34.000 misleidende domeinnamen en 500.000 gehackte IP-adressen. Dat was het wapen waarmee een groep internationale fraudeurs miljoenen aan advertentiegelden binnenhaalden. Een Deens bedrijf ontmaskerde het netwerk dat bekend staat als Hyphbot. Dit meldde de Wall Street Journal vorige week.
Aantal phishingsites met Nederlandse topmerken ruim 40% toegenomen
675 phishingsites onder top 50 Nederlandse merken
Hoe kon dit gebeuren?
Hyphbot registreerde domeinnamen die sterk leken op namen van bekende mediaconcerns als CNN en The Wall Street Journal. Die sites toonden video-advertenties die vervolgens opgevraagd werden door bots vanaf gehackte pc’s en laptops. De adverteerders betaalden per uniek IP-adres. Elke keer dat een van de 500.000 gehackte pc’s een advertentie opvroeg, brachten ze een bedrag in rekening. Het netwerk haalde daarmee in een maand bijna $500.000 per dag binnen.
Steeds grootschaliger
De schaal waarop Hyphbot opereerde toont hoe geavanceerd de methoden van cybercriminelen zijn. Hyphbot was niet het eerste netwerk dat deze methodiek gebruikte, maar wel het grootschaligste. Mediaconcerns proberen het tij te keren door op hun websites een lijst te publiceren van partijen die namens hen advertenties mogen verkopen. Hiervoor plaatst ieder concern op zijn belangrijkste site achter de url een bestand ads.txt (bekijk dit voorbeeld van Sanoma). Adverteerders kunnen hier controleren of een aanbieder gerechtigd is advertenties namens het bedrijf te verkopen.
Bescherm je merk
Het is opvallend dat een crimineel netwerk erin slaagt op zo’n grote schaal advertenties te exploiteren via fake-domeinnamen. Er zijn tal van tools in de markt waarmee je het profiel, de reputatie en de historie van een domeinnaam kunt controleren (vb. Moz.com). Om domeinnamen op te sporen die lijken op jouw merknaam kun je bijvoorbeeld SIDN Merkbewaking gebruiken. Voor cybercriminelen is het zonder fake-domeinnamen lastiger zich als mediaconcern voor te doen.
