriminelen alle bestanden in het netwerk in gijzeling kunnen nemen.

Kroonjuwelen

Bovendien is het essentieel om in kaart te brengen waar de ‘kroonjuwelen’ van de organisatie staan, zegt Doekhie. “Om welke systemen gaat het? Welke software draait erop?” Die kunnen vervolgens extra beveiligd worden, bijvoorbeeld door de toegang te beschermen met 2- of 3-factorauthenticatie.

Daarbovenop adviseert Doekhie nog eens goed naar de ‘servicelevel agreements’ (SLA’s) te kijken die met leveranciers zijn overeengekomen. “Dus als je bijvoorbeeld een softwarepakket of een beheersysteem afneemt bij een cloudleverancier, maak dan ook afspraken over de maximale responsduur in geval van incidenten. Hoe snel worden back-ups bijvoorbeeld teruggezet?”

Ook bij contracten met incidentresponsbedrijven is het belangrijk om op de kleine lettertjes te letten, zegt Doekhie: “Hoe snel belooft een incidentresponsbedrijf in actie te komen? Bij een ransomware-aanval kan elk uur het verschil maken.”

Wil je meer weten over hoe we beter samen kunnen werken om cybercriminelen de baas te blijven en de presentatie van Gina bijwonen? Schrijf je dan in voor SIDN Inspire 2024 op 16 mei via: https://events.sidn.nl/sidn-inspire-2024.