Trends in security & domeinnamen
Exotische domeinnamen nieuw werkgebied voor phishers
Exotische domeinnamen nieuw werkgebied voor phishers
Het einde van het jaar nadert en dan is het gebruikelijk terug te blikken op de gebeurtenissen van het afgelopen jaar. Ook op het gebied van domeinnamen en security. Hoewel zeer opvallende incidenten met een .nl-domeinnaam, in tegenstelling tot voorgaande jaren (politie, jeugdzorg), uitbleven, gebeurde er meer dan genoeg. In deze SIDN Nieuws Special 3 belangrijke trends rond domeinnamen en security met daarbij onze tips.
Direct naar:
Banken verbeterden hun security in de afgelopen jaren steeds beter. Desondanks nam het schadebedrag door phishing bij bankklanten opnieuw toe. Dat bleek eind november uit cijfers van de Betaalvereniging en de Nederlandse Vereniging van Banken. Als de cijfers over het eerste halfjaar tekenend zijn voor het tweede, dan verliezen bankklanten in 2019 meer dan 6 miljoen euro door onderschepte beveiligingscodes. Een stijging van ruim 25% ten opzichte van 2018.
Bedrijven in de financiële sector hebben hun security steeds beter op orde, maar dat wordt deels teniet gedaan door de steeds lagere kosten voor het in de lucht brengen van een phishing-website. In de domeinnaamwereld zien wij dat terug in de statistieken van ‘gratis’ domeinnamen. In de halfjaarlijkse rapportages van de Anti Phishing Working Group (APWG) domineren extensies met gratis verkrijgbare domeinnamen zoals .tk de top-10 van meest misbruikte domeinen. Ranglijst: domeinen met meeste gedetecteerde phishing url’s in Q3 2019 (bron: apwg.org)
.COM / Legacy 1,088
.ORG / Legacy 80
.NET / Legacy 76
.BR / ccTLD (Brazil) 55
.GA / ccTLD (Gabon) 31
.INFO / Legacy 30
.ML / ccTLD (Mali) 27
.IN / ccTLD (India) 26
.ID / ccTLD (Indonesia) 24 / .ICU / nTLD 24
.TOP / nTLD 23
Zorgelijk is ook dat het .ml-domein (Mali) recent naar voren kwam in onderzoeken naar domeinnamen en phishing. De gelijkenis van dit domein met .nl doet vermoeden dat cybercriminelen die het gebruiken, dit doen met het oog op doelwitten in Nederland.
Een vorm van cybercrime die ongemerkt veel schadelijker lijkt te worden dan traditionele phishing is Business Email Compromise-fraude (BEC), beter bekend als CEO-fraude. Bij deze vorm van fraude proberen cybercriminelen zich voor te doen als de executive van een bedrijf om zo overboekingen van grote bedragen te bewerkstelligen. In 2018 werd Nederland opgeschrikt door de Pathé-zaak en sindsdien zijn er internationaal een aantal spraakmakende zaken naar buiten gekomen (o.a. Nikkei). Het gaat dan soms om zeer grote bedragen.
De opbrengst van de Pathé-zaak is meer dan het dubbele van wat alle banken per jaar verliezen door phishing bij hun klanten. Dat BEC-fraudeurs zo succesvol zijn is mede te danken aan de diversiteit van hun doelwitten. In tegenstelling tot phishing bij banken, kan BEC-fraude een breed spectrum aan organisaties treffen, los van de branche. Enige voorwaarde is dat het bedrijf groot genoeg is om een ‘executive’ te hebben.
Daarna profiteren BEC-fraudeurs van de onzichtbaarheid van hun werk in DNS. Mail is immers, in tegenstelling tot een fake-website, minder goed zichtbaar. Veel organisaties laten verdachte domeinnamen die op hun bedrijfsnaam lijken ongemoeid, ‘omdat er niets mee lijkt te gebeuren’. Een ideale kans om ceo-fraude te organiseren. Sterker nog: cybercriminelen laten het domein doorverwijzen naar de officiële bedrijfswebsite om het legitiem te laten lijken, maar gebruiken het tegelijkertijd voor malafide mails.
