675 phishingsites onder top 50 Nederlandse merken
Voor merkeigenaren is phishing een steeds groter probleem, meldt domeinnaambeheerder SIDN. Maar liefst 675 malafide websites maken misbruik van bekende merknamen om bezoekers op te lichten.
Naast dat hun merknaam misbruikt wordt voor criminele doeleinden, ondervinden merken ook hinder van malafide partijen die merkartikelen te koop aanbieden, maar vervolgens nooit leveren. Of wel, maar dan blijkt het een nepproduct te zijn. SIDN onderzocht hoeveel phishingsites er actief zijn met één van de merknamen van de top 50 Nederlandse merken in de domeinnaam, of een domeinnaam die er sterk op lijkt. Dit blijken er 675 te zijn. Vooral de financiële sector scoort hoog als het gaat om het aantal phishingsites.
Top 50 Nederlandse merken
SIDN heeft de vijftig meest waardevolle merken van Nederland, zoals deze door merkwaarderingsbureau Brand Finance zijn gedefinieerd, onderzocht. Met behulp van de Domeinnaambewakingsservice (DBS ) is de .nl-zone gescand om alle domeinnamen in beeld te brengen die lijken op de merknamen, of die een van deze vijftig merknamen bevatten. De resultaten zijn vervolgens geclassificeerd met behulp van de zogenaamde profiler die kortgeleden toegevoegd is aan DBS.
Classificatie
Deze profiler, die door SIDN Labs in samenwerking met TNO ontwikkeld is, classificeert iedere gevonden domeinnaam. De domeinnaam en de website achter de domeinnaam worden door de profiler onderzocht op techniek en content. Een profiel bestaat uit een aantal classifiers en hun gewicht resulteert in een kans dat een domeinnaam voor een bepaald doeleinde gebruikt wordt. Het idee achter het systeem is een aantal simpele gegevens over een domeinnaam, die op zichzelf geen waardeoordeel geven, te combineren zodat duidelijk wordt om wat voor type domeinnaam het gaat. DBS deelt de domeinnaam in één van de onderstaande profielen in:
Profiel Omschrijving
Normale site: ‘gewone’ site, al dan niet van de merkhouder zelf; er is niets bijzonders te melden.
phishingsite: Website wordt gebruikt voor phishing
Reclamenetwerk: Site met alleen maar advertentielinks.
Geparkeerde site: Site is geregistreerd maar de eigenaar heeft er (nog) niets mee gedaan en er staat een standaardpagina van de hoster.
‘Te koop’ site: Domeinnaam die te koop staat.
Verwijderd: De site is door de hoster verwijderd.
Alleen e-mail: Er is geen website, er is alleen een e-mailserver ingericht.
Ongebruikt: Er is helemaal geen informatie in het DNS te vinden; geen IP-adres, geen mailserver. De domeinnaam is alleen geregistreerd.
Reageert niet: Er is een IP-adres van een site, maar er komt geen data door.
Redirect naar originele domeinnaam: De pagina stuurt de gebruiker door naar de originele domeinnaam.
Het zoeken op de top 50 merknamen resulteerde in 30.357 resultaten . Dat aantal op zich zegt niet veel, het kunnen immers legitieme domeinnamen zijn. Interessanter wordt het wanneer de resultaten worden geanalyseerd en duidelijk wordt welke profielen naar voren komen. Een toegewezen profiel geeft geen 100 procent garantie, maar het is zeer waarschijnlijk dat de domeinnaam gebruikt wordt voor het doel dat het profiel aangeeft.
675 phishingsites
In onderstaande figuur is te zien dat 60,2 procent van de resultaten door de profiler van DBS als normale site wordt geclassificeerd.
2,2 procent van de resultaten wordt door de profiler als phishingsite geclassificeerd. In absolute aantallen zijn dat 675 .nl-domeinnamen.
Van 1,3 procent van de gevonden domeinnamen is de content verwijderd door de hoster (suspended). Dit gebeurt over het algemeen wanneer de domeinnaam gebruikt wordt voor spam, of malafide content bevat.
Financiële sector scoort hoog
Vooral de sector banken, financiële dienstverleners en verzekeringen scoort hoog met gemiddeld zo’n achttien gevonden phishing domeinnamen per merk. De financiële sector is een populair doelwit van criminelen. Banken zijn gelukkig erg alert en ondernemen snel actie tegen phishingsites.
Wat is de Domeinnaambewakingsservice?
Als beheerder van het .nl-domein, is SIDN er veel aan gelegen om internetcriminaliteit binnen de .nl-zone terug te dringen. Een van de tools die hiervoor ontwikkeld is, is de Domeinnaambewakingsservice (DBS). DBS rapporteert alle .nl-domeinnaamregistraties die een bepaalde zoekterm, zoals een merknaam, bevatten, of hier sterk op lijken. Wie met behulp van DBS zoekt bijvoorbeeld op de merknaam ‘Ohra’, zou op een domein kunnen uitkomen waarbij de letter ‘O’ vervangen is door het cijfer ‘0’. Het verschil is maar klein en voor de onbewuste internetgebruiker nauwelijks zichtbaar. De gevolgen kunnen echter heel groot zijn. Recent is DBS uitgebreid met de optie voor wereldwijde dekking, waardoor ook andere topleveldomeinen dan .nl gemonitord kunnen worden. Voor dit onderzoek is alleen gekeken naar de .nl-domeinnamen.
Link: https://www.sidn.nl/a/veilig-internet/675-phishingsites-onder-top-50-nederlandse-merken