Daarom raden wij organisaties die hun domeinnaam online monitoren aan hierbij met extra aandacht te kijken naar domeinen die lijken op domeinen die zij zelf voor mailverkeer gebruiken. Denk aan de typo directie@bedrijfsmaill.nl als typo op directie@bedrijfsmail.nl.
Een indicator voor de impact van dit soort cybercrime is de sterk toegenomen adoptie van open mailstandaarden. Standaarden als DANE, SPF, StartTLS, DKIM en DMARC worden door steeds meer organisaties toegepast. Toch is er nog veel te winnen, uit onderzoek onder overheidswebsites bleek onlangs, dat de helft van de onderzochte organisatie zijn mailbeveiliging nog niet op orde heeft.
Helaas zijn ook nepwebwinkels geen zaak van het verleden. Tienduizenden werden er onlangs in heel Europa offline gehaald. Opvallend is dat veel van deze shops hun artikelen verkopen via opgeheven domeinnamen van bedrijven uit branches die niets met het verkochte product te maken hebben. Bijvoorbeeld nep-Nike’s op de site van een wijnhandel. De reden: cybercriminelen kijken bij opgeheven domeinnamen of er nog links naar dat domein actief zijn. Is dat het geval, dan nemen zij aan dat er ook nog verkeer naar dat domein gaat en dat het dus de moeite is om deze te registreren voor een nepwebwinkel.
Dit is een van de redenen waarom wij aanraden in onbruik geraakte domeinnamen niet meteen op te heffen en te controleren of er op uw hoofdwebsite of in uw mailsystemen geen verwijzing naar dit domein meer bestaat.
Het is wrang te constateren dat nepwebwinkels gebruikmaken van de feestdagen om consumenten te misleiden. Vanaf november is er sprake van een duidelijke piek in het aantal nepwinkels dat online gaat. Het detectiesysteem FaDe dat SIDN afgelopen jaar introduceerde om fake webshops op te sporen, draaide in november virtueel overuren.
Aantal met FaDe gedetecteerde nepwebwinkels in .nl (bron: SIDN Labs)
Meer weten over misbruik van domeinnamen en hoe je je organisatie hiertegen beschermt? Kijk eens op https://www.sidn.nl/dbs.
Onze Domeinnaambewakingsservice (DBS) beschermt honderden prominente Nederlandse merken door te detecteren of er domeinnamen geregistreerd worden, die op merk- en handelsnamen lijken. Steeds meer grote organisaties gebruiken DBS om online hun naam en reputatie te beschermen. Om de gebruikers ervaringen uit te kunnen laten wisselen, organiseerden we onlangs een DBS-meetup in Utrecht.
Meer dan 30 grote organisaties uit de publieke sector en het bedrijfsleven waren aanwezig bij Grand Hotel Karel V om ervaringen uit te wisselen in het opsporen, beoordelen en uit de lucht halen van malafide domeinnamen. Bij bedrijven met zeer bekende merknamen worden er maandelijks soms honderden gelijkende domeinnamen geregistreerd. Vaak door de organisatie zelf, maar heel vaak ook door derden voor ongewenste praktijken. Hieruit de malafide domeinnamen scheiden en actie ondernemen is een kwestie van goed organiseren.
Twee gebruikers van DBS deelden hun expertise tijdens de meetup: De Belastingdienst en ICS Cards. De Belastingdienst demonstreerde hoe zij DBS in hun systemen geïntegreerd hebben om meldingen intern snel af te handelen. Creditcardmaatschappij ICS ging in op opvolging: hoe ongewenste domeinnamen/websites uit de lucht te halen.
Wij kijken terug op een succesvol evenement, met enthousiaste bezoekers. Dit krijgt volgend jaar zeker een vervolg.
Vanuit onze missie werken we aan een veilig en betrouwbaar internet voor iedereen. In dat kader houden wij onze relaties en andere geïnteresseerden graag op de hoogte van actuele ontwikkelingen op het gebied van domeinnamen, security en merkbescherming. Maandelijks sturen wij hierover een nieuwsbrief. Deze maand over de belangrijkste trends in security en domeinnamen.
Wil je je aanmelden voor de nieuwsbrief mail dan naar marketing@sidn.nl.